O Meu Atendimento Virtual adota controles técnicos e administrativos compatíveis com os requisitos de segurança exigidos por normas aplicáveis ao setor de saúde, especialmente no que se refere ao tratamento de dados pessoais sensíveis e à rastreabilidade de acessos.
Enquadramento Regulatório
Organizações do setor de saúde estão sujeitas a um conjunto de normas que impõem requisitos específicos de segurança, privacidade e rastreabilidade. As principais referências consideradas nesta análise são:
- LGPD — Art. 11 (Dados Pessoais Sensíveis): dados de saúde são classificados como sensíveis, exigindo tratamento diferenciado e base legal específica;
- Resolução CFM nº 2.299/2021: define requisitos para emissão e guarda de documentos médicos eletrônicos, incluindo nível de garantia de segurança NGS2;
- ANS RN nº 501/2022 — Padrão TISS: estabelece o componente de segurança e privacidade obrigatório para troca de informações em saúde suplementar;
- Agenda Regulatória ANPD 2025-2026: prevê ações de fiscalização com foco em dados de saúde e biométricos.
LGPD Art. 11 — Dados Sensíveis de Saúde
A LGPD classifica dados relativos à saúde como dados pessoais sensíveis, o que impõe requisitos reforçados de proteção:
| Requisito | O que entregamos |
|---|---|
| Base legal específica para tratamento | Plataforma permite configuração de consentimento e finalidade de uso |
| Proteção contra acesso não autorizado | Controle de acesso por perfis com princípio do menor privilégio |
| Criptografia de dados | Criptografia em trânsito (TLS) para todas as comunicações |
| Rastreabilidade de acessos | Logs de auditoria com registro de login, logout e ações realizadas |
| Medidas técnicas e administrativas | MFA disponível, política de senhas, segregação de ambientes |
A proibição de uso de dados sensíveis para fins discriminatórios (Art. 11, §5º) é atendida pela arquitetura da plataforma, que não realiza tratamento automatizado para perfilamento ou classificação de titulares.
Resolução CFM nº 2.299/2021 — Documentos Médicos Digitais
A resolução do Conselho Federal de Medicina define requisitos para emissão e guarda de documentos médicos eletrônicos (atestados, receitas, laudos), incluindo o nível de garantia de segurança NGS2.
Requisitos NGS2 e compatibilidade
| Requisito NGS2 | Compatibilidade da plataforma |
|---|---|
| Autenticação forte | MFA disponível com suporte a aplicativos autenticadores (TOTP) |
| Integridade dos dados | Armazenamento em banco de dados gerenciado com controles de integridade |
| Rastreabilidade | Registro completo de acessos e ações na plataforma |
| Controle de acesso | Perfis hierárquicos com segregação de permissões por função |
| Disponibilidade | Meta de 99,5% de disponibilidade mensal com failover automático |
Nota importante: A assinatura digital com certificado ICP-Brasil, exigida pela resolução para documentos médicos, é de responsabilidade do profissional de saúde e da infraestrutura de certificação digital utilizada pela instituição. O Meu Atendimento Virtual fornece a base de segurança de acesso e rastreabilidade que suporta esse processo.
ANS RN nº 501/2022 — Padrão TISS
O padrão TISS (Troca de Informações em Saúde Suplementar) inclui um componente de segurança e privacidade obrigatório para operadoras de planos de saúde e prestadores de serviço.
| Componente TISS | O que entregamos |
|---|---|
| Confidencialidade na transmissão | Comunicações protegidas por HTTPS com TLS atualizado |
| Controle de acesso às informações | Perfis de acesso com permissões granulares por função |
| Rastreabilidade de acessos | Auditoria completa com registro de usuário, horário e ação |
| Integridade dos dados | Banco de dados gerenciado com backup contínuo (RPO de até 5 minutos) |
| Disponibilidade do serviço | SLA de 99,5%, failover automático e monitoramento contínuo |
Agenda Regulatória ANPD 2025-2026
A Autoridade Nacional de Proteção de Dados incluiu em sua agenda regulatória ações de fiscalização com foco específico em:
- Tratamento de dados de saúde por instituições de ensino e pesquisa;
- Uso de dados biométricos e de saúde por aplicativos e plataformas digitais;
- Compartilhamento de dados sensíveis entre controladores e operadores.
A arquitetura do Meu Atendimento Virtual está alinhada às exigências da LGPD para dados sensíveis, o que prepara nossos clientes para eventuais fiscalizações e auditorias da ANPD.
Controles Técnicos Aplicáveis
Resumo dos controles implementados que atendem ao conjunto de normas do setor de saúde:
- Autenticação multifator (MFA) — camada adicional de segurança para acesso à plataforma;
- Perfis de acesso hierárquicos — segregação de permissões por função (administrador, operador, atendente);
- Criptografia em trânsito — HTTPS/TLS em todas as comunicações;
- Logs de auditoria — registro de login, logout, alterações de configuração e acesso a dados;
- Backup contínuo — point-in-time recovery com RPO de até 5 minutos;
- Failover automático — banco de dados com replicação e recuperação transparente;
- Segregação de ambientes — desenvolvimento, homologação e produção isolados;
- Gestão de sessões — expiração automática e possibilidade de encerramento remoto.
Responsabilidade Compartilhada
A conformidade integral com as normas do setor de saúde depende de ações conjuntas entre o fornecedor de tecnologia e a instituição de saúde:
| Responsabilidade | Fornecedor (Meu Atendimento) | Cliente (Instituição) |
|---|---|---|
| Infraestrutura segura | ✓ | — |
| Controles de acesso e MFA | ✓ (disponibiliza) | ✓ (habilita e configura) |
| Política de senhas | ✓ (aplica requisitos) | ✓ (orienta colaboradores) |
| Assinatura digital ICP-Brasil | — | ✓ |
| Consentimento do paciente | — | ✓ |
| Treinamento de colaboradores | — | ✓ |
| Backup e recuperação | ✓ | — |
| Auditoria de acessos | ✓ (registra) | ✓ (monitora) |
Recomendações para Clientes do Setor de Saúde
Para maximizar a conformidade com as normas do setor, recomendamos:
- Habilitar MFA para todos os usuários com acesso a dados de pacientes;
- Revisar periodicamente os perfis de acesso e remover permissões desnecessárias;
- Manter registro de consentimento dos pacientes conforme exigido pela LGPD;
- Capacitar colaboradores sobre boas práticas de segurança da informação;
- Consultar assessoria jurídica para adequação completa às normas setoriais aplicáveis.
Para dúvidas sobre configuração de segurança ou adequação regulatória, entre em contato pelo e-mail: contato@mupisystems.com.br