A Marisa Lojas S.A. “MARISA”, pessoa jurídica de direito privado, inscrita no Cadastro Nacional da Pessoa Jurídica (CNPJ) sob o nº 61.189.288/0001-89, com sede na Rua James Holland, nº 422, São Paulo/SP, CEP 0113-000, em estrita observância aos preceitos legais estabelecidos na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), e em respeito à privacidade e à autodeterminação informativa de seus clientes, colaboradores, parceiros e outros titulares de dados pessoais sob sua gestão, vem, por meio deste comunicado, comunicar publicamente sobre um incidente de segurança cibernética ocorrido em seus sistemas.
Visando à transparência absoluta, à demonstração inequívoca de sua responsabilidade socioempresarial e à plena conformidade com o ordenamento jurídico brasileiro, a MARISA apresenta, a seguir, a descrição da natureza, extensão e implicações do incidente, bem como as medidas adotadas e as que estão sendo implementadas para sua completa remediação e mitigação de seus impactos.
Em conformidade com a Resolução nº 15/2024 da ANPD e a LGPD (Lei nº 13.709/2018), a MARISA comunica que, em 4 de novembro de 2024, constatou um acesso não autorizado, indevido e potencialmente lesivo à segurança de seus sistemas informatizados, caracterizando um incidente de segurança que comprometeu a confidencialidade de dados pessoais armazenados em seu ambiente.
Após exaustiva investigação forense, conduzida por peritos independentes, altamente qualificados e especializados em segurança da informação, na amostra de dados compartilhada pelo grupo cibercriminoso, constatou-se a possibilidade de acesso indevido às seguintes categorias de dados pessoais:
- Dados básicos de identificação, como nome completo e CPF;
- Endereço completo, como cidade, estado, CEP;
- Dados de contato, como e-mail, telefone;
- Dados sobre compras como status da entrega, local da compra, preço de frete, valor do produto, praça.
A MARISA mantém e aprimora continuamente suas medidas técnicas e organizacionais de segurança, alinhadas às melhores práticas internacionais e em conformidade com a legislação vigente. Entre as principais medidas implementadas, destacam-se:
- Arquitetura de segurança perimetral robusta: implementação de firewalls de última geração com capacidade de inspeção profunda de pacotes (DPI), sistemas de detecção e proteção (EDR), ferramentas de anti-bots e gateways de aplicação web (WAF) para monitoramento e controle granular do tráfego de rede, bloqueando proativamente acessos não autorizados e atividades suspeitas.
- Criptografia forte: utilização de algoritmos criptográficos robustos e de chaves criptográficas com comprimento adequado para a proteção de dados em trânsito e em repouso, garantindo a confidencialidade e integridade das informações, mesmo em cenários de acesso indevido.
- Sistema de monitoramento de segurança contínuo: implementação de sistemas de gerenciamento de eventos e informações de segurança (SIEM) e plataformas de análise de logs para identificação e resposta rápida a anomalias e comportamentos suspeitos.
- Gestão rigorosa de controles de acesso: aplicação estrita do princípio do menor privilégio, segregando funções e responsabilidades, implementando mecanismos de autenticação multifator (MFA) e garantindo que somente usuários devidamente autorizados tenham acesso aos dados pessoais, com níveis de permissão estritamente necessários para o desempenho de suas atribuições.
- Programa de governança em segurança da informação: realização periódica de auditorias de segurança, testes de penetração (pentests), análise de vulnerabilidades e avaliações de impacto em proteção de dados (DPIA), com o objetivo de avaliar a eficácia das medidas de segurança e identificar proativamente potenciais fragilidades.
- Programa de treinamento e conscientização em segurança da informação: investimento contínuo em programas de capacitação e conscientização para colaboradores, parceiros e terceiros, promovendo a cultura de segurança da informação, a compreensão dos riscos cibernéticos e a aderência às políticas internas e às normas legais aplicáveis.
Não obstante as medidas imediatas implementadas para a contenção e remediação do incidente, a MARISA reconhece a possibilidade de riscos e potenciais impactos negativos para os titulares dos dados pessoais possivelmente acessados, incluindo, mas não se limitando a:
- Possíveis impactos financeiros: os dados podem ser usados de forma inadequada, como em situações envolvendo operações financeiras ou transações não autorizadas.
- Possíveis fraudes e golpes digitais: as informações podem ser empregadas em abordagens que busquem enganar os titulares, por meio de mensagens ou contatos com aparência legítima.
- Potenciais riscos relacionados à identidade: os dados podem ser utilizados para criar perfis ou realizar ações em nome dos titulares, sem o seu conhecimento.
Em resposta ao incidente, a MARISA implementou e continua a implementar as seguintes medidas:
- Isolamento e contenção dos sistemas afetados: isolamento imediato dos sistemas afetados para interromper o acesso não autorizado, prevenir a propagação do incidente e preservar a integridade dos dados.
- Reforço dos protocolos e Políticas de Segurança: revisão e aprimoramento das políticas e procedimentos de segurança da informação, com a adoção de novas diretrizes e controles de segurança, com base nas recomendações de especialistas em segurança cibernética.
