Conformidade e Segurança

Criptografia de Dados

Vilulia protege os dados dos casos por meio de múltiplas camadas de criptografia: campos PHI em registros de casos médicos são criptografados no nível do campo pelo AWS Key Management Service (KMS), documentos de casos são armazenados no Amazon S3 com criptografia do lado do servidor em repouso, e todo o tráfego de API é protegido por TLS. A criptografia de campos PHI faz parte do complemento HIPAA. A criptografia de documentos se aplica a todas as organizações, independentemente do plano.

O que você vai aprender

  • Como funciona a criptografia de campos PHI com AWS KMS e AES-256-GCM
  • Como funciona a criptografia de documentos no S3
  • Quais planos incluem criptografia PHI
  • Como as chaves de criptografia são gerenciadas e rotacionadas

Criptografia de campos PHI

As informações de saúde protegidas armazenadas em registros de casos médicos são criptografadas no nível do campo pelo AWS KMS. Cada campo é criptografado com um contexto de criptografia composto pelo nome do campo e pelo ID do caso, usando a chave KMS com o alias vilulia-phi-key (configurável via KMS_MASTER_KEY_ID). A criptografia de campos PHI é habilitada quando o complemento HIPAA Basic ou HIPAA Enhanced está ativo na sua organização.

Rotação de chaves

A criptografia de campos PHI utiliza o AWS KMS, portanto o ciclo de vida e a rotação das chaves são gerenciados dentro do KMS e não pela aplicação. A descriptografia requer a chave KMS correspondente e o contexto de criptografia. Separadamente, a criptografia de campos usada para segredos não PHI (como tokens de contas conectadas) oferece suporte à rotação de chaves por meio de uma chave atual e uma chave anterior, permitindo que os dados sejam descriptografados com qualquer uma das chaves e recriptografados com a chave atual na próxima gravação.

Criptografia de documentos

Os documentos dos casos são armazenados no Amazon S3 com criptografia do lado do servidor em repouso (SSE-S3, AES-256). Isso se aplica a todas as organizações em todos os níveis de plano. A criptografia de documentos não requer um complemento HIPAA. Os tipos de arquivo suportados incluem PDF, DOCX e formatos de imagem comuns. A criptografia é gerenciada pela AWS e é transparente para o usuário final.

Tokens de contas de e-mail

Os tokens de acesso OAuth para contas de e-mail conectadas (Gmail e Outlook) são criptografados em repouso usando AES-256-GCM antes de serem armazenados. Isso é separado do sistema de criptografia PHI e se aplica independentemente do status do complemento HIPAA.

Criptografia de mensagens seguras

As mensagens enviadas pelo recurso de mensagens seguras são criptografadas no lado do servidor antes do armazenamento, usando uma chave AES-256-GCM por tenant. O texto simples nunca é persistido. O corpo da mensagem é criptografado no recebimento e a descriptografia ocorre no lado do servidor no momento da leitura para destinatários autorizados. Este recurso requer um BAA ativo.

Artigos relacionados

Não encontrou o que procurava? Fale com o Suporte

Está com dificuldades com este recurso?

Acesse a Central de Suporte para guias de resolução de problemas e artigos explicativos.

Ir para a Central de Suporte