Política de Resposta a Incidentes e Gerenciamento de Vulnerabilidades

Última atualização: 28/03/2025

A Codgital ("nós", "nossa empresa" ou "organização") estabelece esta política para definir procedimentos claros de resposta a incidentes de segurança e gerenciamento contínuo de vulnerabilidades, garantindo a continuidade dos negócios e minimização de riscos operacionais.

1. Objetivo e Escopo

1.1. Objetivo: Estabelecer procedimentos formais para identificação, resposta, contenção e recuperação de incidentes de segurança, bem como implementar um programa contínuo de gerenciamento de vulnerabilidades.

1.2. Escopo: Esta política aplica-se a todos os sistemas, funcionários, parceiros, fornecedores e terceiros que tenham acesso à infraestrutura da Codgital.

2. Política de Resposta a Incidentes - Conformidade Legal

2.1. Política Publicada: Esta política de resposta a incidentes é formalmente publicada e disponível a todos os colaboradores, parceiros e partes interessadas, definindo claramente funções, responsabilidades e canais de comunicação.

2.2. Funções e Responsabilidades Definidas:

• Coordenador de Resposta a Incidentes: Gabriel Ramalho (Fundador) - Responsabilidade: Coordenação geral, tomada de decisões críticas e comunicação com stakeholders

• Gerente Técnico de Incidentes: Marcon Willian (Fundador) - Responsabilidade: Análise técnica, implementação de correções e recuperação de sistemas

• Equipe de Resposta: Todos os colaboradores técnicos - Responsabilidade: Suporte na implementação de medidas corretivas e monitoramento

• Comunicação Externa: Gabriel Ramalho - Responsabilidade: Comunicação com clientes, parceiros, autoridades e mídia quando necessário

2.3. Canais de Comunicação e Relatórios Oficiais:

• Email Prioritário: [email protected] (monitoramento 24/7)

• Telefone de Emergência: +55 (11) 96976-8796 (disponível 24/7)

• Sistema de Tickets: Portal interno de incidentes com priorização automática

• Comunicação Interna: Slack - Canal #incidentes-seguranca

3. Avaliação de Impacto nos Negócios (BIA)

3.1. Identificação de Ativos Críticos: Realizamos anualmente avaliação de impacto nos negócios para identificar e categorizar nossos principais ativos de TI e suas criticidades.

3.2. Objetivos de Tempo de Recuperação (RTO) Definidos:

• Sistemas Críticos: RTO máximo de 4 horas

• Sistemas Importantes: RTO máximo de 24 horas

• Sistemas Auxiliares: RTO máximo de 72 horas

3.3. Objetivos de Ponto de Recuperação (RPO) Definidos:

• Dados Críticos: RPO máximo de 1 hora

• Dados Importantes: RPO máximo de 6 horas

• Dados Auxiliares: RPO máximo de 24 horas

4. Exercícios e Testes de Incidentes

4.1. Exercícios Anuais Obrigatórios: Realizamos no mínimo um exercício completo de resposta a incidentes por ano, simulando cenários reais de ataques e falhas de sistema.

4.2. Tipos de Exercícios:

• Exercícios de Mesa (Tabletop): Discussão teórica de cenários - Trimestrais

• Simulações Técnicas: Testes práticos com sistemas reais - Semestrais

• Exercícios Completos: Simulação integral incluindo comunicação - Anuais

4.3. Relatórios e Documentação: Todos os exercícios são documentados com relatórios detalhados mantidos em arquivo por no mínimo 5 anos, incluindo lições aprendidas e melhorias implementadas.

5. Gerenciamento de Vulnerabilidades - Conformidade Legal

5.1. Procedimento Formal de Gerenciamento: A Codgital possui procedimentos formais de gerenciamento de vulnerabilidades em vigor, com monitoramento contínuo de ameaças à segurança.

