Segurança para Plataformas de Saúde Mental e Psicologia Digital
Registros de sessão, prontuários psicológicos e teleterapia estão entre os dados mais sensíveis que existem — e os mais visados para extorsão. Veja como a Decripte contém incidentes, conduz a forense e estrutura a LGPD para dado sensível em saúde mental.
Resposta direta
Para proteger uma plataforma de saúde mental você precisa tratar registro de sessão e prontuário psicológico como dado sensível de saúde sob a LGPD: cifrar em repouso e em trânsito, restringir o acesso ao mínimo necessário com trilha de auditoria, blindar a sala de teleconsulta contra invasão e gravação indevida, proteger as contas de paciente e terapeuta contra account takeover com MFA e detecção de anomalia, e manter monitoramento contínuo capaz de detectar exfiltração antes que vire extorsão. Na prática isso significa um pentest da plataforma e da teleterapia, um SOC monitorando 24x7, um plano de resposta a incidentes com contenção rápida e um programa de conformidade LGPD/CFP que sobrevive a uma fiscalização da ANPD. Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free para enxergar sua superfície de exposição antes que um atacante a enxergue por você.
24/7
SOC monitorando teleterapia e plataforma
<=1h
SLA de contenção em resposta a incidentes
LGPD
Dado de saúde mental é dado sensível (art. 11)
ISO 27001
Base de gestão de segurança da informação
Em resumo
- ›Registro de sessão de terapia e prontuário psicológico são dado pessoal sensível sob o art. 11 da LGPD — exigem base legal específica, cifragem e minimização de acesso, não apenas senha.
- ›O cenário de maior impacto não é só o vazamento: é a extorsão. Grupos de dupla extorsão exfiltram registros íntimos e ameaçam publicá-los ou contatar pacientes individualmente.
- ›A teleconsulta é uma superfície própria — salas com link previsível, tokens longevos e gravação mal protegida permitem invasão de sessão e captura de vídeo terapêutico.
- ›Account takeover de paciente expõe um histórico inteiro de saúde mental; MFA, detecção de anomalia e proteção de borda são camadas mínimas.
- ›A Decripte atua nos dois tempos: contém e investiga o incidente (forense + SLA de contenção <=1h) e depois estrutura a segurança (pentest, SOC 24x7, LGPD para dado sensível, conformidade com o CFP).
- ›O caminho começa no diagnóstico gratuito em decripte.io/free; os planos pagos em /planos elevam para monitoramento contínuo e resposta gerenciada.
Cibersegurança para Saúde Mental e Psicologia Digital
Registros de sessão, prontuários psicológicos e teleterapia estão entre os dados mais sensíveis que existem — e os mais visados para extorsão. Veja como a Decripte contém incidentes, conduz a forense e estrutura a LGPD para dado sensível em saúde mental.
Por que saúde mental digital é um alvo de altíssimo valor
Uma plataforma de terapia online concentra, em um único banco de dados, o tipo de informação que as pessoas mais querem manter privada. Não se trata apenas de nome, CPF e e-mail. São anotações de sessão sobre relacionamentos, abuso, vícios, ideação suicida, identidade, conflitos familiares e diagnósticos de transtornos. Cada registro de sessão é, na prática, um dossiê íntimo do paciente. Para um atacante, isso muda completamente a economia do crime: o dado não vale apenas pelo que pode ser revendido, vale pelo poder de coerção que carrega sobre cada titular individualmente.
É essa característica que torna o setor um ímã para a chamada dupla extorsão. Em vez de simplesmente cifrar os servidores e pedir resgate para devolver o acesso, os grupos modernos primeiro exfiltram os registros mais sensíveis e só depois disparam o ransomware. O pedido de resgate passa a ter duas alavancas: o tempo de inatividade da plataforma e a ameaça de publicar — ou enviar diretamente aos próprios pacientes — o conteúdo das sessões. Em saúde mental, essa segunda alavanca é devastadora, porque atinge pessoas em situação de vulnerabilidade e pode causar dano psicológico real, além do dano reputacional e jurídico à plataforma.
O risco real não é só vazar — é a coerção sobre o paciente
Em incidentes de saúde mental documentados internacionalmente, atacantes contataram pacientes individualmente exigindo pagamento para não publicar suas anotações de terapia. Quando você modela a ameaça, modele a extorsão direta ao titular, não apenas a publicação em massa. Isso muda as prioridades de detecção: exfiltração silenciosa importa mais do que indisponibilidade.
