PRO-ISIR-PB-02
Playbook — Exfiltração / Data Breach

← Lista Mestre

Objetivo

Confirmar ou descartar acesso indevido, exposição, cópia, alteração ou exfiltração de dados e coordenar trilha técnica, jurídica e regulatória.

ETVX

  • E — Entry: Incidente declarado ou tipologia fortemente suspeita, severidade preliminar definida e caso aberto no system of record.
  • T — Task / Transform: Executar a resposta específica do cenário, sempre adotando o checklist da primeira hora, o padrão de evidências, a matriz de comunicação, o padrão de severidade, o recovery sign-off, a matriz RACI e o painel de métricas conforme aplicável.
  • V — Verify: Verificar se o cenário foi corretamente caracterizado, se o escopo foi estimado, se a resposta foi documentada e se as evidências e comunicações seguiram os padrões obrigatórios.
  • X — Exit: Cenário estabilizado, evidências registradas, comunicação tratada, recovery aprovado e remediações abertas.

Passos mandatórios do procedimento

  1. Adotar o checklist da primeira hora e preservar logs imediatamente.
  2. Classificar o dado e identificar jurisdição, titulares, clientes, parceiros e terceiros potencialmente impactados.
  3. Acionar Jurídico, DPO e Compliance conforme a matriz de comunicação.
  4. Distinguir exposição potencial, acesso confirmado e evidência de cópia efetiva.
  5. Registrar formalmente escopo preliminar e decisões sobre comunicação.

Evidências mínimas

Logs de banco, aplicação, API, IAM, cloud, trilhas de export, query logs, volume e destino de tráfego, snapshots de permissões e evidências de download ou sharing.

Erradicação

Corrigir permissões, configurações, integrações e vulnerabilidades exploradas; revogar segredos e sessões; reduzir superfície exposta.

Recovery e encerramento

Encerrar somente após delimitação mínima confiável do dado afetado, decisão formal de comunicação, registro de obrigações regulatórias e aceitação do risco residual.

Documentos complementares obrigatórios