Transparência
Transparência Administrativa
Em cumprimento do disposto no artigo 12.º do Regime Geral de Prevenção da Corrupção, anexo ao Decreto-Lei n.º 109-E/2021, de 9 de dezembro, a Casa Pia de Lisboa, I.P. publicita a seguinte informação:
- Lei orgânica e outros diplomas habilitantes, órgãos de direção e fiscalização, estrutura orgânica e organograma.
- Documentos de enquadramento estratégico e operacional e elenco dos principais serviços prestados ao público na área de missão.
- Plano de atividades, orçamento e contas, relatório de atividades e balanço social.
- Documentos de enquadramento legal ou que comportem interpretação do direito vigente relativos às áreas de missão.
- Informação básica sobre direitos e obrigações dos cidadãos e sobre os procedimentos a observar na relação destes com a Administração Pública:
– Site institucional
– Portal de Serviços da Casa Pia de Lisboa
- Tabelas atualizadas dos preços dos bens ou serviços prestados:
– Regulamento de utilização de curta duração de espaços dos edifícios da Casa Pia de Lisboa, I.P. por terceiros.
– Quinta do Arrife – CED Francisco Margiochi - Compromissos plurianuais e pagamentos e recebimentos em atraso
- Relação dos benefícios e subvenções concedidos, com indicação do respetivo valor.
- Relação de doações, heranças, ofertas ou donativos recebidos, com indicação do respetivo valor.
- Avisos sobre os procedimentos pré-contratuais mais relevantes:
– as publicações obrigatórias constam do Portal Base dos Contratos Públicos - Avisos sobre o recrutamento de dirigentes e trabalhadores, bem como os despachos de designação dos dirigentes
- Contactos para interação com o cidadão e as empresas, incluindo formulário para reclamações e sugestões
- Publicitação no Portal ePortugal.
Canal de Denúncia
Tendo presente:
• As Recomendações do Conselho de Prevenção da Corrupção (CPC)
• A Resolução do Conselho de Ministros n.º 37/2021, de 6 de abril, que aprova a Estratégia Nacional Anticorrupção 2022-2024
• O Decreto-Lei n.º 109-E/2021, de 9 de dezembro, que cria o Mecanismo Nacional Anticorrupção (MENAC) e estabelece o Regime Geral de Prevenção da Corrupção (RGPC)
• A Lei n.º 93/2021, de 20 de dezembro, que estabelece o Regime Geral de Proteção de Denunciantes de Infrações (RGPDI)
A Casa Pia de Lisboa, I.P. (CPL, I.P.) tem implementado o Plano de Prevenção e Integridade, que agrega o Plano de Prevenção de Riscos de Corrupção e Infrações Conexas (PPRCIC) e o Código de Ética e de Conduta. A CPL, I.P. disponibiliza ainda um canal de denúncias enquanto instrumento de prevenção, deteção e sancionamento de atos de corrupção e infrações conexas, levadas a cabo contra ou através da entidade (vide n.º 1 do artigo 5.º do RGPC).
De acordo com o RGPDI:
• A pessoa singular que denuncie ou divulgue publicamente uma infração com fundamento em informações obtidas no âmbito da sua atividade profissional, independentemente da natureza desta atividade e do setor em que é exercida, é considerada denunciante (n.º 1 do artigo 5.º do RGPDI).
• Podem ser considerados denunciantes (n.º 2 do artigo 5.º do RGPDI):
a) Os trabalhadores do setor privado, social ou público;
b) Os prestadores de serviços, contratantes, subcontratantes e fornecedores, bem como quaisquer pessoas que atuem sob a sua supervisão e direção;
c) Os titulares de participações sociais e as pessoas pertencentes a órgãos de administração ou de gestão ou a órgãos fiscais ou de supervisão de pessoas coletivas, incluindo membros não executivos;
d) Voluntários e estagiários, remunerados ou não remunerados.
• As situações que são consideradas infrações estão identificadas no artigo 2.º do RGPDI. Assim, qualquer denúncia que seja apresentada fora destes domínios será arquivada, salientando-se que este canal não substitui os meios disponíveis para apresentação de reclamações e sugestões ou solicitação de informações.
• O canal de denúncia permite a apresentação e o seguimento seguros de denúncias, a fim de garantir a exaustividade, integridade e conservação da denúncia, a confidencialidade da identidade ou o anonimato dos denunciantes e a confidencialidade da identidade de terceiros mencionados na denúncia, e de impedir o acesso de pessoas não autorizadas (n.º 1 do art.º 9.º do RGPDI).
