1. Objetivo

Estabelecer as diretrizes, princípios e controles que asseguram a confidencialidade, integridade, disponibilidade e autenticidade das informações tratadas pela HTHNET Tecnologia em Saúde Ltda. (Plataforma iDun), garantindo a proteção dos dados pessoais e sensíveis de saúde sob sua responsabilidade.

Esta política segue as melhores práticas nacionais e internacionais de segurança da informação (ISO/IEC 27001, NIST SP 800-53, CIS Controls) e está em conformidade com a Lei nº 13.709/2018 – LGPD, com a HIPAA (quando aplicável) e com as diretrizes da ANPD.

2. Escopo

Aplica-se a todos os colaboradores, estagiários, prestadores de serviço, parceiros e fornecedores que tenham acesso ou interação com sistemas, redes, dispositivos ou dados tratados pela iDun, incluindo:

• Plataformas SaaS, APIs, integrações e sistemas de interoperabilidade de dados em saúde.

• Infraestruturas de nuvem pública e privada (AWS, Google, Heroku, etc.), bem como ambientes de teste, homologação e produção.

• Dispositivos pessoais e corporativos utilizados para acesso à informação.

• Dispositivos IoT e endpoints conectados a ecossistemas parceiros.

  
  

3. Princípios Fundamentais

1. Confidencialidade – Acesso restrito às informações somente a pessoas autorizadas e capacitadas.

2. Integridade – Garantia de que as informações não sejam alteradas ou corrompidas de forma indevida.

3. Disponibilidade – Continuidade dos serviços e acesso seguro às informações quando necessário.

4. Autenticidade – Verificação da origem, identidade e legitimidade dos dados.

5. Conformidade Legal – Aderência às legislações e normativos aplicáveis (LGPD, HIPAA, RDC ANVISA, etc.).

6. Responsabilidade Compartilhada – Todos os usuários são corresponsáveis pela proteção da informação.

7. Melhoria Contínua – Revisão periódica de processos e controles para adaptação às novas ameaças e tecnologias.

   
   

4. Papéis e Responsabilidades

• Diretoria Executiva: Define a estratégia e provê recursos para o programa de Segurança da Informação.

• Oficial de Segurança da Informação (CISO/OSI): Supervisiona a política, conduz auditorias e reporta à diretoria.

• Encarregado de Proteção de Dados (DPO): Assegura conformidade com a LGPD, sendo o ponto de contato com titulares e a ANPD (e-mail: dpo@idun.com.br).

• Equipe de Tecnologia: Implementa e mantém controles técnicos e monitoramento contínuo.

• Colaboradores e Terceiros: Devem cumprir esta política, participar de treinamentos e reportar incidentes.

• Comitê de Segurança da Informação: Avalia riscos, aprova planos de mitigação e supervisiona auditorias.

  
  

5. Classificação e Tratamento da Informação

Níveis de Classificação:

1. Confidencial: Dados pessoais e sensíveis (como saúde, biometria, diagnósticos, relatórios médicos).

2. Restrito: Informações internas que, se divulgadas, impactam o negócio.

3. Uso Interno: Procedimentos e documentos de rotina corporativa.

4. Público: Materiais divulgados oficialmente ao público.
   Tratamento:
   • Informações de nível Confidencial e Restrito devem ser protegidas por controles de acesso adequados, criptografia em repouso e em trânsito, além de estarem restritas àqueles com necessidade clara de uso.
   • A divulgação de dados deve seguir processos formais de autorização.
   • Descarte seguro de informações (físicas e digitais) deve respeitar normas e procedimentos, incluindo uso de fragmentadoras quando necessário e limpeza segura de mídia.

   
   

6. Proteção de Dados Pessoais e LGPD

• Finalidade e Necessidade: O tratamento é realizado apenas para fins legítimos e previamente informados.

• Base Legal: Consentimento do titular ou outras hipóteses previstas na LGPD.

• Retenção: Dados mantidos apenas pelo tempo necessário, com anonimização ou exclusão após a finalidade.

• Transparência: Política de Privacidade publicada, contendo direitos e canais de atendimento ao titular.

• Compartilhamento: Apenas com parceiros e operadores que cumpram requisitos contratuais e técnicos equivalentes de proteção.

7. Controle de Acesso e Autenticação

• Gestão de Identidades: Cada usuário deve ter um identificador único. É proibido o compartilhamento de credenciais, exceto em situações justificadas, documentadas e controladas e controle de acesso por grupos. Nesses casos, deve-se manter um inventário formal das exceções e um plano de transição para acessos individualizados.

• Princípio do Menor Privilégio (Need to Know): Conceder apenas os acessos mínimos necessários para o desempenho das funções de cada colaborador, evitando privilégios excessivos.

• Revisão de Acessos: Devem ser implementados processos periódicos de revisão e revogação de acessos de usuários inativos, ex-colaboradores ou que tenham mudado de função, garantindo a conformidade contínua com os princípios de segurança.

