Saltar para: Menu Principal, Conteúdo, Opções, Login, Atalhos. A Ajuda Contextual não se encontra disponível

Você está em: TIC > Segurança TIC

Menu Principal

ˆtopo

Universidade do Porto
TIC - Tecnologias de Informação e Comunicação

» TIC » Segurança TIC | Versão de impressão. Data de edição: 2012-07-10

Segurança TIC

Notas:
Para poder ver gráficos e feeds com qualidade é necessário ter ativo JavaScript, (X)HTML5 e object / iframe
Algumas versões do Internet Explorer podem demorar algum tempo a apresentar o conteúdo da página e não respeitar corretamente os menus desdobráveis.
QR-Code com o URL desta página .

Bem-vindo

Procuramos, de forma permanente, aumentar o conhecimento acerca dos diferentes aspetos da segurança informática e divulgá-los sob a forma de:

Tópicos / Áreas

[•] Legislação e normas
- [•] Nacional
  - Constituição da República Portuguesa
    (Lei Constitucional n.º 1/97, de 20 de Setembro)
    
    Artigo 26.º - Outros direitos pessoais
    
    Artigo 35.º - Utilização da informática
    
    Cópia local (PDF, 502 KB) | Fonte: DR.E - http://dre.pt/comum/html/legis/crp.html . 2009-02-10.
    
    Lei de Protecção de Dados Pessoais
    (Lei n.º 67/98, de 26 de Outubro)
    
    "Lei da Protecção de Dados Pessoais (transpõe para a ordem jurídica portuguesa a Directiva n.º 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento dos dados pessoais e à livre circulação desses dados)."
    
    Cópia local (PDF, 160 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/nacional/LPD.pdf
    
    Lei do Cibercrime
    (Lei n.º 109/2009, de 15 de Setembro)
    
    "Aprova a Lei do Cibercrime, transpondo para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de Fevereiro, relativa a ataques contra sistemas de informação, e adapta o direito interno à Convenção sobre Cibercrime do Conselho da Europa."
    
    "…
    Para efeitos da presente lei, considera-se:
    a) «Sistema informático», qualquer dispositivo ou conjunto de dispositivos interligados ou associados, em que um ou mais de entre eles desenvolve, em execução de um programa, o tratamento automatizado de dados informáticos, bem como a rede que suporta a comunicação entre eles e o conjunto de dados informáticos armazenados, tratados, recuperados ou transmitidos por aquele ou aqueles dispositivos, tendo em vista o seu funcionamento, utilização, protecção e manutenção;
    b) «Dados informáticos», qualquer representação de factos, informações ou conceitos sob uma forma susceptível de processamento num sistema informático, incluindo os programas aptos a fazerem um sistema informático executar uma função;
    …"
    
    Cópia local (PDF, 251 KB) | Fonte: DR.E - http://dre.pt/pdf1sdip/2009/09/17900/0631906325.pdf
    
    Código Penal
    (Decreto-Lei n.º 48/95, de 15 de Março)
    
    Artigo 193.º - Devassa por meio de informática
    
    Artigo 221.º - Burla informática e nas comunicações
    
    O artigo 221.º foi alterado pela Lei n.º 65/98, de 2 de Setembro.
    (in DGPJ: Diplomas que publicam, alteram e regulamentam o Código Penal. MJ-DGPJ. http://www.dgpj.mj.pt/sections/leis-da-justica/livro-iv-leis-criminais/leis-criminais/codigo-penal/diplomas-que-publicam . 2009-03-10.)
    
    Cópia local (PDF, 6 MB) | Fonte: MJ-DGPJ - http://www.dgpj.mj.pt/DGPJ/sections/leis-da-justica/pdf-leis2/dl-48-1995/downloadFile/file/DL_48_1995.pdf
    
    Lei do Acesso aos Documentos Administrativos (LADA)
    (Art.º 8.º n.º 3 da Lei 65/93, de 26 de Agosto, alterada pelas Leis 8/95, de 29 de Março, e 94/99, de 16 de Julho)
    
    p.ex.: "A comunicação de dados de saúde, incluindo dados genéticos, ao respectivo titular faz-se por intermédio de médico por ele designado."
    
    Cópia local (PDF, 160 KB) | Fonte: DR.E - http://dre.pt/pdf1sdip/1993/08/200a00/45244527.PDF
    
    Retenção de Dados
    (Lei n.º 32/2008, de 15 de Setembro - adoptada em Julho de 2009)
    
    "Transpõe para a ordem jurídica interna a Directiva n.º 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de Março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações."
    
    Cópia local (PDF, 180 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/nacional/Lei32-2008_retencao_dados.pdf
    
    Portaria n.º 469/2009, de 06 de Maio
    (alterada posteriormente pela Portaria n.º 915/2009)
    
    "…vem definir em que condições devem ser transmitidos os dados e determinar as condições técnicas e de segurança que os operadores terão de assegurar nas suas estruturas para fornecer dados à justiça, sempre que solicitados de acordo com os parâmetros definidos."
    
    "Estabelece os termos das condições técnicas e de segurança em que se processa a comunicação electrónica para efeitos da transmissão de dados de tráfego e de localização relativos a pessoas singulares e a pessoas colectivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado."
    
    Cópia local (PDF, 287 KB) | Fonte: DR.E - http://dre.pt/util/getpdf.asp?s=sum&serie=1&iddr=2009.87&iddip=20091077
    
    Portaria n.º 915/2009, de 18 de Agosto
    (altera a Portaria n.º 469/2009)
    
    'Primeira alteração à Portaria n.º 469/2009, de 6 de Maio, que "estabelece os termos das condições técnicas e de segurança em que se processa a comunicação electrónica para efeitos da transmissão de dados de tráfego e de localização relativos a pessoas singulares e a pessoas colectivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado" '
    
    Cópia local (PDF, 280 KB) | Fonte: DGPJ - http://www.dgpj.mj.pt/sections/leis-da-justica/pdf-ult2/portaria-n-915-2009-de/downloadFile/file/Portaria%20915.2009.pdf?nocache=1250582769.97
    
    Lei das comunicações electrónicas
    (Lei n.º 5/2004, de 10 de Fevereiro)
    
    "A presente lei estabelece o regime jurídico aplicável às redes e serviços de comunicações electrónicas e aos recursos e serviços conexos e define as competências da autoridade reguladora nacional neste domínio, no âmbito do processo de transposição das Directivas n.º 2002/19/CE, 2002/20/CE, 2002/21/CE, e 2002/22/CE, todas do Parlamento Europeu e do Conselho, de 7 de Março, e da Directiva n.º 2002/77/CE, da Comissão, de 16 de Setembro.
    
    "1 - Excluem-se do âmbito de aplicação da presente lei:…
    
    Alterada pela segunda vez através da Lei n.º 35/2008 de 28 de Julho.
    
    Cópia local (PDF, 272 KB) | Fonte: DR.E - http://www.dre.pt/pdf1s/2004/02/034A00/07880821.pdf
    
    Tratamento de dados pessoais no sector das telecomunicações
    (Lei n.º 69/98, de 28 de Outubro)
    
    "Regula o tratamento dos dados pessoais e a protecção da privacidade no sector das telecomunicações (transpõe a Directiva n.º 97/66/CE, do Parlamento Europeu e do Conselho, de 15 de Dezembro de 1997)."
    
    "1 - A presente lei aplica-se ao tratamento de dados pessoais no sector das telecomunicações, especificando e complementando as disposições da Lei da Protecção de Dados Pessoais.
    
    Cópia local (PDF, 132 KB) | Fonte: MFAP-Instituto de Informática - http://www.inst-informatica.pt/v20/legislacao/docs/Lei69_98de19981028.pdf
    
    Entidade que exerce funções de instância nacional de controlo (…) EUROPOL
    (Lei n.º 68/98, de 26 de Outubro)
    
    "Determina a entidade que exerce as funções de instância nacional de controlo e a forma de nomeação dos representantes do Estado Português na instância comum de controlo, previstas na Convenção, fundamentada no artigo K.3 do Tratado da União Europeia, Que Cria Um Serviço Europeu de Polícia (EUROPOL)."
    
    Cópia local (PDF, 90 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/nacional/Lei68-98.pdf
    
    Ficheiro central de pessoas colectivas
    (Portaria n.º 599/93, de 23 de Junho)
    
    "Considerando que, por força do disposto no n.º 3 do artigo 59.º e no n.º 3 do artigo 60.º do Decreto-Lei n.º 42/89, de 3 de Fevereiro, as condições jurídicas e financeiras do acesso à informação contida no ficheiro central de pessoas colectivas devem ser fixadas por portaria do Ministro da Justiça…"
    
    "1.º A informação nominativa relativa a entidades sujeitas a registo comercial é prestada a qualquer pessoa, a seu pedido."
    
    Cópia local (PDF, 171 KB) | Fonte: DR.E - http://www.dre.pt/pdf1s%5C1993%5C06%5C145B00%5C34533454.pdf
    
    Regime legal que regulamenta a base de dados de emissão de passaportes
    (Decreto-Lei n.º 86/2000, de 12 de Maio)
    
    "O recurso às novas tecnologias de informação constitui, para além de factor de modernidade e de desburocratização, no que à emissão de passaportes concerne, um factor de segurança.
    
    A Lei n.º 67/98, de 26 de Outubro, estabelece que o tratamento dos dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais do cidadão.
    
    O presente diploma cria a base de dados de emissão dos passaportes (BADEP), cuja gestão é cometida ao Serviço de Estrangeiros e Fronteiras, do Ministério da Administração Interna (SEF/MAI), não só pela sua vocação em razão da matéria, no controlo das entradas e saídas de território nacional, como também pela sua qualificação de centro informático de grande dimensão.
    
    Foi ouvida, nos termos legalmente estipulados, a Comissão Nacional de Protecção de Dados (CNPD)."
    
    Alterado pelo Decreto-Lei n.º 139/2006 de 26 de Julho.
    
    Cópia local (PDF, 38 KB) | Fonte: DR.E - http://www.dre.pt/pdf1s%5C2000%5C05%5C110A00%5C20902090.pdf
    
    Transposição para a Ordem Jurídica Nacional a Directiva n.º 2000/31/CE do Parlamento Europeu (Comércio Electrónico)
    (Decreto-Lei n.º 7/2004, de 7 de Janeiro)
    
    "1 - O presente diploma destina-se fundamentalmente a realizar a transposição da Directiva n.º 2000/31/CE, do Parlamento Europeu e do Conselho, de 8 de Junho de 2000. A directiva sobre comércio electrónico, não obstante a designação, não regula todo o comércio electrónico: deixa amplas zonas em aberto ou porque fazem parte do conteúdo de outras directivas ou porque não foram consideradas suficientemente consolidadas para uma harmonização comunitária ou, ainda, porque não carecem desta. Por outro lado, versa sobre matérias como a contratação electrónica, que só tem sentido regular como matéria de direito comum e não apenas comercial.
    
    Na tarefa de transposição, optou-se por afastar soluções mais amplas e ambiciosas para a regulação do sector em causa (…) Mesmo assim, aproveitou-se a oportunidade para, lateralmente, versar alguns pontos carecidos de regulação na ordem jurídica portuguesa que não estão contemplados na directiva."
    
    "2 - A directiva pressupõe o que é já conteúdo de directivas anteriores. Particularmente importante é a directiva sobre contratos à distância, já transposta para a lei portuguesa pelo Decreto-Lei n.º 143/2001…
    
    Uma das finalidades principais da directiva é assegurar a liberdade de estabelecimento e de exercício da prestação de serviços da sociedade da informação…"
    
    Cópia local (PDF, 155 KB) | Fonte: DR.E - http://dre.pt/pdf1sdip/2004/01/005A00/00700078.pdf
    
    Regime jurídico dos documentos electrónicos e assinatura digital
    (Decreto-Lei n.º 290-D/99, de 2 de Agosto)
    
    "A Resolução do Conselho de Ministros n.º 115/98, de 1 de Setembro, determinou a definição do regime jurídico aplicável aos documentos electrónicos e assinatura digital, como um dos objectivos a alcançar no âmbito da Iniciativa Nacional para o Comércio Electrónico, necessário à plena afirmação do comércio electrónico."
    
    Alterado por Decreto-Lei aprovado na reunião do Conselho de Ministros de 05 de Março de 2009.
    
    Cópia local (PDF, 74 KB) | Fonte: DR.E - http://www.dre.pt/pdf1sdip/1999/08/178A01/00020011.PDF
    
    Decreto Regulamentar n.º 25/2004, de 15 de Julho
    (Regulamenta o DL n.º 290-D/99, de 2 de Agosto, que aprova o regime jurídico dos documentos electrónicos e da assinatura digital)
    
    "Em execução do regime jurídico que disciplina a validade, eficácia e valor probatório dos documentos electrónicos, a assinatura electrónica e a actividade de credenciação das entidades certificadoras estabelecidas em Portugal, constante do Decreto-Lei n.º 290-D/99, de 2 de Agosto, com as alterações que lhe foram introduzidas pelo Decreto-Lei n.º 62/2003, de 3 de Abril, o presente diploma visa aprovar as regras técnicas e de segurança exigíveis às entidades certificadoras que emitem certificados qualificados, regulamentando ainda alguns aspectos específicos relacionados com a credenciação das entidades certificadoras."
    
    Cópia local (PDF, 156 KB) | Fonte: GNS - http://www.gns.gov.pt/NR/rdonlyres/1E9B4C6B-8CE4-43E9-9E8E-957433B97FB8/0/DR_25_2004.pdf
    
    Decreto-Lei n.º 116-A/2006, de 16 de Junho
    
    Cria o Sistema de Certificação Electrónica do Estado.
    
    Alterado por Decreto-Lei aprovado na reunião do Conselho de Ministros de 05 de Março de 2009.
    
    Cópia local (PDF, 109 KB) | Fonte: DR.E - http://www.dre.pt/pdf1sdip/2006/06/115A02/00040008.PDF
    
    Equiparação de factura electrónica à factura em papel
    (Decreto-Lei n.º 375/99, de 18 de Setembro)
    
    "A Resolução do Conselho de Ministros n.º 115/98, de 1 de Setembro, que criou a Iniciativa Nacional para o Comércio Electrónico, estabelece como um dos objectivos a concretizar no seu âmbito a definição de um quadro legislativo e regulamentar que crie as condições necessárias ao pleno desenvolvimento do comércio electrónico. Um dos diplomas que, neste contexto, expressamente se refere como devendo ser adoptado é o definidor do regime jurídico aplicável às facturas electrónicas.
    (…)
    Assim, com o presente diploma consagra-se, fundamentalmente, o princípio básico da equiparação da factura electrónica à factura em papel, remetendo-se para diploma complementar os aspectos regulamentares de teor mais técnico."
    
    Cópia local (PDF, 58 KB) | Fonte: MFAP-Instituto de Informática - http://http://www.inst-informatica.pt/legislacao-e-directivas/comercio-electronico-1/375-1999.pdf
    
    Resolução do Conselho de Ministros 137/2005, de 17 de Agosto - Série I-B - nº 157
    (Determina a adopção do sistema de facturação electrónica pelos serviços e organismos da Administração Pública)
    
    "No plano legislativo, e precisamente com vista a propiciar a expansão do comércio electrónico, foi definido o quadro legal aplicável à factura electrónica. Em 1999, com a aprovação do Decreto-Lei nº 375/99, de 18 de Setembro, estabeleceu-se a equiparação entre a factura emitida em suporte papel e a factura electrónica. Em 2003, na sequência da adopção da Directiva nº 2001/115/CE, do Conselho, de 20 de Dezembro, que alterou a Directiva nº 77/388/CEE, do Conselho, de 17 de Maio, relativa ao sistema comum do imposto sobre o valor acrescentado (IVA), foi aprovado o Decreto-Lei nº 256/2003, de 21 de Outubro, que transpôs para a ordem jurídica nacional esta directiva, tendo em vista simplificar, modernizar e harmonizar as condições aplicáveis à facturação em matéria de IVA. Este decreto-lei revogou o Decreto-Lei nº 375/99, bem como a respectiva regulamentação (Decreto Regulamentar nº 16/2000, de 2 de Outubro, e Portaria nº 52/2002, de 12 de Janeiro)."
    (…)
    
    "1 - Determinar que até 31 de Dezembro de 2006 os serviços e organismos públicos integrados na administração directa e indirecta do Estado devem implementar os mecanismos necessários que permitam que, no âmbito de operações susceptíveis de processamento electrónico, as respectivas facturas ou documentos equivalentes sejam sempre emitidos por via electrónica, nos termos legais."
    
    Certificação de plataformas electrónicas no âmbito do Código dos Contratos Públicos
    
    "Em 19 de Dezembro de 2008, foi emitido o despacho do Ministro de Estado e das Finanças, do Ministro das Obras Públicas, Transportes e Comunicações, do Ministro da Ciência, Tecnologia e Ensino Superior e do Secretário de Estado da Presidência do Conselho de Ministros que atribui as funções de entidade supervisora das plataformas electrónicas previstas no Código dos Contratos Públicos ao Centro de Gestão da Rede Informática do Governo (CEGER).
    
    Este despacho foi publicado em suplemento à 2.ª série do Diário da República de 26 de Dezembro de 2008 (consultar Despacho n.º 32639-A/2008, de 26 de Dezembro). As entidades gestoras das plataformas electrónicas, para que possam exercer a sua actividade, devem nomear, obrigatoriamente, um auditor de segurança, o qual deve estar credenciado pelo Gabinete Nacional de Segurança para o exercício desta actividade."
    
    Versão local (PDF, 87 KB)| Fonte: CEGER - http://www.ceger.gov.pt/ceger/pt/contratospub.htm
    
    Envio de troca electrónica das declarações de introdução no consumo
    (Despacho Normativo n.º 25/2003, de 29 de Maio)
    
    "Estabelece a faculdade de envio, por troca electrónica de dados, das declarações de introdução no consumo (DIC) a apresentar à Direcção-Geral das Alfândegas e dos Impostos Especiais sobre o Consumo no âmbito dos impostos especiais sobre o consumo e a obrigatoriedade, para os grandes operadores, do envio electrónico tanto das DIC como do documento administrativo de acompanhamento (DAA) a partir de 1 de Abril de 2004 (p. 3289)"
    
    Cópia local (PDF, 190 KB) | Fonte: DR.E - http://www.dre.pt/pdfgratis/2003/05/124B00.pdf
    
    Regulação do sistema de informática dos tribunais administrativos e fiscais
    (Portaria n.º 1417/2003, de 30 de Dezembro)
    
    "A presente portaria regula o funcionamento do sistema informático dos Tribunais Administrativos e Fiscais (SITAF) e estabelece aspectos específicos da apresentação de peças processuais e documentos por via electrónica, da tramitação informática e do tratamento digital dos processos dos tribunais da jurisdição administrativa e fiscal."
    
    Cópia local (PDF, 114 KB) | Fonte: MJ-DGPJ - http://www.dgpj.mj.pt/DGPJ/sections/leis-da-justica/pdf-portaria/p-1417-2003/downloadFile/file/P_1417_2003.pdf
    
    Transmissão de dados de declarações de IRS
    (Portaria n.º 51/2004, de 16 de Janeiro)
    
    "O Governo tem vindo a impulsionar a utilização de novas tecnologias no cumprimento das obrigações declarativas de natureza tributária.
    
    A redução dos prazos de caducidade do direito à liquidação dos impostos e consequente necessidade de actuação célere da Administração exigem a disponibilização atempada da informação necessária ao controlo fiscal, a qual é particularmente premente no caso das declarações de rendimentos e de retenções das entidades devedoras, imprescindíveis para o respectivo cruzamento.
    
    Importa, por isso, antecipar o prazo de entrega da declaração a que se refere a alínea c) do n.º 1 do artigo 119.º do Código do IRS, destacando-a da declaração anual contabilística e fiscal a que se referem os artigos 113.º do Código do IRS e do Código do IRC, o que foi feito por alteração ao Código do IRS, e tornar obrigatória a sua entrega através da Internet, inclusive, para os serviços e organismos da Administração Pública."
    
    Cópia local (PDF, 72 KB) | Fonte: MF-DGCI-Declarações Electrónicas - http://www.e-financas.gov.pt/ajuda/DGCI/Portaria%2051%202004.pdf
    
    Obrigatoriedade do envio da declaração periódica do IVA por transmissão electrónica
    (Portaria n.º 375/2003, de 10 de Maio)
    
    "Institui a obrigatoriedade aos sujeitos passivos do IVA do envio por transmissão electrónica de dados da declaração periódica a que se refere a alínea c) do n.º 1 do artigo 28.º do Código do IVA, bem como dos anexos nela referidos."
    
    Cópia local (PDF, 128 KB) | Fonte: MF-DGCI - http://www.dgci.min-financas.pt/NR/rdonlyres/0EE3444B-2C8E-4FF7-A061-86873C15A50B/0/portaria_375-2003_de_10_de_maio.pdf
    
    Regime do envio por transmissão electrónica de dados a apresentar à Direcção-Geral das Alfândegas
    (Despacho Normativo n.º 42/2003, de 9 de Outubro)
    
    "Estabelece o regime de envio, por transmissão electrónica de dados, de declarações de trânsito comunitário/comum a apresentar à Direcção-Geral das Alfândegas e dos Impostos Especiais sobre o Consumo."
    
    Cópia local (PDF, 132 KB) | Fonte: MF-DGCI - http://www.dgci.min-financas.pt/NR/rdonlyres/6A4C473D-2EEC-4318-9A88-71DE31E47C1C/0/despacho_normativo_n_42-2003_de_9_de_outubro.pdf
    
    Obrigatoriedade do envio das relações de descontos para a Caixa Geral de Aposentações em suporte digital
    (Decreto-Lei n.º 8/2003, de 18 de Janeiro)
    
    "O Estatuto da Aposentação e o Estatuto das Pensões de Sobrevivência estabelecem a obrigatoriedade de os serviços que processam remunerações sujeitas a quota para a Caixa Geral de Aposentações (CGA) procederem ao desconto desta nas folhas ou recibos de pagamento e preencherem relação discriminativa dos descontos efectuados, em impresso de modelo aprovado oficialmente, que remetem à CGA, seja directamente, seja através da Direcção-Geral do Orçamento."
    
    Cópia local (PDF, 92 KB) | Fonte: FCUP - http://www.fc.up.pt/leis/DL.8.2003.PDF
    
    Autorização para legislar sobre matéria de tratamento e interconexão de dados
    (Lei n.º 21/2003, de 26 de Junho)
    
    "Fica o Governo autorizado a legislar em matéria de tratamento e interconexão dos dados constantes das informações a prestar pelas instituições de crédito mutuantes em relação a cada um dos contratos de empréstimo bonificado à habitação, de acordo com as disposições seguintes.
    (…)
    A presente lei de autorização é concedida para permitir o acompanhamento, verificação e fiscalização do cumprimento do disposto no Decreto-Lei n.º 349/98, de 11 de Novembro, alterado pelos Decretos-Leis n.^os 137-B/99, de 22 de Abril, e 320/2000, de 15 de Dezembro, e respectiva regulamentação."
    
    Cópia local (PDF, 159 KB) | Fonte: DR.E - http://www.dre.pt/pdfgratis/2003/06/145A00.pdf
    
    Tratamento e interconexão de dados das instituições de crédito
    (Decreto-Lei n.º 279/2003, de 8 de Novembro)
    
    "No uso da autorização legislativa concedida pela Lei n.º 21/2003, de 26 de Junho, estabelece as regras gerais a que devem obedecer o tratamento e a interconexão dos dados constantes das informações a prestar pelas instituições de crédito mutuantes em relação a cada um dos contratos de empréstimo à habitação bonificados."
    
    Cópia local (PDF, 136 KB) | Fonte: MF-DGCI - http://www.dgci.min-financas.pt/NR/rdonlyres/82179AB1-1C3D-424D-B134-5BC88BE86231/0/decreto-lei_279-2003_de_8_de_novembro.pdf
    
    Regulamento da Comissão Nacional de Protecção de Dados Pessoais Informatizados (CNPDPI)
    (Resolução da Assembleia da República n.º 53/94)
    
    "A Assembleia da República resolve, nos termos do artigo 169.º, n.º 5, da Constituição, aprovar, para os efeitos do disposto no artigo 10.º, n.º 3, da Lei n.º 10/91, de 29 de Abril, o Regulamento da Comissão Nacional de Protecção de Dados Pessoais Informatizados, cujo texto segue em anexo.
    …"
    
    Cópia local (PDF, 154 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/nacional/Regu.htm
    
    Mecanismos de controlo e fiscalização do sistema de informação Shengen
    (Lei n.º 2/94, de 19 de Fevereiro)
    
    "O presente diploma visa institucionalizar os mecanismos de controlo e fiscalização da parte nacional do Sistema de Informação Schengen."
    
    Versão local (PDF, 136 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/nacional/lei_294.htm
    
    Resolução da Assembleia da República n.º 88/2009
    [Aprovação da Convenção sobre o Cibercrime]
    
    "Aprova a Convenção sobre o Cibercrime, adoptada em Budapeste em 23 de Novembro de 2001, cujo texto, na versão autenticada na língua inglesa, assim como a respectiva tradução para a língua portuguesa, se publica em anexo."
    
    Cópia local (PDF, 334 KB) | Fonte: DR.E - http://dre.pt/pdf1sdip/2009/09/17900/0635406378.pdf
    
    Resolução da Assembleia da República n.º 91/2009
    
    "Aprova o Protocolo Adicional à Convenção sobre o Cibercrime Relativo à Incriminação de Actos de Natureza Racista e Xenófoba Praticados através de Sistemas Informáticos, adoptado em Estrasburgo em 28 de Janeiro de 2003".
    
    Versão local (PDF, 241 KB) | Fonte: DR.E - http://dre.pt/pdf1sdip/2009/09/17900/0641506421.pdf
    
    Decreto do Presidente da República n.º 94/2009
    (Presidência da República)
    
    "É ratificado o Protocolo Adicional à Convenção sobre o Cibercrime Relativo à Incriminação de Actos de Natureza Racista e Xenófoba Praticados através de Sistemas Informáticos, adoptado em Estrasburgo em 28 de Janeiro de 2003, aprovado pela Resolução da Assembleia da República n.º 91/2009, em 10 de Julho de 2009."
    
    Versão local (PDF, 217 KB) | Fonte: DR.E - http://dre.pt/pdf1sdip/2009/09/17900/0631906319.pdf
- [•] Comunitária
  - Anotações relativas à Carta dos Direitos Fundamentais
    
    "As presentes anotações, inicialmente elaboradas sob a responsabilidade do Praesidium da Convenção que redigiu a Carta dos Direitos Fundamentais da União Europeia, foram actualizadas sob a responsabilidade do Praesidium da Convenção Europeia, à luz das adaptações ao texto (nomeadamente aos artigos 51.o e 52.o) da Carta introduzidas pela Convenção Europeia e da evolução do direito da União. Embora não tenham em si força de lei, constituem um valioso instrumento de interpretação destinado a clarificar as disposições da Carta."
    
    Versão local (PDF, 180 KB) | Fonte: EUR-Lex - http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32007X1214(01):PT:HTML
    
    Privacidade no sector das comunicações electrónicas
    Directiva 2002/58/CE do Parlamento Europeu e do Conselho de 12 de Julho de 2002 relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas)
    
    Alterada pela Directiva 2006/24/CE do Parlamento Europeu e do Conselho de 15 de Março de 2006
    
    Cópia local (PDF, 170 KB) | Fonte: EUR-Lex - http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:PT:PDF
    
    Directiva 2006/24/CE do Parlamento Europeu e do Conselho de 15 de Março de 2006 [privacidade no sector das comunicações electrónicas]
    (Relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Directiva 2002/58/CE)
    
    "1. A presente directiva visa harmonizar as disposições dos Estados-Membros relativas às obrigações dos fornecedores de serviços de comunicações electrónicas publicamente disponíveis ou de uma rede pública de comunicações em matéria de conservação de determinados dados por eles gerados ou tratados,tendo em vista garantir a disponibilidade desses dados para efeitos de investigação, de detecção e de repressão de crimes graves, tal como definidos no direito nacional de cada Estado-Membro.
    
    2. A presente directiva é aplicável aos dados de tráfego e aos dados de localização relativos quer a pessoas singulares quer a pessoas colectivas, bem como aos dados conexos necessários para identificar o assinante ou o utilizador registado. Apresente directiva não é aplicável ao conteúdo das comunicações electrónicas, incluindo as informações consultadas utilizando uma rede de comunicações electrónicas."
    
    Cópia local (PDF, 96 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/internacional/DIR2006-24-CE.pdf
    
    Privacidade no sector das telecomunicações
    (Directiva 97/66/CE do Parlamento Europeu e do Conselho, de 15 de Dezembro de 1997 relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das telecomunicações)
    
    "(1) Considerando que a Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados 4, impõe aos Estados-membros a garantia dos direitos e liberdades das pessoas singulares no que respeita ao tratamento de dados pessoais, nomeadamente o seu direito à privacidade, com o objectivo de assegurar a livre circulação de dados pessoais na Comunidade;
    
    (2) Considerando que a confidencialidade das comunicações é garantida em conformidade com os instrumentos internacionais relativos aos direitos humanos (nomeadamente a Convenção Europeia para a Protecção dos Direitos do Homem e das Liberdades Fundamentais) e com as Constituições dos Estados membros;
    
    (3) Considerando que estão actualmente a ser introduzidas nas redes públicas de telecomunicações da Comunidade Europeia novas tecnologias digitais avançadas, que suscitam requisitos específicos de protecção de dados pessoais e da privacidade do utilizador; que o desenvolvimento da sociedade da informação se caracteriza pela introdução de novos serviços de telecomunicações; que o desenvolvimento transfronteiras bem sucedido desses serviços, como o vídeo a pedido e a televisão interactiva, depende em parte da confiança dos utilizadores na garantia da sua privacidade;"
    
    "…A presente directiva prevê a harmonização das disposições dos Estados-membros necessárias para garantir um nível equivalente de protecção dos direitos e liberdades fundamentais, nomeadamente o direito à privacidade, no que respeita ao tratamento de dados pessoais no sector das telecomunicações e para garantir a livre circulação desses dados e de equipamentos e serviços de telecomunicações na Comunidade."
    
