GH GambleHub

Procedimentos para vazamento de dados

1) Alvo e área de aplicação

O objetivo é minimizar os danos, cumprir as exigências legais e rapidamente restabelecer o funcionamento normal com o vazamento confirmado ou provável de dados pessoais/pagos/operacionais.
Abrangência: PII jogadores e funcionários, artefatos de pagamento, logs/tokens de acesso, documentos KYC/AML, dados de afiliados/parceiros, artefatos confidenciais de produtos e infraestrutura.

2) Definições e critérios de «fuga»

A fuga de dados (data breach) é uma violação da privacidade, integridade ou disponibilidade de dados pessoais (ou outras informações protegidas) devido a um incidente de segurança ou erro de processo.
Suspeita de vs comprovada: qualquer indicador (anomalias SIEM, mensagens de vendedores/usuários, sites Paste) inicia o procedimento antes de ser negado.

3) Classificação de seriedade (exemplo)

NívelDescriçãoExemplosAções obrigatórias
LowPequeno volume, baixo sentido, sem acesso externoCorrespondência local, logs com e-mail parcialTíquete, fixe local, registro
MediumAmostra limitada de PII/dados operacionaisCSV com nomes/telefones de clientes VIPEscalação de ≤4 h, containment, notificação DPO
HighGrandes quantidades/categorias sensíveisskan KYC, biometria, tokens de pagamentoWar-room ≤1 h, preparação de notificações
CriticalVazamento em massa/fronteiras/riscos legaisBase de usuários, chaves/segredosWar-room ≤15 min, notificações legais e planos PR

4) SLA e «incidente bridge»

Iniciação: O Medium + cria um war-room (bate-papo/chamada) e atribui-lo ao Incent Commer (IC).
SLA: Low - 24 h. Medium - 4 h. Alta - 1 h. Critical - 15 min.
Cadens update: a cada 30-60 min (interna), a cada 2-4 h (exterior interessado).

5) RASI (acentuado)

PapelResponsabilidade
IC (Ops/Sec)Coordenação, timeline, soluções «parar/iniciar»
Security/ForensicsAqueles. análise, coleta de artefatos, containment/eradation
DPO/ComplianceQualificação legal, notificações DPA/usuários
LegalFormulação legal, obrigações contratuais, reguladores
SRE/EngineeringIsolação de serviços, rotação de chaves, reversíveis/fichas
Data/BIEstimativa de volume/categorias, anonimato/exportação para notificações
Payments/FRMRiscos de pagamento, interação com PSP/bancos
PR/CommsMensagens externas, FAQ para safort
Support/VIPComunicação com usuários/clientes VIP
Vendor ManagerCoordenação com vendedores/subprocessadores

6) Procedimento de resposta (passo a passo)

1. Identificação e validação primária

Sinal de SIEM/EDR/antifrode/vendedor/usuário → registro de incidentes.
Recolher os dados mínimos: o quê/quando/onde/quanto, os tipos de dados e jurisdição afetados.

2. Containment (contenção)

Desativação de endpoints vulneráveis/fic, geo-segmentos, limites de tempo, congelamento de lançamentos.
Rotação de chaves/tokens, revisão de acessos, bloqueio de contas comprometidas.

3. Eradation (eliminação)

Patch/config-fix, limpeza de artefactos maliciosos, cruzamento de imagens, verificação de subprocessadores.

4. Recovery (recuperação)

Entrada de tráfego canário, monitoramento de regressão, cheques de integridade.

5. Forensica e avaliação de impacto

Contagem de volume, sensibilidade, geografia, risco para os sujeitos; confirmação dos registros afetados.

6. Notificações e comunicações

O DPO/Legal determina a obrigação e o prazo das notificações; elaboração de textos; Enviar para os destinatários.

7. Pós-mortem e CAPA

Análise de razões (5 Whys), plano de correção/prevenção com proprietários e prazos.

7) janela de 72 horas e destinatários legais (orientações)

Supervisão de Dados (DPA) - notificar no máximo 72 horas após a detecção de um vazamento significativo, a menos que o risco para os direitos/liberdades dos sujeitos esteja excluído.
Os usuários são «sem atrasos injustificáveis» em risco elevado (com recomendações compreensíveis).
Regulador de jogos - quando influenciar jogadores/sustentabilidade/relatórios.
Bancos/PSP - em risco de pagamento/comprometimento de tokens/transações suspeitas.
Associados/vendedores - Se os fluxos/dados totais forem afetados ou se eles forem acionados.

8) Forense e «cadeia de armazenamento de provas»

Imagens de volumes/logs, exportação de artefatos hasteados (SHA-256).
Trabalhar apenas com cópias/solavancos; sistemas de origem - read-only.
Protocolo de ação: quem/quando/o que fez, comandos/ferramentas usados.
Armazenamento em WORM/Armazenamento de objetos; acesso limitado, auditoria.

