Atualização
June 2, 2023
13 min

Política de Gestão de Incidentes de Violação de Dados Pessoais

Objetivo

Esta Política de Gestão de Incidentes de Violação de Dados Pessoais tem por objetivo estabelecer as regras e restrições relativas à gestão dos Incidentes de Violação de Dados da Logstore e mitigar os riscos ao negócio e aos ativos da empresa.

Aplicação

Esta Norma se aplica ao Encarregado Pelo Tratamento de Dados Pessoais da Logstore, bem como ao setor de Segurança da Informação, Marketing, Administrativo e demais envolvidos em um eventual Incidente de Violação de Dados Pessoais.

Conceitos

Ameaça: causa potencial de um incidente indesejado, a qual pode resultar no dano a um sistema ou à Logstore.

Ataque: uma tentativa de destruir, expor, alterar, inutilizar, roubar ou obter acesso não autorizado a, ou fazer uso não autorizado de, um ativo.

Ativo: qualquer coisa que tenha valor para a organização, a exemplo de: instalações, informação, software, hardware, serviços impressos (papéis), mas também em pessoas, habilidades, experiência e coisas intangíveis, como reputação e também imagem. 

Colaborador: Empregado, estagiário, terceirizado ou menor aprendiz da Logstore.

Confidencialidade: propriedade em que a informação ou dado pessoal não é disponibilizada ou divulgada para pessoas, entidades ou processos não autorizados.

Dados pessoais: informação relacionada a pessoa natural identificada ou identificável.

Disponibilidade: característica de ser acessível e utilizável sob demanda por uma entidade autorizada.

Encarregado pelo Tratamento dos Dados Pessoais: pessoa física ou jurídica indicada pelo controlador e operador, para atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Evento: é qualquer ocorrência visível em uma rede ou sistema de informação. Exemplos: um usuário que acessa um arquivo compartilhado, um usuário que envia um e-mail ou um firewall que faz um bloqueio de uma tentativa de conexão, entre outros. 

Evento adverso (ou ofensivo): é um evento com consequências negativas. Exemplos: falhas do sistema de informação, uso não autorizado de privilégios de sistema de informação, acesso não autorizado a dados confidenciais ou execução de malware que destrói dados, entre outros.

Identificação do risco: é o processo de encontrar, reconhecer e descrever riscos. A identificação do risco envolve a identificação das suas fontes, eventos, causas e suas potenciais consequências. A identificação do risco também pode envolver dados históricos, análise teórica, opiniões, pareceres fundamentados e de especialistas, e necessidades das partes interessadas.

Incidente de Segurança da Informação: é um evento adverso identificado que indica possível violação à política de segurança da informação ou documentos complementares, falha de controles ou situação previamente desconhecida e que possa ser relevante à segurança da informação.

Incidente de Violação de Dados Pessoais: é um evento adverso identificado que indica possível violação à política de segurança, documentos complementares ou ao presente documento, evento esse que indica a violação de algum dos requisitos exigidos para o tratamento adequado dos dados pessoais (autenticidade, confidencialidade, disponibilidade, integridade, não repúdio).

Informação: conjunto de dados que, processados ou não, podem ser utilizados para produção, transmissão e compartilhamento de conhecimento, contidos em qualquer meio, suporte ou formato. Não necessariamente precisa envolver dados pessoais. Exemplo: incidente envolvendo dados financeiros da Logstore.

Integridade: Propriedade de proteger a exatidão e a integridade dos ativos.

Não repúdio: capacidade de comprovar a ocorrência de um suposto evento ou ação e suas entidades de origem. 

Norma de gerenciamento: a intenção e orientação geral formalmente expressa pela administração da Logstore para determinação padrão de conduta, responsabilidade e parâmetros envolvendo incidentes com dados pessoais. 

Prestador de serviços: pessoa física ou jurídica contratada para a finalidade de prestação de serviços para a Logstore, sejam contínuos ou pontuais.

Risco: combinação da probabilidade da concretização de uma ameaça e seus potenciais impactos.

Risco residual: risco que permanece após o tratamento do risco. O risco residual pode conter riscos não identificados e também pode ser conhecido como “risco retido”.

Vulnerabilidade: fraqueza de um ativo ou controle que pode ser explorada por uma ou mais ameaças.

