1. Objetivo
Estabelecer as diretrizes, responsabilidades e procedimentos necessários para restaurar os serviços de tecnologia da informação e comunicações (TIC) da Hands On Tecnologia da Informação LTDA (“Hands On”) após a ocorrência de desastres ou incidentes graves que comprometam a disponibilidade, integridade ou confidencialidade dos dados, sistemas ou infraestrutura crítica.
2. Abrangência
Este plano se aplica a todas as plataformas, servidores, sistemas, bancos de dados, redes, aplicações, dados sensíveis e serviços hospedados pela Hands On, tanto em ambientes físicos quanto em nuvem, incluindo ambientes de produção, homologação e desenvolvimento.
3. Tipos de Desastres Abrangidos
-
Falhas críticas de hardware ou software;
-
Ataques cibernéticos (ransomware, DDoS, etc.);
-
Erros humanos com impacto operacional;
-
Incêndios, inundações, desabamentos ou desastres naturais;
-
Falta prolongada de energia elétrica ou internet;
-
Indisponibilidade de provedores de nuvem ou terceiros críticos.
4. Componentes Críticos
Recurso |
Descrição |
Prioridade |
RTO |
RPO |
---|---|---|---|---|
Plataforma idPlugger |
Sistema principal de gestão de campanhas |
Alta |
2h |
15min |
Servidor de banco de dados MySQL |
Base de dados das aplicações |
Alta |
2h |
10min |
Servidores em cloud (prod/homolog) |
Aplicações em produção |
Alta |
4h |
30min |
Ambiente de desenvolvimento GitHub/CI |
Controle de versão e automação |
Média |
6h |
1h |
Backups automatizados |
Repositório de contingência |
Alta |
1h |
15min |
5. Responsabilidades
-
Diretor Executivo: Aprova o plano e gerencia a comunicação com stakeholders;
-
Equipe de Infraestrutura/DevOps: Responsável pela execução técnica da recuperação;
-
Gestores de Área: Validam o funcionamento das áreas após restauração;
-
Comitê de Crise: Grupo multidisciplinar acionado em casos de desastre.
6. Procedimentos de Recuperação
6.1. Detecção e Avaliação
-
Identificação imediata do incidente por monitoramento ou relato;
-
Classificação do impacto (baixo, médio, alto);
-
Ativação do Comitê de Crise, se necessário.
6.2. Comunicação
-
Comunicação inicial com liderança e responsáveis técnicos;
-
Em caso de impacto a clientes, comunicado por e-mail e/ou banner na plataforma;
-
Toda comunicação externa deve ser validada pela Diretoria.
6.3. Ativação do DRP
-
Ações imediatas de contenção (ex: isolar rede, encerrar acesso remoto, bloquear IPs);
-
Inicialização do ambiente de contingência (servidores alternativos e backups);
-
Restabelecimento gradual de serviços conforme a prioridade definida.
6.4. Verificação e Testes
-
Após restauração, devem ser realizados testes completos de integridade de dados e estabilidade de sistemas antes da liberação total;
-
Checklist funcional para homologação do ambiente restaurado.
6.5. Retorno ao Ambiente Original
-
Após estabilização, planejamento para retorno controlado ao ambiente de produção original (caso tenha havido migração temporária);
-
Garantia de sincronização entre os dados restaurados e operacionais.
7. Ferramentas e Recursos
-
Infraestrutura AWS, Azure ou outro provedor com redundância geográfica;
-
Backups criptografados armazenados em cloud e em mídia local segura;
-
Scripts de automação para restauração de banco de dados e reimplantação de aplicações;
-
Monitoramento de disponibilidade com alertas em tempo real (ex: Uptime Robot, New Relic, StatusCake);
-
Plano de contingência de acesso remoto seguro para a equipe técnica.
8. Testes de Recuperação
-
O DRP deve ser testado ao menos duas vezes por ano com simulações práticas de incidentes (ex: perda de dados, falha de servidor, ataque cibernético);
-
Relatórios dos testes devem ser documentados e analisados para ajustes no plano.
9. Manutenção e Atualização
-
O DRP será revisto anualmente ou sempre que houver mudanças relevantes na infraestrutura, processos ou risco identificado;
-
O plano deve estar acessível em formato digital e impresso em local seguro e compartilhado com os gestores-chave.
10. Penalidades e Conformidade
O não cumprimento dos procedimentos descritos poderá comprometer a segurança da operação e sujeitar os responsáveis a medidas administrativas. Todos os colaboradores e terceiros com acesso à infraestrutura devem conhecer e respeitar esta política.