# Compliance e segurança da informação na ByDoctor

Dados de paciente são dado sensível. Por isso, a ByDoctor foi desenhada desde o primeiro commit para atender à Lei 13.709/2018 (LGPD), à Resolução CFM 1.821/2007, à Lei 13.787/2018 e ao marco vigente da telemedicina (Resolução CFM 2.314/2022). Esta página descreve, em detalhe, os controles técnicos e organizacionais que sustentam essa promessa.

URL canônica: https://bydoctor.com.br/compliance
Última atualização: 12 de maio de 2026
Página dedicada à LGPD: https://bydoctor.com.br/lgpd

## Resumo de segurança

| Item | Valor |
|---|---|
| Hospedagem | AWS (São Paulo) + Google Cloud Storage |
| Criptografia em trânsito | TLS 1.3 com HSTS forçado |
| Criptografia em repouso | AES-256 (S3, RDS, GCS) |
| Autenticação | Clerk (JWT, MFA, SSO, SAML) |
| Arquitetura | Multi-tenant com isolamento lógico total |
| Trilha de auditoria | Imutável, por usuário e timestamp |
| Backups | Automáticos, point-in-time, 30 dias |
| Monitoramento | Sentry + Datadog APM + OpenTelemetry |
| Prescrição digital | MEMED (ICP-Brasil, CFM) |
| Disponibilidade | SLA-alvo de 99,9% mensal |
| Resposta a incidentes | Notificação à ANPD em até 48h úteis |

## Como protegemos os dados

### Criptografia ponta a ponta
TLS 1.3 obrigatório em todas as rotas (sem fallback para HTTP). AES-256 em repouso no PostgreSQL, S3 e Google Cloud Storage. URLs assinadas com expiração curta para anexos de prontuário. Chaves rotacionadas pelo provedor de nuvem (KMS).

### Arquitetura multi-tenant
Cada clínica vive em um tenant isolado. Toda consulta ao banco filtra por organization_id antes de retornar. Testes de regressão automatizados garantem que não há vazamento entre tenants. Recepcionista de uma clínica nunca aparece em buscas de outra.

### Autenticação e controle de acesso
Login centralizado via Clerk com senha forte, autenticação em dois fatores, SSO corporativo e SAML para clínicas maiores. Três papéis cobrem os fluxos clínicos e administrativos: Admin (acesso total), Profissional (própria agenda e prontuários) e Colaborador (agenda e cadastro, sem prescrição ou financeiro).

### Trilha de auditoria imutável
Toda mudança em consulta, paciente, prescrição, exame ou documento clínico fica registrada com autor, data, IP e diff do conteúdo. Atende ao requisito de rastreabilidade da Resolução CFM 1.821/2007. Retenção alinhada à vida do prontuário (no mínimo 20 anos, conforme Lei 13.787/2018).

### Continuidade e backups
Backups diários completos e WAL contínuo no PostgreSQL. Replicação multi-AZ na AWS São Paulo. Plano de Disaster Recovery com RPO ≤ 15 min e RTO ≤ 4 h. Testes de restauração executados periodicamente.

### Resposta a incidentes
Contenção em até 4 horas após detecção. Comunicação ao controlador (clínica) em até 24 horas. Notificação à ANPD em até 48 horas úteis quando houver risco ou dano relevante, conforme orientação do Art. 48 da LGPD. Canal dedicado: security@bydoctor.com.br.

## Padrões, leis e certificações

- **LGPD — Lei 13.709/2018** — Em conformidade. Bases legais aplicadas no Art. 7º (II, VI, VIII) e no Art. 11, II, alíneas “a” e “f”. Detalhes em https://bydoctor.com.br/lgpd.
- **Resolução CFM 1.821/2007** — Plataforma desenhada para atender. Integridade, auditoria, controle de acesso e armazenamento seguro mapeados para controles técnicos.
- **Resolução CFM 2.314/2022** — Suportada. Marco vigente da telemedicina, com registro de consentimento informado, anexo de documentos remotos e evolução assinada.
- **Lei 13.787/2018** — Suportada. Retenção mínima de 20 anos do prontuário e eliminação segura ao fim do prazo.
- **ICP-Brasil (MP 2.200-2/2001)** — Disponível via integração MEMED. Assinatura digital com efeito jurídico equivalente à manuscrita.
- **ISO 27001 e ISO 27018** — Herdadas da infraestrutura. AWS e Google Cloud certificadas. ByDoctor opera no modelo de responsabilidade compartilhada.
- **SOC 2 Type II** — Mantido pelos subprocessadores (Stripe, Clerk, AWS, GCP, MEMED, OpenAI, Sentry).
- **NGS2 / SBIS-CFM** — Princípios aplicados (autenticação forte, controle de acesso, auditoria, integridade e disponibilidade). Certificação formal no roadmap de 2026.

