PRI Supernova
1. Introdução
Este Plano de Resposta a Incidentes de Segurança com Dados Pessoais (PRI) define o procedimento para gerenciar incidentes ou suspeitas de incidentes de segurança que envolvam dados de pessoa natural identificada ou identificável (Dados Pessoais) tratados pela Supernova (Empresa). O objetivo é reduzir riscos e minimizar os efeitos desses incidentes.
O PRI foi elaborado em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18).
2. Objetivo
Este PRI define as funções e responsabilidades das equipes da Empresa, bem como as ações que devem ser tomadas para garantir uma resposta eficaz a incidentes, assegurando a integridade dos sistemas, a proteção dos dados pessoais que possam identificar uma pessoa física e a privacidade dos titulares destes dados. Dessa forma, a Empresa busca manter a confiança em suas marcas, produtos e serviços. Dados pessoais incluem informações como origem racial ou étnica, religião, opinião política, filiação sindical, informações sobre saúde, vida sexual, dados genéticos ou biométricos, e outras que, combinadas, possam revelar dados sensíveis.
Este PRI aplica-se a todos os incidentes que envolvam dados pessoais e deve ser seguido por todas as áreas e colaboradores da Empresa, incluindo sócios, diretores, administradores, funcionários, prestadores de serviços e parceiros que, em suas funções, tenham acesso a informações, redes, dados ou ativos da Empresa.
De forma complementar, aplicam-se as disposições da Política de Segurança da Informação para reduzir o risco de incidentes de segurança.
3. O Que é um Incidente de Segurança da Informação Envolvendo Dados Pessoais?
Para este PRI, considera-se “Incidente” qualquer violação de segurança, acidental ou intencional, que cause ou possa causar destruição, perda, alteração, divulgação, uso ou acesso não autorizado a Dados Pessoais sob responsabilidade da Empresa.
Um Incidente pode ser causado por ação maliciosa, erro humano ou falha em sistemas que processam ou protegem Dados Pessoais. Exemplos incluem o furto de documentos, o envio acidental de e-mails com Dados Pessoais a destinatários incorretos, tentativas de invasão aos sistemas da Empresa, entre outras ações, culposas ou dolosas.
Os tipos de Incidente incluem:
- Vazamento de Dados Pessoais: Dados Pessoais são indevidamente expostos a um público indefinido, por meios físicos ou digitais, tanto no Brasil quanto no exterior.
- Negação de Serviço: O acesso (físico ou lógico) a um sistema que armazena Dados Pessoais é comprometido ou impedido, afetando a integridade (existência e veracidade) dos dados devido à indisponibilidade.
- Acesso Não Autorizado: Qualquer tentativa ou obtenção de acesso a um sistema que contém Dados Pessoais sem a devida permissão. Isso inclui acessos não autorizados para conexão, leitura, gravação, autenticação, modificação, exclusão ou criação de dados.
- Uso Inapropriado: Ações que violam as políticas de uso de dados, informações e sistemas da Empresa, como as diretrizes da Política de Privacidade e de Segurança da Informação.
4. Papéis e Responsabilidades
Todas as áreas da Empresa, tanto as diretamente envolvidas na governança quanto as demais, têm responsabilidades em casos de ocorrência ou suspeita de Incidente, conforme detalhado a seguir:
4.1. Responsabilidades de Todas as Áreas
- Notificar imediatamente a Equipe de Resposta (detalhada abaixo) sobre a ocorrência ou suspeita de um Incidente;
- Seguir estritamente a Política de Segurança da Informação da Empresa para ajudar a mitigar riscos;
- Participar de treinamentos e programas de conscientização voltados para a prevenção de Incidentes.
4.2. Responsabilidades da Equipe de Resposta
A Equipe de Resposta a Incidentes é formada por representantes de todas as áreas ou setores da empresa
Entre as principais responsabilidades da Equipe de Resposta, destacam-se:
- Atuar na detecção e correção de Incidentes;
- Alertar, comunicar e orientar Colaboradores sobre Incidentes emergentes;
- Promover a educação e conscientização dos Colaboradores quanto à identificação e resposta a Incidentes;
- Adotar todas as medidas necessárias para prevenir Incidentes e minimizar seus impactos.
