Política de privacidade

No seu âmbito de actuação, nomeadamente no tratamento de incidentes de segurança, um CERT trabalha diariamente com informação considerada sensível.

O relato de um incidente de segurança e posterior tratamento, pressupõe a partilha de informação entre o indivíduo que reporta e o CERT. Esta informação, necessária para a recolha de evidências e identificação da origem do incidente, contém, muitas vezes, dados pessoais (eg. endereço de e-mail, endereço IP do sistema afectado, etc.)

A coordenação eficaz do tratamento de um incidente com outras entidades, sejam do tipo CERT, agentes da autoridade ou outras, implica a troca activa de informação.

Deste modo importa definir quando e em que condições o RCTS CERT liberta informação critica. A política de protecção de dados do RCTS CERT tem como principio que informação sensível será passada a terceiros, única e exclusivamente em caso de real necessidade e com autorização expressa do indivíduo ou entidade que reporta o incidente.

Por omissão toda a informação constante de um processo de tratamento de incidente de segurança é classificada como “confidencial”.

Em detalhe apresenta-se os principais casos de coordenação/comunicação com entidades externas e respectiva política de protecção de dados.

1.Coordenação com outros CERT
Por vezes, um incidente de segurança envolve indivíduos localizados em países diferentes ou sob a jurisprudência de mais de um CERT. Nestes casos, o tratamento do incidente deve ser coordenado entre os CERT envolvidos. O RCTS CERT só passará informação classificada com crítica a um outro CERT, exclusivamente no caso deste último possuir uma política de protecção de dados compatível e mediante a autorização expressa do indivíduo ou entidade que reporta o incidente.

2.Outras entidades/indivíduos envolvidos num incidente
Da análise efectuada ao incidente e para além da entidade que o reportou, o RCTS CERT pode identificar um conjunto de outras entidades envolvidas, quer atacadas quer atacantes. No contacto com cada uma destas, o RCTS CERT só passará informação sensível no caso de real necessidade e com autorização expressa do indivíduo ou entidade que reportou o incidente.

3.Comunicação social
Os CERT são muitas vezes solicitados pela comunicação social para informação ou comentário sobre uma vulnerabilidade ou incidente em particular. Em circunstância alguma, o RCTS CERT, através de qualquer um dos seus membros, fará referência explicita a um incidente, comprometendo o anonimato do(s) indivíduo(s) ou entidade(s) implicados.

A informação a disponibilizar à comunicação social será sempre sistematizada, anonimizada e de carácter estatístico.

4.Agentes da autoridade
A Secção de Investigação de Criminalidade Informática e de Telecomunicações da Policia Judiciária, tem a competência nacional para a investigação da criminalidade informática e alguns dos crimes praticados com recurso a meios informáticos. Em caso de necessidade, por parte do(s) indivuduo(s) ou entidade(s) implicado(s), o RCTS CERT pode facilitar o contacto com esta secção da PJ. Em casos extremos e de inegável interesse público, como são os casos de ataques massivos a sites de serviços on-line, o RCTS CERT pode pedir autorização para alertar as autoridades a intervir.