|
Lei n.º 96/2015, de 17 de Agosto REGULA A DISPONIBILIZAÇÃO E A UTILIZAÇÃO DAS PLATAFORMAS ELETRÓNICAS DE CONTRATAÇÃO PÚBLICA(versão actualizada) O diploma ainda não sofreu alterações |
|
| SUMÁRIO Regula a disponibilização e a utilização das plataformas eletrónicas de contratação pública e transpõe o artigo 29.º da Diretiva 2014/23/UE, o artigo 22.º e o anexo IV da Diretiva 2014/24/UE e o artigo 40.º e o anexo V da Diretiva 2014/25/CE, do Parlamento Europeu e do Conselho, de 26 de fevereiro de 2014, revogando o Decreto-Lei n.º 143-A/2008, de 25 de julho _____________________ |
|
Artigo 48.º
Controlo de acessos |
1 - As plataformas eletrónicas devem garantir a capacidade de controlar e limitar o acesso aos diversos recursos, identificando os utilizadores, associando o perfil às respetivas permissões e restrições.
2 - Para o efeito, as entidades gestoras de plataformas devem garantir a identificação correta e fiável dos utilizadores e do operador económico através de processo de verificação.
3 - O processo de verificação de identidade inicia-se após solicitação do operador económico, devendo a entidade gestora disponibilizar um certificado de autenticação provisório e gratuito em 24 horas, garantindo a sua conclusão com a entrega do certificado de autenticação definitivo no prazo máximo de 30 dias.
4 - O processo de verificação de identidade é dispensado para procedimentos de formação de contratos celebrados ao abrigo de acordo-quadro.
5 - As plataformas devem ter mecanismos para garantir o controlo de perfis e acesso restrito às peças concursais para os procedimentos que exigem um nível de proteção elevado e verificação dos utilizadores que podem ter acesso.
6 - As aplicações devem operar com o menor conjunto de privilégios de que necessitam para esse fim. |
| |
|
|
|
|
Artigo 49.º
Gestão das chaves criptográficas |
1 - Para a cifragem dos dados devem ser utilizados algoritmos correntes fortes e chaves fortes.
2 - A integridade das senhas deve ser controlada com técnicas hash que utilizam um algoritmo corrente forte e com técnicas salt adequadas.
3 - Todas as chaves e senhas devem estar protegidas contra qualquer acesso não autorizado.
4 - Quando as chaves assimétricas sejam emitidas pela plataforma eletrónica e para efeitos de confidencialidade, devem as mesmas ser alvo de mecanismos e procedimentos de retenção da chave privada (key escrow), com controlo multipessoal. |
| |
|
|
|
|
Artigo 50.º
Registos de acesso |
1 - Os registos de acessos devem indicar os dados da máquina de origem, da máquina de destino, do utilizador do sistema, da data e hora do evento e dos ficheiros acedidos, quando aplicável.
2 - A plataforma eletrónica deve:
a) Disponibilizar um interface amigável que permita analisar a informação constante dos registos de auditoria, com capacidade para efetuar pesquisas, pelo menos, baseado na data e hora do evento, no tipo de evento e na identidade do utilizador/processo;
b) Garantir a segurança dos dados de registo, bem como suficiente espaço para guardar esses dados;
c) Garantir que os dados de registo não podem ser automaticamente reescritos;
d) Garantir que é vedada a leitura no registo de acessos a todo e qualquer utilizador, com exceção dos que, possuindo perfil de auditores de sistemas, estejam expressamente autorizados para o efeito;
e) Gerar alarmes, designadamente, por correio eletrónico e por SMS (short message service), sempre que se detete eventual violação de segurança.
3 - No mínimo, sempre que um utilizador com perfil de administrador de segurança ou administrador de sistemas exceda o número máximo de tentativas de autenticação deve ser gerado o referido alarme para os utilizadores com o perfil de administrador de segurança.
4 - O período de retenção dos arquivos de auditoria e registo de acessos deve ser de cinco anos.
