Voltar ao inicio
HomeoClinic Pro
Compativel com LGPD | Compativel com CFM | AES-256-GCM

Segurança e Conformidade

Detalhes completos sobre as medidas de segurança, criptografia e conformidade regulatória implementadas na plataforma HomeoClinic Pro.

Criptografia AES-256-GCM

Dados em Repouso

  • Todos os dados sensíveis de pacientes são criptografados com AES-256-GCM no nível da aplicação
  • Campos protegidos: nome, CPF, RG, endereço, profissão, convênio, notas clínicas
  • Consultas: queixa, anamnese, exame físico, diagnóstico, prescrição, evolução
  • Anamnese: todos os 8 campos (mental, geral, desejos, sono, transpiração, termorregulação, ginecologia, particular)
  • Chaves derivadas com PBKDF2 (100.000 iterações) ou Argon2id
  • Cada registro possui IV (vetor de inicialização) único

HTTPS / TLS 1.3

Dados em Transito

  • Todas as comunicações entre cliente e servidor utilizam HTTPS com TLS 1.3
  • HSTS habilitado com max-age de 63 dias e preload
  • Headers de segurança: X-Frame-Options DENY, X-Content-Type-Options nosniff
  • Content Security Policy (CSP) restritiva configurada
  • Permissions-Policy: camera e geolocalizacao bloqueados por padrao

Trilha de Auditoria Completa

Rastreabilidade Total

  • Todas as operações são registradas: login, criação/edição de pacientes, consultas, exportações
  • Captura automatica de IP do usuario em cada acao
  • Logs imutaveis com timestamp preciso
  • Acoes LGPD rastreadas: consentimento, anonimização, exportação de dados
  • Exportacao de logs em CSV para auditoria externa
  • Protecao contra injeção de fórmulas em CSV (csvSafe)

LGPD (Lei 13.709/2018)

Lei Geral de Proteção de Dados

  • Art. 11, II, 'f' — Processamento de dados de saude por profissionais de saude
  • Art. 18 — Direitos do titular: acesso, correção, exclusão, portabilidade implementados
  • Art. 41 — DPO (Encarregado) configuravel por clinica
  • Art. 46 — Medidas de segurança: criptografia, controle de acesso, auditoria
  • Art. 48 — Procedimento para notificacao de incidentes em 72 horas
  • Consentimento granular por paciente e por tipo (tratamento, processamento, compartilhamento)
  • Soft-delete de pacientes (dados mantidos por 20 anos conforme CFM, anonimizaveis)
  • Exportacao de dados do paciente em formato JSON para portabilidade

CFM (Conselho Federal de Medicina)

Resolução 1.821/2007

  • Prontuário eletrônico em conformidade com Resolução CFM 1.821/2007
  • Resolução CFM 1.638/2002 — Padrão de conteúdo de prontuário
  • Lei 13.787/2018 — Registros digitais com mesmo valor legal que papel
  • Imutabilidade de registros clínicos (audit trail, sem exclusão de consultas)
  • Retenção mínima de 20 anos para prontuários médicos
  • Suporte a assinatura digital (ICP-Brasil ou equivalente)

Controle de Acesso (RBAC)

Segurança por Papéis

  • Sistema de papéis: Administrador (13 permissões) e Médico (6 permissões)
  • Middleware de autenticacao em todas as rotas da API
  • Bloqueio de assinaturas canceladas/inadimplentes no nivel do middleware
  • Verificação de usuário desativado no login
  • Mensagens de erro unificadas para prevenir enumeracao de usuarios
  • Política de senha forte: mínimo 8 caracteres + maiúscula + minúscula + número + especial

Infraestrutura e Banco de Dados

Multi-tenant Seguro

  • PostgreSQL com isolamento por clinica (row-level security via clinicId)
  • Prisma ORM com queries parametrizadas (prevencao de SQL injection)
  • Rate limiting com Upstash Redis para prevencao de ataques de forca bruta
  • Monitoramento de erros com Sentry
  • Docker containerizado em servidor dedicado
  • Backup automatico diario do banco de dados

Auditoria de Segurança

0 Vulnerabilidades Conhecidas

  • 3 rodadas completas de auditoria de segurança realizadas
  • 27 vulnerabilidades corrigidas na primeira rodada (RBAC, SQL injection, criptografia)
  • 18 vulnerabilidades adicionais corrigidas na segunda rodada
  • 17 vulnerabilidades de dependências resolvidas na terceira rodada (npm audit)
  • Next.js atualizado para versão mais recente (0 CVEs pendentes)
  • Docker hardening: healthchecks, limites de recursos, validação de env vars
  • 100% dos dados sensíveis criptografados com AES-256-GCM
  • Rate limiting com log de ataques bloqueados

Tem dúvidas sobre segurança? Entre em contato.

Começar Gratuitamente