Skip to content
OptimHealth
OptimHealthIn proces de testare si precertificare

Trust Center

Tot ce publicăm despre statusul reglementar, datele dvs., securitate și transparența platformei OptimHealth — într-un singur loc.

Operator: IOT & AI SOLUTIONS SRL (CUI RO16532004) · Hosting: Hetzner, Germania (UE)

Inventar implementare

Ce este efectiv în producție astăzi vs. ce este pe roadmap-ul reglementar. Util pentru procurement și audit.

Securitate

Implementat
  • RFC 9116 security.txt + cheie PGP + fereastră 90 zile coordinated disclosure
  • Keycloak JWT cu izolare doctor↔pacient și audiență client-specifică
  • TLS 1.2+, HSTS preload, CSP nonce per request
  • WAF Caddy cu rate-limit pe tier (auth/anon/asset)
  • CI security gate: Semgrep (SAST) + Trivy (container/FS) + Gitleaks (secrete)
  • Backup zilnic criptat offsite (rclone → Drive); restore testat
  • Audit log append-only (MDR Class IIa) cu trigger imutabilitate Postgres
  • Pseudonimizare automată înainte de OpenAI (nume, CNP, DOB, telefon, email)
  • PHI nu persistă post-logout sau expirare sesiune
  • SBOM CycloneDX la fiecare build (frontend la /.well-known/sbom-frontend.json, backend la /api/health/sbom)

Interoperabilitate

Implementat
  • FHIR R4 read-only — 6 resurse (Patient, Condition, MedicationStatement, AllergyIntolerance, Observation, Procedure)
  • FHIR IPS Bundle (International Patient Summary) pentru handoff
  • SMART on FHIR App Launch (autorizare delegată per pacient)
  • CDS Hooks 2.0 (patient-view + order-sign) cu descoperire publică
  • Terminologii: ICD-11 (RO), ATC/DDD, ICHI (WHO Beta-3), HPO, MONDO, ORPHA, SNOMED-CT
  • PGx CPIC v1.56 + DPWG: 295 reguli, 14 gene, 41 medicamente — sursă + URL pe fiecare
  • Vigilență ICH E2B(R3) cu export EudraVigilance XML, detecție automată semnale
  • DICOM PACS (Orthanc 24.6.1) + OHIF Viewer 3.10.2 + DICOM-RT (RTPLAN/RTSTRUCT/RTDOSE/RTRECORD)
  • FHIR Procedure export per fracție RT delivered (basedOn → RTPLAN)

GDPR și retenție conform Legea 95/2006

Implementat
  • Operator declarat IOT & AI SOLUTIONS SRL; DPO numit cu contact public
  • Temeiuri juridice GDPR Art. 6(1)(a)(b)(f) + Art. 9(2)(a)(h); Legea 190/2018 + Legea 95/2006 (RO)
  • Procesatori: OpenAI (DPA + SCC + TIA), Hetzner DE (DPA + UE)
  • Retenție: documente medicale ≥100 ani pentru FOCG; date tehnice 5 ani; loguri 90 zile
  • Drepturi pacient end-to-end: acces (export JSON), rectificare, ștergere, portabilitate, opoziție
  • Canal notificare breșă (72h) operațional

În pregătire (regulator)

În pregătire
  • Intended Purpose v1 + matrice GSPR (Anexa I MDR)
  • Fișier ISO 14971 v1 — top hazards (halucinare citare, missed contraindication, automation bias, alert fatigue)
  • Threat model STRIDE pe rute critice + LINDDUN pentru privacy
  • DAST autentificat pe staging (confirmare/respingere claim-uri BOLA/IDOR)
  • Self-assessment NIS2 (OUG 155/2024 RO)
  • Gap analysis CRA (Reg. 2024/2847)
  • Re-evaluare Panacea N≥384 + IC95% + validator PMID/DOI împotriva PubMed/CrossRef
  • ISO 27001 — audit Q3 2026
  • ISO 13485 — implementare Q2 2027
  • MDR Clasa IIa — pre-screening Notified Body Q1 2027

Reglementar și certificare

Roadmap reglementar (MDR Clasa IIa)

În proces

Stadiul certificării Clasa IIa, ISO 13485, ISO 27001 și calendarul de conformitate.

Conformitate AI Act (UE 2024/1689)

Conform

Declarație completă de transparență, model card public, DPA + SCC + TIA cu OpenAI, supraveghere umană Art. 14.

Panacea Model Card

Document AI Act pentru asistentul Panacea: scop, date training, limite, evaluare, supraveghere umană.

Date și confidențialitate

Politica de confidențialitate

Cum colectăm, prelucrăm, stocăm și ștergem datele dvs. medicale. Conform GDPR (UE 2016/679).

Panou GDPR

Checklist conformitate, registru DPA, jurnal audit, DPIA, cereri GDPR active.

Cerere DSAR (Art. 15-22 GDPR)

Acces, rectificare, ștergere, portabilitate, restricționare prelucrare. Răspuns în 30 zile.

Politica cookies & CMP

Consimțământ granular pe categorii (esențial, analytics, marketing). Nu folosim cookies de tracking pentru advertising.

Securitate

security.txt (RFC 9116)

Contact, cheie PGP, scope, fereastră 90 zile coordinated disclosure, hall of fame.

Cheie PGP publică

Pentru cifrarea rapoartelor de securitate. Fingerprint: 6172 8C60 496B 0C77 4086 F7CE E426 F84D 1C4C C1DC.

Hall of Fame cercetători securitate

Mulțumiri publice pentru cercetătorii care au raportat responsabil vulnerabilități.

Operațional & transparență

Status servicii (live)

Stare live a celor 7 servicii (Frontend, API, Search, ICD-11, ATC, Lab, Translations) cu reverificare la 60s.

Istoric versiuni (changelog)

Modificări semnificative ale platformei: feature noi, fix-uri, migrații de date, deprecări.

Raportare vulnerabilități

Dacă găsiți o problemă de securitate, scrieți la security@optim.health (preferabil cifrat PGP). Folosim o fereastră de coordinated disclosure de 90 zile. Detalii în security.txt.

OptimHealth — Platforma medicală inteligentă pentru profesioniști