Segurança da Plataforma

🏢 Infraestrutura e Localização dos Dados

Todos os dados da MedOrganiza estão hospedados em servidores da Hetzner Online GmbH, empresa alemã com datacenter na Finlândia (Helsinki), dentro da União Europeia.

A Finlândia é membro da UE e está sujeita ao GDPR (regulamento europeu de proteção de dados) - o mais rigoroso do mundo.
A Hetzner possui certificação ISO 27001 de segurança da informação.
Os servidores ficam em datacenters com controle físico de acesso, câmeras de segurança e energia redundante.
Nenhum dado trafega ou é armazenado fora da União Europeia.

🏗️ Isolamento Completo por Farmácia

A MedOrganiza opera em arquitetura multi-tenant com isolamento real. Cada farmácia é tratada como um ambiente separado:

Cada farmácia tem sua própria instância isolada de WhatsApp - uma farmácia nunca acessa os dados ou contatos de outra.
Os dados de pacientes e medicamentos ficam segmentados por farmácia no banco de dados.
Credenciais de acesso ao WhatsApp são únicas por farmácia e geradas automaticamente.
A exclusão de uma farmácia da plataforma apaga automaticamente toda a sessão de WhatsApp associada.

💬 WhatsApp: O que fazemos e o que nunca fazemos

A integração com WhatsApp é usada exclusivamente para enviar alertas de medicamentos. Não há leitura, armazenamento ou análise de conversas.

Mensagens são enviadas somente para números cadastrados pela própria farmácia, que obteve o consentimento do paciente.
O sistema nunca lê mensagens recebidas dos pacientes - a comunicação é unidirecional (somente envio de alertas).
O conteúdo das mensagens enviadas não é armazenado nos nossos servidores após o envio.
Cada envio exige consentimento explícito registrado (LGPD Art. 7), com data e IP de origem gravados no banco.
Um intervalo de segurança é aplicado entre envios para evitar comportamento de spam.

Transparência técnica:

O número de WhatsApp da farmácia é conectado via QR Code pela própria farmácia. Nenhum funcionário da MedOrganiza tem acesso à sessão ou às conversas.

                    ✅ Não lemos mensagens. Não armazenamos conversas. Enviamos apenas para contatos autorizados.
                

Essa é uma garantia técnica, não apenas uma promessa: o sistema só aceita envio para números presentes no cadastro da farmácia com consentimento registrado.

🔐 Transmissão de Dados e Autenticação

HTTPS obrigatório Todo o tráfego é criptografado via TLS. Certificados SSL emitidos automaticamente pela Let's Encrypt.

Cookies seguros Cookies de sessão marcados como Secure, HttpOnly e SameSite=Lax - protegidos contra XSS e CSRF.

Proteção CSRF Todos os formulários usam tokens CSRF do Django, impedindo ataques de falsificação de requisição.

Senhas com hash Senhas nunca são armazenadas em texto puro - usamos o algoritmo PBKDF2 com salt único por usuário.

Validação de senha Mínimo 8 caracteres, exige número e caractere especial. Senhas comuns são bloqueadas.

API interna protegida Endpoints internos exigem chave de API no header - inacessíveis sem autenticação.

📋 Monitoramento e Auditoria

Logs de todas as operações de envio de alertas - com identificação da farmácia, horário e status.
Auditoria diária automatizada do estado das assinaturas e sessões de WhatsApp.
Reconexão automática de sessões com falha, com alertas ao administrador após 3 tentativas.
Registros de consentimento: cada autorização de WhatsApp guarda data e IP do momento do aceite.

⚖️ Conformidade Legal

🇧🇷 LGPD (Brasil) Lei n.º 13.709/2018 - base legal para coleta, tratamento e exclusão de dados pessoais de pacientes brasileiros.

🇪🇺 GDPR (União Europeia) Regulamento 2016/679 - aplicável por estar hospedado em servidor na Finlândia (UE).

Toda farmácia pode solicitar a exclusão de seus dados e dos dados de seus pacientes a qualquer momento, com cumprimento em até 15 dias.

📧 Dúvidas técnicas ou de segurança?

Entre em contato com nosso responsável de segurança e proteção de dados (DPO).

gabriel.lopes@medorganiza.com.br

Respondemos em até 3 dias úteis para questões de segurança.