Decripte — Cibersegurança Enterprise
Resposta a Incidentes 24/7 · Vazamento de dados

Vazamento de dados da empresa: o que fazer agora e quais os prazos legais

O que fazer agora

Aja em três frentes ao mesmo tempo e não desligue nem formate nada às cegas. Primeiro, contenha a fonte isolando o sistema comprometido da rede (corte o acesso, rotacione credenciais e revogue tokens e sessões), preservando logs e a memória das máquinas como evidência. Segundo, meça o escopo: quais dados vazaram, quantos titulares e se há dados pessoais sensíveis ou financeiros. Terceiro, registre a hora exata em que você tomou ciência, porque o prazo de notificação à ANPD e aos titulares afetados é de 3 dias úteis a partir dessa ciência (Resolução CD/ANPD nº 15/2024). Para conter um vazamento ativo agora, acione a Resposta a Incidentes 24/7 da Decripte pelo /contato, com SLA de contenção de até 1 hora.

Comece grátis agora Ver planos pagos

SOC 24x7 e SLA de contenção de até 1 hora. A Decripte é especialista em resposta a incidentes para fintechs, crypto, apps, e-commerces e empresas de todos os tamanhos.

Sinais de alerta

  • Bases de dados ou backups apareceram em fóruns, na dark web ou à venda em canais de Telegram, ou alguém entrou em contato exigindo resgate.
  • Picos anormais de exportação ou download de registros, consultas em massa ao banco de dados ou tráfego de saída elevado fora do horário.
  • Logins administrativos de IPs ou países incomuns, em horários atípicos, ou contas com privilégios que ninguém reconhece ter criado.
  • Clientes relatando golpes, phishing ou tentativas de fraude que usam dados reais e específicos que só a sua empresa tinha.
  • Credenciais de funcionários ou de sistemas internos aparecendo em vazamentos públicos e em ferramentas de monitoramento.
  • Arquivos de configuração, chaves de API ou tokens expostos em repositórios públicos, buckets de armazenamento abertos ou URLs indexadas.
  • Alertas de DLP, antivírus ou WAF disparando para acesso ou movimentação anômala de dados pessoais.

Primeiros passos — o que fazer agora

  1. 1

    Acione a Resposta a Incidentes e abra um war room

    Centralize a crise em um canal único e fora do ambiente comprometido (telefone ou chat externo) com TI, jurídico/DPO e direção. Acione a Resposta a Incidentes 24/7 da Decripte pelo /contato para conter em até 1 hora sem destruir evidência.

  2. 2

    Contenha a fonte sem apagar rastros

    Isole o sistema afetado da rede em vez de desligá-lo (não formate, não reinstale), rotacione senhas e chaves de API, revogue sessões e tokens e bloqueie o acesso usado pelo atacante. Conter é cortar o sangramento, não esconder o ferimento.

  3. 3

    Registre a hora exata da ciência

    Anote data e hora em que a empresa soube que o incidente afetou dados pessoais. É desse marco que correm os 3 dias úteis para notificar a ANPD e os titulares. Esse registro é prova e baliza todos os prazos seguintes.

  4. 4

    Meça o escopo do que vazou

    Determine quais bases foram acessadas, quantos titulares distintos e se há dados sensíveis (saúde, biometria, origem racial, dados de crianças) ou financeiros. O escopo define a gravidade, a obrigação de comunicar e o conteúdo da notificação.

  5. 5

    Preserve a cadeia de custódia

    Faça cópias forenses (imagens de disco e memória) e exporte logs de autenticação, rede e aplicação para armazenamento isolado e somente-leitura, com hash e responsável identificado. Sem isso, a evidência pode ser questionada e a causa-raiz se perde.

  6. 6

    Notifique a ANPD em até 3 dias úteis

    Use o formulário eletrônico da ANPD descrevendo o incidente, os dados e titulares afetados, os riscos e as medidas tomadas. Informações pendentes podem ser complementadas, de forma fundamentada, em até 20 dias úteis. Agentes de pequeno porte têm o prazo contado em dobro.

