PAS 96 Traduzida

Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
PAS 96:2017
Trabalharam na tradução desse texto para o português brasileiro:
Arthur L. Barbieri
Cíntia Malagutti
Giulianna San Giacomo Simões Vieira
Maria Carolina Mazetto Gazola
Sarah Arcuri Eluf
Vanessa Santos
A tradução é uma iniciativa:
www.foodsafetybrazil.org
1
PAS 96:2017
Publicação e informações de copyright

O aviso de direitos autorais BSI exibido neste documento indica que esse foi o último documento emitido. © ©
The British Standards Institution 2017. Publicado pela BSI Standards Limited 2017.
ISBN 978 0 580 85537 5
ICS 67.020
É proibida a cópia sem permissão da BSI exceto conforme permitido pela lei de direitos autorais.
História da publicação
Publicado pela primeira vez em Março de 2008
Segunda edição em Março de 2010
Terceira edição em outubro de 2014
Quarta (atual) edição em Novembro de 2017
2
PAS 96:2017
Conteúdo
Prefácio ........................................................................................................... 5
Introdução ....................................................................................................... 7
1 Escopo ...................................................................................................... 9
2 Termos e definições............................................................................... 9
Cyber Security (segurança cibernética) ................................................ 9

Food Defense (Defesa dos Alimentos) ................................................. 9
Food Fraud (Fraude dos Alimentos) ..................................................... 9
Food Protection (Proteção dos Alimentos) ......................................... 10
Food Supply (Abastecimento de Alimentos) ....................................... 10
Perigo ............................................................................................... 10
APPCC - Análise de Perigos e Pontos Críticos de Controle.................. 11
Insider .............................................................................................. 11
Segurança do Pessoal ....................................................................... 11
Ameaça ......................................................................................... 11
AACCP – Avaliação de Ameaças e Pontos Críticos de Controle ........ 11
3 Tipos de Ameaça ................................................................................. 12
Generalidades ................................................................................... 12
Adulteração economicamente motivada (AEM) .................................. 12
Contaminação Maliciosa ................................................................... 13
Extorsão ........................................................................................... 14
Espionagem ...................................................................................... 14
Falsificação ....................................................................................... 15
Crime cibernético ............................................................................. 15
4 Entendendo o agressor ........................................................................ 17
Generalidades ................................................................................... 17
O extorsionista ................................................................................. 17
O oportunista ................................................................................... 17
O extremista ..................................................................................... 17
O indivíduo irracional ....................................................................... 18
O indivíduo descontente ................................................................... 18
O hacker e outros criminosos cibernéticos ....................................... 18
O criminoso profissional ................................................................... 18
5 Avaliação de Ameaças e Pontos Críticos de Controle (Threat Assessment
and Critical Points - TACCP) ........................................................................ 19
Considerações gerais ........................................................................ 19
3
PAS 96:2017
O processo TACCP ............................................................................ 19

6 Avaliação ............................................................................................ 23
Avaliando ameaças ........................................................................... 23
Identificando vulnerabilidades .......................................................... 24
6.2.1 Generalidades................................................................................ 24
Adulterações Economicamente Motivadas (AEM) ............................... 24
6.3.1 Contaminação maliciosa ................................................................ 24
6.3.2 Ataque cibernético ........................................................................ 25
Avaliação de risco ............................................................................. 25
Registrando o TACCP ........................................................................ 26
7 Controles críticos .................................................................................. 27
Acesso controlado ............................................................................ 27
Detecção de violação ......................................................................... 28
Assegurando a segurança do pessoal ............................................... 29
8 Resposta a um incidente ...................................................................... 31
Gestão de crises na proteção dos alimentos .................................. 31
Gestão de um ataque cibernético ...................................................... 31
Plano de contingência para recuperação do ataque ........................... 31
9 Revisão das disposições de proteção alimentar ....................................... 32
Anexo A (informativo)Estudos de caso TACCP ............................................. 33
Anexo B (informativo) ................................................................................ 41
Anexo C (informativo) ................................................................................ 43
Anexo D (informativo) ............................................................................... 45
Bibliografia ................................................................................................ 46
O British Standards Institution (BSI) ............................................................ 52
4
PAS 96:2017
Prefácio
Este PAS foi patrocinado conjuntamente pelo Departamento de Meio Ambiente,
Alimentos e Assuntos Rurais (Department for Environment, Food & Rural Affairs - Defra)
e da Agência de Padrão de Alimentos (Food Standards Agency - FSA). Seu
desenvolvimento foi facilitado pelo BSI Standards Limited que foi publicado sob licença
da The British Standards Institution. Entrou em vigor em 16 de novembro de 2017.
O reconhecimento é dado às seguintes organizações que foram envolvidos no

desenvolvimento deste PAS como membros do grupo de acompanhamento:
- Agrico UK Limited
- British Frozen Food Federation (BFFF)
- Campden BRI
- Crowe Clark Whitehill LLP
- Danone
- Department for Environment, Food & Rural Affairs (Defra)
- Food Standards Agency
- GIST Limited
- McDonald’s Europe
- National Cyber Security Centre (NCSC)
- Sodexo Limited
- Tesco UK
- Tulip Limited
- University College London
- Willis Towers Watson
O reconhecimento também é dado aos membros de um amplo painel de avaliação que

foram consultados no desenvolvimento desse PAS.
A British Standards Institution mantém a propriedade e direitos de autoria deste PAS. BSI
Standards Limited como o editor da PAS reserva-se o direito de retirar ou alterar o
presente PAS na recepção de parecer de autoridade que seja competente para fazê-lo.
Este PAS será revisado em intervalos não superior a dois anos, e quaisquer alterações
decorrentes da revisão serão publicadas como um PAS alterado e divulgado em
Atualização de Normas (Update Standards).
Este PAS não é para ser considerado como um British Standard. Ele vai ser retirado a
partir da publicação de seu conteúdo em, ou como, uma norma britânica.
Alterações
Este PAS substitui o PAS 96: 2014, que foi retirada informações sobre este documento.
Esta é uma revisão completa do PAS 96: 2014, e apresenta as seguintes mudanças
principais:
referências normativas e informativas foram atualizadas;
sub-cláusula 3.7 Cibercrime foi revisada;
sub-cláusula 6.2.4 adicionada para cobrir vulnerabilidades relacionadas a ataques
cibernéticos;
dois novos estudos de caso fictícios foram adicionados como subseções A.5 e A.6 para
ilustrar a segurança cibernética questões;
5
PAS 96:2017
Anexo B atualizado;
Anexo D adicionado cobrindo 10 etapas para a segurança cibernética;
algumas alterações editoriais foram realizadas.
O processo PAS constitui-se num guia para ser rapidamente desenvolvido a fim de
cumprir uma necessidade imediata da indústria. O PAS pode ser considerado para
desenvolvimento futuro como uma norma britânica, ou constituir parte da contribuição
do Reino Unido para o desenvolvimento de uma norma Europeia ou Internacional.
Uso deste documento

Como um guia, este PAS assume a forma de orientação e recomendações. Não deve ser
citado como uma especificação ou um código de prática e reivindicações de
conformidade não pode ser feita a ele.
Convenções de apresentação
A orientação nesta norma é apresentada em romano (ou seja, vertical). Quaisquer
recomendações são expressas em frases em que o verbo auxiliar principal é "deve".
Comentários, explicações e informativos gerais são apresentados em itálico menor e não
constituem um elemento normativo.
Considerações contratuais e legais

Esta publicação não pretende incluir todas as disposições necessárias de um contrato.
Os usuários são responsáveis para sua correta aplicação.
A conformidade com um PAS não pode conferir imunidade de obrigações legais.
6
PAS 96:2017
Introdução
A indústria de alimentos considera a segurança de seus produtos como a sua principal preocupação.
Ao longo dos anos, a indústria e as entidades reguladoras desenvolveram sistemas de gestão de
segurança dos alimentos, o que significa que os grandes surtos de intoxicação alimentar agora são
bem incomuns em muitos países. Estes sistemas geralmente usam o sistema HACCP 1 (Análise de
Perigos e Pontos Críticos de Controle) princípios que são aceitos globalmente 1. HACCP tem provado ser
eficaz contra contaminação acidental.
Os princípios de HACCP, contudo, não tem sido rotineiramente usado para detectar ou mitigar os
ataques intencionais contra os sistemas ou processos. Esses ataques podem incluir a deliberada
contaminação ou fraude. Atos intencionais podem ter implicações para a segurança dos alimentos, mas
podem prejudicar as organizações de outras maneiras, como danos à reputação do negócio ou extorsão
de dinheiro.
O fator comum por trás de todos esses atos deliberados são as pessoas. Essas pessoas podem estar
dentro de uma empresa da área de alimentos, podem ser empregados de um fornecedor da área de
alimentos, ou podem ser estranhos completos, sem conexão com a cadeia de alimentos. A questão
chave é a sua motivação; eles podem tentar causar danos à saúde humana ou a reputação do negócio,
ou obter ganhos financeiros, em detrimento do negócio. Em qualquer uma destas situações, é de
interesse das empresas da área de alimentos se protegerem de tais ataques.
O objetivo do PAS 96 é orientar gestores de empresas da cadeia de alimentos, através de abordagens

e procedimentos para melhorar a resiliência das cadeias de abastecimento devido à fraude ou outras
formas de ataque. Destina-se a garantir a autenticidade dos alimentos, minimizando a possibilidade de
um ataque e atenuando as consequências de um ataque bem sucedido.
O PAS 96 descreve a Avaliação de Ameaças e Pontos Críticos de Controle (TACCP), uma metodologia de
gerenciamento de risco, que está alinhada com HACCP, mas tem um foco diferente, que podem
necessitar da contribuição de funcionários de diferentes disciplinas, tais como RH, suprimentos,
segurança e tecnologia da informação.
O guia explica o processo TACCP, descreve as etapas que podem deter um agressor ou levar à
detecção prévia de um ataque, e utiliza estudos de casos fictícios (ver Anexo A) para mostrar sua
aplicação. Em termos gerais, o TACCP coloca gestores de empresas da área de alimentos na
posição de um agressor para antecipar sua motivação, capacidade e oportunidade de realizar um
ataque, e assim, elaborar mecanismos de proteção. Ele também fornece outras fontes de dados e
informações que podem ajudar a identificar ameaças emergentes (ver Anexo B).
O processo TACCP pressupõe e se baseia em um negócio em que exista uma operação eficaz do
HACCP, onde muitas precauções são tomadas para garantir a segurança dos alimentos e são mais
propensas a impedir ou detectar atos deliberados. Adicionalmente complementa a gestão de
riscos do negócio existente e processos de gerenciamento de incidentes.
O foco deste PAS é proteger a integridade e conformidade dos alimentos e abastecimento dos
mesmos. Qualquer intenção do agressor seja, de dentro de uma empresa da área de alimentos ou
de sua cadeia de abastecimento, ou externo para ambos, é provável que tente enganar ou evitar
os processos de gestão de rotina. Este PAS deve ajudar empresas da área de alimentos a mitigar
1
Para mais informações e guias com relação ao APPCC (HACCP) podem ser encontradas na publicação do
CODEX Alimentarius, Princípios Gerais de Higiene de Alimentos [1].
7
PAS 96:2017
cada uma destas ameaças, mas o método pode também ser utilizado para outras ameaças aos
negócios.
Nenhum processo pode garantir que alimentos e o abastecimento dos mesmos não sejam o alvo
da atividade criminosa, mas o uso do PAS 96 pode torná-la menos provável. Destina-se a ser um
guia prático e facilmente utilizável, e por isto é escrito na linguagem cotidiana e deve ser utilizado
com bom senso e não como um requisito legal.
8
PAS 96:2017
1 Escopo
Este PAS fornece orientação sobre a prevenção e mitigação de ameaças aos alimentos e a seu
abastecimento. Ele descreve a metodologia de gestão de risco, Avaliação de Ameaças e Pontos
Críticos de Controle (TACCP), que pode ser adaptada a empresas da área de alimentos de todos
os tamanhos e em todos os pontos em cadeias de abastecimento dos alimentos.
Embora as preocupações para a segurança e integridade de alimentos e bebida são de extrema
importância e grande parte do PAS é focado sobre estes, precisa ser salientado que o escopo do
PAS abrange 'todas as ameaças' e proteção de todos os elementos da cadeia de produção de
alimentos. Isto inclui a viabilidade das empresas na cadeia de abastecimento.

Destina-se a ser de utilidade para todas as organizações, mas pode ser de uso especial para os
gestores de pequenas e médias empresas da área de alimentos que não podem ter acesso fácil a
consultoria especializada.
2 Termos e definições
Cyber Security (segurança

cibernética)
Proteção de dispositivos, serviços e redes – e as
informações sobre eles – de roubo ou danos (Fonte:
NCSC Glossário (2)).
Food Defense (Defesa dos

Alimentos)
Procedimentos adotados para garantir a segurança dos
alimentos e bebidas e suas cadeias de abastecimento de
ataques mal-intencionados e ideologicamente motivados
levando a contaminação ou ruptura no abastecimento.
NOTA O termo segurança alimentar refere-se a
confiança na qual a comunidade vê a disponibilidade de
alimentos no futuro. Exceto no sentido limitado de que
um ataque bem sucedido pode afetar a disponibilidade
de alimentos, segurança alimentar não é usada e está
fora do escopo deste PAS.
Food Fraud (Fraude dos Alimentos)

Ato desonesto ou omissão, relacionada com a produção
ou o fornecimento de alimentos, que é destinado para
ganho pessoal ou para causar a perda de outra parte 2.
NOTA 1 Embora existam muitos tipos de fraude

alimentar, os dois principais tipos são:
1) a venda de alimentos que são impróprios e potencialmente prejudiciais, tais como:
• Reciclagem de subprodutos de origem animal, retorno para a cadeia de alimentos;
• Embalagem e venda de carne bovina e de aves de origem desconhecida;
2
A Agência UK Food Standards discute crime alimentos e fraude alimentar em:
https://www.food.gov.uk/enforcement/thenational-food-crime-unit/what-is-food-crime-and-food-fraud [3].
9
PAS 96:2017
• Venda consciente de produtos vencidos
2) A descrição deliberadamente incorreta de alimentos, como:

• Produtos substituídos com uma alternativa mais barata, por exemplo, salmão de cativeiro
vendido como selvagem e arroz Basmati adulterado com variedades mais baratas;
• Fazer declarações falsas sobre a origem de ingredientes, ou seja, suas características
geográficas, origem vegetal ou animal.
NOTA 2 fraude alimentar pode também envolver a venda de carne de animais que tenham sido
roubados e / ou ilegalmente abatidos, bem como animais de caça selvagens, como cervos que pode ter
sido escaldado.
Food Protection (Proteção dos Alimentos)

Procedimentos adotados para prevenir e detectar ataques fraudulentos a alimentos.
Food Supply (Abastecimento de Alimentos)

Elementos que são comumente chamados de cadeia de abastecimento dos alimentos
Nota: Um exemplo de uma cadeia de abastecimento dos alimentos é dado na Figura 1. A Figura
1 não se destina a ser abrangente.
Figura 1 – uma cadeia de abastecimento de alimentos
Upstream (para frente)
Dowstream (para trás)
Perigo
Algo que pode causar perda ou dano que surge de uma ocorrência natural ou acidental ou resulta da
incompetência ou desconhecimento das pessoas envolvidas.
10
PAS 96:2017
APPCC - Análise de Perigos e Pontos Críticos de Controle
Sistema que identifica, avalia, e controla perigos que são significativos para a segurança dos alimentos.
{Fonte: CODEX Alimentarius. General Principles of Food Hygiene [1]}
Insider
Indivíduo pertencente ou vinculado à uma organização e com acesso a seu patrimônio, mas que pode
abusar deste acesso e representar uma ameaça às suas operações.
Segurança do Pessoal
Procedimentos utilizados para confirmar a identidade, qualificações, experiência e direito ao trabalho
de um indivíduo, e monitorar a conduta como um funcionário ou contratado
NOTA 1 Não deve ser confundida com "segurança pessoal".

