LGPD · Segurança
Tratamento de Incidentes de Segurança
Atualizado em 17 de maio de 2026.
1. O que é um incidente de segurança
Para os fins desta política, um incidente de segurança é qualquer evento, confirmado ou suspeito, que possa comprometer a confidencialidade, integridade ou disponibilidade de dados pessoais ou da infraestrutura da Plataforma BinAItti.
Exemplos:
- Acesso não autorizado a dados pessoais ou contas de cliente.
- Vazamento ou perda de dados.
- Ataque cibernético (invasão, malware, DDoS).
- Falha técnica que cause exposição indevida de dados.
- Comprometimento de credenciais administrativas.
- Erro humano que resulte em divulgação inadequada.
2. Como detectamos
- Monitoramento automatizado: logs de aplicação (Vercel), banco (Supabase), alertas de erro em produção.
- Alertas de provedores: notificações de Vercel, Supabase, registro.br, provedores de IA.
- Reportes de usuários: clientes, terceiros ou pesquisadores de segurança que comuniquem suspeita.
- Auditoria interna: revisões periódicas de logs e controles.
3. Plano de resposta — 4 fases
- Detecção e classificação (0–4h): confirmar o incidente, classificar severidade (crítico / alto / médio / baixo), identificar escopo afetado (clientes, dados, sistemas).
- Contenção (4–24h): interromper a propagação, revogar credenciais comprometidas, isolar sistemas afetados, ativar planos de fallback se aplicável.
- Erradicação e recuperação (24–72h): eliminar a causa raiz, aplicar correções, restaurar dados de backup se necessário, validar integridade pós-restauração.
- Pós-incidente (até 30 dias): análise de causa raiz, ações corretivas para evitar recorrência, atualização de documentação e procedimentos.
4. Comunicação aos titulares de dados
Em conformidade com o art. 48 da LGPD, comunicamos titulares de dados pessoais afetados por incidente que possa acarretar risco ou dano relevante:
- Prazo: até 24 horas após a confirmação do incidente, por email cadastrado.
- Conteúdo da comunicação:
- Descrição da natureza dos dados afetados.
- Informações sobre os titulares envolvidos.
- Indicação das medidas técnicas e de segurança utilizadas para proteção dos dados.
- Riscos relacionados ao incidente.
- Motivos do atraso, se a comunicação não foi imediata.
- Medidas que foram ou serão adotadas para reverter ou mitigar os efeitos.
5. Comunicação à ANPD
Quando o incidente envolver dados pessoais e puder causar risco relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme regulamentação vigente.
A comunicação contemplará, no mínimo, todos os itens previstos no art. 48, §1º da LGPD.
6. Documentação e registro
Todo incidente — mesmo aqueles classificados como baixos — é registrado em log interno contendo:
- Data e hora de detecção e contenção.
- Descrição do incidente e do escopo.
- Ações tomadas em cada fase do plano de resposta.
- Comunicações realizadas (a titulares, ANPD, autoridades).
- Causa raiz identificada.
- Ações corretivas implementadas.
Registros são mantidos pelo prazo de 5 anos para fins de auditoria e atendimento a autoridades.
7. Pós-mortem e melhoria contínua
Para incidentes de severidade alta ou crítica, conduzimos um pós-mortem técnico documentado contemplando: linha do tempo, causa raiz, impacto medido, ações corretivas e prazos de implementação.
Quando aplicável e sem expor dados sensíveis, publicamos um relatório público (post-mortem) para transparência com clientes e comunidade.
8. Como reportar suspeita de incidente
Se você é cliente, parceiro ou pesquisador de segurança e suspeita de um incidente envolvendo a BinAItti, reporte imediatamente:
- Email: contato@binaitti.com.br com assunto
[INCIDENTE]. - WhatsApp: (19) 98721-7300 — para casos urgentes.
Trate como confidencial até confirmação. Não publique detalhes em redes sociais ou fóruns públicos antes de coordenação com nossa equipe (responsible disclosure).
