Procedimento de Resposta a Incidentes de Seguranca

1. Definicao de incidente

Para fins deste procedimento, considera-se incidente de segurança qualquer evento adverso confirmado ou sob suspeita, relacionado a dados pessoais tratados pela plataforma Voz Segura, incluindo:

• Acesso nao autorizado a dados pessoais
• Vazamento ou divulgação indevida de dados
• Perda de dados pessoais
• Alteração nao autorizada de dados
• Destruicao de dados pessoais
• Qualquer violação de confidencialidade, integridade ou disponibilidade dos dados

2. Equipe de resposta

A equipe de resposta a incidentes e composta por:

3. Classificação de gravidade

• Baixa: Tentativa de acesso bloqueada pelos mecanismos de segurança; nenhum dado foi comprometido
• Media: Acesso parcial a dados sem evidencia de exfiltração; dados comuns potencialmente expostos
• Alta: Vazamento confirmado de dados pessoais de titulares; dados pessoais foram acessados por pessoa nao autorizada
• Critica: Vazamento confirmado de dados sensíveis de menores; inclui dados de saude mental, raca/cor, deficiencia ou identificação de denúnciantes

4. Procedimento de resposta

Etapa 1 -- Detecção e contencao (imediato)

• Isolar o sistema ou componente afetado
• Revogar acessos comprometidos (tokens, sessoes, credenciais)
• Preservar evidencias (logs, screenshots, registros)
• Notificar a equipe de resposta

Etapa 2 -- Avaliação (ate 24h)

• Identificar o escopo do incidente
• Determinar quais dados foram afetados
• Estimar o número de titulares impactados
• Avaliar a gravidade conforme classificação acima
• Documentar cronologia dos eventos

Etapa 3 -- Comunicação a ANPD (ate 72h)

Conforme Art. 48, par.1 da LGPD, a comunicação a Autoridade Nacional de Proteção de Dados deve conter:

• Descrição da natureza dos dados afetados
• Informações sobre os titulares envolvidos
• Indicação das medidas tecnicas e de segurança utilizadas
• Riscos relacionados ao incidente
• Medidas adotadas para reverter ou mitigar os efeitos

Etapa 4 -- Comunicação aos titulares (ate 72h para gravidade alta/critica)

• Comunicação por email (quando disponível)
• Notificação na plataforma
• Descrição clara do que ocorreu e quais dados foram afetados
• Orientações sobre medidas que o titular pode tomar

Etapa 5 -- Remediação (ate 30 dias)

• Corrigir a vulnerabilidade explorada
• Atualizar medidas de segurança
• Revisar o RIPD (Relatório de Impacto)
• Implementar controles adicionais conforme necessario

Etapa 6 -- Documentação (ate 30 dias)

• Elaborar relatorio final do incidente
• Documentar licoes aprendidas
• Atualizar procedimentos de segurança
• Arquivar toda a documentação do incidente

5. Comunicação a ANPD

O formulario de comunicação de incidente a ANPD deve conter:

• Dados do Controlador (escola) e do Operador (desenvolvedor)
• Dados do Encarregado (DPO)
• Descrição do incidente (data, hora, natureza, causa)
• Dados pessoais afetados (tipos e volume)
• Titulares afetados (quantidade e categorias, especialmente menores)
• Medidas de segurança existentes antes do incidente
• Medidas tomadas apos o incidente
• Cronograma de correcao

6. Registro de incidentes

Todos os incidentes de segurança, independentemente da gravidade, sao registrados com as seguintes informacoes:

• Data e hora da deteccao
• Descrição do incidente
• Classificação de gravidade
• Dados e titulares afetados
• Medidas de contencao tomadas
• Medidas de remediação implementadas
• Responsavel pela resposta
• Status de comunicação (ANPD e titulares)
• Licoes aprendidas

7. Teste e revisao

Este procedimento de resposta a incidentes e:

• Revisado anualmente para garantir sua adequação e eficacia
• Revisado apos cada incidente para incorporar licoes aprendidas
• Testado periodicamente por meio de simulacoes
• Atualizado quando houver mudancas significativas na plataforma ou na legislação