NOTA 2 Princípios de segurança do pessoal são utilizados para garantir a confiabilidade dos
funcionários dentro de uma organização, mas pode ser aplicado para o pessoal de fornecedores
dentro dos processos de homologação de fornecedores.
Ameaça
Algo que pode causar perda ou dano que surge da má-intenção de pessoas.
NOTA Ameaça não é utilizada no sentido de comportamento ameaçador ou promessa de
consequência desagradável de uma falha no cumprimento de uma demanda maliciosa.
AACCP – Avaliação de
Ameaças e Pontos
Críticos de Controle
Sistemática de gerenciamento de risco
através da avaliação de ameaças,
identificação de vulnerabilidades e
implementação de controles para materiais
e produtos, suprimentos, processos,
instalações, pessoas, redes de distribuição
e sistemas de negócios por uma equipe
experiente e de confiança com a
autoridade para implementar mudanças
nos
procedimentos.
11
PAS 96:2017
3 Tipos de Ameaça
Generalidades
Atos deliberados contra alimentos e seu abastecimento tomam várias formas. O requisito Nº3 descreve
as características das principais ameaças à autenticidade e segurança dos alimentos - Adulteração
economicamente motivada (AEM) e também contaminação maliciosa, descrevendo a natureza de outras
ameaças, especialmente o rápido crescimento do mau uso de técnicas digitais.
Adulteração economicamente motivada (AEM)

NOTA Detalhes de muitos outros casos estão disponíveis a partir Food Fraud banco de dados da
Convenção da Farmacopeia dos EUA em http://www.foodfraud.org/ [4].
Caso 1
Em 2016, funcionários aduaneiros na Nigéria confiscaram 2,5 toneladas de arroz suspeitos que foram
feitos a partir de plástico.3
Caso 2
O azeite tem sido um alvo frequente de adulteração, muitas vezes por outros óleos vegetais. Em 2017,
as autoridades italianas interromperam uma aliança de crime organizado que estava exportando azeite
falso para os Estados Unidos.4 (4) Da mesma forma, as autoridades brasileiras informaram que uma
proporção muito elevada de azeites testados não atenderem aos padrões de qualidade exigidos pela
sua rotulagem.5
Caso 3
A polícia espanhola acusou um fabricante de hambúrguer de carne bovina de usar carne de porco e
soja triturada para aumentar o teor de carne percebido em seus produtos por muitos anos. 6 Não está
claro se os hambúrgueres realmente continham carne suficiente para satisfazer qualquer regulamento
oficial.
Caso 4
Em 2014, o Conselho de leite do Quênia acusou que vendedores ambulantes estariam colocando a vida
de pessoas em risco pela adição de conservantes (formalina e peróxido de hidrogénio) em uma tentativa
(provavelmente fútil) para prolongar a vida de prateleira do leite. 7
Caso 5
O pessoal que trabalhava em um empacotador de carne europeia achava, erroneamente, que poderiam
evitar a condenação de um produto que estava sendo condenado como veículo de febre aftosa,
cobrindo-o com desinfetante.
A motivação dos AEM é financeira, através de aumento de renda com a venda de um produto alimentar
de uma forma a enganar os clientes e consumidores. Isto pode ser por venda de um material mais
barato como um mais caro (ver o caso 1), ou pode ser que um componente menos caro seja utilizado
para substituir um mais caro (ver casos 2 e 3).
A prevenção de perda pode também ser um incentivo para adulteração (ver casos 4 e 5). A oferta
limitada de um material chave pode incentivar um produtor a improvisar para completar uma ordem de
produção, em vez de declarar ao cliente o prazo de entrega.
A intenção do EMA não é causar doença ou morte, mas isso pode ser o resultado. Este foi o caso em
3
Mais informações estão disponíveis em: http://www.bbc.co.uk/ news / world-africa-38391998 [5].
4
Mais informações estão disponíveis em: https: // www. oliveoiltimes.com/olive-oil-business/italy-arrests-33-
accusedolive-oil-fraud/55364 [6].
5
estudo de caso adicionais podem ser encontradas: https: // www. oliveoiltimes.com/olive-oil-
business/brazil-reveals-widespreadolive-oil-fraud/56395 [7].
6
Mais informações estão disponíveis em: https://www.euroweeklynews.com/3.0.15/news/on-euro-weekly-
news/spainnews-in-english/144405-police-uncover-major- [8].
7
Mais informações disponíveis em http://www.standardmedia.co.ke/article/2000107380/naivasha-hawkers-
using-formalin-to-preserve-milk [9].
12
PAS 96:2017
2008, quando melamina foi usada como uma fonte de nitrogênio de forma fraudulenta para aumentar
o teor de proteína de leite, resultando em mais de 50.000 bebés hospitalizados e seis mortes depois
de terem consumido fórmula infantil contaminada. 8
O fator comum em muitos casos de AEM é que o adulterante não é um perigo para a segurança dos
alimentos, nem são facilmente identificados, pois isso iria contra o objetivo do atacante. Os
adulterantes comuns9 incluem água e açúcar; ingredientes que podem ser adequadamente
utilizados e declarados, mas seu uso indevido é fraude alimentar.
AEM é provável que seja mais eficaz para um atacante, e, por conseguinte, apresentar uma maior
ameaça para um setor alimentar, no começo da cadeia alimentar (ver Figura 1) perto da fabricação
de ingredientes primários. Uma adulteração bem sucedida (do ponto de vista do intruso)
continuará sem detecção. AEM pode precisar de um agente interno, pois a fraude poderia ser
revelada por uma verificação, por exemplo, uma auditoria financeira poderia revelar:
• compras que não podem ser explicadas por receitas, tais como corantes que não são utilizados
na fabricação de especiarias; ou
• diferenças entre as quantidades vendidas e quantidades adquiridas, tais como carne picada
vendidas e carne bovina comprada, com carne de cavalo para compensar a diferença.
Contaminação Maliciosa
Caso 6
Em 2005, uma grande padaria britânica informou que vários clientes tinham encontrado fragmentos de
vidro e agulhas de costura no interior de embalagens de pães. 10
Case 7
Em 1984, a seita Rajneeshee em Oregon tentou afetar o resultado de uma eleição local por meio da
contaminação de alimentos em dez diferentes saladas, resultando em 751 pessoas afetadas por
contaminação de salmonela.11
Case 8
Em 2013, um importante fornecedor de refrigerantes foi forçado a retirar produto de um mercado chave
quando uma garrafa teve seu conteúdo substituído por ácido mineral. Os agressores incluíram uma
nota indicando que mais unidades seriam distribuídas ao público se a empresa não cumprisse com suas
exigências.
Case 9
Em 2007, uma padaria encontrou uma grande quantidade de amendoim na produção. O produto foi
recolhido e a padaria fechada por uma semana, para uma longa e profunda limpeza para restabelecer
seu status de livre de castanhas.
A motivação para a contaminação maliciosa pode causar doenças / mortes localizadas (ver caso
6) ou generalizadas (ver caso 7).
No caso 7, o agressor não queria que a contaminação fosse detectada antes do alimento ser
consumido, portanto, o contaminante tinha de ser uma toxina eficaz com pouco efeito sobre o
sabor do alimento.
A motivação no caso 8 era a publicidade. A opinião pública teria sido contra os atacantes, se o
8
Mais informações podem ser verificadas nas publicações da OMS e FAO, Toxicological aspects of melamine
and cyanuric acid http://www.who.int/foodsafety/publications/melamine-cyanuric-acid/en/ [10].
9
Mais informações estão disponíveis em: https://www.euroweeklynews.com/3.0.15/news/on-euro-weekly-
news/spainnews-in-english/144405-police-uncover-major- [8].
10
Para mais detalhes nesse caso de contaminação intencional, veja o arquivo da Food Standards Agency:
http://webarchive. nationalarchives.gov.uk/20120206100416/http://food.gov.uk/
news/newsarchive/2006/dec/kingsmill [12].
11
Para mais informação veja a publicação da Associação Médica Americana, A Large Community Outbreak of
Salmonellosis Caused by Intentional Contamination of Restaurant Salad Bars [13].
13
PAS 96:2017
dano tivesse sido causado aos consumidores, mas o fornecedor não podia correr esse risco.
Os materiais que podem ser usados por um agressor para ganhar publicidade, ou para extorquir
dinheiro, são mais facilmente encontrados que os necessários para causar danos generalizados.
O caso de alergênicos (ver caso 9) apresenta como um dano, impacto e custos podem ser causados
a um negócio com pouco risco para o agressor.
As contaminações próximas ao ponto de consumo ou venda, como no caso 7, (a parte final na

Figura 1) é mais provável de causar danos à saúde do que um ataque nas culturas primárias ou
ingredientes.
Extorsão
Caso 10
Em 1990, um ex-policial foi condenado por extorsão após contaminar alimento infantil com vidro
e exigir dinheiro de uma empresa multinacional. 12
Caso 11
Em 2008, um homem foi preso na Grã-Bretanha após ser condenado por ameaçar explodir um
importante supermercado e contaminar seus produtos.13
A motivação para a extorsão por parte de um indivíduo ou grupo é financeira, para obter dinheiro
da organização vítima. Tal atividade é atraente para a mente criminosa quando o produto é
sensível, como alimentos para bebês (ver caixa 10), ou quando uma empresa é vista como
próspera (ver caso 11).
Um pequeno número de amostras pode ser utilizado para demonstrar à empresa que o agressor
tem a capacidade de agredir, e é o suficiente para causar preocupação pública e interesse da
mídia.
Espionagem
Caso 12
Uma consultoria de negócios usa o roubo de propriedade intelectual de um fictício lançamento
de snack, como um exemplo de espionagem comercial. 14
Caso 13
Em julho de 2014, a Reuters relatou que uma mulher foi acusada nos EUA pela tentativa de roubar
uma patente americana de tecnologia de semente como parte de uma conspiração para
contrabandear variedades especificas de milho para uso na China.15
A principal motivação da espionagem é dos concorrentes buscando vantagem comercial para

acessar propriedades intelectuais. Eles podem se infiltrar usando informantes para relatar, ou
podem atacar remotamente por meio de sistemas de tecnologia da informação. Alternativamente,
as organizações podem tentar motivar executivos para revelar informações confidenciais ou usar
gravações secretas para capturar esse material, ou podem simplesmente roubar o material, como
o caso 13 sugere.
12
Para mais detalhes nesse caso de contaminação de alimentos veja a publicação da Q Food:
http://www.qfood.eu/2014/03/1989-glassin-baby-food/ [14].
13
Para mais detalhes desse caso de extorsão, veja o artigo do The Guardian:
http://www.theguardian.com/uk/2008/jan/28/ukcrime [15].
14
Mais informação sobre esse caso fictício do Murray Associates podem ser encontradas em:
https://counterespionage. worldsecuresystems.com/tscm-the-missing-business-school-course.html [16].
15
Para mais informações, vá em: http://www.grainews.ca/daily/ chinese-woman-arrested-in-plot-to-steal-u-s-
corn-technology [17]
14
PAS 96:2017
Falsificação
Caso 14
Em 2013, agentes apreenderam 9000 garrafas de Vodka Glen´s falsas de uma fábrica ilegal.16
Caso 15
Em 2011, 340 garrafas de uma famosa marca australiana de vinho foram apreendidas, após
reclamações, sobre baixa qualidade para a empresa, as quais não tinham ligação com a
Austrália.17
A motivação para a falsificação é o ganho financeiro, através de fraude, produtos inferiores por
marcas conceituadas. Tanto o crime comum quanto o organizado podem causar perdas
financeiras às empresas e dano a sua reputação. O primeiro, por exemplo, pode usar tecnologias
de impressão sofisticadas para produzir rótulos do produto que são indistinguíveis dos originais.
Este último pode roubar pacotes originais ou mesmo encher recipientes unitários e utilizar para
revenda.
Organizações criminosas podem tentar imitar o conteúdo de alimentos de forma muito próxima
ao original para atrasar a detecção e a investigação. Pequenos criminosos podem ser tentados por
um “ganho rápido” e ser menos preocupados com a segurança dos alimentos.
Crime cibernético
Caso 16
Em 2014, a Ação de Fraude Financeira do Reino Unido, advertiu gestores de restaurante para
estarem atentos a tentativa de fraudadores de atingir seus clientes em um novo golpe por telefone.
Eles alegavam que existia um problema com o sistema de pagamento de cartão deles, e que o
restaurante então iria direcionar os pagamentos de cartão para um número de telefone fornecido
pelos fraudadores.18
Tecnologias de informação e comunicação modernas proporcionam novas e incrivelmente rápidas

oportunidades para negligência. No caso 16 o fraudador usa engenharia social para tentar fraudar
tanto os negócios como consumidores. É comum o atacante tentar explorar a ignorância individual
em relação as tecnologias envolvidas. A fraude neste caso é 'cibernética', que é uma farsa facilitada
pelas comunicações eletrônicas. Na Inglaterra e País de Gales no ano a setembro de 2016, o
Instituto Nacional de Estatística relatou cerca de 3,6 milhões de fraudes e quase 2 milhões de
casos de mau uso do computador.19
Caso 17
Em 2016, relatórios sugeriram que criminosos tinham invadido contas de aplicativo de pedir
comida em busca de cartões das vítimas.20
Case 18
Em 2015, com sede em Michigan, a empresa Biggby Coffee relatou uma violação no banco de
dados com possível roubo de informações de clientes derivada de aplicações de cartões de
16
Para mais informações nesse exemplo de falsificação veja:
17
Para mais informações desse caso de falsificação, veja: http://www.news.com.au/finance/offshore-raids-
turn-up-fakeaussie-jacobs-creek-wines/story-e6frfm1i-1226029399148 [19]
18
Para mais informações dessa fraude nesse restaurante, acesse
https://www.financialfraudaction.org.uk/news/2014/08/13/ scam-alert-restaurants-and-diners-targeted-in-
new-scam/ [20]
19
ONS Dataset: Crime na Inglaterra e País de Gales: mesas experimentais: Tabela E1: Fraude e mau uso do
computador pela perda (de dinheiro ou bens) - número e taxa de incidentes e número e percentagem de
vítimas https://www.ons.gov. uk / peoplepopulationandcommunity / crimeandjustice / conjuntos de dados /
crimeinenglandandwalesexperimentaltables [21].
20
Para mais informações consulte: https://business-repórter.co.uk/2016/11/23/cyber-criminals-use-hacked-
deliverooaccounts-order-food-victims-cards/ [22].
15
PAS 96:2017
fidelidade.21
A fraude em ambos os casos 17 e 18 poderiam ser realizadas remotamente através da Internet

