Deteção do Incidente
Ação Imediata: Registar no sistema de gestão de incidentes. Notificar DPO e CISO.
POLÍTICA DE RESPOSTA A VIOLAÇÕES DE DADOS
Organização: [Nome da Organização]
Versão: [1.0] | Data: [DD/MM/AAAA]
Aprovado por: [Nome e Cargo]
1 Âmbito e Objetivos
1.1 Âmbito de Aplicação
Esta política aplica-se a [Nome da Organização] e abrange:
- Violações de Dados Pessoais nos termos do Regulamento (UE) 2016/679 (RGPD)
- Incidentes de Cibersegurança nos termos da Diretiva (UE) 2022/2555 (NIS2)
- Todos os sistemas, serviços e infraestruturas da organização
- Dados pessoais de clientes, colaboradores, fornecedores e outras partes interessadas
📋 Setor NIS2
Esta organização opera no setor: [Especificar setor]
Classificação: [Essencial / Importante]
1.2 Objetivos
- Estabelecer procedimentos claros para deteção, avaliação e resposta a violações de dados
- Garantir conformidade com prazos legais de notificação (24h e 72h)
- Minimizar o impacto de violações nos direitos e liberdades dos titulares dos dados
- Proteger a continuidade de serviços essenciais conforme NIS2
- Documentar todas as violações para demonstração de conformidade
1.3 Base Legal
- RGPD - Artigos 33 e 34 (Notificação de violações)
- Diretiva NIS2 - Artigo 23 (Notificação de incidentes)
- Lei n.º 58/2019 (Lei de Transposição do RGPD em Portugal)
- Decreto-Lei (em preparação) de transposição da NIS2 em Portugal
2 Definições
| Termo | Definição |
|---|---|
| Violação de Dados Pessoais | Uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação ou acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento (Artigo 4.º(12) RGPD). |
| Incidente de Cibersegurança | Evento que comprometa a disponibilidade, autenticidade, integridade ou confidencialidade de dados armazenados, transmitidos ou tratados, ou dos serviços oferecidos por sistemas de redes e informação (Artigo 6.º(7) NIS2). |
| DPO (Encarregado de Proteção de Dados) | Responsável por supervisionar a estratégia de proteção de dados e garantir conformidade com o RGPD. |
| CISO (Chief Information Security Officer) | Responsável pela segurança da informação e gestão de incidentes de cibersegurança. |
| CSIRT (Computer Security Incident Response Team) | Equipa de resposta a incidentes de segurança informática da organização. |
| CNPD | Comissão Nacional de Proteção de Dados - Autoridade de controlo em Portugal para proteção de dados pessoais. |
| CNCS | Centro Nacional de Cibersegurança - Autoridade nacional responsável por supervisionar a aplicação da NIS2 em Portugal. |
3 Equipa de Resposta a Violações
A [Nome da Organização] designa a seguinte equipa para gestão de violações de dados:
| Função | Responsável | Contacto | Responsabilidades |
|---|---|---|---|
| DPO | [Nome] | [Email / Telefone] | Coordenar notificações à CNPD, avaliar impacto nos titulares, comunicação aos titulares |
| CISO | [Nome] | [Email / Telefone] | Coordenar resposta técnica, notificação ao CNCS, contenção do incidente |
| Diretor Jurídico | [Nome] | [Email / Telefone] | Avaliar implicações legais, assessorar em notificações obrigatórias |
| Diretor de Comunicação | [Nome] | [Email / Telefone] | Gerir comunicação pública, preparar declarações à imprensa |
| Coordenador CSIRT | [Nome] | [Email / Telefone] | Análise forense, contenção técnica, recuperação de sistemas |
| Administração Executiva | [Nome] | [Email / Telefone] | Aprovação final de notificações, decisões estratégicas |
📞 Contacto de Emergência 24/7
Telefone: [+351 XXX XXX XXX]
Email: [breach-response@organization.pt]
Sistema de Tickets: [URL do sistema]
4 Deteção e Avaliação de Violações
4.1 Canais de Deteção
- Sistemas de Monitorização Automatizados: SIEM, IDS/IPS, DLP
- Reporte Interno: Colaboradores podem reportar via [email/sistema]
- Reporte Externo: Clientes, fornecedores, parceiros
- Auditorias e Testes: Descoberta em auditorias de segurança ou testes de penetração
- Notificação de Terceiros: Fornecedores de serviços, autoridades, investigadores de segurança
4.2 Registo Inicial (Primeiros 15 minutos)
Ao tomar conhecimento de uma potencial violação, registar imediatamente:
- Data e Hora: Quando foi detetada a violação
- Fonte: Como foi descoberta (sistema, pessoa, entidade externa)
- Descrição Inicial: Natureza do incidente
- Sistemas Afetados: Infraestruturas, aplicações, bases de dados comprometidas
- Primeiras Evidências: Logs, alertas, capturas de ecrã
4.3 Calculadora de Gravidade de Incidentes
🔢 Avaliação Automática de Gravidade
Use esta ferramenta para determinar a gravidade do incidente e se a notificação de 72h é obrigatória.
