PRI Supernova

1. Introdução

Este Plano de Resposta a Incidentes de Segurança com Dados Pessoais (PRI) define o procedimento para gerenciar incidentes ou suspeitas de incidentes de segurança que envolvam dados de pessoa natural identificada ou identificável (Dados Pessoais) tratados pela Supernova (Empresa). O objetivo é reduzir riscos e minimizar os efeitos desses incidentes.

O PRI foi elaborado em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18).

2. Objetivo

Este PRI define as funções e responsabilidades das equipes da Empresa, bem como as ações que devem ser tomadas para garantir uma resposta eficaz a incidentes, assegurando a integridade dos sistemas, a proteção dos dados pessoais que possam identificar uma pessoa física e a privacidade dos titulares destes dados. Dessa forma, a Empresa busca manter a confiança em suas marcas, produtos e serviços. Dados pessoais incluem informações como origem racial ou étnica, religião, opinião política, filiação sindical, informações sobre saúde, vida sexual, dados genéticos ou biométricos, e outras que, combinadas, possam revelar dados sensíveis.

Este PRI aplica-se a todos os incidentes que envolvam dados pessoais e deve ser seguido por todas as áreas e colaboradores da Empresa, incluindo sócios, diretores, administradores, funcionários, prestadores de serviços e parceiros que, em suas funções, tenham acesso a informações, redes, dados ou ativos da Empresa.

De forma complementar, aplicam-se as disposições da Política de Segurança da Informação para reduzir o risco de incidentes de segurança.

3. O Que é um Incidente de Segurança da Informação Envolvendo Dados Pessoais?

Para este PRI, considera-se “Incidente” qualquer violação de segurança, acidental ou intencional, que cause ou possa causar destruição, perda, alteração, divulgação, uso ou acesso não autorizado a Dados Pessoais sob responsabilidade da Empresa.

Um Incidente pode ser causado por ação maliciosa, erro humano ou falha em sistemas que processam ou protegem Dados Pessoais. Exemplos incluem o furto de documentos, o envio acidental de e-mails com Dados Pessoais a destinatários incorretos, tentativas de invasão aos sistemas da Empresa, entre outras ações, culposas ou dolosas.

Os tipos de Incidente incluem:

  1. Vazamento de Dados Pessoais: Dados Pessoais são indevidamente expostos a um público indefinido, por meios físicos ou digitais, tanto no Brasil quanto no exterior.
  2. Negação de Serviço: O acesso (físico ou lógico) a um sistema que armazena Dados Pessoais é comprometido ou impedido, afetando a integridade (existência e veracidade) dos dados devido à indisponibilidade.
  3. Acesso Não Autorizado: Qualquer tentativa ou obtenção de acesso a um sistema que contém Dados Pessoais sem a devida permissão. Isso inclui acessos não autorizados para conexão, leitura, gravação, autenticação, modificação, exclusão ou criação de dados.
  4. Uso Inapropriado: Ações que violam as políticas de uso de dados, informações e sistemas da Empresa, como as diretrizes da Política de Privacidade e de Segurança da Informação.

4. Papéis e Responsabilidades

Todas as áreas da Empresa, tanto as diretamente envolvidas na governança quanto as demais, têm responsabilidades em casos de ocorrência ou suspeita de Incidente, conforme detalhado a seguir:

4.1. Responsabilidades de Todas as Áreas

  1. Notificar imediatamente a Equipe de Resposta (detalhada abaixo) sobre a ocorrência ou suspeita de um Incidente;
  2. Seguir estritamente a Política de Segurança da Informação da Empresa para ajudar a mitigar riscos;
  3. Participar de treinamentos e programas de conscientização voltados para a prevenção de Incidentes.

4.2. Responsabilidades da Equipe de Resposta

A Equipe de Resposta a Incidentes é formada por representantes de todas as áreas ou setores da empresa

Entre as principais responsabilidades da Equipe de Resposta, destacam-se:

  1. Atuar na detecção e correção de Incidentes;
  2. Alertar, comunicar e orientar Colaboradores sobre Incidentes emergentes;
  3. Promover a educação e conscientização dos Colaboradores quanto à identificação e resposta a Incidentes;
  4. Adotar todas as medidas necessárias para prevenir Incidentes e minimizar seus impactos.

