Cronus AI

Cronus

by OrbittAI ©

Plano de Resposta a Incidentes

Última atualização: 1 de março de 2026

Plano de Resposta a Incidentes de Segurança — CronusAI

1. Classificação de Incidentes

A SOFTBLITZ PESQUISA DESENVOLVIMENTO E CONSULTORIA DE SOFTWARE DO BRASIL LTDA - ME ("SoftBlitz") classifica incidentes de segurança segundo a severidade e o impacto potencial, para priorização da resposta e conformidade com a LGPD (Art. 48) e a Resolução da ANPD sobre notificação de incidentes.

Severidade Descrição Exemplos
P1 – Crítico Comprometimento confirmado de dados pessoais sensíveis ou em massa; risco imediato aos titulares Vazamento de dados em massa, ransomware com criptografia de dados, acesso não autorizado confirmado a dados sensíveis
P2 – Alto Suspeita forte de comprometimento; dados pessoais potencialmente afetados; impacto operacional significativo Tentativa de acesso não autorizado com indicadores de sucesso, indisponibilidade prolongada, ataque bem-sucedido em sistema secundário
P3 – Médio Incidente com potencial impacto em dados ou disponibilidade; requer investigação Tentativa de intrusão bloqueada, vulnerabilidade explorável identificada, falha de integridade isolada
P4 – Baixo Incidente com impacto limitado; risco baixo Alerta de segurança sem confirmação, tentativa de força bruta bloqueada, atividade suspeita sem confirmação

A classificação determina os prazos de reporte, a composição da equipe e o nível de notificação exigido.

2. Detecção de Incidentes

A detecção de incidentes ocorre por:

  • Monitoramento contínuo: Sistemas de detecção de intrusão (IDS/IPS), logs de segurança, SIEM e alertas automatizados.
  • Reporte interno: Usuários, administradores ou colaboradores que identifiquem comportamento anômalo.
  • Reporte externo: Clientes, parceiros ou terceiros que comuniquem suspeitas.
  • Auditoria e testes: Exercícios de penetração, auditorias de segurança e revisões periódicas.

Qualquer indicador de incidente deve ser reportado imediatamente ao canal designado (ex.: security@orbittai.com ou DPO).

3. Procedimentos de Reporte

Toda suspeita ou confirmação de incidente deve ser reportada:

  1. Canal primário: security@orbittai.com ou dpo@orbittai.com
  2. Informações mínimas: descrição do evento, data/hora, sistemas afetados (quando conhecidos), dados envolvidos (se aplicável).
  3. Preservação de evidências: Não alterar, excluir ou modificar sistemas ou logs antes da autorização da equipe de resposta.
  4. Registro: Todo reporte é registrado em sistema de gestão de incidentes com timestamp e responsável.

4. Equipe de Resposta

A equipe de resposta a incidentes inclui:

  • Líder de resposta: Coordenação geral, decisões de contenção e comunicação.
  • Encarregado de Proteção de Dados (DPO): Conformidade com LGPD, notificação à ANPD e aos titulares.
  • Equipe técnica: Análise forense, contenção técnica e recuperação.
  • Jurídico: Assessoramento sobre obrigações legais e comunicados.
  • Comunicação: Preparação de mensagens para clientes e autoridades, quando aplicável.

Os papéis são definidos em documento interno e atualizados periodicamente.

5. Procedimentos de Contenção

A contenção visa limitar o impacto e evitar expansão do incidente:

  • Contenção imediata: Isolar sistemas afetados, revogar credenciais comprometidas, bloquear IPs ou acessos maliciosos.
  • Preservação: Manter evidências (logs, snapshots, memória) para investigação e eventual obrigação legal.
  • Contenção de longo prazo: Aplicar correções, patches ou configurações para impedir reincidência, até conclusão da investigação e remedição definitiva.

A decisão entre contenção imediata e preservação de evidências é tomada pelo líder de resposta, considerando o equilíbrio entre mitigação do dano e necessidade de investigação.

