1. Propósito
Estabelecer o procedimento que a RACUCCO adota quando há suspeita ou confirmação de incidente de segurança da informação, incluindo, em especial, violação de dados pessoais sujeita à LGPD.
2. O que é um incidente
Para fins desta política, considera-se incidente qualquer evento que comprometa ou possa comprometer a confidencialidade, a integridade ou a disponibilidade de informações sob controle da Racucco. Inclui, entre outros:
- Comprometimento de senhas, tokens, App Secret ou certificado digital
- Acesso não autorizado a contas (TikTok Seller Center, Cloudflare, e-mail, banco)
- Vazamento ou exposição acidental de dados pessoais
- Infecção por malware, ransomware ou tentativa de phishing bem-sucedida
- Indisponibilidade prolongada de sistemas críticos
- Notificação de incidente por plataforma parceira
3. Papéis e responsabilidades
- Coordenador do incidente: Renan Ascanio Cucco (também DPO).
- Apoio técnico: o próprio coordenador, com auxílio de ferramentas e procedimentos automatizados previamente configurados.
- Comunicação externa: coordenada exclusivamente pelo DPO.
4. Fluxo de resposta
4.1 Detecção (D-0)
- Identificar a fonte: log de API, e-mail de plataforma, alerta de antivírus, suspeita observada manualmente, denúncia de terceiro
- Registrar data, hora e descrição inicial em registro interno
4.2 Contenção (D-0 a D+1)
- Revogar imediatamente as credenciais suspeitas (tokens de API via Partner Center; senhas e sessões via "sair de todos os dispositivos")
- Trocar senhas das contas relacionadas
- Rotacionar segredos sensíveis (App Secret, API Tokens Cloudflare, chaves de webhook)
- Isolar máquinas afetadas da rede, se houver indício de malware
4.3 Erradicação (D+1 a D+3)
- Aplicar correções (patches, atualizações)
- Remover artefatos maliciosos detectados
- Validar integridade dos sistemas críticos
4.4 Recuperação
- Restaurar serviços a partir de backup, quando necessário
- Reautorizar a loja por OAuth se houve revogação de App Secret/tokens
- Validar o retorno gradual da operação, monitorando logs por 7 dias após o incidente
4.5 Análise pós-incidente
- Causa raiz documentada
- Ações corretivas registradas
- Ajustes nas políticas e/ou controles, quando aplicável
5. Comunicação obrigatória
Quando o incidente envolver dados pessoais, a Racucco:
- Notifica a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, observado o art. 48 da LGPD
- Notifica o(s) titular(es) afetado(s), de forma clara, indicando a natureza dos dados, os riscos e as medidas adotadas
- Notifica as plataformas parceiras envolvidas (ex.: TikTok Shop, Cloudflare, marketplaces) por seus canais oficiais de suporte
6. Prazos internos de referência
- Contenção: até 4 horas após detecção
- Comunicação a terceiros críticos: até 24 horas
- Notificação a titulares afetados: em prazo razoável e nunca superior a 72 horas após a confirmação do incidente
7. Registro
Toda ocorrência é registrada em arquivo de incidentes interno contendo: data, descrição, severidade, ações tomadas, partes notificadas e status. Esse arquivo é mantido por no mínimo 5 anos.
8. Exercícios e revisão
A Racucco realiza, pelo menos anualmente, um exercício simulado de resposta a incidente para validar este procedimento. A política é revisada após cada exercício e após cada incidente real.