A resposta a incidentes de segurança informática, em particular a contenção da ameaça e o restabelecimento da funcionalidade, deve ter o cuidado de preservar as evidências que ajudem a determinar e comprovar os sistemas e a informação afetados pelo incidente.
Todos os incidentes de segurança informática devem ser reportados ao CSIRT.UMinho pelo endereço csirt@uminho.pt.
Todas as
violações de dados pessoais têm de ser comunicadas ao Encarregado da Proteção de Dados (DPO), sem demora injustificada, para registo e avaliação das medidas a tomar.
As violações de dados pessoais que possam resultar em risco para os seus titulares devem de ser comunicadas à Autoridade de Controlo (CNPD) até 72 horas após terem sido detetadas (RGPD, artigo 33.º).
As violações suscetíveis de implicar um elevado risco para os titulares dos dados devem ser-lhes comunicadas sem demora injustificada. (RGPD, artigo 34.º)
A avaliação do risco deve ser feita em conjunto com o DPO.
A comunicação à Autoridade de Controlo será feita por intermédio do DPO.
A comunicação ao DPO faz-se por email para o endereço protecaodados@uminho.pt, por meio do seguinte formulário:
Formulário de notificação de Incidente de Segurança Informática e Violação de Dados Pessoais
O formulário poderá ser reenviado sempre que se obtenham mais informações, mas o primeiro envio não deverá ser atrasado pela recolha de informações que não possam ser imediatas.
Quando a sensibilidade da informação o justifique este documento deve ser cifrado e a password que o decifre enviada ao DPO por canal diferente do email.
