Gigasis
DORAQNRCSISO 27001RGPD

Conformidade e Cibersegurança para PMEs portuguesas

DORA, QNRCS, ISO 27001, RGPD — cada framework tem os seus requisitos, mas o objetivo é o mesmo: proteger o seu negócio. Nós simplificamos o caminho da conformidade.

Avaliação de Conformidade GratuitaFalar com Especialista
4
Frameworks cobertas
22+
Anos de experiência
200+
Clientes protegidos
Frameworks Regulatórias

Que regulações se aplicam à sua empresa?

Cada framework tem requisitos específicos — mas muitos sobrepõem-se. Nós identificamos o que se aplica e otimizamos o esforço.

DORA

Obrigatório — Setor Financeiro

Digital Operational Resilience Act

Aplica-se a
Bancos, seguradoras, sociedades gestoras, fintechs, prestadores de serviços TI ao setor financeiro, auditores, agências de rating
Prazo
Aplicável desde 17 de janeiro de 2025
Penalização
Até 1% do volume de negócios diário médio (aplicado diariamente até à conformidade) + sanções pessoais aos gestores

Principais requisitos:

Framework de gestão de risco TIC documentado e atualizado
Classificação e reporte de incidentes TIC às autoridades
Testes de resiliência operacional digital (incluindo pentesting avançado — TLPT)
Gestão de risco de terceiros TIC (fornecedores, cloud, outsourcing)
Partilha de informação sobre ameaças com o setor
Governance: responsabilidade direta do órgão de gestão

A Gigasis ajuda-o em todo o processo — do assessment à implementação.

Avaliação DORA

QNRCS

Recomendado — Framework Nacional

Quadro Nacional de Referência para a Cibersegurança

Aplica-se a
Todas as organizações portuguesas — público e privado. Cada vez mais exigido em concursos públicos e por grandes clientes
Prazo
Voluntário, mas crescentemente obrigatório na prática
Penalização
Sem multas diretas, mas pode resultar em exclusão de concursos públicos e perda de clientes que o exijam

Principais requisitos:

Identificar: inventário de ativos, avaliação de riscos, governance
Proteger: controlo de acessos, formação, segurança de dados, manutenção
Detetar: monitorização contínua, deteção de anomalias e eventos
Responder: planeamento de resposta, comunicação, análise e mitigação
Recuperar: planos de recuperação, melhorias, comunicação pós-incidente
Alinhado com NIST Cybersecurity Framework e ISO 27001

A Gigasis ajuda-o em todo o processo — do assessment à implementação.

Avaliação QNRCS

ISO 27001

Certificação Internacional

Sistema de Gestão de Segurança da Informação

Aplica-se a
Empresas que pretendem demonstrar maturidade em segurança da informação — diferenciador competitivo forte em mercados B2B
Prazo
Voluntário — processo de certificação tipicamente 6-12 meses
Penalização
Sem multas, mas cada vez mais exigido como requisito contratual por grandes clientes e em concursos públicos

Principais requisitos:

Sistema de Gestão de Segurança da Informação (SGSI) documentado
Avaliação de riscos e plano de tratamento formal
114 controlos do Anexo A (organizacionais, pessoas, físicos, tecnológicos)
Auditorias internas regulares e revisão pela gestão
Melhoria contínua e gestão de não-conformidades
Certificação por entidade acreditada (IPAC em Portugal)

A Gigasis ajuda-o em todo o processo — do assessment à implementação.

Roadmap ISO 27001

RGPD

Obrigatório — Todas as Empresas

Regulamento Geral de Proteção de Dados

Aplica-se a
Qualquer organização que trate dados pessoais de residentes na UE — ou seja, praticamente todas as empresas
Prazo
Em vigor desde maio de 2018 — obrigações contínuas
Penalização
Até 20M€ ou 4% do volume de negócios global (a CNPD tem aplicado coimas em Portugal)

Principais requisitos:

Registo de atividades de tratamento de dados pessoais
Base legal para cada tratamento (consentimento, contrato, interesse legítimo)
Avaliação de impacto (DPIA) para tratamentos de alto risco
Nomeação de DPO quando aplicável
Notificação de violações de dados à CNPD em 72h
Direitos dos titulares (acesso, retificação, eliminação, portabilidade)

A Gigasis ajuda-o em todo o processo — do assessment à implementação.

Auditoria RGPD
Serviços de Assessment

Avalie. Priorize. Implemente.

