Pular para o conteúdo

Art. 48 LGPD · v2026-05-22

Plano de Resposta a Incidentes

Procedimento para detecção, contenção, comunicação à ANPD e aos titulares em caso de incidente de segurança envolvendo dados pessoais.

1. Canal de comunicação

Suspeita de incidente: security@futt.site. DPO: leandromaciel.br@gmail.com.

2. Fluxo (5 fases)

  • Detecção — alertas, logs, denúncia de usuário, bug bounty.
  • Contenção — revogar credenciais, rotacionar chaves, isolar tabelas.
  • Erradicação — patch da vulnerabilidade, deploy emergencial.
  • Recuperação — restaurar serviço a partir de backup íntegro (PITR 35 dias).
  • Lições aprendidas — post-mortem em até 7 dias.

3. Prazos de notificação

  • ANPD: em até 3 dias úteis após o conhecimento (Resolução CD/ANPD 15/2024).
  • Titulares afetados: sem demora injustificada quando houver risco relevante.
  • Conteúdo da notificação: natureza dos dados, titulares envolvidos, medidas técnicas adotadas, riscos e medidas de mitigação.

4. Severidade

  • S1 (crítico) — vazamento massivo, comprometimento de credenciais. Notifica ANPD + titulares.
  • S2 (alto) — exposição limitada. Notifica ANPD se houver risco relevante.
  • S3 (baixo) — sem dado pessoal exposto. Documentado internamente.

5. Backups e continuidade

Backups gerenciados (Point-In-Time Recovery, 35 dias). RTO objetivo: 4h. RPO: 5 min. Teste de restauração trimestral documentado.

6. Registro

Todo incidente é registrado em tabela interna security_incidents com timestamp, severidade, dados afetados, medidas e comunicações realizadas. Mantido por 5 anos.

Documentos relacionados: RIPD · ROPA.

InícioJogosFeedCoachEntrar