Política de Resposta a Incidentes (PRI)
INTRODUÇÃO
ESTE DOCUMENTO TEM COMO OBJETIVO DEFINIR AS DIRETRIZES PELAS QUAIS A COOPERX DEVERÁ RESPONDER A UM INCIDENTE DE SEGURANÇA, GARANTINDO UMA RESPOSTA RÁPIDA, ORGANIZADA E EFICIENTE AO EVENTO, ATENDENDO ÀS LEIS DE PRIVACIDADE E PROTEÇÃO DE DADOS NACIONAIS, PERMITINDO MINIMIZAR SUAS CONSEQUÊNCIAS PARA TODOS OS ENVOLVIDOS. O OBJETIVO PRINCIPAL DA POLÍTICA DE RESPOSTA A INCIDENTES É IDENTIFICAR AMEAÇAS NA EMPRESA, RESPONDER A ELAS ANTES QUE POSSAM SE ESPALHAR E REMEDIÁ-LAS ANTES QUE POSSAM CAUSAR DANOS.
DEFINIÇÕES GERAIS
PARA UMA MELHOR COMPREENSÃO DESTE DOCUMENTO, SERÃO ADOTADAS AS SEGUINTES DEFINIÇÕES:
AGENTE DE TRATAMENTO: DE ACORDO COM A LGPD, SÃO AGENTES DE TRATAMENTO AQUELES QUE PODEM TER ALGUMA AÇÃO NO TRATAMENTO DE UM INCIDENTE QUE COLOQUE EM RISCO A SEGURANÇA DOS DADOS PESSOAIS. TAIS AGENTES ABRANGEM:
CONTROLADOR: PESSOA NATURAL OU JURÍDICA, DE DIREITO PÚBLICO OU PRIVADO, RESPONSÁVEL PELAS DECISÕES SOBRE O TRATAMENTO DE DADOS PESSOAIS;
OPERADOR: É A PESSOA NATURAL OU JURÍDICA, DE DIREITO PÚBLICO OU PRIVADO, QUE REALIZA O TRATAMENTO DE DADOS PESSOAIS EM NOME DO CONTROLADOR. DEPENDENDO DO CONTEXTO, UMA MESMA OPERAÇÃO DE TRATAMENTO DE DADOS PESSOAIS PODE TER MAIS DE UM OPERADOR OU CONTROLADOR ENVOLVIDO.
ENCARREGADO DE PROTEÇÃO DE DADOS (DPO): A PESSOA INDICADA PELO CONTROLADOR E PELO OPERADOR PARA ATUAR COMO CANAL DE COMUNICAÇÃO ENTRE O CONTROLADOR, TITULARES DOS DADOS E A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD).
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD): OS ARTIGOS 55-A E SEGUINTES DA LGPD DEFINEM A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD), ENTIDADE RESPONSÁVEL POR ZELAR, IMPLEMENTAR E FISCALIZAR O CUMPRIMENTO DA LGPD EM TODO O TERRITÓRIO NACIONAL, CONFORME AS ATRIBUIÇÕES DESCRITAS NO ART. 55-J DA LGPD E NO DECRETO Nº 10.474, DE 26 DE AGOSTO DE 2020
DADO PESSOAL: É TODA INFORMAÇÃO RELACIONADA A PESSOA NATURAL IDENTIFICADA OU IDENTIFICÁVEL.
INCIDENTE: EVENTO, AÇÃO OU OMISSÃO QUE TENHA PERMITIDO OU POSSA VIR A PERMITIR ACESSO NÃO AUTORIZADO, INTERRUPÇÃO OU MUDANÇA NAS OPERAÇÕES (INCLUSIVE PELA TOMADA DE CONTROLE), DESTRUIÇÃO, DANO, DELEÇÃO OU MUDANÇA DA INFORMAÇÃO PROTEGIDA, REMOÇÃO OU LIMITAÇÃO DE USO DA INFORMAÇÃO PROTEGIDA OU, AINDA, APROPRIAÇÃO, DISSEMINAÇÃO E PUBLICAÇÃO INDEVIDA DE INFORMAÇÃO PROTEGIDA DE ALGUM ATIVO DE INFORMAÇÃO CRÍTICO OU DE ALGUMA ATIVIDADE CRÍTICA POR UM PERÍODO DE TEMPO INFERIOR AO TEMPO OBJETIVO DE RECUPERAÇÃO.
