1. Introdução
A plataforma GVFF GRC é uma ferramenta de gestão de conformidade desenhada para apoiar a organização no controlo operacional, documental e de conformidade com normas e regulamentos de segurança e privacidade.
A plataforma permite:
- Gerir países, entidades, fornecedores e ativos
- Controlar riscos com matriz e risco residual
- Acompanhar o progresso de conformidade por framework
- Gerir documentos com upload de PDF
- Gerar relatórios de governance e por país
- Aplicar filtros por país e permissões por role
- Ativar ou desativar módulos ao nível da plataforma
Dica: A visibilidade dos dados depende do seu role e, em alguns casos, dos países associados ao utilizador.
2. Login, Registo e Logout
2.1 Login
Ao abrir a plataforma, é apresentado o ecrã de autenticação.
1 Introduza o seu email.
2 Introduza a sua password. Pode usar o ícone do olho para a visualizar.
3 Clique em Login.
2.2 Registar Nova Conta
1 No ecrã inicial, clique no separador Register.
2 Preencha Nome, Email e Password.
3 Clique em Register.
Nota: As novas contas registadas na plataforma ficam com o role user por defeito.
2.3 Regras da Password
- Mínimo de 12 caracteres
- Pelo menos 1 letra maiúscula
- Pelo menos 1 letra minúscula
- Pelo menos 1 número
- Pelo menos 1 carácter especial
2.4 Logout
Ao clicar em Logout, a sessão é encerrada e o utilizador volta ao ecrão de login.
Atenção: A plataforma pode limpar a sessão da aplicação no logout, mas o navegador ainda pode sugerir credenciais guardadas automaticamente, se isso estiver ativo no browser.
3. Dashboard
O Dashboard apresenta uma visão agregada da plataforma após o login.
- Indicadores principais: entidades, fornecedores, documentos, âmbitos e riscos
- Gráficos de conformidade: ISO 27001, NIS2, ISO 27002, ENS e GDPR
- Resumo de riscos: distribuição por nível
- Atividade recente: últimas ações registadas
Dica: O Dashboard é útil para perceber rapidamente o estado geral da plataforma e identificar áreas com maior necessidade de intervenção.
4. Gestão de Países
O módulo Countries permite registar os países em que a organização opera.
4.1 Adicionar País
1 Aceda a Countries.
2 Clique em Add Country.
3 Preencha o Nome e o Código do país.
4 Defina a
Região:
- EU / UE para países da União Europeia
- Outra designação para países fora da União Europeia
5 Complete os campos de maturidade / compatibilidade, conforme aplicável.
4.2 Países UE vs não UE
- Para países UE, a plataforma regista:
- Estado de transposição
- Fase de implementação
- Para países não UE, a plataforma pode registar:
- Compatibilidade NIS2
- Texto legislativo / observações
5. Gestão de Entidades
As entidades representam organizações, unidades de negócio ou estruturas sob gestão na plataforma.
5.1 Criar Entidade
1 Aceda a Entities.
2 Clique em Add Entity.
3 Preencha os dados gerais:
- Nome
- Tipo
- Descrição
- NIF / Tax ID
- Morada
- País
4 Preencha os campos de enquadramento:
- Setor e subsetor
- Classificação NIS2
- Email e telefone de contacto
- IPs e FQDNs
- Responsável de gestão
5 Defina o
scope:
cp = entidade de governance / shared serviceslocal = entidade local por país
5.2 Utilização prática
As entidades são usadas como base para riscos, âmbitos de conformidade e vários relatórios.
6. Gestão de Fornecedores
O módulo Suppliers centraliza a gestão de terceiros e fornecedores.
6.1 Criar Fornecedor
1 Aceda a Suppliers.
2 Clique em Add Supplier.
3 Preencha:
- Nome do fornecedor
- País
- Serviços ICT prestados
- Tipo de fornecedor
- Criticidade
- Classificação de risco
- Requisitos de segurança
- Contactos e notas
Nota: O código do fornecedor é gerado automaticamente com o formato SUP-001, SUP-002, etc.
7. Gestão de Ativos
Os ativos permitem registar infraestrutura, sistemas, componentes e serviços relevantes para governação, segurança e continuidade.
7.1 Níveis de visualização
- Governance Level: ativos com
scope = governance
- Country Level: ativos com
scope = local
7.2 Campos principais
- Nome e tipo de ativo
- Entidade e país
- Localização
- Criticidade
- Dependências
- Classificação de informação (confidencialidade, integridade, disponibilidade)
- Configuração técnica
- IP, MAC e versão de software
- MFA, encriptação e controlos de acesso
- Plano BCP/DR e notas de risco
Nota: O código do ativo é gerado automaticamente com o formato AST-001, AST-002, etc.
8. Gestão de Riscos
O módulo de riscos permite registar, classificar, acompanhar e tratar riscos por entidade.
