Confiança e Segurança
O PostDICOM armazena e processa milhões de imagens médicas em mais de 30 países. Esta página documenta a nossa arquitetura de segurança, certificações independentes e práticas de conformidade — para que possa tomar uma decisão informada.
Arquitetura de Segurança
O PostDICOM aplica controlos de segurança nas camadas de encriptação, identidade, infraestrutura e pagamento — porque a segurança não é uma funcionalidade, é o alicerce sobre o qual a plataforma foi concebida.
As informações de saúde protegidas (PHI) são seguras utilizando encriptação AES-256 em repouso. Todos os dados em trânsito — entre os seus dispositivos de imagiologia, navegadores e a nossa nuvem — são protegidos através de TLS 1.2/1.3.
O controlo de acesso baseado em funções (RBAC) permite-lhe conceder a cada membro da equipa permissões de âmbito preciso. A autenticação de dois fatores (2FA) é suportada para todas as contas. Visualizações, carregamentos, partilhas e ações administrativas são registados num registo de auditoria mantido durante a sua subscrição ativa.
O PostDICOM é executado no Microsoft Azure — uma das plataformas de nuvem empresariais mais utilizadas no mundo. Os seus dados são armazenados na região que selecionar na configuração da conta. O Microsoft Azure detém as certificações ISO 27001, SOC 2 e conformidade com a HIPAA em toda a sua infraestrutura global.
O processamento de pagamentos é gerido exclusivamente pela Stripe, um fornecedor certificado PCI DSS Nível 1. O PostDICOM não armazena, transmite ou processa números de cartão de crédito nos seus próprios servidores. Todas as novas subscrições utilizam Stripe Setup Intents com autenticação 3D Secure (SCA), verificando se o seu cartão é válido e autorizado antes do início do seu período de avaliação.
Sim. O PostDICOM utiliza 12 regiões independentes do Microsoft Azure para que possa selecionar a jurisdição onde os dados dos seus pacientes são armazenados — apoiando as leis regionais de dados de saúde que exigem que os registos permaneçam dentro de fronteiras geográficas específicas.
Quando configura a sua conta PostDICOM, seleciona a sua região principal. Os seus ficheiros DICOM, bases de dados e registos são concebidos para permanecerem dentro dessa jurisdição selecionada.
Rede Principal do Microsoft Azure
União Europeia
Frankfurt (Alemanha)
Paris (França)
Estados Unidos
Nova Iorque (EUA)
Los Angeles (EUA)
Dallas (EUA)
Reino Unido
Londres (Reino Unido)
Suíça
Zurique (Suíça)
Canadá
Montreal (Canadá)
Ásia e Pacífico
Singapura
Sydney (Austrália)
Pune (Índia)
América do Sul
São Paulo (Brasil)
Certificações
O PostDICOM detém as certificações Marcação CE Classe IIb, ISO 27001, ISO 13485, ISO 9001 e ISO 15504, atribuídas por organismos de auditoria externos independentes — e não por autoavaliação. Cada uma representa um compromisso contínuo, não uma conquista única.
As certificações Marcação CE, ISO 27001, ISO 13485, ISO 9001 e ISO 15504 são detidas pela Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi, o fabricante legal certificado do software PostDICOM. As menções a HIPAA e RGPD refletem o design da arquitetura compatível, não certificações de terceiros.
Marcação CE — Classe IIb
1984-MDD-10-057
O PostDICOM possui a marcação CE como um dispositivo médico de Classe IIb, ao abrigo da Diretiva de Dispositivos Médicos (MDD 93/42/CEE).
ISO 27001:2022
Gestão da Segurança da Informação
Auditoria externa independente do nosso sistema de gestão da segurança da informação (SGSI), abrangendo gestão de riscos, controlo de acesso, resposta a incidentes e continuidade do negócio.
ISO 13485:2016
Gestão da Qualidade de Dispositivos Médicos
Certificação do nosso sistema de gestão da qualidade específico para o design, desenvolvimento e vigilância pós-comercialização de dispositivos médicos.
ISO 9001:2015
Sistema de Gestão da Qualidade
Certificação geral de gestão da qualidade que abrange a prestação consistente de serviços que cumprem os requisitos dos clientes e regulamentares.
ISO 15504 / SPICE
Nível 2 — Capacidade do Processo de Software
Avaliação da capacidade do nosso processo de desenvolvimento de software no Nível 2 (Processo Gerido), confirmando que o desenvolvimento de software é planeado, monitorizado e ajustado para cumprir os objetivos definidos.
