Filosofia de Segurança
Clinical Corvus foi construído com uma postura de segurança por padrão. Acreditamos que a confiança é fundamental em qualquer ferramenta clínica.
Nossos Princípios
1. Local-First por Padrão
O que significa: Dados do paciente permanecem dentro da sua infraestrutura.
Como funciona:
- Contexto identificável não é enviado para serviços externos
- Pesquisa externa é desabilitada por padrão
- Sanitização automática antes de qualquer consulta externa
- Suporte para modelos locais ou credenciais privadas
"Privacidade não é um recurso opcional — é um requisito fundamental."
2. Controle do Clínico
O que significa: Você sempre decide o que é aceito.
Como funciona:
- Check-to-accept em todas as saídas
- Citações verificáveis para cada afirmação
- Trilhas de auditoria completas
- Sinalização explícita de incerteza
"O sistema propõe, o clínico decide."
3. Retenção Mínima
O que significa: Guardamos apenas o necessário.
Como funciona:
- Retenção compatível com continuidade clínica
- Separação de logs operacionais de dados sensíveis
- Políticas claras de ciclo de vida
- Direito ao esquecimento implementado
4. Verificação em Camadas
O que significa: Múltiplos checkpoints de segurança.
Como funciona:
- Verificação de objetivos (respondeu à pergunta certa?)
- Checagem de coerência interna
- Análise de riscos potenciais
- Pausa explícita quando confiança é baixa
Arquitetura de Segurança
Fronteira de Confiança
| TRUST BOUNDARY | |
|---|---|
| 🏥 Dados do Paciente (PHI) | Permanece local por padrão |
| 🔐 Contexto Clínico | Processado localmente |
| 📚 Base de Conhecimento | Curada e atualizada |
↓ (Apenas com consentimento explícito)
| EXTERNAL SERVICES | |
|---|---|
| 🔍 Pesquisa de Evidência | Sanitizada - Apenas palavras-chave clínicas |
Camadas de Proteção
| Camada | Responsabilidade | Exemplo |
|---|---|---|
| Input | Sanitização e validação | Remoção de identificadores |
| Processamento | Controle de acesso | RBAC por função |
| Saída | Verificação e revisão | Check-to-accept |
| Armazenamento | Criptografia e retenção | AES-256 em repouso |
| Auditoria | Logs e rastreamento | Trilhas completas |
Compliance
Práticas Alinhadas
- HIPAA: Arquitetura ready para conformidade
- LGPD: Tratamento de dados com consentimento explícito
- SOC 2: Preparação para certificação Type II
- ISO 27001: Alinhamento com padrões internacionais
Documentação Disponível
- Políticas de privacidade
- Termos de serviço
- Processamento de dados (DPIA)
- Relatórios de transparência
Perguntas Frequentes
"Meus dados estão seguros?"
Sim. Dados são criptografados em trânsito e em repouso. Seguimos práticas de segurança da indústria.
"Posso usar meus próprios modelos?"
Sim. Suportamos integração com seus próprios endpoints de modelo (OpenAI, Azure, etc.), mantendo dados dentro da sua governança.
"O que acontece em caso de breach?"
Temos planos de resposta a incidentes, notificação dentro de 72 horas, e processos de mitigação documentados.
"Posso auditar o sistema?"
Sim. Oferecemos trilhas de auditoria completas para todas as ações e decisões do sistema.
Compromisso
"A segurança não é um destino — é uma jornada contínua de melhoria. Estamos comprometidos em evoluir nossas práticas à medida que o cenário de ameaças muda."
Próximo: Parceiros e Investidores | Anterior: Missão