Política de Utilização Aceitável

    1. INTRODUÇÃO

    Uma Política de Utilização Aceitável (PUA) é uma ferramenta importante para a gestão de dados e informações nas escolas e outras instituições educacionais. A PUA é um conjunto de regras e diretrizes que definem o que é considerado aceitável em termos de uso dos recursos eletrónicos e dados de uma escola.

    A ESCOLA BÁSICA COM PRÉ-ESCOLAR E CRECHE DO CANIÇAL (doravante, designada como Escola) disponibiliza um conjunto de serviços de rede e eletrónicos com o objetivo de apoiar os processos de ensino/aprendizagem, acesso à informação e comunicações interna e externa. A utilização destes serviços de rede e eletrónicos, deverá ser levada a cabo em estreita consonância com o Regulamento Interno, com o plano de cibersegurança e valores da Escola. Consequentemente, uma correta utilização destes serviços contribuirá para a redução dos riscos de segurança que podem ter um impacto elevado no funcionamento da própria Escola.

    2. OBJETIVO E ÂMBITO DE APLICAÇÃO

    A PUA das Tecnologias de Informação e Comunicação (TIC) da Escola tem como objetivo estabelecer os princípios orientadores da utilização adequada dos sistemas informáticos e redes de comunicações da Escola.

    Os Sistemas de Informação e as TIC incluem as redes (redes Wi-Fi ou a infraestrutura de rede cablada e acesso à Internet da Escola), os dados e o seu armazenamento (portais institucionais ou as plataformas de backoffice), as tecnologias de comunicação digital online e offline (o serviço de correio eletrónico e as redes sociais) e os dispositivos de acesso (os telemóveis, os tablets e os computadores), mas também podem abranger outros dispositivos digitais como as câmaras digitais ou os smartwaches, entre outros.

    A presente política de utilização aceitável é aplicável a todos os seus docentes, funcionários, formandos, encarregados de educação, colaboradores, parceiros e convidados.

    Todos os intervenientes no espaço escolar devem estar conscientes da sua responsabilidade aquando do uso dos sistemas e redes informáticas da Escola, uso esse que deve assumir-se como inerentemente legal, ético e profissional. Todos devem adotar, dentro do possível, as medidas necessárias para proteger os sistemas de dados e de informação contra acesso não autorizado, danos, perdas, abusos ou roubo.

    3. PRINCÍPIOS DO USO ÉTICO

    Na utilização das infraestruturas tecnológicas da Escola, aplica-se o princípio da responsabilidade, que implica a não aceitação de comportamentos que interfiram ou possam interferir, de forma lesiva, com outros utilizadores ou serviços, sejam eles internos ou externos à Escola, nomeadamente com o propósito do exercício de atividades ilegais ou ilegítimas, de desrespeito da integridade física e moral dos membros da comunidade escolar e de outros (tais como atos ofensivos ou discriminatórios por motivos de religião, sexo, ou género, atos de assédio sexual, pedofilia, de bullying, cyberbullying, racismo, xenofobia, terrorismo, difamação, etc.), da criação, da transmissão ou do acesso a conteúdos sem respeito pelos direitos da propriedade intelectual, de autor e outros direitos conexos, de acesso não autorizado a sistemas ou infraestruturas tecnológicas da Escola que vulnerabilizem a sua segurança.

    A Escola reserva-se o direito de aplicar medidas de contenção nas situações em que entender que a utilização dos seus recursos tecnológicos não está de acordo com a sua PUA.

