Esta Política de Privacidade descreve como a CTISI · IAM Labs ("CTISI", "nós") coleta, usa, armazena e protege os dados pessoais dos usuários ("Aluno", "você") da plataforma app.ctisi.com.br.
Estamos comprometidos com a transparência e com o cumprimento da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — LGPD), e adotamos boas práticas de segurança da informação.
1. Controlador dos dados
O controlador responsável pelo tratamento dos seus dados pessoais é:
- Nome: Cesar Telles (CTISI · IAM Labs)
- Contato: contato@ctisi.com.br
- Função: Encarregado pelo tratamento de dados (DPO) e ponto de contato para questões de privacidade.
2. Dados coletados
Coletamos apenas os dados necessários para operar a Plataforma e oferecer a experiência educacional contratada. Especificamente:
Dados de cadastro (fornecidos por você):
- Nome completo
- Endereço de e-mail
- Senha (armazenada de forma criptografada via hash)
Dados de uso (gerados automaticamente):
- Progresso nas jornadas (módulos concluídos, tempo de estudo estimado)
- Respostas e pontuação em exercícios e avaliações
- Certificados emitidos e seus códigos verificáveis
- Logs de acesso (data, hora, endereço IP, navegador) — para segurança e prevenção de fraude
- Eventos de uso (lições visualizadas, módulos iniciados) — para melhorar a experiência educacional
Dados de autenticação (quando ativados por você):
- Segredo TOTP para autenticação multifator (MFA) — armazenado criptografado
- Códigos de recuperação MFA — armazenados de forma hashed
Dados de pagamento (quando aplicável a conteúdos pagos):
Quando houver compra de conteúdo pago, o pagamento é processado por gateways especializados (a serem definidos). A CTISI não armazena dados completos de cartão de crédito ou similares. Recebemos apenas a confirmação da transação para liberar o acesso.
Não coletamos dados pessoais sensíveis (origem racial, opinião política, convicção religiosa, saúde, vida sexual, biometria) — não há finalidade educacional que os justifique.
3. Para que usamos seus dados
Tratamos seus dados pessoais para as seguintes finalidades:
- Operação da Plataforma: autenticação, autorização, controle de acesso ao conteúdo contratado.
- Experiência educacional: persistir progresso, emitir certificados, sugerir próximos passos.
- Comunicação transacional: envio de e-mails relacionados à sua conta (boas-vindas, confirmação de cadastro, emissão de certificado, recuperação de senha).
- Segurança: detecção de uso indevido, prevenção de fraude, manutenção de logs de auditoria.
- Melhoria do serviço: análise agregada de padrões de uso para evoluir conteúdo e UX (sem identificação individual sempre que possível).
- Cumprimento legal: atendimento de obrigações legais, regulatórias e judiciais aplicáveis.
4. Bases legais (LGPD)
O tratamento dos seus dados se baseia nas seguintes hipóteses previstas no Art. 7º da LGPD:
- Execução de contrato (Art. 7º, V): operação da Plataforma e entrega do conteúdo educacional contratado.
- Legítimo interesse (Art. 7º, IX): segurança da Plataforma, prevenção de fraude e melhoria do serviço, sempre respeitando direitos e liberdades fundamentais.
- Cumprimento de obrigação legal (Art. 7º, II): atendimento a determinações legais, regulatórias ou judiciais.
- Consentimento (Art. 7º, I): para envios de comunicações de marketing ou pesquisa de satisfação, quando aplicáveis.
5. Compartilhamento
Não vendemos seus dados pessoais. Compartilhamos apenas com operadores que nos auxiliam a entregar o serviço:
- Infraestrutura e banco de dados: Supabase (autenticação, armazenamento)
- Hospedagem: Vercel (servidor da aplicação)
- E-mails transacionais: Resend (envio de e-mails)
- Pagamentos (quando aplicável): processadores especializados a serem definidos
- Autoridades competentes: quando exigido por lei, ordem judicial ou regulação aplicável.
Esses operadores tratam dados apenas sob nossas instruções e para as finalidades acima descritas, observando padrões de segurança adequados.
