Segurança

Construído para ser seguro desde a primeira linha de código

Não fazemos promessas vagas. Cada pilar abaixo é uma integração real, auditável, e com responsabilidade técnica documentada.

Identidade verificada (KYC)

Todo profissional faz captura de documento, selfie e prova de vida pela Didit. O processo só é finalizado após validação automática. Sem KYC aprovado, o profissional não pode atender ninguém.

Antecedentes criminais

Consulta automática via InfoSimples no momento do cadastro. Resultado fica disponível em minutos. Se a consulta retornar registros, a conta do profissional é bloqueada na hora — sem exceções.

Registro profissional auditado

Comprovantes COREN (enfermeiros), COFEN (técnicos) ou de curso técnico (cuidadores) são enviados no cadastro e revisados manualmente pela nossa equipe de compliance antes da liberação.

Senhas com Argon2id + pepper

Padrão OWASP recomendado para 2026. Custo de memória de 46 MiB por hash, pepper de 32 bytes em variável de ambiente, rehash automático para usuários legados. O mesmo nível de segurança que bancos usam.

Tokens em armazenamento nativo

Tokens JWT (15 min de validade) e refresh tokens (30 dias) ficam em Keychain no iOS e EncryptedSharedPreferences no Android. Nunca em AsyncStorage. Revogação imediata em caso de ban ou suspensão.

Chat com moderação ativa

Detector de tentativas de compartilhar contato (telefone, e-mail, redes sociais), incluindo variações com l33t e números por extenso. Política progressiva: aviso, mute, suspensão e ban permanente.

Pagamentos PIX seguros

Gateway Asaas (Banco 461, instituição financeira regulada pelo BC). Valor retido até a conclusão. Webhooks validados por IP whitelist. Backend nunca recebe dados de cartão.

LGPD na prática

Você pode exportar todos os seus dados ou solicitar exclusão completa pelo próprio app. Anonimização irreversível de informações pessoais. Logs de auditoria em todas as ações sensíveis.

Conselhos profissionais que validamos

Cada profissional só pode atender após comprovação de registro ativo no conselho da sua categoria. Hoje COREN/COFEN tem verificação ativa; demais conselhos estão sendo integrados via InfoSimples e passam por validação manual até lá.

COREN / COFEN
Conselho de Enfermagem
Ativo

Enfermeiros, técnicos e auxiliares de enfermagem

CRM / CFM
Conselho de Medicina
Em breve

Médicos (clínicos, geriatras, psiquiatras e demais especialidades)

CRP / CFP
Conselho de Psicologia
Em breve

Psicólogos clínicos

CREFITO / COFFITO
Conselho de Fisioterapia e T.O.
Em breve

Fisioterapeutas e terapeutas ocupacionais

CRN / CFN
Conselho de Nutrição
Em breve

Nutricionistas

CRFa / CFFa
Conselho de Fonoaudiologia
Em breve

Fonoaudiólogos

Verificação ativa via consulta direta aos conselhos. Estamos expandindo a verificação automática (via integração InfoSimples) para todas as categorias listadas. Profissionais em status "em breve" passam por validação manual da nossa equipe de compliance antes da liberação.

Reportar um problema de segurança

Encontrou algo? Conta pra gente. Levamos toda comunicação a sério e respondemos em até 5 dias úteis para o canal seguro:

seguranca@carematch.com.br

Para solicitações relacionadas à LGPD (exportação, exclusão, retificação de dados), use as opções dentro do app em Configurações → Privacidade ou escreva para dpo@carematch.com.br.