Política de Resposta a Incidentes de Segurança
Codigo: POL-INC-001 Versao: 1.0 Aprovacao: 01 de dezembro de 2025 Classificacao: Uso Interno
1. Objetivo
Estabelecer diretrizes e procedimentos para detecção, resposta, contenção e comunicação de incidentes de segurança que envolvam dados pessoais, assegurando conformidade com os Arts. 48 e 50 da LGPD e minimizando impactos aos titulares.
2. Escopo
Esta política aplica-se a:
- Todos os incidentes de segurança que possam afetar dados pessoais
- Todos os colaboradores, prestadores e terceiros com acesso aos sistemas
- Todos os sistemas, ambientes e processos que tratam dados pessoais
- Incidentes próprios e de suboperadores
3. Definições
| Termo | Definição |
|---|---|
| Incidente de Segurança | Evento adverso confirmado ou suspeito que comprometa a confidencialidade, integridade ou disponibilidade de dados |
| Violação de Dados Pessoais | Incidente que resulte em acesso não autorizado, destruição, perda, alteração ou divulgação de dados pessoais |
| Incidente de Alto Risco | Violação que pode acarretar risco ou dano relevante aos titulares |
| Contenção | Ações para limitar a extensão e impacto do incidente |
| Erradicação | Eliminação da causa raiz do incidente |
| Recuperação | Restauração dos sistemas e dados ao estado normal |
4. Classificação de Incidentes
4.1 Níveis de Severidade
| Severidade | Critérios | Exemplos | Tempo de Resposta |
|---|---|---|---|
| Crítica | Vazamento confirmado de dados sensíveis ou de menores; grande volume de titulares; alto risco de dano | Ransomware com exfiltração; vazamento de dados de saúde de alunos | Imediato (≤1h) |
| Alta | Acesso não autorizado confirmado; dados pessoais expostos; risco significativo | Invasão de sistema; e-mail com dados enviado a destinatário errado (muitos titulares) | ≤4h |
| Média | Tentativa de ataque contida; exposição limitada; risco moderado | Malware detectado e removido; phishing com credencial comprometida | ≤24h |
| Baixa | Violação de política sem exposição de dados; evento isolado | Dispositivo perdido com criptografia; tentativa de acesso bloqueada | ≤72h |
4.2 Critérios para Avaliação de Risco
- Volume de titulares afetados
- Tipos de dados envolvidos (sensíveis, menores, saúde)
- Potencial de danos (financeiros, morais, discriminação)
- Possibilidade de identificação dos titulares
- Contexto do tratamento
- Medidas de proteção aplicadas
5. Fluxo de Resposta a Incidentes
5.1 Fases do Processo
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ DETECÇÃO │ → │ TRIAGEM │ → │ CONTENÇÃO │ → │ ERRADICAÇÃO │ → │ RECUPERAÇÃO │ → │ LIÇÕES │
│ │ │ │ │ │ │ │ │ │ │ APRENDIDAS │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
5.2 Detecção
Fontes de detecção:
- Alertas de sistemas de monitoramento (SIEM, IDS/IPS)
- Relato de colaboradores
- Comunicação de terceiros ou titulares
- Notificação de suboperadores
- Descoberta em auditoria ou testes
Ações:
- Registrar imediatamente no sistema de incidentes
- Preservar evidências iniciais
- Notificar equipe de resposta
5.3 Triagem
Responsável: Equipe de Segurança + DPO
Ações:
- Avaliar natureza e escopo do incidente
- Classificar severidade
- Verificar se envolve dados pessoais
- Identificar sistemas e dados afetados
- Determinar se há obrigação de comunicação
5.4 Contenção
Objetivo: Limitar a extensão do incidente
Ações:
- Isolar sistemas afetados
- Bloquear acessos comprometidos
- Revogar credenciais se necessário
- Ativar backup se aplicável
- Documentar todas as ações
5.5 Erradicação
Objetivo: Eliminar a causa raiz
Ações:
- Identificar vetor de ataque
- Remover malware/acesso não autorizado
- Corrigir vulnerabilidades exploradas
- Verificar integridade dos sistemas
- Validar eliminação da ameaça
5.6 Recuperação
Objetivo: Restaurar operações normais
Ações:
- Restaurar sistemas e dados
- Validar funcionamento correto
- Monitorar sinais de reincidência
- Comunicar restabelecimento
5.7 Lições Aprendidas
Ações:
- Realizar análise post-mortem
- Documentar causa raiz e linha do tempo
- Identificar melhorias necessárias
- Atualizar procedimentos e controles
- Realizar treinamento se aplicável
6. Prazos de Comunicação
6.1 Comunicação Interna
| Destinatário | Prazo | Responsável |
|---|---|---|
| Equipe de Segurança | Imediato | Quem detectou |
| DPO | ≤2h após confirmação | Segurança |
| Diretoria | ≤4h para críticos | DPO |
| Jurídico | ≤4h para críticos | DPO |
| Áreas afetadas | Conforme necessidade | Segurança |
