Política de Segurança

Atualizada a 17/02/2026

Introdução

Objeto

Este documento constitui a Política Estratégica de Segurança dos Sistemas de Informação (Política Estratégica de Segurança dos Sistemas de Informação) do Grupo BODET SA. 

Aprovado pelo Presidente e Diretor Executivo, a PPSI Estratégico define: 

  • Os desafios e objetivos estratégicos em termos de segurança dos sistemas de informação; 
  • Os princípios da governação da Segurança dos Sistemas de Informação (SSI); 
  • Os compromissos da Direção Geral para garantir a sustentabilidade, a eficácia e a melhoria contínua do sistema de segurança. 

A Política Estratégica de Segurança dos Sistemas de Informação é complementada por uma Política de Segurança dos Sistemas de Informação Operacionais,que engloba todos os requisitos temáticos relacionados com a segurança física, lógica, organizacional e humana do sistema de informação. 

Os critérios de transmissão

O acervo documental do PSSI é o tema de uma disseminação controlada com base no princípio da necessidade de saber.

  • La Política Estratégica de Segurança dos Sistemas de Informação está disponível para distribuição externa na íntegra. Representa os compromissos do Grupo Bodet em relação à segurança da informação. 
  • A PSSI Operacionaldestina-se principalmente ao uso interno. Excertos relevantes podem ser comunicados a partes interessadas externas (clientes, parceiros, autoridades) afetadas por requisitos contratuais ou regulamentares. 
  • Os procedimentos associados são divulgados internamente de forma direcionada. 

Cada documento declara explicitamente a sualista de distribuição autorizada. Quando exigido por razões de confidencialidade, apenas os excertos relevantes poderão ser divulgados.

O âmbito de aplicação

A Política de Segurança da Informação Estratégica aplica-se:

  • A todo o Sistema de Informação do Grupo Bodet, em todos os seus componentes;
  • A todos os colaboradores,chefias, funcionários, trabalhadores temporários, estagiários;
  • A todos oss prestadores de serviços, parceiros e terceiros que acedam ao sistema de informação ou tratem informação sob a responsabilidade do Grupo.

O Sistema de Informação é entendido como o conjunto de meios que permitem criar, adquirir, processar, armazenar, transmitir ou destruir informação, independentemente dos meios de comunicação, tecnologias ou locais. 

Os referênciais de segurança

O Grupo Bodet está empenhado em alinhar com os seguintes parâmetros de referência: 

  • A norma ISO/IEC 27001 (2022) ; 
  • O Guia informático da ANSSI (42 mediddas) ; 
  • O RGPD e os requisitos da CNIL; 
  • As obrigações regulamentares e contratuais aplicáveis às suas atividades (RED2, CRA, NIS2). 
  • O Esquema Nacional de Seguridad (ENS) 

