Manual de Certificação Para Sistemas de Registro Eletrônico Em Saúde

Manual de Certificao para Sistemas de

Registro Eletrnico em Sade

Verso 3.0

Editores:

Beatriz de Faria Leo Cludio Giulliano Alves da Costa

John Lemos Forman

Novembro de 2007

Manual de Certificao para

Sistemas de Registro Eletrnico em Sade

GI em Certificao de Software e Padres

Verso 3.0 Data: 08/11/2007 Pgina: 2/66

Conselho Federal de Medicina Diretoria

Gesto de: 13/10/2004 12/10/2009

Presidente: 1 Vice-Presidente: 2 Vice-Presidente: 3 Vice-Presidente: Secretrio-geral: 1 Secretrio: 2 Secretrio: Tesoureiro: 2 Tesoureiro: Corregedor: Vice-Corregedor:

Edson de Oliveira Andrade Roberto Luiz D'Avila Rafael Dias Marques Nogueira Gerson Zafalon Martins Livia Barros Garcao Henrique Batista e Silva Clvis Francisco Constantino Jos Hiran da Silva Gallo Ricardo Jos Baptista Pedro Pablo Magalhes Chacel Jose Fernando Maia Vinagre

Cmara Tcnica de Informtica em Sade e Telemedicina

Roberto Luiz D'Avila (Coordenador) Cludio Giulliano Alves da Costa

Beatriz de Faria Leo Camilo Mussi

Gerson Zafalon Martins Jos A. Escamilla Mauricio Moreira Ricardo Bessa




Verso 3.0 Data: 08/11/2007 Pgina: 3/66

Sociedade Brasileira de Informtica em Sade Diretoria

Gesto 2007 -2008

Presidente: Vice-Presidente: Secretria: Tesoureiro:

Heimar de Ftima Marin Evandro Eduardo Seron Ruiz Grace Dal Sasso Cludio Giulliano Alves da Costa

Membros do Grupo de Interesse (GI) em Certificao de Software e Padres que participaram da elaborao

deste manual

Adilson Eduardo Guelfi Alex Souza Silveira Beatriz de Faria Leo

Cludio Giulliano Alves da Costa (Coordenador) Eduardo Pereira Marques John Lemos Forman

Luis Gustavo Gasparini Kiatake Luiz Renato Evangelisti

Matteo Nava Marcelo Lcio da Silva (Secretrio)

Osni Pereira Stanley da Costa Galvo (Vice-Coordenador)

Volnys Borges Bernal




Verso 3.0 Data: 08/11/2007 Pgina: 4/66

ndice

Histrico das Revises 5

Glossrio 6

1. Introduo 7

2. Referencial Terico 9

2.1. Definies ..............................................................................................................................9 2.2. Padres Utilizados .................................................................................................................9 2.2.1. Resoluo CFM No. 1638/2002.........................................................................................10 2.2.2. Resoluo CFM No. 1639/2002.........................................................................................10 2.2.3. A Infra-estrutura de chaves pblicas ICP-Brasil.................................................................11 2.2.4. Os Cadastros Nacionais em Sade...................................................................................11 2.2.5. O padro TISS ..................................................................................................................11 2.2.6. Comisso Especial de Informtica em Sade da ABNT ....................................................12 2.2.7. Normas ISO TC-215..........................................................................................................13 2.2.8. Normas ISO/IEC JTC1/SC27 ............................................................................................13 2.2.9. ANSI HL7 Functional Model (EHR-S FM) ..........................................................................13 2.2.10. Processo de Certificao CCHIT .....................................................................................14

3. Escopo de Certificao 15

3.1. Categorias dos Sistemas .....................................................................................................16

4. Processo de Certificao 18

4.1. Etapas da Certificao .........................................................................................................18 4.2. Credenciamento de Auditores..............................................................................................20

5. Requisitos de Conformidade 22

5.1. Viso Geral dos Requisitos de Segurana ...........................................................................22 5.2. Viso Geral dos Requisitos de Contedo, Estrutura e Funcionalidades...............................25 5.3. Viso Geral dos Requisitos TISS .........................................................................................26 5.4. Apresentao dos Requisitos para Certificao SBIS/CFM .................................................27 5.5. Requisitos do Nvel de Garantia de Segurana 1 (NGS1) ....................................................28 5.6. Requisitos do Nvel de Garantia de Segurana 2 (NGS2) ....................................................37 5.7. Requisitos de Estrutura e Contedo.....................................................................................40 5.8. Requisitos de Funcionalidades ............................................................................................46 5.9. Requisitos TISS ...................................................................................................................54

6. Referncias 65




Verso 3.0 Data: 08/11/2007 Pgina: 5/66

Histrico das Revises

Data Verso Descrio Autores Distribuio

25/08/2003 1.0 Especificao Inicial

GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM

GT Certificao SBIS

30/11/2003 1.1 Primeira Reviso GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM

GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em

Sade do CFM 02/12/2003 1.2 Segunda

Reviso GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM


Sade do CFM 03/12/2003 1.3 Terceira Reviso GT Certificao SBIS -

CT Informtica em Sade e Telemedicina CFM


Sade do CFM 15/12/2003 1.4 Quarta Reviso GT Certificao SBIS -



Sade do CFM 12/02/2004 2.0 Quinta Reviso GT Certificao SBIS -



Sade do CFM 19/02/2004 2.1 Sexta Reviso GT Certificao SBIS -


Pblico

12/09/2007 2.2 Inicio Reviso Fase 2

Consultores SBIS Diretoria SBIS e Coordenao GI Certificao

01/10/2007 2.3 Fase 2 2 Reviso


04/10/2007 2.4 Fase 2 3 Reviso


16/10/2007 2.5 Fase 2 4 Reviso


16/10/2007 2.6 Reviso pr-consulta pblica


19/10/2007 2.7 Reviso Final p/ consulta pblica

Consultores SBIS Consulta Pblica

08/11/2007 3.0 Reviso Final p/ publicao

Consultores SBIS Pblico




Verso 3.0 Data: 08/11/2007 Pgina: 6/66

Glossrio

ABNT Associao Brasileira de Normas Tcnicas ABRAHUE Associao Brasileira de Hospitais Universitrios e de Ensino AC Autoridade Certificadora AMB Associao Mdica Brasileira ANS Agncia Nacional de Sade Suplementar ANSI American National Standards Institute ANVISA Agncia Nacional de Vigilncia Sanitria AR Autoridade Registradora ASSESPRO Associao das Empresas Brasileiras de Tecnologia da Informao,

Software e Internet CCHIT Certification Commission for Healthcare Information Technology CFM Conselho Federal de Medicina CNES Cadastro Nacional de Estabelecimentos e Profissionais de Sade do SUS CNU Cadastro Nacional de Usurios do SUS CONARQ Conselho Nacional de Arquivos CRO Conselho Regional de Odontologia HL7 Health Level 7 ICP Infraestrutura de Chaves Pblicas IEC International Engineering Consortium ISO International Standards Organization ITI Instituto Nacional de Tecnologia da Informao MS Ministrio da Sade ONA Organizao Nacional de Acreditao PEP Pronturio Eletrnico do Paciente RES Registro Eletrnico em Sade SBIS Sociedade Brasileira de Informtica em Sade SGBD Sistema de Gerenciamento de Banco de Dados TISS Troca de Informao em Sade Suplementar UTC Coordinated Universal Time




Verso 3.0 Data: 08/11/2007 Pgina: 7/66

1. Introduo O Conselho Federal de Medicina (CFM) tem recebido nos ltimos anos uma srie de solicitaes de pareceres a respeito da legalidade da utilizao de sistemas informatizados para capturar, armazenar, manusear e transmitir dados do atendimento em sade. Uma das indagaes mais freqentes a substituio do papel pelo formato eletrnico. Cientes da complexidade do assunto e da necessidade de aprofundar os aspectos tcnicos sobre esta questo, o CFM, atravs da Cmara Tcnica de Informtica em Sade e Telemedicina, estabeleceu convnio de cooperao tcnica com a Sociedade Brasileira de Informtica em Sade para desenvolver o processo de certificao de sistemas informatizados em sade. O primeiro produto da parceria SBIS/CFM foi a elaborao da resoluo 1639/2002 que aprovava as "Normas Tcnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Pronturio Mdico", dispondo sobre o tempo de guarda dos pronturios, estabelecendo critrios para certificao dos sistemas de informao e dando outras providncias. O segundo produto foi a elaborao do Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES). Com base neste manual, publicado em 2004 no stio da SBIS e do CFM, teve incio a Fase 1 do Processo de Certificao, e que at a presente data conta com mais de 70 sistemas auto-declarados (atravs de seus representantes legais) como estando aderentes ao conjunto de requisitos da verso 2.1 do Manual. A Fase 1 teve seu objetivo de preparar o mercado para o processo de Certificao, o que foi plenamente atingido. A atualizao deste Manual reflete o incio da Fase 2 do Processo de Certificao SBIS/CFM, com a auditoria efetiva dos Sistemas de Registro Eletrnico em Sade (S-RES). A atualizao foi bastante abrangente, procurando refletir as experincias internacionais desenvolvidas desde 2004. Naquela ocasio no havia ainda no mundo um processo de certificao de S-RES em operao. Os EUA foram os primeiros a certificar S-RES, comeando seu processo em 2006. Outros pases ainda esto em fase de estudos e definies, sem sequer ter iniciado uma etapa de auto-certificao com requisitos j definidos. Muito do que existia na verso 2.1 deste manual foi mantido, refletindo o cuidado e seriedade com que este trabalho vem sendo desenvolvido desde o seu incio. Assim como na verso anterior, este documento contm o detalhamento dos requisitos de segurana, contedo e funcionalidades que um S-RES deve atender para receber o Selo de Qualidade SBIS/CFM. Alguns requisitos foram revistos e outros tantos includos, como o caso dos requisitos relacionados com o TISS (ANS). A auto-certificao (Fase 1) continuar sendo possvel at que a SBIS tenha condies operacionais de iniciar as auditorias dos S-RES interessados em obter o selo SBIS/CFM. A previso que, no primeiro trimestre de 2008, a SBIS comece a receber oficialmente os formulrios solicitando o agendamento das auditorias, substituindo todo o processo de auto-certificao (Fase 1). A lista de empresas que tenham se declarado em conformidade com a verso 2.1 do manual de requisitos continuar disponvel para




Verso 3.0 Data: 08/11/2007 Pgina: 8/66

consulta por um perodo de adaptao, ainda a ser determinado, mas que no ser superior a seis meses. A idia dar oportunidade para que as empresas interessadas se organizem e possam submeter seus sistemas auditoria, e tambm para que a SBIS tenha condies de atender todas as solicitaes. Durante este perodo de adaptao, as empresas auditadas que receberem o selo SBIS-CFM (Fase 2) aparecero com destaque no site da SBIS e, logo em seguida, sero apresentadas as empresas que haviam se auto-declarado em conformidade (Fase 1). Encerrado o perodo de adaptao, a lista de empresas auto-declaradas ser retirada do site, permanecendo apenas aquelas que j tenham recebido o selo SBIS/CFM aps uma auditoria bem-sucedida. Este manual est organizado da seguinte forma:

Captulo 1 - Introduo Captulo 2 - Referencial Terico Captulo 3 - Escopo de Certificao Captulo 4 - Processo de Certificao Captulo 5 - Requisitos e Conformidade Captulo 6 - Referncias

Cabe ainda esclarecer que o processo de certificao apresentado no captulo 4 deste manual minuciosamente detalhado no Manual Operacional de Ensaios e Anlises (a ser publicado em breve), de leitura obrigatria para aqueles interessados em obter o selo de qualidade SBIS/CFM.




