Segurança para clínicas de fisioterapia e reabilitação: contendo ransomware e estruturando a LGPD de dados de saúde
Prontuário sequestrado, agenda parada, dados sensíveis de pacientes vazados. Veja como a Decripte contém o incidente, recupera a operação e estrutura a conformidade de uma rede de reabilitação que digitalizou rápido demais sem maturidade de TI.
Direct answer
Para proteger uma clínica ou rede de fisioterapia e reabilitação você precisa tratar o prontuário eletrônico e os dados de convênio como dado pessoal sensível (saúde) sob a LGPD: backups imutáveis e testados contra ransomware, autenticação multifator (MFA) em prontuário, agenda, e-mail e acessos remotos, segmentação entre recepção, consultórios e servidores, monitoramento contínuo para detectar criptografia e exfiltração antes que paralisem a agenda, e um plano de resposta a incidentes com SLA de contenção. Some a isso o mapeamento de dados (RoPA), gestão de consentimento e contratos com operadores (software de gestão, faturamento de convênio) exigidos pela ANPD. O caminho mais rápido para saber onde sua clínica está exposta é rodar o diagnóstico gratuito de Gestão de Ameaças da Decripte em decripte.com.br/intelligence-center.
24/7
SOC monitorando agenda e prontuário
<=1h
SLA de contenção em incidente
LGPD
Dado de saúde = dado sensível
Grátis
Diagnóstico inicial em decripte.com.br/intelligence-center
In summary
- ›Prontuário, agenda e dados de convênio de fisioterapia são dados pessoais sensíveis de saúde sob a LGPD, com nível de proteção e responsabilidade elevados perante a ANPD.
- ›Ransomware em rede de reabilitação não rouba só dinheiro: paralisa a agenda, impede atendimento de pacientes em reabilitação contínua e expõe a clínica a sanção por vazamento.
- ›Backups imutáveis e testados, MFA e segmentação de rede são as três barreiras que mais reduzem o impacto de um ataque típico do setor.
- ›A Decripte contém em <=1h, erradica, recupera a operação e depois estrutura LGPD, gestão de vulnerabilidades e monitoramento contínuo para evitar a reincidência.
- ›A jornada começa self-service: diagnóstico gratuito em decripte.com.br/intelligence-center e planos pagos em /planos, sem formulário e sem espera.
Cibersegurança para Fisioterapia e Reabilitação
Prontuário sequestrado, agenda parada, dados sensíveis de pacientes vazados. Veja como a Decripte contém o incidente, recupera a operação e estrutura a conformidade de uma rede de reabilitação que digitalizou rápido demais sem maturidade de TI.
Por que fisioterapia e reabilitação viraram alvo preferencial
Clínicas e redes de fisioterapia, RPG, pilates clínico, fonoaudiologia, terapia ocupacional e centros de reabilitação viveram uma digitalização acelerada na última década. Prontuário eletrônico do paciente (PEP), agenda online, teleconsulta, integração com convênios e operadoras, faturamento TISS, prescrição de exercícios por aplicativo e até wearables de acompanhamento passaram a fazer parte da rotina. O problema é que essa digitalização raramente veio acompanhada de maturidade de TI: a maioria das clínicas não tem time de segurança, opera com um software de gestão na nuvem de terceiros, um ou dois computadores na recepção, Wi-Fi compartilhado entre pacientes e equipe, e backups que ninguém testa.
Esse perfil — dados altamente sensíveis somados a defesa fraca — é exatamente o que atrai grupos de ransomware e operadores de fraude. Para o atacante, uma rede de fisioterapia é um alvo de baixo esforço e alto retorno: o prontuário é crítico para a operação (sem ele não há atendimento), os pacientes estão em tratamento contínuo e não podem simplesmente esperar, e os dados de saúde têm valor no mercado criminoso. A clínica, sob pressão para voltar a atender, tende a considerar o pagamento do resgate. É o cenário ideal para a extorsão.
