PrêmiosBenefíciosIntegraçõesTaxasAplicativoCompareF.A.Q
Entrar
Criar Conta
PrêmiosBenefíciosIntegraçõesTaxasAplicativoCompareF.A.Q
EntrarCriar Conta
← Voltar ao início

PLANO DE RESPOSTA A INCIDENTES CIBERNÉTICOS (PRIC)

Empresa: Creedx Finance Ltda
Vigência a partir de: 21/10/2025

1. FINALIDADE

O presente Plano de Resposta a Incidentes Cibernéticos (PRIC) tem por objetivo estabelecer diretrizes e procedimentos técnicos e administrativos para detecção, registro, tratamento e comunicação de incidentes de segurança da informação no ambiente tecnológico e operacional da Creedx Finance Ltda, garantindo a continuidade das operações e a mitigação de impactos a titulares de dados, clientes, parceiros e à própria organização.

2. ABRANGÊNCIA

Aplica-se a todos os colaboradores, parceiros, fornecedores e prestadores de serviço que tenham acesso, direto ou indireto, a sistemas, dados pessoais, informações corporativas, redes, equipamentos e recursos tecnológicos da Creedx.

3. DEFINIÇÕES

Incidente de Segurança da Informação: qualquer evento adverso, confirmado ou sob suspeita, que comprometa a confidencialidade, integridade ou disponibilidade de informações, sistemas ou serviços.

Comitê de Segurança da Informação (CSI): grupo multidisciplinar composto por representantes das áreas de Tecnologia, Compliance, Jurídico e Diretoria, responsável pela análise e deliberação de medidas corretivas e preventivas.

Relatório de Incidente: documento formal que registra os fatos, causas, medidas adotadas e lições aprendidas após o tratamento do evento.

4. PRINCÍPIOS

As ações de resposta devem observar os princípios de:

  • Rapidez: tratamento imediato e comunicação tempestiva;
  • Proporcionalidade: adequação das medidas ao risco e impacto do incidente;
  • Transparência: comunicação clara com as partes afetadas e autoridades;
  • Responsabilização: registro e rastreabilidade de todas as decisões e ações adotadas.

5. TIPOS DE INCIDENTES ABRANGIDOS

Incluem, mas não se limitam a:

  • Vazamento ou exposição indevida de dados pessoais;
  • Invasão, malware, ransomware ou acesso não autorizado a sistemas;
  • Perda, corrupção ou exclusão acidental de informações;
  • Falhas de autenticação, senhas ou identidade digital;
  • Interrupção de serviços críticos ou de infraestrutura;
  • Violação de confidencialidade ou uso indevido de credenciais.

6. ESTRUTURA DE RESPOSTA

6.1. Detecção e Registro

Todo colaborador deve reportar imediatamente ao canal de segurança (seguranca@creedx.com.br) qualquer suspeita de incidente. O registro inicial deve conter: data, hora, descrição do evento, sistemas afetados e responsável pelo relato.

6.2. Contenção Inicial

A equipe técnica isola o ambiente afetado para evitar propagação, bloqueando acessos, desativando credenciais comprometidas e garantindo cópias de segurança para preservação de evidências.

6.3. Análise e Classificação

O Comitê de Segurança da Informação avalia o incidente conforme gravidade, tipo de dado afetado e impacto operacional, classificando-o como:

  • Baixo impacto;
  • Médio impacto;
  • Alto impacto (com risco de dano a titulares de dados ou à operação).

6.4. Comunicação

Incidentes de alto impacto devem ser imediatamente comunicados à Diretoria, ao Encarregado de Proteção de Dados e, quando aplicável, à Autoridade Nacional de Proteção de Dados (ANPD), no prazo legal. Caso envolvam indícios de crime, comunicar-se-á também às autoridades competentes (Polícia, COAF ou BACEN).

6.5. Erradicação e Recuperação

Após a contenção, são aplicadas correções, reinstalações de sistemas, restauração de backups e validação da integridade dos dados, conforme o Plano de Continuidade de Negócios (PCN).

6.6. Lições Aprendidas

Concluído o processo, o Comitê elabora o Relatório de Incidente contendo causa, impacto, medidas corretivas e plano de prevenção. O documento é arquivado pelo prazo mínimo de 5 anos.

7. COMUNICAÇÃO COM USUÁRIOS E TERCEIROS

Quando houver potencial risco ou dano relevante, os titulares de dados e parceiros comerciais afetados serão notificados de forma clara e tempestiva, indicando:

  • Natureza dos dados comprometidos;
  • Medidas adotadas;
  • Canais de atendimento disponíveis para esclarecimentos.

8. PRESERVAÇÃO DE EVIDÊNCIAS

Todos os registros, logs e artefatos digitais relacionados ao incidente deverão ser preservados sob custódia do setor de Compliance e Segurança da Informação, em ambiente controlado e seguro, mantendo-se a cadeia de custódia para eventual perícia ou apuração legal.

9. REVISÃO E ATUALIZAÇÃO

O PRIC será revisto anualmente ou sempre que houver alteração relevante em tecnologia, estrutura organizacional, legislação aplicável ou lições aprendidas após incidentes significativos.

10. APROVAÇÃO E VIGÊNCIA

A presente versão foi aprovada pela Diretoria da Creedx Finance Ltda em 21/10/2025, entrando em vigor na mesma data, com validade indeterminada até substituição por nova versão revisada.