Autor
Ricardo Costa Val do Rosário, PhD
Médico Angiologista e Cirurgião Cardiovascular
Carreira Especialista em Inteligência Artificial (IA) – Alura/SP
Cursando Carreira de Cloud Security – Alura /SP
Linha de Pesquisa independente em IA e Medicina, Tecnovigilância, DMIA, Segurança da
Informação em Saúde.
Belo Horizonte – 2026
Declaração de Legitimidade de Autoria e Conformidade com a LGPD
Este artigo foi redigido pelo autor com apoio instrumental de ferramentas de inteligência
artificial (IA) para organização, revisão linguística, refinamento estrutural e apoio didático.
O conteúdo final foi criticamente revisado pelo autor, que assume integral responsabilidade
por sua precisão, originalidade, integridade técnica e eventuais omissões.
Nenhum dado identificável de paciente foi inserido nas ferramentas utilizadas.
Os casos apresentados são compostos, fictícios ou anonimizados, elaborados exclusivamente
para fins educacionais, sem identificação de pacientes, profissionais, instituições ou serviços.
Resumo
A expansão dos Dispositivos Médicos Inteligentes (DMIA), conectados a redes hospitalares,
nuvens, sensores biomédicos, prontuários eletrônicos e modelos de IA, exige nova compreensão
da infraestrutura digital que sustenta a assistência médica.
Nesse contexto, o Infrastructure as Code (IaC) torna-se instrumento estratégico de segurança,
governança, rastreabilidade e prevenção de riscos clínico-cibernéticos.
Este artigo propõe que DMIA incorporem, desde a origem:
1. Shift Left Security,
2. Policy as Code,
3. mínimo privilégio,
4. análise de IaC,
5. gestão de segredos,
6. segregação de ambientes,
7. auditoria,
8. Software Bill of Materials (SBOM),
9. monitoramento contínuo.
A tese central é que, nesses dispositivos, infraestrutura insegura também pode gerar dano
clínico; proteger seu código é proteger o paciente.
O texto apresenta três cenários clínico-computacionais fictícios, mas plausíveis, com
vulnerabilidades em DMIA e suas mitigações, defendendo a integração entre engenharia de
software, cibersegurança, regulação sanitária, ética médica e tecnovigilância computacional.
# Palavras-chave:
1. Infrastructure as Code;
2. IaC;
3. DMIA;
4. Dispositivos Médicos Inteligentes;
5. Shift Left Security;
6. Policy as Code;
7. DevSecOps;
8. SaMD;
9. Tecnovigilância;
10. Cibersegurança Médica.
1. Introdução
A medicina contemporânea avança para uma fase em que o cuidado clínico depende
também da infraestrutura computacional que sustenta:
1. dispositivos conectados,
2. algoritmos diagnósticos,
3. nuvens,
4. monitoramento remoto,
5. modelos preditivos,
6. fluxos automatizados de dados clínicos.
Nesse cenário, os DMIA representam uma nova fronteira tecnológica. São dispositivos
capazes de coletar, processar, interpretar ou auxiliar decisões médicas com base em:
• dados fisiológicos,
• imagens,
• sinais,
• padrões comportamentais,
• informações de IA.
Porém, sua inteligência depende do algoritmo e de uma cadeia computacional complexa:
• servidores,
• containers,
• Application Programming Interface (APIs),
• bancos de dados,
• certificados digitais,
• permissões,
• logs,
• pipelines de implantação,
• redes,
• políticas de acesso,
• ambientes em nuvem.
# Antes dos DMIA
A medicina lidava com o risco do dispositivo pela interface visível:
• equipamento,
• software,
• sensor,
• laudo,
• tela,
• alerta,
• gráfico,
• resultado.
# Após os DMIA
Parte expressiva do risco nasce em camadas invisíveis. Podem comprometer
a confidencialidade, a integridade e a disponibilidade do cuidado:
• Uma política de acesso mal definida,
• Uma porta exposta,
• Um segredo armazenado no código,
• Um bucket público,
• Um container vulnerável,
• Uma regra de firewall permissiva
É nesse ponto que o Infrastructure as Code (IaC) se torna essencial.
A Open Web Application Security Project (OWASP) define IaC como a configuração e
implantação de componentes de infraestrutura por código, permitindo ambientes
repetíveis e consistentes ao longo do ciclo de desenvolvimento.
# Consequências das falhas por natureza do equipamento
Em sistemas comuns, uma falha de IaC pode causar:
1. indisponibilidade,
2. vazamento de dados,
3. prejuízo operacional.
Em DMIA, a mesma falha pode:
1. afetar decisões clínicas,
2. atrasar intervenções,
3. expor dados sensíveis,
4. comprometer a segurança do paciente.
Assim, este artigo parte de uma premissa fundamental: a infraestrutura de um DMIA
também faz parte do ato assistencial