- Implementação de tecnologias avançadas de segurança cibernética: adoção de soluções de segurança de ponta, incluindo plataformas de detecção e resposta a endpoints (EDR), sistemas de prevenção de perda de dados (DLP) e ferramentas de análise de comportamento de usuários e entidades.
- Colaboração com autoridades e entidades competentes: notificação formal à Autoridade Nacional de Proteção de Dados (ANPD) e cooperação plena com investigações e orientações dos órgãos reguladores.
- Contratação de consultorias especializadas: parceria com empresas de renome mundial em segurança da informação para suporte na investigação forense, remediação do incidente e fortalecimento das defesas cibernéticas.
- Campanhas de conscientização e treinamento interno: reforço dos programas de capacitação dos colaboradores, parceiros e terceiros, com ênfase na prevenção de incidentes de segurança, na identificação de ameaças cibernéticas e na adoção de práticas seguras no ambiente digital.
A presente comunicação pública, ocorre após a conclusão de uma investigação forense minuciosa e tecnicamente complexa, iniciada imediatamente após a detecção do incidente em 04 de novembro de 2024. O lapso temporal entre a identificação do incidente e a presente comunicação justifica-se pela necessidade imperiosa de:
- Assegurar a integridade da investigação: assegurar a condução da investigação forense com o rigor técnico necessário, preservando a cadeia de custódia das evidências digitais, evitando a contaminação de provas e garantindo a apuração precisa das circunstâncias do incidente.
- Determinar a extensão e o impacto do incidente: delimitar com exatidão a extensão do incidente, identificar os dados pessoais potencialmente afetados, quantificar o número de titulares impactados e avaliar os riscos associados ao acesso não autorizado.
- Implementar medidas de contenção e remediação: adotar ações imediatas para interromper o acesso não autorizado, isolar os sistemas comprometidos, reforçar a segurança da infraestrutura tecnológica e implementar medidas de mitigação de riscos.
- Preparar uma comunicação transparente e útil aos titulares: preparar uma comunicação pública transparente, precisa e acessível, contendo informações relevantes para os titulares dos dados pessoais, orientações sobre medidas de proteção e canais de contato para esclarecimentos adicionais.
A demora na comunicação, portanto, justifica-se pela necessidade de conduzir tais procedimentos com a devida diligência, visando resguardar os interesses dos titulares e a eficácia das medidas adotadas.
A MARISA recomenda aos titulares dos dados pessoais potencialmente afetados a adoção das seguintes medidas preventivas:
- Cautela com comunicações suspeitas: redobrar a atenção com mensagens eletrônicas (e-mails), mensagens instantâneas (SMS, WhatsApp), ligações telefônicas ou outras formas de comunicação que solicitem informações pessoais, financeiras ou credenciais de acesso. A MARISA não solicita senhas, dados bancários ou outras informações sensíveis por meio desses canais.
- Proteção de dados pessoais: evitar o compartilhamento de dados pessoais sensíveis em plataformas online não confiáveis, redes sociais públicas ou com indivíduos desconhecidos. Verificar sempre a autenticidade dos sites e aplicativos antes de fornecer informações pessoais.
- Monitoramento de transações financeiras: acompanhar regularmente extratos bancários, faturas de cartão de crédito, notificações de débito e outras movimentações financeiras. Reportar imediatamente às instituições financeiras qualquer transação suspeita ou não reconhecida.
- Fortalecimento de credenciais de acesso: utilizar senhas fortes e exclusivas para cada serviço online, ativar a autenticação multifator (MFA) sempre que disponível e evitar o uso de senhas fracas ou facilmente adivinháveis.
- Registro de ocorrências: em caso de suspeita de uso indevido de seus dados pessoais, procurem as autoridades policiais e registrem boletim de ocorrência, além de informar às instituições financeiras e órgãos de proteção ao crédito.
A MARISA coloca-se à inteira disposição dos titulares de dados pessoais para prestar esclarecimentos adicionais, responder a questionamentos e fornece o suporte necessário. Os seguintes canais de comunicação estão disponíveis:
- Encarregado de Proteção de Dados Pessoais (DPO)
- E-mail: encarregado.dados@marisa.com.br
- Horário de Atendimento: De segunda a sexta-feira, das 9h às 18h.
A Marisa Lojas S.A. reafirma seu compromisso com a proteção dos dados pessoais e com a privacidade de seus clientes, colaboradores, parceiros e de todos os titulares de dados sob sua responsabilidade. A Companhia continuará investindo em tecnologias, processos e programas de treinamento para aprimorar suas práticas de segurança da informação, visando prevenir futuros incidentes e garantir a confidencialidade, integridade e disponibilidade dos dados pessoais que lhe são confiados..
A MARISA lamenta os transtornos causados por este incidente e reitera seu empenho em solucionar as questões decorrentes do evento, atuando com transparência, responsabilidade e respeito aos direitos dos titulares de dados pessoais.
Atenciosamente,
Marisa Lojas S.A.