Segurança de dados clínicos
Dado clínico é dado sensível — e tratá-lo bem é um requisito, não um diferencial. A Laudos.AI mantém um programa de segurança inspirado nas normas ISO/IEC 27001:2022 e ISO/IEC 27701:2019, com criptografia ponta a ponta da informação, residência de dados no Brasil, controle de acesso por papéis e trilha de auditoria imutável. Esta página descreve, sem rodeios, o que fazemos para proteger seus laudos.
Práticas de segurança
Controles técnicos e organizacionais aplicados de forma consistente em toda a plataforma (art. 46 da LGPD).
Criptografia em repouso
Dados armazenados com AES-256-GCM. Chaves gerenciadas em KMS/HSM, com rotação periódica e segregação de funções.
Criptografia em trânsito
TLS 1.3 em todas as conexões cliente-servidor e entre serviços internos. HSTS e cipher suites modernas.
Residência de dados no Brasil
Áudio, transcrição, texto do laudo e metadados clínicos são processados e armazenados em região de nuvem brasileira, com data residency contratual. Esses dados não saem do país.
Identidade e MFA
Autenticação nominal obrigatória, com MFA. Nada de contas compartilhadas: cada ação tem um responsável identificável.
RBAC com menor privilégio
Controle de acesso por papéis (radiologista, gestor, admin). Cada perfil enxerga apenas o necessário, com revisão periódica de permissões.
Isolamento multi-tenant
Segregação entre clientes via Row-Level Security no banco, evitando vazamento cruzado de dados entre instituições.
Auditoria imutável
Logs append-only, sem rota de exclusão. Cada evento sensível registra usuário, timestamp e contexto — base da trilha de auditoria do CRIT.
Defesas de borda
WAF, rate limiting e proteções contra as classes de ataque do OWASP Top 10 na camada de borda.
Residência de dados e soberania
Os dados clínicos sensíveis ficam no Brasil. O áudio ditado, a transcrição, o texto do laudo e os metadados clínicos são processados e armazenados em região de nuvem brasileira, com data residency contratual. Apenas serviços que não tocam dados de saúde (por exemplo, e-mail transacional sem conteúdo clínico no corpo) podem usar infraestrutura internacional, sempre sob as salvaguardas do art. 33 da LGPD.
Para instituições com exigência mais estrita de governança, há opções de implantação em VPC dedicada ou on-premise na região BR — detalhadas no plano Hospital em /precos.
Controle de acesso e segregação
Toda autenticação é nominal e protegida por MFA. O acesso segue o princípio do menor privilégio via RBAC: radiologista, gestor e administrador enxergam apenas o necessário. Entre instituições, o isolamento multi-tenant é garantido por Row-Level Security no banco de dados, impedindo vazamento cruzado. Permissões são revisadas periodicamente e o desligamento de um usuário revoga acessos de imediato.
Auditoria e trilha do CRIT
Eventos sensíveis são registrados em logs imutáveis (append-only), sem rota de exclusão. Essa base sustenta a trilha de auditoria do CRIT — a sinalização e comunicação de achados críticos —, em que cada etapa (detecção, confirmação médica, comunicação, aceite e usuário responsável) fica registrada com timestamp. Entenda o fluxo na página de conformidade.
Resposta a incidentes
Mantemos um plano de resposta a incidentes com papéis definidos e contenção priorizada. Quando um evento pode acarretar risco ou dano relevante aos titulares, notificamos a ANPD e o controlador em até 72 horas (Resolução CD/ANPD 15/2024), informando a natureza do evento, as categorias de dados envolvidas e o número de afetados. Pesquisadores de segurança podem reportar vulnerabilidades de forma responsável para security@laudos.ai; comprometemo-nos a responder em até 72 horas.
IA assistiva, sem treinar em dados clínicos identificáveis
A Laudos.AI é assistiva: estrutura o laudo e sinaliza coerência, mas a decisão clínica é do médico. Não usamos dados clínicos identificáveis para treinar modelos de base; eventuais melhorias se apoiam em telemetria agregada e anonimizada. Treinamento com material clínico só ocorre mediante consentimento granular e revogável — nunca por padrão.
Perguntas frequentes
A Laudos.AI tem certificação SOC 2 ou ISO 27001?
Nosso programa de segurança é inspirado nas normas ISO/IEC 27001:2022 e ISO/IEC 27701:2019, com controles equivalentes (criptografia, RBAC, auditoria imutável, gestão de incidentes). Não afirmamos certificações que não possuímos; quando houver auditoria formal de terceiros, isso será comunicado de forma explícita e verificável.
Os dados de pacientes ficam armazenados fora do Brasil?
Não. Os dados clínicos sensíveis (áudio, transcrição, texto do laudo, metadados clínicos) são processados e armazenados em região de nuvem brasileira, com data residency contratual. Apenas serviços que não tocam dados de saúde (PHI) podem usar infraestrutura internacional, sob as salvaguardas do art. 33 da LGPD.
Quem consegue acessar os meus laudos?
O acesso é nominal, com MFA e controle por papéis (RBAC) de menor privilégio, restrito ao escopo de cada usuário e à instituição (isolamento multi-tenant via Row-Level Security). Todo acesso a dado sensível é registrado em log imutável.
O que acontece em caso de incidente de segurança?
Acionamos o plano de resposta a incidentes. Quando o evento pode acarretar risco ou dano relevante, notificamos a ANPD e o controlador em até 72 horas (Resolução CD/ANPD 15/2024), com a natureza do evento, as categorias de dados envolvidas e o número de afetados. Reporte vulnerabilidades em security@laudos.ai.
A IA usa meus laudos para treinar modelos?
Não usamos dados clínicos identificáveis para treinar modelos de base. Melhorias se apoiam em telemetria agregada/anonimizada. Treinamento com material clínico só ocorre mediante consentimento granular e revogável.
Reportar uma vulnerabilidade
Encontrou um problema de segurança? Escreva para security@laudos.ai com a maior quantidade possível de detalhes técnicos. Pedimos divulgação responsável: dê-nos tempo razoável para corrigir antes de qualquer publicação. Para assuntos de privacidade, o contato é o Encarregado (DPO): natan@laudos.ai.
Segurança que não atrapalha o plantão
Criptografia ponta a ponta da informação, residência de dados no Brasil e trilha de auditoria — com o radiologista sempre no controle. Conheça a Laudos.AI ou fale com nosso time.