Este Plano de Resposta a Incidentes de Segurança da Informação Envolvendo Dados Pessoais (“Plano de Resposta a Incidente” ou “PRI”) estabelece o procedimento para a gestão de situações após a identificação da ocorrência, ou mera suspeita, de um incidente de segurança da informação que envolva dados de pessoa natural identificada ou identificável (“Dados Pessoais”)

O que é um incidente de segurança

• Para fins do presente RPI, entende-se por “Incidente” toda e qualquer violação de segurança que, de forma acidental ou dolosa, enseje, ou seja, capaz de dar ensejo à destruição, perda, alteração, divulgação ou ao uso ou acesso não autorizados a Dados Pessoais tratados pela Empresa.

Priorização do incidente e procedimentos para resposta

• Uma vez que o Incidente seja identificado e classificado, é necessário priorizá-lo conforme o nível de risco oferecido à Empresa e aos titulares dos Dados Pessoais eventualmente afetados e a gravidade da ocorrência. O impacto do Incidente deve ser aferido da seguinte forma:
  

Obrigações das equipes

• A Equipe de Resposta a Incidentes da Empresa é o grupo de Colaboradores designado abaixo para atuar nas respostas a Incidentes:

  Área	Colaborador
  TI	Efren
  Processos	Cláudia
  Diretoria	Francisco

  
  
  1. TI - Isolar todos os ambientes e identificar as falhas que permitiram a falha.
  2. Processos - Informar os parceiros sobre o incidente e a indisponibilidade dos serviços
  3. Diretoria - adotar demais medidas necessárias para prevenir incidentes e minimizar o impacto de seus efeitos.
  
  
  
  Em cumprimento à legislação brasileira, Incidentes considerados relevantes devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD). A avaliação sobre quais Incidentes são materialmente relevantes cabe ao Comitê de Proteção de Dados, em conjunto com a Diretoria da Empresa. Caso um Incidente seja identificado como relevante e a sua comunicação à ANPD seja determinada pelo Comitê de Proteção de Dados, o departamento Jurídico deverá, com suporte da Equipe de Resposta, elaborar a documentação aplicável à comunicação, contendo:
  1. 1 - A descrição da natureza e da categoria dos Dados Pessoais afetados (ex. Dados sensíveis, dados de criança, dados cadastrais etc.);
  2. 2 - As informações sobre os titulares dos Dados Pessoais envolvidos, a relação dos titulares dos Dados Pessoais afetados com a Empresa, o número de titulares afetados e o país de residência dos titulares dos Dados Pessoais afetados;
  3. 3 - A indicação das medidas técnicas e de segurança utilizadas para a proteção dos Dados Pessoais, observados os segredos comercial e industrial;
  4. 4 - Os riscos relacionados ao Incidente;
  5. 5 - Os motivos da demora, no caso de a comunicação não ter sido feita de forma imediata; e
  6. 6 - As medidas que foram e as que serão adotadas para reverter ou mitigar os efeitos do Incidente.

Este plano está detalhado em URL interna na Wiki do projeto (processos-seguranca) da TCIA. Plano atualizado em 09/07/2022 as 13:12