    Cópia local (PDF, 58 KB) | Fonte: ANACOM - http://www.anacom.pt/streaming/97.66.CE.pdf?categoryId=59229&contentId=93936&field=ATTACHED_FILE
    
    Directiva n.º 2000/31/CE do Parlamento Europeu (Comércio Electrónico)
    (Transposta para a Ordem Jurídica Nacional pelo Decreto-Lei n.º 7/2004, de 7 de Janeiro)
    
    "1 - A presente directiva tem por objectivo contribuir para o correcto funcionamento do mercado interno, garantindo a livre circulação dos serviços da sociedade da informação entre Estados-Membros."
    
    Cópia local (PDF, 135 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/internacional/DIR00-31-CE.pdf
    
    Data Protection - European Commission
    (ref. a site )
    
    "Developments of a frontier free Internal Market and of the so called 'information society' increase the cross-frontier flows of personal data between Member States of the EU. In order to remove potential obstacles to such flows and to ensure a high level of protection within the EU, data protection legislation has been harmonised. The Commission also engages in dialogues with non-EU countries in order to insure a high level of protection when exporting personal data to those countries. It also initiates studies on the development on European and international level on the state of data protection."
    
    Página | Justice and Home Affairs - Data Protection - Homepage - http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm | in: UE-CE-CORDIS - http://cordis.europa.eu/fp7/ethics-ict_en.html#websites
    
    Protecção de dados pessoais. Actos normativos. Actos preparatórios. Outros actos.
    (ref. a site )
    
    Informação sobre legislação e normas da União Europeia relativas à protecção de dados pessoais: portal (links e resumos).
    
    Página | [EUR-Lex] Protecção de dados pessoais - http://eur-lex.europa.eu/pt/dossier/dossier_02.htm
    
    Protecção da privacidade. Actos normativos. Actos preparatórios. Outros actos.
    (ref. a site )
    
    Informação sobre legislação e normas da União Europeia relativas à protecção da privacidade: portal (links e resumos).
    
    Página | [EUR-Lex] Protecção da privacidade - http://eur-lex.europa.eu/pt/dossier/dossier_27.htm
    
    Proposta de Decisão-quadro do Conselho relativa a ataques contra os sistemas de informação.
    (2002)
    
    "Os ataques contra os sistemas informação constituem uma ameaça contra a criação de uma sociedade da informação mais segura e de um espaço de liberdade, de segurança e de justiça, sendo conveniente, portanto, dar-lhe uma resposta a nível da União Europeia. A presente proposta da decisão-quadro, relativa à aproximação do direito penal em matéria de ataques contra os sistemas de informação, increve-se no quadro do contributo da Comissão para essa resposta."
    
    "Visado posteriormente por: parecer PE 52002AP0495 parecer modificativo"
    
    Cópia local (PDF, 242 KB) | Fonte: [EUR-Lex] - http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2002:0173:FIN:NL:PDF
- [•] Internacional
  - ONU: Declaração Universal dos Direitos Humanos
    
    "Proclama a presente Declaração Universal dos Direitos do Homem como ideal comum a atingir por todos os povos e todas as nações, a fim de que todos os indivíduos e todos os órgãos da sociedade, tendo-a constantemente no espírito, se esforcem, pelo ensino e pela educação, por desenvolver o respeito desses direitos e liberdades e por promover, por medidas progressivas de ordem nacional e internacional, o seu reconhecimento e a sua aplicação universais e efectivos tanto entre as populações dos próprios Estados membros como entre as dos territórios colocados sob a sua jurisdição.
    
    Artigo 1.º
    
    Todos os seres humanos nascem livres e iguais em dignidade e em direitos. Dotados de razão e de consciência, devem agir uns para com os outros em espírito de fraternidade."
    
    Cópia local (PDF, 190 KB) | Fonte: DR.E - http://www.dre.pt/comum/html/legis/dudh.html . 2009-03-09.
    
    Convenção para protecção das pessoas relativamente ao tratamento automatizado de dados de carácter pessoal
    (Estrasburgo, 28 de Janeiro de 1981)
    
    "Preâmbulo.
    
    Os Estados membros do conselho da Europa, signatários da presente Convenção: Considerando que a finalidade do Conselho da Europa é conseguir uma união mais estreita entre os seus membros, nomeadamente no respeito pela supremacia do direito, bem como dos direitos do homem e das liberdades fundamentais;
    
    Considerando desejável alargar a protecção dos direitos e das liberdades fundamentais de todas as pessoas, nomeadamente o direito ao respeito pela vida privada, tendo em consideração o fluxo crescente, através das fronteiras, de dados de carácter pessoal susceptíveis de tratamento automatizado;
    
    Reafirmando ao mesmo tempo o seu empenhamento a favor da liberdade de informação sem limite de fronteiras;
    
    Reconhecendo a necessidade de conciliar os valores fundamentais do respeito pela vida privada e da livre circulação entre os povos, acordaram o seguinte: …"
    
    Versão local (PDF, 160 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/internacional/Convencao108.htm
    
    [Conselho da Europa:] Convenção sobre o Cibercrime
    (Budapeste - 23 de Novembro de 2001)
    
    Convenção internacional sobre o cibercrime aprovada em 2001-11-23 na cidade de Budapeste.
    
    Cópia local (PDF, 241 KB) | Fonte: MJ-DGPJ - http://www.dgpj.mj.pt/sections/relacoes-internacionais/copy_of_anexos/convencao-sobre-o/downloadFile/attachedFile_f0/STE_185.pdf
    
    EUA: Anti-slamming Amendments Act
    
    "Committee on Commerce: Subcommittee on Telecommunications, Trade, and Consumer Protection approved for full Committee action amended H.R. 3888, Anti-slamming Amendments Act."
    ( in http://fdsys.gpo.gov/fdsys/pkg/CREC-1998-08-06/pdf/CREC-1998-08-06-pt2-PgD907-3.pdf )
    
    "The Committee on Commerce, Science, and Transportation, to which was referred the bill (S. 1618), a Bill To amend the Communications Act of 1934 to improve the protection of consumers against ''slamming'' by telecommunications carriers, and for other purposes, reports favorably thereon with amendments and recommends that the bill (as amended) do pass."
    
    Cópia local (PDF, 180 KB) | Fonte: US Government Printing Office - FDsys - http://fdsys.gpo.gov/fdsys/pkg/CRPT-105srpt183/pdf/CRPT-105srpt183.pdf
- [•] Jurisprudência
  - [Vigilância à distância no local de trabalho]
    
    Supremo Tribunal de Justiça. Secção Social. [2006-03-16]
    Processo n.º 3139/05 - 4.º Secção. Acordão.
    
    "O Sindicato dos Trabalhadores da Química, Farmacêutica e Gás do Centro Sul e Ilhas intentou a presente acção declarativa contra a União dos Farmacêuticos de Portugal, CRL, pedindo a condenação da Ré a retirar as máquinas de filmar dos locais de trabalho onde os trabalhadores exercem as suas funções, alegando, em resumo, que a Ré colocou diversas câmaras de filmar/vídeo em todo o espaço onde os trabalhadores exercem as suas tarefas e cuja actividade é assim permanentemente vigiada, com violação dos direitos de imagem consagrados nos artigos 26.°, n.° 1, da Constituição da República, e 70.° e 79.° do Código Civil."
    …
    "Esta matéria tem sido também objecto de tratamento legislativo em diversos quadrantes. O Código de Trabalho, aprovado pela Lei n.º 99/2003, de 27 de Agosto, veio regular inovatoriamente a instalação de meios de vigilância nos locais de trabalho, estatuindo, no seu artigo 20.º, o seguinte:
    
    '1 - O empregador não pode utilizar meios de vigilância à distância no local de trabalho, mediante o emprego de equipamento tecnológico, com a finalidade de controlar o desempenho profissional do trabalhador.
    2 - A utilização do equipamento identificado no número anterior é lícita sempre que tenha por finalidade a protecção e segurança de pessoas e bens ou quando particulares exigências inerentes à natureza da actividade o justifiquem.
    3 - Nos casos previstos no número anterior o empregador deve informar o trabalhador sobre a existência e finalidade dos meios de vigilância utilizados.' "
    …
    "6. Decisão
    
    Termos em que acordam em conceder a revista, revogar a decisão recorrida e julgar procedente a acção, condenando a Ré a retirar as câmaras de video do local designado como armazém, onde os trabalhadores desempenham a sua actividade laboral."
    
    ["…nas circunstâncias do caso…" ; "…vigilância individualmente dirigida…" ; "…incidindo directamente sobre os trabalhadores…"]
    
    Cópia local (PDF, 407 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/legis/juris/decisoes/Sindicato.pdf . 2009-02-26.
    
    [Nota: o texto foi extraído através de OCR pelo que poderá conter imprecisões.]
- [•] Pareceres
  - Transposição para a ordem jurídica interna da Directiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de Março de 2006 - Anteprojecto de proposta de lei.
    
    CNPD. 2007-07-16. Parecer n.º 38/2007
    
    "Sua Excelência o Ministro da Justiça solicitou a esta Comissão parecer urgente sobre o anteprojecto de proposta de lei que transpõe para a ordem jurídica interna a Directiva n.º 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de Março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações.
    Nos termos do artigo 23º, n.º 1, alínea a) da Lei n.º 67/98, de 26 de Outubro cumpre emitir o competente parecer…"
    
    "O prazo de conservação fixado pelo legislador nacional no artigo 6º do projecto é o máximo que o legislador comunitário permite quanto à conservação deste tipo de dados. Outros países europeus com situações de grande fluxos migratórios e atentados terroristas adoptaram prazos inferiores. A opção legislativa não está justificada. Por outro lado, potencia riscos em matéria de protecção de dados, designadamente acessos indevidos e desvio de finalidade. O legislador deve pautar-se nesta matéria por critérios de proporcionalidade e de necessidade"
    …
    
    Versão local (PDF, 99 KB) | Fonte: CNPD - http://www.cnpd.pt/bin/decisoes/2007/htm/par/par038-07.htm
- [•] Links úteis
  - Ministério da Justiça. ITIJ - Instituto das Tecnologias de Informação na Justiça.
    
    ITIJ - Bases Jurídico-Documentais. http://www.dgsi.pt/
    
    Ministério da Justiça. ITIJ.
    
    Legislação no âmbito da Sociedade de Informação. http://www.itij.mj.pt/sections/legislacao/ . 2009-02-27.
    
    Ministério da Justiça. DGPJ - Direcção-Geral da Política de Justiça.
    
    DGPJ: Página Inicial. http://www.dgpj.mj.pt/DGPJ/sections/home/
    
    INCM - Imprensa Nacional - Casa da Moeda.
    
    Diário da República Electrónico. http://dre.pt/
    
    CNPD - Comissão Nacional de Protecção de Dados.
    
    Diário da República Electrónico. http://www.cnpd.pt/
    
    Presidência do Conselho de Ministros. Agência para a Modernização Administrativa.
    
    Cartão de Cidadão - Legislação. http://www.cartaodocidadao.pt/index.php?option=com_content&task=view&id=107&Itemid=26&lang=pt . 2009-03-04
    
    UE: Acesso ao Direito da União Europeia
    
    EUR-Lex. http://eur-lex.europa.eu/pt/index.htm
    
    UE: Protecção de dados pessoais. Actos normativos. Actos preparatórios. Outros actos.
    
    [EUR-Lex] Protecção de dados pessoais. http://eur-lex.europa.eu/pt/dossier/dossier_02.htm
    
    UE: Justice and Home Affairs. Data Protection.
    
    Justice and Home Affairs - Data Protection - Homepage. http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm . 2009-03-04

[•] Boas práticas
- [•] Guias e Orientações
  - PT: Princípios sobre a Utilização de Dados Biométricos no Âmbito do Controlo de Acessos e de Assiduidade
    
    Orientações da CNDP. 26 de Fevereiro de 2004. [CNPD - Comissão Nacional de Protecção de Dados]
    
    "1. O recurso a sistemas biométricos tem vindo, recentemente, a apresentar-se como um meio tecnológico que visa substituir ou reforçar a segurança dos meios tradicionais de controlo de entradas e saídas, sendo ainda de extrema utilidade quando se pretende – por razões de segurança ou de segredo – restringir, nomeadamente, o acesso a locais cuja entrada é privilégio de alguns.
    …
    
    6. As características biométricas não deixam de representar uma parte da individualidade das pessoas, estando ligadas intrinsecamente à própria pessoa.
    
    7. A introdução do sistema no âmbito da relação de trabalho deverá procurar obter a adesão dos trabalhadores e não ser imposto, na medida em que a sua eficácia depende, também, em grande medida, de factores psicológicos que são determinantes para a aprendizagem na utilização do sistema e na cooperação dos utilizadores, quer no momento da captura quer na fase de comparação.
    
    8. A vulgarização dos sistemas de videovigilância e o uso descontrolado desta nova forma de tratamento demonstra, em algumas situações, que é fundamental que se tomem medidas realistas para evitar que se instale no posto de trabalho, sem justificação visível, um «clima securitário» e de suspeição generalizado, quer em relação a clientes quer a trabalhadores.
    …
    
    14. A centralização das características biométricas em bases de dados apresenta perigos acrescidos para a privacidade, razão pela qual não é admissível, por princípio, o seu relacionamento com outro tipo de tecnologias (v.g. videovigilância).
    …
    
    41. …melhor se ajusta à aplicação do princípio da proporcionalidade e, por isso, o tratamento deve deixar de ser feito quando se revele injustificado, por ser desajustado e excessivo, ou quando – pela sua falta de fiabilidade – comprometa a finalidade determinante do tratamento.
    
    42. O princípio da proporcionalidade constitui, igualmente, o critério determinante das decisões relativas ao tratamento de dados biométricos tomadas pelas autoridades de protecção de dados.
    …
    
    52. A utilização indevida pode ser melhor prevenida se as características biométricas não se encontrarem centralizadas numa base de dados, razão pela qual se defende, sempre que possível, o registo das características biométricas (em particular quando estiver em causa a impressão digital) em cartão que o trabalhador deve transportar.
    …"
    
    Cópia local | Fonte: CNPD - Comissão Nacional de Protecção de Dados - http://www.cnpd.pt/bin/orientacoes/principiosbiometricos.htm . 2004-02-26.
    
