Política de segurança e privacidade da informação

1. Introdução 

A Genuine School reconhece que a informação é um ativo estratégico essencial para o cumprimento de sua missão educacional e de sua gestão institucional. Em um ambiente digital e global, sujeito a múltiplas jurisdições, a segurança da informação constitui elemento crítico para a preservação da confiança de alunos, famílias, colaboradores, parceiros e autoridades. 

A presente política estabelece a estrutura institucional para a proteção da informação, assegurando que seu tratamento ocorra segundo os mais elevados padrões de confidencialidade, integridade, disponibilidade e privacidade, em conformidade com a norma ISO/IEC 27001:2022 e com as disposições legais aplicáveis em cada país onde a Genuine School atua. 

2. Propósito 

O objetivo desta política é estabelecer os princípios, diretrizes e responsabilidades que regem a gestão e a proteção integral das informações institucionais tratadas pela Genuine School, assegurando sua confidencialidade, integridade, disponibilidade e privacidade, bem como seu uso ético, seguro e responsável. 

Este instrumento constitui a base normativa do Sistema de Gestão de Segurança da Informação (SGSI) institucional, criado para: 

  • Assegurar conformidade com a norma internacional ISO/IEC 27001:2022 e demais boas práticas aplicáveis à segurança da informação; 
  • Garantir conformidade regulatória em todas as jurisdições em que a Genuine School atua, incluindo, entre outras, Colômbia, Brasil, Estados Unidos e União Europeia; 
  • Proteger os direitos dos titulares de dados, com especial atenção aos menores de idade, mediante a adoção de medidas de segurança proporcionais à sensibilidade das informações; 
  • Apoiar o compromisso da Alta Direção com a gestão de riscos, a melhoria contínua e o fortalecimento de uma cultura organizacional que promova a segurança da informação. 

3. Escopo 

A presente política é de cumprimento obrigatório e aplica-se a toda a organização, abrangendo: 

  • Processos institucionais: Todos os processos estratégicos, essenciais e de apoio definidos no Mapa de Processos da Genuine School, bem como quaisquer processos derivados ou complementares que envolvam o tratamento de informações institucionais. 
  • Informações: Todos os dados, documentos ou conjuntos de dados gerados, processados, armazenados, transmitidos ou eliminados pela Genuine School, em qualquer formato ou meio, seja físico, digital ou audiovisual, incluindo informações próprias e informações recebidas ou tratadas em nome de terceiros. 
  • Pessoas: Todos os membros da comunidade educativa e partes interessadas, incluindo alunos, pais ou responsáveis legais, professores, colaboradores administrativos, diretores, fornecedores, contratados, parceiros estratégicos e quaisquer terceiros que tenham acesso a informações institucionais. 
  • Plataformas e serviços: Todos os sistemas, aplicações e serviços tecnológicos utilizados pela instituição, próprios ou de terceiros, tais como Microsoft 365, Teams, AWS, Jira, GitHub, BUK, Treble, entre outros, incluindo futuras ferramentas que venham a ser incorporadas. 
  • Ambientes físicos e virtuais: Todas as instalações físicas, sedes administrativas ou acadêmicas, ambientes de trabalho remoto, salas de aula virtuais, serviços em nuvem e quaisquer outros ambientes nos quais as informações institucionais sejam acessadas, processadas ou gerenciadas, independentemente da localização geográfica ou jurisdição. 

4. Fundamento jurídico e de referência 

A gestão da segurança da informação na Genuine School baseia-se em uma estrutura normativa e de boas práticas que integra padrões internacionais e a legislação vigente nas jurisdições em que a instituição atua. Essa estrutura constitui a base para a criação, implementação, monitoramento e melhoria contínua do Sistema de Gestão de Segurança da Informação (SGSI), assegurando conformidade com requisitos legais, contratuais e regulatórios aplicáveis. 

A presente política está fundamentada em: 

A. Normas e padrões internacionais: 

  • ISO/IEC 27001:2022 – Sistema de Gestão de Segurança da Informação (SGSI); 
  • ISO/IEC 27002:2022 – Controles de segurança da informação; 
  • Diretrizes e boas práticas do National Institute of Standards and Technology (NIST), quando aplicável. 