Glossário

  • Autenticidade:propriedade ou característica pela qual uma entidade é o que afirma ser ou garante a origem dos dados. 
  • Colaborador: qualquer pessoa que contribua para as atividades do Grupo e tenha acesso ao SI (colaborador, estudante/estagiário, trabalhador temporário, etc.). 
  • Confidencialidade: Isto garante que a informação está acessível apenas às pessoas que, como parte do seu trabalho, precisam de a conhecer. 
  • Conformidade regulamentar: propriedade que assegura que a informação é gerida de acordo com os princípios éticos, profissionais e legais estabelecidos pelas normas aplicáveis em cada contexto. 
  • Disponibilidade: Garante que os dados são acessíveis e utilizáveis pelas entidades no momento desejado e com o desempenho pretendido. 
  • Informação: quaisquer dados pertencentes ao Grupo ou confiados por um cliente, independentemente do seu formato (papel, digital, oral).. 
  • Integridade: Isto ajuda a garantir que os dados tratados são precisos e consistentes, tanto na entrada como na saída, e também que estes dados não sofrem modificações indesejadas durante o seu processamento ou armazenamento. 
  • Software: qualquer programa ou executável envolvido no processamento de informação (sistema operativo, software de monitorização, aplicação de escritório, aplicação comercial, etc.). 
  • Equipamento: quaisquer equipamentos físicos que suportam o SI (estações de trabalho, servidores, dispositivos móveis, suportes amovíveis, equipamentos de rede, etc.).. 
  • Política de Segurança dos Sistemas de Informação (PSSI) : O conjunto de orientações que define os compromissos, os objetivos e as regras do Grupo em matéria de segurança da informação. 
  • Rede: qualquer forma de interligação dos componentes de hardware e software do Sistema de Informação que permita a troca de dados (linha dedicada, rede telefónica, Internet, VPN, ligações entre sites).. 
  • Local: qualquer localização física operada pelo Grupo (escritórios, fábricas, centros de dados, etc.). 
  • Sistema de Gestão da Segurança da Informação (SGSI): O conjunto de orientações que define os compromissos, os objetivos e as regras do Grupo em matéria de segurança da informação. 
  • Sistema de Gestão de Proteção de Dados (SGPD): Trata-se de um conjunto de medidas organizacionais implementadas por uma empresa para garantir que os dados pessoais são tratados em conformidade com as normas de proteção de dados. Com base nos requisitos do RGPD (Regulamento Geral sobre a Proteção de Dados), esta é uma orientação interna que ajuda a garantir a conformidade com a proteção de dados e fornece provas a este respeito, se necessário. Este sistema de gestão tem como principal objetivo a prevenção de violações, mas também pode retificá-las ou refutá-las posteriormente. 
  • Rastreabilidade: Isto ajuda a garantir a comprovação da ocorrência de um evento ou ação no sistema de informação, bem como das entidades ou pessoas envolvidas.

As atividades do Grupo Bodet ocorrem num ambiente impactado por ciberameaças.

Contexto de cibersegurança

Adigitalização dos hábitos Isto traz inúmeros benefícios, tanto para os cidadãos como para as empresas, ao fomentar a inovação e o desenvolvimento de novas oportunidades económicas. No entanto, gera uma aumento da dependência de infraestruturas críticas e uma complexidade interligada que expõe a sociedade e as organizações a ciberataques cada vez mais sofisticados.

O ciberespaço tornou-se num espaço de competição e confronto, reflectindo tensões geopolíticas e rivalidades internacionais. A França, tal como outros países, enfrenta uma ameaça cibernética intensa e generalizada, originária de Estados, cibercriminosos, ativistas ou combinações destes atores.

Estes ciberataques podem ser motivados porrazões económicas, políticas, militares ou ideológicas. Podem perturbar o funcionamento da sociedade, ameaçar a segurança nacional e gerar perdas económicas significativas, afetando as cadeias de abastecimento e a continuidade das atividades organizacionais.

Os ciberataques podem assumir múltiplas formas, que vão desde a espionagem à sabotagem, incluindo extorsão e subversão. Estes problemas manifestam-se, em particular, pelo aumento do cibercrime e pela proliferação de ferramentas de ciberinvasão. As infraestruturas críticas, incluindo serviços na nuvem que alojam dados sensíveis e aplicações estratégicas, estão particularmente vulneráveis.

A emergência de tecnologias disruptivas — inteligência artificial, a blockchain, a computação quântica — amplificam os riscos, tornando obsoletas algumas proteções atuais e complicando o cenário de ameaças.

As atividades do Grupo

O Grupo BODET concebe e fabrica software e equipamentos para os seus clientes. Entrega os equipamentos, instala-os nas casas dos clientes e trata das reparações e chamadas de suporte técnico.

O Grupo é, assim, levado a lidar com informações sensíveis, tais como:

  • Dados de pesquisa e desenvolvimento;
  • Dados de gestão da produção industrial;
  • Os dados pessoais de terceiros (clientes, fornecedores, etc.);
  • Os dados pessoais dos seus colaboradores.

Esta informação é essencial para o bom funcionamento do Grupo.

