Política de Segurança da Informação

Política de Segurança da Informação RPACS Cloud

1. Objetivo

Esta Política de Segurança da Informação tem como finalidade estabelecer diretrizes, normas e procedimentos para proteger a confidencialidade, integridade e disponibilidade das informações tratadas nas plataforma RPACS Cloud, de propriedade da NM COMÉRCIO E SOLUÇÕES EM TECNOLOGIA PARA MEDICINA LTDA (NETWORK MEDICAL), pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 65.760.274/0001-24, sediada no endereço na Avenida Capitão João, nº 70 C, Conj. 206, Bairro: Matriz, Mauá, SP, CEP: 09360-120, garantindo conformidade com a Lei Geral de Proteção de Dados (LGPD) e demais legislações aplicáveis.

As plataformas RPACS Cloud adotam práticas alinhadas às legislações e normas aplicáveis, incluindo:

Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018)
Marco Civil da Internet (Lei 12.965/2014)
Normas ISO 27001 (Segurança da Informação) e ISO 27018 (Proteção de Dados em Nuvem)
Registro de produto na Agência Nacional de Vigilância Sanitária – ANVISA (aplicável a softwares de saúde)

2. Abrangência

Esta Política de Segurança da Informação aplica-se a todos os usuários, colaboradores e recursos tecnológicos relacionados à plataforma RPACS Cloud, compreendendo:

Usuários finais: profissionais de saúde, pacientes e administradores que acessam e utilizam as funcionalidades da plataforma.

Colaboradores, parceiros e prestadores de serviços da NM COMÉRCIO E SOLUÇÕES EM TECNOLOGIA PARA MEDICINA LTDA (NETWORK MEDICAL), CNPJ nº 65.760.274/0001-24, que tenham acesso, direto ou indireto, a informações, dados pessoais ou dados sensíveis tratados pela plataforma.

Infraestrutura tecnológica: todos os sistemas, serviços, dispositivos, redes, ambientes de hospedagem (incluindo o Microsoft Azure), integrações de terceiros, APIs, aplicativos e demais componentes que suportam o funcionamento das plataformas RPACS Cloud.

Fluxos de dados e operações de saúde: todas as etapas do ciclo de vida da informação em saúde (coleta, armazenamento, processamento, transmissão, disponibilização e descarte), inclusive laudos, exames, imagens médicas, relatórios clínicos e informações administrativas.

3. Princípios de Segurança da Informação

As plataformas RPACS Clouds adotam princípios fundamentais, alinhados às melhores práticas da Segurança da Informação:

Confidencialidade: garantia de que dados pessoais, sensíveis e clínicos sejam acessados apenas por pessoas, sistemas ou processos devidamente autorizados, com mecanismos de autenticação forte, controle de acessos e registros auditáveis.

Integridade: compromisso com a precisão, consistência e completude das informações, prevenindo alterações indevidas, perda de dados ou adulteração de laudos, exames e registros médicos.

Disponibilidade: assegura que os serviços e dados da plataforma estejam acessíveis de forma contínua e estável, conforme requisitos operacionais e regulatórios da área da saúde, por meio de redundância, planos de contingência e recuperação de desastres.

Autenticidade: confirmação da identidade dos usuários e sistemas, garantindo que todas as transações, laudos e comunicações sejam legítimos, rastreáveis e atribuíveis ao responsável.

Rastreabilidade e Auditoria: todos os acessos, alterações e operações realizadas na plataforma são monitorados, registrados em logs e auditáveis, assegurando a transparência, a responsabilização e a prevenção de fraudes.

Legalidade e Conformidade: todo tratamento de dados segue estritamente a LGPD, o Marco Civil da Internet, o Código de Defesa do Consumidor, a RDC 657/2022 da ANVISA (quando aplicável a softwares como dispositivo médico – SaMD) e demais regulamentações pertinentes.

Responsabilidade Compartilhada: a proteção da informação é uma responsabilidade coletiva. Usuários, administradores, colaboradores e prestadores de serviços devem adotar boas práticas no uso da plataforma, protegendo suas credenciais e evitando condutas que comprometam a segurança.

Minimização e Necessidade: coleta e tratamento de dados pessoais e sensíveis limitados ao estritamente necessário para a prestação dos serviços de saúde, em conformidade com os princípios da LGPD.