    AU: ID Theft - A kit to prevent and respond to identity theft
    
    National Crime Prevention Programme. February 2004. [Australian Government]
    ISBN: 0 642 21084 5
    
    "Identity security is central to Australia's national security, law enforcement and economic interests, and vital to protecting Australian citizens from the theft or misuse of their identities.
    
    The victims of identity theft bear significant financial and emotional costs in regaining their identity and credit ratings. However identity theft has much more far reaching consequences than those directly affecting the individual. The misuse of false or stolen identities underpin terrorist and criminal activity and undermine border and citizenship controls and effort to combat terrorist financing and finance crime. It is essential to Australia's security and economic interests that the identities of persons accessing government services, benefits, official documents and positions of trust, can be accurately verified."
    
    Cópia local (PDF, 251 KB) | Fonte: Australian Government-Attorney-General's Department - http://www.crimeprevention.gov.au/agd/WWW/rwpattach.nsf/VAP/(C08E61826167B8CED18FCFA5E6BDDCDE)~ID+Theft+Kit+Complete+new.pdf/$file/ID+Theft+Kit+Complete+new.pdf . 2009-02-20.
    
    ORG: OWASP Secure Coding Practices. - Quick Reference Guide. Version 2.0
    
    The OWASP Foundation. November 2010.
    
    "This technology agnostic document defines a set of general software security coding practices, in a checklist format, that can be integrated into the software development lifecycle. Implementation of these practices will mitigate most common software vulnerabilities.
    
    Generally, it is much less expensive to build secure software than to correct security issues after the software package has been completed, not to mention the costs that may be associated with a security breach.
    
    Securing critical software resources is more important than ever as the focus of attackers has steadily moved toward the application layer. A 2009 SANS study found that attacks against web applications constitute more than 60% of the total attack attempts observed on the Internet.
    
    When utilizing this guide, development teams should start by assessing the maturity of their secure software development lifecycle and the knowledge level of their development staff. Since this guide does not cover the details of how to implement each coding practice, developers will either need to have the prior knowledge or have sufficient resources available that provide the necessary guidance. This guide provides coding practices that can be translated into coding requirements without the need for the developer to have an in depth understanding of security vulnerabilities and exploits. However, other members of the development team should have the responsibility, adequate training, tools and resources to validate that the design and implementation of the entire system is secure.
    
    …
    Guidance on implementing a secure software development framework is beyond the scope of this paper, however the following additional general practices and resources are recommended…"
    
    Cópia local (PDF, 248 KB) | Fonte: OWASP (Open Web Application Security Project) - http://www.owasp.org/images/0/08/OWASP_SCP_Quick_Reference_Guide_v2.pdf . 2010-12-29.
    
    NO: Information Security Policy - Best Practice Document
    
    UNINETT led working group on security (No UFS126). July 2010. English translation by TERENA, October 2010.
    
    "Information management is an essential part of good IT governance, which in turn is a cornerstone in corporate governance. An integral part of the IT governance is information security, in particular pertaining to personal information. However, many organisations do not have a clear policy for information security management.
    
    This document contains a template of an information security policy. The template is developed by UNINETT as part of the GigaCampus project and has been used in processes to aid universities and university colleges in Norway with getting an information security in place. The security policy template combines legal requirements and current best practice for an information security management policy for Norwegian universities and university colleges. It provides a policy with information security objectives and strategy, and defines roles and responsibilities.
    
    Core principles for information security management, as defined in ISO/IEC 27002, are adapted to the local situation for the following areas:
    
    • Risk assessment
    • Organising information security
    • Asset management
    • Human resources security
    • Physical security
    • Communications and operations management
    • Access control
    • System development and maintenance
    • Information security incident management
    • Business continuity management
    • Compliance
    
    Governing documents for Information Security Management are also defined.
    
    The foundation for this best practice is ISO/IEC 27001 and ISO/IEC 27002 which have been condensed to a manageable and applicable level (25-30 pages as opposed to the 108 pages of ISO/IEC 27002). Norwegian legal requirements have also been fulfilled. The EU equivalents can be found in:
    
    • Directive 95/46/EC (Data Protection Directive)
    • Directive 2002/58/EC (the E-Privacy Directive)
    • Directive 2006/24/EC Article 5 (The Data Retention Directive)"
    
    Cópia local (PDF, 250 KB) | Fonte: tradução inglesa: TERENA (Trans-European Research and Education Networking Association) - http://www.terena.org/activities/campus-bp/pdf/gn3-na3-t4-ufs126.pdf . 2010-10-00.
    
    COM: SSL/TLS Deployment Best Practices. - Version 1.0
    
    Ivan Ristic, Qualys SSL Labs. 2012-02-24.
    
    "The SSL/TLS Deployment Best Practices document provides clear and concise instructions to help overworked administrators and programmers spend the minimum time possible to deploy a secure site or web application. The focus is on advice that is practical and easy to understand."
    
    "SSL/TLS is a deceptively simple technology. It is easy to deploy, and it just works … except that it does not, really. The first part is true—SSL is easy to deploy—but it turns out that it is not easy to deploy correctly. To ensure that SSL provides the necessary security, users must put more effort into properly configuring their servers.
    …"
    
    Cópia local (PDF, 493 KB) | Fonte: Qualys SSL Labs - https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.0.pdf . 2012-02-24.
    
    COM: SSL and Browsers: The Pillars of Broken Security - [RSA Conference 2012 presentation]
    
    Ivan Ristic; Wolfgang Kandek. [March 7, 2012]. [Qualys SSL Labs].
    
    "Here's the talk summary:"
    
    "Recent attacks on browsers and certificate authorities for SSL have shown how fragile these systems are, yet we all depend on them while using the Internet on daily basis. This talk will explore the implementation flaws in the SSL protocol and the browsers that support it. The speakers will showcase extensive research collected from millions of websites that reveal the state of SSL and Browse Security on the Internet. The session will then explore the mitigation options for the problems we are experiencing today, and provide a framework in which we can solve future SSL security issues."
    
    Cópia local (PDF, 4,3 MB) | Fonte: Qualys SSL Labs - https://community.qualys.com/servlet/JiveServlet/download/38-9096/SSL_and_Browsers-The_Pillars_of_Broken_Security.pdf .
    Consultado em 2012-02-24, via https://community.qualys.com/blogs/securitylabs/2012/03/07/ssl-and-browsers-the-pillars-of-broken-security
    
    COM: SSL Server Rating Guide - version 2009
    
    [Qualys] SSL Labs. 2009-07-21.
    
    "The Secure Sockets Layer (SSL) protocol is a standard for encrypted network communication. We feel that there is surprisingly little attention paid to how SSL is configured, given its widespread usage. SSL is relatively easy to use, but it does have its traps. This guide aims to establish a straightforward assessment methodology, allowing administrators to assess SSL server configuration confidently without the need to become SSL experts."
    
    Cópia local (PDF, 300 KB) | Fonte: Qualys SSL Labs - https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdf . 2009-07-21.
- [•] Outras
  - CA: Privacy by Design
    
    Privacidade, segurança e transparência / visibilidade não são mutuamente exclusivas - bem pelo contrário : devem estar incluídas à partida (i.e., de raiz) nos sistemas desenvolvidos.
    Esta é a opinião de diversos (e reputados) especialistas em segurança (partilhada por Ann Cavoukian - responsável pelo site a que se faz referência).
    
    Se desejar, pode seguir os links relativos à página de entrada do site "Privacy by Design" e/ou visualizar diretamente um dos vídeos nele existentes (clicável em áreas relativas a três temas base e a pequenos destaques individuais).
    
    "“Back in the ’90s, it was clear to me that the time was upon us when legislation and regulation would no longer be sufficient to safeguard privacy. In my view, with the increasing complexity and interconnectedness of information technologies, nothing short of building privacy right into system design could suffice. So I developed the concept of Privacy by Design (PbD), to describe the philosophy of embedding privacy proactively into technology itself – making it the default.” (October 2008)
    Ann Cavoukian, Ph.D., Information & Privacy Commissioner, Ontario, Canada."
    ( Privacy by Design - http://privacybydesign.ca/ ).
    
    "Dr. Ann Cavoukian is recognized as one of the leading privacy experts in the world. An avowed believer in the role that technology can play in protecting privacy, Dr. Cavoukian’s leadership has seen her office develop a number of tools and procedures to ensure that privacy is protected in Ontario, and around the world".
    ( Best Practice Institute, Inc. - https://www.bestpracticeinstitute.org/cgi-bin/expert_profile.pl?cmd=biography&id=807 )
    
    Fonte : Privacy by Design - http://privacybydesign.ca/ . 2012-01-00.
    Vídeo (SWF) | Fonte: Privacy by Design - http://privacybydesign.ca/content/themes/ipc/ipc_final_version_19.swf . [2011-12-07].
    
    UE: Reporting Specificities for Security Projects
    
    "This annex applies specifically to the Security projects (Directorate General Entreprises)
    
    Security research has certain specificities relating to its sensitive nature and the particular capability gaps that need to be addressed to protect Europe's citizens. Therefore, the classification of information and the application of strict rules on confidentiality can be essential to the success of research activities. On the other hand, public or governmental end-users of the security research results request to be more actively involved in the programme. It is therefore essential that adequate provisions are foreseen at the level of the reporting that meet both requirements. This concerns information to be provided to the Programme Committee and information allowing the Commission to follow-up the use and the production of classified information as well as the exchange of sensitive material subject to transfer- or export-licensing or projects addressing a topic subject to specific national or international legal restrictions in this context. "
    
    Cópia local (PDF, 142 KB) | Fonte: UE-CE-CORDIS - ftp://ftp.cordis.europa.eu/pub/fp7/docs/security_research_en.doc . 2009-02-20.
    
    AU: Keep your Financial Identity Secure
    
    "Identity theft and identity fraud refer to crimes where someone wrongfully obtains and uses another person's personal data in a way that involves fraud or deception, typically for economic gain. If you're a victim, someone else has the ability to misuse your identity and access your money."
    
    "COMMON SENSE. THE BEST DEFENCE.
    By introducing some simple precautions into your everyday life, you can take an active role in reducing the risk of identity fraud."
    
    "PRACTICAL PREVENTION TIPS"
    …
    
    Cópia local (PDF, 444 KB) | Fonte: [ABA; AHTCC; ASIC]. [2006-10-24] - http://www.protectfinancialid.org.au/ArticleDocuments/protectID-web-brochure.pdf

[•] Projectos
- UE: CORDIS Technology Marketplace. Protecting smart cards from attack.
  2003-09-08
  
  "Research at Cambridge University is ensuring a high level of security for the next generation of smart cards."
  
  "Researchers at Cambridge University have created a new generation of smart cards with advanced security features. The main architectural difference is the evolution from central processing units based on central clocks to those employing self timers. In addition, the inclusion of fine-grain memory protection units bolsters defence against different types of attack."
  
  Cópia local (PDF, 113 KB) | Fonte: UE-CE-CORDIS - http://cordis.europa.eu/fetch?ACTION=D&CALLER=OFFR_TM_EN&RCN=1200 . (HTML) 2009-03-06.

[•] Ferramentas

[•] Protocolo FCCN / Secunia: software gratuito de cibersegurança
- Software gratuito de cibersegurança disponibilizado pela CERT.PT
  
  "A FCCN, enquanto entidade que gere o serviço CERT.PT (www.cert.pt), faz parceria com a empresa SECUNIA para disponibilização gratuita de uma ferramenta de análise e identificação de vulnerabilidades em software instalado em computadores pessoais, o PSI."
  
  …
  
  Fonte: FCCN - http://www.fccn.pt/index.php?module=announce&ANN_user_op=view&ANN_id=273 . Consultada em 2010-01-04 .
  
  Download: Scunia - http://secunia.com/vulnerability_scanning/personal/ .

[•] Passwords

• teste de robustez

Testar uma password [ ! ]
(é necessário ter o Javascript activo)

password

a arrancar ...

Programador: Tyler Akins - http://rumkin.com/
Página: http://rumkin.com/tools/password/passchk.php
• geradores

Fire Encrypter
(plug-in / add-on para o browser Firefox)

"FireEncrypter is an Firefox extension which gives you encryption/decryption and hashing functionalities right from your Firefox browser, mostly useful for developers or for education & fun." [e gera passwords ]

Programador: Ronald van den Heetkamp
Página: https://addons.mozilla.org/en-US/firefox/addon/3208

Generate Pass - Password Generator
(on-line )

Utilitário gratuito on-line em Javascript

Programador: Tyler Akins - http://rumkin.com/
Página: http://rumkin.com/tools/password/pass_gen.php

GRC's Ultra High Security Password Generator
(on-line )

"Generating long, high-quality random passwords is not simple. So here is some totally random raw material, generated just for YOU, to start with.
Every time this page is displayed, our server generates a unique set of custom, high quality, cryptographic-strength password strings which are safe for you to use"
(a página também contém informação técnica sobre o tema)

Produtor: Gibson Research Corporation is owned and operated by Steve Gibson
Página: https://www.grc.com/passwords.htm

GRC's Open, Ultra-High Security, One Time Password System [Perfect Paper Passwords - PPP]
(on-line )

'GRC's "Perfect Paper Passwords" (PPP) system is a straightforward, simple and secure implementation of a paper-based One Time Password (OTP) system. When used in conjunction with an account name & password, the individual "passcodes" contained on PPP's "passcards" serve as the second factor ("something you have") of a secure multi-factor authentication system.'
( in https://www.grc.com/ppp/design.htm )

'High security multifactor authentication using a series of single-use "passcodes" does not need to be expensive. In fact, it can be free…
Generate your own unique set of Printable Paper Passcards right now'
( in https://www.grc.com/ppp/design.htm )

As páginas também contêm informação técnica sobre o tema.

Nota
'Note that using PPP passcodes for authentication without also requiring a separate secret password would not be secure due to the danger that the PPP passcard could be compromised. For two-factor authentication to enhance security, both assertions "something only you know" and "something only you have" must remain valid.'
( in https://www.grc.com/ppp/design.htm )

Produtor: Gibson Research Corporation is owned and operated by Steve Gibson
Páginas: https://www.grc.com/ppp.htm
https://www.grc.com/ppp/urlaccess.htm
• gestores / geradores

PasswordMaker. One Password To Rule Them All.™
(versão standalone / on-line e plug-in / add-on para o browser Firefox)

"PasswordMaker - Creates and manages passwords"

Programador: Eric H. Jung and LeahScape, Inc.
Página: https://addons.mozilla.org/en-US/firefox/addon/3208

Resumo
"Maybe you do use unique passwords, and get around the problem of remembering them by storing them in a spreadsheet or other file. Maybe you even use one of the many password managers that are available.
…
"PasswordMaker solves all of these issues. It is a small, lightweight, free, open-source tool for Internet Explorer, Firefox, Google Chrome, iPhone, Opera, PHP, Windows, OS/X, Linux, Flock, Yahoo! Widgets, Android, Python, and many other platforms & systems. It creates unique, secure passwords that are very easy for you to retrieve but no one else. Nothing is stored anywhere, anytime, so there's nothing to be hacked, lost, or stolen. PasswordMaker has been around since about 2003 and so is a mature, stable, popular solution."