INCIDENTE DE SEGURANÇA: O NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST), DEFINE UM INCIDENTE DE SEGURANÇA COMO UMA VIOLAÇÃO OU AMEAÇA DE VIOLAÇÃO DA POLÍTICA DE SEGURANÇA COMPUTACIONAL, POLÍTICA DE USO ACEITÁVEL OU PADRÕES DE PRÁTICA DE SEGURANÇA. PARA FINS DESTA POLÍTICA, SÃO CONSIDERADOS INCIDENTES DE SEGURANÇA:
– VAZAMENTO OU ROUBO DE DADOS POR MEIO DE INVASÃO/ATAQUE INTERNO OU EXTERNO À INFRAESTRUTURA FÍSICA OU LÓGICA DA COOPERX;
– ACESSO A DADOS POR PESSOAS NÃO AUTORIZADAS;
– PERDA OU CORRUPÇÃO DE DADOS OCASIONADO POR QUEDA DE ENERGIA, RAIOS, INUNDAÇÕES E OUTRAS CATÁSTROFES NATURAIS;
– ALTERAÇÃO OU EXCLUSÃO INDEVIDA DE DADOS;
– DESCARTE INCORRETO DE DOCUMENTOS SIGILOSOS, PODENDO OU NÃO CONTER DADOS PESSOAIS.
– TRATAMENTO INCORRETO DE DADOS PESSOAIS, FORA DA FINALIDADE DECLARADA;
LGPD: LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 – LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD), CUJO OBJETIVO É PROTEGER OS DIREITOS FUNDAMENTAIS DE PRIVACIDADE E DE LIBERDADE DE CADA INDIVÍDUO.
RELATÓRIO FINAL: É UM RELATÓRIO QUE DEVE CONTER TODAS AS EVIDÊNCIAS E AÇÕES DE TRATAMENTO DO INCIDENTE DE SEGURANÇA E QUE DEVE SER ELABORADO NA ÚLTIMA ETAPA DA RESPOSTA AO INCIDENTE.
TIME DE RESPOSTA A INCIDENTES (TRI): EQUIPE RESPONSÁVEL POR PLANEJAR FLUXO DE AÇÕES E RESPONDER A INCIDENTES DE SEGURANÇA, CONFORME PREVISTO NA POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DA EMPRESA.
ETAPAS DA RESPOSTA A INCIDENTES DE SEGURANÇA
A COOPERX ADOTARÁ O CICLO DE VIDA DE RESPOSTA A INCIDENTES:
1. PREPARAÇÃO – IDENTIFICAÇÃO, PREVISÃO E DEFINIÇÃO DE PLANOS DE AÇÃO CONTRA INCIDENTES. VOLTA-SE PARA ESTA ETAPA APÓS CONCLUÍDA A ATIVIDADE PÓS-INCIDENTE, SEGUINDO O CICLO PDCA PARA MELHORIA CONTÍNUA.
2. DETECÇÃO E ANÁLISE – DETECÇÃO DE ANOMALIAS QUE POSSAM REPRESENTAR RISCO ADVERSO AA COOPERX. NESTA ETAPA OCORRERÁ A CLASSIFICAÇÃO DO INCIDENTE E, CASO ENVOLVA DADOS PESSOAIS, A NOTIFICAÇÃO AOS TITULARES DE DADOS E À ANPD.
3. CONTENÇÃO, ERRADICAÇÃO E RECUPERAÇÃO – FASE EM QUE SÃO IMPLEMENTADAS AÇÕES PARA CONTER OS EFEITOS DO INCIDENTE, SUA ERRADICAÇÃO E RECUPERAÇÃO; NESTA ETAPA SÃO IDENTIFICADAS AS ORIGENS DE ATAQUES E COLETADAS AS EVIDÊNCIAS PARA POSTERIOR ELABORAÇÃO DE DOCUMENTAÇÃO. CONFORME OS DADOS COLETADOS, VOLTA-SE À ETAPA DE DETECÇÃO E ANÁLISE PARA RECLASSIFICAR O INCIDENTE, CASO APLICÁVEL.
4. ATIVIDADE PÓS-INCIDENTE E LIÇÕES APRENDIDAS – DOCUMENTAÇÃO PARA AJUSTAMENTO DE PROCESSOS INTERNOS E CONFORMIDADE REGULATÓRIA.
FLUXO DE RESPOSTA A INCIDENTES
1. PREPARAÇÃO
O INCIDENTE SERÁ AVALIADO INTERNAMENTE COM O OBJETIVO DE OBTER INFORMAÇÕES INICIAIS SOBRE IMPACTO DO EVENTO; NATUREZA, CATEGORIA E QUANTIDADE DE TITULARES DE DADOS PESSOAIS AFETADOS; CATEGORIA E QUANTIDADE DE DADOS AFETADOS, CONSEQUÊNCIAS DO INCIDENTE PARA OS TITULARES E A ENTIDADE, CRITICIDADE E PROBABILIDADE; ALÉM DISSO, É NECESSÁRIO PRESERVAR TODAS AS EVIDÊNCIAS DO INCIDENTE.
2. DETECÇÃO E ANÁLISE
O COLABORADOR QUE IDENTIFICAR O INCIDENTE DEVERÁ COMUNICAR AO GESTOR IMEDIATO, QUE ACIONARÁ O TIME DE RESPOSTA A INCIDENTES (TRI).
O TRI DEVERÁ COMUNICAR AO ENCARREGADO DE PROTEÇÃO DE DADOS (DPO) A EXISTÊNCIA DO INCIDENTE, CASO ENVOLVA DADOS PESSOAIS.
I. DO PRAZO PARA COMUNICAÇÃO: A PARTIR DA IDENTIFICAÇÃO DA OCORRÊNCIA DE UM INCIDENTE, CONTATAR IMEDIATAMENTE O DPO, PELOS MEIOS DE COMUNICAÇÃO CONVENIENTES (EX.: LIGAÇÃO TELEFÔNICA/ CHAMADA VIA WHATSAPP), SOLICITANDO SUA PRESENÇA ÀS DEPENDÊNCIAS DA EMPRESA.
II. COMUNICAR AO CONTROLADOR, NOS TERMOS DA LGPD, A EXISTÊNCIA DO INCIDENTE, CASO ENVOLVA DADOS PESSOAIS.
III. COMUNICAR À ANPD E AOS TITULARES DE DADOS PESSOAIS, EM ATÉ 2 DIAS ÚTEIS, CONTADOS DA DATA DE CONHECIMENTO DO INCIDENTE (CONFORME ART. 48 DA LGPD) A EXISTÊNCIA DO INCIDENTE, EM CASO DE RISCO OU DANO RELEVANTE AOS TITULARES;
3. CONTENÇÃO, ERRADICAÇÃO E RECUPERAÇÃO – TOMADA DE AÇÕES BASEADAS NOS CONTROLES DOS ATIVOS DE TI DA ORGANIZAÇÃO, PARA CONTER O INCIDENTE, LIMITANDO SEU ALCANCE E COLETANDO EVIDÊNCIAS PARA POSTERIOR ANÁLISE E DOCUMENTAÇÃO.
4. ELABORAR DOCUMENTAÇÃO (LIÇÕES APRENDIDAS) PARA FINS DE CUMPRIMENTO DO PRINCÍPIO DE RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS TANTO AOS TITULARES COMO A PRESTAÇÃO DE INFORMAÇÕES SOBRE O INCIDENTE À ANPD (ART. 6º, X DA LGPD).
CONTATOS E COMO REPORTAR INCIDENTES
em caso de quaisuqer ocorrências o cooperado deverá, IMEDIATAMENTE:
a) comunicar por e-mail a cooperx pelos e-mails contato@cooperx.coop.br copiando o presidente JAMES MIRANDA, james@cooperx.com.br;
b) entrar em contato telefônico com a alta gestão da cooperx comunicando o fato;
(dados de contato da diretoria disponíveis no grupo oficial de whatsapp da cooperx)
importante: o cooperado, EM CASO DE SUSPEITA DE INCIDENTE, deverá prontamente RETIRAR SEU EQUIPAMENTO DA INTERNET, MANTENDO-O LIGADO, SEM RESET, PARA QUE O TRI POSSA REALIZAR QUAISUQER ANÁLISES FORENSES NECESSÁRIAS.
QUAISQUER OUTRAS QUESTÕES RELACIONADAS AO TEMA BEM COMO COMENTÁRIOS OU PEDIDOS poderão ser solicitadas pelo e-mail CONTATO@COOPERX.COOP.BR.
A COOPERX BRASIL PODERÁ ALTERAR, RETIFICAR OU ADITAR TERMOS NA PRESENTE POLÍTICA DE PRIVACIDADE, DE FORMA UNILATERAL E EM QUALQUER MOMENTO, SEM NECESSIDADE DE QUALQUER AVISO PRÉVIO.