5 - As plataformas eletrónicas devem, obrigatoriamente, registar os seguintes eventos:
a) Ligar e desligar os servidores;
b) Tentativas com sucesso ou fracassadas de alteração dos parâmetros de segurança do SO;
c) Tentativas com sucesso ou fracassadas de criar, modificar, apagar contas do sistema;
d) Ligar e desligar as aplicações e sistemas utilizados pela plataforma eletrónica;
e) Tentativas com sucesso ou fracassadas de início e fim de sessão;
f) Tentativas com sucesso ou fracassadas de consulta de dados;
g) Tentativas com sucesso ou fracassadas de alteração de configurações;
h) Tentativas com sucesso ou fracassadas de modificação de dados;
i) Tentativas com sucesso ou fracassadas de criar, modificar ou apagar informação relativa às permissões;
j) Tentativas com sucesso ou fracassadas de acesso às instalações onde estão alojados os sistemas das plataformas eletrónicas;
k) Cópias de segurança, recuperação ou arquivo dos dados;
l) Alterações ou atualizações de software e hardware;
m) Manutenção do sistema. |
| |
|
|
|
|
1 - As plataformas eletrónicas devem garantir que conseguem gerar arquivos em suporte lógico adequado.
2 - As plataformas eletrónicas devem garantir a guarda e o processamento dos arquivos de modo a poderem vir a constituir-se como meio de prova.
3 - Os registos de acesso e toda a documentação relativa aos procedimentos de formação de contratos públicos devem ser arquivados.
4 - As plataformas eletrónicas devem garantir a manutenção e o arquivo dos registos de utilização e acesso dos documentos nela carregados.
5 - O registo dos arquivos de auditoria deve ser realizado de preferência em texto com codificação UTF-8 (unicode transformation format) e exportável.
6 - Os arquivos devem ser armazenados e organizados de forma sequencial, diariamente, sendo assinados eletronicamente e com aposição de selo temporal emitido por uma entidade certificadora que preste serviços de validação cronológica.
7 - A plataforma eletrónica deve garantir, do ponto de vista tecnológico, que a destruição de um arquivo só pode ser levado a cabo com a autorização expressa por escrito do administrador de sistema, do administrador de segurança e do auditor de sistemas. |
| |
|
|
|
|
Artigo 52.º
Cópias de segurança e recuperação |
1 - A plataforma eletrónica deve incluir uma função para efetuar cópia de segurança da informação associada aos procedimentos de contratação eletrónica.
2 - Os dados guardados na cópia de segurança devem ser suficientes para recriar o estado do sistema.
3 - Um utilizador que pertença a um perfil com suficientes privilégios deve ser capaz de invocar a função de cópia de segurança.
4 - As cópias de segurança devem estar protegidas contra modificação com recursos a mecanismos de assinatura digital.
5 - As plataformas eletrónicas devem assegurar que a informação relativa a parâmetros críticos de segurança da plataforma eletrónica não está armazenada em claro, devendo ser cifrada com recurso a algoritmos correntes fortes e chaves fortes, conformes às normas internacionais, sendo a gestão de chaves parte integrante do sistema.
6 - A plataforma eletrónica deve incluir uma função para recuperação com capacidade para repor o sistema através da cópia de segurança.
7 - Um utilizador que pertença a um perfil com suficientes privilégios deve ser capaz de invocar a função de recuperação.
8 - Os registos de auditoria são considerados informação sensível, devendo ser preservados de acordo com o definido no artigo 44.º
9 - Qualquer período de tempo em que os arquivos de auditoria possam estar desativados deve ser registado no respetivo arquivo de auditoria, com indicação da data e hora de início e o registo do respetivo fim. |
| |
|
|
|
|
Artigo 53.º
Confidencialidade da informação |
1 - Nas diferentes fases do procedimento, o acesso aos documentos que constituem as candidaturas, as soluções e as propostas só deve ser possível na data fixada nos termos das regras do procedimento.
2 - Os documentos que constituem as candidaturas, as soluções e as propostas carregados nas plataformas eletrónicas devem ser encriptados com recurso a técnicas de criptografia assimétrica.
3 - Para cada procedimento as plataformas eletrónicas devem emitir um certificado próprio e único que permite a encriptação de documentos.
4 - A entidade adjudicante pode disponibilizar um certificado próprio para a encriptação no âmbito do seu procedimento.
5 - A plataforma eletrónica deve garantir que todos os documentos que constituem as candidaturas, as soluções e as propostas são cifrados com recurso ao certificado referido no n.º 3 ou no número anterior.
6 - Nos casos referidos no n.º 3, quando emitidos, os certificados são alvo de procedimentos de retenção da chave privada (key escrow), com controlo multipessoal de duas das três seguintes funções: administrador de sistemas, administrador de segurança e auditor de segurança.
