Procedimento de Resposta a Incidentes de Seguranca

1. Definicao de incidente

Para fins deste procedimento, considera-se incidente de seguranca qualquer evento adverso confirmado ou sob suspeita, relacionado a dados pessoais tratados pela plataforma Voz Segura, incluindo:

• Acesso nao autorizado a dados pessoais
• Vazamento ou divulgacao indevida de dados
• Perda de dados pessoais
• Alteracao nao autorizada de dados
• Destruicao de dados pessoais
• Qualquer violacao de confidencialidade, integridade ou disponibilidade dos dados

2. Equipe de resposta

A equipe de resposta a incidentes e composta por:

3. Classificacao de gravidade

• Baixa: Tentativa de acesso bloqueada pelos mecanismos de seguranca; nenhum dado foi comprometido
• Media: Acesso parcial a dados sem evidencia de exfiltracao; dados comuns potencialmente expostos
• Alta: Vazamento confirmado de dados pessoais de titulares; dados pessoais foram acessados por pessoa nao autorizada
• Critica: Vazamento confirmado de dados sensiveis de menores; inclui dados de saude mental, raca/cor, deficiencia ou identificacao de denunciantes

4. Procedimento de resposta

Etapa 1 -- Deteccao e contencao (imediato)

• Isolar o sistema ou componente afetado
• Revogar acessos comprometidos (tokens, sessoes, credenciais)
• Preservar evidencias (logs, screenshots, registros)
• Notificar a equipe de resposta

Etapa 2 -- Avaliacao (ate 24h)

• Identificar o escopo do incidente
• Determinar quais dados foram afetados
• Estimar o numero de titulares impactados
• Avaliar a gravidade conforme classificacao acima
• Documentar cronologia dos eventos

Etapa 3 -- Comunicacao a ANPD (ate 72h)

Conforme Art. 48, par.1 da LGPD, a comunicacao a Autoridade Nacional de Protecao de Dados deve conter:

• Descricao da natureza dos dados afetados
• Informacoes sobre os titulares envolvidos
• Indicacao das medidas tecnicas e de seguranca utilizadas
• Riscos relacionados ao incidente
• Medidas adotadas para reverter ou mitigar os efeitos

Etapa 4 -- Comunicacao aos titulares (ate 72h para gravidade alta/critica)

• Comunicacao por email (quando disponivel)
• Notificacao na plataforma
• Descricao clara do que ocorreu e quais dados foram afetados
• Orientacoes sobre medidas que o titular pode tomar

Etapa 5 -- Remediacao (ate 30 dias)

• Corrigir a vulnerabilidade explorada
• Atualizar medidas de seguranca
• Revisar o RIPD (Relatorio de Impacto)
• Implementar controles adicionais conforme necessario

Etapa 6 -- Documentacao (ate 30 dias)

• Elaborar relatorio final do incidente
• Documentar licoes aprendidas
• Atualizar procedimentos de seguranca
• Arquivar toda a documentacao do incidente

5. Comunicacao a ANPD

O formulario de comunicacao de incidente a ANPD deve conter:

• Dados do Controlador (escola) e do Operador (desenvolvedor)
• Dados do Encarregado (DPO)
• Descricao do incidente (data, hora, natureza, causa)
• Dados pessoais afetados (tipos e volume)
• Titulares afetados (quantidade e categorias, especialmente menores)
• Medidas de seguranca existentes antes do incidente
• Medidas tomadas apos o incidente
• Cronograma de correcao

6. Registro de incidentes

Todos os incidentes de seguranca, independentemente da gravidade, sao registrados com as seguintes informacoes:

• Data e hora da deteccao
• Descricao do incidente
• Classificacao de gravidade
• Dados e titulares afetados
• Medidas de contencao tomadas
• Medidas de remediacao implementadas
• Responsavel pela resposta
• Status de comunicacao (ANPD e titulares)
• Licoes aprendidas

7. Teste e revisao

Este procedimento de resposta a incidentes e:

• Revisado anualmente para garantir sua adequacao e eficacia
• Revisado apos cada incidente para incorporar licoes aprendidas
• Testado periodicamente por meio de simulacoes
• Atualizado quando houver mudancas significativas na plataforma ou na legislacao