1. Objetivo e escopo

1.1. Objetivo:

  • reduzir riscos de acesso não autorizado, perda, destruição, alteração indevida ou vazamento de dados
  • padronizar prevenção, detecção, resposta e comunicação
  • cumprir obrigações legais e demonstrar accountability.

1.2. Escopo

aplica-se a:

  • sistemas, aplicativos, APIs, banco de dados, integrações e infraestrutura
  • dados de Creators, Marcas/Agências, responsáveis legais (menores), colaboradores e prestadores
  • incidentes relacionados a campanhas registradas na Plataforma (inclusive evidências e logs).

2. Definições (para evitar “zona cinzenta”)

2.1. Incidente de segurança da informação

evento adverso confirmado que comprometa confidencialidade, integridade ou disponibilidade de informações e/ou serviços.

2.2. Incidente de segurança com dados pessoais

evento adverso confirmado que comprometa confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais.

2.3. Violação de dados pessoais (data breach)

incidente com dados pessoais com potencial de risco ou dano relevante aos titulares.

2.4. Vulnerabilidade

falha técnica que pode ser explorada. Vulnerabilidade não é incidente até existir exploração/impacto confirmado.

2.5. Titular

pessoa natural a quem os dados se referem.

2.6. Controlador/Operador

conforme LGPD. Em regra, a Influencer Brasil atua como controladora dos dados da Plataforma. Em integrações específicas, pode haver tratamento como operadora (caso exista contrato de operação para terceiros).

3. Governança e responsabilidades

3.1. Papéis internos mínimos (podem ser acumulados em times pequenos):

  • Responsável por Segurança (Security Lead): coordena prevenção e resposta
  • Encarregado (DPO): coordena aspectos LGPD, comunicações e registros
  • Engenharia/Infra: contenção técnica, correção e hardening
  • Suporte/CS: comunicação com usuários e triagem inicial
  • Jurídico/Compliance: avaliação de risco, templates e medidas.

3.2. Obrigação de reporte interno

qualquer colaborador/prestador que suspeitar de incidente deve reportar imediatamente ao Canal de Segurança.

4. Controles de segurança (prevenção)

A Influencer Brasil aplica medidas técnicas e administrativas compatíveis com os riscos, incluindo, quando aplicável:

4.1. Acesso e identidade

  • princípio do menor privilégio (least privilege)
  • autenticação forte (MFA) para painéis e operações sensíveis
  • segregação de ambientes (produção, homologação, dev)
  • gestão segura de segredos (tokens/chaves), com rotação

4.2. Proteção de dados

  • criptografia em trânsito (TLS) e, quando aplicável, em repouso
  • hashing seguro para senhas
  • minimização e redução de dados (coletar só o necessário)
  • pseudonimização/mascaramento quando aplicável

4.3. Segurança de aplicação

  • práticas de Secure SDLC (revisão de código, controle de dependências)
  • proteção contra abuso de API (rate limiting, proteção contra brute force)
  • validações server-side (não confiar no front-end)
  • WAF e monitoramento de tráfego quando aplicável

4.4. Observabilidade e logs

  • logs de autenticação, privilégios, alterações críticas e exportações
  • trilha de auditoria para ações sensíveis
  • alertas para padrões anômalos (ex.: múltiplas tentativas de login, exfiltração)

4.5. Backups e continuidade

  • backups regulares com teste de restauração
  • plano de continuidade/recuperação (BCP/DR) proporcional ao porte

4.6. Terceiros

  • due diligence de fornecedores críticos
  • cláusulas contratuais de segurança e notificação de incidentes
  • acesso de terceiro com privilégios mínimos e rastreabilidade

5. Detecção e reporte de incidentes

5.1. Canais:

  • Canal de Segurança/Incidentes (interno e externo) para usuários
  • canal dedicado para reporte de vulnerabilidades (Responsible Disclosure).

5.2. Triagem inicial:

  • confirmar se é vulnerabilidade, abuso, incidente ou pedido de suporte
  • classificar severidade preliminar
  • ativar “legal hold” (preservação de evidências) quando necessário.

6. Ciclo de resposta a incidentes (runbook)

Etapa 1: Identificação e contenção imediata - revogar sessões/tokens comprometidos; - bloquear endpoints abusados; - isolar serviços afetados; - aplicar hotfix/feature flag quando necessário. Etapa 2: Análise e erradicação - identificar vetor (phishing, falha de permissão, credenciais vazadas, bug); - corrigir causa raiz (patch, configuração, regra de firewall, acesso); - checar movimentação lateral e impacto. Etapa 3: Recuperação - restaurar serviços e dados (se necessário) com validação; - monitoramento reforçado pós-incidente. Etapa 4: Pós-incidente - relatório (cronologia, impacto, ações, lições aprendidas); - ações preventivas (hardening, treinamento, auditorias); - revisão de políticas e controles.

