Escolar Documentos
Profissional Documentos
Cultura Documentos
PAS 96:2017
Arthur L. Barbieri
Cíntia Malagutti
Giulianna San Giacomo Simões Vieira
Maria Carolina Mazetto Gazola
Sarah Arcuri Eluf
Vanessa Santos
www.foodsafetybrazil.org
1
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
História da publicação
Publicado pela primeira vez em Março de 2008
Segunda edição em Março de 2010
Terceira edição em outubro de 2014
Quarta (atual) edição em Novembro de 2017
2
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Conteúdo
Prefácio ........................................................................................................... 5
Introdução ....................................................................................................... 7
1 Escopo ...................................................................................................... 9
2 Termos e definições............................................................................... 9
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
3
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
4
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Prefácio
Este PAS foi patrocinado conjuntamente pelo Departamento de Meio Ambiente,
Alimentos e Assuntos Rurais (Department for Environment, Food & Rural Affairs - Defra)
e da Agência de Padrão de Alimentos (Food Standards Agency - FSA). Seu
desenvolvimento foi facilitado pelo BSI Standards Limited que foi publicado sob licença
da The British Standards Institution. Entrou em vigor em 16 de novembro de 2017.
A British Standards Institution mantém a propriedade e direitos de autoria deste PAS. BSI
Standards Limited como o editor da PAS reserva-se o direito de retirar ou alterar o
presente PAS na recepção de parecer de autoridade que seja competente para fazê-lo.
Este PAS será revisado em intervalos não superior a dois anos, e quaisquer alterações
decorrentes da revisão serão publicadas como um PAS alterado e divulgado em
Atualização de Normas (Update Standards).
Este PAS não é para ser considerado como um British Standard. Ele vai ser retirado a
partir da publicação de seu conteúdo em, ou como, uma norma britânica.
Alterações
Este PAS substitui o PAS 96: 2014, que foi retirada informações sobre este documento.
Esta é uma revisão completa do PAS 96: 2014, e apresenta as seguintes mudanças
principais:
referências normativas e informativas foram atualizadas;
sub-cláusula 3.7 Cibercrime foi revisada;
sub-cláusula 6.2.4 adicionada para cobrir vulnerabilidades relacionadas a ataques
cibernéticos;
dois novos estudos de caso fictícios foram adicionados como subseções A.5 e A.6 para
ilustrar a segurança cibernética questões;
5
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Anexo B atualizado;
Anexo D adicionado cobrindo 10 etapas para a segurança cibernética;
algumas alterações editoriais foram realizadas.
O processo PAS constitui-se num guia para ser rapidamente desenvolvido a fim de
cumprir uma necessidade imediata da indústria. O PAS pode ser considerado para
desenvolvimento futuro como uma norma britânica, ou constituir parte da contribuição
do Reino Unido para o desenvolvimento de uma norma Europeia ou Internacional.
Como um guia, este PAS assume a forma de orientação e recomendações. Não deve ser
citado como uma especificação ou um código de prática e reivindicações de
conformidade não pode ser feita a ele.
Convenções de apresentação
A orientação nesta norma é apresentada em romano (ou seja, vertical). Quaisquer
recomendações são expressas em frases em que o verbo auxiliar principal é "deve".
Comentários, explicações e informativos gerais são apresentados em itálico menor e não
constituem um elemento normativo.
6
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Introdução
A indústria de alimentos considera a segurança de seus produtos como a sua principal preocupação.
Ao longo dos anos, a indústria e as entidades reguladoras desenvolveram sistemas de gestão de
segurança dos alimentos, o que significa que os grandes surtos de intoxicação alimentar agora são
bem incomuns em muitos países. Estes sistemas geralmente usam o sistema HACCP 1 (Análise de
Perigos e Pontos Críticos de Controle) princípios que são aceitos globalmente 1. HACCP tem provado ser
eficaz contra contaminação acidental.
Os princípios de HACCP, contudo, não tem sido rotineiramente usado para detectar ou mitigar os
ataques intencionais contra os sistemas ou processos. Esses ataques podem incluir a deliberada
contaminação ou fraude. Atos intencionais podem ter implicações para a segurança dos alimentos, mas
podem prejudicar as organizações de outras maneiras, como danos à reputação do negócio ou extorsão
de dinheiro.
O fator comum por trás de todos esses atos deliberados são as pessoas. Essas pessoas podem estar
dentro de uma empresa da área de alimentos, podem ser empregados de um fornecedor da área de
alimentos, ou podem ser estranhos completos, sem conexão com a cadeia de alimentos. A questão
chave é a sua motivação; eles podem tentar causar danos à saúde humana ou a reputação do negócio,
ou obter ganhos financeiros, em detrimento do negócio. Em qualquer uma destas situações, é de
interesse das empresas da área de alimentos se protegerem de tais ataques.
O PAS 96 descreve a Avaliação de Ameaças e Pontos Críticos de Controle (TACCP), uma metodologia de
gerenciamento de risco, que está alinhada com HACCP, mas tem um foco diferente, que podem
necessitar da contribuição de funcionários de diferentes disciplinas, tais como RH, suprimentos,
segurança e tecnologia da informação.
O guia explica o processo TACCP, descreve as etapas que podem deter um agressor ou levar à
detecção prévia de um ataque, e utiliza estudos de casos fictícios (ver Anexo A) para mostrar sua
aplicação. Em termos gerais, o TACCP coloca gestores de empresas da área de alimentos na
posição de um agressor para antecipar sua motivação, capacidade e oportunidade de realizar um
ataque, e assim, elaborar mecanismos de proteção. Ele também fornece outras fontes de dados e
informações que podem ajudar a identificar ameaças emergentes (ver Anexo B).
O processo TACCP pressupõe e se baseia em um negócio em que exista uma operação eficaz do
HACCP, onde muitas precauções são tomadas para garantir a segurança dos alimentos e são mais
propensas a impedir ou detectar atos deliberados. Adicionalmente complementa a gestão de
riscos do negócio existente e processos de gerenciamento de incidentes.
O foco deste PAS é proteger a integridade e conformidade dos alimentos e abastecimento dos
mesmos. Qualquer intenção do agressor seja, de dentro de uma empresa da área de alimentos ou
de sua cadeia de abastecimento, ou externo para ambos, é provável que tente enganar ou evitar
os processos de gestão de rotina. Este PAS deve ajudar empresas da área de alimentos a mitigar
1
Para mais informações e guias com relação ao APPCC (HACCP) podem ser encontradas na publicação do
CODEX Alimentarius, Princípios Gerais de Higiene de Alimentos [1].
7
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
cada uma destas ameaças, mas o método pode também ser utilizado para outras ameaças aos
negócios.
Nenhum processo pode garantir que alimentos e o abastecimento dos mesmos não sejam o alvo
da atividade criminosa, mas o uso do PAS 96 pode torná-la menos provável. Destina-se a ser um
guia prático e facilmente utilizável, e por isto é escrito na linguagem cotidiana e deve ser utilizado
com bom senso e não como um requisito legal.
8
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
1 Escopo
Este PAS fornece orientação sobre a prevenção e mitigação de ameaças aos alimentos e a seu
abastecimento. Ele descreve a metodologia de gestão de risco, Avaliação de Ameaças e Pontos
Críticos de Controle (TACCP), que pode ser adaptada a empresas da área de alimentos de todos
os tamanhos e em todos os pontos em cadeias de abastecimento dos alimentos.
Embora as preocupações para a segurança e integridade de alimentos e bebida são de extrema
importância e grande parte do PAS é focado sobre estes, precisa ser salientado que o escopo do
PAS abrange 'todas as ameaças' e proteção de todos os elementos da cadeia de produção de
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
2 Termos e definições
2
A Agência UK Food Standards discute crime alimentos e fraude alimentar em:
https://www.food.gov.uk/enforcement/thenational-food-crime-unit/what-is-food-crime-and-food-fraud [3].
9
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
• Venda consciente de produtos vencidos
NOTA 2 fraude alimentar pode também envolver a venda de carne de animais que tenham sido
roubados e / ou ilegalmente abatidos, bem como animais de caça selvagens, como cervos que pode ter
sido escaldado.
Perigo
Algo que pode causar perda ou dano que surge de uma ocorrência natural ou acidental ou resulta da
incompetência ou desconhecimento das pessoas envolvidas.
10
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
APPCC - Análise de Perigos e Pontos Críticos de Controle
Sistema que identifica, avalia, e controla perigos que são significativos para a segurança dos alimentos.
{Fonte: CODEX Alimentarius. General Principles of Food Hygiene [1]}
Insider
Indivíduo pertencente ou vinculado à uma organização e com acesso a seu patrimônio, mas que pode
abusar deste acesso e representar uma ameaça às suas operações.
Segurança do Pessoal
Procedimentos utilizados para confirmar a identidade, qualificações, experiência e direito ao trabalho
de um indivíduo, e monitorar a conduta como um funcionário ou contratado
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
Ameaça
Algo que pode causar perda ou dano que surge da má-intenção de pessoas.
