Resposta a Incidentes
Como a PetroBench lida com incidentes de seguranca e disponibilidade
A PetroBench mantem procedimentos documentados de resposta a incidentes para detectar, responder e se recuperar de incidentes de seguranca e disponibilidade.
Niveis de Severidade
| Severidade | Definicao | Exemplos |
|---|---|---|
| Critica | Servico indisponivel ou violacao de dados confirmada | Interrupcao total da plataforma, acesso nao autorizado a dados |
| Alta | Degradacao significativa ou ameaca de seguranca ativa | Interrupcao parcial, tentativa de intrusao detectada |
| Media | Impacto limitado ou vulnerabilidade potencial | Degradacao de recurso unico, vulnerabilidade descoberta |
| Baixa | Impacto minimo, informativo | Bug menor, achado nao exploravel |
Metas de Resposta
| Severidade | Resposta Inicial | Frequencia de Atualizacao de Status | Meta de Resolucao |
|---|---|---|---|
| Critica | 30 minutos | A cada 1 hora | 4 horas |
| Alta | 1 hora | A cada 4 horas | 8 horas |
| Media | 4 horas | Diariamente | 72 horas |
| Baixa | 1 dia util | Conforme necessario | Proximo ciclo de lancamento |
Processo de Resposta a Incidentes
1. Deteccao
- Monitoramento em tempo real e alertas sobre metricas de infraestrutura, aplicacao e seguranca
- Deteccao automatizada de anomalias para padroes de acesso incomuns
- Relatos de clientes via support@petrobench.com ou legal@petrobench.com
- Varredura de vulnerabilidades e auditoria de dependencias
2. Triagem
- Engenheiro de plantao avalia severidade e impacto
- Incidente classificado usando os niveis de severidade acima
- Equipe de resposta formada com base na severidade (Critica/Alta: equipe completa imediata)
3. Contencao
- Acoes imediatas para limitar o impacto (isolar sistemas afetados, revogar credenciais comprometidas, bloquear vetores de ataque)
- Preservar evidencias para investigacao
- Canais de comunicacao estabelecidos para coordenacao da resposta
4. Investigacao
- Analise de causa raiz conduzida
- Escopo do impacto determinado (quais clientes, quais dados, qual periodo)
- Evidencias forenses coletadas e preservadas
5. Resolucao
- Correcao implantada e verificada
- Sistemas afetados restaurados a operacao normal
- Monitoramento aprimorado para recorrencia
6. Pos-Incidente
- Relatorio pos-incidente escrito em ate 5 dias uteis apos a resolucao
- Licoes aprendidas revisadas e acoes de remediacao rastreadas
- Melhorias de processo implementadas quando necessario
Notificacao ao Cliente
Incidentes de Seguranca
| Notificacao | Prazo |
|---|---|
| Notificacao inicial | Em ate 72 horas apos confirmacao de um incidente de seguranca que afete dados de clientes |
| Detalhes de acompanhamento | Em ate 5 dias uteis com escopo, impacto e acoes de remediacao |
| Relatorio pos-incidente | Disponivel para clientes afetados mediante solicitacao |
Notificacoes sao enviadas por e-mail para administradores da organizacao. As notificacoes incluem:
- Descricao do que aconteceu
- Quais dados foram afetados (se houver)
- O que fizemos para resolver
- O que estamos fazendo para prevenir recorrencia
Incidentes de Disponibilidade
Atualizacoes de status em tempo real para incidentes de disponibilidade sao publicadas em status.petrobench.com. Os clientes podem se inscrever para receber atualizacoes por e-mail.
| Notificacao | Canal |
|---|---|
| Interrupcao de servico | Pagina de status atualizada em ate 15 minutos |
| Resolucao | Pagina de status atualizada apos resolucao |
| Post-mortem | Publicado na pagina de status para incidentes maiores |
Relatar um Problema de Seguranca
Se voce descobrir uma potencial vulnerabilidade de seguranca ou incidente:
- E-mail: legal@petrobench.com
- Inclua: Descricao do problema, passos para reproduzir (se aplicavel) e quaisquer evidencias de suporte
- Resposta: Confirmaremos o recebimento em ate 1 dia util
Nao divulgue publicamente potenciais vulnerabilidades de seguranca antes de nos contatar. Levamos todos os relatos a serio e trabalharemos com voce para entender e resolver o problema.
Contato
Para perguntas relacionadas a incidentes ou para relatar uma preocupacao de seguranca:
E-mail: legal@petrobench.com