Académique Documents
Professionnel Documents
Culture Documents
Verso 4.0
CERTIFICAO 2011
Dezembro de 2011
CERTIFICAO 2011
Verso 4.0
Dezembro/2011
Pgina: 2/101
CERTIFICAO 2011
Verso 4.0
Dezembro/2011
Pgina: 3/101
CERTIFICAO 2011
ndice
Histrico das Revises ..................................................................................................... 6 Glossrio ............................................................................................................................ 7 Definio de Termos Utilizados ........................................................................................ 8 1. Introduo .................................................................................................................... 9 2. Referencial Terico ................................................................................................... 11 2.1. Padres Utilizados .................................................................................................... 11 2.2. Definies ................................................................................................................. 15 2.3. Princpios da Certificao ......................................................................................... 16 3. Escopo de Certificao ............................................................................................. 19 3.1. Categorias e Enquadramento dos Sistemas ............................................................ 20 4. Conceitos, Normas e Condies da Certificao ................................................... 23 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. Componentes de um S-RES .................................................................................... 23 Configuraes de S-RES.......................................................................................... 24 Verses de S-RES ................................................................................................... 24 Validade da Certificao ........................................................................................... 25 Extenso da Certificao para Outras Configuraes ou Verses ........................... 26 Instrumentos Formais ............................................................................................... 27 Taxas e Preos......................................................................................................... 28
5. Processo de Certificao .......................................................................................... 30 5.1. 5.2. 5.3. 5.4. Processo Padro ...................................................................................................... 30 Processo para Extenso da Certificao .................................................................. 39 Apelaes, Reclamaes e Disputas ....................................................................... 40 Auditorias Internas do Processo de Certificao ...................................................... 40
6. Estrutura do Centro de Certificao da SBIS.......................................................... 41 6.1. 6.2. 6.3. 6.4. 6.5. Comit de Certificao ............................................................................................. 41 Gerente do Centro de Certificao ........................................................................... 41 Auditores .................................................................................................................. 42 Secretaria ................................................................................................................. 42 Diretoria da SBIS ...................................................................................................... 43
7. Uso da Informao Relacionada com a Certificao ............................................. 44 7.1. Referncias ao Estado de S-RES Certificado .......................................................... 44 7.2. Uso do Selo de Certificao SBIS/CFM ................................................................... 46
Verso 4.0 Dezembro/2011 Pgina: 4/101
CERTIFICAO 2011
7.3. Referncias ao Processo de Certificao ................................................................. 46 7.4. Reclamaes de Solicitantes e Clientes Certificados ............................................... 47 8. Requisitos de Conformidade .................................................................................... 48 8.1. 8.2. 8.3. 8.4. 8.5. 8.6. 8.7. Introduo aos Requisitos ........................................................................................ 49 Requisitos do Nvel de Garantia de Segurana 1 (NGS1) ........................................ 52 Requisitos do Nvel de Garantia de Segurana 2 (NGS2) ........................................ 65 Requisitos de Estrutura e Contedo para S-RES Assistencial ................................. 73 Requisitos de Funcionalidades para S-RES Assistencial ......................................... 81 Requisitos para GED ................................................................................................ 90 Requisitos para TISS ................................................................................................ 91
Verso 4.0
Dezembro/2011
Pgina: 5/101
CERTIFICAO 2011
30/11/2003
1.1
Primeira Reviso
02/12/2003
1.2
Segunda Reviso
03/12/2003
1.3
Terceira Reviso
15/12/2003
1.4
Quarta Reviso
12/02/2004
2.0
Quinta Reviso
19/02/2004
2.1
Sexta Reviso
GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM Pblico
20/05/2009 12/12/2011
3.3 4.0
Inicio Reviso Fase 2 Fase 2 2 Reviso Fase 2 3 Reviso Fase 2 4 Reviso Reviso prconsulta pblica Reviso Final p/ consulta pblica Reviso Final p/ publicao Adequao ao MEA 1.0 Reviso final (psconsulta pblica) para publicao Publicao da Edio 2009 Elaborao da Edio 2011
Diretoria SBIS e Coordenao GI Certificao Diretoria SBIS e Coordenao GI Certificao Diretoria SBIS e Coordenao GI Certificao Diretoria SBIS e Coordenao GI Certificao Diretoria SBIS e Coordenao GI Certificao Consulta Pblica Pblico Consulta Pblica Pblico
Verso 4.0
Dezembro/2011
Pgina: 6/101
CERTIFICAO 2011
Glossrio
ABNT ABRAHUE AC AMB ANS ANSI ANVISA AR ASSESPRO CC CCHIT CFM CNES CNU CONARQ CRO HL7 ICP IEC ISO ITI MS ONA PEP RES SBIS SGBD S-RES TISS UTC Associao Brasileira de Normas Tcnicas Associao Brasileira de Hospitais Universitrios e de Ensino Autoridade Certificadora Associao Mdica Brasileira Agncia Nacional de Sade Suplementar American National Standards Institute Agncia Nacional de Vigilncia Sanitria Autoridade Registradora Associao das Empresas Brasileiras de Tecnologia da Informao, Software e Internet Centro de Certificao SBIS Certification Commission for Healthcare Information Technology Conselho Federal de Medicina Cadastro Nacional de Estabelecimentos e Profissionais de Sade do SUS Cadastro Nacional de Usurios do SUS Conselho Nacional de Arquivos Conselho Regional de Odontologia Health Level Seven Infraestrutura de Chaves Pblicas International Eletrotechnical Commission International Organization for Standardization Instituto Nacional de Tecnologia da Informao Ministrio da Sade Organizao Nacional de Acreditao Pronturio Eletrnico do Paciente Registro Eletrnico em Sade Sociedade Brasileira de Informtica em Sade Sistema de Gerenciamento de Banco de Dados Sistema de Registro Eletrnico em Sade Troca de Informao em Sade Suplementar Coordinated Universal Time
Verso 4.0
Dezembro/2011
Pgina: 7/101
CERTIFICAO 2011
Verso 4.0
Dezembro/2011
Pgina: 8/101
CERTIFICAO 2011
1. Introduo
Mas ltimas dcadas, a tecnologia afetou significativamente a forma como os indivduos e organizaes lidam com suas informaes. Em um processo irreversvel, os registros em papel vm sendo transformados em registros eletrnicos, possibilitando inmeras vantagens proporcionadas por este meio. O mesmo vem ocorrendo na rea da sade, onde profissionais e instituies, consoantes evoluo tecnolgica, vm adotando cada vez mais os registros eletrnicos em suas atividades. A rea da sade, contudo, apresenta caractersticas e condies bastante especficas, tornando-a nica perante as demais atividades profissionais e setores da economia, principalmente naquilo que tange s questes de privacidade e confidencialidade dos indivduos assistidos, integridade e segurana das informaes e aos recursos mnimos necessrios para o perfeito registro dos atos praticados e das condies de sade dos indivduos. Neste cenrio, o Conselho Federal de Medicina (CFM) visou as questes concernentes legalidade da utilizao de sistemas informatizados para capturar, armazenar, manusear e transmitir dados do atendimento em sade, incluindo as condies para a substituio do suporte papel pelo meio eletrnico. Ciente da complexidade do assunto e da necessidade de aprofundar os aspectos tcnicos sobre o tema, o CFM, atravs da Cmara Tcnica de Informtica em Sade, estabeleceu convnio de cooperao tcnica com a Sociedade Brasileira de Informtica em Sade para desenvolver o processo de certificao de sistemas informatizados em sade. O primeiro produto da parceria SBIS/CFM foi a elaborao da resoluo n 1639/2002, que aprovou as "Normas Tcnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Pronturio Mdico", dispondo sobre o tempo de guarda dos pronturios, estabelecendo critrios para certificao dos sistemas de informao e dando outras providncias. Posteriormente, esta foi revogada e substituda pela resoluo n 1821/2007, que aprovou as Normas Tcnicas Concernentes Digitalizao e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Pronturios dos Pacientes, Autorizando a Eliminao do Papel e a Troca de Informao Identificada em Sade, a qual faz referncia, em seu artigo 1, a este Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES). O segundo produto foi a elaborao do Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES). Com base nesse manual, publicado em 2004 nos stios da SBIS e do CFM, teve incio a Fase 1 do Processo de Certificao SBIS/CFM, que teve 70 sistemas declarados pelos representantes legais das organizaes detentoras, como aderentes ao conjunto de requisitos da verso 2.1 do manual (auto-declarao). A Fase 1 teve como objetivo preparar o mercado para o processo de certificao, o que foi plenamente atingido. A atualizao desse manual reflete o incio da Fase 2 do Processo de Certificao SBIS/CFM, com a auditoria efetiva dos Sistemas de Registro Eletrnico em Sade (SRES). A atualizao foi bastante abrangente, procurando refletir as experincias internacionais desenvolvidas desde 2004. Naquela ocasio, no havia ainda no mundo
Verso 4.0
Dezembro/2011
Pgina: 9/101
CERTIFICAO 2011
um processo de certificao de S-RES em operao. Os EUA foram os primeiros a certificar S-RES, comeando seu processo em 2006. A publicao da verso 3.2 do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES) em 01/08/2008 encerrou as possibilidades de autodeclarao (Fase 1). A lista das organizaes que haviam declarado seus S-RES conformes com a verso 2.1 do manual permaneceu disponvel para consulta no stio da SBIS na internet pelo perodo de 06 (seis) meses, sendo, portanto, retirada em 01/02/2009. Desde o incio da Fase 2, diversos sistemas foram auditados sob este processo, sendo vrios destes aprovados. A lista atualizada dos sistemas certificados pode ser consultada no stio da SBIS na internet (www.sbis.org.br/certificacao). Em 2009 foi publicada a verso 3.3, a qual esteve vigente at a publicao efetiva da presente verso. Esta verso (4.0) do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES) revoga e substitui todas as suas verses anteriores.