Verso 3.0 Data: 08/11/2007 Pgina: 9/66

2. Referencial Terico A Certificao SBIS/CFM se baseia em conceitos e padres internacionais da rea de Informtica em Sade, muitos dos quais j foram traduzidos para o Portugus e reconhecidos como padres brasileiros. Primeiramente apresentamos as definies de alguns termos indispensveis para este manual, e em seguida fazemos um breve resumo dos principais padres e iniciativas utilizados como referncia na definio do processo e dos requisitos a serem observados nesta certificao.

2.1. Definies

O relatrio tcnico ISO/TR 20.514:2005 (ver em 2.2.7) apresenta uma srie de definies importantes para a Informtica em Sade. Cabe destacar as seguintes definies:

Registro Eletrnico de Sade RES Um repositrio de informao a respeito da sade de indivduos, numa forma processvel eletronicamente.

Sistemas de Registro Eletrnico de Sade S-RES Sistema para registro, recuperao e manipulao das informaes de um Registro Eletrnico de Sade.

Como se pode observar, estas definies so propositalmente abrangentes. De qualquer modo, importante lembrar que um S-RES pode englobar diversos sub-sistemas ou componentes. Alm dos componentes que implementam as funcionalidades de um S-RES (componente principal), em geral desenvolvido pela empresa requisitante desta avaliao,, podem existir componentes acessrios (ainda que indispensveis) sobre os quais depender a implementao de diversas funcionalidades do sistema. Exemplos tpicos so o sistema de gerenciamento de base de dados (SGBD), um componente dinmico WEB (applet ou activeX), ou ainda um sistema de diretrios (ex. AD, LDAP, etc.) utilizado para armazenar parmetros dos usurios, papeis e grupos. Um S-RES o conjunto de todos estes sub-sistemas e mdulos que so necessrios para atender os requisitos especificados neste manual. No faz parte do escopo da certificao, entretanto, certificar individualmente cada um destes sub-componentes, como por exemplo o SGDB ou o sistema operacional.

2.2. Padres Utilizados

Segundo a Organizao Internacional de Padronizao (International Standards Organization - ISO), padro um documento estabelecido por consenso e aprovado por um grupo reconhecido, que estabelece para uso geral e repetido um conjunto de regras, protocolos ou caractersticas de processos com o objetivo de ordenar e organizar atividades em contextos especficos para o benefcio de todos. Sempre que possvel, tornou-se como base padres brasileiros na elaborao deste manual, com destaque para:




Verso 3.0 Data: 08/11/2007 Pgina: 10/66

as resolues do CFM a respeito de pronturio do paciente; a Infra-Estrutura de Chaves Pblicas Brasileiras ICP Brasil, que d validade aos

documentos eletrnicos no Pas; os cadastros nacionais em Sade; e o padro TISS da ANS;

Alm disto, esto sendo acompanhados os trabalhos desenvolvidos pela Comisso Especial de Informtica em Sade da ABNT e as iniciativas da organizao HL7 Brasil.

Na ausncia de padres brasileiros, buscou-se padres internacionais para complementar o trabalho sendo desenvolvido, destacando-se:

Documentos do Comit ISO/TC-215 Health Informatics: ISO/TR 20.514:2005; ISO/TS 18.308:2004; ISO/DIS 27.799;

Normas do ISO/IEC JTC1/SC27; ANSI HL7 Functional Model (EHR-S FM); e Processo de Certificao de Software da CCHIT.

Merece destaque o fato de que diferentes organizaes, principalmente no mbito internacional, esto desenvolvendo esforos para harmonizar padres semelhantes que tenham sido elaborados por cada uma delas. o caso, por exemplo, de alguns padres criados pela ISO e que j se encontram no processo de serem harmonizados com o trabalho desenvolvido pela organizao HL7. A SBIS e o CFM esto atentos a esta tendncia e observando os resultados que esto sendo gerados neste esforo de harmonizao. Futuras verses deste manual devero incorporar todos estes avanos. A seguir, apresenta-se com mais detalhes cada um dos padres ou iniciativas acima mencionados.

2.2.1. Resoluo CFM No. 1638/2002 A resoluo CFM 1638/2002[1] define pronturio mdico e atribui as responsabilidades de preenchimento, guarda e manuseio do mesmo. Esta resoluo torna obrigatria a existncia de comisses de reviso de pronturios nos estabelecimentos de sade onde se presta assistncia mdica, estabelecendo, as informaes de carter obrigatrio que devem constar no pronturio, seja este eletrnico ou em papel.

2.2.2. Resoluo CFM No. 1639/2002 A resoluo CFM 1639/2002[2] aprova as "Normas Tcnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Pronturio Mdico", dispe sobre tempo de guarda dos pronturios, estabelece critrios para certificao dos sistemas de informao. Esta resoluo estabelece a guarda permanente para os pronturios mdicos arquivados eletronicamente em meio ptico ou magntico, e microfilmados, bem como o prazo mnimo de 20 (vinte) anos para a preservao dos pronturios mdicos em suporte de papel. Esta resoluo foi o primeiro produto do Convnio SBIS/CFM para o estabelecimento da de Certificao de S-RES.




Verso 3.0 Data: 08/11/2007 Pgina: 11/66

2.2.3. A Infra-estrutura de chaves pblicas ICP-Brasil A Infra-Estrutura de Chaves Pblicas Brasileira ICP-Brasil foi criada atravs da Medida Provisria 2.200-2 de 24 de agosto de 2001[3], transformando o Instituto Nacional de Tecnologia da Informao ITI em autarquia ligada Casa Civil da Presidncia da Repblica. Atravs desta MP e das resolues publicadas pela ICP-Brasil, so estabelecidos os critrios para o estabelecimento e funcionamento do sistema, servindo de base para os servios de assinatura, no-repdio, identificao e sigilo. Como resultado, tm-se o aumento de segurana das transaes eletrnicas e aplicaes que faam uso de certificados digitais, assim como a possibilidade da migrao total de processos em papel para meios eletrnicos, sem prejuzo do reconhecimento legal destes documentos. Mais informaes podem ser obtidas em http://www.icpbrasil.gov.br.

2.2.4. Os Cadastros Nacionais em Sade Os principais cadastros nacionais so o Cadastro Nacional de Usurios do SUS [4] e o Cadastro Nacional de Estabelecimentos e Profissionais de Sade - CNES[5]. O Cadastro de Usurios (anteriormente chamado de Projeto Carto Nacional de Sade) estabelece o conjunto de informaes necessrias para que uma pessoa seja identificada univocamente no sistema de sade brasileiro. Hoje, existem no Pas 133 milhes de pessoas cadastradas na base federal. J o CNES estabelece a identificao unvoca de todos os estabelecimentos de sade pblicos e privados no Pas. O nmero CNES de uso obrigatrio na rea pblica e privada. O conjunto de dados de ambos os cadastros foi utilizado como padro de identificao nos requisitos deste manual.

2.2.5. O padro TISS O padro TISS - Troca de Informao em Sade Suplementar[6] o padro definido pela Agencia Nacional de Sade Suplementar - ANS (www.ans.gov.br) para registro e intercmbio de dados entre operadoras de planos privados de assistncia sade e prestadores de servios de sade. O objetivo do padro TISS atingir a compatibilidade e interoperabilidade funcional e semntica entre os diversos sistemas independentes para fins de avaliao da assistncia sade (carter clnico, epidemiolgico ou administrativo) e seus resultados, orientando o planejamento do setor. O padro TISS se divide em 4 categorias: contedo e estrutura, representao de conceitos em sade, comunicao, e segurana e privacidade, conforme descrevem as Resolues Normativas publicadas no site da ANS, na seguinte URL:

http://www.ans.gov.br/portal/site/_hotsite_tiss/f_materia_21227.htm

A ANS determinou que as normas tcnicas estabelecidas na Resoluo CFM n. 1639/2002 supracitada, e os requisitos do Nvel de Garantia de Segurana 1 (NGS1) deste manual (ver 5.5) devem obrigatoriamente ser observados no padro TISS. Para as entidades que utilizam webservices como padro de comunicao recomendada a




Verso 3.0 Data: 08/11/2007 Pgina: 12/66

utilizao do Nvel de Garantia de Segurana 2 (NGS2) tambm descrito neste Manual (ver 5.6). Ressalta-se que a eliminao do papel s possvel por meio do cumprimento do NGS2. Como poder ser no captulo 3, no escopo da certificao SBIS/CFM foi estabelecida uma categoria especfica que engloba todo e qualquer sistema que apresente entre as suas funcionalidades a capacidade de ser uma das pontas em um canal de comunicao entre operadoras de planos de sade e prestadores da assistncia em sade. Deste modo, qualquer S-RES poder se submeter ao processo de certificao visando apenas validar sua aderncia ao padro TISS.

