Política de Segurança da Informação

Última atualização: Fevereiro de 2026
Vigência: Esta política está em conformidade com a LGPD (Lei nº 13.709/2018) e boas práticas de segurança da informação.

Esta política se aplica a todos os sistemas, dados, colaboradores, parceiros e clientes que interagem com os produtos e serviços da Lumni Educação.

1. Objetivo

Esta Política de Segurança da Informação tem como objetivo estabelecer diretrizes, responsabilidades e controles para garantir a confidencialidade, integridade e disponibilidade das informações gerenciadas pela Lumni Educação, protegendo os dados de clientes, colaboradores e parceiros contra acessos não autorizados, perdas, vazamentos e incidentes de segurança.

2. Abrangência

Esta política se aplica a:

  • Todos os colaboradores, estagiários e prestadores de serviço da Lumni Educação
  • Todos os sistemas, plataformas e aplicações desenvolvidas ou operadas pela Lumni
  • Dados de clientes (escolas e gestores) armazenados em nossos sistemas
  • Infraestrutura de TI, incluindo servidores, bancos de dados e serviços em nuvem
  • Integrações com serviços de terceiros (Google, Meta, WhatsApp, etc.)

3. Princípios de Segurança

A segurança da informação na Lumni é baseada em três pilares fundamentais:

Confidencialidade

As informações são acessadas apenas por pessoas autorizadas, com controle rigoroso de permissões.

Integridade

As informações são precisas, completas e protegidas contra alterações não autorizadas.

Disponibilidade

Os sistemas e dados estão disponíveis para usuários autorizados sempre que necessário.

4. Controle de Acesso

4.1. Princípio do Menor Privilégio

Cada colaborador ou sistema recebe apenas as permissões estritamente necessárias para desempenhar suas funções. Acessos são revisados periodicamente e revogados imediatamente ao término do vínculo.

4.2. Autenticação

  • Senhas com no mínimo 12 caracteres, combinando letras, números e símbolos
  • Autenticação de dois fatores (2FA) obrigatória para acesso a sistemas críticos
  • Tokens JWT com expiração de 8 horas para sessões autenticadas
  • Bloqueio automático após tentativas de acesso inválidas consecutivas

4.3. Gestão de Credenciais

  • Credenciais de produção nunca são armazenadas em código-fonte ou repositórios
  • Uso obrigatório de variáveis de ambiente para segredos e chaves de API
  • Rotação periódica de senhas e chaves de acesso
  • Proibição de compartilhamento de credenciais entre colaboradores

5. Segurança da Infraestrutura

5.1. Comunicação e Transmissão de Dados

  • Todo tráfego é criptografado via TLS 1.2+ (HTTPS obrigatório)
  • Certificados SSL gerenciados e renovados automaticamente
  • Redirecionamento forçado de HTTP para HTTPS em todos os endpoints
  • Headers de segurança HTTP configurados (HSTS, CSP, X-Frame-Options)

5.2. Banco de Dados

  • Dados armazenados em bancos PostgreSQL hospedados em provedores certificados
  • Acesso ao banco restrito por IP e credenciais específicas por serviço
  • Dados sensíveis (senhas) armazenados com hash bcrypt
  • Separação de bancos por contexto (dados principais, help center, radar)

5.3. Proteção contra Ataques

  • Rate Limiting: Limite de requisições por IP para prevenir abuso e DDoS
  • CORS: Controle de origens permitidas para requisições cross-origin
  • SQL Injection: Uso de ORM com queries parametrizadas
  • XSS: Sanitização de entradas e saídas em todos os formulários
  • CSRF: Tokens de proteção em operações de escrita

6. Backup e Recuperação

  • Frequência: Backups automáticos diários de todos os bancos de dados
  • Retenção: Backups mantidos por no mínimo 30 dias
  • Armazenamento: Backups armazenados em localização geograficamente separada
  • Criptografia: Backups criptografados em repouso
  • Testes: Procedimentos de restauração testados periodicamente
  • RTO/RPO: Objetivo de recuperação em até 4 horas com perda máxima de 24 horas de dados