    Assim sendo, assume-se que nenhum recurso tecnológico da Escola possa ser usado:

    • para fins não éticos ou ilegais por natureza, ou que violem o espírito das leis nacionais, legislação regional ou diretivas Europeias;
    • para fins que entrem em conflito com a missão educativa ou políticas da Escola, tais como a promoção de causas de política partidária ou a transferência ou armazenamento de material que contenha referências obscenas ou pornográficas, propaganda terrorista e discurso de ódio;
    • para fins comerciais, pondo em causa o nome, a reputação e a missão educativa da Escola;
    • para fins pessoais ou de terceiros, sem a permissão da Escola;
    • para obstrução do trabalho de terceiros danificando equipamentos deliberadamente ou consumindo quantidades exageradas dos recursos do sistema;
    • para aceder a computadores ou sistemas confidenciais da Escola;
    • para usar os mecanismos de acesso atribuídos a outra pessoa, sem o seu consentimento ou assunção de responsabilidade;
    • para partilhar ou emprestar contas ou senhas (palavras-passe) de outros, violando o sigilo das contas e pondo em causa a sua segurança digital;
    • para copiar software e recursos digitais da Escola sem autorização superior, tendo em vista a partilha, a cedência, ou a venda;
    • e para fins que atentem contra a segurança, a privacidade e a proteção de dados pessoais, e que se enquadrem no âmbito da criminalidade informática.

    Espera-se que as condutas dos utilizadores estejam de acordo com as leis aplicáveis e com o disposto nesta PUA, sendo que a ignorância delas não serve de justificação para a sua violação.

