Lei n.º 96/2015, de 17 de Agosto
  REGULA A DISPONIBILIZAÇÃO E A UTILIZAÇÃO DAS PLATAFORMAS ELETRÓNICAS DE CONTRATAÇÃO PÚBLICA(versão actualizada)
O diploma ainda não sofreu alterações

       
Procurar no presente diploma:
A expressão exacta

Ir para o art.:
 Todos
      Nº de artigos :  11      


 Ver índice sistemático do diploma Abre  janela autónoma para impressão mais amigável  Imprimir todo o diploma
SUMÁRIO
Regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva 2014/24/UE e o artigo 40.º e o anexo V da Diretiva 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, revogando o Decreto-Lei n.º 143-A/2008, de 25 de julho
_____________________
  Artigo 44.º
Segurança de rede
1 - A ligação da plataforma eletrónica à Internet deve ser protegida por um sistema de proteção de fronteira.
2 - Todo o tráfego destinado à plataforma eletrónica deve ser inspecionado e registado.
3 - As regras do sistema de proteção de fronteira devem rejeitar o tráfego que não é necessário à utilização e à administração segura do sistema.
4 - A plataforma eletrónica deve estar alojada num segmento da rede de produção devidamente protegido, separado de eventuais segmentos utilizados para alojar sistemas que não são de produção, como ambientes de desenvolvimento ou de testes.
5 - A rede local (LAN) deve cumprir, no mínimo, as seguintes medidas de segurança:
a) Lista de acesso Layer 2/ segurança dos portos (port switch);
b) Os portos não utilizados/necessários devem ser desativados;
c) A DMZ (demilitarized zone) deve encontrar-se numa rede local virtual (VLAN) ou LAN própria;
d) Não devem estar ativas interligações (trunking) L2 em portas desnecessárias.

  Artigo 45.º
Tratamento dos dados pessoais e livre circulação
O tratamento de informação, pelas plataformas eletrónicas, que contenha dados pessoais, implica a notificação prévia da Comissão Nacional de Proteção de Dados, nos termos previstos na Lei de Proteção de Dados Pessoais.

  Artigo 46.º
Segurança física
Sem prejuízo dos controlos de segurança identificados e implementados, com base nos requisitos da ISO/IEC 27001, os sistemas que compõem a plataforma eletrónica devem estar devidamente protegidos em zona segura, com acesso restrito e controlado por sistemas de controlo de acessos e dentro dessa zona, no mínimo, instalado num bastidor seguro.

  Artigo 47.º
Identificação e autenticação
1 - A plataforma eletrónica deve garantir a existência de uma conta individual por utilizador e que os dados de autenticação são únicos.
2 - Sempre que o utilizador sai da sua conta (logout), para voltar a entrar a plataforma eletrónica deve requerer novamente a apresentação dos dados de autenticação.
3 - A plataforma eletrónica deve garantir que o utilizador tem capacidade para definir as suas senhas ou códigos de acesso, gerir os seus certificados de autenticação, gerir os seus selos de validação cronológica e autenticar-se de forma segura, designadamente através do cartão do cidadão ou da chave móvel digital.
4 - Nos casos em que os dados de autenticação são criados pela plataforma eletrónica ou por um sistema exterior, a plataforma eletrónica deve garantir que na primeira utilização o utilizador é obrigado a definir novos dados de autenticação, exceto quando aquela seja feita através da interligação com os mecanismos referidos na alínea f) do n.º 1 do artigo 35.º
5 - Se for ultrapassado o número máximo de tentativas de autenticação, a plataforma eletrónica deve bloquear a conta do utilizador, que é notificado, por meio fidedigno, do procedimento estabelecido para o desbloqueio.
6 - A plataforma pode permitir o acesso dos utilizadores por método de autenticação através do nome de utilizador e senha, de acordo com o n.º 3, e deve alertar os utilizadores para o nível de segurança associado a esse método de autenticação.

