Plano de Resposta a Incidentes de Segurança da Informação — Cataloga-ai

Versão: 1.0

Última atualização: [DATA]

Responsável: [NOME DO DPO / CISO]

1. Introdução

Este Plano de Resposta a Incidentes de Segurança (também denominado "Incident Response Plan" ou "IRP") estabelece os procedimentos que a [NOME DA EMPRESA] (Cataloga-ai) deve seguir em caso de incidente de segurança que afete dados pessoais, em conformidade com o art. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).

Objetivos do Plano

Minimizar danos aos titulares de dados pessoais
Garantir comunicação rápida e transparente com titulares afetados, lojistas (controladores) e ANPD
Cumprir obrigações legais de notificação (LGPD art. 48)
Preservar evidências para análise forense e investigação
Restaurar operações normais no menor tempo possível
Aprender com incidentes para prevenir recorrências

2. Definições

2.1. Incidente de Segurança

Qualquer evento confirmado ou suspeito que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais, incluindo, mas não se limitando a:

Vazamento de dados (data breach): acesso não autorizado, divulgação ou exfiltração de dados pessoais
Perda ou destruição acidental ou ilícita de dados
Alteração não autorizada de dados pessoais
Bloqueio ou indisponibilidade prolongada de sistemas contendo dados pessoais
Ransomware ou outro malware que criptografe ou sequestre dados
Acesso indevido por colaborador interno, ex-funcionário ou terceiro
Falha de controle de acesso que exponha dados a usuários não autorizados
Ataques cibernéticos: phishing, SQL injection, DDoS, man-in-the-middle
Roubo ou extravio de dispositivos contendo dados pessoais (laptops, pen drives, backups)

2.2. Incidente de Alto Risco (art. 48, LGPD)

Incidente que possa acarretar risco ou dano relevante aos titulares, considerando:

Sensibilidade dos dados: dados sensíveis (art. 5º, II, LGPD), dados de crianças/adolescentes, dados financeiros
Número de titulares afetados: quanto maior, maior o risco
Natureza do dano potencial: roubo de identidade, fraude financeira, discriminação, dano à reputação, constrangimento
Contexto: dados expostos publicamente (internet) vs. acesso restrito interno

Importante: Nem todo incidente exige comunicação à ANPD. Apenas incidentes de alto risco devem ser notificados.

2.3. Risco ou Dano Relevante (critérios de avaliação)

Considere os seguintes fatores para determinar se há risco relevante (baseado nas orientações da ANPD):

Fator	Baixo Risco	Alto Risco
Tipo de dado	Dados não sensíveis, pseudonimizados	Dados sensíveis, financeiros, saúde, biométricos
Quantidade de titulares	<100	>1.000
Natureza do acesso	Acesso interno breve, sem exfiltração	Exposição pública, vazamento externo
Medidas de mitigação	Criptografia forte, dados ilegíveis	Dados em texto claro, facilmente exploráveis
Contexto do titular	Adultos, B2B	Crianças, grupos vulneráveis
Potencial de dano	Incomodação mínima	Fraude, discriminação, dano financeiro, reputacional

Regra prática: Se houver dúvida, trate como alto risco e comunique à ANPD. A notificação indevida é menos grave que a omissão.

3. Comitê de Resposta a Incidentes (CSIRT)

A Cataloga-ai estabelece um Computer Security Incident Response Team (CSIRT) composto pelos seguintes membros:

Função	Responsável	Contato
Líder do CSIRT	[NOME DO CISO / CTO]	[E-MAIL / TELEFONE]
Encarregado de Dados (DPO)	[NOME DO DPO]	[EMAIL DPO]
Responsável Técnico	[NOME DO TECH LEAD]	[E-MAIL / TELEFONE]
Responsável Jurídico	[NOME DO ADVOGADO / ASSESSORIA]	[E-MAIL / TELEFONE]
Responsável Comunicação	[NOME DO CMO / RELAÇÕES PÚBLICAS]	[E-MAIL / TELEFONE]
CEO / Representante Legal	[NOME DO CEO]	[E-MAIL / TELEFONE]

Responsabilidades do CSIRT:

