Please enable JavaScript in your browser to complete this form.INFORMAÇÃO DE FISCALIZAÇÃO - Step 1 of 4CONTEXTUALIZAÇÃOO Instituto Nacional de Tecnologias de Informação e Comunicação (INTIC, IP) é a entidade reguladora instituída no âmbito da Lei de Transacções Electrónicas (LTE), Lei n.º 3/2017, de 9 de Janeiro. Nos termos do número 1, alínea c), do artigo 12 da mesma Lei, compete ao INTIC desempenhar funções de regulação, supervisão e fiscalização. O Capítulo IX da Lei de Transacções Electrónicas trata, nos artigos 63, 64 e 65, as questões relativas às obrigações de processadores de dados, protecção de dados e responsabilidades de processadores de dados pessoais. Com vista a aferir o cumprimento destas disposições, submetemos o questionário a seguir, com o objectivo de fiscalizar e supervisionar a conformidade e cumprimento da lei no que se refere ao uso de tecnologias de informação e comunicação e protecção de dados pessoais, na instituição que V. Excia dirige1. IDENTIFICAÇÃO DA ENTIDADE OrgãoNome da Instituição *TutelaSubordinadaProvíncia *Escolha a ProvinciaCabo DelgadoNiassaNampulaZambéziaTeteManicaSofalaInhambaneGazaMaputo ProvinciaMaputo CidadeCidade *Escolha a CidadePembaLichingaNampulaQuelimaneTeteChimoioBeiraInhambaneMaxixeXai-XaiMaputoMatolaDistrito Municipal/Posto AdministrativoEndereço da Entidade *Sector da Entidade *Escolha o sectorPúblicoPrivadoAcademiaSociedade CivilEmail da Entidade *Contacto da Entidade *Nome do Ponto focal *Email do Ponto focal *Contacto do ponto focal *Próximo2. Área Organizacional(AP01) A instituição tem um sector de gestão de TIC?SimNão(AP02) A instituição tem responsável do sector de TIC?SimNão(AP03) A instituição tem política de disponibilização de informação ao público?SimNão3. Aspectos de Recursos Humanos(AP04) O sector de TIC tem equipa de trabalho?SimNão(AP05) Quantos técnicos tem o sector de TIC?1 técnico2 técnicos3 a 5 técnicosMais de 6 técnicos(AP06) A equipa do sector de TIC conhece as suas tarefas?SimNão(AP07) O sector de TIC tem técnicos suficientes para cumprir com as tarefas?SimNão(AP08) A equipe técnica tem qualificações em TIC?SimNão(AP09) O sector de TIC tem plano de formação profissional para os técnicos?SimNão(AP10) Os funcionários têm tido capacitação sobre uso e gestão de TIC?SimNão(AP11) Os funcionários tem tido formação sobre boas práticas de segurança cibernética?SimNãoVoltarPróximo4. Domínio “.mz”(AP12) A Instituição usa o Email corporativo?SimNão(AP13) A Instituição faz uso do Email com domínio ".mz"?SimNão(AP14) A Instituição faz uso do correio.gov.mz?SimNão(AP15) A Instituição faz uso da cloudgov.inage.gov.mz?SimNão(AP16) A instituição tem página de Internet?SimNão(AP17) Qual é o Subdomínio da página de Internet?.gov.mz.co.mz.ac.mz.org.mz.edu.mz.net.mz.mil.mzOutro(AP18) A instituição tem sistemas de informação e plataformas digitais noutros Domínios?SimNão(AP19) A instituição tem os sistemas/sites/serviços hospedados no centro de dados do governo?SimNão5. Segurança Cibernética(AP20) A instituição tem um CSIRT Institucional?SimNão(AP21) Tem conhecimento da existência da Equipa Nacional de Resposta a Incidentes Cibernéticos (nCSIRT.MZ)?SimNão(AP22) Tem conhecimento da existência da Equipa de Resposta a Incidentes Cibernéticos do Governo (CSIRT.GOV)?SimNão(AP23) Usa ferramentas de detenção de intrusão (IDS)?SimNão(AP24) Quais as ferramentas de detenção de intrusão (IDS)? IDS baseado em RedeIDS híbridoIDS baseado em Host(AP25) Usa a segurança da senha de acordo com as regras mínimas de complexidade (mínimo de 8 caracteres, mistura de letras maiúsculas e minúsculas, caracteres especiais, número)?SimNão(AP26) Usa a segurança de autenticação multifator nas contas de E-mail da Instituição?SimNão(AP27) Os grupos de usuários são configurados de acordo com as permissões?SimNão(AP28) Existe uma política de gestão de segurança da informação da instituição?SimNão(AP29) Existe uma política de armazenamento da informação da instituição?SimNão(AP30) Existe um sistema de recuperação de informação (Disaster Recovery)?SimNão(AP31) Existe um sistema de energia eléctrica alternativo?SimNão(AP32) Que ferramentas e filtros de mitigação são usadas na segurança da rede interna?IPS (Intrusion Prevention System)DDOS (Distributed Denial of Service)OutrasVoltarPróximo6. Certificação Digital(AP33) Tem conhecimento sobre certificação electrónical?SimNão(AP34) Tem conhecimento da assinatura electrónica?SimNão(AP35) Alguma vez usou assinatura electrónica?SimNão(AP36) Onde pode ser aplicada a assinatura electrónica?ContratosCertificadosFormulários webE-mailsProcuraçõesDocumentosOutros(AP37) Como pode ser feita a assinatura electrónica?IDS baseado em RedeIDS baseado em Host(AP38) Existe algum sistema de assinatura electrónica na instituiçãoSimNão(AP39) Tem conhecimento da existência do Sistema de Certificação Digital de Moçambique (SCDM)?SimNão(AP40) Quais as funçoes do Assinador electrónico?AssinadorVerificadorOutros(AP41) Para que finalidade usa o Assinador electrónico?Assinar documentos com validade jurídicaFazer transações online com segurança(AP42) Que tipo (s) de protocolos de criptografia usa para a segurança de páginas web?SSLTLSOutro7. Protecção de Dados7.1. Governança e Responsabilidade (AP43) Existe um Encarregado de Proteção de Dados (DPO - Data Protection Officer) formalmente designado na organização?SimNão(AP44)O Encarregado de Proteção de Dados está acessível para os colaboradores e titulares de dados pessoais?SimNão(AP45) A organização possui políticas e directrizes internas para a protecção de dados pessoais?SimNão(AP46) Essas políticas são periodicamente revistas e actualizadas?SimNão(AP47) A instituição tem consciência de suas responsabilidades quanto à protecção de dados pessoais?SimNão7.2. Coleta e Tratamento de Dados Pessoais (AP48) Quais os tipos de dados pessoais que são coletados pela instituição?(AP49) A instituição colecta apenas os dados necessários para o propósito e informa previamente o titular?SimNão(AP50) Existe um processo claro de obtenção de consentimento para a colecta de dados pessoais, quando aplicável?SimNão7.3. Direitos dos Titulares de Dados (AP51) A instituição possui um procedimento formal para atender aos direitos dos titulares de dados (acesso, correção, exclusão, etc.)?SimNão(AP52) Os titulares podem exercer seus direitos facilmente (ex.: solicitação de acesso, portabilidade, revogação de consentimento)?SimNão(AP53) Existe um canal de comunicação acessível para os titulares de dados?SimNão7.4. Armazenamento e Segurança dos Dados (AP54) Os dados pessoais são armazenados de forma segura e pelo tempo necessário para atender à finalidade para a qual foram colectados?SimNão(AP55) A instituição utiliza criptografia ou outras medidas de segurança para proteger os dados armazenados?SimNão(AP56) Existe um processo para garantir a integridade e a confidencialidade dos dados durante seu tratamento?SimNão(AP57) A organização realiza testes regulares de segurança (ex.: auditorias, testes de invasão)?SimNão7.5. Partilha e Transferência de Dados(AP58) Os dados pessoais são partilhados com terceiros? Se sim, há justificativa e contrato formal para garantir conformidade com a legislação de protecção de dados?SimNão(AP59) Caso os dados sejam transferidos para outros países, a organização assegura o cumprimento dos requisitos legais para a transferência internacional?SimNão7.6. Retenção e Descarte de Dados(AP60) Existe uma política clara de retenção e eliminação segura de dados pessoais?SimNão(AP61) A