    4. POLÍTICA DE UTILIZAÇÃO ACEITÁVEL

    • Passwords
      • As passwords seguras são a primeira linha de defesa para proteger as nossas informações pessoais, financeiras e profissionais online. Por isso, é importante criar passwords fortes e seguras e tomar medidas para protegê-las adequadamente.
      • O utilizador deve adotar as seguintes práticas na criação e gestão de passwords:
        • Comprimento: As senhas devem ter pelo menos 12 caracteres. Quanto maior a password, mais difícil será para os hackers adivinhá-la;
        • Complexidade: Usar uma mistura de letras maiúsculas e minúsculas, números e símbolos para aumentar a complexidade da password;
        • Evitar informações pessoais: Evitar usar informações pessoais como o nome, data de nascimento ou morada, pois essas informações podem ser facilmente descobertas por hackers;
        • Usar frases em vez de palavras: em vez de usar uma palavra comum, usar uma frase aleatória, pois é mais difícil de adivinhar;
        • Não reutilizar passwords: Usar passwords exclusivas para cada conta que tem. Isso reduz as hipóteses de que, se uma password for comprometida, todas as suas contas sejam comprometidas;
        • Usar um gestor de passwords: um gestor de passwords é uma ferramenta que pode ajudar a criar e armazenar passwords seguras. Ele pode gerar passwords aleatórias e armazená-las de forma encriptada, o que dificulta o acesso por parte de hackers;
        • Ativar a autenticação de dois fatores: A autenticação de dois fatores é uma camada adicional de segurança que requer uma segunda forma de autenticação além de uma password. Isso pode incluir um código enviado para o seu telefone ou uma impressão digital;
        • Manter as passwords em segurança: Não partilhar as passwords com ninguém. Não as anotar em papel nem as enviar por e-mail ou mensagem de texto.
    • Serviço de correio eletrónico
      • Correio Institucional: As caixas de correio eletrónico atribuídas a qualquer membro da comunidade escolar são consideradas institucionais, sendo cada indivíduo responsável pela sua correta utilização. Devem, por isso, ser utilizadas para transmissão oficial de informações ou outras trocas de informação no âmbito da atividade na Escola.
      • Credenciais de acesso: A Escola nunca solicita, por email, telefone ou qualquer outro meio, as credenciais de autenticação (senhas/passwords).
      • Utilização indevida: As caixas referidas no primeiro ponto não podem ser utilizadas para fins comerciais ou qualquer outro fim que ponha em causa o bom nome da Escola.
      • Limitações: As caixas de correio eletrónico atribuídas possuem capacidades limitadas, pelo que deverá ser efetuada uma manutenção periódica de arquivo das mensagens, garantindo a operacionalidade permanente da receção de mensagens.
      • SPAM: O serviço de correio eletrónico da Escola não deve ser utilizado para distribuição massiva de mensagens. Por esta razão, não devem ser enviadas mensagens para um elevado número de destinatários exteriores. Da mesma forma, aquando da receção de emails dirigidos a vários destinatários (em especial mensagens de divulgação dirigidas a várias escolas), deve evitar-se a utilização da opção “responder a todos”, de forma a não enviar emails em massa desnecessários. Atualmente existem sistemas externos que, quando esta situação é detetada, colocam o sistema de correio eletrónico da Escola numa “lista negra”, bloqueando o envio de mensagens por parte de todos os endereços da Escola.
      • Mensagens de origem desconhecida: A abertura de mensagens e de anexos provenientes de endereços de origem desconhecida deve ser evitada, dado este ser um dos meios mais utilizados para a distribuição de vírus, “malware” e “phishing”. Sempre que aconteçam estas situações, devem ser comunicadas à equipa de cibersegurança. Posteriormente, devem clicar com o botão do lado direito e denunciar phishing, e depois bloquear e eliminar.
        • “CC” e “BCC”: Deve ser feito um uso adequado dos campos de destinatários “CC” (que significa Carbon Copy, e serve para dar conhecimento de uma mensagem a outros destinatários, estando estes identificados perante todos os destinatários) e “BCC” (que significa Blind Carbon Copy, e serve para enviar a mensagem a vários destinatários sem que estes tenham conhecimento dos outros destinatários colocados neste campo).
    • Política de privacidade
      • Obtenção de dados: A escola deve explicar claramente quais os dados que são recolhidos, as finalidades para as quais são recolhidos e a base de licitude para o tratamento de dados em si, nos termos da legislação em vigor.
      • Uso de dados: Os dados obtidos pelos utilizadores devem ser usados apenas para os fins especificados. Devem garantir que os dados não sejam partilhados com terceiros sem consentimento explícito dos titulares dos dados;
      • Proteção de dados: Devem ser adotadas medidas razoáveis para proteger os dados pessoais que se recolhem, utilizam e armazenam. Isso pode incluir o uso de passwords seguras, criptografia de dados e sistemas de segurança de rede;
      • Retenção de dados: Os dados pessoais devem ser conservados apenas pelo tempo necessário para atingir os fins para os quais foram obtidos. Após esse período, os dados devem ser eliminados ou anonimizados;
      • Direitos dos titulares dos dados: Deve-se garantir que os titulares dos dados tenham direito a aceder, corrigir ou solicitar a eliminação dos seus dados pessoais. De igual modo, os titulares devem poder opor-se ao tratamento dos seus dados pessoais e a decisões automatizadas tomadas sobre si com base nos seus dados pessoais, bem como a solicitar a limitação do tratamento dos seus dados. Nessa senda, os titulares devem ser informados relativamente aos contactos junto dos quais poderão exercer os seus direitos de proteção de dados ou solicitar os seus devidos esclarecimentos. Além disso, os titulares dos dados devem ser informados sobre quaisquer violações de dados que possam afetar a sua privacidade.
      • Dever de informação: A escola deve informar os titulares relativamente às informações mencionadas nos pontos anteriores, sob a forma de políticas de proteção de dados de fácil acesso e consulta. De igual modo, cada política deve elencar os possíveis destinatários para os quais os dados possam ser enviados, bem como eventuais países terceiros para os quais se possam transferir os dados. Nestas políticas, os titulares devem ser informados quanto à sua capacidade de apresentarem reclamação para a Comissão Nacional de Proteção de Dados caso estejam insatisfeitos com a resposta dada ao seu pedido de exercício de direitos.
