← Voltar ao site

Política de Reporte e Gestão de Incidentes de Segurança da Informação

Última atualização: fevereiro de 2026

Objetivo e Escopo

A presente Política de Reporte e Gestão de Incidentes de Segurança da Informação estabelece diretrizes, procedimentos e responsabilidades para identificação, comunicação, investigação, contenção e resposta a incidentes de segurança que possam afetar a confidencialidade, integridade, disponibilidade ou privacidade de dados pessoais tratados pela Aizen Tecnologia Ltda., sociedade empresária limitada, inscrita no CNPJ sob o nº 63.740.359/0001-15, com sede na Rua Henri Dunant, 792, Santo Amaro, São Paulo/SP, CEP 04709-110 ("Aizen"), em cumprimento ao disposto no artigo 48 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), na Resolução CD/ANPD nº 15/2024, nas melhores práticas de segurança da informação e em observância aos requisitos de segurança cibernética aplicáveis por força de suas parcerias com instituições reguladas pelo Banco Central do Brasil, nos termos da Resolução BCB nº 85/2021.

Esta política aplica-se a todos os colaboradores, prestadores de serviço, parceiros e terceiros que, em razão de suas atividades, tenham acesso a sistemas, dados ou informações da Aizen, estabelecendo procedimentos uniformes para tratamento de eventos que comprometam ou possam comprometer a segurança da informação e a proteção de dados pessoais de usuários da plataforma.

Definições

Para fins desta política, considera-se incidente de segurança da informação qualquer evento confirmado ou suspeito que resulte em acesso não autorizado, alteração indevida, destruição, perda, vazamento, divulgação não autorizada ou qualquer outra forma de tratamento inadequado de dados pessoais ou informações sensíveis da Aizen, incluindo comprometimento de sistemas, infraestrutura tecnológica, redes ou processos que possam afetar a segurança de dados.

Incidente de segurança envolvendo dados pessoais, para efeitos da LGPD, caracteriza-se quando há comprometimento da segurança que possa acarretar risco ou dano relevante aos titulares de dados, especialmente situações que envolvam acesso não autorizado a dados financeiros, credenciais de acesso, informações bancárias ou qualquer dado que, se exposto, possa resultar em prejuízos financeiros, discriminação, danos à reputação ou outros impactos adversos significativos.

Vulnerabilidade consiste em fragilidade ou falha em sistema, processo, controle de segurança ou infraestrutura que possa ser explorada para causar incidente de segurança, mesmo que ainda não tenha resultado em comprometimento efetivo de dados.

Alta Administração, para fins desta política, compreende os sócios-administradores da Aizen, conforme designados no Contrato Social vigente.

Classificação de Incidentes

Os incidentes de segurança são classificados em níveis de severidade conforme o impacto potencial ou confirmado sobre dados pessoais, sistemas, operações e titulares de dados, determinando os procedimentos de resposta e o nível de escalação apropriados.

Severidade Crítica. Incidentes que envolvem acesso não autorizado, vazamento, perda ou exposição de grande volume de dados pessoais, especialmente dados financeiros ou bancários de usuários, comprometimento de sistemas essenciais da plataforma que impeçam ou limitem significativamente a prestação de serviços, ou qualquer situação que apresente alto risco de dano relevante aos titulares. No contexto da Aizen, incluem-se: exposição de dados obtidos via Open Finance, comprometimento de credenciais bancárias de usuários, vazamento de conversas do assistente WhatsApp contendo dados financeiros, ou comprometimento de chaves de API de instituições financeiras parceiras. Esses incidentes exigem resposta sem demora injustificada, comunicação à Alta Administração e possível notificação à ANPD, ao BACEN e aos titulares afetados.

Severidade Alta. Incidentes que envolvem acesso não autorizado a dados pessoais de número limitado de usuários, comprometimento de sistemas não essenciais, tentativas confirmadas de invasão ou ataque que tenham sido parcialmente bem-sucedidas, ou vulnerabilidades críticas descobertas que apresentem risco iminente mas ainda não explorado. No contexto da Aizen, incluem-se: acesso indevido a dados de Open Finance de número limitado de usuários, comprometimento de credenciais internas de acesso a plataformas de parceiros, ou identificação de vulnerabilidade em endpoints da API que permita extração de dados. Requerem investigação prioritária e comunicação à Alta Administração e ao Encarregado de Proteção de Dados.

Severidade Média. Incidentes que incluem tentativas fracassadas de acesso não autorizado, identificação de vulnerabilidades moderadas, comprometimento de dados não sensíveis ou internos que não afetem diretamente usuários, indisponibilidade temporária de funcionalidades não críticas ou eventos que não apresentem risco relevante aos titulares mas demandem correção. Devem ser documentados, investigados e tratados conforme cronograma definido pela equipe de segurança.

