PADRO TISS

segurana & privacidade

novembro 2013

O componente de segurana e privacidade do Padro TISS, contou com a Sociedade Brasileira de

Informtica em Sade SBIS como entidade de referncia e estabelece os seguintes requisitos:

Condio de

Descrio

utilizao

1. Identificar e autenticar todo usurio antes de qualquer acesso a Obrigatrio

dados com identificao do beneficirio.

2. Utilizar para autenticao de usurios a site e pginas da Internet Obrigatrio

(portais) login e senha podendo opcionalmente, desde que
acordado entre as partes, ser utilizada a certificao digital.

3. Utilizar

para

autenticao

de

usurios,

via

utilizao

de Obrigatrio

webservices, login e senha podendo opcionalmente, desde que

acordado entre as partes, ser utilizada a certificao digital em
substituio ao login e senha.

4. Verificar a qualidade de segurana da senha no momento de sua Obrigatrio

definio pelo usurio obrigando a utilizao de, no mnimo, 8
caracteres dos quais, no mnimo, 1 caractere deve ser no
alfabtico

5. Definir o perodo mximo de troca de senha como controle do Obrigatrio

sistema. Este perodo no deve ser superior a um ano. O sistema
deve permitir que o usurio troque sua senha a qualquer
momento.

Padro TISS Componente de Segurana e Privacidade Novembro 2013

Descrio

Condio de
utilizao

6. Armazenar a senha dos usurios utilizando qualquer algoritmo Obrigatrio

HASH.

7. Bloquear, ao menos temporariamente, o usurio aps um nmero Obrigatrio

mximo de tentativas invlidas de login. Este nmero de
tentativas no deve ser superior a cinco.

8. Possuir controles de segurana na sesso de comunicao a fim Obrigatrio

de no permitir o roubo de sesso do usurio

9. Oferecer os seguintes servios de segurana na sesso de Obrigatrio

comunicao entre o componente cliente e o componente
servidor: autenticao do servidor, integridade dos dados e
confidencialidade dos dados.

10. Encerrar a sesso do usurio aps perodo de tempo configurvel Obrigatrio

de inatividade. Este tempo no deve ser superior a trinta
minutos.

11. Registrar log de acessos e de tentativas de acesso ao sistema de Obrigatrio

informao.

12. Utilizar certificado digital sempre dentro do perodo de validade Obrigatrio

alm de no aceitar o certificado se o mesmo estiver na lista de
certificados revogados da AC.

13. Utilizar certificado digital que identifique o endereo eletrnico Obrigatrio

Padro TISS Componente de Segurana e Privacidade Novembro 2013

Condio de

Descrio

utilizao

para o qual foi emitido

14. Utilizar certificado digital que contemple em sua estrutura a Obrigatrio

identificao da autoridade certificadora emissora.

15. Utilizar certificado digital que contemple em sua estrutura a Obrigatrio

identificao do titular do certificado

16. Utilizar certificado digital que utilize protocolo criptogrfico SSL Obrigatrio
ou TLS

17. Utilizar certificado digital que utilize criptografia de, no mnimo, Obrigatrio
128 bits

18. Utilizar certificado digital que implemente autenticao por Obrigatrio

algoritmo HASH

19. A interrupo do servio de troca eletrnica de informaes entre Obrigatrio

prestadores de servios de sade e operadoras de planos
privados de assistncia sade deve ser solucionada em at 48
(quarenta e oito) horas, salvo em caso fortuito ou de fora maior
devidamente justificado.

20. Para as transmisses remotas de dados identificados, os sistemas Obrigatrio

das

operadoras

de

planos

de

sade

devero

possuir

um

certificado digital de aplicao nica emitido por uma Autoridade

Certificadora.

Padro TISS Componente de Segurana e Privacidade Novembro 2013

Condio de

Descrio

utilizao

21. As operadoras de planos privados de assistncia sade devem Obrigatrio

constituir protees administrativas, tcnicas e fsicas para
impedir o acesso eletrnico ou manual imprprio informao de
sade,

em

especial

toda

informao

identificada

individualmente.

22. Deve conter a assinatura digital do prestador de servios na guia Opcional

de cobrana de internaes para assegurar a autenticidade e o
no repdio das informaes ali contidas

23. Deve conter a assinatura digital do prestador de servios na guia Opcional

de cobrana de SP/SADT para assegurar a autenticidade e o no
repdio das informaes ali contidas

24. Deve conter a assinatura digital do prestador de servios na guia Opcional

de cobrana de consultas para assegurar a autenticidade e o no
repdio das informaes ali contidas

25. Deve conter a assinatura digital do prestador de servios na guia Opcional

de cobrana de servios de odontologia para assegurar a
autenticidade e o no repdio das informaes ali contidas

26. Os prestadores de servios de sade devem constituir protees Recomendado

administrativas,

tcnicas

fsicas

para

impedir

acesso

eletrnico ou manual imprprio informao de sade, em

especial a toda informao identificada individualmente.

27. Seguir os itens de segurana descritos na

Cartilha Sobre Recomendado

Pronturio Eletrnico para sistemas de registro eletrnico de

Padro TISS Componente de Segurana e Privacidade Novembro 2013

Condio de

Descrio

utilizao

sade construda atravs de convnio, entre o CFM e a SBIS.

28. Observar a Resoluo CFO-91/2009 que aprova as normas Recomendado

tcnicas

concernentes

digitalizao,

uso

dos

sistemas

informatizados para a guarda e manuseio dos documentos dos

pronturios dos pacientes, quanto aos Requisitos de Segurana
em Documentos Eletrnicos em Sade.

29. Observar a RESOLUO CFM N 1.821/07 que aprova as normas Recomendado

tcnicas

concernentes

digitalizao

uso

dos

sistemas

informatizados para a guarda e manuseio dos documentos dos

pronturios dos pacientes, autorizando a eliminao do papel e a
troca de informao identificada em sade.

30. Deve conter a assinatura digital do prestador de servios na Opcional

mensagem enviada a operadora para assegurar a autenticidade e
o no repdio das informaes ali contidas

31. Deve conter a assinatura digital da operadora na mensagem Opcional

enviada ao prestador de servios para assegurar a autenticidade
e o no repdio das informaes ali contidas

Padro TISS Componente de Segurana e Privacidade Novembro 2013