AngoLEX

Legislação Angolana a distância de um click
Perguntas Frequentes Mapa do Site Política de Uso
INÍCIO


Portal da
Legislação Angolana

Aviso n.º 08/2020 - Política de Segurança Cibernética e Adopção de Computação em Nuvem

CAPÍTULO I

Disposições Gerais

Artigo 1.º
Objecto

O presente Aviso estabelece as regras sobre a política de segurança cibernética e os termos e condições de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas Instituições Financeiras autorizadas a funcionar pelo Banco Nacional de Angola.

⇡ Início da Página
Artigo 2.º
Âmbito

O presente Aviso é aplicável às Instituições Financeiras sob supervisão do Banco Nacional de Angola, adiante abreviadamente, designadas, por Instituições, nos termos e condições previstos na Lei de Bases das Instituições Financeiras.

⇡ Início da Página
Artigo 3.º
Definições
  • Para efeitos do presente Aviso, entende-se por:
    1. a) Segurança Cibernética: conjunto de políticas e controlos, meios e tecnologias que visam proteger programas, computadores, redes e dados de intrusão ilícita ou ataques digitais que provoquem danos aos mesmos.
    2. b) Computação em Nuvem: modelo que permite o acesso e o fornecimento de forma conveniente e directa a um conjunto de recursos computacionais configuráveis e armazenamento de dados que podem ser rapidamente aprovisionados e acessíveis com o mínimo esforço de gestão ou interacção entre os prestadores de serviços.
    3. c) Infraestrutura Tecnológica Crítica: sistemas e activos de informação, sejam físicos, virtuais e vitais para o funcionamento normal das Instituições Financeiras, cuja incapacidade ou destruição acarreta um elevado impacto na operacionalidade das Instituições.
⇡ Início da Página

CAPÍTULO II

Política de Segurança Cibernética

Artigo 4.º
Implementação da Política de Segurança Cibernética
  1. 1. As Instituições devem definir, implementar e manter uma política de segurança cibernética, com base em padrões, princípios e directrizes internacionalmente aceites, que visam assegurar a confidencialidade, integridade e a disponibilidade das redes, dados e dos sistemas de informação utilizados.
  2. 2. A política de segurança cibernética referida no número anterior deve prever, no mínimo, o seguinte:
    1. a) A dimensão, o perfil de risco e o modelo de negócio da Instituição;
    2. b) A natureza das operações e a complexidade dos produtos, serviços, actividades, processos das Instituições; e
    3. c) A sensibilidade dos dados e das informações sob responsabilidade das Instituições.
  3. 3. Os procedimentos e os controlos adoptados para reduzir a vulnerabilidade das Instituições a incidentes e atender aos demais objectivos da política de segurança cibernética, de acordo com as directrizes da ISO/IEC 27035 e da ISO 27001, respeitantes à gestão de incidentes de segurança de informação tecnológica e gestão da segurança da informação, respectivamente, devem comportar:
    1. a) A autenticação, a autorização, a criptografia, a prevenção e a detecção de intrusão;
    2. b) A prevenção de fuga de informações;
    3. c) A realização periódica de testes e auditorias para detecção de vulnerabilidades;
    4. d) A protecção contra softwares maliciosos;
    5. e) O controlo de acesso e de segmentação da rede de computadores;
    6. f) A manutenção de cópias de segurança dos dados e das informações;
    7. g) Os controlos específicos para garantir a segurança das informações sensíveis, incluindo de rastreabilidade de informação;
    8. h) Os procedimentos a adoptar para o registo, a análise da causa e do impacto, bem como, o controlo dos efeitos de incidentes para as actividades das Instituições;
    9. i) Os mecanismos para disseminação, capacitação e avaliação períodica de pessoal para a elevação da cultura de segurança cibernética na Instituição
    10. j) A prestação de informações a clientes e utentes sobre precauções na utilização de produtos e serviços financeiros; e
    11. k) O comprometimento do órgão da administração com a melhoria contínua dos procedimentos relacionados com a política de segurança cibernética.
  4. 4. As Instituições devem definir directrizes necessárias para:
    1. a) A elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de tecnologia de informação e do negócio;
    2. b) A definição de procedimentos e de controlos de prevenção e tratamento dos incidentes a serem adoptados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das actividades operacionais de Instituições;
    3. c) Definição de parâmetros a serem utilizados na avaliação da relevância de incidentes; e d) A classificação dos dados e das informações quanto à criticidade para o negócio da Instituição.
⇡ Início da Página
Artigo 5.º
Dever de Divulgação de Políticas de Segurança