6.2 Comunicação a Controladores
| Situação | Prazo | Conteúdo |
|---|---|---|
| Incidente confirmado | ≤24h | Natureza, dados afetados, medidas |
| Atualização significativa | ≤24h | Novos achados, ações adicionais |
| Relatório final | ≤5 dias após contenção | Análise completa, lições |
6.3 Comunicação à ANPD
Prazo: 3 dias úteis (Art. 48, §1º, LGPD)
Critérios para comunicação:
- Risco ou dano relevante aos titulares
- Dados sensíveis ou de menores envolvidos
- Grande volume de titulares afetados
- Potencial de danos significativos
6.4 Comunicação a Titulares
Prazo: Prazo razoável, definido pela ANPD
Critérios:
- Quando o incidente puder acarretar risco ou dano relevante
- Quando determinado pela ANPD
- Quando necessário para mitigar danos
7. Conteúdo das Comunicações
7.1 Comunicação à ANPD
Deve conter (Art. 48, §1º):
- Descrição da natureza dos dados afetados
- Informações sobre os titulares envolvidos
- Indicação das medidas técnicas e de segurança utilizadas
- Riscos relacionados ao incidente
- Motivos da demora, se não comunicado imediatamente
- Medidas adotadas para reverter ou mitigar efeitos
7.2 Comunicação a Titulares
Deve conter:
- Descrição clara do incidente
- Tipos de dados potencialmente afetados
- Riscos decorrentes
- Medidas que estão sendo tomadas
- Recomendações ao titular
- Canais de contato para dúvidas
8. Equipe de Resposta a Incidentes
8.1 Composição
| Funcao | Responsabilidade | Contato |
|---|---|---|
| Coordenador (DPO) | Coordenar resposta, decidir comunicacoes | pedro@ischolar.com.br / (34) 2512-0244 |
| Lider Tecnico (TI) | Contencao tecnica, investigacao | Area de Tecnologia |
| Suporte | Apoio operacional, comunicacao com clientes | contato@ischolar.com.br |
Estrutura Enxuta
Dada a estrutura organizacional compacta da iScholar, o DPO (Pedro Henrique Rosa Barbosa) centraliza a coordenacao da resposta a incidentes, com apoio direto da Area de Tecnologia.
8.2 Acionamento
| Severidade | Acionamento |
|---|---|
| Crítica | Toda a equipe imediatamente |
| Alta | DPO + Líder Técnico + Jurídico |
| Média | DPO + Líder Técnico |
| Baixa | Líder Técnico (DPO informado) |
9. Responsabilidades
| Função | Responsabilidade |
|---|---|
| Todo Colaborador | Reportar suspeitas, preservar evidências, colaborar |
| Segurança/TI | Detectar, conter, investigar, recuperar |
| DPO | Coordenar, avaliar impacto, comunicações regulatórias |
| Jurídico | Orientação legal, apoio em comunicações |
| Gestores | Apoiar resposta, garantir colaboração da equipe |
| Diretoria | Aprovar comunicações críticas, alocar recursos |
10. Documentação
10.1 Registro de Incidente
Todo incidente deve ser documentado contendo:
- Identificador único
- Data/hora de detecção
- Origem da detecção
- Descrição do incidente
- Classificação de severidade
- Dados e sistemas afetados
- Cronologia de ações
- Comunicações realizadas
- Causa raiz (quando identificada)
- Lições aprendidas
- Responsáveis
10.2 Retenção
- Registros de incidentes: 5 anos
- Comunicações à ANPD: 5 anos
- Evidências técnicas: conforme necessidade legal
11. Testes e Simulações
11.1 Tipos de Teste
| Teste | Frequência | Objetivo |
|---|---|---|
| Table-top | Semestral | Validar procedimentos e decisões |
| Simulação técnica | Anual | Testar capacidade de resposta técnica |
| Teste de comunicação | Anual | Validar canais e templates |
11.2 Métricas
- Tempo médio de detecção (MTTD)
- Tempo médio de resposta (MTTR)
- Tempo de contenção
- Efetividade das comunicações
- Número de incidentes por tipo
12. Disposições Finais
12.1 Revisão
Esta política será revisada:
- Anualmente
- Após incidentes significativos
- Quando houver mudança regulatória
12.2 Documentos Relacionados
- Política de Segurança da Informação
- Procedimento de Gestão de Incidentes
- Plano de Continuidade de Negócios
- Procedimento de Comunicação à ANPD
Aprovacao
| Funcao | Nome | Assinatura | Data |
|---|---|---|---|
| DPO | Pedro Henrique Rosa Barbosa | _____________ | 15/12/2025 |
| Diretor de Tecnologia | Pedro Henrique Rosa Barbosa | _____________ | 15/12/2025 |
Historico de Revisoes
| Versao | Data | Autor | Descricao |
|---|---|---|---|
| 1.0 | 15/12/2025 | Pedro Henrique Rosa Barbosa | Versao inicial |
Anexos
- Anexo A: Fluxograma de Resposta a Incidentes
- Anexo B: Template de Registro de Incidente
- Anexo C: Template de Comunicação à ANPD
- Anexo D: Template de Comunicação a Titulares
- Anexo E: Lista de Contatos de Emergência