NOTA Ameaça não é utilizada no sentido de comportamento ameaçador ou promessa de
consequência desagradável de uma falha no cumprimento de uma demanda maliciosa.
AACCP – Avaliação de
Ameaças e Pontos
Críticos de Controle
Sistemática de gerenciamento de risco
através da avaliação de ameaças,
identificação de vulnerabilidades e
implementação de controles para materiais
e produtos, suprimentos, processos,
instalações, pessoas, redes de distribuição
e sistemas de negócios por uma equipe
experiente e de confiança com a
autoridade para implementar mudanças
nos
procedimentos.
11
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
3 Tipos de Ameaça
Generalidades
Atos deliberados contra alimentos e seu abastecimento tomam várias formas. O requisito Nº3 descreve
as características das principais ameaças à autenticidade e segurança dos alimentos - Adulteração
economicamente motivada (AEM) e também contaminação maliciosa, descrevendo a natureza de outras
ameaças, especialmente o rápido crescimento do mau uso de técnicas digitais.
Caso 1
Em 2016, funcionários aduaneiros na Nigéria confiscaram 2,5 toneladas de arroz suspeitos que foram
feitos a partir de plástico.3
Caso 2
O azeite tem sido um alvo frequente de adulteração, muitas vezes por outros óleos vegetais. Em 2017,
as autoridades italianas interromperam uma aliança de crime organizado que estava exportando azeite
falso para os Estados Unidos.4 (4) Da mesma forma, as autoridades brasileiras informaram que uma
proporção muito elevada de azeites testados não atenderem aos padrões de qualidade exigidos pela
sua rotulagem.5
Caso 3
A polícia espanhola acusou um fabricante de hambúrguer de carne bovina de usar carne de porco e
soja triturada para aumentar o teor de carne percebido em seus produtos por muitos anos. 6 Não está
claro se os hambúrgueres realmente continham carne suficiente para satisfazer qualquer regulamento
oficial.
Caso 4
Em 2014, o Conselho de leite do Quênia acusou que vendedores ambulantes estariam colocando a vida
de pessoas em risco pela adição de conservantes (formalina e peróxido de hidrogénio) em uma tentativa
(provavelmente fútil) para prolongar a vida de prateleira do leite. 7
Caso 5
O pessoal que trabalhava em um empacotador de carne europeia achava, erroneamente, que poderiam
evitar a condenação de um produto que estava sendo condenado como veículo de febre aftosa,
cobrindo-o com desinfetante.
A motivação dos AEM é financeira, através de aumento de renda com a venda de um produto alimentar
de uma forma a enganar os clientes e consumidores. Isto pode ser por venda de um material mais
barato como um mais caro (ver o caso 1), ou pode ser que um componente menos caro seja utilizado
para substituir um mais caro (ver casos 2 e 3).
A prevenção de perda pode também ser um incentivo para adulteração (ver casos 4 e 5). A oferta
limitada de um material chave pode incentivar um produtor a improvisar para completar uma ordem de
produção, em vez de declarar ao cliente o prazo de entrega.
A intenção do EMA não é causar doença ou morte, mas isso pode ser o resultado. Este foi o caso em
3
Mais informações estão disponíveis em: http://www.bbc.co.uk/ news / world-africa-38391998 [5].
4
Mais informações estão disponíveis em: https: // www. oliveoiltimes.com/olive-oil-business/italy-arrests-33-
accusedolive-oil-fraud/55364 [6].
5
estudo de caso adicionais podem ser encontradas: https: // www. oliveoiltimes.com/olive-oil-
business/brazil-reveals-widespreadolive-oil-fraud/56395 [7].
6
Mais informações estão disponíveis em: https://www.euroweeklynews.com/3.0.15/news/on-euro-weekly-
news/spainnews-in-english/144405-police-uncover-major- [8].
7
Mais informações disponíveis em http://www.standardmedia.co.ke/article/2000107380/naivasha-hawkers-
using-formalin-to-preserve-milk [9].
12
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
2008, quando melamina foi usada como uma fonte de nitrogênio de forma fraudulenta para aumentar
o teor de proteína de leite, resultando em mais de 50.000 bebés hospitalizados e seis mortes depois
de terem consumido fórmula infantil contaminada. 8
O fator comum em muitos casos de AEM é que o adulterante não é um perigo para a segurança dos
alimentos, nem são facilmente identificados, pois isso iria contra o objetivo do atacante. Os
adulterantes comuns9 incluem água e açúcar; ingredientes que podem ser adequadamente
utilizados e declarados, mas seu uso indevido é fraude alimentar.
AEM é provável que seja mais eficaz para um atacante, e, por conseguinte, apresentar uma maior
ameaça para um setor alimentar, no começo da cadeia alimentar (ver Figura 1) perto da fabricação
de ingredientes primários. Uma adulteração bem sucedida (do ponto de vista do intruso)
continuará sem detecção. AEM pode precisar de um agente interno, pois a fraude poderia ser
revelada por uma verificação, por exemplo, uma auditoria financeira poderia revelar:
• compras que não podem ser explicadas por receitas, tais como corantes que não são utilizados
na fabricação de especiarias; ou
• diferenças entre as quantidades vendidas e quantidades adquiridas, tais como carne picada
vendidas e carne bovina comprada, com carne de cavalo para compensar a diferença.
Contaminação Maliciosa
Caso 6
Em 2005, uma grande padaria britânica informou que vários clientes tinham encontrado fragmentos de
vidro e agulhas de costura no interior de embalagens de pães. 10
Case 7
Em 1984, a seita Rajneeshee em Oregon tentou afetar o resultado de uma eleição local por meio da
contaminação de alimentos em dez diferentes saladas, resultando em 751 pessoas afetadas por
contaminação de salmonela.11
Case 8
Em 2013, um importante fornecedor de refrigerantes foi forçado a retirar produto de um mercado chave
quando uma garrafa teve seu conteúdo substituído por ácido mineral. Os agressores incluíram uma
nota indicando que mais unidades seriam distribuídas ao público se a empresa não cumprisse com suas
exigências.
Case 9
Em 2007, uma padaria encontrou uma grande quantidade de amendoim na produção. O produto foi
recolhido e a padaria fechada por uma semana, para uma longa e profunda limpeza para restabelecer
seu status de livre de castanhas.
A motivação para a contaminação maliciosa pode causar doenças / mortes localizadas (ver caso
6) ou generalizadas (ver caso 7).
No caso 7, o agressor não queria que a contaminação fosse detectada antes do alimento ser
consumido, portanto, o contaminante tinha de ser uma toxina eficaz com pouco efeito sobre o
sabor do alimento.
A motivação no caso 8 era a publicidade. A opinião pública teria sido contra os atacantes, se o
8
Mais informações podem ser verificadas nas publicações da OMS e FAO, Toxicological aspects of melamine
and cyanuric acid http://www.who.int/foodsafety/publications/melamine-cyanuric-acid/en/ [10].
9
Mais informações estão disponíveis em: https://www.euroweeklynews.com/3.0.15/news/on-euro-weekly-
news/spainnews-in-english/144405-police-uncover-major- [8].
10
Para mais detalhes nesse caso de contaminação intencional, veja o arquivo da Food Standards Agency:
http://webarchive. nationalarchives.gov.uk/20120206100416/http://food.gov.uk/
news/newsarchive/2006/dec/kingsmill [12].
11
Para mais informação veja a publicação da Associação Médica Americana, A Large Community Outbreak of
Salmonellosis Caused by Intentional Contamination of Restaurant Salad Bars [13].
13
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
dano tivesse sido causado aos consumidores, mas o fornecedor não podia correr esse risco.
Os materiais que podem ser usados por um agressor para ganhar publicidade, ou para extorquir
dinheiro, são mais facilmente encontrados que os necessários para causar danos generalizados.
O caso de alergênicos (ver caso 9) apresenta como um dano, impacto e custos podem ser causados
a um negócio com pouco risco para o agressor.
Extorsão
Caso 10
Em 1990, um ex-policial foi condenado por extorsão após contaminar alimento infantil com vidro
e exigir dinheiro de uma empresa multinacional. 12
Caso 11
Em 2008, um homem foi preso na Grã-Bretanha após ser condenado por ameaçar explodir um
importante supermercado e contaminar seus produtos.13
A motivação para a extorsão por parte de um indivíduo ou grupo é financeira, para obter dinheiro
da organização vítima. Tal atividade é atraente para a mente criminosa quando o produto é
sensível, como alimentos para bebês (ver caixa 10), ou quando uma empresa é vista como
próspera (ver caso 11).
Um pequeno número de amostras pode ser utilizado para demonstrar à empresa que o agressor
tem a capacidade de agredir, e é o suficiente para causar preocupação pública e interesse da
mídia.
