Lei n.º 96/2015, de 17 de Agosto
  REGULA A DISPONIBILIZAÇÃO E A UTILIZAÇÃO DAS PLATAFORMAS ELETRÓNICAS DE CONTRATAÇÃO PÚBLICA(versão actualizada)
O diploma ainda não sofreu alterações

       
Procurar no presente diploma:
A expressão exacta

Ir para o art.:
 Todos
      Nº de artigos :  11      


 Ver índice sistemático do diploma Abre  janela autónoma para impressão mais amigável  Imprimir todo o diploma
SUMÁRIO
Regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva 2014/24/UE e o artigo 40.º e o anexo V da Diretiva 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, revogando o Decreto-Lei n.º 143-A/2008, de 25 de julho
_____________________
  Artigo 40.º
Gestão de utilizadores, perfil de acesso e privilégios
1 - A plataforma eletrónica deve suportar perfis com diferentes privilégios, incluindo, no mínimo, os seguintes:
a) Administrador de segurança;
b) Administrador de sistemas;
c) Operador de sistemas;
d) Auditor de sistemas.
2 - A plataforma eletrónica deve ser capaz de associar e atribuir os utilizadores aos perfis definidos no número anterior.
3 - A plataforma eletrónica deve garantir que um utilizador não pode ser associado a múltiplos perfis, de acordo com o seguinte critério:
a) Um utilizador com o perfil de «administrador de segurança» não é autorizado a assumir o perfil de «auditor de sistemas»;
b) Um utilizador com o perfil de «administrador de sistemas» não é autorizado a assumir o perfil de «administrador de segurança» ou de «auditor de sistemas».

  Artigo 41.º
Sistemas e operações
1 - A empresa gestora garante que a plataforma eletrónica é fiável, nomeadamente:
a) Os procedimentos de operação e segurança estão definidos;
b) A plataforma eletrónica foi desenhada e desenvolvida de modo a que o risco de falha dos sistemas seja mínimo;
c) A plataforma eletrónica está protegida de vírus e software malicioso de modo a assegurar a integridades dos sistemas e da informação nestes incluídos.
2 - As plataformas eletrónicas devem assegurar a disponibilidade da informação para todos os seus utilizadores, exceto nos períodos de manutenção, de acordo com o disposto nos n.os 5 e 6 do artigo 28.º
3 - As plataformas eletrónicas devem implementar soluções de modo a inibir e minimizar os efeitos de ataques distribuídos de negação de serviços.
4 - A ligação da plataforma eletrónica à rede pública deve ser assegurada, no mínimo, por duas origens fisicamente independentes.
5 - Os vários sistemas que compõem a plataforma eletrónica devem estar atualizados e ser corrigidos (patched), de forma expedita, à medida que são descobertas novas vulnerabilidades.
6 - Todos os serviços das plataformas eletrónicas devem estar sincronizados com o NTP (Network Time Protocol) definido a partir do UTC (Universal Time Coordinated), devendo ser utilizadas duas fontes de tempo diferentes, em que uma delas é obrigatoriamente a hora legal portuguesa.
7 - Em caso de desastre, as plataformas eletrónicas devem disponibilizar meios capazes de continuar as operações usando sistemas alternativos e assegurar o backup para garantir a integridade e a possibilidade de recuperação da informação.
8 - A empresa gestora deve especificar na sua política qual o tempo máximo aceitável, na reposição dos serviços.