Ética e Confiança: respeito à privacidade, à dignidade e à autonomia dos titulares de dados, especialmente pacientes, fortalecendo a confiança entre profissionais de saúde, usuários e a NETWORK MEDICAL.

4. Segurança da Plataforma

4.1. Infraestrutura

As plataformas RPACS Cloud são hospedadas em datacenters Microsoft Azure, com certificações de conformidade internacional, incluindo:

ISO 27001 – Sistema de Gestão de Segurança da Informação;
ISO 27017 – Controles de segurança específicos para serviços em nuvem;
ISO 27018 – Proteção de dados pessoais em ambientes de nuvem pública;
ISO 27701 – Gestão de privacidade da informação (extensão da ISO 27001 para LGPD/GDPR);
SOC 1, SOC 2 e SOC 3 – Controles de segurança, privacidade e disponibilidade auditados por terceiros;

A infraestrutura de nuvem utiliza arquitetura de alta disponibilidade e escalabilidade, com múltiplas zonas de disponibilidade e replicação geográfica de dados, garantindo resiliência contra falhas físicas ou lógicas.

São implementadas medidas de continuidade de negócios (Business Continuity Planning – BCP) e recuperação de desastres (Disaster Recovery – DRP), com planos testados periodicamente para assegurar a rápida restauração dos serviços em caso de incidentes críticos.

Os backups automáticos são realizados a cada 12 horas, com retenção mínima conforme exigências legais e regulatórias da área da saúde (ANVISA, LGPD e normativas do Conselho Federal de Medicina), além de utilização de métodos de armazenamento redundante e criptografado.

O acesso administrativo à infraestrutura é restrito, controlado por autenticação multifator (MFA) e revisões periódicas de privilégios.

Para mais informações sobre certificações e conformidade do Azure: Microsoft Compliance

4.2. Proteção de Dados

Criptografia em trânsito: todos os dados transmitidos entre usuários, sistemas e integrações são protegidos com SSL/TLS 1.2 ou superior, 256 bits, garantindo confidencialidade e integridade das comunicações.

Criptografia em repouso: dados armazenados em banco de dados, laudos médicos, imagens de exames e backups são protegidos com AES-256 e gestão de chaves realizada em HSMs (Hardware Security Modules), seguindo normas de alta segurança.

Segregação lógica de ambientes: os ambientes de produção, homologação e desenvolvimento são completamente isolados, prevenindo acesso indevido e vazamento de dados.

Gestão de acessos privilegiados: acessos administrativos são restritos a perfis autorizados, monitorados em tempo real e protegidos com autenticação multifator (MFA), políticas de least privilege e revisões periódicas de privilégios.

Monitoramento e prevenção de ameaças: a infraestrutura conta com soluções de DLP (Data Loss Prevention), EDR (Endpoint Detection and Response) e proteção contra malwares, ransomware e ataques de engenharia social.

Conformidade regulatória: o tratamento de dados segue rigorosamente a LGPD, o Marco Civil da Internet, as RDCs da ANVISA aplicáveis a softwares de saúde (SaMD), bem como normas internacionais como, ISO 27018 e GDPR (quando aplicável a clientes internacionais).

4.3. Desenvolvimento Seguro

Ciclo de vida seguro (SSDLC): o desenvolvimento das plataformas RPACS Cloud segue metodologias de Secure Software Development Lifecycle (SSDLC), com integração de controles de segurança em todas as fases (planejamento, codificação, testes, implantação e manutenção).

Boas práticas de codificação: os times de engenharia seguem as diretrizes do OWASP Top 10 e OWASP API Security Top 10, mitigando riscos como SQL Injection, XSS, CSRF, Insecure Deserialization, Sensitive Data Exposure e outros.

Code Review e Análise Estática: todos os códigos passam por revisões técnicas manuais e automáticas (SAST – Static Application Security Testing), garantindo padronização, segurança e rastreabilidade.

Testes de segurança periódicos: são realizados Pentests independentes, DAST (Dynamic Application Security Testing) e testes de fuzzing, avaliando continuamente vulnerabilidades e expondo falhas antes que sejam exploradas.

Gestão de vulnerabilidades: vulnerabilidades identificadas são registradas, classificadas por criticidade (CVSS) e corrigidas dentro de prazos estabelecidos por políticas internas de segurança

Controle de versões e rastreabilidade: cada alteração no código é registrada em repositórios seguros (com Git e MFA habilitado), garantindo integridade e histórico completo para auditoria.

