Anexo de Seguranca - Medidas Tecnicas e Organizacionais (TOMs)

📥Download deste documento em formato editávelDOCX

Obrigatorio

Documento: ANEXO-TOMS-001 Versao: 1.0 Ultima Revisao: [PREENCHER_DATA] Ref. LGPD: Art. 46

1. Objetivo

Este anexo descreve as Medidas Tecnicas e Organizacionais (TOMs) implementadas pela [PREENCHER_RAZAO_SOCIAL] para garantir a seguranca dos dados pessoais tratados, em conformidade com o Art. 46 da LGPD.

Este documento complementa o DPA Padrao e deve ser anexado a todos os contratos de processamento de dados.

2. Medidas Organizacionais

2.1 Governanca de Privacidade

Medida	Descricao	Status
Encarregado (DPO)	Nomeacao formal de DPO com autonomia e recursos	[IMPLEMENTADO/PENDENTE]
Comite de Privacidade	Reunioes [MENSAIS/TRIMESTRAIS] para governanca	[IMPLEMENTADO/PENDENTE]
Programa de Privacidade	Plano documentado com metas e metricas	[IMPLEMENTADO/PENDENTE]
Matriz RACI	Responsabilidades definidas para privacidade	[IMPLEMENTADO/PENDENTE]

2.2 Politicas e Procedimentos

Documento	Descricao	Revisao
Politica de Privacidade Interna	Diretrizes para tratamento de dados	[ANUAL]
Politica de Seguranca da Informacao	Framework de seguranca	[ANUAL]
Politica de Retencao e Descarte	Prazos e metodos de eliminacao	[ANUAL]
Politica de Resposta a Incidentes	Procedimentos para violacoes	[ANUAL]
Politica de Gestao de Terceiros	Due diligence e monitoramento	[ANUAL]
Politica de Uso Aceitavel	Regras para uso de recursos de TI	[ANUAL]

2.3 Treinamento e Conscientizacao

Programa	Frequencia	Publico
Onboarding de Privacidade	Admissao	Todos os colaboradores
Treinamento LGPD	Anual	Todos os colaboradores
Capacitacao Tecnica	Semestral	Equipe de TI/Desenvolvimento
Simulacoes de Phishing	Trimestral	Todos os colaboradores
Atualizacoes de Seguranca	Continuo	Comunicados internos

2.4 Gestao de Terceiros

Controle	Descricao
Due Diligence	Avaliacao de fornecedores antes da contratacao
Clausulas Contratuais	Obrigacoes de privacidade em todos os contratos
Monitoramento	Avaliacao periodica de conformidade
Registro	Inventario atualizado de terceiros com acesso a dados

3. Medidas Tecnicas

3.1 Controle de Acesso

Controle	Implementacao
Autenticacao	Senhas fortes (min. 12 caracteres, complexidade)
MFA	Autenticacao multifator para acessos administrativos e remotos
SSO	Single Sign-On integrado (quando aplicavel)
RBAC	Controle de acesso baseado em funcoes
Principio do Menor Privilegio	Acesso limitado ao necessario para a funcao
Revisao de Acessos	Auditoria [TRIMESTRAL] de permissoes
Desativacao	Processo de offboarding em ate [24/48] horas
Sessoes	Timeout automatico apos [15/30] minutos de inatividade

3.2 Criptografia

Aplicacao	Metodo
Dados em Transito	TLS 1.2+ para todas as comunicacoes
Dados em Repouso	AES-256 para banco de dados
Backups	Criptografia AES-256
Senhas	Hash com bcrypt/Argon2 (salt unico)
Chaves	Gerenciamento via [HSM/KMS]
Certificados	Renovacao automatica, monitoramento de expiracao

3.3 Seguranca de Rede

Controle	Descricao
Firewall	Firewall de aplicacao web (WAF)
Segmentacao	Redes segregadas por funcao/sensibilidade
VPN	Acesso remoto via VPN com MFA
IDS/IPS	Sistema de deteccao/prevencao de intrusao
DDoS	Protecao contra ataques de negacao de servico
DNS	Filtragem de DNS malicioso

3.4 Seguranca de Aplicacoes

Controle	Implementacao
SDLC Seguro	Seguranca integrada ao ciclo de desenvolvimento
Code Review	Revisao de codigo com foco em seguranca
SAST	Analise estatica de codigo
DAST	Testes dinamicos de seguranca
Dependencias	Monitoramento de vulnerabilidades em bibliotecas
Penetration Test	Teste de penetracao [ANUAL] por terceiro
OWASP	Prevencao contra OWASP Top 10

3.5 Backup e Recuperacao

Parametro	Configuracao
Frequencia	Backup [DIARIO] incremental, [SEMANAL] completo
Retencao	[30/60/90] dias de backups
Localizacao	Geograficamente separado do ambiente principal
Criptografia	AES-256 para todos os backups
Testes	Restauracao testada [MENSALMENTE/TRIMESTRALMENTE]
RTO	Recovery Time Objective: [X] horas
RPO	Recovery Point Objective: [X] horas

3.6 Monitoramento e Logs

Controle	Descricao
Logs de Acesso	Registro de todos os acessos a dados pessoais
Logs de Aplicacao	Eventos de sistema e erros
SIEM	Correlacao de eventos de seguranca
Alertas	Notificacao automatica de eventos criticos
Retencao de Logs	Minimo [6 meses / 1 ano]
Protecao	Logs protegidos contra alteracao
Auditoria	Trilha completa de acoes administrativas

