top of page

POLÍTICA DE SEGURANÇA E PROTEÇÃO DE DADOS NO AMBIENTE VIRTUAL DE APRENDIZAGEM (AVAEXPRESSÃO)

1. PREÂMBULO


A EJA Expressão, inscrita no CNPJ sob o n.º 09.388.185/0001-28, no cumprimento de sua missão educacional e em estrita observância à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD), estabelece por meio deste documento as diretrizes, responsabilidades e procedimentos para garantia da privacidade, segurança e proteção dos dados pessoais tratados em sua plataforma de ensino.

2. PRINCÍPIOS DE CONFORMIDADE COM A LGPD
A plataforma de ensino operada no Wix, em nome da EJA Expressão, garante que todas as ações de coleta, uso, armazenamento e compartilhamento de dados dos estudantes, docentes e colaboradores estarão alinhadas aos seguintes princípios da LGPD:
• Finalidade: Os dados são coletados para propósitos específicos, legítimos e explícitos, relacionados às atividades educacionais.
• Adequação: O tratamento é compatível com a finalidade informada ao titular.
• Necessidade: Apenas os dados estritamente necessários para atingir as finalidades propostas são coletados.
• Livre Acesso: Garantia aos titulares de consulta facilitada e gratuita sobre a integralidade de seus dados.
• Qualidade dos Dados: Exatidão, clareza, relevância e atualização dos dados.
• Transparência: Informações claras, completas e acessíveis sobre o tratamento de dados.
• Segurança: Utilização de medidas técnicas e administrativas robustas para proteção dos dados.
• Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados.
• Não Discriminação: Impossibilidade de utilizar os dados para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e Prestação de Contas: Demonstração, pela instituição, da adoção de medidas eficazes para o cumprimento da LGPD.

3. MEDIDAS PREVENTIVAS E CORRETIVAS PARA PROTEÇÃO DOS DADOS PESSOAIS
Para mitigar riscos e garantir a integridade, confidencialidade e disponibilidade dos dados, as seguintes medidas são implementadas:
a) Medidas Técnicas (Implementadas pelo Wix):
• Criptografia: Dados em trânsito (via protocolo TLS/SSL) e dados em repouso (armazenados em bancos de dados e backups) são criptografados.
• Controle de Acesso: Política de privilégio mínimo e acesso baseado em roles (RBAC), garantindo que usuários acessem apenas informações estritamente necessárias para sua função. Autenticação robusta com senhas complexas.
• Segurança de Infraestrutura: Hospedagem em ambiente de Data Center com certificações de segurança, proteção contra ataques DDoS, firewalls de última geração e sistemas de detecção de intrusões (IDS/IPS).
• Backups e Resilência: Procedimentos regulares de backup dos dados, com testes de restauração e planos de recuperação de desastres (DRP) para garantir a continuidade dos serviços.
• Anonimização e Pseudonimização: Uso de técnicas para minimizar a exposição de dados pessoais sempre que possível em ambientes de teste e análise.
b) Medidas Administrativas Implementadas pelo EJA Expressão:
• Treinamento e Conscientização: Programas periódicos de capacitação para todos os colaboradores da instituição que tenham acesso aos dados, enfatizando as boas práticas de segurança e as obrigações da LGPD.
• Políticas Internas: Estabelecimento de políticas de uso aceitável, clean desk e segurança da informação para todos os funcionários.
• Acordos de Confidencialidade (NDA): Assinatura de termos de confidencialidade com colaboradores, prestadores de serviços e parceiros.
• Gestão de Riscos: Realização de Análises de Impacto à Proteção de Dados (AIPD) para operações de tratamento que envolvam alto risco aos direitos dos titulares.
• Revisão Periódica de Acessos: Auditoria regular das permissões de usuários para garantir que estejam adequadas e atualizadas.

4. PROCEDIMENTOS PARA RESPOSTA A INCIDENTES DE SEGURANÇA
Em caso de incidente de segurança, como vazamento, perda ou acesso não autorizado a dados pessoais, o seguinte fluxo será acionado:

  1. Detecção e Classificação: Qualquer incidente potencial deve ser imediatamente reportado ao Diretor de Operações do EJA Expressão (DOP) e da equipe de segurança do Wix. O incidente será classificado quanto à sua gravidade e abrangência.

  2. Contenção: Ações imediatas serão tomadas para conter a ameaça e evitar maior propagação (ex.: isolamento de sistemas, revogação de acessos comprometidos).

  3. Análise Forense: Investigação do incidente para determinar sua causa raiz, escopo e quais dados foram afetados.

  4. Notificação: Em conformidade com o art. 48 da LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados afetados serão comunicados em prazo razoável, caso o incidente represente risco ou dano relevante. A comunicação será clara e transparente sobre a natureza do incidente e as medidas que os titulares podem adotar.

  5. Erradicação e Recuperação: Remoção completa da ameaça do ambiente e restauração dos sistemas e dados a partir de backups íntegros, se necessário.

  6. Lições Aprendidas: Elaboração de um relatório pós-incidente detalhando os fatos, as ações tomadas e as medidas corretivas para prevenir a recorrência.​

5. MECANISMOS DE AUDITORIA E MONITORAMENTO CONTÍNUO
Para assegurar a conformidade contínua, são estabelecidos os seguintes mecanismos:
• Auditorias Periódicas: Realização de auditorias internas e externas anuais (ou sempre que necessário) para verificar a aderência às políticas de segurança e à LGPD.
• Monitoramento em Tempo Real: Utilização de ferramentas para monitoramento contínuo de logs de acesso, tentativas de invasão e atividades incomuns na plataforma.
• Registros de Logs: Manutenção de registros detalhados (logs) de todas as operações de tratamento de dados, incluindo acessos, criações, modificações e exclusões, que permitam a auditoria e a rastreabilidade de eventuais irregularidades.
• Canal de Comunicação com o DOP: Manutenção de um canal dedicado e acessível para que titulares e autoridades possam entrar em contato com o Encarregado de Dados.

6. ACESSO AO DOCUMENTO E REVISÃO PERIÓDICA
• Apresentação e Acessibilidade: Este documento será formalmente apresentado ao Conselho Estadual de Educação de Santa Catarina (CEE/SC) e estará à disposição de quaisquer outras autoridades competentes, como a Autoridade Nacional de Proteção de Dados (ANPD), mediante solicitação.
• Revisão Periódica: Esta política será revisada anualmente, ou em prazo menor diante de mudanças significativas na legislação, na tecnologia ou nas operações da instituição, garantindo que as práticas de segurança estejam sempre atualizadas e em conformidade com as melhores práticas do setor.

A Direção.

001.png
bottom of page