Política de Resposta a Incidentes Cibernéticos para Operadores de Dados

X3 Promotora LTDA – CNPJ 49.047.755/0001-30

1. Introdução

A Política de Resposta a Incidentes Cibernéticos da X3 Promotora tem como objetivo estabelecer diretrizes e procedimentos específicos para lidar com incidentes de segurança da informação que possam comprometer a proteção e a segurança dos dados sob responsabilidade da organização. Esta política abrange as etapas de identificação, análise, contenção, erradicação, recuperação, revisão pós-incidente, treinamento e relatório ao controlador, em relação a incidentes cibernéticos que envolvem dados processados, armazenados ou transmitidos pela X3 Promotora.

2. Objetivo

Garantir uma resposta rápida, eficaz e coordenada a incidentes cibernéticos que possam afetar a confidencialidade, integridade ou disponibilidade dos dados sob responsabilidade da X3 Promotora, minimizando impactos negativos e garantindo a privacidade e segurança das informações.

3. Escopo

Esta política se aplica a todos os operadores de dados da X3 Promotora, incluindo funcionários, contratados, fornecedores, parceiros e terceiros que tenham acesso a dados pessoais ou confidenciais. Abrange todos os tipos de incidentes cibernéticos, como: violação de dados, acesso não autorizado, malware, phishing, exploração de vulnerabilidades, entre outros.

4. Procedimento de Resposta a Incidentes Cibernéticos

A X3 Promotora disponibiliza um formulário específico para que agentes, operadores ou substabelecidos possam relatar e classificar incidentes de forma adequada, conforme etapas descritas abaixo:

4.1. Identificação do Incidente

Utilização ferramentas de monitoramento para detecção de atividades suspeitas relacionadas aos dados sob responsabilidade da X3 Promotora.
Relate imediatamente qualquer incidente ao Encarregado de Proteção de Dados (DPO) ou ao Departamento de Segurança da Informação, por meio do e-mail: 📧 [email protected]

4.3. Contenção do Incidente

Isolar os sistemas ou recursos afetados para evitar a propagação do incidente.
Restringir o acesso aos dados comprometidos para mitigar danos adicionais.

4.4. Erradicação do Incidente

Identificar a causa raiz do incidente.
Remove ameaças e vulnerabilidades dos sistemas afetados.
Solicite revisões e verificações de segurança.

4.5. Recuperação e Notificação

Restaurar os dados a partir de backups confiáveis, garantindo sua integridade.
Notificar as autoridades competentes e titulares dos dados, em conformidade com a LGPD e demais regulamentações aplicáveis.

4.6. Revisão Pós-Incidente e Lições Aprendidas

Avaliar a eficácia da resposta ao incidente.
Documentar todas as ações tomadas e identificar oportunidades de melhoria nos processos de segurança da informação.

5. Responsabilidades

5.1. Operadores de Dados

Monitorar proativamente atividades suspeitas.
Reportar imediatamente qualquer incidente ao DPO ou ao Departamento de Segurança da Informação da X3 Promotora.

5.2. Encarregado de Proteção de Dados (DPO)

Coordenar a resposta a incidentes cibernéticos.
Supervisionar a implementação de medidas corretivas e preventivas.

6. Conformidade e Revisão

Esta política será revisada periodicamente para garantir sua conformidade com a legislação vigente, especialmente a Lei Geral de Proteção de Dados (LGPD), e para garantir sua eficácia contínua na proteção dos dados tratados pela X3 Promotora.

7. Documentação e Treinamento

Todos os operadores de dados da X3 Promotora devem ser treinados sobre os procedimentos descritos nesta política. A documentação de incidentes e as ações tomadas serão mantidas para fins de auditoria, revisão e melhoria contínua.

8. Implementação

Esta política entra em vigor imediatamente após sua aprovação e distribuição. Qualquer violação será tratada em conformidade com as políticas internas de segurança da informação e os procedimentos disciplinares da X3 Promotora.