Skip to content Skip to navigation
Comunicado Público aos Titulares
Comunicado público sobre incidente de segurança

A Marisa Lojas S.A. “MARISA”, pessoa jurídica de direito privado, inscrita no Cadastro Nacional da Pessoa Jurídica (CNPJ) sob o nº 61.189.288/0001-89, com sede na Rua James Holland, nº 422, São Paulo/SP, CEP 0113-000, em estrita observância aos preceitos legais estabelecidos na Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), e em respeito à privacidade e à autodeterminação informativa de seus clientes, colaboradores, parceiros e outros titulares de dados pessoais sob sua gestão, vem, por meio deste comunicado, comunicar publicamente sobre um incidente de segurança cibernética ocorrido em seus sistemas.

Visando à transparência absoluta, à demonstração inequívoca de sua responsabilidade socioempresarial e à plena conformidade com o ordenamento jurídico brasileiro, a MARISA apresenta, a seguir, a descrição da natureza, extensão e implicações do incidente, bem como as medidas adotadas e as que estão sendo implementadas para sua completa remediação e mitigação de seus impactos.

1. Descrição da natureza e categoria dos dados pessoais afetados

Em conformidade com a Resolução nº 15/2024 da ANPD e a LGPD (Lei nº 13.709/2018), a MARISA comunica que, em 4 de novembro de 2024, constatou um acesso não autorizado, indevido e potencialmente lesivo à segurança de seus sistemas informatizados, caracterizando um incidente de segurança que comprometeu a confidencialidade de dados pessoais armazenados em seu ambiente.

Após exaustiva investigação forense, conduzida por peritos independentes, altamente qualificados e especializados em segurança da informação, na amostra de dados compartilhada pelo grupo cibercriminoso, constatou-se a possibilidade de acesso indevido às seguintes categorias de dados pessoais:

  • Dados básicos de identificação, como nome completo e CPF;
  • Endereço completo, como cidade, estado, CEP;
  • Dados de contato, como e-mail, telefone;
  • Dados sobre compras como status da entrega, local da compra, preço de frete, valor do produto, praça.
2. Medidas técnicas e de segurança implementadas para a proteção dos dados

A MARISA mantém e aprimora continuamente suas medidas técnicas e organizacionais de segurança, alinhadas às melhores práticas internacionais e em conformidade com a legislação vigente. Entre as principais medidas implementadas, destacam-se:

  • Arquitetura de segurança perimetral robusta: implementação de firewalls de última geração com capacidade de inspeção profunda de pacotes (DPI), sistemas de detecção e proteção (EDR), ferramentas de anti-bots e gateways de aplicação web (WAF) para monitoramento e controle granular do tráfego de rede, bloqueando proativamente acessos não autorizados e atividades suspeitas.
  • Criptografia forte: utilização de algoritmos criptográficos robustos e de chaves criptográficas com comprimento adequado para a proteção de dados em trânsito e em repouso, garantindo a confidencialidade e integridade das informações, mesmo em cenários de acesso indevido.
  • Sistema de monitoramento de segurança contínuo: implementação de sistemas de gerenciamento de eventos e informações de segurança (SIEM) e plataformas de análise de logs para identificação e resposta rápida a anomalias e comportamentos suspeitos.
  • Gestão rigorosa de controles de acesso: aplicação estrita do princípio do menor privilégio, segregando funções e responsabilidades, implementando mecanismos de autenticação multifator (MFA) e garantindo que somente usuários devidamente autorizados tenham acesso aos dados pessoais, com níveis de permissão estritamente necessários para o desempenho de suas atribuições.
  • Programa de governança em segurança da informação: realização periódica de auditorias de segurança, testes de penetração (pentests), análise de vulnerabilidades e avaliações de impacto em proteção de dados (DPIA), com o objetivo de avaliar a eficácia das medidas de segurança e identificar proativamente potenciais fragilidades.
  • Programa de treinamento e conscientização em segurança da informação: investimento contínuo em programas de capacitação e conscientização para colaboradores, parceiros e terceiros, promovendo a cultura de segurança da informação, a compreensão dos riscos cibernéticos e a aderência às políticas internas e às normas legais aplicáveis.
3. Riscos relacionados ao incidente e possíveis impactos para os titulares

Não obstante as medidas imediatas implementadas para a contenção e remediação do incidente, a MARISA reconhece a possibilidade de riscos e potenciais impactos negativos para os titulares dos dados pessoais possivelmente acessados, incluindo, mas não se limitando a:

  • Possíveis impactos financeiros: os dados podem ser usados de forma inadequada, como em situações envolvendo operações financeiras ou transações não autorizadas.
  • Possíveis fraudes e golpes digitais: as informações podem ser empregadas em abordagens que busquem enganar os titulares, por meio de mensagens ou contatos com aparência legítima.
  • Potenciais riscos relacionados à identidade: os dados podem ser utilizados para criar perfis ou realizar ações em nome dos titulares, sem o seu conhecimento.
4. Medidas adotadas ou a serem adotadas para reverter ou mitigar os efeitos do incidente

Em resposta ao incidente, a MARISA implementou e continua a implementar as seguintes medidas:

