Segurança dos Serviços da Plenit
Última atualização: junho de 2026
Este documento descreve as medidas técnicas e organizacionais implementadas pela PLENIT como parte dos seus serviços, para garantir a segurança dos dados dos seus clientes, em particular os dados hospedados nas infraestruturas disponibilizadas a eles. Também descreve as medidas técnicas e organizacionais de responsabilidade do cliente no uso dos serviços fornecidos pela PLENIT. Este documento é parte integrante do contrato de serviços em vigor entre a PLENIT e o Cliente.
1. Objetivos de Segurança
PLENIT
As medidas técnicas e organizacionais implementadas pela PLENIT têm como objetivo garantir, no âmbito da prestação de seus serviços, a segurança dos dados processados em nome de seus clientes, especialmente os dados hospedados nas infraestruturas disponibilizadas a eles, protegendo esses dados contra destruição, perda, indisponibilidade, alteração e acesso não autorizado.
Resumo dos objetivos de segurança disponível aqui:
Infraestrutura
Segurança e compliance
Cliente
O cliente define seus próprios objetivos de segurança, especialmente os relacionados ao uso dos serviços da PLENIT. Em particular, garante que os referidos serviços atendam aos seus objetivos de segurança e, quando aplicável, às necessidades e objetivos de segurança do cliente final.
2. Sistema de Gestão de Segurança da Informação
PLENIT
Para alcançar os seus objetivos de segurança, a PLENIT implementou e mantém um sistema de gestão de segurança da informação (SGSI) adequado, no qual políticas, procedimentos e uma organização são formalizados e implementados, permitindo-lhe, de forma sistemática e contínua:
- Identificar riscos de segurança da informação e estabelecer um plano de tratamento e medidas técnicas e organizacionais apropriadas;
- Designar as partes interessadas, garantindo que estejam cientes dos riscos inerentes às suas funções, possuam as competências necessárias e os recursos para lidar com essas questões;
- Fornecer aos seus clientes informações que lhes permitam garantir que os serviços atendem às suas necessidades e utilizá-los de maneira adequada para assegurar a segurança dos seus dados e a continuidade das suas atividades.
Este SGSI atende aos requisitos da norma ISO27001:2022 e abrange todas as atividades realizadas pela PLENIT e seus subcontratados como parte da prestação dos serviços.
As medidas técnicas e organizacionais implementadas nesse âmbito são periodicamente revisadas e, se necessário, adaptadas às mudanças no contexto (tecnológico, regulatório, organizacional, ambiental, etc.) em que os serviços são fornecidos.
A PLENIT fornece aos seus clientes, mediante solicitação e de acordo com os termos do contrato de serviços, quaisquer informações adicionais úteis sobre seu SGSI, incluindo as ameaças consideradas e os critérios implementados como parte de seu sistema de gestão de riscos.
Cliente
O cliente implementa seu próprio sistema de gestão de segurança da informação para proteger seu sistema de informações e, em particular, o uso dos serviços da PLENIT.
Nesse contexto, o cliente deve assegurar, em particular, que os serviços utilizados, incluindo as medidas técnicas e organizacionais implementadas pela PLENIT, atendam às suas necessidades e, quando aplicável, às necessidades dos clientes finais, implementando quaisquer medidas adicionais necessárias.
3. Gestão de Riscos
PLENIT
A PLENIT realiza análises de risco formalizadas utilizando uma metodologia baseada na norma ISO27005. Essas análises abrangem todas as atividades relacionadas à prestação de serviços oferecidos pela PLENIT aos seus clientes.
A análise de riscos resulta na definição de um plano de tratamento implementado sob a responsabilidade do CISO (Chief Information Security Officer) e dos gestores de ativos.
A análise de riscos é revisada periodicamente, pelo menos uma vez por ano, gerando a atualização do plano de tratamento e promovendo a melhoria contínua.
A PLENIT fornece aos seus clientes, mediante solicitação e de acordo com as condições estabelecidas no contrato de serviços, quaisquer informações adicionais úteis sobre a sua gestão de riscos, em particular as ameaças consideradas e os critérios implementados como parte de seu sistema de gestão de riscos.
Cliente
O cliente é responsável pela sua própria gestão de riscos, especialmente no que diz respeito ao uso dos serviços.
O Cliente assegura que as características e condições de uso dos serviços da PLENIT, e em particular as medidas técnicas e organizacionais implementadas pela PLENIT, sejam adaptadas às suas atividades e, quando aplicável, às atividades dos clientes finais, considerando os riscos inerentes a essas atividades.
Os serviços da PLENIT podem ser auditados pelo cliente, conforme previsto no contrato de serviços.
4. Normas e Certificações
PLENIT
No âmbito de suas atividades, a PLENIT implementa normas reconhecidas pelo setor, em particular os seguintes padrões de certificação:
- Certificação ISO/IEC27001
A PLENIT implementou um Sistema de Gestão da Segurança da Informação (SGSI) em conformidade com a norma ISO/IEC 27001:2022..
A conformidade do SGSI da PLENIT com a norma ISO27001:2022 foi auditada por um auditor independente reconhecido para os seguintes serviços:
- Servidores
- Desktop remoto
- Armazenamento de arquivos
- Armazenamento de objetos
- Código de Conduta CISPE
A PLENIT está comprometida em garantir que os seus serviços cumpram o Código de Conduta para Fornecedores de Serviços de Infraestrutura em Cloud, publicado pela associação CISPE (Cloud Infrastructure Services Providers in Europe) e aprovado pela CNIL em 3 de junho de 2021 (veja a Deliberação 2021-065 de 3 de junho de 2021). Esse código define as melhores práticas que podem ser implementadas por fornecedores de infraestrutura em cloud para atender ao Regulamento Geral de Proteção de Dados (RGPD).
INCIBE – Catálogo de Cibersegurança
A PLENIT está registrada no catálogo de empresas e serviços de cibersegurança do INCIBE (Instituto Nacional de Cibersegurança Espanhol).
- Certificação HDS
A PLENIT implementou o referencial de certificação para a Alojamento de Dados de Saúde (HDS, na sigla em francês) (Versão 2.0 final), elaborado em França pela Agence du Numérique en Santé.
A conformidade dos seguintes serviços da PLENIT com os requisitos deste referencial foi auditada e certificada em dezembro de 2024 por um auditor independente acreditado:
- Servidores
- Desktop remoto
- Armazenamento de arquivos
- Armazenamento de objetos
Esta certificação permite aos clientes da PLENIT hospedar, no âmbito desses serviços, sistemas de informação utilizados para o tratamento de dados de saúde e operados no âmbito de atividades sujeitas ao Código de Saúde Pública francês.
Selo PME Inovadora
Selo que certifica que, nos últimos anos, a empresa realizou atividades nos campos de Pesquisa, Desenvolvimento Tecnológico ou Inovação Tecnológica.
A conformidade da PLENIT com essas normas de certificação é reavaliada e auditada anualmente, tanto internamente quanto por auditores externos independentes e reconhecidos.
Quando uma não conformidade é identificada, medidas corretivas e remediais são implementadas.
Cliente
Considerando o contexto em que o uso dos serviços da PLENIT ocorre, especialmente seus compromissos contratuais com terceiros e as regulamentações aplicáveis às suas atividades, o cliente garante que os serviços da PLENIT possuam todas as certificações necessárias.
O cliente leva em conta, em particular, o tipo de dados hospedados nas infraestruturas disponibilizadas pela PLENIT, os processamentos realizados nesses dados, bem como, quando aplicável, a natureza das atividades dos clientes finais.
5. Segurança Física e Ambiental
PLENIT
Os serviços da PLENIT são hospedados em data centers europeus de alto padrão, selecionados com base em critérios rigorosos de segurança, disponibilidade e conetividade.
- Controlo de Acesso Físico
- Acesso físico sujeito a autorização prévia e verificação sistemática de identidade.
- Controlo de acesso por crachás individuais ou sistema de gestão de acesso biométrico.
- Implementação de cinco (5) camadas de proteção de segurança física (acesso ao perímetro, edifício, salas técnicas, racks, etc.).
- Presença de vigilantes de segurança profissionais 24/7.
- Sistema contínuo de videovigilância 24/7, incluindo câmeras internas e externas, com gravação para investigação de incidentes.
- Registo e revisão periódica de acessos.
- Sistema de Proteção Contra Incêndios
Todos os ambientes contam com sistemas de combate a incêndios projetados para extinguir rapidamente qualquer foco, sem deixar resíduos:
- Detetores de fumo.
- Sistemas de extinção automáticos.
- Botões de paragem de emergência em todas as salas.
- Detectores óticos e iónicos com sistema VESDA.
- Alarmes monitorizados 24/7.
- Controlo Ambiental
Data centers localizados em áreas sem riscos conhecidos de inundações ou terremotos.
Infraestruturas operam em ambientes permanentemente controlados:
- Refrigeração contínua (24/7)
- Equipamentos de ar condicionado redundantes
- Temperatura controlada de 21 ºC
- Humidade relativa de 50%
- Sistema automático de deteção e monitorização de incidentes
- Certificações
Os data centers que hospedam os serviços da PLENIT possuem certificações de acordo com os seguintes padrões:
- ISO14001 - Gestão Ambiental
- ISO22301 - Segurança e Resiliência
- ISO27001 - Gestão de Segurança da Informação
- ISO9001 - Gestão da Qualidade
- ISO50001 - Sistemas de Gestão de Energia
- SOC1/SOC2 - Controlos de Organização de Serviços
- PCI-DSS - Padrão de Segurança de Dados para o Setor de Cartões de Pagamento
- HDS - Hospedagem de dados pessoais de saúde (Data Centers em Paris)
- ENS - Esquema Nacional de Segurança Espanhol (Data Centers em Madrid)
- Monitorização
A PLENIT realiza avaliações periódicas para garantir que os fornecedores responsáveis pela operação dos data centers implementem medidas técnicas e operacionais apropriadas.
Cliente
O cliente é exclusivamente responsável pela segurança física e ambiental das infraestruturas que utiliza e que não são fornecidas pela PLENIT.
6. Continuidade dos Serviço
PLENIT
A PLENIT implementou um plano de continuidade de serviços composto pelas diversas medidas descritas abaixo.
Esse plano é revisto periodicamente e, caso necessário, adaptado às mudanças que possam ocorrer no contexto em que os serviços são prestados.
As medidas implementadas para garantir a continuidade de ativos críticos são testadas periodicamente.
- Redundância de Infraestruturas
A PLENIT implantou uma arquitetura redundante para que a falha de um componente não impacte a operação normal dos serviços. Em particular:
- Os data centers estão equipados com conexões redundantes à rede elétrica e geradores a diesel cinéticos dimensionados para atender às necessidades energéticas de todo o edifício e da infraestrutura.
- Cada servidor possui duas fontes de alimentação, cada uma conectada a um segmento elétrico diferente do data center.
- Os data centers onde os serviços são hospedados são neutros e oferecem uma ampla gama de conectividade, permitindo à PLENIT possuir vários circuitos de rede de diferentes fornecedores, protegendo-se contra a perda de conectividade devido à falha de um fornecedor.
- O equipamento das infraestruturas possui pelo menos duas conexões de rede de alta disponibilidade (LAG), e cada conexão de rede tem o seu próprio switch, garantindo que a falha de um switch não cause interrupção no serviço.
- A PLENIT implementou uma agregação de link multi-chassi em que cada roteador e cada switch (de agregação e de acesso) é redundante, assegurando a disponibilidade e escalabilidade da rede.
- A infraestrutura do Portal é de alta disponibilidade (HA) em 2 data centers diferentes.
- Redundância N x 1,25 em hipervisores, oferecendo capacidade suficiente para suportar a falha de até 25% deles. Em caso de falha de um hipervisor, os servidores hospedados nele são automaticamente iniciados em outros hipervisores.
- Armazenamento de alta disponibilidade, combinando clusters de armazenamento com replicação síncrona, permitindo a continuidade operacional e a recuperação imediata em caso de falha.
- Sistema Anti-DDoS
As infraestruturas estão equipadas com um sistema anti-DDoS que previne e filtra ataques de negação de serviço para garantir a disponibilidade dos serviços.
Esse sistema é estruturado em várias linhas de filtragem e detecção, permitindo diferenciar pequenos ataques (algumas centenas de Mb/s) de grandes ataques de milhares de Gb/s.
- Planeamento de Capacidade
A PLENIT garante, por meio de monitorização e revisões periódicas, que a capacidade e o dimensionamento das infraestruturas utilizadas para fornecer os serviços estão adaptados aos acordos de nível de serviço.
No que diz respeito a recursos partilhados por vários clientes, a PLENIT faz o melhor esforço para atender às necessidades de capacidade dos seus clientes, mas não pode garantir nenhum volume específico de recursos disponíveis.