5. Controles de Acesso

Credenciais individuais e intransferíveis: cada usuário possui identificação exclusiva (login) e credenciais pessoais, através de e-mail ou username que não podem ser compartilhadas. O uso de contas genéricas ou compartilhadas é estritamente proibido.

Princípio do menor privilégio: os acessos são concedidos somente ao nível mínimo necessário para a execução das atividades, sendo revisados periodicamente para evitar privilégios excessivos.

Autenticação multifator (MFA): realizado através de certificado digital em nuvem com operação aprovada pelo titular via aplicativo.

Sessões seguras:

expiração automática após período de inatividade configurado;

término imediato em caso de logout ou detecção de comportamento anômalo;

renovação periódica de tokens de sessão com validação contínua.

Acessos privilegiados:

monitoramento contínuo de contas de administradores e auditores;

registro detalhado (log) de todas as atividades realizadas;

Revogação imediata de acessos: em caso de desligamento de colaborador, término de contrato ou alteração de função, os acessos são removidos imediatamente.

Auditoria e conformidade: todos os acessos são registrados e auditáveis, em conformidade com a LGPD, ANVISA (RDC 657/2022 para SaMD), ISO 27001 e ISO 27018.

6. Monitoramento e Auditoria

Armazenamento de registros (logs):

Todos os registros de acesso e atividades relevantes são armazenados por período mínimo de 6 meses, conforme determina o Marco Civil da Internet (Lei 12.965/2014), podendo ser mantidos por prazos superiores em função de requisitos legais, regulatórios (ANVISA) ou contratuais.

Os logs são imutáveis, protegidos contra adulteração e armazenados em ambiente seguro e criptografado.

Rastreabilidade de atividades:

o Todas as operações críticas — incluindo logins, alterações de dados cadastrais, acessos a imagens médicas, emissão de laudos, exportações e exclusões — são integralmente monitoradas e auditáveis.

Cada evento é vinculado de forma inequívoca ao usuário responsável, garantindo não repúdio.

Monitoramento contínuo (24x7):

Painéis de auditoria permitem acompanhamento contínuo de conformidade.

Gestão de incidentes de segurança:

Todo incidente identificado é registrado, categorizado, investigado e tratado conforme os procedimentos do Plano de Resposta a Incidentes.

Incidentes relacionados a dados pessoais ou sensíveis são tratados em conformidade com a LGPD, com reporte ao Controlador dos Dados e, quando aplicável, à ANPD (Autoridade Nacional de Proteção de Dados).

Usuários impactados serão notificados de forma transparente e em prazo razoável, conforme previsto na legislação.

Auditorias internas e externas:

A NETWORK MEDICAL realiza auditorias internas periódicas de segurança da informação, além de estar sujeita a auditorias externas de clientes, parceiros e órgãos reguladores (ANVISA, ANPD, Ministério da Saúde).

Relatórios de auditoria alimentam o processo de melhoria contínua do sistema de gestão de segurança.

Conformidade regulatória e internacional:

Os processos de monitoramento e auditoria atendem às exigências da LGPD, Marco Civil da Internet e RDC 657/2022 da ANVISA (aplicável a softwares como dispositivos médicos – SaMD).

Também estão alinhados a padrões internacionais como ISO 27001, ISO 27799 (segurança da informação em saúde) e ISO 27018 (proteção de dados em nuvem).

7. Gestão de Incidentes

Detecção e Registro

Todos os incidentes de segurança — incluindo acessos não autorizados, vazamentos de dados, falhas de integridade, indisponibilidade crítica, tentativas de ataque e violações de confidencialidade — devem ser imediatamente detectados, registrados e classificados quanto à gravidade e impacto.

O registro ocorre em sistemas específicos de gestão de incidentes (ticketing), garantindo rastreabilidade e documentação de todas as ações tomadas.

Classificação e Prioridade

Incidentes são categorizados conforme critérios de criticidade (alta, média, baixa) e impacto (operacional, legal, reputacional, regulatório).

Definição de SLAs (Service Level Agreements) para resposta e mitigação:

Críticos: resposta imediata e mitigação em até 24h;

Médios: mitigação em até 72h;

Baixos: mitigação em até 7 dias úteis.