6. Transferência internacional
Alguns operadores (como Supabase, Vercel e Resend) podem hospedar ou processar dados em servidores fora do Brasil. Garantimos que essas transferências respeitam as exigências da LGPD para transferência internacional, incluindo cláusulas contratuais adequadas e/ou países com nível adequado de proteção de dados.
7. Direitos do titular
Como titular dos dados, você pode exercer a qualquer momento os seguintes direitos previstos no Art. 18 da LGPD:
- Confirmação e acesso: saber se tratamos seus dados e obter acesso aos mesmos.
- Correção: solicitar correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade: receber seus dados em formato estruturado para fornecer a outro controlador.
- Eliminação: excluir dados tratados com base em consentimento, exceto aqueles que devemos manter por obrigação legal.
- Informação sobre compartilhamento: saber com quais entidades públicas e privadas compartilhamos seus dados.
- Revogação do consentimento: quando o tratamento for baseado em consentimento.
- Oposição: opor-se a tratamentos realizados com base em outras hipóteses legais.
- Revisão de decisões automatizadas: quando aplicável.
Para exercer qualquer direito, envie a solicitação para contato@ctisi.com.br. Responderemos no prazo legal de até 15 dias, conforme Art. 19 da LGPD.
8. Retenção e exclusão
Mantemos seus dados pelo tempo necessário às finalidades para as quais foram coletados:
- Conta ativa: dados mantidos enquanto sua conta estiver em uso.
- Após exclusão da conta: dados pessoais são anonimizados ou excluídos no prazo de até 30 dias, exceto aqueles que devemos reter por obrigação legal ou para defesa de direitos em processo judicial/administrativo.
- Certificados emitidos: permanecem verificáveis publicamente pelo código de certificação, contendo apenas seu nome, jornada concluída e data — para manter a integridade da validação por terceiros (empregadores, recrutadores). Você pode solicitar a despublicação do nome, mantendo apenas a verificação anônima do código.
- Logs de segurança: retidos por até 6 meses para auditoria e investigação de incidentes.
9. Segurança
Aplicamos medidas técnicas e organizacionais para proteger seus dados, incluindo:
- Comunicação criptografada (HTTPS/TLS) em toda a Plataforma.
- Armazenamento de senhas em formato hash (nunca em texto puro).
- Autenticação multifator (MFA) disponível para todos os alunos, recomendada para contas com permissões elevadas.
- Controle de acesso baseado em papéis (RBAC) e Row Level Security (RLS) no banco de dados.
- Logs de auditoria para acesso a dados sensíveis e operações administrativas.
- Atualizações regulares de software para corrigir vulnerabilidades conhecidas.
Em caso de incidente de segurança que possa causar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados conforme exigido pelo Art. 48 da LGPD.
10. Cookies e tecnologias similares
Utilizamos cookies estritamente necessários para o funcionamento da Plataforma:
- Cookies de sessão: mantêm você autenticado enquanto usa a Plataforma. Expiram ao encerrar a sessão ou após período de inatividade.
- Cookies de preferência: guardam configurações de interface (quando aplicável).
Não usamos cookies de rastreamento publicitário de terceiros. Não compartilhamos dados de navegação com plataformas de publicidade.
11. Crianças e adolescentes
A Plataforma é destinada a maiores de 18 anos. Não coletamos intencionalmente dados de menores de 18 anos. Se identificarmos cadastro de menor sem autorização adequada do responsável legal, excluiremos os dados imediatamente.
Pais ou responsáveis legais que identifiquem cadastro de menor sob sua tutela podem solicitar exclusão entrando em contato pelo e-mail informado.
12. Alterações nesta política
Esta Política pode ser atualizada para refletir mudanças na Plataforma, na legislação ou em práticas de tratamento. Mudanças materiais serão comunicadas por e-mail e/ou aviso destacado na Plataforma, com antecedência razoável.
A versão e data de atualização estão indicadas no topo deste documento.
13. Contato e ANPD
Para qualquer questão sobre privacidade, exercício de direitos ou esclarecimento sobre esta Política:
- E-mail: contato@ctisi.com.br
- Encarregado (DPO): Cesar Telles
Se preferir, você também pode entrar em contato com a Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd.