Skip to content Skip to footer
Close

RGPD

O que é?

A Segurança de Dados e Privacidade reúne os princípios, os controlos adequados e as práticas responsáveis que permitem proteger a informação pessoal e sensível contra acessos não autorizados, utilização indevida ou perdas ao longo de todo o seu ciclo de vida. Garante que os dados são tratados de forma segura, transparente e em conformidade com os enquadramentos legais aplicáveis, como o RGPD.

Mais do que um conjunto de normas ou tecnologias, é uma atitude contínua de responsabilidade. Começa no momento em que os dados são recolhidos, prolonga-se durante o seu armazenamento e utilização, e mantém-se até à sua eliminação segura, assegurando que cada decisão respeita a privacidade das pessoas e reforça a confiança no ecossistema digital.

Boas Práticas

Recolher apenas os dados estritamente necessários para o fim a que se destinam;

Garantir políticas claras de privacidade e comunicação transparente com os utilizadores;

Implementar controlo de acessos baseado em perfis e princípios de menor privilégio;

Utilizar encriptação de dados em repouso e em trânsito;

Manter sistemas e aplicações atualizados com patchesde segurança;

Definir políticas de retenção e eliminação segurade dados;

Realizar avaliações de impacto sobre proteção de dados (DPIA) sempre que aplicável;

Formar colaboradores para a importância da proteção de dados e da privacidade;

Em caso de incidente

Conter o incidente de forma imediata para limitar o impacto;

Avaliar o tipo de dados afetados e o risco para os titulares;

Notificar as autoridades competentes dentro dos prazos legais;

Comunicar de forma transparente com os utilizadores afetados;

Rever processos e implementar medidas corretivas;

Documentar o incidente para efeitos de auditoria e melhoria contínua;

Download

Leave a comment

Compras Online

O que é?

A Segurança nas Compras Online reúne os cuidados essenciais, os controlos adequados e as práticas responsáveis que ajudam cada pessoa a resguardar-se de fraudes, fugas de informação ou acessos não autorizados aos seus dados pessoais e financeiros durante qualquer transação digital.

Mais do que um conjunto de ferramentas, é uma atitude contínua de vigilância. Começa no momento em que o consumidor escolhe onde comprar e acompanha todo o processo, do primeiro acesso ao site até à receção da encomenda, garantindo que cada passo é dado com confiança e proteção.

Boas Práticas

Privilegie redes de confiança, evitando ligações públicas ou desconhecidas
Protege-se de acessos indevidos que podem comprometer os seus dados.

Verifique se o website é seguro e protegido por encriptação
Um site legítimo garante que a informação que partilha viaja de forma protegida.

Confirme a reputação da loja e consulte opiniões de outros consumidores
O feedback de quem já comprou é muitas vezes
o melhor indicador de confiança.

Desconfie de preços “bons demais para ser verdade”
Ofertas exageradas são, por norma, o primeiro sinal de alerta.

Utilize palavras-passe robustas e únicas
Uma boa palavra-passe é a primeira muralha contra acessos indevidos.

Ative mecanismos de autenticação adicional
Um segundo fator de verificação reduz drasticamente o risco de intrusão.

Utilize gestores de palavras-passe fiáveis
e independentes do navegador
Estas ferramentas ajudam a manter as suas credenciais organizadas e protegidas.

Em caso de burla

Guarde provas e registos das comunicações
Essas informações podem ser essenciais para
a investigação.

Altere as palavras-passe das contas afetadas Assim limita eventuais acessos indevidos
e impede danos adicionais.

Contacte o banco sem demora
Quanto mais cedo o fizer, maior a probabilidade de evitar prejuízos.

Reporte o incidente às autoridades e entidades competentes O seu alerta contribui para travar novas tentativas de fraude.

Vigie as suas contas e movimentos nos dias seguintes
A atenção contínua permite detetar qualquer atividade suspeita.

Partilhe o sucedido para ajudar outros
a prevenir riscos
A sua experiência pode proteger alguém de passar pelo mesmo.

Download

Leave a comment

Third-Party Security

O que é?

Third-Party Security é o conjunto de processos, controlos e práticas usados para avaliar, monitorizar e garantir que fornecedores, parceiros, subcontratados e prestadores de serviços não representam um risco para a organização.

Inclui tudo o que envolve terceiros:

– Empresas que tratam dados da organização;
– Serviços cloud; – Fornecedores de software e hardware;
– Consultoras e equipas externas;
– Parceiros de negócio que têm acesso à rede ou sistemas;
– Ferramentas SaaS utilizadas pelos colaboradores.

Riscos

Acesso indireto aos sistemas internos
Um fornecedor comprometido pode ser explorado como ponte para atacar a organização. 

Exposição ou fuga de dados sensíveis
Terceiros que tratam informação crítica podem perdê-la ou sofrer ataques que a exponham.

Vulnerabilidades na cadeia de abastecimento Software, atualizações ou integrações podem trazer código malicioso, backdoors ou falhas graves.

Falta de controlo sobre práticas de segurança dos fornecedores Sem critérios claros, cada fornecedor opera ao seu nível — muitas vezes insuficiente. 

Impacto reputacional e legal
Uma violação provocada por um terceiro afeta diretamente a imagem, clientes e obrigações regulamentares (incluindo RGPD).

Boas Práticas

Avaliar fornecedores antes de contratar Verificar políticas de segurança, certificações, histórico de incidentes e maturidade técnica.

Definir cláusulas de segurança em contratos
e SLA
Incluir requisitos obrigatórios: encriptação, gestão de acessos, resposta a incidentes, auditorias, notificações obrigatórias, etc.

Monitorizar continuamente o risco dos fornecedores
Avaliações regulares, questionários, análises de segurança, monitorização de reputação e alertas de incidentes.

Controlar o acesso dos terceiros aos sistemas internos
Acesso mínimo necessário, segregação de redes, MFA, logs completos e revisões periódicas.

Estabelecer um processo de offboarding seguro Quando o serviço termina, remover acessos, recuperar equipamentos, apagar dados e garantir eliminação certificada.

Download

Leave a comment

Um Futuro com AI

O que é?

A Inteligência Artificial é a tecnologia que confere às máquinas a capacidade de aprender, interpretar dados e tomar decisões inteligentes, reproduzindo e, em certos casos, ampliando as capacidades humanas de raciocínio e adaptação.

Quando desenvolvida e aplicada com ética, segurança e transparência, a AI transforma-se num ativo estratégico essencial, potenciando a eficiência, protegendo a informação e fortalecendo a confiança digital que sustenta o futuro das organizações.

Boas Práticas

Transparência e ética no trabalho da AI

A transparência é a base da confiança. As organizações devem comunicar claramente como os algoritmos tomam decisões, evitar enviesamentos e garantir supervisão humana nas etapas críticas. A ética deve estar presente desde a conceção até à operação de cada sistema inteligente.

Proteção e privacidade de dados

Os dados são o novo valor da era digital e exigem uma gestão responsável. É essencial aplicar princípios de privacidade desde a conceção, reforçar a encriptação, controlar acessos e assegurar conformidade com o RGPD e outras normas internacionais.

Cultura de segurança e consciencialização

A tecnologia protege, mas são as pessoas que fazem a diferença. Promover uma cultura de cibersegurança implica formação contínua, partilha de boas práticas e sensibilização para riscos digitais. A segurança deve ser vivida como um valor da organização.

Gestão responsável da inovação tecnológica

Cada inovação deve ser avaliada quanto aos riscos éticos, de segurança e de impacto social. Os sistemas de IA precisam de ser testados, auditados e atualizados com rigor, envolvendo equipas técnicas, jurídicas e humanas nas decisões.

Governança e auditoria contínua

A confiança constrói-se com transparência e responsabilidade. Estruturas de governança digital garantem que as decisões tecnológicas seguem princípios éticos e legais, enquanto auditorias regulares reforçam a credibilidade e reduzem o risco de incidentes.

Leave a comment

Zero Trust

O que é?

Zero Trust é um conceito de segurança que parte do princípio de que ninguém e nada deve ser automaticamente considerado de confiança, mesmo dentro da rede de uma organização. Tradicionalmente, acreditava-se que as ameaças estavam apenas no exterior, mas a experiência demonstrou que ataques internos ou acessos indevidos a partir de credenciais comprometidas podem ser igualmente perigosos. 

Assim, o Zero Trust baseia-se na ideia de “nunca confiar, verificar sempre”. Cada tentativa de acesso a sistemas, aplicações ou dados deve ser verificada, autenticada e autorizada. Este modelo procura reduzir a probabilidade de intrusão e limitar os danos caso um ataque ocorra.

Tipos de Zero Trust

Zero Trust de Identidade

Garante que cada utilizador é autenticado de forma rigorosa, através de mecanismos como MFA ou validação contínua.

Zero Trust de Dispositivos

Verifica se o dispositivo que tenta aceder está registado, atualizado e cumpre os requisitos de segurança definidos.

Zero Trust Redes Sociais

Divide a rede em pequenas zonas, permitindo que apenas tráfego autorizado circule em cada segmento. Desta forma, um ataque num ponto não compromete toda a rede.