B. Legislação de proteção de dados e privacidade: 

  • Regulamento Geral sobre a Proteção de Dados (RGPD, União Europeia); 
  • Lei Geral de Proteção de Dados Pessoais (LGPD,Brasil); 
  • Lei 1581 de 2012 e Decreto 1377 de 2013 (Colômbia); 
  • Children’s Online Privacy Protection Act (COPPA, Estados Unidos); 
  • Family Educational Rights and Privacy Act (FERPA, Estados Unidos); 
  • Demais normas de proteção de dados e privacidade aplicáveis nas jurisdições em que a Genuine School atua ou possui usuários. 

C. Regulamentos setoriais e contratuais: 

  • Cláusulas contratuais firmadas com fornecedores e parceiros estratégicos que estabelecem requisitos de segurança e confidencialidade; 
  • Exigências regulatórias aplicáveis ao setor educacional e à prestação de serviços para ambientes digitais. 

D. Referências internas: 

  • Política de Privacidade e Tratamento de Dados Pessoais da Genuine School; 
  • Procedimentos e protocolos do SGSI; 
  • Plano de Resposta a Incidentes. 

Essa estrutura será revisada periodicamente, de forma a refletir alterações regulatórias, tecnológicas e organizacionais, garantindo sua plena vigência e eficácia. 

5. Princípios orientadores 

A gestão da segurança da informação na Genuine School é regida pelos seguintes princípios, em conformidade com a ISO/IEC 27001:2022, a legislação aplicável e as melhores práticas internacionais: 

  • Legalidade e licitude: todas as atividades de tratamento e gestão da informação serão realizadas em conformidade com a legislação vigente nas jurisdições onde a instituição opera, incluindo o RGPD, a LGPD, a Lei 1581, a FERPA, a COPPA, entre outras. 
  • Confidencialidade: o acesso às informações será restrito a pessoas devidamente autorizadas, de acordo com sua função e necessidade legítima. 
  • Integridade: as informações e os ativos a elas relacionados serão mantidos íntegros, exatos e protegidos contra alterações não autorizadas. 
  • Disponibilidade: as informações e os ativos estarão acessíveis aos usuários devidamente autorizados, no momento e no local necessários, de modo a assegurar a continuidade das operações. 
  • Rastreabilidade: todas as ações relevantes relacionadas às informações e aos ativos serão devidamente registradas, possibilitando a auditoria, o controle e a responsabilização. 
  • Integralidade na gestão de ativos: Todos os ativos de informação, físicos, digitais, humanos e intangíveis, serão devidamente identificados, inventariados e registrados no inventário institucional, assegurando a abrangência integral do escopo do SGSI. 
  • Atualização contínua do inventário: o inventário de ativos será mantido continuamente atualizado, com revisões periódicas e sempre que houver alterações relevantes em sua natureza, localização, estado, classificação ou titularidade. 
  • Classificação baseada no risco: a classificação dos ativos será realizada com base nos critérios de Confidencialidade, Integridade e Disponibilidade (C-I-D), considerando o impacto potencial decorrente de perda, alteração, divulgação não autorizada ou indisponibilidade. 
  • Controle de acesso proporcionalos direitos e as permissões de acesso a cada ativo serão concedidos conforme seu nível de classificação e criticidade, observando o princípio do menor privilégio e restringindo o acesso apenas às pessoas indispensáveis ao desempenho de suas funções. 
  • Minimização e proporcionalidade do tratamento: o tratamento de dados pessoais será restrito ao necessário para o atendimento da finalidade legítima que motivou sua coleta. 
  • Responsabilidade proativa: A instituição adotará medidas preventivas para identificar, mitigar e gerenciar os riscos antes que os incidentes ocorram. 
  • Melhoria contínua: o SGSI será periodicamente revisado e atualizado para adequar se às mudanças tecnológicas, regulatórias e organizacionais, fortalecendo a resiliência institucional. 

6. Definições 

Para os fins desta política, adotam-se as seguintes definições: 