9) Comunicações (interna/externa)

Princípios: factos → medidas → recomendações → o próximo update.
Não podemos publicar PII, construir hipóteses não testadas, prometer prazos sem controle.

Modelo de update interno (resumido):
  • O que foi descoberto? Dimensão/categorias. Medidas atuais de risco. Os seguintes passos no próximo update em HH: MM.

10) Interação com vendedores/subprocessadores

Verificar seus registros de incidentes, logs de acesso, notificações SLA, lista de subprocessadores.
Solicitar relatórios (Pentest/Forensica), confirmar se os dados foram removidos ou devolvidos.
Em caso de não conformidade DPA, escalar e suspender temporariamente a integração.

11) Modelos de notificação (fatias)

11. 1 Autoridade de Supervisão (DPA)

Resumo do evento e do tempo de detecção, categorias/quantidade estimada de dados, grupos de sujeitos, geografia, efeitos e riscos, medidas tomadas/planejadas, contato DPO, aplicativos (timeline, resumo hash).

11. 2 Usuários

O que aconteceu; que dados podem ter sido afetados; o que fizemos; o que você pode fazer (mudança de senha, controle de transações, dicas de phishing); como contactar; link para FAQ/centro de suporte.

11. 3 Associados/PSP/regulador

Factos e interfaces afetadas; as ações pendentes do parceiro; Dedline; Os contatos.

12) Registro de incidentes (campo mínimo)

ID Hora de detecção/confirmação. A gravidade da Fonte dos Sistemas/Dados. Volume/Categorias de Geografia Os vendedores envolvidos As medidas adotadas (por hora) As notificações (a quem/quando) Os Responsáveis (RACI).

13) Métricas e orientações de destino

MTTD/MTTC/MTTR.
% das notificações de 72 horas são 100%.
A taxa de incidentes com a causa primária ≥ de 90%.
O CAPA está fechado em ≥ 95%.
Incidentes repetidos por uma razão ≤ 5%.
Taxa de incidentes encerrados no SLA (Medium/High/Critical): 90/95/99%.

14) Folhas de cheque

14. 1 Início (primeiros 60 minutos)

  • Atribuído IC e aberto war-room
  • Medidas estabilizadoras (apagões/limites/rotação de chaves)
  • Recolher fatos mínimos e capturas de tela/logs
  • Notificado pelo DPO/Legal, a classe preliminary definida
  • Congelar lançamentos e protocolos de limpeza de logs

14. 2 Até 24 horas

  • Forensica: volume/categoria/geografia (draft)
  • Decisão sobre notificações, elaboração de textos
  • Plano de recoversão/verificação de integridade
  • Pacote de provas no WORM, timeline de eventos

14. 3 Até 72 horas

  • Enviar notificações DPA/Reguladores/PSP (se necessário)
  • Comm usuários (em alto risco)
  • Plano CAPA atualizado, proprietários e prazos

15) Cenários e medidas típicas

A) Exportar base de safort chat para um segmento de armazenamento aberto

Medidas: fechar o acesso, inventariar downloads, notificar os afetados, reforçar as políticas S3/LCA, regras DLP para exportação.

B) Comprometer tokens de acesso à API

Medidas: rotação imediata, revogação de tokens refresh, verificação de registro de chamadas, e-assinatura de webhooks, segmentação de tráfego.

C) Fuga de skans KYC através do vendedor

Medidas: isolamento de integração, confirmação de remoção, revalidação manual de clientes high-risk, revisão DPA/retenção.

D) Publicar o dique na pastilha

Medidas: fixação de artefatos (hashtag), remoção legal de links (takedown), notificações, monitoramento de novas publicações.

16) Integração com a complicação e privacidade

Conexão com processos GDPR: DSAR, RoPA, DPIA/DTIA; Atualizações de Políticas e Cookies/SMC para alterações de fornecedores/alvos.
Incluir o incidente na matriz de risco e rever liminares/controles.

17) CAPA e pós-mortem (≤ 72 horas após a estabilização)

A estrutura do relatório: factos/temporizador de causa inicial que funcionou/não a lista CAPA (proprietário, prazo, critério de êxito). A data de verificação da eficácia (entre 30 e 60 dias).

18) Mapa de estrada da maturidade do processo

Mês 1: atualizar playbook, contatos, modelos, arquivo WORM, testes de notificação.
Mês 2: exercício tabletop (fuga PII/vendedor/token), playbooks SOAR.
Mês 3 +: retrospectivas trimestrais, auditorias de vendedores, testes bias de modelos antifrode/detecção, revisões regulares de liminares.

TL; DR

Em caso de fuga: estabilizamos rapidamente (containment), confirmamos (forense), notificamos a tempo (DPA/usuários/parceiros), documentamos de forma transparente (registro, timeline, provas) e corrigimos a causa inicial (CAPA). Resultado: menos danos, conformidade e confiança restaurada de jogadores e parceiros.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.