8.1 Criar Risco
1 Aceda a Risks.
2 Escolha o nível: Governance ou Country.
3 Clique em Add Risk.
4 Preencha os dados:
- Título
- Descrição
- Categoria
- Entidade
- Probabilidade e impacto
- Opção de tratamento
- Estado do tratamento
- Risco residual
8.2 Cálculo do risco
A pontuação é calculada com base em probabilidade x impacto.
| Pontuação | Nível |
|---|
| 15-25 | Critical |
| 10-14 | High |
| 5-9 | Medium |
| 1-4 | Low |
8.3 Matriz
A matriz de riscos permite visualizar os riscos por probabilidade e impacto, com possibilidade de alternar entre risco inerente e risco residual.
9. Conformidade
A plataforma suporta os seguintes frameworks:
| Framework | Descrição |
|---|
| ISO 27001 | Gestão de segurança da informação |
| NIS2 | Requisitos e obrigações de cibersegurança |
| ISO 27002 | Biblioteca de controlos |
| ENS | Esquema Nacional de Seguridad |
| GDPR | Proteção de dados pessoais |
9.1 Funcionamento geral
1 Aceda ao framework desejado.
2 Crie um scope para uma entidade.
3 Adicione itens ao scope.
4 Atualize o estado de implementação de cada item.
9.2 Estados dos itens
- not_implemented = não implementado
- on_going = em progresso
- implemented = implementado
Nota: Na percentagem de implementação, itens implemented contam 100% e itens on_going contam 50%.
10. Gestão de Documentos
O módulo Documents permite gerir documentos internos, evidências e PDFs associados.
10.1 Criar Documento
1 Aceda a Documents.
2 Clique em Add Document.
3 Preencha os campos disponíveis:
- Título
- Tipo de documento
- Revisão
- Datas ativa e de revisão
- Estado
- Objetivo / âmbito
- Owner e autor
- Referências de framework
- Referências de documentos
4 Se desejar, anexe um PDF.
10.2 Código automático
O código do documento é gerado automaticamente com o formato DOC-001, DOC-002, etc.
10.3 Estados
| Estado | Utilização |
|---|
| draft | Documento em preparação |
| review | Documento em revisão |
| approved | Documento aprovado / ativo |
| obsolete | Documento obsoleto |
11. Relatórios
A plataforma disponibiliza relatórios orientados para leitura executiva e operacional.
11.1 Governance
- Total de países
- Países UE e não UE
- Taxas de conformidade ISO 27001 e NIS2
- Distribuição de fornecedores
- Maturidade por país
- Estado de documentos
11.2 Country
- Visão por país
- Entidades e fornecedores por país
- Riscos por país
- Taxas de conformidade por país
- Progresso por entidade
11.3 Exportação
Alguns relatórios e manuais podem ser exportados, consoante a funcionalidade disponível na versão publicada.
12. Framework Oficial
Esta secção funciona como biblioteca de referência normativa.
- Annex A
- ISO 27001 Clauses
- NIS2
- ISO 27002
- ENS
- GDPR
Os itens da framework oficial podem ser usados como base de referência para scopes, documentos e controlos.
Nota: A edição desta biblioteca deve ser reservada a utilizadores com permissões administrativas adequadas.
13. Gestão de Utilizadores
O módulo Users permite criar, editar e remover utilizadores da plataforma.
13.1 Roles
| Role | Descrição |
|---|
| platform_owner | Controlo total da plataforma, incluindo licenciamento |
| super_admin | Controlo administrativo alargado |
| admin | Gestão operacional dos dados |
| revisor | Visualização e revisão controlada |
| user | Acesso básico |
13.2 Regras importantes
- O role
platform_owner não deve ser criado pela interface normal
- Utilizadores com roles não administrativos podem ficar limitados aos países atribuídos
- O
admin não pode promover utilizadores para super_admin
13.3 Associação a países
Ao editar ou criar utilizadores, é possível associar países para filtrar o acesso aos dados.
14. Definições e Permissões
14.1 Permissões de Menu
As permissões por menu permitem controlar o que cada role pode ver e usar.
1 Aceda a Settings / permissões.
2 Ajuste os menus permitidos para cada role.
3 Grave as alterações.
Nota: As permissões de menu não substituem o controlo por role nem o licenciamento de módulos. Um menu pode estar ativo, mas continuar bloqueado por permissão ou role.
15. Licenciamento de Módulos
O licenciamento de módulos define que módulos estão ativos na plataforma.
15.1 Funcionamento
- Quando um módulo é desativado, deixa de estar acessível
- O menu pode desaparecer para todos os utilizadores
- O acesso à API desse módulo também pode ficar bloqueado
Atenção: Esta funcionalidade deve ser gerida com cuidado, porque afeta toda a plataforma.
16. Log de Auditoria
O log de auditoria regista a atividade importante da plataforma.
- Criação de registos
- Atualização de registos
- Eliminação de registos
- Registos de utilizadores e alterações administrativas
Cada entrada pode incluir:
- Data e hora
- Utilizador
- Ação
- Recurso afetado
- Detalhes adicionais
Nota: O acesso ao log de auditoria depende das permissões do utilizador.
GVFF GRC Platform - Manual do Utilizador
Versão atualizada para a plataforma em produção