✦ LeiturasBíblicas← Voltar ao início

Playbook operacional público

Plano de Resposta a Incidentes

Versão 1.0 · 20 de abril de 2026 · ACRA System · CNPJ 39.973.426/0001-67

Objetivo

Este documento é o plano operacional da ACRA System para detecção, contenção, avaliação, notificação e aprendizado em caso de incidente de segurança ou vazamento de dados pessoais, atendendo ao art. 48 da LGPD e às orientações da ANPD (prazo de 3 dias úteis).

1. Atores e Responsabilidades

PapelQuemAtribuição principal no incidente
Coordenador do incidenteDPO ([email protected])Liderar a resposta, decidir notificações, ponto único de comunicação com ANPD e titulares
TI / SegurançaResponsável técnico (Tech Lead)Contenção técnica, análise forense, remediação, evidências
JurídicoEscritório contratado (ACRA System)Análise de exposição legal, redação de comunicações, representação em órgãos
Titular / DireçãoRepresentante legal da ACRA SystemAprovação final de comunicações externas, representação institucional
AtendimentoEquipe de suporteCanal único para dúvidas de titulares afetados, triagem

2. Etapa A — Detecção e Classificação

Incidente = evento que comprometa confidencialidade, integridade ou disponibilidade de dados pessoais. Exemplos:

  • Vazamento público de base de dados ou conta comprometida
  • Acesso não autorizado a sistemas internos
  • Perda de backup ou mídia contendo dados pessoais
  • Falha em fornecedor/processador que exponha dados nossos
  • Malware, ransomware, phishing bem-sucedido contra equipe
  • Erro operacional que envie dados ao titular errado

2.1. Classificação de relevância (árvore de decisão)

  1. Houve exposição efetiva de dados pessoais? Se NÃO → Incidente de segurança sem escopo LGPD. Registrar e tratar internamente.
  2. Se SIM, os dados envolvem:
    • Dados sensíveis (religiosos, saúde, étnicos)?
    • Dados de menores?
    • Dados financeiros/fiscais?
    • Grande volume (> 100 titulares)?
    Se SIM a qualquer um → Incidente relevante — notificação obrigatória.
  3. Se NÃO a todos, mas há risco concreto (ex: credenciais de acesso exposta) → Também classifica como relevante.

Em caso de dúvida, trate como relevante e notifique. O custo de uma falsa notificação é mínimo; o custo de omissão em incidente verdadeiro é severo.

3. Etapa B — Contenção Técnica (imediata)

Assim que detectado, em até 1h:

  1. Isolar o sistema afetado (desligar container, revogar token, derrubar serviço)
  2. Revogar credenciais comprometidas (chaves de API, sessões, senhas admin)
  3. Ativar 2FA em todas as contas privilegiadas se ainda não ativo
  4. Preservar logs, memória, estado atual (snapshot do container/VM para forense)
  5. Comunicar o Coordenador (DPO) imediatamente
  6. Bloquear IPs, usuários ou vetores identificados
  7. Documentar cada ação com timestamp UTC

4. Etapa C — Avaliação de Impacto

Em paralelo à contenção, o DPO avalia em até 24h:

  • Quem foi afetado: quantidade de titulares, categorias (maiores, menores, PJ)
  • Quais dados: categorias, inclusão ou não de dados sensíveis
  • Quanto tempo ficou exposto: janela temporal da vulnerabilidade
  • Risco concreto: possibilidade de uso malicioso (credenciais expostas, dados financeiros, etc.)
  • Causa-raiz preliminar: falha humana, bug, ataque dirigido, terceiro comprometido

Resultado: Relatório Preliminar de Incidente (RPI) interno, com classificação definitiva de relevância.

5. Etapa D — Notificação à ANPD

Se incidente classificado como relevante, o DPO notifica a ANPD em até 3 dias úteis pelo canal oficial (gov.br/anpd — peticionamento eletrônico). Conteúdo mínimo:

  • Descrição do incidente (o que, quando, como detectado)
  • Categorias e quantidade de titulares afetados
  • Categorias de dados
  • Medidas de contenção tomadas
  • Riscos aos titulares e medidas de mitigação oferecidas
  • Contato do DPO para esclarecimentos

5.1. Template — E-mail/petição à ANPD

Para: ANPD — Autoridade Nacional de Proteção de Dados
Via: gov.br/anpd (peticionamento eletrônico)
Assunto: Comunicação de Incidente de Segurança — LGPD art. 48

Prezados,

Em cumprimento ao art. 48 da Lei 13.709/2018, a ACRA System
(CNPJ 39.973.426/0001-67, operadora do serviço LeiturasBíblicas), por meio de
seu Encarregado (DPO), informa:

1. IDENTIFICAÇÃO
   Controlador: ACRA System
   Encarregado (DPO): [Nome] — [email protected]

2. DESCRIÇÃO DO INCIDENTE
   Data de detecção: [DD/MM/AAAA HH:MM UTC]
   Tipo: [ex: acesso não autorizado a banco de dados]
   Origem: [ex: exploração de vulnerabilidade em biblioteca X]

3. DADOS AFETADOS
   Categorias: [ex: nome, e-mail, WhatsApp]
   Titulares impactados: [quantidade e perfil]
   Dados sensíveis envolvidos: [sim/não, detalhar]

4. MEDIDAS DE CONTENÇÃO JÁ TOMADAS
   [listar ações técnicas e organizacionais]

5. COMUNICAÇÃO AOS TITULARES
   [método e prazo de notificação aos afetados]

6. MEDIDAS DE MITIGAÇÃO OFERECIDAS
   [ex: troca compulsória de senha, monitoramento de fraude,
   orientações de proteção]

Permanecemos à disposição para esclarecimentos.

