Você está na página 1de 36

GAT - Checklist - LGPD

Para mais informações acesse nosso site gat.digital

Duvidas? Envie um email para falecom@gat.digital

Data Source Type Data Source Key

CUSTOM_PARSER LGPD_09

CUSTOM_PARSER LGPD_10

CUSTOM_PARSER LGPD_01

CUSTOM_PARSER LGPD_21

CUSTOM_PARSER LGPD_22

CUSTOM_PARSER LGPD_11

CUSTOM_PARSER LGPD_12

CUSTOM_PARSER LGPD_13

CUSTOM_PARSER LGPD_14

CUSTOM_PARSER LGPD_15

CUSTOM_PARSER LGPD_02

CUSTOM_PARSER LGPD_03

CUSTOM_PARSER LGPD_04

CUSTOM_PARSER LGPD_05

CUSTOM_PARSER LGPD_06

CUSTOM_PARSER LGPD_07

CUSTOM_PARSER LGPD_08

CUSTOM_PARSER LGPD_23

CUSTOM_PARSER LGPD_24

CUSTOM_PARSER LGPD_25

CUSTOM_PARSER LGPD_26

CUSTOM_PARSER LGPD_27

CUSTOM_PARSER LGPD_40
CUSTOM_PARSER LGPD_41

CUSTOM_PARSER LGPD_42

CUSTOM_PARSER LGPD_43

CUSTOM_PARSER LGPD_44

CUSTOM_PARSER LGPD_45

CUSTOM_PARSER LGPD_46

CUSTOM_PARSER LGPD_47

CUSTOM_PARSER LGPD_16

CUSTOM_PARSER LGPD_17

CUSTOM_PARSER LGPD_18

CUSTOM_PARSER LGPD_19

CUSTOM_PARSER LGPD_20

CUSTOM_PARSER LGPD_48

CUSTOM_PARSER LGPD_49

CUSTOM_PARSER LGPD_50

CUSTOM_PARSER LGPD_51

CUSTOM_PARSER LGPD_52

CUSTOM_PARSER LGPD_53

CUSTOM_PARSER LGPD_54

CUSTOM_PARSER LGPD_28

CUSTOM_PARSER LGPD_29

CUSTOM_PARSER LGPD_30

CUSTOM_PARSER LGPD_31

CUSTOM_PARSER LGPD_32

CUSTOM_PARSER LGPD_66

CUSTOM_PARSER LGPD_67

CUSTOM_PARSER LGPD_68
CUSTOM_PARSER LGPD_69

CUSTOM_PARSER LGPD_70

CUSTOM_PARSER LGPD_71

CUSTOM_PARSER LGPD_72

CUSTOM_PARSER LGPD_33

CUSTOM_PARSER LGPD_34

CUSTOM_PARSER LGPD_35

CUSTOM_PARSER LGPD_36

CUSTOM_PARSER LGPD_37

CUSTOM_PARSER LGPD_38

CUSTOM_PARSER LGPD_39

CUSTOM_PARSER LGPD_55

CUSTOM_PARSER LGPD_56

CUSTOM_PARSER LGPD_57

CUSTOM_PARSER LGPD_58

CUSTOM_PARSER LGPD_59

CUSTOM_PARSER LGPD_60

CUSTOM_PARSER LGPD_61

CUSTOM_PARSER LGPD_62

CUSTOM_PARSER LGPD_63

CUSTOM_PARSER LGPD_64

CUSTOM_PARSER LGPD_65
Controle

Auditoria interna com foco em Segurança e Proteção de Dados

Auditorias externas com foco em Segurança e Proteção de Dados

Sensibilização, educação e treinamento em Segurança da Informação e Proteção de Dados

Criptografia de discos do Desktop e dispositivos externos

Segurança no ambiente corporativo

Controlar mudanças de Configurações dos ativos

Definir a Gestão de Configuração Segura

Definir padrões de Configurações dos ativos (Baselines)

Inventariar/classificar ativos e sistemas

Revisar Gestão de Configuração dos ativos (Lições aprendidas)

Definir a Gestão de Continuidade de Negócios

Executar o Plano de Continuidade de Negócios

Identificar e priorizar serviços críticos para o Negócio

Plano de Continuidade de Negócios

Revisar Gestão de Continuidade de Negócios (Lições aprendidas)

Testar o Plano de Continuidade de Negócios

Validar Plano de Continuidade de Negócios

Classificação da informação

Destruição segura dos dados em meios físicos e digitais

Inventário dados (RAT)

Período de retenção de registos

Transferências internacionais de dados pessoais (Dados transfronteiriços)

Controlar Identidades
Definir a Gestão de Identidades

Definir Identidades

Definir responsáveis e custodiantes

Revisar Gestão de Identidades (Lições aprendidas)

Atribuir papéis às Identidades (Segregação de Função)

Corrigir inconsistências

Monitorar e gerenciar mudanças de Acesso/ Identidades

Declarar Incidente de Segurança da Informação e Proteção de Dados

Definir a Gestão de Incidentes de Segurança da Informação e Proteção de Dados

Detectar eventos de Segurança da Informação e Proteção de Dados

Responder e se recuperar de um Incidente Segurança da Informação e Proteção de Dados

Revisar Gestão de Incidentes Segurança da Informação e Proteção de Dados (Lições aprendidas)

Analisar Riscos

Definir Gestão de Riscos

Estabelecer critérios de Riscos e escopo

Identificar Riscos

Mitigar e gerenciar Riscos

Realização do PIA (Privacy Impact Assessment)

Revisar Gestão de Riscos (Lições aprendidas)

Definir Gestão de Segurança Física

Gerenciar riscos de ativos de instalações

Priorizar ativos de instalações

Proteger ativos de instalações

Revisar Gestão de Segurança Física (Lições aprendidas)

Avaliações de conformidade de fornecedores

Analisar Vulnerabilidades

Definir Gestão de Vulnerabilidades


Gerenciar Vulnerabilidades

Identificar Vulnerabilidades

Revisar Gestão de Vulnerabilidades (Lições aprendidas)

Testes de invasão

Dados Pessoais de crianças e menores de idade - Política e procedimento

Definição do papel de Responsável pela área de Proteção de Dados (DPO, RPD, etc)

Direito ao Esquecimento - Processo

Geração de métricas relacionadas a Proteção dos Dados

Pedido de acesso a dados pessoais

Política de Privacidade de Dados

Política de Segurança da Informação

Controle de consentimento sobre o processamento dos dados pessoais

Controles de segurança da informação e proteção dos dados na aplicação

Autorização para cadastro de dados de menores de idade

Armazenamento e tratamento seguro do User e Password no sistema

Comunicação segura entre cliente e servidor

Proteção no Database

Direito ao esquecimento - Funcionalidades do sistema

Anonimização dos dados

Segmentação do ambiente de testes e produção

Consentimento sobre o uso do Cookie

Acessos restritos
Auditorias internas devem ser realizadas com o objetivo de validar:
Descrição
- Cumprimento da conformidade da lei
- Impacto da privacidade e princípios de privacy by design nos projetos
- Verificação dos requisitos de Proteção de Dados

Auditorias/assessments por entidades externas devem ser realizadas

Todos os colaboradores da organização e, quando relevante, os prestadores de serviço devem ser destinatários de ações de

Criptografar disco do(s) Desktop(s) e dispositivos corporativos externos (Notebooks, Pen drive, HDs externos, etc)

Controles para garantir a Segurança da Informação no ambiente corporativo devem ser implementados

A aplicação de configurações pode criar impactar o funcionamento dos ativos, o baseline deve ser testado em um ambiente c

