São considerados INCIDENTES quaisquer fragilidades ou eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao comprometimento de um ou mais dos princípios básicos de confidencialidade, integridade, disponibilidade e conformidade dos dados pessoais em tratamento na organização.

Para fins desta POLÍTICA, são considerados como exemplos de INCIDENTES, incluindo, mas não se limitando:

• Indisponibilidade do ambiente tecnológico em virtude de ataque maliciosos interno e externo;
• Vazamento de informações confidenciais (informações de clientes, informações estratégicas, outros);
• Tentativas interna ou externa de ganhar acesso não autorizado a sistemas, a dados ou até mesmo comprometer o ambiente de TI;
• Ato de violar uma política de segurança, explícita ou implícita;
• Uso ou acesso não autorizado a um sistema;
• Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;

Para fins desta POLÍTICA, não são considerados como exemplos de INCIDENTES:

• Eventos acidentais (falhas de hardware ou sistêmicas) não intencionais;
• Eventos não maliciosos (erro humano ou descuido que não infrinja as regras de privacidade e proteção de dados).

Todos os INCIDENTES devem ser registrados com informações as necessárias para a rápida e correta identificação do problema e da ação necessária para mitigá-lo.

Os eventos de INCIDENTES devem ser categorizados e classificados através de uma matriz de severidade com intuito de se ter uma melhor visibilidade, tratamento e prioridade quanto a sua gestão.

Todos os eventos de INCIDENTES devem ser registrados nos controles e/ou ferramentas específicas elaboradas pela organização para esse fim, objetivando a devida triagem e tratamento.

Todos os eventos de INCIDENTES deverão ser encaminhados aos níveis hierárquicos mais altos da organização, responsáveis pela gestão desses INCIDENTES.

A organização deve realizar ativamente a gestão de INCIDENTES, utilizando os seguintes mecanismos e procedimentos (“PROCEDIMENTOS”):

• Detecção: identificação de INCIDENTES por meio de monitoramento, relatórios, denúncias, informações obtidas de áreas parceiras ou qualquer outra análise de eventos adversos;
• Registro e análise: registro dos INCIDENTES, análise, classificação quanto ao tipo, severidade e priorização;
• Comunicação: comunicação dos INCIDENTES às partes envolvidas e caso necessário, às autoridades externas;
• Resposta: contenção dos INCIDENTES, análises forenses, custódia de evidências, tratamento do incidente e da causa raiz; e
• Finalização: encerramento formal e análise do caso para identificação de possíveis melhorias em processos, controles e no próprio procedimento de gestão de INCIDENTES.

Quanto aos PROCEDIMENTOS, devem ser seguidos os seguintes prazos:

• Registro e análise: após a detecção de quaisquer INCIDENTES, a organização deverá realizar o respectivo registro e classificação no prazo máximo de 01 (um) dia útil, a contar da ciência desses INCIDENTES;
• Comunicação: a comunicação de INCIDENTES que possam causar riscos ou danos relevantes aos titulares de dados deverá ser comunicada a esses titulares e à ANPD no prazo máximo de 02 (dois) dias úteis, contados da ciência desses INCIDENTES;
• Resposta: as respostas aos INCIDENTES, considerando a sua contenção, análise, custódia de evidências e tratamento, deverá ser iniciada imediatamente após a ciência desses INCIDENTES; e
• Finalização: o encerramento formal e análise do caso para identificação de possíveis melhorias em processos, controles e no próprio procedimento de gestão deverá ser realizado no prazo máximo de 60 (sessenta) dias corridos, contados da ciência desses INCIDENTES.

A investigação de INCIDENTES deve ser realizada exclusivamente pelo DPO da organização, com apoio das áreas de que este considerar necessárias, de forma a garantir a privacidade e o sigilo das informações obtidas. Quaisquer interações, dúvidas ou sugestões em relação aos INCIDENTES deverá ser direcionada ao DPO, e realizada através do e-mail dpo@biotrop.com.br.

A comunicação deverá ser realizada no prazo acima mencionado e deverá prever, no mínimo:

• A descrição da natureza dos dados pessoais afetados;
• As informações sobre os titulares envolvidos;
• A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
• Os riscos relacionados aos INCIDENTES;
• Os motivos da demora, no caso de a comunicação não ter sido imediata; e
• As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A Organização deverá assegurar que a integridade da evidência estará protegida através da atuação em custódia de informações, realizada pelo identificador original do vazamento/violação, pelo DPO e pelos administradores responsáveis.

A Organização deverá realizar testes, a cada 12 (doze) meses, em relação à capacidade de resposta a INCIDENTES.

A BIOTROP poderá modificar a presente POLÍTICA a qualquer momento, especialmente para adaptá-la às eventuais alterações feitas em nosso website, seja pela disponibilização de novas funcionalidades, seja pela supressão ou modificação daquelas já existentes.