Inventário da presença digital da instituição
A partir do domínio raiz, a CSURFACE mapeia portais, aplicações, APIs e ambientes em nuvem de toda a organização — inclusive o que o inventário oficial não registra.
SAÚDE
Operadoras, hospitais e laboratórios custodiam alguns dos dados mais sensíveis que existem e dependem de sistemas e parceiros interligados para operar. A CSURFACE descobre e monitora continuamente toda a superfície de ataque externa dessas organizações, do ponto de vista de quem ataca.
O CONTEXTO
O setor de saúde trata informações pessoais sensíveis de pacientes — categoria que a LGPD, em seu art. 11, submete a proteção reforçada e cuja exposição tem consequências severas. Operadoras e convênios respondem ainda à regulação da ANS, e a telemedicina segue a Resolução CFM nº 2.314/2022. A operação depende de uma teia de sistemas interligados: portais de paciente, plataformas de telemedicina, prontuários eletrônicos, integrações com laboratórios e convênios. Cada ponto dessa teia é uma porta na superfície de ataque externa.
Os pontos cegos se acumulam: ambientes de homologação que ficaram acessíveis, portais de unidades antigas que permaneceram ativos, sistemas legados publicados sem o conhecimento da segurança e a dependência de fornecedores que processam dados clínicos. O inventário oficial cobre uma fração disso. Um atacante enumera o resto.
COMO A CSURFACE AJUDA
A plataforma descobre, classifica e prioriza a exposição externa — com o contexto que uma organização de saúde precisa para agir.
A partir do domínio raiz, a CSURFACE mapeia portais, aplicações, APIs e ambientes em nuvem de toda a organização — inclusive o que o inventário oficial não registra.
Portais de paciente, plataformas de telemedicina e aplicações expostas na internet são identificados e acompanhados de forma contínua, à medida que mudam.
A ordem de tratamento pondera a exploração observada e o quanto o ativo toca dado de paciente — sistemas clínicos e portais com PII sobem na fila antes do restante.
Integrações com laboratórios, convênios e fornecedores de sistemas entram no mesmo inventário, com trilha auditável de cada achado — base objetiva para sustentar a adequação à LGPD no tratamento de dados sensíveis de saúde e responder às exigências da ANS.
| Ativo | Tipo | Dados |
|---|---|---|
| portal-paciente.exemplo.com.br | Portal do paciente | dados sensíveis |
| telemedicina.exemplo.com | Telemedicina | dados sensíveis |
| api-convenio.exemplo.com.br | Integração de convênio | alta |
| agendamento.exemplo.com.br | Agendamento | pública |
Ativos que custodiam dados de paciente ganham destaque — sustentando a proteção exigida pela LGPD e pela ANS.
PERGUNTAS FREQUENTES
Não. A descoberta é integralmente externa e identifica os ativos expostos na internet a partir do domínio raiz, sem acessar conteúdo, sistemas internos ou bases de dados clínicos.
As plataformas e aplicações com presença na internet — incluindo portais de telemedicina e interfaces de sistemas clínicos — fazem parte do escopo de descoberta e do monitoramento contínuo.
Sim. A plataforma mantém trilha auditável de cada ativo, achado e mudança na superfície externa — material objetivo para demonstrar diligência no tratamento de dados pessoais sensíveis de saúde, conforme o art. 11 da LGPD, e para as exigências de segurança da ANS aplicáveis a operadoras e convênios.
Informe o domínio da sua organização e receba uma análise preliminar da sua exposição externa. Sem cartão, sem reunião.
Receber análise preliminar