A Comunicação de Incidente de Segurança

(adicionar nome e logotipo da organização)

Relatório - Comunicação de Incidente de Segurança

[Adicionar Mês/Ano]

[Adicionar Cidade/Estado]

Narrativa do Incidente de Segurança

Narrativa detalhada do fato ocorrido com os dados pessoais do titular na qual a empresa exercia tratamento ou a função de operador de dados. Nesta descrição recomenda-se que existam informações gerais sobre o fato, como: Endereços IPs, servidores, meios físicos, logs de acesso, dinâmica dos fatos, como ocorreu, quem foi o ator, como foi conduzido o processo.

Observação: Em caso de demora na comunicação do incidente (comunicação não imediata ao ocorrido), adicionar um parágrafo neste item contendo os motivos da demora.

Titulares envolvidos

Número de titulares envolvidos: [Adicionar um número exato ou aproximado de titulares envolvidos no incidente] (esta informação é obrigatória perante a lei).

Em parágrafo separado, descrever a natureza dos dados pessoais que estavam relacionados com o incidente (pessoais, de menor ou dados sensíveis), em quais bases legais estavam sendo tratados e outras informações relevantes sobre os dados pessoais envolvidos.

Medidas para mitigação dos riscos e revisão das medidas técnicas e de segurança

Descrever o nível de proteção tecnológica que a empresa possui no que tange a Segurança da Informação, principalmente relacionadas com os dados envolvidos nos incidente (equipamentos e softwares de proteção).

Alguns Exemplos: Relatórios de atualização dos serviços e softwares, Relatórios de SCAN das vulnerabilidades, Software Antivírus, DLP, Firewall, Proxy, entre outros.

Perceba que aqui entram as medidas técnicas que se relacionam diretamente com a Segurança da Informação. Descrever uma dinâmica técnica, requer que a empresa tenha um nível de aderência consistente, ou então essa parte do comunicado ficará vaga, superficial e sem sentido, de forma que a ANPD poderá solicitar complementos e dados adicionais.

Não tenha dúvidas que se esses critérios forem vagos, a ANPD entenderá que a organização que sofreu um incidente de segurança, não possua gestão de tecnologia e medidas de proteção típicas da Segurança da Informação.

Descrever medidas de Gestão de Segurança que são adotadas pela empresa para proteção dos dados pessoais. Alguns exemplos: Comitê de Segurança, Campanhas de Conscientização, Processos de Segurança, Sistema de Gestão de Segurança da Informação, Políticas de Segurança e Proteção de Dados Pessoais, entre outras atividades.

Riscos e potenciais riscos relacionados com o incidente de segurança

Adicionar os resultados de análise de risco realizada sobre o incidente de segurança em questão, qual a sua probabilidade de ocorrência, impactos para a organização e principalmente impactos que podem acontecer ao titular, como por exemplo, utilização de dados vazados para compras ou para difamação do titular.

Medidas adotadas após o incidente de segurança

Descrever de forma detalhada as medidas que foram realizadas após o incidente para minimizar os danos aos titulares e a organização, como por exemplo: Correção das vulnerabilidades técnicas encontradas, comunicação ao titular para troca de senha de algum sistema.

...