/Segurança · Incidentes

Resposta a Incidentes & Vulnerabilidades

Procedimentos formais para identificar, conter, erradicar e recuperar de incidentes — com RTOs e RPOs definidos por classe de sistema, exercícios anuais e gerenciamento contínuo de vulnerabilidades.

Última atualização

26/05/2026

Versão

v1.0

Aprovado por

Gabriel Ramalho & Marcon Willian

Introdução

A Codgital ("nós", "nossa empresa" ou "organização") estabelece esta política para definir procedimentos claros de resposta a incidentes de segurança e gerenciamento contínuo de vulnerabilidades, garantindo a continuidade dos negócios e minimização de riscos operacionais.

Objetivo e Escopo

1.1. Objetivo: Estabelecer procedimentos formais para identificação, resposta, contenção e recuperação de incidentes de segurança, bem como implementar um programa contínuo de gerenciamento de vulnerabilidades.

1.2. Escopo: Esta política aplica-se a todos os sistemas, funcionários, parceiros, fornecedores e terceiros que tenham acesso à infraestrutura da Codgital.

Política de Resposta a Incidentes

2.1. Política Publicada: Esta política de resposta a incidentes é formalmente publicada e disponível a todos os colaboradores, parceiros e partes interessadas, definindo claramente funções, responsabilidades e canais de comunicação.

2.2. Funções e Responsabilidades Definidas:

Coordenador de Resposta a Incidentes: Gabriel Ramalho (Fundador) — Coordenação geral, tomada de decisões críticas e comunicação com stakeholders.

Gerente Técnico de Incidentes: Marcon Willian (Fundador) — Análise técnica, implementação de correções e recuperação de sistemas.

Equipe de Resposta: Todos os colaboradores técnicos — Suporte na implementação de medidas corretivas e monitoramento.

Comunicação Externa: Gabriel Ramalho — Comunicação com clientes, parceiros, autoridades e mídia quando necessário.

2.3. Canais de Comunicação e Relatórios Oficiais:

Email Prioritário:[email protected] (monitoramento 24/7)

Telefone de Emergência:+55 (11) 96976-8796 (disponível 24/7)

Sistema de Tickets: Portal interno de incidentes com priorização automática

Comunicação Interna: Slack — Canal #incidentes-seguranca

Avaliação de Impacto nos Negócios (BIA)

3.1. Identificação de Ativos Críticos: Realizamos anualmente avaliação de impacto nos negócios para identificar e categorizar nossos principais ativos de TI e suas criticidades.

3.2. Objetivos de Tempo de Recuperação (RTO) Definidos:

Sistemas Críticos: RTO máximo de 4 horas

Sistemas Importantes: RTO máximo de 24 horas

Sistemas Auxiliares: RTO máximo de 72 horas

3.3. Objetivos de Ponto de Recuperação (RPO) Definidos:

Dados Críticos: RPO máximo de 1 hora

Dados Importantes: RPO máximo de 6 horas

Dados Auxiliares: RPO máximo de 24 horas

Exercícios e Testes de Incidentes

4.1. Exercícios Anuais Obrigatórios: Realizamos no mínimo um exercício completo de resposta a incidentes por ano, simulando cenários reais de ataques e falhas de sistema.

4.2. Tipos de Exercícios:

Exercícios de Mesa (Tabletop): Discussão teórica de cenários — Trimestrais

Simulações Técnicas: Testes práticos com sistemas reais — Semestrais

Exercícios Completos: Simulação integral incluindo comunicação — Anuais

4.3. Relatórios e Documentação: Todos os exercícios são documentados com relatórios detalhados mantidos em arquivo por no mínimo 5 anos, incluindo lições aprendidas e melhorias implementadas.

Gerenciamento de Vulnerabilidades

5.1. Procedimento Formal de Gerenciamento: A Codgital possui procedimentos formais de gerenciamento de vulnerabilidades em vigor, com monitoramento contínuo de ameaças à segurança.

