﻿# Procedimento de Resposta a Incidente de Segurança de Dados — {{EMPRESA}}

> Referencia de seguranca: [Politica de Seguranca da Informacao](/conformidade/governanca/seguranca-informacao-protecao-dados/politica-seguranca-informacao).

**Versão:** {{VERSAO}}  
**Data:** {{DATA_VIGENCIA}}  
**Base legal:** LGPD art. 48 — prazo de notificação à ANPD: 2 dias úteis após confirmação  
**DPO:** {{EMAIL_PRIVACIDADE}}

---

## 1. Definições

**Incidente de segurança de dados** é qualquer evento que resulte em:

- Acesso não autorizado a dados pessoais
- Destruição, perda, alteração ou divulgação indevida de dados pessoais
- Comprometimento de credenciais com acesso a dados de titulares
- Ransomware, exfiltração ou vazamento confirmado ou suspeito

**Não constituem incidente** (registrar como ocorrência):

- Tentativas de acesso bloqueadas pelos controles de segurança
- Falhas técnicas sem exposição de dados
- Uso indevido de conta pelo próprio titular

---

## 2. Classificação de severidade

| Nível | Critério | Prazo de contenção |
|---|---|---|
| **P1 — Crítico** | Dados sensíveis expostos, acesso externo ativo, grande volume afetado | Até 2 horas |
| **P2 — Alto** | Acesso interno não autorizado, dados expostos sem confirmação de exfiltração | Até 4 horas |
| **P3 — Médio** | Suspeita de incidente, escopo reduzido, sem exposição confirmada | Até 24 horas |
| **P4 — Baixo** | Incidente menor, dados não sensíveis, impacto limitado | Até 72 horas |

---

## 3. Equipe de resposta

| Papel | Responsabilidade |
|---|---|
| **DPO** | Coordena resposta, notifica ANPD e titulares, documenta |
| **Responsável técnico** | Contém o incidente, preserva evidências, corrige |
| **Responsável pelo cliente** | Notifica o cliente afetado (B2B), apoia comunicação |
| **Jurídico** | Avalia implicações legais, auxilia nas comunicações |

*Adaptar funções conforme estrutura da empresa.*

---

## 4. Fluxo de resposta

### Fase 1 — Identificação e contenção

1. Qualquer colaborador que identifique incidente notifica: **{{EMAIL_PRIVACIDADE}}** e **{{EMAIL_SUPORTE}}**
2. Responsável técnico avalia e classifica o incidente
3. Medidas imediatas:
   - Revogar credenciais comprometidas
   - Isolar sistemas afetados
   - Bloquear vetores de ataque identificados
4. Iniciar registro de evidências — **não eliminar logs**

### Fase 2 — Avaliação (até 24 horas)

1. Identificar:
   - Quais dados foram afetados (tipo, categoria, sensibilidade)
   - Quantos titulares foram impactados
   - Origem e vetor do incidente
   - Se dados foram exfiltrados, alterados ou destruídos
2. Documentar no Registro de Incidente (seção 7)
3. Determinar obrigação de notificação

### Fase 3 — Notificação (até 2 dias úteis após confirmação)

#### Notificação à ANPD

Obrigatória quando o incidente puder causar risco ou dano relevante aos titulares.

Canal: **gov.br/anpd** — formulário de comunicação de incidentes.

Conteúdo mínimo (LGPD art. 48):

- Natureza dos dados pessoais afetados
- Informações sobre os titulares envolvidos
- Medidas técnicas e de segurança utilizadas
- Riscos relacionados ao incidente
- Motivos do atraso, se houver
- Medidas adotadas ou a adotar

#### Notificação a titulares

Quando o incidente puder causar risco ou dano relevante:

- O que aconteceu (sem detalhes que aumentem o risco)
- Quais dados foram afetados
- Possíveis consequências
- O que foi feito para proteger o titular
- Como o titular pode se proteger
- Canal de contato: **{{EMAIL_PRIVACIDADE}}**

#### Notificação a clientes B2B

Notificar em até **24 horas** após confirmação:

- Escopo do incidente no tenant afetado
- Dados afetados e volume estimado
- Medidas adotadas e próximos passos

### Fase 4 — Erradicação e recuperação

1. Corrigir causa raiz
2. Restaurar sistemas a partir de backup limpo quando necessário
3. Verificar integridade dos dados
4. Reforçar controles que falharam

### Fase 5 — Análise pós-incidente (até 15 dias)

1. Relatório completo do incidente
2. Análise de causa raiz (RCA)
3. Lições aprendidas
4. Plano de melhoria de controles
5. Arquivar por mínimo **5 anos**

---

## 5. Modelos de comunicação

### Notificação interna

```
ASSUNTO: [INCIDENTE DE SEGURANÇA] - {{nivel}} - {{data_hora}}

Tipo: [acesso não autorizado / ransomware / vazamento / outro]
Sistemas afetados: [listar]
Dados possivelmente afetados: [listar tipos]
Status: [em andamento / contido]
Próximo passo: [ação imediata]
```

### Notificação a cliente B2B

```
Prezado(a) [nome],

A {{EMPRESA}} identificou um incidente de segurança que pode ter afetado
dados do ambiente [nome do tenant/cliente].

O que aconteceu: [descrição objetiva]
Dados afetados: [tipos — sem dados individuais]
Titulares possivelmente impactados: [estimativa]
Medidas adotadas: [ações de contenção]
Próximos passos: [o que será feito]

Contato: {{EMAIL_PRIVACIDADE}} | {{EMAIL_SUPORTE}}
```

---

## 6. Canais de notificação

| Destino | Canal | Prazo |
|---|---|---|
| Equipe interna | {{EMAIL_PRIVACIDADE}} + {{EMAIL_SUPORTE}} | Imediato |
| ANPD | gov.br/anpd | Até 2 dias úteis após confirmação |
| Cliente B2B afetado | Canal de contato registrado | Até 24 horas |
| Titulares | E-mail registrado ou comunicado na plataforma | Conforme avaliação |

---

## 7. Registro de incidente

| Campo | Valor |
|---|---|
| ID do incidente | INC-YYYYMMDD-NNN |
| Data/hora de identificação | |
| Data/hora de confirmação | |
| Severidade | |
| Descrição | |
| Dados afetados | |
| Titulares impactados (estimativa) | |
| Causa raiz | |
| Medidas adotadas | |
| Notificações realizadas (data/hora/destinatário) | |
| Status final | |
| Responsáveis | |
| Lições aprendidas | |

Arquivar registros por **5 anos**.

---

## 8. Revisão e testes

- Simulação de incidente: anualmente
- Revisão deste procedimento: anualmente ou após incidente real
- Treinamento da equipe: na integração e anualmente

---

**DPO:** {{EMAIL_PRIVACIDADE}}  
**Suporte:** {{EMAIL_SUPORTE}}  
**Jurídico:** {{EMAIL_JURIDICO}}  
**ANPD:** gov.br/anpd