  • Informação institucional: qualquer dado ou conjunto de dados relacionados às atividades acadêmicas, administrativas, contratuais, estratégicas ou de apoio da Genuine School em qualquer formato, meio ou mídia, seja físico, digital ou audiovisual. 
  • Sistema de Gestão da Segurança da Informação (SGSI): conjunto organizado de políticas, procedimentos, controles, recursos e estruturas de gestão destinados à proteção das informações institucionais e dos ativos associados, assegurando sua confidencialidade, integridade, disponibilidade e privacidade. 
  • Ativo de informação: qualquer recurso, bem ou elemento físico, digital, humano ou intangível que possua valor para a instituição e cujo uso, acesso, tratamento ou armazenamento possa influenciar o alcance dos objetivos estratégicos, institucionais ou de apoio. Todo ativo de informação deve receber medidas de proteção proporcionais ao seu valor, sensibilidade e nível de criticidade. 
  • Proprietário do ativo: pessoa, função ou instância formalmente designada responsável por assegurar que o ativo de informação seja identificado, classificado, protegido e gerenciado ao longo de todo o seu ciclo de vida, desde a aquisição ou criação até o seu descarte final. Também cabe a esse responsável definir os requisitos de segurança e autorizar os níveis de acesso correspondentes. 
  • Custodiante do ativopessoa, função ou área que, sob as diretrizes do proprietário do ativo, executa as ações necessárias para implementar, operar e manter os controles de segurança associados, garantindo sua correta utilização, armazenamento, proteção e disponibilidade. 
  • Classificação de ativos: processo sistemático de avaliação que determina o nível de proteção necessário para um ativo de informação, com base nos critérios de Confidencialidade, Integridade e Disponibilidade (C-I-D), bem como em sua sensibilidade, relevância operacional ou legal. 
  • Criticidade: medida que indica o grau de importância de um ativo para a instituição, resultante de sua classificação C-I-D e da estimativa do impacto que causaria sua perda, alteração, divulgação não autorizada ou indisponibilidade. 
  • Inventário de ativos: registro oficial, centralizado e continuamente atualizado que reúne todos os ativos de informação no âmbito do SGSI, contendo sua identificação, localização, proprietário, custodiante, classificação e demais informações relevantes para sua gestão e proteção. 
  • Titular dos dados: pessoa física cujos dados pessoais são tratados pela Genuine School, em conformidade com a legislação aplicável em matéria de proteção de dados. 

7. Objetivos da segurança da informação 

Os objetivos do Sistema de Gestão da Segurança da Informação (SGSI) da Genuine School são: 

  • Proteger os direitos dos titulares de dados pessoais, especialmente dos menores de idade, por meio da implementação de controles organizacionais, técnicos e de pessoal, de acordo com a sensibilidade e a criticidade das informações tratadas, em conformidade com a legislação vigente. 
  • Garantir a continuidade dos serviços acadêmicos, administrativos e de suporte, bem como a capacidade de recuperação diante de incidentes, interrupções ou desastres, minimizando o impacto sobre os processos críticos e as partes interessadas. 
  • Reduzir e gerir a exposição ao risco por meio de um processo contínuo de identificação, análise, avaliação, tratamento e monitoramento, considerando ameaças internas, externas, tecnológicas, operacionais e regulatórias. 
  • Manter um inventário institucional atualizado dos ativos de informação, garantindo sua identificação, classificação e atribuição de proprietários e custodiantes, de modo que sejam aplicadas medidas de proteção proporcionais ao seu nível de criticidade. 
  • Fortalecer a cultura de segurança da informação em toda a comunidade educacional e entre as partes interessadas, promovendo conscientização, capacitação e a adoção de boas práticas no uso seguro das informações e dos recursos tecnológicos. 
  • Assegurar a rastreabilidade e a evidência do cumprimento das normas, padrões e obrigações contratuais aplicáveis, por meio da manutenção de registros verificáveis e auditáveis que comprovem a conformidade do SGSI. 

8. Responsabilidades 

O cumprimento da presente política e a eficácia do Sistema de Gestão da Segurança da Informação (SGSI) dependerão da atribuição de funções e responsabilidades, que são estabelecidas da seguinte forma: 

8.1 Alta Direção 

  • Definir e aprovar a estratégia institucional de segurança da informação. 
  • Alocar os recursos humanos, técnicos e financeiros necessários para a implementação e manutenção do SGSI. 
  • Aprovar a presente política e suas revisões, bem como outras políticas relacionadas. 
  • Promover a cultura de segurança da informação em todos os níveis da organização. 
  • Zelar pelo cumprimento das obrigações legais, regulatórias e contratuais nas jurisdições onde a instituição opera. 

8.2 CISO – Chief Information Security Officer 

  • Liderar a implementação técnica, operacional e administrativa do SGSI. 
  • Coordenar a identificação, classificação e gestão dos ativos de informação, garantindo sua proteção durante todo o ciclo de vida. 
  • Coordenar a gestão de incidentes de segurança, incluindo a análise de causa raiz e a definição de ações corretivas e preventivas. 
  • Planejar e supervisionar auditorias internas e revisões do SGSI. 
  • Coordenar as avaliações de riscos e o monitoramento dos planos de tratamento. 
  • Reportar periodicamente à Alta Direção sobre o desempenho do SGSI e as necessidades de melhoria. 