Líder: Coordenar resposta, tomar decisões críticas, acionar equipe
DPO: Avaliar impacto em dados pessoais, coordenar comunicação com ANPD e titulares
Técnico: Conter incidente, preservar evidências, restaurar sistemas
Jurídico: Avaliar responsabilidades legais, orientar comunicações, coordenar com autoridades
Comunicação: Redigir e enviar comunicados a titulares, imprensa (se necessário)
CEO: Aprovar decisões críticas, representar a empresa publicamente

Contato 24/7: [TELEFONE DE EMERGÊNCIA / E-MAIL CSIRT]

4. Fluxo de Resposta a Incidentes (6 Fases)

Fase 1: Detecção e Identificação

Fase 2: Contenção

Fase 3: Avaliação de Risco e Impacto

Fase 4: Comunicação (ANPD, Titulares, Controladores)

Fase 5: Erradicação e Recuperação

Fase 6: Lições Aprendidas

FASE 1 — Detecção e Identificação

1.1. Canais de Detecção

Incidentes podem ser detectados por:

Ferramentas automatizadas: sistemas de detecção de intrusão (IDS), monitoramento de logs, alertas de firewall
Equipe interna: colaboradores que notem comportamentos anormais
Titulares ou lojistas: relatos de dados expostos, acessos indevidos
Terceiros: sub-operadores (Supabase, Vercel, etc.) que identifiquem vulnerabilidades
Pesquisadores de segurança: divulgação responsável (responsible disclosure)
Autoridades: notificação de autoridades sobre vazamento identificado externamente

1.2. Ações Imediatas (< 1 hora)

Qualquer pessoa que identifique um incidente DEVE:

Não tentar "consertar" sozinho (risco de destruir evidências)
Notificar imediatamente o CSIRT via:

E-mail: [EMAIL CSIRT]
Telefone: [TELEFONE DE EMERGÊNCIA]
Chat interno: [CANAL SLACK/TEAMS]

Documentar:

Quando identificou o incidente (data/hora)
Como identificou (sintomas, alertas)
O que observou (screenshots, logs, mensagens de erro)
Quem mais foi notificado

O Líder do CSIRT deve:

Acionar o Comitê (reunião emergencial em até 1 hora)
Confirmar se é realmente um incidente (descartar falsos positivos)
Classificar gravidade preliminar:

P1 — Crítico: vazamento massivo, dados sensíveis expostos publicamente, sistema completamente indisponível
P2 — Alto: vazamento limitado, dados não sensíveis, risco moderado
P3 — Médio: incidente contido, sem exposição externa
P4 — Baixo: tentativa de ataque frustrada, sem impacto real

FASE 2 — Contenção

Objetivo

Impedir que o incidente se agrave, limitar o escopo de danos e preservar evidências.

2.1. Contenção Imediata (Short-term Containment)

Ações típicas (primeiras 2-4 horas):

Isolar sistemas afetados: desconectar da rede, bloquear IPs suspeitos
Revogar credenciais comprometidas: trocar senhas, invalidar tokens, desativar contas
Bloquear tráfego malicioso: atualizar firewall, WAF, rate limiting
Interromper processos suspeitos: matar processos, pausar serviços
Fazer snapshot/backup do estado atual: para análise forense (não sobrescrever evidências!)

⚠️ NÃO:

Desligar sistemas bruscamente (pode apagar logs em memória)
Deletar arquivos/logs suspeitos (são evidências!)
Comunicar publicamente antes de avaliar impacto (evitar pânico desnecessário)

2.2. Contenção de Longo Prazo (Long-term Containment)

Ações (até 24-48 horas):

Patch de vulnerabilidades exploradas: aplicar correções de segurança
Implementar monitoramento adicional: aumentar logging, deploy de honeypots
Isolar dados afetados: segregar dados comprometidos dos não afetados
Comunicação interna restrita: informar equipe apenas sob NDA (evitar vazamento de informações)

FASE 3 — Avaliação de Risco e Impacto

Objetivo

Determinar a extensão do incidente e se há risco ou dano relevante aos titulares (gatilho de comunicação à ANPD).