Papéis e Responsabilidades 

Encarregado pelo Tratamento de Dados Pessoais

  • Receber o “Formulário de Incidente de Violação de Dados” por parte do Gestor de Área e prosseguir com o que for devido;
  • Avaliar a necessidade de comunicação do Incidente de Violação de Dados para a Autoridade Nacional de Proteção de Dados e titulares de dados pessoais, bem como terceiros, em caso de obrigação contratual neste sentido, observando, em qualquer dos casos, os danos que eventualmente possam ser causados pelo Incidente;
  • Auxiliar no processo de investigação do Incidente de Violação de Dados e indicar áreas envolvidas que deverão participar do processo.
  • Elaborar relatório no pós-incidente e, a depender do caso concreto, elaborar treinamento para prevenção de novos incidentes semelhantes.

Área de Tecnologia da Informação (TI)

  • Aprovar e empreender ações ou investimentos que promovam a melhoria contínua do processo de segurança da informação.
  • Auxiliar na análise dos incidentes de violação de dados pessoais por meio da apresentação das trilhas de auditoria dos sistemas sob sua gestão;
  • Seguir todas as fases descritas neste documento desde a identificação até a solução do incidente;
  • Conduzir os processos de investigação do incidente quando necessário;
  • Apoiar com as medidas técnicas necessárias para contenção/recuperação do incidente;
  • Monitorar continuamente o ambiente tecnológico do ponto de vista de segurança da informação, visando identificar eventos que possam causar impacto na disponibilidade, integridade e confidencialidade de dados pessoais que sejam tratados pela Logstore; 
  • Apoiar sempre que necessário na interação e no escalonamento com as demais áreas a fim de prover um atendimento mais rápido ao processo.
  • Em caso de incidente, sintetizar e apresentar todas as informações pertinentes ao Encarregado.
  • Propor a realização de simulações de incidentes, desde que com aprovação da Alta Gestão, para verificar a maturidade dos colaboradores, prestadores de serviços e gerentes em relação ao procedimento em caso de incidentes.
  • Corrigir as vulnerabilidades encontradas de forma preventiva ou, em caso de incidentes, corrigi-las com a maior rapidez, sempre observando, contudo, a necessária disponibilidade dos ativos.
  • Fornecimento das informações solicitadas pelo Encarregado e pela Assessoria Jurídica para eventual responsabilização, mesmo que interna.
  • Elaborar Avaliação de Risco do Incidente de Segurança de Dados Pessoais em caso de incidente
  • Recuperar o máximo de informações possíveis, no caso de o incidente tornar indisponíveis informações e dados pessoais.
  • Adotar as medidas necessárias conforme o estágio do Incidente:

Assessoria jurídica

  • Se o incidente tiver consequências legais deve ser estabelecido um contato com os órgãos responsáveis pela apuração e aplicação de penalidades (Agências Reguladoras e/ou Delegacias, se for o caso) para relato dos fatos e a apresentação de indícios relativos ao incidente.
  • Comunicar violações de alto risco aos titulares de dados afetados sem demora injustificada, mediante deliberação conjunta com a Alta Gestão da Logstore e o Encarregado pelo Tratamento de Dados Pessoais.

Área de Marketing

  • Tomar as necessárias providências, em consonância com as diretrizes da Alta Gestão da Logstore, no caso de incidentes que tiveram desdobramentos para fora da Logstore, e que envolvam a imprensa ou comunidade externa.

Setor Administrativo

  • Para os incidentes de violação de dados pessoais que envolvam desvio de conduta do colaborador e/ou Prestador ou em desacordo com o código de ética, o mesmo será encaminhado para área de recursos humanos, a qual poderá se aprofundar na investigação, aplicando as sanções cabíveis.

Gestores

  • Garantir e gerenciar o cumprimento desta Norma e demais documentos complementares pelos seus colaboradores e prestadores de serviços;
  • Reportar incidentes de violação de dados ao Encarregado pelo Tratamento de Dados Pessoais;
  • Receber comunicação de incidentes de violação de dados por parte de colaboradores e prestadores de serviços de sua área;
  • Iniciar o preenchimento do “Formulário de Incidente de Violação de Dados” e o encaminhar ao Encarregado pelo Tratamento de Dados Pessoais;
  • Auxiliar nos processos de investigação do incidente.

