Pular para o conteúdo principal

Procedimento de Resposta a Incidente de Segurança de Dados — {{EMPRESA}}

Referencia de seguranca: Politica de Seguranca da Informacao.

Versão: {{VERSAO}}
Data: {{DATA_VIGENCIA}}
Base legal: LGPD art. 48 — prazo de notificação à ANPD: 2 dias úteis após confirmação
DPO: {{EMAIL_PRIVACIDADE}}


1. Definições

Incidente de segurança de dados é qualquer evento que resulte em:

  • Acesso não autorizado a dados pessoais
  • Destruição, perda, alteração ou divulgação indevida de dados pessoais
  • Comprometimento de credenciais com acesso a dados de titulares
  • Ransomware, exfiltração ou vazamento confirmado ou suspeito

Não constituem incidente (registrar como ocorrência):

  • Tentativas de acesso bloqueadas pelos controles de segurança
  • Falhas técnicas sem exposição de dados
  • Uso indevido de conta pelo próprio titular

2. Classificação de severidade

NívelCritérioPrazo de contenção
P1 — CríticoDados sensíveis expostos, acesso externo ativo, grande volume afetadoAté 2 horas
P2 — AltoAcesso interno não autorizado, dados expostos sem confirmação de exfiltraçãoAté 4 horas
P3 — MédioSuspeita de incidente, escopo reduzido, sem exposição confirmadaAté 24 horas
P4 — BaixoIncidente menor, dados não sensíveis, impacto limitadoAté 72 horas

3. Equipe de resposta

PapelResponsabilidade
DPOCoordena resposta, notifica ANPD e titulares, documenta
Responsável técnicoContém o incidente, preserva evidências, corrige
Responsável pelo clienteNotifica o cliente afetado (B2B), apoia comunicação
JurídicoAvalia implicações legais, auxilia nas comunicações

Adaptar funções conforme estrutura da empresa.


4. Fluxo de resposta

Fase 1 — Identificação e contenção

  1. Qualquer colaborador que identifique incidente notifica: {{EMAIL_PRIVACIDADE}} e {{EMAIL_SUPORTE}}
  2. Responsável técnico avalia e classifica o incidente
  3. Medidas imediatas:
    • Revogar credenciais comprometidas
    • Isolar sistemas afetados
    • Bloquear vetores de ataque identificados
  4. Iniciar registro de evidências — não eliminar logs

Fase 2 — Avaliação (até 24 horas)

  1. Identificar:
    • Quais dados foram afetados (tipo, categoria, sensibilidade)
    • Quantos titulares foram impactados
    • Origem e vetor do incidente
    • Se dados foram exfiltrados, alterados ou destruídos
  2. Documentar no Registro de Incidente (seção 7)
  3. Determinar obrigação de notificação

Fase 3 — Notificação (até 2 dias úteis após confirmação)

Notificação à ANPD

Obrigatória quando o incidente puder causar risco ou dano relevante aos titulares.

Canal: gov.br/anpd — formulário de comunicação de incidentes.

Conteúdo mínimo (LGPD art. 48):

  • Natureza dos dados pessoais afetados
  • Informações sobre os titulares envolvidos
  • Medidas técnicas e de segurança utilizadas
  • Riscos relacionados ao incidente
  • Motivos do atraso, se houver
  • Medidas adotadas ou a adotar

Notificação a titulares

Quando o incidente puder causar risco ou dano relevante:

  • O que aconteceu (sem detalhes que aumentem o risco)
  • Quais dados foram afetados
  • Possíveis consequências
  • O que foi feito para proteger o titular
  • Como o titular pode se proteger
  • Canal de contato: {{EMAIL_PRIVACIDADE}}

Notificação a clientes B2B

Notificar em até 24 horas após confirmação:

  • Escopo do incidente no tenant afetado
  • Dados afetados e volume estimado
  • Medidas adotadas e próximos passos

Fase 4 — Erradicação e recuperação

  1. Corrigir causa raiz
  2. Restaurar sistemas a partir de backup limpo quando necessário
  3. Verificar integridade dos dados
  4. Reforçar controles que falharam

Fase 5 — Análise pós-incidente (até 15 dias)

  1. Relatório completo do incidente
  2. Análise de causa raiz (RCA)
  3. Lições aprendidas
  4. Plano de melhoria de controles
  5. Arquivar por mínimo 5 anos

5. Modelos de comunicação

Notificação interna

ASSUNTO: [INCIDENTE DE SEGURANÇA] - {{nivel}} - {{data_hora}}

Tipo: [acesso não autorizado / ransomware / vazamento / outro]
Sistemas afetados: [listar]
Dados possivelmente afetados: [listar tipos]
Status: [em andamento / contido]
Próximo passo: [ação imediata]

Notificação a cliente B2B

Prezado(a) [nome],

A {{EMPRESA}} identificou um incidente de segurança que pode ter afetado
dados do ambiente [nome do tenant/cliente].

O que aconteceu: [descrição objetiva]
Dados afetados: [tipos — sem dados individuais]
Titulares possivelmente impactados: [estimativa]
Medidas adotadas: [ações de contenção]
Próximos passos: [o que será feito]

Contato: {{EMAIL_PRIVACIDADE}} | {{EMAIL_SUPORTE}}

6. Canais de notificação

DestinoCanalPrazo
Equipe interna{{EMAIL_PRIVACIDADE}} + {{EMAIL_SUPORTE}}Imediato
ANPDgov.br/anpdAté 2 dias úteis após confirmação
Cliente B2B afetadoCanal de contato registradoAté 24 horas
TitularesE-mail registrado ou comunicado na plataformaConforme avaliação

7. Registro de incidente

CampoValor
ID do incidenteINC-YYYYMMDD-NNN
Data/hora de identificação
Data/hora de confirmação
Severidade
Descrição
Dados afetados
Titulares impactados (estimativa)
Causa raiz
Medidas adotadas
Notificações realizadas (data/hora/destinatário)
Status final
Responsáveis
Lições aprendidas

Arquivar registros por 5 anos.


8. Revisão e testes

  • Simulação de incidente: anualmente
  • Revisão deste procedimento: anualmente ou após incidente real
  • Treinamento da equipe: na integração e anualmente

DPO: {{EMAIL_PRIVACIDADE}}
Suporte: {{EMAIL_SUPORTE}}
Jurídico: {{EMAIL_JURIDICO}}
ANPD: gov.br/anpd