Espionagem
Caso 12
Uma consultoria de negócios usa o roubo de propriedade intelectual de um fictício lançamento
de snack, como um exemplo de espionagem comercial. 14
Caso 13
Em julho de 2014, a Reuters relatou que uma mulher foi acusada nos EUA pela tentativa de roubar
uma patente americana de tecnologia de semente como parte de uma conspiração para
contrabandear variedades especificas de milho para uso na China.15
12
Para mais detalhes nesse caso de contaminação de alimentos veja a publicação da Q Food:
http://www.qfood.eu/2014/03/1989-glassin-baby-food/ [14].
13
Para mais detalhes desse caso de extorsão, veja o artigo do The Guardian:
http://www.theguardian.com/uk/2008/jan/28/ukcrime [15].
14
Mais informação sobre esse caso fictício do Murray Associates podem ser encontradas em:
https://counterespionage. worldsecuresystems.com/tscm-the-missing-business-school-course.html [16].
15
Para mais informações, vá em: http://www.grainews.ca/daily/ chinese-woman-arrested-in-plot-to-steal-u-s-
corn-technology [17]
14
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Falsificação
Caso 14
Em 2013, agentes apreenderam 9000 garrafas de Vodka Glen´s falsas de uma fábrica ilegal.16
Caso 15
Em 2011, 340 garrafas de uma famosa marca australiana de vinho foram apreendidas, após
reclamações, sobre baixa qualidade para a empresa, as quais não tinham ligação com a
Austrália.17
A motivação para a falsificação é o ganho financeiro, através de fraude, produtos inferiores por
marcas conceituadas. Tanto o crime comum quanto o organizado podem causar perdas
financeiras às empresas e dano a sua reputação. O primeiro, por exemplo, pode usar tecnologias
de impressão sofisticadas para produzir rótulos do produto que são indistinguíveis dos originais.
Este último pode roubar pacotes originais ou mesmo encher recipientes unitários e utilizar para
revenda.
Organizações criminosas podem tentar imitar o conteúdo de alimentos de forma muito próxima
ao original para atrasar a detecção e a investigação. Pequenos criminosos podem ser tentados por
um “ganho rápido” e ser menos preocupados com a segurança dos alimentos.
Crime cibernético
Caso 16
Em 2014, a Ação de Fraude Financeira do Reino Unido, advertiu gestores de restaurante para
estarem atentos a tentativa de fraudadores de atingir seus clientes em um novo golpe por telefone.
Eles alegavam que existia um problema com o sistema de pagamento de cartão deles, e que o
restaurante então iria direcionar os pagamentos de cartão para um número de telefone fornecido
pelos fraudadores.18
Caso 17
Em 2016, relatórios sugeriram que criminosos tinham invadido contas de aplicativo de pedir
comida em busca de cartões das vítimas.20
Case 18
Em 2015, com sede em Michigan, a empresa Biggby Coffee relatou uma violação no banco de
dados com possível roubo de informações de clientes derivada de aplicações de cartões de
16
Para mais informações nesse exemplo de falsificação veja:
17
Para mais informações desse caso de falsificação, veja: http://www.news.com.au/finance/offshore-raids-
turn-up-fakeaussie-jacobs-creek-wines/story-e6frfm1i-1226029399148 [19]
18
Para mais informações dessa fraude nesse restaurante, acesse
https://www.financialfraudaction.org.uk/news/2014/08/13/ scam-alert-restaurants-and-diners-targeted-in-
new-scam/ [20]
19
ONS Dataset: Crime na Inglaterra e País de Gales: mesas experimentais: Tabela E1: Fraude e mau uso do
computador pela perda (de dinheiro ou bens) - número e taxa de incidentes e número e percentagem de
vítimas https://www.ons.gov. uk / peoplepopulationandcommunity / crimeandjustice / conjuntos de dados /
crimeinenglandandwalesexperimentaltables [21].
20
Para mais informações consulte: https://business-repórter.co.uk/2016/11/23/cyber-criminals-use-hacked-
deliverooaccounts-order-food-victims-cards/ [22].
15
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
fidelidade.21
Caso 19
Em 2016 o Departamento de Agricultura e o FBI alertaram os agricultores a sua crescente
vulnerabilidade ao ataque cibernético através da sua utilização da tecnologia de agricultura de
precisão.22
Tal ataque poderia ser cyber ataque de espionagem industrial ou pirataria - obter acesso não
autorizado a sistemas de computador, talvez com intenção maliciosa.
Caso 20
Em 2016 um grande supermercado descobriu que escalas em seus checkouts de autoatendimento
haviam sido corrompidos para permitir ataques distribuídos de negação de serviço (DDOS –
Distributed Denial Of Service - em inglês) em sites públicos.
DDOS podem ser um verdadeiro incômodo para empresas e levar a perdas reais quando o site da
empresa é uma plataforma de negociação importante. A 'Internet das coisas' (IoT – Internet of
Things – em inglês) torna-se cada vez mais importante; o Relatório de Ameaças Joint NCSC / NCA23
expõe a vulnerabilidade dos dispositivos (aparentemente inócuos) conectados à Internet e seu
mau uso por criminosos.
O roubo de identidade é talvez o mais familiar ao público, mas as organizações, que podem estar
cientes de sua identidade, podem ser roubadas para permitir fraude de compras, em que os bens
são ordenados em seu nome, mas desviado para instalações de fraudadores enganando o
fornecedor e deixando os custos para o suposto comprador.
21
Para mais informações: http://www.canadianbusiness. com/business-news/michigan-based-biggby-coffee-
reports-database-breach-possible-theft-of-customer-information [23].
22
Private Industry Notification PIN 160331-001 Smart Farming May increase Cyber Targeting Against US
Food and Agriculture Sector see https://info.publicintelligence.net/FBI-SmartFarmHacking.pdf [24].
23
The Cyber Threat to UK Business at https://www.ncsc.gov.uk/news/ncsc-and-nca-threat-report-provides-
depth-analysis-evolving-threat [25].
16
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
4 Entendendo o agressor
Generalidades
O sucesso de um ataque deliberado em alimentos ou na sua cadeia de alimentos depende de várias
coisas:
a) O agressor tem a motivação e dirige para ultrapassar as barreiras óbvias, e menos óbvias, para
suas ações? Se as barreiras parecerem enormes e o sucesso parece improvável, muitos
prováveis agressores procurariam um alvo mais fácil.
b) O agressor tem a capacidade de realizar o ataque? Um grupo tem maior probabilidade de
encontrar recursos e aprender as habilidades necessárias.
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
c) O agressor terá a oportunidade de realizar o ataque? Um ataque físico requer acesso físico ao
alvo, mas um cyber-ataque só precisa ter acesso a um computador.
d) O agressor seria desestimulado pela chance de detecção e / ou eventuais penalidades
potenciais?
O extorsionista
O extorsionista quer obter ganho financeiro com um ataque, mas não quer ser pego, e concentra-se
em evitar a detecção. Seu alvo é provavelmente uma empresa de alto nível com muito a perder com a
publicidade negativa. Eles podem trabalhar sozinhos e serem engenhosos, secretos e auto interessados.
Ataques cibernéticos em todo o mundo usando 'ransomware' têm demonstrado a facilidade com que
extorsionários podem atacar múltiplas vítimas e quão difícil é para trazê-los à justiça24. Alguns
indivíduos podem alegar ser capazes de agir contra uma empresa embora falte a capacidade de realizá-
lo; a empresa pode julgar o pedido como não procedente, mas ainda decidir responder adequadamente.
O oportunista
O oportunista pode deter uma posição influente dentro uma operação e ser capaz de evitar controles
internos. Eles podem ter algum conhecimento técnico, mas seu principal trunfo é o acesso. Eles são
susceptíveis de serem desencorajados pela chance de detecção. Assim visitas não anunciadas de
clientes ou auditores ou amostragens analíticas especificamente desenhadas podem deter suas ações.
O fornecedor que não pode se arriscar a não entregar o produto de um cliente pode se arriscar a praticar
uma adulteração que não seja detectada. O sucesso de uma ocasião pode facilitar a tentativa de uma
repetição.
Este oportunista pode convencer-se de que a adulteração é legítima, por exemplo, o frango em uma
linguiça de porco, ainda seria carne.
O extremista
O extremista assume a sua causa ou campanha tão seriamente, que ele distorce seu contexto e ignora
questões mais amplas. A dedicação à sua causa pode não ter limites e a sua determinação em avançar
pode ser grande.
Extremistas podem querer causar danos e é provável que desfrutem da publicidade após o evento.
Podem não se importar e pode ser um benefício se eles mesmos forem prejudicados. O risco de fracasso
é um impedimento, mas o risco de captura após o evento não é. Eles são tipicamente engenhosos e
inovadores na concepção de formas de atacar.
Alguns únicos grupos temáticos podem querer afetar os negócios operações e reputação, mas temem
que o dano em massa para o público prejudique a sua causa e levá-los a perder o apoio.
