Segurança no BlackOpero
A proteção dos dados dos nossos clientes e seus pacientes é nossa prioridade máxima. Conheça as medidas que implementamos para garantir a segurança da sua clínica.
LGPD Compliant
SSL/TLS Encryption
SOC 2 Type II (Providers)
PCI DSS Level 1 (Stripe)
99.9% Uptime SLA
Recursos de Segurança
Criptografia de Ponta a Ponta
Todos os dados são criptografados em trânsito (TLS 1.3) e em repouso (AES-256). Suas informações nunca são expostas em texto simples.
TLS 1.3AES-256
Autenticação Segura
Oferecemos autenticação via Google OAuth 2.0 verificado, com suporte a autenticação de dois fatores (2FA) para maior proteção.
OAuth 2.02FASSO
Infraestrutura em Nuvem
Hospedado em data centers certificados com redundância geográfica, backups automáticos diários e monitoramento 24/7.
AWSBackup Diário99.9% Uptime
Controle de Acesso Granular
Sistema de permissões por papel (RBAC) que permite definir exatamente o que cada membro da equipe pode acessar.
RBACAudit Logs
Privacidade por Design
Seguimos os princípios de Privacy by Design. Coletamos apenas dados essenciais e oferecemos controle total ao usuário.
LGPDGDPR Ready
Conformidade Regulatória
Em total conformidade com a Lei Geral de Proteção de Dados (LGPD) e melhores práticas internacionais de segurança.
LGPDISO 27001*
Infraestrutura de Classe Empresarial
Utilizamos os mesmos provedores de infraestrutura confiados por empresas como Notion, Figma, GitHub e milhares de outras empresas em todo o mundo.
Supabase
Banco de Dados & Autenticação
SOC 2 Type IIHIPAAGDPRISO 27001
Row Level Security (RLS)
Políticas de segurança a nível de linha garantem que cada clínica só acesse seus próprios dados, com isolamento total multi-tenant.
Criptografia PostgreSQL
Dados criptografados em repouso com AES-256 e em trânsito com TLS 1.3. Backups automáticos criptografados.
SOC 2 Type II Certified
Supabase possui certificação SOC 2 Type II, garantindo controles rigorosos de segurança, disponibilidade e confidencialidade.
HIPAA Compliant
Infraestrutura compatível com HIPAA para dados de saúde sensíveis, com BAA disponível para clientes enterprise.
Autenticação Robusta
Sistema de auth com proteção contra brute force, rate limiting, e tokens JWT seguros com rotação automática.
Network Isolation
Banco de dados isolado em VPC privada com acesso apenas via conexões autenticadas e endereços IP permitidos.
Vercel
Hospedagem & CDN
SOC 2 Type IIGDPRPrivacy Shield
Edge Network Global
Aplicação distribuída em mais de 100 pontos de presença globais, garantindo baixa latência e alta disponibilidade.
DDoS Protection
Proteção automática contra ataques DDoS em todas as camadas, incluindo mitigação de ataques volumétricos e de aplicação.
SOC 2 Type II Certified
Vercel possui certificação SOC 2 Type II, auditada anualmente por terceiros independentes.
HTTPS Automático
Todos os domínios recebem certificados SSL/TLS automaticamente com renovação automática e HSTS habilitado.
Headers de Segurança
CSP, X-Frame-Options, X-Content-Type-Options e outros headers de segurança configurados por padrão.
Isolated Builds
Cada deploy é construído em ambientes isolados, sem acesso a builds anteriores ou de outros projetos.
Stripe
Pagamentos
PCI DSS Level 1SOC 1 Type IISOC 2 Type IIGDPR
PCI DSS Level 1
Stripe é certificado PCI DSS Level 1, o mais alto nível de certificação para processamento de cartões de crédito.
Tokenização de Cartões
Dados de cartão nunca passam pelos nossos servidores. Stripe tokeniza informações sensíveis em seus próprios sistemas.
Radar Fraud Detection
Machine learning que analisa milhões de transações para detectar e bloquear fraudes em tempo real.
