Procedimento de Resposta a Incidente de Segurança de Dados — {{EMPRESA}}
Referencia de seguranca: Politica de Seguranca da Informacao.
Versão: {{VERSAO}}
Data: {{DATA_VIGENCIA}}
Base legal: LGPD art. 48 — prazo de notificação à ANPD: 2 dias úteis após confirmação
DPO: {{EMAIL_PRIVACIDADE}}
1. Definições
Incidente de segurança de dados é qualquer evento que resulte em:
- Acesso não autorizado a dados pessoais
- Destruição, perda, alteração ou divulgação indevida de dados pessoais
- Comprometimento de credenciais com acesso a dados de titulares
- Ransomware, exfiltração ou vazamento confirmado ou suspeito
Não constituem incidente (registrar como ocorrência):
- Tentativas de acesso bloqueadas pelos controles de segurança
- Falhas técnicas sem exposição de dados
- Uso indevido de conta pelo próprio titular
2. Classificação de severidade
| Nível | Critério | Prazo de contenção |
|---|---|---|
| P1 — Crítico | Dados sensíveis expostos, acesso externo ativo, grande volume afetado | Até 2 horas |
| P2 — Alto | Acesso interno não autorizado, dados expostos sem confirmação de exfiltração | Até 4 horas |
| P3 — Médio | Suspeita de incidente, escopo reduzido, sem exposição confirmada | Até 24 horas |
| P4 — Baixo | Incidente menor, dados não sensíveis, impacto limitado | Até 72 horas |
3. Equipe de resposta
| Papel | Responsabilidade |
|---|---|
| DPO | Coordena resposta, notifica ANPD e titulares, documenta |
| Responsável técnico | Contém o incidente, preserva evidências, corrige |
| Responsável pelo cliente | Notifica o cliente afetado (B2B), apoia comunicação |
| Jurídico | Avalia implicações legais, auxilia nas comunicações |
Adaptar funções conforme estrutura da empresa.
4. Fluxo de resposta
Fase 1 — Identificação e contenção
- Qualquer colaborador que identifique incidente notifica: {{EMAIL_PRIVACIDADE}} e {{EMAIL_SUPORTE}}
- Responsável técnico avalia e classifica o incidente
- Medidas imediatas:
- Revogar credenciais comprometidas
- Isolar sistemas afetados
- Bloquear vetores de ataque identificados
- Iniciar registro de evidências — não eliminar logs
Fase 2 — Avaliação (até 24 horas)
- Identificar:
- Quais dados foram afetados (tipo, categoria, sensibilidade)
- Quantos titulares foram impactados
- Origem e vetor do incidente
- Se dados foram exfiltrados, alterados ou destruídos
- Documentar no Registro de Incidente (seção 7)
- Determinar obrigação de notificação
Fase 3 — Notificação (até 2 dias úteis após confirmação)
Notificação à ANPD
Obrigatória quando o incidente puder causar risco ou dano relevante aos titulares.
Canal: gov.br/anpd — formulário de comunicação de incidentes.
Conteúdo mínimo (LGPD art. 48):
- Natureza dos dados pessoais afetados
- Informações sobre os titulares envolvidos
- Medidas técnicas e de segurança utilizadas
- Riscos relacionados ao incidente
- Motivos do atraso, se houver
- Medidas adotadas ou a adotar
Notificação a titulares
Quando o incidente puder causar risco ou dano relevante:
- O que aconteceu (sem detalhes que aumentem o risco)
- Quais dados foram afetados
- Possíveis consequências
- O que foi feito para proteger o titular
- Como o titular pode se proteger
- Canal de contato: {{EMAIL_PRIVACIDADE}}
Notificação a clientes B2B
Notificar em até 24 horas após confirmação:
- Escopo do incidente no tenant afetado
- Dados afetados e volume estimado
- Medidas adotadas e próximos passos
Fase 4 — Erradicação e recuperação
- Corrigir causa raiz
- Restaurar sistemas a partir de backup limpo quando necessário
- Verificar integridade dos dados
- Reforçar controles que falharam
Fase 5 — Análise pós-incidente (até 15 dias)
- Relatório completo do incidente
- Análise de causa raiz (RCA)
- Lições aprendidas
- Plano de melhoria de controles
- Arquivar por mínimo 5 anos
5. Modelos de comunicação
Notificação interna
ASSUNTO: [INCIDENTE DE SEGURANÇA] - {{nivel}} - {{data_hora}}
Tipo: [acesso não autorizado / ransomware / vazamento / outro]
Sistemas afetados: [listar]
Dados possivelmente afetados: [listar tipos]
Status: [em andamento / contido]
Próximo passo: [ação imediata]
Notificação a cliente B2B
Prezado(a) [nome],
A {{EMPRESA}} identificou um incidente de segurança que pode ter afetado
dados do ambiente [nome do tenant/cliente].
O que aconteceu: [descrição objetiva]
Dados afetados: [tipos — sem dados individuais]
Titulares possivelmente impactados: [estimativa]
Medidas adotadas: [ações de contenção]
Próximos passos: [o que será feito]
Contato: {{EMAIL_PRIVACIDADE}} | {{EMAIL_SUPORTE}}
6. Canais de notificação
| Destino | Canal | Prazo |
|---|---|---|
| Equipe interna | {{EMAIL_PRIVACIDADE}} + {{EMAIL_SUPORTE}} | Imediato |
| ANPD | gov.br/anpd | Até 2 dias úteis após confirmação |
| Cliente B2B afetado | Canal de contato registrado | Até 24 horas |
| Titulares | E-mail registrado ou comunicado na plataforma | Conforme avaliação |
7. Registro de incidente
| Campo | Valor |
|---|---|
| ID do incidente | INC-YYYYMMDD-NNN |
| Data/hora de identificação | |
| Data/hora de confirmação | |
| Severidade | |
| Descrição | |
| Dados afetados | |
| Titulares impactados (estimativa) | |
| Causa raiz | |
| Medidas adotadas | |
| Notificações realizadas (data/hora/destinatário) | |
| Status final | |
| Responsáveis | |
| Lições aprendidas |
Arquivar registros por 5 anos.
8. Revisão e testes
- Simulação de incidente: anualmente
- Revisão deste procedimento: anualmente ou após incidente real
- Treinamento da equipe: na integração e anualmente
DPO: {{EMAIL_PRIVACIDADE}}
Suporte: {{EMAIL_SUPORTE}}
Jurídico: {{EMAIL_JURIDICO}}
ANPD: gov.br/anpd