Some-se a isso o regime jurídico. Sob a Lei Geral de Proteção de Dados, dado referente à saúde é dado pessoal sensível, tratado no art. 11 com hipóteses de base legal mais restritas do que as do art. 7. Anotação psicológica e registro de sessão entram nesse núcleo. Há ainda a camada profissional: o Conselho Federal de Psicologia regula o sigilo profissional e a guarda de documentos psicológicos, incluindo o atendimento on-line. A plataforma que falha na segurança não responde apenas perante a ANPD, mas também perante o ecossistema de fiscalização profissional dos psicólogos que a utilizam.
As quatro ameaças que definem o setor
Extorsão e vazamento de registros de terapia
É o cenário de maior impacto. O atacante busca acesso persistente, mapeia onde estão as anotações de sessão e os históricos clínicos, e exfiltra de forma lenta e fragmentada para escapar de alertas grosseiros de volume. Quando tem material suficiente, inicia a negociação. A defesa eficaz aqui não é só prevenir a entrada — é detectar a movimentação lateral e a exfiltração cedo, no intervalo entre o comprometimento inicial e a coleta completa dos dados.
Comprometimento de videochamada e teleterapia
A sala de teleconsulta é uma superfície de ataque própria. Links de sessão previsíveis ou compartilháveis permitem que um terceiro entre na sala. Tokens de acesso longevos, sem expiração curta nem vínculo ao dispositivo, podem ser reutilizados. Gravações de sessão — quando existem, e em saúde mental existir gravação já é um risco — frequentemente ficam em buckets mal configurados, acessíveis por URL. Um único bucket público pode expor centenas de horas de vídeo terapêutico.
Vazamento de prontuário psicológico e account takeover
O prontuário consolidado é o alvo de maior densidade informacional. Vaza por API mal autorizada (IDOR, em que trocar um identificador na requisição devolve o prontuário de outro paciente), por exportações em massa sem controle, por backups expostos e por acessos internos abusivos sem trilha de auditoria. Em paralelo, tomar a conta de um paciente expõe todo o seu histórico; tomar a conta de um terapeuta expõe os prontuários de todos os seus pacientes. Os vetores clássicos são credential stuffing, phishing, ausência de MFA e recuperação de senha frágil.
IDOR: o vazamento silencioso mais comum em saúde
Insecure Direct Object Reference é a falha em que o endpoint confia no identificador enviado pelo cliente sem verificar se o usuário autenticado tem direito àquele recurso. Em plataformas de saúde, é a causa raiz recorrente de vazamento de prontuário em escala. O OWASP a classifica dentro de Broken Access Control, a categoria nº 1 do OWASP Top 10. É exatamente o tipo de falha que um pentest de plataforma encontra e que um scanner automático costuma deixar passar.
Os dados de saúde mental e psicologia digital já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O que protege esse dado: arquitetura de defesa por camadas
Não existe controle único que resolva. O que protege é a sobreposição de camadas, de modo que a falha de uma não signifique o comprometimento total. A Decripte estrutura essa defesa em torno de quatro eixos: proteger o dado em si, proteger o acesso, proteger a sala de teleterapia e enxergar tudo o que acontece.
Camadas mínimas para uma plataforma de saúde mental
- ✓Cifragem em repouso do banco e dos backups, e em trânsito com TLS moderno em todos os pontos
- ✓Minimização e segregação: anotação de sessão separada de dado de identificação, com acesso por necessidade
- ✓Controle de acesso baseado em papel, com o terapeuta vendo apenas os seus pacientes e trilha de auditoria por acesso
- ✓MFA obrigatório para terapeutas e disponível para pacientes, com detecção de anomalia de login
- ✓Salas de teleconsulta com link de uso único, token de vida curta e sala de espera com admissão controlada
- ✓Política rígida de gravação: por padrão não gravar; se gravar, cifrar, restringir e definir retenção mínima
- ✓Proteção de borda (WAF e anti-DDoS) cobrindo a API da plataforma e os fluxos de autenticação
- ✓Monitoramento contínuo capaz de alertar sobre exfiltração e acesso anômalo, não apenas indisponibilidade
- ✓Backups imutáveis e testados, para que o ransomware não force o pagamento pela recuperação
Repare que a maioria desses controles não é sobre comprar uma caixa. É sobre desenho de arquitetura, configuração correta e validação independente. Por isso a etapa de pentest é central: ela testa se a teoria do controle resiste à prática do ataque. Um WAF mal configurado dá falsa sensação de segurança; um MFA com fluxo de bypass na recuperação de senha é MFA no papel. O pentest revela essas lacunas antes do atacante.
