O silêncio do seu dashboard foi quebrado por um alerta que ninguém quer receber. O pânico é um luxo que você não pode pagar agora. Pode ter sido um log estranho, um aviso anônimo ou um print de um usuário no WhatsApp confirmando o pior: seu sistema foi violado. O que você faz nos próximos 60 minutos define se o seu produto sobrevive ou se o seu valuation vira pó.
A maioria dos founders comete o erro fatal de agir pelo susto. Existe um protocolo claro para as primeiras 24 horas. Siga-o para manter o controle da narrativa e da tecnologia.
Hora 0 — O Diagnóstico Frio: Não derrube o servidor em um ato de desespero. Confirme o alcance real. É uma vulnerabilidade teórica de um endpoint ou tem evidência de exfiltração de dados? Sem saber o tamanho do buraco, você só vai cavar mais fundo.
Hora 1-2 — Contenção Tática: Seu objetivo é reduzir a superfície de ataque sem destruir as provas. Isole o endpoint, revogue os tokens comprometidos, mas preserve os logs. Se você apagar os rastros agora, a perícia nunca saberá se o invasor apenas olhou a sala ou se ele levou as cópias das chaves.
Hora 4-8 — Mitigação de Guerra: Se a correção definitiva exige um refactor complexo, implemente uma trava de segurança temporária (Hotfix). Não tente "vibe codar" a solução definitiva sob pressão de uma crise, ou você criará uma nova brecha por cima da antiga.
Hora 24 — A Batalha Regulatória (LGPD): O relógio da lei é implacável. Você tem 72 horas para reportar incidentes com dados pessoais à ANPD. A diferença entre uma multa que encerra sua operação e um incidente perdoado é a sua capacidade de documentar que você agiu com método e boa-fé.
O que não fazer: Nunca delete logs. Nunca ignore o incidente esperando que o atacante "esqueça" de você. Nunca corrija silenciosamente sem registrar.
Segurança de SaaS não se resolve com sorte. Se resolve com processo.