A política de segurança cibernética deve ser divulgada ao público, trabalhadores e empresas prestadoras de serviços, mediante a utilização de uma linguagem clara, objectiva e acessível, de acordo com os níveis de funções desempenhadas, bem como a sensibilidade das informações inerentes à referida política.

⇡ Início da Página
Artigo 6.º
Plano de Acção e de Resposta a Incidentes
  • Para efeitos de implementação da política de segurança cibernética, as Instituições devem elaborar um plano de acção capaz de responder a incidentes, contendo, no mínimo, os seguintes requisitos:
    1. a) Adequação das estruturas organizacionais e operacionais;
    2. b) Rotinas, procedimentos, controlos e tecnologias a serem utilizadas na prevenção e resposta a incidentes, em conformidade com as directrizes da política de segurança cibernética;
    3. c) Acções a serem desenvolvidas pelas Instituições para adequar às estruturas, organizacional e operacional, aos princípios e às diretrizes da política de segurança cibernética;
    4. d) Indicação da área responsável pelo registo, monitoramento e controlo de incidentes relevantes; e
    5. e) Manual de procedimentos de política de segurança cibernética, aprovado pelo órgão da administração ou gerência, que deve ser revisto anualmente ou sempre que ocorram alterações relevantes na Instituição.
⇡ Início da Página
Artigo 7.º
Institucionalização de Estruturas de Segurança

As Instituições devem estabelecer uma estrutura ou equipa (s) dedicada (s) à política de segurança cibernética, responsável (eis) pela política de segurança cibernética e pela execução do plano de acção e de resposta a incidentes.

⇡ Início da Página
Artigo 8.º
Obrigação de Notificação de Incidentes
  1. 1. As Instituições devem comunicar, ao Banco Nacional de Angola, as violações das redes e dos sistemas de informação ou perdas de integridade com impacto significativo no funcionamento das referidas redes e serviços.
  2. 2. A comunicação prevista no número anterior, deve acontecer obrigatoriamente após a detecção do incidente, seguindo-se de outras comunicações, com pontos de situação com intervalos de 4 horas, até à reposição normal dos serviços.
  3. 3. Sem prejuízo do dever de sigilo profissional e de livre concorrência, sempre que necessário, as Instituições devem desenvolver iniciativas para a partilha de informações, sobre os incidentes relevantes, visando a mitigação do impacto e reforço da resiliência do sistema financeiro a ataques cibernéticos.
⇡ Início da Página

