Atmo Digital — Políticas e Conformidade

HomePolicies › Resposta a Incidentes & Playbooks

Política de Resposta a Incidentes (IR) & Playbooks

Versão: 1.0.0 Classificação: Pública Aprovador: CTO Data de vigência: 2025-10-03
Propósito. Definir diretrizes e fluxos para preparação, resposta e recuperação de incidentes de segurança (confidencialidade, integridade, disponibilidade), reduzindo impacto a clientes, usuários e operação.

1. Escopo

Aplica-se a todos os colaboradores, prestadores, sistemas, serviços em nuvem e dados sob responsabilidade da Atmo Digital. Inclui integrações com clientes e provedores.

2. Referências

3. Princípios

  • Preparação contínua (treinos, exercícios, melhoria de controles).
  • Resposta coordenada com papéis claros e comunicação controlada.
  • Evidências: coleta preservando integridade e cadeia de custódia.
  • Conformidade com LGPD/ANPD e exigências contratuais.

4. Definições e Severidade

Incidente de Segurança: evento que comprometa, ou possa comprometer, confidencialidade, integridade ou disponibilidade.

SeveridadeExemplosSLAs de Resposta
SEV-1 CríticaExfiltração confirmada de dados pessoais/sensíveis; paralisação total de serviço; ransomware ativo.Ack: 15 min • Contenção: ≤1h • Notificação inicial partes internas: ≤1h • Notificação clientes/autoridades: conforme LGPD/contrato (avaliado em até 24h) • Post‑mortem: ≤7 dias
SEV-2 AltaAcesso não autorizado provável; degradação grave; credenciais privilegiadas expostas.Ack: 30 min • Contenção: ≤4h • Notificação inicial: ≤4h • Post‑mortem: ≤10 dias
SEV-3 MédiaMalware contido; exploração não confirmada; incidente em ambiente não‑produtivo.Ack: 2h • Contenção: ≤24h • Post‑mortem: ≤14 dias
SEV-4 BaixaEventos com baixo impacto/risco mitigado.Ack: 8h • Contenção: planejada • Post‑mortem: conforme necessidade

5. Papéis (RACI)

  • Incident Commander (IC) — coordena resposta ponta a ponta e decisões.
  • Segurança — triagem, análise de causa raiz, recomendações e relação com autoridades.
  • DevOps/SRE — contenção técnica, restauração, coleta de logs e evidências.
  • Engenharia — correções de aplicação/dependências; validação em QA.
  • Jurídico/DPO — avaliação LGPD, notificação à ANPD e titulares quando aplicável.
  • Comms/CS — comunicação a clientes e imprensa seguindo modelos aprovados.
  • Data Owners — decisão sobre dados sob sua responsabilidade.

6. Fluxo de Resposta

  1. Detecção & Reporte — alertas, canais de suporte, fornecedores ou clientes.
  2. Triagem — classificar severidade, acionar IC e equipe, abrir war room.
  3. Contenção — isolar contas/hosts, bloquear rotas, revogar chaves/segredos.
  4. Erradicação — remover artefatos maliciosos, corrigir vulnerabilidades.
  5. Recuperação — restaurar serviços de forma segura, monitorar reocorrência.
  6. Notificação — comunicar partes afetadas e autoridades conforme LGPD/contrato.
  7. Pós‑Incidente — post‑mortem, ações corretivas e atualização de playbooks/controles.

7. Playbooks

Vazamento/Exfiltração de Dados

  • Ativar SEV; isolar origem; preservar evidências.
  • Revogar acessos/segredos; aplicar correções/mitigações.
  • Avaliar escopo (quais dados, titulares, período).
  • Comunicar titulares/ANPD quando aplicável; orientar medidas aos clientes.

Credenciais/Segredos Expostos

  • Revogar/rotacionar chaves imediatamente (CI, DB, API).
  • Auditar logs de uso; reforçar MFA/condições de acesso.
  • Executar secret scanning e revisar processos de armazenamento.

Ransomware/Malware

  • Isolar hosts; desligar rede se necessário; ativar plano de continuidade.
  • Varredura/limpeza; restauração a partir de backups confiáveis.
  • Bloquear vetor inicial; aplicar patches; reforçar EDR/Antivírus.

Acesso Não Autorizado/ATO

  • Encerrar sessões; resetar senhas; MFA obrigatório.
  • Revisar dispositivos/endereços; analisar indicadores de comprometimento.
  • Notificar clientes afetados quando pertinente.

Dispositivo Perdido/Roubado

  • Executar remote wipe/bloqueio; revogar tokens e chaves locais.
  • Registrar boletim e documentar evidências quando aplicável.
  • Notificar se houver risco a dados pessoais.

DDoS/Disponibilidade

  • Ativar mitigação no provedor/CDN; escalonar capacidade e rate‑limit.
  • Ajustar regras de firewall/WAF e monitorar tráfego.
  • Comunicar clientes sobre janelas e status.