Severidade Baixa. Eventos de segurança com impacto mínimo ou inexistente, como tentativas de phishing bloqueadas automaticamente, varreduras de porta ou tentativas de acesso claramente automatizadas e sem sucesso, ou identificação de vulnerabilidades menores sem exploração conhecida. São registrados para fins estatísticos e monitoramento de tendências.

Identificação e Reporte Interno

Qualquer pessoa que identifique ou suspeite de incidente de segurança da informação possui o dever de reportá-lo imediatamente, independentemente de sua posição hierárquica, função ou vínculo com a Aizen. O reporte tempestivo constitui responsabilidade fundamental de todos que acessam sistemas ou dados da empresa, sendo a demora na comunicação considerada infração disciplinar grave quando resultar em agravamento do incidente ou impedimento de medidas de contenção eficazes.

O reporte de incidentes deve ser realizado por meio dos seguintes canais:

Todos os reportes devem ser enviados simultaneamente ao canal primário (dpo@aizen.io) e ao canal complementar (suporte@aizen.io). Para incidentes de severidade crítica ou alta identificados fora do horário comercial, o canal de emergência deve ser utilizado adicionalmente, sem prejuízo do envio por correio eletrônico.

A comunicação de incidente deve conter, sempre que possível e conforme informações disponíveis no momento do reporte, descrição detalhada do evento observado ou suspeito, data e horário aproximados de ocorrência ou identificação, sistemas, dados ou informações potencialmente afetados, evidências disponíveis (logs, capturas de tela, mensagens suspeitas) e quaisquer medidas preliminares já adotadas para contenção ou preservação de evidências.

A Aizen garante proteção contra retaliação a qualquer pessoa que, de boa-fé, reporte incidente de segurança, mesmo que a investigação posterior conclua pela inexistência de incidente real ou que o evento tenha decorrido de erro não intencional do próprio reportante.

Terceiros, prestadores de serviço e parceiros que tratem dados pessoais em nome da Aizen ou que tenham acesso a sistemas ou informações da empresa devem comunicar à Aizen qualquer incidente de segurança ou suspeita de incidente sem demora injustificada, por meio dos endereços eletrônicos dpo@aizen.io e suporte@aizen.io. As obrigações de reporte por terceiros devem constar expressamente nos contratos e termos de prestação de serviço celebrados com a Aizen.

Resposta e Investigação de Incidentes

Ao receber comunicação de incidente, o Encarregado de Proteção de Dados realiza avaliação preliminar para classificar a severidade, determinar a necessidade de acionamento da equipe de resposta a incidentes e definir o nível de escalação apropriado. A resposta deve ser iniciada sem demora injustificada, priorizando a contenção do incidente e a preservação de evidências.

A equipe de resposta a incidentes é coordenada pelo Encarregado de Proteção de Dados e composta pelos membros da Alta Administração e pelos profissionais de tecnologia da informação disponíveis, podendo ser complementada por consultores externos especializados conforme a complexidade do incidente. A equipe conduz investigação técnica para determinar a extensão do comprometimento, identificar dados ou sistemas afetados, compreender o vetor de ataque ou causa raiz, identificar vulnerabilidades exploradas e avaliar riscos aos titulares de dados. A investigação segue metodologia estruturada que preserva evidências, documenta todas as descobertas e mantém cadeia de custódia adequada para eventual utilização em processos administrativos ou judiciais.

Simultaneamente à investigação, são implementadas medidas imediatas de contenção destinadas a interromper o incidente em curso, prevenir propagação para outros sistemas ou dados, proteger evidências contra destruição ou adulteração e mitigar riscos aos titulares. Medidas de contenção podem incluir isolamento de sistemas comprometidos, bloqueio de contas de usuário suspeitas, revogação de credenciais de acesso, revogação de tokens e chaves de API comprometidas, desativação temporária de funcionalidades ou serviços afetados e outras ações tecnicamente apropriadas conforme natureza do incidente.

Após contenção do incidente, procede-se à erradicação da causa raiz, eliminando malware, fechando vulnerabilidades exploradas, revogando acessos indevidos e implementando correções necessárias para prevenir recorrência. A fase de recuperação restabelece sistemas e serviços ao estado normal de operação, restaura dados de backups quando necessário, valida integridade de sistemas recuperados e monitora atividades para garantir que o incidente foi completamente eliminado.