24
Para mais informações veja o The Cyber Threat to UK Business, pg 7 available from:
https://www.ncsc.gov.uk/news/ncsc-and-nca-threat-report-provides-depth-analysis-evolving-threat [25]
17
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
O indivíduo irracional
Algumas pessoas não têm nenhum motivo racional para suas ações. As suas prioridades e
preocupações tornaram-se tão distorcidas que eles são incapazes de ter uma visão equilibrada do
mundo. Alguns podem ter diagnóstico clínico de problemas de saúde mental.
Este indivíduo pode ser facilmente dissuadido por passos simples que os impedem de obter acesso ao
seu alvo ou tornar fácil a detecção.
O indivíduo descontente
O indivíduo descontente acredita que uma organização tem sido injusta para com ele e procura
vingança. Por exemplo, eles podem ser um funcionário ofendido ou ex-funcionário, um fornecedor ou
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
É mais provável que este agressor seja um indivíduo e não parte de um grupo. Se for interno, pode ser
perigoso, sendo mais propenso a querer causar constrangimento e perda financeira do que mal para o
público. Se não for interno, é mais provável que essa pessoa reivindique algo ou se vanglorie de ter
feito algo do que realmente seja capaz de fazer.
O criminoso profissional
O crime organizado pode enxergar a fraude alimentar como um crime relativamente simples, com
grandes ganhos em perspectiva, pouca chance de apreensão e penalidades modestas se for
condenado. O comércio global de
alimentos, no qual os alimentos
transitam, muitas vezes sem serem
percebidos nas fronteiras e áreas de
fiscalização de fronteiras parecem
encorajar o criminoso profissional. O
anonimato da internet e a
oportunidade de invasão remota em
sistemas eletrônicos faz o cibercrime
cada vez mais atraente para os
criminosos profissionais.
25
NCSC and NCA The Cyber Threat to UK Business está disponível em: https://www.ncsc.gov.uk/news/ncsc-
and-nca-threat-report-provides-depth-analysis-evolving-threat [2]
18
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Profissionais da área de alimentos querem minimizar as chances de perda da vida, problema de saúde,
perda financeira e danos reputação do negócio que um ataque poderia causar.
O processo TACCP
Na maioria dos casos, o TACCP deve ser uma atividade em
equipe, pois essa é a melhor maneira de juntar habilidades,
especialmente habilidades de gerenciamento de pessoas. Para
muitas pequenas empresas, a abordagem de equipe não é viável
e o trabalho pode ser conduzido por uma pessoa. A equipe
TACCP pode e deve modificar o processo TACCP para melhor
atender às suas necessidades e adaptá-lo a outras ameaças como
necessário para lidar com quatro questões:
a) Quem pode querer nos atacar?
b) Como eles podem fazer isso?
c) Em que ponto estamos vulneráveis?
19
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
d) Como podemos impedi-los?
NOTA 1 Uma abordagem de risco alternativa é CARVER + Choque, que é descrita no Anexo C.
NOTA 2 A Figura 2 pretende ser apenas uma ilustração indicativa.
Uma equipe TACCP permanente deve ser formada, incluindo pessoas com as seguintes competências:
• segurança;
• recursos humanos;
• tecnologia de alimentos;
• engenharia de processos;
• produção e operações;
• compras e suprimentos;
• distribuição e logística;
• tecnologia da informação;
• comunicações; e
• comercial / marketing.
Uma vez que que o processo de desenvolvimento TACCP pode cobrir conteúdo sensível e que poderia
20
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
ser útil para um agressor em potencial, todos os membros da equipe não devem ser apenas
conhecedores dos processos reais, mas também confiáveis, discretos e ciente das implicações do
processo.
NOTA 4 Por exemplo, um produto apropriado seria típico de uma linha de produção específica e talvez
o mais vulnerável;
NOTA 5 Modelo de adulterantes incluem ingredientes de baixo custo, alternativos aos componentes
mais caros; modelos de contaminantes podem incluir agentes altamente tóxicos, químicos industriais
tóxicos, materiais nocivos prontamente disponíveis e substâncias impróprias como alérgenos ou
gêneros alimentícios etnicamente impróprios.
NOTA 6 Por exemplo, a limpeza pode remover o contaminante, o tratamento térmico pode destrui-la,
e outros componentes alimentares podem neutralizá-lo.
9. selecionar os pontos no processo em que a ameaça teria mais efeito e onde eles poderiam ser
mais bem detectados;
10. avaliar a probabilidade de procedimentos de controle de rotina detectarem uma ameaça;
NOTA 7 Por exemplo, a análise laboratorial de rotina poderia detectar água com adição de gorduras e
óleos incomuns; uma gestão eficaz de compras contestaria ordens de compra incomuns.
11. Pontuar a probabilidade da ameaça acontecendo, pontuar o impacto que isso teria e mapear
os resultados para mostrar a prioridade que deve ser dada (ver 6.3), e rever se esta avaliação
de risco parece coerente;
NOTA 8 Uma linha de raciocínio não usual pode ser necessária. A equipe TACCP pode perguntar: "Se
nós estivéssemos tentando prejudicar o nosso negócio, qual seria a melhor maneira? Pode se considerar
como um agressor selecionaria materiais de ataque:
• disponibilidade;
• custo;
• toxicidade;
• forma física; e / ou
• segurança na utilização, por exemplo, pesticidas em fazendas e aromas corrosivos que estão dentro
das fábricas podem ser contaminantes convenientes.
21
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
12. onde a prioridade for alta, identificar quem tem acesso não supervisionado para o produto ou
processo, se estas pessoas são confiáveis e se essa confiança pode ser justificada;
13. identificar, registrar de forma confidencial, acordar e implementar ações preventivas (controles
críticos). A equipe TACCP deve ter uma comunicação confidencial e procedimento de registro
que permita a ação de gerenciamento de decisões, mas não exponha as fraquezas para os que
não têm a necessidade de saber (ver estudos de caso em anexo A);
14. determinar a revisão e procedimentos para revisar a avaliação TACCP; e
NOTA 9 A revisão da avaliação de TACCP, deve ocorrer depois de qualquer situação de alerta ou
anualmente, e em pontos onde surgem novas ameaças ou quando há mudanças nas boas práticas.
15. Manter uma rotina de acompanhamento de publicações de fontes oficiais e da indústria, que
fornecem um aviso antecipado de mudanças que podem se tornar novas ameaças ou mudança
na prioridade das ameaças existentes, incluindo mais questões locais, e como elas se
desenvolvem.
22
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
6 Avaliação
NOTA As listas a seguir não se destinam a ser exaustivas de todos os aspectos que podem ser
levantadas para avaliar uma ameaça.
Avaliando ameaças
O produto, as instalações, a organização e seus sistemas de informação podem ser alvo de um ataque
de um leque de grupos e indivíduos (ver cláusula 4), e cada elemento deve ser avaliado separadamente.
A equipe TACCP deve considerar fornecedores sob estresse financeiro, funcionários alienados e ex-
funcionários, grupos temáticos isolados, concorrentes comerciais, organizações de mídia, organizações
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
De forma geral, uma cadeia de suprimentos mais curta, envolvendo menos pessoas pode correr menos
riscos do que uma cadeia de abastecimento mais longa.
A equipe TACCP pode fazer as seguintes perguntas para avaliar uma ameaça.
Para o produto:
• Houve aumento significativo de custos que têm afetado este produto?
• Este produto tem especial significado religioso, ético ou moral para algumas pessoas?
• Poderia este produto ser utilizado como um ingrediente de uma ampla gama de alimentos populares?
• O produto contém ingredientes ou materiais importados?
• Os principais materiais estão cada vez menos disponíveis (por exemplo, por quebra de safra) ou há
alternativas abundantes (por exemplo, de superprodução)?
• Houve aumentos inesperados ou diminuições na demanda?
• Existem disponíveis materiais de baixo custo que poderiam ser substitutos?
• Tem aumento da pressão sobre as margens de negociação dos fornecedores?
Para as instalações:
• As instalações estão situadas em uma área política ou socialmente sensível?
• As instalações têm acesso ou serviços essenciais compartilhados com vizinhos polêmicos?
• Os recém-contratados, especialmente terceiros e pessoal sazonal, são apropriadamente selecionados?
• Os serviços para as instalações são protegidos de forma adequada?
• As utilidades externas são protegidas de forma adequada?
• Os materiais perigosos, que poderiam ser valiosos para grupos hostis, são armazenados nas
instalações?
• O número de pessoas (incluindo o público em geral) usando o local é grande?
• Algum empregado tem motivos para se sentir insatisfeito ou mostrar sinais de insatisfação?
• Os mecanismos de auditoria interna garantem independência?
• As funções-chave são ocupadas por pessoas há muitos anos com pouca supervisão?
Para a organização:
• Estamos sob influência estrangeira de nações envolvidas em conflito internacional?
• Temos uma celebridade como alto executivo ou proprietário?
• Temos uma reputação de ter vínculos significativos com clientes, fornecedores etc., com regiões
instáveis do mundo?