2.2.6. Comisso Especial de Informtica em Sade da ABNT A ABNT - Associao Brasileira de Normas Tcnicas (www.abnt.org.br) a representante oficial do Brasil junto ISO. Em outubro de 2006 a ABNT criou a Comisso Especial de Estudos em Informtica em Sade, inspirada no Comit de Informtica em Sade da ISO, tambm conhecido como TC-215. A criao desta comisso um marco importante para o desenvolvimento da rea de padres em sade no Brasil, estando estruturada nos mesmos moldes do TC-215, com os seguintes Grupos de Trabalho - GT: GT 1 Modelos concentra-se no estudo dos modelos e padres de contedo para representar a informao em sade. Os documentos ISO/TS 20.154:2005 e ISO/TR 18.308:2004, utilizados como marcos referenciais do processo de certificao, foram contribuies do GT 1 do Comit ISO-TC-215. O GT 1 da Comisso Brasileira j traduziu estes dois documentos que sero submetidos ABNT e a comunidade para tambm se tornarem padres nacionais. GT 2 - Interoperabilidade concentra-se nos padres para estabelecer a comunicao efetiva entre sistemas e equipamentos na rea da sade. um dos grupos mais ativos no Comit ISO com vrios padres aprovados. No Brasil, este grupo tem se dedicado as questes especficas da rea de Telemedicina. GT 3 Conceitos concentra-se nas terminologias em sade. O trabalho extenso e no Brasil o grupo j traduziu dois documentos de referncia sobre o tema de terminologias e indicadores em sade. GT 4 Segurana concentra-se nos padres de segurana da informao em sade. A questo da assinatura digital e privacidade um dos temas em discusso. No Brasil este grupo tem trabalhado e colaborado com a ISO 27.799, norma internacional de segurana da informao em Sade, norma que ser publicada quase que simultaneamente em Portugus e em Ingls. Todos os padres em discusso pela Comisso Especial de Estudos em Informtica em Sade da ABNT foram e sero, cada vez mais, os documentos de referncia para este processo de certificao.




Verso 3.0 Data: 08/11/2007 Pgina: 13/66

2.2.7. Normas ISO TC-215 A norma ISO/TR 20.514:2005[7] um documento de referncia tcnica (TR -Technical Reference) que estabelece as definies de RES e de Sistemas de RES. Esta norma descreve as principais categorias de sistemas, define cenrios de utilizao, e a necessidade de interoperabilidade semntica entre os diferentes S-RES. Adicionalmente esta norma introduz o conceito de Registro Pessoal de Sade RPS. O documento 20.514:2005 um marco referencial na rea de RES e S-RES e representa vrios anos de trabalho na rea de padres para S-RES. A norma ISO/TS 18.308:2004[8] um documento formal de especificao tcnica (TS Technical Specification) que define os requisitos para um S-RES. A norma apresenta os requisitos categorizados em estrutura, processo, comunicao, privacidade e segurana, mdico-legal, tico, consumidor/cultural e tambm os requisitos relacionados evoluo de sistemas de RES. O projeto de norma ISO/DIS 27.799 Health informatics -- Information security management in health using ISO/IEC 17.799, que est em fase final para publicao, detalha e destaca a importncia do emprego dos controles de segurana descritos na ISO/IEC 27.002[14] com foco na rea de sade.

2.2.8. Normas ISO/IEC JTC1/SC27 O Joint Technical Committee 1 (JTC1) o comit tcnico da ISO responsvel pela elaborao de normas sobre tecnologia da informao. Seu subcomit 27 (SC27) responsvel pelas normas que tratam das tcnicas de segurana em tecnologia da informao. Desta forma, vrias normas so de interesse tambm para a rea de sade, destacando-se as apresentadas a seguir. A norma ISO/IEC 27.002:2005 Information technology - Security techniques - Code of practice for information security management [14], comumente conhecida por sua antiga numerao ISO/IEC 17.799, a norma mais difundida mundialmente no assunto segurana e apresenta os principais controles de segurana a serem empregados por qualquer instituio com o objetivo de proteger suas informaes. Essa norma possui sua verso brasileira NBR ISO/IEC 27.002:2005 Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto da segurana da informao [15]. A norma ISO/IEC 15.408:2005 Information technology -- Security techniques - Evaluation criteria for IT security em suas trs partes: Part 1: Introduction and general model[16], Part 2: Security functional requirements[17] e Part 3: Security assurance requirements[18], descreve um processo e requisitos especficos para certificao de segurana de sistemas.

2.2.9. ANSI HL7 Functional Model (EHR-S FM) O HL7 o mais utilizado padro para intercmbio de dados na rea da sade no cenrio internacional, h mais de 15 anos. Hoje, na verso 3.0, o padro incorpora um modelo de referncia RIM Reference Information Model com conceitos de domnio clnico e administrativo[9].




Verso 3.0 Data: 08/11/2007 Pgina: 14/66

Em 2001 o HL7 estabeleceu um grupo de trabalho em Registros Eletrnicos em Sade (EHR-SIG). Este grupo de trabalho definiu um conjunto de requisitos funcionais para S-RES: o EHR Functional Model[10]. O trabalho realizado por este comit extenso e cobre diferentes perfis de sistema, com um enfoque prtico e proposta de scripts para validao dos requisitos. No Brasil, em fevereiro de 2007, foi criado o Instituto HL7 Brasil a fim de dar respaldo jurdico e administrativo s atividades da representao do HL7 no Brasil (www.hl7brazil.org), com o intuito de "promover e prover padres relacionados com a troca, integrao, compartilhamento e recuperao de informao eletrnica, para apoio da prtica mdica e administrativa, permitindo um maior controle dos servios de sade". Os grupos de trabalho esto em fase de organizao, dentre eles, o Grupo de Registro Eletrnico de Sade e Registro Pessoal em Sade, que discutem os requisitos funcionais de S-RES.

2.2.10. Processo de Certificao CCHIT A Certification Commission for Healthcare Information Technology CCHIT desenvolveu o processo de certificao de S-RES[11] adotado no mercado americano. Sua origem posterior Certificao SBIS-CFM, j que foi criado em 2005 com um aporte inicial da ordem de 7.5 milhes de dlares, sendo administrado pelas seguintes organizaes:

American Health Information Management Association (AHIMA); Healthcare Information and Management Systems Society (HIMSS); e National Alliance for Healthcare Information Technology (the Alliance).

O processo americano voluntrio e baseado em conjuntos de scripts para diferentes categorias de S-RES. Inicialmente apenas sistemas ambulatoriais podiam ser certificados, mas a CCHIT est expandindo as categorias de sistemas que podem se submeter ao processo de certificao. Os critrios so bastante detalhados e analisam a funcionalidade, contedo, estrutura, seguranc a e aspectos de interoperabilidade dos S-RES. Os S-RES so avaliados por trs auditores, distncia, a partir de ambiente cooperativo especializado para esta finalidade. O processo do ponto de vista tcnico semelhante ao da SBIS/CFM.




Verso 3.0 Data: 08/11/2007 Pgina: 15/66

3. Escopo de Certificao O processo de Certificao SBIS/CFM destina-se, genericamente, a Sistemas de Registro Eletrnico de Sade (S-RES). Como j visto na seo 2.1. , a definio do que um S-RES bastante ampla e abrangente, englobando todos os subsistemas e componentes (SGBDs, servidores, bibliotecas, etc.). Ser avaliado o conjunto completo de subsistemas e componentes que compem o S-RES, devidamente configurados de forma a atender os requisitos especificados neste manual. Desta forma, qualquer sistema que capture, armazene, apresente, transmita ou imprima informao identificada em sade pode ser considerado como sendo um S-RES. Tendo em vista a existncia de um grande nmero de S-RES no mercado brasileiro, englobando uma ampla faixa de sistemas focados em diferentes nichos do mercado de sade, no seria possvel, num primeiro momento, certificar todo e qualquer S-RES existente. Inicialmente o processo de Certificao SBIS/CFM estar disponvel apenas para algumas categorias mais genricas de S-RES. No futuro prximo, e considerando a demanda futura, as categorias podero ser ampliadas, e em alguns casos, especializadas. importante ressaltar que dever do desenvolvedor do S-RES, independentemente da categoria de S-RES em que este se enquadra, indicar para seus usurios e clientes todas as interdependncias entre cada um dos subsistemas e componentes necessrios para que o S-RES seja configurado e funcione de maneira correta, especialmente quando estes subsistemas ou componentes no so fornecidos juntamente com o S-RES, cabendo ao usurio/cliente tratar o licenciamento destes junto terceiros. imprescindvel que a documentao do S-RES indique o nome e verso de cada um de seus subsistemas ou componentes, bem como o local onde os mesmos podem ser obtidos (seja junto a um fornecedor comercial, seja o repositrio de um projeto de software livre). Alm disso, devem ser informadas todas as instrues sobre a configurao necessria para o correto funcionamento destes subsistemas/componentes em conjunto. Todas estas informaes devem ter como referncia o nome e verso do sistema operacional sobre o qual iro funcionar.




Verso 3.0 Data: 08/11/2007 Pgina: 16/66

3.1. Categorias dos Sistemas

Para fins da Certificao SBIS/CFM, inicialmente, podero ser submetidos ao processo de certificao apenas os S-RES enquadrados em uma das categorias abaixo: a) Assistencial sistemas voltados para a assistncia, ou seja, todo o S-RES que

registra atendimentos em sade, tais como: sistemas de automao de consultrios clnicos, sistemas de informao hospitalar e ambulatorial, sistemas de vigilncia epidemiolgica, etc.;

b) SADT sistemas de apoio diagnstico e teraputica, tais como: automao de laboratrio, emisso de laudos, imagens mdicas, e outros;

c) GED sistemas de gerenciamento eletrnico de documentos, utilizados para o armazenamento e visualizao de documentos relacionados informao de sade;

d) TISS criada para atender ao padro TISS da ANS. Inmeros S-RES, especialmente aqueles em uso por operadoras de planos de sade e prestadores de assistncia em sade, so obrigados a trocar informaes usando o TISS.

Qualquer sistema que queira obter o selo SBIS/CFM dever fazer uma solicitao formal SBIS para dar inicio ao processo de certificao (ver captulo 4). Neste momento, a pessoa ou organizao interessados, devero indicar em quais categorias o seu sistema se enquadra.

