Versions Compared

Version Old Version 3 New Version Current
Changes made by

Projetos Privacy Tools

Projetos Privacy Tools

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

  1. INTRODUÇÃO

    1. A PRIVACY TOOLS CONSULTORIA EM TECNOLOGIA LTDA define neste as diretrizes para responder eventos ou incidentes de segurança que estejam impactando ou possam vir a impactar ativos/serviços de informação ou recursos computacionais.

  2. PROPÓSITO

    1. Estabelecer diretrizes para garantir a resposta e tratamento adequados a incidentes de segurança da informação.

  3. ESCOPO

    1. Esta norma obedece ao escopo definido na Política Geral de Segurança da Informação.

  4. DIRETRIZES

    1. Incidentes de segurança da informação

      1. Todas as ocorrências que possam vir a ter impacto negativo sobre a confidencialidade, integridade ou disponibilidade dos ativos/serviços de informação ou recursos computacionais da PRIVACY TOOLS CONSULTORIA EM TECNOLOGIA LTDA serão caracterizadas como um incidente de segurança da informação, devendo as referidas ocorrências serem tratadas de maneira a minimizar qualquer tipo de impacto e recuperar as características de segurança da informação dos itens afetados;

      2. Todos os incidentes de segurança da informação ou suspeitas de incidentes de segurança da informação devem ser imediatamente comunicados ao setor de segurança da informação através do e-mail infosec@privacytools.com.br;

      3. O setor de segurança da informação deverá determinar a criticidade do incidente e, quando pertinente, comunicar às partes interessadas como, por exemplo, membros do time de resposta a incidentes de segurança da informação;

      4. A extensão dos danos do incidente de segurança deve ser avaliada para, em seguida, ser identificado o melhor curso de ação para erradicação completa do incidente e restauração dos ativos de informação afetados;

      5. Incidentes de segurança devem ser priorizados com base na criticidade dos ativos/serviços de informação ou recursos computacionais afetados, combinada com a estimativa de impacto prevista;

      6. Na ocorrência de um incidente de segurança da informação, ativos/serviços de informação ou recursos computacionais com suspeita de ter sua segurança comprometida, devem ser isolados do ambiente corporativo, de forma a garantir a contenção do incidente;

      7. Após a erradicação completa do incidente, deve ser realizada uma revisão completa da ocorrência, identificando o nível real de impacto, vulnerabilidades exploradas, a efetividade do tratamento aplicado e a necessidade de maiores ações para evitar a recorrência do incidente.

    2. Disseminação de informação sobre incidentes de segurança da informação para os Titulares dos Dados e à Autoridade Nacional (ANPD)

      1. Ocorrerá sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados.

  5. PAPÉIS E RESPONSABILIDADES

    1. Gerência de Segurança da Informação

      1. Atuar como responsável por ocorrências e eventos de segurança e garantir a existência de recursos identificar, escalar, mitigar, conter, e erradicar incidentes de segurança, bem como ações efetivas para recuperar o estado anterior de ativos/serviços de informação ou recursos computacionais afetados pelo incidente;

      2. Comunicar prontamente o time de resposta a incidentes de segurança da informação da SOLUS sobre eventos e incidentes de segurança.

    2. Time de Resposta a Incidentes

      1. Realizar o tratamento de ocorrências e incidentes de segurança da informação, fornecendo orientação e direcionamento estratégico dentro da área de especialidade de cada um dos participantes do time de resposta a incidentes de segurança da informação;

      2. Aconselhar a diretoria da PRIVACY CONSULTORIA EM TECNOLOGIA sobre informações, eventos e incidentes de segurança da informação.

    3. Comunicação

      1. Aprovar qualquer tipo de comunicação ou disseminação total ou parcial de informações sobre ocorrências e incidentes de segurança da informação para qualquer parte ou público.

  6. SANÇÕES E PUNIÇÕES

    1. Sanções e punições serão aplicadas conforme previsto na Política Geral de Segurança da Informação.

  7. REVISÕES

    1. Esta norma é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Segurança da Informação.

  8. GESTÃO DA POLÍTICA

    1. Esta norma é aprovada pelo Comitê Gestor de Segurança da Informação, em conjunto com a Diretoria da PRIVACY TOOLS CONSULTORIA EM TECNOLOGIA LTDA.

    2. A presente norma foi aprovada no dia 04/11/2021.