4.3. Responsabilidades de Outras Áreas
Dependendo da natureza e gravidade do incidente, a Equipe de Resposta pode envolver outras áreas, listadas abaixo com suas respectivas responsabilidades (“Áreas Envolvidas”):
- Comitê de Proteção de Dados: Principal instância para decisões sobre o tratamento de Dados Pessoais, reportando-se diretamente à Diretoria;
- Tecnologia e Sistemas da Informação: Apoia na solução técnica do Incidente e na investigação de suas causas;
- Jurídico: Avalia os impactos legais do Incidente e toma as medidas necessárias para proteger a Empresa e os titulares dos Dados Pessoais afetados. Gerencia a comunicação entre a Empresa, colaboradores, parceiros, principais clientes e o público em geral, visando mitigar riscos reputacionais e garantir a continuidade dos negócios;
- Atendimento ao Consumidor: Garante uma comunicação clara com os clientes, explicando o ocorrido e as ações tomadas para mitigar o incidente e prevenir novas ocorrências, seguindo as orientações das demais áreas;
- Compliance: Investiga as origens e causas do Incidente e, em conjunto com os gestores, avalia a necessidade de medidas disciplinares para Colaboradores que agiram de forma culposa ou intencional, bem como na implementação de controles para evitar novas ocorrências.
5. Detecção do Incidente
Detectar um Incidente com rapidez e precisão é essencial para uma resolução eficaz. Dada a variedade de formas de detecção, todos os Colaboradores devem estar atentos aos sinais mais comuns, como invasões de rede, perda ou roubo de documentos, arquivos ou dispositivos, phishing, malware e instabilidades nos sistemas.
Ao identificar ou suspeitar de um Incidente, o Colaborador deve comunicar imediatamente a Equipe de Resposta a Incidentes por e-mail, copiando seu supervisor.
Essa comunicação deve conter, sempre que possível: (i) data e hora da descoberta da suspeita; (ii) tipo de informações envolvidas; (iii) causa e extensão do Incidente; (iv) contexto do ocorrido; e (v) informações adicionais para auxiliar na compreensão do evento, suas causas e consequências.
A comunicação sobre uma suspeita de incidente é essencial para a empresa. Assim, se o colaborador suspeitar de um incidente e não o comunicar, poderá estar sujeito a sanções disciplinares, dependendo da gravidade do incidente e da comprovação de eventual omissão.
6. Priorização do Incidente e Procedimentos de Resposta
A criticidade e priorização de um incidente de segurança envolvendo dados pessoais é determinada pela combinação de dois fatores principais: o volume de dados pessoais expostos e a sensibilidade dos dados. Cada incidente será classificado em uma das três categorias a seguir: alto, médio ou baixo impacto. Abaixo estão os critérios e exemplos para cada nível de impacto. Uma vez identificado e classificado o Incidente, é essencial priorizá-lo de acordo com o nível de risco para a Empresa e para os titulares dos Dados Pessoais afetados, bem como a gravidade da ocorrência. A avaliação do impacto do Incidente deve ser realizada da seguinte forma:
VOLUME DE DADOS PESSOAIS EXPOSTOS | ||
Criticidade | Descrição | Exemplo |
Alto | Volume de Dados Pessoais afetado superior a 10% da base de dados controlada pela Empresa | Um incidente em que dados pessoais de mais de 5.000 clientes de um total de 50.000 são expostos em uma falha de segurança em um servidor de produção. |
Médio | Volume de Dados Pessoais afetado inferior a 10% e superior a 2% da base de dados controlada pela Empresa | Um e-mail enviado incorretamente contendo dados pessoais de 500 a 1.000 clientes de uma base de 50.000. |
Baixo | Volume de Dados Pessoais afetado inferior a 2% da base de dados controlada pela Empresa | Dados pessoais de até 100 clientes são expostos devido ao acesso não autorizado em uma área restrita. |
