Política de Gestão de Terceiros
Codigo: POL-TER-001 Versao: 1.0 Aprovacao: 01 de dezembro de 2025 Classificacao: Uso Interno
1. Objetivo
Estabelecer diretrizes e procedimentos para avaliacao, homologacao, contratacao e monitoramento de terceiros que tenham acesso ou tratem dados pessoais em nome da iScholar Tecnologia Educacional Ltda, assegurando conformidade com os Arts. 39 e 46 da LGPD.
Terceiros Atuais da iScholar
| Terceiro | Servico | Risco | Localizacao |
|---|---|---|---|
| Amazon Web Services (AWS) | Hospedagem, banco de dados | Alto | EUA |
| PJBank | Gateway de pagamentos | Medio | Brasil |
| Parceiros de integracao | APIs homologadas | Medio | Variavel |
2. Escopo
2.1 Aplica-se a:
| Categoria | Descrição | Exemplos |
|---|---|---|
| Suboperadores | Terceiros que tratam dados em nosso nome | Provedores de cloud, serviços de e-mail |
| Parceiros de Negócio | Empresas com integração de sistemas ou dados | Integrações, APIs de terceiros |
| Fornecedores de TI | Prestadores de serviços tecnológicos | Suporte, desenvolvimento, consultoria |
| Fornecedores com Acesso | Qualquer fornecedor com acesso a dados pessoais | Manutenção, limpeza com acesso a áreas restritas |
2.2 Não se aplica a:
- Controladores (escolas clientes) - regidos por DPA específico
- Autoridades públicas em cumprimento legal
3. Classificação de Terceiros por Risco
3.1 Níveis de Risco
| Nível | Critérios | Exemplos | Requisitos |
|---|---|---|---|
| Alto | Acesso a dados sensíveis ou de menores; grande volume; processamento crítico | Hospedagem principal, backup, analytics | Due diligence completa, auditoria anual, DPA robusto |
| Médio | Acesso a dados pessoais comuns; volume moderado | E-mail marketing, suporte técnico remoto | Questionário de segurança, DPA, revisão bienal |
| Baixo | Acesso limitado ou eventual; dados não sensíveis | Consultoria pontual, ferramentas internas | Cláusulas contratuais básicas, NDA |
3.2 Fatores de Avaliação
- Tipo e volume de dados acessados
- Criticidade do serviço prestado
- Localização (Brasil/exterior)
- Histórico de incidentes
- Certificações de segurança
- Capacidade de resposta a incidentes
4. Requisitos Mínimos de Conformidade
4.1 Requisitos para Todos os Terceiros
- Compromisso formal com proteção de dados
- Confidencialidade (NDA ou cláusula equivalente)
- Notificação de incidentes
- Devolução/eliminação de dados ao término
4.2 Requisitos Adicionais por Nível de Risco
| Requisito | Alto | Médio | Baixo |
|---|---|---|---|
| DPA completo | Obrigatório | Obrigatório | Cláusulas básicas |
| Política de Segurança documentada | Obrigatório | Obrigatório | Recomendado |
| Certificação ISO 27001 ou equivalente | Obrigatório | Recomendado | Não exigido |
| Pentest/avaliação de vulnerabilidades | Anual | Bienal | Não exigido |
| Plano de Resposta a Incidentes | Obrigatório | Obrigatório | Não exigido |
| Suboperadores documentados | Obrigatório | Obrigatório | Não exigido |
| Auditoria pelo contratante | Permitida | Permitida | Não usual |
| Criptografia de dados | Obrigatório | Obrigatório | Quando aplicável |
| Backup e recuperação | Documentado | Documentado | Não exigido |
5. Processo de Homologação (Due Diligence)
5.1 Fluxo de Homologação
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ SOLICITAÇÃO │ → │ AVALIAÇÃO │ → │ DUE │ → │ APROVAÇÃO │ → │ CONTRATAÇÃO │
│ DA ÁREA │ │ DE RISCO │ │ DILIGENCE │ │ │ │ │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
5.2 Etapas do Processo
| Etapa | Responsável | Atividades | Prazo |
|---|---|---|---|
| 1. Solicitação | Área requisitante | Preencher formulário de novo terceiro | - |
| 2. Triagem | Compras/DPO | Classificar risco, definir requisitos | 2 dias |
| 3. Questionário | Terceiro | Responder questionário de segurança | 10 dias |
| 4. Análise | DPO + Segurança | Avaliar respostas, identificar gaps | 5 dias |
| 5. Validação | DPO | Aprovar ou solicitar correções | 3 dias |
| 6. Contrato | Jurídico | Elaborar/revisar DPA e contrato | 5 dias |
| 7. Registro | DPO | Incluir no inventário de terceiros | 1 dia |
6. Checklist de Avaliação
6.1 Aspectos Organizacionais
- Razão social, CNPJ e contatos verificados
- Política de privacidade pública disponível
- DPO/responsável por privacidade designado
- Treinamento de colaboradores em LGPD
- Histórico de incidentes nos últimos 3 anos
6.2 Aspectos Técnicos
- Controle de acesso implementado
- Criptografia em trânsito e repouso
- Logs de acesso a dados pessoais
- Backup e plano de recuperação
- Gestão de vulnerabilidades
- Testes de segurança periódicos
6.3 Aspectos Contratuais
- Aceita termos de DPA
- Lista de suboperadores disponível
- Processo de notificação de incidentes
- Compromisso de devolução/eliminação
- Permissão para auditoria (se alto risco)
6.4 Localização de Dados
- Dados processados no Brasil
- Se exterior: país com legislação adequada ou cláusulas padrão
