Logotipo - Cabeçalho - BrancoLogotipo - Cabeçalho - Colorido

PLANO DE RESPOSTA A INCIDENTES

Introdução

O ZRC Advogados valoriza a segurança da informação, a proteção de dados pessoais de clientes, colaboradores, parceiros e terceiros, bem como a transparência na atuação.

Este Plano de Resposta a Incidentes visa definir como agiremos diante de crises ou incidentes que possam comprometer dados pessoais, reputação ou operação do escritório, em conformidade com a LGPD e boas práticas de governança.

Estrutura do Plano

Objetivo

Estabelecer procedimentos claros para detectar, responder, mitigar, comunicar e aprender com incidentes de segurança e violações de dados no âmbito do ZRC.

Escopo

Incidentes que afetem confidencialidade, integridade ou disponibilidade de dados e sistemas do escritório, inclusive dados sensíveis.

Inclui todos os escritórios (ES, SP, RJ), colaboradores internos, prestadores de serviço e fornecedores que tratem dados para o ZRC.

Governança / Comitê

Criação de um Comitê de Resposta a Incidentes composto por: DPO, responsáveis de TI, sócios ou gestores-chave.

Esse comitê é acionado sempre que houver suspeita ou confirmação de incidente significativo.

Fases do Plano

1) Preparação (antes do incidente)

Avaliação contínua de riscos relacionados ao tratamento de dados.

Políticas preventivas: segurança de redes, acessos, senhas, backup, criptografia, contrato com fornecedores.

Treinamentos regulares com equipe sobre detecção de incidentes e boas práticas de segurança.

Simulações de resposta a incidentes (“table‐top” ou cenários hipotéticos).

Definição de canais de comunicação internos e externos para crise.

2) Detecção e Identificação

Monitoramento de sistemas, logs, alertas de software de segurança.

Relatos de colaboradores, clientes ou terceiros.

Avaliação inicial para determinar se é incidente de segurança ou violação de dados pessoais.

Registro imediato com data, hora, quem detectou, natureza do incidente.

3) Contenção

Ação imediata para limitar impacto: isolar sistemas afetados, suspender acessos comprometidos, parar processos ofensivos.

Preservação de evidências (logs, backups, arquivos) para análise forense.

4) Avaliação e Classificação

Verificar quais dados foram afetados: pessoais, sensíveis, sigilosos.

Avaliar extensão do incidente: número de titulares, sistemas envolvidos, gravidade.

Classificar o incidente como leve, moderado ou crítico, considerando danos potenciais (financeiros, reputacionais, legais).

5) Erradicação e Recuperação

Identificar causa raiz: vulnerabilidade técnica, erro humano, falha de fornecedor etc.

Corrigir vulnerabilidades: patch, alteração de configuração, reforço de políticas.

Restaurar os sistemas e dados afetados, garantindo integridade e disponibilidade.

Testar as soluções antes de retomar operação normal.

6) Comunicação e Notificação

Interna: Comitê, sócios, comunicação interna, colaboradores.

Externa: comunicação transparente para titulares afetados, autoridades de proteção de dados (ANPD) quando aplicável.

Prazo: a LGPD exige notificação “sem demora injustificada”. Estipular um prazo interno padrão (ex.: 24–72 horas após confirmação).

Conteúdo da notificação: descrição do incidente, dados afetados, medidas tomadas, recomendações ao titular, contato do DPO.

7) Registro, Análise Pós-Incidente e Melhoria Contínua

Relatório formal contendo todas as etapas, decisões, impactos, lições aprendidas.

Reunião de análise com o Comitê para identificar falhas no plano ou controles que permitiram o incidente.

Atualização de políticas, procedimentos e controles internos.

Revisão de contratos com fornecedores, verificações de segurança etc.

Comunicação de Crise

Definir porta-vozes (por ex., sócios, DPO).

Mensagens públicas claras: reconhecer problema, informar ações que estão sendo tomadas, compromisso com solução, salvaguarda dos dados.

Canais: site institucional, redes sociais, comunicação direta aos afetados (email ou outros meios), imprensa se necessário.

Transparência, sem expor dados pessoais no público.

Responsabilidades

DPO (Encarregado): Avaliar incidentes, coordenar notificações, manter contato com ANPD e titulares, supervisionar plano.

TI / Segurança da Informação: Detectar incidentes, execução técnica, preservação de evidências, recuperação.

Comitê de Crise: Tomar decisões estratégicas, aprovar comunicação externa, definir recursos necessários.

Alta Direção / Sócios: Aprovar políticas, alocar recursos, dar suporte institucional à resposta.

Comunicação/Marketing: Preparar mensagens públicas, colaborar com comunicação clara e responsável.

Critérios de Gravidade

Definir critérios para classificar a gravidade do incidente, por exemplo:

Quantidade de dados/titulares afetados.

Tipo de dado (dados sensíveis ou de grande risco).

Probabilidade de dano (financeiro, reputacional ou jurídico).

Escopo (interno, externo, público) e duração do incidente.

Procedimentos de Notificação

ANPD: quando incidente representar risco ou dano relevante aos titulares (LGPD art. 48).

Titulares afetados: comunicação clara, acessível, no menor tempo possível.

Outras autoridades/compliance: se aplicável, conforme setor ou obrigação legal.

Revisão e Atualizações

Plano revisado pelo menos uma vez por ano.

Alteração imediata quando houver mudança legislativa, incidente grave ou nova vulnerabilidade identificada.

Auditorias internas ou externas de segurança da informação.

Canal de Contato

Em caso de dúvidas, denúncias ou solicitações relacionadas a incidentes de segurança da informação ou proteção de dados pessoais, o canal oficial de contato com o Encarregado (DPO) do ZRC Advogados é:

E-mail: dpo@zrc.adv.br