6. Investigação

A investigação inclui:

  • Análise forense de logs, sistemas e artefatos.
  • Identificação do vetor de ataque, escopo do comprometimento e dados afetados.
  • Avaliação do risco aos titulares de dados.
  • Documentação detalhada para relatório à ANPD e para eventual processo administrativo ou judicial.

A investigação é conduzida de forma a preservar a cadeia de custódia e a confidencialidade das informações sensíveis.

7. Notificação de Violação de Dados (LGPD Art. 48)

Conforme o Art. 48 da LGPD, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a SoftBlitz deve:

  1. Comunicar à autoridade nacional: A ANPD deve ser comunicada em prazo razoável, na forma definida em regulamentação. A Resolução da ANPD sobre comunicação de incidentes estabelece o prazo de até 2 (dois) dias úteis a partir da constatação do incidente, em formato simplificado, para registro inicial; complementações podem ser exigidas.
  2. Prazo razoável: O Art. 48 fala em "prazo razoável"; a interpretação administrativa e a Resolução da ANPD indicam comunicação o mais breve possível, em geral dentro de 72 horas da constatação, para incidentes que configurem risco relevante.
  3. Comunicar ao titular: Os titulares afetados devem ser comunicados de forma clara e acessível, indicando a natureza dos dados afetados, os riscos e as medidas que possam adotar para se proteger.

A comunicação à ANPD e aos titulares deve conter as informações exigidas na regulamentação, incluindo descrição da natureza dos dados afetados, medidas técnicas e organizacionais adotadas, riscos relacionados e medidas que o titular possa tomar.

8. Notificação Regulatória

Além da ANPD, outras autoridades podem exigir notificação conforme a natureza do incidente:

  • Autoridade de proteção de dados de outros países: Quando dados de titulares de outras jurisdições forem afetados.
  • Órgãos setoriais: Quando houver exigência específica de setor regulado.
  • Autoridades policiais ou ministeriais: Quando exigido por lei ou determinação judicial.

O DPO e o jurídico avaliarão a necessidade de notificações adicionais em cada caso.

9. Notificação ao Cliente

Quando o incidente afetar dados de clientes (organizações) ou de titulares sob responsabilidade do cliente:

  1. Notificação inicial: Informação imediata sobre a ocorrência, escopo preliminar e medidas adotadas.
  2. Atualizações: Comunicação periódica até conclusão da investigação e remediação.
  3. Relatório final: Resumo do incidente, causas, impactos e medidas preventivas, quando apropriado e permitido por confidencialidade.
  4. Suporte: Orientação sobre medidas que o cliente possa adotar em suas operações.

A notificação é feita pelos canais contratuais e em conformidade com cláusulas de Data Processing Agreement ou equivalentes.

10. Revisão Pós-Incidente

Após a conclusão da resposta e da remediação:

  1. Post-mortem: Reunião da equipe para análise das causas, da eficácia da resposta e das lições aprendidas.
  2. Documentação: Registro das ações tomadas, lacunas identificadas e recomendações de melhoria.
  3. Atualização de procedimentos: Ajuste deste Plano e de políticas correlatas com base nas lições aprendidas.
  4. Treinamento: Atualização da equipe sobre novos procedimentos ou riscos identificados.

A revisão ocorre em até 30 dias após o encerramento formal do incidente, salvo necessidade de prazo maior em casos complexos.

Controlador
SoftBlitz Pesquisa Desenvolvimento e Consultoria de Software do Brasil Ltda - ME
CNPJ: 56.145.925/0001-85
Av. Paulista 1471, Conj. 1110, Bela Vista, São Paulo – SP, CEP 01311-927, Brasil

Segurança: security@orbittai.com
DPO: dpo@orbittai.com

Este Plano é revisado periodicamente e atualizado conforme mudanças regulatórias e operacionais. A última atualização consta no frontmatter deste documento.