7. Desenvolvimento Seguro

A Lumni adota práticas de desenvolvimento seguro (Secure SDLC) em todos os seus produtos:

  • Revisão de código obrigatória antes de deploy em produção
  • Dependências de terceiros verificadas e atualizadas regularmente
  • Ambientes de desenvolvimento, homologação e produção estritamente separados
  • Segredos e configurações gerenciados por variáveis de ambiente (nunca em código)
  • Logs de auditoria para operações críticas (acesso, alteração e exclusão de dados)
  • Testes de segurança integrados ao processo de desenvolvimento

8. Gestão de Incidentes

8.1. Classificação de Incidentes

CRÍTICO

Vazamento de dados de clientes, acesso não autorizado a sistemas de produção, ransomware. Resposta em até 1 hora.

ALTO

Indisponibilidade de sistemas, tentativas de intrusão detectadas. Resposta em até 4 horas.

MÉDIO

Falhas de autenticação em massa, comportamento anômalo de sistemas. Resposta em até 24 horas.

BAIXO

Vulnerabilidades menores, erros de configuração sem impacto imediato. Resposta em até 72 horas.

8.2. Notificação de Incidentes

Em caso de incidente que envolva dados pessoais de clientes, a Lumni se compromete a:

  • Notificar a ANPD (Autoridade Nacional de Proteção de Dados) em até 72 horas após a confirmação do incidente, conforme exigido pela LGPD
  • Comunicar os titulares dos dados afetados quando o incidente puder causar risco ou dano relevante
  • Documentar o incidente, suas causas, impactos e medidas corretivas adotadas

9. Terceiros e Fornecedores

A Lumni utiliza serviços de terceiros que passam por avaliação de segurança antes da contratação:

  • Railway: Hospedagem de aplicações e bancos de dados (SOC 2 Type II)
  • Google Cloud: Serviços de autenticação e APIs (ISO 27001, SOC 2)
  • Meta (WhatsApp Business API): Comunicação com clientes
  • OpenAI: Processamento de linguagem natural para funcionalidades de IA
  • Redis: Cache e filas de mensagens em memória

Todos os fornecedores são contratados com cláusulas de proteção de dados e estão sujeitos a acordos de processamento de dados (DPA) quando aplicável.

10. Responsabilidades

10.1. Lumni Educação

  • Manter e atualizar esta política periodicamente
  • Implementar e monitorar os controles de segurança descritos
  • Treinar colaboradores em boas práticas de segurança
  • Responder a incidentes e notificar os afetados conforme a lei
  • Garantir que fornecedores cumpram padrões adequados de segurança

10.2. Clientes (Escolas e Gestores)

  • Manter suas credenciais de acesso confidenciais e não as compartilhar
  • Notificar imediatamente a Lumni em caso de suspeita de acesso não autorizado
  • Utilizar senhas fortes e habilitar autenticação de dois fatores quando disponível
  • Não utilizar os sistemas da Lumni para fins ilícitos ou não autorizados

11. Conformidade Legal

Esta política está alinhada com as seguintes normas e legislações:

  • LGPD — Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
  • Marco Civil da Internet — Lei nº 12.965/2014
  • ISO/IEC 27001 — Referência para gestão de segurança da informação
  • OWASP Top 10 — Boas práticas de segurança em aplicações web

12. Reporte de Vulnerabilidades

Se você identificou uma vulnerabilidade de segurança em nossos sistemas, pedimos que nos comunique de forma responsável antes de divulgar publicamente. Envie os detalhes para privacidade@lumnieducacao.com.br com o assunto "Reporte de Vulnerabilidade". Nos comprometemos a responder em até 48 horas.

13. Alterações nesta Política

Esta política pode ser atualizada periodicamente para refletir mudanças em nossos sistemas, práticas ou obrigações legais. A versão mais recente estará sempre disponível nesta página, com a data de última atualização indicada no topo.

14. Contato

Para dúvidas, reportes ou solicitações relacionadas a esta Política de Segurança da Informação, entre em contato:

Esta política é efetiva a partir de Fevereiro de 2026.
Última atualização: 23 de Fevereiro de 2026

Política de Privacidade Voltar ao Início