LGPD.  Suporte a Incidentes.

Nossa solução de suporte a Incidentes se baseia no atendimento integral aos requerimentos da Lei Geral de Proteção dos Dados,  atendendo padrões  de segurança da informação aceitos  como são ISO 27001  /  27002.​

Consideramos como nossa base de aplicação, os requerimentos da Lei Geral de Proteção dos Dados. 

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I - implementar programa de governança em privacidade que, no mínimo:

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

A solução também permite, para em caso de incidentes desse tipo, ele possa apresentar para Autoridade Nacional de Proteção dos Dados / Agencias Reguladoras / Judiciário / Ministério Publico / Procon,  todas as métricas, relatórios e tarefas desenvolvidas para contenção e mitigação de qualquer tipo de incidentes.

Nosso processo para desenvolver uma Solução de Prevenção de Vazamentos e Incidentes

(SPVI), se baseia em  pilares fundamentais que atendem ao padrão NIST, assim como artigos da LGPD:

  • Identificação. Identificar os problemas antes que aconteçam,  efetuando analises para detecção de anomalias ou alterações de comportamento na rede,  sistemas  e usuários.

  • Detecção. Para identificar a localização da origem de uma anomalia ou alteração.

  • Proteção.  Blindar a empresa e o negócio de forma eficiente, prática e com credibilidade perante agencias reguladoras. (Liability).  

  • Resposta. Definir plano de ação, a ser ativado, em caso de ataque ou vazamento, depois de por e-mail, sms.

  • Recuperação. Definir plano de ação  até recuperação e controle do ambiente

Arquitetura.

Nossa solução fornece todo o mapa de processos e movimentos dos dados pessoais de forma online, para que os operadores e controladores dos dados possam fornecer todo o conjunto de informações necessárias para atender os requerimentos dos relatórios da ANPD.

 

O formato de comunicação para Incidentes e seu conteúdo, já foi definido pela ANPD, no comunicado: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca - os DPO’s das empresas devem especificar nos seus relatórios as informações solicitadas.

Desenvolvemos uma solução modular que permite maior controle das atividades e estrutura que o DPO e os operadores irão acessar.

  • Módulo Front-End : Permite configurar, gerenciar,  as regras, politicas de incidentes.

  • Módulo AI  Monitoramento.  Modulo que monitora  todo o tráfego de dados pessoais / corporativos definidos no modulo  Front End.

  • Módulo Banco de Dados. Modulo que armazena todas as ações efetuadas no sistema, permite ter log histórico de todas as movimentações dos dados pessoais.

NOTIFICAÇÕES.

Arquitetura de solução, fornece relatórios de forma, diária, semanal, mensal, ou online, de forma que  o DPO e os administradores da empresa estejam sempre informados em tempo, sobre o que acontece com os dados próprios ou de terceiros nas estruturas internas.

  • Desenvolvemos relatórios de resposta para caso de auditorias diárias ou programadas.

  • Nossas soluções são focadas em atender os questionamentos ou investigações dos órgãos reguladores. Entregam em relatórios, respostas a incidentes que originaram vazamentos.

  • Esses relatórios podem ser incluso apresentados quando se tenha na rede um incidente de anomalias.

  • Relatórios diários para DPO / Comitê de Segurança.