• As entidades que rececionem uma denúncia devem notificar, no prazo de 7 dias, o denunciante da receção da denúncia e comunicar ao mesmo, no prazo máximo de 3 meses, a contar da data da receção da denúncia, as medidas previstas ou adotadas para dar seguimento à denúncia (n.º 1 e n.º 3 do art.º 11.º do RGPDI).
• Caso o pretenda, o denunciante pode igualmente apresentar a sua denúncia verbalmente, solicitando, através do contacto telefónico geral dos Serviços Centrais da CPL, a marcação de reunião presencial.
Recomenda-se, antes da apresentação de denúncia, a consulta e leitura da Lei n.º 93/2021, de 20 de dezembro, que estabelece o Regime Geral de Proteção de Denunciantes de Infrações (RGPDI).
Plano de Prevenção e Integridade
Plano de Prevenção e Integridade – 2023
Relatórios de Avaliação:
- Avaliação anual do Plano de Prevenção de Riscos de Corrupção e Infrações Conexas da Casa Pia de Lisboa – 2023
- Relatório de Avaliação Intercalar à execução do Plano de Prevenção de Riscos de Corrupção e Infrações Conexas da Casa Pia de Lisboa – outubro de 2023
- Relatório de Avaliação Anual do Plano de Prevenção de Riscos de Corrupção e Infrações Conexas da Casa Pia de Lisboa – 2022
- Relatório de Avaliação Intercalar à execução do Plano de Prevenção de Riscos de Corrupção e Infrações Conexas da Casa Pia de Lisboa – outubro de 2022
- Relatório de Avaliação Anual do Plano de Prevenção de Riscos de Corrupção e Infrações Conexas da Casa Pia de Lisboa – 2021
Política de Cibersegurança em Trabalho Remoto
1. Enquadramento
O teletrabalho no quadro Europeu é definido como “uma forma de organização e/ou execução de trabalho, com recurso a tecnologias de informação, no âmbito de um contrato/relação de trabalho, onde o trabalho, que também pode ser executado nas instalações do/a empregador/a, é realizado regularmente fora dessas instalações”. Tal definição integra ainda outras áreas fundamentais a considerar no âmbito do teletrabalho, interessando para efeitos da política de boas práticas para teletrabalho/ trabalho remoto da Casa Pia de Lisboa, I.P. (CPL, I.P.) em particular, a proteção de dados, privacidade e equipamentos de trabalho, organização do trabalho, informação e comunicação. Já em contexto nacional, o Código de trabalho, no seu artigo n.º 165 identifica o teletrabalho como sendo “a prestação de trabalho em regime de subordinação jurídica do trabalhador a um empregador, em local não determinado por este, através do recurso a tecnologias de informação e comunicação”.
Tendo presente que o acesso às Tecnologias de Informação constitui um requisito essencial do teletrabalho, integrando estas a dimensão de equipamento e acesso aos sistemas, importa definir, disseminar e aplicar um conjunto de boas práticas para este efeito, que garantam a segurança dos dados, a qualidade da informação e integridade dos sistemas usados, considerando aqui as atitudes digitais, sociais e individuais de cada contexto. Cumpre ainda destacar que a Cibersegurança e a Proteção de Dados sobre Pessoas Singulares são temas intrinsecamente associados, pelo que a adoção de boas práticas em qualquer uma das áreas, certamente contribui para a elevação da outra.
“A cibersegurança refere-se a todas as práticas que procuram garantir um uso seguro do ciberespaço – ou seja, o espaço comum de quem utiliza as redes e os sistemas informáticos, como sejam os dispositivos móveis onde acedemos à Internet e às redes sociais ou os computadores que usamos nas nossas profissões. A cibersegurança está presente desde a prevenção até à reação a incidentes de segurança informática, incluindo não só a tecnologia, mas também os comportamentos necessários para o seu uso de forma adequada. Muitos dos incidentes resultam do desconhecimento sobre os melhores cuidados a ter, mas também da exploração de fragilidades dos utilizadores por parte de cibercriminosos.”
Tem sido amplamente divulgado nos media que a atividade criminal em torno do acesso indevido a dados e informações tem aumentado exponencialmente, seja na esfera privada do cidadão, seja no plano da atividade profissional, resultado naturalmente uma clara exposição de vulnerabilidade dos trabalhadores quando se encontram em trabalho remoto. Havendo já um caminho feito pela CPL, I.P. neste domínio, releva aqui assumir duas assunções irrefutáveis:
- O cibercrime estará sempre mais avançado para contornar e ultrapassar os mecanismos, estratégicas ou sistemas de reação que as organizações possam implementar para prevenção de potenciais ataques;
- O melhor sistema e estratégia de combate às tentativas de crimes de cibersegurança é a adoção de comportamentos e atitudes preventivas por cada um de nós.
