1. Ciclo de vida e pipeline de desenvolvimento
1.1. Incluir a segurança da Informação + Privacy by Design, desde a fase de concepção do produto ou do serviço até a sua execução.
1.2. Observar práticas e ferramentas DevSecOps
2. Programa de Governança Ref. LGPD
2.1. a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
2.1.1. Auditoria de TI
2.1.2. Política de Privacidade
2.1.3. Política de Segurança da Informação
2.1.4. Treinamentos
2.1.5. Procedimentos atualizados
2.2. b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
2.3. c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
2.3.1. Dados sensíveis foram catalogados e adequados
2.3.2. Dados de menores foram catalogados e adequados
2.3.3. Dados de todos os tipos para identificados, minimizados quando possível e catalogados
2.3.3.1. LGPD Model Canvas
2.3.3.2. Mapeamento de Processos
2.3.3.3. Relatório de Impacto
2.4. d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
2.4.1. Plano de ação com gerenciamento de riscos
2.4.2. Gestão da Continuidade
2.4.3. Gestão de Mudanças
2.4.4. Gestão de Vulnerabilidades
2.4.5. Políticas: Privacidade e Segurança da Informação
2.5. f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
2.5.1. Possuir mecaniscos internos de controle e acompanhamento
2.5.2. Auditoria semestral
2.5.3. Uso do SGPD
2.5.3.1. e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
2.5.3.1.1. Transperência nos termos
2.5.3.1.2. Aplicação do consentimento sempre que necessário
2.5.3.1.3. Central de privacidade self-service e trasnparente
2.5.3.1.4. Gestão de cookies self-service e transparente
2.5.3.1.5. Política com UX e transparente
2.6. g) conte com planos de resposta a incidentes e remediação; e
2.6.1. Plano/Procedimento para gestão de incidentes
2.7. h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
2.7.1. Workshop final de utilização e atualização do modelo de governança SGPD
3. Uso de sistemas adequados e seguros
3.1. Ref.Art. 49. LGPD: Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
3.1.1. Boas ferramentas de segurança
3.1.2. Sistemas originais e atualizados
3.1.3. Gestão de senhas/cofre de senhas
3.1.4. Gestão de identidades e acessos
3.1.5. Sistemas com login/senha externo, incluir pentest também
3.1.6. Gestão de vulnerabilidades, sempre que possível automatizada
4. Observação: Crie políticas que sejam fáceis de encontrar, compreender, atualizar e utilizar
5. Ferramentas para mapeamento e análise da segurança da informação
5.1. LRSI
5.1.1. Levantamento de Requisitos de Segurança da Informação
5.2. MAPA DE TI
5.3. MATRIZ DE ACESSOS
5.3.1. ROLE, RULE, ACCESS POLICIES
5.4. Ferramenta de assessment/diagnóstico e apresentação executiva
6. Família de Políticas de Segurança da Informação
6.1. "Mãe" POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
6.2. CLASSIFICAÇÃO DA INFORMAÇÃO
6.3. GESTÃO DE ACESSOS E IDENTIDADES
6.4. REDES SOCIAIS E MENSAGENS ELETRÔNICAS
6.5. BYOD
6.6. HOME OFFICE SEGURO
6.7. ANONIMIZAÇÃO
6.8. CRIPTOGRAFIA
6.9. ANTIVÍRUS E ANTIMALWARE
6.10. SEGURANÇA EM REDES
6.11. SEGURANÇA FÍSICA E DO AMBIENTE
6.12. HARDENING EQUIPAMENTOS
6.13. CLOUD E INSTRUÇÕES PARA TRANSFERÊNCIA INTERNACIONAL
6.14. IOT_DESENVOLVIMENTO PRIVACY BY DESIGN
6.15. Apoio: LRSI_LEVANTAMENTO DE REQUISITOS DE SEGURANÇA DA INFORMAÇÃO
6.15.1. Em conjunto com o mapa mental do diagnóstico visão 360
6.16. Apoio: MATRIZ DE ACESSOS
6.17. Apoio: MAPEAMENTO DE TI
6.18. Levantamento de requisitos - Código de ética e conduta
6.19. Código de ética e conduta
7. Gerenciamento de Incidentes:
7.1. Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
7.1.1. § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
7.1.2. I - a descrição da natureza dos dados pessoais afetados;
7.1.3. III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
7.1.3.1. II - as informações sobre os titulares envolvidos;
7.1.4. IV - os riscos relacionados ao incidente;
7.1.5. V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
7.1.6. VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.