Proteção de dados, na prática

1. Como tratamos a segurança

A segurança é tratada como prioridade. Adotamos medidas técnicas e organizacionais, proporcionais à sensibilidade das informações, com o objetivo de reduzir riscos e proteger os dados. Nenhum sistema está totalmente livre de riscos, e por isso trabalhamos de forma contínua para mantê-los baixos.

Cada parte tem o seu papel. O Gestãopsico cuida da infraestrutura e dos controles da plataforma. O profissional e a clínica respondem pelo conteúdo que registram, pelo sigilo profissional e pelo acesso que concedem à sua equipe.

2. Autenticação e proteção da conta

O acesso depende de credenciais individuais. A plataforma oferece verificação em duas etapas, que adiciona uma camada extra de proteção. Determinadas ações sensíveis podem exigir a confirmação da senha, e o Usuário pode encerrar as demais sessões ativas a partir do seu perfil.

3. Controle de acesso e separação de dados

O acesso às informações depende de autenticação e de verificações de autorização realizadas no servidor, além dos controles apresentados na interface. Os controles são destinados a manter os dados de profissionais e de clínicas diferentes separados entre si.

No ambiente Clínica, o acesso é definido por cargos e permissões, de modo que cada membro receba apenas o necessário para a sua função. As áreas do profissional e do paciente são separadas.

4. Proteção contra tentativas abusivas

Aplicamos medidas para reduzir tentativas automatizadas de acesso, limitando tentativas seguidas de login e de acesso a áreas protegidas em um curto intervalo. Esse cuidado dificulta a adivinhação de senhas e de códigos.

5. Proteção de documentos e arquivos

Os arquivos privados dependem de autenticação e de autorização para serem abertos. Possuir um endereço ou um identificador não deve ser suficiente para acessar o conteúdo, pois a permissão é verificada no momento do acesso.

• Pastas sensíveis podem ser protegidas por um código de acesso.
• Os arquivos enviados passam por validações antes de serem aceitos.
• Arquivos temporários, como imagens em mensagens, seguem prazos específicos e são removidos depois.
• Quando existirem cópias de segurança, a remoção de um arquivo pode levar algum tempo para se refletir nelas.

6. Senhas, códigos e credenciais

As senhas são armazenadas de forma não reversível. O sistema verifica se a senha digitada corresponde à cadastrada, sem precisar recuperar o valor original. Os códigos de acesso protegidos seguem o mesmo princípio e não permanecem legíveis no banco de dados.

As credenciais que o sistema precisa reutilizar, como as de integrações ativadas pelo Usuário, seguem um mecanismo diferente, com proteção criptográfica. Adotamos a prática de excluir ou mascarar valores sensíveis, como senhas e credenciais, nos logs e registros de eventos, para que não sejam mantidos em texto legível.

7. Conexão e ambiente

A comunicação entre o seu dispositivo e a plataforma é criptografada. Aplicamos ainda proteções adicionais no navegador, destinadas a reduzir riscos comuns, como o uso indevido das páginas a partir de outros sites.

8. Registros e monitoramento

Eventos relevantes podem ser registrados para apoiar a segurança, o suporte e a investigação de problemas. O acesso a esses registros é restrito e os registros são configurados para não armazenar senhas nem conteúdos clínicos.

• As senhas não são registradas.
• Os conteúdos clínicos não são armazenados nesses registros.
• Caso alguma informação pessoal seja excepcionalmente necessária para diagnóstico técnico ou investigação de segurança, aplicam-se medidas de minimização, acesso restrito e retenção limitada.
• Os registros possuem prazo de retenção compatível com a sua finalidade.

9. Resposta a incidentes

Mantemos práticas para lidar com incidentes de segurança, que envolvem detecção, contenção, análise, preservação de evidências, correção e avaliação de eventual risco ou dano relevante.

Quando o Gestãopsico atua como operador, comunica o controlador para que ele cumpra os seus deveres. A comunicação aos titulares e à ANPD ocorre quando legalmente exigida, respeitados os papéis de controlador e de operador. Nem todo evento de segurança exige comunicação. As notificações são realizadas quando os critérios previstos na legislação forem atendidos, considerando a natureza do incidente e os possíveis riscos ou danos aos titulares.

10. A sua parte como profissional ou clínica

A segurança também depende de boas práticas de quem utiliza a plataforma. Recomendamos:

• usar senhas fortes e ativar a verificação em duas etapas;
• não compartilhar a conta nem as credenciais;
• revisar periodicamente as permissões da equipe e remover acessos de ex-integrantes;
• proteger os dispositivos utilizados e preferir redes confiáveis;
• desconfiar de links e mensagens suspeitas que solicitem dados de acesso;
• exportar e guardar adequadamente os documentos necessários à sua atividade;
• conceder a cada pessoa apenas o acesso necessário e observar o sigilo profissional.

11. Transparência e contato

Esta página descreve categorias de proteção em linguagem acessível e não detalha a estrutura interna de segurança, para não facilitar tentativas de ataque. Informações sobre dados pessoais, direitos e bases legais estão na Política de Privacidade, e as condições de uso estão nos Termos de Uso.

Para assuntos de segurança e privacidade, utilize o nosso Canal de Privacidade e Proteção de Dados pelo e-mail contato@gestaopsico.com.