Identidade médica verificada por API

Sua healthtech integra a API e cada médico que se cadastra é verificado em segundos contra registros oficiais brasileiros, sem revisor manual. Quanto mais clientes na rede, mais rápido o onboarding. Backend clínico e postura LGPD operator-grade vêm incluídos.

Ver API Reference → Quickstart

O que está incluso

Verificação em 3 tiers

Bronze: automático, em segundos, sem documento físico. Prata: foto da carteira profissional + selfie, revisão hospedada pelo Lastreo. Ouro: assinatura digital ICP-Brasil AR-CFM. Você escolhe o tier por nível de confiança.

Modal embed estilo Stripe Elements

SDK JS drop-in. O médico envia carteira + selfie direto para o Lastreo via iframe — a biometria nunca passa pelo seu backend. Tema customizável e white-label opcional.

Rede cross-tenant

Um médico verificado em qualquer cliente Lastreo é reconhecido nos próximos — onboarding instantâneo, sem reenviar documento. Cada cliente novo amplia a rede para os demais.

Compliance LGPD operator-grade (incluído)

Lastreo é operador (Art. 5 VII): audit log imutável, direitos do titular automatizados (Art. 18), notificação de incidente (Art. 48), consent versionado (Art. 8) e DPA pronto. Infraestrutura, não eixo de venda.

Zero data egress

O processamento de biometria roda na infraestrutura Lastreo, sem subprocessador adicional. A foto da carteira e a selfie não saem do Brasil.

Webhooks + Push FCM nativos

verification.approved / verification.rejected, assessment.created, alert.created, medication_reminder.due. Retry com backoff + assinatura HMAC SHA-256.

Quickstart

1

Receba sua API key

Cada cliente recebe uma X-API-KEY exclusiva (no formato lk_<prefix>_<secret>). O secret é mostrado uma única vez na emissão — guarde em vault seguro.

2

Crie um usuário paciente

Use o endpoint público POST /auth/register:

curl -X POST https://lastreo.com/auth/register \
  -H "Content-Type: application/json" \
  -d '{
    "email": "[email protected]",
    "password": "SenhaForte@123",
    "full_name": "Maria Silva",
    "role": "paciente"
  }'
3

Autentique e faça chamadas

curl -X POST https://lastreo.com/auth/login \
  -H "Content-Type: application/json" \
  -d '{"email": "[email protected]", "password": "SenhaForte@123"}'

# Resposta: { "access_token": "eyJ...", "refresh_token": "..." }

# Use o token nas chamadas autenticadas:
curl https://lastreo.com/api/v1/users/me \
  -H "Authorization: Bearer eyJ..."
4

Configure webhooks (opcional)

Receba eventos em tempo real (verification.approved, alert.created, assessment.created, etc.). Veja a seção Webhooks abaixo.

Autenticação

Há dois fluxos:

CasoMecanismoHeader
Endpoints de pacientes/médicos (fluxo aplicativo) Bearer JWT obtido via /auth/login Authorization: Bearer <access_token>
Integração server-to-server (webhooks de entrada, etc.) API key estática X-API-KEY: lk_<prefix>_<secret>

Access tokens expiram em 60 minutos. Use POST /auth/refresh para renovar sem nova autenticação.

Webhooks

O Lastreo entrega eventos via HTTP POST em URLs HTTPS que você configura. Cada delivery inclui:

Verificação da assinatura (exemplo Python)

import hmac, hashlib, time

def verify(body_bytes: bytes, header: str, secret: str, tolerance_sec=300) -> bool:
    parts = dict(item.split("=", 1) for item in header.split(","))
    ts = int(parts["t"])
    if abs(int(time.time()) - ts) > tolerance_sec:
        return False
    signed = f"{ts}.".encode("ascii") + body_bytes
    expected = hmac.new(secret.encode("ascii"), signed, hashlib.sha256).hexdigest()
    return hmac.compare_digest(expected, parts["v1"])

Política de retry

Se sua URL retornar não-2xx ou der timeout (15s), tentamos novamente:

Eventos disponíveis

EventoQuando
verification.approvedMédico aprovado (tier ouro via ICP-Brasil ou prata via análise manual)
verification.rejectedVerificação rejeitada com motivo
verification.submittedNova submissão prata na fila de admin
alert.createdAlerta clínico (severidade baixa/media/alta)
assessment.createdNova avaliação clínica (EDSS, Walk Test, etc.)
symptom.recordedSintoma registrado
medication_reminder.dueLembrete de medicação acionado pelo scheduler
patient.createdConta de paciente criada
patient.mergedProvisório convertido em conta real
patient.deletedPaciente apagado (LGPD eliminação)
dsr.createdSolicitação LGPD do titular
incident.notifiedNotificação de incidente de segurança

Compliance LGPD

O Lastreo opera como operador de dados (Art. 5 VII LGPD). Seu app é o controlador. Cobrimos as obrigações técnicas que pesam sobre o operador:

DPA template disponível mediante solicitação.

Estabilidade da API