  7. 7

    Comunique os titulares afetados

    Avise os clientes cujos dados foram expostos, em linguagem clara, dizendo o que vazou, os riscos (golpes, phishing dirigido, troca de SIM) e o que devem fazer. A comunicação ao titular também segue o prazo de 3 dias úteis da ciência.

  8. 8

    Erradique, recupere e documente tudo

    Só restaure a operação depois de remover a causa-raiz e validar que o acesso indevido foi fechado. Monitore reincidência por dias e mantenha um dossiê de timeline, decisões e evidências para a ANPD e para a defesa jurídica.

O que NÃO fazer

  • Não formate, reinstale ou desligue o servidor comprometido por impulso: isso destrói logs e a memória RAM, que são a prova da causa-raiz e do que o atacante levou.
  • Não espere ter 100% das informações para notificar a ANPD: o prazo é de 3 dias úteis da ciência, e a Resolução CD/ANPD nº 15/2024 permite complementar os detalhes depois, em até 20 dias úteis.
  • Não minimize nem esconda o incidente dos clientes: a omissão amplia o dano reputacional e o risco jurídico, e os titulares precisam se proteger de golpes derivados do vazamento.
  • Não troque mensagens sobre o incidente dentro do ambiente possivelmente comprometido (mesmo e-mail ou chat invadido): o atacante pode estar lendo e antecipar seus movimentos.
  • Não pague resgate nem negocie sozinho com o atacante antes de uma análise técnica e jurídica: pagar não garante o apagamento dos dados, financia a operação criminosa e pode ter implicações legais.
  • Não trate o caso como encerrado ao restaurar o sistema: sem erradicar a causa-raiz e monitorar, a reentrada do atacante é comum nos primeiros dias.

Primeiro: contenha a fonte sem destruir a evidência

A contenção é o passo que para o sangramento, e o erro mais comum é confundir conter com apagar. Isole o sistema afetado da rede em vez de desligá-lo: tirar da rede corta o acesso do atacante e preserva a memória volátil (RAM), onde frequentemente estão processos maliciosos, chaves e indicadores que somem com o desligamento. Em paralelo, rotacione todas as credenciais que possam ter sido expostas, revogue tokens e sessões ativas e bloqueie a via de entrada usada no ataque.

Pense na contenção em duas camadas. A contenção de curto prazo estanca o incidente em andamento (isolar host, revogar acesso, bloquear IP). A contenção de longo prazo prepara a operação para voltar com segurança, aplicando correções temporárias enquanto a causa-raiz é tratada. Decidir entre uma e outra exige saber por onde o atacante entrou, e é por isso que conter e investigar andam juntos. Para um vazamento ativo, a Resposta a Incidentes 24/7 da Decripte contém em até 1 hora e conduz essa decisão sem queimar evidência.

Meça o escopo: o que vazou, quantos titulares e se há dados sensíveis

Sem dimensionar o escopo você não consegue decidir o que notificar nem avaliar o risco real. Mapeie quais bases foram acessadas, o volume de registros, quantos titulares distintos estão envolvidos e, sobretudo, a natureza dos dados. Dados sensíveis (saúde, biometria, origem racial ou étnica, convicção religiosa, dados de crianças e adolescentes) elevam a gravidade e o dever de cuidado, assim como dados financeiros, documentos e credenciais que permitem fraude direta.

Essa medição vem da análise de logs, da telemetria de banco de dados e da reconstrução do caminho do atacante. É aqui que a forense entrega valor concreto: distinguir o que foi efetivamente exfiltrado do que foi apenas acessado muda o tamanho da notificação e da comunicação aos clientes. A Decripte conduz essa apuração e quantifica o impacto sobre os titulares, transformando incerteza em um inventário defensável diante da ANPD.

Resposta a Incidentes · 24/7

Cada minuto conta. Comece o diagnóstico gratuito agora e veja o que já vazou.

Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.

Comece grátis agora Ver planos pagos

Obrigações legais no Brasil: ANPD em 3 dias úteis e comunicação aos titulares

A Resolução CD/ANPD nº 15/2024 estabelece que, quando o incidente puder acarretar risco ou dano relevante aos titulares, o controlador deve comunicar a ANPD no prazo de 3 dias úteis contados do conhecimento de que o incidente afetou dados pessoais. A comunicação aos titulares afetados segue o mesmo prazo de 3 dias úteis a partir dessa ciência. Por isso, registrar a hora exata em que a empresa soube do incidente não é burocracia: é o marco que define todos os prazos.