Sistemas voltados para consultrios mdicos provavelmente se enquadraro apenas na categoria Assistencial, mas um grande sistema hospitalar integrado poder apresentar caractersticas e funcionalidades que atendam no apenas categoria Assistencial, mas tambm s categorias SADT e GED. Um sistema como este provavelmente estar apto ainda a trocar informaes utilizando o TISS, e neste caso, poder ser solicitada a certificao em todas as categorias acima. Como poder ser visto adiante, no captulo 5, a certificao SBIS/CFM prev ainda nveis diferenciados nos requisitos de segurana. Est prevista a possibilidade de um S-RES ser enquadrado em dois nveis distintos de garantia de segurana, sendo o primeiro nvel bastante amplo, enquanto o segundo nvel engloba todos os requisitos do primeiro nvel e ainda exige que o S-RES tenha as funcionalidades necessrias para trabalhar com certificados digitais padro ICP-Brasil. Adicionalmente, o S-RES dever ser identificado como sendo um S-RES local ou um S-RES remoto, refletindo se o mesmo funciona isoladamente ou se pode ser acessado simultaneamente por diferentes usurios a partir de estaes de trabalho conectadas ao computador onde o S-RES est instalado. Para ser aprovado, um S-RES precisar necessariamente se enquadrar em pelo menos uma das categorias de S-RES descritas acima, atendendo todos os requisitos




Verso 3.0 Data: 08/11/2007 Pgina: 17/66

estabelecidos para aquela categoria, alm de atender tambm todos os requisitos previstos pelo menos no Nvel de Garantia de Segurana 1 (NGS1). A Tabela 1 abaixo exibe as diferentes combinaes possveis de certificao, de acordo com a categoria de S-RES.

Tabela 1 Tipos de certificao conforme categoria de S-RES

Categoria de Sistema Tipo de Certificao ASSIST + NGS1 ASSIST + NGS1 + TISS ASSIST + NGS2

Sistemas Assistenciais

ASSIST + NGS2 + TISS SADT + NGS1 SADT + NGS1 + TISS SADT + NGS2

Sistemas SADT

SADT + NGS2 + TISS GED + NGS1 GED GED + NGS2 TISS + NGS1 TISS TISS + NGS2

Conforme j mencionado anteriormente, admite-se tambm a certificao combinada das categorias ASSISTENCIAL, SADT e GED, especialmente no caso de sistemas integrados. Caber ao interessado na certificao de um S-RES indicar as categorias de sistema, nvel de garantia de segurana e se o S-RES local ou remoto, para que estas informaes sejam consideradas no processo de certificao. A categoria TISS admite tambm algumas variaes nos requisitos, de acordo com sub-categorias especficas, conforme detalhado na seo 5.3. .




Verso 3.0 Data: 08/11/2007 Pgina: 18/66

4. Processo de Certificao Tais como os processos de acreditao hospitalar e/ou certificaes ISO, a Certificao SBIS-CFM estabelece que a auditoria seja realizada por equipe especializada, que verifica se, realmente, os requisitos obrigatrios para a categoria selecionada so atendidos pelo S-RES. Como se trata de software (programa de computador), essa auditoria corresponde, na prtica, a uma bateria de testes na qual o sistema amplamente analisado por um grupo de auditores, devidamente treinados, credenciados e selecionados pela SBIS, todos membros titulares da Sociedade. Em linhas gerais, uma pessoa ou instituio interessada em certificar o seu sistema (proponente), deve seguir as etapas abaixo:

a) analisar a documentao sobre o processo de certificao disponvel no site da SBIS;

b) verificar se o S-RES a ser certificado realmente atende a todos os requisitos obrigatrios para a categoria desejada (os requisitos de segurana so obrigatrios para qualquer categoria);

c) realizar a bateria de testes internamente em sua instituio, conforme descrito no Manual Operacional de Ensaios e Anlises. Este manual estar em breve disponvel no site da SBIS e poder ser baixado pelo prprio Proponente;

d) cumpridas as etapas anteriores, estando o proponente seguro que o seu S-RES esta em condies de ser aprovado na auditoria, somente ento ele dever iniciar formalmente o processo para obteno do selo de qualidade SBIS/CFM conforme descrito a seguir.

4.1. Etapas da Certificao

Apresentam-se abaixo os principais passos do processo geral da Certificao SBIS-CFM (veja resumo na Figura 1 - Processo de Certificao ).

A) Proponente solicita a Certificao do software no site da SBIS

No site da SBIS, o Proponente deve preencher o pedido de avaliao inicial, informando os dados do desenvolvedor (instituio/empresa), caractersticas do sistema, bem como tecnologias e subsistemas utilizados. importante que estas informaes sejam corretamente preenchidas j que serviro de subsdio para elaborao da proposta de trabalho com o respectivo oramento.

B) SBIS envia oramento de auditoria

A partir dos dados informados, a SBIS envia ao Proponente o seu plano de trabalho e oramento para auditoria, levando em considerao na elaborao dos mesmos, as categorias e nvel de segurana para os quais esta sendo solicitada a auditoria do S-RES.




Verso 3.0 Data: 08/11/2007 Pgina: 19/66

C) Proponente analisa oramento

Com o plano de trabalho e oramento, o Proponente ir aprovar ou no a realizao da auditoria. Caso o Proponente no aprove, a solicitao ser ento arquivada pela SBIS. Caso aprove, o Proponente deve comunicar SBIS a aceitao da auditoria, acessando o site e confirmando a solicitao. A SBIS ir ento preparar e enviar o contrato de servios.

D) Proponente efetua o pagamento da primeira parcela da Certificao

Aps assinatura do contrato de servios entre as partes, a SBIS envia o boleto para o Proponente pagar a primeira parcela do valor acordado para a Certificao.

E) SBIS seleciona a equipe de auditores

Com a confirmao do pagamento da primeira parcela pelo Proponente, a SBIS seleciona os auditores que iro analisar o S-RES do Proponente, a partir do banco de consultores treinados e credenciados pela Sociedade (os critrios para a seleo dos auditores podem ser visto em 4.2). A SBIS envia a relao de auditores e data de incio da auditoria com o respectivo cronograma de trabalho.

F) Proponente analisa auditores e cronograma

O Proponente analisa a relao de auditores e as datas propostas e, no havendo conflito de interesses, nem inviabilidade de datas e horrios, confirma a realizao da auditoria. Caso no possa realizar a auditoria nas datas propostas, o Proponente deve comunicar SBIS j sugerindo datas alternativas. O proponente poder tambm solicitar a substituio de um ou mais auditores indicados pela SBIS, que ir analisar as justificativas apresentadas e s ento enviar novas opes de auditores. Estando de acordo com os auditores e data propostas, o proponente deve fazer o pagamento da parcela restante do montante acordado para a auditoria.

G) Auditores realizam anlise do sistema

Com a confirmao do pagamento da parcela restante pelo Proponente, e seguindo o cronograma e plano de trabalho, os auditores iniciam a anlise do S-RES. Para isso, o submetem a uma bateria de testes. Todos os auditores seguem o mesmo plano de testes. Para cada item de teste realizado, os auditores devem indicar se o mesmo foi ou no verificado (atendeu ou falhou).

H) Auditores comunicam SBIS o resultado final

Ao final da auditoria os auditores informaro SBIS o resultado dos testes realizados. Para isso, respondero questionrio interno disponvel em rea reservada no site da SBIS, similar ao plano de testes, indicando se o sistema foi aprovado ou no. Se o S-RES foi realmente aprovado, um novo boleto emitido relativo taxa de registro e emisso do Certificado SBIS/CFM.

I) Proponente efetua o pagamento da taxa de certificado

O Proponente deve efetuar o pagamento da taxa para que assim a SBIS emita o certificado e divulgue a aprovao do S-RES na auditoria para o pblico em geral.




Verso 3.0 Data: 08/11/2007 Pgina: 20/66

J) SBIS emite o certificado e publica no site

Com o pagamento da taxa, o Certificado gerado em forma eletrnica, um arquivo PDF enviado para o Proponente e publicado no site da Certificao. Alm disso, um certificado em papel enviado via correio para o endereo do Proponente.

No site da SBIS, todos os S-RES Certificados estaro publicados com os dados de contato da empresa, suas caractersticas e visualizao do certificado em PDF.

Proponentesolicita a Certificao

SBIS envia oramento para auditoria

Proponenteanalisa

Oramento

Solicitao arquivada

Proponente paga

primeira parcela

SBIS seleciona os auditores

Proponenteanalisa

os auditores e cronograma

SBIS envianovasopes

Auditoria do S-RES

Auditorescomunicam

o resultado final

Proponentepaga taxa

do Certificado

SBIS emite o Certificado e publica no site

Oramentono aprovado

Sistemaaprovado

Sistemareprovado

Auditoresno aprovados

PagamentoParcela restante

Figura 1 - Processo de Certificao SBIS-CFM

4.2. Credenciamento de Auditores

A SBIS a instituio responsvel por operacionalizar a Certificao no mbito do convenio SBIS/CFM. Como tal, credencia auditores que iro efetivamente realizar a auditoria do S-RES, determinando se este atende ou no aos requisitos e, com isso, receber o Certificado. Os critrios de seleo para que um profissional possa se tornar um auditor esto descritos abaixo:

1. ser Membro Titular da SBIS, e estar em dia com suas obrigaes;

2. ter realizado e sido aprovado no Curso Oficial da Certificao SBIS-CFM;

3. estar vinculado a uma empresa associada SBIS.




Verso 3.0 Data: 08/11/2007 Pgina: 21/66

As empresas que desejam indicar auditores para participar do processo de certificao devem manifestar o seu interesse preenchendo o formulrio indicado no site da Certificao. Adicionalmente, ser tambm exigida a seguinte documentao:

Cpia do Carto do CNPJ

Cpia do Contrato Social e Aditivos

Dados da Pessoa de contato

Para cada auditor dever ser encaminhado um currculo conforme modelo encontrado no site da certificao, destacando para cada um deles a respectiva formao e experincias prvias em Certificaes ISO, ONA ou certificaes de segurana de software.

Esta documentao dever ser encaminhada para a SBIS no endereo:

Sociedade Brasileira de Informtica em Sade Rua Tenente Gomes Ribeiro No.57 - Sala 33 Vila Clementino So Paulo-SP CEP. 04038-040 Fone: (11) 3791-3343

Mais detalhes sobre o processo de certificao, credenciamento de auditores, e demais tpicos relacionados com este assunto podero ser encontrados no Manual Operacional de Anlises e Ensaios SBIS/CFM.




