SLA Comercial

1. Objetivo

Este Procedimento descreve, em nível operacional e de governança, como a ConformiDoc identifica, registra, classifica, responde e comunica incidentes de segurança da informação que possam afetar a Plataforma, dados operacionais e/ou dados pessoais.


2. Definições

Para fins deste Procedimento:

  • Incidente de Segurança: evento confirmado que comprometa ou possa comprometer confidencialidade, integridade ou disponibilidade de informações/sistemas.

  • Evento de Segurança: ocorrência observada que pode indicar incidente, mas ainda sem confirmação.

  • Dados Pessoais: informações relacionadas a pessoa natural identificada ou identificável, nos termos da LGPD.


3. Escopo

Abrange incidentes relacionados a:

  • acesso não autorizado a contas, sistemas ou dados;

  • exfiltração, vazamento ou divulgação indevida de informações;

  • malware, ransomware, exploração de vulnerabilidades e comprometimento de serviços;

  • indisponibilidade relevante de sistemas (DoS, falhas críticas);

  • erros de configuração que exponham dados ou recursos;

  • uso indevido de credenciais, chaves de API ou integrações.


4. Princípios de resposta

A resposta a incidentes busca:

  • conter e mitigar impactos o mais rapidamente possível;

  • preservar evidências relevantes para apuração;

  • restabelecer serviços com segurança;

  • reduzir probabilidade de recorrência (lições aprendidas);

  • cumprir obrigações legais e contratuais de comunicação, quando aplicável.


5. Fluxo de resposta a incidentes

5.1. Detecção e triagem

  • Recebimento de alerta (monitoramento), reporte interno ou reporte de Cliente/terceiro.

  • Registro do evento (data/hora, sistema afetado, evidências iniciais).

  • Triagem para confirmar se é evento ou incidente.

5.2. Classificação e severidade

A ConformiDoc poderá classificar incidentes por severidade (ex.: Baixa, Média, Alta, Crítica), considerando impacto, escopo, sensibilidade dos dados e risco a titulares.

5.3. Contenção e mitigação

  • Isolamento de componentes afetados, revogação de credenciais, bloqueio de acessos e aplicação de patches/ajustes de configuração.

  • Ações de mitigação para reduzir impacto e impedir avanço do incidente.

5.4. Erradicação e recuperação

  • Remoção de artefatos maliciosos, correção de vulnerabilidades e validação de integridade.

  • Restabelecimento gradual de serviços e monitoramento reforçado pós-incidente.

5.5. Registro, evidências e lições aprendidas

  • Registro contínuo de decisões e ações tomadas (linha do tempo).

  • Preservação de evidências pertinentes (logs, snapshots, indicadores), respeitando segurança e confidencialidade.

  • Revisão pós-incidente (root cause analysis) e plano de ação para evitar recorrência.


6. Comunicação com Clientes e autoridades

6.1. Quando o incidente envolver dados pessoais tratados pela ConformiDoc como Operadora e puder acarretar risco ou dano relevante, a ConformiDoc notificará o Cliente (Controlador) em prazo razoável após tomar conhecimento, fornecendo informações disponíveis para apoiar avaliação e comunicações cabíveis.

6.2. A decisão de comunicar titulares e/ou a ANPD, quando a ConformiDoc atuar como Operadora, caberá ao Cliente-Controlador, observadas as obrigações legais. A ConformiDoc cooperará tecnicamente, na medida do possível.

6.3. Quando a ConformiDoc atuar como Controladora no contexto do incidente, avaliará e realizará as comunicações cabíveis conforme LGPD e orientações da ANPD, quando aplicável.


7. Responsabilidades

Responsabilidades típicas incluem:

  • ConformiDoc: triagem, contenção, mitigação, recuperação, registro e comunicação ao Cliente quando aplicável.

  • Cliente: reporte tempestivo, preservação de evidências sob sua guarda, cooperação e decisões como Controlador (quando aplicável).

  • Fornecedores/Suboperadores: cooperação conforme contratos e SLAs, quando incidentes envolverem seus serviços.


8. Relação com outros documentos

Este Procedimento complementa, sem substituir:

  • Política de Segurança da Informação (PSI);

  • Política de Privacidade;

  • DPA (quando aplicável);

  • Termos de Uso;

  • Política de Retenção e Descarte.


9. Atualizações

Este Procedimento poderá ser atualizado para refletir mudanças legais, regulatórias, tecnológicas ou operacionais. A versão vigente poderá ser disponibilizada sob solicitação, conforme estratégia de governança da ConformiDoc.

Consultoria de Inteligência Artificial Vertical

ConformiDoc

Suporte e Atendimento

Legal, Privacidade e Compliance

SIGA AS REDES SOCIAIS

Copyright 2025. ConformiDoc. Todos os Direitos Reservados.