Colaborador e/ou Prestador

  • Reportar incidentes de violação de dados ao gerente de sua área;
  • Auxiliar no preenchimento do formulário “Formulário de Incidente de Violação de Dados”;
  • Auxiliar nos processos de investigação do incidente quando requerido.
  • Informar qualquer suspeita de violação de dados ao gerente de sua área com a maior brevidade possível, trazendo a maior quantidade de informações.

Diretrizes Gerais

Prevenção a Violações de Dados

A Logstore, além das medidas organizacionais para prevenção de incidentes (confidencialidade, gestão de terceiros/fornecedores, treinamentos, limitação de acesso), adota, também, medidas técnicas para a prevenção de incidentes

Uma violação de dados se diferencia de um incidente. Incidente possui um escopo mais amplo e não necessariamente acarreta um comprometimento da confidencialidade dos dados pessoais, o que não ocorre quando se está diante de um incidente. 

A seguir, listamos algumas das formas pelas quais são possíveis comprometimento dos dados pessoais:

Após determinar se existe um alto risco, a Logstore tomará as medidas técnicas e organizacionais apropriadas para proteger os Dados Pessoais contra destruição acidental ou ilegal ou perda acidental, alteração, divulgação ou acesso não autorizado, diante de um incidente ou violação de dados pessoais.

Identificação do Incidente 

Todos os colaboradores e prestadores de serviços da Logstore devem ser capazes de identificar um incidente de violação de dados, bem como estar atentos em reportar a ocorrência ao gerente responsável.

O gerente responsável pela área/recurso do qual foi originado o incidente de violação deve ser notificado quanto ao incidente de violação de dados, devendo fazer uma análise prévia se a informação recebida realmente configura um incidente de violação de dados.

Em caso positivo deve preencher o “Formulário de Incidente de Violação de Dados” para incidentes ocorridos dentro da própria infraestrutura da Logstore e o enviar para o Encarregado pelo Tratamento de Dados Pessoais.

Caso não seja possível preencher o formulário, as informações sobre o incidente devem ser enviadas para os e-mails indicados neste documento.

O Encarregado pelo Tratamento de Dados Pessoais deverá receber o “Formulário de Incidente de Violação de Dados” e avaliar se a ocorrência realmente configura um incidente de violação de dados pessoais.

Se os dados pessoais envolvidos no incidente estiverem anonimizados, não serão dados pessoais e deverá ser seguido o processo normal de gestão de incidentes de segurança da informação e não mais tratado o caso em questão como violação de dados pessoais.

Incidente oriundo de fornecedor

Em muitas situações, o incidente de dados pessoais pode ser oriundo de um fornecedor (contabilidade, por exemplo). 

Por isso, incidentes ocorridos por ação ou omissão de agentes de tratamento que realizam tratamento em nome da Logstore devem ter o formulário “Formulário de Incidente de Violação de Dados” preenchido pelo próprio agente de tratamento e o enviar para o Encarregado pelo Tratamento de Dados Pessoais, através dos e-mails indicados neste documento.

Registro do Incidente

O Encarregado pelo Tratamento de Dados Pessoais determinará se existe um risco para os direitos e liberdades dos titulares dos dados. Os riscos a direitos e liberdades incluem, entre outros, perda de controle ou confidencialidade dos Dados Pessoais, reversão não autorizada de pseudonimização, danos à reputação, discriminação, roubo ou fraude de identidade, perda financeira e outras desvantagens econômicas ou sociais.

O Encarregado pelo Tratamento de Dados Pessoais avaliará se a probabilidade e a gravidade dos riscos potenciais criam um risco alto. Essa avaliação deve envolver:

  •  Uma análise do tipo de violação; 
  • a natureza; 
  • sensibilidade e volume de dados pessoais afetados; 
  • a gravidade das possíveis consequências para os titulares dos dados; 
  • o número e as características dos titulares de dados afetados; 
  • as características do destinatário dos dados pessoais e a facilidade de identificação dos titulares dos dados.

Seguem-se riscos elevados no processamento que utiliza novas tecnologias ou métodos de processamento e onde nenhuma avaliação de impacto na proteção de dados foi realizada antes da violação pelo controlador ou quando uma avaliação de impacto nos dados se tornou necessária à luz do tempo decorrido desde o processamento inicial.

O risco deve ser avaliado com base em critérios objetivos, entretanto o resultado será subjetivo.

