Política de Privacidade

1. Quem somos

TOEIC Brasil — operadora oficial dos testes TOEIC no Brasil — é a controladora dos dados pessoais coletados via este portal app.toeic.com.br.

2. Quais dados coletamos

• Cadastro: nome completo, email, CPF (opcional), senha hasheada.
• Pedidos: produtos comprados, valor, método de pagamento, datas.
• Pagamento: processado por Pagar.me/Stone — não armazenamos dados completos de cartão. Mantemos apenas referência (charge_id) e status.
• Agendamento: data/hora/local da prova, código de confirmação.
• Resultados: scores TOEIC enviados pela ETS após realização da prova.
• Logs técnicos: IP, user-agent, timestamps de operações (auditoria).

3. Para que usamos seus dados

• Processar compras e emitir notas fiscais (Lei 9.279/96 + obrigação fiscal).
• Confirmar identidade na aplicação da prova (CPF + nome).
• Enviar resultados oficiais TOEIC à ETS (transferência internacional — EUA).
• Responder solicitações de suporte e LGPD.
• Análise interna de uso (dados agregados — não-identificáveis).

4. Base legal (LGPD Art. 7º)

• Consentimento — cookies opcionais (analytics, marketing).
• Execução de contrato — entrega de produtos comprados.
• Cumprimento de obrigação legal — emissão de NF-e, retenção fiscal de 5 anos.
• Legítimo interesse — auditoria, segurança, prevenção a fraude.

5. Compartilhamento com terceiros

• Pagar.me/Stone — gateway de pagamento (PIX, cartão, boleto).
• ETS (Educational Testing Service, EUA) — recebe resultado das provas. Transferência internacional baseada em adequação legal.
• Focus NFe — emissão de NF-e.
• Resend — envio de emails transacionais.
• Centros aplicadores credenciados — recebem dados mínimos do candidato (nome, CPF, código) para conferência presencial no dia da prova.

6. Seus direitos (LGPD Art. 18)

• Acesso aos seus dados (Art. 18 II) — disponível em /candidato/meus-dados.
• Correção de dados incorretos (Art. 18 III) — via Meu perfil (em desenvolvimento).
• Eliminação dos dados (Art. 18 VI) — disponível em /candidato/excluir-conta. Pedidos/NF-e ficam mantidos por 5 anos para compliance fiscal (Art. 16 I).
• Portabilidade (Art. 18 V) — JSON estruturado disponível no link de acesso acima.
• Revogação de consentimento — via banner de cookies ou contato.

7. Retenção

Dados de cadastro (email, nome) ficam armazenados enquanto a conta estiver ativa. Após exclusão, são anonimizados imediatamente. Pedidos, NF-e e logs de auditoria ficam retidos por 5 anos conforme exigência fiscal.

8. Segurança

Senhas armazenadas com bcrypt. API keys de integrações cifradas em repouso (AES-256 + S2K SHA-256 via pgcrypto). Comunicação via HTTPS obrigatória. Auditoria append-only.

9. Cookies

• Essenciais: sessão (NextAuth), CSRF, preferências de banner. Não podem ser desativados.
• Analytics (opcional): Google Analytics, Sentry. Carregados apenas com consentimento.
• Marketing (opcional): pixels de remarketing. Carregados apenas com consentimento.

10. Encarregado de Dados (DPO)

Para exercer seus direitos ou tirar dúvidas: dpo@toeic.com.br. Resposta em até 15 dias úteis (Art. 19 § 1º LGPD).

11. Mudanças nesta política

Alterações materiais serão notificadas por email aos usuários cadastrados. Acesse esta página periodicamente para a versão mais recente.