3.1. Perguntas-Chave para Investigação

O DPO, Jurídico e Técnico devem responder:

1. Quais dados pessoais foram afetados?

[ ] Nome, CPF, telefone, e-mail, endereço
[ ] Dados financeiros (PIX, cartão, contas bancárias)
[ ] Dados sensíveis (saúde, orientação sexual, biometria — art. 5º, II, LGPD)
[ ] Dados de crianças/adolescentes
[ ] Senhas (criptografadas ou em texto claro?)
[ ] Histórico de pedidos, mensagens privadas

2. Quantos titulares foram afetados?

[ ] Estimativa inicial: ___ titulares
[ ] Confirmação após análise de logs: ___ titulares

3. Como os dados foram comprometidos?

[ ] Acesso não autorizado externo (ataque cibernético)
[ ] Acesso indevido interno (colaborador, ex-funcionário)
[ ] Erro de configuração (bucket S3 público, permissões erradas)
[ ] Perda/roubo de dispositivo
[ ] Falha de fornecedor/sub-operador
[ ] Outro: ___

4. Os dados estavam protegidos por criptografia?

[ ] Sim (dados ilegíveis para atacante) → risco mitigado
[ ] Não (dados em texto claro) → alto risco
[ ] Parcialmente (alguns campos criptografados, outros não)

5. Os dados foram exfiltrados (saíram da organização)?

[ ] Sim, expostos publicamente (internet, dark web)
[ ] Sim, acessados por terceiros não autorizados (mas não publicados)
[ ] Não, incidente contido internamente
[ ] Não confirmado

6. Qual é o potencial de dano aos titulares?

Marque os possíveis danos:

[ ] Fraude financeira (uso de CPF, dados bancários)
[ ] Roubo de identidade
[ ] Discriminação (dados sensíveis)
[ ] Constrangimento, dano moral
[ ] Spam, phishing direcionado
[ ] Dano reputacional
[ ] Outro: ___

7. Há medidas que mitigam o risco?

[ ] Dados anonimizados/pseudonimizados (LGPD art. 12)
[ ] Criptografia forte
[ ] Curto período de exposição (detectado e contido rapidamente)
[ ] Acesso restrito (não público)
[ ] Titulares já foram alertados e tomaram medidas preventivas

3.2. Decision Tree: Comunicar à ANPD?


                    ┌─────────────────────────────────┐
                    │ Incidente confirmado?           │
                    └──────────┬──────────────────────┘
                               │ SIM
                               ▼
                    ┌─────────────────────────────────┐
                    │ Envolve dados pessoais?         │
                    └──────────┬──────────────────────┘
                               │ SIM
                               ▼
                    ┌─────────────────────────────────┐
                    │ Pode acarretar risco/dano       │
                    │ relevante aos titulares?        │
                    │ (veja critérios seção 2.3)      │
                    └──────────┬──────────────────────┘
                               │ SIM
                               ▼
                    ┌─────────────────────────────────┐
                    │ COMUNICAR À ANPD (até 72h)      │
                    │ E AOS TITULARES AFETADOS        │
                    └─────────────────────────────────┘
                               │ NÃO
                               ▼
                    ┌─────────────────────────────────┐
                    │ Registrar incidente internamente│
                    │ Não é obrigatória comunicação   │
                    │ pública/ANPD                    │
                    └─────────────────────────────────┘

Exemplos práticos:

Cenário	Comunicar ANPD?
Vazamento de 10.000 CPFs + nomes em texto claro	✅ SIM (alto risco)
Acesso indevido a 50 registros por colaborador interno, sem exfiltração	⚠️ Avaliar (provavelmente não, se contido rapidamente e sem dano)
Ransomware que criptografou backup de dados de lojistas	✅ SIM (indisponibilidade pode gerar dano)
Exposição de IPs e logs de acesso (anonimizados)	❌ NÃO (dados anonimizados não são pessoais — art. 12 LGPD)
Perda de laptop com dados criptografados (AES-256)	⚠️ Avaliar (criptografia forte mitiga risco, mas considere notificar)

FASE 4 — Comunicação

4.1. Comunicação à ANPD (art. 48, § 1º, LGPD)

Prazo: "em prazo razoável" — orientação prática: até 72 horas após ciência do incidente (alinhado ao GDPR europeu, art. 33).

