Procedimento de Gestão de Incidentes de Segurança

📥Download deste documento em formato editávelDOCX

Obrigatório

Código: PROC-INC-001 Versão: 1.0 Vigência: 01 de dezembro de 2025

1. Objetivo

Estabelecer o processo estruturado para detecção, contenção, erradicação, recuperação e comunicação de incidentes de segurança que envolvam dados pessoais, garantindo conformidade com o Art. 48 da LGPD e a Resolução CD/ANPD nº 15/2024.

2. Definições

Termo	Definição
Incidente de Segurança	Evento adverso, confirmado ou sob suspeita, que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais
Violação de Dados	Incidente que resulte em acesso não autorizado, destruição, perda, alteração ou divulgação de dados pessoais
Vazamento	Exposição não autorizada de dados pessoais a terceiros
IRT	Equipe de Resposta a Incidentes (Incident Response Team)
Controlador	Escola cliente, a quem devemos comunicar incidentes

3. Classificação de Severidade

3.1 Níveis de Severidade

Nível	Critérios	Exemplos	Prazo Contenção
Crítica	Dados sensíveis expostos; grande volume de titulares; risco de dano significativo	Vazamento de dados de saúde de alunos; exposição massiva de dados	2 horas
Alta	Dados pessoais expostos; volume moderado; risco de dano	Acesso não autorizado a base de alunos; perda de backup não criptografado	4 horas
Média	Dados pessoais em risco; volume limitado; dano contido	Laptop perdido com dados locais; e-mail enviado a destinatário errado	24 horas
Baixa	Violação de política sem exposição confirmada	Tentativa de acesso bloqueada; vulnerabilidade identificada não explorada	72 horas

3.2 Critérios para Comunicação Obrigatória à ANPD

Conforme Resolução CD/ANPD nº 15/2024, comunicar quando:

Dados sensíveis envolvidos (Art. 5º, II)
Dados de crianças ou adolescentes
Volume significativo de titulares afetados
Risco de dano relevante aos titulares
Dados financeiros ou de autenticação expostos
Impossibilidade de identificar todos os afetados

4. Equipe de Resposta a Incidentes (IRT)

4.1 Composição

Estrutura Enxuta

A iScholar possui estrutura organizacional compacta. O DPO centraliza a coordenacao da resposta a incidentes, acumulando funcoes de coordenador, DPO e juridico, com apoio direto da Area de Tecnologia.

Função	Responsabilidade	Contato
Coordenador / DPO	Liderar resposta, avaliar impacto LGPD, comunicações	Pedro Henrique Rosa Barbosa - pedro@ischolar.com.br / (34) 2512-0244
Líder Técnico	Contenção, erradicação técnica, análise forense	Área de Tecnologia
Comunicação / Suporte	Comunicação com clientes (escolas)	Área de Suporte - contato@ischolar.com.br

4.2 Acionamento

Severidade	Quem Acionar	Quando
Crítica	Toda IRT + Diretoria	Imediatamente
Alta	Coordenador + DPO + Líder Técnico	Até 1 hora
Média	Coordenador + Líder Técnico	Até 4 horas
Baixa	Líder Técnico	Próximo dia útil

5. Fluxo de Resposta a Incidentes

5.1 Visão Geral

┌──────────────┐    ┌──────────────┐    ┌─────────────┐    ┌──────────────┐    ┌─────────────┐    ┌─────────────┐
│  DETECÇÃO    │───►│   TRIAGEM    │───►│  CONTENÇÃO  │───►│ ERRADICAÇÃO  │───►│ RECUPERAÇÃO │───►│   LIÇÕES    │
│              │    │              │    │             │    │              │    │             │    │  APRENDIDAS │
└──────────────┘    └──────────────┘    └─────────────┘    └──────────────┘    └─────────────┘    └─────────────┘
       │                   │                                                                              │
       │                   ▼                                                                              │
       │           ┌──────────────┐                                                                       │
       │           │ COMUNICAÇÃO  │◄──────────────────────────────────────────────────────────────────────┘
       │           │  (Paralelo)  │
       │           └──────────────┘
       │                   │
       └───────────────────┴──────────► Documentação Contínua

5.2 Prazos de Comunicação

Destinatário	Prazo	Fundamento
ANPD	3 dias úteis	Resolução CD/ANPD nº 15/2024
Controladores (Escolas)	24 horas	Contratual (DPA)
Titulares	Prazo razoável	Art. 48, §1º LGPD
Outros reguladores	Conforme aplicável	Normativas específicas

6. Detalhamento das Etapas

6.1 Etapa 1: Detecção e Reporte

Fontes de Detecção:

