Esta checklist é ideal para micro e pequenas empresas portuguesas que pretendem proteger dados no website PME, cumprir o RGPD e reforçar a confiança dos clientes — sem incorrer em custos elevados. Ao seguir esta lista, conseguirá avaliar rapidamente o estado da segurança do seu website, corrigir falhas comuns, implementar boas práticas e conhecer ferramentas gratuitas ou de baixo custo para garantir a proteção dos dados dos seus clientes.
- Lista actualizada de plugins/serviços ativos no website
- Acessos de administrador ao backoffice do website (WordPress, Joomla, etc.)
- Contactos do responsável pela proteção de dados (caso exista)
- Informação sobre onde os dados dos clientes são armazenados (bases de dados, email, cloud, etc.)
- Política de privacidade e consentimento atual (caso já exista)
Recolha e gestão de dados pessoais
- Mapear todos os pontos do website onde são recolhidos dados pessoais (formulários de contacto, newsletters, registos de utilizadores, encomendas, etc.).
- Verificar se apenas são recolhidos os dados estritamente necessários para cada finalidade.
- Garantir que cada formulário tem um aviso de privacidade e/ou link para a Política de Privacidade.
- Adicionar um campo de consentimento explícito (checkbox não pré-selecionado) para recolha de dados pessoais.
- Implementar um procedimento para dar resposta a pedidos de acesso, alteração ou eliminação dos dados (direitos dos titulares).
- Testar regularmente todos os formulários para garantir que os dados são enviados de forma segura e apenas para os responsáveis autorizados.
Segurança técnica do website
- Instalar e manter um certificado SSL/TLS válido para garantir que todas as comunicações são feitas por HTTPS.
- Atualizar regularmente o CMS (WordPress, Joomla, etc.), plugins, temas e outras extensões.
- Usar senhas fortes e únicas para todos os acessos de administrador e incentivar colaboradores/clientes a fazer o mesmo.
- Ativar autenticação de dois fatores (2FA) para acessos de administração, sempre que possível.
- Limitar o número de contas de administrador e rever periodicamente os acessos existentes.
- Instalar um plugin de firewall para websites (WAF) para bloquear ataques comuns (ex: tentativas de login, injeção de código, etc.).
- Fazer backups automáticos regulares da base de dados e dos ficheiros críticos, guardando-os em local seguro fora do servidor principal.
- Desativar e remover plugins e temas não utilizados ou desatualizados.
Cookies e rastreio
- Identificar todos os cookies e scripts de rastreamento usados no website (Google Analytics, Facebook Pixel, etc.).
- Configurar um banner de consentimento de cookies que permita ao utilizador escolher quais aceita (essenciais, estatísticos, marketing, etc.).
- Bloquear todos os cookies e scripts não essenciais até o consentimento do utilizador ser dado.
- Manter uma lista atualizada dos cookies utilizados, com descrição, finalidade e tempo de retenção, disponível na Política de Cookies.
- Permitir ao utilizador alterar ou retirar o consentimento sobre cookies a qualquer momento.
Transparência e informação ao cliente
- Ter uma Política de Privacidade clara, acessível e escrita em linguagem simples, explicando que dados são recolhidos e para que fins.
- Incluir contactos para questões relacionadas com dados pessoais (email/telefone do responsável).
- Explicar os direitos dos titulares dos dados (acesso, retificação, apagamento, portabilidade, etc.) e como podem exercê-los.
- Atualizar a Política de Privacidade sempre que houver alterações relevantes nos processos de tratamento de dados.
- Garantir que a Política de Cookies está visível e compreensível para todos os utilizadores.
Monitorização e resposta a incidentes
- Ativar alertas de atividade suspeita no website (tentativas de login falhadas, alterações não autorizadas, etc.).
- Designar uma pessoa responsável por monitorizar e responder a incidentes de segurança.
- Estabelecer um plano simples para comunicar violações de dados pessoais à CNPD e aos titulares dos dados, caso necessário.
- Testar periodicamente o processo de backup e recuperação de dados para garantir que funciona corretamente.
- Manter um registo (manual ou automatizado) de incidentes de segurança e ações tomadas.
Sinais de alerta
- Formulários sem aviso de privacidade ou consentimento.
- Website sem SSL ativo (acesso por HTTP em vez de HTTPS).
- Senhas fracas ou partilhadas por vários colaboradores.
- Plugins e CMS desatualizados.
- Cookies de terceiros a serem carregados sem consentimento do utilizador.
- Ausência de backups automáticos regulares.
- Política de privacidade desatualizada ou demasiado técnica/ambígua.
Ferramentas recomendadas
- Let's Encrypt Certificados SSL gratuitos para encriptar o website
- Wordfence Security Firewall e segurança para WordPress (versão gratuita disponível)
- CookieYes Gestão de consentimento de cookies gratuita para websites
- UpdraftPlus Backups automáticos gratuitos para WordPress
- WP White Security Monitorização e alertas de segurança para WordPress
- CNPD Regulador nacional para esclarecimento e comunicação de incidentes
Próximos passos
- Reunir a equipa responsável pela gestão do website e partilhar esta checklist.
- Avaliar o estado atual do website em cada área da lista e identificar pontos críticos a corrigir de imediato.
- Implementar as melhorias sugeridas, priorizando as que têm mais impacto na proteção de dados no website PME.
- Testar todos os formulários, cookies e backups após as alterações para garantir o bom funcionamento.
- Atualizar a documentação interna sobre privacidade e segurança, incluindo contactos e procedimentos.
- Agendar revisões periódicas (ex: semestrais) para manter a conformidade e reforçar a segurança.
Continuar a ler
- Quick Take: O risco de não testar formulários de contacto no website PME
- Checklist: 8 passos para integrar plataforma de reservas no website PME
- Checklist: 12 falhas comuns em websites PME que bloqueiam contactos e orçamentos
- Guia Pilar: Como construir presença digital que gere negócios recorrentes para PME