Verso 4.0
Dezembro/2011
Pgina: 10/101
CERTIFICAO 2011
2. Referencial Terico
A Certificao SBIS/CFM se baseia em conceitos e padres nacionais e internacionais da rea de Informtica em Sade. Este captulo apresenta um breve resumo dos principais padres e iniciativas utilizados como referncias na definio do Processo de Certificao SBIS/CFM.
Verso 4.0
Dezembro/2011
Pgina: 11/101
CERTIFICAO 2011
2.1.4. Os Cadastros Nacionais em Sade Os principais cadastros nacionais so o Cadastro Nacional de Usurios do SUS[5] e o Cadastro Nacional de Estabelecimentos e Profissionais de Sade - CNES[6]. O Cadastro Nacional de Usurios estabelece o conjunto de informaes necessrias para que uma pessoa seja identificada no Sistema de Sade Brasileiro. Hoje, existem no Pas 165 milhes de pessoas cadastradas na base federal. O CNES estabelece a identificao de todos os estabelecimentos de sade pblicos e privados no Pas. O nmero CNES de uso obrigatrio na rea pblica e privada. O conjunto de dados de ambos os cadastros foi utilizado como padro de identificao nos requisitos deste manual. 2.1.5. O Padro TISS O padro TISS - Troca de Informao em Sade Suplementar[7] o padro definido pela Agncia Nacional de Sade Suplementar ANS (www.ans.gov.br) para registro e intercmbio de dados entre operadoras de planos privados de assistncia sade e prestadores de servios de sade. O objetivo do padro TISS atingir a compatibilidade e interoperabilidade funcional e semntica entre os diversos sistemas independentes para fins de avaliao da assistncia sade (carter clnico, epidemiolgico ou administrativo) e seus resultados, orientando o planejamento do setor. O padro TISS se divide em 4 categorias: contedo e estrutura, representao de conceitos em sade, comunicao, e segurana e privacidade, conforme descrevem as Resolues Normativas publicadas no stio da ANS na internet, na seguinte URL: http://www.ans.gov.br/index.php/planos-de-saude-e-operadoras/tiss A ANS determinou que as normas tcnicas estabelecidas pelo CFM e os requisitos do Nvel de Garantia de Segurana 1 (NGS1) deste manual (ver item 8.2. ) devem obrigatoriamente ser observados no padro TISS. Para as entidades que utilizam webservices como padro de comunicao recomendada a utilizao do Nvel de Garantia de Segurana 2 (NGS2), tambm descrito neste manual (ver item 8.3. ). Ressalta-se que a eliminao do papel s possvel quando cumprido o NGS2. Como descrito no captulo 3, o escopo da certificao SBIS/CFM estabelece uma categoria especfica que engloba todo e qualquer sistema que apresente entre as suas funcionalidades a capacidade de ser uma das pontas em um canal de comunicao entre operadoras de planos de sade e prestadores de servios de sade. Deste modo, qualquer S-RES poder se submeter ao processo de certificao visando apenas a validar sua aderncia ao padro TISS. 2.1.6. Normas ISO TC-215 A norma ISO/TR 20.514[8] um documento de referncia tcnica (TR - Technical Report) que estabelece as definies de RES e de Sistemas de RES. Esse relatrio descreve as
Verso 4.0
Dezembro/2011
Pgina: 12/101
CERTIFICAO 2011
principais categorias de sistemas, define cenrios de utilizao, e a necessidade de interoperabilidade semntica entre os diferentes S-RES. Adicionalmente esse relatrio introduz o conceito de Registro Pessoal de Sade RPS. O documento 20.514 um marco referencial na rea de RES e S-RES e representa vrios anos de trabalho na rea de padres para S-RES. A norma ISO/TS 18.308[9] um documento formal de especificao tcnica (TS Technical Specification) que define os requisitos para um S-RES. A especificao apresenta os requisitos categorizados em estrutura, processo, comunicao, privacidade e segurana, mdico-legal, tico, consumidor/cultural e tambm os requisitos relacionados evoluo de sistemas de RES. Estas duas normas encontram-se traduzidas (ABNT ISO/TR 20.514 Informtica em sade - Registro eletrnico de sade - Definio, escopo e contexto[10] e ABNT ISO/TS 18.308 - Informtica em sade - Requisitos para uma arquitetura do registro eletrnico[11]) e disponveis no sitio da ABNT na internet. A norma ISO/DIS 27.799[26] Health informatics -- Information security management in health using ISO/IEC 27.002 detalha e destaca a importncia do emprego dos controles de segurana descritos na ISO/IEC 27.002[12] com foco na rea de sade. 2.1.7. Comisso Especial de Informtica em Sade da ABNT A ABNT Associao Brasileira de Normas Tcnicas (www.abnt.org.br) a representante oficial do Brasil junto ISO. Em outubro de 2006, a ABNT criou a Comisso Especial de Estudos em Informtica em Sade, inspirada no Comit de Informtica em Sade da ISO, tambm conhecido como TC-215. A criao desta comisso um marco importante para o desenvolvimento da rea de padres em sade no Brasil, estando