O que torna o setor vulnerável
- ›Software de gestão e prontuário operados por terceiros, sem clareza sobre quem é controlador e quem é operador
- ›Acesso remoto (RDP, VPN improvisada, AnyDesk) sem MFA para o suporte de TI ou para o próprio dono
- ›Backups locais no mesmo servidor que o prontuário — criptografados junto no ataque
- ›Wi-Fi único para pacientes, equipamentos e estações de trabalho clínicas
- ›Equipe clínica sem treinamento contra phishing, clicando em boletos e currículos falsos
- ›Múltiplas unidades conectadas pela mesma rede, sem segmentação entre franquias
Quando uma rede tem várias unidades, o risco se multiplica: um único equipamento comprometido em uma franquia pode servir de ponte para criptografar o prontuário central que todas as unidades compartilham. A ausência de segmentação transforma um incidente local em uma paralisação de toda a rede.
As quatro ameaças que mais atingem o setor
1. Ransomware paralisando agenda e prontuário
É o cenário mais devastador e mais comum. O atacante entra por phishing, por uma credencial vazada ou por um acesso remoto exposto, move-se lateralmente pela rede plana da clínica, localiza o servidor de prontuário e de backup, exfiltra uma amostra dos dados para chantagem (dupla extorsão) e dispara a criptografia geralmente fora do horário comercial. Na manhã seguinte, a recepção liga os computadores e encontra a agenda inacessível, os prontuários ilegíveis e uma nota de resgate. Pacientes em reabilitação pós-cirúrgica, neurológica ou ortopédica ficam sem atendimento, e a clínica perde receita a cada hora parada.
2. Vazamento de dados de saúde e 3. Fraude de convênio
Diagnósticos, evoluções de tratamento, laudos e dados de convênio são dados pessoais sensíveis na LGPD. Um vazamento — por ransomware de dupla extorsão, por um banco de dados exposto ou por um colaborador — expõe a clínica a comunicação obrigatória à ANPD e aos titulares, a sanções e a dano reputacional grave. Em paralelo, o faturamento de convênio é um vetor de fraude próprio do setor: credenciais de portais de operadora roubadas permitem redirecionar repasses ou inflar guias, enquanto golpes de boleto falso e desvio de PIX atingem o financeiro da clínica.
4. Phishing e tomada de conta (ATO)
O ponto de entrada da maioria dos incidentes. E-mails se passando por operadoras de convênio, fornecedores de equipamento, candidatos a vagas ou o próprio software de gestão induzem a equipe a entregar senhas ou executar malware. Sem MFA, uma única senha capturada vira acesso completo ao e-mail, à agenda e, por reuso de senha, ao prontuário.
Por que o dado de fisioterapia vale tanto
Diferente de um cartão de crédito, que pode ser cancelado, o histórico de saúde de um paciente é permanente. Dados de reabilitação revelam condições crônicas, sequelas, cirurgias e limitações — informação usada em fraude, extorsão direcionada e discriminação. Por isso a LGPD os classifica como sensíveis e por isso o mercado criminoso os valoriza.
Is fisioterapia e reabilitação data already exposed or up for sale? Find out now — for free.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O que a LGPD e a ANPD exigem de uma clínica de fisioterapia
Tratar dados de saúde é uma das atividades de maior responsabilidade sob a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). A própria lei lista 'dados referentes à saúde' entre as categorias de dados pessoais sensíveis, sujeitas a hipóteses de tratamento mais restritas e a um dever reforçado de segurança. Uma clínica de fisioterapia é, na maioria dos casos, controladora desses dados — ela decide as finalidades — enquanto o software de gestão, o sistema de faturamento e a nuvem que armazenam são operadores. Essa distinção precisa estar formalizada em contrato.
Obrigações práticas da clínica sob a LGPD
- ✓Mapear o ciclo de vida do dado (RoPA): o que coleta, onde guarda, com quem compartilha, por quanto tempo retém
- ✓Definir a base legal correta para cada finalidade (tutela da saúde, consentimento, obrigação legal)
- ✓Adotar medidas técnicas e administrativas de segurança proporcionais ao risco do dado sensível
- ✓Manter contratos de operador com cláusulas de proteção de dados com fornecedores de software e faturamento
- ✓Indicar um encarregado (DPO) e ter canal para os titulares exercerem direitos
- ✓Ter plano de resposta e comunicar a ANPD e os titulares em incidente relevante, em prazo razoável
- ✓Gerir consentimento e respeitar a minimização: coletar só o necessário para o tratamento
A ANPD vem intensificando a fiscalização sobre o setor de saúde e tem orientações específicas sobre comunicação de incidentes de segurança. Não se trata apenas de evitar multa: um incidente mal conduzido — sem detecção, sem registro do que aconteceu, sem comunicação adequada — agrava a responsabilidade da clínica. A diligência demonstrada (boas práticas, governança, resposta organizada) é levada em conta na dosagem de eventuais sanções.
Atenção a confusões comuns
Não existe um 'número de norma LGPD' por trás de cada exigência; a referência é a Lei nº 13.709/2018 e as regulamentações da ANPD. Da mesma forma, PCI-DSS aplica-se quando a clínica armazena ou processa dados de cartão (maquininha integrada, gateway), e não substitui as obrigações de saúde. Cada exigência tem seu escopo — tratá-las como uma coisa só é um erro de conformidade.
Anatomia técnica de um ataque típico
Entender a cadeia de um ataque ajuda a posicionar cada defesa. Um incidente de ransomware em rede de fisioterapia costuma seguir etapas previsíveis, e cada etapa é uma oportunidade de detecção e bloqueio que a clínica geralmente não aproveita por falta de monitoramento.
Acesso inicial e persistência
Phishing direcionado à recepção ou ao financeiro, exploração de um acesso remoto exposto à internet sem MFA, ou uso de uma credencial vazada em outro serviço e reaproveitada (reuso de senha). Em seguida o atacante instala um meio de retorno, mapeia a rede plana e identifica o servidor de prontuário, o de arquivos e, crucialmente, onde estão os backups. Em uma rede sem segmentação e sem monitoramento, isso ocorre em silêncio por dias — e é aqui que a maioria dos ataques poderia morrer, com MFA e treinamento.
Movimentação lateral, exfiltração e impacto
Usando credenciais capturadas e falhas de configuração, o invasor obtém privilégios de administrador e, em redes multiunidade sem isolamento, alcança o prontuário central a partir de uma estação qualquer. Antes de criptografar, copia uma amostra de prontuários e dados de convênio para a chantagem (dupla extorsão). Depois desativa o antivírus, apaga cópias de sombra, criptografa backups acessíveis e dispara a criptografia em massa — quase sempre de madrugada ou no fim de semana, para maximizar o dano antes de alguém perceber.
Onde a Decripte quebra a cadeia
- ›MFA e Exposed Credentials Check derrubam o acesso inicial por senha vazada
- ›Segmentação impede a movimentação lateral entre recepção, consultórios e servidor
- ›O SOC 24x7 detecta a exfiltração e a desativação de antivírus antes da criptografia em massa
- ›Backups imutáveis e offline sobrevivem mesmo que o atacante alcance o servidor
- ›O plano de resposta com SLA <=1h corta a conexão do atacante e isola o ambiente
Backups: a diferença entre um susto e a falência
Se houvesse uma única medida para destacar no setor, seria o backup imutável e testado. A clínica que mantém cópias dos prontuários em local isolado, que o atacante não consegue alterar nem apagar, transforma um ransomware de 'pagar resgate ou fechar' em 'restaurar e voltar a atender'. O erro recorrente é manter o backup no mesmo servidor ou no mesmo storage de rede que o prontuário — quando o ataque criptografa o servidor, leva o backup junto.