A comunicação à ANPD é feita por formulário eletrônico próprio e deve descrever o incidente, os dados e categorias de titulares afetados, os riscos e as medidas adotadas. Se nem todas as informações estiverem disponíveis no início, a norma permite complementá-las de forma fundamentada em até 20 dias úteis. Agentes de pequeno porte têm o prazo contado em dobro. A comunicação ao titular deve ser clara, indicando os dados envolvidos e o que a pessoa pode fazer para se proteger. Documentar todo o processo (decisões, evidências e timeline) é parte da obrigação de prestar contas e a melhor defesa em caso de fiscalização.

Cadeia de custódia, comunicação e prevenção do próximo incidente

A cadeia de custódia é o que dá valor probatório à sua investigação. Faça imagens forenses de disco e memória, exporte logs para um repositório isolado e somente-leitura, calcule hashes para garantir integridade e mantenha um registro de quem coletou o quê e quando. Sem essa disciplina, a causa-raiz vira especulação e a evidência pode ser contestada, enfraquecendo tanto a notificação à ANPD quanto eventual responsabilização do atacante.

Na comunicação, fale primeiro com quem foi afetado e com transparência. Para a imprensa, tenha uma mensagem única, factual e aprovada pelo jurídico, evitando especular sobre causas antes da apuração. Depois da recuperação vem a fase que evita o próximo incidente: corrigir a causa-raiz, fechar o vetor explorado e elevar o monitoramento contínuo. É nesse ponto que o plano gratuito de Gestão de Ameaças da Decripte ajuda, monitorando exposição de credenciais, presença na dark web e reputação de domínio sem cartão de crédito, para que você descubra o problema antes do atacante. Você pode começar em https://decripte.io/free.

Obrigações legais (Brasil)

No Brasil, a Resolução CD/ANPD nº 15/2024 determina que o controlador comunique a ANPD em até 3 dias úteis contados do conhecimento de que o incidente afetou dados pessoais, quando houver risco ou dano relevante aos titulares, por meio de formulário eletrônico próprio; informações pendentes podem ser complementadas, de forma fundamentada, em até 20 dias úteis. A comunicação aos titulares afetados segue o mesmo prazo de 3 dias úteis da ciência e deve ser feita em linguagem clara. Para agentes de pequeno porte, os prazos são contados em dobro. A empresa deve documentar todo o incidente (timeline, decisões, evidências e medidas) como parte do dever de prestação de contas. Quando houver dados de pagamento e fraude via Pix, aplica-se ainda o Mecanismo Especial de Devolução (MED), com janela de tempo curta, exigindo contato imediato com o banco e registro de boletim de ocorrência. Este conteúdo é informativo e não substitui orientação jurídica específica para o caso concreto.

Termos importantes

Titular
A pessoa natural a quem se referem os dados pessoais tratados. Em um vazamento, são os clientes, usuários ou funcionários cujos dados foram expostos e que precisam ser comunicados.
Dados pessoais sensíveis
Categoria especial de dados sob a LGPD que inclui saúde, biometria, origem racial ou étnica, convicção religiosa, vida sexual e dados de crianças e adolescentes. Seu vazamento eleva a gravidade e o dever de comunicação.
Cadeia de custódia
Registro íntegro e rastreável de cada evidência coletada (imagens forenses, logs, hashes), incluindo quem a coletou e quando. Garante que a prova não foi adulterada e sustenta a apuração e a notificação.
Contenção
Etapa da resposta a incidentes que estanca o acesso do atacante e limita o dano (isolar o sistema, revogar credenciais, bloquear a via de entrada) sem destruir as evidências necessárias à investigação.
Notificação à ANPD
Comunicação obrigatória do incidente à Autoridade Nacional de Proteção de Dados, por formulário eletrônico, em até 3 dias úteis da ciência, quando houver risco ou dano relevante aos titulares (Resolução CD/ANPD nº 15/2024).
MED (Mecanismo Especial de Devolução)
Procedimento do Pix que permite à instituição financeira bloquear e tentar devolver valores em casos de fraude ou falha operacional. Tem janela de tempo curta, exigindo contato imediato com o banco.