Estratégias, desafios e objetivos de segurança

Os eixos estratégicos

O Grupo Bodet pretende estabelecer a sua posição de leader em cada uma das suas atividades, garantindo a satisfação do cliente.

Num mundo cada vez mais interligado e digital, as empresas estão mais expostas a ciberameaças.(ransomware, phishing, desfiguração de websites, etc.), e a Segurança dos Sistemas de Informação é essencial para o Grupo BODET garantir o seu desenvolvimento.

O Grupo Bodet está exposto ariscos cibernéticos que pode afetar :

  • a confidencialidade, integridade, disponibilidade, autenticidade, rastreabilidade e conformidade regulamentar dos dados da empresa e das informações do cliente;
  • A continuidade operacional das suas atividades críticas;
  • A sua reputação e posição nos mercados nacionais e internacionais.

O sucesso do Grupo depende, portanto, segurança geral do seu sistema de informação. A cibersegurança É um elemento essencial, implementado através do Sistema de Gestão de Segurança da Informação (SGSI) e detalhado na Política de Segurança da Informação (PSI):

  • Antecipar e reduzir os riscos cibernéticos;
  • Para cumprir as obrigações legais, regulamentares e contratuais ;
  • Proteção da informação e dos ativos digitais;
  • Garantir a continuidade e resiliência das atividades.

Questões de segurança

O Grupo Bodet enfrenta desafios de segurança de extrema importância, que estão em linha com as orientações estratégicas. :

  • Competetividade: garantir a disponibilidade e a fiabilidade dos sistemas informáticos num contexto global competitivo.
  • Ambiente : Apoiar os processos certificados pela ISO 14001 através de sistemas fiáveis e controlados.
  • Inovação: Proteger o trabalho de I&D, os segredos empresariais e a propriedade intelectual..
  • Internacional : garantir a troca de dados com subsidiárias, distribuidores e parceiros em mais de 110 países.
  • Qualidade: Integrar a cibersegurança como uma componente essencial da qualidade dos produtos e serviços, especialmente em 2026.
  • Reatividade: Garantir um elevado nível de disponibilidade e apoio aos clientes.

Objetivos operacionais

Face a estes desafios, os objetivos de segurança garantem as necessidades de confidencialidade, integridade, disponibilidade e rastreabilidade dos dados e o seu processamento. O Grupo Bodet, nesta qualidade, compromete-se a:

  • Manter em condição de segurança O SI 7X7 e 24hX24h ;
  • Proteger os dados do Grupo e dos seus clientes;
  • Promover uma cultura partilhada da segurança da informação;
  • Garantir conformidade com os requisitos definido por restrições legais e regulamentares;
  • Conhecer e dominar os riscos cibernéticos ;
  • Assegurar a resiliência do sistema de informaçãoen caso de incidente;
  • Definir um nível de segurança durante a integração de novas interligações no SI ;
  • Garantir a imagem de todo o Groupo ;

Estes objetivos estão divididos por tema noPSSI Operacional. Este último baseia-se na norma ISO 27002:2022, no Guia de Higiene da ANSSI e nas boas práticas relacionadas com a segurança da informação.

Governação de segurança do SI

O compromisso da Direção-Geral

A Direção Geral está ciente de que a viabilidade a longo prazo do Grupo Bodet depende da sua capacidade de proteger os seus ativos contra ameaças que possam prejudicar as atividades e os dados da entidade.

A gestão integra o SGSI na estratégia global do Grupo e fornece os recursos necessários ao seu bom funcionamento.

Uma carta de compromisso detalhada foi assinada pela Direção Geral.

A comissão de cibersegurança

O comité de cibersegurança do Grupo Bodet é responsável por liderar e coordenar as ações relacionadas com a segurança dos sistemas de informação, em consonância com as prioridades estratégicas da organização. Esta comissão reúne pelo menos mensalmente. A Direção-Geral acompanha os desenvolvimentos no âmbito do SMSI e valida decisões importantes. Ela é a sua melhor patrocinadora. 