• Nossas são marcas consideradas controversas por alguns?
• Será que nós ou nossos clientes abastecem clientes de alto nível ou eventos?
• A organização é envolvida com o comércio controverso?
• As empresas concorrentes já foram acusadas de espionagem ou sabotagem?
23
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
As considerações sobre as respostas para estas perguntas podem dar uma compreensão do impacto
de um ataque bem sucedido e da probabilidade da sua realização. Ele informa um julgamento sobre o
nível proporcional de proteção requerido.
Identificando vulnerabilidades
NOTA Nesta seção AEM e contaminação maliciosa e ciber ataque são utilizadas como exemplos de
abordagens para a avaliação de vulnerabilidade
6.2.1 Generalidades
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
NOTA: Mais orientações sobre as fontes de informação e inteligência sobre a probabilidade de fraude
alimentar são fornecidas no anexo B.
A equipe TACCP precisa estar confiante de que a sua própria operação e de seus fornecedores estão
em mãos confiáveis. Isto pode ser conseguido usando conselhos sobre segurança pessoal.26
26
Mais informações sobre segurança pessoal podem ser encontradas no site do CPNI:
http://www.cpni.gov.uk/advice/Personnelsecurity1/
24
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
6.3.2 Ataque cibernético
As perguntas que a equipe TACCP pode fazer incluem:
• O Conselho aprovou o NCSC de 10 Passos para a segurança cibernética e estabeleceu procedimentos
adequados? (Ver Anexo D)
• Os projetos de TI são sujeitos a uma avaliação do risco de invasão eletrônica?
• Os colaboradores estão atentos a denunciar comunicações eletrônicas suspeitas (por exemplo, e-
mails, SMS)?
•O material altamente sensível é elaborado em separado, com sistemas de computador exclusivo?
• As senhas são usadas de forma segura e em conformidade com a orientação NCSC 27?
• Existem políticas eficazes relacionadas com o tratamento de contas eletrônicas quando um membro
da equipe é contratado, se move ou deixa o emprego?
• As ligações Wi-Fi são sem criptografia ou acessíveis por usuários externos?
• Os sistemas operacionais de produção são interligados com os sistemas de tecnologia da informação?
• Os processos internet são seguros? Por exemplo, é possível alterar parâmetros sem a devida
autorização? Poderia registros dispostos em nuvem serem corrompidos?
• Procedimentos de backup de dados são eficazes?
•Os operadores são notificados e cientes das mudanças na produção ou outra configuração
operacional, por exemplo, formulações de produtos?
•Os sistemas de produção podem ser acessados remotamente?
• Os sistemas de operações essenciais são segregados da rede corporativa da empresa e da internet?
• Os dados (de e-mail, internet ou mídia removível) de fontes externas são verificados em busca de
malware antes de serem importados?
•Os acessos remotos aos sistemas da empresa exigem autenticação multifatorial e possuem acesso
limitado?
•Os sistemas informatizados essenciais são testados e tem backups off-line?
•Há planos de TI e de sistemas de produção eficazes para a continuidade de negócios e recuperação
de desastres?
Avaliação de risco
As organizações precisam entender as ameaças que elas enfrentam, mas devem concentrar a atenção
sobre as prioritárias. Para cada ameaça identificada a equipe TACCP deve considerar e atribuir uma
pontuação para a probabilidade de cada ameaça acontecer e seu impacto (ver Tabela 1).
27
O guia do NCSC está disponível em: https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-
your-approach
25
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
mídia dessas consequências importantes.
O impacto pode ser avaliado em termos financeiros ou em termos de experiência do pessoal necessário
para lidar com isso.
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
A pontuação de risco apresentado por cada ameaça pode ser mostrada em um gráfico simples. Uma
matriz exemplo de pontuação de risco é apresentada na Figura 3.
5 Ameaça A
4 Ameaça C
Impacto
3 Ameaça B
2 Ameaça E
1 Ameaça D
1 2 3 4 5
Probabilidade
NOTA Esta matriz de pontuação de riscos é um exemplo, as organizações podem escolher diferentes critérios para
as diferentes categorias de risco.
Registrando o TACCP
Quatro estudos de caso fictícios que mostram como o processo TACCP pode ser aplicado e adaptado
para melhor atender as necessidades de uma empresa individual são indicados no anexo A.
Eles são apresentados como registros formais da investigação TACCP e podem ser utilizados para
demonstrar que o negócio tenha tomado todas as precauções razoáveis no caso de serem vítimas de
um ataque.
26
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
7 Controles críticos
NOTA As tabelas 2, 3 e 4 não pretendem ser exaustivas a todos os controles que podem ser considerados
relevantes ou proporcionais para reduzir o risco.
Acesso controlado
Se um agressor em potencial não tem acesso ao seu alvo, então o ataque não irá ocorrer. Não é possível
ou desejável que medidas sejam destinadas a evitar todo tipo o acesso, mas medidas físicas podem
limitar o acesso de determinados indivíduos daqueles com uma necessidade legítima. Algumas
abordagens para redução de risco que a equipe TACCP pode identificar são proporcionais e relevantes
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
9 Entregas programadas
27
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Acesso aos sistemas eletrônicos Relevante?
Proporcional?
17 Somente agendada
22 Segurança de correios
Detecção de violação
Muitas matérias-primas, produtos armazenados e a maioria dos veículos de distribuição e todos os
alimentos embalados podem ser invioláveis. Caso um agressor obtenha acesso, uma violação percebida
dá alguma chance que o ataque possa ser detectado a tempo para evitar o impacto.
Algumas abordagens para se perceber a adulteração podem ser abordadas pela equipe TACCP, sendo
estas proporcionais e relevantes à atividade do negócio conforme Tabela 3.
28
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Algumas abordagens para assegurar segurança pessoal que a equipe TACCP pode identificar como
sendo proporcionais e relevantes para seus negócios estão listados na Tabela 4.
1 Comprovação de Identidade
2 Comprovação de qualificações
3 Verificação de terceiros
29
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
6 Há mecanismos de denúncia
28
Informações adicionais sobre cultura de segurança disponíveis em: CPNI em
https://www.cpni.gov.uk/developing-security-culture [31].
30
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
8 Resposta a um incidente
A proteção dos alimentos pode estar dentro de um sistema de gerenciamento de crises dos negócios
(ver BS 11200), e é provável que compartilhe de seus objetivos gerais:
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
Quando a contaminação é implícita, quarentena e talvez o recolhimento e recall do produto podem ser
necessários
Nos casos envolvendo ação penal, agentes da polícia devem ser envolvidos com a maior brevidade
possível, para evitar qualquer perda de provas.
NOTA Alguns exemplos de contatos da polícia são a Agência Nacional do Crime e da unidade
antissequestro e extorsão; outros também são fornecidos no Anexo B.
Geralmente o melhor momento para gerenciar uma crise não é na crise, então planejamento, recursos
avançados e procedimentos, são essenciais.
Reflexões sobre resposta a incidentes cibernéticos estão disponíveis a partir CREST (Conselho de
Testadores de Segurança éticos registrados) [32]. O apoio pode também estar disponível a partir da
adesão ao CISP (Cyber Security Information Sharing Partnership) - Parceria para Compartilhamento de
Informações de Segurança Cibernética [33].
31
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Quaisquer alterações que possam afetar a avaliação TACCP, tais como violações e suspeitas de violação
da segurança ou autenticidade, devem ser imediatamente comunicadas ao líder da equipe TACCP quem
decide se é necessária uma revisão completa.
A equipe TACCP deve monitorizar os sítios Web oficiais para obter actualizações nas avaliações de
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
ameaças nacionais e para obter informações sobre riscos emergentes (ver Anexo B). A situação local
pode ser revisada frequentemente e brevemente contra alterações das condições relativas às
instalações.
32
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
NOTA Estes estudos de caso são inteiramente fictícios e qualquer semelhança com organizações reais
é mera coincidência.
A.1 Geral
Este anexo apresenta quatro estudos de caso para ilustrar como o processo TACCP pode ser adaptado,
operado e reportado por diferentes organizações para refletir a sua situação empresarial. São escritos
como registos formais do exercício de avaliação de risco e não tem qualquer contexto empresarial de
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
fundo.
33
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Empresa: BURGERS4U
Localização: Todos os pontos de venda de varejo de rua
Produto: Hambúrgueres para viagem padrão
Equipe TACCP: Diretor de Operações (Presidente)
Gerente de Recursos Humanos
Gerente de Compras
Gerente Técnico
Chefe de Auditoria Interna
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
E Apoiadores de empresas locais Publicidade adversa; 'Culpa por Alguns locais relatam altos
associação' com fast food níveis de interesse da
imprensa
F Pessoal da empresa com excesso de Contaminação mesquinha; Falta de funcionários onde há
trabalho, a desmotivação pode levar possível contaminação maliciosa pouca educação pós-18;
a uma aliança com extremistas (por grave e em locais com uma
exemplo, terroristas) reputação extremista
H Funcionários da linha da frente Roubo; conluio com clientes Auditoria rigorosa em vigor;
Gerentes de pontos de venda
dignos de confiança
(verificações de segurança do
pessoal)
No Ameaças ao produto de: Possível método de operação Comentários
34
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
hamburguers dos turnos minimizam
hipóteses de conluio
K Funcionários da linha da frente Vender hambúrguer
demasiado tempo depois de
embalado
L Grupo com motivação ideológica Contaminação maliciosa dos Nível de ameaça
componentes oficial inalterado
NOTA Os relatórios da imprensa sobre preocupações com a autenticidade dos alimentos são pertinentes.