## Conformidade com normas do CFM e do MS

### Resolução CFM 1.821/2007 — Prontuário eletrônico do paciente
Estabelece como o prontuário eletrônico deve garantir integridade, autenticidade, confidencialidade e disponibilidade dos dados. Como aplicamos:
- Trilha de auditoria com autor, data e conteúdo da alteração
- Controle de acesso por papéis com sigilo profissional preservado
- Armazenamento em nuvem com criptografia e backup periódico
- Possibilidade de impressão e exportação para perícia ou portabilidade

### Resolução CFM 2.314/2022 — Telemedicina no Brasil
Marco vigente. Substituiu as Resoluções 2.227/2018 e 2.299/2021. Define teleconsulta, telediagnóstico, telecirurgia e telemonitoramento. Como aplicamos:
- Registro do consentimento informado no prontuário do paciente
- Anexo de documentos da consulta remota (áudio, vídeo, PDF)
- Evolução assinada e datada após o atendimento à distância
- Emissão de receita e atestado a partir do mesmo encontro

### Resolução CFM 2.217/2018 — Código de Ética Médica
Reforça o sigilo profissional. Como aplicamos:
- Recepcionistas e Colaboradores não acessam prontuário ou prescrições
- Log de acesso ao prontuário disponível para o Admin
- Compartilhamento de prontuário só por ação explícita do profissional

### Lei 13.787/2018 — Digitalização do prontuário do paciente
Permite uso exclusivo do prontuário eletrônico, define retenção mínima de 20 anos e exige sistema especializado de gerenciamento eletrônico. Como aplicamos:
- Retenção mínima de 20 anos a partir do último registro
- Eliminação segura ao fim do prazo, com registro em log
- Backup contínuo durante toda a vida útil do prontuário

### Lei 14.510/2022 — Marco legal da telessaúde
Reconhece a telessaúde como modalidade do exercício profissional. Como aplicamos:
- Suporte a múltiplos conselhos (CFM, CFP, CFN, COFFITO, CRO)
- Atendimento ambulatorial remoto registrado como tipo de consulta
- Documentos clínicos válidos para psicólogos, nutricionistas, fisioterapeutas e dentistas

## Controle de acesso por papel

| Papel | Agenda e pacientes | Prontuário e prescrição | Financeiro | Configurações |
|---|---|---|---|---|
| Admin | Total | Total | Total | Total |
| Profissional | Própria agenda | Próprios pacientes | Visualização das próprias consultas | Não |
| Colaborador | Sim | Não | Não | Não |

A separação entre recepção e clínica é o que diferencia um software médico moderno de uma planilha — e evita que informação sensível circule pela equipe administrativa sem necessidade.

## Subprocessadores

Empresas que processam dados em nome da ByDoctor para que o produto funcione. Todas operam sob contrato com cláusulas de proteção de dados (DPA).

| Subprocessador | Função | Jurisdição |
|---|---|---|
| Amazon Web Services (AWS) | Hospedagem da aplicação e banco PostgreSQL | Brasil (São Paulo) |
| Google Cloud Storage | Armazenamento de arquivos e anexos clínicos | Brasil / EUA |
| Clerk | Autenticação, MFA, SSO e gestão de organização | EUA (cláusulas-padrão) |
| Stripe | Cobrança da assinatura ByDoctor | EUA / Irlanda |
| MEMED | Prescrição digital com assinatura ICP-Brasil | Brasil |
| Meta — WhatsApp Business API | Mensagens automatizadas para o paciente | Brasil / EUA |
| OpenAI | Transcrição opcional de áudio (ativada por profissional) | EUA (cláusulas-padrão e DPA) |
| Sentry + Datadog | Observabilidade técnica (sem PII clínica no payload) | EUA |
| PostHog | Analytics de produto com dados pseudonimizados | EUA / UE |
| Resend | Envio de e-mails transacionais | EUA |

## Direitos do titular dos dados

O paciente é titular dos próprios dados clínicos. O Art. 18 da LGPD garante nove direitos: confirmação do tratamento, acesso, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamentos, revogação de consentimento e oposição. A ByDoctor atende cada um em parceria com a clínica (controlador). Detalhes em https://bydoctor.com.br/lgpd.