Os ativos da organização devem ser identificados, priorizados, documentados e inventariados. O processo de Gestão de Con
Cada ativo opera de uma forma diferente e as particularidades devem ser documentadas em baselines de forma que as confi
Para que o processo de Gestão de Configuração seja mantido atualizado e controlado, deve haver uma devida manutenção d

Para manter um maior controle sobre as configurações de segurança deve-se determinar e identificar os ativos de informação

A geração de métricas permite identificar pontos de mudança no processo de Gestão de Configuração de Segurança. As mud

A Gestão de Continuidade requer planejamento e execução, estabelecendo como a organização vai abordar a continuidade d

Os Planos de Continuidade de Negócio podem ser implementados em resposta a uma ameaça identificada ou conhecida, com

Os serviços críticos da organização devem ser identificados como uma linha de base para identificar a extensão e os tipos de

Os Planos de Continuidade de Negócio são documentos estabelecidos com as ações que uma organização irá realizar caso e

Como as alterações nos planos podem ocorrer com frequência, a organização deve estabelecer critérios para alterações e ge
Ter um programa de teste ajuda a garantir um teste regular e consistente dos planos de continuidade de serviço para garantir
O teste é conduzido em um ambiente controlado e medido e é a única oportunidade para a organização saber se os planos q

Antes que os planos sejam executados, a organização deve validar os planos para garantir que eles atendam aos padrões e d

A informação deve ser classificada com base nos requisitos legais, valor, importância e sensibilidade em caso de divulgação o

Definir políticas / procedimentos para proceder a uma destruição segura dos dados em meios físicos e digitais (HDs, pen drive

Um inventário dos dados pessoais deve ser realizado


Definir práticas para retenção de registos
(Nota: a conservação dos dados deve ser efetuada apenas durante o período em que os mesmos são necessários relativame

Os dados pessoais podem ser tratados dentro dos limites definidos pela lei, quando esses dados são transferidos para um loc

Em alguns casos, informações pessoais como telefone, endereço, documentos de identificação são inclusas nos perfis de ace
Uma identidade documenta a existência de uma pessoa, objeto ou entidade que requer acesso a ativos organizacionais, com

Para se tornar parte da “comunidade” organizacional, identidades devem ser registradas e criado o seu respectivo perfil. Em e

Contas genéricas normalmente são contas de administradores de sistemas ou contas de teste e normalmente são compartilha

Um processo de gestão de mudanças efetiva de acessos e identidades requer um processo de monitoramento do ambiente e
Os papéis definem uma função em particular que é associada a uma identidade. Os usuários, particularmente, podem ter mai
Uma identidade tipicamente pode ter mais de um papel atrelado, baseado nas tarefas de trabalho e nos comportamentos da i

A falta de gerenciamento de acessos é uma grande fonte de riscos e vulnerabilidades para a Organização. A revisão periódic

Mudanças no ambiente da Organização devem ser refletidas com precisão no inventário de perfis de acesso e identidade em

Declaração de Incidente de Segurança e Proteção de Dados define o ponto em que a organização estabeleceu que um Incide

A organização deve estabelecer processos para identificar, analisar, responder e aprendendo com os Incidentes para evitar a

Incidentes se originam como eventos organizacionais. A organização poder monitorar e identificar eventos à medida que eles

A natureza de um Incidente declarado é que a organização já incorreu algum efeito, embora limitado, requer que a organizaçã

Um dos aspectos mais importantes da Gestão de Incidentes de Segurança e Proteção de Dados é a capacidade de entender

A análise de risco é realizada pela organização para determinar a importância relativa de cada risco identificado e é usada pa
A Gestão de Riscos de Cyber Segurança é crítico para o negócio da Organização, por entender seu ambiente e controlar os r
O processo de Gestão de Riscos de Cyber Segurança é composto por políticas, procedimentos, metodologia e equipe especi

A definição da tolerância (limite) de risco traça uma linha sob os riscos identificados e define quais os riscos devem ser tratado

O nível e a extensão dos riscos aos quais a organização está sujeita afetam diretamente a resiliência operacional da organiza

Quando as consequências do risco excedem a tolerância de risco da organização, classificado como risco inaceitável, a organ

PIA (Privacy Impact Assessment) deve ser definido, aplicado e gerenciado


Lições aprendidas na identificação, avaliação e mitigação de riscos afeta diretamente as estratégias existentes para proteger
Para usar as informações de risco para gerenciar a resiliência operacional, a organização deve usar diretamente as informaçõ
A Organização deve criar políticas e procedimentos dos controles da Segurança Física dos ambientes.
A política de gestão de segurança física define os controles necessários para assegurar todos os ambientes da Organização

Avaliações de riscos devem considerar ameaças, vulnerabilidades e eventos que os ativos da Organização estão sujeitos e d

A Organização possui diversos ativos e instalações críticas para o funcionamento dos negócios que devem ser listados e prio

Os ativos das instalações são um dos ativos mais tangíveis e visíveis da organização. Eles fornecem uma presença física à o

Os relatórios de risco geram insumos para a melhoria contínua do projeto e devem documentar as saídas das análises de form

Recomenda-se a avaliação anual dos fornecedores, com relação a requisitos de segurança da informação e proteção dos dad
Através da análise de vulnerabilidade, a organização procura entender a ameaça potencial que pode explorar a vulnerabilidad
Um processo para analisar vulnerabilidades deve ser definido, através de soluções automatizadas e análises manuais. As info
O planejamento é conduzido estabelecendo e mantendo uma estratégia para identificar, analisar e gerenciar as vulnerabilidad
A estratégia de Gestão de Vulnerabilidades aborda as ações específicas e o processo de gerenciamento usados para aplicar
A organização deve desenvolver e implementar uma estratégia de resolução apropriada das vulnerabilidades para as quais a

A identificação e análise de vulnerabilidades são elementos essenciais da Gestão de Vulnerabilidades antes que elas sejam e

Realizar análise da causa raiz das vulnerabilidades identificadas e gerar métricas para melhorar o processo de Gestão de Vul

Realizar Teste de Invasão no escopo


Definir política e procedimento de recolha e utilização de dados pessoais de crianças e menores.
Indicando as condições aplicáveis ao consentimento de crianças em relação aos serviços da sociedade da informação

Definir a responsabilidade pela área da proteção de dados a um indivíduo (por exemplo, DPO, RPD e consultor externo)

Definição do processo do Direito ao Esquecimento, que deve ser respeitado por toda a organização

Geração de métricas relacionadas a Proteção dos Dados

Definir procedimento para responder a pedidos de acesso a dados pessoais

Deve ser definida uma política de privacidade e/ou de proteção de dados pessoais na organização

Um conjunto de políticas para a segurança da informação deve ser definido, aprovado pela gestão, publicado e comunicado a
Definir controle para obter o consentimento de recolha e utilização de dados pessoais
De acordo com a definição da palavra consentimento, sendo a manifestação de vontade livre, específica, informada e explícit

Requisitos de Proteção de Dados devem ser implementados no desenho, desenvolvimento de novos produtos, assim como o

De acordo com a lei em relação aos serviços da sociedade da informação, todo cadastro de menor de idade, deve ser solicita

Dados pessoais como o user e a password devem ser armazenados de forma segura e utilizando algoritmos de hash forte. Ev

Dados pessoais dos titulares podem ser capturados por terceiros, sem uma devida implementação de protocolo de criptografi

Bases de dados, contendo dados pessoais, deve estar de acordo com referenciais normativos/melhores práticas de seguranç