35
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
36
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
© The British Standards Institution 2017
02 Água da rede Contaminação Reservatórios de Engenheiros de Controle de Toxinas solúveis Pode inibir Pode reprovar 1 1
maliciosa armazenamento serviços acesso efetivo fungos; pode nos testes
afetar o sensoriais
manuseamento
da massa
03 Armazenar água; Conforme acima Reservatórios de Como acima Como acima Como acima Como acima Como acima 1 1
ajustar a temperatura armazenamento
por lotes
04 Fonte de farinha + micro Substituição Pequena — — — — — — —
ingredientes fraudulenta vantagem de
custo para o
fraudador
05 Misturar, dividir, provar, Contaminação Operação de Misturadora Pessoal treinado Toxina em pó Pode inibir a Pode reprovar 1 1
assar pães maliciosa mistura por lotes especializada e experiente levedura; pode nos testes
operativa afetar o sensoriais
manuseamento
da massa
06 Resfriar, congelar, — — — — — — — — —
embalar pãezinhos
07 Paletizar — — — — — — — — —
08 Armazenamento em frio — — — — — — — — —
37
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
09 Entrega aBurgers4U — — — — — — — — —
10B Selecionar matadouro / Substitui Má segregação Motoristas de Identificação Carne de fontes Negligenciável Testes 2 3
instalação de corte ção das espécies entrega, animal única mais baratas aleatórios
fraudulen funcionários de registrada podem detectar,
ta processamento a menos que
haja conluio
16 Pesar carne para carne Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima
picada
17 Lotes de massa Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima
picada
38
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
18 Formar hamburguers Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima
19 Congelar hamburguers — — — — — — — — —
20 Embalar em caixas — — — — — — — — —
21 Paletizar — — — — — — — — —
22 Armazenamento em frio — — — — — — — — —
27 Armazenamento amiente — — — — — — — — —
28 Entrega a restaurante — — — — — — — — —
29 Escolher pedidos — — — — — — — — —
30 Entregar a restaurante — — — — — — — — —
31 Armazenamento em frio — — — — — — — — —
39
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
32 Mover a cozinha Substitu Fora de horas; Funcionários Casos Hamburguer Pouco Nenhum 1 3
ição sem de armazém evidentes de espetados
malicios supervisão noturno adulteração
a
33 Preparar hamburguer Subcozi Funcionário Funcionários fabricação — — Nenhum 1 2
mento sozinho do rigorosa
delibera restaurante para Food
do Safety
34 Embrulhar hamburguer — — — — — — — — —
35 Armazenamento quente — — — — — — — — —
36 Receber pedido — — — — — — — — —
40
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
© The British Standards Institution 2017
C:01B Fraude; conluio com fornecedores Selecionar padaria 2 3 Rotação de trabalho <5 anos
Auditoria interna
C:10A Seleccionar matadouro/instalação de 3 5
corte
D:23 Contrafacção; apropriação indevida de Fonte de embalagens 2 4 Aviso formal ao fornecedor; novo fornecedor se
embalagens nenhuma melhoria na segurança após 6 meses
F:32 Contaminação mesquinha; Mover para cozinha 1 3 Parte das caixas utilizados a serem seladas
pelo gerente
Possível contaminação maliciosa grave
H:38 Roubo: conluio com clientes Receber pagamento 4 1 Nenhuma outra ação
I:10B EMA - proteína não animal, ou carne Seleccionar matadouro/instalação de 2 3 Gestão de fornecedores mais rigorosa: auditoria
não bovina, em substituição da carne corte técnica, amostragem regular/testes ad hoc, facilitar
a denúncia de irregularidades
I:11 Fonte de carne 4 3
I:12 Açougue 2 3
41
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
42
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
C:10A
5
D:23
4
Impacto C:01B
F:32
3 I:10B B I:11
L:15
I:12
A
D:39
K:37
2
G
J:33
E H:38
1
1 2 3 4 5
Exclui (1,1) ameaças Probabilidade
A.3 Conclusões
O TACCP identificou e registrou 19 ameaças, das quais 9 estão sob controlo satisfatório.
Sendo uma marca com uma reputação crescente de qualidade e integridade, a ameaça dos bens
contrafeitos aumenta. O fornecedor tradicional de material de embalagem impresso não reconhece isto
e tem procedimentos de segurança física inadequados em vigor. Como parceiro de confiança, o Gerente
de Compras tem a tarefa de solicitar ao fornecedor a remediar a situação ou a encontrar uma alternativa.
Esta ameaça deve ser avaliada como (1,3) ou melhor dentro de 6 meses.
O Gerente Técnico deve controlar as fontes oficiais e industriais de informação e inteligência sobre
riscos emergentes e decidir com o Presidente da equipe TACCP se deve voltar a reunir o grupo antes
da sua reunião de rotina de 6 meses agendada.
43
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Companhia de Queijos. Foi preparado, sozinho na ausência de outros colegas executivos, por:
A. Bridgeshire, o Sócio-Gerente, e resume a sua avaliação individual das ameaças que enfrenta. A
Bridgeshire Companhia de Queijos é uma pequena fazenda familiar fictícia, produtora de queijo
orgânico de propriedade e exploração agrícola que vende ao varejo especializado e à empresas de
serviços alimentares.
A tabela A.4 representa um exemplo de relatório de avaliação de ameaças. A figura A.3 representa um
fluxograma de avaliação de vulnerabilidade.
44
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
© The British Standards Institution 2017
A)
Ameaça A partir de Ameaça Vulnerabilidade Mitigação Consequência Impacto Probabilidade Ação de proteção
No
1 Fornecedores Fornecimento Leite "recarregável"; Todas as mercadorias Perda do estatuto 5 2 Exigir certificado de
não orgânico Bezerros comprados; de fornecedores orgânico conformidade para todas
sémen
B) acreditados as compras ad hoc
2 Vizinhos que reagem Doenças de Direitos de passagem A biossegurança vai ao Perda da cobertura 3 2 Instalar reservatório para
em demasia aos gado através da fazenda encontro das melhores do rebanho e/ou do evitar a descarga de
"incómodos causados generalizadas práticas seguro efluentes quando o vento
por efluentes sopra do SW
3 Funcionários BCC Contaminação Operações manuais, Todo funcionário é Doença localizada 2 1 Nenhuma outra ação
maliciosa sem supervisão membro familiar possível
(processo em grande ou parceiros de
parte autocontrolado) confiança a longo
prazo;
Todos os lotes são
testados para sabor
4 Fazendas adjacentes Ensaios de Terra de pastagem Campanha de Perda do estatuto 4 3 Ação cooperativa com a
culturas GM perimetral organização de orgânico associação comercial
acreditação para pressionar os
funcionários eleitos
5 Criminosos Roubo de Distribuição, veículo Pouco Valor dos bens; 2 3 Substituir por um veículo
oportunistas produto muitas vezes não Perda de reputação mais moderno na
tripulado e de confiança primeira oportunidade
desbloqueado
6 Ciber criminosos Ataque remoto Alteração do sistema O fornecedor está a Produto perigoso 5 1 Manter análise de CQ
ao processo de SCADA 'Off the Peg' assegurar de novo do sub- separada
produção para reduzir o processamento Siga o conselho do NCSC
controlado pela tempo/temperatura de
nuvem pasteurização
A) Ver Figura A.3 para a avaliação do processo de vulnerabilidade total.
B) Outros bens são rotineiramente obtidos de empresas acreditadas de longa data.
