A Lei Geral de Proteção de Dados – LGPD, para cumprir seu objetivo de proteção aos dados pessoais, considera grave não apenas um vazamento de dados ou ataques, mas principalmente a omissão na adoção de medidas de proteção de dados.
Entendemos que, para a proteção dos dados pessoais que tratamos, não basta apenas que a Weex seja uma plataforma que, desde sua concepção, se preocupa com os requisitos de segurança e proteção de dados, mas que seja uma empresa que domine o tratamento destes dados desde sua coleta, aprimorando os mecanismos de segurança e contenção de danos, caso ocorram.
Assim, juntamente ao esforço constante de aprimoramento da Plataforma – a fim de garantir a segurança e integridade das informações que coletamos, treinamentos, adoção de práticas diárias para a segurança de dados, faz-se necessário um plano de ação para que, na hipótese de um incidente de segurança, possamos agir com rapidez e eficiência na contenção de danos que possam vir a atingir colaboradores, usuários, prestadores de serviços e qualquer outro que faça parte do nosso universo.
“É um evento adverso confirmado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.
Incidentes podem ocorrer de forma acidental, como o envio de informações para o destinatário incorreto, ou em decorrência de atos intencionais, como a invasão de um sistema de informação ou o furto de um dispositivo de armazenamento de dados.
Os incidentes de segurança não se restringem às violações da confidencialidade, abrangem também eventos de perda ou indisponibilidade dados pessoais. São exemplos de incidentes de segurança o sequestro de dados, o acesso não autorizado a dados armazenados em sistemas de informação e a publicação não intencional de dados dos titulares.
Nem todo incidente de segurança da informação envolve dados pessoais. Incidentes que envolvam somente dados anonimizados ou que não estejam relacionados a pessoas naturais identificáveis não precisam ser comunicados à ANPD.
A mera existência de uma vulnerabilidade em um sistema de informação não constitui um incidente de segurança. A exploração da referida vulnerabilidade, no entanto, pode resultar em um incidente.“
Assim, são exemplos de incidentes de segurança o furto de equipamentos que contenham informações, o vazamento de informações não públicas, e-mails enviados a partir do e-mail institucional (desde que não seja o titular da conta quem o envie), dentre outros.
É dever de todos observar e comunicar qualquer evento suspeito e comunicar ao time de resposta, a fim de que sejam tomadas as providências devidas.
Ainda que em dúvidas se o evento configure um incidente, notifique!
Leonardo Trivellato – leonardo@weex.digital
Maria Angélica – angelica@itexto.com.br
um incidente é notificado por um agente interno ou externo (colaborador da Weex, prestador de serviços, usuários, gestores, etc) ou por eventual alarme da monitoramento. Qualquer meio de aviso é válido: se desconfiou que houve ataque, se teve seu equipamento extraviado, se mandou um e-mail incorreto, avise! Pode ser por e-mail, telefone, meet, whatsapp.
Avise o mais rápido possível!
Identificado o incidente, concomitante à comunicação e outras medidas, serão tomadas as ações necessárias à contenção do mesmo, seja isolando o sistema, fazendo backup dos dados, cancelando contas de e-mail e acessos ou outras ações, de acordo com o incidente. Nesta etapa, devem ser coletadas todas as evidências do incidente de segurança.
É a volta do sistema ao funcionamento, após validações que atestem que a ameaça foi extinta. È o retorno ao estágio inicial, antes do incidente.
Todos os envolvidos devem, coordenadamente, colocar à prova a validade deste plano de resposta a incidentes de segurança, levantando suas falhas e sugerindo melhorias.
todo o histórico do incidente, desde sua notificação deve ser documentado, detalhadamente. Inclui-se a documentação das ações mitigadoras de danos, comprovantes de comunicação aos envolvidos, ações realizadas, melhorias identificadas e quaisquer outras informações relevantes.
|
Ação |
Responsáveis |
|
Notificação do incidente e acionamento do time de resposta |
Agente que identificou o incidente – colaborador, usuário, prestador de serviços, entre outros |
|
Avaliação do incidente e da necessidade de comunicação à ANPD e aos titulares, caso dados pessoais tenham sido expostos. No caso de exposição de dados pessoais, avisar rapidamente ao cliente, Gestor da Campanha. |
Time de resposta, Encarregado |
|
Contenção e erradicação |
Time de resposta, equipe de desenvolvimento, outros agentes, de acordo com o incidente |
|
Recuperação |
Time de resposta, equipe de desenvolvimento, outros agentes, de acordo com o incidente |
|
Levantamento das lições aprendidas |
Toda a empresa, além do time de resposta, equipe de desenvolvimento, outros agentes, de acordo com o incidente |
|
Documentação do incidente |
Time de resposta e todos os agentes envolvidos. |
Histórico de versões
|
Data |
Versão |
Descrição da alteração |
Responsáveis |
|
agosto/24 |
2 |
Adequação ao Regulamento Comunicação de Incidente de Segurança – ANPD e evolução do processo |
Elaboração: Maria Angélica Álvares da S e Silva Revisão e Aprovação: Leonardo Trivellato |
|
julho/23 |
1 |
1ª Plano de Respostas a Incidentes de Segurança em Dados Pessoais |
Elaboração: Maria Angélica Álvares da S e Silva Revisão e Aprovação: Leonardo Trivellato |