Sistemas precisam estar preparados para solicitações de direito ao esquecimento, porém o mesmo não pode apagar 100% d

Anonimização dos dados pessoais na base de dados

O ambiente de testes e de produção devem ser segmentados e dados reais não podem ser utilizados no ambiente de testes,

Implementar controle no portal como um pop-up com a explicação sucinta e clara sobre o propósito da utilização do(s) cookie

Em alguns casos, dados pessoais como nome, telefone, documentos de identificação estão sujeitas à acessos não autorizado
Recomendação - Título

Auditoria interna com foco em Segurança e Proteção de Dados

Auditorias externas com foco em Segurança e Proteção de Dados

Sensibilização, educação e treinamento em Segurança da Informação e Proteção de Dados

Criptografia de discos do Desktop e dispositivos externos

Segurança no ambiente corporativo

Controlar mudanças de Configurações dos ativos

Definir a Gestão de Configuração Segura

Definir padrões de Configurações dos ativos (Baselines)

Inventariar/classificar ativos e sistemas

Revisar Gestão de Configuração dos ativos (Lições aprendidas)

Definir a Gestão de Continuidade de Negócios

Executar o Plano de Continuidade de Negócios

Identificar e priorizar serviços críticos para o Negócio

Plano de Continuidade de Negócios

Revisar Gestão de Continuidade de Negócios (Lições aprendidas)

Testar o Plano de Continuidade de Negócios

Validar Plano de Continuidade de Negócios

Classificação da informação

Destruição segura dos dados em meios físicos e digitais

Inventário dados (RAT)

Período de retenção de registos

Transferências internacionais de dados pessoais (Dados transfronteiriços)

Controlar Identidades
Definir a Gestão de Identidades

Definir Identidades

Definir responsáveis e custodiantes

Revisar Gestão de Identidades (Lições aprendidas)

Atribuir papéis às Identidades (Segregação de Função)

Corrigir inconsistências

Monitorar e gerenciar mudanças de Acesso/ Identidades

Declarar Incidente de Segurança da Informação e Proteção de Dados

Definir a Gestão de Incidentes de Segurança da Informação e Proteção de Dados

Detectar eventos de Segurança da Informação e Proteção de Dados

Responder e se recuperar de um Incidente Segurança da Informação e Proteção de Dados

Revisar Gestão de Incidentes Segurança da Informação e Proteção de Dados (Lições aprendidas)

Analisar Riscos

Definir Gestão de Riscos

Estabelecer critérios de Riscos e escopo

Identificar Riscos

Mitigar e gerenciar Riscos

Realização do PIA (Privacy Impact Assessment)

Revisar Gestão de Riscos (Lições aprendidas)

Definir Gestão de Segurança Física

Gerenciar riscos de ativos de instalações

Priorizar ativos de instalações

Proteger ativos de instalações

Revisar Gestão de Segurança Física (Lições aprendidas)

Avaliações de conformidade de fornecedores

Analisar Vulnerabilidades

Definir Gestão de Vulnerabilidades


Gerenciar Vulnerabilidades

Identificar Vulnerabilidades

Revisar Gestão de Vulnerabilidades (Lições aprendidas)

Testes de invasão

Dados Pessoais de crianças e menores de idade - Política e procedimento

Definição do papel de Responsável pela área de Proteção de Dados (DPO, RPD, etc)