SENSIBILIDADE DOS DADOS PESSOAIS AFETADOS | |
Criticidade | Descrição |
Alta | Dados Pessoais de crianças ou adolescentes, Dados Pessoais Dados Sensíveis ou que possam gerar discriminação ao titular; dados bancários, de pagamento ou de proteção ao crédito |
Média | Dados Pessoais imediatamente identificáveis (e.g. nome, e-mail, CPF), combinados ou não com informações comportamentais (e.g. histórico de atividades, preferências etc.) |
Baixa | Dados anonimizados, Dados Pessoais pseudonimizados (desde que a chave de desanonimização também não tenha sido comprometida), Dados Pessoais de difícil identificação (e.g.IP) |
Ações a serem tomadas pela Equipe de Resposta a Incidentes, conforme a gravidade do Incidente:
Baixa Gravidade:
- Atuar prioritariamente na resolução do Incidente assim que for notificado;
- Adotar as medidas necessárias para reduzir os efeitos e corrigir o Incidente rapidamente;
- Notificar o Comitê de Proteção de Dados;
- Informar as Áreas Envolvidas, que deverão estar à disposição para suporte;
- Após a resolução, registrar o Incidente conforme o modelo anexo a este PRI;
- Realizar uma reunião para revisar o Incidente e discutir formas de prevenir ocorrências semelhantes, com ata registrada e enviada ao Comitê de Proteção de Dados.
Média Gravidade:
- Dedicar-se exclusivamente à resolução do Incidente assim que for notificado;
- Tomar medidas imediatas para minimizar os impactos, implementando correções ou, se necessário, soluções temporárias;
- Notificar o Comitê de Proteção de Dados;
- Comunicar as Áreas Envolvidas, que deverão dar prioridade ao suporte solicitado pela Equipe de Resposta;
- Registrar o Incidente assim que a resolução estiver em andamento, seguindo o modelo anexo ao PRI;
- Reunir-se o quanto antes para revisar o Incidente e antecipar/prevenir futuras ocorrências, com ata documentada a ser enviada ao Comitê de Proteção de Dados;
- Realizar treinamento imediato com as áreas impactadas, conscientizando os Colaboradores sobre o ocorrido e medidas preventivas.
Alta Gravidade:
- Dedicar-se exclusivamente à resolução do Incidente assim que for identificado;
- Notificar imediatamente os diretores das Áreas Envolvidas, que deverão apoiar diretamente a Equipe de Resposta, preferencialmente no mesmo local;
- Documentar o Incidente imediatamente após a resolução, conforme o modelo anexo ao PRI;
- Reunir-se sem demora para avaliar e prevenir futuros Incidentes, com ata a ser apresentada ao Comitê de Proteção de Dados;
- Realizar treinamento imediato com todos os Colaboradores, conscientizando sobre o Incidente e medidas preventivas;
- Comunicar imediatamente os Colaboradores internos sobre as medidas de prevenção adotadas.
7. Escalonamento, Responsabilidades e Notificações
Será estabelecido um fluxo claro de comunicação em caso de incidentes de segurança que envolvam dados pessoais, designando responsabilidades e definindo as etapas de notificação interna e externa.
- Detecção do Incidente: O colaborador ou equipe que detectar um incidente deve notificar imediatamente a Equipe de Resposta a Incidentes de Segurança. A notificação inicial deve incluir uma descrição básica do incidente, como: data e hora da descoberta, tipo de dados envolvidos e possível extensão do incidente.
7.1 Notificação à Equipe de Resposta a Incidentes de Segurança:
- Responsável Primário: O colaborador ou supervisor que identificou o incidente.
- Prazo de Notificação: Imediato, com um prazo máximo de 1 hora após a descoberta.
- Método de Notificação: Preferencialmente por meio de e-mail com confirmação de leitura ou plataforma interna de comunicação (por exemplo, sistema de incidentes da empresa).
Análise Preliminar do Incidente pela Equipe de Resposta a Incidentes
- Objetivo: Determinar a gravidade do incidente e as áreas afetadas.