CAPÍTULO III

Contratação de Serviços de Computação em Nuvem

Artigo 9.º
Adopção da Computação em Nuvem
  1. 1. A adopção de serviços na nuvem pelas Instituições implica a adequação de políticas, estratégias e estruturas para gestão de riscos inerentes à terceirização dos referidos serviços.
  2. 2. Na avaliação da relevância do serviço a ser disponibilizado na nuvem, a Instituição deve considerar a criticidade e a sensibilidade dos dados e das informações suportadas pelo referido serviço, de acordo com a sua classificação, bem como o risco associado em caso de acesso indevido.
  3. 3. As Instituições devem garantir a capacitação dos seus recursos humanos para a correcta gestão dos serviços implementados, visando assegurar a autonomia interna para o acesso e utilização da tecnologia de nuvem.
  4. 4. Sempre que se verificar a impossibilidade de manutenção do contrato de prestação de serviços, as Instituições devem garantir a gestão de continuidade dos serviços contratados em nuvem.
⇡ Início da Página
Artigo 10. º
Comunicação da Adopção da Computação em Nuvem
  1. 1. A intenção de contratação de serviços com o suporte de computação em nuvem, deve ser comunicada ao Banco Nacional de Angola, com antecedência mínima de 60 (sessenta) dias da referida contratação para efeitos de apreciação e aprovação, a qual deve conter a seguinte informação detalhada:
    1. a) A empresa a ser contratada;
    2. b) O plano de continuidade de negócio;
    3. c) Os serviços a serem prestados;
    4. d) O local ou país de “hospedagem ou alojamento” da infraestrutura, sistemas e processamento;
    5. e) Tipo de informação a migrar para a nuvem;
    6. f) Indicação da lei que rege o contrato que se pretende celebrar
    7. g) Demonstração de competências e recursos necessários para manter e monitorizar o serviço que pretende contratar; e
    8. h) Disponibilidade do prestador de serviços de computação em nuvem de cooperar com as autoridades nacionais que supervisionam a Instituição.
  2. 2. Sempre que se verificar alterações contratuais, as Instituições devem, igualmente, comunicar tal ocorrência ao Banco Nacional de Angola, num período não inferior a 90 (noventa) dias, podendo esse período ser inferior, em casos excepcionais, desde que devidamente justificado, quando comprometam o pleno funcionamento das Instituições;
  3. 3. As Instituições devem, ainda, criar condições que assegurem a continuidade de negócio.
  4. 4. Para os serviços já contratados a comunicação ao Banco Nacional de Angola deve acontecer no período máximo de 30 (trinta) dias após a publicação do presente normativo.
⇡ Início da Página
Artigo 11. º
Contratação de Serviços em Nuvem
  1. 1. Previamente à contratação de serviços de computação em nuvem, as Instituições devem verificar e documentar a capacidade do potencial prestador de serviço em assegurar o cumprimento dos seguintes aspectos:
    1. a) A confidencialidade, integridade, disponibilidade e recuperação de dados e de informações processados ou armazenados pelo prestador de serviço;
    2. b) O acesso das Instituições aos dados e às informações a serem processados ou armazenados pelo prestador de serviços, bem como o provimento de informações e de recursos de gestão adequados à monitorização dos serviços a serem prestados; e
    3. c) A disponibilização dos relatórios elaborados por empresa de auditoria especializada e independente, relativos aos procedimentos e aos controlos utilizados na prestação de serviços.
  2. 2. Na contratação de serviços de computação em nuvem, as Instituições devem observar, no mínimo, os seguintes requisitos:
    1. a) Práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas;
    2. b) Verificação da capacidade do potencial prestador de serviço;
    3. c) Licença e certificação de prestadores de serviço de computação em nuvem, cujo local de alojamento do datacenter deve estar em conformidade com as boas práticas do mercado;
    4. d) Idoneidade, disponibilidade, experiência profissional e capacidade financeira, nos termos da legislação vigente do país;
