e.Quality Hub

Segurança e privacidade no EqualityHub

Versão 1.0 · Vigente desde 12 de junho de 2026

Este documento descreve os controles de segurança e privacidade em vigor no EqualityHub. Seu objetivo é fornecer informações concretas para equipes de TI e conformidade de hospitais e clínicas que avaliam a plataforma. Descrevemos apenas o que existe — sem certificações não obtidas, sem compromissos de disponibilidade não formalizados.

1. Visão geral

O EqualityHub é um SaaS (software como serviço) B2B voltado à gestão de engenharia clínica. Toda a infraestrutura é gerenciada pelo Google Cloud Platform (Firebase), incluindo banco de dados (Firestore), armazenamento de arquivos (Cloud Storage), funções de backend (Cloud Functions) e hospedagem. Os dados ficam armazenados em região multi-regional nos Estados Unidos (nam5, abrangendo Iowa e Carolina do Sul).

A e.Quality não opera servidores físicos próprios. A responsabilidade pela segurança física dos data centers, pela disponibilidade da infraestrutura e pelos controles de camada de hardware é integralmente do Google. A e.Quality é responsável pelos controles de aplicação, configuração de regras de acesso, gerenciamento de identidades e desenvolvimento seguro.

O serviço é exclusivo para profissionais (mínimo de 18 anos). Não há tratamento de dados de pacientes na plataforma.

2. Controle de acesso

A autenticação de usuários é gerenciada pelo Firebase Authentication (Google), que armazena credenciais com hash bcrypt e suporta redefinição de senha por e-mail. A e.Quality não armazena senhas.

A verificação em duas etapas (2FA) por aplicativo autenticador (TOTP, padrão RFC 6238) é obrigatória para administradores, configurada em Perfil → Segurança. O segundo fator é gerenciado pelo Firebase Authentication / Identity Platform (Google) — a e.Quality não armazena o segredo TOTP em suas coleções.

Controles adicionais de sessão: no acesso pelo navegador, a sessão expira automaticamente após 15 minutos de inatividade; no aplicativo instalado, o usuário pode ativar o desbloqueio por biometria. Cada usuário pode ainda ver e revogar os dispositivos conectados à sua conta em Perfil → Segurança — individualmente ou todos de uma vez (com revogação dos tokens de atualização da conta).

O modelo de papéis segue o princípio do menor privilégio:

Os papéis são definidos como Custom Claims do Firebase Authentication, não como campos editáveis pelo próprio usuário no banco de dados. Isso impede escalação de privilégio via manipulação de dados.

O isolamento entre empresas clientes é aplicado nas regras de segurança do Firestore (Firestore Security Rules), verificadas pelo servidor a cada leitura e escrita. Um usuário autenticado de uma empresa não consegue acessar dados de outra empresa, independentemente do cliente utilizado.

Não há cadastro aberto: contas são criadas exclusivamente por administradores da própria empresa.

3. Proteção de dados

4. Desenvolvimento seguro

5. Registro e rastreabilidade

6. Fornecedores (suboperadores)

A tabela abaixo lista os suboperadores que recebem ou processam dados da plataforma. Para detalhes sobre quais dados cada fornecedor recebe, consulte a Política de Privacidade.

Fornecedor Serviço País Salvaguarda de transferência internacional
Google LLC Infraestrutura (Firebase Auth, Firestore, Cloud Storage, Cloud Functions, Hosting) EUA Firebase Data Processing and Security Terms + Cloud DPA com CPCs da Res. CD/ANPD nº 19/2024
Anthropic PBC API Claude — assistente de IA de uso exclusivo da equipe interna da e.Quality EUA Termos comerciais Anthropic; inputs/outputs não usados para treinamento por padrão
Apple Inc. Distribuição do app iOS (App Store / TestFlight) EUA Apple Developer Program License Agreement
Google LLC (Play) Distribuição do app Android (Google Play) EUA Google Play Developer Distribution Agreement

Os fornecedores GitHub (Microsoft) e Autentique estão listados na documentação interna de fornecedores (PSI Anexo D). O GitHub não recebe dados pessoais de produção. O Autentique, plataforma brasileira de assinatura digital, é utilizado de forma pontual no módulo de documentos.

7. Privacidade

O tratamento de dados pessoais na plataforma é descrito em detalhes na Política de Privacidade, que inclui as bases legais aplicáveis, os prazos de retenção por categoria de dado e os direitos dos titulares.

A e.Quality atua como controladora dos dados de contas, suporte e operação interna, e como operadora dos dados que os clientes hospitalares inserem na plataforma no curso dos contratos de engenharia clínica.

Para exercer direitos previstos na LGPD (acesso, correção, portabilidade, eliminação etc.) ou para questões de privacidade e segurança, o canal dedicado é:

Encarregado de dados (DPO): privacidade@equalityengenharia.com

A confirmação de recebimento é imediata; a resposta é fornecida em até 15 dias, prorrogável na forma da regulamentação da ANPD aplicável a agentes de tratamento de pequeno porte.

8. Comunicação de vulnerabilidades

Caso você identifique uma vulnerabilidade de segurança no EqualityHub, pedimos que siga o processo de divulgação responsável:

  1. Relate o problema por e-mail a privacidade@equalityengenharia.com, com descrição técnica suficiente para reprodução.
  2. Não divulgue publicamente a vulnerabilidade antes de recebermos confirmação ou antes de 90 dias corridos após o envio, o que ocorrer primeiro.
  3. Não acesse, modifique nem exfiltre dados de usuários reais durante a investigação.

Respondemos a relatórios de vulnerabilidade em até 5 dias úteis. Não oferecemos programa de recompensas monetárias no momento.

O arquivo security.txt desta plataforma está disponível em /.well-known/security.txt.

Dúvidas sobre conformidade? Para avaliações de due diligence, questionários de fornecedor ou contratos de processamento de dados (DPA), entre em contato pelo canal de privacidade: privacidade@equalityengenharia.com.