com pouca chance de detecção e condenação para o agressor.
Caso 19
Em 2016 o Departamento de Agricultura e o FBI alertaram os agricultores a sua crescente
vulnerabilidade ao ataque cibernético através da sua utilização da tecnologia de agricultura de
precisão.22
Tal ataque poderia ser cyber ataque de espionagem industrial ou pirataria - obter acesso não
autorizado a sistemas de computador, talvez com intenção maliciosa.
Caso 20
Em 2016 um grande supermercado descobriu que escalas em seus checkouts de autoatendimento
haviam sido corrompidos para permitir ataques distribuídos de negação de serviço (DDOS –
Distributed Denial Of Service - em inglês) em sites públicos.
DDOS podem ser um verdadeiro incômodo para empresas e levar a perdas reais quando o site da
empresa é uma plataforma de negociação importante. A 'Internet das coisas' (IoT – Internet of
Things – em inglês) torna-se cada vez mais importante; o Relatório de Ameaças Joint NCSC / NCA23
expõe a vulnerabilidade dos dispositivos (aparentemente inócuos) conectados à Internet e seu
mau uso por criminosos.
O roubo de identidade é talvez o mais familiar ao público, mas as organizações, que podem estar
cientes de sua identidade, podem ser roubadas para permitir fraude de compras, em que os bens
são ordenados em seu nome, mas desviado para instalações de fraudadores enganando o
fornecedor e deixando os custos para o suposto comprador.
21
Para mais informações: http://www.canadianbusiness. com/business-news/michigan-based-biggby-coffee-
reports-database-breach-possible-theft-of-customer-information [23].
22
Private Industry Notification PIN 160331-001 Smart Farming May increase Cyber Targeting Against US
Food and Agriculture Sector see https://info.publicintelligence.net/FBI-SmartFarmHacking.pdf [24].
23
The Cyber Threat to UK Business at https://www.ncsc.gov.uk/news/ncsc-and-nca-threat-report-provides-
depth-analysis-evolving-threat [25].
16
PAS 96:2017
4 Entendendo o agressor
Generalidades
O sucesso de um ataque deliberado em alimentos ou na sua cadeia de alimentos depende de várias
coisas:
a) O agressor tem a motivação e dirige para ultrapassar as barreiras óbvias, e menos óbvias, para
suas ações? Se as barreiras parecerem enormes e o sucesso parece improvável, muitos
prováveis agressores procurariam um alvo mais fácil.
b) O agressor tem a capacidade de realizar o ataque? Um grupo tem maior probabilidade de
encontrar recursos e aprender as habilidades necessárias.
c) O agressor terá a oportunidade de realizar o ataque? Um ataque físico requer acesso físico ao
alvo, mas um cyber-ataque só precisa ter acesso a um computador.
d) O agressor seria desestimulado pela chance de detecção e / ou eventuais penalidades
potenciais?
O extorsionista
O extorsionista quer obter ganho financeiro com um ataque, mas não quer ser pego, e concentra-se
em evitar a detecção. Seu alvo é provavelmente uma empresa de alto nível com muito a perder com a
publicidade negativa. Eles podem trabalhar sozinhos e serem engenhosos, secretos e auto interessados.
Ataques cibernéticos em todo o mundo usando 'ransomware' têm demonstrado a facilidade com que
extorsionários podem atacar múltiplas vítimas e quão difícil é para trazê-los à justiça24. Alguns
indivíduos podem alegar ser capazes de agir contra uma empresa embora falte a capacidade de realizá-
lo; a empresa pode julgar o pedido como não procedente, mas ainda decidir responder adequadamente.
O oportunista
O oportunista pode deter uma posição influente dentro uma operação e ser capaz de evitar controles
internos. Eles podem ter algum conhecimento técnico, mas seu principal trunfo é o acesso. Eles são
susceptíveis de serem desencorajados pela chance de detecção. Assim visitas não anunciadas de
clientes ou auditores ou amostragens analíticas especificamente desenhadas podem deter suas ações.
O fornecedor que não pode se arriscar a não entregar o produto de um cliente pode se arriscar a praticar
uma adulteração que não seja detectada. O sucesso de uma ocasião pode facilitar a tentativa de uma
repetição.
Este oportunista pode convencer-se de que a adulteração é legítima, por exemplo, o frango em uma
linguiça de porco, ainda seria carne.
O extremista
O extremista assume a sua causa ou campanha tão seriamente, que ele distorce seu contexto e ignora
questões mais amplas. A dedicação à sua causa pode não ter limites e a sua determinação em avançar
pode ser grande.
Extremistas podem querer causar danos e é provável que desfrutem da publicidade após o evento.
Podem não se importar e pode ser um benefício se eles mesmos forem prejudicados. O risco de fracasso
é um impedimento, mas o risco de captura após o evento não é. Eles são tipicamente engenhosos e
inovadores na concepção de formas de atacar.
Alguns únicos grupos temáticos podem querer afetar os negócios operações e reputação, mas temem
que o dano em massa para o público prejudique a sua causa e levá-los a perder o apoio.
24
Para mais informações veja o The Cyber Threat to UK Business, pg 7 available from:
https://www.ncsc.gov.uk/news/ncsc-and-nca-threat-report-provides-depth-analysis-evolving-threat [25]
17
PAS 96:2017
O indivíduo irracional
Algumas pessoas não têm nenhum motivo racional para suas ações. As suas prioridades e
preocupações tornaram-se tão distorcidas que eles são incapazes de ter uma visão equilibrada do
mundo. Alguns podem ter diagnóstico clínico de problemas de saúde mental.
Este indivíduo pode ser facilmente dissuadido por passos simples que os impedem de obter acesso ao
seu alvo ou tornar fácil a detecção.
O indivíduo descontente
O indivíduo descontente acredita que uma organização tem sido injusta para com ele e procura
vingança. Por exemplo, eles podem ser um funcionário ofendido ou ex-funcionário, um fornecedor ou
cliente. Eles podem ter conhecimento especializado da operação e acesso a ela.
É mais provável que este agressor seja um indivíduo e não parte de um grupo. Se for interno, pode ser
perigoso, sendo mais propenso a querer causar constrangimento e perda financeira do que mal para o
público. Se não for interno, é mais provável que essa pessoa reivindique algo ou se vanglorie de ter
feito algo do que realmente seja capaz de fazer.
O hacker e outros criminosos cibernéticos

Hackers e criminosos cibernéticos pretendem derrubar controles computadorizados de informação e
sistemas de comunicação, a fim de impedi-los de trabalhar de forma eficaz, para roubar ou corromper
dados de que dispõem, e / ou interromper os negócios internet. Sua motivação poderá ser criminal,
mas também pode ser para demonstrar a sua experiência e capacidade de vencer qualquer sistema de
proteção concebido para detê-los.
Tradicionalmente, este tipo de agressor tem informações e especialização em tecnologia de

comunicação que podem causar prejuízos comerciais. No entanto, como alertou no relatório ameaça
Joint UK NCSC / NCA25 “As linhas entre estes ataques continuam a crescer, com grupos criminosos
imitando estados... e atacantes mais avançados usando com sucesso malwares “fora de prateleira” para
lançar ataques”. Isso pode representar uma ameaça crescente para a segurança dos alimentos conforme
a atividade de internet aumenta.
O criminoso profissional
O crime organizado pode enxergar a fraude alimentar como um crime relativamente simples, com
grandes ganhos em perspectiva, pouca chance de apreensão e penalidades modestas se for
condenado. O comércio global de
alimentos, no qual os alimentos
transitam, muitas vezes sem serem
percebidos nas fronteiras e áreas de
fiscalização de fronteiras parecem
encorajar o criminoso profissional. O
anonimato da internet e a
oportunidade de invasão remota em
sistemas eletrônicos faz o cibercrime
cada vez mais atraente para os
criminosos profissionais.
Eles podem ser dissuadidos por uma

estreita colaboração entre operações
de alimentos e autoridades policiais
nacionais e internacionais.
25
NCSC and NCA The Cyber Threat to UK Business está disponível em: https://www.ncsc.gov.uk/news/ncsc-
and-nca-threat-report-provides-depth-analysis-evolving-threat [2]
18
PAS 96:2017
5 Avaliação de Ameaças e Pontos Críticos de

Controle (Threat Assessment and Critical
Points - TACCP)
Considerações gerais
O TACCP deve ser utilizado por empresas da área de alimentos, como parte de seus processos mais
amplos de gerenciamento de risco ou como uma maneira de começar a avaliar os riscos de forma
sistemática.
TACCP tem como objetivo:

• reduzir a probabilidade (possibilidade) de um ataque deliberado;
• reduzir as consequências (impacto) de um ataque;
• proteger a reputação organizacional;
• garantir aos clientes, imprensa e ao público que medidas proporcionais foram implementadas para
proteger os alimentos;
• satisfazer as expectativas internacionais e apoiar o trabalho dos parceiros comerciais; e
• demonstrar que as precauções cabíveis sejam tomadas e “diligência prévia” seja exercida na proteção
de alimentos.
Em termos mais amplos:

• identificação de ameaças específicas para o negócio da empresa;
• avaliar a probabilidade de um ataque por considerar a motivação do agressor potencial, a
vulnerabilidade do processo, a oportunidade e a capacidade que eles têm de realizar o ataque;
• avaliar o impacto potencial, considerando a consequências de um ataque bem-sucedido;
• priorizar as ameaças com base no risco, e comunicar essa priorização através de parceiros comerciais
para aceitação de risco compartilhado;
• decidir sobre controles proporcionais necessários para desencorajar o agressor e notificar
previamente a de um ataque; e
• manter um de sistema de informação e inteligência para permitir a revisão de prioridades.
Profissionais da área de alimentos querem minimizar as chances de perda da vida, problema de saúde,
perda financeira e danos reputação do negócio que um ataque poderia causar.
O TACCP não pode deter indivíduos ou organizações alegando

que eles contaminaram alimentos, mas pode ajudar a decidir se
essa afirmação pode ser verdade. Qualquer denúncia, se julgada
procedente, e qualquer incidente real, devem ser tratados como
uma crise. A organização precisa tomar medidas para manter as
operações funcionando e informar os envolvidos.
O processo TACCP
Na maioria dos casos, o TACCP deve ser uma atividade em
equipe, pois essa é a melhor maneira de juntar habilidades,
especialmente habilidades de gerenciamento de pessoas. Para
muitas pequenas empresas, a abordagem de equipe não é viável
e o trabalho pode ser conduzido por uma pessoa. A equipe
TACCP pode e deve modificar o processo TACCP para melhor
atender às suas necessidades e adaptá-lo a outras ameaças como
necessário para lidar com quatro questões:
a) Quem pode querer nos atacar?
b) Como eles podem fazer isso?
c) Em que ponto estamos vulneráveis?
19
PAS 96:2017
d) Como podemos impedi-los?
O fluxograma a seguir (ver Figura 2) descreve o processo TACCP e se concentra em adulteração

deliberada e contaminação. Outras informações sobre cada elemento do processo TACCP descrita na
Figura 2 é dada na lista numerada correspondente [ver 5.2, 1) - 5.2, 15)].
Figura 2 – Determinar o processo TACCP

*”Horizon Scans” é um banco de dados britânico, com relação a Food Fraud
NOTA 1 Uma abordagem de risco alternativa é CARVER + Choque, que é descrita no Anexo C.
NOTA 2 A Figura 2 pretende ser apenas uma ilustração indicativa.
Uma equipe TACCP permanente deve ser formada, incluindo pessoas com as seguintes competências:
• segurança;
• recursos humanos;
• tecnologia de alimentos;
• engenharia de processos;
• produção e operações;
• compras e suprimentos;
• distribuição e logística;
• tecnologia da informação;
• comunicações; e
• comercial / marketing.
NOTA 1 A equipe pode incluir representantes de fornecedores e clientes importantes.

NOTA 2 Em uma pequena organização, uma pessoa pode ter que cobrir todos estes papéis.
NOTA 3 Enquanto a equipe de HACCP pode proporcionar um adequado ponto de partida, a equipe de
Continuidade de Negócios pode ser um modelo melhor. A equipe TACCP é tipicamente estabelecida e é
um grupo permanente capaz de continuamente rever as suas decisões.
Uma vez que que o processo de desenvolvimento TACCP pode cobrir conteúdo sensível e que poderia
20
PAS 96:2017
ser útil para um agressor em potencial, todos os membros da equipe não devem ser apenas
conhecedores dos processos reais, mas também confiáveis, discretos e ciente das implicações do
processo.
A equipe TACCP deve:

1. avaliar todas as novas informações que tenham recebido sua atenção;
2. identificar os indivíduos e / ou grupos que podem ser uma ameaça para a organização e avaliar
sua motivação, capacidade e determinação;
3. identificar os indivíduos e / ou grupos que podem ser uma ameaça para a operação específica
(por exemplo, instalações, fábrica, local);
4. diferenciar ameaças para o produto de outras ameaças: a) para ameaças não-produto, ir à
Cláusula 11; b) para ameaças para os produtos, selecione um produto que é representativo de
um processo particular;
NOTA 4 Por exemplo, um produto apropriado seria típico de uma linha de produção específica e talvez
o mais vulnerável;
5. identificar os indivíduos e / ou grupos que queiram atingir o produto específico;

6. desenhar um fluxograma de processo para o produto do "campo à mesa", mas não se
limitando, incluindo, por exemplo, preparação doméstica. Todo o fluxo gráfico deve ser visível
de uma vez. Atenção particular deve ser dada às partes menos transparentes da cadeia de
abastecimento que podem merecer um fluxograma específico;
7. identificar os pontos vulneráveis onde um agressor poderia ter sucesso e as pessoas que teriam
acesso a uma análise de cada etapa do processo;
8. identificar possíveis ameaças apropriadas para o produto em cada etapa e avaliar o impacto
que o processo possa ter na mitigação das ameaças;
NOTA 5 Modelo de adulterantes incluem ingredientes de baixo custo, alternativos aos componentes
mais caros; modelos de contaminantes podem incluir agentes altamente tóxicos, químicos industriais
tóxicos, materiais nocivos prontamente disponíveis e substâncias impróprias como alérgenos ou
gêneros alimentícios etnicamente impróprios.
NOTA 6 Por exemplo, a limpeza pode remover o contaminante, o tratamento térmico pode destrui-la,
e outros componentes alimentares podem neutralizá-lo.
9. selecionar os pontos no processo em que a ameaça teria mais efeito e onde eles poderiam ser
mais bem detectados;
10. avaliar a probabilidade de procedimentos de controle de rotina detectarem uma ameaça;
NOTA 7 Por exemplo, a análise laboratorial de rotina poderia detectar água com adição de gorduras e
óleos incomuns; uma gestão eficaz de compras contestaria ordens de compra incomuns.
11. Pontuar a probabilidade da ameaça acontecendo, pontuar o impacto que isso teria e mapear
os resultados para mostrar a prioridade que deve ser dada (ver 6.3), e rever se esta avaliação
de risco parece coerente;
NOTA 8 Uma linha de raciocínio não usual pode ser necessária. A equipe TACCP pode perguntar: "Se
nós estivéssemos tentando prejudicar o nosso negócio, qual seria a melhor maneira? Pode se considerar
como um agressor selecionaria materiais de ataque:
• disponibilidade;
• custo;
• toxicidade;
• forma física; e / ou
• segurança na utilização, por exemplo, pesticidas em fazendas e aromas corrosivos que estão dentro
das fábricas podem ser contaminantes convenientes.
21
PAS 96:2017
12. onde a prioridade for alta, identificar quem tem acesso não supervisionado para o produto ou
processo, se estas pessoas são confiáveis e se essa confiança pode ser justificada;
13. identificar, registrar de forma confidencial, acordar e implementar ações preventivas (controles
críticos). A equipe TACCP deve ter uma comunicação confidencial e procedimento de registro
que permita a ação de gerenciamento de decisões, mas não exponha as fraquezas para os que
não têm a necessidade de saber (ver estudos de caso em anexo A);
14. determinar a revisão e procedimentos para revisar a avaliação TACCP; e
NOTA 9 A revisão da avaliação de TACCP, deve ocorrer depois de qualquer situação de alerta ou
anualmente, e em pontos onde surgem novas ameaças ou quando há mudanças nas boas práticas.
15. Manter uma rotina de acompanhamento de publicações de fontes oficiais e da indústria, que
fornecem um aviso antecipado de mudanças que podem se tornar novas ameaças ou mudança
na prioridade das ameaças existentes, incluindo mais questões locais, e como elas se
desenvolvem.
NOTA 10 Um esboço de algumas informações e sistemas de inteligência é dada no Anexo B.
22
PAS 96:2017
6 Avaliação
NOTA As listas a seguir não se destinam a ser exaustivas de todos os aspectos que podem ser
levantadas para avaliar uma ameaça.
Avaliando ameaças
O produto, as instalações, a organização e seus sistemas de informação podem ser alvo de um ataque
de um leque de grupos e indivíduos (ver cláusula 4), e cada elemento deve ser avaliado separadamente.
A equipe TACCP deve considerar fornecedores sob estresse financeiro, funcionários alienados e ex-
funcionários, grupos temáticos isolados, concorrentes comerciais, organizações de mídia, organizações
terroristas, criminosos e grupos de pressão locais.
De forma geral, uma cadeia de suprimentos mais curta, envolvendo menos pessoas pode correr menos
riscos do que uma cadeia de abastecimento mais longa.
A equipe TACCP pode fazer as seguintes perguntas para avaliar uma ameaça.
Para o produto:
• Houve aumento significativo de custos que têm afetado este produto?
• Este produto tem especial significado religioso, ético ou moral para algumas pessoas?
• Poderia este produto ser utilizado como um ingrediente de uma ampla gama de alimentos populares?
• O produto contém ingredientes ou materiais importados?
• Os principais materiais estão cada vez menos disponíveis (por exemplo, por quebra de safra) ou há
alternativas abundantes (por exemplo, de superprodução)?
• Houve aumentos inesperados ou diminuições na demanda?
• Existem disponíveis materiais de baixo custo que poderiam ser substitutos?
• Tem aumento da pressão sobre as margens de negociação dos fornecedores?
Para as instalações:
• As instalações estão situadas em uma área política ou socialmente sensível?
• As instalações têm acesso ou serviços essenciais compartilhados com vizinhos polêmicos?
• Os recém-contratados, especialmente terceiros e pessoal sazonal, são apropriadamente selecionados?
• Os serviços para as instalações são protegidos de forma adequada?
• As utilidades externas são protegidas de forma adequada?
• Os materiais perigosos, que poderiam ser valiosos para grupos hostis, são armazenados nas
instalações?
• O número de pessoas (incluindo o público em geral) usando o local é grande?
• Algum empregado tem motivos para se sentir insatisfeito ou mostrar sinais de insatisfação?
• Os mecanismos de auditoria interna garantem independência?
• As funções-chave são ocupadas por pessoas há muitos anos com pouca supervisão?
Para a organização:
• Estamos sob influência estrangeira de nações envolvidas em conflito internacional?
• Temos uma celebridade como alto executivo ou proprietário?
• Temos uma reputação de ter vínculos significativos com clientes, fornecedores etc., com regiões
instáveis do mundo?
• Nossas são marcas consideradas controversas por alguns?
• Será que nós ou nossos clientes abastecem clientes de alto nível ou eventos?
• A organização é envolvida com o comércio controverso?
• As empresas concorrentes já foram acusadas de espionagem ou sabotagem?
Para os sistemas de informação:

