Proteção de acesso aos dados de saúde do usuário
O HealthKit oferece um repositório central para dados de saúde e preparo físico no iPhone e no Apple Watch. O HealthKit também funciona diretamente com dispositivos de saúde e preparo físico, como monitores de batimento cardíaco compatíveis com Bluetooth Low Energy (BLE) e o coprocessador de movimento integrado a muitos dispositivos iOS. Todas as interações do HealthKit com apps de saúde e preparo físico, instituições de saúde e dispositivos de saúde e preparo físico exigem a permissão do usuário. Esses dados são armazenados na classe de Proteção de Dados “Protegido Exceto se Aberto”. O acesso aos dados é descontinuado 10 minutos após o bloqueio do dispositivo e os dados se tornam acessíveis na próxima vez que o usuário digitar o código ou usar o Face ID ou Touch ID para desbloquear o dispositivo.
Coleta e armazenamento de dados de saúde e preparo físico
O HealthKit também coleta e armazena dados de gerenciamento, como permissões de acesso de apps, nomes de dispositivos conectados ao HealthKit e informações de programação usadas para abrir apps quando novos dados estiverem disponíveis. Esses dados são armazenados na classe de Proteção de Dados “Protegido Até a Primeira Autenticação do Usuário”. Arquivos temporários de registro armazenam registros de saúde gerados quando o dispositivo está bloqueado, como quando o usuário está se exercitando. Esses dados são armazenados na classe de Proteção de Dados “Protegido Exceto se Aberto”. Quando o dispositivo é desbloqueado, os arquivos de registro temporário são importados para os bancos de dados de saúde primários e depois apagados quando a combinação é concluída.
Os dados do app Saúde podem ser armazenados no iCloud. A criptografia de ponta a ponta de dados do app Saúde requer o iOS 12 ou posterior e autenticação de dois fatores. Caso contrário, os dados do usuário ainda estarão criptografados no armazenamento e transmissão, mas não estarão criptografados de ponta a ponta. Depois que o usuário ativa a autenticação de dois fatores e atualiza para o iOS 12 ou posterior, seus dados de saúde são migrados para a criptografia de ponta a ponta.
Se o usuário usar o Finder (macOS 10.15 ou posterior) ou o iTunes (no macOS 10.14 ou anterior) para fazer o backup de seu dispositivo, os dados de saúde são armazenados apenas se o backup for criptografado.
Registros de saúde clínica
Usuários podem iniciar uma sessão em sistemas de saúde compatíveis dentro do app Saúde para obter uma cópia de seus registros de saúde clínica. Ao conectar um usuário a um sistema de saúde, o usuário autentica usando credenciais de cliente OAuth 2. Após a conexão, os dados dos registros de saúde clínica são baixados diretamente da instituição de saúde através de uma conexão protegida com TLS 1.3. Uma vez baixados, os registros de saúde clínica são armazenados em segurança juntamente com outros dados de saúde.
Autenticidade dos dados de saúde
Os dados armazenados no banco de dados incluem metadados para rastrear a proveniência de cada registro. Esses metadados incluem um identificador de app que indica qual app armazenou o registro. Além disso, um item de metadados opcional pode conter uma cópia do registro assinada digitalmente. O objetivo é fornecer autenticidade de dados para registros gerados por um dispositivo confiável. O formato usado para a assinatura digital é a Sintaxe de Mensagem Criptográfica (CMS), especificado no RFC 5652.
Acesso de apps de terceiros a dados de Saúde
O acesso à API do HealthKit é controlado por direitos e os apps devem atender às restrições sobre como os dados são usados. Por exemplo, apps não têm permissão para usar dados de saúde para publicidade. Os apps também precisam fornecer aos usuários uma política de privacidade que detalhe o uso dos dados de saúde.
O acesso aos dados de saúde por apps é controlado pelos ajustes de Privacidade do usuário. Os usuários são solicitados a conceder acesso aos dados de saúde a pedidos dos apps, de maneira semelhante aos apps Contatos, Fotos e outras fontes de dados do iOS. Entretanto, no caso de dados de saúde, o acesso para ler e gravar é concedido aos apps separadamente, assim como para cada tipo de dado de saúde. Os usuários podem visualizar e revogar as permissões concedidas para acesso aos dados de saúde em Ajustes > Saúde > Acesso a Dados e Dispositivos.
Se a permissão para gravar dados for concedida, os apps também podem ler os dados que gravam. Se a permissão para ler dados for concedida, os apps podem ler dados gravados por todas as fontes. Entretanto, os apps não podem determinar o acesso concedido a outros apps. Além disso, os apps não podem afirmar categoricamente se receberam acesso de leitura aos dados de saúde. Quando um app não possui acesso de leitura, nenhuma consulta retorna dados — a resposta gerada é a mesma que um banco de dados vazio retornaria. Isso é projetado para impedir que apps deduzam o estado de saúde do usuário ao aprender quais tipos de dados o usuário está rastreando.
Ficha Médica de usuários
O app Saúde oferece aos usuários a opção de preencher uma ficha médica com informações que podem ser importantes durante uma emergência médica. As informações são digitadas ou atualizadas manualmente e não são sincronizadas com as informações dos bancos de dados de saúde.
As informações da Ficha Médica podem ser visualizadas ao tocar no botão Emergência, na Tela Bloqueada. As informações são armazenadas no dispositivo usando a classe de Proteção de Dados “Sem Proteção”, para que sejam acessadas sem que seja necessário digitar o código do dispositivo. A Ficha Médica é um recurso opcional que permite que os usuários decidam como equilibrar segurança e privacidade. O backup dos dados é feito no Backup do iCloud no iOS 13 ou anterior. No iOS 14, a Ficha Médica usa o CloudKit para a sincronização entre dispositivos e tem as mesmas características criptográficas do restante dos dados de saúde.
Compartilhamento de dados de Saúde
No iOS 15, o app Saúde dá aos usuários a opção de compartilhar os dados de Saúde com outros usuários. Os dados de Saúde são compartilhados entre dois usuários por meio da criptografia de ponta a ponta do iCloud. A Apple não pode acessar os dados enviados por meio do compartilhamento dos dados de Saúde. Para usar esse recurso, tanto o usuário que envia os dados quanto o que recebe devem usar o iOS 15 ou posterior e ter a autenticação de dois fatores ativada.
Os usuários também podem optar por usar o recurso de compartilhamento com o provedor, do app Saúde, para compartilhar os dados de Saúde com seu provedor de saúde. Os dados compartilhados por meio desse recurso são disponibilizados apenas às instituições de saúde selecionadas pelo usuário, com criptografia de ponta a ponta. A Apple não guarda nem possui acesso às chaves de criptografia para decifrar, visualizar ou acessar de outra forma os dados de Saúde compartilhados por meio desse recurso. Mais detalhes de como o projeto deste serviço protege os dados de Saúde dos usuários podem ser encontrados na seção Security and Privacy do Apple Registration Guide for Healthcare Organizations (em inglês).