7 - As plataformas eletrónicas devem assegurar a custódia de chaves privadas e atribuir acesso às mesmas aos membros do júri ou, caso este não exista, a um utilizador da entidade adjudicante devidamente autorizado, para efeitos da desencriptação dos documentos.
8 - A plataforma eletrónica deve garantir que o acesso à chave privada referido no número anterior é efetuado de forma automatizada, não podendo ser conhecido o segredo de acesso à chave privada por qualquer pessoa ou entidade, incluindo a entidade gestora, que não os membros do júri ou, caso este não exista, um utilizador da entidade adjudicante devidamente autorizado.
9 - As plataformas eletrónicas devem disponibilizar aos interessados os programas e aplicações que permitem utilizar certificados digitais para cifrar os documentos.
10 - A circunstância de os documentos serem encriptados não dispensa os interessados do requerimento de classificação de documentos a que alude o n.º 1 do artigo 66.º do CCP para efeitos de restrição ou de limitação do acesso aos mesmos para salvaguarda de direitos do interessado.
11 - Nos casos referidos no número anterior, a plataforma eletrónica deve garantir que os documentos cuja classificação tenha sido autorizada pela entidade adjudicante apenas sejam visíveis pelos membros do júri, sem prejuízo do disposto no n.º 4 do artigo 66.º do CCP. |
| |
|
|
|
|
Artigo 54.º
Assinaturas electrónicas |
1 - Os documentos submetidos na plataforma eletrónica, pelas entidades adjudicantes e pelos operadores económicos, devem ser assinados com recurso a assinatura eletrónica qualificada, nos termos dos n.os 2 a 6.
2 - Os documentos elaborados ou preenchidos pelas entidades adjudicantes ou pelos operadores económicos devem ser assinados com recurso a certificados qualificados de assinatura eletrónica próprios ou dos seus representantes legais.
3 - Os documentos eletrónicos emitidos por entidades terceiras competentes para a sua emissão, designadamente, certidões, certificados ou atestados, devem ser assinados com recurso a certificados qualificados de assinatura eletrónica das entidades competentes ou dos seus titulares, não carecendo de nova assinatura por parte das entidades adjudicantes ou do operador económico que os submetem.
4 - Os documentos que sejam cópias eletrónicas de documentos físicos originais emitidos por entidades terceiras, podem ser assinados com recurso a certificados qualificados de assinatura eletrónica da entidade adjudicante ou do operador económico que o submete, atestando a sua conformidade com o documento original.
5 - Nos documentos eletrónicos cujo conteúdo não seja suscetível de representação como declaração escrita, incluindo os que exijam processamento informático para serem convertidos em representação como declaração escrita, designadamente, processos de compressão, descompressão, agregação e desagregação, a aposição de uma assinatura eletrónica qualificada deve ocorrer em cada um dos documentos eletrónicos que os constituem, assegurando-lhes dessa forma a força probatória de documento particular assinado, nos termos do artigo 376.º do Código Civil e do n.º 2 do artigo 3.º do Decreto-Lei n.º 290-D/99, de 2 de agosto, alterado e republicado pelo Decreto-Lei n.º 88/2009, de 9 de abril, sob pena de causa de exclusão da proposta nos termos do artigo 146.º do Código dos Contratos Públicos.
6 - No caso de entidades que devam utilizar assinaturas eletrónicas emitidas por entidades certificadoras integradas no Sistema de Certificação Eletrónica do Estado, o nível de segurança exigido é o que consta do Decreto-Lei n.º 116-A/2006, de 16 de junho, alterado e republicado pelo Decreto-Lei n.º 161/2012, de 31 de julho.
7 - Nos casos em que o certificado digital não possa relacionar o assinante com a sua função e poder de assinatura, deve a entidade interessada submeter à plataforma eletrónica um documento eletrónico oficial indicando o poder de representação e a assinatura do assinante.
8 - Sempre que solicitado pelas entidades adjudicantes ou pelos operadores económicos, as plataformas eletrónicas devem garantir, no prazo máximo de cinco dias úteis, a integração de novos fornecedores de certificados digitais qualificados.
9 - As plataformas eletrónicas devem garantir que a validação dos certificados é feita com recurso à cadeia de certificação completa. |
| |
|
|
|
|
Artigo 55.º
Validação cronológica |
1 - Todos os documentos submetidos nas plataformas eletrónicas, bem como todos os atos que, nos termos do CCP, devem ser praticados dentro de um determinado prazo, são sujeitos à aposição de selos temporais emitidos por uma entidade certificadora credenciada para a prestação de serviços de validação cronológica.