•Os canais de mídia social podem ser alvo de intrusão digital?
•O Controle de Supervisão e Aquisição de Dados (SCADA) e outros sistemas de controle são também
utilizados por outras organizações que poderiam ser os principais alvos?
23
PAS 96:2017
As considerações sobre as respostas para estas perguntas podem dar uma compreensão do impacto
de um ataque bem sucedido e da probabilidade da sua realização. Ele informa um julgamento sobre o
nível proporcional de proteção requerido.
Identificando vulnerabilidades
NOTA Nesta seção AEM e contaminação maliciosa e ciber ataque são utilizadas como exemplos de
abordagens para a avaliação de vulnerabilidade
6.2.1 Generalidades
As organizações têm diferentes necessidades de negócio e operam em diferentes contextos. A equipe

TACCP pode discernir que abordagem e perguntas são adequadas e proporcionais às ameaças
identificadas.
Adulterações Economicamente Motivadas (AEM)

Uma característica típica das AEM (ver 3.2) é a substituição de um produto de baixo custo, em lugar de
outro componente / ingrediente de custo relativamente elevado. A equipe TACCP precisa estar alerta
para a disponibilidade de tais alternativas. Um exemplo onde isso pode acontecer é quando o valor
agregado é uma alegação de rótulo, (por exemplo, cultivados localmente, orgânico, não-GMO, livre de
ou com denominações de origem protegidas). O agressor provavelmente tem acesso rápido a materiais
similares de menor valor, quase indistinguíveis.
NOTA: Mais orientações sobre as fontes de informação e inteligência sobre a probabilidade de fraude
alimentar são fornecidas no anexo B.
A equipe TACCP precisa estar confiante de que a sua própria operação e de seus fornecedores estão
em mãos confiáveis. Isto pode ser conseguido usando conselhos sobre segurança pessoal.26
As perguntas que a equipe TACCP pode aplicar incluem:
• Você confia na gestão de seus fornecedores, e na gestão dos fornecedores deles?

• Os principais fornecedores adotam práticas de segurança pessoal?
• Os fornecedores sabem que nós monitoramos a sua operação e analisamos os seus produtos?
• Quais os fornecedores não são regularmente auditados?
• Será que somos abastecidos por partes obscuras ou remotas da cadeia?
• Como é que os fornecedores dispõem de quantidades excessivas de resíduos?
• Estamos conscientes de possíveis atalhos para o processo que poderiam nos afetar?
• Os nossos funcionários e os fornecedores estão encorajados a relatar anormalidades (denúncias)?
• Os registros de acreditação, certificados de conformidade relatórios de análise são independentes?
6.3.1 Contaminação maliciosa

As perguntas que a equipe TACCP pode fazer tanto da sua própria operação quanto da de seus
fornecedores incluem:
• As auditorias de segurança de alimentos são rigorosas e atualizadas?
• O pessoal segue os procedimentos de segurança?
• O acesso ao produto é restrito às pessoas que tem interesse no negócio?
• As embalagens e recipientes tem lacres ou selos?
• Existe oportunidade de acesso por simpatizantes de grupos ideológicos?
• Existem empregados que guardam rancor contra a organização?
• A disciplina dos funcionários é um problema?
26
Mais informações sobre segurança pessoal podem ser encontradas no site do CPNI:
http://www.cpni.gov.uk/advice/Personnelsecurity1/
24
PAS 96:2017
6.3.2 Ataque cibernético
As perguntas que a equipe TACCP pode fazer incluem:
• O Conselho aprovou o NCSC de 10 Passos para a segurança cibernética e estabeleceu procedimentos
adequados? (Ver Anexo D)
• Os projetos de TI são sujeitos a uma avaliação do risco de invasão eletrônica?
• Os colaboradores estão atentos a denunciar comunicações eletrônicas suspeitas (por exemplo, e-
mails, SMS)?
•O material altamente sensível é elaborado em separado, com sistemas de computador exclusivo?
• As senhas são usadas de forma segura e em conformidade com a orientação NCSC 27?
• Existem políticas eficazes relacionadas com o tratamento de contas eletrônicas quando um membro
da equipe é contratado, se move ou deixa o emprego?
• As ligações Wi-Fi são sem criptografia ou acessíveis por usuários externos?
• Os sistemas operacionais de produção são interligados com os sistemas de tecnologia da informação?
• Os processos internet são seguros? Por exemplo, é possível alterar parâmetros sem a devida
autorização? Poderia registros dispostos em nuvem serem corrompidos?
• Procedimentos de backup de dados são eficazes?
•Os operadores são notificados e cientes das mudanças na produção ou outra configuração
operacional, por exemplo, formulações de produtos?
•Os sistemas de produção podem ser acessados remotamente?
• Os sistemas de operações essenciais são segregados da rede corporativa da empresa e da internet?
• Os dados (de e-mail, internet ou mídia removível) de fontes externas são verificados em busca de
malware antes de serem importados?
•Os acessos remotos aos sistemas da empresa exigem autenticação multifatorial e possuem acesso
limitado?
•Os sistemas informatizados essenciais são testados e tem backups off-line?
•Há planos de TI e de sistemas de produção eficazes para a continuidade de negócios e recuperação
de desastres?
Avaliação de risco
As organizações precisam entender as ameaças que elas enfrentam, mas devem concentrar a atenção
sobre as prioritárias. Para cada ameaça identificada a equipe TACCP deve considerar e atribuir uma
pontuação para a probabilidade de cada ameaça acontecer e seu impacto (ver Tabela 1).
Tabela 1 – Pontuação da avaliação de risco

Probabilidade da Pontuação Impacto
ameaça acontecer
Chance muito alta 5 Catastrófico

Chance alta 4 Maior
Alguma chance 3 Significante
Pode acontecer 2 Algum
Improvável 1 Menor
NOTA 1 Este é um exemplo matriz de pontuação. As
organizações podem escolher o seu próprio esquema de
ranking.
NOTA 2 Probabilidade de uma ameaça pode ser arbitrada,
por exemplo, ao longo de um período de 5 anos.
NOTA 3 Impacto poderia considerar a morte ou lesões, o
custo, danos à reputação e / ou público e percepções da
27
O guia do NCSC está disponível em: https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-
your-approach
25
PAS 96:2017
mídia dessas consequências importantes.
A probabilidade de uma ameaça acontecer pode ser julgada considerando:

• Se um agressor atingir seus objetivos e ser bem-sucedido;
• Se um agressor pode ter acesso ao produto ou processo;
• Se um agressor pode ser dissuadido por medidas de proteção;
• Se um agressor prefere outros alvos; e
• Se um ataque seria detectado antes de ter qualquer impacto.
O impacto pode ser avaliado em termos financeiros ou em termos de experiência do pessoal necessário
para lidar com isso.
A pontuação de risco apresentado por cada ameaça pode ser mostrada em um gráfico simples. Uma
matriz exemplo de pontuação de risco é apresentada na Figura 3.
Figura 3 – Matriz de pontuação de risco
5 Ameaça A
4 Ameaça C
Impacto
3 Ameaça B
2 Ameaça E
1 Ameaça D
1 2 3 4 5
Probabilidade
Risco muito alto Ameaça A
Risco alto Ameaça B
Risco moderado AmeaçaC
Risco baixo Ameaça D
Risco desprezível Ameaça E
NOTA Esta matriz de pontuação de riscos é um exemplo, as organizações podem escolher diferentes critérios para
as diferentes categorias de risco.
Registrando o TACCP
Quatro estudos de caso fictícios que mostram como o processo TACCP pode ser aplicado e adaptado
para melhor atender as necessidades de uma empresa individual são indicados no anexo A.
Eles são apresentados como registros formais da investigação TACCP e podem ser utilizados para
demonstrar que o negócio tenha tomado todas as precauções razoáveis no caso de serem vítimas de
um ataque.
26
PAS 96:2017
7 Controles críticos
NOTA As tabelas 2, 3 e 4 não pretendem ser exaustivas a todos os controles que podem ser considerados
relevantes ou proporcionais para reduzir o risco.
Acesso controlado
Se um agressor em potencial não tem acesso ao seu alvo, então o ataque não irá ocorrer. Não é possível
ou desejável que medidas sejam destinadas a evitar todo tipo o acesso, mas medidas físicas podem
limitar o acesso de determinados indivíduos daqueles com uma necessidade legítima. Algumas
abordagens para redução de risco que a equipe TACCP pode identificar são proporcionais e relevantes
à sua atividade e estão listadas na Tabela 2.
Tabela 2 – Abordagens para a redução de risco
Acesso às instalações Relevante?

Proporcional?
1 Acesso somente do pessoal da empresa
2 Estacionamento de veículos fora do perímetro
3 Instalações zoneadas para restringir o acesso

somente a pessoas com vínculo ao negócio
4 Cercas visíveis e completas ao longo do
perímetro
5 Sistema de alarme no perímetro
6 Monitoramento CCTV / gravação de perímetro

onde há vulnerabilidades
Acesso à veículos Relevante?
Proporcional?
7 Monitoramento de pontos de acesso
8 Vias de acesso com restrição de velocidade
9 Entregas programadas
10 Documentação verificada antes do ingresso
11 Falhas nas entregas são investigadas
Acesso de pessoas Relevante?

Proporcional?
12 Controle por chip ou senha
13 Vestiários separando roupas pessoais do

uniforme
27
PAS 96:2017
Acesso aos sistemas eletrônicos Relevante?
Proporcional?
14 Monitorização de rotina e implementação de

orientações NCSC [28]
15 Os testes de penetração realizado por
profissionais externos
16 Treinamento de rotina nos princípios de
segurança cibernética (por exemplo, do Cyber
Essentials [29] ou BS ISO 27000 série)
Triagem de visitantes Relevante?
Proporcional?
17 Somente agendada
18 Comprovação de identidade solicitada
19 Acompanhamento durante todo o período
20 Confirmação de identificação de empregados e

visitantes
21 Registro e monitoramento por TV nas áreas
sensíveis
Outros aspectos Relevante?
Proporcional?
22 Segurança de correios
23 Restrição de eletrônicos portáteis e câmeras
24 Limitação ao acesso aos serviços de

alimentação
Detecção de violação
Muitas matérias-primas, produtos armazenados e a maioria dos veículos de distribuição e todos os
alimentos embalados podem ser invioláveis. Caso um agressor obtenha acesso, uma violação percebida
dá alguma chance que o ataque possa ser detectado a tempo para evitar o impacto.
Algumas abordagens para se perceber a adulteração podem ser abordadas pela equipe TACCP, sendo
estas proporcionais e relevantes à atividade do negócio conforme Tabela 3.
28
PAS 96:2017
Tabela 3 – Evidências de violação
Detectando violação Relevante?

Proporcional?
1 Lacres numerados em silos de armazenamento

à granel
2 Rótulos numerados no estoque de rótulos e
embalagens rotuladas
3 Lacres nas embalagens individuais de venda ao varejo
4 Lacres numerados em materiais perigosos
5 Controle e tranca de materiais estratégicos
6 Registros de números de lacre de veículos de
entrega
7 Usuários e senhas seguras para acesso
eletrônico
8 Relatórios de tentativas de invasão de sistemas
cibernéticos
Assegurando a segurança do pessoal

Orientações de segurança do pessoal são utilizadas para minimizar a ameaça internas da organização.
Seus princípios podem ser usados para negócios da área de alimentos para julgar se pessoal chave de
dentro da organização que fornecem bens e serviços trabalham no melhor interesse de ambos,
fornecedor e cliente.
Algumas abordagens para assegurar segurança pessoal que a equipe TACCP pode identificar como
sendo proporcionais e relevantes para seus negócios estão listados na Tabela 4.
NOTA Orientações adicionais sobre segurança pessoal estão disponíveis em:

http://www.cpni.gov.uk/ advice/Personnel-security1/ [26]. In particular, food businesses may make use
of CPNI’s publication, HolisticManagement of Employee Risk (HoMER) [30].
Tabela 4 – Segurança de pessoal
Checagens pré contratação Relevante?

Proporcional?
1 Comprovação de Identidade
2 Comprovação de qualificações
3 Verificação de terceiros
4 Para cargos mais sensíveis, identificação de

recrutamento apropriado
Execução da segurança de pessoal Relevante?
Proporcional?
5 Pessoal de funções mais críticas são

motivados e monitorados
29
PAS 96:2017
6 Há mecanismos de denúncia
7 Pessoal temporário supervisionado
8 Indivíduos capazes de trabalhar sozinhos
9 Cultura favorável a segurança28
Atividades de rescisão de contrato Relevante?

Proporcional?
10 Recolher cartões de acesso e chaves
11 Suspender ou encerrar contas de computador
12 Análise de implicações de segurança, na

entrevista de rescisão
28
Informações adicionais sobre cultura de segurança disponíveis em: CPNI em
https://www.cpni.gov.uk/developing-security-culture [31].
30
PAS 96:2017
8 Resposta a um incidente
Gestão de crises na proteção dos alimentos

Procedimentos de proteção e defesa dos alimentos têm por objetivo reduzir o risco de um ataque, mas
não podem eliminá-lo. Assim, a resposta à emergência e protocolos de continuidade de negócios são
essenciais.
A proteção dos alimentos pode estar dentro de um sistema de gerenciamento de crises dos negócios
(ver BS 11200), e é provável que compartilhe de seus objetivos gerais:
• minimizar os danos físicos e financeiros para os consumidores, clientes, funcionários e outros;

• colaborar com investigação e aplicação autoridades (por exemplo National Food Crime Unit no Reino
Unido)
• obter apoio público para a organização;
• minimizar o custo financeiro, de reputação e pessoal do incidente;
• evitar a repetição de ocorrências; e
• identificar os infratores.
Quando a contaminação é implícita, quarentena e talvez o recolhimento e recall do produto podem ser
necessários
Nos casos envolvendo ação penal, agentes da polícia devem ser envolvidos com a maior brevidade
possível, para evitar qualquer perda de provas.
NOTA Alguns exemplos de contatos da polícia são a Agência Nacional do Crime e da unidade
antissequestro e extorsão; outros também são fornecidos no Anexo B.
Geralmente o melhor momento para gerenciar uma crise não é na crise, então planejamento, recursos
avançados e procedimentos, são essenciais.
Gestão de um ataque cibernético

A agilidade de resposta pode influenciar bastante o dano causado por um ataque cibernético, assim a
manutenção de uma rede de contatos pode ser crucial. A complexidade e variedade de ataques pode
ser tão grande que a seleção de um especialista (antes do incidente) pode beneficiar muitas
organizações.
Reflexões sobre resposta a incidentes cibernéticos estão disponíveis a partir CREST (Conselho de
Testadores de Segurança éticos registrados) [32]. O apoio pode também estar disponível a partir da
adesão ao CISP (Cyber Security Information Sharing Partnership) - Parceria para Compartilhamento de
Informações de Segurança Cibernética [33].
Plano de contingência para

recuperação do ataque
Princípios de gerenciamento dos negócios
fornecem boa resiliência para recuperação de
um ataque. Conselhos sobre a melhor forma
de desenvolver e implementar a recuperação
da organização em resposta a um incidente
significativo é fornecido pela BS ISO 22313.
31
PAS 96:2017
9 Revisão das disposições de proteção

alimentar
Quaisquer alterações que possam afetar a avaliação TACCP, tais como violações e suspeitas de violação
da segurança ou autenticidade, devem ser imediatamente comunicadas ao líder da equipe TACCP quem
decide se é necessária uma revisão completa.
A equipe TACCP deve monitorizar os sítios Web oficiais para obter actualizações nas avaliações de
ameaças nacionais e para obter informações sobre riscos emergentes (ver Anexo B). A situação local
pode ser revisada frequentemente e brevemente contra alterações das condições relativas às
instalações.
Um relatório conciso da revisão deve ter apenas uma circulação limitada.

A equipa TACCP deverá rever regularmente as disposições de proteção alimentar em consonância com
outras políticas empresariais.
NOTA O relatório TACCP e quaisquer documentos de revisão são comercialmente sensíveis e
confidenciais. Gerentes sênior de confiança com uma "necessidade de saber" e os oficiais de
fiscalização requerem acesso. As organizações podem considerar a publicação de uma visão
geral genérica para uso interno e/ou para apresentar a auditores externos. Tal visão geral evita
detalhes que poderiam ser de valor para um agressor.
Os auditores externos devem respeitar a natureza sensível do processo TACCP.
32
PAS 96:2017
Anexo A (informativo)Estudos de caso TACCP
NOTA Estes estudos de caso são inteiramente fictícios e qualquer semelhança com organizações reais
é mera coincidência.
A.1 Geral
Este anexo apresenta quatro estudos de caso para ilustrar como o processo TACCP pode ser adaptado,
operado e reportado por diferentes organizações para refletir a sua situação empresarial. São escritos
como registos formais do exercício de avaliação de risco e não tem qualquer contexto empresarial de
fundo.
O estudo de caso A é uma cadeia nacional de fast food, e o estudo

de caso B é uma pequena empresa com um proprietário/gestor
que trata pessoalmente de todos os assuntos estratégicos e
operacionais.
O estudo de caso C e o estudo de caso D destinam-se a destacar

as questões de segurança cibernética enfrentadas pelas empresas
inovadoras do setor alimentar. O estudo de caso C é uma iniciativa
alimentar de um operador estabelecido na Internet, mas não de
um operador de alimentos. O estudo de caso D é um negócio
alimentar profissional que tem como objetivo explorar
oportunidades digitais.
Em todos os casos, o processo TACCP foi deliberadamente

alterado em relação ao descrito na Cláusula 5 para encorajar os
utilizadores deste PAS a adaptarem uma abordagem de mente
aberta.
A.2 Estudo de Caso A

O estudo de caso A apresenta um relatório de exemplo no seguimento do trabalho de investigação da
equipa TACCP na Burgers4U, uma cadeia nacional de fast-food. As suposições feitas são as seguintes:
Burgers4U é uma cadeia fictícia de fast food com a proposta de venda única (USP) que faz os seus
próprios hambúrgueres. A nível nacional é um grande operador, mas não tem negócios internacionais;
• O hambúrguer padrão é considerado típico da gama: padrão, jumbo, vegetariano, queijo e
chilli;
• O Diretor de Operações da Burgers4U lidera o Comité de Planejamento de Emergência e
Continuidade de Negócios da empresa;
• o Chefe da Auditoria Interna detém a responsabilidade delegada pela segurança e prevenção
de fraude;
• a equipe TACCP também recebeu contribuições de outros gestores sobre temas especializados;
e
• este estudo de caso faz uso da informação contida no relatório do grupo consultivo de peritos:
As lições a serem aprendidas com o incidente da carne de cavalo de 2013 [34].
33
PAS 96:2017
Estudo de Caso A - TACCP
Empresa: BURGERS4U
Localização: Todos os pontos de venda de varejo de rua
Produto: Hambúrgueres para viagem padrão
Equipe TACCP: Diretor de Operações (Presidente)
Gerente de Recursos Humanos
Gerente de Compras
Gerente Técnico
Chefe de Auditoria Interna
Table A.1 –Informação sobre ameaças
No Ameaças à empresa e aos Possível método de operação Comentários

sistemas de informação
de:
A Ativistas dos direitos dos animais Vandalismo ou sabotagem Poucos indícios de atividade
atual
B Hacktivistas Ataque de negação de serviço O desenvolvimento do perfil

distribuída (DDOS) no website da empresa pode provocar um
ataque
C Compradores da empresa Fraude; conluio com fornecedores Equipe estabelecida para
trabalhar de forma autônoma
D Criminosos Falsificação: apropriação indevida Aumento do risco à

de embalagens medida que a marca se
fortalece
No Ameaças locais de: Possível método de operação Comentários
E Apoiadores de empresas locais Publicidade adversa; 'Culpa por Alguns locais relatam altos
associação' com fast food níveis de interesse da
imprensa
F Pessoal da empresa com excesso de Contaminação mesquinha; Falta de funcionários onde há
trabalho, a desmotivação pode levar possível contaminação maliciosa pouca educação pós-18;
a uma aliança com extremistas (por grave e em locais com uma
exemplo, terroristas) reputação extremista
G Grupos de questões únicas Infestação deliberada de instalações Alguns precedentes recentes
H Funcionários da linha da frente Roubo; conluio com clientes Auditoria rigorosa em vigor;
Gerentes de pontos de venda
dignos de confiança
(verificações de segurança do
pessoal)
No Ameaças ao produto de: Possível método de operação Comentários
I Fornecedores de carne Proteína não animal, ou carne não A carne de bovina é

bovina, em substituição da carne especificada e esperada,
embora não seja reivindicada
na publicidade
J Funcionários da linha da frente Subcozinhamento deliberado Escala de serviço e lista
34
PAS 96:2017
hamburguers dos turnos minimizam
hipóteses de conluio
K Funcionários da linha da frente Vender hambúrguer
demasiado tempo depois de
embalado
L Grupo com motivação ideológica Contaminação maliciosa dos Nível de ameaça
componentes oficial inalterado
NOTA Os relatórios da imprensa sobre preocupações com a autenticidade dos alimentos são pertinentes.
35
PAS 96:2017
Figura A.1 – Identificação de ameaças

© The British Standards Institution 2017
36
PAS 96:2017
Tabela A.2 – Identificação de ameaças m

Etapa Adulterante; Impacto do
Etapa de Processo Ameaças Vulnerabilidade Acesso Mitigação QA/QC Probabilidade Impacto
no Contaminação processo
01A Selecionar padaria Várias Funcionários Funcionários de Contratos de — — — — —

casuais produção funcionários de
produção
requerem
protocolos de
segurança pessoal
01B Selecionar padaria Fraude Colusão Compradores Pouca — — — 2 3
02 Água da rede Contaminação Reservatórios de Engenheiros de Controle de Toxinas solúveis Pode inibir Pode reprovar 1 1
maliciosa armazenamento serviços acesso efetivo fungos; pode nos testes
afetar o sensoriais
manuseamento
da massa
03 Armazenar água; Conforme acima Reservatórios de Como acima Como acima Como acima Como acima Como acima 1 1
ajustar a temperatura armazenamento
por lotes
04 Fonte de farinha + micro Substituição Pequena — — — — — — —
ingredientes fraudulenta vantagem de
custo para o
fraudador
05 Misturar, dividir, provar, Contaminação Operação de Misturadora Pessoal treinado Toxina em pó Pode inibir a Pode reprovar 1 1
assar pães maliciosa mistura por lotes especializada e experiente levedura; pode nos testes
operativa afetar o sensoriais
manuseamento
da massa
06 Resfriar, congelar, — — — — — — — — —
embalar pãezinhos
07 Paletizar — — — — — — — — —
08 Armazenamento em frio — — — — — — — — —
37
PAS 96:2017
09 Entrega aBurgers4U — — — — — — — — —
10A Selecionar matadouro / Fraude Colusão Compradores Pouco — — — 3 5

instalação de corte
10B Selecionar matadouro / Substitui Má segregação Motoristas de Identificação Carne de fontes Negligenciável Testes 2 3
instalação de corte ção das espécies entrega, animal única mais baratas aleatórios
fraudulen funcionários de registrada podem detectar,
ta processamento a menos que
haja conluio
11 Fonte de Carne Substitui Má segregação Gestão de Carne de fontes Negligenciável Testes 4 3

ção das espécies processos e mais baratas aleatórios
fraudulen funcionários podem detectar,
ta a menos que
haja conluio
12 Açougue Substitui Má segregação Gestão de Carne de Negligenciável Testes 2 3

ção das espécies processos e fontes aleatórios
fraudulen funcionários mais podem detectar,
ta baratas a menos que
haja conluio
13 Entrega a Desvio de Responsabilidade — — — — — — —

Burgers4U consignaçã do fornecedor
o
14 Armazenamento — — — — — — — — —
em frio
15 Pesagem de Contaminação Funcionamento Gestão de Normas Toxinas Negligenciável Pode reprovar 1 3
condimentos, etc. maliciosa manual processos e rigorosas de em pó nos testes
funcionários higiene sensoriais
16 Pesar carne para carne Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima
picada
17 Lotes de massa Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima
picada
38
PAS 96:2017
18 Formar hamburguers Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima Como acima
19 Congelar hamburguers — — — — — — — — —
20 Embalar em caixas — — — — — — — — —
21 Paletizar — — — — — — — — —
23 Fonte de Apropriação Segurança do Motorist Pouco — — — 2 4

embalagens indevida; armazém do as de
fornecedor entregas
da
agência
24 Fonte de consumíveis — — — — — — — — —
25 Fonte de Picles + Substitu — — Marcas — — — — —

guarnição ição de estabelecid
ingredie as;
ntes contratos
fiáveis
26 Entrega a — — — — — — — — —
Burgers4U
27 Armazenamento amiente — — — — — — — — —
28 Entrega a restaurante — — — — — — — — —
29 Escolher pedidos — — — — — — — — —
30 Entregar a restaurante — — — — — — — — —
39
PAS 96:2017
32 Mover a cozinha Substitu Fora de horas; Funcionários Casos Hamburguer Pouco Nenhum 1 3
ição sem de armazém evidentes de espetados
malicios supervisão noturno adulteração
a
33 Preparar hamburguer Subcozi Funcionário Funcionários fabricação — — Nenhum 1 2
mento sozinho do rigorosa
delibera restaurante para Food
do Safety
34 Embrulhar hamburguer — — — — — — — — —
35 Armazenamento quente — — — — — — — — —
36 Receber pedido — — — — — — — — —
37 Pedido de abastecimento Vender Gerente do — Procediment — — — 2 2

hambur restaurante os de
guer sob pressão de segurança
muito desperdício dos
tempo funcionários
depois
de
embalad
o
38 Receber pagamento Roubo Funcionários Funcionários Caixas — — — 4 1
do restaurante do balcão automáticas
; auditoria
rigorosa
39 Eliminação de resíduos Apropri Caixas Publico Remoção — — — 1 2

ação externas diária
indevida desbloqueada
; s
Contrafa
cção
NOTA O simbolo ‘—‘ indica não aplicável ou não significante.
40
PAS 96:2017
Table A.3 – Avaliação de ameaças
Ameaças Descrição Etapa vulnerável Probabilida Impacto Ação de proteção

de
A Vandalismo ou sabotagem Todos os locais 1 2 Manter a vigilância
B Ataque de DDOS em website Marketing 3 3 Assegurar as boas práticas de segurança cibernética
C:01B Fraude; conluio com fornecedores Selecionar padaria 2 3 Rotação de trabalho <5 anos
Auditoria interna
C:10A Seleccionar matadouro/instalação de 3 5
corte
D:23 Contrafacção; apropriação indevida de Fonte de embalagens 2 4 Aviso formal ao fornecedor; novo fornecedor se
embalagens nenhuma melhoria na segurança após 6 meses
D:39 Eliminação de resíduos 1 2 Nenhuma outra ação
E Publicidade adversa: 'Culpa por Empresa 2 1 Rever estratégia de relações públicas

associação' com 'fast food'.
F:32 Contaminação mesquinha; Mover para cozinha 1 3 Parte das caixas utilizados a serem seladas
pelo gerente
Possível contaminação maliciosa grave
G Infestação deliberada de instalações Restaurantes 1 2 Manter a vigilância
H:38 Roubo: conluio com clientes Receber pagamento 4 1 Nenhuma outra ação
I:10B EMA - proteína não animal, ou carne Seleccionar matadouro/instalação de 2 3 Gestão de fornecedores mais rigorosa: auditoria
não bovina, em substituição da carne corte técnica, amostragem regular/testes ad hoc, facilitar
a denúncia de irregularidades
I:11 Fonte de carne 4 3
I:12 Açougue 2 3
41
PAS 96:2017
J:33 Subcozinhamento deliberado do Preparar hamburguer 1 2 Nenhuma outra ação

hamburguer
K:37 Vender hamburguer muito tempo depois de Abastecimento de pedido 2 2 Nenhuma outra ação
embalado
L:02 Contaminação maliciosa do componente Água da rede 1 1 Nenhuma outra ação
L:03 Armazenar água; ajustar a 1 1

temperatura
L:05 Misturar, dividir, provar, assar pães 1 1
L:15 Pesagem de condimentos, etc. 1 3 Funcionários chave para cumprir as normas

de segurança dos funcionários
42
PAS 96:2017
Figura A.2 – Priorização das ameaças
C:10A
5
D:23
4
Impacto C:01B
F:32
3 I:10B B I:11
L:15
I:12
A
D:39
K:37
2
G
J:33
E H:38
1
1 2 3 4 5
Exclui (1,1) ameaças Probabilidade
A.3 Conclusões
O TACCP identificou e registrou 19 ameaças, das quais 9 estão sob controlo satisfatório.
A fraude na seleção do matadouro/instalação de corte é a maior ameaça para a Burgers4U e podem

resultar em penalidades de custos contínuas e danos significativos à reputação. Estreitamente ligadas
estão as ameaças de substituição de espécies ou de proteínas que não sejam de carne. Dentro da equipe
TACCP, o Gerente Técnico é responsável pela implementação de ações de proteção com o objetivo de
reduzir a ameaça para (2,3) no prazo de 12 meses. Esta ação é também pode mitigar outras ameaças
de abastecimento.
Sendo uma marca com uma reputação crescente de qualidade e integridade, a ameaça dos bens
contrafeitos aumenta. O fornecedor tradicional de material de embalagem impresso não reconhece isto
e tem procedimentos de segurança física inadequados em vigor. Como parceiro de confiança, o Gerente
de Compras tem a tarefa de solicitar ao fornecedor a remediar a situação ou a encontrar uma alternativa.
Esta ameaça deve ser avaliada como (1,3) ou melhor dentro de 6 meses.
O website Burgers4U não é um instrumento primário de venda, mas desempenha um papel de

marketing significativo. O Chefe de Auditoria Interna é designado para estabelecer a ligação com o
Departamento de Sistemas Empresariais, a fim de assegurar o fornecimento de recursos adequados aos
procedimentos de segurança cibernética em geral e contra ataques de negação de serviço em particular.
Aconselhamento e propostas para serviços de resposta cibernética podem ser solicitados (por exemplo,
à fornecedores aprovados pelo CREST). Não está prevista qualquer redução na avaliação (3,3).
O Gerente Técnico deve controlar as fontes oficiais e industriais de informação e inteligência sobre
riscos emergentes e decidir com o Presidente da equipe TACCP se deve voltar a reunir o grupo antes
da sua reunião de rotina de 6 meses agendada.
A.4 Estudo de Caso B

O estudo de caso B apresenta um exemplo de um relatório de avaliação de ameaças da Bridgeshire
43
PAS 96:2017
Companhia de Queijos. Foi preparado, sozinho na ausência de outros colegas executivos, por:
A. Bridgeshire, o Sócio-Gerente, e resume a sua avaliação individual das ameaças que enfrenta. A
Bridgeshire Companhia de Queijos é uma pequena fazenda familiar fictícia, produtora de queijo
orgânico de propriedade e exploração agrícola que vende ao varejo especializado e à empresas de
serviços alimentares.
A tabela A.4 representa um exemplo de relatório de avaliação de ameaças. A figura A.3 representa um
fluxograma de avaliação de vulnerabilidade.
44
PAS 96:2017
Tabela A.4 – Relatório de avaliação de ameaças 20170602
A)
Ameaça A partir de Ameaça Vulnerabilidade Mitigação Consequência Impacto Probabilidade Ação de proteção
No
1 Fornecedores Fornecimento Leite "recarregável"; Todas as mercadorias Perda do estatuto 5 2 Exigir certificado de
não orgânico Bezerros comprados; de fornecedores orgânico conformidade para todas
sémen
B) acreditados as compras ad hoc
2 Vizinhos que reagem Doenças de Direitos de passagem A biossegurança vai ao Perda da cobertura 3 2 Instalar reservatório para
em demasia aos gado através da fazenda encontro das melhores do rebanho e/ou do evitar a descarga de
"incómodos causados generalizadas práticas seguro efluentes quando o vento
por efluentes sopra do SW
3 Funcionários BCC Contaminação Operações manuais, Todo funcionário é Doença localizada 2 1 Nenhuma outra ação
maliciosa sem supervisão membro familiar possível
(processo em grande ou parceiros de
parte autocontrolado) confiança a longo
prazo;
Todos os lotes são
testados para sabor
4 Fazendas adjacentes Ensaios de Terra de pastagem Campanha de Perda do estatuto 4 3 Ação cooperativa com a
culturas GM perimetral organização de orgânico associação comercial
acreditação para pressionar os
funcionários eleitos
5 Criminosos Roubo de Distribuição, veículo Pouco Valor dos bens; 2 3 Substituir por um veículo
oportunistas produto muitas vezes não Perda de reputação mais moderno na
tripulado e de confiança primeira oportunidade
desbloqueado
6 Ciber criminosos Ataque remoto Alteração do sistema O fornecedor está a Produto perigoso 5 1 Manter análise de CQ
ao processo de SCADA 'Off the Peg' assegurar de novo do sub- separada
produção para reduzir o processamento Siga o conselho do NCSC
controlado pela tempo/temperatura de
nuvem pasteurização
A) Ver Figura A.3 para a avaliação do processo de vulnerabilidade total.
B) Outros bens são rotineiramente obtidos de empresas acreditadas de longa data.
45
PAS 96:2017
Figura A.3 – Avaliação da vulnerabilidade
46
PAS 96:2017
A.5 Estudo de caso C

FryByNite é um novo empreendimento, um serviço nacional de entrega de alimentos quentes de
uma grande empresa de comércio geral baseada na Internet. A empresa é líder mundial na área
de gerenciamento de software e logística, mas é nova em operações de negócios de alimentos.
Ela reconhece sua fragilidade em alimentos e tem um consultor especialista em alimentos
contratado durante as fases de lançamento e consolidação do FryByNite.
A FryByNite tem como objetivo entregar alimentos quentes recém preparados às portas dos
clientes dentro de 30 minutos após receber um pedido pela web ou por telefone. O carro-chefe é
peixe e batatas fritas, com cada veículo de entrega carregando fritadeiras programáveis de fritura
por imersão em gordura. O produto cru é encomendado pela Internet a partir de uma rede de lojas
de fast food contratadas. Estes preparam os alimentos e os carregam nos cestos de fritura
utilizados pelo veículo de entrega. Um sistema de posicionamento global (GPS) estima o tempo
até as instalações do cliente e inicia o processo de fritura. Quando prontas, as cestas de fritura
retiram-se automaticamente e os alimentos são embalados e mantidos quentes para que o cliente
receba os alimentos quentes recém preparados em melhores condições do que se eles próprios
tivessem visitado a loja. (Ver Figura A.4)
Exemplo de produto: Peixe frito e batatas fritas para entrega a domicílio (como típico do menu)
Figura A.4 –Fluxo de trabalho FryByNite
Início: A. Receber
pedidos no site ou
por telefone
B. Confirmar os C. Indicar o fornecedor

detalhes da conta e mais próximo e fazer o
receber o pedido
pagamento
H. Viagem até o cliente e

entrega
J. Drenar fritadeiras e
substituir o óleo Fim
semanalmente
47
PAS 96:2017
Time TACCP Diretor de Recursos Humanos (Presidente)

Diretor de Sistemas de Informação
Consultor tecnólogo de alimentos
Chefe da segurança
Informações sobre as ameaças

NOTA Como uma nova 'marca' FryByNite é coberta pelos procedimentos de gerenciamento de risco e
planejamento de contingência da holding. O TACCP trata, portanto, dos aspectos operacionais do novo
empreendimento.
Tabela A.5 – Informações sobre as ameaças
No Atores de Ameaças à empresa de: Possível método de Comentários

ameaça operação
1 Ativistas Falha do sistema de pedidos Ataque DDOS Protegido por sistemas e

Hackers baseado na web experiência em toda a
empresa
2 Estados nação Perda da navegação Compromisso excessivo e/ou Sem controle sobre os
baseada em GPS manutenção inadequada pelos atores da ameaça, mas
operadores de satélites. forte proteção contratual
com os operadores
3 Extorcionistas Exposição de dados E-mails de phishing para o Ransomware prontamente

sensíveis pessoal disponível
4 Colaboradores Roubo de IP Acesso não autorizado a

internos privilégios administrativos
Ameaças ao produto:
5 Fornecedores Intoxicação alimentar Manuseio inadequado

prejudicados do produto
6 Concorrentes Intoxicação alimentar Falha do regime de De falha de energia ou

cozimento da van subversão dos controles de
processo
7 Pessoal Intoxicação alimentar Contaminação maliciosa Triagem de

prejudicado segurança de
pessoal
implementada
Ameaças as operações
8 Criminosos Ataque ao veículo / Assalto por dinheiro Sinalizações: "Nenhum

motorista dinheiro presente neste
veículo" no lugar
9 Vândalos Pequenos danos a veículos Oportunismo aleatório não Áreas mais arriscadas
planejado observadas no
sistema de Satnav
10 Fraudadores Perda de renda Uso de dados pessoais
roubados para criar conta
falsa
48
PAS 96:2017
Tabela A.6 – Avaliação de ameaça
Passo Ameaça Ameaça No. Vulnerabilidade Mitigação Adulterante/ Comentário Probabilidade Impacto
Contaminante
A DDOS (1) A1 Alta - local público Sistemas — Incômodo; perda 4 2

corporativos dão de vendas; clientes
aviso prévio irritados
A Falha A2 O sistema de Manter ligações — Pequena chance 2 4

interbancária (2) transferência estreitas com os de grande perda
eletrônica de operadores do
valores é o alvo sistema
cibernético
principal, mas bem
protegido
B Conta fraudulenta B1 Ponto de entrega Verificar as novas — Desperdício de 1 1
(10) fictício contas na tempo
configuração
C Fornecedor não C1 Bancos de dados Parceria estreita — 1 1

disponível desatualizados com fornecedores
C Contaminação do C2 A batedeira pode Fornecedores Químicos tóxicos; O fornecedor não 1 4

produto (5) ser o alvo avaliados para bactérias formadoras de sabe a identidade
(6) (7) operação HACCP esporos do cliente, a
menos que haja
colaboração
C Substituição de C3 Fraude alimentar Como C2 Troca de espécies Reputação e 3 2
produto (5) oportunista regulamentação
D Falha de GPS D1 Sinal fraco Contato com — Planos de 1 1

fornecedores de contingência em
telecomunicações vigor
F Corrupção do F1 Nova tecnologia: Testes mostram — Possiblidade de 3 5

sistema de obstáculos resiliência fogo ou comida
controle com prováveis mal cozida
malware (1)
(4)
49
PAS 96:2017
G Subcozimento G1 Filés de grandes Limites de — Produto não 1 1

dimensões tamanho comestível
(intragável)
G Contaminação do G2 Operação manual Triagem de Químicos tóxicos; 2 4
produto (4) não pessoal bactérias formadoras de
supervisionada esporos
H Atrasos na rota H1 Trânsito Atualizações — Compensação se 3 1
inesperado ou automáticas de a comida não for
obras rodoviárias navsat comestível
(intragável)
H Ataque à equipe H2 Alguns clientes e Treinamento de — Uma preocupação 2 5
(8) áreas difíceis pessoal em fundamental em
prevenção de algumas áreas
conflitos
H Danos ao veículo H3 Veículo não Áreas mais — Bastante 1 2
(9) supervisionado arriscadas incômodo
durante a entrega observadas no
sistema de navsat
J Descarte J1 Equipe sob Substituição 'novo — Dano de 1 2
inadequado de pressão em busca por antigo' reputação
óleo usado (7) de atalhos
J Uso de óleo J2 Equipe sob Substituição 'novo Outros óleos Questões: 1 4
errado pressão buscando por antigo' comestíveis rotulagem;
atalhos ou Óleos minerais alergia;
ocultando erros integridade;
Produtos químicos
toxicidade;
orgânicos tóxicos
segurança contra
incêndios
50
PAS 96:2017
Figura A.5 – Priorização de ameaças
4 A1
Probabilid
ade
3 H1 C3 F1
2 A2 G2 H2
B1 C1
1 J1 H3 C2 J2
D1 G1
1 2 3 4 5
Impacto
36
PAS 96:2017
Tabela A.7 – Registro de ameaças
Ameaça Classific Descrição Outras ações Responsabilidade Comentário

ação defensivas
(P, I)
F1 (3,5) Corrupção Revisão diária Diretor da Meta (2,3) dentro de

do sistema durante as fases de InfoTech um ano.
de controle implementação e
de processo consolidação.
para Estabeleça contato

fritadeiras com o provedor de
software.
A1 (4,2) DDOS - site Manter um contato Diretor da Em andamento.

NCSC. InfoTech É improvável que a
Acompanhe conversas classificação da ameaça
nas redes sociais. mude.
H2 (2,5) Ataque à equipe Avaliar o uso de Diretor da Com o Diretor de

câmeras corporais InfoTech Recursos Humanos
C3 (3,2) Substituição Introduzir Consultor de Alvos (1,2)

fraudulenta de amostragem de tecnologia de
produto produtos de baixo alimentos
nível
A2 (2,4) Falha nas Continuar com Diretor da Cobertura de seguro

transferências de os protocolos Infotech adequada.
fundos entre atuais
bancos
G2 (2,4) Contaminação Manter rotinas de Diretor de Meta (1,4)
maliciosa do segurança recursos humanos
produto pessoal
H1 (3,1) Atrasos na rota Continuar com Sob controle

os protocolos proporcional.
atuais.
J1 (1,2) Descarte Revisar e promover o Diretor de Meta (1,1) dentro de

inadequado de modelo "novo pelo Recursos um ano.
óleo usado antigo". Humanos
H3 (1,2) Danos ao veículo Continuar com Sob controle

os protocolos proporcional.
atuais.
37
PAS 96:2017
Tabela A.7 – Registro de ameaças (continuação)
Ameaça Classific Descrição Outras ações Responsabilida Comentário

ação defensivas de
(P, I)
C2 (1,4) Contaminação Incluir manuseio de Consultor de É improvável que a

maliciosa (intencional) químicos não- tecnologia de classificação da ameaça
do produto alimentares na alimentos mude.
acreditação de
fornecedores.
J2 (1,4) Uso de óleo errado Incorporar Diretor de É improvável que a

tecnologia ao Recursos classificação da ameaça
treinamento de Humanos mude.
indução (iniciação)
B1 (1,1) Conta de cliente Nenhuma ação - Sob controle

fraudulenta adicional proporcional.
necessária
C1 (1,1) Fornecedor não Revise o Diretor de -

disponível treinamento do Recursos
administrador Humanos
do banco de
dados.
D1 (1,1) Falha de GPS Nenhuma ação - Sob controle
adicional proporcional.
necessária
G1 (1,1) Subcozimento Nenhuma ação - Sob controle

do produto adicional proporcional.
necessária
Comentários
Como um novo desenvolvimento, a equipe TACCP planeja reunir-se mensalmente para rever
os desenvolvimentos.
1. No total, a equipe identificou 15 ameaças, das quais sete requerem uma ação de proteção
substantiva.
2. O controle remoto da operação de fritura cria a oportunidade para novas ameaças (F1)
que receberiam atenção de categoria superior e prioridade organizacional.
3. Precauções, por exemplo treinamento apropriado, desde o lançamento da iniciativa
mantiveram a probabilidade de ataque ao pessoal baixa, mas são necessárias ações adicionais.
4. Os gerentes seniores da matriz continuam sua política de evitar uma imagem pública de alto
perfil, o que ajuda a reduzir a chance de a FbN ser um alvo.
38
PAS 96:2017
A.6 Estudo de caso D

F. Armer & Daughters Ltd é uma empresa agrícola estabelecida com uma reputação invejável de "boas
práticas". O negócio evoluiu e cresceu a partir de suas origens como uma fazenda familiar mista que
abastece sua população local com produtos sazonais até sua ampla tarifa horticultura atual. O negócio
principal é o fornecimento de legumes "frescos como podem ser" para a venda a varejo. Algumas frutas
e cereais especializados complementam a produção de hortaliças. Há um interesse crescente no
fornecimento para operações de serviços de alimentação.
O negócio é administrado diariamente pelas netas do fundador da fazenda, o pai do F. Armer, que
nomeou a empresa e continua sendo seu presidente. Ela emprega uma pequena equipe para administrar
a fábrica altamente mecanizada de limpeza e embalagem, mas depende fortemente de terceiros

agrícolas para o trabalho agrícola, utilizando pessoal temporário para cobrir os períodos de pico. Ela
se compromete com a verificação externa de seus processos e procedimentos e recebe relatórios
exemplares de órgãos de credenciamento e de múltiplos clientes. Estes procedimentos incluem uma
abordagem eficaz para a gestão de riscos.
A empresa empreendeu agora uma mudança maciça para a automação e controle remoto tanto de
operações agrícolas como de embalagem. Ela está comprometida com o uso de veículos aéreos não
tripulados (UAV) de vigilância das culturas para melhor administrar a irrigação, aplicação de pesticidas,
fertilizantes e outros tratamentos e colheita. Ela pretende integrar totalmente o resfriamento, limpeza,
corte e embalagem dos produtos. O objetivo é reduzir significativamente ainda mais o tempo desde o
campo até a expedição.
Como parte desta iniciativa e à medida que ela se desenvolve, os Diretores contrataram um
especialista em segurança da informação para conduzir um exercício TACCP relacionado
especificamente aos novos sistemas de informação. O gerenciamento de risco do negócio
convencional está bem estabelecido. A intenção é que eles tenham controles proporcionais em
vigor.
Tabela A.8 – Possíveis fontes de atividades maliciosas afetando F. Armer & Daughters Ltd
Maior ameaça de: Ameaça moderada de: Menor ameaça de:
Hacktivistas Ex-funcionários alienados Concorrentes