  Artigo 42.º
Segurança aplicacional
1 - A empresa gestora deve garantir que o sistema se encontra devidamente protegido contra vulnerabilidades e ataques, impedindo, designadamente:
a) Falhas de injeção, nomeadamente, interrogações SQL (Structured Query Language), LDAP (Lightweight Directory Access Protocol) ou XPath (XML Path Language), comandos do sistema operativo (SO) e alteração de argumentos de programa;
b) XSS (Cross-Site ing).
2 - O sistema deve assegurar a autenticação forte e a gestão das sessões, o que exige, no mínimo, que:
a) As credenciais sejam sempre protegidas quando armazenadas com recurso a técnicas de controlo da integridade dos dados (hashing) ou de cifragem dos dados;
b) As credenciais não possam ser adivinhadas nem alteradas através de funções de gestão da conta pouco sólidas, nomeadamente, através da criação de conta, alteração da senha, recuperação da senha ou identificadores de sessão frágeis;
c) Os identificadores de sessão e os dados da sessão não se encontrem expostos no localizador uniforme de recursos (URL);
d) Os identificadores de sessão não sejam vulneráveis a ataques de fixação de sessão;
e) Os identificadores de sessão tenham um tempo limite de operação, o que assegura que o utilizador sai do sistema;
f) As senhas, os identificadores de sessão e outras credenciais sejam enviados apenas através do protocolo TLS (Transport Layer Security).
3 - O sistema deve possuir uma configuração de segurança adequada, o que exige, no mínimo, que:
a) Todos os elementos de software sejam atualizados, na medida do necessário para mitigar eventuais vulnerabilidades, nomeadamente o SO, o servidor web e o servidor de aplicações, o sistema de gestão de bases de dados (DBMS), as aplicações, e todas as bibliotecas de códigos;
b) Os serviços e processos desnecessários do SO, servidor web e servidor de aplicações, sejam desativados, retirados ou não sejam instalados;
c) As senhas da conta por defeito sejam alteradas ou desativadas.
4 - O sistema deve limitar o acesso ao URL com base nos níveis e autorizações de acesso do utilizador, exigindo-se, no mínimo, que:
a) Se forem utilizados mecanismos de segurança externos, para fins de autenticação e verificação das autorizações de acesso às páginas, os mesmos devem estar devidamente configurados para cada página;
b) Se for utilizada proteção ao nível dos códigos, a mesma deve existir para cada página pretendida.
5 - O sistema deve utilizar o protocolo TLS de modo a garantir uma proteção suficiente, devendo estar criadas todas as medidas que se seguem ou outras de eficácia equivalente:
a) O sistema deve exigir a versão mais atualizada do protocolo HTTPS (Hypertext Transfer Protocol Secure) para aceder a quaisquer recursos sensíveis utilizando certificados que sejam válidos, não caducados, não revogados e compatíveis com todos os domínios utilizados pelo sítio;
b) O sistema deve apor a indicação «seguro» em todos os s sensíveis;
c) O servidor deve configurar o fornecedor do TLS de modo a que este apenas aceite algoritmos de cifragem de dados conformes com as melhores práticas;
d) Os utilizadores devem ser informados de que devem ativar a funcionalidade TLS no seu navegador.
6 - O sistema deve impedir reencaminhamentos e reenvios não validados.

  Artigo 43.º
Integridade dos dados
1 - As plataformas eletrónicas não devem partilhar hardware e recursos do SO, nem quaisquer dados, nomeadamente, credenciais de acesso e de cifragem, com qualquer outra aplicação ou sistema.
2 - Cada transação com sucesso que envolva modificação do conteúdo da informação da plataforma eletrónica deve fazer passar a base de dados (BD) de um estado de integridade para outro estado de integridade.
3 - Deve ser garantido que todos os dados críticos da plataforma eletrónica são seguros e autênticos, devendo para o efeito ser utilizados algoritmos e chaves fortes, de acordo com as normas internacionais.
4 - Devem ser considerados como dados críticos, no mínimo, todas as configurações de segurança, perfis de utilizador, dados relativos às peças do procedimento e propostas, bem como os respetivos backups.

  Artigo 44.º
Segurança de rede
1 - A ligação da plataforma eletrónica à Internet deve ser protegida por um sistema de proteção de fronteira.
2 - Todo o tráfego destinado à plataforma eletrónica deve ser inspecionado e registado.
3 - As regras do sistema de proteção de fronteira devem rejeitar o tráfego que não é necessário à utilização e à administração segura do sistema.
4 - A plataforma eletrónica deve estar alojada num segmento da rede de produção devidamente protegido, separado de eventuais segmentos utilizados para alojar sistemas que não são de produção, como ambientes de desenvolvimento ou de testes.
5 - A rede local (LAN) deve cumprir, no mínimo, as seguintes medidas de segurança:
a) Lista de acesso Layer 2/ segurança dos portos (port switch);
b) Os portos não utilizados/necessários devem ser desativados;
c) A DMZ (demilitarized zone) deve encontrar-se numa rede local virtual (VLAN) ou LAN própria;
d) Não devem estar ativas interligações (trunking) L2 em portas desnecessárias.

  Artigo 45.º
Tratamento dos dados pessoais e livre circulação
O tratamento de informação, pelas plataformas eletrónicas, que contenha dados pessoais, implica a notificação prévia da Comissão Nacional de Proteção de Dados, nos termos previstos na Lei de Proteção de Dados Pessoais.

  Artigo 46.º
Segurança física
Sem prejuízo dos controlos de segurança identificados e implementados, com base nos requisitos da ISO/IEC 27001, os sistemas que compõem a plataforma eletrónica devem estar devidamente protegidos em zona segura, com acesso restrito e controlado por sistemas de controlo de acessos e dentro dessa zona, no mínimo, instalado num bastidor seguro.

  Artigo 47.º
Identificação e autenticação
1 - A plataforma eletrónica deve garantir a existência de uma conta individual por utilizador e que os dados de autenticação são únicos.
2 - Sempre que o utilizador sai da sua conta (logout), para voltar a entrar a plataforma eletrónica deve requerer novamente a apresentação dos dados de autenticação.
3 - A plataforma eletrónica deve garantir que o utilizador tem capacidade para definir as suas senhas ou códigos de acesso, gerir os seus certificados de autenticação, gerir os seus selos de validação cronológica e autenticar-se de forma segura, designadamente através do cartão do cidadão ou da chave móvel digital.
4 - Nos casos em que os dados de autenticação são criados pela plataforma eletrónica ou por um sistema exterior, a plataforma eletrónica deve garantir que na primeira utilização o utilizador é obrigado a definir novos dados de autenticação, exceto quando aquela seja feita através da interligação com os mecanismos referidos na alínea f) do n.º 1 do artigo 35.º
5 - Se for ultrapassado o número máximo de tentativas de autenticação, a plataforma eletrónica deve bloquear a conta do utilizador, que é notificado, por meio fidedigno, do procedimento estabelecido para o desbloqueio.
6 - A plataforma pode permitir o acesso dos utilizadores por método de autenticação através do nome de utilizador e senha, de acordo com o n.º 3, e deve alertar os utilizadores para o nível de segurança associado a esse método de autenticação.