Verso 3.0 Data: 08/11/2007 Pgina: 22/66

5. Requisitos de Conformidade O principal objetivo da reviso deste manual foi atualiz-lo com as referncias mais atuais na rea de RES e S-RES, uma vez que os documentos utilizados no referencial terico, em especial os do TC-215 da ISO sofreram modificaes significativas desde 2004. Houve, tambm, a necessidade de incorporar o padro TISS e as iniciativas do HL7 e CCHIT, entre outras. A lista com todos os padres utilizados e uma descrio resumida de cada um deles est na seo 2. Vrios dos padres utilizados como referncia descrevem caractersticas e funcionalidades que idealmente devem estar presentes em S-RES, independentemente do seu nicho de aplicao. As caractersticas e funcionalidades existentes em um padro qualquer podem e devem ser utilizadas como base para facilitar a avaliao de um S-RES. Adicionalmente, podem ser teis para o planejamento de novas verses de S-RES ao longo do tempo (incorporando caractersticas e funcionalidades existentes no padro, mas ainda no disponveis no sistema). J do ponto de vista do processo de certificao, necessrio estabelecer critrios objetivos que possam ser utilizados de modo uniforme em cada auditoria, garantindo que os S-RES avaliados tenham as mesmas chances de serem ou no aprovados no processo, independentemente dos auditores envolvidos. Os requisitos mandatrios da certificao SBIS/CFM foram extrados dos padres de referncia, buscando-se identificar aqueles mais adequados realidade brasileira. Vrios requisitos obrigatrios no cenrio internacional foram definidos como opcionais nos requisitos da certificao. Estes devem ser vistos com funcionalidades e ou caractersticas desejveis para futuros desenvolvimentos. Os requisitos da certificao SBIS-CFM foram agrupados da seguinte forma:

Requisitos de Segurana; Requisitos de Contedo, Estrutura e Funcionalidades; e Requisitos TISS

Nos itens seguintes, apresenta-se uma viso geral de cada um deles.

5.1. Viso Geral dos Requisitos de Segurana

Os requisitos de segurana de um S-RES so fundamentais para aqueles interessados em eliminar o registro em papel das informaes relativas a cada paciente. Existe uma srie de recomendaes quanto ao acesso, uso e armazenamento dos pronturios em papel, vrias delas visando resguardar a sua legitimidade, ao mesmo tempo preservando a segurana e confidencialidade das informaes ali contidas.




Verso 3.0 Data: 08/11/2007 Pgina: 23/66

De forma anloga, os requisitos de segurana aqui apresentados buscam resguardar a legitimidade das informaes manipuladas e armazenadas em um S-RES, ao mesmo tempo preservando a segurana e confidencialidade destas informaes. Os pronturios em papel esto sujeitos a falsificaes, destruio (p.ex., incndio ou inundao), alm de extravio ou roubo. Com o pronturio em um S-RES no diferente, sendo que muitos entendem que estes riscos so at maiores para um S-RES na medida em que computadores conectados internet podem ser facilmente invadidos (maior risco de roubo e quebra de confidencialidade), se medidas adequadas de segurana no forem adotadas. Outro exemplo so sistemas incorretamente configurados, permitindo que usurios inexperientes possam equivocadamente formatar a unidade de disco onde o S-RES est instalado, perdendo todos os dados ali armazenados. O que fazer nesta situao? Os mais versados na informtica podero lembrar que um usurio cuidadoso deve sempre se preocupar em fazer cpias de segurana das informaes armazenadas no computador (tambm conhecidas como backup). Mas se os riscos so maiores para os pronturios eletrnicos, por outro lado a reverso de situaes de risco muito mais fcil em sistemas computadorizados. No exemplo acima, mesmo que o disco rgido do computador tenha entrado em curto-circuito, a existncia de um backup recente permitir a instalao do S-RES em um novo computador e a recuperao quase que imediata dos dados armazenados na cpia de segurana. Em pouco tempo o usurio pode voltar a utilizar o S-RES com perdas mnimas. Tamanha facilidade seria possvel caso os pronturios estivessem em papel e fossem destrudos pelo fogo ? Em outras palavras, tanto o pronturio em papel como o pronturio eletrnico esto sujeitos a riscos. Que fique claro, no entanto, que praticamente impossvel reduzir a zero os riscos envolvidos na utilizao de pronturios, seja em papel ou em formato eletrnico. O usurio deve estar constantemente avaliando os riscos potenciais e decidindo por medidas preventivas de segurana que possam mitigar estes riscos. Os requisitos de segurana apresentados a seguir procuram orientar desenvolvedores de S-RES e seus respectivos usurios quanto aos cuidados mnimos que devem ser observados na utilizao de sistemas computadorizados. Quanto deciso de abandonar o papel e passar a operar apenas com informaes armazenadas em um S-RES, ela deve ser tomada avaliando os riscos envolvidos. A legislao brasileira deixa claro que a verso impressa de um documento eletrnico armazenada em um computador ser considerada vlida se todas as partes interessadas naquele documento reconhecerem sua legitimidade. Mas o que fazer se um paciente colocar em dvida a validade de uma prescrio mdica armazenada em um S-RES? Como provar que tal prescrio verdadeira e que no foi adulterada para corrigir o valor de uma dosagem que, segundo o paciente, era diferente na verso que foi originalmente a ele entregue? Uma alternativa a contratao de um perito tcnico para analisar o sistema computadorizado e as prticas de segurana adotadas em seu uso, emitindo parecer sobre a validade ou no daquela prescrio. Trata-se de um procedimento custoso, muitas vezes demorado, e que dependendo das caractersticas do S-RES poder ser inconclusivo.




Verso 3.0 Data: 08/11/2007 Pgina: 24/66

Uma outra alternativa, amparada pela legislao brasileira, ter assinado digitalmente tal prescrio, usando para tanto um certificado digital em conformidade com a ICP-Brasil. Neste caso, qualquer documento eletrnico ser considerado vlido, para todos os efeitos, inclusive perante tribunais brasileiros, como tendo sido assinado pela pessoa ou instituio para a qual o certificado digital foi emitido. Assim sendo, a prescrio mdica sendo contestada em nosso exemplo, mesmo que tenha sido gerada no computador por um editor de textos qualquer, mas que tenha sido assinada digitalmente pelo mdico que a criou, ter o mesmo valor legal que uma prescrio escrita e assinada manualmente no receiturio deste mesmo mdico. No custa lembrar, entretanto, que documentos eletrnicos, mesmo quando assinados digitalmente, precisam observar cuidados adicionais de segurana. De nada adiantar assinar digitalmente as informaes de um S-RES se tais informaes no forem submetidas a backups peridicos, garantindo que continuaro a existir e estaro disponveis no futuro caso vierem a ter sua legitimidade questionada. Em funo deste cenrio, o processo de certificao SBIS/CFM classifica os S-RES, do ponto de vista de segurana da informao, em dois Nveis de Garantia de Segurana (NGS):

NGS1 - categoria constituda por S-RES que no contemplam o uso de certificados digitais ICP-Brasil para assinatura digital das informaes clnicas, consequentemente sem amparo para a eliminao do papel e com a necessidade de impresso e aposio manuscrita da assinatura;

NGS2 - categoria constituda por S-RES que viabilizam a eliminao do papel nos

processos de registros de sade. Para isso, especifica a utilizao de certificados digitais ICP-Brasil para os processos de assinatura e autenticao. Para atingir o NGS2 necessrio que o S-RES atenda aos requisitos j descritos para o NGS1 e apresente ainda total conformidade com os requisitos especificados para o nvel de garantia 2.

Recomenda-se, para ambos os nveis, a observncia das boas prticas para a gesto da segurana da informao descritas na norma NBR ISO/IEC 27.002[15] publicada pela ABNT, adaptadas as necessidades organizacionais de cada instalao do S-RES. A certificao SBIS/CFM considera no seu processo de auditoria o nvel de segurana para o qual o S-RES se declara em conformidade, j que o NGS2 incorpora todos os requisitos do NGS1, e prev um conjunto adicional de requisitos. Os S-RES auditados no NGS1 devem possuir todas as caractersticas necessrias para que uma percia tcnica possa tirar concluses satisfatrias sobre a validade ou no das informaes por ele armazenadas. As concluses da percia devero levar em considerao tambm a forma como o sistema est sendo utilizado, j que o S-RES, por si s, no ser suficiente para garantir a legitimidade de qualquer informao. Um exemplo para tornar mais clara esta afirmao aquele em que o S-RES possui mecanismos para validar seus usurios atravs de identificao e senha, mas este




Verso 3.0 Data: 08/11/2007 Pgina: 25/66

mecanismo se torna irrelevante na medida em que todos os usurios do sistema usam a mesma identificao e senha para acessar o sistema. J os S-RES auditados no NGS2, estaro em condies de gerar documentos eletrnicos assinados digitalmente em conformidade com a ICP-Brasil. Tais documentos sero considerados vlidos independentemente de auditoria, mas, novamente, o S-RES apenas permitir que os documentos sejam assinados. O uso efetivo de certificados digitais, em conjunto com a observncia dos demais requisitos de segurana, depender tambm da forma como o S-RES for utilizado por seus usurios. Finalmente, dependendo de como o S-RES pode ser acessado pelos seus usurios, requisitos diferenciados de segurana devem ser considerados. Para efeito da certificao SBIS/CFM, consideramos como S-RES de acesso local todo e qualquer S-RES no qual o usurio s consegue acessar e utilizar o sistema a partir do mesmo computador onde ele (e todos os seus subsistemas e componentes) est instalado. Alm disso, um S-RES de acesso local no permite o acesso simultneo de mais de um usurio. Por outro lado, o S-RES de acesso remoto todo e qualquer S-RES que permite o acesso simultneo ao sistema, e independentemente de estarem fazendo este acesso do prprio computador onde o S-RES est instalado, ou de um computador remoto via algum tipo de conexo (rede local, conexo sem-fio, internet, etc.). Para as instituies que queiram deixar de usar o pronturio em papel, a SBIS e o CFM recomendam a opo pelos S-RES certificados como NGS2, ao mesmo tempo buscando uma certificao de aderncia Norma ABN NBR ISO/IEC 27.001:2006[19], oferecida por vrias empresas do mercado. A avaliao dos riscos envolvidos deve ser feita por cada instituio, cabendo somente a elas decidir sobre o grau de equilbrio entre custo e risco que esteja mais adequado s suas necessidades e possibilidades.

