Política de Segurança

A Clinisfera é uma plataforma SaaS desenvolvida para clínicas odontológicas e estéticas brasileiras. Lidamos diariamente com dados sensíveis de pacientes, comunicações do WhatsApp e informações administrativas das clínicas. Por isso, adotamos uma abordagem de segurança em camadas (defense in depth), combinando controles técnicos, organizacionais e contratuais.

Esta política reflete os princípios descritos na nossa Política de Privacidade e nos nossos Termos de Uso, e está alinhada às exigências da Lei Geral de Proteção de Dados (LGPD) e às boas práticas do setor.

Nossa infraestrutura é hospedada em provedores de nuvem reconhecidos internacionalmente, que mantêm certificações como SOC 2 Tipo II e ISO 27001. Entre os principais componentes:

• Aplicação: hospedada em ambiente serverless na Vercel, com isolamento por função e escalonamento automático.
• Banco de dados: PostgreSQL gerenciado em instância dedicada, com backups automáticos e acesso via rede privada.
• Armazenamento de arquivos: buckets privados com acesso controlado por políticas de IAM e assinaturas temporárias.
• Redes: tráfego entre componentes protegido por TLS, com firewalls e listas de acesso em todos os pontos de entrada.

Aplicamos criptografia em trânsito e em repouso para proteger os dados dos usuários:

• Em trânsito: todas as conexões entre o navegador, nossos servidores e provedores de terceiros usam TLS 1.2 ou superior (HTTPS). Certificados são emitidos por autoridades reconhecidas e renovados automaticamente.
• Em repouso: volumes de banco de dados e backups utilizam criptografia AES-256. Informações sensíveis, como tokens de acesso ao WhatsApp e chaves de API, são adicionalmente cifradas em nível de aplicação.
• Senhas: nunca são armazenadas em texto claro. Utilizamos funções de hash seguras (bcrypt) com salt individual por usuário.

O acesso aos dados pessoais é restrito ao estritamente necessário para a operação do Serviço:

• Aplicamos o princípio do menor privilégio em todos os sistemas e serviços internos.
• Cada clínica tem seu ambiente logicamente isolado, e as consultas ao banco de dados são sempre filtradas pelo identificador da clínica (multitenancy).
• Colaboradores autorizados acessam sistemas internos somente quando há necessidade de suporte, manutenção ou investigação de incidentes, e apenas pelo tempo necessário.
• Todos os acessos administrativos são registrados em logs de auditoria para posterior revisão.

A autenticação de usuários da Clinisfera segue boas práticas de segurança:

• Senhas devem atender a requisitos mínimos de complexidade e são armazenadas com hash bcrypt.
• Sessões são gerenciadas por tokens curtos, transmitidos exclusivamente via HTTPS e renovados periodicamente.
• Integrações com parceiros (WhatsApp Business API, Stripe) são autenticadas por tokens e chaves rotativas, armazenadas em cofres seguros.
• Detectamos e bloqueamos tentativas repetidas de login malsucedidas para mitigar ataques de força bruta.

Nosso desenvolvimento segue o princípio de "privacidade desde a concepção" (privacy by design):

• Coletamos apenas os dados estritamente necessários para a operação do Serviço.
• Dados de pacientes são isolados por clínica e nunca compartilhados entre contas diferentes.
• Aplicamos validação rigorosa de entradas para prevenir ataques comuns, como injeção de SQL, XSS e travessia de diretórios.
• Dependências de software são monitoradas continuamente em busca de vulnerabilidades, com atualizações aplicadas em tempo hábil.

Monitoramos nossos sistemas 24/7 para identificar e responder rapidamente a atividades suspeitas:

• Logs centralizados de aplicação, banco de dados e infraestrutura, com retenção compatível com a legislação vigente.
• Alertas automáticos sobre erros, picos anômalos de tráfego e tentativas de acesso não autorizado.
• Revisões periódicas dos logs e dos controles de acesso.
• Ferramentas de observabilidade para medir desempenho, disponibilidade e comportamento do Serviço.

A Clinisfera mantém um plano de resposta a incidentes que define papéis, responsabilidades e prazos para cada etapa:

• Detecção: monitoramento contínuo e canais internos de reporte.
• Contenção: medidas imediatas para limitar o impacto e preservar evidências.
• Erradicação e recuperação: remoção da causa raiz, aplicação de correções e restauração do serviço.
• Comunicação: em caso de incidente de segurança que afete dados pessoais, notificaremos os controladores (clínicas) e, quando aplicável, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares, nos prazos e termos exigidos pela LGPD.
• Pós-incidente: revisão completa e implementação de melhorias para prevenir recorrência.

Para garantir a continuidade do Serviço e a recuperação dos dados, adotamos as seguintes práticas:

• Backups automáticos e criptografados do banco de dados, com retenção e janelas de recuperação compatíveis com a criticidade dos dados.
• Processos periódicos de teste de restauração para validar que os backups são utilizáveis.
• Infraestrutura com alta disponibilidade, escalonamento automático e recuperação de falhas entre zonas.
• Documentação interna de continuidade de negócio para situações críticas.

Utilizamos um número reduzido de fornecedores terceirizados, todos selecionados pela maturidade em segurança e pela conformidade com padrões internacionais. Entre os principais:

• Meta (WhatsApp Business API): envio e recebimento de mensagens dos pacientes.
• Stripe: processamento de pagamentos e cobrança recorrente.
• Anthropic (Claude): processamento das mensagens com inteligência artificial. A Anthropic não utiliza dados enviados via API para treinar seus modelos.
• Provedores de nuvem: hospedagem, banco de dados e armazenamento, com certificações como SOC 2 e ISO 27001.

Avaliamos periodicamente os fornecedores críticos quanto às suas práticas de segurança e de proteção de dados.

A Clinisfera está comprometida com o cumprimento da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e com a aplicação de boas práticas de governança de dados:

• As clínicas usuárias atuam como controladoras dos dados dos pacientes; a Clinisfera atua como operadora, sob as instruções da clínica.
• Tratamos dados pessoais apenas com bases legais adequadas, como execução de contrato, legítimo interesse e consentimento.
• Mantemos registros internos das operações de tratamento e das medidas de segurança adotadas.
• Transferências internacionais de dados ocorrem apenas com provedores que oferecem salvaguardas adequadas, conforme exigido pela LGPD.

Valorizamos a colaboração com a comunidade de segurança. Se você identificar uma possível vulnerabilidade em nossos sistemas, pedimos que siga estas diretrizes:

• Notifique-nos diretamente por e-mail antes de divulgar qualquer informação publicamente.
• Forneça detalhes técnicos suficientes para que possamos reproduzir e avaliar o problema.
• Não explore a vulnerabilidade além do necessário para demonstrá-la, e evite acessar dados de outros usuários.
• Dê um prazo razoável para que possamos corrigir o problema antes de qualquer publicação.

Em contrapartida, nos comprometemos a analisar sua comunicação em tempo hábil, manter você informado sobre o andamento da correção e reconhecer publicamente sua contribuição quando você assim desejar.

Em caso de dúvidas, denúncias de vulnerabilidades ou solicitações relacionadas à segurança, entre em contato conosco: