Securitate și Conformitate

Securitatea este nucleul platformei Doctorita. Procesăm date de sănătate sensibile și înțelegem responsabilitatea critică de a proteja confidențialitatea pacienților și integritatea datelor.

Această pagină detaliază măsurile noastre tehnice de securitate, cadre de conformitate și cele mai bune practici pentru protejarea informațiilor dumneavoastră.

**Criptare în Tranzit:**

- TLS 1.3 pentru toate comunicațiile de rețea

- HTTPS obligatoriu (redirecționare HTTP → HTTPS)

- Conexiuni securizate către toate serviciile terțe

**Criptare în Repaus:**

- AES-256 pentru stocarea fișierelor audio și a documentelor

- Criptare pentru date structurate (înregistrări pacienți, transcrieri)

- Stocarea securizată a cheilor folosind secretele Kubernetes

**Criptare la Nivel de Aplicație:**

- Criptare asimetrică pentru token-uri de autentificare

- Hashing-ul parolelor folosind bcrypt (pentru conturi locale)

**Autentificare:**

- Token-uri cu criptare asimetrică

- Expirarea token-urilor de 24 de ore cu reîmprospătare automată

- Autentificare multi-factorială (MFA) disponibilă pentru toate conturile

**Controlul Accesului Bazat pe Roluri (RBAC):**

- Administratori: Acces complet la setările organizației

- Practicieni: Acces la pacienții și vizitele atribuite

- Asistenți Medicali: Acces limitat la vizionare și transcriere

**Segregarea Datelor:**

- Izolare strictă între organizații (multi-tenancy)

- Fiecare utilizator vede doar datele proprii ale organizației

- Izolarea la nivel de bază de date folosind filtre organization_id

**Localizarea Datelor:**

- Date UE stocate în regiunea UE

- Clustere de baze de date în regiunea UE

- Fără transferuri de date în afara UE

**Timpul de Funcționare și Disponibilitatea:**

- SLA de 99,9% timp de funcționare

- Arhitectură redundantă cu failover automat

- Backup-uri regulate (zilnic) cu retenție de 30 de zile

- Plan de recuperare în caz de dezastru (RPO: 24 ore, RTO: 4 ore)

**URL-uri cu Semnătură Prealabilă:**

- Toate fișierele accesibile prin URL-uri cu semnătură prealabilă (expirare de 1 oră)

- Fără acces direct la URL-uri fișiere - controlul accesului aplicat prin backend

**Retenția Fișierelor Audio:**

- Fișierele audio șterse în termen de 30 de zile de la transcriere

- Păstrarea transcrierii text (fără date biometrice audio)

**Scanare Antimalware:**

- Toate fișierele încărcate scanate pentru virși și malware

- Blocarea fișierelor cu tipuri de fișiere neautorizate

Lucrăm cu procesori terți certificați care respectă standardele de securitate și conformitate.

Toți procesatorii sunt conformi cu GDPR și au certificări SOC 2 Type II și ISO 27001.

**Jurnale de Audit:**

- Toate acțiunile utilizatorului înregistrate (acces pacienți, ștergeri, modificări)

- Jurnale păstrate timp de 2 ani

- Jurnale imutabile (nu pot fi modificate sau șterse de utilizatori)

**Monitorizare de Securitate:**

- Monitorizarea și alertarea activității suspecte în timp real

- Blocarea automată a adreselor IP după încercări eșuate de conectare (5 încercări)

- Detectarea anomaliilor pentru modele de acces neobișnuite

**Plan de Răspuns la Incidente:**

- Echipă dedicată de răspuns la incidente disponibilă 24/7

- Proceduri clare de escaladare pentru încălcări

- Notificarea în termen de 24 de ore către părțile afectate

**Notificarea Încălcării:**

- Notificarea autorității de supraveghere GDPR în termen de 72 de ore

- Notificarea imediată a utilizatorilor afectați dacă există un risc ridicat

Raportați incidentele de securitate la security@doctorita.com.

**GDPR (UE):**

- Conformitate deplină cu GDPR cu DPA disponibil

- Responsabil cu Protecția Datelor (DPO) desemnat

- Evaluări regulate ale impactului asupra protecției datelor (DPIA)

**HIPAA (SUA):**

- HIPAA eligibil (BAA disponibil la cerere)

- Controale tehnice de protecție pentru PHI

- Training-ul angajaților privind HIPAA

**ISO 27001:**

- Sistemul de management al securității informației (ISMS)

- Auditare anuală de către terți (în curs)

**SOC 2 Type II:**

- În curs de certificare (finalizare estimată: Q2 2026)

**Training de Securitate:**

- Training obligatoriu de conștientizare a securității pentru toți angajații

- Training anual GDPR și HIPAA

- Simulări de phishing și testarea răspunsului la incidente

**Politica Accesului:**

- Accesul cu privilegii minime (numai ce este necesar)

- Revizuirea accesului la fiecare 90 de zile

- Revocarea imediată a accesului la încetarea angajării

**Scanare Regulată:**

- Scanări săptămânale automatizate de vulnerabilitate

- Scanări lunare de dependințe (npm, pip)

- Testarea anuală de penetrare de către experți terți

**Managementul Patch-urilor:**

- Patch-uri critice de securitate aplicate în termen de 48 de ore

- Patch-uri de severitate medie aplicate în termen de 7 zile

- Actualizări regulate ale sistemului și notificări de întreținere