  Artigo 48.º
Controlo de acessos
1 - As plataformas eletrónicas devem garantir a capacidade de controlar e limitar o acesso aos diversos recursos, identificando os utilizadores, associando o perfil às respetivas permissões e restrições.
2 - Para o efeito, as entidades gestoras de plataformas devem garantir a identificação correta e fiável dos utilizadores e do operador económico através de processo de verificação.
3 - O processo de verificação de identidade inicia-se após solicitação do operador económico, devendo a entidade gestora disponibilizar um certificado de autenticação provisório e gratuito em 24 horas, garantindo a sua conclusão com a entrega do certificado de autenticação definitivo no prazo máximo de 30 dias.
4 - O processo de verificação de identidade é dispensado para procedimentos de formação de contratos celebrados ao abrigo de acordo-quadro.
5 - As plataformas devem ter mecanismos para garantir o controlo de perfis e acesso restrito às peças concursais para os procedimentos que exigem um nível de proteção elevado e verificação dos utilizadores que podem ter acesso.
6 - As aplicações devem operar com o menor conjunto de privilégios de que necessitam para esse fim.

  Artigo 49.º
Gestão das chaves criptográficas
1 - Para a cifragem dos dados devem ser utilizados algoritmos correntes fortes e chaves fortes.
2 - A integridade das senhas deve ser controlada com técnicas hash que utilizam um algoritmo corrente forte e com técnicas salt adequadas.
3 - Todas as chaves e senhas devem estar protegidas contra qualquer acesso não autorizado.
4 - Quando as chaves assimétricas sejam emitidas pela plataforma eletrónica e para efeitos de confidencialidade, devem as mesmas ser alvo de mecanismos e procedimentos de retenção da chave privada (key escrow), com controlo multipessoal.

  Artigo 50.º
Registos de acesso
1 - Os registos de acessos devem indicar os dados da máquina de origem, da máquina de destino, do utilizador do sistema, da data e hora do evento e dos ficheiros acedidos, quando aplicável.
2 - A plataforma eletrónica deve:
a) Disponibilizar um interface amigável que permita analisar a informação constante dos registos de auditoria, com capacidade para efetuar pesquisas, pelo menos, baseado na data e hora do evento, no tipo de evento e na identidade do utilizador/processo;
b) Garantir a segurança dos dados de registo, bem como suficiente espaço para guardar esses dados;
c) Garantir que os dados de registo não podem ser automaticamente reescritos;
d) Garantir que é vedada a leitura no registo de acessos a todo e qualquer utilizador, com exceção dos que, possuindo perfil de auditores de sistemas, estejam expressamente autorizados para o efeito;
e) Gerar alarmes, designadamente, por correio eletrónico e por SMS (short message service), sempre que se detete eventual violação de segurança.
3 - No mínimo, sempre que um utilizador com perfil de administrador de segurança ou administrador de sistemas exceda o número máximo de tentativas de autenticação deve ser gerado o referido alarme para os utilizadores com o perfil de administrador de segurança.
4 - O período de retenção dos arquivos de auditoria e registo de acessos deve ser de cinco anos.
5 - As plataformas eletrónicas devem, obrigatoriamente, registar os seguintes eventos:
a) Ligar e desligar os servidores;
b) Tentativas com sucesso ou fracassadas de alteração dos parâmetros de segurança do SO;
c) Tentativas com sucesso ou fracassadas de criar, modificar, apagar contas do sistema;
d) Ligar e desligar as aplicações e sistemas utilizados pela plataforma eletrónica;
e) Tentativas com sucesso ou fracassadas de início e fim de sessão;
f) Tentativas com sucesso ou fracassadas de consulta de dados;
g) Tentativas com sucesso ou fracassadas de alteração de configurações;
h) Tentativas com sucesso ou fracassadas de modificação de dados;
i) Tentativas com sucesso ou fracassadas de criar, modificar ou apagar informação relativa às permissões;
j) Tentativas com sucesso ou fracassadas de acesso às instalações onde estão alojados os sistemas das plataformas eletrónicas;
k) Cópias de segurança, recuperação ou arquivo dos dados;
l) Alterações ou atualizações de software e hardware;
m) Manutenção do sistema.

Páginas:    
   Contactos      Índice      Links      Direitos      Privacidade  Copyright© 2001-2020 Procuradoria-Geral Distrital de Lisboa