Direito ao Esquecimento - Processo

Geração de métricas relacionadas a Proteção dos Dados

Pedido de acesso a dados pessoais

Política de Privacidade de Dados

Política de Segurança da Informação

Controle de consentimento sobre o processamento dos dados pessoais

Controles de segurança da informação e proteção dos dados na aplicação

Autorização para cadastro de dados de menores de idade

Armazenamento e tratamento seguro do User e Password no sistema

Comunicação segura entre cliente e servidor

Proteção no Database

Direito ao esquecimento - Funcionalidades do sistema

Anonimização dos dados

Segmentação do ambiente de testes e produção

Consentimento sobre o uso do Cookie

Acessos restritos
Recomenda-se que um programa de sensibilização em Segurança da Informação e Proteção de Dados seja definido baseado
b) Alinhado com as políticas e procedimentos relevantes de segurança da informação da organização, levando em consideraç
d) Atividades do programa de sensibilização sejam planejadas ao longo do tempo, preferencialmente de forma regular, de tal
e) Atualizado regularmente.
Treinamento e educação em Segurança da Informação e Proteção de Dados também contemple aspectos gerais, como:
a) declaração do comprometimento da direção com a segurança da informação em toda a organização;
b) a necessidade de tornar conhecido e estar em conformidade com as obrigações e regras de segurança da informação aplic
c) responsabilidade pessoal por seus próprios atos e omissões, e compromissos gerais para manter seguro ou para proteger
d) procedimentos de segurança da informação básicos (tais como, notificação de incidente de segurança da informação) e co
e) pontos de contato e recursos para informações adicionais e orientações sobre questões de segurança da informação, inclu
f)
Auditorias abordando o temadevem
internas da Proteção de Dados.
ser realizadas com o objetivo de validar:
Recomendação
g) direcionado a
- Cumprimento da conformidade da lei colaboradores com responsabilidades ao nível Proteção de Dados (incluindo áreas operacionais ex: call cent
Exemplos
- Impacto da de privacidade
atividades do programa de
e princípios de privacy
sensibilização:
by design nos projetos
a)
- Verificação dos requisitos de Proteção dedemonstrar,
Auditoria de senhas, com o objetivo de Dados de forma prática, o uso de senhas fracas dentro da Organização.
b) Cartilha de Segurança e Proteção de Dados.
c) Simulações de phishing.
Auditorias/assessments
Recomenda-se
d) Tela de fundoque sejamporimplementados
do computador. entidades externas devem
controles sergarantir
para realizadas, com o objetivo
a Segurança de validarnoa ambiente
da Informação conformidade com a lei
corporativo, tais co
Segmentação
e) Pílulas
Definir processo da
de Segurançarede
de mudançae Proteção de Dados. contemplando:
de configuração,
Restringir
-f)Processo ode
acesso
Workshops/Treinamentos.
mudançado utilizador as configurações do Desktop
e aprovação
Bloqueio
- Lista de de dispositivos
mudanças USB em Desktops
pré aprovadas
Uso
-Criptografar de software
Processo de de
análise identificação
impactode
deDesktop(s) em códigos maliciosos (Endpoint Protection)
segurança
Restrição
- Requisitos dedisco
acesso
de
do(s) e dispositivos corporativos externos (Notebooks, Pen drive, HDs externos, etc)
teste administrativo no Desktop pelo utilizador
Criptografia
- Restrições de disco do(s) Desktop(s)
Bloqueio
-Definir Mudanças de emergenciais
acesso de dispositivos indevidos via porta UTP (ex: port security)
Definir estratégia
Baselines de configuração
de monitoramento, paracontemplando:
cada ativo, contemplando:
-- Revisões Ferramentase atualizações
e métodos de avaliação;
-- Identificação
Processo de do ativo
Rollback
-- Tipo Tolerância
do ativoa riscos;
-Identificar
Cronograma
- Versão do baselinecomponentes/recursos
de testes periódicos; necessários para realizar a Gestão de Configuração de Cyber Segurança
-Identificar
Revisão pontos
de de
resultados; melhorias
- Identificação do criador da documentação nos skills dos colaboradores e quais treinamentos são necessários para a realização do proce
-- Retestes e acompanhamento
Controles edeclassificar
segurança a seremde correções;
aplicados
Inventariar
-Realizar
Revisãomanutenção ativos
de baseline periódica
ou de forma
documentação que estes possam ser mantidos e atualizados conforme necessidade, contemplando:
de exceções.
-Definir
Lista de ativos da Organização dos baselines
métricas, como estes exemplos:
-- Responsáveis
Porcentagem de e custodiantes de cada ativo inventariado
ativos inventariados
-- Classificação dos ativos
Porcentagem de ativos com baselines implementados X não implementados
-Definir
Porcentagem
escopo do de GCN
ativos(Gestão
que foi de
realizado rollbackde Negócio) dentro da organização;
Continuidade
-Desenvolver
Porcentagem de baselines atualizados
uma Política de Continuidade de negócios que descreva os objetivos da GCN (Gestão de Continuidade de Negó
Identificar componentes/recursos necessários para realizar a Gestão de Continuidade de Negócios
Identificar pontos de melhorias nos skills dos colaboradores e quais treinamentos são necessários para a realização do proce
Executar o plano de Continuidade de Negócios
Medir a eficácia
Identificar do plano
e priorizar na Organização
os serviços que garantem a continuidade do negócio
Identificar
Identificar, e analisar
desenvolver as dependências
e documentar internasdee Continuidade
Planos externas de Negócios para os serviços da Organização
Definir
Mapear métricas,
registros como
e banco estes exemplos:
de atuarão
dados críticos
Designar colaboradores que na GCN
- Número de recursos (Internos e Externos) dependentes (Gestão de ou
Continuidade de Negócios)
independentes necessários para assegurar o serviço de Continu
Armazenar e proteger os Planos de Continuidade
- Número de informações de contatos que necessitam atualizações de Negócios, restringindo acesso ao mesmo
Desenvolver
Inventário
- Porcentagem de edados
aplicar treinamentos
pessoais,
de planos sem com odoobjetivo
Plano de
um responsável de Continuidade de Negócio
identificar questões como:
Finalidade
- Porcentagem de planos sem stakeholders
Descrição
-Desenvolver
Porcentagem do tratamento
Departamento/áreaumdeprograma
planos executados/não
de testes
responsável pelado
executados
serviço de Continuidade de Negócios
recolha/tratamento
Planejar,
Base legalexecutar e documentar exercícios de Continuidade de Negócios
Recomenda-se
Avaliar resultados que a informação
dos seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para e
Proveniência/meios
Promover conscientização detestes realizados
obtenção
sobre ados dados
área pessoais da informação e promover acordos entre as áreas da Organização na a
de segurança
Revisar
Categoriase avaliar
de periodicamente
dados pessoais os Planos
Um exemplo de critérios para classificação da informaçãode Continuidade de ser:
pode Negócios
Identificar
Modo de e resolver
conservação conflitos
dos entre
dados os planos
pessoais de continuidade
(sistemas da
informáticos
- Pública ou Externa: Pode ser utilizado por todos sem restrição. Geralmente GCN
e/ou arquivo em papel)
possui uma formatação, linguagem e conteúdo c
Decisões automatizadas
- Interna: Acesso à os funcionários, colaboradores, acionistas. Normas, procedimentos, formulários que a Organização não po
Subcontratantes com acesso
- Restrita/Confidencial: Acessoaos dados em que apenas pessoas autorizadas devem ter acesso. Contratos, plano estratégic
controlado
Grupo dentro da organização que possuem acesso aos dados pessoais
Terceiros localizados dentro dos limites definidos com acesso aos dados
Definir
Terceirospolíticas / procedimentos
localizados para definidos
fora dos limites proceder coma uma destruição
acesso segura dos dados em meios físicos e digitais (HDs, pen drive
aos dados
Prazo de conservação dos dados
Para garantir
Medidas a proteção
técnicas de dadosadotadas
e organizativas na transferência recomendamos
para proteger os dados os seguintes pontos:
- Celebrar um acordo entre as empresas
Definir práticascontroles
- Implementar para retenção de no
técnicos registos
ambiente terceiro, para garantir a proteção dos dados;
(Nota: a conservação dos dados
- Definir regras corporativas (BCR); deve ser efetuada apenas durante o período em que os mesmos são necessários relativame
- Solicitar consentimento, como forma de legitimar a transferência de dados;
- Solicitar aprovações da autoridade supervisora, como forma de legitimar a transferência de dados, caso seja necessário.