4.3. Responsabilidades de Outras Áreas

Dependendo da natureza e gravidade do incidente, a Equipe de Resposta pode envolver outras áreas, listadas abaixo com suas respectivas responsabilidades (“Áreas Envolvidas”):

  1. Comitê de Proteção de Dados: Principal instância para decisões sobre o tratamento de Dados Pessoais, reportando-se diretamente à Diretoria;
  2. Tecnologia e Sistemas da Informação: Apoia na solução técnica do Incidente e na investigação de suas causas;
  3. Jurídico: Avalia os impactos legais do Incidente e toma as medidas necessárias para proteger a Empresa e os titulares dos Dados Pessoais afetados. Gerencia a comunicação entre a Empresa, colaboradores, parceiros, principais clientes e o público em geral, visando mitigar riscos reputacionais e garantir a continuidade dos negócios;
  4. Atendimento ao Consumidor: Garante uma comunicação clara com os clientes, explicando o ocorrido e as ações tomadas para mitigar o incidente e prevenir novas ocorrências, seguindo as orientações das demais áreas;
  5. Compliance: Investiga as origens e causas do Incidente e, em conjunto com os gestores, avalia a necessidade de medidas disciplinares para Colaboradores que agiram de forma culposa ou intencional, bem como na implementação de controles para evitar novas ocorrências.

5. Detecção do Incidente

Detectar um Incidente com rapidez e precisão é essencial para uma resolução eficaz. Dada a variedade de formas de detecção, todos os Colaboradores devem estar atentos aos sinais mais comuns, como invasões de rede, perda ou roubo de documentos, arquivos ou dispositivos, phishing, malware e instabilidades nos sistemas.

Ao identificar ou suspeitar de um Incidente, o Colaborador deve comunicar imediatamente a Equipe de Resposta a Incidentes por e-mail, copiando seu supervisor.

Essa comunicação deve conter, sempre que possível: (i) data e hora da descoberta da suspeita; (ii) tipo de informações envolvidas; (iii) causa e extensão do Incidente; (iv) contexto do ocorrido; e (v) informações adicionais para auxiliar na compreensão do evento, suas causas e consequências.

A comunicação sobre uma suspeita de incidente é essencial para a empresa. Assim, se o colaborador suspeitar de um incidente e não o comunicar, poderá estar sujeito a sanções disciplinares, dependendo da gravidade do incidente e da comprovação de eventual omissão.

6. Priorização do Incidente e Procedimentos de Resposta

A criticidade e priorização de um incidente de segurança envolvendo dados pessoais é determinada pela combinação de dois fatores principais: o volume de dados pessoais expostos e a sensibilidade dos dados. Cada incidente será classificado em uma das três categorias a seguir: alto, médio ou baixo impacto. Abaixo estão os critérios e exemplos para cada nível de impacto.  Uma vez identificado e classificado o Incidente, é essencial priorizá-lo de acordo com o nível de risco para a Empresa e para os titulares dos Dados Pessoais afetados, bem como a gravidade da ocorrência. A avaliação do impacto do Incidente deve ser realizada da seguinte forma:

VOLUME DE DADOS PESSOAIS EXPOSTOS
CriticidadeDescriçãoExemplo
AltoVolume de Dados Pessoais afetado superior a 10% da base de dados controlada pela EmpresaUm incidente em que dados pessoais de mais de 5.000 clientes de um total de 50.000 são expostos em uma falha de segurança em um servidor de produção.
MédioVolume de Dados Pessoais afetado inferior a 10% e superior a 2% da base de dados controlada pela EmpresaUm e-mail enviado incorretamente contendo dados pessoais de 500 a 1.000 clientes de uma base de 50.000. 
BaixoVolume de Dados Pessoais afetado inferior a 2% da base de dados controlada pela EmpresaDados pessoais de até 100 clientes são expostos devido ao acesso não autorizado em uma área restrita. 
SENSIBILIDADE DOS DADOS PESSOAIS AFETADOS
CriticidadeDescrição
AltaDados Pessoais de crianças ou adolescentes, Dados Pessoais Dados Sensíveis ou que possam gerar discriminação ao titular; dados bancários, de pagamento ou de proteção ao crédito
MédiaDados Pessoais imediatamente identificáveis (e.g. nome, e-mail, CPF), combinados ou não com informações comportamentais (e.g. histórico de atividades, preferências etc.)
BaixaDados anonimizados, Dados Pessoais pseudonimizados (desde que a chave de desanonimização também não tenha sido comprometida), Dados Pessoais de difícil identificação (e.g.IP)

Ações a serem tomadas pela Equipe de Resposta a Incidentes, conforme a gravidade do Incidente:

Baixa Gravidade:

  1. Atuar prioritariamente na resolução do Incidente assim que for notificado;
  2. Adotar as medidas necessárias para reduzir os efeitos e corrigir o Incidente rapidamente;
  3. Notificar o Comitê de Proteção de Dados;
  4. Informar as Áreas Envolvidas, que deverão estar à disposição para suporte;
  5. Após a resolução, registrar o Incidente conforme o modelo anexo a este PRI;
  6. Realizar uma reunião para revisar o Incidente e discutir formas de prevenir ocorrências semelhantes, com ata registrada e enviada ao Comitê de Proteção de Dados.

Média Gravidade:

  1. Dedicar-se exclusivamente à resolução do Incidente assim que for notificado;
  2. Tomar medidas imediatas para minimizar os impactos, implementando correções ou, se necessário, soluções temporárias;
  3. Notificar o Comitê de Proteção de Dados;
  4. Comunicar as Áreas Envolvidas, que deverão dar prioridade ao suporte solicitado pela Equipe de Resposta;
  5. Registrar o Incidente assim que a resolução estiver em andamento, seguindo o modelo anexo ao PRI;
  6. Reunir-se o quanto antes para revisar o Incidente e antecipar/prevenir futuras ocorrências, com ata documentada a ser enviada ao Comitê de Proteção de Dados;
  7. Realizar treinamento imediato com as áreas impactadas, conscientizando os Colaboradores sobre o ocorrido e medidas preventivas.

Alta Gravidade:

  1. Dedicar-se exclusivamente à resolução do Incidente assim que for identificado;
  2. Notificar imediatamente os diretores das Áreas Envolvidas, que deverão apoiar diretamente a Equipe de Resposta, preferencialmente no mesmo local;
  3. Documentar o Incidente imediatamente após a resolução, conforme o modelo anexo ao PRI;
  4. Reunir-se sem demora para avaliar e prevenir futuros Incidentes, com ata a ser apresentada ao Comitê de Proteção de Dados;
  5. Realizar treinamento imediato com todos os Colaboradores, conscientizando sobre o Incidente e medidas preventivas;
  6. Comunicar imediatamente os Colaboradores internos sobre as medidas de prevenção adotadas.

7. Escalonamento, Responsabilidades e Notificações 

Será estabelecido um fluxo claro de comunicação em caso de incidentes de segurança que envolvam dados pessoais, designando responsabilidades e definindo as etapas de notificação interna e externa.  

7.1 Notificação à Equipe de Resposta a Incidentes de Segurança: 

    Análise Preliminar do Incidente pela Equipe de Resposta a Incidentes 

  1. Notificação Interna à Diretoria e Áreas Envolvidas: 

7.3 Notificação Externa a Órgãos Competentes (ANPD): 

Conteúdo da Notificação: A notificação deve incluir: 

7.4 Notificação ao Titular dos Dados 

Assegurar que os titulares dos dados afetados pelo incidente sejam informados de forma clara, compreensível e em tempo hábil. Isso ajuda a mitigar riscos, manter a confiança dos clientes e alinhar a resposta aos requisitos da LGPD. 

Fluxo e Conteúdo da Notificação ao Titular: 

  1. Identificação da Necessidade de Notificação: 
  1. Prazos e Meios de Notificação: 
  1. Meios de Notificação: A comunicação pode ser feita por e-mail, carta registrada ou qualquer meio que permita rastreamento e confirmação de recebimento. Em casos críticos, pode-se também considerar o envio de WhatsApp, SMS ou contato telefônico. 

Conteúdo da Notificação ao Titular: 

  8. Registro da Comunicação: 

Todo o processo de notificação interna, aos titular e à ANPD, se aplicável, deve ser devidamente registrado, incluindo datas, conteúdo da comunicação e resposta do titular (se houver). Isso servirá como prova de cumprimento das obrigações da empresa e poderá ser utilizado para auditorias internas e externas. 

6. Disposições Finais

Em caso de dúvidas, sugestões ou comentários relacionados a este PRI, o contato com o DPO (encarregado) da Empresa pode ser feito através dos endereços de contato fornecidos.

DPO (encarregado): Fabricio F Frey