O Conselho da Europa, impulsionado pelo objetivo de União Europeia em garantir um aumento da segurança das transações digitais e da proteção de dados dos cidadãos, dos Estados Membros e das Empresas, tem produzido Recomendações e Normas cada vez mais exigentes nesta esfera, atentos ao valor dos ativos das organizações e às liberdades e garantias que devem ser garantidas aos cidadãos.
2. Conceitos
- Antivírus: “Programa que monitoriza o computador ou a rede de modo a identificar tipos de software maliciosos e prevenir ou conter um incidente desse tipo.” (traduzido de NIST IR 7298 Revision 2, Glossary of Key Information Security Terms: https://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf)
- CEO Fraud: “Ocorre quando um colaborador autorizado a fazer pagamentos é ludibriado [por alguém que se faz passar pela chefia da organização] no sentido de pagar uma fatura falsa ou realizar uma transferência não autorizada da conta bancária da organização.” (traduzido de NIST IR 7298 Revision 2, Glossary of Key Information Security Terms: https://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf)
- Ciberespionagem: “Esta ameaça geralmente tem como alvo os setores industriais, as infraestruturas críticas e estratégicas em todo o mundo, incluindo entidades governamentais, transportes, provedores de telecomunicações, empresas de energia, hospitais e bancos. Foca-se na geopolítica, no roubo de segredos comerciais e de Estado, de direitos de propriedade intelectual e de informações proprietárias em campos estratégicos.” (ENISA Threat Landscape 2018 (2019): https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018)
- Data Breach: “Termo utilizado para designar um incidente resultante de uma fuga ou exposição de dados (incluindo informação sensível relacionada com organizações ou simples detalhes pessoais de indivíduos). Relaciona-se diretamente com os resultados de outras ciberameaças.” (ENISA Threat Landscape 2018 (2019): https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018)
- Deep Fake: “Falsificações profundas, vídeos falsos realizados com recurso à inteligência artificial e à aprendizagem automática.” (Desafios à Eficácia da Política de Cibersegurança da UE, TCE 2019: https://www.eca.europa.eu/Lists/ECADocuments/BRP_CYBERSECURITY/BRP_CYBERSECU-RITY_PT.pdf)
- Engenharia Social: “Ato de enganar um indivíduo no sentido de este revelar informação sensível, assim obtendo-se acesso não autorizado ou cometendo fraude, com base numa associação com este indivíduo de modo a ganhar a sua confiança.” (traduzido de NIST IR 7298 Revision 2, Glossary of Key Information Security Terms: https://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf)
- Firewall: “Porta que limita o acesso entre redes de acordo com a política de segurança local.” (traduzido de NIST IR 7298 Revision 2, Glossary of Key Information Security Terms: https://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf)
- HTTPS: “O protocolo HTTPS (Hypertext Transfer Protocol Secure) é uma variante do HTTP (Hypertext Transfer Protocol) padrão que adiciona uma camada extra de segurança aos dados enviados, através do protocolo SSL (Secure Socket Layer) ou TLS (Transport Layer Security). O HTTPS permite utilizar uma comunicação cifrada e uma conexão segura entre o utilizador e o servidor principal.” (traduzido de Techopedia: https://www.techopedia.com/definition/5361/hyper¬text-transport-protocol-secure-https)
- Insider: “A ameaça interna pode existir em todas as empresas ou organizações. Qualquer colaborador atual ou ex-colaborador, sócio ou fornecedor, que tenha, ou tenha tido, acesso aos ativos digitais da organização, pode abusar, voluntaria ou involuntariamente, desse acesso. Os três tipos mais comuns de ameaças internas são: insider malicioso, que age intencionalmente; insider negligente, que é desleixado ou não está em conformidade com as políticas e instruções de segurança; e insider comprometido, que age involuntariamente como instrumento de um atacante real.” (ENISA Threat Landscape 2018 (2019): https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018)
- Phishing: “É o mecanismo de criação de mensagens que usam técnicas de engenharia social de modo a que o alvo seja ludibriado, ‘mordendo o isco’. Mais especificamente, os atacantes tentam enganar os destinatários de e-mails ou mensagens de phishing para que estes abram anexos maliciosos, cliquem em URL inseguros, revelem as suas credenciais através de páginas de phishing aparentemente legítimas, façam transferências de dinheiro, etc.” (ENISA Threat Landscape 2018 (2019): https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2018)