5.2. Monitoramento Contínuo de Ameaças:

Fontes de Inteligência: CVE, NVD, CERT, fornecedores de segurança

Monitoramento 24/7: Sistemas automatizados de detecção de vulnerabilidades

Alertas Imediatos: Notificação automática para vulnerabilidades críticas

5.3. Varreduras de Vulnerabilidade:

Frequência: Varreduras mensais automatizadas em todos os sistemas

Escopo: Infraestrutura interna, externa e aplicações web

Ferramentas: Scanners profissionais com base de dados atualizada

5.4. Testes de Penetração:

Frequência: Testes anuais por empresa especializada externa

Escopo: Infraestrutura completa, aplicações e engenharia social

Relatórios: Documentação completa mantida em arquivo seguro

5.5. Processo de Correção:

Vulnerabilidades Críticas: Correção em até 24 horas

Vulnerabilidades Altas: Correção em até 72 horas

Vulnerabilidades Médias: Correção em até 30 dias

Vulnerabilidades Baixas: Correção em até 90 dias

Exigências para Parceiros

6.1. Política de Resposta a Incidentes: Todos os parceiros DEVEM comprovar possuir política de resposta a incidentes publicada OU política de continuidade de negócios equivalente, com procedimentos claros e testados.

6.2. Gerenciamento de Vulnerabilidades: Parceiros DEVEM implementar medidas contínuas de monitoramento, rastreamento e correção de ameaças à segurança, incluindo:

Varreduras regulares de vulnerabilidade

Testes de penetração anuais

Relatórios de segurança mantidos em arquivo

Processo documentado de correção de vulnerabilidades

6.3. Verificação e Auditoria: A Codgital reserva-se o direito de auditar e verificar o cumprimento dessas exigências pelos parceiros antes e durante a vigência dos contratos.

Procedimentos de Resposta a Incidentes

7.1. Classificação de Incidentes:

Crítico: Impacto severo nos negócios, dados comprometidos

Alto: Impacto significativo, potencial exposição de dados

Médio: Impacto moderado, funcionalidades afetadas

Baixo: Impacto mínimo, sem exposição de dados

7.2. Tempos de Resposta:

Crítico: Resposta imediata (até 30 minutos)

Alto: Resposta em até 2 horas

Médio: Resposta em até 8 horas

Baixo: Resposta em até 24 horas

7.3. Fases do Processo:

Detecção e Análise: Identificação e avaliação inicial

Contenção: Isolamento e prevenção de propagação

Erradicação: Eliminação da causa raiz

Recuperação: Restauração dos serviços

Lições Aprendidas: Análise pós-incidente e melhorias

Declaração de Conformidade Legal

Codgital declara e confirma o cumprimento integral

A Codgital DECLARA e CONFIRMA o cumprimento integral de todos os requisitos legais:

✓ Política de Resposta a Incidentes Publicada: Mantemos política formal publicada com funções, responsabilidades e canais de comunicação claramente definidos.

✓ Avaliação de Impacto nos Negócios: Realizamos BIA anual para identificar ativos críticos e definir RTO/RPO apropriados para cada categoria de sistema.

✓ Exercícios Anuais de Incidentes: Conduzimos exercícios de resposta a incidentes no mínimo uma vez por ano, mantendo relatórios documentados em arquivo.

✓ Procedimento de Gerenciamento de Vulnerabilidades: Possuímos procedimentos formais para monitoramento contínuo, rastreamento e correção de ameaças à segurança.

✓ Varreduras e Testes de Penetração: Realizamos varreduras mensais de vulnerabilidade e testes anuais de penetração, mantendo todos os relatórios em arquivo.

✓ Exigências para Parceiros: Todos os parceiros são obrigados contratualmente a possuir políticas equivalentes de resposta a incidentes ou continuidade de negócios.

Revisão e Atualização

Esta política é revisada e atualizada anualmente ou sempre que necessário devido a mudanças no cenário de ameaças, ambiente tecnológico ou regulatório. As atualizações são comunicadas a todos os envolvidos e requerem aprovação da alta direção.