8.3 Comitê de Segurança da Informação 

Órgão interdisciplinar responsável por: 

  • Aprovar planos de ação, políticas específicas e procedimentos operacionais relacionados à segurança da informação. 
  • Validar a classificação dos ativos de informação e as avaliações de impacto, incluindo as avaliações de impacto à proteção de dados (DPIA). 
  • Coordenar a resposta institucional a incidentes de segurança, assegurando a devida comunicação interna e externa. 
  • Avaliar e recomendar medidas diante de novas ameaças, vulnerabilidades ou mudanças regulatórias. 
  • Revisar e propor melhorias aos controles existentes, com o objetivo de assegurar sua eficácia contínua. 

8.4 Encarregado pelo Tratamento de Dados Pessoais (DPO) 

  • Supervisionar o cumprimento das normas relacionadas à proteção de dados pessoais e privacidade. 
  • Liderar a gestão dos direitos dos titulares (acesso, retificação, exclusão, portabilidade, oposição, entre outros). 
  • Coordenar avaliações de impacto sobre a privacidade (DPIA) quando o tratamento envolver alto risco. 
  • Gerenciar a notificação de incidentes de segurança ou violações de dados às autoridades competentes e aos titulares, de acordo com a legislação aplicável. 
  • Assessorar a Alta Direção, o CISO e as áreas operacionais em temas relacionados à proteção de dados. 

8.5 Usuários 

Todos os membros da Genuine School e partes interessadas com acesso a informações institucionais devem: 

  • Cumprir esta política e os procedimentos associados ao SGSI. 
  • Utilizar as informações e os recursos institucionais de forma responsável, ética e de acordo com a finalidade autorizada. 
  • Proteger suas credenciais de acesso e dispositivos contra o uso indevido. 
  • Relatar imediatamente qualquer incidente, anomalia ou suspeita de vulnerabilidade ao CISO ou ao Comitê de Segurança da Informação. 
  • Participar das atividades de treinamento e conscientização em segurança da informação definidas pela instituição. 

9. Abordagem de gestão de riscos 

A gestão de riscos de segurança da informação na Genuine School é um processo contínuo e sistemático que tem como objetivo identificar, avaliar, tratar e monitorar os riscos que possam afetar a confidencialidade, integridade, disponibilidade ou privacidade das informações institucionais, bem como a continuidade das operações. 

Essa abordagem é baseada nos seguintes princípios: 

  • Cobertura integral: a gestão inclui todos os ativos relacionados a informações, processos, pessoas, tecnologias, locais físicos e serviços externos abrangidos pelo SGSI. 
  • Metodologia padronizada: adota-se um método formal de análise e avaliação de riscos, alinhado à ISO/IEC 27005 e às diretrizes complementares aplicáveis, que combina critérios qualitativos e quantitativos conforme a natureza do ativo e o impacto potencial. 
  • Perspectiva multijurisdicional: são considerados todos os requisitos legais, regulatórios e contratuais aplicáveis nos Estados Unidos, na Colômbia, no Brasil, na União Europeia e em qualquer outra jurisdição onde a instituição tenha operações ou usuários. 
  • Classificação e criticidade: a avaliação de riscos fundamenta-se na classificação dos ativos segundo os critérios de Confidencialidade, Integridade e Disponibilidade (C-I-D), a partir da qual se determina a criticidade de cada ativo e o nível de proteção requerido. 
  • Priorização do tratamento: os riscos são priorizados com base em sua probabilidade e impacto, sendo adotadas medidas de tratamento preventivas, detectivas e corretivas, proporcionais e economicamente viáveis. 
  • Revisão periódica: as análises de riscos são revisadas, no mínimo, anualmente e sempre que houver mudanças relevantes nos processos, tecnologias, localização dos ativos, requisitos legais ou na estrutura organizacional. 
  • Registro e rastreabilidade: todos os resultados da gestão de riscos, bem como os planos de tratamento e seu acompanhamento, são documentados em registros oficiais, garantindo rastreabilidade e evidência para auditorias internas e externas. 

O CISO, em coordenação com o Comitê de Segurança da Informação, é responsável por liderar esse processo, assegurando a participação dos proprietários dos ativos, custodiantes e demais partes interessadas. 

