Plano de Resposta a Incidentes de Segurança

PostAutomator — Versão 1.0 — Maio de 2026

Este documento define o plano de resposta a incidentes de segurança da PostAutomator, em conformidade com os Arts. 46, 47, 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e com a Resolução CD/ANPD nº 15/2024 (Regulamento de Comunicação de Incidentes de Segurança).

⚠️ Em caso de incidente confirmado, acione imediatamente:

DPO: dpo@postautomator.com.br — Prazo máximo para comunicação à ANPD: 3 dias úteis (Art. 48, §1º LGPD + Resolução CD/ANPD nº 15/2024)

1. Objetivo

Estabelecer um processo estruturado para detectar, responder, conter, erradicar e recuperar-se de incidentes de segurança que envolvam dados pessoais tratados pela plataforma PostAutomator, minimizando danos aos titulares e garantindo conformidade com a LGPD.

2. Definições

Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas que resulte ou possa resultar em acesso não autorizado, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado de dados pessoais.
Violação de dados pessoais: incidente que comprovadamente resulte em destruição, perda, alteração, acesso não autorizado ou divulgação de dados pessoais.
Titular: pessoa natural a quem se referem os dados pessoais.
ANPD: Autoridade Nacional de Proteção de Dados.
DPO: Encarregado de Proteção de Dados.

3. Classificação de Incidentes

Todo incidente é classificado em um dos quatro níveis de severidade, considerando o tipo de dado envolvido, o volume de titulares afetados e o risco potencial aos direitos e liberdades:

Nível	Descrição	Prazo de notificação
Crítico	Vazamento de dados sensíveis (Art. 11 LGPD) ou de crianças/ adolescentes (Art. 14); exposição em larga escala (>100 titulares); acesso não autorizado a sistemas críticos; ransomware	24 horas (comunicação preliminar) / 3 dias úteis (comunicação completa)
Alto	Vazamento de dados pessoais de 10 a 100 titulares; exposição acidental de credenciais; acesso não autorizado sem confirmação de exfiltração	3 dias úteis
Médio	Vazamento de dados pessoais de 1 a 10 titulares; falha de segurança sem evidência de acesso não autorizado; perda de dados de backup	Avaliar obrigação de comunicação; no máximo 15 dias
Baixo	Tentativa de acesso não autorizado sem sucesso; varredura automatizada; eventos de segurança sem impacto a dados pessoais	Não requer comunicação externa; registrar internamente

4. Equipe de Resposta

4.1 Composição

Função	Responsabilidade	Contato
Coordenador de Incidentes	Liderar a resposta, acionar a equipe, decidir classificação, aprovar comunicações	dpo@postautomator.com.br
DPO / Encarregado	Avaliar obrigação legal de comunicação, notificar ANPD e titulares	dpo@postautomator.com.br
Equipe Técnica	Conter, erradicar e recuperar sistemas; preservar evidências forenses	suporte@postautomator.com.br
Jurídico	Avaliar riscos legais, responsabilidade civil, apoio contratual com terceiros	dpo@postautomator.com.br
Comunicação	Gerenciar comunicação com usuários, imprensa, parceiros	suporte@postautomator.com.br

4.2 Acionamento

Qualquer colaborador que detectar um incidente potencial deve comunicar imediatamente ao DPO pelo e-mail dpo@postautomator.com.br, com assunto iniciado por "[INCIDENTE]" e descrição inicial do ocorrido.

5. Processo de Resposta

5.1 Detecção e Análise

Registro: toda suspeita de incidente é registrada no sistema de tickets com data/hora, descrição, sistemas afetados e comunicante.
Triagem: o Coordenador classifica o incidente (Crítico/Alto/Médio/Baixo) em até 2 horas do recebimento.
Análise inicial: determinar escopo, causa raiz, dados envolvidos, número de titulares afetados, se houve exfiltração.

