Observação
Versão Incompleta
Desconsiderar
Autor
Ricardo Costa Val do Rosário, PhD
Médico Angiologista e Cirurgião Cardiovascular
Carreira Especialista em Inteligência Artificial (IA) – Alura/SP
Cursando Carreira de Cloud Security – Alura /SP
Linha de Pesquisa independente em IA e Medicina, Tecnovigilância, DMIA, Segurança da
Informação em Saúde.
Belo Horizonte – 2026
Declaração de Legitimidade de Autoria e Conformidade com a LGPD
Este artigo foi redigido pelo autor com apoio instrumental de ferramentas de inteligência
artificial (IA) para organização, revisão linguística, refinamento estrutural e apoio didático.
O conteúdo final foi criticamente revisado pelo autor, que assume integral responsabilidade
por sua precisão, originalidade, integridade técnica e eventuais omissões.
Nenhum dado identificável de paciente foi inserido nas ferramentas utilizadas.
Os casos apresentados são compostos, fictícios ou anonimizados, elaborados exclusivamente
para fins educacionais, sem identificação de pacientes, profissionais, instituições ou serviços.
Resumo
A expansão dos Dispositivos Médicos Inteligentes (DMIA), conectados a redes hospitalares, nuvens,
sensores biomédicos, prontuários eletrônicos e modelos de IA, exige nova compreensão da infraestrutura
digital que sustenta a assistência médica.
Nesse contexto, o Infrastructure as Code (IaC) torna-se instrumento estratégico
de segurança, governança, rastreabilidade e prevenção de riscos clínico-cibernéticos.
Este artigo propõe que DMIA incorporem, desde a origem:
1. Shift Left Security,
2. Policy as Code,
3. mínimo privilégio,
4. análise de IaC,
5. gestão de segredos,
6. segregação de ambientes,
7. auditoria,
8. Software Bill of Materials (SBOM),
9. monitoramento contínuo.
O texto apresenta três cenários clínico-computacionais fictícios, mas plausíveis, com vulnerabilidades
em DMIA e suas mitigações, defendendo a integração entre:
1. engenharia de software,
2. cibersegurança,
3. regulação sanitária,
4. ética médica,
5. tecnovigilância computacional.
Palavras-chave:
1. Infrastructure as Code;
2. IaC;
3. DMIA;
4. Dispositivos Médicos Inteligentes;
5. Shift Left Security;
6. Policy as Code;
7. DevSecOps;
8. SaMD;
9. Tecnovigilância;
10. Cibersegurança Médica.
1. Introdução
A medicina contemporânea avança para uma fase em que o cuidado clínico depende também
da infraestrutura computacional que sustenta:
1. dispositivos conectados,
2. algoritmos diagnósticos,
3. nuvens,
4. monitoramento remoto,
5. modelos preditivos,
6. fluxos automatizados de dados clínicos.
Nesse cenário, os DMIA representam uma nova fronteira tecnológica. São dispositivos capazes
de coletar, processar, interpretar ou auxiliar decisões médicas com base em:
• dados fisiológicos,
• imagens,
• sinais,
• padrões comportamentais,
• informações de IA.
Porém, sua inteligência depende do algoritmo e de uma cadeia computacional complexa:
• servidores,
• containers,
• Application Programming Interface (APIs),
• bancos de dados,
• certificados digitais,
• permissões,
• logs,
• pipelines de implantação,
• redes,
• políticas de acesso,
• ambientes em nuvem.
Antes dos DMIA
A medicina lidava com o risco do dispositivo pela interface visível:
• equipamento,
• software,
• sensor,
• laudo,
• tela,
• alerta,
• gráfico,
• resultado.
Após os DMIA
Parte expressiva do risco nasce em camadas invisíveis.
Podem comprometer a confidencialidade, a integridade e a disponibilidade do cuidado:
• Uma política de acesso mal definida,
• Uma porta exposta,
• Um segredo armazenado no código,
• Um bucket público,
• Um container vulnerável,
• Uma regra de firewall permissiva
É nesse ponto que o Infrastructure as Code (IaC) se torna essencial. A Open Web Application
Security Project (OWASP) define IaC como a configuração e implantação de componentes de
infraestrutura por código, permitindo ambientes repetíveis e consistentes ao longo do ciclo
de desenvolvimento.
Consequências das falhas por natureza do equipamento
Em sistemas comuns, uma falha de IaC pode causar:
1. indisponibilidade,
2. vazamento de dados,
3. prejuízo operacional.
Em DMIA, a mesma falha pode:
1. afetar decisões clínicas,
2. atrasar intervenções,
3. expor dados sensíveis,
4. comprometer a segurança do paciente.
Assim, este artigo parte de uma premissa fundamental: a infraestrutura de um DMIA também
faz parte do ato assistencial