A Área Jurídica facilitará a notificação para a ANPD e aos Titulares dos Dados Pessoais, conforme necessário, com base no nível de risco.

Todas as informações relacionadas a Incidentes de Segurança de Dados Pessoais serão documentadas no Registro de Incidente de Segurança de Dados Pessoais para os fins de conformidade com o disposto na LGPD. O Registro de Incidente de Segurança de Dados Pessoais será atualizado constantemente à medida que novos detalhes forem disponibilizados, para que seja possível recuperar todo o conhecimento sobre o evento a partir de um único ponto, registrando-se, adicionalmente, as medidas adotadas pela Logstore.

Contenção do Incidente

O Encarregado pelo Tratamento de Dados Pessoais deverá orientar os gestores e áreas responsáveis/afetadas pela violação de dados quanto às medidas corretivas a serem tomadas.

O Gerente da Área originária do incidente de violação de dados deve tentar, junto com sua equipe, recuperar qualquer dado que tenha sido comprometido de forma a mitigar o risco ao máximo possível, com o apoio do Encarregado pelo Tratamento de Dados Pessoais e da Área de Segurança da Informação. 

O Encarregado pelo Tratamento de Dados Pessoais deverá estabelecer quem precisa ser informado internamente acerca da violação de dados e quais ações devem ser tomadas por quem foi informado.

A Área de Tecnologia da Informação deverá apoiar com as medidas técnicas necessárias para contenção/recuperação do incidente, a exemplo de efetuar coleta de evidências de forma legal ou isolar recursos de tecnologia de modo a não perder informações do incidente, orientando-se pelas seguintes etapas:

Para cada incidente, a área de tecnologia da informação adotará uma medida compatível, exemplificativamente:

Cabe também à Área de Tecnologia da Informação adotar medidas preventivas diante de eventos fora do rotineiro (e. g., logins persistentes, alto número de acessos etc).

Análise de Riscos

De forma a analisar os riscos envolvidos no incidente de violação de dados, deverá ser feita análise de riscos conduzida pelo gerente da área originária do incidente de violação de dados (com apoio do Encarregado pelo Tratamento de Dados Pessoais e da Área de Segurança da Informação, considerando as seguintes informações:

  • Que tipo de dados pessoais estão envolvidos?
  • Há dados pessoais sensíveis nesta violação?
  • Quais medidas de segurança são aplicáveis à área/recurso originário do incidente?
  • Quantos indivíduos foram afetados pela violação?
  • Em caso de compartilhamento indevido, quais informações um terceiro pode extrair da informação a qual teve acesso?
  • Foi possível identificar todos os envolvidos na violação de dados ocorrida?
  • Há informações de cadastro/contato de todos os envolvidos na violação de dados ocorrida?
  • A violação de dados ocorrida afeta algum direito do titular de dados pessoais garantido por legislação de proteção de dados nos territórios onde ocorreu a violação?

Notificação para ANPD

Uma violação dos dados que provavelmente represente risco aos direitos e liberdades das pessoas físicas deve ser relatada à ANPD sem demora injustificada, quando possível, dentro de 72 horas depois que a Logstore tomar conhecimento da violação. Frise-se que uma violação que apresente alto risco deve ser relatada sem demora indevida. E, ainda, quaisquer possíveis motivos para demora na comunicação devem ser informados à ANPD.

A Logstore é considerada ciente de uma violação quando existe um grau razoável de certeza de que ocorreu um incidente de segurança que levou ao comprometimento dos dados pessoais. 

A Logstore também é considerada ciente quando um operador é informado, portanto, todos os contratos de processamento de dados devem exigir que o operador notifique imediatamente à Logstore de uma violação.

Um aviso parcial e incompleto pode ser enviado para a ANPD ou, talvez, após 72 horas em algumas circunstâncias. Essas circunstâncias incluem violações complexas que requerem investigações detalhadas ou quando ocorrem várias violações semelhantes em um curto período de tempo.

A notificação para a ANPD (no formato estabelecido no Anexo I) deve incluir: 

  • A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos;
  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • Os riscos relacionados ao incidente;
  • Os motivos da demora, no caso de a comunicação não ter sido imediata; 
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo;
  • Identificar pontos de contato para maiores detalhes;
  • Descrever possíveis consequências do incidente de violação de dados;
  • Descrever medidas para endereçar o incidente de violação de dados, incluindo medidas adotadas para mitigar possíveis efeitos adversos do incidente de violação de dados.