Comece enxergando o que está exposto
Antes de qualquer projeto, vale entender sua superfície de exposição atual. O diagnóstico gratuito de Gestão de Ameaças da Decripte, em decripte.io/free, mapeia ativos expostos, credenciais vazadas associadas ao seu domínio e sinais de risco visíveis externamente — a mesma visão que um atacante teria no reconhecimento inicial.
Blindando a teleterapia: a superfície que todos esquecem
A videochamada terapêutica costuma ser tratada como um recurso de produto, não como uma superfície de segurança. Esse é um erro frequente e caro. Uma sessão de terapia invadida não é apenas uma falha técnica — é uma violação de intimidade no momento mais frágil de uma pessoa. A engenharia de uma sala segura tem requisitos próprios.
Identidade e admissão na sala
Cada sala deve usar identificadores não previsíveis e tokens de acesso de vida curta, vinculados à sessão específica e idealmente ao dispositivo. A entrada deve passar por uma sala de espera com admissão explícita pelo terapeuta, de modo que ninguém entre sem ser reconhecido. Links reutilizáveis e identificadores sequenciais são proibidos: permitem que alguém adivinhe ou reaproveite o acesso.
Mídia e gravação
O fluxo de áudio e vídeo deve ser cifrado fim a fim sempre que a arquitetura permitir, ou no mínimo cifrado em trânsito com chaves bem geridas. A decisão sobre gravar é, antes de técnica, ética e jurídica: em saúde mental, a gravação default deve ser não gravar. Quando há gravação consentida e justificada, o artefato precisa ser cifrado, com acesso restrito, retenção mínima definida e exclusão garantida ao fim do prazo — nunca um arquivo de vídeo solto em armazenamento público.
Bucket público é o vazamento mais bobo e mais comum
Gravações de teleconsulta e anexos de prontuário em armazenamento de objetos mal configurado, acessível por URL sem autenticação, são uma das causas mais frequentes de vazamento de saúde. O pentest da Decripte valida explicitamente as permissões de armazenamento, e o SOC monitora mudanças de configuração que reabram esse risco.
O pentest de teleconsulta da Decripte exercita exatamente esses pontos: tenta adivinhar e reutilizar links de sala, testa a expiração e o escopo dos tokens, verifica se um usuário consegue entrar em sessão que não é sua, e audita onde e como as gravações são guardadas. O resultado é um relatório executivo e técnico, com prova de conceito controlada de cada falha e plano de correção priorizado.
LGPD e CFP para dado sensível: conformidade que sobrevive à fiscalização
Conformidade em saúde mental não é um PDF de política. É a capacidade de demonstrar, diante da ANPD e do ecossistema profissional, que você tratou dado sensível com o cuidado que a lei exige. A Decripte estrutura essa conformidade de forma operacional, ancorada na realidade técnica da plataforma.
Base legal e finalidade
Sob a LGPD, dado de saúde é sensível e cai no art. 11, que exige base legal específica — tipicamente o consentimento do titular ou a tutela da saúde por profissionais de saúde. É preciso mapear, para cada tratamento (atendimento, faturamento, suporte, analytics), qual é a base legal e a finalidade, e garantir que nenhum uso secundário escape desse mapeamento. Registro de sessão usado para treinar modelo, por exemplo, é um tratamento novo que precisa de base própria.
Minimização, retenção e direitos do titular
O princípio da minimização manda coletar e reter apenas o necessário. Em saúde mental isso colide com a guarda documental: o CFP estabelece prazos de guarda para documentos psicológicos. A estruturação correta concilia os dois — define o que retém, por quanto tempo, com qual cifragem, e como atende aos direitos de acesso, correção e portabilidade do titular sem expor o dado a quem não deve.
Comunicação de incidente à ANPD
A LGPD obriga o controlador a comunicar à ANPD e ao titular incidentes que possam acarretar risco ou dano relevante. A ANPD publicou regulamento de comunicação de incidente com prazo e conteúdo definidos. Por isso o plano de resposta da Decripte já inclui a trilha de notificação: a forense determina escopo e impacto, e o pacote regulatório é montado dentro da janela exigida — não improvisado depois.
Sigilo profissional e a relação com os psicólogos
A plataforma é a infraestrutura sobre a qual psicólogos exercem o sigilo profissional. Uma falha de segurança da plataforma pode colocar o profissional em violação do seu próprio dever ético. Estruturar a segurança protege, portanto, não só a empresa, mas a relação de confiança com os terapeutas — um ativo competitivo direto no setor.
Quanto custaria um incidente em saúde mental e psicologia digital? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Monitoramento contínuo: detectar a exfiltração antes da extorsão
Em dupla extorsão, existe uma janela entre o comprometimento inicial e a coleta completa dos dados. Quem detecta nessa janela contém o incidente antes que ele vire extorsão. Quem só percebe quando o ransomware dispara já perdeu os dados. É por isso que o monitoramento contínuo — o SOC 24x7 — é a diferença prática entre um susto e uma crise.
O SOC da Decripte correlaciona sinais de toda a plataforma: autenticações anômalas, acessos a prontuário fora do padrão do terapeuta, exportações em massa, movimentação lateral, comunicação com infraestrutura suspeita e mudanças de configuração que reabram exposição. O foco em saúde é detectar exfiltração e abuso de acesso, não apenas o alerta genérico de antivírus.
O que o SOC vigia numa plataforma de saúde mental
- ✓Picos de exportação de prontuário ou de consulta a registros fora do horário e do volume habitual do terapeuta
- ✓Logins de localização ou dispositivo improváveis em contas de terapeuta e padrões de credential stuffing em contas de paciente
- ✓Acesso a buckets de gravação e mudanças nas permissões de armazenamento
- ✓Criação de novas contas administrativas ou elevação de privilégio inesperada
- ✓Tráfego de saída para destinos associados a exfiltração e a infraestrutura de grupos de extorsão
- ✓Falhas e bypass nos fluxos de MFA e de recuperação de senha
Monitoramento gerenciado começa nos planos pagos
O diagnóstico gratuito mostra a foto do risco hoje. Para vigilância contínua, detecção e resposta gerenciada, os planos de SOC 24x7 e Resposta a Incidentes em /planos entregam o filme: alguém olhando, todo dia, com um caminho claro de contenção quando algo aparece.
Os dois tempos da Decripte: contenção e estruturação
A Decripte atua em dois tempos complementares. No tempo da crise, contém o incidente, conduz a forense e restabelece a operação com a menor perda possível. No tempo da paz, estrutura a segurança para que o próximo ataque encontre uma plataforma muito mais difícil. Os dois tempos se alimentam: cada incidente respondido gera lições que viram controles, e cada controle bem estruturado reduz o impacto do próximo incidente.
Isso é especialmente importante em saúde mental, onde o custo de um incidente não é só financeiro e regulatório — é humano. Conter rápido limita quantas anotações de sessão chegam às mãos do atacante. Estruturar bem reduz a chance de que existam anotações expostas para começar. As seções de resposta e estruturação abaixo detalham exatamente como cada tempo funciona na prática.
Do diagnóstico ao programa contínuo
O caminho recomendado é simples: comece pelo diagnóstico gratuito em decripte.io/free para enxergar a exposição atual e, a partir do que ele revelar, monte o programa com os planos certos em /planos — pentest para validar, SOC 24x7 para vigiar e Resposta a Incidentes para conter quando preciso.
Anatomia de um incidente: registros de sessão vazados em uma plataforma de teleterapia
Cenário ilustrativo
Cenário ILUSTRATIVO, não baseado em cliente real. Uma plataforma brasileira de saúde mental conecta milhares de pacientes a psicólogos por teleconsulta e guarda anotações de sessão em prontuário digital. Numa segunda-feira, a equipe de produto recebe um e-mail anônimo: o remetente afirma ter cópias de anotações de sessão de pacientes identificados e anexa três amostras reais como prova, exigindo pagamento em criptomoeda para não publicá-las nem contatar os pacientes individualmente. A plataforma aciona a Decripte.