Selecione todos os tipos de dados afetados (Ctrl+clique para múltiplos)
4.4 Critérios de Avaliação
⚠️ Notificação Obrigatória à CNPD (72 horas)
A notificação à CNPD é obrigatória quando a violação puder resultar em risco para os direitos e liberdades dos titulares. Considerar:
- Risco de discriminação
- Risco de usurpação de identidade ou fraude
- Perdas financeiras
- Danos para a reputação
- Perda de confidencialidade de dados protegidos por segredo profissional
- Outros prejuízos económicos ou sociais significativos
🚨 Notificação Obrigatória ao CNCS (24h + 72h + 30d)
Para entidades essenciais e importantes sob NIS2, notificação ao CNCS é obrigatória para incidentes significativos:
- 24 horas: Alerta precoce (early warning)
- 72 horas: Notificação de incidente com análise inicial
- 1 mês: Relatório final com análise completa
5 Prazos de Notificação
5.1 Fluxograma de Decisão
Avaliação Preliminar
Decisão: É violação de dados pessoais? É incidente NIS2? Qual a gravidade?
Responsável: DPO (dados pessoais) + CISO (cibersegurança)
⚠️ NIS2: Alerta Precoce ao CNCS
Se aplicável: Enviar alerta precoce ao CNCS para incidentes significativos
Conteúdo: Informação mínima (natureza do incidente, contacto, primeiras evidências)
Responsável: CISO
🚨 RGPD: Notificação à CNPD
Se aplicável: Notificação obrigatória à CNPD se houver risco para titulares
Conteúdo: Natureza da violação, categorias e número de titulares, consequências prováveis, medidas tomadas/propostas
Responsável: DPO
🚨 NIS2: Notificação de Incidente ao CNCS
Se aplicável: Notificação formal com análise inicial
Responsável: CISO
Comunicação aos Titulares dos Dados
Se aplicável: Quando houver risco elevado para direitos e liberdades
Conteúdo: Descrição clara e simples da violação, contacto do DPO, consequências prováveis, medidas tomadas
Responsável: DPO + Comunicação
📄 NIS2: Relatório Final ao CNCS
Conteúdo: Análise completa, causa raiz, impacto total, medidas corretivas implementadas
Responsável: CISO + DPO
5.2 Rastreador de Prazos Interativo
⏱️ Gestor de Prazos de Notificação
Introduza a data e hora de deteção do incidente para monitorizar os prazos legais.
6 Procedimentos de Notificação
6.1 Notificação à CNPD (RGPD)
🏛️ CNPD - Comissão Nacional de Proteção de Dados
Portal Online:
Email: geral@cnpd.pt
Telefone: +351 213 928 400
Morada: Av. D. Carlos I, 134, 1º
1200-651 Lisboa
Informação Obrigatória na Notificação à CNPD (Artigo 33.º RGPD):
- Natureza da violação de dados pessoais
- Descrição do incidente: [Descrever o que aconteceu]
- Data e hora da violação: [DD/MM/AAAA HH:MM]
- Data de deteção: [DD/MM/AAAA HH:MM]
- Categorias e número aproximado de titulares afetados
- Número de titulares: [Número aproximado]
- Categorias: [Ex: clientes, colaboradores, fornecedores]
- Categorias e número aproximado de registos afetados
- Tipos de dados: [Ex: nome, email, NIF, dados financeiros]
- Número de registos: [Número aproximado]
- Nome e contactos do DPO
- Nome: [Nome do DPO]
- Email: [dpo@organization.pt]
- Telefone: [+351 XXX XXX XXX]
- Descrição das consequências prováveis
- Riscos identificados: [Ex: risco de fraude, usurpação de identidade]
- Medidas adotadas ou propostas
- Contenção: [Medidas imediatas tomadas]
- Remediação: [Ações corretivas]
- Prevenção: [Medidas para evitar recorrência]
6.2 Notificação ao CNCS (NIS2)
🛡️ CNCS - Centro Nacional de Cibersegurança
Portal de Notificação:
Email: cert@cncs.gov.pt
Telefone 24/7: +351 XXX XXX XXX
(Contacto específico será definido após transposição NIS2)
6.2.1 Alerta Precoce (24 horas)
Informação mínima a incluir:
- Identificação da entidade
- Contacto da pessoa responsável
- Data e hora de deteção
- Natureza do incidente (breve descrição)
- Sistemas ou serviços afetados
6.2.2 Notificação de Incidente (72 horas)
Informação detalhada a incluir:
- Parâmetros técnicos do incidente (IoC - Indicators of Compromise)
- Natureza da ameaça ou causa raiz provável
- Medidas de mitigação aplicadas
- Impacto na prestação de serviços
- Impacto transfronteiriço (se aplicável)
- Estimativa inicial de prejuízos
6.2.3 Relatório Final (30 dias)
Informação completa a incluir:
- Relatório de análise forense completo
- Causa raiz confirmada
- Cronologia detalhada do incidente
- Impacto total avaliado
- Medidas corretivas implementadas
- Plano de ação para prevenção de recorrências
- Lições aprendidas
📝 Modelo de Notificação
A organização deve manter modelos pré-preparados para acelerar as notificações:
- Modelo CNPD: [Localização do documento]
- Modelo CNCS - 24h: [Localização do documento]
- Modelo CNCS - 72h: [Localização do documento]
- Modelo CNCS - 30d: [Localização do documento]
7 Comunicação aos Titulares dos Dados
7.1 Quando Comunicar (Artigo 34.º RGPD)
A comunicação aos titulares é obrigatória quando a violação for suscetível de resultar em elevado risco para os seus direitos e liberdades.
⚠️ Critérios de Elevado Risco
- Dados sensíveis (saúde, biométricos, genéticos)
- Dados financeiros (cartões de crédito, contas bancárias)
- Credenciais de acesso (passwords, tokens)
- Grande volume de titulares afetados
- Possibilidade de danos graves (fraude, discriminação, danos físicos)
7.2 Exceções à Comunicação
A comunicação pode não ser necessária se:
- Medidas técnicas de proteção: Dados encriptados e a chave não foi comprometida
- Medidas posteriores: Foram adotadas medidas que eliminam o risco elevado
- Esforço desproporcionado: Com aprovação da CNPD, pode ser substituída por comunicação pública
7.3 Conteúdo da Comunicação
A comunicação deve incluir, de forma clara e simples:
- Descrição da violação
- O que aconteceu (em linguagem não técnica)
- Quando foi detetado
- Que dados foram afetados
- Nome e contactos do DPO
- Como obter mais informações
- Consequências prováveis
- Riscos específicos para o titular
- Medidas adotadas ou propostas
- O que a organização fez
- O que o titular pode fazer para se proteger
7.4 Canais de Comunicação
A [Nome da Organização] utilizará os seguintes canais:
- Email individual: Preferencial para comunicação direta
- Carta registada: Quando não houver email ou para dados muito sensíveis
- SMS: Para alertas urgentes
- Notificação in-app: Se aplicável
- Comunicação pública: Apenas se aprovado pela CNPD (esforço desproporcionado)
7.5 Modelo de Comunicação
📧 Modelo de Email aos Titulares
Assunto: Informação Importante sobre os Seus Dados Pessoais
Exmo(a). Sr(a).,
Vimos por este meio informá-lo(a) de que a [Nome da Organização] detetou um incidente de segurança que pode ter afetado os seus dados pessoais.
O que aconteceu:
[Descrição clara e simples do incidente]
Dados potencialmente afetados:
[Lista dos tipos de dados]
O que estamos a fazer:
[Medidas tomadas pela organização]
O que pode fazer:
[Recomendações ao titular: mudar password, monitorizar contas, etc.]
Para mais informações, pode contactar o nosso Encarregado de Proteção de Dados:
Email: [dpo@organization.pt]
Telefone: [+351 XXX XXX XXX]
Lamentamos este incidente e asseguramos que estamos a fazer tudo ao nosso alcance para proteger os seus dados.