Zero Trust de Dados

Protege a informação em todas as fases, quer esteja armazenada, em trânsito ou a ser utilizada. Inclui encriptação e gestão de acessos rigorosa.

Zero Trust de Infraestruturas

Estende a proteção para ambientes híbridos e distribuídos, assegurando que a cloud obedece às mesmas regras de controlo e auditoria.

Boas Práticas na Implementação

Mapear ativos críticos

Conhecer quem são os utilizadores, que dispositivos existem, quais as aplicações e onde estão os dados mais sensíveis.

Autenticação com MFA

Exigir sempre uma segunda camada de verificação para acessos importantes.

Princípio do menor privilégio

Conceder apenas as permissões necessárias a cada perfil de utilizador.

Microsegmentação da rede

Dividir a infraestrutura em zonas menores para limitar o impacto de ataques.

Monitorização contínua

Analisar comportamentos e detetar padrões suspeitos em tempo real.

Download

Leave a comment

Treat Landscape

Panorama Atual

O relatório ENISA Threat Landscape destaca a atenção para os seis principais tipos de ameaças. Estes tipos específicos de ameaças foram selecionados devido à sua proeminência ao longo dos anos, à sua ocorrência generalizada e ao impacto significativo resultante da concretização destas ameaças.

Ransomware

Segundo a ENISA, o ransomware consiste em ataques onde os cibercriminosos assumem o controlo dos ativos de uma vítima e exigem um resgate pela sua devolução ou pela não divulgação pública de dados. Envolve diversas técnicas de extorsão, sendo uma das principais ameaças atuais, com destaque para ataques mediáticos e altamente impactantes.

Malware

Designado também como código malicioso, o malware refere-se a qualquer software ou firmware criado para executar ações não autorizadas, afetando negativamente a confidencialidade, integridade ou disponibilidade de um sistema.

Ameaças Contra Dados

O RGPD define violação de dados como qualquer falha de segurança que cause destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais.

Violação de dados: Ato intencional e malicioso com o objetivo de roubo ou divulgação de informação.
Fuga de dados: Exposição acidental de dados, resultante de erros humanos, falhas técnicas ou configurações incorretas.

Engenharia Social

Conjunto de técnicas que exploram o erro humano para obter acesso a informações ou sistemas. Recorrendo à manipulação psicológica, os atacantes convencem as vítimas a executar ações comprometedoras. Os principais vetores incluem phishing, spear-phishing, smishing, vishing, whaling,
watering hole, entre outros.

Ameaças Contra a Disponibilidade – Ataques DDoS

Os ataques de negação de serviço (DDoS) visam indisponibilizar sistemas, serviços ou dados, sobrecarregando recursos de rede. Embora não sejam novos, continuam a representar uma ameaça significativa à estabilidade digital.

Manipulação da Informação – FIMI

A Manipulação e Interferência de Informação Estrangeira (FIMI) representa ações coordenadas, maioritariamente não ilegais, que visam minar valores, processos políticos e sociais. Podem ser conduzidas por atores estatais ou não estatais, com o objetivo de desinformar e influenciar perceções públicas.

Download

Leave a comment

Mensagens Fraudulentas

O que são?

Os Smartphones está cada vez mais presente na vida das pessoas. Todavia, o seu uso generalizado expõe os utilizadores a algumas ameaças aociberespaço que afetam em particular este tipo de dispositivos. Uma das funcionalidades mais utilizadas nos smartphones são as mensagens instantâneas enviadas através de aplicações dedicadas a este fim ou redes sociais que disponibilizam este serviço. É através destas mensagens que muitas fraudes ocorrem, afetando qualquer tipo de pessoa que tenha um smartphone, mesmo que não use um computador.

Tipos de SMS

  • Mensagens que personificam uma pessoa conhecida ou uma organização com vista a conduzir uma vítima a realizar transferências bancárias para um agente malicioso;
  • Mensagens que personificam uma organização com o objetivo de recolher informação sensível, como palavras-passe ou números de cartões de crédito;
  • Mensagens que procuram conduzir o utilizador a instalar programas maliciosos que comprometem a segurança do dispositivo;
  • Mensagens com desinformação que visa condicionar a perceção dos utilizadores com preconceitos e/ou informações falsas;
  • Mensagens com conteúdos nocivos que pretendem perseguir, perturbar e/ou extorquir a vítima.