5.2. Viso Geral dos Requisitos de Contedo, Estrutura e Funcionalidades

Hoje so ainda poucos os S-RES no Brasil que atendem a vrios dos requisitos listados neste manual, como por exemplo, a incorporao de alertas, diretrizes e protocolos clnicos. Entretanto, a SBIS e o CFM entendem que as definies do comit tcnico ISO TC-215 definem requisitos importantes para um S-RES, sempre buscando apoiar e facilitar a atividade assistencial. Neste primeiro momento vrios requisitos foram considerados apenas como desejveis (e no obrigatrios), mas espera-se que futuramente todos os S-RES incorporem funcionalidades mais sofisticadas. As caractersticas de funcionalidades de um S-RES variam de acordo com a finalidade do sistema. Por este motivo os requisitos de funcionalidades dependem da categoria do S-RES (ver seo 3).




Verso 3.0 Data: 08/11/2007 Pgina: 26/66

5.3. Viso Geral dos Requisitos TISS

Os requisitos especficos para verificar a aderncia ao padro TISS refletem o contedo da RN 153, de 29/05/2007, da ANS. Os requisitos foram agrupados em contedo, estrutura e comunicao de dados, para que assim um sistema possa ser considerado em conformidade com o TISS. Alm disto, preciso distinguir se o S-RES tem como foco a automao de operadoras de planos de sade (mdico e/ou odontolgico) ou a automao de prestadores de servios de sade (categorias 1, 2 e 3). Esta sub-diviso respeitou a categorizao adotada pela ANS, no cronograma de implantao do TISS, melhor detalhada na Tabela 2 a seguir.

Tabela 2. Categorias de prestadores e operadoras para a implantao do TISS.

Prestadores Operadoras Grupo 1 hospitais gerais

hospitais especializados hospitais/diaisolado pronto socorro especializado pronto socorro geral clnica especializada / ambulatrio de especialidade

unidade de apoio diagnose e terapia (SADT isolado)

unidade mvel de nvel pr-hospitalar - urgncia/emergncia

unidade mvel fluvial unidade mvel terrestre policlnica

Grupo 2 consultrio isolado profissionais de sade ou pessoa jurdica que presta servio em consultrio mdico

Operadoras de planos de

assistncia mdica

Grupo 3 clnica radiolgica em odontologia consultrio odontolgico isolado odontlogo ou pessoa jurdica da rea odontolgica que presta servio em consultrio

Operadoras de planos

Odontolgicos

Cabe ainda lembrar que na definio dos requisitos de contedo e estrutura para S-RES utilizados por prestadores de servios pertencentes ao Grupo 1, foi ainda necessrio distinguir entre S-RES para SADTs isolados, e S-RES para todos os demais tipos de instituio contidos neste grupo. O conjunto de requisitos obrigatrios do TISS na certificao so definidos de acordo com o enquadramento do S-RES na Tabela 2. Finalmente, qualquer sistema que se submeta ao processo de certificao na categoria TISS ter que necessariamente atender pelo menos os requisitos do nvel de garantia de segurana 1 (seo 5.5. ).




Verso 3.0 Data: 08/11/2007 Pgina: 27/66

5.4. Apresentao dos Requisitos para Certificao SBIS/CFM

Nas prximas pginas, sero apresentados cada um dos requisitos considerados na certificao SBIS/CFM. Para cada requisito, so apresentadas as seguintes informaes: ID Identificao do requisito, utilizando codificao padronizada. NOME DO REQUISITO. REFERNCIA identificao da funo ou caracterstica existente em um padro de referncia e que deu origem a este requisito.

CONFORMIDADE descrio do requisito, incluindo exemplos sempre que apropriado. Aqui podem tambm ser fornecidas indicaes de como o requisito ser avaliado durante a auditoria visando certificao SBIS/CFM.

PRESENA Indicao se o requisito :

Mandatrio (M) Deve ser obrigatoriamente atendido pelo S-RES; Recomendado (R) importante levar em conta este requisito, recomendando-se fortemente que os desenvolvedores de S-RES que no atendam o mesmo comecem a planejar seu respectivo desenvolvimento;

Opcional (O) Requisitos opcionais, que no sero considerados no processo de certificao;

No se aplica (X) - possvel se deparar com a situao em que no faz sentido observar se um determinado requisito atendido ou no. Nestes casos, ao invs de deixar o campo em branco, suscitando dvidas, o mesmo ser preenchido com a letra X, indicando que no se deve considerar tal requisito para a categoria ou tipo de S-RES correspondente.

Para alguns requisitos a coluna PRESENA estar subdividida, considerando tipos ou sub-categorias de S-RES. o que se observa nos requisitos de Contedo, Estrutura e Funcionalidades, onde temos as seguintes colunas:

A Assistencial S SADT G GED

J nos requisitos de segurana, em alguns requisitos a coluna PRESENA est dividida entre LOCAL e REMOTO, refletindo como cada requisito dever ser considerado de acordo com o tipo do S-RES que est sendo auditado.




Verso 3.0 Data: 08/11/2007 Pgina: 28/66

5.5. Requisitos do Nvel de Garantia de Segurana 1 (NGS1)

NGS1.01 - Controle de verso do software ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.01.01 Verso

software HL7 ERH-S FM IN4.2

ABNT NBR ISO/IEC

27001:2006 A.12.5

Todos os componentes do S-RES devem possuir verso do software associada a uma nica referncia (nome, fornecedor e nmero de verso) e no ambgua. O S-RES deve permitir a exibio da verso de seus componentes de software para todos os usurios.

M M

NGS1.01.02 Cdigo fonte HL7 ERH-S FM IN5.2 ABNT NBR ISO/IEC

27001:2006 A.12.5

Deve ser possvel, a partir do nmero de verso de cada componente do S-RES, resgatar os cdigos-fonte correspondentes, possibilitando a rastreabilidade dos arquivos fontes que o geraram.

R R

NGS1.01.03 Histrico de alterao

HL7 ERH-S FM IN4.2 Manter histrico descritivo de todas as alteraes realizadas em cada verso, contendo a data e o responsvel pela alterao.

R R

NGS1.01.04 Repositrio de verses

HL7 ERH-S FM IN4.2 Ter um repositrio estruturado com todas as verses dos componentes (executveis e cdigos-fonte) que foram utilizadas em produo em algum momento, permitindo voltar verses anteriores em casos de atualizaes mal sucedidas.

R R

NGS1.01.05 Dependncias dos componentes

HL7 ERH-S FM IN5.2 Para cada verso de cada componente, indicar no manual de instalao e requisitos de sistema quais so as dependncias com outros componentes do S-RES ou do ambiente, e os requisitos de operao. Por exemplo, informar que uma determinada verso de componente compatvel com o padro HL7 verso 2.x (requisito de operao), que roda em um determinado sistema operacional (requisito de ambiente), que depende de um especfico sistema de diretrio para autenticao de usurios.

R R

NGS1.02 - Identificao e autenticao de usurio ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.02.01 Identificao e

autenticao do usurio

HL7 ERH-S FM IN1.1; ABNT NBR ISO/IEC 27001:2006 A.11.5.2

Todo usurio deve ser identificado e autenticado antes de qualquer acesso a dados do S-RES.

M M

NGS1.02.02 Mtodo de autenticao

HL7 ERH-S FM IN1.1 ABNT NBR ISO/IEC 27001:2006 A.11.5.1

Utilizar mtodos tradicionais de autenticao, como usurio/senha, ou mtodos mais seguros, como certificao digital, One Time Password (OTP) ou biometria. M M




Verso 3.0 Data: 08/11/2007 Pgina: 29/66

ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.02.03 Proteo dos

parmetros de autenticao

SBIS Todos os dados ou parmetros utilizados no processo de autenticao de usurio devem ser armazenados de forma protegida. Por exemplo, o armazenamento do cdigo hash da senha do usurio ao invs dela prpria, alm disso, o local de armazenamento desse cdigo hash deve possuir restries de acesso; na autenticao via OTP, a semente utilizada deve ser protegida.

M M

NGS1.02.04 Segurana de senhas

ABNT NBR ISO/IEC 27001:2006 A.11.5.3

Quando a autenticao for baseada em usurio/senha, utilizar os seguintes controles de segurana:

Qualidade da senha: verificar a qualidade da senha no momento de sua definio pelo usurio, obrigando a utilizao de, no mnimo, 8 caracteres dos quais, no mnimo, 1 caractere deve ser no alfabtico;

Periodicidade de troca de senhas: o S-RES deve ter funcionalidade de obrigar a troca de senhas pelos usurios, em um perodo mximo configurvel;

No armazenar a senha, somente o cdigo hash das senhas do usurio.

M M

NGS1.02.05 Controle de tentativas de login

ABNT NBR ISO/IEC 27001:2006 A.11.5.1

O S-RES deve ter mecanismos para bloquear o usurio aps um nmero mximo configurvel de tentativas invlidas de login.

M

M

NGS1.03 - Controle de sesso de usurio ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.03.01 Encerramento

por inatividade ABNT NBR ISO/IEC 27001:2006 A.11.5.5

Sesso de usurio (local ou remota) inativa deve ser encerrada aps um perodo definido de inatividade. M M

NGS1.03.02 Segurana contra roubo de sesso de usurio

ABNT NBR ISO/IEC 27001:2006 A.10.8

Em S-RES distribudo a sesso de comunicao deve possuir controles de segurana a fim de no permitir o roubo da sesso do usurio. O roubo de sesso de comunicao pode ocorrer, inclusive em sesses protegidas (ex. SSL/TLS). Por exemplo, se o controle de sesso for realizado atravs de cookie na URL, em determinadas situaes, a URL da sesso de um usurio pode ser obtida e utilizada por um outro usurio, personificando o usurio anterior.

X M




Verso 3.0 Data: 08/11/2007 Pgina: 30/66

NGS1.04 - Autorizao e controle de acesso ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NSG1.04.01 Impedir acesso

por entidades no autorizadas

HL7 ERH-S FM IN1.2 ABNT NBR ISO/IEC 27001:2006 A.11.6.1

Impedir acesso ao RES (acesso direto base de dados) e ao S-RES por entidades (usurios ou outros sistemas) no autenticadas e no autorizadas.

M M

NSG1.04.02 Mecanismo de controle de acesso ao RES

HL7 ERH-S FM IN1.2 Garantir que o acesso ao RES seja somente possvel atravs do mecanismo de controle de acesso, mesmo para o administrador do sistema ou outro usurio que porventura venha a ter acesso ao RES.

