Esta política descreve como a MVD Consul Mais LTDA detecta, responde e comunica incidentes de segurança que afetem confidencialidade, integridade ou disponibilidade dos dados tratados no aplicativo MVD Gestão (app.mvdgestao.com.br). Aplicam-se os arts. 46 a 49 da LGPD (Lei 13.709/2018), a Resolução CD/ANPD nº 15/2024 e melhores práticas internacionais (NIST SP 800-61).
1. Definições
- Incidente de Segurança: evento adverso confirmado que viola ou ameaça a confidencialidade, integridade ou disponibilidade de dados pessoais.
- Evento de segurança: ocorrência anômala ainda não confirmada como incidente; pode ou não evoluir para incidente.
- Risco relevante: incidente que pode causar dano significativo ao titular (divulgação indevida em larga escala, exposição de biometria, vazamento de dados financeiros etc.) — obrigatório comunicar à ANPD.
- Titular afetado: pessoa natural cujos dados pessoais foram impactados pelo incidente.
2. Objetivos
- Detectar rapidamente eventos suspeitos;
- Conter o incidente minimizando propagação e impacto;
- Restaurar os sistemas afetados no menor tempo possível;
- Comunicar stakeholders (Cliente/Controlador, ANPD, titulares) nos prazos legais;
- Aprender com o ocorrido (post-mortem) e fortalecer controles.
3. Detecção
A MVD utiliza múltiplas camadas de detecção:
- Monitoramento automatizado (Sentry) de exceções e erros em produção;
- Logs de auditoria (activity log) com revisão semanal;
- Alertas de rate limiting e padrões anômalos;
- Dashboards de saúde dos sub-operadores (Supabase, Vercel, Cloudflare);
- Scanner interno de vulnerabilidades da aplicação (quando aplicável);
- Canais abertos de reporte pelo Cliente (suporte@mvdgestao.com.br, contato@mvdgestao.com.br);
- Canais de pesquisadores de segurança (programa responsável de divulgação, quando aplicável).
4. Classificação de Severidade
| Nível | Critérios | Exemplos |
|---|---|---|
| P0 — Crítico | Indisponibilidade total, vazamento massivo, acesso não-autorizado confirmado a dados sensíveis | Banco comprometido, biometria exposta, múltiplas empresas afetadas |
| P1 — Alto | Impacto significativo em uma empresa ou categoria de dados, indisponibilidade parcial | Dados financeiros de uma Cliente expostos internamente |
| P2 — Médio | Impacto limitado, risco controlado | Logs expostos em ambiente não público |
| P3 — Baixo | Sem impacto direto em dados pessoais | Falha em ambiente de staging |
5. Resposta Imediata
Ao detectar um evento de segurança:
- Isolamento: conter impacto — desabilitar credencial exposta, bloquear IP, suspender feature, isolar tenant afetado;
- Preservação de evidências: snapshot do banco, captura de logs, mapeamento das ações suspeitas;
- Convocação do time técnico: equipe responsável + DPO + representante legal (quando cabível);
- Análise de escopo: qual dado foi afetado, quantos titulares, qual janela temporal;
- Classificação de severidade (P0/P1/P2/P3);
- Execução do plano de contenção + erradicação;
- Restore: usando procedimentos da Política de Backup.
6. Comunicação
6.1. Aos Clientes/Controladores afetados
Incidentes que afetem dados do Cliente (enquanto Controlador) serão comunicados em até:
- P0/P1: 72 horas após confirmação, por email ao contato administrativo cadastrado + telefone de emergência quando disponível;
- P2: até 7 dias corridos, via email;
- P3: no post-mortem mensal consolidado (quando houver impacto mínimo).
A comunicação conterá:
- Descrição clara do incidente;
- Categorias e volume aproximado de titulares e dados afetados;
- Janela temporal;
- Causa raiz preliminar (se conhecida);
- Medidas de contenção e mitigação tomadas;
- Recomendações ao Cliente sobre notificação aos seus titulares e à ANPD;
- Ponto de contato para dúvidas;
- Compromisso de follow-up com post-mortem detalhado.
6.2. À ANPD
6.2.1. Quando o incidente puder acarretar risco ou dano relevante aos titulares (art. 48 LGPD), a comunicação à ANPD é obrigatória.