Definir procedimento de controle de acesso às informações contidas nos perfis de identidades de forma a garantir a Seguranç
Definir políticas e procedimentos para requisição, aprovação, concessão e revogação de acesso a pessoas, objetos e entidad
Identificar
Criar componentes/recursos
um processo de criação e organizaçãonecessáriosdepara realizar ade
identidades Gestão
forma de Identidades
a definir os limites de "comunidade" de pessoas, objetos
Identificar
Identificar componentes/recursos
pontos de melhorias nos necessários para
skills dos colaboradoresrealizar aeGestão
quais de Incidentes
treinamentos de necessários
são Segurança epara
Proteção de Dados.
a realização do proce
-Identificar Uma fonte de informação
pontoscomo de melhorias sobre identidades e seus acessos que seja única e consistente;
nos skills dos colaboradores e quais treinamentos são necessários para a realização do proce
Definir
-Definir métricas,
Uma baseline para queestes exemplos:
mudanças à identidades possam ser monitoradas,
-- Porcentagem Política de de Gestão
identidades de Incidente
solicitadas de que
Segurança
foram e Proteção
recusadas de Dados; identificadas e gerenciadas; - O escopo para o m
As A agregação
seguintes normasde identidades
recomenda-sede pessoas,
serque objetos
definidas: ou entidades onde são necessárias múltiplas identidades.
- Porcentagem de identidades criadas, após análise detalhada foram bloqueadas, devidos a algum erro humano
-Definir
- Classificação controlesda
Porcentagem depara o corretoque
Informação;
identidades manuseio
estão de deférias
contas ougenéricas.
inválidas Tipicamente, o owner do sistema ou do ativo deve ser o respo
-Registrar, Uso do armazenar
Correio e
Eletrônico;controlar
- Porcentagem de identidades pertencentes a contas de serviços todas as contas vinculadas a uma só identidade, seja ela conta de sistema, genérica ou pess
Definir
-- Integração procedimento
Porcentagem com de:
deTerceiros;
identidades pertencentes a entidades externas
-- Uso Revisão
Porcentagemperiódica
correto dade das identidades;
Internet;
identidades que tiveram suas senhas divulgados de forma lícita ou ilícita.
- Acesso Corrigir as inconsistências Planos de ações que podem ser gerados:
Remoto;
- Retenção Criar novos deperfis
Logs.de identidade (No caso onde uma ou mais colaboradores compartilham o mesmo perfil de identidade, dev
Definir
-Monitorar e associar
Realizar as identidades
perfis deaos usuários,existentes
objetos e entidades dainconsistências
Organização, bem como provém a aprovação para a cr
Mapear: e identificarnos
mudanças inconsistências identidade
entre identidades epara corrigir
pessoas, objetos ou entidades em informações
relacionadas,cadastradas;
por exemplo:
-- Eliminar Canais de
Quando ou bloquear
háentrada
adição de
de perfis de
Incidentes
novosquando identidade duplicados;
de Segurança e Proteção de Dados internos e externos;
funcionários;
Definir critérios
Bloquear perfis para declarar
de identidade um Evento
que não representam de Segurança
uma pessoa, se torna um Incidente
-- Criar
Elaborar Quandocanais
há de entrada
mudanças
procedimento de
para
nas comunicações
responsabilidades
revisão periódica
de Incidentes(E-mail,
da dos
baseusuários, devidoobjeto
de conhecimentos
SMS, ou entidade
tickets,
a mudança etc.);
de na Organização.
departamento,
para correlacionamento depromoção/demoção
Incidentes em análise ou mu
-- Interações
Mudanças com
na entidades
estrutura da externas
Organização (ex: Cert);
ou dos serviços;
Manter
-- Leis, atualizado o histórico
regulamentações dos Incidentes
e parcerias
políticas referentes durante
relevantestodoao o ciclo de vida
negócio da Organização, suportando o processo de resposta ao I
Definir Adição ou finalização
critérios para de
análise de de negócio.
Incidentes
Definir:
Tratar Eventos de Segurança e Proteção de Dados encaminhados pelosinternas
canais de entrada interno/externos;
Elaborar
-Elaborar
Avaliar Campanhasprocedimento
causa de conscientização
raiz análise
de escalonamento
dos Incidentes doSegurança
dos
de Incidente
dos
usuários Incidentes
devem
ede
Proteçãoserentre equipes
realizadas;
dedeDados reportados e externas
Definir procedimento
ferramentas,
critérios de de identificação
técnicas
escalonamento e atividades
dos e reporte
relevantes
Incidentes Eventos
para
entre analisar
equipes Segurança
os
internas e Proteção de Dados;
Incidentes
e externas
-Registrar
Definir Categorias de Incidentes;
integração entre as áreas
Eventos/Incidentes de Gestão edeProteção
de Segurança Problemas e Gestão
deNegócio)
Dados devede ser
Incidentes
realizado deemSegurança e Proteção
uma ferramenta deeDados
única de forma seg
Integrar
-Registrar
Serviços
Analisar com
eeque a serão
área Eventos
controlar de GCN de
prestados (Gestão
pela
Segurança de Continuidade
equipe ede Gestão
Proteção de
de Incidentes
Dados de
anormais Segurança e
(Incidentes, Proteção
problemasde Dados;
e erros) Definir métricas, co
Definir atualizar
procedimento todo o histórico
de resposta parados Eventos
cada Incidentede Segurança
mapeado, e Proteção
baseado de Dados;
no ciclo de criticidade
vida
Contratos
-Definir
Porcentagem com
procedimento terceiros
de de envolvidos
indisponibilidade
registro na
(tempo
e atualizaçãoresposta ao
operacional) Incidente.
dos Eventos que deserviços e ativos de alta ficaram fora de operação dev
Mapear
-Elaborar stakeholders
Porcentagem de e seus
Incidentes respectivos
de Segurança protocolos
e Proteção e canais
de deSegurança
Dados comunicação
que
e Proteção de Dados;
exploraram vulnerabilidades existentes com soluções c
Definir procedimento
procedimento dede coleta, documentação
Incidentes deeviolação deede preservação
dados pessoaisdas evidências dos Eventos de Segurança e Proteção de Dad
-Definir
Número e porcentagem
critérios de
deresponsabilidade Eventos
priorização de cada Incidentes
evento de Segurança
Segurança e por e Proteção
Proteção de Dados, de Dados tratados em um
divididos por categoria. período específico e q
Definir
- Aumento matrizemde porcentagem no volume dos grupos solucionadores,
de Eventos e Incidentes decategoria
Segurança doeIncidente
Proteção de Dados em um período específic
Criar
- Porcentagem de Incidentes de Segurança e Proteção de Dados que requereram envolvimentoDefinir
matriz RACI com o devido SLA (Service Level Agreement) para cada grupo solucionador procedimento
da aplicação da lei; de comun
Definir critérios
Identificar de finalização
componentes/recursos dos Incidentes
necessários para realizar a Gestão de
- Número de Eventos e Incidentes de Segurança e Proteção de Dados que foram registrados, mas não fechados; Riscos de Cyber Segurança
Identificar
Númerooepontos
-Atualizar de melhorias
porcentagem nos skills dos
de recorrências colaboradores
deidentificado
específicos e quais
Eventos treinamentos
e Incidentes são necessários para aderealização
Dados. do proce
Endereçar impacto
ações para causado
a Gestãopor decada risco
Riscos de Cyber na
Segurançaparametrização
como: dosde Segurança
riscos; e Proteção
-Listar
Reclamações/incidentes
todos os riscos de no contexto dasuas
identificados, Proteção de categorizações
Dados
- Definir metodologia Análise de com Riscos de devidas
Cyber Segurança, contendo: e priorização previamente definidas;
Listar os riscos
- Lista de ativos; identificados com a respectiva disposição;
Listar os riscos das
- Mapeamento queameaças
terão prioridade
(Ambientes na mitigação.
externos e internos a Organização);
-Definir Identificação
a tolerância das vulnerabilidades;
de risco operacional aceitados pelo negócio da Organização;
-Definir Definirostaxonomia
requisitos dos riscos, depara
necessários forma realização
a facilitar ado mitigação dos
de mesmos.
Definir todas as ferramentas e técnicasa que deverão ser processo