10. Classificação e proteção das informações 

A classificação das informações é um pilar fundamental do Sistema de Gestão da Segurança da Informação (SGSI), pois permite atribuir medidas de proteção proporcionais à sensibilidade, criticidade e risco associados a cada ativo. A Genuine School adota um modelo de classificação em três níveis de sensibilidade funcional, aprovado pela Alta Direção e baseado na norma ISO/IEC 27001:2022, controles A.5.12 e A.5.13, bem como na legislação aplicável nos Estados Unidos, na Colômbia, no Brasil e na União Europeia. 

10.1 Princípios gerais 

  • Cobertura integral: Todos os ativos de informação, independentemente do formato (físico, digital, audiovisual, humano ou intangível), devem ser classificados e protegidos. 
  • Base em C-I-D: a classificação considera os critérios de Confidencialidade, Integridade e Disponibilidade, bem como os impactos legais, reputacionais, operacionais e financeiros em caso de incidente. 
  • Etiquetagem obrigatória: todo ativo deve possuir uma etiqueta física ou digital que indique seu nível de classificação. 
  • Atualização contínua: a classificação será revisada periodicamente e sempre que houver qualquer alteração na natureza, localização, criticidade ou propriedade do ativo. 
  • Relação com o inventário de ativos: a classificação e o proprietário/custodiante devem estar registrados no Inventário Institucional de Ativos de Informação. 

Nível 

Definição e escopo 

Nível 1 – Público 

Informações institucionais divulgadas de forma legítima e controlada, cujo acesso não representa riscos significativos para a confidencialidade, a privacidade ou a segurança da informação. Esta classificação não se aplica a dados pessoais de menores de idade, salvo se houver consentimento explícito, informado e verificável do titular ou de seu representante legal. Também não se aplica a dados pessoais padrão de adultos sem o respectivo consentimento informado, nem a informações internas ou institucionais, as quais só poderão ser divulgadas mediante autorização prévia, por escrito e expressa da Genuine School. 

Nível 2 – Confidencial 

Dados pessoais padrão de adultos ou documentos internos estratégicos da Genuine School que não contenham informações sensíveis nem dados de menores de idade. A divulgação, o acesso ou o uso não autorizado dessas informações podem afetar as operações, a conformidade regulatória ou a reputação da instituição. 

Nível 3 – Restrito 

Dados pessoais de menores de idade, bem como dados sensíveis de adultos e qualquer informação de natureza penal, judicial ou de alta criticidade institucional. 

A divulgação, o acesso não autorizado ou o uso indevido dessas informações podem gerar graves impactos legais, reputacionais, operacionais e éticos para as pessoas envolvidas e para a Genuine School. 

10.2 Considerações adicionais 

  • Dados de menores: são sempre classificados como Nível 3 – Restrito, independentemente de sua natureza, e exigem consentimento explícito e verificável, salvo quando houver outra base legal aplicável. 
  • Dados criminais/judiciais: são dados sujeitos a acesso restrito, com rastreabilidade reforçada e fundamentação jurídica documentada para qualquer divulgação indevida. 
  • Documentos internos sem dados pessoais: embora não contenham informações pessoais, se forem estratégicos ou operacionais, são classificados como Nível 2 – Confidencial. 
  • Publicação online: a visibilidade na internet não implica caráter público; é necessária verificação legal e, no caso de menores, consentimento verificável. 

11. Estratégia de implementação e controles 

A Genuine School aplicará um conjunto integrado de controles técnicos, organizacionais, físicos e contratuais, que serão projetados e gerenciados para proteger os ativos de informação de acordo com sua classificação, criticidade e nível de risco. Esses controles serão implementados de forma coerente com os princípios do Sistema de Gestão da Segurança da Informação (SGSI), de acordo com as normas internacionais e os requisitos legais aplicáveis em todas as jurisdições onde a instituição opera. 

11.1 Controles técnicos 

Serão desenvolvidas e aplicadas medidas tecnológicas destinadas a proteger as informações institucionais contra acessos não autorizados, perda, alteração ou divulgação indevida. Essas medidas serão revisadas e ajustadas periodicamente para garantir sua eficácia contra ameaças emergentes. 

11.2 Controles organizacionais 

Serão estabelecidas políticas, procedimentos e funções claramente definidas para regular a gestão segura da informação, promovendo uma cultura focada na segurança e garantindo que todos os membros da comunidade educacional compreendam e cumpram suas responsabilidades. 

