SaaS / Plataforma na nuvem
Trata dados de terceiros? Isso muda tudo.
As plataformas SaaS são subcontratantes ao abrigo do RGPD e potenciais entidades essenciais/importantes ao abrigo da NIS2. Necessita de acordos de tratamento de dados, resposta a incidentes e, potencialmente, conformidade setorial.
Verificação da realidade
Se o seu maior cliente lhe pedisse hoje o relatório SOC 2 e o acordo de tratamento de dados, conseguiria fornecê-los?
GDPR (General Data Protection Regulation)
mandatory Art. 28, Art. 30(2), Art. 32, Art. 33(2)As suas obrigações
- Acordo de processamento de dados (Art. 28) para cada cliente
- Gestão de subcontratantes ulteriores e respetiva notificação
- Notificação de violações de dados ao responsável pelo tratamento sem demora injustificada
- Medidas técnicas e organizacionais documentadas (Art. 32)
- Avaliação de impacto sobre a proteção de dados em caso de tratamento de alto risco
- Registo de atividades de tratamento enquanto subcontratante (art. 30.º, n.º 2)
SiteGuardian monitoriza isto
- Monitorização de encriptação TLS/HTTPS
- Deteção de consentimento de cookies (Playwright)
- Análise de cabeçalhos de segurança
- Verificação da encriptação de transporte de e-mail
- Acompanhamento do SLA de notificação de violação (72 h)
- Assinatura digital do DPA/AVV
Risco se ignorado
Perda de clientes empresariais que exigem acordos de tratamento. Responsabilidade solidária com os responsáveis. Coimas até 4 % do volume de negócios.
NIS2 Directive (Cybersecurity)
mandatory Art. 21, Art. 23As suas obrigações
- Os fornecedores de computação em nuvem são entidades essenciais
- Medidas de gestão de riscos (art. 21.º) obrigatórias
- Reporte de incidentes: alerta antecipado 24 h, notificação 72 h
- Segurança da cadeia de fornecimento para dependências
- Responsabilidade do órgão de direção
SiteGuardian monitoriza isto
- SLA de reporte de incidentes 24 h/72 h/1 mês
- Monitorização de DNSSEC e segurança DNS
- Cabeçalhos de segurança e aplicação de TLS
- Monitorização de uptime e disponibilidade
- Pontuação de risco da cadeia de fornecimento
- Classificação automática de incidentes (NIS2 Art. 23)
Risco se ignorado
Os fornecedores de nuvem/SaaS estão explicitamente no âmbito da NIS2. Coimas até 10 milhões de euros. Responsabilidade pessoal da direção.
Cyber Resilience Act (CRA)
conditional Art. 10, Art. 11, Art. 13As suas obrigações
- Segurança desde a conceção para produtos com elementos digitais
- Obrigações de tratamento e divulgação de vulnerabilidades
- Atualizações de segurança durante o tempo de vida útil previsto do produto
- Disponibilização da lista de materiais de software (SBOM)
SiteGuardian monitoriza isto
- Monitorização de versão TLS e cipher suites
- Verificação da aplicação dos cabeçalhos de segurança
- Validação da cadeia de certificados e da expiração
Risco se ignorado
Produtos proibidos no mercado da UE. Coimas até 15 milhões de euros ou 2,5 % do volume de negócios global.
European Accessibility Act (EAA)
mandatory Art. 4, Art. 13, Art. 31As suas obrigações
- WCAG 2.2 AA para todas as interfaces destinadas aos utilizadores
- Documentação e processo de integração acessíveis
- Métodos de acesso alternativos para utilizadores com deficiência
SiteGuardian monitoriza isto
- Auditoria de conformidade WCAG 2.2 Nível AA
- Pontuação automatizada de acessibilidade
- Detalhamento por gravidade e sugestões de correção
- Verificações diárias de acessibilidade
Risco se ignorado
O SaaS B2B utilizado por trabalhadores está abrangido pelo EAA. A contratação pública exige acessibilidade.
Isto aplica-se a si?
Se responder sim a 2 ou mais questões, estas regulamentações aplicam-se muito provavelmente à sua empresa.
Veja a sua situação
O nosso scanner gratuito verifica a postura de segurança do seu website, SSL, cabeçalhos, autenticação de e-mail e muito mais. Sem necessidade de conta.
Analise a segurança da sua plataformaEsta página fornece informações gerais sobre os enquadramentos regulamentares da UE. Não constitui aconselhamento jurídico. Consulte um profissional jurídico qualificado para aconselhamento específico à sua situação. O SiteGuardian documenta a sua monitorização de forma contínua — a conformidade é responsabilidade da sua organização.