      • Formação de utilizadores: A escola deve fornecer informação regular aos seus utilizadores sobre as políticas de privacidade de dados e a importância de proteger os dados pessoais dos titulares dos dados.
    • Monitorização – No cumprimento das suas obrigações institucionais e legais, nomeadamente das decorrentes da Política de Privacidade e de Segurança de Dados Pessoais, a Escola poderá monitorizar e registar a utilização das infraestruturas tecnológicas sob sua gestão, com o objetivo de conservar os registos considerados necessários para o correto suporte técnico dos equipamentos e garantir segurança das infraestruturas [1]:
      • Dados Monitorizados: A monitorização recolhe dados referentes à utilização das infraestruturas de forma pseudonimizada, compreendendo apenas os dados necessários para os efeitos previamente identificados, nomeadamente endereço IP, endereço MAC, impressão digital do navegador, browser ou navegador de Internet utilizado e sistema operativo pelo browser’s user agent string, portas dos protocolos TCP e UDP, data, hora, metadados relativos às camadas 3 (rede) e 4 (transporte) do modelo Open System Interconnection (OSI), ligações de saída e termos de pesquisa;
      • Monitorização de rede: Nos termos do ponto anterior, a escola pode monitorizar a rede de computadores para detetar atividades suspeitas ou violações da política de utilização aceitável. Isso pode incluir a monitorização de tráfego de rede, logs de servidor, análise de malware, entre outros;
      • Auditorias regulares: A escola pode realizar auditorias regulares das contas de utilizadores para identificar atividades não autorizadas ou violações da política de utilização aceitável. Isso pode incluir a revisão de registos de acesso, logs de segurança e históricos de atividade;
      • Restrições de acesso: A escola pode restringir o acesso a determinados recursos ou sites da internet, como redes sociais ou sites de jogos, que possam ser considerados inapropriados ou que possam comprometer a segurança da rede;
      • Políticas de password: A escola pode implementar políticas de senha para garantir que os utilizadores escolham passwords seguras e as mudem regularmente;
      • Consciencialização dos utilizadores: A escola pode realizar ações de sensibilização regulares para conscientizar os utilizadores sobre a política de utilização aceitável e os riscos associados ao uso inadequado dos recursos das tecnologias da informação;
      • Acesso aos dados de monitorização: É expressamente proibido o acesso a qualquer pessoa, além do administrador. O acesso pelo administrador apenas é autorizado no âmbito do processo de monitorização de segurança das infraestruturas ou em situações excecionais e justificadas para despistes técnicos ou cumprimento de obrigações legais;
      • Prazo de conservação dos dados de monitorização: Na ausência de outro prazo de conservação definido nas condições de utilização próprias do serviço ou por imposição legal, os registos serão mantidos por um período máximo de 24 meses;
    • Violações – Caso algum utilizador viole a PUA a escola pode aplicar sanções disciplinares para garantir que as regras sejam respeitadas e para manter os utilizadores num ambiente de aprendizagem seguro e produtivo. Algumas sanções que podem ser aplicadas incluem:
      • Advertência verbal ou escrita: Uma advertência verbal ou escrita é uma forma leve de sanção que pode ser aplicada a um utilizador que comete uma infração menor ou pela primeira vez. Ela tem como objetivo alertar o utilizador sobre a violação da política e incentivá-lo a cumprir as regras;
      • Suspensão do acesso: Em casos mais graves, a escola pode suspender temporariamente o acesso do utilizador aos recursos das tecnologias de informação. Isso pode ser feito para evitar que o utilizador continue a violar a política e para proteger a segurança da rede;
      • Restrições de acesso: Em alguns casos, a escola pode restringir o acesso do utilizador a determinados recursos ou serviços, como sites da internet ou redes sociais, que possam estar relacionados com a violação da política;
      • Sanções disciplinares: A escola pode adotar medidas disciplinares, como advertências, suspensões ou expulsões, para os utilizadores que violem a política de utilização aceitável.
    • Regulamento Geral sobre a Proteção de Dados (RGPD)
      • Este documento foi elaborado em conformidade com as normas e regulamentos em vigor, incluindo o RGPD e a sua lei de execução no ordenamento jurídico português, para garantir que a proteção de dados pessoais seja mantida.Qualquer situação omissa neste documento, deve-se aplicar as normas constantes no RGPD e na sua respetiva lei de execução no ordenamento jurídico português.
      • É proibido o acesso não autorizado ou a tentativa de acesso não autorizado a sistemas internos da Escola, ou outros sistemas externos com dados escolares.
    • Outras Políticas
      • Não instalar qualquer software adquirido ou descarregado, sem permissão do responsável pelo sistema ou da direção da escola;
      • Não guardar documentos que contenham informações pessoais ou sensíveis, fotografias, etc., nos computadores de utilização comum da escola;
      • Respeitar sempre os direitos de autor e propriedade intelectual referenciando sempre a origem da informação;
      • As comunicações eletrónicas com os alunos e pais/encarregados de educação são realizadas exclusivamente através de canais de comunicação aprovados pela Escola;
      • É proibido criar, transmitir, apresentar, publicar ou encaminhar qualquer tipo de material suscetível de assediar e ofender cidadãos;Em caso de detetar um comprometimento/violação de dados, o utilizador deve comunicar imediatamente o sucedido à direção da escola para que esta tome as medidas necessárias para a resolução do problema;
      • As credenciais de acesso às plataformas atribuídas pela escola são da responsabilidade de cada utilizador, sendo pessoais e intransmissíveis, pelo que, cada utilizador deve adotar as medidas aqui descritas para as manter em segurança;
      • Terminar sempre as sessões nos computadores de utilização comum da escola. Neste caso, o utilizador deve abrir sempre o navegador no modo “anónimo” para que as suas sessões nunca fiquem ativas depois de fechar a janela de navegação;É Proibida a pesquisa não autorizada de vulnerabilidades em equipamentos informáticos, o que inclui, mas não se restringe, a scans automáticos;