Podem também ser criadas comissões específicas de cibersegurança para tratar da segurança das atividades e dos dados em áreas sensíveis ou necessárias.

A composição destas comissões pode variar em função das áreas envolvidas e dos temas abordados.. Uma revisão das funções e responsabilidades é realizada, pelo menos, de dois em dois anos.

Os principais cargos associados à comissão são os seguintes: o CISO (Diretor de Segurança da Informação), o responsável pela informação, o gestor de serviços e o gestor de sistemas.

As principais responsabilidades

  • Gestão Geral: Tem a responsabilidade última pela segurança da informação, valida a política de segurança da informação e atribui os recursos necessários. 10 
  • Gestor de Segurança de Sistemas de Informação(RSSI/CISO : ciso@kelio.com) : Define, gere e controla a implementação do PSSI e SMSI. É responsável por garantir a conformidade da organização com os requisitos da norma ISO/IEC 27001 e com os regulamentos aplicáveis relativos à segurança dos sistemas de informação (NIS2, CRA, etc.).
  • Responsável pela Proteção de Dados (DPD/DPO) : Define, gere e controla a implementação do DPMS. É responsável por garantir que a organização está em conformidade com os requisitos do Regulamento Geral sobre a Proteção de Dados (RGPD), bem como com as normas aplicáveis em matéria de proteção de dados pessoais. • DSI : Implementa medidas técnicas de segurança em coordenação com o RSSI. 
  • Chefes de equipa: Garantem que as normas de segurança são aplicadas nas suas equipas. 
  • Colaboradores e prestadores de serviços: Respeitam as normas de segurança e reportam qualquer incidente ou anomalia.

A PSSI, pilar da implementação do SGSI

A estrutura da documentação

O SGSI tem por objetivo é garantir que os riscos relacionados com a segurança e a confidencialidade da informação são conhecidos, aceites, geridos ou minimizados de forma documentada, sistemática, estruturada, reproduzível e aceitável, adaptando-se às mudanças de riscos, de ambiente e de tecnologias. A documentação relativa ao SGSI (Sistema de Gestão da Segurança da Informação) está dividida em 4 níveis:

  • A PSSI estratégica : Este é o documento de referência que descreve os desafios estratégicos do Grupo, os princípios de governação e define os princípios fundamentais de segurança.
  • A PSSI operacional: Trata-se da regras de segurança que a empresa decidiu seguir, com base em guias de boas práticas de segurança (ISO/IEC 27001/2, Guia de Higiene ANSSI, RGPD, etc.).
  • Os procedimentos: São os métodos de implementação técnica e organizacional que a organização definiu para si própria.
  • Evidências e indicadores : Os métodos de avaliação são utilizados para medir o desempenho do SGSI (Sistema de Gestão da Segurança da Informação).

Implementação

Os objetivos de segurança da informação anteriormente definidos estão sujeitos a uma detalhe das orientações de segurança dentro do documento PSSI Operacional. Estas orientações devem ser implementadas por todas as partes interessadas no Sistema de Informação.

Em geral, cada evolução do Sistema de Informação integra a segurança tendo em conta os requisitos da Política de Segurança dos Sistemas de Informação Operacionais, de acordo com onecessidades de segurança expressa em termos de confidencialidade, integridade, disponibilidade e rastreabilidade dos dados e do tratamento.. Essa é a abordagem. Security/Privacy by Design.

Os princípios fundamentais

Só o RSSI tem plenos direitos sobre a gestão e estruturação do SGSI (Sistema de Gestão da Segurança da Informação).. Alguns perfis podem ter acesso limitado, que será adaptado de acordo com a necessidade de conhecimento em cada caso específico (por exemplo, fornecimento de provas por um administrador, revisão por um validador, assinatura da gestão, etc.).