Se a ANPD atribuir um contato específico em relação a uma violação, esses detalhes serão registrados no “Formulário de Incidente de Violação de Dados”.

Aviso aos Titulares De Dados Pessoais

Com o apoio da Área Jurídica, o Encarregado pelo Tratamento de Dados Pessoais comunicará violações de alto risco aos titulares de dados pessoais afetados, sem demora injustificada.

Uma comunicação com o Titular dos dados pessoais (no formato estabelecido no Anexo II deve conter, no mínimo, em linguagem clara e simplificada:

  • A descrição da natureza dos dados pessoais afetados;
  • As informações sobre os titulares envolvidos;
  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • Os riscos relacionados ao incidente;
  • Os motivos da demora, no caso de a comunicação não ter sido imediata; 
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo;
  • Identificar pontos de contato para maiores detalhes;
  • Descrever possíveis consequências do incidente de violação de dados;
  • Descrever medidas para endereçar o incidente de violação de dados, incluindo medidas adotadas para mitigar possíveis efeitos adversos do incidente de violação de dados.

A comunicação com os titulares dos dados deve ser entregue em mensagens dedicadas por meios que maximizem as chances de comunicação das informações a todos os titulares dos dados afetados - isso pode exigir a utilização de vários métodos de comunicação e o fornecimento de informações em formatos e idiomas alternativos, quando apropriado.

Se a violação afetar um grande volume de registros de titulares de dados e dados pessoais, a Logstore decidirá se uma notificação pública em massa é apropriada em vez de uma notificação personalizada individual com base em uma avaliação da quantidade de recursos necessários para notificar cada titular de dados individualmente e sobre a capacidade da Logstore de fornecer adequadamente aos titulares dos dados a notificação dentro do prazo especificado.

Decisão De Não Notificação

A Logstore está isenta do requisito de notificação obrigatória quando o risco para os titulares de dados é extremamente baixo. Alguns exemplos disso incluem, entre outros, violações de dados publicamente disponíveis, dados pessoais vazados, mas protegidos por uma chave que permanece confidencial e não pode ser verificada independentemente, perdas temporárias de acesso a dados pessoais e dados pessoais enviados acidentalmente para terceiros confiáveis em virtude de seu relacionamento com a Logstore.

Se for tomada a decisão de não notificar, a justificativa para essa decisão deve ser documentada.

A Logstore deve continuar a monitorar as circunstâncias e os efeitos de uma violação e pode precisar fazer ou atualizar notificações à ANPD ou comunicações do Titular dos Dados à medida que novas informações surgirem.

Todas as violações e as ações tomadas para responder às violações devem ser totalmente documentadas, mesmo que nenhuma notificação seja necessária, e deverá ser registrada no “Formulário de Incidente de Violação de Dados”.

Pós Incidente – Próximos Passos

Após a correção de uma violação, a equipe de resposta à violação deve se reunir para discutir as medidas ou procedimentos de segurança que precisam ser implementados para melhorar a segurança dos dados com base nas lições aprendidas.

A equipe de resposta a violações também deve refletir sobre a resposta geral à violação e políticas ou protocolos atualizados, conforme necessário, para melhorar as reações futuras a eventuais novas violações.

Após o incidente, adicionalmente, a equipe deverá elaborar um relatório, contendo a descrição do incidente, condutas adotadas, bem como medidas corretivas implementadas.

Disposições Finais

Esta Norma, bem como os demais documentos que a complementam, encontram-se disponíveis na intranet ou, em caso de indisponibilidade, podem ser solicitadas ao Encarregado pelo Tratamento de Dados Pessoais da Logstore.

Qualquer dúvida relativa a esta Norma deve ser encaminhada ao Encarregado pelo Tratamento de Dados Pessoais da Logstore, por meio do e-mail: dpo@logstore.com.br

Empresa
ContatoCarreirasImprensa
Suporte
API StatusIntegraçãoAjuda
Legal
Política de PrivacidadePolítica de Segurança da InformaçãoPolítica de Backup & RestorePolítica de Retenção e DescartePolítica de Gestão de Incidentes
Siga-nos
© 2024 Logstore
Privacidade
|
Termos e Condições