(é necessário ter Javascript e cookies activos)

Profile
Input Url
Master password

Use l33t
l33t Level
Hash Algorithm
URL Components	Protocol Subdomain(s) Domain Port, path, anchor, query parameters
URL
Length of Generated Password
Username
Modifier
Characters	Two character minimum required
Password Prefix
Password Suffix
Generated Password	Make password invisible (Highlight to view)

• crackers^{[ ! ]}

GRC's Password Haystacks ^[ ! ]
(on-line )

"Every password you use can be thought of as a needle hiding in a haystack. After all searches of common passwords and dictionaries have failed, an attacker must resort to a “brute force” search – ultimately trying every possible combination of letters, numbers and then symbols until the combination you chose, is discovered.
(…)
This interactive brute force search space calculator allows you to experiment with password length and composition to develop an accurate and quantified sense for the safety of using passwords that can only be found through exhaustive search. Please see the discussion below for additional information."
(a página também contém informação técnica sobre o tema)

Nota
Não utilize este serviço com passwords de utilização real.
Tal como se refere na página do site, use-a apenas para desenvolver / interiorizar a noção de "password segura".

Produtor: Gibson Research Corporation is owned and operated by Steve Gibson
Página: https://www.grc.com/haystack.htm

[•] UUID / GUID
- • geradores de UUID / GUID (v.4)
  
  Gerar UUID / GUID [ ! ]
  (é necessário ter o Javascript activo)
  
  Resultado:
  
  Programador: Robert Kieffer - http://www.broofa.com/2008/09/javascript-uuid-function/
  Página: http://www.broofa.com/Tools/Math.uuid.htm
[•] Testes - HTTPS, SSH, SSL, etc
- • teste de implementação SSL
  
  Introduza p.f. o endereço a testar - exemplo: www.example.com
  (on-line )
  
  Programador: Ivan Ristic, Qualys - https://www.ssllabs.com/
  Página: https://www.ssllabs.com/index.html
[•] Pesquisas (sobre segurança)
- • vulnerabilidades - descrição - pesquisa
  
  Introduza p.f. o nome da empresa, do software ou a palavra-chave
  (on-line )
  
  Entidade: NVD - National Vulnerability Database (EUA)
  Página: - https://nvd.nist.gov/
[•] Web Scanners + Vulnerabilities Scanners
- Wepawet
  (on-line )
  
  "Wepawet is a framework for the analysis of web-based threats.
  Wepawet is able to determine if visiting a web page would lead to an attempt to compromise the visitor's environment."
  
  Produtor: UC Santa Barbara - University of California (UCBS)
  Página: http://wepawet.cs.ucsb.edu/index.php
  
  Panopticlick
  (on-line )
  
  "Panopticlick tests your browser to see how unique it is based on the information it will share with sites it visits. Click below and you will be given a uniqueness score, letting you see how easily identifiable you might be as you surf the web."
  
  Produtor: EFF - Electronic Frontier Foundation : https://www.eff.org/
  Página: https://panopticlick.eff.org/
  
  Testing WebGL Support [ / vulnerabilidade ]
  
  "US-CERT is aware of reports indicating that WebGL contains multiple significant security issues. The impact of these issues includes arbitrary code execution, denial of service, and cross-domain attacks. WebGL is a new web standard that is enabled by default in Firefox 4 and Google Chrome and is included in Safari."
  "US-CERT encourages users and administrators to review the Context report and disable WebGL to help mitigate the risks."
  in "WebGL Security Risks". US-CERT. 2011-05-10.
  http://www.us-cert.gov/current/archive/2011/05/10/archive.html#web_users_warned_to_turn
  
  Mais informação:
  WebGL - A New Dimension for Browser Exploitation. James Forshaw. 2011-05-09.
  http://www.contextis.com/resources/blog/webgl/
  WebGL - A New Dimension for Browser Exploitation - FAQ. James Forshaw. 2011-05-11.
  http://www.contextis.com/research/blog/webgl/faq/
  Idem.
  http://www.contextis.com/resources/blog/webgl/faq/
  WebGL – More WebGL Security Flaws. James Forshaw, Paul Stone, Michael Jordon. 2011-06-16.
  http://www.contextis.com/resources/blog/webgl2/
  
  Ferramenta
  
  Testar Verifique se possui o WebGL ativo (neste momento possui vulnerabilidades). O teste exige JavaScript.
  
  Produtor: Context Information Security : https://www.contextis.com/
  Página: http://www.contextis.com/research/blog/webgl/faq/webgltest.html
  
  Qualys' FreeScan
  (exige registo no site )
  
  "Qualys' FreeScan service enables you to safely and accurately scan your network for security threats and experience the benefits offered by the award-winning QualysGuard Security and Compliance Suite. Perimeter scanning detects security vulnerabilities across the entire network. Web application scanning detects vulnerabilities in web applications of all sizes. Malware detection scans web sites for malware infections and threats. FreeScan provides a detailed report that can be used to correct and fix security threats proactively. FreeScan is a free network security tool for business networks, and is limited to five (5) unique security scans of Internet accessible assets."
  
  Produtor: Qualys, Inc.
  Página: https://www.qualys.com/forms/freescan/
  
  QualysGuard® Malware Detection
  (exige registo no site ; versão free limitada a uma operação)
  
  "Thousands of web sites are infected with malware daily, propagating the infection to visitors of their web sites at an increasing speed. To combat these threats, QualysGuard® Malware Detection Service scans web sites for malware infections and threats. QualysGuard Malware Detection Enterprise Edition provides businesses with automated alerts and in-depth reporting for effective remediation of identified malware to help businesses protect their web sites and web site visitors from malware. The Free Malware Detection Service can be used to scan a single site for malware."
  
  Produtor: Qualys, Inc.
  Página: https://www.qualys.com/forms/trials/stopmalware/
  
  Qualys BrowserCheck
  (versão on-line )
  
  "BrowserCheck will identify security issues in your browser. If you use multiple browsers on this computer, run BrowserCheck from each one."
  
  Produtor: Qualys, Inc.
  Página: https://browsercheck.qualys.com/

[•] Serviço de Certificados de Servidor
- A U.PORTO, através do DUD, aderiu ao Serviço de Certificados de Servidor, actividade que se insere no projecto europeu TCS - TERENA Certificate Service .
- No âmbito deste serviço podem ser requisitados três tipos de certificados de servidor:
  
  DNS - correspondente apenas a um domínio
  
  Formulário: certificado_servidor_dn.exemplo.up.pt-sd-aaaammdd.dot
  
  Certificado relativo a múltiplos nomes DNS
  
  Formulário: certificado_servidor_dn.exemplo.up.pt-md-aaaammdd.dot
  
  Certificado wilcard DNS
  
  Formulário: certificado_servidor_dn.exemplo.up.pt-sd-aaaammdd.dot
- A emissão de certificados é gratuita caso corresponda a um número de domínios inferior a 100.
- Os Contactos Técnicos das UOs que desejam obter certificados de servidor devem preencher os formulários correspondentes e enviá-los para o e-mail:
  helpdesk@reit up pt

[•] Avisos / Destaques
- Biometric passport cracked and cloned
  Will Sturgeon. News Blog - CNET News . 2006-08-04
  
  "News that attendees at a U.S. hacking conference have seen a demonstration of how to clone a digital passport has raised fresh concerns about the security of proposed new forms of ID and travel documents in the U.K."
  
  "A security researcher called Lukas Grunwald showed attendees at the Black Hat convention in Las Vegas how to clone passports, using a German passport for his demonstration. However, standardization across ePassports means the exploit would work on any other passport that uses RFID chip technology to store details of the individual--such as those now being issued in the U.K. or U.S. The demonstrated attack was carried out using freely available technology."
  
  "Will Sturgeon reports for Silicon.com in London."
  [Associate Director at LEWIS PR. Past: Editor-at-large, silicon.com at CNET Networks; Managing Editor at Silicon Media Group; Sub editor at AB Publishing Ltd]
  
  Versão local (PDF, 92 KB) | Fonte: News Blog - CNET News - http://news.cnet.com/8301-10784_3-6102333-7.html . 2009-02-04.
  
  Vietnamese security firm: Your face is easy to fake
  Dong Ngo. Crave - CNET . 2008-12-02 [actualizado em 05 de Dezembro].
  
  "…Regardless of what some people seem to think, we Asians do not all look the same. But according to the current face recognition algorithm used in laptops, our faces are all about as flat as a piece of paper."
  
  "That's according to BKIS, the Vietnamese Internetwork Security Center that makes (…) antivirus software… At a press conference here Tuesday, the company demonstrated vulnerabilities in laptops' face recognition-based authentication mechanisms that let anyone log in to a computer easily with a 'special' photo of the legit owner, even at the highest authentication level."
  
  "Dong Ngo is a CNET editor who covers networking and network storage…"
  
  Versão local (PDF, 569 KB) | Fonte: Crave - CNET - http://news.cnet.com/8301-17938_105-10110987-1.html . 2009-03-12.
  
  PINs stolen from Citibank ATMs
  Elinor Mills. News Blog - CNET News . 2008-07-01
  
  "Three people face charges in federal court in New York for allegedly breaking into Citibank's ATM network inside 7-Eleven stores and stealing PIN codes, according to court filings reported on by The Associated Press on Tuesday."
  
  "The alleged thieves made off with about $2 million between October 2007 until March of this year. Officials believe they remotely broke into the back-end computers that approve cash withdrawals and grabbed the PINs as they were being transmitted from the ATMs to the transaction processing computers, which increasingly use Windows, the report says."
  
  "Elinor Mills covers Internet security and privacy. She joined CNET News in 2005 after working as a foreign correspondent for Reuters in Portugal and writing for The Industry Standard, the IDG News Service, and the Associated Press."
  
  Versão local (PDF, 100 KB) | Fonte: News Blog - CNET News - http://news.cnet.com/8301-10784_3-9982500-7.html . 2009-03-12.
  
  Direitos dos consumidores: Comissão quer que os consumidores possam navegar na Web sem fronteiras
  Rapid - Press Releases - EUROPA . 2009-05-05
  
  "A Comissão Europeia lançou hoje o eYouGuide, uma nova ferramenta em linha que dá conselhos práticos sobre os 'direitos digitais' dos consumidores ao abrigo da legislação comunitária. Este guia, que responde a um pedido feito pelo Parlamento Europeu em 2007, incide em questões relativas aos consumidores, como os seus direitos face ao fornecedor de acesso em banda larga, as compras através da Internet, o carregamento de música e a protecção dos dados pessoais em linha e nas redes de contactos sociais. Embora, na UE, 48,5 % dos agregados familiares disponham de ligação à Internet em banda larga, um novo inquérito Eurobarómetro mostra que a falta de confiança ainda leva muitos consumidores a não aderirem às transacções em linha. Na UE, apenas 12 % dos utilizadores da Web se sentem seguros quando efectuam transacções em linha; 39 % têm grandes dúvidas sobre a segurança e 42 % não se arriscam a efectuar transacções financeiras em linha. 65 % dos utilizadores da Internet não sabem onde obter informações e conselhos sobre compras transfronteiras na UE. Um terço dos consumidores encara a possibilidade de comprar produtos em linha a fornecedores de outros países, por causa do preço ou da qualidade, mas, na prática, apenas 7 % fazem este tipo de compras. O fornecimento de informações claras aos consumidores sobre os seus direitos fará aumentar a sua confiança e contribuirá para materializar todo o potencial económico do mercado único europeu em linha, cujas receitas se elevam a 106 mil milhões de euros."
  
  Reference: IP/09/702
  
  Sítio Web do eYouGuide: http://ec.europa.eu/eyouguide
  
  Versão local (PDF, 177 KB) | Fonte: Rapid - Press Releases - EUROPA - http://europa.eu/rapid/pressReleasesAction.do?reference=IP/09/702&format=HTML&aged=0&language=PT&guiLanguage=en . 2009-05-05.
  
  Google mistakenly collects private data from Wi-Fi networks
  Wikinews . 2010-05-15
  
  "Google revealed late yesterday that it had mistakenly collected information about Internet sites people had visited on public Wi-Fi networks.
  
  "The admission came from Google engineering head Alan Eustace in the form of a blog post on Friday afternoon. In the statement, Google said that it had been unknowingly gathering the personal data for over three years through its Street View photo-mapping feature. The discovery was made during internal investigation resulting from earlier concerns by German regulators over the issue. Two weeks ago, Google told European officials that, while it did collect data from Wi-Fi services for location technologies, it did not save private user data. In yesterday's announcement, however, Google admitted that these claims were actually incorrect."
  
  (…)
  
  "Sources
  
  "Stone, Brad 'Google Says It Collected Private Data by Mistake' – The New York Times, May 14, 2010
  
  "Vascellaro, Jessica E. 'Google Says It Mistakenly Collected Data on Web Usage' – The Wall Street Journal, May 14, 2010
  
  "Oreskovic, Alexei 'Whoops! Google says mistakenly got wireless data' – Reuters, May 14, 2010
  
  "'Google grabs personal info off of Wi-Fi networks' – The Associated Press, May 14, 2010
  
  "…Sing Tao Daily/Yahoo! Hong Kong, May 16, 2010 ((Chinese))"
  
  Texto completo (HTML) | Fonte: Wikinews - http://en.wikinews.org/wiki/Google_mistakenly_collects_private_data_from_Wi-Fi_networks . 2010-05-15.
  
  Zeus botnet trojan horse is back
  Wikinews . 2010-04-24
  
  "Trusteer, a web security company, reports that a trojan horse virus called Zeus can steal online banking details from infected computers. The virus has infected one out of every 3,000 computers of the 5,500,000 million which the company monitors in the United States and the United Kingdom.
  
  "The trojan can infect users of Mozilla Firefox and Microsoft Internet Explorer on Microsoft Windows, and steals login information by recording keystrokes when the machine connects to certain websites, usually banks or other financial institutions. The stolen data is transmitted to a remote server and sold to cyber-criminals. 'We expect this new version of Zeus to significantly increase fraud losses, since nearly 30% of Internet users bank online with Firefox and the infection is growing faster than we have ever seen before,' said Amit Klein, chief technology officer at Trusteer, to BBC.
  