Responsável: Encarregado de Proteção de Dados (DPO)

Canal oficial: Sistema de comunicação de incidentes da ANPD

https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao (verificar canal específico vigente)

Conteúdo mínimo da comunicação (art. 48, § 1º):

I — Descrição da natureza dos dados afetados

Categorias de dados (ex.: nome, CPF, telefone, endereço, histórico de pedidos)
Se há dados sensíveis (art. 5º, II)

II — Informações sobre os titulares envolvidos

Quantidade estimada de titulares afetados
Grupos específicos (ex.: consumidores finais, lojistas, colaboradores)

III — Indicação das medidas técnicas e de segurança utilizadas para proteção dos dados

Criptografia (tipo, nível)
Controles de acesso
Monitoramento de logs
Outras medidas de segurança que estavam em vigor

IV — Riscos relacionados ao incidente

Potencial de fraude, roubo de identidade, discriminação
Probabilidade de dano aos titulares

V — Motivos da demora (se a comunicação ocorrer após 72h)

Justificativa técnica ou operacional
Dificuldade de mensurar extensão do incidente

VI — Medidas adotadas para reverter ou mitigar os efeitos do incidente

Contenção (bloqueio de acesso, revogação de credenciais)
Notificação aos titulares
Monitoramento de fraudes
Oferta de serviços de proteção (ex.: monitoramento de crédito, troca de senhas)

Modelo de Comunicação à ANPD: Ver Anexo A ao final deste documento.

4.2. Comunicação aos Titulares Afetados (art. 48, § 2º, LGPD)

Quando comunicar: Sempre que houver risco ou dano relevante.

Prazo: O mais breve possível, idealmente simultaneamente ou logo após a comunicação à ANPD.

Forma:

Preferencial: E-mail individual, SMS, notificação push no app
Alternativa (quando inviável contato individual): Aviso público no site, redes sociais, mídia (para grandes vazamentos)

Responsável: DPO + Equipe de Comunicação

Conteúdo mínimo:

O que aconteceu (de forma clara e acessível, sem jargão técnico)
Quais dados pessoais foram afetados
Quando o incidente ocorreu (data aproximada)
Quando foi detectado
Quais medidas a Cataloga-ai está tomando (contenção, investigação, reforço de segurança)
O que o titular deve fazer (trocar senha, monitorar transações, ficar alerta a phishing)
Contato para dúvidas (e-mail e telefone do DPO/Suporte)
Direitos do titular (acesso, correção, eliminação — arts. 17-22 LGPD)

Tom: Transparente, empático, responsável. Evitar minimizar o incidente ou transferir culpa.

Modelo de Comunicação ao Titular: Ver Anexo B ao final deste documento.

4.3. Comunicação aos Lojistas (Controladores)

Quando: Sempre que dados de consumidores finais (controlados pelos lojistas) forem afetados.

Prazo: Até 72 horas após ciência do incidente (conforme Contrato de Operador — Doc. 5, Cláusula 5.6).

Responsável: DPO

Canal: E-mail oficial do lojista + notificação no painel da plataforma

Conteúdo:

Descrição do incidente
Dados afetados (incluir lista de titulares afetados, se possível)
Medidas adotadas pela Cataloga-ai
Orientação para que o lojista comunique seus clientes (se ainda não feito pela Cataloga-ai)
Apoio técnico/jurídico oferecido pela Cataloga-ai

4.4. Comunicação Interna

Equipe técnica e operacional: Informar sobre medidas de contenção e recuperação (evitar reincidência).

Diretoria/Board: Relatório executivo sobre impacto financeiro, reputacional e legal.

Colaboradores (geral): Comunicado breve, apenas se o incidente for público ou afetar operações internas.

4.5. Comunicação Externa (Imprensa, Público)

Quando: Apenas em casos de grande repercussão ou vazamento massivo.

Responsável: CMO / Relações Públicas (com aprovação do CEO e orientação jurídica)

Canal: Nota oficial no site, comunicado à imprensa.