Com os melhores cumprimentos,
[Nome da Organização]
8 Contenção e Remediação
8.1 Ações Imediatas de Contenção (Primeiras 4 horas)
- Isolar Sistemas Comprometidos
- Desconectar da rede (se não comprometer recuperação)
- Bloquear contas comprometidas
- Desativar acessos remotos não essenciais
- Preservar Evidências
- Capturar logs antes de serem sobrescritos
- Fazer imagens forenses de sistemas afetados
- Documentar todas as ações tomadas
- Parar a Propagação
- Identificar vetor de ataque
- Bloquear IPs/domínios maliciosos
- Atualizar regras de firewall
- Avaliar o Perímetro
- Identificar todos os sistemas afetados
- Determinar dados comprometidos
- Verificar se há backdoors
8.2 Investigação Forense (Primeiras 48 horas)
- Análise de Causa Raiz: [Ferramenta/metodologia utilizada]
- Timeline de Eventos: Reconstruir cronologia completa do ataque
- Vetor de Intrusão: Como o atacante obteve acesso inicial
- Movimentos Laterais: Rastro do atacante na rede
- Dados Exfiltrados: Determinar que dados saíram da organização
- Persistência: Identificar backdoors, contas criadas, malware residual
8.3 Erradicação e Recuperação
- Remover Ameaças
- Eliminar malware
- Fechar vulnerabilidades exploradas
- Aplicar patches e atualizações
- Restaurar Sistemas
- Recuperar a partir de backups limpos
- Reconstruir sistemas comprometidos
- Validar integridade antes de colocar em produção
- Reforçar Segurança
- Implementar controlos adicionais
- Aumentar monitorização
- Rever políticas de acesso
- Validar Normalidade
- Testes de funcionamento
- Monitorização intensiva
- Confirmação de ausência de atividade maliciosa
8.4 Checklist de Resposta a Violações
✅ Lista de Tarefas de Resposta a Incidentes
Marque as ações à medida que são concluídas. O progresso é guardado automaticamente.
Progresso: 0 de 20 (0%)
⚡ Imediato (0-24 horas)
📋 Curto Prazo (24-72 horas)
📊 Longo Prazo (30+ dias)
9 Documentação e Registo de Violações
9.1 Registo Obrigatório (Artigo 33.º(5) RGPD)
A organização deve manter um registo de todas as violações de dados pessoais, incluindo:
- Factos relacionados com a violação
- Efeitos da violação
- Medidas corretivas adotadas
📚 Sistema de Registo
Localização: [Sistema/base de dados de gestão de incidentes]
Responsável: [DPO + CISO]
Acesso: [Quem tem acesso ao registo]
9.2 Informação a Registar
Para cada violação, documentar:
| Categoria | Informação Detalhada |
|---|---|
| Identificação |
• ID único do incidente • Data e hora de ocorrência • Data e hora de deteção • Fonte de deteção |
| Natureza |
• Tipo de violação (acesso não autorizado, divulgação, perda, etc.) • Vetor de ataque • Sistemas afetados • Causa raiz |
| Dados Afetados |
• Categorias de dados pessoais • Número de registos • Categorias de titulares • Número de titulares afetados |
| Avaliação de Risco |
• Gravidade (baixa/média/alta/crítica) • Riscos para os titulares • Consequências prováveis |
| Notificações |
• Notificação à CNPD (sim/não, data, referência) • Notificação ao CNCS (sim/não, datas 24h/72h/30d, referências) • Comunicação aos titulares (sim/não, data, método) |
| Resposta |
• Medidas de contenção • Ações corretivas • Medidas preventivas • Responsáveis |
| Encerramento |
• Data de resolução • Lições aprendidas • Melhorias implementadas |
9.3 Retenção de Registos
Os registos de violações devem ser conservados por:
- Mínimo legal: 5 anos (recomendação CNPD)
- Prática da organização: [X anos]
- Localização: [Sistema/servidor seguro]
- Proteção: Encriptação, controlos de acesso, backups
9.4 Relatórios Estatísticos
A organização deve produzir relatórios periódicos sobre violações:
- Frequência: [Trimestral / Anual]
- Conteúdo: Número de violações, tipos, gravidade, tempo de resposta, melhorias
- Destinatários: Administração, DPO, CISO, Comité de Segurança
10 Formação e Testes
10.1 Programa de Formação
Todos os colaboradores devem receber formação sobre:
- Reconhecimento de violações: Como identificar incidentes
- Procedimentos de reporte: A quem comunicar, como comunicar, urgência