  • O princípio da necessidade de conhecimento: O acesso à informação é estritamente limitado àqueles que realmente necessitam dela para desempenhar as suas funções.
  • Princípio da necessidade de segurança: Cada ativo é protegido de acordo com um nível de segurança proporcional à sua criticidade e importância para a organização.
  • Princípio do privilégio mínimo: Cada utilizador, processo ou serviço possui apenas as permissões estritamente necessárias para a sua função, e nunca mais do que isso.
  • Princípio da relevância da recolha de dados: A quantidade de dados recolhidos está limitada aos fins previstos. Apenas os dados estritamente necessários para o tratamento são retidos.
  • Princípio de controlo de dados: As atividades de processamento são mapeadas e os dados são mantidos atualizados. Evita-se a proliferação de dados pessoais desnecessários e eliminam-se regularmente os dados obsoletos ou inúteis.
  • Princípio da legalidade do processamento: O tratamento dos dados deve basear-se numa base jurídica apropriada: consentimento, obrigação legal, interesse público, contrato, necessidade vital ou interesse legítimo.
  • Princípio da recolha justa: Os dados devem ser recolhidos de forma transparente e justa, sem surpresas para as pessoas envolvidas. O propósito da recolha de dados deve ser claramente explicado e o consentimento reforçado, se necessário.
  • Princípio da finalidade do processamento: As informações sobre pessoas singulares só podem ser registadas e utilizadas para uma finalidade específica. Qualquer utilização que não tenha sido a intenção no momento da recolha é proibida.
  • Princípio da conservação limitada: Cada atividade de processamento deve definir um prazo de conservação adequado. Deve basear-se nas obrigações legais e nas necessidades operacionais, e os dados conservados para além desse período devem ser eliminados.

A revisão anual

A Política de Segurança dos Sistemas de Informação (PSSI) é revista anualmente pela Comissão PPSI de Cibersegurança do Grupo Bodet e validada pela Direção Geral.PPS O objetivo é verificar o seu alinhamento com as linhas estratégicas do Grupo, os seus desafios ou em caso de alteração significativa dos sistemas de informação da empresa.

Melhoria contínua

Todo o ciclo de vida do SGSI (Sistema de Gestão da Segurança da Informação) assenta no princípio da melhoria contínua, ilustrado pela roda de Deming (PDCA: Plan, Do, Check, Act) abaixo : 

FaseAction
PLANEAR (PLAN)A Comissão de Informática estabelece a Política de Segurança da Informação e a sua implementação operacional, validada pela Direção-Geral. De seguida, desenvolvem um plano de ação para organizar a implementação das regras estabelecidas.
REALIZAR (DO)A Política de Segurança dos Sistemas de Informação (PPSI) é seguida por todos os colaboradores, utilizando os recursos disponibilizados pela Direção Geral, através do Gestor de Informática e da sua equipa.
CONTROLAR (CHECK)A aplicação das regras do PPSI é monitorizada regularmente através de auditorias e testes. Os indicadores de segurança (KPIs) são obtidos e analisados durante as reuniões das Comissões de Cibersegurança.
AJUSTAR (ACT)As discrepâncias identificadas são corrigidas e/ou tidas em conta para a definição de um novo ciclo. Uma nova versão (PDCA) é realizada.

As derrogações

Todas as violações das normas de segurança estabelecidas são consideradas como falhas de segurança. Podem existir exceções. Qualquer exceção às regras de segurança exige uma derrogação formalizada, validado pelo RSSI e pela Direção Geral, e revisto periodicamente.

IDObjetoRequerente/ReferênciaRegra PSSI derrogadaMedidas de mitigaçãoDuração da isenção concedidaData de validaçãoValidadorData de vencimentoEstadoData de fecho
           

As sanções

Qualquer violação das regras definidas pela Política de Segurança dos Sistemas de Informação (ISSP) sujeita o colaborador a medidas disciplinares, diferenciadas de acordo com a gravidade da infração, tal como definido noRegulamento interno.

Os temas da política de segurança da informação operacional

A Política Operacional de Segurança dos Sistemas de Informação (ISSP) incorpora os capítulos da ISO/IEC 27002, com requisitos atualizados em 2022. Aqui estão os capítulos principais..