4. Seguranca Fisica

4.1 Data Center / Infraestrutura Cloud

Controle	Descricao
Provedor	[PREENCHER_PROVEDOR]
Localizacao	[BRASIL/PAIS]
Certificacoes	[ISO 27001 / SOC 2 / Outras]
Controle de Acesso	Biometria, cartao, registro de visitantes
CFTV	Monitoramento 24x7
Energia	No-breaks, geradores de backup
Climatizacao	Controle de temperatura e umidade
Deteccao de Incendio	Sensores e supressao automatica

4.2 Escritorios

Controle	Descricao
Acesso	Controle de acesso fisico
Mesa Limpa	Politica de mesa limpa obrigatoria
Descarte	Fragmentadoras para documentos sensiveis
Dispositivos	Bloqueio automatico de tela
Visitantes	Registro e acompanhamento obrigatorio

5. Gestao de Incidentes

5.1 Processo de Resposta

Fase	Descricao	SLA
Deteccao	Identificacao de evento de seguranca	Continuo
Triagem	Classificacao e priorizacao	1 hora
Contencao	Limitacao do impacto	4 horas
Erradicacao	Remocao da causa raiz	Variavel
Recuperacao	Restauracao de servicos	Conforme RTO
Licoes Aprendidas	Analise pos-incidente	5 dias uteis

5.2 Notificacao

Destinatario	Prazo	Responsavel
Controlador	24 horas	DPO
ANPD	72 horas (se aplicavel)	DPO via Controlador
Titulares	Conforme determinacao	Controlador

5.3 Documentacao

Cada incidente e documentado com:

Data e hora de deteccao
Natureza do incidente
Dados e titulares afetados
Medidas de contencao
Acoes corretivas
Responsaveis
Status e resolucao

6. Continuidade de Negocios

6.1 Plano de Continuidade

Elemento	Descricao
BIA	Analise de Impacto nos Negocios realizada
BCP	Plano de Continuidade documentado
DRP	Plano de Recuperacao de Desastres
Testes	Exercicios [ANUAIS] de continuidade
Atualizacao	Revisao [ANUAL] dos planos

6.2 Disponibilidade

Metrica	Meta
Uptime	[99.5% / 99.9%]
RTO	[X] horas
RPO	[X] horas
Redundancia	[Descrever arquitetura]

7. Certificacoes e Avaliacoes

7.1 Certificacoes Atuais

Certificacao	Escopo	Validade
[ISO 27001]	[ESCOPO]	[DATA]
[ISO 27701]	[ESCOPO]	[DATA]
[SOC 2 Type II]	[ESCOPO]	[DATA]
[Outras]	[ESCOPO]	[DATA]

7.2 Avaliacoes Periodicas

Avaliacao	Frequencia	Ultimo
Scan de Vulnerabilidades	Mensal	[DATA]
Pentest Externo	Anual	[DATA]
Auditoria de Acessos	Trimestral	[DATA]
Avaliacao de Riscos	Anual	[DATA]

8. Melhoria Continua

8.1 Metricas de Seguranca

Metrica	Meta	Medicao
Tempo medio de correcao de vulnerabilidades criticas	< 72h	Mensal
Taxa de conclusao de treinamentos	100%	Trimestral
Incidentes de seguranca	Reducao YoY	Anual
Cobertura de MFA	100% admin	Mensal

8.2 Revisao das TOMs

Este anexo e revisado:

Anualmente, como parte do ciclo de governanca
Apos incidentes significativos
Quando houver mudancas relevantes na infraestrutura ou processos

9. Contato

Para questoes relacionadas a seguranca:

Equipe de Seguranca:

E-mail: [PREENCHER_EMAIL_SEGURANCA]
Telefone: [PREENCHER_TELEFONE]

DPO:

E-mail: [PREENCHER_EMAIL_DPO]
Telefone: [PREENCHER_TELEFONE_DPO]

Historico de Versoes

Versao	Data	Alteracao	Responsavel
1.0	[PREENCHER]	Versao inicial	[PREENCHER]

1. Objetivo​

2. Medidas Organizacionais​

2.1 Governanca de Privacidade​

2.2 Politicas e Procedimentos​

2.3 Treinamento e Conscientizacao​

2.4 Gestao de Terceiros​

3. Medidas Tecnicas​

3.1 Controle de Acesso​

3.2 Criptografia​

3.3 Seguranca de Rede​

3.4 Seguranca de Aplicacoes​

3.5 Backup e Recuperacao​

3.6 Monitoramento e Logs​

4. Seguranca Fisica​

4.1 Data Center / Infraestrutura Cloud​

4.2 Escritorios​

5. Gestao de Incidentes​

5.1 Processo de Resposta​

5.2 Notificacao​

5.3 Documentacao​

6. Continuidade de Negocios​

6.1 Plano de Continuidade​

6.2 Disponibilidade​

7. Certificacoes e Avaliacoes​

7.1 Certificacoes Atuais​

7.2 Avaliacoes Periodicas​

8. Melhoria Continua​

8.1 Metricas de Seguranca​

8.2 Revisao das TOMs​

9. Contato​

Historico de Versoes​