- Responsabilidades: Papel de cada um na resposta
- Preservação de evidências: O que fazer e não fazer
📚 Formação Obrigatória
Frequência: [Anual / Bienal]
Formato: [Presencial / E-learning / Híbrido]
Duração: [X horas]
Registo: [Sistema de registo de formações]
10.2 Formação Específica por Função
| Função | Formação Adicional | Frequência |
|---|---|---|
| Equipa de Resposta | Gestão de incidentes, análise forense, comunicação de crises | [Semestral] |
| Administradores de Sistemas | Deteção de intrusões, contenção, preservação de evidências | [Anual] |
| Gestores | Tomada de decisão em crises, comunicação com stakeholders | [Anual] |
| Todos os Colaboradores | Sensibilização geral, procedimentos de reporte | [Anual] |
10.3 Simulações de Violações
A organização deve realizar simulações periódicas (tabletop exercises) para testar:
- Eficácia dos procedimentos de resposta
- Coordenação entre equipas
- Cumprimento de prazos de notificação
- Clareza de comunicações
- Identificação de gaps e melhorias
🎯 Plano de Simulações
Frequência: [Semestral / Anual]
Cenários a Testar:
- [Ex: Ransomware com exfiltração de dados]
- [Ex: Divulgação acidental de email]
- [Ex: Perda de laptop não encriptado]
- [Ex: Ataque de phishing com credenciais roubadas]
Responsável: [DPO + CISO]
Participantes: Equipa de resposta, gestão, IT, legal, comunicação
10.4 Revisão e Atualização da Política
Esta política deve ser revista e atualizada:
- Periodicidade: [Anualmente]
- Triggers para revisão extraordinária:
- Após violação grave
- Alterações legislativas (RGPD, NIS2)
- Mudanças organizacionais significativas
- Resultados de simulações/auditorias
- Aprovação: [Administração / Comité de Segurança]
A Anexos
Anexo A: Cenários de Exemplo
Exemplos práticos de violações e resposta adequada:
📋 Cenário 1: Ransomware com Exfiltração
Situação: Ataque de ransomware encripta servidores. Análise indica que dados foram exfiltrados antes da encriptação.
Dados Afetados: Base de dados de clientes (nomes, emails, NIF, moradas, histórico de compras) - 10.000 registos
Resposta Obrigatória:
- ✅ Notificação CNCS 24h (alerta precoce)
- ✅ Notificação CNPD 72h (risco para titulares)
- ✅ Notificação CNCS 72h (incidente com análise)
- ✅ Comunicação aos titulares (elevado risco de fraude)
- ✅ Relatório final CNCS 30 dias
📋 Cenário 2: Email Enviado a Destinatário Errado
Situação: Colaborador envia email com dados de saúde de um paciente a destinatário errado.
Dados Afetados: Dados de saúde de 1 pessoa
Resposta Obrigatória:
- ✅ Notificação CNPD 72h (dados sensíveis, mesmo que 1 pessoa)
- ✅ Comunicação ao titular (dados de saúde = elevado risco)
- ❌ Notificação CNCS (não é incidente de cibersegurança)
📋 Cenário 3: Perda de Laptop Encriptado
Situação: Laptop corporativo perdido em viagem. Disco totalmente encriptado com BitLocker/FileVault.
Dados Afetados: Dados de projetos, emails (encriptados)
Resposta Obrigatória:
- ✅ Registo interno da violação
- ❌ Notificação CNPD (medidas técnicas protegem dados - exceção)
- ❌ Notificação CNCS (não há comprometimento de dados)
- ❌ Comunicação aos titulares (sem risco devido à encriptação)
Anexo B: Contactos Úteis
Anexo C: Glossário de Termos Técnicos
| Termo | Significado |
|---|---|
| IoC | Indicators of Compromise - Evidências técnicas de intrusão (IPs, hashes, domínios maliciosos) |
| SIEM | Security Information and Event Management - Sistema de gestão de eventos de segurança |
| IDS/IPS | Intrusion Detection/Prevention System - Sistema de deteção e prevenção de intrusões |
| DLP | Data Loss Prevention - Sistema de prevenção de perda de dados |
| Exfiltração | Transferência não autorizada de dados para fora da organização |
| Ransomware | Malware que encripta dados e exige resgate para restauração |
| Backdoor | Acesso oculto deixado por atacante para retornar ao sistema |
| Phishing | Ataque que usa emails fraudulentos para roubar credenciais ou informações |
Aprovação
Nome: [Nome do Responsável]
Cargo: [Cargo]
Data: [DD/MM/AAAA]
Assinatura: _____________________________