Backup que sobrevive a ransomware
- ✓Regra 3-2-1: três cópias, em dois tipos de mídia, com uma fora do ambiente (offsite/offline)
- ✓Imutabilidade: cópias que não podem ser alteradas nem deletadas por um período definido
- ✓Isolamento de credenciais: a conta que gerencia backup não é a mesma do dia a dia
- ✓Teste de restauração periódico: backup que nunca foi restaurado é uma esperança, não uma garantia
- ✓Cobertura do que importa: prontuário, agenda, base de convênio e configurações
Testar a restauração é tão importante quanto fazer a cópia. Muitas clínicas descobrem, no pior momento, que o backup estava corrompido, incompleto ou que ninguém sabia como restaurá-lo. A Decripte valida a recuperabilidade real do ambiente como parte da estruturação, não deixa isso para o dia do incidente.
What would an incident in fisioterapia e reabilitação cost? See your real risk before it happens.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Como a Decripte atua: do incidente à estrutura
A Decripte é uma empresa brasileira de cibersegurança que combina resposta a incidentes, monitoramento contínuo (SOC 24x7), gestão de vulnerabilidades e conformidade. No setor de reabilitação, a atuação típica começa muitas vezes no pior dia — com a clínica já sob ataque — e evolui para uma estrutura que evita a reincidência. A contenção tem SLA de até uma hora, porque cada hora de prontuário parado é atendimento perdido e exposição que cresce.
O padrão de engajamento no setor
Contenção rápida para estancar a sangria, erradicação cuidadosa para não reinfectar, recuperação a partir de backups confiáveis para voltar a atender, e então a estruturação: LGPD para dados de saúde, gestão contínua de vulnerabilidades e o SOC vigiando a agenda e o prontuário 24 horas por dia. O objetivo não é só apagar o incêndio — é fazer com que ele não volte.
E para a clínica que ainda não foi atacada, a porta de entrada é o diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center: ele mostra, sem custo, onde estão as exposições — credenciais vazadas, serviços expostos, superfície de ataque — antes que um criminoso as encontre primeiro. Quando a clínica decide avançar para proteção contínua, os planos pagos estão em /planos.
Exemplo real descaracterizado: a rede de fisioterapia com prontuário sequestrado
Real, de-identified example
Exemplo real descaracterizado (sem identificar o cliente). Uma rede de fisioterapia e reabilitação com cinco unidades em uma capital, cerca de 40 fisioterapeutas e 12 mil pacientes ativos, compartilha um servidor central de prontuário eletrônico hospedado em uma sala de TI improvisada na unidade matriz. As unidades se conectam por uma VPN simples, sem segmentação. O backup roda para um NAS na mesma rede. Não há MFA no acesso remoto que o técnico de TI terceirizado usa para manutenção. Em uma sexta-feira à noite, esse acesso remoto, exposto à internet, é o ponto de entrada.
Comprometimento (sexta, 21h)
Um operador de ransomware usa uma credencial do acesso remoto do TI terceirizado, vazada em outro serviço e reutilizada, para entrar na rede da matriz. Sem MFA e sem monitoramento noturno, o acesso passa despercebido. O invasor mapeia a rede plana, localiza o servidor de prontuário e o NAS de backup.
Exfiltração e detonação (sábado, 02h)
O grupo copia uma amostra de prontuários e da base de convênios para chantagem, desativa o antivírus do servidor, apaga as cópias de sombra, criptografa o NAS de backup acessível e dispara a criptografia do prontuário central. As cinco unidades ficam com a agenda e os prontuários inacessíveis.
Detecção e acionamento (segunda, 07h)
A recepção da matriz liga os computadores e encontra a nota de resgate. A direção aciona a Decripte. Em até uma hora a equipe de resposta isola o ambiente: corta a VPN entre unidades, desconecta o servidor comprometido da internet e bloqueia o acesso remoto explorado para impedir que o atacante volte ou avance.
