Escolar Documentos
Profissional Documentos
Cultura Documentos
POP. - Tratamento de Incidentes de Segurança Da Informação
POP. - Tratamento de Incidentes de Segurança Da Informação
● Será realizada coleta, aquisição e preservação das informações de evidências, tão rápido quanto possível, logo após a
ocorrência;
● Todas as atividades de respostas envolvidas serão adequadamente registradas para análise futura;
● Será realizada comunicação da existência de incidentes de segurança da informação para pessoas internas ou externas,
se houver detalhes relevantes;
● Será realizado tratamento com as fragilidades de segurança da informação encontradas que causaram ou contribuíram
para o incidente;
● Uma vez que o incidente foi tratado de forma bem-sucedida, encerrá-lo e registrá-lo formalmente.
Diretriz de Segurança e
Utilização de Recursos de
TI
2. Registrar o Incidente de Analista de SLAs acordados com as Uma vez detectado o incidente, ele
segurança da informação Tecnologia da áreas de negócios deverá ser registrado.
(Abertura) Informaçãos
Solução de gerenciamento
de chamados Para cada categoria de incidente,
deverá ser atribuído um prazo para
resolução
Solução de gerenciamento
de chamados.
Deverão ser registradas evidências
desses testes nas soluções de
gerenciamento de chamados.
11. Monitorar, revisar e Gerente de Solução de gerenciamento Deverá ser monitorada, revisada e
reportar a eficácia do Incidentes de chamados reportada a eficácia do processo e
processo das equipes envolvidas na
resolução dos incidentes de
segurança da informação, a fim de
promover o aperfeiçoamento dos
processos e equipes técnicas.
Cabe ao Comitê de Privacidade determinar quais eventos são atividades normais e quais eventos são potenciais Incidentes de
Privacidade. Considerando que a definição prévia de uma lista de incidentes pode não ser a melhor solução em razão da rápida
desatualização frente aos avanços tecnológicos, recomenda-se a avaliação casuística de cada situação, levando em conta o
framework de avaliação de riscos, conforme perguntas abaixo:
● Em caso negativo, trata-se de um incidente de segurança da informação, apenas, que deve ser gerido de acordo com as
demais disposições da presente Política.
● Em caso positivo, responder à pergunta seguinte;
● Em caso positivo, a recomendação mais conservadora é de que a situação seja considerada um incidente de dados
pessoais e, além de eventuais outras instruções previstas neste Plano, seja seguido o passo a passo previsto no item
4.3.1 abaixo (caso a Empresa opte por não declarar a ocorrência do incidente nesses termos, recomenda-se seja
elaborado parecer fundamentando de forma clara e objetiva os motivos dessa decisão).
● Em caso negativo, responder à pergunta seguinte.
c) Os dados pessoais implicados na situação relatada foram ou podem ser alvo de algum dos riscos indicados na tabela do
Anexo I?
● Em caso negativo, a situação relatada provavelmente não constitui um incidente de privacidade em razão de não serem
verificados riscos ou danos potenciais e deve ser tratada como um incidente de segurança da informação e ser tratado
de acordo com as demais instruções da presente Política.
● Em caso positivo, indicar o código dos riscos em questão e proceder à avaliação prevista no item “d” a seguir (Atenção:
caso a situação relatada não implique a ocorrência de quaisquer dos riscos abaixo, mas possa implicar outras
consequências negativas não previstas, documentar de forma detalhada tais consequências e realizar a avaliação
prevista no item “d” a seguir).
d) Algum/alguns do(s) risco(s) e/ou consequência(s) identificado(s) podem ser classificados com nível igual ou superior a 2 na
avaliação do impacto com base na tabela constante do Anexo II?
● Em caso positivo, a recomendação mais conservadora é de que a situação seja considerada um incidente de dados
pessoais e, além de eventuais outras instruções previstas neste Plano, seja seguido o passo a passo previsto no item 8
abaixo (caso a Empresa opte por não declarar a ocorrência do incidente nesses termos, recomenda-se seja elaborado
parecer fundamentando de forma clara e objetiva os motivos dessa decisão).
● Em caso negativo, documentar a situação relatada para fins de acompanhamento e auditoria e incluir, nessa
documentação, a avaliação de riscos realizada.
COMUNICAÇÃO DE UM INCIDENTE
Com o fim de avaliar internamente a relevância do risco ou dano do Incidente para determinar se deverá comunicá-lo à ANPD
e/ou ao Titular, a Empresa deverá considerar as respostas às seguintes perguntas:
2. Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de
segurança?
(a) Sim – A Empresa deve comunicar à ANPD e ao titular.
(b) Não – A comunicação à ANPD não será necessária se a Empresa puder demonstrar, de forma irrefutável, que a violação da
segurança dos Dados Pessoais não constitui um risco relevante para os direitos e liberdades do Titular dos Dados.
É obrigação da Empresa, na condição de Controladora dos Dados Pessoais, comunicar à ANPD a ocorrência de Incidente que
possa acarretar risco ou dano relevante aos Titulares.
A comunicação deverá ser efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.
(h) Informações sobre o Incidente: (i) data e hora da detecção; (ii) data e hora do Incidente e sua duração; (iii)
circunstâncias em que ocorreu a violação de segurança de Dados Pessoais, por exemplo, perda, roubo, cópia, vazamento,
dentre outros; (iv) descrição dos Dados Pessoais e informações afetadas, como natureza e conteúdo dos Dados Pessoais,
categoria e quantidade de dados e de Titulares afetados; (v) resumo do Incidente, com indicação da localização física e meio
de armazenamento; (vi) possíveis consequências e efeitos negativos sobre os Titulares dos dados afetados; (vii) medidas de
segurança, técnicas e administrativas preventivas tomadas pelo Controlador de acordo com a LGPD; (viii) resumo das medidas
implementadas até o momento para controlar os possíveis danos; (ix) possíveis problemas de natureza transfronteiriça; (x)
outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.
Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais
poderão ser fornecidas posteriormente.
No momento da comunicação preliminar deverá ser informado à ANPD se serão fornecidas mais informações posteriormente,
bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a
qualquer momento.
A comunicação aos Titulares de Dados Pessoais deve ocorrer sempre que o Incidente possa acarretar um risco ou dano
relevante aos Titulares afetados.
A probabilidade de risco ou dano relevante para os Titulares será maior sempre que o Incidente envolver Dados Pessoais
Sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar
danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo
de identidade. Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a
boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o Incidente e a facilidade de identificação dos titulares
por terceiros não autorizados.
Nos casos em que a Empresa atuar como Operadora do tratamento de Dados Pessoais, é dever da Empresa comunicar ao
Controlador a existência de ato/fato que possa ser compreendido como Incidente, para que o Controlador adote as medidas
cabíveis. Nessa situação, a Empresa deverá observar eventual Acordo de Processamento de Dados ou outras responsabilidades
decorrentes de contratos ou instrumentos específicos celebrados junto aos Operadores, a fim de delimitar os prazos e o
escopo das informações a serem repassadas.
Uma vez informado o Controlador, caso o Controlador não proceda à análise, ao tratamento e às notificações devidas, a
Empresa, na condição de Operadora, poderá comunicar à ANPD conforme indicado no item 4.4.1 acima.