  "The trojan has also affected Wikinews users, including Brian McNeil, who is the founder of Wikinewsie, a restricted-access wiki used to collaborate on sensitive news reports. McNeil reported on his userspace: 'On Saturday [April] 17, a Windows-based PC in the house issued a cry for help, the Avira package running on the system had just detected a piece of malware; full scans indicated several known pieces of malware and numerous hidden files. Additional scans revealed that all but one of the USB memory sticks and portable hard drives in the house were infected with something. The Zeus botnet, as it turned out.' E-mail accounts for accredited reporters have also been affected."
  (…)
  "Sources
  
  "Janet Harris 'Trusteer detects new Zeus (Zbot) password stealing Trojan' – Trusteer, April 22, 2010
  
  "'The ZeuS, ZBOT and Kneber Connection' – Trend Micro, 2010
  
  "'Zeus banking virus is back warns security firm' – BBC News Online, April 21, 2010
  
  "'Web hit by hi-tech crime wave' – BBC News Online, April 20, 2010
  
  "'Infected XP owners left unpatched' – BBC News Online, April 16, 2010
  
  "'ZeuS: 'A Virus Known as Botnet'' – Krebs on Security, February 19, 2010"
  
  Texto completo (HTML) | Fonte: Wikinews - http://en.wikinews.org/wiki/Zeus_botnet_trojan_horse_is_back . 2010-04-24.

[•] VoIP - segurança
- Aparentemente, a crescente adoção e implementação do VoIP pelas organizações (devido às suas vantagens) não tem sido efetuada respeitando as boas práticas relacionadas, p.ex., com a segurança.
  
  Esta página contém alguns tópicos relativos à segurança VoIP, alguns extratos de informações com origem em fontes fidedignas e reputadas (Bruce Schneier, Help Net Security, ITworld, SANS Institute, VOIPSA, etc), bem como referências a algumas ferramentas e recursos.
  
  A infraestrutura de rede da U.PORTO integra diversos mecanismos de segurança.
  
  No caso de não pertencer à comunidade académica da U.PORTO, contacte o seu fornecedor de serviço em relação a estes (e outros) aspetos referidos - ativando-os quando disponíveis.
  
  Em relação ao VoIP, podem ser salientados os seguintes pontos básicos (para além da segurança geral de uma rede informática):
  
  utilização de
  
  • VPNs dedicadas para a rede VoIP;
  • encriptação (cifragem) do conteúdo original (voz…);
  • utilização de túneis SSH/TLS (em especial no caso de softphones - mas não só)
  • SIP transport - via TLS;
  • RTP mode - Only secure (preferível) ou Allow secure (se não for possível usar o primeiro modo em todos os casos).
  
  Dado ser possível extrair informação do conteúdo de voz encriptado (ver abaixo), é essencial incluir os outros componentes.
- [•] Schneier on Security
  - Identifying Speakers in Encrypted Voice Communication
    
    Bruce Schneier. 2011-09-16.
    
    https://www.schneier.com/blog/archives/2011/09/identifying_spe.html
    
    "I've already written how it is possible to detect words and phrases in encrypted VoIP calls. Turns out it's possible to detect speakers as well:"^[1]
    
    [1] in http://www.ncfta.ca/papers/voip.pdf
    
    Detecting Words and Phrases in Encrypted VoIP Calls
    
    Bruce Schneier. 2011-03-24.
    
    https://www.schneier.com/blog/archives/2011/03/detecting_words.html
    
    "Abstract: Although Voice over IP (VoIP) is rapidly being adopted, its security implications are not yet fully understood. Since VoIP calls may traverse untrusted networks, packets should be encrypted to ensure confidentiality. However, we show that it is possible to identify the phrases spoken within encrypted VoIP calls when the audio is encoded using variable bit rate codecs."^[1]
    
    [2] in http://portal.acm.org/citation.cfm?doid=1880022.1880029
    [3] http://www.cs.unc.edu/~fabian/papers/tissec2010.pdf [ full paper ]
    
    Eavesdropping on Encrypted Compressed Voice
    
    Bruce Schneier. 2008-06-19.
    
    https://www.schneier.com/blog/archives/2008/06/eavesdropping_o_2.html
    
    "Traffic analysis works even through the encryption:
    The new compression technique, called variable bitrate compression produces different size packets of data for different sounds.
    That happens because the sampling rate is kept high for long complex sounds like "ow", but cut down for simple consonants like "c". This variable method saves on bandwidth, while maintaining sound quality.
    VoIP streams are encrypted to prevent eavesdropping. However, a team from John Hopkins University in Baltimore, Maryland, US, has shown that simply measuring the size of packets without decoding them can identify whole words and phrases with a high rate of accuracy.
    The technique isn't good enough to decode entire conversations, but it's pretty impressive."^[4]
    
    [4] in http://technology.newscientist.com/channel/tech/dn14124-compressed-web-phone-calls-are-easy-to-bug.html
    
    Fingerprinting Telephone Calls
    
    Bruce Schneier. 2010-10-18
    
    https://www.schneier.com/blog/archives/2010/10/fingerprinting_4.html
    
    "The tool is called PinDr0p, and works by analysing the various characteristic noise artifacts left in audio by the different types of voice network -- cellular, VoIP etc. For instance, packet loss leaves tiny gaps in audio signals, too brief for the human ear to detect, but quite perceptible to the PinDr0p algorithms. Vishers and others wishing to avoid giving away the origin of a call will often route a call through multiple different network types.(…)"^[5,6]
    
    [5] in http://www.theregister.co.uk/2010/10/06/voice_fingerprints/
    [6] http://www.gatech.edu/newsroom/release.html?nid=61428
- [•] Help Net Security
  - VoIP: The new way in?
    
    Mirko Zorz. 2012-03-20.
    
    https://www.net-security.org/article.php?id=1687
    
    "Voice is now data and as such it is a new attack vector for hackers into a company network. Most VoIP systems being deployed are based on Session Initiation Protocol (or SIP) which was designed in the 90s when security was less of an issue.
    
    In this podcast, Simon Heron, an Internet Security Analyst for Redscan, discusses the demand for, and the risks of VoIP deployment. He also suggests measures that should be implemented to defend voice traffic."
    
    10 security predictions for 2011
    
    2011-01-17
    
    https://www.net-security.org/secworld.php?id=10452
    
    "WatchGuard Technologies' security analysts provide their 2011 security predictions:(…)
    
    '8. VoIP attacks grow – In 2011, WatchGuard expects to see full-force VoIP attacks. Just in the last few months, VoIP scans and attacks have increased significantly. Some of this has to do with the public availability of VoIP attack tools, such as SIPVicious. Moving forward, brute-force and directory traversal class attacks against VoIP servers will be as common as they previously have been against email servers.'
    (…)"
    
    SANS to teach VoIP security in Europe
    
    2011-04-18
    
    https://www.net-security.org/secworld.php?id=10911
    
    "The SANS Institute will be teaching the first European session of its new Security 540: VoIP Security course at the upcoming SANS Secure Europe event in Amsterdam this May. The 6-day course which debuted last year in Sacramento has proven popular and is already at 50% capacity.
    
    ' “Voice over IP is a rapidly growing area due to the huge cost saving potential but organizations often fail to consider the security impact,” explains Paul Henry, one of the world's foremost information security and computer forensic experts with more than 20 years' experience.
    
    Henry points to examples such as arrests made in Budapest and London last year of 30 members of an organized criminal gang that allegedly stole 11 million Euro’s through VoIP toll fraud. The gang used thousands of stolen VoIP account details to make 1.5 million calls to premium rate numbers which, in turn paid the gang a percentage of the inflated call charges.(…) '
    
    Honeypot software for VoIP networks
    
    2010-06-29
    
    https://www.net-security.org/secworld.php?id=9494
    
    "Artemisa is an open source VoIP/SIP-specific honeypot software designed to connect to a VoIP enterprise domain as a user-agent backend in order to detect malicious activity at an early stage. Moreover, the honeypot can play a role in the real-time adjustment of the security policies of the enterprise domain where it is deployed.(…)"^[1]
    
    [1] http://sourceforge.net/projects/artemisa//
- [•] ITworld
  - IP voice security: are you susceptible or strong?
    
    Gordon Makryllos. 2012-05-09
    
    http://www.itworld.com/security/276186/ip-voice-security-are-you-susceptible-or-strong
    
    "Undoubtedly, corporations are realising the benefits of IP voice systems. Voice over internet protocol (VoIP) can bring substantial cost savings and productivity enhancements to a business by transforming its circuit-switched networks to IP packet switching networks and running voice and data applications over a single infrastructure. However, businesses need to be aware that there are potential risks involved, they need to take some necessary steps to protect their interests.(…)
    When voice and data are merged onto a single network, voice becomes an application on the network and is, therefore, exposed to the same threats as data applications. These threats include infrastructure and application-based attacks, denial-of-service (DoS) attacks, eavesdropping, toll fraud and protocol-specific attacks. However, with the right procedures in place, VoIP security risks and threats can be managed and mitigated--maximising the benefits of VoIP while minimising exposure.(…)"
- [•] SANS Institute
  - SANS Information, Network, Computer Security Training, Research, Resources
    
    2012-05-22.
    
    https://www.sans.org/
    
    "The most trusted source for computer security training, certification and research."
    
    SANS - Information Security Resources
    
    [2012-05-21]
    
    https://www.sans.org/security-resources/
    
    SANS: The Top Cyber Security Risks
    
    [2012-05-21]
    
    http://www.sans.org/top-cyber-security-risks/?ref=top20
    
    "We are pleased to announce the addition of our new Top Cyber Security Risks index. This report is based on year-round research conducted by leading experts and features real-world attack data and analysis from some of the most respected organizations in the industry.
    
    To review prior releases of our Top 20 security vulnerabilities (2000 – 2007), please refer to our Top 20 archive."
- [•] VOIPSA (Voice over IP Security Alliance)
  - VOIPSA : About : Mission / Scope / Organization
    
    [2012-05-22]
    
    http://www.voipsa.org/About/
    
    "(…)The Voice over IP Security Alliance (VOIPSA) aims to fill the void of VoIP security related resources through a unique collaboration of VoIP and Information Security vendors, providers, and thought leaders.
    
    VOIPSA's mission is to drive adoption of VoIP by promoting the current state of VoIP security research, VoIP security education and awareness, and free VoIP testing methodologies and tools."
    
    VOIPSA : VOIPSEC : Overview:
    
    [2011]
    
    http://www.voipsa.org/VOIPSEC/
    
    "VOIPSEC
    VOIPSEC is a an email discussion forum on VoIP security issues, VoIP security technologies, and related topics. You can join VOIPSEC here.(…)"^[1,2]
    
    [1] http://voipsa.org/mailman/listinfo/voipsec_voipsa.org
    [2] http://voipsa.org/voipsec.rss [feed]
    
    Voice of VOIPSA » VoIP Vulnerabilities
    
    [2011-10-17]
    
    http://voipsa.org/blog/category/voip-vulnerabilities/
    
    "Archive for the 'VoIP Vulnerabilities' Category"
    
    VOIPSA : Resources : Overview
    
    [2012-05-22]
    
    http://www.voipsa.org/Resources/
    
    VOIPSA : Resources : VoIP Security Tools
    
    [2012-05-22]
    
    http://www.voipsa.org/Resources/tools.php
    
    "This VoIP Security Tool List provides categories, descriptions and links to current free and commercial VoIP security tools. Each commercial tool is indicated by the following icon next to it:(…)"
    
    VOIPSA : Resources : VOIP Security Articles
    
    [2012-05-22]
    
    http://www.voipsa.org/Resources/articles.php
    
    "The following are links to online news articles related to VoIP security issues:(…)"
    
    VOIPSA : Activities : Working Groups : Best Practices
    
    [2012-05-22]
    
    http://www.voipsa.org/Activities/bestpractices.php
    
    "This project aims to define a common set of industry-wide ‘best practices’ for securing VoIP systems against the threats outlined in the Threat Taxonomy. While specific practices will vary according to vendor and architecture, the document created by this group will provide an overall view of how best to secure VoIP systems.
    
    These best practices will aim to mitigate security threats across the VoIP ecosystem including individual VoIP building blocks, supporting security technology components (SBCs, Firewalls, etc.), architecture and network design (NAT, VPN, port security, etc.), network management, and end point Access and Authentication to name a few.(…)"
    
    Voice of VOIPSA » Best Practices
    
    [2011-03-31]
    
    http://voipsa.org/blog/category/best-practices/
    
    "Archive for the 'Best Practices' Category"^[3]
    
    [3] http://feeds.feedburner.com/VoiceOfVoipsa [feed]
    
    VOIPSA : Activities : Working Groups : Security Requirements
    
    [2012-05-22]
    
    http://www.voipsa.org/Activities/securityrequirements.php
    
    "This project is tasked with defining security requirements across the wide spectrum of a VoIP ecosystem including individual VoIP building blocks, supporting security technology components (SBCs, Firewalls, etc.), architecture and network design (NAT, VPN, port security, etc.), network management, and end point Access and Authentication to name a few."
- [•] Universität Duisburg-Essen (Campus Essen)
  - TDR: VoIP Security [em alemão]
    
    [2012-05-22]
    
    http://www.tdr.wiwi.uni-due.de/en/research/research-projects/voip-security/
    
    "Home » Research » Research Projects » VoIP Security"

[•] Informação diversa
- Agenda de Direito Internacional da Justiça 2008
  MJ-DGPJ. Junho de 2008.
  
  "A edição que agora se apresenta procura responder a uma necessidade - a de se poder conhecer, sucintamente e de modo panorâmico, o direito internacional e da União Europa, na área da Justiça, que seja directamente aplicável em Portugal. O que as próximas páginas incluem são, assim, referências básicas às convenções bilaterais, multilaterais e a outros actos, nomeadamente comunitários, em vigor em Portugal até 31 de Dezembro de 2007, que poderão permitir ao jurista e a qualquer interessado aceder com mais facilidade aos textos normativos, todos eles aliás disponíveis por via electrónica. Enunciam-se, portanto, convenções internacionais bilaterais, outras vigentes no âmbito de organizações internacionais (Nações Unidas, União Europeia, Conselho da Europa, Conferência da Haia de Direito Internacional Privado, Comissão Internacional do Estado Civil e outras) e regulamentos comunitários."
  
  Cópia local (PDF, 290 KB) | Fonte: MJ-DGPJ - http://www.dgpj.mj.pt/sections/relacoes-internacionais/publicacoes/sections/relacoes-internacionais/publicacoes/agenda-de-direito/downloadFile/file/agenda.pdf . 2009-03-06.
  
  A monitorização de dados pessoais de tráfego nas comunicações electrónicas
  [Raízes Jurídicas Curitiba, v. 3, n.º 2, Jul./Dez. 2007].
  
  Armando Veiga
  Doutorando e mestre em Direito na Faculdade de Direito da Universidade de Coimbra
  
  Benjamim Silva Rodrigues
  Doutorando em Direito na Faculdade de Direito da Universidade de Coimbra
  
  " 6.2.4 Transposição da Directiva 2006/24/CE
  
  A Directiva comunitária deverá ser objecto de transposição para o ordenamento jurídico interno dos Estados-Membros até 15 de Setembro de 2007, admitindo-se a possibilidade de diferir este prazo até 15 de Março de 2009, em relação à conservação de dados relacionados com o acesso à Internet, às comunicações telefónicas através da Internet (voz/IP) e ao correio electrónico através da Internet."
  