3D Secure 2.0
Suporte a autenticação forte do cliente (SCA) para transações europeias e proteção adicional contra chargebacks.
SOC 1 & SOC 2
Certificações SOC 1 Type II e SOC 2 Type II, com auditorias anuais por empresas independentes.
Criptografia End-to-End
Todas as comunicações com a API são criptografadas via TLS, com chaves API rotacionáveis e webhooks assinados.
Segurança em IA
Seus Dados Estão Seguros com Nossa IA
Utilizamos Inteligência Artificial de forma responsável, com garantias contratuais de que seus dados nunca são usados para treinar modelos.
Dados Não Usados para Treinamento
Utilizamos APIs empresariais (OpenAI, Google, Anthropic) que garantem contratualmente que seus dados NÃO são usados para treinar modelos de IA.
Processamento Isolado
Cada requisição de IA é processada de forma isolada, sem armazenamento de contexto entre sessões ou entre clínicas diferentes.
Sem Retenção de Dados
Provedores de IA que usamos (via APIs empresariais) não retêm dados das requisições após o processamento. Zero-data-retention policy.
Anonimização Opcional
Oferecemos opção de anonimizar dados sensíveis (nomes, CPFs) antes de enviar para processamento de IA, garantindo privacidade adicional.
Processamento Regional
Utilizamos endpoints regionais quando disponíveis para manter os dados dentro de jurisdições específicas conforme requisitos de compliance.
Auditoria de Uso
Todas as interações com IA são registradas para auditoria, permitindo rastrear exatamente quais dados foram processados e quando.
Provedores de IA que Utilizamos
OpenAI
GPT-4 para análises e sugestões inteligentes
“API usage is not used for training. Data is retained for 30 days for abuse monitoring only.”
Ver política de privacidade →Google AI
Gemini para processamento de documentos
“Cloud AI APIs don't use customer data to train models. Data processed in isolated environments.”
Ver política de privacidade →Anthropic
Claude para assistência conversacional
“API data is not used for training. Enterprise-grade data handling with strict retention policies.”
Ver política de privacidade →Proteção de Dados
O que protegemos
- Dados pessoais de pacientes (nome, CPF, contato)
- Prontuários e histórico médico
- Imagens de exames e documentos
- Informações financeiras da clínica
- Credenciais de acesso e autenticação
Seus direitos (LGPD)
- Acesso aos seus dados a qualquer momento
- Correção de dados incorretos ou desatualizados
- Portabilidade dos dados para outro serviço
- Exclusão de dados mediante solicitação
- Informações sobre uso e compartilhamento
Práticas de Segurança
Testes de Segurança
Realizamos testes de penetração regulares e auditorias de código para identificar e corrigir vulnerabilidades.
Monitoramento Contínuo
Sistema de detecção de intrusões (IDS) e monitoramento de logs em tempo real para identificar atividades suspeitas.
Resposta a Incidentes
Equipe dedicada e procedimentos documentados para resposta rápida a qualquer incidente de segurança.
Atualizações de Segurança
Aplicamos patches de segurança críticos em até 24 horas e mantemos todas as dependências atualizadas.
Treinamento da Equipe
Toda a equipe passa por treinamentos regulares de segurança e conscientização sobre phishing.
Política de Senhas
Exigimos senhas fortes com requisitos mínimos de complexidade e incentivamos o uso de gerenciadores de senhas.
Encontrou uma Vulnerabilidade?
Se você descobriu uma vulnerabilidade de segurança no BlackOpero, por favor nos informe de forma responsável. Valorizamos a comunidade de segurança e trabalhamos para corrigir problemas rapidamente.
seguranca@blackopero.comRespondemos a todos os relatórios de segurança em até 24 horas.
* Certificação ISO 27001 em processo de obtenção. Seguimos as diretrizes e melhores práticas do padrão.
As certificações mencionadas (SOC 2, PCI DSS, etc.) referem-se aos nossos provedores de infraestrutura. Consulte as políticas individuais para detalhes.