Antes de agir, é preciso saber onde está. Os nossos assessments dão-lhe uma visão clara do estado atual e um caminho concreto para a conformidade.

Assessment de Cibersegurança

1-2 semanas

Avaliação completa da postura de segurança da sua organização. Identificamos vulnerabilidades, riscos e prioridades de ação.

  • Inventário de ativos e superfície de ataque
  • Análise de políticas e procedimentos
  • Avaliação de maturidade (QNRCS/NIST)
  • Relatório executivo com roadmap priorizado

Testes de Penetração (Pentesting)

2-4 semanas

Simulação controlada de ataques reais à sua infraestrutura. Descobrimos o que um atacante descobriria — antes dele.

  • Pentesting externo (perímetro, web apps, email)
  • Pentesting interno (rede, Active Directory, escalada de privilégios)
  • Testes de engenharia social e phishing
  • Relatório técnico + executivo com remediação

Análise de Vulnerabilidades

1 semana

Scan automatizado e validação manual de vulnerabilidades em toda a infraestrutura. Priorização por risco real de exploração.

  • Scan de rede interna e externa
  • Análise de aplicações web (OWASP Top 10)
  • Verificação de configurações (CIS Benchmarks)
  • Relatório com classificação CVSS e plano de remediação

Gap Analysis Regulatório

2-3 semanas

Avaliação do nível de conformidade atual face a uma ou mais frameworks (DORA, ISO 27001, RGPD). Identificação precisa do que falta.

  • Mapeamento de requisitos aplicáveis
  • Entrevistas com stakeholders chave
  • Análise documental e técnica
  • Relatório de gaps + roadmap de conformidade com estimativa de esforço

Simulação de Incidente

1 dia + preparação

Exercício tabletop ou simulação técnica de um ciberataque. Testa a capacidade de resposta da equipa e a eficácia dos planos existentes.

  • Cenário realista adaptado ao seu setor
  • Exercício com gestão de topo e equipa técnica
  • Avaliação de tempos de deteção e resposta
  • Relatório com lições aprendidas e melhorias

Formação e Sensibilização

Contínuo

Programas de formação em cibersegurança para colaboradores e gestão. Obrigatório em DORA, essencial em qualquer framework.

  • Formação presencial ou online para colaboradores
  • Workshop executivo para gestão de topo (DORA/ISO 27001)
  • Campanhas de phishing simulado
  • Certificado de participação (evidência para auditorias)
Eficiência

Uma abordagem, múltiplas conformidades

As frameworks regulatórias partilham muitos requisitos. A nossa abordagem integrada elimina duplicação de esforço.

Gestão de Riscos

DORAISO 27001QNRCS

Resposta a Incidentes

DORARGPDQNRCS

Continuidade de Negócio

DORAISO 27001QNRCS

Formação e Sensibilização

DORARGPDISO 27001

Gestão de Fornecedores

DORAISO 27001

Governance e Responsabilidade

DORAISO 27001

Proteção de Dados

RGPDISO 27001

Testes e Auditorias

DORAISO 27001QNRCS

Implementar uma vez, cumprir em múltiplas frameworks — poupando tempo e orçamento.

Peça uma avaliação integrada
Diferenciação

Porquê a Gigasis para conformidade?

Não somos uma consultora que entrega um relatório e desaparece. Somos um parceiro que avalia, implementa, monitoriza e mantém a sua conformidade ao longo do tempo.

22 Anos de Experiência

Duas décadas a proteger PMEs portuguesas. Conhecemos os desafios reais do terreno, não apenas a teoria das frameworks.

Abordagem Pragmática

Não vendemos frameworks teóricos. Implementamos medidas práticas, proporcionais ao risco e ao orçamento da sua PME.

Multi-Framework

Uma avaliação, múltiplas frameworks. Identificamos sobreposições entre DORA, ISO 27001 e RGPD para evitar trabalho duplicado.

Do Assessment à Implementação

Não nos ficamos pelo relatório. Implementamos as medidas, configuramos as ferramentas e formamos a equipa.

O incumprimento pode custar milhões — a avaliação é gratuita

Descubra onde está e o que precisa de fazer

Avaliação gratuita e sem compromisso. Identificamos que frameworks se aplicam à sua empresa e qual o gap de conformidade atual.

Pedir Avaliação Gratuita
DORA
QNRCS
ISO 27001
RGPD
Pentesting