Detecção e triagem (hora 0 a 1)
A Decripte valida a autenticidade das amostras e ativa o plano de resposta. A análise inicial de logs revela o vetor provável: uma conta de terapeuta comprometida por credential stuffing semanas antes, sem MFA, usada para acessar prontuários muito além da carteira de pacientes daquele profissional. Há também sinais de uma API de exportação consumida em massa. A contenção começa dentro do SLA de <=1h.
Contenção (hora 1 a 6)
Revogação imediata das sessões e tokens da conta comprometida, rotação de credenciais, bloqueio do endpoint de exportação abusado e regras de borda no WAF para estancar o consumo automatizado. MFA é forçado para todas as contas de terapeuta. A plataforma permanece no ar para os atendimentos legítimos, sem derrubar o serviço de pacientes em tratamento ativo.
Investigação forense (dia 1 a 4)
A forense reconstrói a linha do tempo: quando a conta foi comprometida, quais prontuários foram efetivamente acessados e exportados, e qual o volume real de registros de sessão exfiltrados. O escopo preciso é determinante — define quantos e quais titulares foram afetados e, portanto, o conteúdo da notificação à ANPD e aos pacientes. Identifica-se que a falha de autorização da API de exportação (sem checagem de escopo por terapeuta) ampliou muito o alcance do acesso indevido.
Erradicação (dia 4 a 7)
Correção da falha de autorização na API (validação de escopo por paciente e por terapeuta), eliminação de tokens longevos, fechamento de permissões abertas em armazenamento de gravações encontradas durante a varredura, e remoção de qualquer persistência do atacante. Um pentest dirigido confirma que os vetores explorados foram efetivamente fechados.
Recuperação e notificação (dia 5 a 10)
Restabelecimento pleno com MFA universal e monitoramento reforçado pelo SOC. Em paralelo, montagem do pacote regulatório: comunicação à ANPD dentro da janela exigida, comunicação aos titulares afetados com orientação clara, e suporte à plataforma na relação com o CFP e com os psicólogos cujos pacientes foram impactados. A decisão sobre a extorsão é tratada com a postura de não financiar o crime, priorizando contenção, transparência e proteção dos titulares.
Lições e estruturação (semana 2 em diante)
O incidente vira programa: MFA obrigatório, autorização revisada em toda a API, política de gravação endurecida, monitoramento contínuo de exfiltração e exportação, e um ciclo de pentest recorrente. As lições viram controles permanentes, e a plataforma passa de reativa a proativa.
Desfecho com a Decripte
A combinação de contenção rápida (SLA <=1h), forense precisa e estruturação subsequente limita o número de titulares afetados, sustenta uma notificação regulatória defensável e devolve à plataforma uma postura de segurança madura. O dano de extorsão é contido sem alimentar o atacante, e a confiança dos psicólogos e pacientes é preservada por meio de transparência e correção real das causas raiz. O caso é ilustrativo e serve para mostrar o método da Decripte, não um cliente específico.
Não espere o incidente acontecer. Comece a blindar saúde mental e psicologia digital hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em saúde mental
Resposta a incidentes em saúde mental tem uma exigência extra: cada hora de demora pode significar mais anotações de sessão nas mãos do atacante e mais titulares em risco de coerção. O processo da Decripte equilibra velocidade de contenção com precisão forense.
- Acionamento e triagem com SLA de contenção <=1h: validar o incidente, confirmar autenticidade de eventuais amostras de extorsão e ativar o plano de resposta imediatamente.
- Contenção cirúrgica: revogar sessões e tokens comprometidos, rotacionar credenciais, bloquear endpoints e contas abusadas e aplicar regras de borda, mantendo no ar os atendimentos legítimos sempre que possível.
- Forense e determinação de escopo: reconstruir a linha do tempo, identificar o vetor e medir com precisão quais prontuários e registros de sessão foram acessados ou exfiltrados.
- Erradicação: corrigir a causa raiz (falha de autorização, conta sem MFA, bucket aberto, token longevo) e remover qualquer persistência do atacante na plataforma.
- Recuperação segura: restabelecer a operação a partir de estado confiável, com MFA reforçado, monitoramento intensificado e validação de que os vetores foram fechados.
