Registos médicos protegidos por décadas — dos DICOM às APIs de telemedicina

Hospital universitário com ~4 PB de imagens DICOM (raios-X, TC, RM) acumuladas em 12 anos. Exigência: retenção mínima 25 anos para pediatria, 5 anos adultos, e acesso imediato ao clínico.

Storage tradicional encriptado com AES-256 + chave envolvida em RSA-2048. Q-Day quebra RSA e expõe as chaves simétricas.

PUCE Archive cria manifestos assinados (Ed25519 hoje, migração para Dilithium3 no upgrade SDK) a apontar para blobs já em R2. Compressão sem perda aplicada antes do upload (redução típica 18-42% em DICOM lossless). Verificação periódica automática garante integridade. Chaves envolvidas com ML-KEM-1024 via PQSL.

Plataforma SaaS de consultas em vídeo. 40 mil médicos, 2 M pacientes, dados sujeitos a GDPR (UE) e nLPD (Suíça). Picos de 8 mil sessões concorrentes.

TLS 1.3 atual usa ECDHE-X25519 para o handshake — quebrável por um computador quântico. Fluxo de áudio/vídeo pode ser recolhido por MITM estatal e decifrado retrospetivamente.

PUCE Stream com segmentos encriptados via PQSL (ML-KEM-768 em handshake híbrido X25519+Kyber). Middleware PQSL em frente ao API Express mantém rate-limit + headers PQC. Registos de consulta vão para PUCE Archive (7 anos retenção legal).

Consórcio de 6 hospitais europeus partilha datasets WGS/WES (3-10 GB por paciente) para estudos de cancro. Dados pseudonimizados mas ainda re-identificáveis.

Partilha via SFTP com chaves SSH clássicas. Arquivos guardados em cold-storage cloud com encriptação AES-GCM e chave mestra RSA-wrapped.

PUCE Storage como camada de recolha (presigned URLs com TTL curto). PUCE Archive por estudo com lista de ficheiros assinada, permitindo auditoria "que paciente em que estudo". Tokens de acesso por investigador derivados via ML-KEM — cada investigador tem chave curta rotável.