- Gestão de Mudanças
A PLENIT implementa uma política de gestão de mudanças projetada para garantir a continuidade dos serviços em caso de alterações ou modificações.
No âmbito do desenvolvimento, atualização e evolução do sistema de informação, aplicam-se, em particular, os seguintes princípios:
- Avaliação de requisitos e riscos na fase de planeamento.
- Desenvolvimento em ambiente de desenvolvimento (dev).
- Testes e aceitação de Garantia de Qualidade (QA), incluindo segurança.
- Testes em ambientes beta.
- Implementação em produção após aprovação conforme o processo de planeamento de mudanças.
Os clientes são informados sobre mudanças que possam impactar as condições de uso dos serviços (em especial níveis de desempenho, condições de interoperabilidade, níveis de segurança, continuidade dos serviços, alterações de funcionalidades, etc.).
Cliente
O cliente é responsável pela continuidade das suas atividades, em particular pela disponibilidade do sistema de informação que aloja nas infraestruturas disponibilizadas pela PLENIT.
Nesse sentido, o cliente:
- garante a gestão adequada dos elementos e processos sob a sua responsabilidade conforme estabelecido no contrato de serviço;
- assegura que as características e condições dos serviços (especialmente o dimensionamento e o nível de desempenho dos serviços) sejam suficientes para alcançar os seus objetivos de disponibilidade e continuidade;
- é responsável por ativar e configurar quaisquer funções e opções disponibilizadas para garantir a continuidade de suas atividades (especialmente funções de backup e versionamento);
- implementa quaisquer medidas adicionais (como backups remotos, recursos redundantes, etc.) que possam ser necessárias para garantir que esses objetivos sejam alcançados;
- considera incidentes, bem como mudanças e evoluções nos serviços comunicados pela PLENIT, e adapta, se necessário, sua organização e as condições sob as quais utiliza os serviços.
7. Gestão de Acessos Lógicos
PLENIT
- Acesso da PLENIT ao Sistema de Informação
A PLENIT implementa as seguintes medidas para garantir a segurança do acesso aos diversos componentes do sistema de informação utilizados no contexto dos serviços:
- Gestão de identidade e acesso documentada e centralizada;
- Processo formalizado para a atribuição e remoção de direitos de acesso;
- Implementação dos princípios de menor privilégio e minimização;
- Atribuição de direitos de acesso com base em papéis predefinidos ou na associação a grupos operacionais;
- Revisão periódica dos direitos de acesso;
- Supervisão do processo de entrada/saída de colaboradores, especialmente para garantir a atribuição e revogação adequadas de direitos de acesso, principalmente quando um colaborador deixa a organização ou muda de função;
- Uso de contas de utilizador individuais e nominais sempre que possível;
- Implementação de uma política de gestão de passwords de última geração;
- Implementação de um sistema obrigatório de autenticação multifator (MFA) para papéis com privilégios, em especial administradores;
- Registo de conexões e armazenamento seguro de logs.
- Acesso do Cliente aos Serviços
A PLENIT disponibiliza ao cliente uma plataforma que permite designar as pessoas autorizadas, em seu nome, a utilizar os serviços da PLENIT.
Essa plataforma possibilita: Criar e excluir utilizadores, criar diferentes perfis de utilizador com direitos de acesso específicos, utilizar a autenticação de dois fatores (2FA).
Os registos de acessos e eventos são gravados e mantidos por 12 (doze) meses, estando disponíveis para o cliente dentro da plataforma, ou mediante solicitação ao Suporte ao Cliente.
Cliente
O cliente é o único responsável por gerir o acesso dos membros da sua equipa aos serviços e à plataforma de gestão de serviços disponibilizada pela PLENIT. Em particular, o cliente é responsável por:
- A criação e eliminação de contas de utilizador dos membros da sua equipa, bem como a atribuição dos privilégios necessários para o desempenho das respetivas funções;
- A ativação da funcionalidade de autenticação multifator (MFA/2FA);
- O controlo e a revisão periódica dos direitos de acesso dos membros da sua equipa;
- A implementação de medidas técnicas e operacionais destinadas a garantir a confidencialidade dos métodos de autenticação dos utilizadores pertencentes à sua equipa.
Além disso, o cliente é exclusivamente responsável por gerir autorizações e acessos lógicos a sistemas e aplicações não fornecidos pela PLENIT (incluindo aqueles implantados como parte dos serviços).