Contenção e investigação (segunda)
A Decripte preserva evidências (imagens forenses, logs), identifica o vetor de entrada (a credencial reutilizada sem MFA), determina o escopo da exfiltração e confirma quais dados foram acessados. Em paralelo, monitora a dark web em busca da amostra exfiltrada para dimensionar a exposição.
Erradicação
Remoção completa dos artefatos do atacante, das contas e dos meios de persistência. Rotação de todas as credenciais, fechamento do acesso remoto exposto, reforço de configurações e varredura para garantir que nenhuma porta dos fundos permaneça antes de religar qualquer sistema.
Recuperação
Como o NAS local foi criptografado, a recuperação se apoia em uma cópia mais antiga sobrevivente e na reconstrução assistida. A Decripte restaura prontuário e agenda em ambiente limpo e segmentado, valida a integridade e devolve a operação de forma faseada, unidade a unidade, sem resgate pago.
Conformidade e comunicação
A Decripte apoia a clínica na avaliação do incidente sob a LGPD, na documentação do ocorrido e na comunicação à ANPD e aos titulares afetados conforme as orientações regulatórias, demonstrando a diligência e a resposta organizada que reduzem a exposição a sanção.
Lições e estruturação
MFA em todos os acessos, segmentação entre unidades e entre recepção/consultórios/servidores, backup imutável e offline com teste de restauração, gestão contínua de vulnerabilidades e o SOC 24x7 monitorando para que uma próxima tentativa seja detectada na primeira hora, não na manhã de segunda.
Outcome with Decripte
A rede voltou a atender sem pagar resgate, restaurando a operação a partir de backup e de reconstrução assistida em ambiente já segmentado. Mais importante, saiu do incidente com uma estrutura de segurança e conformidade que antes não existia: identidade protegida por MFA, rede segmentada, backups que sobrevivem a ransomware, LGPD endereçada para dados de saúde e monitoramento contínuo. O que começou como uma crise virou a base de maturidade que a digitalização da clínica nunca teve.
Don’t wait for the incident. Start hardening fisioterapia e reabilitação today.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente em clínica de fisioterapia
A resposta a incidentes da Decripte segue um método consagrado de preparação, contenção, erradicação e recuperação, adaptado à realidade de uma clínica que precisa voltar a atender pacientes o quanto antes e ainda cumprir as obrigações de dado de saúde sob a LGPD. SLA de contenção de até uma hora.
- Acionamento e triagem imediata: a equipe entende o cenário, classifica a gravidade e ativa o plano, com o relógio do SLA de contenção (<=1h) correndo a partir do acionamento.
- Contenção: isolamento dos sistemas afetados, corte da conexão do atacante, bloqueio do vetor de entrada (acesso remoto, conta comprometida) e isolamento entre unidades para impedir alastramento.
- Preservação e investigação forense: coleta de imagens e logs, identificação do vetor inicial, do escopo da exfiltração e dos dados de saúde efetivamente acessados, sem destruir evidência.
- Erradicação: remoção de malware, contas maliciosas e mecanismos de persistência, rotação de todas as credenciais e fechamento das falhas exploradas antes de qualquer religamento.
- Recuperação: restauração de prontuário, agenda e base de convênio a partir de backups confiáveis ou reconstrução assistida, em ambiente limpo e já segmentado, com retorno faseado por unidade.
- Apoio à conformidade LGPD: avaliação do incidente, documentação e suporte à comunicação à ANPD e aos titulares conforme as orientações regulatórias, demonstrando diligência.
- Monitoramento da dark web: busca pela amostra exfiltrada para dimensionar a exposição e antecipar tentativas de extorsão ou revenda dos dados.
- Relatório e hardening pós-incidente: lições aprendidas convertidas em correções concretas e entrada para o monitoramento contínuo do SOC, fechando o ciclo para evitar a reincidência.
Como a Decripte estrutura a segurança de uma rede de reabilitação
Depois de conter o incêndio — ou, idealmente, antes que ele aconteça — a Decripte estrutura a segurança da clínica em pilares que atacam diretamente as ameaças do setor: ransomware, vazamento de dado sensível, fraude e tomada de conta.
Identidade e acesso (MFA e mínimo privilégio)
MFA obrigatório em prontuário, e-mail, agenda e todo acesso remoto; revisão de privilégios para que cada profissional veja só o necessário; e Exposed Credentials Check para barrar senhas vazadas reutilizadas, o vetor de entrada mais comum.
Resiliência a ransomware (backup imutável e segmentação)
Backups isolados, imutáveis e testados pela regra 3-2-1, somados à segmentação da rede entre recepção, consultórios, servidores e unidades, para que um equipamento comprometido não derrube o prontuário central de toda a rede.
Conformidade LGPD para dados de saúde
Mapeamento de dados (RoPA), definição de bases legais, contratos de operador com fornecedores de software e faturamento, gestão de consentimento e plano de comunicação de incidentes alinhado às orientações da ANPD para dado sensível.
Gestão contínua de vulnerabilidades
Varredura recorrente da superfície exposta — servidores, acessos remotos, software de gestão, portais de convênio — com priorização por risco real e acompanhamento da correção, para fechar as portas antes que o atacante as use.
Monitoramento contínuo (SOC 24x7)
Vigilância 24 horas sobre agenda, prontuário e e-mail para detectar exfiltração, desativação de antivírus e tentativas de criptografia na primeira hora — quando o ataque ainda é contível — e não na manhã seguinte.
Cultura e treinamento da equipe clínica
Capacitação de recepção, fisioterapeutas e financeiro contra phishing e fraude de boleto/convênio, transformando o elo mais explorado pelos atacantes na primeira linha de defesa da clínica.
Recommended plans for Fisioterapia e Reabilitação
Resposta a Incidentes
O serviço que entra em ação quando o prontuário e a agenda são sequestrados: contenção com SLA <=1h, erradicação, recuperação sem pagar resgate e apoio à comunicação LGPD à ANPD e aos pacientes.
See plan →SOC 24x7
Monitoramento contínuo de agenda, prontuário e e-mail para detectar a exfiltração e a criptografia na primeira hora — essencial porque ataques ao setor são detonados de madrugada e no fim de semana.
See plan →Conformidade
Estrutura a LGPD para dados de saúde (RoPA, bases legais, contratos de operador, consentimento e plano de incidentes), reduzindo a exposição a sanção da ANPD que recai sobre dado pessoal sensível.
See plan →Gestão de Vulnerabilidades
Encontra e prioriza as portas abertas da clínica — acessos remotos expostos, software de gestão desatualizado, credenciais vazadas — antes que o ransomware as explore.
See plan →Frequently asked questions
Minha clínica de fisioterapia é pequena. Sou mesmo um alvo de ransomware?
Sim, e justamente por ser pequena. Grupos de ransomware miram alvos com dados críticos e defesa fraca, porque o esforço é baixo e a pressão para pagar é alta — uma clínica sem prontuário não atende. Tamanho não protege; maturidade de segurança protege. O diagnóstico gratuito em decripte.com.br/intelligence-center mostra suas exposições sem custo.
Os dados dos meus pacientes de fisioterapia são considerados sensíveis pela LGPD?
Sim. A LGPD (Lei nº 13.709/2018) lista dados referentes à saúde entre os dados pessoais sensíveis. Diagnósticos, evoluções, laudos e histórico de lesões recebem proteção e responsabilidade reforçadas, e um vazamento exige avaliação e, sendo relevante, comunicação à ANPD e aos titulares.
