PLANO DE RESPOSTA A INCIDENTES

Lei Geral de Proteção de Dados

1. Esclarecimentos Iniciais

Este Plano de Resposta a Incidentes de Segurança de Computador foi construído para instruir

os funcionários e colaboradores da WQS a gerenciar a reação após um ataque cibernético ou

violação de segurança da rede (“Incidente”) e tem por objetivo minimizar os danos, reduzir o

tempo de recuperação de desastres e mitigar as despesas relacionadas aos incidentes.

Para os fins deste Plano, incidente pode ser considerado todo evento ou ação que

comprometeu ou pode comprometer a confidencialidade, integridade ou disponibilidade de

dados pessoais, incluindo, mas não se limitando a: (a) perda ou roubo de materiais ou

equipamentos, por exemplo, notebooks; (b) divulgação de dados pessoais para destinatário

incorreto; (c) falha dos sistemas; (d) tentativas (bem sucedidas ou não) de acesso ou divulgação

não autorizada de dados pessoais; (e) ataques (bem sucedidos ou não) de hackers; (f)

circunstâncias imprevistas, como incêndio.

Ademais, por “dados pessoais” entende-se como sendo dados relacionados à pessoa natural

identificada ou identificável (e.g. nome, endereço, registro de acesso, RG e CPF), incluindo

dados sensíveis, como origem racial ou étnica, convicção religiosa, opinião política, filiação a

sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde

ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Assim, embora cada incidente seja revestido de suas especificidades, o presente documento é

o plano de ação que deve ser seguido sempre que um incidente for identificado.

2. Providências Iniciais:
Ao identificar e/ou ser comunicado acerca de um incidente, ainda que por telefone, a pessoa

deverá imediatamente contatar o Encarregado, vulgo DPO (Data Protection Officer).

(i) Encarregado: João Pedro Henriques Machado

Telefone: (14) 99114-7229

E-mail: [email protected]

Caso o Encarregado não seja localizado em até 1 (uma) hora e/ou esteja ausente, por exemplo,

por motivos de licença ou férias, o Suplente do Encarregado deverá ser imediatamente

contatado.

(ii) Suplente do Encarregado: Marcia Benedita Oliva

Telefone: (14) 98173-7325

E-mail: [email protected]

A função primordial do Encarregado e de seu Suplente será a de zelar para que todo o processo

de reação esteja adequado aos interesses da empresa e dos titulares dos dados pessoais.

Após o Encarregado tomar conhecimento acerca do incidente, deverá imediatamente contatar

o responsável pelo setor de Tecnologia da Informação (TI), conforme dados abaixo apontados.

(i) TI: Wilson Martins de Souza Junior

Telefone: (14) 98156-5378

E-mail: [email protected]

Caso o TI não seja localizado em até 1 (uma) hora e/ou esteja ausente, por exemplo, por

motivos de licença ou férias, o Suplente do TI deverá ser imediatamente contatado.

(ii) Suplente do TI: João Pedro Henriques Machado

Telefone: (14) 99114-7229

E-mail: [email protected]
O Encarregado e o TI e/ou seus Suplentes deverão detectar ou identificar as características do

incidente e determinar quais dados foram ou podem ter sido violados e de quais titulares,

preenchendo o formulário constante do Anexo I.

Durante e após o preenchimento do Anexo I, o TI e/ou seu Suplente deverá(ão) (a) verificar se

a violação ainda está ocorrendo e, em caso positivo, cessar a violação, (b) restaurar a

normalidade das atividades e (c) identificar, coletar e preservar evidências, ou seja, descobrir

a causa do incidente (ou tentar no máximo estado da técnica), fazer prova positiva da

investigação realizada e, se aplicável, identificar o responsável pelo incidente.

Obs. Todos os laudos técnicos extraídos desta verificação e identificação deverão ser anexados

ao Anexo I.

De forma simultânea, o Encarregado e/ou seu Suplente deverá(ão) enviar o formulário

constante do Anexo I preenchido aos seguintes contatos:

(i) Jurídico: Marcia Andrade

Telefone: (11) 98914-0858/(11) 2505-9181

E-mail: [email protected]

(ii) Compliance: Kassia Couto

Telefone: +1 (980) 218-9151 EXT 107/+1 (908) 701 - 9843

E-mail: mailto:[email protected]

O Encarregado e/ou seu Suplente, bem como os responsáveis pelos setores Jurídico e

Compliance, em conjunto, analisarão e determinarão a gravidade do incidente, considerando,

dentre outros elementos, (a) o tipo de dados envolvidos, (b) sua sensibilidade, (c) as proteções

que estão em vigor (e.g. criptografia), (d) o que aconteceu com os dados, (e) se os dados podem

ser utilizados ilegalmente ou inadequadamente, (f) os titulares que foram afetados, (g) número

de titulares afetados e (h) os prejuízos potenciais aos titulares.

Feito isto, se entenderem que o incidente pode acarretar risco ou dano relevante aos titulares

dos dados pessoais, deverão imediatamente:

(i) Estabelecer as medidas que serão tomadas para mitigar os reverter os efeitos do

prejuízo do incidente, tanto em relação à empresa quanto em relação aos titulares

dos dados pessoais.

(ii) Comunicar a Autoridade Nacional de Proteção de Dados, através do portal

https://www.gov.br/anpd/pt-br

Esta comunicação deverá conter, no mínimo, (a) a descrição da natureza dos dados

pessoais afetados, (b) as informações sobre os titulares envolvidos, (c) a indicação

das medidas técnicas e de segurança utilizadas para a proteção dos dados,

observados os segredos comercial e industrial, (d) os riscos relacionados ao

incidente, (e) os motivos da demora, no caso de a comunicação não ter sido

imediata e, (f) as medidas que foram ou que serão adotadas para reverter ou mitigar

os efeitos do prejuízo.

(iii) Comunicar os titulares dos dados pessoais envolvidos no incidente,

preferencialmente, via e-mail ou telefone.

Esta comunicação deverá conter, no mínimo, (a) a descrição da natureza dos dados

pessoais afetados, (b) a indicação das medidas técnicas e de segurança utilizadas

para a proteção dos dados, observados os segredos comercial e industrial e (c) as

medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do

prejuízo.

Ademais, deverão avaliar se é o caso de divulgar nos meios de comunicação nota de

esclarecimento sobre o incidente, em especial, as medidas que foram ou que serão adotadas

para reverter ou mitigar os efeitos do prejuízo, principalmente se tal incidente já tiver sido

reportado na mídia. Para publicação, deverão contatar:

 (i) Comunicação: Karen Albuquerque

Telefone: (14) 99169-6646

E-mail: [email protected]

Além disso, deverão avaliar se é cabível comunicar outras entidades que podem ser

impactadas pelo incidente em razão dos dados que foram / podem ter sido corrompidos, por

exemplo, bancos e seguradoras.

E, por fim, após a conclusão da investigação realizada pelo TI, seu Suplente e/ou pelo Perito

acerca do incidente, caso seja identificada a causa e o responsável por este, deverão tomar

todas as medidas cabíveis para responsabilizá-lo, incluindo medidas cíveis e criminais.

3. Providências finais

Após o gerenciamento do incidente e seus efeitos, o Encarregado e/ou seu Suplente deverá(ão):

(i) Analisar se será necessário implantar algum mecanismo, dispositivo ou tecnologia

para evitar que novos incidentes deste tipo voltem a ocorrer e, em caso positivo,

providenciar tal implantação;

(ii) Consolidar o valor total que a empresa despendeu para o gerenciamento do

incidente e seus efeitos;

(iii) Analisar se um valor maior deve ser aprovado para gerenciamento de eventuais

novos incidentes e seus efeitos e, em caso positivo, providenciar tal aprovação;

(iv) Analisar se as políticas internas referentes ao gerenciamento do incidente foram

eficazes ou se demandam alguma alteração e, em caso positivo, providenciar,

juntamente com o jurídico, tal alteração; e,

 (v) Preencher o Anexo II, referente à conclusão do incidente e armazenar todos os

documentos relacionados ao incidente, incluindo os Anexos I e II.

(vi) Por fim, o Anexo III elenca as responsabilidades de cada área no caso de incidente

de vazamento de dados pessoais.

Anexo I

DESCRIÇÃO DO INCIDENTE N. XXX

Nome:

Data:

Assinatura:

1 Data em que o incidente foi descoberto R.

2 Nome completo, e-mail, telefone e R.

endereço da pessoa que reportou o

incidente

3 Breve descrição do incidente R.

4 Data(s) em que o incidente ocorreu R.

5 O incidente ainda está ocorrendo? R.

6 O que foi/está sendo feito para cessar o R.

incidente?

7 Local em que ocorreu/está ocorrendo o R.

incidente

8 Houve o comprometimento da R.

confidencialidade, integridade ou
 disponibilidade de dados pessoais e/ou

sensíveis?

9 Há possibilidade deste incidente R.

comprometer a confidencialidade,

integridade ou disponibilidade de

dados pessoais e/ou sensíveis?

10 Quais são os dados pessoais R.

envolvidos? Favor detalhar.

11 Quais são dados sensíveis envolvidos? R.

Favor detalhar.

12 Quem são os titulares dos dados R.

pessoais e/ou sensíveis envolvidos?

13 Há dados pessoais e/ou sensíveis de R.

menores?

14 Quantos são os titulares dos dados R.

pessoais e/ou sensíveis envolvidos?