estruturada nos mesmos moldes do TC-215, com os seguintes Grupos de Trabalho GT: GT 1 Modelos concentra-se no estudo dos modelos e padres de contedo para representar a informao em sade. GT 2 - Interoperabilidade concentra-se nos padres para estabelecer a comunicao efetiva entre sistemas e equipamentos na rea da sade. um dos grupos mais ativos no Comit ISO, contando j com vrios padres aprovados. No Brasil, este grupo tem-se dedicado s questes especficas da rea de Telemedicina. GT 3 Conceitos concentra-se nas terminologias em sade. O trabalho extenso e no Brasil o grupo j traduziu dois documentos de referncia sobre o tema de terminologias e indicadores em sade. GT 4 Segurana concentra-se nos padres de segurana da informao em sade. A questo da assinatura digital e privacidade um dos temas em discusso. No Brasil, esse grupo tem trabalhado e colaborado com a ISO 27.799, norma internacional de segurana da informao em sade. Os padres em discusso pela Comisso Especial de Estudos em Informtica em Sade da ABNT so os documentos de referncia para o Processo de Certificao SBIS/CFM.
Verso 4.0
Dezembro/2011
Pgina: 13/101
CERTIFICAO 2011
2.1.8. Normas ISO/IEC JTC1/SC27 O Joint Technical Committee 1 (JTC1) o comit tcnico da ISO responsvel pela elaborao de normas sobre tecnologia da informao. Seu sub-comit 27 (SC27) responsvel pelas normas que tratam das tcnicas de segurana em tecnologia da informao. Desta forma, vrias de suas normas so de interesse tambm para a rea de sade, destacando-se as apresentadas a seguir. O cdigo de prtica ISO/IEC 27.002 Information technology - Security techniques - Code of practice for information security management[12], comumente conhecido por sua antiga numerao ISO/IEC 17.799, o guia mais difundido mundialmente no assunto segurana e apresenta os principais controles de segurana a serem empregados por qualquer instituio com o objetivo de proteger suas informaes. Esse cdigo de prtica possui sua verso brasileira NBR ISO/IEC 27.002 Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto da segurana da informao [13]. A norma ISO/IEC 15.408 Information technology -- Security techniques - Evaluation criteria for IT security em suas trs partes: Part 1: Introduction and general model[14], Part 2: Security functional requirements[15] e Part 3: Security assurance requirements[16], descreve um processo e requisitos especficos para certificao de segurana de sistemas. 2.1.9. ANSI HL7 Functional Model (EHR-S FM) O HL7 o padro mais utilizado para intercmbio de dados na rea da sade no cenrio internacional, h mais de 15 anos. Hoje, na verso 3.0, o padro incorpora um modelo de referncia RIM Reference Information Model com conceitos dos domnios clnico e administrativo[17]. Em 2001, o HL7 estabeleceu um grupo de trabalho em Registros Eletrnicos em Sade (EHR-SIG). Este grupo de trabalho definiu um conjunto de requisitos funcionais para SRES: o EHR Functional Model[18]. O trabalho realizado por este comit extenso e cobre diferentes perfis de sistema, com um enfoque prtico e proposta de scripts para validao dos requisitos. No Brasil, em fevereiro de 2007, foi criado o Instituto HL7 Brasil a fim de dar respaldo jurdico e administrativo s atividades da representao do HL7 no Brasil (www.hl7brazil.org), com o intuito de "promover e prover padres relacionados com a troca, integrao, compartilhamento e recuperao de informao eletrnica, para apoio da prtica mdica e administrativa, permitindo um maior controle dos servios de sade". Os grupos de trabalho esto em fase de organizao, dentre eles, o Grupo de Registro Eletrnico de Sade e Registro Pessoal em Sade, que discute os requisitos funcionais de S-RES. 2.1.10. Processo de Certificao CCHIT A Certification Commission for Healthcare Information Technology CCHIT desenvolveu o processo de certificao de S-RES[19] adotado no mercado americano. Sua origem posterior Certificao SBIS/CFM, uma vez que foi criado em 2005, com um aporte inicial da ordem de 7.5 milhes de dlares, e administrado pelas seguintes organizaes:
Verso 4.0
Dezembro/2011
Pgina: 14/101
CERTIFICAO 2011
American Health Information Management Association (AHIMA); Healthcare Information and Management Systems Society (HIMSS); e National Alliance for Healthcare Information Technology (the Alliance). O processo americano voluntrio e baseado em conjuntos de scripts para diferentes categorias de S-RES. Os critrios so bastante detalhados e analisam a funcionalidade, contedo, estrutura, segurana e aspectos de interoperabilidade dos S-RES. Os S-RES so avaliados por trs auditores, distncia, a partir de ambiente cooperativo especializado para esta finalidade. O processo do ponto de vista tcnico semelhante ao da SBIS/CFM.