M M

NSG1.04.03 Gerenciamento de usurios

HL7 ERH-S FM IN1.2 ISO/TS 18308:2004(E) PRS3.2

Permitir o gerenciamento de usurios (criao, remoo e modificao), gerenciamento de papis (criao, remoo e modificao) e gerenciamento de grupos (criao, remoo e modificao).

M M

NSG1.04.04

Papis relacionados TI

SBIS Suportar os seguintes papis relacionados tecnologia da informao (no obrigatoriamente com tais nomes):

Gestor de segurana; Auditor; Administrador do sistema; Operador do sistema; Operador de backup: exportao de dados para fins de cpia (Backup). Mesmo

que o S-RES no possua funes para realizao de backup, sendo o sistema de gerenciamento da base de dados (SGBD) um componente do S-RES, deve existir no SGBD o perfil de operador de backup.

R M

NSG1.04.05 Configurao de controle de acesso

HL7 ERH-S FM IN1.2; ABNT NBR ISO/IEC 27001:2006 A.11.6 ISO/TS 18308:2004(E) PRS3.3

Disponibilizar mecanismos necessrios para que seja possvel implementar a poltica de controle de acesso atravs da configurao dos perfis de acesso, considerando os papis de usurio, dos grupos e das operaes que podem ser realizadas, inclusive a diferenciao de operaes de consulta e de incluso/alterao. Considerar que um mesmo usurio pode possuir mais de um papel.

M M

NSG1.04.06 Concesso de autorizaes

HL7 ERH-S FM IN1.2 Disponibilizar ao gestor de segurana meios para conceder autorizaes aos usurios e controle de acesso aos recursos de acordo com o escopo de atuao, a poltica organizacional e legislao.

M M




Verso 3.0 Data: 08/11/2007 Pgina: 31/66

ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NSG1.04.07 Delegao de

poder SBIS Sendo o atribuidor aquele responsvel por autorizar a delegao de poder e o delegado

aquele quem recebe a delegao de poder, ento: O atribuidor deve ser previamente autorizado para conceder tais classes de

autorizao; A delegao de poder deve ser registrada no sistema; A delegao de poder deve informar:

O atribuidor; O delegado; O motivo O instante da concesso O perodo de vigncia

Como exemplo de delegao pode-se citar um mdico que delega poder de entrada de informaes ao RES de um paciente para uma enfermeira.

M M

NSG1.04.08 Acesso ao RES pelo paciente.

HL7 ERH-S FM IN1.4 Garantir que o paciente possa ter acesso a todas as suas informaes pessoais e clnicas armazenadas no S-RES. Caso o S-RES no permita acesso direto do prprio paciente ao S-RES, deve existir um papel de usurio que permita realizar esta atividade em nome do paciente. Esta atividade deve ser registrada (log), devendo ser informado: o usurio, o paciente, o local e o instante da operao. O usurio dever poder levar consigo estas informaes em formato eletrnico ou impresso. O sistema dever disponibilizar uma interface para impresso de declarao do usurio de que est recebendo suas informaes, contendo o nome do paciente, nome do usurio do sistema que est exportando ou imprimindo os dados, local e instante da operao.

M M

NSG1.04.09 Restries de acesso ao RES adicionadas pelo paciente

HL7 ERH-S FM IN1.4 Permitir que o paciente possa adicionar restries de acesso a uma determinada parte ou totalidade de seu RES.

O O

NGS1.05 - Disponibilidade do RES ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.05.01 Cpia de

Segurana ABNT NBR ISO/IEC 27001:2006 A.10.5

O S-RES deve permitir que a salvaguarda dos dados e o arquivamento atendam aos seguintes requisitos: exportar os atributos de segurana em conjunto com os dados; garantir na restaurao de uma cpia de segurana e arquivamento que os

atributos de segurana e suas associaes sejam automaticamente

M M




Verso 3.0 Data: 08/11/2007 Pgina: 32/66

recuperados, sem a interveno do administrador; assegurar que somente o usurio com papel de operador de backup possa

exportar e restaurar uma cpia de segurana e arquivamento; NGS1.05.02 Verificao de

integridade na recuperao de dados

ABNT NBR ISO/IEC 27001:2006 A.10.5

A salvaguarda de dados (backup) deve incluir controles para verificao da integridade dos dados. Garantir a verificao da integridade dos dados armazenados no RES, sempre que houver recuperao da informao

M M

NGS1.06 - Comunicao remota ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.06.01 Segurana da

comunicao entre cliente e servidor

ABNT NBR ISO/IEC 27001:2006 A.10.9.2

Em S-RES de acesso remoto , a sesso de comunicao entre o componente cliente (do lado do usurio) e o componente servidor deve oferecer os seguintes servios de segurana: autenticao do servidor, integridade dos dados e confidencialidade dos dados. Como exemplo, pode-se citar a utilizao do protocolo HTTPS (HTTP + SSL/TLS).

X M

NGS1.06.02 Controle de acesso do cliente ao servidor

ABNT NBR ISO/IEC 27001:2006 A.10.9.2

Em S-RES de acesso remoto, o acesso ao sistema deve ser restrito somente aos clientes previamente autorizados. Este controle de acesso pode ser realizado, por exemplo, pelo endereo IP do cliente.

X R

NGS1.06.03 Restrio de dados transmitidos

ABNT NBR ISO/IEC 27001:2006 A.10.9.2

Em S-RES de acesso remoto os dados transmitidos ao componente cliente (lado do usurio) devem ser somente aqueles que sero apresentados ao usurio. Ou seja, todo e qualquer processamento relacionado seleo de dados deve ser realizado no lado servidor.

X M

NGS1.06.04 Segurana da comunicao entre componentes

ABNT NBR ISO/IEC 27001:2006 A.10.9.2

Em S-RES composto por diversos componentes distribudos (localizados em computadores diferentes), a comunicao entre tais componentes (como, por exemplo, com o banco de dados) deve oferecer os seguintes servios de segurana: autenticao de parceiro (cliente e servidor), integridade dos dados e confidencialidade dos dados.

X M

NGS1.06.05 Controle de acesso entre componentes

ABNT NBR ISO/IEC 27001:2006 A.10.9.2

Em S-RES composto por diversos componentes distribudos (localizados em computadores diferentes), na comunicao entre tais componentes (como, por exemplo, com o banco de dados), o acesso ao componente deve ser restrito somente aos parceiros (componentes) previamente autorizados.

X M

NGS1.06.06 Comunicao entre S-RES.

HL7 ERH-S FM IN1.7 O canal de comunicao entre S-RES deve oferecer os seguintes servios de segurana: autenticao de parceiro (cliente e servidor), integridade dos dados e confidencialidade dos dados. Quando a comunicao envolva S-RES de diferentes entidades, a autenticao de parceiro deve utilizar certificados digitais ICP-Brasil.

M M




Verso 3.0 Data: 08/11/2007 Pgina: 33/66

NGS1.07 - Segurana de Dados ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.07.01 Importao de

dados HL7 ERH-S FM IN1.6 Os dados importados de outro S-RES devem estar relacionados a um paciente e um

mdico responsvel, local e momento (data e hora) da importao e profissional usurio do sistema que realiza a importao.

M M

NGS1.07.02 Restries para transmisso e exportao de RES

SBIS A transmisso e exportao de RES de um S-RES deve ser permitida somente nas seguintes situaes:

para transmisso para um outro S-RES; para salvaguarda de dados (backup); para arquivamento; para o paciente, a pedido do paciente, podendo ser realizada de forma

eletrnica ou por impressa; em processos internos nos quais seja necessria a impresso de parte do RES; para atendimento ao requisito legal de manter documentao em papel, atravs

da impresso; Todas as atividades de transmisso de RES devem ser registradas (logs).

M M

NGS1.07.03 Impedir excluso e alterao

SBIS No permitir excluso ou alterao de dados j existentes no RES. Aes de correo devem preservar os dados antigos. M M

NGS1.07.04 Verificao de integridade dos dados

SBIS Devem existir controles para verificao de integridade dos dados RES de forma a prevenir que qualquer ao do usurio ou falha do sistema possa originar uma inconsistncia nos dados. Este requisito pode ser atendido pelo SGBD utilizado pelo S-RES.

R R

NGS1.07.05 Utilizao de SGBD

SBIS O RES deve ser protegido por um Sistema de Gerenciamento de Banco de Dados. M M

NGS1.07.06 Impedir acesso direto ao SGBD

SBIS O SGBD no deve permitir acesso direto pelos usurios.O acesso de usurios ao RES deve ser permitido somente por intermdio do componente de autenticao e controle de acesso do S-RES, nunca diretamente pelo SGBD, exceto nas atividades de salvaguarda (backup) de dados

M M

NGS1.07.07 Dados de identificao do paciente criptografados

SBIS Os dados de identificao do paciente devem ser criptografados a fim de impedir a reconstruo do seu RES atravs de acessos no autorizados base de dados do S-RES ou cpia de segurana (gerado na salvaguarda dos dados). Este requisito pode ser atendido pelo SGBD utilizado pelo S-RES.

R R

NGS1.07.08 Confirmao de entrega

SBIS A troca de dados entre S-RES, caso do TISS, deve possuir controles de confirmao de entrega/recebimento dos dados.

M M




Verso 3.0 Data: 08/11/2007 Pgina: 34/66

NGS1.08 Auditoria ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.08.01 Auditoria de

acesso ISO/TS 18308:2004(E) PRS5.1

Suportar o registro de dados para auditoria de acesso e modificao de dados em parte ou no todo do S-RES M M

NGS1.08.02 Integridade das trilhas de auditoria

ABNT NBR ISO/IEC 27001:2006 A.10.10.3

Os recursos e informaes de registros (log) devem ser protegidos contra falsificao e acesso no autorizado. Trilhas de auditoria no podem ser modificadas por nenhum usurio.

M M

NGS1.08.03 Acesso s trilhas de auditoria

ABNT NBR ISO/IEC 27001:2006 A.10.10.1

Garantir que o acesso s trilhas de auditoria somente seja permitida a usurio com papel Auditor. M M

NGS1.08.04 Trilha de auditoria

ABNT NBR ISO/IEC 27001:2006 A.10.10.1 ISO/TS 18308:2004(E) PRS5.3

A trilha de auditoria deve conter eventos relacionados a: tentativas de autenticao de usurio; atividades de gerenciamento de usurios, papeis e grupos; atividades de administrao do sistema; atividades de operao do sistema; operaes realizadas pelos usurios; interao com outros sistemas, incluindo outros S-RES; troca (transmisso e recepo) de dados; salvaguarda de dados; arquivamento de dados; acessos base de dados; erros do S-RES; alertas de incidentes de segurana;

M M




Verso 3.0 Data: 08/11/2007 Pgina: 35/66

NGS1.09 - Documentao ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.09.01 Documentao SBIS Possuir as seguintes documentaes:

Manual de instalao e requisitos de sistemas; Manual do usurio; Manual do administrador e operador; Manual de mecanismos de segurana; Manual de prticas de segurana.