## Canal de segurança

- E-mail dedicado: security@bydoctor.com.br
- Encarregado de dados (DPO): dpo@bydoctor.com.br
- SLA de resposta a titulares: 15 dias (Art. 19, LGPD)
- Notificação à ANPD: até 48 horas úteis em incidentes com risco relevante (Art. 48, LGPD)

## Perguntas frequentes

### A ByDoctor é certificada pela SBIS?
A plataforma foi projetada seguindo os princípios do Manual de Certificação SBIS-CFM para Sistema de Registro Eletrônico em Saúde nível NGS2 — autenticação forte, controle de acesso, trilha de auditoria, integridade e disponibilidade. A certificação formal SBIS está no roadmap de 2026. Hoje, todos os controles técnicos exigidos pelo NGS2 já estão implementados.

### Onde os dados clínicos ficam armazenados?
Os dados ficam em servidores da Amazon Web Services na região de São Paulo (Brasil) e em buckets de Google Cloud Storage. Os arquivos são cifrados em AES-256 em repouso e em TLS 1.3 em trânsito. Não há transferência rotineira de prontuário para fora do Brasil.

### A ByDoctor segue a LGPD?
Sim. A ByDoctor é operadora dos dados, e a clínica ou o profissional contratante é o controlador, conforme definição do Art. 5º da Lei 13.709/2018. Aplicamos as bases legais do Art. 7º (II, VI, VIII) e do Art. 11, II, “a” e “f” para dados sensíveis de saúde. Detalhes em https://bydoctor.com.br/lgpd.

### Como funciona a trilha de auditoria?
Toda criação, alteração ou exclusão em consulta, paciente, prescrição, exame ou documento clínico fica registrada com autor, data, IP e diff do conteúdo. Apenas o Admin da clínica visualiza o log completo. A retenção do log acompanha a do prontuário — no mínimo 20 anos, conforme a Lei 13.787/2018.

### O que acontece em caso de incidente de segurança?
O plano de resposta da ByDoctor tem três fases: contenção em até 4 horas após detecção, comunicação ao controlador em até 24 horas e notificação à ANPD em até 48 horas úteis quando houver risco ou dano relevante, conforme orientação do Art. 48 da LGPD. Canal dedicado: security@bydoctor.com.br.

### A prescrição emitida pela ByDoctor tem validade legal?
Sim. A prescrição digital é emitida via integração oficial com a MEMED, que aplica assinatura digital com certificados ICP-Brasil. A MP 2.200-2/2001 garante que essa assinatura tem o mesmo efeito jurídico da assinatura manuscrita. A MEMED é reconhecida pelo CFM e pelo Conselho Federal de Farmácia.

### Quem pode acessar o prontuário do paciente?
Por padrão, apenas o profissional responsável pelo atendimento e o Admin da clínica acessam prontuário e prescrições. Colaboradores gerenciam agenda e cadastro, mas não enxergam o conteúdo clínico. Todo acesso fica registrado na trilha de auditoria.

### A ByDoctor compartilha dados com terceiros?
Compartilhamos apenas com subprocessadores estritamente necessários para o serviço — listados nesta página. Não vendemos, não cedemos e não usamos dados clínicos para treinar modelos de IA. A transcrição opcional via OpenAI ocorre só quando o profissional ativa o recurso para um atendimento específico.

### Como a clínica solicita uma cópia dos dados ou exclui a conta?
O Admin pode exportar pacientes, consultas e financeiro a qualquer momento dentro do produto. Para exclusão definitiva, basta abrir um chamado em dpo@bydoctor.com.br — a ByDoctor responde no prazo de 15 dias previsto no Art. 19 da LGPD. Os dados são eliminados de forma segura, exceto pelo que a legislação obrigar a manter.

### Qual a disponibilidade do serviço?
A meta de SLA é 99,9% de uptime mensal. Status em tempo real, incidentes históricos e janelas de manutenção programada ficam em status.bydoctor.com.br. Backups contínuos garantem RPO de até 15 minutos e RTO de até 4 horas em cenários de recuperação.

## Links

- Site: https://bydoctor.com.br
- Página LGPD: https://bydoctor.com.br/lgpd
- Política de privacidade: https://bydoctor.com.br/politica-de-privacidade
- Termos de uso: https://bydoctor.com.br/termos-de-uso
- Sobre a ByDoctor: https://bydoctor.com.br/sobre/bydoctor
- Contato de segurança: security@bydoctor.com.br
- DPO: dpo@bydoctor.com.br