45
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
46
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
A FryByNite tem como objetivo entregar alimentos quentes recém preparados às portas dos
clientes dentro de 30 minutos após receber um pedido pela web ou por telefone. O carro-chefe é
peixe e batatas fritas, com cada veículo de entrega carregando fritadeiras programáveis de fritura
por imersão em gordura. O produto cru é encomendado pela Internet a partir de uma rede de lojas
de fast food contratadas. Estes preparam os alimentos e os carregam nos cestos de fritura
utilizados pelo veículo de entrega. Um sistema de posicionamento global (GPS) estima o tempo
até as instalações do cliente e inicia o processo de fritura. Quando prontas, as cestas de fritura
retiram-se automaticamente e os alimentos são embalados e mantidos quentes para que o cliente
receba os alimentos quentes recém preparados em melhores condições do que se eles próprios
tivessem visitado a loja. (Ver Figura A.4)
Exemplo de produto: Peixe frito e batatas fritas para entrega a domicílio (como típico do menu)
Início: A. Receber
pedidos no site ou
por telefone
J. Drenar fritadeiras e
substituir o óleo Fim
semanalmente
47
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Ameaças ao produto:
48
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Passo Ameaça Ameaça No. Vulnerabilidade Mitigação Adulterante/ Comentário Probabilidade Impacto
Contaminante
49
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
50
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
4 A1
Probabilid
ade
3 H1 C3 F1
2 A2 G2 H2
B1 C1
1 J1 H3 C2 J2
D1 G1
1 2 3 4 5
Impacto
36
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Tabela A.7 – Registro de ameaças
37
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Comentários
Como um novo desenvolvimento, a equipe TACCP planeja reunir-se mensalmente para rever
os desenvolvimentos.
1. No total, a equipe identificou 15 ameaças, das quais sete requerem uma ação de proteção
substantiva.
2. O controle remoto da operação de fritura cria a oportunidade para novas ameaças (F1)
que receberiam atenção de categoria superior e prioridade organizacional.
3. Precauções, por exemplo treinamento apropriado, desde o lançamento da iniciativa
mantiveram a probabilidade de ataque ao pessoal baixa, mas são necessárias ações adicionais.
4. Os gerentes seniores da matriz continuam sua política de evitar uma imagem pública de alto
perfil, o que ajuda a reduzir a chance de a FbN ser um alvo.
38
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
O negócio é administrado diariamente pelas netas do fundador da fazenda, o pai do F. Armer, que
nomeou a empresa e continua sendo seu presidente. Ela emprega uma pequena equipe para administrar
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
A empresa empreendeu agora uma mudança maciça para a automação e controle remoto tanto de
operações agrícolas como de embalagem. Ela está comprometida com o uso de veículos aéreos não
tripulados (UAV) de vigilância das culturas para melhor administrar a irrigação, aplicação de pesticidas,
fertilizantes e outros tratamentos e colheita. Ela pretende integrar totalmente o resfriamento, limpeza,
corte e embalagem dos produtos. O objetivo é reduzir significativamente ainda mais o tempo desde o
campo até a expedição.
Como parte desta iniciativa e à medida que ela se desenvolve, os Diretores contrataram um
especialista em segurança da informação para conduzir um exercício TACCP relacionado
especificamente aos novos sistemas de informação. O gerenciamento de risco do negócio
convencional está bem estabelecido. A intenção é que eles tenham controles proporcionais em
vigor.
Tabela A.8 – Possíveis fontes de atividades maliciosas afetando F. Armer & Daughters Ltd
Extorsores Contratados
38
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution PAS 96:2017
TN1 Pedidos Falha de linhas A operação pode ser lenta, Acordos pessoais 2 3
eletrônicos de telefônicas mas não falhou em 5 anos sólidos com os
clientes (clima, acidente, compradores, para
sabotagem, que a ligação móvel
incompetência) seja um expediente
TN2 Pedidos Corrupção de Intervenção por partes Grandes variações dos 2 2
eletrônicos de dados durante a não autorizadas volumes planejados
clientes transferência solicitarão
confirmação
TN3 Levantamento Mal Interrupção da operação Invólucro seguro e A entrada manual 4 4
de pedidos de funcionamento de limpeza / embalagem inviolável para o atrasará a
processament da levando a grandes equipamento operação de
o para transferência desperdícios, escassez de embalagem em
embalagem de dados produtos e tempo de um grau
inatividade inaceitável
TN4 Levantamento de Corrupção de Principais penalidades de Transportadoras 2 3
documentos de dados custo de remessas contratadas não
carga e entrega de rejeitadas devem notar
veículos discrepâncias
TN5 Monitoramento de Câmeras e O controle remoto do Atualizações rotineiras Tanto os danos 3 2
safras por UAV sensores não dispositivo pode ser de software instaladas causados quanto o
conseguem assumido por agentes mal- roubo do dispositivo
detectar intencionados podem ser incentivos
problemas para negligência
emergentes
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution PAS 96:2017
TN3
4
Probabilid
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
aed
TN5 TN4 F1
3
TN6 TN1 A2 G2 H2
2
TN2 TN7
1
1 2 3 4 5
Impacto
Comentário
1. A empresa adotou a "fabricação totalmente integrada" como seu caminho para a eficiência e
atendimento ao cliente, mas ainda não está plenamente consciente das vulnerabilidades que estão
implícitas. A consultoria especializada em segurança da informação foi contratada para completar a
avaliação das ameaças e recomendar controles proporcionais.
2. Na medida do possível, os sistemas duplicados devem ser operados até a conclusão da avaliação.
3. O apoio e aconselhamento do ncsc.gov.uk é usado para aumentar a conscientização entre os
contratantes-chave e o pessoal de confiança.
4. Revisão a ser realizada em um mês.
Anexo B (informativo)
Fontes de informação e inteligência sobre riscos
emergentes para o abastecimento de alimentos
B.1 Geral
A Organização Mundial da Saúde (por meio do INFOSAN) e a Organização para a Alimentação e
Agricultura (por meio da EMPRES e da GIEWS) das Nações Unidas coordenam esforços globais para
identificar novos riscos e implementar medidas de controle para minimizar seu impacto.
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
Eles disseminam informações para organizações nacionais de alimentos, como a Food Standards
Agency do Reino Unido. Essas organizações nacionais de alimentos podem disponibilizá-lo para
empresas de alimentos, normalmente por meio de associações comerciais, mas na verdade é um
processo de mão dupla.
NOTA Os serviços de assinatura que fornecem informações úteis também incluem:
• HorizonScan, que monitora problemas globais de integridade alimentar,
consulte: https://horizon-scan.fera.co.uk/;
• Banco de Dados de Fraudes em Alimentos da Convenção Farmacopeia dos EUA,
consulte: https://www.foodfraud.org/;
• US-CERT - Equipe de prontidão de computadores dos Estados Unidos, consulte
https://www.us-cert.gov/.Food Fraud Database from the US Pharmacopeial
Convention, see: https://www.foodfraud.org/;
Anexo C (informativo)
Na verdade, eles usam a ferramenta de seleção de alvos militar para julgar os pontos fracos,
avaliando seus:
Criticidade
Accessibilidade
Reconhecibilidade
Vulnerabilidade
Efeito
Recuperabilidade
Mais informações sobre CARVER + Shock estão disponíveis no Carver + Shock Primer [38].
Anexo D (informativo)
10 Passos para a segurança cibernética: uma
responsabilidade no nível do conselho29)
NOTA Este anexo foi desenvolvido com base no material fornecido pelo National Cyber Security
Center (NCSC).
29
Para obter mais informações sobre segurança cibernética, consulte:
https://www.ncsc.gov.uk/guidance/10-steps-board-level-responsibility [42].
Bibliografia
Publicações de padrões
Para referências datadas, apenas a edição citada se aplica. Para referências não datadas, a
última edição do documento referenciado (incluindo quaisquer emendas) se aplica.
Avaliação de riscos
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PD ISO/TR 31004, Risk management – Guidance for the implementation of ISO 31000
Gerenciamento de crises
BS 11200, Crisis management – Guidance and good practice
BS ISO 28002, Security management systems for the supply chain - Development of
resilience in the supplychain - Requirements with guidance for use
PD CEN/TR 16412, Supply chain security (SCS) - Good practice guide for small and
medium sized operators
Outros padrões
BS 10501, Guide to implementing procurement fraud controls
BS EN ISO 22000, Food safety management systems – Requirements for any organization
in the food chain
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
[5] BBC. ‘Plastic rice’ seized in Nigeria. BBC, 2016. Available from:
http://www.bbc.co.uk/news/world-africa-38391998 [viewed July 2017].
[6] OLIVE OIL TIMES. Italy arrests 33 accused of olive oil fraud. Olive Oil Times, 2017.
Available from: https:// www.oliveoiltimes.com/olive-oil-business/italy-arrests- 33-accused-
olive-oil-fraud/55364 [viewed July 2017].
[7] OLIVE OIL TIMES. Brazil reveals widespread olive oil fraud. Olive Oil Times, 2017.
Available from: https://
www.oliveoiltimes.com/olive-oil-business/brazil-reveals-widespread-olive-oil-fraud/56395
[viewed July 2017].
[8] EURO WEEKLY NEWS. Police uncover major beef food fraud in Spain. Euro Weekly
News, 2017. Available from: https://www.euroweeklynews.com/3.0.15/news/ on-euro-weekly-
news/spain-news-in-english/144405-police-uncover-major-beef-food-fraud-in-spain
[viewed July 2017].
[9] ANTONY GITONGA. Naivasha Hawkers using formalin to preserve milk. Standard
Media.
Available from: http://www.standardmedia.co.ke/ article/2000107380/naivasha-hawkers-
using-formalin-to- preserve-milk [viewed July 2017].