8. Gestão de ativos
PLENIT
Todos os ativos necessários para a prestação dos serviços (incluindo máquinas físicas e virtuais, equipamentos de rede, sistemas de armazenamento, entre outros) são inventariados.
O inventário de ativos é atualizado periodicamente.
A cada ativo é atribuída uma equipa responsável, encarregada de assegurar a sua gestão adequada em conformidade com as políticas implementadas pela PLENIT (análise e tratamento de riscos associados, gestão de vulnerabilidades, gestão de acessos, manutenção em condições operacionais, entre outros).
No final do ciclo de vida de um ativo, ou em caso de alteração da sua utilização que possa envolver dados, é implementado um processo de eliminação de dados em conformidade com as normas e boas práticas da indústria.
Da mesma forma, os equipamentos que atingem o fim da sua vida útil são destruídos de acordo com as normas e boas práticas aplicáveis da indústria.
Cliente
O cliente é responsável pela gestão e proteção dos ativos que utiliza no âmbito dos serviços (instâncias, sistemas de armazenamento, sistemas operativos e aplicações instaladas nas infraestruturas disponibilizadas, entre outros).
Antes da data efetiva de cessação ou expiração dos serviços utilizados, o cliente deve assegurar a eliminação dos dados alojados.
9.Gestão de Vulnerabilidades
PLENIT
O sistema de informação utilizado para a prestação dos serviços dispõe de mecanismos de proteção adequados contra riscos de intrusão, incluindo segmentação, firewalls, filtragem IP, sistemas de deteção de intrusões e acesso através de bastion hosts.
As estações de trabalho dos colaboradores estão equipadas com software antivírus atualizado e sistemas de deteção de código malicioso.
Adicionalmente, a PLENIT realiza monitorização tecnológica contínua, permitindo a deteção e correção de vulnerabilidades nos ativos utilizados para a prestação dos seus serviços.
As vulnerabilidades são identificadas, nomeadamente, através de:
- Informações fornecidas pelos fabricantes e desenvolvedores dos componentes utilizados;
- Comunidades de utilizadores;
- Comunidades de código aberto, quando aplicável;
- Incidentes detetados pela PLENIT e/ou pelos seus clientes;
- Monitorização dos serviços;
- Revisões de código e de configuração, particularmente no caso de novos desenvolvimentos;
- Auditorias internas e testes de intrusão realizados periodicamente.
Quando é detetada uma vulnerabilidade, é realizada uma avaliação de impacto, são implementadas medidas de mitigação e correção e os clientes afetados são informados.
Cliente
O cliente é responsável pela gestão das vulnerabilidades dos elementos que se encontram fora do âmbito de responsabilidade da PLENIT, nomeadamente dos sistemas e aplicações implementados nas infraestruturas disponibilizadas pela PLENIT.
O cliente deve implementar todas as medidas adequadas para minimizar o impacto e corrigir as vulnerabilidades das quais tenha conhecimento, em particular aquelas comunicadas pela PLENIT.
10. Recursos Humanos
PLENIT
A PLENIT implementa medidas adequadas para garantir que os colaboradores que emprega possuem as competências e os conhecimentos necessários para contribuir para a segurança da informação. Em particular:
- A entrada e saída de colaboradores são reguladas por processos que controlam a atribuição e devolução de ativos, bem como a concessão e revogação de acessos lógicos aos sistemas de informação;
- Todos os colaboradores recebem formação e sensibilização em matéria de segurança da informação e proteção de dados pessoais aquando da sua integração na empresa e, posteriormente, de forma periódica (pelo menos uma vez por ano);
- Todos os contratos (de trabalho ou de prestação de serviços) incluem cláusulas de confidencialidade;
- As políticas e procedimentos formalizados relacionados com a gestão e utilização dos diversos componentes dos sistemas de informação são disponibilizados aos colaboradores, que se comprometem a respeitá-los;
- São realizadas regularmente campanhas de sensibilização e testes junto dos colaboradores.
Cliente
O cliente mantém a responsabilidade pelos membros da sua equipa, em particular pelos que são responsáveis pela utilização dos serviços.
O cliente deve assegurar que os membros da sua equipa possuem os conhecimentos e competências necessários para utilizar os serviços e que lhes são comunicadas as respetivas condições de utilização (incluindo eventuais alterações) e, de um modo geral, todas as instruções e informações relevantes.