[Nome do DPO]
Encarregado pelo Tratamento de Dados
ACRA System — [email protected]

6. Etapa E — Comunicação aos Titulares

Titulares afetados são notificados em canal direto (e-mail cadastrado e, se indisponível, WhatsApp). A comunicação deve ser:

  • Clara, em português, sem jargão técnico
  • Explicar o que ocorreu e quais dados foram afetados
  • Indicar medidas que o titular deve/pode tomar
  • Indicar canal para dúvidas e exercício de direitos
  • Enviada dentro do mesmo prazo de 3 dias úteis

6.1. Template — E-mail ao titular

Assunto: Comunicação importante sobre sua conta no LeiturasBíblicas

Olá [Nome],

Escrevemos para informá-lo(a) sobre um incidente de segurança
ocorrido em [DD/MM/AAAA] que afetou dados da sua conta.

O QUE OCORREU
[descrição em 2-3 frases, sem jargão]

QUAIS DADOS FORAM AFETADOS
[listar categorias de dados específicas do titular]

O QUE VOCÊ DEVE FAZER
1. [ação 1, ex: trocar sua senha imediatamente — link]
2. [ação 2, se aplicável]
3. [ação 3, se aplicável]

O QUE ESTAMOS FAZENDO
[resumo das medidas de contenção e mitigação]

Se tiver dúvidas, responda este e-mail ou escreva para
[email protected]. Também informamos a ANPD
(Autoridade Nacional de Proteção de Dados) conforme a legislação.

Lamentamos profundamente o ocorrido e reafirmamos nosso
compromisso com a segurança dos seus dados.

Atenciosamente,
ACRA System
[email protected]

7. Etapa F — Documentação Interna Obrigatória

Todo incidente (relevante ou não) gera registro no Livro de Incidentes interno, contendo:

  • ID único, data/hora de detecção e encerramento
  • Classificação de relevância + justificativa
  • RPI (Relatório Preliminar) e RFI (Relatório Final de Incidente)
  • Ações tomadas com timestamps
  • Lista de titulares notificados
  • Comunicações enviadas (ANPD e titulares) — cópias preservadas
  • Causa-raiz confirmada
  • Plano de remediação permanente

Retenção: 5 anos mínimo, para fins de auditoria e eventual contestação.

8. Etapa G — Revisão Pós-Incidente

Em até 15 dias úteis após encerramento:

  • Reunião post-mortem com DPO, TI, Jurídico e Direção
  • Análise sem busca de culpados — foco em causa-raiz sistêmica
  • Lista de ações corretivas com responsáveis e prazos
  • Atualização de políticas, treinamento, ferramentas conforme necessário
  • Exercício de tabletop (simulação) semestral para validar plano

9. Relatório Interno — Template

RELATÓRIO FINAL DE INCIDENTE (RFI)
================================

ID do incidente: INC-YYYY-NNNN
Classificação: [relevante LGPD / não-relevante]
Data de detecção: [DD/MM/AAAA HH:MM UTC]
Data de encerramento: [DD/MM/AAAA HH:MM UTC]
Coordenador (DPO): [Nome]

1. RESUMO EXECUTIVO (1 parágrafo)

2. LINHA DO TEMPO
   [T0] Detecção — [descrição]
   [T+Xh] Contenção — [ação tomada]
   [T+Yh] Notificação — [ANPD/titular]
   [T+Zd] Remediação permanente

3. ESCOPO
   Titulares afetados: [quantidade]
   Categorias de dados: [lista]
   Dados sensíveis: [sim/não]

4. CAUSA-RAIZ
   [análise técnica, não busca culpados]

5. AÇÕES TOMADAS
   [listar em ordem cronológica]

6. NOTIFICAÇÕES REALIZADAS
   - ANPD: [data, protocolo]
   - Titulares: [quantidade, método]

7. MEDIDAS CORRETIVAS PERMANENTES
   [lista com responsáveis e prazos]

8. LIÇÕES APRENDIDAS
   [o que incorporar em políticas/treinamento]

Assinatura do DPO: _________________________

10. Contatos de Emergência

ContatoUso
[email protected]DPO — coordenação e comunicações oficiais
gov.br/anpdAutoridade Nacional de Proteção de Dados — petições eletrônicas
ANPD — Comunicações: +55 (61) 2027-6464Central telefônica institucional
[email protected]Denúncias de abuso / violação da PUA
Disque 100Violação de direitos de crianças e adolescentes
SaferNet (safernet.org.br/denuncie)Crimes cibernéticos contra menores
190 / 197Polícia Militar / Polícia Civil
[Advogado externo a contratar]Representação jurídica urgente
[Provedor de nuvem — suporte emergência]Contenção técnica em ataques de larga escala

11. Exercícios Simulados (Tabletop)

Realizados no mínimo 1x por ano (recomendado semestral). Metodologia:

  1. Coordenador escolhe cenário realista (ex: vazamento de 10.000 e-mails)
  2. Equipes executam o plano em ambiente simulado, sem afetar produção
  3. Cronometragem de cada etapa
  4. Identificação de gargalos e lacunas
  5. Atualização do Plano conforme aprendizados
  6. Registro no Livro de Incidentes como exercício (tipo distinto)