Última atualização: 28 de abril de 2026
Esta página descreve, de forma honesta, as medidas que de fato estão implementadas hoje no Handoff. Não declaramos certificações que não possuímos.
Toda a comunicação entre o seu navegador e o Handoff usa HTTPS com TLS. Não aceitamos conexões não criptografadas.
Os dados ficam armazenados em provedor gerenciado de banco de dados relacional (PostgreSQL), com criptografia de disco fornecida pelo provedor. As senhas nunca são armazenadas em texto puro.
Camada adicional para conteúdo clínico: o texto de cada geração (resumo, encaminhamento, SBAR, estudo, red flags e scan) é cifrado em AES-256 na aplicação, com chave gerenciada em cofre dedicado (Supabase Vault), antes de ser gravado no banco. A descriptografia só ocorre, sob demanda, para o próprio dono do registro, através de uma função autenticada com limite de leitura por minuto. Nem administradores do banco nem terceiros com acesso ao disco conseguem ler o conteúdo sem a chave do cofre.
Cada usuário só consegue ler e escrever os próprios registros. Isso é garantido por políticas de Row Level Security (RLS) no banco — o servidor não confia apenas no código da aplicação para esse isolamento.
Antes de armazenar o texto que você cola, aplicamos um filtro automático que substitui padrões de identificação direta — CPF, RG, CNS (Cartão SUS), CEP, telefone, e-mail e nomes próprios em sequência — por marcadores genéricos (ex.: [CPF OMITIDO]). O conteúdo enviado para o modelo de IA também passa por essa sanitização.
Ainda assim, o filtro não é infalível. A regra é simples: evite colar dados que identifiquem o paciente. Use iniciais.
Toda leitura do conteúdo descriptografado de uma geração é registrada em log interno (data/hora, identificador do usuário, ids consultados). Esse registro é usado para investigação de incidentes e atendimento a requisições de titulares (LGPD, art. 18). Ajustes administrativos de créditos, conciliações de pagamento e ações sensíveis também são auditados.
Aplicamos limites por usuário em pontos sensíveis: leitura de gerações (até 60 leituras por minuto por conta) e geração de novos documentos. Esse controle reduz o impacto de credenciais comprometidas e bloqueia raspagem automatizada de histórico.
O histórico de gerações é apagado automaticamente após 90 dias. Você pode apagar manualmente qualquer geração antes desse prazo, e pode solicitar a exclusão completa da conta a qualquer momento (LGPD, art. 18).
Login por e-mail e senha (mínimo 8 caracteres, com verificação contra a base de senhas vazadas Have I Been Pwned) ou via provedores de identidade (Google e, em dispositivos compatíveis, Apple). Sessões são gerenciadas com tokens assinados.
O processamento de cartões é feito pela Stripe. O Handoff não armazena nem trafega dados de cartão. Recebemos apenas a confirmação da compra para creditar o pacote contratado.
Por transparência: hoje não temos certificações como SOC 2 ou ISO 27001, não oferecemos autenticação em dois fatores e não temos programa formal de bug bounty. Estamos cientes desses pontos e eles estão no nosso roadmap.
Encontrou um problema de segurança? Escreva para dpo@handoffmd.com ou use o botão de feedback dentro do app. Pedimos divulgação responsável: não compartilhe publicamente antes de termos a chance de corrigir.