- Trilha regulatória LGPD: montar a comunicação à ANPD e aos titulares afetados dentro da janela exigida, com base no escopo apurado pela forense, e apoiar a relação com o CFP e os psicólogos.
- Postura diante da extorsão: orientar a não financiar o crime, priorizando contenção, transparência e proteção dos titulares, com comunicação responsável.
- Lições aprendidas e plano de blindagem: transformar o incidente em controles permanentes e em um roadmap de estruturação para reduzir a probabilidade e o impacto do próximo evento.
Como a Decripte estrutura a segurança da plataforma
Depois de conter, o objetivo é fazer o próximo ataque ser muito mais difícil e muito menos danoso. A estruturação se organiza em pilares que cobrem o dado, o acesso, a teleterapia, a vigilância e a conformidade.
Proteção do dado sensível
Cifragem em repouso e em trânsito, segregação entre anotação de sessão e identificação, minimização de coleta, retenção definida e backups imutáveis e testados — para que registro de terapia e prontuário sejam tratados com o rigor que o art. 11 da LGPD exige.
Validação ofensiva contínua (Pentest)
Pentest recorrente da plataforma e da teleconsulta, caçando falhas de autorização (IDOR), bypass de MFA, links de sala previsíveis, tokens longevos e armazenamento exposto, com prova de conceito controlada e plano de correção priorizado.
Blindagem da teleterapia
Salas com identificadores não previsíveis, tokens de vida curta, sala de espera com admissão controlada, cifragem da mídia e política de gravação que por padrão não grava — fechando a superfície de invasão de sessão e captura de vídeo terapêutico.
Monitoramento gerenciado 24x7 (SOC)
Vigilância contínua focada em exfiltração e abuso de acesso: exportações em massa, acessos anômalos a prontuário, credential stuffing, mudanças de configuração de armazenamento e tráfego para infraestrutura de extorsão.
Conformidade LGPD e CFP operacional
Mapeamento de bases legais e finalidades, atendimento aos direitos do titular, política de incidente alinhada ao regulamento da ANPD e conciliação entre minimização e a guarda documental exigida do psicólogo — conformidade que resiste à fiscalização.
Segurança de borda e identidade
WAF e anti-DDoS protegendo a API e os fluxos de autenticação, MFA obrigatório para terapeutas, detecção de anomalia de login e higiene de credenciais para barrar account takeover de pacientes e profissionais.
Planos recomendados para Saúde Mental e Psicologia Digital
Resposta a Incidentes
Em saúde mental, conter rápido define quantas anotações de sessão chegam ao atacante e quantos titulares ficam expostos à extorsão. O SLA de contenção <=1h e a forense para dimensionar o escopo sustentam a notificação à ANPD e protegem os pacientes.
Ver plano →SOC 24x7
Detectar exfiltração e abuso de acesso na janela entre o comprometimento e a coleta completa dos dados é o que evita que um incidente vire extorsão. O monitoramento contínuo vigia exportações, acessos anômalos a prontuário e mudanças de configuração.
Ver plano →Pentest
Falhas de autorização (IDOR), bypass de MFA, links de teleconsulta previsíveis e buckets de gravação abertos são as causas raiz típicas de vazamento de prontuário. O pentest da plataforma e da teleconsulta encontra e prova essas falhas antes do atacante.
Ver plano →Conformidade
Dado de saúde mental é sensível sob o art. 11 da LGPD e está sob o sigilo profissional do CFP. Estruturar bases legais, retenção, direitos do titular e a trilha de incidente da ANPD torna a conformidade defensável diante de fiscalização.
Ver plano →Perguntas frequentes
Registro de sessão de terapia é dado sensível pela LGPD?
Sim. Dado referente à saúde é dado pessoal sensível, tratado no art. 11 da LGPD, com hipóteses de base legal mais restritas. Anotação de sessão e prontuário psicológico estão nesse núcleo e exigem base legal específica (tipicamente consentimento ou tutela da saúde por profissionais de saúde), cifragem, minimização de acesso e trilha de auditoria — não apenas senha.
O que acontece se registros de sessão vazarem? Preciso avisar alguém?