instituição realiza a eliminação segura dos dados pessoais quando eles não são mais necessários ou quando o titular solicita a exclusão?SimNão7.7. Treinamento e Conscientização(AP62) A instituição oferece treinamentos regulares sobre protecção de dados pessoais para seus colaboradores?SimNão(AP63) Os colaboradores conhecem os procedimentos de segurança e a forma correcta de lidar com dados pessoais?SimNão7.8. Gestão de Incidentes e Riscos(AP64) A instituição possui um processo formal de notificação e gestão de incidentes de segurança envolvendo dados pessoais?SimNão(AP65) Em caso de incidente de segurança, a instituição notifica as autoridades competentes e os titulares dos dados, quando necessário?SimNão(AP66) A instituição realiza avaliações periódicas de risco relacionadas ao tratamento de dados pessoais?SimNão7.9. Conformidade e Auditoria(AP67) A instituição realiza auditorias internas ou externas para verificar sua conformidade com a legislação de protecção de dados?SimNão(AP68) Existem planos de acção para corrigir eventuais falhas de conformidade identificadas durante auditorias?SimNão7.10. Responsabilidades Contratuais e Relacionamento com Terceiros(AP69) A instituição exige cláusulas contratuais específicas sobre proteção de dados em contratos com fornecedores e parceiros?SimNão(AP70) Existe um processo para avaliar se terceiros que processam dados pessoais cumprem os requisitos de protecção de dados?SimNão7.11. Consentimento e Base Legal(AP71) Além do consentimento, a instituição utiliza outras bases legais para justificar o tratamento de dados pessoais (ex.: execução de contrato, obrigação legal, interesse legítimo)?SimNão(AP72) Caso o tratamento seja baseado no consentimento, há um mecanismo para que os titulares possam revogá-lo facilmente?SimNão7.12. Monitoramento e Acompanhamento(AP73) A instituição acompanha mudanças na legislação de protecção de dados para manter a conformidade?SimNão(AP74) Existem indicadores ou métricas para avaliar a eficácia do programa de protecção de dados?SimNão7.13. Proteção de Dados Sensíveis e de Crianças(AP75) A instituição realiza algum tipo de tratamento de dados pessoais sensíveis (ex.: dados biométricos, de saúde, religiosos, etc.)? Se sim, quais medidas adicionais de segurança são adoptadas?SimNão(AP76) Caso haja colecta de dados pessoais de crianças ou adolescentes, a instituição adota salvaguardas adequadas e obtém consentimento dos responsáveis legais?SimNão7.14. Uso de Tecnologias e Automação(AP77) A organização utiliza inteligência artificial ou ferramentas automatizadas para processar dados pessoais? Se sim, há uma avaliação dos riscos para os titulares?SimNão(AP78) São realizados testes para garantir que as decisões automatizadas não causem discriminação ou impacto negativo aos titulares?SimNão7.15. Registo de Operações de Tratamento(AP79) A instituição mantém um registro actualizado das operações de tratamento de dados pessoais?SimNão(AP80) Esse registro inclui detalhes como a base legal utilizada, os responsáveis pelo tratamento e as medidas de segurança adoptadas?SimNão7.16. Acesso e Controle de Dados(AP81) O acesso a dados pessoais é restrito apenas a pessoas autorizadas dentro da instituição?SimNão(AP82) O acesso a dados pessoais é restrito apenas a pessoas autorizadas dentro da instituição?SimNão(AP83) A instituição realiza auditorias sobre os acessos a dados pessoais para detectar possíveis acessos indevidos?SimNão7.17. Relacionamento com Autoridades Reguladoras(AP84) A instituição já foi notificada ou actuada por alguma autoridade de protecção de dados?Existe um responsável interno pelo relacionamento com a autoridade reguladora em caso de fiscalizações?SimNão7.18. Gestão de Fornecedores e Terceiros(AP85) A organização