Controle Clinic

NOVIQ AI
Voltar ao início
Legal

Segurança

Nossa arquitetura de segurança foi projetada para proteger dados médicos sensíveis com os mais altos padrões da indústria.

Última atualização: 13 de abril de 2026

Na NOVIQ AI, segurança não é um recurso — é um alicerce. Todos os nossos sistemas são projetados com security by design e aderentes aos padrões internacionais de proteção de dados em saúde.

1. Infraestrutura e hospedagem

  • Servidores no Brasil: todos os dados de clientes e pacientes são armazenados em data centers localizados no território nacional, em conformidade com os requisitos da LGPD;
  • Provedores certificados: utilizamos provedores de nuvem com certificação ISO 27001, SOC 2 Type II e HIPAA (para conformidade com padrões internacionais de saúde);
  • Alta disponibilidade: arquitetura multi-zona com failover automático, garantindo SLA de 99,5% de disponibilidade;
  • Backups automatizados: backups diários com retenção de 30 dias, armazenados em localização geograficamente separada;
  • Recuperação de desastres: plano de RTO (Recovery Time Objective) de até 4 horas e RPO (Recovery Point Objective) de até 24 horas.

2. Criptografia

  • Dados em trânsito: toda comunicação entre clientes e servidores NOVIQ AI utiliza TLS 1.2+ com certificados SSL/TLS válidos. Requisições HTTP são automaticamente redirecionadas para HTTPS;
  • Dados em repouso: bancos de dados e objetos de armazenamento utilizam criptografia AES-256 em repouso;
  • Chaves criptográficas: gerenciadas por serviço dedicado (KMS) com rotação periódica e controle de acesso granular;
  • Senhas: armazenadas exclusivamente como hashes bcrypt com salt individual — nunca em texto claro.

3. Controle de acesso

  • Principle of Least Privilege (PoLP): cada componente de sistema e colaborador tem acesso estritamente ao necessário para exercer suas funções;
  • Autenticação multifator (MFA): obrigatória para todos os colaboradores com acesso a sistemas de produção;
  • Controle baseado em funções (RBAC): permissões de usuários da plataforma são granulares e configuráveis por perfil;
  • Single Sign-On (SSO): suporte a SSO/SAML 2.0 para clientes corporativos que desejam integrar com seu Identity Provider;
  • Sessões seguras: expiração automática de sessões inativas, tokens JWT com tempo de vida curto e refresh rotativo.

4. Segurança da aplicação

  • OWASP Top 10: nossas práticas de desenvolvimento seguem a lista OWASP Top 10 para prevenção das vulnerabilidades mais críticas em aplicações web;
  • Code review obrigatório: todo código passa por revisão de pares antes de ir para produção;
  • SAST/DAST: verificações de segurança estática e dinâmica integradas ao pipeline de CI/CD;
  • Pentests periódicos: testes de penetração realizados por terceiros independentes ao menos uma vez por ano;
  • Dependency scanning: varredura contínua de dependências de terceiros para identificação e correção de vulnerabilidades conhecidas (CVEs);
  • Proteção contra DDoS: mitigação automática de ataques de negação de serviço na camada de rede e aplicação.

5. Monitoramento e resposta a incidentes

  • Monitoramento 24/7: alertas automatizados para atividades anômalas, tentativas de acesso não autorizado e falhas de sistema;
  • SIEM: Security Information and Event Management centralizado com correlação de eventos e retenção de logs por 12 meses;
  • Plano de Resposta a Incidentes (IRP): procedimentos definidos para contenção, erradicação, recuperação e notificação em caso de incidente;
  • Notificação: em caso de incidente com impacto aos titulares de dados, notificamos a ANPD e os afetados conforme exigido pela LGPD.

6. Segurança organizacional

  • Treinamentos: toda a equipe recebe treinamento periódico em segurança da informação, LGPD e boas práticas;
  • Background checks: colaboradores com acesso a dados sensíveis passam por verificação de antecedentes durante o processo seletivo;
  • Acordos de confidencialidade: todos os colaboradores e prestadores de serviço assinam NDA que inclui obrigações de sigilo sobre dados de clientes;
  • Gestão de fornecedores: terceiros com acesso a dados NOVIQ AI são avaliados quanto à sua postura de segurança e assinam DPA.

7. Conformidade

  • LGPD – Lei Geral de Proteção de Dados (Lei nº 13.709/2018);
  • CFM / CRM – Resoluções do Conselho Federal de Medicina aplicáveis à telemedicina e prontuários eletrônicos;
  • ISO/IEC 27001 – Alinhamento com os controles do padrão internacional de gestão de segurança da informação (roadmap de certificação em andamento).

8. Programa de Divulgação Responsável (Responsible Disclosure)

A NOVIQ AI mantém um canal para reporte responsável de vulnerabilidades de segurança. Pesquisadores de segurança que identificarem problemas em nossos sistemas são encorajados a reportá-los antes de qualquer divulgação pública.

Para reportar uma vulnerabilidade:

  • E-mail: security@noviq.ai
  • Inclua uma descrição detalhada do problema, passos para reprodução e, se possível, uma proposta de mitigação;
  • Não explore ativamente a vulnerabilidade além do estritamente necessário para comprová-la;
  • Comprometemo-nos a acusar recebimento em até 2 dias úteis e a fornecer uma resposta com plano de ação em até 10 dias úteis.

Vulnerabilidades confirmadas e corrigidas poderão ser reconhecidas em nosso Hall da Fama de segurança, mediante concordância do pesquisador.

9. Contato de segurança

Para questões de segurança não urgentes ou dúvidas sobre nossas práticas:

  • E-mail: security@noviq.ai
  • DPO / Privacidade: dpo@noviq.ai
  • NOVIQ AI Tecnologia Ltda. – CNPJ 30.666.187/0001-28
    Av. Dr. Cardoso de Melo, 900, Sala 62 – São Paulo/SP