Norte Gestão
Norte GestãoPainel de gestão

Plano de Resposta a Incidentes

Versão:
v1.0
Vigência:
2026-05-27
Base legal:
LGPD Art. 34 + Art. 48 (notificação ANPD)
Este documento resume publicamente como lidamos com incidentes. A versão operacional detalhada é interna ao DPO + equipe técnica (fonte: docs/legal/plano-resposta-incidentes-interno.md).

1. O que consideramos incidente

Um incidente de segurança é qualquer evento que comprometa, ou ameace comprometer:

  • Sigilo dos seus dados — alguém acessou sem autorização
  • Integridade — alguém modificou sem autorização
  • Disponibilidade — sistema fora do ar além do SLA

Um vazamento de dados é um subtipo em que dado pessoal foi exposto, acessado ou extraído por terceiros não autorizados.

2. Como você fica sabendo

Se o incidente envolver dados seus ou dos seus clientes, comunicamos por:

  • Email ao administrador da sua conta — em até 24 horas após confirmação interna
  • Banner no painel do Norte Gestão
  • Página pública /legal/incidentes/<id> para incidentes massivos

Em risco alto, comunicamos também os titulares afetados diretamente.

3. O que comunicamos

  • O que aconteceu
  • Quando aconteceu (período de exposição)
  • Quais dados foram afetados (categorias)
  • Quantos titulares foram afetados (escala)
  • O que estamos fazendo (contenção e recuperação)
  • O que você deve fazer (ex.: trocar senha, monitorar conta)
  • Como entrar em contato com o DPO

4. Prazos que cumprimos

EtapaPrazo
Triagem do incidente (P0)até 1 hora após detecção
Comunicação interna ao DPO (P0)até 15 minutos
Comunicação ao Cliente afetadoaté 24 horas
Comunicação aos titulares (P0 risco alto)imediata
Comunicação à ANPD (LGPD Art. 48)até 72 horas

5. Seus direitos durante e após um incidente

  1. Saber que seu dado foi afetado
  2. Saber o que foi feito para conter
  3. Saber o que você pode fazer para se proteger
  4. Acionar o DPO para informações adicionais
  5. Acionar a ANPD se discordar da nossa resposta
  6. Buscar reparação judicial se houver dano comprovado

6. Como nos ajudar

Para usuários do sistema

  1. Não compartilhe prints ou credenciais publicamente
  2. Mude sua senha preventivamente (/admin/usuarios)
  3. Habilite 2FA (/seguranca/2fa)
  4. Reporte ao DPO com assunto [INCIDENTE URGENTE]

Para pesquisadores de segurança

Aceitamos reportes responsáveis:

  1. Envie detalhes ao DPO antes de divulgar publicamente
  2. Aguarde 90 dias para nossa resposta (ou prazo combinado)
  3. Não acesse, modifique ou exfiltre dados de terceiros durante o teste
  4. Não execute DDoS, social engineering ou ataques destrutivos

Estamos abertos a iniciar um programa formal de bug bounty no futuro.

7. Nossos compromissos

  • Não esconder incidentes — comunicar sempre que houver dever legal ou risco material
  • Não culpar a vítima — incidente é problema do controlador
  • Não retaliar pesquisadores que reportam de boa-fé
  • Documentar e aprender — todo incidente gera post-mortem e ação preventiva
  • Investir em prevenção — fechar gaps, treinar equipe, testar respostas anualmente

8. Como reportar um incidente

Canal preferencial: formulário em /legal/dpo com tipo Reporte de incidente.

Email direto urgente: luizvictorcamargos2003@gmail.com com assunto [INCIDENTE URGENTE].

ANPD (se não resolvermos): gov.br/anpd

9. Glossário rápido

  • ANPD — Autoridade Nacional de Proteção de Dados
  • DPO — Data Protection Officer (Encarregado)
  • LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018)
  • P0 — severidade crítica (vazamento massivo, indisponibilidade total)
  • RTO — tempo objetivo de recuperação
  • RPO — perda máxima de dados aceitável

Versão 1.0 — 2026-05-27. Fonte canônica: docs/legal/plano-resposta-incidentes-publico.md.