Princípios:

Transparência
Assumir responsabilidade
Focar em ações corretivas
Evitar especulações

FASE 5 — Erradicação e Recuperação

5.1. Erradicação da Causa Raiz

Objetivo: Remover completamente a ameaça e prevenir reincidência.

Ações:

Corrigir vulnerabilidades exploradas: patches de segurança, atualizar bibliotecas, refazer configurações
Remover backdoors/malware: varredura completa de sistemas
Revisar políticas de acesso: princípio do menor privilégio, autenticação multifator
Substituir credenciais comprometidas: senhas, API keys, certificados

5.2. Recuperação

Objetivo: Restaurar operações normais de forma segura.

Ações:

Restaurar dados de backup (se houver perda/destruição)
Validar integridade dos dados restaurados
Testar sistemas antes de colocá-los de volta no ar
Monitoramento intensivo pós-recuperação (detectar tentativas de reinfecção)

Checklist de Go-Live pós-incidente:

[ ] Vulnerabilidade corrigida e testada
[ ] Logs de auditoria ativados e monitorados
[ ] Equipe treinada sobre o incidente (lições aprendidas)
[ ] Comunicações enviadas (ANPD, titulares, lojistas)
[ ] Sistemas restaurados e validados
[ ] Monitoramento 24/7 ativo por [período]

FASE 6 — Lições Aprendidas (Post-Incident Review)

Objetivo

Documentar o incidente, identificar melhorias e prevenir recorrências.

Quando: Até 30 dias após resolução do incidente.

Responsável: Líder do CSIRT + DPO

6.1. Reunião de Retrospectiva

Participantes: Todo o CSIRT + colaboradores envolvidos na resposta

Agenda:

Linha do tempo do incidente (cronologia detalhada)
O que funcionou bem (sucessos, processos eficazes)
O que pode melhorar (falhas, gargalos, lacunas)
Causa raiz (análise técnica e organizacional)
Ações corretivas (preventivas e reativas)

Perguntas-guia:

O incidente poderia ter sido prevenido? Como?
A detecção foi rápida o suficiente? Quais alertas faltaram?
A contenção foi eficaz? Houve demora?
As comunicações foram claras e tempestivas?
Os titulares/lojistas receberam suporte adequado?
Há necessidade de treinamento adicional?
Ferramentas/processos novos devem ser adotados?

6.2. Relatório de Incidente (Template)

Estrutura:

1. Sumário Executivo

Tipo de incidente
Data de detecção e resolução
Impacto (nº de titulares, tipos de dados)
Ações tomadas

2. Detalhamento Técnico

Causa raiz
Vetor de ataque
Linha do tempo (detecção → contenção → erradicação → recuperação)
Evidências preservadas

3. Impacto

Titulares afetados
Dados comprometidos
Impacto operacional (downtime, perda de receita)
Impacto reputacional

4. Comunicações Realizadas

ANPD (data, protocolo)
Titulares (nº de notificações enviadas)
Lojistas (nº de lojistas notificados)
Imprensa/público (se aplicável)

5. Ações Corretivas

Medidas imediatas
Melhorias de médio/longo prazo
Responsáveis e prazos

6. Lições Aprendidas

O que deu certo
O que melhorar
Recomendações para o futuro

Arquivo: Relatório deve ser armazenado em local seguro e confidencial, acessível apenas ao CSIRT e auditores.

Retenção: Manter por 5 anos (fins de conformidade e comprovação perante ANPD).

6.3. Atualização de Políticas e Procedimentos

Baseado nas lições aprendidas, atualizar:

Este Plano de Resposta a Incidentes
Política de Segurança da Informação
Contratos com sub-operadores (se a falha veio de terceiro)
Treinamentos de segurança para colaboradores
Infraestrutura técnica (firewalls, IDS, logging)

5. Registro de Incidentes

A Cataloga-ai manterá registro interno de todos os incidentes de segurança, incluindo aqueles que não exigiram comunicação à ANPD.

