Instituto Superior Técnico

Serviços de Informática

SI  Serviços  Transmissão segura de ficheiros

Transmissão segura de ficheiros

Última atualização: 14 de julho de 2021

Com a crescente digitalização de procedimentos e situações de trabalho remoto, aumentou necessidade de circulação de documentos entre utilizadores e serviços, frequentemente utilizando o correio electrónico. Por vezes, estes documentos envolvem a manipulação de ficheiros com dados  privados de dezenas ou centenas utilizadores, com os quais é indispensável ter um especial cuidado no tratamento e partilha de informação. Incluem-se nesta categoria pautas, atas de concursos, listagens de alunos ou docentes com dados de contacto ou de identificação, entre muitos outros.

Apesar do sistema de correio electrónico do IST não ter vulnerabilidades conhecidas e adopte  normas de segurança estritas, o facto de poder ser acedido de qualquer dispositivo terminal, incluindo computadores e  telemóveis dos utilizadores, leva a que a segurança da transmissão de documentos possa ser comprometida por fragilidades existentes nos  dispositivos terminais.Por este motivo, a transmissão por correio electrónico de documentos não cifrados com dados privados ou sensíveis deve ser evitada, quer entre utilizadores e serviços do IST, quer do IST para serviços e entidades externas.

Deste modo, sempre que seja necessária a transmissão  de documentos com dados privados de utilizadores ou sensíveis, deverão ser observadas as seguintes regras:

  1. A circulação de documentos dentro do IST deve ser preferencialmente realizada usando o sistema de armazenamento e partilha de ficheiros Fenix drive. Para mais informações de utilização, ver https://si.tecnico.ulisboa.pt/servicos/sistema-de-partilha-de-ficheiros/ .
  2. Em situações em que se considere que o sistema anterior não é ajustado, ou que a transmissão dos ficheiros deva ocorrer para fora do IST e em que a utilização de correio electrónico é a melhor solução, os ficheiros devem obrigatoriamente ser protegidos e cifrados por password.
    • a) Em ficheiros word ou excel recentes (.xlsx, .docx),  poderá ser usado o sistema de cifra com password dos dados, normalmente disponível ao fazer “Save as”, e carregando em “Opções” (a opção de password pode não estar presente em alguns formatos word e excel mais antigos). A password deve ser enviado para o destinatário por um canal alternativo e nunca junto com o documento (por exemplo, SMS ou outra plataforma de mensagens);
    • b) Para outro tipo de ficheiros, ou pasta com vários ficheiros, poderá ser usado um utilitário de arquivo como zip ou equivalente, com a especificação de uma password de cifra. Tal como no caso anterior, a password de cifra deverá ser enviada por um canal de mensagem alternativo.
  3. Para protecção acrescida, pode ser utilizado um sistema de armazenamento de passwords com número de consultas controlado e seguro (por exemplo,  https://passwords.ul.pt/), que permite guardar localmente uma password. A transmissão para o destinatário é feita  sob a forma de uma ligação (link) que pode ser acedida uma única vez pelo destinatário (ou o número de vezes especificado), ficando o link para a password de acesso indisponível após ser esgotado o número de acessos disponíveis.
  4. Para dados menos críticos, sugere-se a utilização da plataforma File sender da FCCN (https://filesender.fccn.pt/). Este serviço é semelhante ao popular sistema “WeTransfer”, mas sem publicidade e com a garantia de armazenamento temporário do documento em servidores seguros do Sistema Científico Nacional da FCT/FCCN. O acesso ao ficheiro só é possível pela ligação de acesso, só disponível ao remetente e que é transmitida por mail para o(s) destinatário(s). Embora este sistema não evite que a ligação de acesso e o documento sejam divulgados por um sistema de malware, tem a vantagem dos documentos serem automaticamente apagados ao fim de 30 dias (por omissão), evitando pelo menos a divulgação de documentos mais antigos. Recomenda-se no entanto que o prazo de validade da ligação, que pode ser especificado no sistema, seja significativamente encurtado — sugere-se um máximo de 3/4 dias, mas o prazo exato depende do número de receptores e do processo envolvido.
  5. É proibido o envio e circulação de pautas com dados de identificação de alunos por email. Para a submissão de pautas à secretaria e assinatura das mesmas deverão ser adoptados os mecanismos disponíveis no sistema Fénix. As instruções de utilização deste sistema estão disponíveis na área de graduação em https://graduacao.tecnico.ulisboa.pt/submissao-de-pautas/.