Segurança no iTutor
Escolas, universidades e equipes de T&D confiam ao iTutor os dados de aprendizado de alunos e colaboradores. Veja como protegemos esses dados — escrito para equipes de compras, administradores de TI e pais que desejam respostas concretas, não linguagem de marketing.
Criptografia de dados
Todo o tráfego entre seu navegador, a aplicação iTutor e nosso backend é criptografado em trânsito usando TLS 1.3. Os dados em repouso — incluindo materiais de estudo enviados, perfis de conta e registros de progresso — são criptografados com criptografia simétrica padrão de mercado na camada de armazenamento.
Credenciais de autenticação nunca são armazenadas em texto simples; as senhas são protegidas por hash com um algoritmo moderno de uso intensivo de memória com salts individuais por usuário.
Controle de acesso
O acesso à aplicação é governado por controle de acesso baseado em função. Em contas individuais, somente o titular da conta pode ler seus próprios dados. Em contas institucionais, os administradores definem as funções de professor e aluno, e a visibilidade é limitada à turma, curso ou coorte atribuída. O acesso a dados entre locatários é impedido na camada de consulta — nenhum caminho de consulta pode retornar dados de um locatário ao qual o solicitante não pertence.
O acesso da equipe do iTutor a dados de produção é restrito, registrado e concedido somente quando necessário para investigar um chamado de suporte ou diagnosticar um incidente. As ações da equipe sobre dados de usuários são auditáveis.
Opções de autenticação
Contas individuais utilizam autenticação por e-mail e senha, com opção de login via Google ou Apple ID. Contas institucionais podem exigir Logon Único (SAML 2.0, OIDC ou LTI 1.3), de modo que a instituição permanece como fonte da verdade para identidade. A autenticação de dois fatores está disponível em todos os planos de conta.
Backups e recuperação
Os bancos de dados de produção têm backup diário com recuperação pontual para uma janela de retenção definida. Os backups são criptografados em repouso e armazenados em uma região geográfica separada do sistema principal. Os procedimentos de recuperação são testados em cronograma regular.
Monitoramento e resposta a incidentes
Os logs de aplicação e infraestrutura são consolidados para monitoramento de segurança. Contamos com um processo interno de resposta a incidentes que cobre detecção, contenção, erradicação, recuperação e análise pós-incidente. Incidentes relevantes que afetem dados de clientes são comunicados aos clientes afetados sem atraso indevido, em conformidade com os requisitos regulatórios.
Teste de penetração
O iTutor realiza testes de penetração anuais por terceiros que cobrem a aplicação web, a superfície da API e o sistema de autenticação. As descobertas são acompanhadas até a remediação. Relatórios resumidos estão disponíveis para clientes institucionais sob NDA mediante solicitação.
Conformidade regulatória
O iTutor é desenvolvido com princípios de privacidade desde a concepção alinhados ao Regulamento Geral de Proteção de Dados da UE (GDPR). Para clientes institucionais, oferecemos Acordos de Processamento de Dados que articulam a relação controlador/processador, listas de subprocessadores, opções de residência de dados quando aplicável e fluxos de trabalho para solicitações de titulares de dados.
Para implantações em escolas, seguimos as expectativas de privacidade do setor educacional: minimização de dados, ausência de perfilamento publicitário comportamental de alunos e escopo estrito de quaisquer análises ao caso de uso educacional.
Divulgação de vulnerabilidades
Se você identificou um problema de segurança no iTutor, queremos saber. Envie-nos um e-mail no endereço abaixo com os passos para reprodução, o impacto e qualquer material de prova de conceito. Comprometemo-nos a acusar o recebimento do seu relatório em até 5 dias úteis, fornecer uma atualização de status em até 14 dias e coordenar o prazo de divulgação responsável com você.