TRATAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO.

Respostas aos incidentes de Segurança da Informação

● Será realizada coleta, aquisição e preservação das informações de evidências, tão rápido quanto possível, logo após a
ocorrência;
● Todas as atividades de respostas envolvidas serão adequadamente registradas para análise futura;
● Será realizada comunicação da existência de incidentes de segurança da informação para pessoas internas ou externas,
se houver detalhes relevantes;
● Será realizado tratamento com as fragilidades de segurança da informação encontradas que causaram ou contribuíram
para o incidente;
● Uma vez que o incidente foi tratado de forma bem-sucedida, encerrá-lo e registrá-lo formalmente.

A tabela abaixo mostra o fluxo para tratamento de incidentes de segurança da informação:

Fluxo Referência Ação / Observação

Responsável
1. Evento detectado SLAs acordados com as O incidente é caracterizado como
áreas de negócios uma interrupção não planejada de
um serviço de TI ou a falha de um
item de configuração que ainda não
Solução de gerenciamento tenha impactado um Serviço de TI.
de chamados

Para os analistas de incidentes, os

Contratação de novo incidentes poderão ser detectados
Analista de antes que os usuários percebam
funcionário ou prestados
Tecnologia da qualquer impacto nos serviços
de serviço
Informaçãos suportado pelo Departamento de TI
para a Empresa.
Política de Segurança da
Informação

Diretriz de Segurança e
Utilização de Recursos de 
TI

2. Registrar o Incidente de Analista de SLAs acordados com as Uma vez detectado o incidente, ele
segurança da informação Tecnologia da áreas de negócios deverá ser registrado.
(Abertura) Informaçãos

Contratos de prestação de O Analista de Tecnologia da

serviço Informaçãos deverá verificar se já
existe algum registro em aberto, de
modo a evitar o registro em
Solução de gerenciamento duplicidade.
de chamados

Cada registro de incidente deve

 documentar o ciclo de vida de um
único incidente.

Os envolvidos deverão ser

informados sobre o número de
registro do incidente e prazo
previsto para resolução do
incidente

3. Categorizar e Priorizar Deverá ser atribuída uma

Incidente de segurança SLAs acordados com as classificação ao incidente quanto a
da informação áreas de negócios sua urgência e impacto.

Analista de Contratos de prestação de As requisições classificadas como

Tecnologia da serviço alto deverão ser tratados através
Informaçãos SLA específico.

Solução de gerenciamento
de chamados Para cada categoria de incidente,
deverá ser atribuído um prazo para
resolução

4. Desenvolver e/ou Validar Identificar soluções de contorno

soluções de contorno que possam ser aplicadas para
minimizar o impacto dos
incidentes, enquanto o mesmo não
Analista de
Solução de puder ser resolvido.
Tecnologia da
Informaçãos gerenciamento de
chamados
As soluções de contorno deverão
ser registradas na própria Solução
de gerenciamento de chamados.

5. Tratar o Incidente de Analista de Deverá ser prestado o suporte com

segurança da informação Tecnologia da aplicação de uma sequência de
Base de Conhecimento
Informaçãos testes detectivos a fim de resolver
o incidente.

Solução de gerenciamento
de chamados.
Deverão ser registradas evidências
desses testes nas soluções de
gerenciamento de chamados.

Caso perceba-se que o incidente

não será atendido dentro do prazo
previsto, deverá ser comunicado
sobre a nova previsão de
 restabelecimento do serviço.

Fluxo Referência Ação / Observação

Responsável
6. Interagir com a Gestão A base de conhecimento,
de Problemas proveniente do Gerenciamento de
Problemas poderá ser utilizada
Base de conhecimento como fonte de consulta, uma vez
Analista de
que fornece informações sobre
Tecnologia da
erros conhecidos.
Informaçãos
E-mail

Quando a causa raiz do incidente

Gerente de
Solução de gerenciamento não for detectada, o
Incidentes
de chamados gerenciamento de problemas
deverá ser notificado via e-mail
através Solução de gerenciamento
de chamados.

7. Resolver e Encerrar o Após realizar o tratamento do

registro de incidente de incidente, deverão ser realizados
segurança da informação testes que garantam o retorno a
operação normal do serviço.

Nesse momento deverá ser

solicitada uma validação do
encerramento do registro.

Caso a resolução do incidente seja

validada, o chamado deverá ser
Analista de
Solução de gerenciamento encerrado.
Tecnologia da
de chamados.
Informaçãos

Caso não haja a validação do

encerramento, retornar ao item 5
deste procedimento.

Caso seja necessário o

escalonamento, hierárquico ou
funcional, prosseguir para item 8
deste procedimento.
Fluxo Referência Ação / Observação
Responsável
8. Encaminhar/Escalonar Caso os testes detectivos efetuados
Incidente de segurança não obtenham sucesso na
da informação resolução do incidente, deverá ser
efetuado o encaminhamento
funcional do caso para o próximo
nível de atendimento, até que se
atinjam todos os escalonamentos
Analista de possíveis.
Tecnologia da
Informaçãos Solução de gerenciamento
de chamados. As oportunidades de
encaminhamento, após o
Gerente de atendimento em primeiro nível,
Incidentes deverão ser comunicadas aos
envolvidos para que estes tomem
ciência do progresso do incidente
registrado.

Caso seja necessário, níveis

gerenciais mais seniores deverão
ajudar em uma escalada
hierárquica.

9. Reportar status de Solução de gerenciamento Deverá ser reportado informações

atendimento. de chamados a respeito do status do incidente
registrado para que possa
acompanhar desde seu registro até
SLAs acordados com as sua resolução.
Analista de
áreas de negócios
Tecnologia da
Informaçãos
Deve-se manter os envolvidos
Contratos de prestação de informados com antecedência
serviço quando o nível de serviço não
puder ser atendido.

10. Registro no plano de Deve-se registrar e inserir no plano

melhorias de melhorias dos serviços as ações
Analista de Solução de gerenciamento identificadas durante o processo de
Tecnologia da de chamados tratamento de incidentes de
Informaçãos segurança da informação, como
sugestão para o aperfeiçoamento
E-mail da qualidade do serviço prestado.

11. Monitorar, revisar e Gerente de Solução de gerenciamento Deverá ser monitorada, revisada e
reportar a eficácia do Incidentes de chamados reportada a eficácia do processo e
processo das equipes envolvidas na
resolução dos incidentes de
segurança da informação, a fim de
 promover o aperfeiçoamento dos
processos e equipes técnicas.

Os resultados obtidos após o

monitoramento devem constar no
relatório gerencial mensal.

Resposta a Incidentes de Privacidade

Cabe ao Comitê de Privacidade determinar quais eventos são atividades normais e quais eventos são potenciais Incidentes de
Privacidade. Considerando que a definição prévia de uma lista de incidentes pode não ser a melhor solução em razão da rápida
desatualização frente aos avanços tecnológicos, recomenda-se a avaliação casuística de cada situação, levando em conta o
framework de avaliação de riscos, conforme perguntas abaixo:

a) A situação relatada envolve dados pessoais?

● Em caso negativo, trata-se de um incidente de segurança da informação, apenas, que deve ser gerido de acordo com as
demais disposições da presente Política.
● Em caso positivo, responder à pergunta seguinte;

b) Os dados pessoais implicados na situação relatada envolvem dados pessoais sensíveis?

● Em caso positivo, a recomendação mais conservadora é de que a situação seja considerada um incidente de dados
pessoais e, além de eventuais outras instruções previstas neste Plano, seja seguido o passo a passo previsto no item
4.3.1 abaixo (caso a Empresa opte por não declarar a ocorrência do incidente nesses termos, recomenda-se seja
elaborado parecer fundamentando de forma clara e objetiva os motivos dessa decisão).
● Em caso negativo, responder à pergunta seguinte.

c) Os dados pessoais implicados na situação relatada foram ou podem ser alvo de algum dos riscos indicados na tabela do
Anexo I?

● Em caso negativo, a situação relatada provavelmente não constitui um incidente de privacidade em razão de não serem
verificados riscos ou danos potenciais e deve ser tratada como um incidente de segurança da informação e ser tratado
de acordo com as demais instruções da presente Política.
● Em caso positivo, indicar o código dos riscos em questão e proceder à avaliação prevista no item “d” a seguir (Atenção:
caso a situação relatada não implique a ocorrência de quaisquer dos riscos abaixo, mas possa implicar outras
consequências negativas não previstas, documentar de forma detalhada tais consequências e realizar a avaliação
prevista no item “d” a seguir).

d) Algum/alguns do(s) risco(s) e/ou consequência(s) identificado(s) podem ser classificados com nível igual ou superior a 2 na
avaliação do impacto com base na tabela constante do Anexo II?

● Em caso positivo, a recomendação mais conservadora é de que a situação seja considerada um incidente de dados
pessoais e, além de eventuais outras instruções previstas neste Plano, seja seguido o passo a passo previsto no item 8
abaixo (caso a Empresa opte por não declarar a ocorrência do incidente nesses termos, recomenda-se seja elaborado
parecer fundamentando de forma clara e objetiva os motivos dessa decisão).
● Em caso negativo, documentar a situação relatada para fins de acompanhamento e auditoria e incluir, nessa
documentação, a avaliação de riscos realizada.
COMUNICAÇÃO DE UM INCIDENTE

A Empresa deverá promover as comunicações descritas adiante.

Com o fim de avaliar internamente a relevância do risco ou dano do Incidente para determinar se deverá comunicá-lo à ANPD
e/ou ao Titular, a Empresa deverá considerar as respostas às seguintes perguntas:

1. Ocorreu um incidente de segurança relacionado a dados pessoais?

(a) Sim – Próxima pergunta.
(b) Não – Não é necessário comunicar à ANPD se não houve incidente de segurança relacionado a dados pessoais.

2. Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de
segurança?
(a) Sim – A Empresa deve comunicar à ANPD e ao titular.
(b) Não – A comunicação à ANPD não será necessária se a Empresa puder demonstrar, de forma irrefutável, que a violação da
segurança dos Dados Pessoais não constitui um risco relevante para os direitos e liberdades do Titular dos Dados.

4.4.1. COMUNICAÇÃO À AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (“ANPD”)

É obrigação da Empresa, na condição de Controladora dos Dados Pessoais, comunicar à ANPD a ocorrência de Incidente que
possa acarretar risco ou dano relevante aos Titulares.

A comunicação deverá ser efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos.

A comunicação à ANPD deverá conter as seguintes informações:

(a) Descrição da natureza dos Dados Pessoais afetados;

(b) Informações sobre os Titulares de dados envolvidos;
(c) Indicação das medidas técnicas e de segurança utilizadas para a proteção de Dados, respeitando os segredos
comerciais e industriais;
(d) Risco relacionado ao Incidente;
(e) Os motivos do atraso, caso a comunicação não tenha sido imediata;
(f) As medidas que foram ou serão adotadas para reverter ou mitigar os efeitos da perda.
(g) Identificação e dados de contato de: (i) entidade ou pessoa responsável pelo tratamento; (ii) Encarregado de Dados
ou outra pessoa de contato; (iii) indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que
se trata de uma comunicação preliminar ou de uma comunicação complementar;

(h) Informações sobre o Incidente: (i) data e hora da detecção; (ii) data e hora do Incidente e sua duração; (iii)
circunstâncias em que ocorreu a violação de segurança de Dados Pessoais, por exemplo, perda, roubo, cópia, vazamento,
dentre outros; (iv) descrição dos Dados Pessoais e informações afetadas, como natureza e conteúdo dos Dados Pessoais,
categoria e quantidade de dados e de Titulares afetados; (v) resumo do Incidente, com indicação da localização física e meio
de armazenamento; (vi) possíveis consequências e efeitos negativos sobre os Titulares dos dados afetados; (vii) medidas de
segurança, técnicas e administrativas preventivas tomadas pelo Controlador de acordo com a LGPD; (viii) resumo das medidas
implementadas até o momento para controlar os possíveis danos; (ix) possíveis problemas de natureza transfronteiriça; (x)
outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais
poderão ser fornecidas posteriormente.

No momento da comunicação preliminar deverá ser informado à ANPD se serão fornecidas mais informações posteriormente,
bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a
qualquer momento.

4.4.2. COMUNICAÇÃO AOS TITULARES DE DADOS PESSOAIS

A comunicação aos Titulares de Dados Pessoais deve ocorrer sempre que o Incidente possa acarretar um risco ou dano
relevante aos Titulares afetados.

A probabilidade de risco ou dano relevante para os Titulares será maior sempre que o Incidente envolver Dados Pessoais
Sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar
danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo
de identidade. Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a
boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o Incidente e a facilidade de identificação dos titulares
por terceiros não autorizados.

4.4.3. COMUNICAÇÃO AO CONTROLADOR

Nos casos em que a Empresa atuar como Operadora do tratamento de Dados Pessoais, é dever da Empresa comunicar ao
Controlador a existência de ato/fato que possa ser compreendido como Incidente, para que o Controlador adote as medidas
cabíveis. Nessa situação, a Empresa deverá observar eventual Acordo de Processamento de Dados ou outras responsabilidades
decorrentes de contratos ou instrumentos específicos celebrados junto aos Operadores, a fim de delimitar os prazos e o
escopo das informações a serem repassadas.

Uma vez informado o Controlador, caso o Controlador não proceda à análise, ao tratamento e às notificações devidas, a
Empresa, na condição de Operadora, poderá comunicar à ANPD conforme indicado no item 4.4.1 acima.