  Artigo 48.º
Controlo de acessos
1 - As plataformas eletrónicas devem garantir a capacidade de controlar e limitar o acesso aos diversos recursos, identificando os utilizadores, associando o perfil às respetivas permissões e restrições.
2 - Para o efeito, as entidades gestoras de plataformas devem garantir a identificação correta e fiável dos utilizadores e do operador económico através de processo de verificação.
3 - O processo de verificação de identidade inicia-se após solicitação do operador económico, devendo a entidade gestora disponibilizar um certificado de autenticação provisório e gratuito em 24 horas, garantindo a sua conclusão com a entrega do certificado de autenticação definitivo no prazo máximo de 30 dias.
4 - O processo de verificação de identidade é dispensado para procedimentos de formação de contratos celebrados ao abrigo de acordo-quadro.
5 - As plataformas devem ter mecanismos para garantir o controlo de perfis e acesso restrito às peças concursais para os procedimentos que exigem um nível de proteção elevado e verificação dos utilizadores que podem ter acesso.
6 - As aplicações devem operar com o menor conjunto de privilégios de que necessitam para esse fim.

  Artigo 49.º
Gestão das chaves criptográficas
1 - Para a cifragem dos dados devem ser utilizados algoritmos correntes fortes e chaves fortes.
2 - A integridade das senhas deve ser controlada com técnicas hash que utilizam um algoritmo corrente forte e com técnicas salt adequadas.
3 - Todas as chaves e senhas devem estar protegidas contra qualquer acesso não autorizado.
4 - Quando as chaves assimétricas sejam emitidas pela plataforma eletrónica e para efeitos de confidencialidade, devem as mesmas ser alvo de mecanismos e procedimentos de retenção da chave privada (key escrow), com controlo multipessoal.

  Artigo 50.º
Registos de acesso
1 - Os registos de acessos devem indicar os dados da máquina de origem, da máquina de destino, do utilizador do sistema, da data e hora do evento e dos ficheiros acedidos, quando aplicável.
2 - A plataforma eletrónica deve:
a) Disponibilizar um interface amigável que permita analisar a informação constante dos registos de auditoria, com capacidade para efetuar pesquisas, pelo menos, baseado na data e hora do evento, no tipo de evento e na identidade do utilizador/processo;
b) Garantir a segurança dos dados de registo, bem como suficiente espaço para guardar esses dados;
c) Garantir que os dados de registo não podem ser automaticamente reescritos;
d) Garantir que é vedada a leitura no registo de acessos a todo e qualquer utilizador, com exceção dos que, possuindo perfil de auditores de sistemas, estejam expressamente autorizados para o efeito;
e) Gerar alarmes, designadamente, por correio eletrónico e por SMS (short message service), sempre que se detete eventual violação de segurança.
3 - No mínimo, sempre que um utilizador com perfil de administrador de segurança ou administrador de sistemas exceda o número máximo de tentativas de autenticação deve ser gerado o referido alarme para os utilizadores com o perfil de administrador de segurança.
4 - O período de retenção dos arquivos de auditoria e registo de acessos deve ser de cinco anos.
5 - As plataformas eletrónicas devem, obrigatoriamente, registar os seguintes eventos:
a) Ligar e desligar os servidores;
b) Tentativas com sucesso ou fracassadas de alteração dos parâmetros de segurança do SO;
c) Tentativas com sucesso ou fracassadas de criar, modificar, apagar contas do sistema;
d) Ligar e desligar as aplicações e sistemas utilizados pela plataforma eletrónica;
e) Tentativas com sucesso ou fracassadas de início e fim de sessão;
f) Tentativas com sucesso ou fracassadas de consulta de dados;
g) Tentativas com sucesso ou fracassadas de alteração de configurações;
h) Tentativas com sucesso ou fracassadas de modificação de dados;
i) Tentativas com sucesso ou fracassadas de criar, modificar ou apagar informação relativa às permissões;
j) Tentativas com sucesso ou fracassadas de acesso às instalações onde estão alojados os sistemas das plataformas eletrónicas;
k) Cópias de segurança, recuperação ou arquivo dos dados;
l) Alterações ou atualizações de software e hardware;
m) Manutenção do sistema.

