Segurança no Yalow

Dados de saúde são, por definição, dados sensíveis. O Yalow foi projetado com segurança como requisito fundamental — não como funcionalidade adicional. Abaixo, as garantias que a plataforma oferece aos hospitais que confiam seus dados clínicos à nossa infraestrutura.

Proteção dos dados

Todos os dados clínicos e informações pessoais ficam criptografados, tanto enquanto estão armazenados quanto quando transitam pela rede. Isso significa que, mesmo em um cenário improvável de acesso não autorizado à infraestrutura, os dados permanecem ilegíveis. Usamos padrões de criptografia reconhecidos pela indústria e empregados em instituições financeiras e governamentais.

Cada hospital é um ambiente isolado

O Yalow atende diversos hospitais em uma mesma plataforma, mas os dados de cada instituição ficam estritamente separados. É impossível, por design, que informações de um hospital sejam acessadas por profissionais de outro. Esse isolamento é verificado continuamente por testes automatizados que falham o deploy se qualquer vazamento for detectado.

Controle de acesso

O login exige credenciais válidas e tem expiração automática após um período de inatividade. As senhas nunca são armazenadas em texto claro e a plataforma protege ativamente contra tentativas repetidas de acesso indevido. Cada profissional recebe um papel que define exatamente o que pode visualizar e modificar:

• Coordenador: acesso total ao hospital, incluindo configuração de leitos, turnos e usuários.
• Médico / Enfermeiro: acesso aos leitos da sua especialidade, registro de evoluções e passagens de plantão.
• Visualizador: acesso somente para consulta do dashboard, sem permissão para editar.

Histórico completo de ações

Toda ação realizada no Yalow fica registrada: quem acessou quais dados, quem alterou o quê, quando e a partir de onde. Esse histórico é a prova auditável exigida em investigações clínicas, regulatórias ou jurídicas. Os registros de auditoria não podem ser alterados nem excluídos, nem mesmo pela equipe do Yalow.

Dados preservados, não apagados

Quando um registro é "excluído" na interface — um leito desativado, um usuário removido, uma evolução apagada — o dado não desaparece do banco. Ele é marcado como inativo e mantido em histórico para atender às exigências de retenção mínima de 20 anos do Conselho Federal de Medicina e garantir rastreabilidade em qualquer auditoria futura.

Infraestrutura e operação

A plataforma é hospedada em infraestrutura cloud profissional, com backups automáticos diários, rede privada de acesso restrito e monitoramento contínuo. Os arquivos enviados pelos hospitais (fotos, anexos, documentos) ficam em armazenamento criptografado, também com acesso controlado.

Desenvolvimento responsável

Todo código que entra em produção passa por revisão humana e por uma suíte de testes automatizados. Dependências externas são verificadas continuamente contra catálogos públicos de vulnerabilidades, e aplicamos o princípio de conceder a cada componente apenas o mínimo de acesso necessário para funcionar.

Conformidade legal

• LGPD — Lei Geral de Proteção de Dados (Lei nº 13.709/2018), com atenção especial ao Art. 11, que trata de dados sensíveis de saúde.
• CFM — Resolução nº 1.821/2007 do Conselho Federal de Medicina, que regula sistemas de informação em saúde e estabelece a retenção de 20 anos dos registros clínicos.
• ANVISA — sistemas auxiliares de saúde, conforme regulamentações vigentes.

Divulgação responsável de vulnerabilidades

Se você identificou uma potencial vulnerabilidade de segurança no Yalow, pedimos que nos informe de forma responsável antes de qualquer divulgação pública. Entre em contato pelo e-mail seguranca@yalow.com.br. Respondemos em até 48 horas e agradecemos o relato responsável.

Dúvidas

Para dúvidas sobre as práticas de segurança do Yalow: contato@yalow.com.br