Comunicação Externa e Notificações

Notificação à ANPD. Incidentes de segurança que acarretem risco ou dano relevante aos titulares de dados pessoais exigem comunicação à Autoridade Nacional de Proteção de Dados no prazo de 3 (três) dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, conforme o artigo 48 da LGPD e a Resolução CD/ANPD nº 15/2024. A decisão sobre necessidade de comunicação à ANPD compete ao Encarregado de Proteção de Dados, com suporte jurídico e técnico, baseando-se em avaliação criteriosa do risco ou dano potencial aos titulares, considerando volume de dados afetados, sensibilidade das informações comprometidas, probabilidade de uso indevido dos dados, eficácia de medidas de segurança implementadas (como criptografia forte) e outros fatores relevantes.

A comunicação à ANPD contém, no mínimo, descrição da natureza dos dados pessoais afetados, informações sobre os titulares envolvidos (quantidade e categorias de titulares, sem identificação individual), indicação das medidas técnicas e de segurança utilizadas para proteção dos dados, descrição dos riscos relacionados ao incidente, motivação da eventual demora na comunicação caso não tenha sido possível comunicar imediatamente, e descrição detalhada das medidas adotadas para reverter ou mitigar efeitos do prejuízo.

Notificação ao BACEN. Para incidentes que afetem dados ou operações vinculadas a serviços regulados pelo Banco Central do Brasil, incluindo operações realizadas no âmbito de correspondente bancário ou de participante do ecossistema de Open Finance, a Aizen observará adicionalmente os prazos e requisitos de comunicação estabelecidos pela Resolução BCB nº 85/2021 e demais normas aplicáveis, notificando a instituição financeira parceira e, quando cabível, o próprio BACEN, nos prazos regulamentares.

Notificação ao COAF. Incidentes que envolvam indícios de lavagem de dinheiro, financiamento do terrorismo ou outras atividades ilícitas que configurem obrigação de comunicação ao Conselho de Controle de Atividades Financeiras devem ser reportados nos prazos e formas previstos na legislação de prevenção à lavagem de dinheiro, independentemente das notificações à ANPD e ao BACEN.

Comunicação aos titulares. Paralelamente à comunicação à ANPD, quando aplicável, a Aizen comunica diretamente os titulares afetados pelo incidente, no prazo de 3 (três) dias úteis contados do conhecimento do incidente, informando-os em linguagem clara e acessível sobre a natureza do incidente, os dados potencialmente comprometidos, as medidas que a Aizen está adotando para remediar a situação, as recomendações sobre ações que os titulares podem tomar para se proteger contra eventuais consequências adversas (como alteração de senhas, monitoramento de extratos bancários, ativação de alertas de crédito) e os canais de contato disponíveis para esclarecimentos adicionais.

A comunicação aos titulares é realizada por meio dos canais de contato cadastrados (preferencialmente correio eletrônico e notificação dentro da plataforma), sendo priorizadas formas diretas e pessoais de comunicação. Em situações excepcionais onde comunicação individual seja impossível ou exija esforços desproporcionais, a comunicação pode ser realizada por meio público de informação equivalente, como publicação em website com ampla divulgação.

Notificação a parceiros comerciais. Quando o incidente afetar dados, sistemas ou integrações vinculados a instituições financeiras parceiras, correspondentes bancários, provedores de Open Finance ou outros parceiros comerciais que tratem dados em conjunto com a Aizen, a empresa notificará o parceiro afetado sem demora injustificada. A notificação ao parceiro deve conter informações suficientes para que este avalie seus próprios riscos e cumpra suas obrigações regulatórias perante o BACEN, a ANPD e demais autoridades competentes. As obrigações recíprocas de notificação entre Aizen e seus parceiros devem constar nos respectivos contratos de parceria e acordos de tratamento de dados.

Documentação e Registro

Todos os incidentes de segurança, independentemente de severidade, são registrados em sistema mantido pela Aizen que preserva histórico completo e rastreável de eventos, investigações, medidas adotadas e lições aprendidas. O registro pode ser realizado por meio de ferramenta de gestão de projetos, planilha estruturada ou outro sistema que garanta integridade, rastreabilidade e controle de acesso adequados.

Para cada incidente, a documentação inclui identificação única do incidente, data e horário de ocorrência e de identificação, classificação de severidade, descrição detalhada do evento, sistemas e dados afetados, cronologia de ações tomadas desde a identificação até a resolução completa, evidências coletadas e preservadas, análise de causa raiz, impacto estimado aos titulares e à organização, comunicações realizadas (internas e externas), medidas corretivas implementadas e recomendações para prevenção de incidentes similares.

Os registros de incidentes são preservados pelo prazo mínimo de 5 (cinco) anos, podendo ser mantidos por período superior quando necessário para cumprimento de obrigações regulatórias específicas ou defesa de direitos em processos judiciais ou administrativos. O acesso aos registros é restrito ao Encarregado de Proteção de Dados, Alta Administração e auditores devidamente autorizados.