    5. e) As Instituições devem avaliar a relevância dos serviços e classificação da informação, nos termos do anexo do presente aviso;
    6. f) Centros de dados de suporte, que garantam a recuperação dos mesmos, em caso de desastre e acesso a backup (cópia de segurança) em situações de anormalidade;
    7. g) Suporte técnico na modalidade 24/7 (vinte e quatro horas por dia e sete dias na semana);
    8. h) Medidas de segurança adoptadas para a transmissão e armazenamento dos dados, segregação de dados, lógico e físico, e adequação do controlo de acesso para protecção de informação;
    9. i) Comunicação prévia às Instituições sobre a subcontratação de serviços a prestar e eventuais limitações que possam afectar a prestação de serviços ou o cumprimento da legislação e da regulamentação em vigor;
    10. j) Transferência de dados ao novo prestador de serviços ou às Instituições Contratantes, em caso resolução do contrato, e consequentemente, a eliminação dos dados pela empresa contratada substituída, após a confirmação da integridade e da disponibilidade de dados recebidos pela contratante;
    11. k) Permissão de acesso pelas Instituições às informações e recursos de gestão adequados à monitorização de serviços a serem fornecidos pela empresa contratada, visando a verificação do cumprimento do disposto na alínea f) do número 2 do presente artigo; e
    12. l) Acesso à documentação e às informações referentes aos serviços prestados pelas Instituições Contratantes, designadamente, dados armazenados e processados, cópias de segurança e códigos de acesso.
  3. 3. As Instituições Contratantes de serviços de computação em nuvem são responsáveis por garantir a segurança dos serviços contratados, bem como pelo cumprimento da legislação em vigor.
⇡ Início da Página
Artigo 12.º
Classificação da Informação a Migrar para a Nuvem
  1. 1. As Instituições devem classificar as informações consideradas imprescindíveis à segurança da sociedade, dos seus clientes e do Estado, em grau de sigilo da informação em muito confidencial, confidencial, reservada, interna e pública.
  2. 2. Para o efeito de classificação da informação, as Instituições Financeiras devem considerar os requisitos constantes no Anexo, que constitui parte integrante do Aviso.
  3. 3. A classificação da informação descrita no número anterior deve estar em conformidade com as disposições constantes na Lei n.º 22/2011, de 17 de Junho, Lei da Protecção de Dados Pessoais, conjugadas com a Lei n.º 7/17, de 16 de Fevereiro, Lei de Protecção das Redes e Sistemas Informáticos, bem como com o disposto nos artigos 76.º e 77.º, ambos da Lei n.º 12/2015, de 17 de Junho, Lei de Bases das Instituições Financeiras.
  4. 4. As Instituições, em função da classificação atribuída a cada tipo de informação, determinam a que é elegível para migrar para a nuvem, tendo em conta cada modelo de implementação em nuvem disponíveis, designadamente:
    1. a) Serviços em nuvem prestados dentro de uma organização e que oferecem todas as funções básicas da computação em nuvem, respeitante ao aumento da produtividade, flexibilidade e escalabilidade, acesso remoto restrito a apenas uma organização, sem partilha de recursos de tecnologia de informação com outras organizações ou utilizadores fora do ambiente organizacional;
    2. b) Serviço prestado por um provedor a utilizadores comuns ou organizações, ficando esse provedor de serviços com a responsabilidade de implementação de mecanismos de protecção, hospedagem, manutenção e gestão de dados, cobrando desses apenas os recursos utilizados, sejam eles de infraestrutura aplicacional, infraestrutura física ou softwares;
    3. c) Serviço baseado na partilha da infraestrutura de tecnologia de informação por várias organizações que partilham as mesmas preocupações como a missão, requisitos de segurança, políticas, entre outros, podendo ser administrada pelas próprias organizações ou por um terceiro, podendo existir no ambiente da organização ou fora dela; e
    4. d) Serviço baseado num ambiente de computação que combina nuvem pública e nuvem privada, permitindo que os dados e aplicações sejam partilhados entre elas.
⇡ Início da Página