Comunicação e Notificação

Todo incidente relacionado a dados pessoais ou dados sensíveis de saúde será reportado:

Ao Controlador dos Dados, de forma imediata;

À Autoridade Nacional de Proteção de Dados (ANPD), quando exigido pela LGPD;

À ANVISA, quando envolver funcionalidades reguladas como Software as a Medical Device (SaMD);

Aos usuários impactados, em prazo razoável e de forma clara, informando a natureza do incidente, dados comprometidos, riscos associados e medidas adotadas.

Correção e Aprendizado

Após cada incidente, é elaborado um Relatório Pós-Incidente (Post-Mortem Report) documentando:

causa raiz;

impacto real e potencial;

lições aprendidas.

As recomendações alimentam o processo de melhoria contínua do programa de segurança da NETWORK MEDICAL.

Treinamento e Testes

Colaboradores e prestadores de serviços recebem treinamentos recorrentes sobre como identificar, reportar e lidar com incidentes de segurança.

8. Obrigações dos Usuários

Todos os usuários das Plataformas RPACS Cloud (profissionais de saúde, pacientes, administradores e prestadores de serviços) devem cumprir as seguintes responsabilidades de segurança:

Proteção de credenciais

Manter login e senha sob uso estritamente pessoal e intransferível.

Não compartilhar, armazenar de forma insegura ou reutilizar senhas em outros sistemas.

Alterar imediatamente a senha em caso de suspeita de comprometimento.

Uso seguro de dispositivos

Utilizar equipamentos com antivírus, firewall e atualizações de segurança aplicadas regularmente

Evitar o uso de dispositivos não autorizados, públicos ou sem proteção adequada para acessar a plataforma.

Manter os navegadores e sistemas operacionais atualizados.

Confidencialidade e ética profissional

o Garantir que laudos, exames, imagens médicas e dados de pacientes não sejam compartilhados, copiados ou transmitidos sem a devida autorização e finalidade legítima.

Não realizar capturas de tela, gravações ou exportações de dados fora dos meios autorizados pela plataforma.

Respeitar os princípios de sigilo médico e confidencialidade, conforme Código de Ética Médica, LGPD e ANVISA.

Prevenção contra fraudes e engenharia social

Não acessar links suspeitos ou abrir anexos de e-mails que possam comprometer a segurança (phishing, malware).

Verificar sempre se comunicações da NETWORK MEDICAL partem de domínios oficiais (@rpacs.com.br; @rpacs.net; @rpacscloud.com.br e @network-med.com).

Reportar imediatamente qualquer tentativa de fraude, e-mails suspeitos ou chamadas falsas.

Comunicação de incidentes

o Notificar de imediato a equipe responsável sempre que identificar ou suspeitar de falhas de segurança, acessos indevidos, perda de dispositivos, vazamentos de dados ou uso irregular da conta.

Colaborar com investigações internas de incidentes de segurança, quando solicitado.

Uso responsável das plataformas

Utilizar as plataformas RPACS Cloud apenas para finalidades legítimas e relacionadas à assistência em saúde.

Não tentar acessar áreas restritas, realizar engenharia reversa, explorar falhas ou utilizar a plataforma de forma indevida.

Respeitar os termos de uso, política de privacidade e normas de segurança da informação vigentes.

Responsabilidade sobre dados

Profissionais de saúde devem zelar pela veracidade e integridade dos dados clínicos inseridos, sendo responsáveis pelo conteúdo dos laudos e registros associados aos pacientes.

Pacientes devem fornecer informações corretas, atualizadas e de sua própria titularidade.

9. Treinamento e Conscientização

• Treinamento obrigatório: todos os colaboradores, prestadores de serviços e parceiros que tenham acesso a informações ou sistemas da NETWORK MEDICAL devem participar de treinamentos obrigatórios em segurança da informação, proteção de dados pessoais e conformidade com a LGPD e ANVISA, no momento da contratação e de forma periódica.

Treinamentos contínuos:

o São realizados ciclos de capacitação abordando temas como: segurança digital, boas práticas no uso da plataforma, proteção de dados de saúde, prevenção de vazamentos, ética profissional e resposta a incidentes.

Campanhas de conscientização:

Envio periódico de comunicados, guias rápidos e materiais educativos aos usuários da plataforma.

Realização de simulações de phishing e testes de engenharia social para avaliar a prontidão e reforçar a atenção a fraudes digitais.

Divulgação de alertas sobre novas ameaças cibernéticas e boas práticas de proteção de dados.