Se eu for atacado por ransomware, devo pagar o resgate?
Pagar não garante a recuperação dos dados nem que a cópia exfiltrada será apagada, além de financiar o crime. O caminho correto é acionar a resposta a incidentes para conter, erradicar e recuperar a partir de backups confiáveis. Por isso o backup imutável e testado é a defesa mais importante do setor.
Quanto tempo a Decripte leva para conter um ataque?
O SLA de contenção é de até uma hora a partir do acionamento. Nesse tempo a equipe isola os sistemas afetados, corta a conexão do atacante e bloqueia o vetor de entrada para estancar o avanço, antes de partir para erradicação e recuperação.
Tenho várias unidades. Um ataque em uma unidade derruba todas?
Se a rede não for segmentada, sim — é o erro mais perigoso em redes de fisioterapia. Um equipamento comprometido em uma franquia pode alcançar o prontuário central compartilhado. A Decripte estrutura a segmentação entre unidades, recepção, consultórios e servidores justamente para que um incidente local não vire paralisação total.
Preciso de MFA mesmo numa clínica de fisioterapia?
Sim. A maioria dos ataques começa com uma senha capturada por phishing ou reutilizada de outro vazamento. O MFA neutraliza essa porta de entrada em prontuário, e-mail, agenda e acessos remotos. É uma das medidas de maior impacto e menor custo que a clínica pode adotar.
Como começo a proteger minha clínica sem gastar nada agora?
Comece pelo diagnóstico gratuito de Gestão de Ameaças em decripte.com.br/intelligence-center, clicando em 'Comece grátis agora'. Ele revela suas exposições — credenciais vazadas, serviços expostos, superfície de ataque — sem custo. Quando quiser avançar para proteção contínua, os planos pagos estão em /planos.
A Decripte ajuda na comunicação à ANPD se houver vazamento?
Sim. A resposta a incidentes inclui a avaliação do ocorrido sob a LGPD, a documentação do incidente e o apoio à comunicação à ANPD e aos titulares conforme as orientações regulatórias, demonstrando a diligência que reduz a exposição a sanção.
Sector terms
- Ransomware de dupla extorsão
- Ataque que, antes de criptografar os sistemas, copia (exfiltra) uma amostra dos dados para chantagear a vítima com a ameaça de divulgação, somando o sequestro do acesso ao vazamento dos dados — comum contra prontuários de saúde.
- Dado pessoal sensível (saúde)
- Categoria definida pela LGPD que inclui dados referentes à saúde. Diagnósticos, evoluções e histórico de tratamento de fisioterapia se enquadram aqui e recebem proteção e responsabilidade reforçadas perante a ANPD.
- Backup imutável (regra 3-2-1)
- Estratégia de cópias que não podem ser alteradas nem apagadas pelo atacante, mantidas em três cópias, dois tipos de mídia e uma fora do ambiente. É o que permite recuperar de ransomware sem pagar resgate.
- MFA (autenticação multifator)
- Mecanismo que exige mais de uma prova de identidade (senha mais um segundo fator) para liberar o acesso, neutralizando senhas vazadas ou capturadas por phishing — o vetor de entrada mais comum no setor.
- SOC 24x7
- Centro de Operações de Segurança que monitora os sistemas da clínica 24 horas por dia, detectando exfiltração, desativação de antivírus e tentativas de criptografia na primeira hora, quando o ataque ainda pode ser contido.
- RoPA (Registro de Operações de Tratamento)
- Inventário que mapeia quais dados a clínica coleta, onde guarda, com quem compartilha e por quanto tempo retém — base da conformidade LGPD e exigência prática para tratar dados de saúde com responsabilidade.
Decripte protects and responds to incidents in fisioterapia e reabilitação.
Pentest, 24x7 SOC, incident response with a 1-hour containment SLA and compliance — without building an internal team. Or start free by seeing what has already leaked from your company.