5.2. Monitoramento Contínuo de Ameaças:

• Fontes de Inteligência: CVE, NVD, CERT, fornecedores de segurança

• Monitoramento 24/7: Sistemas automatizados de detecção de vulnerabilidades

• Alertas Imediatos: Notificação automática para vulnerabilidades críticas

5.3. Varreduras de Vulnerabilidade:

• Frequência: Varreduras mensais automatizadas em todos os sistemas

• Escopo: Infraestrutura interna, externa e aplicações web

• Ferramentas: Scanners profissionais com base de dados atualizada

5.4. Testes de Penetração:

• Frequência: Testes anuais por empresa especializada externa

• Escopo: Infraestrutura completa, aplicações e engenharia social

• Relatórios: Documentação completa mantida em arquivo seguro

5.5. Processo de Correção:

• Vulnerabilidades Críticas: Correção em até 24 horas

• Vulnerabilidades Altas: Correção em até 72 horas

• Vulnerabilidades Médias: Correção em até 30 dias

• Vulnerabilidades Baixas: Correção em até 90 dias

6. Exigências para Parceiros

6.1. Política de Resposta a Incidentes: Todos os parceiros DEVEM comprovar possuir política de resposta a incidentes publicada OU política de continuidade de negócios equivalente, com procedimentos claros e testados.

6.2. Gerenciamento de Vulnerabilidades: Parceiros DEVEM implementar medidas contínuas de monitoramento, rastreamento e correção de ameaças à segurança, incluindo:

• Varreduras regulares de vulnerabilidade

• Testes de penetração anuais

• Relatórios de segurança mantidos em arquivo

• Processo documentado de correção de vulnerabilidades

6.3. Verificação e Auditoria: A Codgital reserva-se o direito de auditar e verificar o cumprimento dessas exigências pelos parceiros antes e durante a vigência dos contratos.

7. Procedimentos de Resposta a Incidentes

7.1. Classificação de Incidentes:

• Crítico: Impacto severo nos negócios, dados comprometidos

• Alto: Impacto significativo, potencial exposição de dados

• Médio: Impacto moderado, funcionalidades afetadas

• Baixo: Impacto mínimo, sem exposição de dados

7.2. Tempos de Resposta:

• Crítico: Resposta imediata (até 30 minutos)

• Alto: Resposta em até 2 horas

• Médio: Resposta em até 8 horas

• Baixo: Resposta em até 24 horas

7.3. Fases do Processo:

• Detecção e Análise: Identificação e avaliação inicial

• Contenção: Isolamento e prevenção de propagação

• Erradicação: Eliminação da causa raiz

• Recuperação: Restauração dos serviços

• Lições Aprendidas: Análise pós-incidente e melhorias

8. Declaração de Conformidade Legal

A Codgital DECLARA e CONFIRMA o cumprimento integral de todos os requisitos legais:

✓ Política de Resposta a Incidentes Publicada: Mantemos política formal publicada com funções, responsabilidades e canais de comunicação claramente definidos.

✓ Avaliação de Impacto nos Negócios: Realizamos BIA anual para identificar ativos críticos e definir RTO/RPO apropriados para cada categoria de sistema.

✓ Exercícios Anuais de Incidentes: Conduzimos exercícios de resposta a incidentes no mínimo uma vez por ano, mantendo relatórios documentados em arquivo.

✓ Procedimento de Gerenciamento de Vulnerabilidades: Possuímos procedimentos formais para monitoramento contínuo, rastreamento e correção de ameaças à segurança.

✓ Varreduras e Testes de Penetração: Realizamos varreduras mensais de vulnerabilidade e testes anuais de penetração, mantendo todos os relatórios em arquivo.

✓ Exigências para Parceiros: Todos os parceiros são obrigados contratualmente a possuir políticas equivalentes de resposta a incidentes ou continuidade de negócios.

9. Revisão e Atualização

Esta política é revisada e atualizada anualmente ou sempre que necessário devido a mudanças no cenário de ameaças, ambiente tecnológico ou regulatório. As atualizações são comunicadas a todos os envolvidos e requerem aprovação da alta direção.

10. Contato e Reporte de Incidentes

Para reportar incidentes de segurança ou vulnerabilidades:

Email de Emergência: [email protected]

Telefone 24/7: +55 (11) 96976-8796

Para questões sobre esta política: [email protected]

Consulte também nossa Política de Segurança da Informação para diretrizes gerais de segurança.

Aprovado por: Gabriel Ramalho e Marcon Willian - Fundadores da Codgital