Perguntas frequentes

Vazaram dados de clientes da minha empresa, o que eu faço primeiro?

Contenha a fonte isolando o sistema da rede sem desligá-lo, rotacione credenciais e revogue tokens, e registre a hora exata em que você soube do incidente. Não formate nada, porque os logs e a memória são a prova do que aconteceu. Em paralelo, acione a Resposta a Incidentes 24/7 da Decripte pelo /contato para conter em até 1 hora e iniciar a forense.

Qual o prazo para notificar a ANPD sobre um vazamento de dados?

O prazo é de 3 dias úteis contados do conhecimento de que o incidente afetou dados pessoais, conforme a Resolução CD/ANPD nº 15/2024, quando houver risco ou dano relevante aos titulares. A comunicação é feita por formulário eletrônico da ANPD e pode ser complementada, de forma fundamentada, em até 20 dias úteis. Agentes de pequeno porte têm o prazo contado em dobro.

Preciso avisar os clientes afetados pelo vazamento?

Sim. A comunicação aos titulares afetados também deve ocorrer em até 3 dias úteis da ciência de que o incidente atingiu dados pessoais, em linguagem clara. Informe quais dados vazaram, os riscos (golpes, phishing dirigido, fraude) e o que a pessoa deve fazer para se proteger, como trocar senhas e ativar a verificação em duas etapas.

Devo desligar ou formatar o servidor que foi invadido?

Não. Desligar apaga a memória RAM e formatar destrói os logs, justamente as evidências que mostram por onde o atacante entrou e o que levou. O correto é isolar a máquina da rede para cortar o acesso preservando o estado, e só então fazer cópias forenses. Conter não é apagar; é estancar o acesso mantendo a prova intacta.

E se eu ainda não souber exatamente quantos dados vazaram?

Você não precisa de todas as informações para notificar dentro do prazo. A Resolução CD/ANPD nº 15/2024 permite enviar a comunicação inicial em 3 dias úteis e complementar os detalhes de forma fundamentada em até 20 dias úteis. O importante é não estourar o prazo inicial; o escopo exato vai sendo refinado pela análise forense.

O que é cadeia de custódia e por que ela importa num vazamento?

Cadeia de custódia é o registro íntegro e rastreável das evidências: imagens de disco e memória, logs exportados, hashes de integridade e quem coletou cada item e quando. Ela importa porque garante que a prova não foi adulterada, o que sustenta a apuração da causa-raiz, a notificação à ANPD e eventual responsabilização do atacante. Sem ela, a investigação perde valor.

Como a Decripte ajuda durante e depois de um vazamento de dados?

A Decripte aciona Resposta a Incidentes 24/7 com SLA de contenção de até 1 hora, conduz a forense (preserva evidência, identifica a causa-raiz e mede o escopo) e dá apoio à notificação da ANPD e dos titulares. Para prevenção, o plano gratuito de Gestão de Ameaças monitora vazamento de credenciais, dark web e reputação de domínio, sem cartão e sem equipe técnica, em https://decripte.io/free.

O vazamento envolveu dados de pagamento e Pix, o que muda?

Dados financeiros elevam o risco de fraude e exigem ação imediata com as instituições financeiras. Em casos de fraude via Pix, há o Mecanismo Especial de Devolução (MED), com janela de tempo curta, então oriente os clientes a contatar o banco imediatamente e registrar boletim de ocorrência. No lado da empresa, as obrigações de notificar a ANPD e os titulares em 3 dias úteis continuam valendo.

Incidente em andamento?

Comece agora pelo diagnóstico gratuito — e ative SOC 24/7 e resposta a incidentes nos planos pagos.

Veja em minutos o que já vazou da sua empresa. Quando precisar, a Decripte assume a contenção, a investigação forense e a recuperação do ambiente com SLA de contenção de 1 hora.

Comece grátis agora Ver planos pagos