Segurança

Boas práticas para integrações HIPAA / GDPR / LGPD

Boas práticas para gerenciar API keys do CBCTHub e proteger dados do paciente na sua integração.

Nunca hardcode a API key

Use variáveis de ambiente ou um secret manager (AWS Secrets Manager, Vault, Doppler). Não comite keys no git nem exponha em código frontend.

Não exponha a key ao navegador

Se sua integração tem frontend, todas as chamadas ao CBCTHub devem passar pelo seu backend. Uma key exposta em JS público pode ser roubada e usada para encher seu storage.

Rotacione as keys a cada 3-6 meses

Higiene básica. Crie uma key nova, atualize a env var, verifique que funciona e revogue a antiga.

Use keys distintas por ambiente

Uma key para dev, outra para staging, outra para prod. Se uma vazar, o blast radius fica limitado.

Dados do paciente (HIPAA/GDPR/LGPD)

O CBCTHub é HIPAA-ready e LGPD-compliant. Os dados viajam criptografados (TLS 1.3) e ficam criptografados no R2. Seu sistema é responsável por obter o consentimento do paciente antes de enviar. Para clientes que precisam de um DPA assinado, baixe em cbcthub.com/dpa.

Revogue imediatamente em caso de suspeita de vazamento

Se uma key foi compartilhada acidentalmente em repositório público, Slack, email ou ticket: revogue imediatamente em Ajustes → API. Revogação é instantânea.

← Anterior

Exemplos de código

Perguntas frequentes