A LGPD obriga o controlador a comunicar à ANPD e aos titulares incidentes que possam acarretar risco ou dano relevante, e a ANPD tem regulamento próprio com prazo e conteúdo definidos para essa comunicação. A forense da Decripte determina o escopo exato (quais e quantos titulares) para que a notificação seja precisa e dentro da janela exigida, em vez de improvisada.
Como protejo a sala de teleconsulta contra invasão?
Use identificadores de sala não previsíveis, tokens de acesso de vida curta vinculados à sessão, sala de espera com admissão explícita pelo terapeuta e cifragem da mídia. Evite links reutilizáveis e identificadores sequenciais. O pentest de teleconsulta da Decripte testa exatamente esses pontos, tentando adivinhar e reutilizar acessos de sala.
Devo gravar as sessões de terapia?
Em saúde mental, o padrão recomendado é não gravar. Gravação cria um artefato de altíssima sensibilidade que, se mal armazenado, vira o pior tipo de vazamento. Quando há gravação consentida e justificada, ela precisa ser cifrada, com acesso restrito, retenção mínima e exclusão garantida — nunca um vídeo em armazenamento público acessível por URL.
Como evito que vazem prontuários inteiros pela API?
A causa raiz mais comum é a falha de autorização (IDOR), em que o endpoint devolve o prontuário de qualquer identificador enviado sem verificar o direito do usuário. A defesa é validar escopo por paciente e por terapeuta em cada requisição, limitar exportações em massa e auditar acessos. O pentest da Decripte encontra essas falhas, que scanners automáticos costumam deixar passar.
O que é dupla extorsão e por que saúde mental é um alvo?
É a técnica em que o atacante primeiro exfiltra os dados mais sensíveis e só depois cifra os sistemas, ganhando duas alavancas: a indisponibilidade e a ameaça de publicar — ou enviar diretamente aos pacientes — o conteúdo. Em saúde mental, o poder de coerção das anotações de sessão torna esse modelo especialmente lucrativo e danoso, por isso detectar a exfiltração cedo é prioridade.
Tenho responsabilidade perante o CFP além da ANPD?
A plataforma é a infraestrutura sobre a qual os psicólogos exercem o sigilo profissional regulado pelo Conselho Federal de Psicologia, inclusive para atendimento on-line e guarda de documentos. Uma falha de segurança da plataforma pode comprometer o dever ético do profissional. Estruturar a segurança protege a empresa e a relação de confiança com os terapeutas.
Por onde começo sem gastar nada?
Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free. Ele mapeia ativos expostos, credenciais vazadas associadas ao seu domínio e sinais de risco externos — a visão que um atacante teria. A partir daí, os planos pagos em /planos elevam para pentest, SOC 24x7 e resposta a incidentes gerenciada.
Termos do setor
- Dado pessoal sensível (LGPD art. 11)
- Categoria da LGPD que inclui dado referente à saúde, com bases legais de tratamento mais restritas que as do art. 7. Anotação de sessão de terapia e prontuário psicológico entram nessa categoria e exigem cuidado reforçado.
- Dupla extorsão
- Tática em que o atacante exfiltra os dados antes de cifrar os sistemas, somando a ameaça de vazamento à de indisponibilidade. Em saúde mental, inclui a coerção direta de pacientes com suas próprias anotações de sessão.
- IDOR (Insecure Direct Object Reference)
- Falha de autorização em que o sistema confia no identificador enviado pelo cliente sem verificar o direito do usuário ao recurso. É causa raiz recorrente de vazamento de prontuário e parte da categoria Broken Access Control do OWASP Top 10.
- Account takeover
- Tomada de controle de uma conta legítima, via credential stuffing, phishing ou recuperação de senha frágil. Tomar a conta de um terapeuta expõe os prontuários de todos os seus pacientes; por isso MFA e detecção de anomalia são essenciais.
- SOC 24x7
- Centro de Operações de Segurança que monitora a plataforma continuamente, correlacionando sinais para detectar exfiltração, acessos anômalos e abuso antes que um comprometimento vire extorsão.
- Teleterapia / teleconsulta
- Atendimento psicológico por videochamada. É uma superfície de ataque própria, com riscos específicos de invasão de sala, reutilização de token e exposição de gravação que exigem blindagem dedicada.
A Decripte protege e responde a incidentes no setor de saúde mental e psicologia digital.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.