top of page

POLÍTICA DE PROCEDIMENTO PARA INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

MR SHOPPER SERVIÇOS DE MARKETING LTDA - ME

 

Na MR SHOPPER SERVIÇOS DE MARKETING LTDA - ME, inscrita no CNPJ/MF sob o nº 24.475.630/0001-80 (doravante “MR SHOPPER”), privacidade e segurança são prioridades.

Diante disso, este documento estabelece o processo de tratamento de incidentes de segurança da informação no âmbito da MR SHOPPER. Esta política determina como o tratamento de incidentes de segurança da informação será executado na MR SHOPPER, bem como a atribuição de responsabilidades aos envolvidos, além de outras determinações.

1. Objetivos

 O processo de tratamento de incidentes de segurança da informação tem como objetivos principais:

  1. A diminuição dos danos totais causados por incidentes que não puderam ser evitados, bem como a sua reincidência;

  2. A promoção efetiva e eficaz da segurança da informação na MR SHOPPER;

  3. A diminuição do número total de incidentes de segurança da informação envolvendo a empresa, através de prevenção sistemática dos eventos e eliminação de situações que permitem a ocorrência dos mesmos.

 

2.  Escopo

O processo de tratamento de incidentes de segurança da informação abrange todos os incidentes, confirmados ou sob suspeita, que envolvam o nome ou propriedade da MR SHOPPER. São incidentes de segurança da informação contemplados por este processo:

(a)Violações da Política de Privacidade;

(b) Dispositivo de tecnologia conectado à rede da MR SHOPPER que esteja contaminado com vírus de computador detectado por mecanismo automatizado ou pessoal qualificado;

(c) Violação de norma de utilização ou configuração de dispositivo de tecnologia, conectado ou não à rede da MR SHOPPER, detectada automática ou manualmente;

(d) Utilização de credenciais de autenticação por indivíduo não proprietário das mesmas, incluindo login e senha de outrem;

(e) Fluxo de comunicação de rede caracterizado como atividade maliciosa por detecção de padrão ou análise manual, ou envolvendo dispositivos identificados por grupos de segurança como fonte de atividades maliciosas;

(f) Falta da comunicação de fragilidade de segurança conhecida em processo ou sistema de TI, ou abuso da mesma;

(g) Tentativa de fraude, bem ou malsucedida, independentemente do dano causado;

(h) Quaisquer outros eventos que constituam violação de requisito de segurança estabelecido por gestor de informação da MR SHOPPER, tenham eles origem na própria empresa ou em grupos externos.

3. Responsabilidades

Todos os usuários internos, externos e colaboradores da MR SHOPPER são responsáveis por garantir a segurança da informação da MR SHOPPER e reportar ao gestor/DPO qualquer incidente de segurança da informação, confirmado ou não, de que tenham conhecimento, utilizando um dos mecanismos definidos na seção 4.1 desta política. Dentre as responsabilidades específicas, compete:

  1.  Ao DPO executar os procedimentos de tratamento de incidentes de segurança da informação definidos nesta política no surgimento de qualquer denúncia e ou detecção automatizada e de registrar os incidentes tratados de acordo com a seção 6.4.

  2. Aos envolvidos, direta ou indiretamente, em um incidente de segurança da informação sendo investigado, fornecer ao DPO toda a informação necessária para o adequado esclarecimento do incidente.

  3.  Ao DPO definir, divulgar e promover medidas, controles e sugestões de modificações em processos de trabalho que diminuam a probabilidade da ocorrência de incidentes de segurança da informação, sendo ainda responsável pela implantação das indicações do  Comitê de Segurança da Informação (CSI).

  4.  Ao CSI a avaliação periódica e análise crítica dos registros de incidentes que resultam do processo de tratamento de incidentes de segurança e a promoção de ações que evitem a reincidência de incidentes já ocorridos.

  5. Ao CSI, o desenvolvimento e operação de processos e serviços de TI, gerar e manter, por um período de 3 anos, registros de atividades e rastros de auditoria não adulteráveis que permitam a detecção e o esclarecimento de incidentes de segurança sempre que os mesmos ocorrerem, para os dados que estejam sob custódia da empresa.

