Executive Summary - Programa de Privacidade
Versão: 1.0 Data: 01/12/2025 Classificação: Confidencial Destinatários: Investidores, Auditores, Parceiros Estratégicos
1. Visão Geral
1.1 Sobre a Empresa
| Item | Informação |
|---|---|
| Empresa | iScholar Tecnologia Educacional Ltda |
| Setor | Tecnologia (SaaS) |
| Modelo de Negócio | SaaS B2B - ERP para instituições de ensino |
| Clientes Institucionais | 1.500+ escolas |
| Usuários na Plataforma | 400.000+ usuários |
| Papel LGPD | Operador de Dados Pessoais |
1.2 Contexto Regulatório
A empresa processa dados de crianças e adolescentes em larga escala, o que:
- Classifica o tratamento como alto risco
- Exige conformidade integral com Art. 14 da LGPD
- Requer Relatório de Impacto à Proteção de Dados (RIPD)
- Demanda controles de segurança robustos
2. Estrutura de Governança
2.1 Organização
┌─────────────────────────────────────────────┐
│ ALTA ADMINISTRAÇÃO │
│ (Reporte Trimestral) │
└─────────────────┬───────────────────────────┘
│
┌─────────────────▼───────────────────────────┐
│ COMITÊ DE PRIVACIDADE │
│ (DPO, CTO, Jurídico, RH, Operações) │
│ Reuniões Mensais │
└─────────────────┬───────────────────────────┘
│
┌─────────────────▼───────────────────────────┐
│ DPO/EQUIPE │
│ Coordenação do Programa │
└─────────────────┬───────────────────────────┘
│
┌─────────────────▼───────────────────────────┐
│ CHAMPIONS DE PRIVACIDADE │
│ 1 por área de negócio │
└─────────────────────────────────────────────┘
2.2 Encarregado de Proteção de Dados (DPO)
| Campo | Informação |
|---|---|
| Nome | Pedro Henrique Rosa Barbosa |
| Qualificação | Diretor de Tecnologia, 5+ anos exp. em privacidade |
| Contato | pedro@ischolar.com.br / (34) 2512-0244 |
| Comunicação ANPD | Em andamento |
3. Programa de Conformidade
3.1 Documentação
| Categoria | Documentos | Status |
|---|---|---|
| Governança e Estrutura | 6 | 6/6 implementados (85%) |
| Políticas | 10 | 10/10 implementados (87%) |
| Procedimentos | 10 | 10/10 implementados (86%) |
| Registros | 8 | 8/8 implementados (88%) |
| Contratos | 9 | 9/9 implementados (85%) |
| Avaliações | 6 | 6/6 implementados (73%) |
| Treinamento | 6 | 6/6 implementados (75%) |
| Total | 55 | 81% completo |
3.2 Principais Políticas
- ✅ Política de Privacidade Externa (publicada)
- ✅ Política de Privacidade Interna
- ✅ Política de Segurança da Informação
- ✅ Política de Retenção e Descarte
- ✅ Política de Resposta a Incidentes
- ✅ Política de Tratamento de Dados de Menores
- ✅ Política de Gestão de Terceiros
3.3 ROPA (Registro de Atividades)
| Métrica | Valor |
|---|---|
| Atividades de tratamento mapeadas | 8+ atividades (AT-001 a AT-008) |
| Cobertura do mapeamento | 95% |
| Última atualização | 01/12/2025 (v2.0) |
| Próxima revisão | 17/03/2026 (trimestral) |
4. Segurança da Informação
4.1 Medidas Técnicas
| Controle | Status | Detalhes |
|---|---|---|
| Criptografia em repouso | ✅ | AES-256 |
| Criptografia em trânsito | ✅ | TLS 1.3 |
| Controle de acesso (RBAC) | ✅ | Baseado em funções |
| MFA | ✅ | Obrigatório para admins |
| Backup | ✅ | Diário, criptografado, offsite |
| Monitoramento (SIEM) | ✅ | 24x7 |
| Pentest | ✅ | Anual |
| Scan de vulnerabilidades | ✅ | Anual |
4.2 Certificações
| Certificação | Status | Validade |
|---|---|---|
| ISO 27001 | Não planejado | N/A |
| ISO 27701 | Não planejado | N/A |
| SOC 2 Type II | Não planejado | N/A |
4.3 Infraestrutura
| Item | Especificação |
|---|---|
| Hospedagem | AWS (Amazon Web Services) |
| Localização dos dados | EUA (transferência internacional regulada) |
| Disponibilidade (SLA) | 99.9% |