Atualizações da política: todas as alterações na Política de Segurança da Informação, Política de Privacidade e Termos de Uso são comunicadas de forma clara e acessível a usuários, clientes, parceiros e colaboradores, assegurando que todos estejam cientes de seus deveres.

Engajamento dos usuários: usuários da Plataforma RPACS Cloud são incentivados a participar de boas práticas de segurança, com lembretes de não compartilhamento de credenciais, cuidados com dispositivos pessoais e reporte imediato de incidentes.

• Avaliação de eficácia: os treinamentos incluem testes de conhecimento, avaliações periódicas e indicadores de adesão, garantindo que os objetivos de conscientização sejam atingidos e documentados para auditorias internas e externas.

10. Revisão e Atualização

Periodicidade mínima: esta Política de Segurança da Informação será revisada anualmente, independentemente da ocorrência de mudanças externas ou internas, assegurando sua constante atualidade e eficácia.

Revisões extraordinárias: além da revisão anual, a política será atualizada sempre que ocorrerem:

Alterações significativas na legislação aplicável (LGPD, Marco Civil da Internet, normativas da ANPD, RDCs da ANVISA, GDPR, entre outras);

Mudanças relevantes na infraestrutura tecnológica, incluindo migração de datacenters, adoção de novas soluções em nuvem, atualizações críticas de software e alterações em arquitetura de sistemas;

Identificação de novas ameaças, vulnerabilidades ou incidentes de segurança que indiquem necessidade de reforço das medidas de proteção;

Recomendações provenientes de auditorias internas ou externas;

Feedback de usuários, clientes e órgãos reguladores que evidenciem pontos de melhoria.

Responsabilidade pela revisão: a revisão será conduzida pelo Comitê de Segurança da Informação e Privacidade da NETWORK MEDICAL, envolvendo representantes das áreas de TI, jurídico, compliance, operações e gestão de risco, assegurando visão multidisciplinar.

Aprovação e publicação:

A versão revisada deve ser aprovada pela alta direção da empresa antes de sua entrada em vigor;

Após aprovação, será publicada nos canais oficiais da NETWORK MEDICAL (website, portal do usuário e comunicados internos), garantindo ampla divulgação

Histórico de versões: cada revisão manterá um registro de alterações (versionamento), assegurando rastreabilidade das mudanças e facilitando auditorias futuras.

Melhoria contínua: as atualizações seguirão o ciclo de melhoria contínua PDCA (Planejar, Executar, Verificar e Agir), reforçando a evolução constante da política e sua aderência às melhores práticas de segurança da informação e proteção de dados em saúde.

11. Disposições Finais

• Consequências do descumprimento: o não cumprimento desta Política de Segurança da Informação poderá resultar em sanções administrativas, cíveis e criminais, conforme a legislação vigente, bem como em medidas internas que incluem, mas não se limitam a:

advertência formal;

suspensão temporária de acesso às plataformas;

descredenciamento definitivo do usuário, colaborador ou prestador de serviços;

responsabilização por perdas e danos, quando aplicável.

Integração normativa: esta política é parte integrante e inseparável dos Termos de Uso e da Política de Privacidade das plataformas RPACS Cloud, prevalecendo sobre quaisquer disposições conflitantes relacionadas à segurança da informação.

Caráter vinculante: ao acessar e utilizar as plataformas RPACS Cloud, os usuários, colaboradores e prestadores de serviços declaram ciência e concordância com todas as disposições desta política, reconhecendo sua obrigatoriedade e caráter vinculante.

Base legal e regulatória: esta política deve ser interpretada em conjunto com a legislação brasileira, especialmente a LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), normativas da ANPD, e regulamentações aplicáveis da ANVISA relacionadas a softwares de saúde (SaMD – Software as a Medical Device).

Prevalência em auditorias: em processos de auditoria interna ou externa, esta política será considerada documento oficial de referência, servindo como comprovação das diretrizes de segurança adotadas pela NETWORK MEDICAL para proteção dos dados de saúde processados nas plataformas RPACS Cloud.

Tolerância e não renúncia: a eventual tolerância ao descumprimento de qualquer disposição desta política não constituirá renúncia ou novação das obrigações nela previstas, nem impedirá a exigibilidade de seu cumprimento a qualquer tempo.

Foro e jurisdição: para dirimir quaisquer controvérsias oriundas desta política, aplica-se a legislação brasileira, sendo eleito o foro da comarca do domicílio da NETWORK MEDICAL, salvo disposição legal em contrário.