 

4. Procedimentos

O procedimento padronizado para o tratamento de incidentes de segurança é definido pelas seguintes etapas:

1. Recepção da denúncia ou detecção de evento suspeito

2. Classificação do evento

3. Medidas de contenção imediatas

4. Coleta e análise de evidências e registro

5. Encaminhamentos e notificação dos envolvidos

 Estas etapas são especificadas a seguir:

4.1 Recepção da denúncia ou detecção de evento suspeito: o DPO irá receber a denúncia de eventos suspeitos através de envio de e-mail para os endereços dpo@mr-shopper.com  e também através de ligação telefônica para o número (11) 3042-1197,  quando o uso do e-mail for inadequado ou inseguro. O DPO deve instalar e manter sistemas de monitoração capazes de identificar eventos suspeitos de forma automatizada, utilizando como fontes rastros de auditoria e logs de sistemas, fluxos de comunicação de rede e outras fontes de informação disponíveis. Sempre que necessário, a detecção a partir destas fontes pode ser feita de forma manual, dando-se preferência aos métodos automatizados. Cabe ao CSI determinar e manter a execução de ações automatizadas associadas aos mecanismos de detecção que estejam alinhadas com os objetivos do processo, sempre considerando os parâmetros estabelecidos na seção 6.3 desta política.

4.2 Classificação do evento: o CSI irá determinar se o evento suspeito sendo analisado constitui ou não um incidente de segurança. Caso o evento não seja classificado como incidente de segurança, o processo deve ser encerrado sem perda do registro da denúncia ou detecção. O CSI pode solicitar informações adicionais aos envolvidos no incidente antes de emitir um parecer. O CSI pode reclassificar uma denúncia ou detecção sempre que novas informações que forem disponibilizadas invalidarem uma classificação inicial.

4.3 Medidas de contenção imediatas:  O CSI irá determinar um conjunto de ações que devem ser tomadas de forma a conter a propagação e o dano decorridos do incidente, evitando que o dano total do mesmo seja ampliado a partir do momento da recepção. O CSI deve executar esta determinação considerando os seguintes parâmetros, com igual peso:

(a) O dano potencial total causado pela inação. O dano pela inação deve considerar indivíduos, membros ou não da MR SHOPPER;  terceiros, envolvidos ou não no incidente, e o dano à MR SHOPPER, à sua propriedade e à sua imagem.

(b) O dano potencial causado pelas medidas de contenção em si.

Cabe ao CSI determinar os responsáveis pela execução das ações definidas. A não execução das mesmas pelos responsáveis configurará abuso de fragilidade de segurança, o que implica novo incidente de segurança da informação. A notificação destes responsáveis será feita de forma imediata, ou tão cedo quanto possível.

4.4 Coleta e análise de evidências e registro: O CSI fará a solicitação das evidências necessárias ao esclarecimento do incidente para os devidos responsáveis e procederá à sua análise. Cabe ao CSI determinar e registrar, quando aplicável, as seguintes informações:

(a) Identificação das pessoas e organizações envolvidas e sua relação com a MR SHOPPER;

(b) Descrição do incidente e motivo do mesmo (causa raiz);

(c) Medidas de contenção recomendadas e resultados;

(d) Avaliação do dano efetivamente causado e do dano potencial do incidente;

(e) Grupos e pessoas que devem ser notificados e respectiva informação a ser fornecida, considerando sempre aspectos de confidencialidade pertinentes;

(f) Medidas a serem tomadas a médio e longo prazo, de forma a evitar reincidência do incidente, e respectivos responsáveis;

(g) Todas as evidências coletadas durante o processo.

 4.5 Encaminhamentos e notificação dos envolvidos: ao fim da análise, o CSI procederá à comunicação dos envolvidos informando os responsáveis pela execução das ações de médio e longo prazo; o denunciante, a respeito dos encaminhamentos feitos; outros grupos de segurança ou interessados que possam fazer uso útil da informação em favor da segurança da informação da MR SHOPPER.

4.6 Encaminhamentos para Análise: o CSI pode decidir realizar a Análise em algum caso, desde que julgar necessário e previamente encaminhado pelo DPO e mediante abertura de processo administrativo.

5. Comunicação e formulário de declaração de incidentes - ANPD

Na eventualidade de um incidente de segurança, como medida de mitigação de danos, a MR SHOPPER, através do DPO, fará a comunicação da ocorrência aos titulares dos dados pessoais violados, para que eles tomem conhecimento do ocorrido e possam adotar medidas de precaução para mitigar os riscos a que foram expostos em razão do incidente.

Em cumprimento à LGPD (Lei Geral de Proteção de Dados Pessoais), a MR SHOPPER, através do DPO, deverá seguir com o preenchimento do formulário de declaração de incidentes, conforme estabelecido pela ANPD (Autoridade Nacional de Proteção de dados).

Tal formulário deve ser acessado pelo site oficia da ANPD (https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis ).

6.  Considerações finais

Esta política será reavaliada sempre que surgirem novos requisitos corporativos segundo a Legislação vigente. A implementação dessa política está sujeita a disponibilidade de recursos financeiros e humanos.

bottom of page