- Shoulder surfing: “A prática de espiar o utilizador de uma caixa multibanco ou outro dispositivo eletrónico com o objetivo de obter um número de identificação pessoal, uma password, etc.” (traduzido de Lexico: https://www.lexico.com/definition/shoulder_surfing)
- Smishing: “Ocorre quando um telemóvel recebe um SMS de uma pessoa ou entidade falsas. O utilizador de telemóvel incauto responde a um SMS falso e visita um URL, fazendo o download inadvertido de software malicioso e instalando um trojan sem o seu conhecimento. O phishing procura extrair informação útil, por isso, no caso do phishing através de SMS [smishing], o trojan recolhe a informação armazenada no telemóvel e transmite-a à pessoa que o criou.” (traduzido de Techopedia: https://www.techopedia.com/definition/24898/sms-phishing)
- Software malicioso: Programa que é introduzido num sistema, geralmente de forma encoberta, com a intenção de comprometer a confidencialidade, a integridade ou a disponibilidade dos dados da vítima, de aplicações ou do sistema operativo, ou perturbando a vítima.” (traduzido de NIST IR 7298 Revision 2, Glossary of Key Information Security Terms: https://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf)
- Vishing: “Uso de mensagens de voz para roubar identidades e recursos financeiros. O termo resulta da combinação de voice e phishing.” (traduzido de Techopedia: https://www.techopedia.com/definition/4159/vishing)
- VPN (Virtual Private Network): “Uma rede virtual, sobreposta às redes físicas existentes, que providencia comunicações seguras em túnel para dados e outras informações transmitidas entre redes.” (traduzido de NIST IR 7298 Revision 2, Glossary of Key Information Security Terms: https://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf)
3. Atitude Pessoal e Social
Conhecer as ameaças existentes no ambiente digital, permite reduzir as vulnerabilidades que podem potenciar riscos para a organização, pelo que se recomenda:
- Adote palavra-passe distinta para acesso a contas ou sites/sistemas pessoais, dos sistemas e contextos profissionais, alterando-as com regularidade;
- Não partilhe, nem deixe expostas as suas palavra-passe para outros membros da equipa;
- Não trate de questões pessoais através da conta de endereço eletrónico do seu trabalho, nem registe nos equipamentos da CPL,I.P. informação pessoal;
- Não partilhe os equipamentos cedidos pela CPL,I.P. com familiares nem amigos;
- Não partilhe informação profissional nas redes sociais;
- Não transporte para fora da CPL,I.P. documentação física ou digital que seja acessível por terceiros não legitimados;
- Sempre que um espaço de trabalho ou equipamento informático é de utilização comum, não deixe informação acessível a pessoas não legitimadas;
- Não registe fora dos sistemas da CPL, I.P. informação de caráter confidencial relativa a crianças/ jovens, famílias ou trabalhadores;
- Quando sai ou altera as suas funções na CPL,I.P., com impacto no âmbito e contexto do seu papel profissional, recorde a sua hierarquia da necessidade de informar o responsável dos sistemas de informação sobre o cancelamento ou alteração das suas permissões ou perfil de acesso, devolva os equipamentos que lhe foram atribuídos pela organização, assim como os cartões ou credenciais que o identificam como trabalhador da CPL,I.P.
4. Atitude Digital
- Use apenas pens USB confiáveis;
- Ative o bloqueio automático dos dispositivos móveis e use PIN ou palavra-passe para reentrar;
- Feche sempre a sessão dos sistemas quando já não precisa de os usar e bloqueie o ecrã quando se ausenta;
- Evite usar o Wi-Fi de espaços públicos e utilize sempre a VPN da sua organização;
- Navegue sempre em websites HTTPS;
- Não deixe acessível no ambiente de trabalho do seu equipamento dados e informações sobre os trabalhos em execução;
- Altere as suas palavras-passe sempre que usou os seus equipamentos em locais invulgares (P.exp, Congressos ou Seminários em contexto externo; locais públicos de grande circulação como áreas de serviço ou Aeroportos), ou sempre que suspeita que possa ter sido vítima de qualquer tipo de tentativa de acesso não legitimo;
- Em contexto externo, não deixe os seus equipamentos digitais fora do seu controlo físico/visual;
- Quando assiste a reuniões ou formação online, assegure-se que não expõe/partilha o seu contexto profissional ou familiar na tela/ecrã (fotografias, listagens nominais, conversas paralelas em direto) e desligue a camara e áudio no final;
- Não abra e-mails ou SMS, nem clique em links ou anexos desconhecidos;
- Sempre que possível, adote a autenticação por duplo factor (verificação de identidade em duas fases).
Caso suspeite ou detete que foi alvo de qualquer tipo de ação ilegítima no seu equipamento ou sistema de informação profissional, deverá reportar o mais rapidamente possível a helpdesk@casapia.pt.