Principais responsabilidades

A. Governança da segurança da informação

– Desenvolver e manter uma estrutura de segurança da informação MoDI;

– Implementar e gerir um Sistema de Gestão da Segurança da Informação (ISMS) alinhado com a ISO/IEC 27001;

– Definir políticas de segurança para:

• Registo de assinantes;
• Captura e armazenamento biométrico;
• Integrações API;
• Interacções de risco central;
• Registo e validação de agentes;

– Realizar avaliações anuais de risco de segurança;

– Manter relatórios de conformidade regulamentar para as autoridades relevantes.

B. Segurança de dados biométricos (área crítica)

– De acordo com a secção 6.2 (Gestão de Segurança da Informação);

Garantir:

– Criptografia AES para dados biométricos;

– Armazenamento seguro de:

• Imagens faciais;
• Impressões digitais (requisito ≥ 500 DPI);

– Acesso controlado a bases de dados biométricas;

– Segregação de ambientes de armazenamento biométrico;

– Supervisionar a gestão do ciclo de vida das chaves de criptografia;

– Implementar a criptografia de dados faciais, conforme exigido nas especificações da API MoDI specs.

C. Segurança da API e integração (ecossistema MoDI)

Garantia

– Segurança:

• Tokens de autenticação (X-Auth-Token);
• Chaves de entidade;
• APIs de subscrição de serviços;
• APIs de validação.

– Aplicação:

• Criptografia TLS 1.2+;
• Políticas de expiração de tokens;
• Lista de IPs autorizados para integração VPN/API;
• Realizar testes de penetração da API.

– Monitorar padrões anormais em:

• subscriber/save;
• subscriber_check;
• service/subscribe;

– Endpoints SIM SWAP.

D. Monitorização centralizada de riscos e fraudes

– Em conformidade com os requisitos de validação e de qualquer agência de risco;

– Monitorizar:

• Tentativas de fraude SIM SWAP;
• Duplicação de identidade;
• Anomalias no registo de dispositivos;

– Implementar regras de detecção de fraudes:

• Tentativas de validação de alta frequência;
• Abuso de OTP;
• Uso indevido de agentes;

– Coordenar com:

• Operadoras de telecomunicações;
• Instituições financeiras;
• Autoridades policiais (quando exigido por lei).

E. Segurança da infra-estrutura

– Em conformidade com as medidas de segurança exigidas pelas normas técnicas:

• Projectar segmentação VPC segura;
• Configurar firewalles por subsistema;
• Remover o acesso directo à Internet aos sistemas de BackOffice.

– Implementar:

• IDS/IPS;
• SIEM;
• Retenção de registos (recomenda-se um mínimo de 5 anos);

– Supervisionar a gestão de vulnerabilidades.

F. Supervisão regulamentar e de conformidade

– Garantir a partilha segura de dados de acordo com o Artigo 27 (Regras de partilha de dados);

– Garantir que as instituições financeiras que utilizam o MoDI cumprem os requisitos de identificação biométrica;

– Apoiar auditorias ao abrigo da regulamentação do sector financeiro;

– Produzir provas de conformidade para:

• SLAs (Secção 9);
• Certificação de segurança;
• Auditorias externas.

G. Resposta a incidentes e gestão de crises

– Desenvolver o Plano de Resposta a Incidentes Cibernéticos do MoDI;

– Liderar a resposta a:

• Violações de dados;
• Fugas biométricas;
• Comprometimento da API;
• Roubo de credenciais.

– Realizar investigações forenses;

– Emitir notificações regulamentares dentro dos prazos exigidos;

– Liderar a análise da causa raiz pós-incidente.

Formação académica

•   Licenciatura em Cibersegurança, Ciência da Computação, Segurança da Informação ou área relacionada;
•   CISSP, CISM, CEH ou equivalente (preferencial);
•     ISO 27001 Lead Implementer ou Lead Auditor (forte vantagem).

Experiência

– Mais de 5 anos em cibersegurança;

– Experiência em:

• Sistemas governamentais ou de telecomunicações;
• Segurança de API;
• Sistemas biométricos;
• Segurança de serviços financeiros;

– Experiência com padrões de criptografia (AES).

Competências técnicas

• Testes de segurança de API;
• Arquitectura de segurança na nuvem;
• Criptografia e gestão de chaves;
• Concepção de bases de dados seguras;
• IAM (Gestão de Identidades e Acessos);
• Segmentação de redes;
• Ferramentas SIEM;
• Práticas seguras de DevOps.

Indicadores chave de desempenho (KPIs)

•  0 violações críticas de dados biométricos;
• Tempo de actividade da API dentro dos parâmetros do SLA;
• Resultados bem-sucedidos em auditorias regulatórias;
• Tempo de resposta a incidentes < SLA definido;
• Melhoria na precisão da detecção de fraudes;
• 100% de conformidade com a criptografia.