Boas Práticas

  • Desconfiar de mensagens de números desconhecidos, mesmo que pareçam ser de pessoas ou instituições conhecidas.
  • Confirmar pedidos importantes por outros meios (telefone, email,etc).
  • Evitar clicar em links suspeitos ou de origem desconhecida.
  • Nuca partilhar dados sensíveis por mensagem ou sites desconhecidos.
  • Instalar Apps apenas de fontes oficiais (AppStore, Google Play).
  • Reforçar a privacidade nas apps de mensagens (ex: bloquear desconhecidos, evitar partilha automática).
  • Confirmar a veracidade de notícias ou imagens antes de partilhar.
  • Evitar responder a mensagens tóxicas ou provocadoras, para não alimentar discursos de ódio.
  • Denunciar mensagens fraudulentas às autoridades competentes.

Download

Leave a comment

Human Firewall

O que é?

O conceito de Human Firewall refere-se à ideia de que os colaboradores de uma organização desempenham um papel fundamental na defesa contra ameaças cibernéticas. Assim como uma firewall é uma barreira de proteção que controla o tráfego numa rede, a Human Firewall reconhece que os indivíduos possam ser uma linha de defesa crucial para proteger os sistemas e dados da empresa.

Qual a sua importância?

  • Capacitação dos colaboradores sobre os temas da cibersegurança;

  • Proteção dos ativos da empresa (roubo de informações confidenciais, interrupção das operações, danos à reputação);

  • Prevenção de violação de segurança;

  • Redução dos erros humanos; Deteção de ameaças (ex: Ataques de Engenharia Social) – Resposta a incidentes.

Qual a sua importância?

  • Consciencialização sobre ataques de phishing e de engenharia social – Utilização de palavras-passe seguras;

  • Atualizações de segurança e patches;

  • Proteção de dados confidenciais;

  • Utilização segura de dispositivos USB e externos.

Human Firewall garante que todos os colaboradores tenham uma forte consciência do cenário de ameaças cibernéticas. Permitindo que os mesmos identifiquem com precisão os riscos de segurança e relatem possíveis ataques cibernéticos ou práticas de segurança inadequadas. Diminuindo a chance da empresa ser vítima de um ataque, ao mesmo tempo em que se desenvolve uma cultura de segurança mais forte dentro da empresa.

Download

Leave a comment

Engenharia Social

O que é engenharia social?

Engenharia social, é definida como o uso e manipulação do comportamento do ser humano para obter um resultado desejado, explorando o erro para obter informações privadas ou acessos a sistemas e aplicações. É um ataque que depende da comunicação real entre o atacante e vítima, sendo esta última a ser persuadida.

Algumas das principais técnicas: Phishing, Vishing, Smishing.

Phishing

    • Phishing, é uma técnica de engenharia social que visa atacar um grupo de pessoas com o envio de um email, com o intuito de levar as mesmas a abrir;
    • Um anexo malicioso, fornecer informação pessoal, passwords, dados bancários;

Como prevenir?

    • Não abrir ou executar anexos sem garantir previamente que são fidedignos. Em caso de dúvida, contactem o suporte técnico UP MOTION;
    • Desconfiar de emails externos, validar sempre a origem e remetente;
    • Desconfiar de erros gramaticais no corpo da mensagem e/ou com palavras ou expressões em Português do Brasil.

Vishing

    • Vishing, é uma técnica de engenharia social que visa atacar por chamada telefónica ou mensagem de voz uma pessoa, levando a mesma a fornecer dados pessoais, financeiros ou transferir dinheiro.

Como prevenir?

    • Não partilhar dados pessoais, passwords ou PINs;
    • Validar que o número de telefone é o oficial da entidade que o está a contactar;
    • Desconfiar de ofertas ou solicitações de informação bancária.

Smishing

    • Smishing, é uma técnica de engenharia social que visa atacar uma ou mais pessoais através do envio de mensagens SMS na tentativa de adquirir informações pessoais, financeiras ou levar as mesmas a abrir links maliciosos.

Como prevenir?

    • Desconfiar de mensagens com alertas de segurança ou pedidos urgentes;
    • Desconfiar de erros gramaticais ou de ortografia;
    • Não abrir links, aceder aos websites manualmente através do navegador.
Download

Leave a comment

Segurança de Palavras-Passe

O que é Princiais Ameaças Cibernéticas?

Mais de 10 terabytes de dados roubados mensalmente. Mais de 60% das organizações afetadas podem ter pago pedidos de resgate.

Evitar utilizar dados pessoais nas palavras-passe

Não utilizar informação pessoal tal como nomes e datas na criação da palavras-passe.

Utilizar palavras-passe fortes

Crie uma palavra-passe que contenha pelo menos 12 caracteres, incluindo números, símbolos, maiúsculas e minúsculas.