utilizadas Gestão
na de Riscos
contenção de Cyber
dos ricos Segurança;
organizacionais;
Categorizar
Procedimento
Criar uma lista ospara
riscos
dos incluindo
a realização
riscos as
operacionaisdoáreas de impacto
PIAbaseados
(Privacy decategorias
Impact
nas cada tipo dos
Assessment) de risco;
deve ser definido, verificando a necessidade de contemp
ativos;
Criar
Um
Atualizar critérios
PIA deve paraaplicado
ser
os parâmetros um melhor
desempre entendimento
risco quando houver:
periodicamente; dos riscos e os impactos, de forma que possam ser medidos corretamente.
-Elaborar
Listar os uma Um novo programa,
riscoslista sistema
operacionais
dos controles ou processo,
divididos
da gestão que
por serviço.
de riscoestiverem no âmbitode
que necessitam darevisão;
lei
-Elaborar
Definir Alteração
programade programas,
listadedo sistemas ou processos, que estiverem no âmbito deda deleiproteção
Elaborar
Planos de
uma
um plano
ações deatividades
devem
plano
mitigação
ser
identificadas,
de continuidade
de riscos
definidos com que
base
noleve
dos âmbito
serviços
nos em doque
novo
consideração
problemas
regulamento
necessitam revisão;
a classificação
identificados no
de dados,
PIA e o impacto
com risco
de cada o objetivo claro de a
identificado.
Criar
Criar um plano
uma listaosdos de revisão dos
responsáveis planos de
definidos continuidade
por endereçar de serviço,
e tratar contendo
os riscos os responsáveis
identificados. e a periodicidade de revisão;
Se
Definir, aplicável,
implantar resultados
e medir asobtidos
métricas node PIACyber
(incluindo issues),
Segurança devem ser comunicados às entidades reguladoras e trazer
a entidades
Manter
-Definir Efetuar a listaDPIA
um de riscos
aquando sempre da atualizada
introdução com
de o status
novos de para
programas, cada a elaboração
risco
sistemas
dos resultados
identificado.
ou
da gestão de risco e
processos, se os mesmos representaram risco p
poss
métricas, como estes exemplos:
-- Definir um procedimento
Porcentagem de ativos e para serviçosa realização de um DPIA
que foi impactado ou (Data
custo Privacy Impact Assessment)
de comprometimento para as atividades identificadas c
foi identificado;
-- Definir um
Porcentagem procedimento
de Gestão para
riscos identificados identificar e
queFísicatratar
possuem os problemas
um plano encontrados aquando da realização do DPIA
Elaborar plano de de Segurança contendo todasdeasmitigação,
atividadescom status definido;
necessárias, bem como as ferramentas e técnic
-Definir Quantidade
lista dosdeambientes
riscos queda não foram tratados;
Organização e categorização da criticidade;
Realizar
-Estabelecer, avaliações
Porcentagem de de risco
riscos que periódicas
ultrapassaram levando ade em consideração
tolerância de riscos o ambiente físico da Organização e sua localização.
Tipos todos de ameaças registrar e criar documentações
e vulnerabilidades incluem mas segurança física
não se limitam para
a: queos ambientes da Organização;
Listar
Identificar os ativos e
componentes/recursos instalações críticas
necessários da Organização
para realizar de forma
a Gestão de controles de
Segurança segurança possam ser criados para ge
Física.
-São Eventos, não
considerados criminoso,
alguns realizado
exemplos por
de pessoas
ambientes ou naturais;
críticos para a Organização: - Prédios da Organização
Identificar
-- Eventos pontos de melhorias
criminosos como roubos, nos skills
acesso dosnãocolaboradores
autorizado ou e quais treinamentos são necessários
sabotagem; para a erealização
seus ambientes in
do proce
Implementar Fábricas; controlessociaisde segurança física, como
-- Mudanças Data centers; políticas, ou demográficas na por exemplo:
localização da Organização;
-Listar
-- Pessoas, Implantar um
resultados processo
incluindoda as
análisede
que controle
possam
de risco de
ter
para acesso
conhecimento
cada na
tipo entrada
de sobre
ativo dooedifício;
edifício.
-Identificar Outros
Posicionarlocais onde exista trânsitoàs decatracas
funcionários paraemonitorar
equipamentos.
Identificar asseguranças
categorias
ativos que fazemepróximos
prioridades
parte do dos riscos
processo de Continuidade
a entrada e saída de funcionários;
de Negócios ;
-Definir Instalar câmeras
planos de segurança
depolíticas
ação para mitigar emos todos
riscos osidentificados
andares da Organização, de forma que todo o complexo seja monitorado;
Documentar
-Definir Instalar em
controles de e
acesso procedimentos
a todos os todos
andares os
do controles
prédio de de segurança
forma a protegerrelacionados
os ativos aos ativos da Organização,
e informações da Organização;de forma
métricas, como estes exemplos:
-Identificar
- Conscientizar
Porcentagem os ativos
de funcionários
componentes/recursos a sempre
organizacionais
necessários utilizarem
inventariados o cracháa àGestão
para realizar mostrade enquanto estiverem na Organização;
Vulnerabilidades.
-Identificar
Implementar
- Porcentagem pontoscontrole
dede ativos de acesso
com/sem
melhorias biométrico
nosresponsáveis em ambientes críticos;
definidos e quais treinamentos são necessários para a realização do proce
skills dos colaboradores
Definir
- Porcentagem
Endereçar um procedimento
ações depara
ativos de análise
críticos
a Gestão para
de deovulnerabilidades
negócio
Vulnerabilidades como:que faça com que a Organização entenda as ameaças que elas repre
-ADefiniranáliseescopo
Porcentagem de vulnerabilidades
de ativos
para que não
realizar adeve incluir
atentem
Gestão dasatividades
os requisitos como:
Vulnerabilidades de resiliência
(TI, Processos e Pessoas)
-- Entender
Identificarrelação
pontos de entre ameaças
melhorias nose exposição por conta das e
skills dos colaboradores vulnerabilidades
quais treinamentos identificadas;
são necessários para a realização da anál
-- Revisar
Identificar documentações
pontos de para
melhorias identificar
nas a existência
ferramentas/soluções da mesma
para vulnerabilidade
realizar a no passado,
identificação, análise bem como quais
e Gestão das ações foram to
Vulnerabilidades
Recomenda-se
-- Identificar e a avaliação
entender as anual dos das
causas-raiz fornecedores, com relação a requisitos de segurança
vulnerabilidades; da informação e proteção dos dad
Definir política de Gestão de Vulnerabilidades e procedimentos necessários;
-- Priorizar,
Identificarcategorizar
a relação de astécnicas
vulnerabilidades
e ferramentas e definir responsável
necessárias para para que ações análise,
identificação, apropriadas sejam monitoramento
mitigação, tomadas para reduzir ou e
e comunica
-- Definir
Comunicar comde
critérios a área de gestão da
categorização de vulnerabilidade;
riscos quando há necessidade de implantar uma estratégia diferenciada para mitigação
- Identificar custos associados ao processo;
- Mapear stakeholders do processo.
Elaborar a estratégia levando em consideração os seguintes pontos:
- Aplicar patches em softwares, sistemas e firmwares;
-Definir Desenvolver
um processoe implementar novos controles
de identificação de proteçãono
de vulnerabilidades ouambiente
atualizarda controles existentes;
Organização, que pode incluir diferentes técnicas, co
-- Desenvolver e implementar novos panos de continuidade de serviços
Avaliações internas por vulnerabilidades utilizando ferramentas automatizadas e análises ou atualizar os existentes;
manuais;
-- Garantir Realizaçãoquedetodos os stakeholders
avaliações externas do vulnerabilidades
de processo tenhamutilizandociências das vulnerabilidades;
ferramentas automatizadas e análises manuais;
Realizar
-- Atualizar análise
odos de causa
repositório de raiz das vulnerabilidades
vulnerabilidades identificadas
com informações sobre a estratégia de gestão de vulnerabilidades;
Definir A revisão
métricas, resultados
como de auditorias internas
estes exemplos: abertas; e externas;