  • Capítulo 5 – Governação da Segurança da Informação: (PSSI). A governação estabelece a estrutura para a gestão da segurança da informação. Define as políticas, as diretrizes e os princípios orientadores para o envolvimento, controlo e melhoria da segurança da informação, em consonância com a estratégia da organização.
  • Capítulo 6 – Organização da Segurança da Informação: (Responsabilidades, coordenação, mobilidade, teletrabalho). Este capítulo define a organização da segurança, a distribuição de funções e responsabilidades, bem como a integração da segurança nas relações internas e externas. Abrange também a segurança relacionada com a mobilidade e o teletrabalho.
  • Capítulo 7 – Segurança dos Recursos Humanos: A segurança dos recursos humanos visa garantir que os colaboradores compreendem as suas responsabilidades em relação à segurança da informação. Protege os interesses da organização ao longo de todo o ciclo de vida do colaborador: antes da contratação, durante o emprego e após a saída.
  • Capítulo 8 – Gestão de Ativos: A gestão de ativos envolve a identificação, o inventário e a classificação dos ativos da organização. Permite a atribuição de responsabilidades claras e assegura que a informação beneficia de um nível de proteção adequado ao seu valor, sensibilidade e importância.
  • Capítulo 9 – Controlo de Acessos: Este capítulo tem como objetivo controlar o acesso aos sistemas e à informação através de mecanismos de autenticação e autorização adequados. Regula rigorosamente a utilização do acesso privilegiado de acordo com os princípios da necessidade de saber e do privilégio mínimo, e exige a rastreabilidade das ações sensíveis.
  • Capítulo 10 – Criptografia: A encriptação garante a utilização correta e eficaz dos mecanismos criptográficos para proteger a confidencialidade, a integridade e a autenticidade da informação. Abrange também a gestão de chaves criptográficas.
  • Capítulo 11 – Segurança Física e Ambiental: A segurança física tem como objetivo prevenir o acesso não autorizado, danos e interrupções nos negócios relacionados com a perda, roubo, destruição ou comprometimento de ativos físicos críticos, instalações e infraestruturas.
  • Capítulo 12 – Segurança relacionada com as operações: A segurança operacional garante o funcionamento fiável e seguro dos recursos de processamento de informação. Inclui proteção contra malware, gestão de vulnerabilidades, registo de ações, cópia de segurança de dados e prevenção de perda permanente de dados.
  • Capítulo 13 – Segurança das Comunicações: Este capítulo tem como objetivo proteger a informação que circula nas redes internas e externas. Abrange a segurança das comunicações, o acesso remoto, a utilização de dispositivos móveis e as trocas de informação com entidades externas.
  • Capítulo 14 – Aquisição, desenvolvimento e manutenção de sistemas: A segurança da informação deve ser integrada em todas as fases do ciclo de vida dos sistemas e projetos: conceção, desenvolvimento, integração, operação, manutenção e desativação.
  • Capítulo 15 – Relações com Fornecedores: A segurança relacionada com os fornecedores visa garantir que os ativos acessíveis a terceiros são protegidos de acordo com os requisitos da organização. Impõe um quadro contratual, requisitos de segurança e monitorização do desempenho.
  • Capítulo 16 – Gestão de Incidentes de Segurança da Informação: A gestão de incidentes assegura uma resposta consistente e eficaz a eventos de segurança, sejam eles de origem humana, técnica ou ambiental. Um incidente de segurança é qualquer situação que possa afetar a confidencialidade, integridade ou disponibilidade de informação. A organização segue um procedimento que tem em conta a prevenção, deteção, resposta e recuperação. Capítulo
  • 17 – Continuidade dos Negócios: A continuidade do negócio visa garantir que os ativos e processos críticos possam continuar a operar em caso de um grande desastre, através de planos de continuidade, recuperação e operação degradados.
  • Capítulo 18 – Conformidade: A conformidade visa evitar qualquer violação de obrigações legais, regulatórias, contratuais e normativas. Certifica que a segurança da informação é implementada, monitorizada e aplicada de acordo com os compromissos e políticas da organização.