LGPD.  Suporte a Incidentes.

Nossa solução de suporte a Incidentes se baseia no atendimento integral aos requerimentos da Lei Geral de Proteção dos Dados,  assim como em atender padrões  de segurança da informação aceitos  como são ISO 27001  /  27002.​

Consideramos como nossa base de aplicação, os requerimentos da Lei Geral de Proteção dos Dados. 

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I - implementar programa de governança em privacidade que, no mínimo:

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Ao encontro dessa possibilidade, desenvolvemos serviços para situações de PostMortem, ou situação de Vazamento, fornecendo ferramentas, soluções que auxiliam a figura do  Data Protection Officer (DPO) no cliente, para em caso de incidentes desse tipo, ele possa apresentar para Autoridade Nacional de Proteção dos Dados / Agencias Reguladoras / Judiciário / Ministério Publico / Procon,  todas as métricas, relatórios e tarefas desenvolvidas para contenção e mitigação de qualquer tipo de incidentes.

Nosso processo para desenvolver uma Solução de Prevenção de Vazamentos e Incidentes

(SPVI), se baseia em  pilares fundamentais que atendem ao padrão NIST, assim como artigos da LGPD:

  • Identificação. Identificar os problemas antes que aconteçam,  efetuando analises para detecção de anomalias ou alterações de comportamento na rede,  sistemas  e usuários.

  • Detecção. Para identificar a localização da origem de uma anomalia ou alteração.

  • Proteção.  Blindar a empresa e o negócio de forma eficiente, prática e com credibilidade perante agencias reguladoras. (Liability).  

  • Resposta. Definir plano de ação, a ser ativado, em caso de ataque ou vazamento, depois de por e-mail, sms.

  • Recuperação. Definir plano de ação  até recuperação e controle do ambiente

As diferentes etapas que devem ser consideradas, envolvem  desde  proteção a estações de trabalho, incluindo o monitoramento de snapshots de fotografias ou vídeos,

  • Análise de Vulnerabilidades.

  • Análise do negócio , assim como impactos.

  • Análise e classificação dos tipos de  origem de dados.

  • Análise de Riscos na TI.

  • Análise de Riscos na Vigilância Patrimonial.

  • Detecção de Riscos na Infra-Estrutura de dados.

  • Hardening de ativos.

NOTIFICAÇÕES.

Arquitetura de solução, fornece relatórios de forma, diária, semanal, mensal, ou online, de forma que  o DPO e os administradores da empresa estejam sempre informados em tempo, sobre o que acontece com os dados próprios ou de terceiros nas estruturas internas.

  • Desenvolvemos relatórios de resposta para caso de auditorias diárias ou programadas.

  • Nossas soluções são focadas em atender os questionamentos ou investigações dos órgãos reguladores. Entregam em relatórios, respostas a incidentes que originaram vazamentos.

  • Esses relatórios podem ser incluso apresentados quando se tenha na rede um incidente de anomalias.

  • Relatórios diários para DPO / Comitê de Segurança.