novembro 2013

PADRO TISS
segurana & privacidade


Padro TISS Componente de Segurana e Privacidade Novembro 2013
1



O componente de segurana e privacidade do Padro TISS, contou com a Sociedade Brasileira de
Informtica em Sade SBIS como entidade de referncia e estabelece os seguintes requisitos:



Descrio
Condio de
utilizao
1. Identificar e autenticar todo usurio antes de qualquer acesso a
dados com identificao do beneficirio.
Obrigatrio
2. Utilizar para autenticao de usurios a site e pginas da Internet
(portais) login e senha podendo opcionalmente, desde que
acordado entre as partes, ser utilizada a certificao digital.
Obrigatrio
3. Utilizar para autenticao de usurios, via utilizao de
webservices, login e senha podendo opcionalmente, desde que
acordado entre as partes, ser utilizada a certificao digital em
substituio ao login e senha.
Obrigatrio
4. Verificar a qualidade de segurana da senha no momento de sua
definio pelo usurio obrigando a utilizao de, no mnimo, 8
caracteres dos quais, no mnimo, 1 caractere deve ser no
alfabtico
Obrigatrio
5. Definir o perodo mximo de troca de senha como controle do
sistema. Este perodo no deve ser superior a um ano. O sistema
deve permitir que o usurio troque sua senha a qualquer
momento.
Obrigatrio


Padro TISS Componente de Segurana e Privacidade Novembro 2013
2
Descrio
Condio de
utilizao
6. Armazenar a senha dos usurios utilizando qualquer algoritmo
HASH.
Obrigatrio
7. Bloquear, ao menos temporariamente, o usurio aps um nmero
mximo de tentativas invlidas de login. Este nmero de
tentativas no deve ser superior a cinco.
Obrigatrio
8. Possuir controles de segurana na sesso de comunicao a fim
de no permitir o roubo de sesso do usurio
Obrigatrio
9. Oferecer os seguintes servios de segurana na sesso de
comunicao entre o componente cliente e o componente
servidor: autenticao do servidor, integridade dos dados e
confidencialidade dos dados.
Obrigatrio
10. Encerrar a sesso do usurio aps perodo de tempo configurvel
de inatividade. Este tempo no deve ser superior a trinta
minutos.
Obrigatrio
11. Registrar log de acessos e de tentativas de acesso ao sistema de
informao.
Obrigatrio
12. Utilizar certificado digital sempre dentro do perodo de validade
alm de no aceitar o certificado se o mesmo estiver na lista de
certificados revogados da AC.
Obrigatrio
13. Utilizar certificado digital que identifique o endereo eletrnico Obrigatrio


Padro TISS Componente de Segurana e Privacidade Novembro 2013
3
Descrio
Condio de
utilizao
para o qual foi emitido
14. Utilizar certificado digital que contemple em sua estrutura a
identificao da autoridade certificadora emissora.
Obrigatrio
15. Utilizar certificado digital que contemple em sua estrutura a
identificao do titular do certificado
Obrigatrio
16. Utilizar certificado digital que utilize protocolo criptogrfico SSL
ou TLS
Obrigatrio
17. Utilizar certificado digital que utilize criptografia de, no mnimo,
128 bits
Obrigatrio
18. Utilizar certificado digital que implemente autenticao por
algoritmo HASH
Obrigatrio
19. A interrupo do servio de troca eletrnica de informaes entre
prestadores de servios de sade e operadoras de planos
privados de assistncia sade deve ser solucionada em at 48
(quarenta e oito) horas, salvo em caso fortuito ou de fora maior
devidamente justificado.
Obrigatrio
20. Para as transmisses remotas de dados identificados, os sistemas
das operadoras de planos de sade devero possuir um
certificado digital de aplicao nica emitido por uma Autoridade
Certificadora.
Obrigatrio


Padro TISS Componente de Segurana e Privacidade Novembro 2013
4
Descrio
Condio de
utilizao
21. As operadoras de planos privados de assistncia sade devem
constituir protees administrativas, tcnicas e fsicas para
impedir o acesso eletrnico ou manual imprprio informao de
sade, em especial toda informao identificada
individualmente.
Obrigatrio
22. Deve conter a assinatura digital do prestador de servios na guia
de cobrana de internaes para assegurar a autenticidade e o
no repdio das informaes ali contidas
Opcional
23. Deve conter a assinatura digital do prestador de servios na guia
de cobrana de SP/SADT para assegurar a autenticidade e o no
repdio das informaes ali contidas
Opcional
24. Deve conter a assinatura digital do prestador de servios na guia
de cobrana de consultas para assegurar a autenticidade e o no
repdio das informaes ali contidas
Opcional
25. Deve conter a assinatura digital do prestador de servios na guia
de cobrana de servios de odontologia para assegurar a
autenticidade e o no repdio das informaes ali contidas
Opcional
26. Os prestadores de servios de sade devem constituir protees
administrativas, tcnicas e fsicas para impedir o acesso
eletrnico ou manual imprprio informao de sade, em
especial a toda informao identificada individualmente.
Recomendado
27. Seguir os itens de segurana descritos na Cartilha Sobre
Pronturio Eletrnico para sistemas de registro eletrnico de
Recomendado


Padro TISS Componente de Segurana e Privacidade Novembro 2013
5
Descrio
Condio de
utilizao
sade construda atravs de convnio, entre o CFM e a SBIS.
28. Observar a Resoluo CFO-91/2009 que aprova as normas
tcnicas concernentes digitalizao, uso dos sistemas
informatizados para a guarda e manuseio dos documentos dos
pronturios dos pacientes, quanto aos Requisitos de Segurana
em Documentos Eletrnicos em Sade.
Recomendado
29. Observar a RESOLUO CFM N 1.821/07 que aprova as normas
tcnicas concernentes digitalizao e uso dos sistemas
informatizados para a guarda e manuseio dos documentos dos
pronturios dos pacientes, autorizando a eliminao do papel e a
troca de informao identificada em sade.
Recomendado
30. Deve conter a assinatura digital do prestador de servios na
mensagem enviada a operadora para assegurar a autenticidade e
o no repdio das informaes ali contidas
Opcional
31. Deve conter a assinatura digital da operadora na mensagem
enviada ao prestador de servios para assegurar a autenticidade
e o no repdio das informaes ali contidas
Opcional