2.2. Definies
As normas ABNT ISO/TR 20514[10] e ISO/TS18308[11] apresentam definies utilizadas na elaborao deste manual, em especial nos requisitos de contedo, estrutura e funcionalidades. As seguintes definies, extradas destas normas, so relevantes para o entendimento deste manual: Registro Eletrnico em Sade (RES): Um repositrio de informao a respeito da sade de indivduos, numa forma processvel eletronicamente. Sistema de Registro Eletrnico em Sade (S-RES): Sistema para registro, recuperao e manipulao das informaes de um Registro Eletrnico em Sade. Arquitetura: Conjunto de artefatos de projeto ou representaes descritivas que so relevantes para descrever um objeto de modo que ele possa ser produzido com base em requisitos (qualidade), como tambm mantido durante o perodo de sua vida til (alterao). Arquitetura do Registro Eletrnico em Sade (ARES): Componentes estruturais genricos a partir dos quais todos os RES so construdos, definidos em termos de um modelo de informao. Informao processvel em computador: Informao que pode ser programaticamente criada, armazenada, manipulada e recuperada de um computador eletrnico. Interoperabilidade Funcional: A habilidade de dois ou mais sistemas trocarem informaes. Interoperabilidade semntica: A habilidade da informao compartilhada entre sistemas ser entendida em nvel dos conceitos de domnio formalmente definidos. Modelo lgico de informao: Modelo de informao que especifica as estruturas e relaes entre as informaes, mas independente de qualquer tecnologia particular ou ambiente de implementao. O conceito de modelo de informao em sade, explicitado na arquitetura do S-RES, considerado como essencial para existncia de um RES. Os requisitos descritos neste
Verso 4.0 Dezembro/2011 Pgina: 15/101
CERTIFICAO 2011
manual buscam, em ltima anlise, comprovar a existncia deste modelo de informao representado atravs da arquitetura de software. O S-RES um sistema complexo que exige mtodos robustos de engenharia de software na sua construo para garantir que a informao em sade possa ser capturada, armazenada, exibida e compartilhada de forma segura, ntegra e completa. A perspectiva de ambientes sem-papel s aumenta a necessidade de robustez e escalabilidade dos SRES. Alm dos componentes que implementam as funcionalidades de um S-RES (componente principal), em geral desenvolvidos pelo Solicitante da Certificao SBIS/RES, podem existir componentes acessrios (ainda que indispensveis), dos quais depender a implementao de diversas funcionalidades do S-RES. Exemplos tpicos so o sistema de gerenciamento de base de dados (SGBD), um componente dinmico WEB (Applet ou ActiveX), ou ainda um sistema de diretrios (AD, LDAP, etc.) utilizado para armazenar parmetros dos usurios, papeis e grupos. Um S-RES o conjunto de todos estes componentes que so necessrios para atender aos requisitos especificados neste manual. No faz parte do escopo da certificao, entretanto, certificar isoladamente cada um desses componentes, como por exemplo, o SGDB ou o sistema operacional.