M M

NGS1.09.02 Referncia verso do software na documentao

SBIS Todos os manuais devem indicar claramente, no incio do documento, a verso a que se referem.

M M

NGS1.09.03 Alterao Documentao

SBIS Informar e manter histrico de todas as alteraes nos manuais, para que o usurio possa consultar todas as alteraes realizadas at a ltima verso disponvel.

O O

NGS1.09.04 Operador de backup

ABNT NBR ISO/IEC 27001:2006

O manual de instalao deve informar como realizar a configurao de um usurio com perfil de operador de backup no SGBD. Alm disso, O manual de instalao deve informar como configurar o SGBD de forma que as atividades de exportao e restaurao de uma cpia de segurana (backup) dos dados possa ser realizada somente pelo usurio com papel de operador de backup.

R R

NGS1.09.05 Restrio de acesso a entidades no autenticadas e autorizadas

SBIS O manual de instalao deve informar como configurar o SGBD de forma a impedir o acesso de entidades (usurios ou outros sistemas) no autenticadas e no autorizadas pelo componente de autenticao e controle de acesso do S-RES. R R

NGS1.09.06 Verificao da integridade dos dados

SBIS O manual de instalao e operao deve informar que, quando houver recuperao de salvaguarda de dados, o sistema deve realizar a verificao da integridade dos dados. R R

NGS1.09.07 Configurao da Segurana da comunicao entre componentes

SBIS O manual de instalao e operao deve informar que a comunicao entre os componentes de um S-RES distribudo deve implementar os servios de segurana de autenticao de parceiro (cliente e servidor), integridade dos dados e confidencialidade dos dados, caso tais componentes no estiverem em uma rede segregada da Internet e dos demais ambientes, principalmente daqueles em que esto os usurios, assim como dos componentes que acessam diretamente a web.

X M

NGS1.09.08 Sincronizao de relgio

ABNT NBR ISO/IEC 27001:2006 10.10

O manual de administrao e operao deve informar ao administrador que os componentes do S-RES devem estar com seus relgios sincronizados ao UTC. O manual deve tambm informar as formas para que a sincronizao possa ser configurada no ambiente.

O R




Verso 3.0 Data: 08/11/2007 Pgina: 36/66

NGS1.10 - Tempo ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.10.1 Representao

de instante de tempo

ISO 8601:1998 Toda informao de tempo deve ser armazenada com referncia ao UTC com indicao do fuso local. As referncias de instante de tempo podem ser apresentadas ao usurio em formatos de hora local

M M

NGS1.10.2 Formato de representao de tempo

ISO 8601:1998 Toda informao de instante de tempo deve ser representada (armazenada ou transmitida) no formato da ISO 8601, com exceo do carimbo de tempo, que segue RFC 3161

O O

NGS1.11 Notificao de Ocorrncias ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS1.12.01 Interface para

notificao ABNT NBR ISO/IEC 27002:2006 13.1.1

Disponibilizar uma interface para que usurios possam notificar sobre ocorrncia de incidentes de segurana, problemas, melhoramentos ou sugestes.

O R




Verso 3.0 Data: 08/11/2007 Pgina: 37/66

5.6. Requisitos do Nvel de Garantia de Segurana 2 (NGS2)

NGS2.01 Certificao Digital ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS2.01.01 Certificado

digital ICP-Brasil; Resoluo CFM

Utilizao de certificado digital emitido por AC credenciada ICP-Brasil para os processos de autenticao de profissionais e para assinatura digital documentos eletrnicos no S-RES.

M M

NGS2.01.02 Atendimento ICP e PC

ICP-Brasil; Resoluo CFM

Atender s normas de uso definidas pela ICP-Brasil e pela Poltica de Certificado (PC) na utilizao de certificados digitais.

M M

NGS2.01.03 Validao do certificado digital antes do uso

ICP-Brasil Antes da utilizao de qualquer certificado digital deve ser realizada sua verificao e a adequao de seu propsito de uso. A verificao do certificado digital envolve a validao criptogrfica, verificao de validade, verificao de revogao, inclusive dos certificados da sua cadeia de certificao.

M M

NGS2.01.04 Configurao de certificados raiz

ICP-Brasil Permitir a configurao do conjunto de certificados raiz de confiana. Deve, tambm, possuir controles para garantia da integridade desta informao.

M M

NGS2.02 Assinatura Digital ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS2.02.01 Formato de

assinatura SBIS Utilizar formatos abertos a fim de garantir a interoperabilidade dos dados. Neste sentido,

a assinatura digital dever utilizar estruturas compatveis com o formato CMS [RFC 3852] ou XMLDSIG [RFC 3275]

M M

NGS2.02.02 Verificao do certificado digital

ETSI TS 101 733 Verificar, antes da realizao de uma assinatura digital, o certificado digital a ser utilizado e adequao de seu propsito de uso assinatura digital M M

NGS2.02.03 Referncia temporal para revogao

ETSI TS 101 733 Toda assinatura digital realizada no mbito do S-RES deve incluir um carimbo de tempo (RFC 3161) que deve ser utilizado como referncia temporal nas atividades de verificao de revogao.

R R

NGS2.02.04 Validao da assinatura digital

SBIS Realizar a validao da assinatura digital aps sua realizao. M M

NGS2.02.05 Validao da ETSI TS 101 733 Manter os elementos necessrios (informaes sobre domnios de segurana, cadeia M M




Verso 3.0 Data: 08/11/2007 Pgina: 38/66

assinatura a qualquer momento

de certificados e informaes de revogao) a fim de possibilitar que a assinatura digital possa ser validada a qualquer momento futuro.

NGS2.02.06 Propsito da assinatura e papel do signatrio

ETSI TS 101 733 Incluir, em toda assinatura digital realizada, o propsito da assinatura (tipo de comprometimento que o signatrio assume no momento de firmar a assinatura digital) e o papel do signatrio no S-RES.

M M

NGS2.02.07 Visualizao das informaes assinadas

SBIS Sempre permitir a visualizao da informao a ser assinada e garantir que seja realizada exatamente sobre as mesmas informaes visualizadas.

M M

NGS2.02.08 Homologao ICP-Brasil

ICP-Brasil Os componentes de um S-RES que utilizam certificao digital para assinatura digital devem ser homologados pela ICP-Brasil.

R R

NGS2.03 Autenticao de usurio utilizando certificado digital ID REQUISITO REFERNCIA CONFORMIDADE Local Remoto NGS2.03.01 Verificao do

certificado digital para autenticao

ICP-Brasil Antes da realizao de uma assinatura digital, verificar o certificado digital a ser utilizado e a adequao de seu propsito de uso autenticao do usurio.

M M

NGS2.03.02 Irretratabilidade da autenticao realizada

SBIS A autenticao realizada atravs de certificado digital deve gerar prova de forma a garantir a irretratabilidade da autenticao realizada. O elemento de prova deve ser armazenado em registros de segurana do sistema.

M M


ICP-Brasil Os componentes de um S-RES que utilizam certificao digital para autenticao devem ser homologados pela ICP-Brasil.

R R




Verso 3.0 Data: 08/11/2007 Pgina: 39/66

NGS2.04 Digitalizao de Documentos (Considerar apenas para S-RES da categoria GED) ID REQUISITO REFERNCIA CONFORMIDADE PRESENA NGS2.04.01

Assinatura digital do documento digitalizado pelo software.

SBIS Todo componente de digitalizao deve possuir um par de chaves assimtricas e certificado digital associado. Todo documento digitalizado deve ser assinado pelo componente de digitalizao com esta chave. R

NGS2.04.02 Assinatura digital do documento digitalizado pelo operador.

SBIS O operador de digitalizao deve assinar digitalmente o documento digitalizado, com certificado ICP-Brasil tipo A3 ou A4, utilizando o propsito garantia de origem. O propsito de garantia de origem pode ser estabelecido incluindo o atributo assinado commitment-type-indication com o propsito genrico id-cti-etc-proofOfOrigin.

M

NGS2.04.03 Assinatura pelo responsvel ou conferente

Resoluo CFM; O responsvel ou conferente deve tambm assinar digitalmente o documento digitalizado, com certificado ICP-Brasil tipo A3 ou A4 utilizando o propsito conferncia. O propsito de conferncia pode ser estabelecido incluindo o atributo assinado commitment-type-indication com o propsito genrico id-cti-ets-proofOfReceipt, enquanto no seja definido um propsito mais especfico.

M

NGS2.04.04 Classificao SBIS Possuir capacidade de classificar os documentos digitalizados para possibilitar o agrupamento

M

NGS2.04.05 Indexao Resoluo CFM; Todo documento digitalizado deve possuir informaes mnimas de indexao, como tipo, assunto, data.

M

NGS2.04.06 Qualidade Resoluo CFM; O documento digitalizado deve reproduzir todas as informaes dos documentos originais

M

NGS2.04.07 Instante da assinatura.

SBIS Toda assinatura de documento digitalizado deve incluir o atributo signing-time, contendo o instante da assinatura no formato UTC.

M

NGS2.04.08 Termo de conduta para digitalizao

SBIS Permitir ao usurio a realizao de operaes de digitalizao somente aps a assinatura digital do Termo de conduta para digitalizao que deve conter requisitos sobre confidencialidade das informaes e sobre a responsabilidade do processo.

M


ICP-Brasil Os componentes de um S-RES que utilizam certificao digital para assinatura digital devem ser homologados pela ICP-Brasil.

R




Verso 3.0 Data: 08/11/2007 Pgina: 40/66

5.7. Requisitos de Estrutura e Contedo

ESTR.01 - Estrutura do RES ID REQUISITO REFERNCIA CONFORMIDADE A S G ESTR.01.

Manual de Certificação Para Sistemas de Registro Eletrônico Em Saúde

Documents

Transcript of Manual de Certificação Para Sistemas de Registro Eletrônico Em Saúde