15 Há algum indício de que estes dados R.

pessoais e/ou sensíveis foram ou

podem ser utilizados ilegalmente ou

inadequadamente por terceiros?

16 Estes dados pessoais e/ou sensíveis R.

ficaram ou estão disponíveis para

terceiros em algum lugar? Qual(is)? Por

quanto tempo?

17 Há cópia destes dados? Qual a proteção R.

utilizada?

18 Qual a causa do incidente? R.

 19 Quem é o responsável pelo incidente? R.

20 Informações adicionais / Observações R.

Obs. Todos os laudos técnicos extraídos da investigação realizada pelo TI, seu Suplente ou

pelo Perito deverão ser anexados ao presente.

Anexo II

CONCLUSÃO DO INCIDENTE N. XXX

Nome:

Data:

Assinatura:

1 Descrição do incidente

2 O incidente foi sanado? R.

3 Os dados foram recuperados em sua R.

totalidade?

4 Houve a identificação do responsável? R.

Favor apontar nome completo, RG,

CPF, endereço, telefone e e-mail.

5 Houve a identificação da causa do R.

incidente?

6 Quais medidas internas foram tomadas R.

para que novos incidentes deste tipo

não voltem a ocorrer?

7 O incidente foi reportado para a R.

autoridade cível e/ou criminal? Em caso

negativo, justifique. Em caso positivo,

 informe a data e o número do processo,

bem como anexe ao presente

formulário a cópia dos documentos.

8 O incidente foi reportado para os R.

titulares dos dados? Em caso negativo,

justifique. Em caso positivo, informe

a(s) data(s) e o(s) local(is), bem como

anexe ao presente a cópia das provas

das publicações.

9 O incidente foi reportado para a R.

Autoridade Nacional de Proteção de

Dados? Em caso negativo, justifique.

Em caso positivo, informe a data e o

número do processo, bem como anexe

ao presente a cópia dos documentos.

10 O incidente foi reportado para outra R.

entidade? Qual? Em caso positivo,

anexe ao presente a cópia dos

documentos.

11 Qual o valor total que a empresa R.

despendeu para o gerenciamento do

incidente e seus efeitos?

12 Quais foram os efeitos do incidente R.

para a empresa?

13 As políticas internas referentes ao R.

gerenciamento do incidente foram

eficazes?
14 As políticas internas referentes ao R.

gerenciamento do incidente demandam

alguma alteração? Qual?

15 Informações adicionais / Observações R.

 Anexo III

Responsabilidades das Áreas

À medida que um incidente progride, diversas áreas da empresa deverão ser envolvidas. A tabela a seguir descreve as responsabilidades de cada

área no caso de um incidente de vazamento de dados pessoais.

Área Responsabilidades Acionamento

TI e Segurança da 1. Investigar e coordenar as medidas para combater os incidentes. Departamento envolvido em

Informação todos os incidentes de
2. Fornecer suporte no tocante às operações de segurança da informação.
segurança da informação.
3. Tomar as medidas adequadas para ajudar a conter e controlar os sistemas
afetados.

4. Preservar a informações necessárias que possam ajudar na investigação.

Jurídico 1. Fornecer suporte jurídico durante as investigações; Quando o incidente precisa ser
2. Comunicar (se necessário) a Autoridade Nacional da Proteção de Dados e os investigado e/ou quando é
titulares, bem como acionamento da polícia (se necessário); necessário notificar as
3. Determinar responsáveis legais e medidas judiciais aplicáveis; autoridades e os titulares.

3. Maintain inventory of incidents

4. Report incidents to the appropriate personnel

5. Act as the lead function to coordinate lessons learned and tests of this plan
 Seguros 1. Fornecer suporte relacionado ao seguro cibernético. O time de seguros sempre é
acionado no caso de incidente.
2. Identificar quando a seguradora deve ser contatada.

3. Ser o principal ponto de contato com a seguradora.

4. Submeter reivindicações (se necessário)

5. Identificar os requisitos necessários para acionar o seguro e atender às

exigências da seguradora.
Marketing ou 1. Communicar (se necessário) os meios de comunicação e a imprensa sobre o O Departamento de Comunicação
relações públicas. incidente é envolvido quando é necessário
2. Communicar (se necessário) os funcionários e colaboradores internos. comunicar à imprensa no tocante
ao incidente de vazamento de
dados pessoais.
Help Desk 1. Responder aos titulares no caso de incidente de vazamento de dados pessoais, Help desk é apontado quando
de acordo com as orientações da empresa. um incidente potencial é
identificado ou se é necessário
responder chamadas
relacionadas ao incidente.
Encarregado 1. Fornecer suporte para todas as áreas. O DPO é acionado quando há
um potencial incidente
2. Atuar como principal ponto de contato entre as áreas, titulares e Autoridade
relacionado à privacidade de
Nacional da Proteção de Dados Pessoais.
dados?