CAPÍTULO IV

Disposições Finais

Artigo 13.º
Sanções

O incumprimento do disposto no presente Aviso constitui contravenção prevista e punível nos termos da Lei n.º 12/15, de 17 de Junho, Lei de Bases das Instituições Financeiras.

⇡ Início da Página
Artigo 14.º
Dúvidas e Omissões

As dúvidas e omissões resultantes da interpretação e aplicação do presente Aviso são resolvidas pelo Banco Nacional de Angola.

⇡ Início da Página
Artigo 15.º
Norma Revogatória

Fica revogada toda a disposição que contrarie o disposto no presente Aviso.

⇡ Início da Página
Artigo 16.º
Entrada em Vigor

O presente Aviso entra em vigor 30 (trinta) dias após a data da sua publicação.

PUBLIQUE-SE.

Luanda 16 de Março de 2020.

O GOVERNADOR JOSÉ DE LIMA MASSANO

⇡ Início da Página
ANEXOS
Para efeitos de classificação da informação pelas Instituições Financeiras, há a necessidade de medidas de tratamento especial, tendo em conta as implicações e responsabilidades associadas a esta classificação.
  • As Instituições Financeiras devem classificar a informação de acordo com os seguintes critérios:
    1. 1. Informação Muito Confidencial
      1. 1.1 É toda informação associada a interesses relevantes da Instituição. Se revelada, pode trazer sérios prejuízos financeiros, enorme impacto ao negócio ou repercussões para a imagem da Instituição ou do Governo de Angola. Estas informações requerem medidas excepcionais de controlo e protecção contra acessos não-autorizados;
      2. 1.2 As informações muito confidenciais são, em geral, restritas ao Conselho de Administração, Directores com função de gestão relevante, gerentes e empregados previamente designados que, pela natureza da função que exercem, são obrigados a conhecê-las;
      3. 1.3 Toda informação muito confidencial deve possuir controlo rigoroso quanto a sua divulgação, bem como registos históricos com a identificação inequívoca dos utilizadores que tiveram acesso a ela.
      4. 1.4 As cópias de documentos muito confidenciais devem ser pré-aprovadas pelo seu proprietário (quem deu origem ao documento) e possuir uma identificação única;
      5. 1.5 A informação muito confidencial deve ser guardada em local com acesso controlado e possuir medidas de segurança física para o seu transporte, sendo necessária a autorização do proprietário para o seu transporte para fora da Instituição;
      6. 1.6 Para a transmissão electrónica de informações muito confidenciais é obrigatório o uso de criptografia, em qualquer meio de comunicação, interno ou externo à Instituição
    2. 2. Informação Confidencial
      1. 2.1 É toda informação cujo conhecimento deve ficar limitado a um número reduzido de pessoas autorizadas. Se revelada, pode trazer grande impacto ao negócio ou repercussões para a imagem da Instituição, embaraços administrativos com funcionários ou trazer vantagens a terceiros. Estas informações requerem um alto grau de controlo e protecção contra acessos não-autorizados.
      2. 2.2 Incluem-se nesta classificação: as informações que garantem à Instituição a obtenção de vantagens competitivas, as que descrevem uma parte significante dos negócios da Instituição, as que contêm estratégias operacionais de longo prazo, as que são importantes para o sucesso técnico ou financeiro de um produto e aquelas que têm um impacto potencialmente sério nas políticas e práticas da área de Recursos Humanos.
      3. 2.3 As informações confidenciais são, em geral, restritas aos gestores da Instituição e empregados previamente designados que, pela natureza da função que exercem, são obrigados a conhecê-las.
      4. 2.4 A divulgação interna de uma informação confidencial para empregados que não pertencem à mesma função de quem a recebeu, bem como as cópias de documentos confidenciais, devem ser pré-aprovadas pelo proprietário;
      5. 2.5 Toda informação confidencial deve ser guardada em local com acesso controlado e possuir medidas de segurança física para o seu transporte, sendo necessária a autorização do proprietário para o seu transporte para fora da Instituição;
      6. 2.6 Para a transmissão electrónica de informações confidenciais é obrigatório o uso de criptografia.
    3. 3. Informação Reservada
      1. 3.1 É toda informação cujo conhecimento e uso deve estar restrito a um grupo específico de empregados ou áreas da Instituição. Não deve ser divulgada, publicada e estar acessível a qualquer empregado ou não-empregado;
      2. 3.2 As informações reservadas são, em geral, limitadas a uma unidade ou grupo de trabalho e empregados que, pela natureza da função que exercem, são obrigados a conhecê-las.
      3. 3.3 Na classificação de uma informação como reservada deve-se explicitar para que grupo ou propósito a informação é reservada.
      4. 3.4 É permitida a divulgação interna de uma informação reservada, bem como a cópia de documentos reservados, para outros empregados, que deles necessitem para a realização de suas tarefas.
      5. 3.5 Toda informação reservada deve ser guardada em local com acesso controlado, sendo necessária a autorização do proprietário para o seu transporte para fora da Instituição.
    4. 4. Informação Interna
      1. 4.1 É toda informação cujo conhecimento e uso está restrito exclusivamente ao âmbito interno e propósitos da Instituição, estando disponível para todos os empregados, e não-empregados autorizados a circular em suas dependências. Só devem ser reveladas ao público externo mediante autorização;
      2. 4.2 Incluem-se nesta classificação: as informações relativas ao desenvolvimento de programas internos da empresa; listas para localização dos empregados na empresa; etc.
    5. 5. Informação Pública
      1. 5.1 É toda informação que pode ou deve ser divulgada para o público externo à Instituição;
      2. 5.2 Incluem-se nesta classificação: as informações de carácter informativo a serem publicadas e as informações que a Instituição é obrigada a divulgar em função da legislação vigente;
      3. 5.3 Toda informação pública deve receber tratamento especial quanto a sua apresentação e conteúdo, de modo a não prejudicar a imagem da Instituição
Todos os direitos reservados © AngoLEX | 2022