Sistemas de monitoramento (SIEM, IDS/IPS)
Alertas de fornecedores de segurança
Reporte de colaboradores
Comunicação de terceiros
Reclamação de titulares

Ações Imediatas:

Registrar data/hora da detecção
Documentar informações iniciais disponíveis
Não alterar evidências
Comunicar Coordenador de Incidente

Canal de Reporte Interno:

E-mail: pedro@ischolar.com.br
Telefone: (34) 2512-0244
Sistema: Intercom (tickets internos)

6.2 Etapa 2: Triagem e Classificação

Tempo máximo: 2 horas após detecção

Informações a Coletar:

Tipo de incidente (vazamento, acesso indevido, perda, etc.)
Sistemas afetados
Dados possivelmente comprometidos
Categorias de titulares (alunos, responsáveis, colaboradores)
Volume estimado de registros
Presença de dados sensíveis
Presença de dados de menores
Vetor de ataque (se aplicável)

Classificar Severidade: Usar matriz da Seção 3.1

Decisão de Escalação:

Severidade Crítica/Alta: Escalar imediatamente
Confirmar composição da IRT ativa

6.3 Etapa 3: Contenção

Objetivo: Limitar o impacto e impedir propagação

Ações de Contenção Imediata:

Isolar sistemas afetados da rede
Bloquear contas comprometidas
Revogar acessos suspeitos
Desabilitar serviços vulneráveis
Preservar logs e evidências

Ações de Contenção de Curto Prazo:

Aplicar patches emergenciais
Implementar regras de firewall temporárias
Redirecionar tráfego se necessário
Ativar sistemas de backup se aplicável

Documentar:

Todas as ações tomadas
Horário de cada ação
Responsável pela execução

6.4 Etapa 4: Erradicação

Objetivo: Eliminar a causa raiz do incidente

Ações:

Identificar causa raiz
Remover malware/código malicioso
Fechar vulnerabilidades exploradas
Remover acessos não autorizados persistentes
Validar integridade dos sistemas
Atualizar credenciais comprometidas

Análise Forense (quando necessária):

Preservar imagens de sistemas
Documentar cadeia de custódia
Analisar logs detalhadamente
Identificar extensão do comprometimento

6.5 Etapa 5: Recuperação

Objetivo: Restaurar operações normais com segurança

Ações:

Restaurar sistemas a partir de backups limpos
Validar funcionamento dos sistemas
Remover medidas de contenção temporárias
Monitorar intensivamente por período definido
Confirmar eliminação da ameaça

Critérios para Retorno à Normalidade:

Sistemas validados como limpos
Vulnerabilidades corrigidas
Monitoramento extra implementado
Aprovação do Coordenador de Incidente

6.6 Etapa 6: Lições Aprendidas

Prazo: Até 15 dias após encerramento do incidente

Reunião de Post-Mortem:

Participantes: IRT completa
Duração: 1-2 horas
Documentar em relatório formal

Conteúdo da Análise:

Cronologia completa do incidente
O que funcionou bem
O que pode ser melhorado
Causa raiz confirmada
Ações preventivas recomendadas
Atualização de procedimentos

7. Comunicação

7.1 Comunicação à ANPD

Prazo: 3 dias úteis a partir do conhecimento do incidente

Formulário de Comunicação: Utilizar formulário oficial disponível em: https://www.gov.br/anpd

Informações Obrigatórias:

Descrição da natureza dos dados afetados
Informações sobre os titulares envolvidos
Indicação das medidas de segurança utilizadas
Riscos relacionados ao incidente
Medidas adotadas para reverter ou mitigar
Motivos da demora (se comunicação não for imediata)

Comunicação Complementar: Se novas informações surgirem, complementar a comunicação em até 20 dias úteis.

7.2 Comunicação aos Controladores (Escolas)

Prazo: 24 horas

Conteúdo:

Assunto: [URGENTE] Comunicação de Incidente de Segurança

Prezados,

Comunicamos a ocorrência de incidente de segurança que pode afetar dados
pessoais tratados em nome de [ESCOLA].

Resumo do Incidente:
- Data de detecção: [DATA]
- Tipo: [DESCRIÇÃO]
- Dados possivelmente afetados: [CATEGORIAS]
- Titulares possivelmente afetados: [CATEGORIAS/VOLUME]

Medidas Adotadas:
[LISTAR AÇÕES]

Próximos Passos:
[LISTAR]

Estamos à disposição para esclarecimentos.