5.2 Contenção

Isolar sistemas afetados da rede (se aplicável).
Revogar credenciais comprometidas e rotacionar chaves.
Ativar bloqueio temporário de conta dos usuários afetados (se houver risco iminente).
Fazer snapshot do estado atual dos sistemas para preservação de evidências.

5.3 Erradicação

Remover a causa raiz do incidente (malware, acesso indevido, falha de configuração, vulnerabilidade).
Aplicar patches de segurança necessários.
Validar que a vulnerabilidade foi efetivamente corrigida (teste).

5.4 Recuperação

Restaurar sistemas a partir de backups limpos e verificados.
Reativar sistemas em ambiente monitorado.
Validar integridade dos dados restaurados.

6. Comunicação do Incidente

6.1 Comunicação à ANPD

Conforme o Art. 48 da LGPD e a Resolução CD/ANPD nº 15/2024, incidentes classificados como Críticos ou Altos devem ser comunicados à ANPD no prazo máximo de 3 dias úteis da ciência.

A comunicação deve conter no mínimo:

Descrição da natureza do incidente e dados pessoais envolvidos
Informações sobre os titulares afetados (quantidade, categorias)
Medidas técnicas e administrativas adotadas para conter o incidente
Medidas de segurança implementadas ou a implementar
Nome e contato do DPO

Forma de comunicação: formulário eletrônico da ANPD (gov.br/anpd) ou e-mail para o canal oficial da Autoridade.

6.2 Comunicação aos Titulares

Quando o incidente representar risco ou dano relevante aos titulares, o DPO deve comunicá-los individualmente por e-mail, contendo:

Descrição clara do incidente e dos dados envolvidos
Medidas adotadas pela plataforma
Recomendações para o titular (ex.: alterar senha, monitorar atividades suspeitas)
Canal de contato para dúvidas (DPO)

📩 Modelo de comunicação ao titular (e-mail):

Assunto: [PostAutomator] Notificação de incidente de segurança
Prezado(a) [Nome],
A PostAutomator identificou um incidente de segurança envolvendo seus dados pessoais em [data]. Os dados potencialmente afetados incluem: [lista de dados].
Já adotamos as seguintes medidas: [medidas]. Recomendamos: [recomendações].
Para mais informações, contate nosso DPO: dpo@postautomator.com.br

7. Documentação e Registro

Todos os incidentes, independentemente da classificação, devem ser documentados em um Relatório de Incidente contendo:

Data/hora da detecção e da resolução
Classificação do incidente
Causa raiz identificada
Dados pessoais envolvidos (categorias e quantidade de titulares)
Medidas de contenção, erradicação e recuperação adotadas
Cronologia detalhada das ações
Comunicações realizadas (ANPD, titulares, terceiros)
Lições aprendidas e ações preventivas

Os registros devem ser mantidos por no mínimo 5 anos (Resolução CD/ANPD nº 15/2024, Art. 12).

8. Medidas Preventivas

Monitoramento contínuo de logs de acesso (retenção mínima: 90 dias)
Backups criptografados com teste de restauração trimestral
Atualização de dependências e patches de segurança (mínimo mensal)
Revisão periódica de credenciais e acessos (trimestral)
Simulação anual de incidente (tabletop exercise)
Treinamento anual da equipe em segurança da informação e LGPD
Pentest formal anual com relatorio para evidência do Art. 46

9. Revisão e Atualização

Este plano deve ser revisado anualmente e sempre que ocorrer:

Um incidente de nível Crítico ou Alto
Alteração significativa na infraestrutura da plataforma
Mudança na legislação ou regulamentação aplicável
Mudança na equipe de resposta

10. Referências

LGPD — Lei nº 13.709/2018 (Arts. 46 a 49, 52 a 54)
Resolução CD/ANPD nº 15/2024 (Comunicação de Incidentes)
Resolução CD/ANPD nº 4/2023 (Dosimetria)
Resolução CD/ANPD nº 2/2022 (Agentes de Pequeno Porte)
Política de Privacidade: /site/privacy.html
Termos de Uso: /site/terms.html

← Voltar