- Transparência sobre localização de datacenters
7. Requisitos Contratuais (DPA)
7.1 Cláusulas Obrigatórias
O Data Processing Agreement (DPA) deve conter:
| Cláusula | Descrição |
|---|---|
| Objeto e duração | Escopo do tratamento e prazo |
| Natureza e finalidade | Tipo de tratamento e propósito |
| Tipos de dados | Categorias de dados tratados |
| Categorias de titulares | Quem são os titulares |
| Obrigações do operador | Instruções, segurança, confidencialidade |
| Suboperadores | Autorização prévia, lista, responsabilidade |
| Transferência internacional | Salvaguardas aplicáveis |
| Direitos dos titulares | Apoio ao atendimento |
| Notificação de incidentes | Prazo e conteúdo |
| Auditoria | Direito de inspeção |
| Término | Devolução ou eliminação de dados |
| Responsabilidade | Limitações e indenizações |
7.2 Modelo de DPA
Utilizar modelo padrão disponível em: [PREENCHER_LOCAL_MODELO]
8. Monitoramento Contínuo
8.1 Atividades de Monitoramento
| Atividade | Risco Alto | Risco Médio | Risco Baixo |
|---|---|---|---|
| Revisão de conformidade | Anual | Bienal | Sob demanda |
| Atualização de questionário | Anual | Bienal | Na renovação |
| Verificação de certificações | Anual | Bienal | Não aplicável |
| Análise de incidentes reportados | Contínuo | Contínuo | Contínuo |
| Auditoria presencial/remota | Conforme risco | Conforme risco | Não usual |
8.2 Indicadores de Alerta
Situações que exigem reavaliação imediata:
- Incidente de segurança notificado
- Mudança significativa no serviço prestado
- Alteração na estrutura societária
- Perda de certificação
- Reclamações de titulares
- Mudança na localização de processamento
9. Reavaliação Periódica
9.1 Gatilhos para Reavaliação
| Gatilho | Ação |
|---|---|
| Renovação contratual | Reavaliação completa |
| Mudança de escopo | Reclassificação de risco |
| Incidente de segurança | Investigação e reavaliação |
| Alteração regulatória | Verificar adequação |
| Solicitação do controlador | Reavaliação do suboperador |
9.2 Documentação
Manter registro de:
- Data da avaliação/reavaliação
- Documentos analisados
- Gaps identificados
- Decisão (aprovado/reprovado/pendências)
- Responsável pela análise
10. Término de Relacionamento
10.1 Procedimentos de Encerramento
| Etapa | Responsável | Prazo |
|---|---|---|
| Notificar término formalmente | Área contratante | Conforme contrato |
| Solicitar devolução/eliminação de dados | DPO | Antes do encerramento |
| Verificar cumprimento | DPO + TI | Até 30 dias após término |
| Obter certificado de eliminação | DPO | Até 30 dias após término |
| Revogar acessos | TI | Imediato ao término |
| Atualizar inventário | DPO | Até 5 dias |
10.2 Certificado de Eliminação
Solicitar ao terceiro documento contendo:
- Confirmação de eliminação de todos os dados
- Método utilizado
- Data da eliminação
- Declaração sobre backups
- Assinatura de responsável
11. Inventário de Terceiros
11.1 Informações a Registrar
Para cada terceiro com acesso a dados pessoais:
- Razão social e CNPJ
- Tipo de serviço prestado
- Classificação de risco
- Categorias de dados acessados
- Localização do processamento
- Data de homologação
- Data da última reavaliação
- Status (ativo/inativo)
- Contato do responsável
11.2 Manutenção
- Inventário atualizado pelo DPO
- Revisão trimestral do inventário
- Disponível para consulta dos controladores
12. Responsabilidades
| Função | Responsabilidade |
|---|---|
| Área Requisitante | Identificar necessidade, apoiar avaliação, gerenciar relacionamento |
| Compras | Processo de contratação, apoio em negociações |
| DPO | Classificar risco, avaliar conformidade, aprovar, manter inventário |
| Segurança/TI | Avaliação técnica, gestão de acessos |
| Jurídico | Elaborar e revisar contratos e DPAs |
| Gestores | Monitorar prestação de serviço |
13. Disposições Finais
13.1 Exceções
Exceções a esta política requerem:
- Justificativa documentada
- Avaliação de risco pelo DPO
- Aprovação da Diretoria
- Medidas compensatórias definidas
- Prazo de validade
13.2 Revisão
Esta política será revisada:
- Anualmente
- Quando houver mudança regulatória
- Após incidentes envolvendo terceiros
13.3 Documentos Relacionados
- Modelo de DPA
- Questionário de Segurança para Terceiros
- Checklist de Due Diligence
- Política de Segurança da Informação
Aprovacao
| Funcao | Nome | Assinatura | Data |
|---|---|---|---|
| DPO | Pedro Henrique Rosa Barbosa | _____________ | 15/12/2025 |
| Diretor de Tecnologia | Pedro Henrique Rosa Barbosa | _____________ | 15/12/2025 |
Historico de Revisoes
| Versao | Data | Autor | Descricao |
|---|---|---|---|
| 1.0 | 15/12/2025 | Pedro Henrique Rosa Barbosa | Versao inicial |
Anexos
- Anexo A: Formulário de Solicitação de Novo Terceiro
- Anexo B: Questionário de Segurança
- Anexo C: Modelo de DPA
- Anexo D: Checklist de Due Diligence
- Anexo E: Template de Certificado de Eliminação