ClinMetricsClinMetrics

Segurança da Informação

Última atualização: 29 de maio de 2026

Este documento descreve, em linguagem acessível, as principais medidas técnicas e organizacionais que a ClinMetrics adota para proteger os dados pessoais e os dados sensíveis de saúde tratados na Plataforma. O psicólogo pode citar ou anexar este whitepaper ao contrato com o seu paciente, em atendimento ao art. 7º da Resolução CFP nº 9/2024.

Versão para download: use a opção “Imprimir / Salvar como PDF” do seu navegador para gerar uma cópia em PDF desta página. [A confirmar — versão em PDF dedicada para download será disponibilizada futuramente.]

1. Criptografia

  • Em trânsito: toda a comunicação com a Plataforma ocorre sobre HTTPS/TLS.
  • Em repouso: campos pessoais sensíveis (como CPF e dados de identificação) são criptografados na aplicação com AES-256-GCM antes de serem persistidos no banco de dados.
  • Banco de dados: o armazenamento do provedor de infraestrutura também aplica criptografia em repouso no nível do disco.

2. Controle de acesso

  • Autenticação por e-mail e senha gerenciada por provedor especializado, com senhas armazenadas via hash seguro.
  • Autenticação em dois fatores (MFA/2FA) disponível como opção para todas as contas.
  • Isolamento de dados por usuário através de políticas de segurança a nível de linha (Row Level Security), garantindo que cada psicólogo acesse apenas os seus próprios pacientes e avaliações.
  • Controle de acesso baseado em papéis (RBAC).

3. Logs de auditoria

Acessos e operações sensíveis sobre dados de pacientes e avaliações são registrados em um log de auditoria imutável (append-only). Os registros não podem ser alterados ou apagados durante o período de retenção, garantindo a rastreabilidade exigida pela LGPD e pelas resoluções da ANPD.

4. Inteligência artificial com proteção de identificadores

Quando o psicólogo utiliza recursos de interpretação assistida por IA, identificadores diretos do paciente (nome, CPF, data de nascimento exata, telefone e e-mail) são substituídos por códigos antes do envio ao provedor de IA, e a reidentificação ocorre localmente na Plataforma. A interpretação gerada é sempre apresentada como sugestão revisável, cabendo ao profissional a decisão final.

5. Backups e continuidade

  • Backups automáticos do banco de dados com rotação de 30 dias.
  • Dados de backup mantidos de forma criptografada.
  • Monitoramento contínuo de erros e desempenho da aplicação.

6. Residência e transferência de dados

Os dados são hospedados em infraestrutura de nuvem com provedores auditados. As condições de transferência internacional e a lista de subprocessadores estão descritas na nossa Política de Privacidade. [A confirmar — revisão jurídica: detalhamento da residência de dados por subprocessador.]

7. Gestão de incidentes

A ClinMetrics mantém um processo de resposta a incidentes de segurança que prevê detecção, contenção, comunicação à ANPD nos prazos legais e comunicação aos titulares afetados, em conformidade com a Resolução CD/ANPD nº 15/2024. Incidentes podem ser relatados pelo canal seguranca@clinmetrics.app.

8. Contato

Dúvidas sobre as medidas de segurança ou sobre o tratamento de dados podem ser dirigidas ao nosso Encarregado de Proteção de Dados: dpo@clinmetrics.app (saiba mais).