(demitidos) em busca de vingança
Sabotagem da infraestrutura de Terroristas em busca de publicidade Ativistas ambientais

suporte de TI
Extorsores Contratados
Criminosos roubando IP inovador
38
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution PAS 96:2017
Tabela A.9 – Avaliação de ameaça
Ameaç Sistema Ameaça Vulnerabilidade Mitigação Comentário Probabili Impacto

a No. dade
TN1 Pedidos Falha de linhas A operação pode ser lenta, Acordos pessoais 2 3
eletrônicos de telefônicas mas não falhou em 5 anos sólidos com os
clientes (clima, acidente, compradores, para
sabotagem, que a ligação móvel
incompetência) seja um expediente
TN2 Pedidos Corrupção de Intervenção por partes Grandes variações dos 2 2
eletrônicos de dados durante a não autorizadas volumes planejados
clientes transferência solicitarão
confirmação
TN3 Levantamento Mal Interrupção da operação Invólucro seguro e A entrada manual 4 4
de pedidos de funcionamento de limpeza / embalagem inviolável para o atrasará a
processament da levando a grandes equipamento operação de
o para transferência desperdícios, escassez de embalagem em
embalagem de dados produtos e tempo de um grau
inatividade inaceitável
TN4 Levantamento de Corrupção de Principais penalidades de Transportadoras 2 3
documentos de dados custo de remessas contratadas não
carga e entrega de rejeitadas devem notar
veículos discrepâncias
TN5 Monitoramento de Câmeras e O controle remoto do Atualizações rotineiras Tanto os danos 3 2
safras por UAV sensores não dispositivo pode ser de software instaladas causados quanto o
conseguem assumido por agentes mal- roubo do dispositivo
detectar intencionados podem ser incentivos
problemas para negligência
emergentes
Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution PAS 96:2017
TN6 Sistema Oferta de O acesso remoto por O backup Chave para a 2 2

computadoriza resgate por Diretores pela Internet independente diário prática
do de registro parte de oferece oportunidade para reduziria as perdas operacional e
de fazenda criminosos criminosos acreditação
externa
TN7 Sistemas de Sabotagem Instrumentos altamente A atualização Engenheiro de 1 5
controle de controles sofisticados de alto ea serviço
industrial eletrônicos custo não podem ser manutenção contratado
duplicados, são rigorosas disponível 24
então não operação = não horas por dia, 7
produção dias por semana
PAS 96:2017
Figura A.6 – Priorização de ameaças
TN3
4
Probabilid
aed
TN5 TN4 F1
3
TN6 TN1 A2 G2 H2
2
TN2 TN7
1
1 2 3 4 5
Impacto
Comentário
1. A empresa adotou a "fabricação totalmente integrada" como seu caminho para a eficiência e
atendimento ao cliente, mas ainda não está plenamente consciente das vulnerabilidades que estão
implícitas. A consultoria especializada em segurança da informação foi contratada para completar a
avaliação das ameaças e recomendar controles proporcionais.
2. Na medida do possível, os sistemas duplicados devem ser operados até a conclusão da avaliação.
3. O apoio e aconselhamento do ncsc.gov.uk é usado para aumentar a conscientização entre os
contratantes-chave e o pessoal de confiança.
4. Revisão a ser realizada em um mês.
© The British Standards Institution 2017 40

PAS 96:2017
Anexo B (informativo)
Fontes de informação e inteligência sobre riscos
emergentes para o abastecimento de alimentos
B.1 Geral
A Organização Mundial da Saúde (por meio do INFOSAN) e a Organização para a Alimentação e
Agricultura (por meio da EMPRES e da GIEWS) das Nações Unidas coordenam esforços globais para
identificar novos riscos e implementar medidas de controle para minimizar seu impacto.
Eles disseminam informações para organizações nacionais de alimentos, como a Food Standards
Agency do Reino Unido. Essas organizações nacionais de alimentos podem disponibilizá-lo para
empresas de alimentos, normalmente por meio de associações comerciais, mas na verdade é um
processo de mão dupla.
NOTA Os serviços de assinatura que fornecem informações úteis também incluem:
• HorizonScan, que monitora problemas globais de integridade alimentar,
consulte: https://horizon-scan.fera.co.uk/;
• Banco de Dados de Fraudes em Alimentos da Convenção Farmacopeia dos EUA,
consulte: https://www.foodfraud.org/;
• US-CERT - Equipe de prontidão de computadores dos Estados Unidos, consulte
https://www.us-cert.gov/.Food Fraud Database from the US Pharmacopeial
Convention, see: https://www.foodfraud.org/;
B.2 Níveis de informação e inteligência

A Figura B.1 ilustra a disseminação global e a troca de informações e inteligência sobre os riscos
emergentes para os alimentos que podem ser usados para atualizar as avaliações TACCP. Cinco
níveis podem ser usados para descrever diferentes níveis de compartilhamento de informações,
sendo 1 o mais baixo e 5 o mais alto:
Nível 1 – Empresa de Alimentos;
Nível 2 - Local;
Nível 3 - Nacional;
Nível 4 - Europeu;
Nível 5 - Internacional.

PAS 96:2017
Figura B.1 – Disseminação global de informações e inteligência sobre riscos emergentes

para alimentos que podem ser usados para atualizar as avaliações TACCP

PAS 96:2017
Anexo C (informativo)
Abordagens complementares à proteção de

alimentos e bebidas
C.1 CARVER+Shock
CARVER+Shock é uma ferramenta de priorização ofensiva, que foi adaptada para uso no setor
alimentício americano. Como TACCP, o CARVER + Shock envolve uma organização jogando
"Red Team", onde os membros da equipe se colocam no lugar do potencial atacante e

perguntam:
Se eu quisesse causar danos, ou ganhar mais dinheiro, ou ganhar publicidade, ou tirar

vantagem da situação de alguma outra forma:
• O que eu faria?
• Onde eu faria isso?
• Quando eu faria isso?
Na verdade, eles usam a ferramenta de seleção de alvos militar para julgar os pontos fracos,
avaliando seus:
Criticidade
Accessibilidade
Reconhecibilidade
Vulnerabilidade
Efeito
Recuperabilidade
Mais informações sobre CARVER + Shock estão disponíveis no Carver + Shock Primer [38].
C.2 Plano de ação de 5 pontos da UE
Em resposta à fraude da carne de cavalo em 2013, a Comissão Europeia estabeleceu o

seguinte plano de 5 pontos [39].
1) Desenvolver sinergias entre as autoridades responsáveis pela aplicação da lei,
garantir o intercâmbio rápido de informações sobre violações intencionais das
regras da cadeia alimentar, promover o envolvimento da Europol nas investigações.
2) Garantir que as regras sobre passaportes de cavalos sejam aplicadas corre tamente,
que os passaportes sejam entregues apenas pelas autoridades competentes e que
bancos de dados nacionais sejam criados.
3) Exigir que as sanções financeiras por violações intencionais das regras da cadeia
alimentícia sejam estabelecidas em níveis suficientemente dissuasivos e que os
planos de controle nos Estados-Membros incluam controles não anunciados.
4) Adotar regras sobre a rotulagem de origem obrigatória de carne (ovelha, cabra, porco,
aves, cavalo, coelho, etc.) e entregar um relatório no outono de 2013 sobre a possível
extensão da rotulagem de origem obrigatória para todos os tipos de carne usados
como ingrediente em alimentos.
5) Apresentar e avaliar os resultados dos controles atualmente realizados nos países
da UE.

PAS 96:2017
C.3 Federação de Alimentos e Bebidas do Reino Unido

O Guia da Federação de Alimentos e Bebidas do Reino Unido (FDF) sobre 'Autenticidade alimentícia:
cinco etapas para ajudar a proteger sua empresa contra fraude alimentar [40], segue o guia da
FDF' Fornecimento Sustentável: Cinco etapas para gerenciar o risco da cadeia de abastecimento
'[32] e fornece informações sobre:
1) mapear sua cadeia de suprimentos;
2) identificação de impactos, riscos e oportunidades;
3) avaliar e priorizar suas descobertas;
4) criar um plano de ação; e implementação, rastreamento, revisão e
comunicação.

PAS 96:2017
Anexo D (informativo)
10 Passos para a segurança cibernética: uma
responsabilidade no nível do conselho29)
NOTA Este anexo foi desenvolvido com base no material fornecido pelo National Cyber Security
Center (NCSC).
D.1 Perguntas-chave para CEOs e conselhos

D.1.1 A proteção dos principais ativos de informação é crítica
1) Quão confiantes estamos de que as informações mais importantes da nossa empresa
estão sendo adequadamente gerenciadas e protegidas contra ameaças cibernéticas?
2) Estamos cientes de que o Conselho provavelmente será o alvo principal?
3) Temos uma imagem completa e precisa de:
• o impacto na reputação da nossa empresa, preço das ações ou existência, se
informações confidenciais internas ou de clientes mantidas pela empresa fossem
perdidas ou roubadas?
• o impacto sobre os negócios se nossos serviços online forem interrompidos por um
período curto ou prolongado?
D.1.2 Explorar quem pode comprometer nossas informações e por quê

1) Recebemos informações regulares do chefe de informações / gerente de segurança
sobre quem pode ter como alvo nossa empresa, seus métodos e suas motivações?
2) Encorajamos nossa equipe técnica a participar de intercâmbios de informações com
outras empresas em nosso setor e / ou em toda a economia para avaliar, aprender com
os outros e ajudar a identificar ameaças emergentes?
D.1.3 A gestão proativa do risco cibernético no nível do Conselho é crítica

1) O risco de segurança cibernética afeta o valor da ação, fusões, preços, reputação,
cultura, equipe, informações, controle de processos, marca, tecnologia e finanças.
Estamos confiantes de que:
• identificamos nossos principais ativos de informação e avaliamos
minuciosamente sua vulnerabilidade a ataques?
• a responsabilidade pelo risco cibernético foi alocada de forma adequada? Está
no registro de riscos?
• temos uma política escrita de segurança da informação em vigor, que é
defendida por nós e apoiada por meio de treinamento regular da equipe?
Estamos confiantes de que toda a força de trabalho entende e segue essa
política?
29
Para obter mais informações sobre segurança cibernética, consulte:
https://www.ncsc.gov.uk/guidance/10-steps-board-level-responsibility [42].

PAS 96:2017
Bibliografia
Publicações de padrões
Para referências datadas, apenas a edição citada se aplica. Para referências não datadas, a
última edição do documento referenciado (incluindo quaisquer emendas) se aplica.
Avaliação de riscos
BIP 2153, Managing risk the ISO 31000 way
BS 31100, Risk management - Code of practice and guidance for the

implementation of BS ISO 31000
BS EN 31010, Risk management - Risk assessment techniques
BS ISO 31000, Risk management - Principles and guidelines
PD ISO/TR 31004, Risk management – Guidance for the implementation of ISO 31000
Gerenciamento de crises
BS 11200, Crisis management – Guidance and good practice
Gestão de continuidade de negócios

BS ISO 22301, Business continuity management systems
– Requirements and guidance
BS ISO 22313, Societal security - Business continuity management systems – Guidance
Segurança da cadeia de suprimentos

BS ISO 28000, Specification for security management systems for the supply chain
BS ISO 28002, Security management systems for the supply chain - Development of
resilience in the supplychain - Requirements with guidance for use
PD CEN/TR 16412, Supply chain security (SCS) - Good practice guide for small and
medium sized operators
Segurança das informações

BS ISO/IEC 27000, Information technology – Security techniques – Information
security management systems
– Overview and vocabulary

PAS 96:2017
BS ISO/IEC 27001, Information technology - Security techniques - Information security

management systems
- Requirements
Outros padrões
BS 10501, Guide to implementing procurement fraud controls
BS EN ISO 22000, Food safety management systems – Requirements for any organization
in the food chain
Outras publicações e websites

[1] CODEX ALIMENTARIUS. CODEX CAC/RCP 1-1969:
General principles of food
hygiene. Rome: CODEX Alimentarius, 2003.
[2] NATIONAL CYBER SECURITY CENTRE. Glossary. Available from:

https://www.ncsc.gov.uk/glossary [viewed July 2017].
[3] FOOD STANDARDS AGENCY. Available from: https://

www.food.gov.uk/enforcement/the-national-food- crime-unit/what-is-food-crime-and-
food-fraud [viewed July 2017].
[4] US Pharmacopeial Convention’s Food Fraud Database. Available from:

http://www.foodfraud.org/ [viewed July 2017].
[5] BBC. ‘Plastic rice’ seized in Nigeria. BBC, 2016. Available from:
http://www.bbc.co.uk/news/world-africa-38391998 [viewed July 2017].
[6] OLIVE OIL TIMES. Italy arrests 33 accused of olive oil fraud. Olive Oil Times, 2017.
Available from: https:// www.oliveoiltimes.com/olive-oil-business/italy-arrests- 33-accused-
olive-oil-fraud/55364 [viewed July 2017].
[7] OLIVE OIL TIMES. Brazil reveals widespread olive oil fraud. Olive Oil Times, 2017.
Available from: https://
www.oliveoiltimes.com/olive-oil-business/brazil-reveals-widespread-olive-oil-fraud/56395
[viewed July 2017].
[8] EURO WEEKLY NEWS. Police uncover major beef food fraud in Spain. Euro Weekly
News, 2017. Available from: https://www.euroweeklynews.com/3.0.15/news/ on-euro-weekly-
news/spain-news-in-english/144405-police-uncover-major-beef-food-fraud-in-spain
[viewed July 2017].
[9] ANTONY GITONGA. Naivasha Hawkers using formalin to preserve milk. Standard
Media.
Available from: http://www.standardmedia.co.ke/ article/2000107380/naivasha-hawkers-
using-formalin-to- preserve-milk [viewed July 2017].
[10] WORLD HEALTH ORGANIZATION and FOOD AND AGRICULTURE ORGANIZATION

OF THE UNITED NATIONS. Toxicological aspects of melamine and cyanuric acid: Report
of a WHO expert meeting in
collaboration with FAO. WHO and FAO, 2009. Available from:
http://www.who.int/foodsafety/fs_management/ Exec_Summary_melamine.pdf, [viewed July
2017].

PAS 96:2017
[11] U.S. PHARMACOPEIAL CONVENTION. Food fraud database version 2.0. Available by
subscription from: http://www.foodfraud.org/#/food-fraud-database- version-20 , [viewed
July 2017].
[12] FOOD STANDARDS AGENCY. Update on malicious tampering with Kingsmill bread.
Food Standards Agency, 2006. Available from: http://webarchive.
nationalarchives.gov.uk/20120206100416/http://food.
gov.uk/news/newsarchive/2006/dec/kingsmill [viewed July 2017].
[13] TOROK, THOMAS J. MD, TAUXE, ROBERT V. MD, MPH, WISE, ROBERT P. MD, MPH;
LIVENGOOD, JOHN R MD, SOKOLOW, ROBERT, MAUVAIS, STEVEN, BIRKNESS, KRISTEN
A,SKEELS, MICHAEL R PhD, MPH, HORAN, JOHN M MD MPH, FOSTER, LAURENCE R, MD,
MPH.
A large community outbreak of Salmonellosis caused by intentional contamination of
restaurant salad bars. American Medical Association, 1997. Available from:
http://www.cdc.gov/phlp/docs/forensic_epidemiology/
Additional%20Materials/Articles/Torok%20et%20al.pdf [viewed July 2017].
[14] Q FOOD. Food Tampering: [1989] Glass in baby food. Germany. Available from:
http://www.qfood. eu/2014/03/1989-glass-in-baby-food/ [viewed July 2017].
[15] ORR, JAMES. Blackmailer jailed over Tesco bomb threats. The Guardian, 2008. Available
from: http:// www.theguardian.com/uk/2008/jan/28/ukcrime [viewed July 2017].
[16] MURRAY, KEVIN D. Electronic eavesdropping & Industrial espionage. New York:
Murray Associates. Available from: https://counterespionage.
worldsecuresystems.com/tscm-the-missing-business-school-course.html [viewed July
2017].
[17] GILLAM, CAREY. Chinese woman arrested in plot to steal U.S corn technology.
Kansas City: Grainews. Available from: http://www.grainews.ca/daily/chinese- woman-
arrested-in-plot-to-steal-u-s-corn-technology [viewed July 2017].
[18] THE COUNTERFEIT REPORT. How to identify counterfeit Glen’s vodkas.

Alexandria, 2014. Available from: http://thecounterfeitreport.com/product/322/ [viewed
July 2017].
[19] NEWSCORE. Offshore raids turn up fake Aussie Jacob’s Creek wines. Australia,
2011. Available from: http://www.news.com.au/finance/offshore- raids-turn-up-
fake-aussie-jacobs-creek-wines/story- e6frfm1i-1226029399148 [viewed July 2017].
[20] FINANCIAL FRAUD ACTION UK. Restaurants and diners targeted in new scam.
London. Available from: http://www.financialfraudaction.org.uk/cms/assets/1/
scam%20alert%20-%20restaurants%20web%20 link%20doc.pdf [viewed July 2017].
[21] NATIONAL FRAUD AUTHORITY. Annual fraud indicator. National Fraud Authority,
2013. Available from: https://www.gov.uk/government/uploads/system/
uploads/attachment_data/file/206552/nfa-annual-fraud-indicator-2013.pdf [viewed July
2017].
[22] SMITH, MATT. Cyber criminals use hacked Deliveroo accounts to order food on
victims’ cards. DAILY TELEGRAPH, 2016. Available from: https://business-
reporter.co.uk/2016/11/23/cyber-criminals-use-hacked- deliveroo-accounts-order-food-
victims-cards/ [July 2017].

PAS 96:2017
[23] ASSOCIATED PRESS. Michigan-based Biggby Coffee reports database breach,

possible theft of customer information. CANADIAN BUSINESS, 2015. Available from:
http://www.canadianbusiness.com/business-news/ michigan-based-biggby-coffee-
reports-database- breach-possible-theft-of-customer-information [viewed July 2017].
[24] FEDERAL BUREAU OF INVESTIGATION CYBER DIVISION. PIN Number

160331-001 Smart Farming May Increase Cyber Targeting Against US Food
and Agriculture Sector 31. March 2016. Available from:
https://info.publicintelligence.net/FBI- SmartFarmHacking.pdf [viewed July
2017].
[25] NATIONAL CYBER SECURITY CENTRE and NATIONAL CRIME AGENCY. The Cyber
Threat to UK Business. Available from: https://www.ncsc.gov.uk/news/ ncsc-and-nca-threat-
report-provides-depth-analysis- evolving-threat [viewed July 2017].
[26] CENTRE FOR THE PROTECTION OF NATIONAL INFRASTRUCTURE. Personnel security.

London: CPNI. Available from: http://www.cpni.gov.uk/advice/ Personnel-security1/ [viewed
July 2017].
[27] NATIONAL CYBER SECURITY CENTRE. 10 Steps to Cyber Security. NCSC, 2016.
Available from: https:// www.ncsc.gov.uk/guidance/10-steps-cyber-security [viewed July
2017].
[28] NATIONAL CYBER SECURITY CENTRE. Password Guidance: Simplifying your

approach. Available from: https://www.ncsc.gov.uk/guidance/password-guidance-
simplifying-your-approach [viewed July 2017].
[29] HM GOVERNMENT. Cyber Essentials – Protect your business against cyber threats.
Available from: https:// www.cyberaware.gov.uk/cyberessentials/ [viewed July 2017].
[30] CENTRE FOR THE PROTECTION OF NATIONAL INFRASTRUCTURE. Holistic

management of employment risk (HoMER). London: CPNI, 2012. Available from:
http://www.cpni.gov.uk/advice/Personnel-security1/ homer/ [viewed July 2017].
[31] CENTRE FOR THE PROTECTION OF NATIONAL INFRASTRUCTURE. Developing a

Security Culture London: CPNI https://www.cpni.gov.uk/developing- security-culture
[viewed July 2017].
[32] CREST. Available from: http://www.crest-approved. org/ [viewed July 2017].
[33] Cyber Security Information Sharing Partnership (CiSP) Available from

https://www.ncsc.gov.uk/cisp [viewed August 2017].
[34] SCOTTISH GOVERNMENT and FOOD STANDARDS AGENCY. Expert advisory

group report the lessons
to be learned from the 2013 horsemeat incident. 2013. Available from:
http://www.scotland.gov.uk/ Resource/0043/00437268.pdf [viewed July 2017].
[35] WORLD HEALTH ORGANIZATION. International Food Safety Authorities Network

(INFOSAN). Available from: http://www.who.int/foodsafety/areas_work/ infosan/en/ [viewed
July 2017].
[36] FOOD AND AGRICULTURE ORGANIZATION OF THE UNITED NATIONS.

Emergency prevention system (EMPRES). Available from: http://www.fao.org/
foodchain/empres-prevention-and-early-warning/en/ [viewed July 2017].

PAS 96:2017
[37] GLOBAL INFORMATION AND EARLY WARNING SYSTEM (GIEWS). Available from:
http://www.fao.org/ giews/english/index.htm [viewed July 2017].
[38] FOOD AND DRUG ADMINISTRATION. Carver + Shock Primer – An overview of the
Carver plus Shock method for food sector vulnerability assessments. FDA, 2009. Available
from: http://www.fda.gov/downloads/
Food/FoodDefense/FoodDefensePrograms/UCM376929. pdf [viewed July 2017].
[39] FOOD AND DRINK FEDERATION. Food authenticity: Five steps to help protect your
business from food fraud. London: FDF, 2013. Available from: https://www. fdf.org.uk/food-
authenticity.aspx [viewed July 2017].
[40] FOOD AND DRINK FEDERATION. Sustainable sourcing: Five steps towards managing
supply chain risk. London: London: FDF, 2014. Available from: http://
www.fdf.org.uk/sustainable-sourcing.aspx [viewed July2017].
[41] NATIONAL CYBER SECURITY CENTRE.10 Steps: A board level responsibility. Available
from: https://www. ncsc.gov.uk/guidance/10-steps-board-level-responsibility [viewed July
2017].
[42] NATIONAL CYBER SECURITY CENTRE. 10 Steps: A Board Level Responsibility. NCSC,
2016. Available from: https://www.ncsc.gov.uk/guidance/10-steps-board-level- responsibility
[viewed July 2017].
Leitura adicional
BRC Global Standard for Food Safety. British Retail Consortium.
BRITISH RETAIL CONSORTIUM (BRC). Cyber Security

Toolkit: A Guide for Retailers. Available from: https:// brc.org.uk/media/120731/brc-cyber-
security-toolkit_ final.pdf [viewed July 2017].
CENTRE FOR THE PROTECTION OF NATIONAL

INFRASTRUCTURE. Products and services. Available from: http://www.cpni.gov.uk/advice/
[viewed July 2017].
EUROPEAN COMMISSION. http://ec.europa.eu/

dgs/health_consumer/dyna/consumervoice/create_ cv.cfm?cv_id=891
FOOD STANDARDS AGENCY. Principles for preventing and responding to food incident. FSA,
2007. Available from: http://multimedia.food.gov.uk/multimedia/pdfs/
taskforcefactsheet23mar07.pdf [viewed July 2017].
INSTITUTE OF FOOD SCIENCE AND TECHNOLOGY. Good manufacturing

practice: A guide to its responsible management. Wiley-Blackwell, 2013.
MI5 THE SECURITY SERVICE. Current threat level in the UK. Available from:
www.mi5.gov.uk [viewed July 2017].
NATIONAL CYBER SECURITY CENTRE. Guidance.

Available from: https://www.ncsc.gov.uk/guiance [viewed July 2017].
WORLD HEALTH ORGANIZATION. Terrorist threats to food. Guidelines for establishing and
strengthening prevention and response systems. Food Safety Issues (WHO), 2008.

PAS 96:2017
INTERPOL. Operation Opson. Available from: http://www.interpol.int/Crime-areas/Trafficking-

in-illicit- goods-and-counterfeiting/Operations/Operations/ Operation-Opson [viewed July
2017].
EUROPAL and INTERPOL. Operation Opson III 2013: Targeting counterfeit and substandard
foodstuff. Available from: http://www.ipo.gov.uk/ipenforce-opson. pdf [viewed July 2017].
CIO from IDG (International Data Group - Global) 5 steps to respond to a security breach.
Available from: https://www.cio.com.au/article/580908/5-steps-respond- security-breach/
[viewed August 2017].
CampdenBRI Guideline 72 TACCP (Threat Assessment and Critical Control Point) - A

practical guide.

PAS 96:2017
A British Standards Institution (BSI)

BSI é o órgão nacional independente responsável pela preparação das
Normas Britânicas e outras publicações, informações e serviços
relacionados a normas. Apresenta a visão do Reino Unido sobre os
padrões na Europa e em nível internacional.
A BSI é incorporada pela Royal Charter. Padrões britânicos e outros

produtos de padronização são publicados pela BSI Standards Limited.

PAS 96:2017
Revisões
Os padrões britânicos e PASs são atualizados periodicamente por meio de emendas ou revisões. Usuários de Padrões
Britânicos
e os PASs devem certificar-se de que possuem as últimas alterações ou edições.
É objetivo constante da BSI melhorar a qualidade de nossos produtos e serviços. Ficaríamos gratos se alguém que
encontrasse uma imprecisão ou ambiguidade ao usar as Normas Britânicas informasse o Secretário do comitê técnico
responsável, cuja identidade pode ser encontrada na contracapa. Da mesma forma para PASs, notifique o Atendimento
ao Cliente BSI.
Tel: +44 (0)845 086 9001
O BSI oferece aos Membros Assinantes BSI um serviço de atualização individual denominado PLUS, que garante que os
copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution
assinantes recebam automaticamente as últimas edições dos Padrões Britânicos e PASs.

Tel: +44 (0)845 086 9001
Email: plus@bsigroup.com
Padrões para compra

Você pode comprar versões em PDF e em cópia impressa dos padrões diretamente usando um cartão de crédito na BSI
Shop no site www.bsigroup.com/shop. Além disso, todos os pedidos de BSI, publicações de normas internacionais e
estrangeiras podem ser encaminhados ao Atendimento ao Cliente do BSI.
Tel: +44 (0)845 086 9001
Email: orders@bsigroup.com
Em resposta aos pedidos de padrões internacionais, a BSI fornecerá a implementação do Padrão Britânico do padrão
internacional relevante, a menos que solicitado de outra forma.
Informações sobre padrões

O BSI fornece uma ampla gama de informações sobre padrões nacionais, europeus e internacionais por meio de seu
Centro de Conhecimento.
Tel: +44 (0)20 8996 7004
Email: knowledgecentre@bsigroup.com
Os Membros Assinantes do BSI são mantidos atualizados com os desenvolvimentos dos padrões e recebem descontos
substanciais no preço de compra dos padrões. Para obter detalhes sobre esses e outros benefícios, entre em contato
com a Administração de Membros.
Tel: +44 (0)845 086 9001
PAS 96:2017
Email: membership@bsigroup.com
Informações sobre o acesso online a British Standards e PASs por British Standards Online podem ser encontradas em
http://shop.bsigroup.com/bso
Mais informações sobre os Padrões Britânicos estão disponíveis no site da BSI em www.bsigroup.com/standards
Direito autoral
Todos os dados, software e documentação estabelecidos em todas as Normas Britânicas e outras publicações da BSI
são propriedade e protegidas por direitos autorais pela BSI, ou por alguma pessoa ou entidade que detém os direitos
autorais das informações utilizadas (como os organismos internacionais de padronização).
licenciar formalmente essas informações para a BSI para publicação e uso comercial. Exceto conforme permitido pelo
Copyright, Designs and Patents Act 1988, nenhum extrato pode ser reproduzido, armazenado em um sistema de
recuperação ou transmitido de qualquer forma ou por qualquer meio - eletrônico, fotocópia, gravação ou outro - sem a
permissão prévia por escrito do BSI. Isso não impede o uso gratuito, no decorrer da implementação da norma, de detalhes
necessários, como símbolos e designações de tamanho, tipo ou grau. Se esses detalhes forem usados para qualquer outra
finalidade que não a implementação, a permissão prévia por escrito da BSI deve ser obtida. Detalhes e conselhos podem ser
obtidos no Departamento de Direitos Autorais e Licenciamento.
Tel: +44 (0)20 8996 7070
Email: copyright@bsigroup.com
PAS 96:2017
www.bsigroup.com
United Kingdom
Road London W4 4AL
BSI, 389 Chiswick High
Licensed copy: BSI Standards, version correct as of 16/1f 16/11/2017 © British Standards Institution

PAS 96 Traduzida

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PAS 96 Traduzida

Enviado por

Direitos autorais:

Formatos disponíveis

Licensed copy: BSI Standards, version correct as of 16/11/2017 © British Standards Institution

Trabalharam na tradução desse texto para o português brasileiro:

A tradução é uma iniciativa:

Publicação e informações de copyright

Cyber Security (segurança cibernética) ................................................ 9

O processo TACCP ............................................................................ 19

O reconhecimento é dado às seguintes organizações que foram envolvidos no

O reconhecimento também é dado aos membros de um amplo painel de avaliação que

Uso deste documento

Considerações contratuais e legais

A conformidade com um PAS não pode conferir imunidade de obrigações legais.

O objetivo do PAS 96 é orientar gestores de empresas da cadeia de alimentos, através de abordagens

alimentos. Isto inclui a viabilidade das empresas na cadeia de abastecimento.

Cyber Security (segurança

Food Defense (Defesa dos

Food Fraud (Fraude dos Alimentos)

NOTA 1 Embora existam muitos tipos de fraude

2) A descrição deliberadamente incorreta de alimentos, como:

Food Protection (Proteção dos Alimentos)

Food Supply (Abastecimento de Alimentos)

Figura 1 – uma cadeia de abastecimento de alimentos

Upstream (para frente)

Dowstream (para trás)

NOTA 1 Não deve ser confundida com "segurança pessoal".

Adulteração economicamente motivada (AEM)

As contaminações próximas ao ponto de consumo ou venda, como no caso 7, (a parte final na

A principal motivação da espionagem é dos concorrentes buscando vantagem comercial para

Tecnologias de informação e comunicação modernas proporcionam novas e incrivelmente rápidas

A fraude em ambos os casos 17 e 18 poderiam ser realizadas remotamente através da Internet

cliente. Eles podem ter conhecimento especializado da operação e acesso a ela.

O hacker e outros criminosos cibernéticos

Tradicionalmente, este tipo de agressor tem informações e especialização em tecnologia de

Eles podem ser dissuadidos por uma

5 Avaliação de Ameaças e Pontos Críticos de

TACCP tem como objetivo:

Em termos mais amplos:

O TACCP não pode deter indivíduos ou organizações alegando

O fluxograma a seguir (ver Figura 2) descreve o processo TACCP e se concentra em adulteração

Figura 2 – Determinar o processo TACCP

*”Horizon Scans” é um banco de dados britânico, com relação a Food Fraud

NOTA 1 A equipe pode incluir representantes de fornecedores e clientes importantes.

A equipe TACCP deve:

5. identificar os indivíduos e / ou grupos que queiram atingir o produto específico;

NOTA 10 Um esboço de algumas informações e sistemas de inteligência é dada no Anexo B.

terroristas, criminosos e grupos de pressão locais.

Para os sistemas de informação:

As organizações têm diferentes necessidades de negócio e operam em diferentes contextos. A equipe

Adulterações Economicamente Motivadas (AEM)

As perguntas que a equipe TACCP pode aplicar incluem:

• Você confia na gestão de seus fornecedores, e na gestão dos fornecedores deles?

6.3.1 Contaminação maliciosa

Tabela 1 – Pontuação da avaliação de risco

Chance muito alta 5 Catastrófico

A probabilidade de uma ameaça acontecer pode ser julgada considerando:

Figura 3 – Matriz de pontuação de risco

Risco muito alto Ameaça A

Risco alto Ameaça B

Risco moderado AmeaçaC

Risco baixo Ameaça D

Risco desprezível Ameaça E

à sua atividade e estão listadas na Tabela 2.

Tabela 2 – Abordagens para a redução de risco

Acesso às instalações Relevante?

1 Acesso somente do pessoal da empresa