Informações registradas:

ID do incidente: [formato: INC-YYYY-MM-NNN, ex.: INC-2026-04-001]
Data/hora de detecção
Data/hora de resolução
Descrição sumária
Classificação de gravidade (P1, P2, P3, P4)
Dados afetados (categorias e quantidade)
Titulares afetados (quantidade estimada/confirmada)
Causa raiz
Ações tomadas
Comunicação à ANPD? (Sim/Não + protocolo)
Comunicação aos titulares? (Sim/Não + quantos notificados)
Responsável pela resposta
Lições aprendidas (resumo)
Status: [Aberto / Em investigação / Contido / Resolvido / Arquivado]

Formato: Planilha protegida ou sistema de gestão de incidentes (ex.: Jira Service Management, ServiceNow, ou similar).

Acesso: Restrito ao CSIRT, DPO e auditores autorizados.

Retenção: 5 anos após resolução do incidente.

Auditoria: Registro deve estar disponível para inspeção da ANPD, mediante solicitação formal.

6. Treinamento e Conscientização

Todos os colaboradores devem receber treinamento anual sobre:

Como identificar incidentes de segurança
Como reportar incidentes (canais, responsáveis)
Importância de não tentar "consertar" sozinho
Políticas de senha, acesso, dispositivos

Equipe técnica e CSIRT devem receber treinamento adicional sobre:

Preservação de evidências forenses
Técnicas de contenção e recuperação
Uso de ferramentas de resposta a incidentes
Simulações de incidentes (tabletop exercises)

DPO deve participar de capacitações sobre:

Comunicação de incidentes à ANPD
Avaliação de risco sob a LGPD
Boas práticas de transparência com titulares

Simulações: Realizar ao menos 1 simulação anual de resposta a incidentes (cenário fictício).

7. Ferramentas e Recursos

Ferramentas recomendadas para resposta a incidentes:

SIEM (Security Information and Event Management): Splunk, ELK Stack, Graylog
IDS/IPS (Intrusion Detection/Prevention): Snort, Suricata, Wazuh
Forense digital: Autopsy, Volatility, Wireshark
Gestão de incidentes: Jira Service Management, TheHive, Cortex
Comunicação segura: Signal, PGP para e-mails sensíveis

Recursos externos:

ANPD: https://www.gov.br/anpd
CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil): https://www.cert.br
OWASP (Open Web Application Security Project): https://owasp.org
NIST Cybersecurity Framework: https://www.nist.gov/cyberframework

8. Responsabilidades por Incidentes em Sub-operadores

Quando um sub-operador (Supabase, Vercel, Asaas, GPTMaker, WhatsApp) sofre incidente que afeta dados de consumidores finais:

Obrigação do sub-operador (conforme Contrato de Operador — Doc. 5):

Notificar a Cataloga-ai em até 48 horas
Fornecer detalhes sobre natureza do incidente, dados afetados, medidas tomadas

Obrigação da Cataloga-ai:

Avaliar impacto conjunto com o sub-operador
Comunicar à ANPD (se alto risco) em nome do lojista-controlador
Notificar lojistas afetados
Notificar titulares (se necessário)

Responsabilidade legal: Cataloga-ai permanece responsável perante lojistas e ANPD pela atuação de sub-operadores (LGPD art. 42, § 1º).

Anexo A — Modelo de Comunicação à ANPD

Assunto: Comunicação de Incidente de Segurança — [NOME DA EMPRESA] — [DATA]

À Autoridade Nacional de Proteção de Dados (ANPD)

Controlador / Operador:

Razão Social: [NOME DA EMPRESA]

CNPJ: [CNPJ]

Endereço: [ENDEREÇO]

Encarregado de Dados (DPO): [NOME DO DPO]

E-mail: [EMAIL DPO]

Telefone: [TELEFONE]

1. Descrição da natureza dos dados pessoais afetados

Categorias de dados comprometidos:

[ ] Nome completo
[ ] CPF
[ ] Telefone
[ ] E-mail
[ ] Endereço
[ ] Histórico de pedidos
[ ] Dados de pagamento (especificar: _____)
[ ] Dados sensíveis (especificar categoria — art. 5º, II, LGPD): _____
[ ] Outros: _____

Classificação: Dados pessoais [ ] comuns [ ] sensíveis [ ] de crianças/adolescentes