  Artigo 51.º
Arquivo
1 - As plataformas eletrónicas devem garantir que conseguem gerar arquivos em suporte lógico adequado.
2 - As plataformas eletrónicas devem garantir a guarda e o processamento dos arquivos de modo a poderem vir a constituir-se como meio de prova.
3 - Os registos de acesso e toda a documentação relativa aos procedimentos de formação de contratos públicos devem ser arquivados.
4 - As plataformas eletrónicas devem garantir a manutenção e o arquivo dos registos de utilização e acesso dos documentos nela carregados.
5 - O registo dos arquivos de auditoria deve ser realizado de preferência em texto com codificação UTF-8 (unicode transformation format) e exportável.
6 - Os arquivos devem ser armazenados e organizados de forma sequencial, diariamente, sendo assinados eletronicamente e com aposição de selo temporal emitido por uma entidade certificadora que preste serviços de validação cronológica.
7 - A plataforma eletrónica deve garantir, do ponto de vista tecnológico, que a destruição de um arquivo só pode ser levado a cabo com a autorização expressa por escrito do administrador de sistema, do administrador de segurança e do auditor de sistemas.

  Artigo 52.º
Cópias de segurança e recuperação
1 - A plataforma eletrónica deve incluir uma função para efetuar cópia de segurança da informação associada aos procedimentos de contratação eletrónica.
2 - Os dados guardados na cópia de segurança devem ser suficientes para recriar o estado do sistema.
3 - Um utilizador que pertença a um perfil com suficientes privilégios deve ser capaz de invocar a função de cópia de segurança.
4 - As cópias de segurança devem estar protegidas contra modificação com recursos a mecanismos de assinatura digital.
5 - As plataformas eletrónicas devem assegurar que a informação relativa a parâmetros críticos de segurança da plataforma eletrónica não está armazenada em claro, devendo ser cifrada com recurso a algoritmos correntes fortes e chaves fortes, conformes às normas internacionais, sendo a gestão de chaves parte integrante do sistema.
6 - A plataforma eletrónica deve incluir uma função para recuperação com capacidade para repor o sistema através da cópia de segurança.
7 - Um utilizador que pertença a um perfil com suficientes privilégios deve ser capaz de invocar a função de recuperação.
8 - Os registos de auditoria são considerados informação sensível, devendo ser preservados de acordo com o definido no artigo 44.º
9 - Qualquer período de tempo em que os arquivos de auditoria possam estar desativados deve ser registado no respetivo arquivo de auditoria, com indicação da data e hora de início e o registo do respetivo fim.

  Artigo 53.º
Confidencialidade da informação
1 - Nas diferentes fases do procedimento, o acesso aos documentos que constituem as candidaturas, as soluções e as propostas só deve ser possível na data fixada nos termos das regras do procedimento.
2 - Os documentos que constituem as candidaturas, as soluções e as propostas carregados nas plataformas eletrónicas devem ser encriptados com recurso a técnicas de criptografia assimétrica.
3 - Para cada procedimento as plataformas eletrónicas devem emitir um certificado próprio e único que permite a encriptação de documentos.
4 - A entidade adjudicante pode disponibilizar um certificado próprio para a encriptação no âmbito do seu procedimento.
5 - A plataforma eletrónica deve garantir que todos os documentos que constituem as candidaturas, as soluções e as propostas são cifrados com recurso ao certificado referido no n.º 3 ou no número anterior.
6 - Nos casos referidos no n.º 3, quando emitidos, os certificados são alvo de procedimentos de retenção da chave privada (key escrow), com controlo multipessoal de duas das três seguintes funções: administrador de sistemas, administrador de segurança e auditor de segurança.
7 - As plataformas eletrónicas devem assegurar a custódia de chaves privadas e atribuir acesso às mesmas aos membros do júri ou, caso este não exista, a um utilizador da entidade adjudicante devidamente autorizado, para efeitos da desencriptação dos documentos.
8 - A plataforma eletrónica deve garantir que o acesso à chave privada referido no número anterior é efetuado de forma automatizada, não podendo ser conhecido o segredo de acesso à chave privada por qualquer pessoa ou entidade, incluindo a entidade gestora, que não os membros do júri ou, caso este não exista, um utilizador da entidade adjudicante devidamente autorizado.
9 - As plataformas eletrónicas devem disponibilizar aos interessados os programas e aplicações que permitem utilizar certificados digitais para cifrar os documentos.
10 - A circunstância de os documentos serem encriptados não dispensa os interessados do requerimento de classificação de documentos a que alude o n.º 1 do artigo 66.º do CCP para efeitos de restrição ou de limitação do acesso aos mesmos para salvaguarda de direitos do interessado.
11 - Nos casos referidos no número anterior, a plataforma eletrónica deve garantir que os documentos cuja classificação tenha sido autorizada pela entidade adjudicante apenas sejam visíveis pelos membros do júri, sem prejuízo do disposto no n.º 4 do artigo 66.º do CCP.

