ISO 27001 — Gestão de Segurança da Informação

O que é a ISO 27001?

A ISO 27001 é uma norma internacional publicada pela ISO (International Organization for Standardization) e pela IEC (International Electrotechnical Commission) que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Ela fornece uma abordagem sistemática para gerenciar informações sensíveis, garantindo sua confidencialidade, integridade e disponibilidade.

A norma é baseada em uma avaliação de riscos que identifica ameaças e vulnerabilidades aplicáveis à organização e, a partir dessa análise, define controles de segurança proporcionais. O Anexo A da norma lista 93 controles organizados em quatro categorias: organizacionais, de pessoas, físicos e tecnológicos.

Por que é importante na área da saúde?

Instituições e empresas de tecnologia em saúde lidam com dados extremamente sensíveis — informações clínicas, diagnósticos, dados genéticos, informações financeiras de pacientes. A ISO 27001 é importante nesse contexto porque:

• Proteção de dados sensíveis: os controles definidos pela norma abordam desde a segurança física dos data centers até a criptografia de dados, passando por controles de acesso, gestão de incidentes e continuidade do negócio.
• Conformidade regulatória: a certificação ISO 27001 demonstra conformidade com requisitos de segurança exigidos por regulamentações como a LGPD no Brasil, a HIPAA nos EUA e o GDPR na Europa.
• Confiança do mercado: instituições de saúde exigem cada vez mais que seus fornecedores de tecnologia possuam certificação ISO 27001 como pré-requisito para contratação.
• Melhoria contínua: o ciclo PDCA (Plan-Do-Check-Act) da norma garante que a segurança da informação evolua continuamente, acompanhando novas ameaças e mudanças no ambiente.
• Gestão de riscos estruturada: a norma obriga a organização a identificar, avaliar e tratar riscos de segurança de forma sistemática, em vez de reagir apenas a incidentes.

Como o Davix se relaciona com ISO 27001?

A Davix adota os princípios e controles da ISO 27001 em toda a sua operação e desenvolvimento de produtos:

• Criptografia de dados em repouso e em trânsito em todas as soluções — HIS, PACS/RIS, LIS.
• Controles granulares de acesso baseados em papéis (RBAC), garantindo que cada usuário acesse apenas as informações pertinentes à sua função.
• Registros de auditoria (logs) completos de todas as ações realizadas nos sistemas, com rastreabilidade de quem acessou, o quê e quando.
• Plano de continuidade de negócio com backup automático e redundância geográfica, garantindo disponibilidade dos dados.
• Política de consentimento informado e tratamento de dados pessoais em conformidade com a LGPD e regulamentações internacionais.

A Davix entende que a segurança da informação é um pilar inegociável na saúde digital, e investe continuamente para manter suas práticas alinhadas aos mais altos padrões internacionais.