Política de Segurança da Informação

A Academy Educação Ltda. adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais de seus usuários, alunos e colaboradores contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.

Esta Política de Segurança da Informação descreve os principais controles implementados, em conformidade com a Lei Geral de Proteção de Dados (Lei n.o 13.709/2018 — LGPD), o Marco Civil da Internet (Lei n.o 12.965/2014) e as melhores práticas de segurança da informação.

O acesso aos sistemas e dados é controlado com base no princípio do menor privilégio, garantindo que cada usuário ou colaborador tenha acesso apenas às informações necessárias para exercer suas funções:

• Senhas armazenadas exclusivamente em formato de hash criptográfico (bcrypt via password_hash), nunca em texto plano;
• Sessões de usuário com tempo de expiração definido, exigindo nova autenticação após o período;
• Acesso SSH ao servidor com chave criptográfica e porta não-padrão, sem autenticação por senha;
• Permissões de arquivo configuradas em 644 (arquivos) e 755 (diretórios) via suPHP, impedindo acessos indevidos;
• Autenticação em dois fatores (2FA) habilitada para serviços críticos de infraestrutura.

Todos os dados transmitidos entre o navegador do usuário e nossos servidores são protegidos por criptografia:

• HTTPS com certificado SSL/TLS em todos os domínios da Academy Educação, garantindo criptografia ponta a ponta;
• Dados sensíveis enviados a terceiros com hash SHA-256 (ex.: dados pessoais compartilhados via Facebook Conversions API);
• Envio de e-mails via SMTP com criptografia SSL (porta 465), protegendo comunicações por e-mail;
• Tokens CSRF (Cross-Site Request Forgery) em todos os formulários, prevenindo requisições maliciosas.

Os dados armazenados em nossos servidores são protegidos por múltiplas camadas de segurança:

• Datacenter no Brasil (HostDime), em conformidade com a LGPD e regulamentações nacionais;
• Backup diário com retenção de 7 dias;
• Backup semanal com retenção de 4 semanas;
• Backup mensal com retenção de 12 meses;
• Senhas sempre armazenadas em hash bcrypt, nunca em texto plano ou em formato reversível.

O desenvolvimento da plataforma segue práticas reconhecidas de segurança, minimizando vulnerabilidades no código-fonte:

• PHP 8.3 com atualizações regulares de segurança;
• Prepared statements (PDO) para todas as consultas SQL, prevenindo ataques de SQL Injection;
• Escape de output com htmlspecialchars, prevenindo ataques de Cross-Site Scripting (XSS);
• Rate limiting configurado para 100 requisições por 60 segundos em rotas públicas e 60 requisições por 60 segundos em rotas de API;
• Headers de segurança (X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Referrer-Policy) configurados em todas as respostas HTTP.

A Academy Educação mantém mecanismos de monitoramento contínuo para detectar e responder rapidamente a atividades suspeitas:

• Logs de acesso e erro mantidos em conformidade com o Marco Civil da Internet (mínimo de 6 meses);
• Auditoria de ações administrativas, registrando operações críticas realizadas no painel de gestão;
• Monitoramento de integridade dos arquivos, detectando alterações não autorizadas no código-fonte e configurações do sistema.

Em caso de incidente de segurança envolvendo dados pessoais, a Academy Educação possui um plano de resposta estruturado:

Para mais informações sobre nosso plano de resposta a incidentes, entre em contato com o Encarregado de Dados (DPO).

Esta Política de Segurança da Informação é revisada anualmente ou sempre que houver mudanças significativas na infraestrutura, nas práticas de segurança ou nas legislações aplicáveis.

A data da última atualização será sempre exibida no topo desta página. Recomendamos que você consulte este documento periodicamente para se manter informado sobre nossas práticas de segurança.