6.2.2. Responsabilidade primária pela comunicação:
- Quando a MVD é Controladora (dados coletados nos domínios públicos, leads, cadastros, contas gratuitas): responsabilidade da MVD;
- Quando a MVD é Operadora (dados de empresas clientes no aplicativo): a Cliente/Controladora é responsável pela comunicação à ANPD. A MVD apoia tecnicamente com dados necessários em até 48 horas da solicitação formal.
6.2.3. Prazo de referência: até 3 (três) dias úteis após o conhecimento do incidente, conforme orientação da ANPD vigente na data do evento.
6.3. Aos Titulares
6.3.1. Em incidentes de risco relevante, a MVD apoia a Cliente/Controladora na elaboração da comunicação aos titulares afetados (redação sugerida, canal de envio, FAQ).
6.3.2. Quando a MVD for diretamente responsável (como Controladora), a comunicação será feita:
- Por email ao endereço cadastrado;
- Por aviso destacado ao fazer login na Plataforma;
- Por publicação pública em /incidentes (quando aplicável).
7. Post-Mortem e Ações Corretivas
7.1. Para todo incidente P0 ou P1, a MVD conduz análise post-mortem em até 15 dias após encerramento, contendo:
- Timeline detalhada;
- Causa raiz (5 Whys ou equivalente);
- Impacto efetivo (dados, titulares, sistemas);
- O que funcionou / o que falhou na resposta;
- Ações corretivas imediatas;
- Ações preventivas estruturais com responsáveis e prazos.
7.2. O post-mortem é disponibilizado ao Cliente afetado em versão resumida (sem expor dados sensíveis de outros Clientes) mediante solicitação ao DPO.
8. Simulações e Treinamento
8.1. A MVD realiza ao menos um tabletop exercise (simulação de incidente) por semestre, envolvendo time técnico e DPO, com cenários realistas (vazamento, intrusão, ransomware).
8.2. Lições aprendidas alimentam a atualização contínua desta Política.
9. Comunicação de Vulnerabilidades por Terceiros
9.1. Pesquisadores de segurança, Clientes ou terceiros que identifiquem vulnerabilidade devem reportar ao DPO por contato@mvdgestao.com.br.
9.2. A MVD compromete-se a:
- Acusar recebimento em até 2 dias úteis;
- Investigar em até 10 dias úteis;
- Comunicar correção (ou justificativa de não aplicabilidade) ao reportante;
- Não tomar ações legais contra pesquisadores que sigam princípios de divulgação responsável (sem explorar dados, sem publicar antes da correção, sem causar dano).
10. Retenção de Registros de Incidentes
10.1. Registros de incidentes (logs, timelines, comunicações, post-mortems) são retidos por no mínimo 5 (cinco) anos, para atender a eventuais investigações e demonstrar conformidade com a LGPD.
11. Responsabilidade
11.1. A MVD dedica melhores esforços à prevenção e resposta, mas nenhum sistema é imune a incidentes. A responsabilidade da MVD é limitada aos termos do DPA e dos Termos de Uso, especialmente quanto a:
- Hipóteses em que o incidente decorra de ato ou omissão do Cliente (senha compartilhada, permissão concedida a pessoa não autorizada, inserção indevida de dados sensíveis);
- Força maior, caso fortuito, ação ou omissão de sub-operadores com contratos e controles adequados;
- Ataques cibernéticos que superem medidas razoáveis de proteção e boas práticas da indústria.
12. Contato
12.1. Em caso de suspeita ou confirmação de incidente afetando sua conta ou dados:
- Email urgente: contato@mvdgestao.com.br
- Assunto sugerido: "URGENTE — Suspeita de incidente de segurança";
- Informar: CNPJ da conta, descrição do evento, evidências (prints, logs);
- Tempo de resposta objetivo: 4 horas úteis para incidentes P0/P1.
13. Alterações
13.1. Atualizações materiais serão comunicadas por email com antecedência mínima de 30 dias corridos.
[REQUER VALIDAÇÃO JURÍDICA] Cláusulas 6.2.3 (prazo ANPD) devem ser confirmadas conforme a versão atual da Resolução ANPD em vigor (15/2024 no momento desta redação — revalidar anualmente). Cláusula 11 (limitação de responsabilidade) exige validação quanto à aplicabilidade do CDC quando o Cliente for consumidor final.