Confidencialidade — só quem deve, acede. Integridade — dados não alterados sem autorização. Disponibilidade — disponível quando preciso.
Toda a segurança gira em torno destes 3 pilares.
Servem de guia, certificação e benchmark.
Regulamento Geral de Protecção de Dados (UE 2016/679, em vigor 2018).
Aplica-se a qualquer organização que trate dados pessoais de cidadãos UE.
Princípios:
Tratamento só é legal com uma base:
Até 20 milhões € ou 4% do volume de negócios anual, o que for maior.
CNPD (Comissão Nacional de Protecção de Dados) é a autoridade portuguesa.
Notificação de violações: 72h após conhecimento.
Para cada activo (dados, servidores, processos):
Tecnologia não chega. 80% dos incidentes têm componente humana (phishing, erro, partilha de senhas).
NIST IR Lifecycle: