Processo n@34 ey Fis, n@_| 3? Serv, A 10 TE Laboratério de Sistemas Integraveis Tecnolégico PROJETO SREI Sistema de Registro Eletrénico Imobiliario PA 1.9 - Analise dos processos de certificagao de software existentes Titulo PROJETO SREI: PA 1.9 - Andlise dos processos de certificagao de software existentes Versio ‘Versio 1.1 release 3 Data da liberacdo 15/12/2011 Classificagao LSI-TEC:Restrito ‘Autores __| Gislaine Bueno e Voinys Bernal Propriedade LSL-TEC Restrigées de acesso | LSI-TECProvesse 319 344. Fis, n°, a TUTE Serv_~ Sumario 1 INTRODUGAO. 2 ALGUNS PROCESSOS DE CERTIFICAGAO DE SOFTWARE EXISTENTES.. 3. CERTIFICAGAO DE SISTEMA DE REGISTROS ELETRONICOS DE SAUDE wna 34 32 33 34 35 36 37 38 39 3.10 an 312 3.13 3.14 3.15 3.16 a7 3.18 3.19 4 O PROCESSO DE HOMOLOGAGAO DE PRODUTOS DA ICP-BRASIL. Morivagao Osyerivo Escoro PRINcIPIOS 00 PROCESO DE CERTIFICAGAO CERTIFICAGRO sn \VALIDADE D0 CERTIFICADO. INsTRUMENTOS FORMAIS. REGO DA CERTIFICAGAO .. AMBIENTE DE AVALIAGAO. DuRAGAO DA AUDITORIA DO S-AES FLUXO DE CERTIFICAGAO S-RES.... ESTAUTURA D0 CENTRO DE CERTIFICAGAO. TiP0s DE REQUISITOS.. A EQUISITOS QUE REMETEM A OUTRAS CERTIFICAGOES. no Requisitos De ConFORMIDADE. Requisitos De SEGURANGA 14 EquIsiTos De ESTRUTURA, CONTEUDO & FUNGIONALIDADE PARA S-RES ASSISTENIAL. Requisiros Pana GED. _ 19 REquisiros PARA TISS.... 4.1 OsieTivo 00 PROCESSO DE HOMOLOGAGAO. pe at 42 ORGANIZAGAO OA IGP-BRASIL a 42.1 Comité Gestor. inaiaaa 23 422 Insitute Nacional de Tesolgia da hvomacto 23 423° Laboratorio de Ensaio @ Auditora 4.3 NIVEIS.0E CONFIABILIDADE DA HOMOLOGAGAO 24 4.4 OPROCESSO DE HOMOLOGAGAO OA ICP-BRASIL, | 44.1 Depésito dos ativos de ensaio. 26 442 Anélise quantitativa © qualitative 26 443 Realizagéo dos ensaios técnicos ae 26 4.44 Homologagao do produto .. oo 28 Titulo ___|_Verséo | Classificagao_| Pagina PROJETO SREI: PA 1.9- Analise dos processos de | vi.t:3 | LSITEC:Restrito | 2/36 certificagao de software existentes AteProcesso n? S44 C544. Fis. n°, 13 3 Serv, 4.5 FLUXODAS ATIVIOADES PARA HOMOLOGAGAO NO LEA, 4.6 _ ESPECIFICAGAO DOS ENSAIDS. 4.7 INFRAESTRUTURA DO LEA. 474 Controles de seguranga 47.2 Controles de qualidade. 4.8 ESTIMATIVADE PRAZOE CUSTO.... 5 ANALISE COMPARATIVA... 6 CONCLUSAO. REFERENCIAS. Titulo Fina 1 | Pasina PROJETO SREL: PA 1.9- Andlise dos processosde | v1.1.3 | LSITEG-Restito | 3/36 Certiicagao de sofware existentesProcesso n?_3“H2574 Fis, n°_J 239 Serv, 1 Introdugao Este documento descreve 0 processo de certificagao de software SREI (Sistema de Registro Eletrénico Imobiliério). Séo apresentados dois processos de certificacdo existentes atualmente no Brasil: a certificagdo de Sistema de Registro Eletrénico de Satide (S-RES) e 0 processo de homologagao de produtos da Infraestrutura de Chaves Publicas Brasileira (ICP-Brasil) Também, € apresentada uma andlise comparativa dos modelos existentes, visando demonstrar as caracteristicas inerentes a cada modelo e ainda evidenciar a diferenga entre eles. E concluindo, é enfatizado como o estudo de processos existentes pode auxiliar na definiggo do Processo de Certificagao do Sistema de Registro Eletrénico Imobiliério. Titulo’ Vérsao)||) Classifieacao | Pagina PROJETO SREI: PA 1.9. Andlise dos processos de | vit. | LSITEG:Restrito | 4/36 certiicagao de software existentesProcesso n° 2894. Fis. n® Ema Serv, 2 Alguns processos de certificagao de software existentes Atualmente, existem processos de certificagao de software em alguns segmentos de mercado. O objetivo principal desses processos é avaliar os sistemas em relagdo as ‘suas funcionalidades, interoperabilidade, seguranca e documentagéo. No Ambito nacional, destacam-se dois processos: 0 processo de certificagéo de Sistemas de Registros Eletrénicos de Satide (S-RES), desenvolvido © controlado pelo convénio Sociedade Brasileira de Informética em Satide (SBIS) / Conselho Federal de Medicina (CFM), € 0 processo de homologagdo de produtos no ambito da Infraestrutura de Chaves Publicas Brasileira (ICP-Brasil), definido pela ICP-Brasil, controlado pelo Instituto Nacional de Tecnologia de Informago (IT!) e executado pelo Laboratorio de Ensaios e Auditoria (LEA). As seces 3 @ 4 apresentam detalhadamente as especificagSes de ambos os processos. Além dos processos de certificagdo de sistema de software relacionados anteriormente, pode-se citar outros em segmentos préximos, como o processo de avaliagaéo de qualidade de software como o MPS.Br (Melhoria Processos de Software Brasileiro) e Capability Maturity Model Integration (CMMI). © CMMI um modelo de referéncia que contém praticas necessarias & maturidade em disciplinas especificas: Systems Engineering (SE), Software Engineering (SW), Integrated Product and Process Development (\PPD), Supplier Sourcing (SS). Desenvoivido pelo SEI (Software Engineering Institute) da Universidade Carnegie Mellon, 0 CMMI & uma evolugéo do CMM e procura estabelecer um modelo unico para 0 processo de melhoria corporativo, integrando diferentes modelos e disciplinas. O MPS.Br, baseado no CMMI SW, é um programa para melhoria da qualidade de software e um modelo de qualidade de processos, voltados a pequenas e médias empresas desenvolvedoras de software. Titulo Versio | Classificagao | Pagina PROJETO SREI: PA 1.9- Analise dos processos de | vi.t.r.3 | LSITEG:Restito | 5/36 certiicagao de software existentesProcesso n° QHZ sak Fis, °__J97G Serv, 3 Certificagao de Sistema de Registros Eletrénicos de Satie O Conselho Federal de Medicina (CFM) e a Sociedade Brasileira de Informatica em Satide (SBIS) formaram um convénio de cooperagao técnica visando desenvolver 0 proceso de certificaco de Sistemas de Registros Eletronicos de Satide (S-RES). O processo de certificagéo € baseado em requisitos que avaliam os sistemas em relagdo & seguranca, estrutura, contetido e funcionalidade. As avaliagées verificam ‘como sdo capturados, armazenados, manuseados e transmitidos os dados do paciente gerados nos atendimentos em sade, Outro desafio do processo de cettificagao @ avaliar a aderéncia do sistema em relag&o ao formato eletrénico de documento que, caso utilize assinatura digital, possibilita a eliminagao do papel. O primeiro produto elaborado pela parceria SBIS/CFM foi a resolugdo n.° 1639/2002 que contemplava “Normas Técnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Prontuério Médico”. Em 2007, uma nova resolugao foi aprovada, vindo substituir a anterior. A resolugéo 1821/2007 aprovou “Normas Técnicas Concernentes a Digitalizagao e Uso dos Sistemas Informatizados para Guarda e Manuseio dos Documentos dos Prontuérios dos Pacientes Autorizando a Eliminagdo do Papel e Troca de Informagao Identificada em Saude’. 3.1 Motivacao © processo de cettificagéo para S-RES teve como motivadores principais a necessidade de eliminagio do prontuério em papel e a necessidade de padronizagéo desta classe de sistemas, de forma a garantir sua interoperabilidade e ‘seu correto funcionamento. 3.2 Objetivo © objetivo principal do processo de certificagdo desenvolvido pela SBIS/CFM é a melhoria da qualidade dos Sistemas de Registro Eletrénico em Satide pela contribuigao da privacidade e confidencialidade dos dados (ao estabelecer requisitos de seguranga) e a aderéncia ao uso correto da tecnologia de assinatura digital. [ Titulo | Versto | Classificacéo | Pagina PROJETO SREL: PA 1.9- Analise dos provessos de | vi.t.r3 | LSITEC:Restrito | 6/36 "_Certiticagao de software existentesProcesso ne S42 49) ) Ais me Ta Sery, —— 3.3. Escopo O escopo do processo de certificago abrange todos os subsistemas e componentes do sistema de registro eletrénico em satide. A empresa solicitante da certificacdo deve identificar 0 sistema @ descrever todos os componentes, assim como a infraestrutura necesséria para o funcionamento do sistema. Segundo o Manual de Certificagdo, além da propria aplicagdo incluem-se outros subsistemas e componentes avaliados como: sistema operacional, SGBD (Banco de Dados), conectores, arquitetura do S-RES (cliente/servidor, ASP, Mainframe), componente do tipo Web dinémico (Applet, Active X) e sistemas de diretorio (AD e LDAP). A certificagao abrange, atualmente, as seguintes categorias de S-RES: + Assistencial: Voltados para registro de atendimentos em satide, tais como: sistemas de automagéo de consultérios clinicos, sistemas de informagdo hospitalar e ambulatorial, sistemas de vigilancia epidemiolégica, etc.; * Sistema de gerenciamento eletrénico de documentos (GED): Utilizados para 0 armazenamento e visualizagéo de documentos relacionados a informagdo de satide; * Troca de Informagéo em Saiide Suplementar (TISS): Dirigida ao atendimento do padréo TISS da ANS, de forma que o TISS é responsavel pelo registro e intercambio de dados entre operadoras de planos privados de assisténcia a satide e prestadores de servicos de satide. A cerlificagéo pode ser aderente a um dos seguintes Niveis de Garantia de Seguranga * Nivel de Garantia de Seguranga 1 (NGS1): Utiliza documentacdo eletrénica, porém néo utiliza assinatura digital. O S-RES deve obrigatoriamente manter também oépias em papel; fel de Garantia de Seguranca 2 (NGS2): Utiliza assinatura digital sendo, neste caso, permitida a eliminagao do papel. Titulo “Wersio_ | Classificagao. | Pagina PROJETO SREI: PA 1,9- Andlise dos processosde | vt.t..3 | LSITEG:Restiito | 7/36 certificacso de software existentesProceso n® 34 2642 Fis. nt. PEd Serv, Para ser aprovada a certificaglo, 0 S-RES deve atender todos os requisitos obrigatérios estabelecidos para a categoria em que esta enquadrado e também estar aderente, no minimo, aos requisitos de seguranca obrigatorios do NGS1. © processo de certificagao para S-RES esta em amadurecimento. ‘Aproximadamente, a cada ano é langada uma nova versao do manual. Além disso, para atender as demandas do mercado de software na area de satide, voltados a outros tipos de atendimentos assistenciais como sistemas de informagao hospitalar, vigilancia epidemiolégica, medicina ocupacional, e SADT, novos requisitos e alteragées so estudados para que isso ocorra de forma gradual 3.4 Principios do processo de certificagao © processo de certificagéo de Sistemas de Registros EletrOnicos em Satide & realizado considerando requisites essenciais de imparcialidade, competéncia, transparéncia, responsabilidade e confidencialidade, 3.5 Certificagao O certficado emitido refere-se a uma configuragdo especifica de S-RES avaliada no processo de auditoria juntamente com os subsistemas @ componentes e em completa aderéncia aos requisitos obrigatérios estabelecidos. O processo de certificagéo SBIS/CFM considera como uma nova versdo quando o S-RES sofre ajustes em relaco a versées anteriores. Esses ajustes podem ser classificados como "pequenos ajustes" ' ou “ajustes relevantes" * ‘A declaragéo da manutengéo da conformidade pode ser declarada pelo cliente, a qual, perante afirmago, n&o necessita de abertura de processo para a analise de extensao de certificagao " Segundo © Manual de Certificagéo SBISICFM, pequenos ajustes sdo “as modificagdes @ atualizagées que ndo afetam a conformidade do S-RES aos requisites da certificagao;" * Ja como ajustes relevantes entende-se ‘as modificagées que impliquem em isco significative de afeiar a conformidade do $-RES aos requisitos da certifeacdo”. Titulo) [veto | Giassifieagas | Pagina PROJETO SREI: PA 1.9- Andlise dos processos de | vi.t.r3 | LSITEC:Restrito | 8/36 certificagao de software existentosProcesso n°_3 Fis, n°__7J Saw aes No caso do proceso de extenséo de certificacéo varios fatores devem ser analisados, dentre eles os ajustes realizados e qual a verso do Manual de Certificagao utilizada para ocasiao da emissao do certificado e a atual. 3.6 Vi lade do Cer icado A certificagao S-RES emitida pela SBIS/CFM tem validade de dois anos. No entanto, no caso de langamento de uma nova verséio do Manual de Certificagao de Sistemas de Registro Eletrénico de Saude a validade do certificado sera de um ano apés a publicago do certificado 3.7. Instrumentos formais processo de certificagao utiliza os seguintes documentos para formalizar as ades tomadas: Ficha de inscrigao para a certificagéo; + Ficha de inscrigao para extensdo da cerfificagao; * Contrato de Certificago; ‘+ Termo de Extensdo de Certificago; + Certificado (Diploma de Certiticagao); * Selo de Certificagéo SBISICFM. 3.8 Prego da certificagao © prego para a realizagao de um proceso de cettificagao SBIS/CFM contempla as taxas listadas no Quadro 1 seguir: (fonte: www.sbis.org.br ~ 09/03/2011). Quadro 1 - Pre¢o do processo de certificagéo S-RES SBIS/CFM. Descricao Valor Taxa de Inscrigéo R$ 100,00 Titulo Versio | Classificagao | Pagina PROJETO SRE PA1.9- Andlse dos processos de | vi.t..3 | LSITEC:Restito | 9/36 certficagao de software exstentosProcesso n? 342591 Fis, n°, 240 Sery, Taxa de Certificagao Considerar 0 Quadro 2 Taxa de Extenséo de Certificaco (pequenos | 3% da taxa de certificagao ajustes) Taxa de Extenséo de Certificacéo (ajustes | 20% a 80% da taxa de certificacao relevantes) Taxa de Realizagao de 2° Ciclo de Auditoria | 20% a 50% da taxa de certificagao ‘Taxa de Reagendamento de Auditoria 10% da taxa de certificagao. Quadro 2 ~ Taxa de certificagao. Descrigao Valor Valor base (valor inicial para 0 calculo) R$ 3.600,00 |Nas2 + R$ 7.200,00 S-RES Assistencial (Ambulatorial) + RS 7.200,00 TISS sem comunicagao + R$ 1.800,00 TISS com comunicagao + R$ 3.600,00 As taxas so baseadas no enquadramento 0 qual o S-RES esta inserido. Exemplos’ * Valor base + S-RES Ass fencial (Ambulatorial) + NGS1 = R$ 14.400,00 * Valor base + S-RES Assistencial (Ambulatorial) + NGS2 = R$ 18.000,00 3.9 Ambiente de avaliagao O processo de certificagao exige que o solicitante disponibilize 0 S-RES através de um dos meios descritos no Manual de Certificagao, por exemplo: + Instalagéo do sistema no equipamento disponit proprio solicitante (ambiente montado localmente); do pela SBIS ou pelo * Acesso direto ou indireto via Internet, ou outro meio previamente acordado entre as duas partes. Titulo. Versio | Classificagto | Pagina PROJETO SREI: PA 1.9- Andlise dos processos de | vit. | LSITEC:Restrito | 10/36 Certificagdo de software existentesProvesso n? 34.2894 Fs. n?_J2¥i Serv, Cabe ao solicitante, disponi ar de um a trés profissionais para operar o sistema durante periodo de auditoria. ‘Somente 0 audio da auditoria é gravado, registrando todos os sons do ambiente e as. imagens da tela (navegacao e operagéo) do S-RES auditado. 3.10 Duragao da Auditoria do S-RES O processo de auditoria do S-RES, geralmente, é realizado em um periodo de 3 dias, totalizando aproximadamente 24 horas. A auditoria € acompanhada por trés auditores seniores e pelo gerente de certificagao. Esta ainda pode ser acompanhada por auditores trainees, porém suas avaliagdes servem apenas para aprendizado e no so consideradas no momento da elaboragdo do parecer. O periodo estipulado para a auditoria pode variar, dependendo da(s) categoria(s) em que o S-RES estiver classificado. Caso 0 S-RES no atenda completamente os requisitos das categorias que foi previamente enquadrado, o solicitante tem um prazo de 90 dias para efetivar as corregdes propostas e realizar 0 segundo ciclo de auditoria, 3.11. Fluxo de certificagdo S-RES © proceso de certificagao contempla que @ aucitoria seja realizada por uma equipe especializada que verifica a aderéncia do S-RES a todos os requisitos obrigatérios, na categoria na qual esta enquadrado. Existem dois fluxos possiveis no processo de cettificagao: processo padréo e processo para extensdo da certificagao. © Manual Operacional de Ensaios e Andlises do S-RES é utilizado para orientar 0 processo de auditoria. As etapas do processo padréo de cettificagéo esto apresentadas na Figura 1 (fonte: Manual de Certificagao de S-RES): Titulo i Versio | Classifieacto. | Pagina PROJETO SREI: PA 1.9- Andlise dos processos de | vi.t.. | LSITEC:Restrito | 11/36 certiicagio de software existentesProcesso n®-S4l 87.4 Fis, nd eeu Serv, Prooncie@ erviaa Ficha de Sistema do CC gera e enviaa Inscrigdo para Ceniicagao conbranga da Taxa de inscrigfo ‘Gerenta do Cu anarea a Fcha de feta o pagamerto da Tava de Je Inscripaoo atabora Contrato do Inserigao ‘Cotieagao Evia contatoe cobranca da | Avalia © contrato de Certiboapio. -—} “Taxa do Contioagto. ‘Gerente do CC seleciona auatores ocumeniagdo do sistama efatua 0 @ labora 0 cronograma de ‘pagamento da Taxa de Cotfiacdo aucioria Ena a selepto dos autores efou ‘labora nove cronagrama Gatere do CC seleiona novos laudtorese elabera onovo cranooramal Dispontiza 0s eeursosnacessarios 2 autora na datas previstas reenchom ocaderno do resutados ‘lusts €2 Cc de “Ausioda Comité de Corticado avaiao resulada oa austria | | | ihe eeer aan Dirtoria emito o envia o Certiicado| | | etl. 08 pubes no sto Comunica a reprovagdo i Envi solictagdo do revisto do ‘resulted Geronte do Ce autores revisam 08 rogistes «resultados 6 auditor Figura 1 — Etapas do processo de certificagdo S-RES. 3.12 Estrutura do Centro de Certificagao © departamento responsavel para operacionalizar 0 processo de certificagéo & denominado Centro de Cettificagao. E composto por colaboradores de dedicacao nao-exclusiva, porém subordinado a Diretoria da SBIS. Titulo! [erste Te ints PROJETO SREI: PA 1,9- Andlise dos processosde | vi.tr3 | LSITEC:Restrito | 12/36 ccerificago de software existentesProceso n° 3419 8a! Fis, nt__1¥5 Serv, Os papéis e responsabilidades desempenhados pelos participantes do Centro de Certificagao sao: * Comité de Certificacao: analisa os atos durante 0 processo de auditoria, garantindo fundamentalmente 0 cumprimento do principio da imparcialidade e assegura a transparéncia e a imagem piiblica do processo de certificacao, além de avaliar os atos tomados pelo gerente de certificago; * Gerente de certificagao: gerencia todo 0 processo de certificagéo analisando as solicitagées, elaborando contratos, contatando os auditores e interagdo com a Diretoria da SBIS nas questées relativas a certificagao; * Auditores: realiza auditorias e documenta os resultados conforme regras estabelecidas pela SBIS. Também assegura a parcialidade e o sigilo sobre as auditorias realizadas; © Secretari responsavel pelos aspectos administrativos do Centro de Certificagao, auxiliando principalmente 0 Gerente de Certificaga © Diretoria SBIS: garante e supervisiona implementagies de politicas infraestrutura a fim de suportar todo o proceso de certificaao. 3.13 Tipos de requisitos Os requisitos presentes no Manual de Certificagéo para S-RES SBIS/CFM s4o classificados em trés tipos: mandatérios, recomendados ou opcionais. A classificagao do requisito refere-se como 0 S-RES deve atendé-| + Mandatério: 0 S-RES obrigatoriamente deve estar em conformidade com todos os requisitos que possuem essa classificaao; + Recomendado: os requisitos que possuem essa classificagdo tendem a se tomar mandatério nas proximas versdes do Manual de Certficagao. Esses requisitos sao baseados em padres de referéncia onde ja so aceitos, porém seréo implementados de forma gradual, possibilitando ao mercado desenvolvedor a preparagéo necesséria para atendé-los. * Opcional: esses requisitos tratam de quest6es relevantes, porém da mesma forma que os requisitos recomendados pera a implementagao sera realizada de forma gradual a fim de preparar 0 mercado de S-RES. Titulo Versio | Classificagio | Pagina PROJETO SREI: PA 1.9- Andlise dos processosde | vi.t.r3 | LSITEG:Restrito | 13/36 certificagao de software existentesProcesso n’3 4.2. 85/ Fis, r°_12gd Serv,____— 3.14 Requisitos que remetem a outras certificagdes Existem requisitos que remetem a outros processos de certificagao. E 0 caso dos requisitos relacionados a biblioteca criptografica utilizada na assinatura digital. Atualmente existe um requisito que recomenda que esta biblioteca seja homologada pela ICP-Brasil. Provavelmente na proxima versao do manual de certificago, sera obrigatério 0 uso de bibliotecas homologadas. 3.15 Requisitos de Conformidade Os requisitos da certificagdo SBISICFM foram agrupados da sequinte forma: + Requisitos de Estrutura, Contetido e Funcionalidade (ECF); + Requisitos TISS (Troca de InformagSes de Satide Suplementar); * Requisitos GED (Gerenciamento Eletronico de Documentos); + Requisitos de seguranga: © Requisitos de seguranga NGS1; © Reguisitos de seguranga NGS2. A avaliagdo da aderéncia de um requisito leva em consideragéo a denominagao apresentada no Manual da Certificagéo de S-RES: M - mandatério R- recomendado, 0 - opcional e X - Nao se aplica Os sistemas também so clasificados quanto ao tipo de acesso: de acesso local (L) ou de acesso remoto (R) 3.16 Requisitos de Seguranca Um dos objetivos principais do CFM ao estabelecer a parceria do processo de certificagao foi o de garantir o sigilo das informagées do paciente, ou seja, garantir 0 sigilo do profissional permitindo que 0 acesso aos dados do paciente possa ser realizado apenas por pessoas autorizadas. O proceso de certificacao classifica 0 S-RES em dois niveis de seguranga: Titulo Versio | Classificacao. | Pagina PROJETO SREI: PA 1.9 - Analise dos processos de | vi.t.r.3 | LSITEC:Restito | 14/36 ccertificagao de software existentesProcesso né_3Y/) Fis, n°__Tans Serv, / * Nivel de Garantia de Seguranga 1 (NGS1): ndo contempla o uso de certificados digitais ICP-Brasil para assinatura de informagées clinicas, impossibilitando a eliminacao do papel ivel de Garantia de Seguranga 2 (NGS2): O NGS2 através da assinatura digital utiizando certificados ICP-Brasil, possibilta a eliminagao do papel. No entanto, é necessério que o S-RES também esteja em conformidade com todos os requisitos do NGS1, estrutura, contetido e funcionalidade (ECF). © S-RES também pode ser classificado como: * Acesso Local: 0 S-RES e seus componentes sao instalados em uma Unica maquina, nao permitindo acesso a mais de um usuario; * Acesso Remoto: 0 S-RES e seus componentes s&o instalados de forma distribuida permitindo 0 acesso simulténeo de varios usuarios. No Quadro 3 @ no Quadro 4 é possivel visualizar os grupos de requisitos de seguranga que devem ser aplicados ao S-RES. Quadro 3 ~ Requisitos NGS1: Quantidade de requisitos em cada grupo. Grupo de requisitos si | “Totais (63) NGS1.01 - Controle de verso do software 5 | NGS1.02 - Identificagao e autenticagao de usuario 5 NGS1.03 - Controle de sesso de usuario 2 NGS'1.04 — Autorizagdo e controle de acesso 9 Titulo _|Werséo | Classificacao | Pagina | PROJETO SREI: PA 1.9- Analise dos processos de | vi.t.r3 | LSITEG:Restito | 15/36 certiicagao de software existentesProcesso n?3..2-29/ Fis, n°__J.7.2 Serv a NGS1.05 - Disponibilidade do RES 2 NGS1.06 - Comunicagao remota 6 NGS1.07 - Seguranga de Dados 8 NGS1.08 — Auditoria 4 NGS1.09 — Documentagao 8 NGS1.10-Tempo 3 NGS1.11 —Notificagdo de Ocorréncias 1 Quadro 4 — Requisitos NGS2: Quantidade de requisitos em cada grupo Grupo de requisites Do ee : NGS2.01 — Certificagao Digital 4 NGS2.02 — Assinatura Digital 10 NGS2.03 — Autenticacao de usuario utilizando certificado digital 4 NGS2.04 — Digitalizagao de Documentos (Aplicével somente para F S-RES da categoria GED) * Considerando todos os requisitos: mandatérios, recomendados e opcionas. 3.17 Requisitos de Estrutura, Conteudo e Funcionalidade para S- RES Assistencial Os requisitos utilizados para avaliagdo da estrutura, contetido e funcionalidade (ECF) sao utilizados para avaliar S-RES voltados a assisténcia ambulatorial, como por exemplos, sistemas de automagao de consultérios clinicos ou ainda como parte ambulatorial de sistemas hospitalares. Os requisitos para estrutura © contetido visam avaliar como o S-RES realiza a manipulago e tratamento dos dados e assegurar que a estrutura do sistema esteja aderente ao conjunto de especificagdes estabelecidas pela resolucdo 1638/2002, "Titulo q (Versio | Classificagao | Pagina PROJETO SREI: PA 1.9- Andlise dos processos de | vi.t..3 | LSITEG:Restrito | 16/36 certificagao de software existentesProcesso n°, 3Y. 291 Ae rake Sern,____ Em relagéo as funcionalidades do S-RES, através dos requisitos descritos no Manual de Certificagao, € possivel aveliar se o S-RES contempla de forma correta as operagdes basicas realizadas no sistema de sauide. No Quadro 5 é possivel visualizar os grupos de requisitos de estrutura e contetido e No Quadro 6 os grupos referentes a funcionalidade. Quadro 5 — Requisitos de estrutura e contetido: quantidade de requisitos em cada grupo. Grupo de requisitos *Totais (53) ESTR.01 - Estrutura do RES 5 ESTR.02 - Dados estruturados 9 ESTR.03 - Dados administrativos 6 ESTR.04 - Dados clinicos | 3 ESTR.05 - Tipos de dados ) 12 ESTR.06 - Dados de referéncia 1 ESTR.07 - Dados contextuais 8 ESTR.08 - Associagées 2 ESTR.09 - Representagao de conceitos em saiide 6 | ESTR.10 - Representagdo de texto 1 Quadro 6 - Requisitos de Funcionalidade: quantidades de requisitos em cada grupo. Grupo de requisitos *Totais (61) FUNC.01 - Suporte aos processos clinicos 4 | FUNC.02 - Problemas / condigdes de satide e outras questies 3 FUNC.08 — Raciocinio clinico 1 | “FUNC.04 - Suporte a decisao, protocolos clinicos e alertas. | Titulo __|_Versto | Classificagao | riai PROJETO SREI: PA 1.9- Andlise dos processos de | vi.1.3 | LSITEC:Restrito | 17/36 certiicagao de software existentesProcesso n° 29.7. 29/ Fis. n¢_Jd ee Serv, FUNC.05 - Planejamento Terapéutico 1 FUNC.06 - Prescrigo e processamento de exames 2 FUNC.07 - Assisténcia integral 1 FUNC.08 - Garantia de qualidade 1 FUNC.09 - Captura de dados 3 FUNC. 10 - Recuperago/ consultas e visées 1 FUNC.11 - Apresentagdo dos dados 3 FUNC. 12 - Escalabilidade e performance 1 FUNC. 18 - Protocolos de mensagens 1 FUNC. 14 - Troca de registros 3 FUNC. 16 - Consentimento 4 FUNG.17 - Médico-legal 2 FUNC.18 ~ Atores 10 FUNG. 19 - Competéncia e governanca clinica 1 FUNC.20 — Fé piiblica 2 FUNG.21 - Preservacao de contexto 2 | FUNC.22 - Permanéncia 1 FUNC.23 - Controle de versao 2 FUNC.24 ~ Etica 1 FUNC.25 - Direitos do paciente 3 FUNC.26 - Questées culturais, 1 FUNC.27 — Evolugéio 2 Tule TRE Classificagao_| PROJETO SREI: PA 1.9- Analise dos processos de | vi.1..3 certificagao de software existentes LSITEC:Restrito* Considerando todos os reat itos: mandatérios, recomendados e opcionais. 3.18 Requisitos para GED Os requisitos voltados ao gerenciamento eletrénico de documentos s4o utilizados para avaliar o armazenamento e visualizagéo de documentos relacionados a informagao de satide, os quais devem avaliar se o S-RES atende a resolugao CFM N° 1821/2007, Além dos requisitos especificos para GED o S-RES deve apresentar conformidade total aos requisitos NGS1 e NGS2. Quadro 7 — Requisitos GED: quantidade de requisitos em cada grupo. Grupo de requisitos | *Totais (6) SGED.01 - Gerais 6 * Considerando todos os requisitos: mandatérios, recomendados e opcionais 3.19 Requisitos para TISS Os requisitos voltados para TISS (Quadro 8) visam avaliar os S-RES em relagdo a conformidade das trocas de informagées de operadoras de planos de salide e prestadores de servigos de satide. Os requisites TISS devem ser atendidos respeitando grupo no qual esta enquadrado © S-RES (conforme mencionado na pagina 51 do Manual de Certificagao de S-RES). Quadro 8 - Requisitos TISS: quantidade de requisitos em cada grupo. Grupo de requisitos : | *Totais (66) TISS.01 ~ Contetido e Estrutura para Prestadores do Grupo 1 6 TISS.02 — Contetido e Estrutura para Prestadores do Grupo 2 3 TISS.03 — Contetido e Estrutura para Prestadores do Grupo 3 2 TISS.04 — Conteudo e Estrutura para Operadoras de Planos de 2 Assisténcia Médica (Grupos 1 e 2) TISS.05 — Contetido ¢ Estrutura para Operadoras exclusivamente 1 de Planos Odontolégicos (Grupo 3) Titulo Versio) | Classificagao)| Pagina PROJETO SREI: PA 1.9- Analise dos processos de | vi.t..3 | LSITEC:Restrito | 19/36 certificagao de software existentesProcesso ni? “ Ld: 89 / Fis, n°_JJ30- Serv, TISS.06 - Comunicagao para Prestadores dos Grupos 1 ¢ 2 13 TISS.07 — Comunicagao para Prestadores do Grupo 3 13 | TISS.08 - Comunicagao para Operadoras de Planos de 18 Assisténcia Médica (Grupos 1 e 2) TISS.09 - Comunicagéo para Operadoras exclusivamente de 13 Planos Odontolégicos (Grupo 3) Tile Taree” | Classincagae | Pagina PROJETO SREI: PA 1.9- Andlise dos processasde | vi.t..3 | LSITEC:Restrito | 20/36 cetificagao de software existentesProcesso n°. 4.9 °9/ Fis. n° Sery, 4 Oprocesso de homologagao de produtos da ICP-Bra: 4.1 Objetivo do processo de homologacao © objetivo do processo de homologacao de produtos no ambito da ICP-Brasil garantir a aderéncia a requisitos de seguranga, interoperabilidade e documentacao de produtos que utilizem certificado digital. Atualmente, 0 escopo de homologagao abrange os seguintes tipos de produtos: * Cartées criptograficos (smart cards); * Tokens criptograficos; * Leitora de cartes criptograficos; * Software de assinatura digital; * Software de autenticagao; * Software de sigilo; * Software de autoridades certificadoras e de registro; * Equipamentos de HSM (Hardware Security Module)’; * Bibliotecas criptograticas; + CSP’s (Provedores de Servigos Criptograficos); * Software de carimbo de tempo. 