Uma empresa de healthcare está implementando um sistema de prontuário eletrônico que deve atender rigorosos requisitos de segurança e privacidade de dados médicos, conforme regulamentações como LGPD e HIPAA. O sistema possui diferentes tipos de usuários: médicos, enfermeiros, administrativos, auditores e técnicos de TI. Cada categoria deve ter acesso limitado apenas às informações necessárias para suas funções. Os médicos precisam de acesso completo aos prontuários de seus pacientes, incluindo histórico médico, exames e prescrições. Enfermeiros necessitam visualizar informações básicas e inserir dados de sinais vitais e medicações administradas. Funcionários administrativos devem acessar apenas dados demográficos e informações de faturamento. Auditores requerem acesso de leitura a logs de auditoria e relatórios estatísticos sem identificação de pacientes. A equipe de TI precisa de acesso aos metadados do sistema para manutenção, mas não aos dados clínicos. O administrador de banco de dados deve implementar uma política de segurança baseada em roles (RBAC - Role-Based Access Control), definindo permissões granulares que incluam controle ao nível de tabela, coluna e linha. Além disso, é necessário implementar auditoria completa de todas as operações, criptografia de dados sensíveis e mecanismos de autenticação forte. Considerando o contexto apresentado, é correto APENAS o que se afirma em: I. A implementação de RBAC permite definir roles como "MEDICO", "ENFERMEIRO" e "ADMINISTRATIVO", associando usuários aos roles apropriados e concedendo permissões específicas a cada role ao invés de usuários individuais. II. O controle de acesso ao nível de linha (Row-Level Security) é essencial para garantir que médicos acessem apenas prontuários de seus próprios pacientes, implementando filtros automáticos baseados em relacionamentos médico-paciente. III. A criptografia de dados em repouso e em trânsito é obrigatória para proteção de informações médicas sensíveis, devendo ser implementada através de algoritmos seguros co