8. Evidências & Cadeia de Custódia

  • Coleta de logs, imagens de disco/ram e artefatos com registro de quem, quando e como.
  • Armazenamento seguro e controle de acesso mínimo necessário.
  • Preservação para auditoria e fins legais, conforme LGPD e contratos.

9. Comunicação

  • Mensagens internas/externas aprovadas pelo IC e Jurídico/DPO.
  • Notificações a clientes/ANPD/autoridades conforme avaliação de risco e exigências legais.
  • Canal de reporte: por meio do canal de suporte/segurança designado da Atmo Digital.

10. Exercícios & Melhoria Contínua

  • Tabletop anual e após mudanças significativas; registro de lições aprendidas.
  • Atualização de controles, processos e playbooks com base em resultados.

11. Indicadores (KPIs)

Tempo de reconhecimento (MTTA) — SEV‑1
≤ 15 min
Tempo até contenção (MTTC) — SEV‑1
≤ 1 h
Post‑mortem publicado
≤ 7 dias
% exercícios anuais concluídos
100%

RESUMO

A Atmo Digital possui Política de Resposta a Incidentes e playbooks (vazamento de dados, malware/ransomware, credenciais expostas, acesso não autorizado, dispositivo perdido, DDoS). O processo segue fases de detecção, classificação, contenção, erradicação, recuperação e lições aprendidas, com papéis definidos (IC, Segurança, DevOps/SRE, Jurídico/DPO, Comunicação) e integração ao PRD/BC. Notificações a clientes e ANPD ocorrem conforme LGPD e contrato. Evidências: registros de war room, relatórios de incidente, logs, post‑mortem e relatórios de exercícios.

Documentação comprobatória

  • Trechos do playbook (fluxos, severidades, RACI e modelos de comunicação) — anonimizado.
  • Seções do PRD relacionadas a crises/continuidade.

Seção BC — Continuidade de Negócio & Gestão de Crises (BCP/BCM)

Objetivo. Garantir continuidade de serviços essenciais frente a falhas graves, desastres e crises, reduzindo o impacto a clientes e operação. Esta seção complementa o Plano de Recuperação de Desastres (PRD).

12.1 Conceitos & Métricas

  • RTO (Recovery Time Objective): tempo máximo aceitável para restabelecer um serviço após interrupção.
  • RPO (Recovery Point Objective): ponto máximo de perda de dados aceitável (idade do último backup recuperável).
  • Níveis de criticidade: Criticidade A (serviços ao cliente/produção), B (operações internas críticas), C (apoio/analítico).

12.2 Tabela de RTO/RPO (referencial)

Serviço/GrupoCriticidadeRTORPO
APIs de Produção e Bancos de Dados SaaSA≤ 4 h≤ 1 h
Autenticação/IdentidadeA≤ 4 h≤ 1 h
Backoffice Operacional (Financeiro/Atendimento)B≤ 24 h≤ 8 h
Relatórios/AnalyticsC≤ 72 h≤ 24 h

Observação: valores podem ser ajustados por contrato/SLA específico do cliente.

12.3 Estratégias de Continuidade

  • Backups criptografados e versionados; cópias periódicas offsite; testes de restauração trimestrais.
  • Infraestrutura: arquitetura com isolamento de falhas; uso de health checks, auto-redeploy e escalonamento.
  • Aplicação & Dados: migrações e seeds controlados; rotinas de export seguro quando aplicável.
  • Imagens/Contêineres: golden images assinadas; reconstrução automatizada via CI/CD.

12.4 Ativação de Crise

  • Critérios: interrupção prolongada de serviços de criticidade A, risco a dados pessoais, desastre físico em provedor ou ameaça sistêmica (ex.: ransomware em escala).
  • Constituição do Comitê de Crise (IC, Segurança, SRE, Engenharia, Jurídico/DPO, Comunicação, Suporte ao Cliente).
  • Comunicação com clientes, provedores e autoridades conforme LGPD/contrato.

12.5 Testes & Exercícios

  • Teste anual de DR com restauração parcial/total e relatório com lacunas e plano de melhoria.
  • Tabletop de crise (cenários: perda de DC, indisponibilidade prolongada de provedor, ransomware, falha de dados).

12.6 Evidências

  • Logs de restauração de backups e relatórios de testes.
  • Atas do comitê de crise e pós-incidente com ações corretivas.
  • Inventário de ativos críticos e dependências com classificação de criticidade.

Continuidade do Negócio/Gestão de Crises

A Atmo Digital mantém processo de Continuidade do Negócio integrado ao PRD, com RTO/RPO definidos por criticidade, backups criptografados e testados, exercícios bianuais de DR e comitê de crise ativado por critérios objetivos. A comunicação com clientes e autoridades segue LGPD/contrato. Evidências incluem relatórios de teste de restauração, atas de comitê de crise e inventário de serviços críticos.

Proprietário: CTO — Atmo Digital
Periodicidade de revisão: anual ou mediante alterações relevantes.