Verso 4.0
Dezembro/2011
Pgina: 16/101
CERTIFICAO 2011
A SBIS utilizar no Processo de Certificao SBIS/CFM somente recursos humanos comprovadamente competentes e autorizados, e manter registros de formao, experincia, habilidade e treinamento dos mesmos. 2.3.3. Responsabilidade Para que a certificao oferea confiana, necessrio que o Cliente Certificado entenda e assuma que ele, e no a SBIS, quem possui a responsabilidade pela conformidade com os requisitos da certificao. Por exemplo, diante de uma reclamao de um cliente usurio do S-RES, a certificao jamais poder ser invocada como evidncia objetiva de que o S-RES no apresente a deficincia apontada pelo cliente. Pelo contrrio, a certificao refora o compromisso do Cliente Certificado em promover todas as investigaes e subsequentes correes ou esclarecimentos para sanar as reclamaes de seus clientes. A SBIS responsvel por avaliar evidncias objetivas suficientes nas quais possa basear sua deciso de certificao, conforme requisitos expressos neste manual. A certificao SBIS-CFM ser concedida se houver evidncia suficiente de conformidade aos requisitos do manual, com base nos resultados das auditorias. O processo de auditoria baseia-se em amostragem. No existe, portanto, garantia de 100% de conformidade com os requisitos; h sempre um risco associado ao processo que deve ser entendido e assumido por todas as partes envolvidas. 2.3.4. Transparncia Transparncia um princpio de acesso ou divulgao de informaes. Para obter e manter confiana na certificao, a SBIS oferecer acesso pblico sobre seu processo de certificao, exceto informaes de natureza confidencial, tais como as informaes privadas dos Solicitantes e Clientes Certificados. 2.3.5. Confidencialidade A confidencialidade um princpio que favorece SBIS obter confiana do Solicitante de que no ter sua imagem ou seus interesses, de alguma forma, prejudicados por submeter seus S-RES ao processo de certificao. Para que possa obter acesso privilegiado s informaes necessrias para avaliar adequadamente a conformidade dos S-RES com os requisitos da certificao, a SBIS compromete-se a manter a confidencialidade de todas as informaes privadas dos Solicitantes e Clientes Certificados, exceo dos dados cadastrais essenciais da organizao e do S-RES e da situao da certificao (concesso, extenso, renovao, suspenso, ou cancelamento), que sero publicados no stio da SBIS na internet e em outros meios, a critrio da SBIS/CFM.
Verso 4.0
Dezembro/2011
Pgina: 17/101
CERTIFICAO 2011
2.3.6. Capacidade de Respostas a Reclamaes Para que a certificao adquira confiana das partes interessadas, necessrio que tanto a SBIS quanto o Cliente Certificado sejam capazes de prontamente registrar e tratar adequadamente as reclamaes a que tiverem acesso. A efetiva capacidade para respostas a reclamaes uma salvaguarda fundamental para a proteo da Certificao SBIS/CFM, seus clientes e outras partes interessadas contra erros, omisses ou comportamentos imprprios. A SBIS manter procedimentos sistemticos para registrar e tratar reclamaes e exigir, mediante contrato, que os Solicitantes e Clientes Certificados mantenham sistemas para registro e tratamento formalizados de reclamaes. Os registros de reclamaes que digam respeito a Clientes Certificados sero considerados informaes privadas desses clientes e, portanto, no sero divulgados a terceiros pela SBIS, exceo do prprio Cliente Certificado e do reclamante.
Verso 4.0
Dezembro/2011
Pgina: 18/101
CERTIFICAO 2011
3. Escopo de Certificao
O Processo de Certificao SBIS/CFM destina-se, genericamente, a Sistemas de Registro Eletrnico de Sade (S-RES). Como j visto no item 2.2. , a definio do que um S-RES bastante ampla e abrangente. Engloba todos os subsistemas e componentes (SGBDs, servidores, bibliotecas, etc.). Ser avaliado o conjunto completo de subsistemas e componentes que compem o S-RES, devidamente configurados de forma a atender os requisitos especificados neste manual. De acordo com a definio das normas ABNT ISO/TR 20514 e ISO/TS18308, qualquer sistema que capture, armazene, apresente, transmita ou imprima informao identificada em sade pode ser considerado como sendo um S-RES. Tendo em vista a existncia de um grande nmero de S-RES no mercado brasileiro, englobando uma ampla faixa de sistemas focados em diferentes nichos do mercado de sade, no seria possvel, num primeiro momento, certificar todos e quaisquer S-RES existentes. Atualmente, o processo de Certificao SBIS/CFM est disponvel apenas para algumas categorias mais genricas de S-RES. No futuro prximo, e considerando a demanda que vier a ser constatada, as categorias podero ser ampliadas, e em alguns casos, especializadas. importante ressaltar que dever do desenvolvedor do S-RES indicar para seus usurios e clientes todas as interdependncias entre os subsistemas e componentes necessrios para que o S-RES esteja configurado e funcione corretamente, especialmente quando os subsistemas ou componentes no so fornecidos juntamente com o S-RES, cabendo ao usurio/cliente contratar o licenciamento destes parte. imprescindvel que a documentao do S-RES indique o nome e verso de cada um de seus subsistemas ou componentes, bem como o local onde os mesmos podem ser obtidos (seja um fornecedor comercial ou o repositrio de um projeto de software livre). Alm disso, devem ser informadas todas as instrues sobre a configurao necessria para o correto funcionamento destes subsistemas/componentes em conjunto. Todas estas informaes devem ter como referncia o nome e verso do sistema operacional sobre o qual iro funcionar.
Verso 4.0
Dezembro/2011
Pgina: 19/101
CERTIFICAO 2011
Verso 4.0
Dezembro/2011
Pgina: 20/101
CERTIFICAO 2011
requisitos obrigatrios previstos pelo menos no Nvel de Garantia de Segurana 1 - NGS1 (ver item 8.1. ). A categoria TISS apresenta algumas variaes nos requisitos, de acordo com os agrupamentos adotados pela ANS no cronograma de implantao do TISS, conforme a Tabela 1 a seguir. Tabela 1: Categorias de Prestadores e Operadoras para a Implantao do TISS Prestadores Operadoras Grupo 1 Hospitais gerais Hospitais especializados Hospitais/diaisolado Pronto socorro especializado Pronto socorro geral Clnica especializada / ambulatrio de especialidade Operadoras de Unidade de apoio diagnose e terapia (SADT planos de isolado) assistncia mdica Unidade mvel de nvel pr-hospitalar urgncia/emergncia Unidade mvel fluvial Unidade mvel terrestre Grupo 2 Consultrio isolado Profissionais de sade ou pessoa jurdica que presta servio em consultrio mdico Grupo 3 Clnica radiolgica em odontologia Consultrio odontolgico isolado Operadoras de Odontologista ou pessoa jurdica da rea planos odontolgicos odontolgica que presta servio em consultrio Alm das divises acima, a categoria TISS apresenta o recurso da Comunicao, responsvel pelo envio e recebimento dos dados transitados entre o Prestador e a Operadora. Cada uma destas partes (lados da comunicao) pode apresentar este recurso como uma funcionalidade agregada ao seu aplicativo (S-RES) ou utilizar um aplicativo especfico para tal finalidade, sendo que esse ltimo pode estar em seus domnios ou ser terceirizado atravs das chamadas empresas de conectividade. Este recurso, quando includo pelo Solicitante no enquadramento para certificao, requer, obrigatoriamente, a adoo do NGS2. Caber ao Solicitante indicar as categorias de sistema e o nvel de garantia de segurana do seu S-RES, para que estas informaes sejam consideradas no processo de certificao. As categorias para enquadramento podem ser resumidas, de forma esquemtica, conforme disposto na Figura 1 a seguir:
Verso 4.0
Dezembro/2011
Pgina: 21/101
CERTIFICAO 2011
O enquadramento de um S-RES se faz, portanto, pelas seguintes opes: a) Nvel de Garantia de Segurana: NGS1 (Local ou Remoto) ou NGS2 + b) Categoria: Assistencial (opcionalmente: + Ambulatorial) e/ou TISS Caso o S-RES apresente a categoria TISS, haver, ainda, as seguintes opes: c) Tipo TISS: Prestador e/ou Comunicao e/ou Operadora + d) Grupo TISS: Grupo 1 e/ou Grupo 2 e/ou Grupo 3
Assim, obtm-se o enquadramento de um S-RES atravs da escolha de uma opo do item a acima, mais a escolha de uma ou mais opes do item b. Caso haja a escolha, no item b, da opo TISS, deve-se acrescentar a escolha de uma ou mais opes do item c, mais a escolha de uma ou mais opes do item d. Deve-se observar que a escolha da opo Comunicao no item c requer, obrigatoriamente, a adoo do NGS2. Caso seja solicitada a certificao no nvel de garantia de segurana NGS2 e a auditoria apontar no-conformidade aos requisitos deste nvel, mas apontar conformidade aos requisitos do NGS1, e no sendo obrigatria a adoo do NGS2, conforme condies descritas anteriormente, ser possvel, a critrio do Solicitante, a obteno da certificao no nvel NGS1, desde que atingida a conformidade em no mnimo uma das categorias inscritas. Caso seja solicitada a certificao em mais de uma categoria e a auditoria no apontar conformidade a todas, mas apontar conformidade a no mnimo uma das categorias inscritas, ser possvel, a critrio do Solicitante, a obteno da certificao nas categorias que atingirem a conformidade.