Utilizar MFA

Utilizar Multi Fator de Autenticação para incrementar o nível de segurança no acesso às contas.

Evitar reutilizar as palavras-passe

Não utilizar a mesma palavra-passe para diferentes contas e dispositivos.

Alterar regularmente as palavras-passe

Alterar regulamente as palavras-passe.

Download

Leave a comment

Ransomware

O que é?

De acordo com a NPSA (National Protective Security Authority), a pegada digital são os dados deixados por uma pessoa que utiliza um serviço digital ou publica informações sobre a mesma num fórum digital, tal como redes sociais.’

Como proteger a nossa Pegada Digital

Procure por si
    • Utilize múltiplos motores de pesquisa como Google, Bing, Yahoo, para pesquisar informações pessoais, tais como nome e verificar quais informações estão disponíveis publicamente.
Crie alertas
    • Mecanismos de pesquisa como o Google permitem definir alertas sempre que o nome, email, número de telemóvel, etc apareçam numa página web. Aceda ao google.com/alerts e insira as palavras-chave que pretende rastrear.
Apague contas antigas ou que não utilize
    • Analise as suas contas online periodicamente e exclua aquelas que são redundantes. Antes de desativar as contas, exclua manualmente todos os dados confidenciais como precaução. De forma a verificar se alguma das suas contas foi vítima de uma fuga de dados, utilize o website haveibeenpwned.com .
Crie uma conta secundária de e-mail
    • Não vincule nenhuma informação sensível a esta conta, utilize-a apenas para newsletters, criação de contas online, etc. Com isto, garantirá que a sua conta principal pode estar vinculada a contas bancárias, registos médicos e governamentais, permanecendo segura em caso de violação de dados.
Limite a partilha de informação pessoal
    • Evite publicar ou compartilhar informações de identificação pessoal (PII), como número de telemóvel, email, endereço, etc. Ao fazer upload de documentos em cloud pública como Google Drive, Dropbox, OneDrive, assegure-se que restringe o acesso à informação.
Restrinja o acesso
    • Aplicações, browsers, motores de pesquisa, plataformas sociais, todos possuem recursos para restringir as configurações de privacidade. Ajuste as configurações de forma a limitar o acesso a informações como localização, endereço IP, PII, palavras-passe, etc.
Mantenh-se anónimo
    • É aconselhável rever o que partilha online. Evite partilhar a localização e enviar fotos que forneçam informações críticas, como o endereço, número de passaporte, etc.

Download

Leave a comment

Pegada Digital

O que é?

De acordo com a NPSA (National Protective Security Authority), ‘a pegada digital são os dados deixados por uma pessoa que utiliza um serviço digital ou publica informações sobre a mesma num fórum digital, tal como redes sociais.’

Como proteger a nossa Pegada Digital

Procure por si
    • Utilize múltiplos motores de pesquisa como Google, Bing, Yahoo, para pesquisar informações pessoais, tais como nome e verificar quais informações estão disponíveis publicamente.
Crie alertas
    • Mecanismos de pesquisa como o Google permitem definir alertas sempre que o nome, email, número de telemóvel, etc apareçam numa página web. Aceda ao google.com/alerts e insira as palavras-chave que pretende rastrear.
Apague contas antigas ou que não utilize
    • Analise as suas contas online periodicamente e exclua aquelas que são redundantes. Antes de desativar as contas, exclua manualmente todos os dados confidenciais como precaução. De forma a verificar se alguma das suas contas foi vítima de uma fuga de dados, utilize o website haveibeenpwned.com .
Crie uma conta secundária de e-mail
    • Não vincule nenhuma informação sensível a esta conta, utilize-a apenas para newsletters, criação de contas online, etc. Com isto, garantirá que a sua conta principal pode estar vinculada a contas bancárias, registos médicos e governamentais, permanecendo segura em caso de violação de dados.
Limite a partilha de informação pessoal
    • Evite publicar ou compartilhar informações de identificação pessoal (PII), como número de telemóvel, email, endereço, etc. Ao fazer upload de documentos em cloud pública como Google Drive, Dropbox, OneDrive, assegure-se que restringe o acesso à informação.
Restrinja o acesso
    • Aplicações, browsers, motores de pesquisa, plataformas sociais, todos possuem recursos para restringir as configurações de privacidade. Ajuste as configurações de forma a limitar o acesso a informações como localização, endereço IP, PII, palavras-passe, etc.
Mantenh-se anónimo
    • É aconselhável rever o que partilha online. Evite partilhar a localização e enviar fotos que forneçam informações críticas, como o endereço, número de passaporte, etc.
Download

Leave a comment