8. Segurança em Sistemas e Aplicações

• Desenvolvimento Seguro (DevSecOps): Procedimentos para avaliação de vulnerabilidades e aplicação de testes de segurança (como SAST e DAST) antes de colocar soluções em produção.

• Machine Learning e IA: Garantir controle de qualidade e acurácia dos dados utilizados para treinar modelos preditivos, assegurando proteção contra manipulações mal-intencionadas.

• Interoperabilidade: As integrações com sistemas de parceiros devem seguir padrões de segurança, encriptação e monitoramento de tráfego.

• Patching e Atualizações: Aplicar atualizações de sistemas operacionais e softwares regularmente, reduzindo exposição a vulnerabilidades conhecidas.

9. Gestão de Riscos e Continuidade dos Negócios.

•  Avaliação de Riscos: Conduzir periodicamente análises e inventários de riscos (incluindo riscos de segurança física, lógica e de terceiros).

• Plano de Continuidade de Negócios (PCN): Definir ações para manter operações críticas em casos de indisponibilidade ou incidentes de grande escala (incluindo desastres naturais, falhas de infraestrutura).

• Plano de Recuperação de Desastres (DRP): Estabelecer mecanismos de backup (on-site e off-site) e testes regulares de restauração para garantir a continuidade de serviços essenciais (telemedicina, monitoramento remoto, etc.).

• Indicadores de Risco (KRIs): Monitorar métricas como tempo médio para detectar/mitigar incidentes, conformidade de patches e cobertura de treinamento.

10. Gestão de Fornecedores e Terceiros

• Due Diligence: Avaliação prévia de segurança e privacidade antes da contratação.

• Acordos Contratuais: Inclusão de cláusulas de confidencialidade, LGPD e segurança da informação.

• Monitoramento Contínuo: Revisões anuais de conformidade.

• Responsabilidade Solidária: O descumprimento pode gerar sanções e desligamento contratual.

11. Gestão de Incidentes de Segurança

• Detecção: Implementar ferramentas de monitoramento em tempo real (SIEM, IDS, IPS) para identificar anomalias.

• Notificação e Escalonamento: Instruir colaboradores e equipes a reportar qualquer incidente ou suspeita imediatamente ao CISO e ao time de resposta a incidentes.

• Resposta e Contenção: Seguir procedimentos documentados (playbooks) para isolar sistemas afetados, conter o incidente e iniciar a recuperação.

• Comunicação: Definir plano de comunicação para acionistas, autoridades (como a ANPD, em casos de vazamento de dados pessoais), imprensa e pacientes quando cabível.

• Lições Aprendidas: Após cada incidente, realizar análise de causa raiz e implementar melhorias para evitar recorrências.

12. Conscientização e Treinamento

• Treinamentos Periódicos: Programas de capacitação sobre phishing, uso de senhas, classificação de dados, LGPD e boas práticas de segurança em saúde.

• Campanhas de Sensibilização: Ações contínuas (e-mails, palestras, quizzes) para reforçar a importância da segurança da informação.

• Avaliações de Conhecimento: Testes internos para avaliar o nível de compreensão dos colaboradores e identificar pontos de melhoria.

13. Auditoria e Compliance

• Auditorias Internas: Avaliações regulares de conformidade, verificando aderência às políticas e procedimentos de segurança.

• Auditorias Externas: Podem ser conduzidas por entidades independentes para atestar a conformidade com normas (ISO 27001, SOC 2, etc.).

• Tratamento de Não-Conformidades: Elaboração de planos de ação para correção de eventuais desvios identificados nas auditorias.

• Relatórios e Indicadores: O CISO deve reportar periodicamente ao Comitê de Segurança e à Diretoria sobre o status de conformidade e riscos.

14. Exceções, Revisões e Penalidades

• Processo de Exceções: Qualquer necessidade de exceção à PSI deve ser justificada, aprovada pelo CISO e documentada.

• Revisão Periódica: A PSI deve ser revisada, no mínimo, anualmente ou sempre que ocorrerem mudanças significativas na estrutura do negócio ou na legislação aplicável.

  O descumprimento desta PSI, seja por ação ou omissão, pode resultar em medidas disciplinares, que vão de advertências até desligamento, além de implicações civis e criminais, quando cabíveis.

  
  

15. Conclusão

A Política de Segurança da Informação da iDun representa o compromisso da HTHNET em assegurar a proteção de seus ativos de informação, a privacidade dos titulares de dados e a continuidade de seus serviços digitais de saúde.

Ela estabelece a base de uma governança segura, transparente e conforme à LGPD, fortalecendo a confiança entre pacientes, parceiros e clientes corporativos.

Referências

• Lei nº 13.709/2018 – LGPD

• ISO/IEC 27001 e 27002

• NIST SP 800-53

• HIPAA (Health Insurance Portability and Accountability Act)

• Diretrizes da Autoridade Nacional de Proteção de Dados (ANPD)