verifica regularmente se os fornecedores que processam dados pessoais cumprem os requisitos legais?SimNão(AP86) Os contratos com fornecedores estabelecem obrigações claras sobre protecção de dados e medidas de segurança?SimNão7.19. Medidas Técnicas e Organizacionais(AP87) Existem mecanismos de autenticação forte para garantir o acesso seguro aos dados pessoais?SimNão(AP88) A organização adopta medidas para prevenir vazamentos de dados, como a anonimização ou a pseudonimização?SimNão(AP89) Há um plano de resposta a incidentes cibernéticos para mitigar impactos em caso de ataque ou falha de segurança?SimNão7.20. Uso de Cookies e Tecnologias de Rastreamento(AP90) A instituição utiliza cookies ou outras tecnologias de rastreamento em seus sistemas e websites?SimNão(AP91) Caso utilize, os titulares de dados são informados e podem gerenciar suas preferências de privacidade?SimNão7.21. Impacto no Negócio e Continuidade Operacional(AP92) Existe um plano de continuidade de negócios que inclui a protecção e recuperação de dados pessoais em caso de desastre?SimNão(AP93) Foram realizadas avaliações sobre os impactos de possíveis vazamentos de dados pessoais no funcionamento da instituição?SimNão7.22. Revisão de Políticas e Processos(AP94) As políticas de protecção de dados são revistas regularmente para garantir conformidade com mudanças legais?SimNão(AP95) Existe um processo formal para actualização dos procedimentos internos quando necessário?SimNão7.23. Avaliação de Impacto sobre a Protecção de Dados (AIPD)(AP96) A instituição realiza avaliações de impacto sobre a protecção de dados (AIPD) antes de iniciar actividades de alto risco no tratamento de dados pessoais?SimNãoCaso realize, quem é o responsável por conduzir essas avaliações?7.24. Gestão de Identidade e Controle de Acesso(AP97) A organização adopta autenticação multifator (MFA) para acesso a sistemas que contêm dados pessoais?SimNão(AP98) Existem mecanismos para revogar acessos de funcionários desligados ou de terceiros após o término do contrato?SimNão7.25. Registro e Monitoramento de Actividades(AP99) A instituição mantém registros de logs de acesso e processamento de dados pessoais?SimNão(AP100) Esses logs são analisados periodicamente para identificar possíveis incidentes de segurança ou acessos indevidos?SimNão7.26. Comunicação e Transparência(AP101) A instituição possui uma política de privacidade clara e acessível ao público?SimNão(AP102) Os titulares são informados sobre alterações relevantes nas políticas de privacidade e protecção de dados?SimNão7.27. Proteção contra Engenharia Social e Ataques Cibernéticos(AP103) A instituição realiza campanhas de conscientização sobre phishing e engenharia social?SimNão(AP104) Existem mecanismos para detectar e responder a tentativas de acesso não autorizado a dados pessoais?SimNão7.28. Gestão de Backups e Recuperação de Dados(AP105) A instituição realiza backups periódicos dos dados pessoais armazenados?SimNão(AP106) Esses backups são criptografados e testados regularmente para garantir que podem ser restaurados com segurança?SimNão7.29. Uso de Dispositivos e Trabalhos Remotos(AP107) Existem políticas para o uso seguro de dispositivos pessoais (BYOD - Bring Your Own Device) no tratamento de dados pessoais?SimNão(AP108) A instituição adopta medidas para garantir a protecção de dados em situações de trabalho remoto?SimNão7.30. Medidas Específicas para Protecção de Dados em Sistemas e Aplicações(AP109) A organização aplica princípios de "privacidade desde a concepção" (Privacy by Design) no desenvolvimento de novos sistemas e processos?SimNão(AP110) São realizadas revisões de segurança e testes de privacidade antes do lançamento de novos sistemas que tratam dados pessoais?SimNãoVoltarSubmeter