[11] U.S. PHARMACOPEIAL CONVENTION. Food fraud database version 2.0. Available by
subscription from: http://www.foodfraud.org/#/food-fraud-database- version-20 , [viewed
July 2017].
[12] FOOD STANDARDS AGENCY. Update on malicious tampering with Kingsmill bread.
Food Standards Agency, 2006. Available from: http://webarchive.
nationalarchives.gov.uk/20120206100416/http://food.
gov.uk/news/newsarchive/2006/dec/kingsmill [viewed July 2017].
[13] TOROK, THOMAS J. MD, TAUXE, ROBERT V. MD, MPH, WISE, ROBERT P. MD, MPH;
LIVENGOOD, JOHN R MD, SOKOLOW, ROBERT, MAUVAIS, STEVEN, BIRKNESS, KRISTEN
A,SKEELS, MICHAEL R PhD, MPH, HORAN, JOHN M MD MPH, FOSTER, LAURENCE R, MD,
MPH.
A large community outbreak of Salmonellosis caused by intentional contamination of
restaurant salad bars. American Medical Association, 1997. Available from:
http://www.cdc.gov/phlp/docs/forensic_epidemiology/
Additional%20Materials/Articles/Torok%20et%20al.pdf [viewed July 2017].
[14] Q FOOD. Food Tampering: [1989] Glass in baby food. Germany. Available from:
http://www.qfood. eu/2014/03/1989-glass-in-baby-food/ [viewed July 2017].
[15] ORR, JAMES. Blackmailer jailed over Tesco bomb threats. The Guardian, 2008. Available
from: http:// www.theguardian.com/uk/2008/jan/28/ukcrime [viewed July 2017].
[16] MURRAY, KEVIN D. Electronic eavesdropping & Industrial espionage. New York:
Murray Associates. Available from: https://counterespionage.
worldsecuresystems.com/tscm-the-missing-business-school-course.html [viewed July
2017].
[17] GILLAM, CAREY. Chinese woman arrested in plot to steal U.S corn technology.
Kansas City: Grainews. Available from: http://www.grainews.ca/daily/chinese- woman-
arrested-in-plot-to-steal-u-s-corn-technology [viewed July 2017].
[19] NEWSCORE. Offshore raids turn up fake Aussie Jacob’s Creek wines. Australia,
2011. Available from: http://www.news.com.au/finance/offshore- raids-turn-up-
fake-aussie-jacobs-creek-wines/story- e6frfm1i-1226029399148 [viewed July 2017].
[20] FINANCIAL FRAUD ACTION UK. Restaurants and diners targeted in new scam.
London. Available from: http://www.financialfraudaction.org.uk/cms/assets/1/
scam%20alert%20-%20restaurants%20web%20 link%20doc.pdf [viewed July 2017].
[21] NATIONAL FRAUD AUTHORITY. Annual fraud indicator. National Fraud Authority,
2013. Available from: https://www.gov.uk/government/uploads/system/
uploads/attachment_data/file/206552/nfa-annual-fraud-indicator-2013.pdf [viewed July
2017].
[22] SMITH, MATT. Cyber criminals use hacked Deliveroo accounts to order food on
victims’ cards. DAILY TELEGRAPH, 2016. Available from: https://business-
reporter.co.uk/2016/11/23/cyber-criminals-use-hacked- deliveroo-accounts-order-food-
victims-cards/ [July 2017].
[25] NATIONAL CYBER SECURITY CENTRE and NATIONAL CRIME AGENCY. The Cyber
Threat to UK Business. Available from: https://www.ncsc.gov.uk/news/ ncsc-and-nca-threat-
report-provides-depth-analysis- evolving-threat [viewed July 2017].
[27] NATIONAL CYBER SECURITY CENTRE. 10 Steps to Cyber Security. NCSC, 2016.
Available from: https:// www.ncsc.gov.uk/guidance/10-steps-cyber-security [viewed July
2017].
[29] HM GOVERNMENT. Cyber Essentials – Protect your business against cyber threats.
Available from: https:// www.cyberaware.gov.uk/cyberessentials/ [viewed July 2017].
[37] GLOBAL INFORMATION AND EARLY WARNING SYSTEM (GIEWS). Available from:
http://www.fao.org/ giews/english/index.htm [viewed July 2017].
[38] FOOD AND DRUG ADMINISTRATION. Carver + Shock Primer – An overview of the
Carver plus Shock method for food sector vulnerability assessments. FDA, 2009. Available
from: http://www.fda.gov/downloads/
Food/FoodDefense/FoodDefensePrograms/UCM376929. pdf [viewed July 2017].
[39] FOOD AND DRINK FEDERATION. Food authenticity: Five steps to help protect your
business from food fraud. London: FDF, 2013. Available from: https://www. fdf.org.uk/food-
authenticity.aspx [viewed July 2017].
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
[40] FOOD AND DRINK FEDERATION. Sustainable sourcing: Five steps towards managing
supply chain risk. London: London: FDF, 2014. Available from: http://
www.fdf.org.uk/sustainable-sourcing.aspx [viewed July2017].
[41] NATIONAL CYBER SECURITY CENTRE.10 Steps: A board level responsibility. Available
from: https://www. ncsc.gov.uk/guidance/10-steps-board-level-responsibility [viewed July
2017].
[42] NATIONAL CYBER SECURITY CENTRE. 10 Steps: A Board Level Responsibility. NCSC,
2016. Available from: https://www.ncsc.gov.uk/guidance/10-steps-board-level- responsibility
[viewed July 2017].
Leitura adicional
BRC Global Standard for Food Safety. British Retail Consortium.
FOOD STANDARDS AGENCY. Principles for preventing and responding to food incident. FSA,
2007. Available from: http://multimedia.food.gov.uk/multimedia/pdfs/
taskforcefactsheet23mar07.pdf [viewed July 2017].
MI5 THE SECURITY SERVICE. Current threat level in the UK. Available from:
www.mi5.gov.uk [viewed July 2017].
WORLD HEALTH ORGANIZATION. Terrorist threats to food. Guidelines for establishing and
strengthening prevention and response systems. Food Safety Issues (WHO), 2008.
EUROPAL and INTERPOL. Operation Opson III 2013: Targeting counterfeit and substandard
foodstuff. Available from: http://www.ipo.gov.uk/ipenforce-opson. pdf [viewed July 2017].
CIO from IDG (International Data Group - Global) 5 steps to respond to a security breach.
Available from: https://www.cio.com.au/article/580908/5-steps-respond- security-breach/
[viewed August 2017].
Revisões
Os padrões britânicos e PASs são atualizados periodicamente por meio de emendas ou revisões. Usuários de Padrões
Britânicos
e os PASs devem certificar-se de que possuem as últimas alterações ou edições.
É objetivo constante da BSI melhorar a qualidade de nossos produtos e serviços. Ficaríamos gratos se alguém que
encontrasse uma imprecisão ou ambiguidade ao usar as Normas Britânicas informasse o Secretário do comitê técnico
responsável, cuja identidade pode ser encontrada na contracapa. Da mesma forma para PASs, notifique o Atendimento
ao Cliente BSI.
Tel: +44 (0)845 086 9001
O BSI oferece aos Membros Assinantes BSI um serviço de atualização individual denominado PLUS, que garante que os
copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
Email: membership@bsigroup.com
Informações sobre o acesso online a British Standards e PASs por British Standards Online podem ser encontradas em
http://shop.bsigroup.com/bso
Mais informações sobre os Padrões Britânicos estão disponíveis no site da BSI em www.bsigroup.com/standards
Direito autoral
Todos os dados, software e documentação estabelecidos em todas as Normas Britânicas e outras publicações da BSI
são propriedade e protegidas por direitos autorais pela BSI, ou por alguma pessoa ou entidade que detém os direitos
autorais das informações utilizadas (como os organismos internacionais de padronização).
licenciar formalmente essas informações para a BSI para publicação e uso comercial. Exceto conforme permitido pelo
Copyright, Designs and Patents Act 1988, nenhum extrato pode ser reproduzido, armazenado em um sistema de
recuperação ou transmitido de qualquer forma ou por qualquer meio - eletrônico, fotocópia, gravação ou outro - sem a
permissão prévia por escrito do BSI. Isso não impede o uso gratuito, no decorrer da implementação da norma, de detalhes
necessários, como símbolos e designações de tamanho, tipo ou grau. Se esses detalhes forem usados para qualquer outra
finalidade que não a implementação, a permissão prévia por escrito da BSI deve ser obtida. Detalhes e conselhos podem ser
obtidos no Departamento de Direitos Autorais e Licenciamento.
Tel: +44 (0)20 8996 7070
Email: copyright@bsigroup.com
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
www.bsigroup.com
United Kingdom
Road London W4 4AL
BSI, 389 Chiswick High
Licensed copy: BSI Standards, version correct as of 16/1f 16/11/2017 © British Standards Institution