-- Monitorar A os status
revisão periódica das
dos vulnerabilidades
catálogos que de vulnerabilidades doanálise
mercado
--- Analisar Porcentagem
a de vulnerabilidades
eficiência denecessita deVulnerabilidades
uma de(ex:
causaCERT,raiz; MITRE, etc);
-A subscriçãode
Quantidade em serviçosestratégias
das de notificação
vulnerabilidades
Gestão de
por vulnerabilidades
identificadas X Quantidade dedos
para garantir
fabricantes;
vulnerabilidades
que os objetivos foram alcançados.
mitigadas;
--Recomenda-se A subscrição em
Porcentagem mailings que divulgam
quevulnerabilidades
de um conjunto depor novas
políticas de vulnerabilidades;
criticidade; segurança da informação seja definido, aprovado pela direção, publicado e co
-- A
Políticas revisão
de de relatórios
segurança de
geral vulnerabilidades
de informação
Porcentagem de vulnerabilidades por categoria; e grupos
devem serde notícias feitos
definidas, pela indústria depelo
onde recomendamos Cyber Segurança.
menos o seguinte conteúdo:
a) Objetivo
- Porcentagem de vulnerabilidades por status de tratamento;
b)
- Tempo Abrangência
médio de mitigação das vulnerabilidades por criticidade.
c) Histórico de revisões
Definir
d) Resumo Executivo processo que será seguido para as solicitações de Direito ao Esquecimento, contemplando:
-Recomenda-se
e) Definições Exclusão; que seja realizado um teste de invasão, para garantir que dados pessoais sejam comprometidos
-f)Restrição; Sanções - Objeção.
Onde
Definir
g) deverá
política
Papéis ser definindo umade
e procedimento
e responsabilidades matriz contemplando:
recolha e utilização de dados pessoais de crianças e menores
-h)Sistemas; Classificação da Informação
Definir
-i) Responsáveis; a responsabilidade
- Dados pela área
tratados; da Proteção de Dados a um indivíduo (por exemplo, DPO, RPD e consultor externo).
Controle de acesso
Recomenda-se que o (Físico e Lógico)
responsável possua funções de supervisão independente.
-j)
Métricas Plano
Códigosde comunicação;
associadas ao tema da Proteção dos Dados devem ser definidas, tais como:
maliciosos/Ransomwares
-l) Prazos
Quantidade de não conformidades
Desenvolvimento/Manutenção deidentificadas
Sistemas X tratamentos realizados
Este
Quantidade
m) processo de deve
Dispositivos ser automatizado,
vulnerabilidades
Móveis na medida
identificadas do possível,
que tem o risco de e vazamento
bem definido, depara
dados evitar o risco de erro humano na execuçã
pessoais
Definir
Quantidade política clara,
depara seguindo
incidentes os seguintes
de Segurança princípios:
e Proteção
n)
Relativa
Uso de Correio
Procedimento Eletrônico
responder
pelo quala pedidos de acesso ados
dadosDados identificados
pessoais, deve X corrigidos
conter uma matriz com:
Uso deaoInternet
Solicitações
o)
-Definir Sistemas;
propósito
de esquecimento
p) Programa os
de dados
realizadas são
X recolhidos,
atendidas
Conscientização e adequada
q) Proteção ao ciclo
e privacidade de
da vida dos
informaçãodados.
de identificação pessoal r) Segu
t) o "uso secundário"
Terceirização/Fornecedores de dados pessoais, onde será descrito a utilização dos dados
u) Tópicos orientados aos usuários finais: 1) uso aceitável dos ativos; pessoais para outros fins para além d
-DefinirResponsáveis;
e manter - Plano
uma de comunicação;
política de privacidade de dados transversal a toda a organização.
2) mesa Limpa
-Controles
Prazos de e Tela Limpa; 3) transferência de informações; 4) dispositivos móveis e trabalho remoto; 5) restrições sobre o
resposta
Atualizar
v) Tratamento adePolítica
segurança de Privacidade
de Incidentes da informação em todas
de Segurança asInformação
e proteção
da plataformas
de dados da organização
devem
Para por forma
ser implementados
dar base a política ano
geral,garantir claramente
asdesenho,
seguintes asespecíficas
práticasderelativ
desenvolvimento
normas novo
rec
Definir
Recomenda-setermos como:
que a- Privacidade:
aplicação direito
implemente em os manter
seguinteso domínio sobre
controles: o nosso corpo,
b) Norma de Controlo de Acesso Lógico; c) Norma de Classificação da Informação; d) Norma de Gestão de Backup e Restorecasa, propriedade, pensamentos, sentim
Dados
Normapessoais
-f)Arquitetura sensíveis,
de Segurança;
de Gestão entre outros.
de Incidentes de Segurança da Informação; g) Norma de Gestão de Terceiros; h) Norma de Retenção de
-i) Comunicação
Norma de Restrição segura,deentre Usocliente e servidor;
de Software;
-j) Controle de acesso seguro;
Norma de Uso do Correio Eletrônico; l) Norma de Uso de Equipamentos Portáteis; m) Norma de Uso de Internet.
- Configuração segura do servidor/serviço;
Implementar
- Integraçõescontrole
externasde aceite do processamento dos dados pessoais, pelos titulares, nos cadastros onde são recolhidos dad
seguras;
As
- Trilhas de Auditoria (Log);customizáveis conforme a necessidade da Organização.
mensagens devem ser
- Tratamento de Erros (Exceções);
- Validação dos dados entradas, do lado do servidor.
Para todo cadastro de menor de idade, deve ser solicitado autorização de um adulto ou responsável maior de idade.
A maioridade se diferencia em cada país, o sistema deve permitir customizar este parâmetro, para definir a maioridade por pa
Dados pessoaisacomo
Recomenda-se o user e a password
implementação de protocolodevem ser armazenados
de criptografia de forma segura
na comunicação entre o ecliente
utilizando algoritmos
e o servidor, de hash
evitando forte
que essa(SH
Bases
Possuir de dados contendo
a funcionalidade dedados pessoais
segundo devem
fator ode era protegidos,
autenticação (2FA) com controles como:
-- Aplicações web, deve ser implementado HTTPS
Segmentação da rede, entre banco de dados e aplicação; e habilitar a flag HSTS.
-- Aplicações
Aplicação de cliente servidor,
baseline deve ser implementado a criptografia na comunicação dos dados entre estes meios.
de segurança;
-- Serviços
Controle em Cloud, por ex: Office 365,qualquer
implementar a criptografia dosaoe-mails.
Existem 2 de acesso,
tipos não de
diferentes permitir que
cookies: - Session pessoa tenhacookie
cookie: Este acesso Database;
é excluindo quando se fecha o browser
-- Não
Persistent cookie: Este cookie permanece no dispositivo por um período desenvolvimento;
permitir o uso de dados pessoais em databases de homologação e pré definido
-Quanto
Firewallaodedomínio
Database (se possível).
ao qual pertence, existem:
- First-party cookies: Mesmo domínio do web server.
-Recomenda-se o usoDomínio
Third-party cookies de blacklists comex
externo, osGoogle
titularesAnalytics
que solicitem o direito ao esquecimento. Onde permita que os dados sejam
Para cada um desses cookies deve-se seguir as seguintes regras:
-OsFirst partypessoais
dados session que
cookies: NÃO precisa
não precisam do consentimento.
ser identificados devem ser anonimizados, como por exemplo uma pesquisa de satisfaç
- First party persistent cookies: Necessita do consentimento, só deve ser usado quando realmente necessário, com período d
- Todos third party session and persistent cookies: Necessita de consentimento. Este tipo de cookie deve ser evitado no porta
O ambiente
Deve de testes
ser exibido uma ebarra
de produção
onde deixedevem
claroseros segmentados e dados
cookies que estão sendoreais não podem
utilizados pela ser utilizados
aplicação no ambiente
e solicitar de testes,
o consentimento
No link abaixo éque
Recomenda-se demonstrado
a aplicaçãoque o titular aceita
implemente todos oscontroles,
os seguintes cookies ou nega
tanto todos
para os os cookies
titulares que não
quanto parasão
os essenciais, não sen
administradores do
http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
- Autenticação / Autorização;
- Atribuir papéis às Identidades (Segregação de Função);
- Gerenciamento de Sessão segura.
Causa raíz Severidade