4.2 Organizagao da ICP-Brasil No Brasil o sistema de certificago digital foi implantado com a publicagao da Medida Proviséria 2.200, em junho de 2001. A MP 2.200 instituiu a Infraestrutura de Chaves Publicas Brasileira (ICP-Brasil) com o objetivo de garantir a autenticidade, a integridade e a validade juridica de documentos em forma eletrénica, das aplicagses de suporte e das aplicagées habilitadas que utiizem certificados digitais, bem como a realizacdo de transagées eletronicas seguras, conforme seu artigo 1°. * HSM € um equipamento criptogratico capaz de armazenar chaves de assinatura alghtal de maneira segura. Titulo Versio |) Classificagao | Pagina PROJETO SRE: PA 1.9 - Analise dos processos de | vi.t.3 | LSITEC:Restrito | 21/36 cceriicagao de software existentesProcesso n° 2 4.9-99/ Fis. n°, Z Gz Sen, A infraestrutura normativa e técnico-administrativa é formada pelas seguintes entidades (Figura 2): ‘+ Comité Gestor da ICP-Brasil (CG); ‘© Comissao Técnica Executiva (COTEC); ‘* Instituto Nacional de Tecnologia da Informagao (ITI); + Prestadores de servico de certificagao: © Autoridade Certificadora (ACs); © Autoridade de Registro (ARs); © Laboratério de Ensaio e Auditoria (LEA); © Outros prestadores de servigo. Conia ae PROJETO SREI: PA 1.9- Andlse dos processos de cerificago de software existentos | Giassiticacao LSITEC:RestritoProcesso n?_34.2-"9/ Fis, n@_{sd U3 Ser. 4.2.1 Comité Gestor © Comité Gestor da ICP-Brasil, conforme o disposto na MP 2.200-2, é responsavel pela regulamentacao e coordenacao da sua implantagéo e da sua operago. As regulamentagoes, realizadas através das resolugdes da ICP-Brasil, tratam, por exemplo: do estabelecimento dos critérios e das normas para o credenciamento das entidades que integram a cadeia de certificacdo; das diretrizes e normas técnicas para a formulacéo de politicas de certificados; regras operacionais das Autoridades Centificadoras (ACs) e das Autoridades de Registro (ARs); e regras de outros prestadores de servigo de certificacao, como prestadores de servigo de carimbo de tempo e de Laboratério de Ensaios e Auditoria (LEA). O Comité Gestor da ICP-Brasil & composto por doze integrantes, nao remunerados, sendo sete representantes de 6rg40s governamentais e outros cinco representantes da sociedade civil. 4.2.1.1 Comissao Técnica Executiva A Comisséo Técnica Executiva (COTEC) assiste e da suporte técnico ao CG - 6rg&o deliberative. Os integrantes da COTEC sao indicados individualmente pelos membros do CG. 4.2.2 Instituto Nacional de Tecnologia da Informagao Instituto Nacional de Tecnologia da Informagao (ITI) é a entidade designada como executora de algumas atividades da ICP-Brasil, como, por exemplo, a operag3o da AC Raiz da ICP-Brasil. O art. 1°, |, do Decreto N° 4.689, de 07 de maio de 2003, atribui competéncia ao Instituto Nacional de Tecnologia da Informagao (IT!) para executar as politicas de certificagéo e as normas técnicas e operacionais aprovadas pelo CG. 4.2.3 Laboratorio de Ensaio e Auditoria A ICP-Brasil possui um processo de homologagdo de sistemas e equipamentos de certificagao. A homologacao ¢ realizada pelos Laboratérios de Ensaio e Auditoria (LEA). A homologago de produto (sistema ou dispositive), por sua vez, consiste em verificar a aderéncia a um conjunto de requisitos de seguranga e de interoperabilidade definidos para cada classe de equipamentos. Até maio de 2010 o servigo de homologagao era subsidiado pelo governo. Em maio de 2010 0 sistema de homologacao da ICP-Brasil recebeu novas regras do Comité Titulo Versto | Classificagao | Pagina PROJETO SREI: PA 1.9- Analise dos processosde | vi.t.r3 | LSITEC:Restrito | 23/36 “_Cortificagso de software existentesProcesso n°_2 9.) 19/ Fis. n@_J29Q Ser, Gestor da ICP-Brasil. As principais mudangas foram: a obrigatoriedade da homologagao dos produtos ¢ sistemas utiizados no ambito da ICP e a assungo dos custos do processo por parte dos interessados, que até entdo era mantido pelo ITI de forma gratuita. Até maio de 2010 existia somente um Laboratorio de Ensaios e Auditoria credenciado pela ICP-Brasil, 0 LEA LSI-TEC, que operava através de convénio com © ITI. A partir desta data, 05 LEAs passaram a ser credenciados. Assim, outros LEAs podem ser credenciados, desde que atendam as especificagées editadas pelo Comité Gestor. Os LEAs passam, também, por auditorias periédicas, a exemplo do que ocorre com as Autoridade Certificadoras, as de Carimbo de Tempo e as de Registro. 4.3 Niveis de confiabi lade da homologacao A homologagao pode ser realizada em 3 niveis de seguranga: * Nivel de Seguranga de Homologacao 1 (NSH1): nao requer o depésito ou analise do cédigo fonte associado ao produto em homologacso; + Nivel de Seguranga de Homologacao 2 (NSH2): requer depésito e analise apenas do cédigo fonte de componentes especificos associados ao produto em homologagao; * Nivel de Seguranca de Homologacao 3 (NSH3): requer depésito e andlise de cédigo fonte completo associado ao produto em homologagao. 4.4 Oprocesso de homologac4o da ICP-Brasil A homologagao de produtos no ambito da ICP-Brasil é realizada por um Laboratério de Ensaios e Auditoria (LEA) credenciado. © fornecedor, fabricante ou representante do produto, denominado Parte Interessada (Pl), contrata 0 servigo de avaliagéo de conformidade junto a um LEA credenciado pela ICP-Brasil. O prego é negociado livremente entre fornecedor e LEA, que realiza a avaliagao da conformidade do produto em relacao aos requisitos técnicos estabelecidos utilizando os procedimentos de testes definidos. Ao final, 0 LEA emite um Laudo de Conformidade com o resultado da avaliagao de Titulo Versio | Classificagao | Pagina PROJETO SREI: PA 1.9-Andlise dos processosde | vi.i.r3 | LSITEC:Restrito | 24/36 certiicagao de software existentesProcesso n°, + i 89/ Fis. n? > Serv, conformidade. A Parte Interessada encaminha o Laudo de Conformidade ao ITI que, subsidiado pelos resultados apresentados, pode homologar o produto e autorizar 0 uso do selo ICP-Brasil. As homologagées realizadas pelo LEA estéo baseadas nos requisitos e seus respectivos ensaios descritos nos Manuais de Conduta Técnicas (MCTs). Para cada objeto de homologacao ha dois MCTs: * O Volume | que apresenta 0 conjunto de requisitos técnicos que os produtos devem atender, envolvendo requisitos de seguranga, req 5 funcionais, requisitos de interoperabilidade e requisitos de documentagao; * © Volume 1! que descreve 0 conjunto de procedimentos que devem ser executados para a avaliagao de conformidade de cada requisito técnico conjunto de MCTs existentes atualmente foi elaborado pelo LEA LSI-TEC, por solicitagao do ITI (Instituto de Tecnologia da Informagao) e esto publicados no site do ITI (wwwiiti.gov.br). Figura 3 — Etapas do processo de homologagao da ICP-Brasil. PROJETO SREI: PA 1.9 - Andlise dos provessos de ccetificagao de software existentesProcesso n‘_.2 4 Fis, n°, iG 24 Sen, 4.4.1 Depésito dos ativos de ensaio A Parte Interessada (Pl) deve depositar no LEA os ativos de ensaio, ou seja, um Conjunto de amostras dos produtos a serem homologados, junto com sua documentagao técnica (como, por exemplo, documentagao do projeto e manuais). 4.4.2 Analise quantitativa e qualitativa ‘Apés 0 depésito, os ativos de ensaio passam por andlises quantitativas e qualitativas, gerando relatorios que informam se os materi depositados pela PI so suficientes e adequados para dar inicio aos ensaios de conformidade. Novos depésitos de materiais podem ser necessérios sempre que um relatério apontar que 0s materiais depositados pela Pl ndo foram suficientes ou adequados para dar condigées de realizar os ensaios de conformidade. Os depésitos de materiais pela Pl podem ser feitos pessoalmente, via email, ou entao via SEDEX. 4.4.3 Realizagao dos ensaios técnicos Uma vez que os materiais depositados sao considerados suficientes © adequados, Os ensaios so realizados para avaliar a conformidade do objeto de homologago. Caso seja identificado algum requisito que nao esteja em conformidade ou nao seja atendido pelo objeto de homologagéo durante o processo de avaliagao de conformidade, um REPAC (Relatério Parcial de Conformidade) @ gerado para informar a PI sobre a nao conformidade encontrada. Se nenhum problema for apontado, a avaliagdo de conformidade transcorre normalmente até sua conclusdo. ‘Como resultado da avaliagao de conformidade, o LSITEC LEA emite a Pl um Laudo de Conformidade. 4.4.4 Homologagao do produto Pl encaminha 0 Laudo de Conformidade ao ITI que, subsidiado pelas informagées do Laudo, tem condigdes de realizar o deferimento ou indeferimento da homologagao ICP-Brasil. 4.5 Fluxo das atividades para homologacdo no LEA © resumo do fiuxo de atividades de avaliagéo de conformidade realizado nas dependéncias do LEA segue as seguintes etapas: * Definigéo do escopo: Identificagdo do objeto da avaliagao de conformidade; Titulo f “Wersto | Classificagao. || Pagina PROJETO SREI: PA 1.9- Andlise dos processos de | vi.i.c3 | LSITEC:Restrito | 26/36 certiicagao de software existentesProcesso n*.3 U2 29/ Fis, n®@_1.29 7 Sev, * Avaliagao de capacidade de fornecimento do servigo ao cliente: avalia a carga de trabalho atual e as necessidades de prazo do cliente; ‘+ Elaboragao da proposta comercial; + Assinatura do NDA (quando for o primeiro projeto do cliente); + Estabelecimento do contrato; * 0 LEA informa a lista de materiais e documentagées necessarias para depésito junto 20 LEA: + Depésito dos ativos de ensaio (materiais): © cliente encaminha amostras documentago sobre o produto ao LEA para a realizagdo dos ensaios; + Analise qualitativa dos ativos de ensaio: verificagdo se os ativos depositados Ao suficientes para a realizagao dos ensaios. Se houver falta de materiais, & requisitado ao cliente o depésito dos materiais faltantes; + Realizagao dos ensaios segundo o respectivo MCT; * Elaborago dos relatorios de ensaio; * Elaboragao do Laudo de Conformidade, contendo um resumo dos resultados dos testes realizados; * Encaminhamento ao cliente, por e-mail, do relatério assinado digitalmente; * Publicagao do documento de declarago de identificagao do objeto homologado no site do LEA. Titulo | Wersio. | Classificacao’ | Pagina PROJETO SREI: PA 1.9- Analise dos processos de | vi.t.3 | LSITEC:Restrito | 27/36 ccetificagao de software existentesvar asa ce matrals© "tan genase (ugllnin dre year nested Spacer Figura 4 — Resumo do fluxo das atividades de avaliagao de conformidade no LEA. 4.6 Especificagao dos ensaios © processo de especificagao dos ensaios, incluidos no Manual de Condutas Técnicas (MCT), segue as etapas certificagao de software existentes Titulo versio | Classificacto | Pagina | PROJETO SREI: PA1.9 - Analise dos processes de | vi.t.3 | LSITEG:Restrto | 28/36Processo n? 39.2 4s ) Fis, ne, PAL Serv, ‘* Atribuir os requisitos necessarios para a elaboracao dos ensaios aos analistas de ensaio; * Elaborar e descrever as elapas a serem cumpridas para cada um dos ensaios no documento especifico de Procedimentos de Ensaios; * Desenvolver, testar e validar as ferramentas (softwares) a serem aplicadas na realizagéo dos ensaios baseado nos processos do Sistema de Gestéo da Qualidade do LSITEC-LEA; * Validar os métodos de ens: da Qualidade do LSITEC-LEA; baseado nos processos do Sistema de Gestéo * Fazer a reviséo técnica e gramatical dos procedimentos de ensaio, verificando as alteragdes necessérias; + Elaborar a versdo final dos procedimentos de ensaio; * Fazer 0 treinamento dos analistas de ensaio que iréo executar os ensaios elaborados. Tule i Versto | Classificagio | Pagina PROJETO SREI: PA 1.9- Andlise dos processosde | v1.1.3 | LSITEC:Restrito | 29/36 ccerticagso de software existentesProcesso n° 24). 39 / Fis, n¢__TAGp Serv, Procedimento de Elaboragio de Ensaios Figura 5 - Procedimento de Elaboragao de Ensaios Titulo ae )_[ Classiticagéo PROJETO SREI: PA 1.9- Andlise dos processos de | vi.tr.3 | LSITEC:Restiito | 30/36 certiicagao de software existentesProcesso n°.24.). §9/ Fis. n¢__] 50 Sen 4.7 Infraestrutura do LEA Um LEA, para ser credenciado pelo ITI, deve atender a alguns requ s de seguranga, de qualidade e de capacitagao técnica. 4.7.1 Controles de seguranca LEA possui uma série de controles de seguranga: controles de seguranga légica, controle de seguranca fisica, incluindo sistema de controle de acesso fisico e circuito fechado de TV, controles contra ameacas ambientais e controle climatico. Controles especificos s&o implementados nas areas reservadas & realizagdo de ensaios e para armazenamento de ativos de ensaio. O acesso a essas areas é controlado por um sistema de controle de acesso que determina que somente pessoas autorizadas acessem determinadas reas. Os computadores utiizados para a elaboragao dos relatérios de ensaios e para a realizagéo dos ensaios estéo segregados em uma rede isolada das outras dependéncias do LEA. Os ativos de ensaio entregues pelos clientes séo armazenados em uma sala (com armérios individuais para cada processo de homologagdo, trancado com chave), de forma que 0 acesso a estes ativos so é possivel se, no minimo, duas pessoas autorizadas fizerem a solicitagdo ao sistema de controle de acesso. Todos os acessos a esses materiais so devidamente registrados. 4.7.2 Controles de qualidade © LEA também implementa um sistema de gestéo da qualidade, baseado na norma ISO 17025 - Requisitos gerais de competéncia de laboratorios de ensaio e calibragdo, a fim de garantir a qualidade dos processos de homologacao realizados, Para atender a esta norma, os equipamentos utilizados nos ensaios s4o mantidos calibrados. 4.8 Estimativa de prazo e custo A Tabela 1 apresenta uma estimativa de prazos e custos das homologagées de produtos realizadas no processo da ICP-Brasil. Titulo Versio. | Classificagao | Péaina PROJETO SREI: PA 1.9- Analise dos processos de | vi.t3 | LSITEC-Restrto | 31/36 __cortiicacao de software existentesProcesso n°. Fis. nt. Serv, [nce Cartées criptograficos (smart cards) 3 R$ 50 a 100 mil Tokens criptograficos 3 R$ 50 a 100 mil Leitora de cartées criptograficos 18 < R$ 50 mil Software de assinatura digital 2 < R$ 50 mil Software de autenticagao 1 < R$ 50 mil Software de sigilo 1 < R$ 60 mil Software de AC e de AR 4 AS 50 a 100 mil HSM 6 > RS 100 mil Bibliotecas criptogréficas 2 < R$ 50 mil CSPs (Provedores de Servicos 2 < R$ 50 mil Criptograficos) Carimbadoras de tempo 6 > RS 100 mil dos processos de vi.t..3 | LSITEC:Restrito | 32/36Processo nV) 29/ Fis. n¢_I@ Serv, 5 Analise comparativa © Quadro 9 apresenta uma anélise comparativa entre o proceso de Certificagao S- RES e 0 processo de homologagao ICP-Brasil. Quadro 9 ~ Comparacao da certificagao S-RES e da homologacao ICP-Brasil Cortificagao S-RES —_| Homologacao ICP-Brasi Orgao responsavel pelo. | SBISICFM ICP-Brasil proceso Objeto da avaiagao Sistemas de saude Modulos e sistemas criptograficos Tipos de objeto de avaliagao | Assistencial Cartées erptograticos Geo Tokens criptogréficos Tiss Leltora de cartbes criptograticos Software de assinatura digital Software de autenticagao Software de sigilo Software de autoridades cortificadoras @ de registro HSM; Bibliotecas criptograficas; csp Software de carimbo de tempo. Escopo principal Funcionalidades Seguranga Escopo secundario Seguranga e Interoperabilidade interoperabilidade Organizagao dos requisitos | Por tipo de sistema Por tipo de produto Profundidade da avaliagao | Baixa Alta Duracao mécia da avaliagao | 3 dias 60 dias Custo aproximado R$ 5.400,00 a RS 20.000,00 a RS 30.000,00 AS 150.000,00 Remete a outras Sim, homologagéo de Nao certificagaes biblioteca criptogréfica ICP- Brasil Niveis de seguranga de Nao possui NsHt avaliacao NsH2 NSHS Avaliadores S profissionais certiicados | Entidade credenciada Selecao dos avaliadores | SBIS Livre escotha Tittle [versio PROJETO SREI: PA1.9- Analise dos processos de | v1.1.3 certiicagao de software existentes Pagina 93/36Provesso #9 3/7 Fis. n°_15.04 Serv. © modelo de processo de certificagdo desenvolvido pelo LEA é robusto e requer avaliagées e requisites mais complexos. J4 0 modelo desenvolvido pelo convénio SBIS/CFM, é um tanto mais simples o que possibilita que a fase de auditoria seja efetivada em um perfodo menor, porém néo deixa de atender os principios fundamentais da certificacao. Titulo. [_Wersto. [| Classificacao | Pagina PROJETO SREI: PA 1.9- Analise dos processos de | vi.t.r3 | LSITEC:Restrito | 94/36 certiticagao de software existentes6 Conclusaéo © estudo dos processos existentes possibilita um melhor entendimento dos requisitos minimos necessarios para que um sistema possa ser aceito e se tomar certificado. Pode proporcionar maior familiaridade nas atividades desenvolvidas durante todas as fases, que compreende desde o processo de submissao da ficha de inscrigao da empresa que deseja ter o sistema avaliado até a fase final de divulgacao do sistema certificado. As diferencas, vantagens e desvantagens observadas de cada proceso existentes possibilita que ao criar um novo processo de certificacao, as adequacies sejam feitas de uma forma mais clara, levando em consideragao as caracteristicas necessidades especificas do negécio. Diante das andlise e comparagées realizadas, o Processo de Certificagéo SREI sera baseado no Processo de Certificagéo SBIS/CFM, porém considerando as regras de negécios inerentes ao Registro Eletrénico Imobiliario. “Titulo ‘Versio | Giassificagao | Pagina PROJETO SREI: PA 1.9 -Andlise dos processos de | vi.t.3 | LSITEC:Restrto | 5/36 cerificagao de software existentesProceso nt2 Ya °J/ Fis. nf Sev Referén SBIS, 2009a. Sociedade Brasileira de Informatica em Satide e Conselho Federal de Medicina Manual de Certificagéo para Sistemas de Registros Eletrénicos de Satide(SRES) versao 3.3. Séo Paulo. 2009, SBIS, 2009b Sociedade Brasileira de Informatica em Saude e Conselho Federal de Medicina. Manual de Operacional de Ensaios e Andlises para Sistemas de Registros Eletrénicos de Satide (SRES) versao 1.2. Sao Paulo. 2009. ABNT Associagao Brasileira de Normas Técnicas. NBR ISO/IEC 17025: Requisitos gerais para a competéncia de laboratérios de ensaio e calibragao. Rio de Janeiro. 2006 ICP-BRASIL. COMITE GESTOR DA _ ICP-BRASIL. ESTRUTURA NORMATIVA DA ICP-BRASIL. Versao 3.4. Brasilia. 2010. Titulo “Wersto | Classificacao | Pagina PROJETO SREI: PA 1.9- Andlise dos processos de | vi.i.r3 | LSITEC:Restrito | 36/36 cctificagao de software existentes