Análise Pós-Incidente e Melhoria Contínua

Após resolução de cada incidente classificado como médio, alto ou crítico, a equipe de resposta conduz análise pós-incidente destinada a revisar a eficácia da resposta, identificar falhas ou lacunas em processos, controles ou treinamentos, documentar lições aprendidas e propor melhorias nos procedimentos de segurança, prevenção ou resposta a incidentes.

As recomendações resultantes da análise pós-incidente são formalizadas em plano de ação com responsáveis designados e prazos definidos. A implementação de melhorias identificadas possui prioridade elevada no planejamento de segurança da informação, sendo monitorada pelo Encarregado de Proteção de Dados e pela Alta Administração.

Periodicamente, o Encarregado de Proteção de Dados apresenta à Alta Administração relatório consolidado de incidentes de segurança, incluindo estatísticas por severidade, análise de tendências e recomendações para fortalecimento da postura de segurança organizacional.

Incidentes classificados como de severidade crítica ou alta ensejam revisão e atualização do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) da Aizen, conforme previsto no artigo 38 da LGPD. O RIPD atualizado ficará à disposição da ANPD em caso de solicitação.

Treinamento e Conscientização

A Aizen conduz programa de treinamento e conscientização sobre segurança da informação e proteção de dados dirigido a todos os colaboradores, incluindo módulo específico sobre identificação e reporte de incidentes de segurança. O treinamento cobre tipologia de incidentes mais comuns (phishing, malware, acesso não autorizado, vazamentos acidentais), sinais de alerta que podem indicar comprometimento de segurança, procedimentos corretos de reporte e responsabilidades individuais na proteção de dados.

Novos colaboradores recebem treinamento sobre esta política como parte do processo de integração, antes de receberem acessos a sistemas ou dados sensíveis. Reciclagens anuais são realizadas para toda a organização, sendo atualizadas conforme evolução de ameaças, ocorrência de incidentes relevantes ou alterações nos procedimentos de resposta.

Responsabilidades

Encarregado de Proteção de Dados. Responsável pela coordenação geral do processo de gestão de incidentes, incluindo classificação de severidade, acionamento da equipe de resposta, supervisão de investigações, decisão sobre comunicações externas à ANPD e titulares, manutenção de registros de incidentes e reporte à Alta Administração. Atua como ponto focal para comunicações relacionadas a incidentes.

Equipe de tecnologia da informação e segurança da informação. Responsável pela resposta técnica a incidentes, incluindo investigação forense, implementação de medidas de contenção e erradicação, recuperação de sistemas, correção de vulnerabilidades e implementação de melhorias técnicas recomendadas.

Alta Administração. Responsável por prover recursos adequados para implementação desta política, aprovar decisões estratégicas relacionadas a incidentes de alto impacto e garantir cultura organizacional que valorize segurança da informação e reporte transparente de incidentes.

Todos os colaboradores e prestadores de serviço são responsáveis por conhecer esta política, reportar prontamente incidentes identificados e cooperar com investigações quando solicitados.

Encarregado de Proteção de Dados

As funções de Encarregado de Proteção de Dados previstas nesta política são exercidas por Bonuz Advogados, na qualidade de prestador de serviços jurídicos especializados em proteção de dados e privacidade, contratado pela Aizen para atuar como Encarregado externo nos termos do artigo 41 da LGPD.

A equipe de resposta a incidentes descrita nesta política será composta pelos membros disponíveis da organização, com suporte do Encarregado externo, podendo ser complementada por consultores especializados conforme a complexidade do incidente. A Aizen compromete-se a estruturar equipe dedicada de segurança da informação conforme o crescimento de suas operações.

Disposições Finais

Esta política é revisada anualmente ou sempre que mudanças significativas na regulamentação, infraestrutura tecnológica, modelo de negócio ou ambiente de ameaças justifiquem atualização. Alterações substanciais são comunicadas a todos os colaboradores e terceiros relevantes.

O descumprimento desta política constitui infração disciplinar sujeita a medidas que podem incluir advertência, suspensão, rescisão contratual ou revogação de acessos, conforme gravidade da infração, sem prejuízo a eventuais responsabilidades civis e criminais decorrentes de condutas ilícitas. A recusa intencional em reportar incidente ou a tentativa de ocultação são consideradas infrações de máxima gravidade.

Esta política deve ser interpretada em conjunto com a Política de Privacidade e Proteção de Dados Pessoais, a Política de Segurança da Informação e a Política de Retenção e Descarte de Dados da Aizen, prevalecendo as disposições mais restritivas em caso de divergência.