11.3 Controles de pessoas 

Serão estabelecidos mecanismos e práticas voltados para regular, supervisionar e responsabilizar as pessoas que acessam, tratam ou administram informações institucionais, garantindo que apenas o pessoal devidamente autorizado, de acordo com suas funções e responsabilidades, possa acessar e fazer uso dessas informações. 

11.4 Controles contratuais e de terceiros 

Serão implementados cláusulas, acordos e compromissos formais com fornecedores, parceiros estratégicos e terceiros que tenham acesso a informações institucionais, garantindo que cumpram as mesmas exigências de segurança e confidencialidade que a instituição aplica internamente. 

12. Gestão de incidentes e continuidade do serviço 

A. Marco de atuação 

  • Todo incidente de segurança da informação será gerenciado de acordo com o Protocolo de Resposta a Incidentes do SGSI e demais procedimentos específicos associados a cada nível de classificação da informação (Público, Confidencial, Restrito). 
  • A gestão de incidentes seguirá as etapas de detecção, contenção, erradicação, recuperação e lições aprendidas, de acordo com as boas práticas da ISO/IEC 27035. 

B. Notificação e relatório 

  • Todo membro da comunidade educacional, fornecedor ou terceiro que detectar um incidente ou suspeitar de uma vulnerabilidade deverá relatá-lo imediatamente ao CISO ou ao Comitê de Segurança da Informação, por meio dos canais estabelecidos. 
  • A notificação deverá incluir, no mínimo: descrição do incidente, data/hora, sistema ou ativo afetado, classificação da informação comprometida e ações preliminares realizadas. 

C. Análise e documentação 

  • O CISO coordenará a análise de causa raiz, com o objetivo de identificar a origem, a extensão e o impacto do incidente, bem como verificar o eventual envolvimento de dados pessoais, informações confidenciais ou ativos críticos. 
  • Todo incidente será documentado no Registro Institucional de Incidentes de Segurança, incluindo evidências digitais, ações de mitigação e medidas preventivas adotadas. 

D. Notificação às autoridades e aos titulares 

  • Quando um incidente envolver dados pessoais ou sensíveis, as autoridades competentes e os titulares afetados serão notificados, respeitando os prazos e requisitos legais da jurisdição aplicável (por exemplo, RGPD – UE, LGPD – Brasil, FERPA/COPPA – EUA ou Lei 1581 – Colômbia). 
  • Toda notificação deverá conter evidência documental de seu envio e conteúdo. 

E. Plano de continuidade de serviço 

  • A Genuine School manterá atualizado seu Plano de Continuidade de Serviço e o integrará ao Plano de Recuperação de Desastres (DRP), garantindo a continuidade dos processos acadêmicos e administrativos críticos diante de incidentes disruptivos. 
  • O plano será testado, no mínimo, uma vez por ano por meio de simulações, testes de restauração e exercícios de recuperação de dados. 

F. Melhoria contínua 

  • Após cada incidente, será realizada uma análise pós-incidente para identificar oportunidades de melhoria nos controles técnicos, organizacionais ou de pessoal, bem como nos procedimentos e na capacitação dos funcionários. 
  • As lições aprendidas serão integradas ao SGSI e comunicadas às áreas relevantes para evitar recorrências. 

13. Revisão e melhoria contínua 

A presente política será objeto de revisão e atualização de forma periódica e sistemática, com o objetivo de garantir sua pertinência, eficácia e alinhamento com o marco normativo, os objetivos estratégicos e o contexto operacional da Genuine School. 

A revisão será realizada pelo menos uma vez por ano e, de forma extraordinária, quando: 

  • Ocorrerem mudanças significativas na legislação aplicável em qualquer uma das jurisdições onde a instituição opera. 
  • Forem incorporadas novas plataformas, tecnologias, processos ou serviços que impliquem o tratamento de informações institucionais. 
  • Forem detectadas vulnerabilidades, incidentes ou não conformidades que comprometam a segurança da informação. 
  • Assim for determinado por uma auditoria interna ou externa, ou recomendado pelo Comitê de Segurança da Informação. 

O processo de revisão será liderado pelo CISO, validado pelo Comitê de Segurança da Informação e aprovado pela Alta Direção, garantindo a rastreabilidade das alterações e a comunicação oportuna a todos os membros da comunidade educacional e partes interessadas. 

A melhoria contínua será integrada ao Sistema de Gestão da Segurança da Informação (SGSI) por meio da incorporação de lições aprendidas, resultados de auditorias, indicadores de desempenho e recomendações decorrentes da gestão de riscos. 

Última atualização: 05 de maio de 2026

Botón de WhatsApp