1. Objetivo
Estabelecer procedimentos estruturados para detecção, contenção, erradicação, recuperação e comunicação de incidentes de segurança da informação, minimizando impacto aos clientes e garantindo conformidade com obrigações legais (LGPD Art. 48).
2. Definição de Incidente
Considera-se incidente de segurança qualquer evento que comprometa ou ameace a confidencialidade, integridade ou disponibilidade dos sistemas ou dados da Vello Suite, incluindo:
- Acesso não autorizado a sistemas ou dados
- Vazamento ou exposição de dados pessoais ou confidenciais
- Comprometimento de credenciais ou contas
- Malware, ransomware ou código malicioso em produção
- Indisponibilidade não planejada de serviços críticos
- Tentativas de exploração de vulnerabilidades
- Violação de políticas de segurança por colaboradores
3. Classificação de Severidade
| Severidade | Critério | Exemplos | SLA de resposta |
|---|---|---|---|
| Crítica (P1) | Vazamento confirmado de dados ou comprometimento de produção | Exfiltração de dados, acesso root comprometido, ransomware | Imediato (≤ 1 hora) |
| Alta (P2) | Ameaça ativa com potencial de impacto significativo | Vulnerabilidade explorada sem vazamento confirmado, credential stuffing em massa | ≤ 4 horas |
| Média (P3) | Evento suspeito que requer investigação | Tentativas de acesso anômalas, alerta de WAF recorrente | ≤ 24 horas |
| Baixa (P4) | Evento informacional ou violação menor de política | Scan de portas, tentativa de login bloqueada, phishing reportado | ≤ 72 horas |
4. Fases de Resposta
4.1. Detecção e Identificação
- Monitoramento contínuo de logs, alertas de WAF, rate limiting e anomalias de autenticação
- Alertas automáticos para: falhas de login em massa, acesso fora de padrão, erros de RLS, picos de tráfego anômalos
- Canal de reporte interno para colaboradores (email + chat dedicado)
- Canal externo para reporte de vulnerabilidades: seguranca@vellosuite.com.br
4.2. Contenção
Ações imediatas para limitar o impacto:
- Isolamento do sistema ou conta comprometida
- Revogação de tokens e credenciais afetadas
- Bloqueio de IPs ou ranges maliciosos
- Ativação de modo de manutenção se necessário
- Preservação de evidências (snapshots de logs, estado do sistema)
4.3. Erradicação
- Identificação e remoção da causa raiz
- Correção de vulnerabilidade explorada
- Rotação de todas as credenciais potencialmente comprometidas
- Verificação de integridade dos dados e sistemas afetados
- Scan completo de segurança pós-incidente
4.4. Recuperação
- Restauração de serviços a partir de backups verificados (se necessário)
- Monitoramento intensificado por 72 horas após recuperação
- Validação de que controles de segurança estão operacionais
- Liberação gradual de acessos com verificação
4.5. Lições Aprendidas (Post-Mortem)
- Relatório de incidente documentado em até 5 dias úteis
- Análise de causa raiz (Root Cause Analysis)
- Identificação de melhorias nos controles
- Atualização de políticas e procedimentos quando necessário
- Compartilhamento de aprendizados com a equipe
5. Comunicação e Notificação
5.1. Comunicação interna
- Equipe de resposta notificada imediatamente via canal dedicado
- Atualizações de status a cada 2 horas durante incidentes P1/P2
- Relatório final compartilhado com toda a equipe
5.2. Comunicação externa
- Clientes afetados: Notificados em até 72 horas após confirmação de vazamento de dados pessoais (LGPD Art. 48)
- ANPD: Comunicação em prazo razoável conforme Art. 48 da LGPD para incidentes que possam acarretar risco ou dano relevante aos titulares
- Conteúdo da notificação: Natureza dos dados afetados, medidas tomadas, recomendações aos titulares, contato do DPO
5.3. Registro
Todo incidente é registrado com:
- Data/hora de detecção e resolução
- Classificação de severidade
- Sistemas e dados afetados
- Ações tomadas em cada fase
- Impacto (número de usuários/tenants afetados)
- Causa raiz e medidas preventivas implementadas
6. Equipe de Resposta
| Papel | Responsabilidade |
|---|---|
| Incident Commander | Coordena a resposta, toma decisões de contenção, comunica stakeholders |
| Engenharia | Investigação técnica, contenção, erradicação e recuperação |
| DPO | Avaliação de impacto em dados pessoais, comunicação com ANPD e titulares |
7. Histórico de Incidentes
A Vello Suite não registrou nenhuma violação de segurança, vazamento de dados ou incidente de severidade crítica nos últimos 3 anos de operação.
Mantemos registro interno de todos os eventos de segurança (incluindo tentativas bloqueadas) para fins de melhoria contínua e auditoria.
8. Contato
Para reportar incidentes ou vulnerabilidades:
- Reporte de vulnerabilidades: seguranca@vellosuite.com.br
- DPO: privacidade@vellosuite.com.br
Vello Suite — CNPJ 66.427.801/0001-46
Rua Vereador Alexandre Antonello, 323 — Dois Vizinhos/PR, Brasil