Informação Legal

ENTRAR NA LOJA

Segurança Digital, Criptografia e Governação Técnica

  • ISO/IEC 27001
  • OWASP Top 10
  • NIST Cybersecurity Framework
  • GDPR / UE
  • NIS2 / Cybersecurity Regulation

Alinhamento com ISO/IEC 27001:2022 – Annex A

Na Subsonico, a segurança digital é tratada como um componente estrutural da arquitetura de sistemas, integrando engenharia de segurança, governação da informação e gestão contínua do risco.
 O website e os serviços digitais associados são concebidos e operados segundo princípios de secure-by-design, defense in depth e least privilege, alinhados com standards internacionais reconhecidos, nomeadamente a ISO / IEC 27001:2022, OWASP e NIST Cybersecurity Framework.

A implementação técnica visa garantir confidencialidade, integridade, disponibilidade, autenticidade e resiliência operacional, conforme exigido em ambientes empresariais e institucionais de elevada exigência.

1. Criptografia, TLS e Segurança das Comunicações

(ISO/IEC 27001:2022 – Annex A: 8.20, 8.21, 8.22, 8.24)

Todas as comunicações entre utilizadores e os sistemas da Subsonico são protegidas através de criptografia forte em trânsito, assegurando proteção contra interseção, manipulação e ataques man-in-the-middle (MITM).

Medidas técnicas implementadas

  • Utilização obrigatória de TLS (Transport Layer Security) em todas as comunicações externas
  • Exclusão explícita de protocolos e algoritmos criptográficos obsoletos
  • Preferência por cipher suites modernas e seguras, alinhadas com recomendações atuais da indústria
  • Validação rigorosa de certificados digitais e cadeias de confiança
  • Proteção contra ataques de downgrade criptográfico

HTTP Strict Transport Security (HSTS)

É aplicada a política HSTS, forçando o uso exclusivo de HTTPS e prevenindo acessos não cifrados, reforçando a confidencialidade e integridade das comunicações desde o primeiro contacto.

Controlos ISO suportados:

  • 8.20 – Network security
  • 8.21 – Security of network services
  • 8.22 – Segregation of networks
  • 8.24 – Use of cryptography

2. Segurança ao Nível da Aplicação (Application Security)

(ISO/IEC 27001:2022 – Annex A: 8.19, 8.25, 8.26)

A camada aplicacional é desenvolvida e configurada de acordo com princípios de Secure Software Development Lifecycle (SSDLC) e Secure System Engineering, com foco na mitigação de vulnerabilidades comuns e redução da superfície de ataque.

Content Security Policy (CSP)

Implementação de Content Security Policy restritiva, permitindo:

  • Controlo rigoroso das origens autorizadas de scripts, estilos e recursos
  • Mitigação eficaz de Cross-Site Scripting (XSS)
  • Redução de riscos associados a execução de conteúdo injetado

X-Frame-Options

Configuração do cabeçalho X-Frame-Options para impedir clickjacking e carregamento não autorizado em iframes de terceiros.

Proteção contra XSS

  • Validação e saneamento rigoroso de inputs
  • Encoding apropriado de outputs
  • Restrições de execução impostas via CSP
  • Aplicação de cabeçalhos de proteção adicionais quando aplicável

Estas práticas estão alinhadas com as recomendações do OWASP Top 10.

Controlos ISO suportados:

  • 8.19 – Secure development lifecycle
  • 8.25 – Secure system engineering principles
  • 8.26 – Application security requirements

3. Segurança do Domínio e Comunicações Eletrónicas

(ISO/IEC 27001:2022 – Annex A: 8.20, 8.22, 5.10)

O domínio e as comunicações eletrónicas associadas são protegidos através de mecanismos standard de Email Security Governance, garantindo autenticidade da origem e integridade das mensagens.

Mecanismos implementados

  • SPF – validação de servidores autorizados a enviar mensagens em nome do domínio
  • DKIM – assinatura criptográfica das mensagens, garantindo integridade e autenticidade
  • DMARC – definição, monitorização e aplicação de políticas de autenticação

Estes mecanismos reduzem significativamente o risco de spoofing, impersonação e abuso de domínio.

Controlos ISO suportados:

  • 8.20 – Network security
  • 8.22 – Segregation of networks
  • 5.10 – Acceptable use of information and associated assets

4. Controlo de Acesso e Proteção de Dados

(ISO/IEC 27001:2022 – Annex A: 5.15, 5.16, 5.17, 5.34)

A proteção de dados e da informação sensível é assegurada através de controlos técnicos e organizacionais adequados, incluindo:

  • Aplicação rigorosa dos princípios de least privilege e need-to-know
  • Controlo lógico de acessos a funcionalidades administrativas
  • Minimização da exposição e persistência de dados
  • Proteção de dados sensíveis através de hashing e cifragem quando aplicável

Estas práticas suportam requisitos de Data Protection by Design and by Default.

Controlos ISO suportados:

  • 5.15 – Access control
  • 5.16 – Identity management
  • 5.17 – Authentication information
  • 5.34 – Privacy and protection of PII

5. Monitorização, Logging e Gestão de Incidentes

(ISO/IEC 27001:2022 – Annex A: 8.15, 5.24, 5.25, 5.26)

São implementados mecanismos contínuos de monitorização, logging e análise de eventos, permitindo:

  • Deteção precoce de atividades anómalas ou maliciosas
  • Rastreabilidade técnica de eventos relevantes
  • Suporte a processos formais de resposta a incidentes
  • Análise pós-incidente e melhoria contínua dos controlos

Controlos ISO suportados:

  • 8.15 – Logging
  • 5.24 – Information security incident management planning
  • 5.25 – Assessment and decision on information security events
  • 5.26 – Response to information security incidents

6. Conformidade Legal e Enquadramento Europeu

(ISO/IEC 27001:2022 – Annex A: 5.31, 5.34)

As práticas adotadas estão alinhadas com o enquadramento legal europeu aplicável à segurança da informação e proteção de dados, incluindo:

  • RGPD (UE 2016/679) – integridade, confidencialidade e responsabilização
  • Diretiva NIS / NIS2 – gestão de risco e resiliência operacional
  • Regulamento eIDAS – confiança nas comunicações eletrónicas

Controlos ISO suportados:

  • 5.31 – Legal, statutory, regulatory and contractual requirements
  • 5.34 – Privacy and protection of PII

7. Postura de Segurança e Melhoria Contínua

(ISO/IEC 27001:2022 – Annex A: 5.27, 5.36)

A segurança digital é tratada como um processo contínuo e evolutivo. Políticas, configurações e controlos técnicos são revistos regularmente, considerando a evolução das ameaças, vulnerabilidades conhecidas e recomendações da indústria.

Controlos ISO suportados:

  • 5.27 – Learning from information security incidents
  • 5.36 – Compliance with policies, rules and standards

Compromisso Técnico

A implementação destas medidas demonstra uma abordagem técnica madura e alinhada com os controlos do ISO/IEC 27001:2022 – Annex A, assegurando que o website e os serviços digitais da Subsonico cumprem elevados requisitos de segurança, integridade, disponibilidade, autenticidade e confiança, adequados a ambientes empresariais, tecnológicos e institucionais exigentes.

Nota Legal 
As referências a normas, frameworks e requisitos legais são utilizadas exclusivamente para indicar alinhamento com boas práticas técnicas e regulatórias. Não é declarada qualquer certificação formal, acreditação ou aprovação por entidades normativas ou reguladoras, salvo indicação expressa em contrário.