Tema
Resposta a Vazamentos de Dados
Protocolo para tratar incidentes de vazamento de dados pessoais, conforme exigido pela LGPD (art. 48) e regulamentação da ANPD.
Obrigações legais
A LGPD exige notificação à ANPD e aos titulares em caso de incidente que possa acarretar risco ou dano relevante aos titulares.
Prazo: 72 horas a partir do conhecimento do incidente (Resolução ANPD CD/ANPD nº 2/2022).
Classificação de severidade
| Nível | Descrição | Ação |
|---|---|---|
| Crítico | CPFs, emails ou telefones de múltiplos clientes expostos publicamente | Notificar ANPD + titulares + mitigar imediatamente |
| Alto | Histórico de compras ou conversas vazados para terceiros | Notificar ANPD + avaliar notificação a titulares |
| Médio | Acesso não autorizado interno (dentro da organização) | Registrar, corrigir, avaliar risco |
| Baixo | Exposição acidental de dado não sensível, sem disseminação | Registrar e corrigir |
Protocolo passo a passo
1. Isolar (primeiros 30 minutos)
bash
# Se o vazamento é por endpoint exposto — desligar temporariamente
bash deploy.sh --restart # atualiza configuração sem rebuild
# Verificar o que foi acessado
GET /audit/logs?startDate=YYYY-MM-DD&endDate=YYYY-MM-DD
# Revogar credencial comprometida imediatamente
# Ver: /seguranca/incidentes → Comprometimento de credenciais2. Identificar escopo (primeiras 2 horas)
Documentar:
- O quê: Quais campos foram expostos (nome, CPF, telefone, conversas?)
- Quem: Quantos titulares afetados e quais organizações
- Quando: Janela de tempo do incidente (início e fim)
- Como: Vetor do incidente (SQL injection, credencial vazada, misconfiguration?)
- Para quem: Dados chegaram a terceiros ou ficaram só no servidor?
3. Corrigir antes de notificar
- Fechar a vulnerabilidade
- Revogar credenciais comprometidas
- Fazer redeploy limpo:
bash deploy.sh - Confirmar que o vetor foi eliminado
4. Notificar a ANPD (até 72h)
Canal: Portal de Peticionamento ANPD
Informações obrigatórias (art. 2º, Resolução ANPD 2/2022):
- Data e hora do incidente (ou estimativa)
- Natureza dos dados afetados
- Número de titulares afetados (ou estimativa)
- Medidas técnicas e administrativas adotadas
- Riscos relacionados ao incidente
- Medidas corretivas tomadas
- Contato do encarregado (DPO):
daniel.galdencio2560@gmail.com
5. Notificar titulares (se risco alto)
Se o incidente envolveu dados que podem causar dano real ao titular (ex: CPF exposto, dados financeiros):
- Canal: Email ou WhatsApp para os afetados
- Conteúdo mínimo: O que aconteceu, quais dados, o que o titular deve fazer
6. Registrar o incidente
Documentar em arquivo interno (não no banco do sistema):
- Linha do tempo completa
- Decisões tomadas e por quê
- Comunicações enviadas
- Medidas preventivas adotadas
Dados pessoais no sistema (referência rápida)
| Dado | Onde | Impacto se vazado |
|---|---|---|
| Nome, email, telefone | Customer | Alto — PII identificável |
| CPF hash | Customer.cpfHash | Baixo — irreversível (SHA-256) |
| CPF criptografado | Customer.cpfEncrypted | Crítico se chave mestra for comprometida junto |
| Histórico de compras | Transaction | Alto — dados financeiros |
| Conversas WhatsApp | Chatwoot | Alto — comunicações privadas |
| Tokens WhatsApp/SMTP | StoreWhatsappNumber, EmailSettings | Crítico — acesso a sistemas externos |
Contato de emergência
| Responsável | Papel | Contato |
|---|---|---|
| Daniel Galdêncio | DPO / Admin principal | daniel.galdencio2560@gmail.com |
| ANPD | Autoridade regulatória | gov.br/anpd |