Reverba
Começar grátis

Documento legal

Plano de Resposta a Incidentes

Procedimento operacional da Oneck Creative LTDA para detectar, conter, comunicar e recuperar de incidentes de segurança que afetem a Reverba ou seus Clientes — em conformidade com o Art. 48 da LGPD e o Art. 33 do GDPR (notificação em 72h).

Última revisão
Em vigor desde
Versão
v1.0

Read in English

1. Objetivo

Garantir que qualquer incidente de segurança seja detectado em tempo hábil, contido com mínimo dano, comunicado às partes interessadas (titulares afetados, Clientes, ANPD, marketplaces) dentro dos prazos legais, e que aprendizados sejam incorporados em melhorias de processo.

2. Definições

  • Incidente de segurança: evento que comprometa ou tenha potencial de comprometer a confidencialidade, integridade ou disponibilidade de dados ou sistemas da Reverba.
  • Violação de dados pessoais: subconjunto de incidente que envolva acesso, modificação ou destruição não autorizada de dados pessoais.
  • Operadora: a Reverba (data processor sob o GDPR).
  • Controlador: o Cliente Reverba, perante seus próprios Contatos.

3. Papéis e responsabilidades

  • Coordenador de Incidente (Tech Lead): declara o incidente, dispara o playbook, autoriza ações de contenção. Substituto: DPO.
  • DPO (privacidade@reverba.com.br): coordena comunicação a titulares, à ANPD, e a Clientes Controladores; redige notificações.
  • Operação: executa contenção técnica (revogação de tokens, rotação de chaves, isolamento de ambiente afetado).
  • Comunicação: emite avisos em status page, email aos titulares de conta, posts em redes sociais quando aplicável.

4. Fases de resposta

  1. Identificação — alerta de monitoramento, report externo (titular, pesquisador), ou descoberta interna durante revisão de logs.
  2. Triagem — Tech Lead avalia escopo, dados afetados e severidade (§5). Janela alvo: 1 hora a partir do alerta.
  3. Contenção — bloqueia o vetor de ataque, revoga tokens comprometidos, rotaciona chaves de criptografia se necessário, isola sistemas afetados. Janela alvo: 4 horas após triagem para incidentes CRÍTICOS.
  4. Erradicação — remove a causa raiz (patch software, fechamento de configuração indevida, demissão de acesso comprometido).
  5. Recuperação — restaura sistemas a partir de backups limpos quando aplicável; valida integridade dos dados; libera o ambiente para uso normal.
  6. Comunicação — notifica titulares afetados e autoridades nos prazos previstos (§6).
  7. Aprendizado — post-mortem com lessons learned, plano de ação para evitar recorrência. Documentado internamente; resumo publicado em status page para incidentes ALTO/CRÍTICO.

5. Classificação de severidade

SeveridadeDefiniçãoExemplos
CRÍTICOAcesso não autorizado a dados pessoais de múltiplos Clientes, ou indisponibilidade total > 1 hora.Vazamento de banco de dados; compromisso de chave-mestre de criptografia.
ALTOAcesso não autorizado a dados de um único Cliente, ou indisponibilidade parcial > 4 horas.Conta administrativa comprometida; falha em isolamento de tenant detectada e contida.
MÉDIOVulnerabilidade explorável encontrada (ex. via pesquisador) sem evidência de exploração.XSS reportado em campo de input; dependência com CVE conhecido.
BAIXOAnomalia operacional sem comprometimento de dados.Spike de erros 500; tentativa massiva de login bloqueada por throttler.

6. Comunicação a partes interessadas

  • Notificação à ANPD: violações de dados pessoais que possam acarretar risco ou dano relevante aos titulares são comunicadas conforme Art. 48 da LGPD. Comunicação interna ao DPO em até 24 horas; comunicação à ANPD em até 72 horas.
  • Notificação aos titulares: titulares afetados são notificados por e-mail em prazo razoável (alvo: 24h após confirmação do escopo) com:
    • Descrição do incidente em linguagem clara.
    • Categorias de dados afetados.
    • Medidas técnicas tomadas para contenção.
    • Recomendações ao titular (ex.: trocar senha).
    • Canal para esclarecimentos (DPO).
  • Notificação a Clientes Controladores: o DPO comunica o Cliente afetado para que ele cumpra suas próprias obrigações junto aos titulares finais (em paralelo).
  • Notificação a marketplaces: se o incidente afetar tokens ou dados de TikTok Shop, Mercado Livre ou Shopee, comunicamos o Partner Program respectivo conforme SLA contratual com cada plataforma.
  • Status page: indisponibilidades são divulgadas em status.reverba.com.br em tempo quase real.

7. Como reportar um incidente

Qualquer pessoa (titular, Cliente, pesquisador, colaborador) pode reportar suspeita de incidente:

Pesquisadores que reportam vulnerabilidades de boa-fé não são objeto de retaliação. Solicitamos que aguardem 90 dias antes de divulgação pública para permitir correção.

8. Pós-incidente

  • Post-mortem: redigido em até 7 dias após recuperação. Inclui: linha do tempo, causa raiz, impacto estimado, ações de contenção, melhorias planejadas.
  • Métricas: tempo de detecção (MTTD), tempo de contenção (MTTC), tempo de recuperação (MTTR) — medidos e comparados a metas internas.
  • Lessons learned: ações concretas para prevenir recorrência são adicionadas ao backlog de segurança e priorizadas.
  • Resumo público: incidentes CRÍTICO ou ALTO têm resumo público em status.reverba.com.br após resolução, com escopo, ações tomadas e melhorias.

Documentos relacionados: Política de Privacidade, Política de Segurança da Informação, Retenção de Dados.