  • Isolamento e contenção dos sistemas afetados: isolamento imediato dos sistemas afetados para interromper o acesso não autorizado, prevenir a propagação do incidente e preservar a integridade dos dados.
  • Reforço dos protocolos e Políticas de Segurança: revisão e aprimoramento das políticas e procedimentos de segurança da informação, com a adoção de novas diretrizes e controles de segurança, com base nas recomendações de especialistas em segurança cibernética.
  • Implementação de tecnologias avançadas de segurança cibernética: adoção de soluções de segurança de ponta, incluindo plataformas de detecção e resposta a endpoints (EDR), sistemas de prevenção de perda de dados (DLP) e ferramentas de análise de comportamento de usuários e entidades.
  • Colaboração com autoridades e entidades competentes: notificação formal à Autoridade Nacional de Proteção de Dados (ANPD) e cooperação plena com investigações e orientações dos órgãos reguladores.
  • Contratação de consultorias especializadas: parceria com empresas de renome mundial em segurança da informação para suporte na investigação forense, remediação do incidente e fortalecimento das defesas cibernéticas.
  • Campanhas de conscientização e treinamento interno: reforço dos programas de capacitação dos colaboradores, parceiros e terceiros, com ênfase na prevenção de incidentes de segurança, na identificação de ameaças cibernéticas e na adoção de práticas seguras no ambiente digital.
5. Justificativa para qualquer atraso na comunicação

A presente comunicação pública, ocorre após a conclusão de uma investigação forense minuciosa e tecnicamente complexa, iniciada imediatamente após a detecção do incidente em 04 de novembro de 2024. O lapso temporal entre a identificação do incidente e a presente comunicação justifica-se pela necessidade imperiosa de:

  • Assegurar a integridade da investigação: assegurar a condução da investigação forense com o rigor técnico necessário, preservando a cadeia de custódia das evidências digitais, evitando a contaminação de provas e garantindo a apuração precisa das circunstâncias do incidente.
  • Determinar a extensão e o impacto do incidente: delimitar com exatidão a extensão do incidente, identificar os dados pessoais potencialmente afetados, quantificar o número de titulares impactados e avaliar os riscos associados ao acesso não autorizado.
  • Implementar medidas de contenção e remediação: adotar ações imediatas para interromper o acesso não autorizado, isolar os sistemas comprometidos, reforçar a segurança da infraestrutura tecnológica e implementar medidas de mitigação de riscos.
  • Preparar uma comunicação transparente e útil aos titulares: preparar uma comunicação pública transparente, precisa e acessível, contendo informações relevantes para os titulares dos dados pessoais, orientações sobre medidas de proteção e canais de contato para esclarecimentos adicionais.

A demora na comunicação, portanto, justifica-se pela necessidade de conduzir tais procedimentos com a devida diligência, visando resguardar os interesses dos titulares e a eficácia das medidas adotadas.

6. Recomendações aos titulares para mitigação de riscos

A MARISA recomenda aos titulares dos dados pessoais potencialmente afetados a adoção das seguintes medidas preventivas:

  • Cautela com comunicações suspeitas: redobrar a atenção com mensagens eletrônicas (e-mails), mensagens instantâneas (SMS, WhatsApp), ligações telefônicas ou outras formas de comunicação que solicitem informações pessoais, financeiras ou credenciais de acesso. A MARISA não solicita senhas, dados bancários ou outras informações sensíveis por meio desses canais.
  • Proteção de dados pessoais: evitar o compartilhamento de dados pessoais sensíveis em plataformas online não confiáveis, redes sociais públicas ou com indivíduos desconhecidos. Verificar sempre a autenticidade dos sites e aplicativos antes de fornecer informações pessoais.
  • Monitoramento de transações financeiras: acompanhar regularmente extratos bancários, faturas de cartão de crédito, notificações de débito e outras movimentações financeiras. Reportar imediatamente às instituições financeiras qualquer transação suspeita ou não reconhecida.
  • Fortalecimento de credenciais de acesso: utilizar senhas fortes e exclusivas para cada serviço online, ativar a autenticação multifator (MFA) sempre que disponível e evitar o uso de senhas fracas ou facilmente adivinháveis.
  • Registro de ocorrências: em caso de suspeita de uso indevido de seus dados pessoais, procurem as autoridades policiais e registrem boletim de ocorrência, além de informar às instituições financeiras e órgãos de proteção ao crédito.
7. Informações de contato para esclarecimentos adicionais

A MARISA coloca-se à inteira disposição dos titulares de dados pessoais para prestar esclarecimentos adicionais, responder a questionamentos e fornece o suporte necessário. Os seguintes canais de comunicação estão disponíveis:

  • Encarregado de Proteção de Dados Pessoais (DPO)
8. Considerações finais:

A Marisa Lojas S.A. reafirma seu compromisso com a proteção dos dados pessoais e com a privacidade de seus clientes, colaboradores, parceiros e de todos os titulares de dados sob sua responsabilidade. A Companhia continuará investindo em tecnologias, processos e programas de treinamento para aprimorar suas práticas de segurança da informação, visando prevenir futuros incidentes e garantir a confidencialidade, integridade e disponibilidade dos dados pessoais que lhe são confiados..

A MARISA lamenta os transtornos causados por este incidente e reitera seu empenho em solucionar as questões decorrentes do evento, atuando com transparência, responsabilidade e respeito aos direitos dos titulares de dados pessoais.

Atenciosamente,

Marisa Lojas S.A.