    5. CONHECIMENTO E RESPONSABILIDADE

    A partir do momento em que são atribuídas as credenciais institucionais de acesso aos utilizadores, estes passam a estar vinculados à política de utilização aceitável expressa neste documento.

    Os utilizadores são informados, por email, da PUA.

    Este documento está disponível em https://www.escolacanical.pt

    A Escola não assume qualquer responsabilidade institucional por abusos, usos indevidos, ilícitos ou criminosos das suas infraestruturas tecnológicas (serviços e recursos eletrónicos disponibilizados pela Escola e infraestrutura de comunicações). Tais práticas são da inteira responsabilidade do(s) seu(s) autor(es) e atentam contra a PUA, a Política de Segurança Digital, a Política de Privacidade e de Proteção de Dados Pessoais e o Regulamento Interno da Escola.

    6. REVISÃO E AVALIAÇÃO

    Este documento será avaliado e revisto anualmente ou sempre que se verificar necessária a sua atualização ou revisão.

    A Escola reserva-se o direito de, a qualquer momento, proceder a atualizações ou alterações da PUA e de as divulgar em espaço próprio para o efeito.

    7. APROVAÇÃO E PUBLICAÇÃO

    O PUA é aprovado pelo Conselho Executivo da Escola, devendo este tomar as ações necessárias para a respetiva publicação e divulgação junto da comunidade educativa.

    O PUA será publicado online no portal institucional (site) da Escola após aprovação do Conselho da Comunidade Educativa.

    O presente documento foi aprovado a 22 de maio de 2024.

    1. Tal monitorização é realizada em consonância com os requisitos mínimos das redes e sistemas de informação preceituados na Resolução de Conselho de Ministros 41/2018, no estrito cumprimento do interesse da organização e dos seus utilizadores. A Escola garante, assim, a não interferência nas comunicações eletrónicas protegidas por algoritmos criptográficos, respeitando os direitos, bem como a privacidade e liberdade dos seus utilizadores. ↩︎