- Responsável: Líder da equipe ou membro designado com expertise no tipo de incidente.
- Etapas de Ação:
- Classificar o incidente quanto à criticidade (alta, média, baixa) com base nos dados expostos.
- Identificar as áreas adicionais que precisarão ser envolvidas (ex.: Tecnologia, Jurídico, Compliance).
- Estabelecer um plano de ação inicial.
- Notificação Interna à Diretoria e Áreas Envolvidas:
- Critérios de Escalonamento: Casos de alta gravidade e incidentes que envolvam dados sensíveis devem ser notificados imediatamente à Diretoria e às Áreas Envolvidas.
- Responsável: Líder da Equipe de Resposta a Incidentes, com suporte do Jurídico e Compliance.
- Método de Notificação: Reunião de urgência (presencial ou virtual) e envio de um relatório inicial por e-mail.
7.3 Notificação Externa a Órgãos Competentes (ANPD):
- Critérios de Escalonamento: Incidentes que envolvam um volume significativo de dados pessoais, dados sensíveis, ou que apresentem risco aos direitos e liberdades dos titulares dos dados devem ser reportados à Autoridade Nacional de Proteção de Dados (ANPD).
- Responsável: Departamento Jurídico, com suporte da ERIS.
- Prazo para Notificação: A notificação deve ser feita dentro de 48 a 72 horas após a constatação do incidente, conforme requerido pela LGPD.
Conteúdo da Notificação: A notificação deve incluir:
- Natureza e categoria dos dados pessoais afetados.
- Medidas de segurança implementadas.
- Riscos potenciais e impacto.
- Medidas tomadas para mitigar os efeitos do incidente.
- Plano de ação para prevenção de incidentes futuros.
7.4 Notificação ao Titular dos Dados
Assegurar que os titulares dos dados afetados pelo incidente sejam informados de forma clara, compreensível e em tempo hábil. Isso ajuda a mitigar riscos, manter a confiança dos clientes e alinhar a resposta aos requisitos da LGPD.
Fluxo e Conteúdo da Notificação ao Titular:
- Identificação da Necessidade de Notificação:
- A Equipe de Resposta a Incidentes e o Jurídico devem avaliar se o incidente gera um risco alto aos direitos e liberdades dos titulares dos dados. Em caso positivo, a notificação ao titular é mandatória.
- Prazos e Meios de Notificação:
- Prazo de Comunicação: Idealmente, em até 72 horas após a confirmação do incidente, ou conforme orientações regulatórias aplicáveis.
- Meios de Notificação: A comunicação pode ser feita por e-mail, carta registrada ou qualquer meio que permita rastreamento e confirmação de recebimento. Em casos críticos, pode-se também considerar o envio de WhatsApp, SMS ou contato telefônico.
Conteúdo da Notificação ao Titular:
- Descrição do Incidente: Explicação breve e objetiva sobre o ocorrido, incluindo uma descrição básica do incidente.
- Impacto Potencial: Descrição dos tipos de dados pessoais afetados e possíveis consequências.
- Medidas de Mitigação Adotadas pela Empresa: Quais ações estão sendo tomadas para conter o incidente e proteger os dados.
- Orientações para o Titular dos Dados: Recomendações para o titular sobre como ele pode se proteger (por exemplo, monitoramento de atividades bancárias ou alteração de senhas).
- Canais de Contato: Informações de contato de uma equipe de atendimento dedicada, que pode fornecer mais detalhes e esclarecer dúvidas.
8. Registro da Comunicação:
Todo o processo de notificação interna, aos titular e à ANPD, se aplicável, deve ser devidamente registrado, incluindo datas, conteúdo da comunicação e resposta do titular (se houver). Isso servirá como prova de cumprimento das obrigações da empresa e poderá ser utilizado para auditorias internas e externas.
6. Disposições Finais
Em caso de dúvidas, sugestões ou comentários relacionados a este PRI, o contato com o DPO (encarregado) da Empresa pode ser feito através dos endereços de contato fornecidos.
DPO (encarregado): Fabricio F Frey