7. Classificação de severidade (S0 a S3)

  • Usada para priorizar resposta e comunicações

S0 (Crítico): indício forte de exfiltração de dados pessoais em escala, comprometimento de credenciais de autenticação, dados sensíveis, dados de crianças/adolescentes, ou indisponibilidade total do serviço. S1 (Alto): acesso não autorizado confirmado com impacto relevante, vazamento limitado, risco de escalada. S2 (Médio): incidente contido sem evidência de exfiltração, impacto operacional moderado. S3 (Baixo): tentativa bloqueada, incidente menor, sem impacto.

  • SLA interno (orientativo): - S0: resposta imediata e war room
  • - S1: resposta prioritária
  • - S2/S3: correção planejada conforme risco

8. Incidentes com dados pessoais (LGPD): avaliação e

comunicação

8.1. Quando comunicar

comunicamos à ANPD e aos titulares quando o incidente envolver dados pessoais e puder acarretar risco ou dano relevante.

8.2. Prazo

a comunicação à ANPD e ao(s) titular(es) deve ocorrer no prazo de 3 (três) dias úteis contados do conhecimento do incidente, ressalvada legislação específica.

8.3. Comunicação em etapas

se não for possível reunir todas as informações no prazo, a comunicação pode ser preliminar e depois complementar, com justificativa e complementação em até 20 (vinte) dias úteis (prorrogável uma vez, mediante fundamentação).

8.4. Conteúdo mínimo ao titular

linguagem simples e, sempre que possível, individualizada, contendo ao menos:

  • natureza e categoria de dados afetados
  • riscos/impactos
  • medidas adotadas ou previstas para mitigar/reverter
  • data do conhecimento do incidente
  • contato para informações e dados do encarregado (quando aplicável).

8.5. Quando não for possível individualizar

podemos realizar comunicação ampla em meios adequados (ex.: página e canais oficiais), mantendo a informação com fácil visualização pelo período mínimo recomendado/previsto.

8.6. Sigilo e segredos

ao comunicar à ANPD, podemos solicitar sigilo sobre informações técnicas/econômicas protegidas, quando cabível.

9. Medidas para proteção do titular (o “kit de mitigação”)

Conforme o tipo de incidente, podemos orientar titulares a:

  • trocar senhas e ativar MFA
  • revisar acessos e dispositivos
  • redobrar atenção com golpes (phishing)
  • acompanhar movimentações financeiras (quando aplicável)
  • contatar nossos canais para suporte.

Observação: as recomendações são adequadas ao caso e visam reduzir impactos.

10. Terceiros e incidentes em fornecedores

10.1. Se o incidente ocorrer em fornecedor crítico (ex.

hospedagem, e-mail, analytics), a Influencer Brasil:

  • exigirá informações e evidências
  • avaliará impacto nos dados da Plataforma
  • adotará medidas de contenção (troca de chaves, revogação de tokens, bloqueios)
  • realizará comunicações legais quando aplicável.

10.2. Operadores

se a Influencer Brasil atuar como operadora, comunicará o controlador sem demora injustificada e cooperará com informações necessárias.

11. Registros, evidências e retenção

11.1. Mantemos registro de incidentes com dados pessoais, inclusive dos não comunicados, pelo

  • prazo mínimo de 5 (cinco) anos a contar do registro, salvo obrigação de guarda maior

11.2. O registro deve conter, no mínimo:

  • data de conhecimento
  • circunstâncias e descrição
  • natureza/categoria de dados afetados
  • número de titulares afetados
  • avaliação de risco/danos
  • medidas de correção e mitigação
  • se e como houve comunicação; e - motivos da ausência de comunicação (quando for o caso).

11.3. Legal hold

em disputas, auditorias e incidentes relevantes, podemos preservar logs, anexos e histórico para evitar perda/alteração.

12. Segurança reforçada para menores e grupos vulneráveis

12.1. Tratamos dados de crianças e adolescentes com proteção reforçada, incluindo:

  • minimização de coleta
  • revisão adicional de permissões e acesso
  • prioridade máxima em incidentes envolvendo menores
  • comunicação e mitigação com foco em proteção.

13. Responsible Disclosure (reporte de vulnerabilidades)

  • 13.1

Pesquisadores

de

segurança

podem

reportar

vulnerabilidades

para [SECURITY@SEUDOMINIO.COM].

13.2. Diretrizes:

  • não explorar além do necessário para demonstração
  • não acessar dados pessoais de terceiros
  • não causar indisponibilidade
  • fornecer passos claros de reprodução.

13.3. Boa-fé

buscamos cooperar com relatos de boa-fé e priorizar correções.

14. Atualizações desta Política

Podemos atualizar esta Política para refletir melhorias e requisitos legais. A versão vigente estará disponível em pagina oficial.