  Artigo 54.º
Assinaturas electrónicas
1 - Os documentos submetidos na plataforma eletrónica, pelas entidades adjudicantes e pelos operadores económicos, devem ser assinados com recurso a assinatura eletrónica qualificada, nos termos dos n.os 2 a 6.
2 - Os documentos elaborados ou preenchidos pelas entidades adjudicantes ou pelos operadores económicos devem ser assinados com recurso a certificados qualificados de assinatura eletrónica próprios ou dos seus representantes legais.
3 - Os documentos eletrónicos emitidos por entidades terceiras competentes para a sua emissão, designadamente, certidões, certificados ou atestados, devem ser assinados com recurso a certificados qualificados de assinatura eletrónica das entidades competentes ou dos seus titulares, não carecendo de nova assinatura por parte das entidades adjudicantes ou do operador económico que os submetem.
4 - Os documentos que sejam cópias eletrónicas de documentos físicos originais emitidos por entidades terceiras, podem ser assinados com recurso a certificados qualificados de assinatura eletrónica da entidade adjudicante ou do operador económico que o submete, atestando a sua conformidade com o documento original.
5 - Nos documentos eletrónicos cujo conteúdo não seja suscetível de representação como declaração escrita, incluindo os que exijam processamento informático para serem convertidos em representação como declaração escrita, designadamente, processos de compressão, descompressão, agregação e desagregação, a aposição de uma assinatura eletrónica qualificada deve ocorrer em cada um dos documentos eletrónicos que os constituem, assegurando-lhes dessa forma a força probatória de documento particular assinado, nos termos do artigo 376.º do Código Civil e do n.º 2 do artigo 3.º do Decreto-Lei n.º 290-D/99, de 2 de agosto, alterado e republicado pelo Decreto-Lei n.º 88/2009, de 9 de abril, sob pena de causa de exclusão da proposta nos termos do artigo 146.º do Código dos Contratos Públicos.
6 - No caso de entidades que devam utilizar assinaturas eletrónicas emitidas por entidades certificadoras integradas no Sistema de Certificação Eletrónica do Estado, o nível de segurança exigido é o que consta do Decreto-Lei n.º 116-A/2006, de 16 de junho, alterado e republicado pelo Decreto-Lei n.º 161/2012, de 31 de julho.
7 - Nos casos em que o certificado digital não possa relacionar o assinante com a sua função e poder de assinatura, deve a entidade interessada submeter à plataforma eletrónica um documento eletrónico oficial indicando o poder de representação e a assinatura do assinante.
8 - Sempre que solicitado pelas entidades adjudicantes ou pelos operadores económicos, as plataformas eletrónicas devem garantir, no prazo máximo de cinco dias úteis, a integração de novos fornecedores de certificados digitais qualificados.
9 - As plataformas eletrónicas devem garantir que a validação dos certificados é feita com recurso à cadeia de certificação completa.

Páginas:    
   Contactos      Índice      Links      Direitos      Privacidade  Copyright© 2001-2024 Procuradoria-Geral Distrital de Lisboa