[NOME]
[CARGO]
[CONTATO]

7.3 Comunicação aos Titulares

Quando Comunicar:

Risco relevante de dano aos titulares
Determinação do controlador ou da ANPD
Impossibilidade de mitigar riscos

Conteúdo (linguagem clara e acessível):

Descrição do incidente em termos simples
Tipos de dados afetados
Riscos potenciais
Medidas que o titular pode tomar
Canais de contato para dúvidas

8. Documentação Obrigatória

8.1 Registro de Incidente

Para cada incidente, documentar:

Campo	Descrição
ID do Incidente	Identificador único
Data/Hora Detecção	Quando foi identificado
Data/Hora Comunicação	Quando IRT foi acionada
Fonte de Detecção	Como foi descoberto
Descrição	Detalhamento do ocorrido
Sistemas Afetados	Lista de sistemas
Dados Afetados	Categorias de dados
Titulares Afetados	Categorias e volume
Severidade	Classificação
Causa Raiz	Identificação da origem
Ações de Contenção	O que foi feito
Ações de Erradicação	Como foi eliminado
Comunicações	Para quem e quando
Lições Aprendidas	Melhorias identificadas
Status	Aberto/Fechado

8.2 Retenção

Registros de incidentes: 5 anos
Evidências forenses: 5 anos
Comunicações realizadas: 5 anos

9. Testes e Simulações

9.1 Exercícios de Mesa (Tabletop)

Frequência: Semestral

Objetivo: Testar conhecimento e procedimentos da IRT

Formato:

Apresentar cenário fictício
IRT discute ações
Facilitador introduz complicações
Avaliar decisões e tempo de resposta

9.2 Simulações Técnicas

Frequência: Anual

Tipos:

Teste de detecção (red team)
Exercício de recuperação
Teste de comunicação

9.3 Registro

Documentar todos os exercícios:

Data e participantes
Cenário utilizado
Pontos fortes identificados
Melhorias necessárias
Plano de ação

10. Escalação

10.1 Matriz de Escalação

Situação	Escalar Para	Prazo
Incidente não contido em 4h	Diretoria	Imediato
Necessidade de comunicação à ANPD	DPO + Jurídico	Até 24h
Impacto em múltiplos controladores	Diretoria + Comercial	Até 2h
Exposição na mídia	Diretoria + Comunicação	Imediato
Demanda de autoridade	Jurídico + Diretoria	Imediato

10.2 Contatos de Emergência

Função	Nome	Telefone	E-mail
Diretor / DPO	Pedro Henrique Rosa Barbosa	(34) 2512-0244	pedro@ischolar.com.br
TI / Líder Técnico	Área de Tecnologia	(34) 2512-0244	contato@ischolar.com.br
Suporte	Área de Suporte	(34) 2512-0244	contato@ischolar.com.br

11. Ferramentas

Ferramenta	Uso
AWS CloudWatch	Monitoramento, logs e detecção de anomalias
Intercom	Registro de incidentes e tickets
Slack / E-mail	Comunicação da IRT
AWS CloudTrail	Análise de logs e trilha de auditoria

Aprovação

Função	Nome	Data
DPO / Diretor de Tecnologia	Pedro Henrique Rosa Barbosa	15/12/2025

Histórico

Versão	Data	Alteração
1.0	15/12/2025	Versão inicial

Anexos

Anexo A: Formulário de Registro de Incidente
Anexo B: Checklist de Resposta por Severidade
Anexo C: Template de Comunicação à ANPD
Anexo D: Cenários para Exercícios de Mesa
Anexo E: Contatos de Emergência

1. Objetivo​

2. Definições​

3. Classificação de Severidade​

3.1 Níveis de Severidade​

3.2 Critérios para Comunicação Obrigatória à ANPD​

4. Equipe de Resposta a Incidentes (IRT)​

4.1 Composição​

4.2 Acionamento​

5. Fluxo de Resposta a Incidentes​

5.1 Visão Geral​

5.2 Prazos de Comunicação​

6. Detalhamento das Etapas​

6.1 Etapa 1: Detecção e Reporte​

6.2 Etapa 2: Triagem e Classificação​

6.3 Etapa 3: Contenção​

6.4 Etapa 4: Erradicação​

6.5 Etapa 5: Recuperação​

6.6 Etapa 6: Lições Aprendidas​

7. Comunicação​

7.1 Comunicação à ANPD​

7.2 Comunicação aos Controladores (Escolas)​

7.3 Comunicação aos Titulares​

8. Documentação Obrigatória​

8.1 Registro de Incidente​

8.2 Retenção​

9. Testes e Simulações​

9.1 Exercícios de Mesa (Tabletop)​

9.2 Simulações Técnicas​

9.3 Registro​

10. Escalação​

10.1 Matriz de Escalação​

10.2 Contatos de Emergência​

11. Ferramentas​

Aprovação​

Histórico​

Anexos​