Plano de Resposta a Incidentes Envolvendo Dados Pessoais

1. Objetivo

O objetivo deste plano de ação é estabelecer um conjunto de procedimentos claros e eficazes para a identificação, resposta, contenção, erradicação, recuperação e documentação de incidentes que envolvam dados pessoais. Este plano visa garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD), minimizando os impactos negativos para os titulares dos dados e para a organização.

Especificamente, o plano busca:

  1. Proteger os Dados Pessoais:

    • Assegurar a integridade, confidencialidade e disponibilidade dos dados pessoais armazenados e processados pela organização.

  2. Responder Rapidamente a Incidentes:

    • Implementar uma resposta imediata e coordenada a qualquer incidente de segurança, minimizando o tempo de exposição e os danos potenciais.

  3. Garantir a Conformidade Legal:

    • Cumprir todas as obrigações legais e regulatórias, incluindo a notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados, quando necessário.

  4. Mitigar Riscos e Impactos:

    • Reduzir os riscos associados a incidentes de segurança e mitigar os impactos financeiros, operacionais e reputacionais para a organização.

  5. Melhorar Continuamente a Segurança:

    • Aprender com cada incidente para aprimorar continuamente as políticas, procedimentos e controles de segurança da informação.

  6. Documentar e Auditar:

    • Manter registros detalhados de todos os incidentes e das ações tomadas, facilitando auditorias e revisões futuras.

Ao seguir este plano de ação, a organização estará melhor preparada para lidar com incidentes de segurança, protegendo os dados pessoais e mantendo a confiança dos clientes e stakeholders.

2. Abrangência

Todos os gestores e demais profissionais e estagiários da FATTO, assim como terceiros, prestadores de serviço e/ou fornecedores que tiverem acesso a informações dos clientes pessoas físicas da nossa empresa. Todos devem definir suas práticas e direcionamentos a partir das orientações aqui presentes considerando todas as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitos.

3. Procedimento

1. Notificação do Incidente

1.1 Identificação do Incidente:

  • Qualquer colaborador que identificar um possível incidente de segurança deve notificar imediatamente o responsável pela segurança da informação.
  • Utilize o formulário de notificação de incidentes disponível no sistema interno.

1.2 Registro do Incidente:

  • Registre o incidente no sistema de gerenciamento de incidentes, incluindo detalhes como data, hora, descrição do incidente e pessoas envolvidas.
  • Atribua um número de identificação único ao incidente para rastreamento.

1.3 Acionamento do Encarregado:

  • Notifique o encarregado para montar o time de resposta a incidentes (TRI) imediatamente.
  • O TRI deve incluir membros de TI, jurídico, comunicação e outras áreas relevantes.

2. Avaliação do Incidente

2.1 Análise Inicial:

  • O TRI deve realizar uma análise inicial para determinar a natureza e a gravidade do incidente.
  • Classifique o incidente com base em critérios predefinidos (ex.: baixo, médio, alto impacto).

2.2 Determinação de Notificação:

  • Avalie se o incidente deve ser comunicado à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados afetados.
  • Prepare as notificações conforme necessário, seguindo os requisitos legais.

3. Contenção e Erradicação

3.1 Medidas de Contenção:

  • Implemente medidas imediatas para conter o incidente e evitar sua propagação (ex.: isolar sistemas afetados, bloquear acessos não autorizados).
  • Monitore continuamente para garantir que o incidente esteja contido.

3.2 Erradicação da Causa Raiz:

  • Identifique e elimine a causa raiz do incidente (ex.: remover malware, corrigir vulnerabilidades).
  • Verifique se todas as medidas corretivas foram aplicadas corretamente.

4. Recuperação

4.1 Restauração de Sistemas e Dados:

  • Restaure os sistemas e dados afetados a partir de backups seguros.
  • Verifique a integridade dos dados restaurados.

4.2 Verificação de Segurança:

  • Realize testes de segurança para garantir que todas as medidas de proteção foram restabelecidas.
  • Documente os resultados dos testes.

5. Levantamento das Lições Aprendidas

5.1 Análise Pós-Incidente:

  • Conduza uma reunião de análise pós-incidente com todos os membros do TRI.
  • Identifique falhas no processo e oportunidades de melhoria.

5.2 Atualização do Plano de Resposta:

  • Atualize o plano de resposta a incidentes com base nas lições aprendidas.
  • Treine os colaboradores sobre as mudanças implementadas.

6. Documentação do Incidente

6.1 Registro Detalhado:

  • Documente todas as etapas do incidente, desde a detecção até a recuperação.
  • Inclua detalhes sobre as ações tomadas, decisões e comunicações realizadas.

6.2 Armazenamento de Registros:

  • Mantenha todos os registros de incidentes em um local seguro e acessível para auditorias futuras.
  • Garanta a conformidade com os requisitos da LGPD.