2. Informações sobre os titulares envolvidos

Quantidade estimada de titulares afetados: [número]
Grupos de titulares:
[ ] Consumidores finais (clientes de lojistas)
[ ] Lojistas (assinantes da plataforma)
[ ] Colaboradores internos
[ ] Outros: _____

3. Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados

Medidas implementadas antes do incidente:

Criptografia: [ ] Em trânsito (TLS 1.3) [ ] Em repouso (AES-256)
Controle de acesso: [ ] Autenticação multifator [ ] RBAC (Role-Based Access Control)
Monitoramento: [ ] Logs de auditoria [ ] IDS/IPS [ ] SIEM
Backup: [ ] Diário [ ] Semanal [ ] Outro: _____
Outras medidas: _____

Status de proteção dos dados afetados:

[ ] Dados estavam criptografados (não legíveis por terceiros)
[ ] Dados estavam em texto claro (legíveis)
[ ] Dados parcialmente protegidos (especificar): _____

4. Riscos relacionados ao incidente

Possíveis danos aos titulares:

[ ] Fraude financeira
[ ] Roubo de identidade
[ ] Discriminação (dados sensíveis)
[ ] Constrangimento, dano moral
[ ] Spam, phishing direcionado
[ ] Dano reputacional
[ ] Outros: _____

Avaliação de risco: [ ] Alto [ ] Médio [ ] Baixo

Justificativa: _____

5. Descrição do incidente

Data/hora de ocorrência: [DATA/HORA]

Data/hora de detecção: [DATA/HORA]

Como o incidente ocorreu:

[ ] Ataque cibernético externo (especificar tipo: phishing, SQL injection, DDoS, ransomware, etc.)
[ ] Acesso indevido interno (colaborador, ex-funcionário)
[ ] Erro de configuração (permissões, bucket público, etc.)
[ ] Perda/roubo de dispositivo
[ ] Falha de fornecedor/sub-operador (especificar): _____
[ ] Outro: _____

Descrição detalhada:

[Narrativa cronológica do incidente, incluindo como foi descoberto, extensão do dano, sistemas afetados]

6. Medidas adotadas para reverter ou mitigar os efeitos do incidente

Contenção:

[Ex.: "Bloqueio imediato de IPs suspeitos", "Revogação de credenciais comprometidas", "Isolamento de sistemas afetados"]

Comunicação aos titulares:

[ ] Realizada em [DATA]
[ ] Forma: [ ] E-mail individual [ ] SMS [ ] Aviso público [ ] Outro: _____
[ ] Quantidade de titulares notificados: _____
[ ] Em andamento
[ ] Não aplicável (justificar): _____

Assistência aos titulares:

[ ] Orientação para troca de senhas
[ ] Monitoramento de crédito oferecido
[ ] Canal dedicado para dúvidas (e-mail, telefone)
[ ] Outros: _____

Medidas técnicas adicionais:

[Ex.: "Patch de vulnerabilidade aplicado", "Implementação de autenticação multifator obrigatória", "Reforço de monitoramento"]

Investigação em andamento:

[ ] Sim (estimativa de conclusão: [DATA])
[ ] Concluída

7. Motivos da demora (se comunicação ocorrer após 72h)

[Justificar por que a comunicação não foi feita em até 72h — ex.: "dificuldade de mensurar extensão do incidente", "complexidade técnica da investigação forense", "aguardo de confirmação de sub-operador"]

8. Contato para mais informações

Encarregado de Dados (DPO):

Nome: [NOME DO DPO]

E-mail: [EMAIL DPO]

Telefone: [TELEFONE]

Data da comunicação: [DATA]

Assinatura:

[NOME DO REPRESENTANTE LEGAL]

[CARGO]

Anexo B — Modelo de Comunicação ao Titular

Assunto: Importante: Notificação sobre Incidente de Segurança — [NOME DA EMPRESA]

Prezado(a) [NOME DO TITULAR],

Estamos entrando em contato para informá-lo(a) sobre um incidente de segurança que pode ter afetado alguns dos seus dados pessoais armazenados em nossa plataforma.

O que aconteceu?

