Segurança da informação no padrão do setor de saúde
Esta página reúne as práticas, controles e garantias de segurança adotadas pelo DocBlue para sustentar fluxos documentais críticos em hospitais, clínicas, laboratórios e operadoras de saúde. Transparência é parte do nosso contrato com cada instituição cliente.
Pilares de segurança
Os seis pilares abaixo orientam o desenho, a operação e a evolução contínua da plataforma.
Criptografia ponta a ponta
Dados em trânsito protegidos por TLS 1.2+ e dados em repouso cifrados com AES-256. Documentos, biometria e metadados críticos utilizam camadas dedicadas de criptografia aplicativa.
Residência de dados no Brasil
Dados pessoais, documentos e trilha de auditoria mantidos em infraestrutura hospedada no Brasil, aderente aos princípios de soberania previstos na LGPD.
Biometria facial do signatário
Captura facial do signatário com verificação de vivacidade, vinculada de forma indissociável ao documento assinado e à trilha de auditoria.
Integridade documental verificável
Hash SHA-256 do PDF original, carimbo de tempo e encadeamento de eventos para sustentar a integridade de cada documento no ciclo de vida completo.
Controle de acesso granular
Isolamento rígido por workspace, papéis operacionais, MFA opcional e auditoria de sessão para garantir segregação entre instituições e equipes.
Resposta a incidentes
Processo de resposta a incidentes de segurança e privacidade com comunicação ao DPO, registro formal e notificação aos titulares conforme previsto na LGPD.
Controles técnicos e organizacionais
Lista de controles adotados e mantidos pela equipe do DocBlue, agrupados por domínio.
Segurança da aplicação
- Revisão de código obrigatória e pipeline de build reprodutível
- Gerenciamento centralizado de segredos e variáveis sensíveis
- Monitoramento de dependências e correção de vulnerabilidades
- Headers de segurança, rate limiting e proteção contra brute force
Segurança da infraestrutura
- Infraestrutura segregada por ambiente (produção, homologação, desenvolvimento)
- Backups automatizados com retenção e testes periódicos de restauração
- Princípio do menor privilégio para acessos administrativos
- Logs operacionais centralizados com trilha auditável
Segurança operacional
- Processo formal de onboarding e offboarding de colaboradores
- Acordos de confidencialidade e política de segurança da informação
- Treinamento recorrente em segurança e proteção de dados
- Revisão periódica de acessos privilegiados
Privacidade e LGPD
- DPO designado e canal oficial para titulares de dados
- Privacy by design e by default em novas funcionalidades
- Base legal documentada para cada tipo de tratamento
- Política de retenção e eliminação segura de dados
Alinhamento regulatório e frameworks
A plataforma foi desenhada para atender às exigências regulatórias do setor de saúde no Brasil e utiliza frameworks internacionais como referência técnica.
RDC 786/2023 ANVISA
Digitalização e uso de sistemas informatizados para guarda e manuseio de documentos no setor de saúde.
LGPD (Lei 13.709/2018)
Tratamento de dados pessoais com base legal, finalidade, transparência e direitos dos titulares.
MP 2.200-2/2001
Validade jurídica dos documentos eletrônicos no Brasil e presunção de autenticidade.
CFM 1.821/2007
Normas técnicas concernentes à digitalização e uso dos sistemas informatizados para guarda e manuseio de documentos de saúde.
ISO/IEC 27001 (referência)
Boas práticas internacionais de gestão de segurança da informação adotadas como guia de controle.
NIST CSF (referência)
Framework de cibersegurança utilizado como referência para identificação, proteção, detecção, resposta e recuperação.
Canais de segurança e privacidade
Reportar vulnerabilidades, incidentes ou exercer direitos de titular de dados é parte do nosso compromisso de transparência. Entre em contato diretamente com os canais responsáveis.
Relato de vulnerabilidades
Encontrou uma possível falha de segurança? Reporte de forma responsável para que possamos investigar e corrigir.
[email protected]Encarregado pelo tratamento de dados (DPO)
Para exercício de direitos do titular de dados pessoais, dúvidas ou requisições formais relacionadas à LGPD.
[email protected]