  Cópia local (PDF, 406 KB) | Fonte: IP Beja-ESTIG-Área Científica de Direito - http://www.estig.ipbeja.pt/~ac_direito/monitorizacao.pdf . 2009-03-05.
  
  Dutch chipmaker sues to silence security researchers
  Elinor Mills. News Blog - CNET News . 2008-07-09
  
  "Dutch chipmaker NXP Semiconductors has sued a university in The Netherlands to block publication of research that details security flaws in NXP's Mifare Classic wireless smart cards, which are used in transit and building entry systems around the world.
  
  NXP, formerly Philips Semiconductors, sued to prevent Radboud University Nijmegen from publishing a scientific paper on the technology in October…"
  
  "A statement issued by the Dutch University in March says: 'Because some cards can be cloned, it is in principle possible to access buildings and facilities with a stolen identity. This has been demonstrated on an actual system.' "
  
  "Dr. Bart Jacobs of Radboud University Nijmegen demonstrated last month how he could ride the London transit system for free. Once he obtained the key used by the London transit system, he then brushed up aside passengers carrying the Oyster transit cards and was able to collect their card information on his laptop and make a clone of it."
  
  "Elinor Mills covers Internet security and privacy. She joined CNET News in 2005 after working as a foreign correspondent for Reuters in Portugal and writing for The Industry Standard, the IDG News Service, and the Associated Press."
  
  Versão local (PDF, 148 KB) | Fonte: News Blog - CNET News - http://news.cnet.com/8301-10784_3-9985886-7.html . 2009-03-12.

[•] Outros links
- [•] Organizações, entidades, etc [sem conteúdo]
- [•] Estudos, artigos, …
  - EUA. LEET'11: Exposing the Lack of Privacy in File Hosting Services
    
    Nick Nikiforakis; Marco Balduzzi; Steven Van Acker; Wouter Joosen; Davide Balzarotti
    
    "File hosting services (FHSs) are used daily by thousands of people as a way of storing and sharing files. These services normally rely on a security-through-obscurity approach to enforce access control: For each uploaded file, the user is given a secret URI that she can share with other users of her choice. In this paper, we present a study of 100 file hosting services and we show that a significant percentage of them generate secret URIs in a predictable fashion, allowing attackers to enumerate their services and access their file list. Our experiments demonstrate how an attacker can access hundreds of thousands of files in a short period of time, and how this poses a very big risk for the privacy of FHS users. Using a novel approach, we also demonstrate that attackers are aware of these vulnerabilities and are already exploiting them to get access to other users' files. Finally we present SecureFS, a client-side protection mechanism which can protect a user's files when uploaded to insecure FHSs, even if the files end up in the possession of attackers. "
    
    "Exposing the Lack of Privacy in File Hosting Services
    Nick Nikiforakis; Marco Balduzzi; Steven Van Acker; Wouter Joosen; Davide Balzarotti.
    LEET'11. Boston, MA. March 29, 2011. 4^th USENIX Workshop on Large-Scale Exploits and Emergent Threats. [EUA]
    http://www.usenix.org/event/leet11/tech/techAbstracts.html#Nikiforakis "
    
    Originais: Exposing the Lack of Privacy in File Hosting Services .
    Full content: http://www.usenix.org/event/leet11/tech/full_papers/Nikiforakis.pdf (PDF, 154 KB);
    Slides:http://www.usenix.org/event/leet11/tech/slides/nikiforakis.pdf (PDF, 535 KB);
    Gravação: http://www.usenix.org/multimedia/leet11nikiforakis (MP3, 20 MB)
    - também em http://www.usenix.org/media/events/leet11/tech/mp3/nikiforakis.mp3 (MP3, 20 MB).
    Consulta:2011-05-10.
    
    EUA: Facebook privacy settings: Who cares?
    
    Danah Boyd & Eszter Hargittai
    
    "Abstract
    "With over 500 million users, the decisions that Facebook makes about its privacy settings have the potential to influence many people. While its changes in this domain have often prompted privacy advocates and news media to critique the company, Facebook has continued to attract more users to its service. This raises a question about whether or not Facebook’s changes in privacy approaches matter and, if so, to whom. This paper examines the attitudes and practices of a cohort of 18– and 19–year–olds surveyed in 2009 and again in 2010 about Facebook’s privacy settings. Our results challenge widespread assumptions that youth do not care about and are not engaged with navigating privacy. We find that, while not universal, modifications to privacy settings have increased during a year in which Facebook’s approach to privacy was hotly contested. We also find that both frequency and type of Facebook use as well as Internet skill are correlated with making modifications to privacy settings. In contrast, we observe few gender differences in how young adults approach their Facebook privacy settings, which is notable given that gender differences exist in so many other domains online. We discuss the possible reasons for our findings and their implications."
    
    "Facebook privacy settings: Who cares?
    by Danah Boyd and Eszter Hargittai.
    First Monday, Volume 15, Number 8 - 2 August 2010
    http://www.uic.edu/htbin/cgiwrap/bin/ojs/index.php/fm/article/viewArticle/3086/2589 "
    
    Cópia local (PDF, 471 KB) | Fonte: First Monday . Peer-Reviewed Journal on the Internet [University of Illinois at Chicago University Library] - http://www.uic.edu/htbin/cgiwrap/bin/ojs/index.php/fm/article/viewArticle/3086/2589 . Consultado em 2010-08-24.
- [•] Vídeos e posters
  - EUA: ResearchChannel - University of Washington (Seattle, WA)
    
    Computer Security Awareness Poster and Video Contest 2009
    
    "ResearchChannel congratulates the winners of the Computer Security Awareness Poster & Video Contest 2009!
    
    "A selection of the winning videos will be available for download and will air on ResearchChannel later this year, check your local cable listings for channel information or tune in to DishNetwork channel 9400. Peruse our Web site to view hundreds of videos about computer security and computer science, in addition to many other thought-provoking academic subjects."
    
    Cópia local (PDF, 997 KB) | Fonte: ResearchChannel - http://www.researchchannel.org/securityvideo2009/ . Consultado em 2010-08-24.
    
    U.PORTO: E-mail - Segurança
    
    Apresentação
    
    Apresentação sobre aspetos de segurança relacionados com o correio eletrónico.
    
    Slides (PDF) | 2012.
    
    Vídeo/áudio | 2012.
    
    U.PORTO: Internet (navegação e serviços) - Segurança
    
    Apresentação
    
    Apresentação sobre aspetos de segurança relacionados com a navegação na Internet e utilização de alguns serviços nela disponíveis.
    
    Slides (PDF) | 2012.
    
    Vídeo/áudio | 2012.
    
    U.PORTO: Computador pessoal e transporte de dados - Segurança
    
    Apresentação
    
    Apresentação sobre aspetos de segurança relacionados com o computador pessoal e transporte de dados.
    
    Slides (PDF) | 2012.
    
    Vídeo/áudio | 2012.
    U.PORTO: Posto de trabalho U.PORTO - Proposta / base de trabalho
    
    Apresentação
    
    Apresentação da proposta / base de trabalho relacionada com a definição de um "Posto de Trabalho U.PORTO" baseado em open source.
    
    Slides (PDF) | 2012.
    
    Vídeo/áudio | 2012.
- [•] Dicas simples [extratos]
  - COM: How To Write the Perfect Password
    
    Lamont Wood, TechNewsDaily Contributor. 2010-01-28
    
    · 1. Don't be cute.
    · 2. Longer is better.
    · 3. Use the shift key.
    · 4. Comic book cussing is good.
    · 5. Keep it centered.
    · 6. Keep it fast, keep it mental.
    · 7. Remain paranoid.
    · 8. Don't double up.
    · 9. Loose lips sink ships.
    · 10. Don't turn your back on your computer.
    
    "You sign up for an account. The system asks you to set a password – and at that moment you hold your security in your hands, because you need to pick one that a hacker can't guess, ever. To that end, there are some simple rules to follow to keep hackers from using statistical methods to turn you into a statistic."
    
    Original (HTML) | Fonte: TechNewsDaily - http://www.technewsdaily.com/how-to-write-the-perfect-password-100128-0118/ . 2010-01-28.
    
    COM: 10 Things You Must Know About Malware Infections
    
    Lamont Wood, TechNewsDaily Contributor. 2010-01-29
    
    · Infections happen.
    · Malware amounts to an ecosystem.
    · Malware has many sources.
    · Malware can bite.
    · Trojans rule (in the U.S.)
    · Vulnerabilities vary.
    · Patching works.
    · Updating works.
    · Malware is not the only danger.
    · Upshot: Update your gray matter.
    
    "The latest semi-annual Security Information Report (SIR) from Microsoft has been released, and its 232 pages carry reminders of some important facts about computer viruses, other malware and overall PC security.
    …
    "…of all the computers that visited the Microsoft Malicious Software Removal Tool (MSRT) in the first half of 2009, 8.7 out of 1,000 (…) had some kind of malware infection identifiable by the tool.
    "…Not mentioned by the Microsoft report is that Apple Macintosh infections remain rare.
    …
    "Software can't protect you against the phishing plague - only common sense can do that. If some random e-mail asks for your personal information because somehow otherwise your bank account, or our game subscription, or your corporate computer privileges will be suspended, delete it."
    
    Original - introdução (HTML) | Fonte: TechNewsDaily - http://www.technewsdaily.com/10-things-you-must-know-about-malware-infections-0132/11 . 2010-01-29.
    
    COM: 5 steps to detect and prevent fraud in the public sector
    
    Graham Kemp - Head of public sector, SAS UK. 2010-12-20
    
    · Step 1: Gain a cohesive, agency-wide view of program activity.
    · Step 2: Apply analytics that detect potentially fraudulent activity.
    · Step 3: Translate insights into actionable intelligence.
    · Step 4: Achieve greater financial transparency.
    · Step 5: Improve performance while monitoring fraud.
    
    "Changing needs call for changing strategies"
    
    "It is important to remember that every government department has a unique culture and business process. For an anti-fraud strategy to be successful both today and tomorrow, it must be flexible enough to adapt to a variety of internal businesses processes and the ever-changing ways in which fraudsters try to exploit those processes."
    
    "By combining business and financial intelligence with performance management, government departments can tie together all of the essential areas of fraud and organizational management and achieve one cohesive strategy. And with this cohesive strategy, the Government will be armed with the necessary means and tools to ensure that the taxpayer's hard-earned pounds aren't making their way into the wrong hands."
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/article.php?id=1546&p=1 . 2010-12-20.
    
    COM: Safety advice to protect connected devices
    
    Help Net Security. 2011-01-14
    
    "If you were one of the millions of people who received tech gifts during the holidays, beware. Computer and cybercrimes have risen by more than 22% according to the most recent statistics from 2009.
    …
    "Here are some practical tips from McAfee to ensure optimal Internet safety and security in 2011:
    1. Be aware that threats aimed at mobile phones are growing.
    2. Keep in mind that gaming and entertainment devices are now Internet-connected.
    
    3. Use technologies to protect information on USBs.
    
    4. Make sure that you are using a comprehensive security software platform for your PC.
    
    5. Free anti-virus software doesn't provide complete protection.
    
    6. Make sure to transfer your PC best practices to all of your Internet-connected devices.
    
    7. Pay attention to your children’s online activities.
    
    8. Search and shop safely.
    
    9. Back up critical information."
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/secworld.php?id=10447 . 2011-01-14.
    
    COM: Online security tips for avoiding malware
    
    Help Net Security. 2011-01-12
    
    "Every month hundreds of thousands of unsuspecting computer users are faced by the inconveniences, complications and data loss that can come with Trojan horses, worms and email viruses. But before you can protect yourself - and your system - against them, you must first understand what they are."
    
    A virus is a computer program that distributes copies of itself, even without permission or knowledge of the user. The three most common types of computer viruses used today include:
    Trojan horse. This is a malicious program that allows a hacker to make changes to your computer. It is generally disguised as a harmless software program and distributed as an email attachment.
    Worm. This type of program replicates itself over a computer network and usually performs malicious actions, such as using up the computer's resources and possibly shutting the system down. The name is an acronym for "write once, read many."
    
    E-mail virus. This type of virus can infiltrate users' email address books and send itself, automatically, to others in your list. It may cause minor data loss or even completely destroy files and systems.
    "In addition, you can follow these computer and online security tips from Webroot to create a safer computing environment at work and at home:
    · Install high-quality Internet security software.
    · Be suspicious of unexpected attachments, even from legitimate acquaintances.
    
    · Avoid questionable Web sites.
    
    · Only download software from sites you trust. Carefully evaluate free software and file-sharing applications before downloading them.
    
    · Update your operating system regularly.
    
    · Increase your browser security settings.
    
    · Type in a trusted URL for a company's site into the address bar of your browser to bypass links in an email or instant message."
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/malware_news.php?id=1584 . 2011-01-12.
    
    COM: Tips to securely shred unnecessary files
    
    Help Net Security. 2011-01-03
    
    [ Notas prévias:
    A legislação da UE - e, consequentemente, a portuguesa - difere da dos EUA.
    A GI (Unidade de Gestão de Informação) da Reitoria da U.PORTO possui informação e delineou procedimentos em relação a estes aspectos. ]
    
    'Organizations often hold on to records that are no longer needed. These records take up valuable storage space and cost money that could otherwise be saved. Adhering to a retention schedule helps businesses operate more efficiently to save time, money and space.
    
    “While it may seem easier to keep everything, this is actually a losing strategy,” said Sarah Koucky, Senior Director of Security and Compliance for Cintas Document Management. “Saving unnecessary records costs both time and money. By setting retention schedules and policies, organizations will remain compliant with government regulations and can expedite the destruction of out-dated records to ensure a clutter-free system.”
    
    The following retention schedule is a general recommended guideline for certain files and documents. Consult your legal advisor for specific retention schedules appropriate for your business and records.
    · Accounts payable – 7 years
    · Accounts receivable – 7 years
    
    · Audit reports – Permanent
    
    · Bank reconciliations – 3 years
    
    · Bank statements – 7 years
    
    · Cancelled checks – 7 years
    
    · Electronic payment records – 7 years
    
    · Employee files (ex-employees) – 7 years
    
    · Employment applications – 3 years
    
    · Employment taxes – 7 years
    
    · Expense reports – 7 years
    
    · Financial statements (annual) – Permanent
    
    · Insurance policies – Permanent
    
    · Leases/Mortgages – Permanent
    
    · Loan payment schedules – 7 years
    
    · Payroll/Labor records – 7 years
    
    · Purchase orders – 7 years
    
    · Sales records – 7 years
    
    · Tax returns – Permanent
    It is important to safely and securely dispose of all documents that are no longer needed. With identity theft and data breaches on the rise, doing so will protect confidential information from falling into the wrong hands.'
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/secworld.php?id=10384 . 2011-01-03.
    
    COM: How to keep mobile devices secure while traveling
    
    Help Net Security. 2010-12-20
    
    · 1. As you leave (…) make sure you take everything with you, including your mobile devices…
    · 2. Protect your mobile device: with at least a password (…a strong one…). Better (…) use an encryption solution so that even if your device is left behind, the data on it is not accessible to anyone…
    · 3. Don't elect to automatically complete online credentials, such as corporate network log in detail…
    · 4. Back-up your device and remove any sensitive information that you do not need…
    · 5. As in tip 4, remove SMS and emails that you don't need anymore - you'd be surprised how many people keep their default password emails on their mobiles and other hugely sensitive information like PINs, bank account details…
    · 6. Don't leave your mobile device open to access (e.g. leaving Bluetooth or Wi-Fi turned on) (…) visible and unsecured.
    · 7. Include your name and contact details in the device so that, if it should be lost, it can easily be returned to you…
    · 8. Finally, speak to your IT department before you leave the office… – that's what they're there for. They'll help make sure your device is better protected should it find itself languishing all alone at the airport.
    
    " 'Tis the season to be jolly – and to leave sensitive corporate information behind at the airport! According to telephone interviews with the lost property offices of 15 UK airports (…) over 5,100 mobile phones and 3,844 laptops have been left behind so far this year; with the majority still unclaimed and many more expected to be left over the Christmas holiday peak season."
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/secworld.php?id=10339 . 2010-12-20.
    
    COM: How can I know if my computer is infected? 10 signs of infection
    
    [PandaLabs]. 2010-08-05
    
    · 1. My computer speaks to me.
    · 2. My computer is running extremely slowly.
    · 3. Applications won't start.
    · 4. I cannot connect to the Internet or it runs very slowly.
    · 5. When I connect to the Internet, all types of windows open or the browser displays pages I have not requested.
    · 6. Where have my files gone?
    · 7. My antivirus has disappeared, my firewall is disabled.
    · 8. My computer is speaking a strange language.
    · 9. Library files for running games, programs, etc. have disappeared from my computer.
    · 10. My computer has gone mad… literally.
    
    "Users are often advised to use an antivirus to check if their systems are infected, but with the current cyber-crime scenario, this is simply not enough."
    …
    "PandaLabs has produced a simple guide to the 10 most common symptoms of infection, to help all users find out if their systems are at risk…"
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/malware_news.php?id=1421 . 2010-08-05.
    
    COM: Summer holiday security checklist
    
    [SecureWorks]. 2010-08-03
    
    · 1. Hackers don't go on holiday.
    · 2. Protect dormant accounts.
    · 3. Don't advertise that your staff are on holiday.
    · 4. Don't share login details.
    · 5. Set time limits on special access privileges.
    · 6. Secure remote worker authentication.
    · 7. Ensure robust end-point security for remote workers.
    · 8. Watch out for increased web use.
    · 9. Be vigilant on payment processing.
    · 10. Switch off unused PCs and routers.
    
    "SecureWorks outlines its top ten tips for IT and security managers to minimize risk during the holiday season."
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/secworld.php?id=9674 . 2010-08-03.
    
    COM: Wi-Fi security do's and don'ts
    
    Eric Geier, Network World. [2011-11-07]
    
    "Wi-Fi is inherently susceptible to hacking and eavesdropping, but it can be secure if you use the right security measures. Unfortunately, the Web is full of outdated advice and myths. But here are some do's and don'ts of Wi-Fi security, addressing some of these myths."
    
    · 1. Don't use WEP.
    · 2. Don't use WPA/WPA2-PSK.
    · 3. Do implement 802.11i.
    · 4. Do secure 802.1X client settings.
    · 6. Secure remote worker authentication.
    · 5. Do use a wireless intrusion prevention system.
    · 6. Do deploy NAP or NAC.
    · 7. Don't trust hidden SSIDs.
    · 8. Don't trust MAC address filtering.
    · 9. Do limit SSIDs users can connect to.
    · 10. Do physically secure network components.
    · [11]. Don't forget about protecting mobile clients.
    
    "Wi-Fi security do's and don'ts. 11 tips for protecting your wireless networks."
    
    Original (HTML) | Fonte: Network World - https://www.networkworld.com/slideshows/2011/110711-wifi-security.html . [2011-11-07].
    
    COM: 20 ways to lose your database
    
    Tim Pollard - VP EMEA for Credant Technologies . 2010-07-14
    
    · Legitimate access, yet inappropriate use.
    · Opportunistic access is still a real risk.
    · Illegitimate Access - so of course they're up to no good.
    · What can corporate UK do?
    It may seem like a nightmare with so many trusted employees intentionally, or even inadvertently putting your most vital asset – your data – in jeopardy, yet there are ways to mitigate against these risks.
    
    "Arguably an organizations' most vital asset is its databases, often containing sensitive financial information, customer and employee data and intellectual property. There have been many articles written that examine the risks posed of data being exposed and the potential damage caused. External threats have long been recognized, with billions of pounds spent strengthening defenses to mitigate against them - yet there is little acknowledgment of the very real threat from within. The statement 'don't leave your valuables on show' is a simple principle so why is it often ignored by corporate UK?"
    …
    "I've identified the most common techniques individuals will employ to copy sensitive data"
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/article.php?id=1462 . 2010-07-14.
    
    COM: Vacation security advice, caution with travel planning
    
    [PandaLabs]. 2010-07-06
    
    If you take your computer on vacation with you
    · Before you do anything else, back up all your information…
    · Make sure that you have reliable, up-to-date protection and all necessary security patches are installed.
    · To mitigate the consequences of anyone stealing your computer, encrypt the information on your hard disk…
    · Clean out temporary files, logs, cookies and any password reminders or auto-complete features you use with your browser…
    · Don't connect to unprotected WiFi networks, as you could be hooking up to a network set up by hackers to steal any information that you share across the Internet. Even if you have to pay for it, it is always better to use secure, trusted networks.
    · Take care with email. Phishing attacks and spam are becoming increasingly sophisticated.
    
    If you use a computer other than your own during the holidays
    · Better still… Don't! You never know what could be installed on this computer. Using PCs in cyber-cafes (…) or systems in hotels or airports to access your bank account, etc. could have serious consequences…
    · If you really have no choice, and you have to enter websites requiring your personal credentials, make sure you change these as soon as possible afterwards to minimize the risk.
    · Avoid making any transactions or purchases online…
    · Don't accept any of the prompts to save personal data offered by many browsers.
    · When you have finished, delete all temporary files, the browser history, cookies, log files and any other information that may have been saved on the computer.
    · If you download anything onto the local computer, remember to delete it before closing…
    
    And always, on social networks or similar
    · Never use applications for planning journeys offered by social networks, to ensure that you can't be located. Don't accept the geolocation function…
    · Don't proactively share your holiday plans in chatrooms, IRCs, communities, etc.
    · If you do spend time in chatrooms while on holiday, don't reveal any personal or confidential details to anyone you don't know.
    · Share these recommendations with your children, who are often more naïve and more open to sharing information across the Internet.
    · If you observe any suspicious behavior on social networks (strangers with too much of an interest in your holiday destination, dates, etc.) contact the police. Prevention is better than cure.
    
    "With the boom in social networks and the numerous applications now available for sharing information across the Internet, PandaLabs advises users to take extra precautions to prevent falling victim to computer fraud, particularly as the summer vacation period commences in many countries."
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/secworld.php?id=9532 . 2010-07-06.
    
    COM: Tips for staying safe online
    
    [CyberDefender]. 2010-07-02
    
    · If you download movies or videos clips, make sure they're from well-known and trusted sources.
    · Don't click on search results for images of celebrities unless you can verify where the image is coming from.
    · When searching for popular movies or celebrities, know how to spell names correctly.
    · Purchase your gear from well-respected online retailers.
    · Be wary of clicking on links in Twitter - shortened links make it difficult to confirm legitimate and recognized Web sites.
    · Entering a contest online? Here's what to look for to make sure it's legit.
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/secworld.php?id=9520 . 2010-07-02.
    
    COM: Tips for responsible online photo sharing
    
    [Shutterfly]. 2010-07-01
    
    · 1. Manage your privacy settings.
    · 2. Own it.
    · 3. Tag with care.
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/secworld.php?id=9509 . 2010-07-01.
    
    COM: Five steps to cybersecurity risk assessment
    
    CDW . 2010-06-28
    
    · Identify information assets.
    1 - Public information; 2 - Internal, but not secret, information; 3 - Sensitive internal information; 4 - Compartmentalized internal information; 5 - Regulated information.
    · Locate information assets.
    · Classify information assets.
    · Conduct a threat modeling exercise.
    STRIDE: Spoofing of Identity; Tampering with Data; Repudiation of Transactions; Information Disclosure; Denial of Service; Elevation of Privilege.
    · Finalize data and start planning.
    
    "Organizations face a constant barrage of cybersecurity threats. Botnets, malware, worms and hacking are just a few things that keep IT managers awake at night, wondering if their network is safe and strong enough to deflect the next attack. Rather than reaching for a sleep aid to get through the night, organizations need a coherent methodology for prioritizing and addressing cybersecurity risks."
    …
    "CDW advises organizations to consider five steps to develop a solid foundation for the organization's security strategy"
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/article.php?id=1457 . 2010-06-28.
    
    COM: 6 cloud security tips
    
    2010-06-21
    
    · Evaluate your goals.
    · Perform due diligence.
    · Choose wisely.
    · To protect your data, take a good look at your provider.
    · Consider a hybrid security model.
    · Remember to comply!
    
    Original (HTML) | Fonte: Help Net Security - http://www.net-security.org/secworld.php?id=9442 . 2010-06-21.
- [•] Outras informações
  - PT: Global Strategic Plan to Rationalize and Decrease ICT Costs in Public Administration
    (Council of Ministers Resolution n.º 12/2012)
    
    "The Council of Ministers Resolution n.º 46/2011, of November 14th, set up the Project Group for Information and Communication Technologies (ICT), hereinafter briefly referred to as PGICT.
    
    In compliance with the aforementioned Council of Ministers Resolution, PGICT developed a global strategic plan to rationalize and decrease ICT costs in Public Administration, which was presented to the Government member in charge of the administrative modernization.
    
    Given that from the study shed on the global strategic plan follows that each ministry must develop its sectoral strategy, in compliance with the strategic drivers outlined, it seems pertinent that the same plan be submitted for approval to the Council of Ministers."
    
    Cópia local (PDF, 1 MB) | Fonte: AMA - http://www.ama.pt/images/ama%20%2820120320%29%20pgtic%20-%20council%20of%20ministers%20resolution.pdf
    
    PT: Lei n.º 36/2011 de 21 de junho
    (Estabelece a adopção de normas abertas nos sistemas informáticos do Estado)
    
    "Estabelece a adopção de normas abertas nos sistemas informáticos do Estado
    
    A presente lei estabelece a adopção de normas abertas para a informação em suporte digital na Administração Pública, promovendo a liberdade tecnológica dos cidadãos e organizações e a interoperabilidade dos sistemas informáticos do Estado."
    
    Cópia local (PDF, 187 KB) | Fonte: CNPD (Diário da República Eletrónico) - http://dre.pt/pdf1sdip/2011/06/11800/0359903600.pdf

[•] Novidades
- Software gratuito de cibersegurança disponibilizado pela CERT.PT
  [ FCCN ]
  
  "A FCCN, enquanto entidade que gere o serviço CERT.PT (www.cert.pt), faz parceria com a empresa SECUNIA para disponibilização gratuita de uma ferramenta de análise e identificação de vulnerabilidades em software instalado em computadores pessoais, o PSI."
  
  …
  
  Fonte: FCCN - http://www.fccn.pt/index.php?module=announce&ANN_user_op=view&ANN_id=273 . Consultada em 2010-01-04 .
  
  FCCN torna o .PT mais seguro
  [ FCCN ]
  
  "O DNSSEC garante respostas DNS assinadas, independência dos algoritmos criptográficos e confiança no serviço, com vista a suprimir fragilidades, prevenir ataques, reduzir o risco de manipulação, prestar um serviço seguro e aumentar a segurança."
  
  "Entre as vantagens desta norma, destaca-se a autenticação da origem, a integridade dos dados, e a verificação segura da não existência de um domínio ou de registos DNS a ele associados. Além disso, permite evitar intrusões como a corrupção da memória de cache (pharming, phishing,…) e proteger contra transmissões modificadas (spoofing)."
  
  "… o DNSSEC permite garantir aos utilizadores da Internet que o domínio a que estão a aceder está assinado digitalmente e não foi alvo de adulteração por terceiros, desde que disponham de um programa que verifique esta assinatura digital."
  
  ".PT é (…) um dos primeiros códigos de domínios de topo para países (ccTLD – country code Top Level Domais) a utilizar esta nova tecnologia…"
  
  …
  
  Fonte: FCCN - http://www.fccn.pt/index.php?module=announce&ANN_user_op=view&ANN_id=273 . Consultada em 2010-01-10 .

Ameaças Globais

Vírus (clique na imagem para conhecer a situação em tempo real)

Fonte: McAfee

Vulnerabilidades (é necessário ter iframe activo para ver os gráficos)

Fonte: OSVDB - Open Source Vulnerability Database

Avisos / Destaques anteriores (links)

Mensagens fraudulentas pretensamente enviadas pela DGCI [1]

2010-05-07

A DGCI (Direção-Geral dos Impostos)[1] emitiu um aviso em que alerta para o facto de alguns utilizadores do Portal das Finanças estarem a receber mensagens fraudulentas pretensamente enviadas por essa Direção-Geral.

Entre outros aspetos, as mensagens em causa podem tentar obter informação sensível referente ao utilizador e comprometer a segurança do seu computador.

O aviso indica algumas precauções a ter neste tipo de situação[2] e ações a tomar neste caso específico.

A DGCI salienta que não solicita informação sensível (através de e-mail ou de ligação não segura ao portal), nomeadamente a referente às credenciais de acesso do utilizador.

O texto do aviso pode ser lido na íntegra em:

https://www.portaldasfinancas.gov.pt/ (exige JavaScript)

[1] Designação atual da DGCI: AT - Autoridade Tributária e Aduaneira.

[2] Se desejar, pode obter mais informações sobre segurança nesta página do Portal TIC e nas FAQs da UP sobre este tema.

Contactos
Helpdesk TIC

Pesquisa
UP-FAQ (sobre TIC) UP-Soft

Feeds
(Formato RSS 2.0)

Subscrever RSS
Geral - Seg. TIC Avisos - Seg. TIC Alertas - Seg. TIC

Ler RSS - v. HTML
Geral - Seg. TIC Avisos - Seg. TIC Alertas - Seg. TIC

Serviços e Recursos
Certificados de Servidor Inquéritos U.PORTO Software na U.PORTO

Página gerada em: 2013-05-19 às 07:49:41

Última actualização: 2013-02-21