Em [DATA], identificamos [DESCRIÇÃO SIMPLES: ex.: "um acesso não autorizado ao nosso sistema" / "uma falha de configuração que expôs dados temporariamente"].

Quais dados foram afetados?

Os seguintes dados pessoais podem ter sido comprometidos:

[Ex.: Nome completo]
[Ex.: CPF]
[Ex.: Telefone]
[Ex.: E-mail]
[Ex.: Endereço de entrega]
[Ex.: Histórico de pedidos]

[IMPORTANTE: Seus dados de pagamento (cartão, senha bancária) NÃO foram afetados.] (se aplicável)

Quando isso aconteceu?

O incidente ocorreu em [DATA] e foi detectado em [DATA]. Desde então, tomamos medidas imediatas para conter o problema e proteger seus dados.

O que estamos fazendo?

✅ Contivemos o incidente e bloqueamos o acesso não autorizado
✅ Estamos investigando a causa raiz com nossa equipe técnica
✅ Reforçamos nossas medidas de segurança [especificar, ex.: "implementamos autenticação multifator obrigatória"]
✅ Comunicamos o incidente à Autoridade Nacional de Proteção de Dados (ANPD)

O que você deve fazer?

Por precaução, recomendamos que você:

Troque sua senha na plataforma Cataloga-ai imediatamente (se aplicável)
Fique alerta a e-mails ou mensagens suspeitas (tentativas de phishing usando seus dados)
Monitore suas transações bancárias para identificar atividades não autorizadas
Considere ativar autenticação de dois fatores em todas as contas online importantes

Seus direitos (LGPD)

Você tem direito a:

Confirmar quais dados seus foram afetados
Solicitar exclusão ou correção de dados
Revogar consentimento para uso de dados (quando aplicável)

Para exercer esses direitos, entre em contato conosco.

Como entrar em contato conosco?

Se você tiver dúvidas ou preocupações, nossa equipe está à disposição:

E-mail do Encarregado de Dados (DPO): [EMAIL DPO]
Telefone: [TELEFONE]
Horário de atendimento: [HORÁRIO]

Pedimos desculpas

Levamos a segurança dos seus dados muito a sério e lamentamos profundamente este incidente. Estamos comprometidos em proteger suas informações e já implementamos melhorias para evitar que isso aconteça novamente.

Agradecemos sua compreensão e confiança.

Atenciosamente,

[NOME DA EMPRESA]

[NOME DO DPO / CEO]

[EMAIL DPO]

[DATA]

Nota de Revisão Jurídica

IMPORTANTE: Este Plano de Resposta a Incidentes foi elaborado como modelo base e deve ser obrigatoriamente revisado por advogado especializado em proteção de dados e segurança da informação antes de sua implementação. A revisão jurídica é essencial para:

Adequação ao contexto específico da empresa e infraestrutura tecnológica
Validação dos procedimentos de comunicação à ANPD e titulares
Conformidade com orientações atualizadas da ANPD e jurisprudência
Compatibilização com Política de Privacidade (Doc. 2), Contrato de Operador (Doc. 5) e contratos com sub-operadores
Avaliação de riscos legais e responsabilidades

A utilização deste documento sem revisão jurídica adequada é de responsabilidade exclusiva do usuário.

Próximos passos recomendados:

Validar composição do CSIRT e garantir que todos os membros estão cientes de suas responsabilidades
Realizar treinamento inicial da equipe sobre este Plano
Testar procedimentos com simulação de incidente (tabletop exercise)
Estabelecer SLAs internos para cada fase de resposta
Integrar este Plano ao Sistema de Gestão de Segurança da Informação (SGSI) da empresa
Revisar anualmente ou após cada incidente real

Elaborado em conformidade com:

Lei nº 13.709/2018 (LGPD), especialmente art. 48
Orientações da Autoridade Nacional de Proteção de Dados (ANPD)
NIST Cybersecurity Framework
ISO/IEC 27035 (Gestão de Incidentes de Segurança da Informação)
GDPR (Regulamento Geral de Proteção de Dados — UE), art. 33 e 34

Versão: 1.0

Data: [DATA]

Próxima revisão: [DATA + 1 ano]