Arquitetura Compatível com HIPAA
Dados de Saúde dos Estados Unidos
A infraestrutura do PostDICOM foi concebida para suportar fluxos de trabalho de dados de saúde compatíveis com a HIPAA. Todas as PHI são encriptadas em repouso e em trânsito, o acesso é registado e os sistemas são implementados no Microsoft Azure em centros de dados localizados nos EUA para clientes da região dos EUA.
Arquitetura Compatível com RGPD
Proteção de Dados Europeia e Global
A PostDICOM B.V. está constituída nos Países Baixos e opera no âmbito do quadro jurídico da União Europeia. Os dados dos pacientes de clientes da UE são armazenados em regiões Azure sediadas na UE.
Roteiro Regulamentar
O PostDICOM possui atualmente a marcação CE como um dispositivo médico de Classe IIb e está a avançar ativamente para a conformidade com o MDR da UE. Abaixo está uma visão geral transparente da nossa situação atual e para onde nos dirigimos.
1984-MDD-10-057
O PostDICOM possui atualmente a marcação CE ao abrigo da Diretiva de Dispositivos Médicos (MDD 93/42/CEE) como um software de imagiologia médica de Classe IIb. Esta certificação está ativa e é mantida.
Regulamento de Dispositivos Médicos (UE) 2017/745
A Diretiva de Dispositivos Médicos está a ser substituída pelo Regulamento de Dispositivos Médicos (MDR). O fabricante legal do PostDICOM está ativamente envolvido no processo de transição para o MDR. Conclusão prevista: 2028.
Subprocessadores
O PostDICOM depende de um pequeno número de fornecedores cuidadosamente selecionados — Microsoft Azure para a infraestrutura na nuvem e Stripe para o processamento de pagamentos. Abaixo está uma lista completa dos principais subprocessadores que utilizamos.
Transparência Corporativa
O PostDICOM opera através de duas entidades: a PostDICOM B.V. (Países Baixos), a entidade comercial e de licenciamento global, e a Ekstrem Bir Bilgisayar Danışmanlık, o fabricante legal certificado. Esta estrutura claramente definida separa o licenciamento comercial da produção de software regulamentado.
Sede Global
A PostDICOM B.V. é a entidade com a qual contrata quando adquire uma subscrição do PostDICOM. É responsável pelos acordos com os clientes, faturação e questões de proteção de dados.
Centro de Tecnologia e I&D
A Ekstrem Bir Bilgisayar Danışmanlık İç ve Dış Ticaret Limited Şirketi é o fabricante legal certificado do software PostDICOM. Detém todas as certificações de dispositivos médicos e é responsável pela engenharia de software, gestão da qualidade e conformidade regulamentar da plataforma PostDICOM.
Respostas diretas a perguntas comuns de diligência prévia.
Sim. A infraestrutura e os processos do PostDICOM foram concebidos para suportar fluxos de trabalho compatíveis com a HIPAA: a PHI é encriptada em repouso (AES-256) e em trânsito (TLS 1.2/1.3), o acesso é controlado através de permissões baseadas em funções e autenticação de dois fatores, e toda a atividade é registada num registo de auditoria. Note que a 'certificação HIPAA' não existe como uma norma oficial — a conformidade com a HIPAA é um conjunto de práticas, não um certificado atribuído por terceiros.
Quando cria a sua conta PostDICOM, seleciona a sua localização de armazenamento principal a partir de 12 regiões independentes do Microsoft Azure: UE (Alemanha (Frankfurt), França (Paris)), EUA (Este, Oeste, Centro-Sul), Reino Unido (Londres), Suíça (Zurique), Canadá (Montreal), Ásia-Pacífico (Singapura, Austrália (Sydney), Índia (Pune)) e América do Sul (Brasil (São Paulo)). Os seus dados são alojados na jurisdição que selecionou para o ajudar a cumprir os requisitos locais de residência de dados e a cumprir as leis regionais de privacidade na saúde (como o RGPD ou a HIPAA).
Antes de cancelar a sua subscrição, descarregue todos os dados de pacientes que deseja manter — incluindo estudos DICOM, imagens médicas, documentos e quaisquer outros ficheiros carregados. Quando a sua subscrição terminar, todos os dados de pacientes restantes serão eliminados permanentemente dos nossos sistemas. Não existe um período de tolerância após o cancelamento. O registo da sua conta é mantido apenas para fins de contabilidade e faturação.