Gestão de Conformidade Medium

Gestão de Conformidade Medium

Conscientização High

Controles de Cibersegurança High

Controles de Cibersegurança Critical

Gestão de Configuração Medium

Gestão de Configuração Medium

Gestão de Configuração Medium

Gestão de Configuração High

Gestão de Configuração Medium

Gestão de Continuidade de Negócio Medium

Gestão de Continuidade de Negócio Medium

Gestão de Continuidade de Negócio Medium

Gestão de Continuidade de Negócio High

Gestão de Continuidade de Negócio Medium

Gestão de Continuidade de Negócio Medium

Gestão de Continuidade de Negócio Medium

Gestão de Dados High

Gestão de Dados High

Gestão de Dados High

Gestão de Dados High

Gestão de Dados Critical

Gestão de Identidades e Acessos Medium


Gestão de Identidades e Acessos High

Gestão de Identidades e Acessos Medium

Gestão de Identidades e Acessos Medium

Gestão de Identidades e Acessos Medium

Gestão de Identidades e Acessos Critical

Gestão de Identidades e Acessos Critical

Gestão de Identidades e Acessos Critical

Gestão de Incidentes de Segurança da Informação Critical

Gestão de Incidentes de Segurança da Informação Critical

Gestão de Incidentes de Segurança da Informação Critical

Gestão de Incidentes de Segurança da Informação Critical

Gestão de Incidentes de Segurança da Informação Medium

Gestão de Riscos Medium

Gestão de Riscos Medium

Gestão de Riscos Medium

Gestão de Riscos Medium

Gestão de Riscos Medium

Gestão de Riscos High

Gestão de Riscos Medium

Gestão de Segurança Física e do Ambiente Medium

Gestão de Segurança Física e do Ambiente Medium

Gestão de Segurança Física e do Ambiente Medium

Gestão de Segurança Física e do Ambiente High

Gestão de Segurança Física e do Ambiente Medium

Gestão de Terceiros Medium

Gestão de Vulnerabilidades Critical

Gestão de Vulnerabilidades Critical


Gestão de Vulnerabilidades Critical

Gestão de Vulnerabilidades Critical

Gestão de Vulnerabilidades Medium

Gestão de Vulnerabilidades Critical

Governança de Segurança da Informação Critical

Governança de Segurança da Informação Critical

Governança de Segurança da Informação Critical

Governança de Segurança da Informação Critical

Governança de Segurança da Informação High

Governança de Segurança da Informação Critical

Governança de Segurança da Informação Critical

Gestão de Desenvolvimento Seguro Critical

Gestão de Desenvolvimento Seguro High

Gestão de Desenvolvimento Seguro Critical

Gestão de Desenvolvimento Seguro High

Gestão de Desenvolvimento Seguro Critical

Gestão de Desenvolvimento Seguro Critical

Gestão de Desenvolvimento Seguro High

Gestão de Desenvolvimento Seguro High

Gestão de Desenvolvimento Seguro Critical

Gestão de Desenvolvimento Seguro Critical

Gestão de Desenvolvimento Seguro Critical


Risco 1 (Categoria)

Risco de incidentes cibernéticos

Risco de fraude

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de incidentes cibernéticos

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de interrupção de negócio

Risco de interrupção de negócio


Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio


Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de interrupção de negócio

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de incidentes cibernéticos

Risco de interrupção de negócio

Risco de incidentes cibernéticos

Risco de violação da legislação e/ou das regulamentações

Risco de interrupção de negócio

Risco de violação da legislação e/ou das regulamentações

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações


Risco 2 (Categoria)

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de fraude

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de violação da legislação e/ou das regulamentações

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de fraude

Risco de fraude

Risco de violação a dados pessoais

Risco de violação a dados pessoais

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos


Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos


Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de incidentes cibernéticos

Risco de violação a dados pessoais

Risco de perda de valor de mercado

Risco de perda de valor de mercado

Risco de perda de valor de mercado

Risco de perda de valor de mercado

Risco de perda de valor de mercado

Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações

Risco de incidentes cibernéticos

Risco de fraude

Risco de violação a dados pessoais

Risco de incidentes cibernéticos

Risco de violação a dados pessoais

Risco de violação da legislação e/ou das regulamentações

Risco de fraude

Risco de violação a dados pessoais

Risco de violação a dados pessoais


Risco 3 (Categoria)

Risco de fraude

Risco de violação a dados pessoais

Risco de fraude

Risco de violação da legislação e/ou das regulamentações

Risco de fraude

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de erro humano

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação de confidencialidade

Risco de violação de confidencialidade

Risco de fraude

Risco de fraude
Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de violação da legislação e/ou das regulamentações

Risco de fraude

Risco de fraude

Risco de fraude
Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de fraude

Risco de violação de confidencialidade

imagem e/ou reputação

imagem e/ou reputação

imagem e/ou reputação

imagem e/ou reputação

imagem e/ou reputação

imagem e/ou reputação

Risco de violação a dados pessoais

Risco de fraude

Risco de violação da legislação e/ou das regulamentações

Risco de violação de confidencialidade

Risco de fraude

Risco de perda financeira

Risco de violação a dados pessoais

Risco de violação da legislação e/ou das regulamentações


Risco 4 (Categoria) Risco 5 (Categoria)

Risco de violação a dados pessoais Risco de erro humano

Risco de violação de confidencialidade Risco de erro humano

Risco de violação a dados pessoais Risco de erro humano

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de perda de valor de mercado imagem e/ou reputação

Risco de perda de valor de mercado imagem e/ou reputação

Risco de perda de valor de mercado imagem e/ou reputação

Risco de interrupção de negócio Risco de perda de valor de mercado

Risco de perda de valor de mercado imagem e/ou reputação

Risco de perda de valor de mercado imagem e/ou reputação

Risco de perda de valor de mercado imagem e/ou reputação

Risco de perda de valor de mercado imagem e/ou reputação

Risco de perda de valor de mercado imagem e/ou reputação

Risco de erro humano

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de perda financeira

Risco de perda financeira Risco de erro humano

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de erro humano

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação de confidencialidade Risco de erro humano

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de erro humano

Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado

Risco de erro humano

Risco de erro humano

Risco de perda de valor de mercado imagem e/ou reputação


Risco 6 (Categoria) Risco 7 (Categoria)

Risco de violação de confidencialidade Risco de perda financeira

Risco à segurança física das pessoas Risco de violação de confidencialidade

Risco de erro humano

imagem e/ou reputação Risco de violação a dados pessoais

Risco de perda financeira Risco de erro humano

Risco de perda financeira Risco de erro humano

Risco de perda financeira Risco de erro humano

Risco de perda financeira Risco de erro humano

Risco de perda financeira Risco de erro humano

Risco à segurança física das pessoas Risco de violação de confidencialidade

Risco à segurança física das pessoas Risco de violação de confidencialidade

Risco à segurança física das pessoas Risco de violação de confidencialidade

imagem e/ou reputação Risco de perda financeira

Risco à segurança física das pessoas Risco de violação de confidencialidade

Risco à segurança física das pessoas Risco de violação de confidencialidade

Risco à segurança física das pessoas Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

Risco de violação a dados pessoais Risco de violação de confidencialidade

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais


imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

Risco de perda financeira Risco de erro humano

Risco de perda financeira Risco de erro humano

Risco de perda financeira Risco de erro humano

Risco de perda financeira Risco de erro humano

Risco de perda financeira Risco de erro humano

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais


imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

imagem e/ou reputação Risco de violação a dados pessoais

Risco de erro humano

Risco de erro humano

Risco de erro humano

Risco de erro humano

imagem e/ou reputação Risco de violação a dados pessoais

Risco de erro humano

imagem e/ou reputação Risco de violação a dados pessoais

Risco de violação a dados pessoais Risco de violação de confidencialidade


Pendente

Aceito

Corrigido

Risco 8 (Categoria) Risco 9 (Categoria) Risco 10 (Categoria) Estado

Risco de interrupção de negócio Pendente

Pendente

Risco de perda financeira Pendente

Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Pendente

Pendente

Pendente

Pendente

Pendente

Risco de perda financeira Risco de erro humano Pendente

Risco de perda financeira Risco de erro humano Pendente

Risco de perda financeira Risco de erro humano Pendente

Risco de erro humano Pendente

Risco de perda financeira Risco de erro humano Pendente

Risco de perda financeira Risco de erro humano Pendente

Risco de perda financeira Risco de erro humano Pendente

Risco de perda financeira Risco de erro humano Pendente

Risco de perda financeira Risco de erro humano Pendente

Pendente

Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Pendente

Pendente

Pendente

Pendente

Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Pendente

Pendente

Pendente

Pendente

Pendente

Pendente

Pendente

Pendente

Risco de violação de confidencialidade Risco de perda financeira Pendente

Pendente

Pendente

Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente

Pendente

Pendente

Risco de erro humano Pendente

Pendente

Pendente