2 - Para efeitos do disposto no número anterior, os atos sujeitos à aposição de selos temporais são os seguintes:
a) Os esclarecimentos solicitados pelos interessados, convidados ou candidatos;
b) Os esclarecimentos prestados pela entidade adjudicante;
c) As retificações efetuadas pela entidade adjudicante;
d) A apresentação de lista de erros e omissões;
e) A aceitação ou rejeição dos erros e omissões pela entidade adjudicante;
f) A submissão de candidaturas, propostas e soluções;
g) A notificação para audiência prévia;
h) A pronúncia de candidato ou concorrente em sede de audiência prévia;
i) A decisão de adjudicação;
j) A notificação da minuta do contrato;
k) A aceitação expressa ou reclamação à minuta do contrato;
l) A apresentação dos documentos de habilitação;
m) A apresentação de comprovativo da prestação de caução;
n) A apresentação de reclamações e impugnações;
o) A notificação para audiência de contrainteressados.
3 - As plataformas eletrónicas devem guardar e associar ao procedimento todos os selos temporais originados pelos documentos ou transações.
4 - Sempre que solicitado pelas entidades adjudicantes ou pelos operadores económicos, as plataformas eletrónicas devem garantir, no prazo máximo de cinco dias úteis, a integração de novos prestadores de serviços de validação cronológica.
5 - Decorrido o prazo definido no número anterior, a entidade gestora da plataforma eletrónica deve assegurar todos os custos relacionados com a validação cronológica. |
| |
|
|
|
|
Artigo 56.º
Lista de serviços de certificação eletrónica de confiança |
1 - As plataformas eletrónicas devem garantir a compatibilidade com mecanismos para validação da habilitação dos fornecedores de serviços de certificação eletrónica qualificados, requeridos no âmbito da presente lei, nomeadamente, a capacidade de interpretação das Trusted-Status Services List (TSL) de todos os Estados membros e da Comissão Europeia, segundo a norma ETSI TS 119 612, na versão mais recente.
2 - Nos casos em que através da interpretação da TSL resultar alguma não conformidade sobre a habilitação do prestador de serviços de certificação eletrónica, a plataforma deve apenas fornecer tal informação, não podendo ser feita de forma automática a exclusão de qualquer proposta. |
| |
|
|
|
|
Artigo 57.º
Autenticação de utilizadores na plataforma electrónica |
1 - A identificação dos utilizadores perante as plataformas eletrónicas efetua-se mediante a utilização de nome de utilizador e da palavra-chave, podendo ainda ser utilizados certificados digitais próprios ou certificados disponibilizados pelas plataformas eletrónicas, bem como o cartão de cidadão ou a chave móvel digital referidos na alínea f) do n.º 1 do artigo 35.º
2 - No caso de entidades que devem utilizar assinaturas eletrónicas emitidas por entidades certificadoras integradas no Sistema de Certificação Eletrónica do Estado, o nível de segurança exigido é o que consta do Decreto-Lei n.º 116-A/2006, de 16 de junho, alterado e republicado pelo Decreto-Lei n.º 161/2012, de 31 de julho.
3 - O mecanismo de validação de certificados dos utilizadores é efetuado tendo por base o certificado e a respetiva cadeia de certificação completa.
4 - As plataformas eletrónicas devem garantir a integração com o Sistema de Certificação de Atributos Profissionais. |
| |
|
|
|
|
Artigo 58.º
Preservação digital |
As plataformas eletrónicas devem, relativamente aos documentos que estejam sob a sua custódia:
a) Cumprir as normas, standards e procedimentos de arquivo para garantir a preservação digital e a interoperabilidade;
b) Garantir a preservação das assinaturas eletrónicas utilizadas nos diversos procedimentos;
c) Implementar mecanismos tecnológicos para preservação, armazenamento, indexação e recuperação dos arquivos;
d) Garantir que a informação respeitante a cada procedimento pode ser exportada em formatos normalizados para efeitos de preservação;
e) Disponibilizar os registos de acessos por parte dos interessados, concorrentes e adjudicatários, bem como todos os outros utilizadores do sistema;
f) Disponibilizar os seus arquivos de registos de acessos à entidade adjudicante, sempre que esta o solicite, e também para efeito de auditorias externas. |
| |
|
|
|
|
Ver
índice sistemático do diploma
Imprimir todo o diploma
Contactos