| Backup | Diário, criptografado, retenção 30 dias |
| DR/Continuidade | Plano documentado, RTO 4h, RPO 24h |
5. Gestão de Terceiros
5.1 Suboperadores
| Quantidade | Status |
|---|---|
| Total de suboperadores | 5 principais (AWS, PJBank, eSchooling, Zenvia, InfoBip) |
| Com DPA vigente | 100% |
| Avaliados no último ano | 100% |
| Localização Brasil | 60% (PJBank, Zenvia, InfoBip) |
| Localização exterior | 40% (AWS-EUA, eSchooling-Europa) |
5.2 Due Diligence
- Checklist de avaliação LGPD aplicado
- Avaliação de segurança antes da contratação
- Monitoramento contínuo
- Reavaliação anual
6. Direitos dos Titulares
6.1 Canal de Atendimento
| Item | Informação |
|---|---|
| Canal | pedro@ischolar.com.br / https://ischolar.com.br/politica-de-privacidade |
| SLA de resposta | 10 dias úteis (abaixo do legal) |
| Tempo médio de resposta | Sem histórico (< 5 solicitações recebidas) |
| Taxa de atendimento no prazo | N/A (volume insuficiente para métrica) |
7. Gestão de Incidentes
7.1 Capacidade de Resposta
- Plano de resposta a incidentes documentado
- Equipe de resposta definida
- Comunicação à ANPD: 3 dias úteis
- Comunicação aos controladores: 24 horas
7.2 Histórico de Incidentes
| Período | Incidentes | Graves | Comunicados ANPD |
|---|---|---|---|
| 2025 | 0 | 0 | 0 |
| 2024 | 0 | 0 | 0 |
Transparência
Nos últimos 24 meses, a iScholar não registrou nenhum incidente de segurança envolvendo dados pessoais que tenha resultado em vazamento, perda ou acesso não autorizado. Os controles de segurança (criptografia, RBAC, monitoramento) têm sido eficazes na prevenção de incidentes.
8. Treinamento e Cultura
8.1 Programa de Treinamento
| Métrica | Valor |
|---|---|
| Colaboradores treinados | 100% |
| Carga horária mínima | 2h (geral) + específico |
| Reciclagem | Anual |
8.2 Conscientização
- Comunicados anuais de privacidade
9. Nível de Maturidade
9.1 Avaliação Atual
| Dimensão | Nível (1-5) | Meta Ano 1 |
|---|---|---|
| Governança | 3 | 4 |
| Políticas | 3 | 4 |
| Processos | 3 | 4 |
| Tecnologia | 4 | 4 |
| Pessoas | 3 | 4 |
| Média | 3.2 | 4.0 |
Escala: 1-Inicial, 2-Repetível, 3-Definido, 4-Gerenciado, 5-Otimizado
9.2 Roadmap
| Iniciativa | Status | Prazo |
|---|---|---|
| Comunicação DPO à ANPD | Em andamento | Q1 2026 |
| Constituição do Comitê de Privacidade | Planejado | Q3 2026 |
| Certificação ISO 27001 | Não planejado | |
| Certificação ISO 27701 | Não planejado |
10. Relacionamento com Controladores
10.1 DPAs
| Métrica | Valor |
|---|---|
| Clientes com DPA vigente | A definir |
| Modelo de DPA padronizado | Sim |
| Última atualização do modelo | 01/12/2025 |
10.2 Suporte ao Controlador
- Auxílio no atendimento a direitos de titulares
- Comunicação de incidentes em 24h
- Suporte a auditorias
- Fornecimento de evidências de conformidade
11. Contatos
| Função | Nome | Contato |
|---|---|---|
| DPO | Pedro Henrique Rosa Barbosa | pedro@ischolar.com.br |
| CTO/CISO | Pedro Henrique Rosa Barbosa | pedro@ischolar.com.br |
| Jurídico | Assessoria Externa |
12. Anexos Disponíveis
Para due diligence aprofundada, disponibilizamos mediante NDA:
- Programa de Governança em Privacidade
- ROPA completo
- Políticas de privacidade e segurança
- Relatório de pentest mais recente
- Modelo de DPA
- Histórico de incidentes detalhado
- Avaliação de maturidade
Documento preparado por: Pedro Henrique Rosa Barbosa (DPO) Data: 01/12/2025 Validade: 6 meses (até 01/06/2026)
Este documento contém informações confidenciais destinadas exclusivamente aos destinatários indicados. A distribuição não autorizada é proibida.