Verso 4.0
Dezembro/2011
Pgina: 22/101
CERTIFICAO 2011
Verso 4.0
Dezembro/2011
Pgina: 23/101
CERTIFICAO 2011
Verso 4.0
Dezembro/2011
Pgina: 24/101
CERTIFICAO 2011
Remoo de qualquer funcionalidade ou mdulo essencial para a obteno da certificao; Substituio de bibliotecas ou componentes de software (por exemplo, substituindo um editor de textos desenvolvido internamente e utilizado na edio do pronturio do paciente por um componente de editor de textos desenvolvido por terceiros, ou vice-versa); Remodelagem significativa da interface com o usurio, por exemplo, mudando a estrutura dos menus, nomenclatura de telas, ou ainda migrando o sistema para uma nova interface (por exemplo, via web-browser); Substituio de componentes internos do S-RES que, mesmo possuindo interfaces ou caractersticas padronizadas, oferecem caractersticas especficas utilizadas pelo S-RES para obter a certificao (por exemplo, substituio de SGBD cujo mdulo de criptografia de dados era utilizado para garantir aspectos de segurana da informao avaliados na certificao); Mudana de modelo de informao. Por exemplo, se o sistema adotava o modelo HL7 V3 e passa a adotar o modelo Open-EHR baseado em arqutipos. 4.3.3. Declarao de manuteno da conformidade
O Cliente Certificado poder, opcionalmente, declarar que uma nova verso de um S-RES certificado mantm total conformidade aos requisitos estabelecidos, sem qualquer prejuzo em relao verso originalmente certificada. No h, neste caso, a necessidade de execuo do processo de Extenso da Certificao (ver item 4.5. ), cabendo integral e exclusivamente ao Solicitante a responsabilidade pela veracidade da declarao de manuteno da conformidade da nova verso do S-RES. Dever, contudo, atender obrigatoriamente ao requisito de segurana NGS1.01.03 (ver item 8.2. ), mantendo os respectivos histricos de alteraes em seu poder pelo prazo mnimo de 05 (cinco) anos, obrigando-se, durante este prazo, a disponibiliz-los SBIS para consulta sempre que solicitados. SBIS reserva-se o direito de convocar o Cliente Certificado para uma verificao e/ou auditoria sobre o S-RES sempre que houver qualquer indcio ou denncia de falsidade acerca de uma declarao de manuteno de conformidade. Considera-se grave violao contratual o Cliente Certificado declarar a manuteno da conformidade de uma nova verso de um S-RES certificado quando esta nova verso no atender integralmente as mesmas conformidades da verso originalmente certificada. Nesse caso, o Cliente Certificado estar sujeito s penalidades previstas no Contrato de Certificao (ver item 4.6. ), as quais podero incluir o cancelamento do Certificado e a proibio de submeter qualquer S-RES ao processo de certificao pelo perodo de um ano, contado da data em que a Diretoria da SBIS anunciar sua deciso em relao ao ocorrido.
CERTIFICAO 2011
RES) imediatamente posterior que serviu de base para o certificado, sendo considerado o evento que ocorrer na data mais avanada. Portanto, o Cliente Certificado ter a segurana de que o Certificado SBIS/CFM no ter durao inferior a dois anos e que, se for publicada uma nova verso do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES), ele ter prazo no inferior a seis meses para adequar seu S-RES nova verso do manual, antes que expire a validade do seu Certificado. A data de emisso do certificado nunca ser anterior data em que a Diretoria da SBIS decidir pela certificao do S-RES (passo [S-11] do processo de certificao). Quando da publicao de uma nova verso do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES), durante um perodo de 90 (noventa) dias, podero ser emitidos Certificados SBIS/CFM com base na verso anterior do manual, a pedido do Solicitante, tanto para processos de certificao que se iniciaram antes da data da publicao, quanto para processos novos.
CERTIFICAO 2011
No caso de nova verso de um S-RES j certificado que contenha ajustes com impacto, uma das seguintes alternativas dever ser observada: Caso a verso do Manual de Certificao vigente poca da solicitao de extenso for a mesma da certificao da verso anterior do S-RES, o Solicitante dever pagar uma Taxa de Extenso de Certificao. A critrio da SBIS, o escopo desta nova auditoria poder ser reduzido, considerando-se as informaes prestadas pelo Solicitante sobre os ajustes sem impacto e os ajustes com impacto contidos na nova verso do S-RES. No caso da nova verso ser aprovada nesta nova auditoria, o prazo de validade da certificao passar a ser contado a partir desta ltima auditoria. Caso a verso do Manual de Certificao vigente poca da solicitao de extenso for diferente daquela na qual se baseou a certificao da verso anterior do S-RES, o Solicitante dever submeter o S-RES a uma nova certificao completa, no podendo ser efetuado o processo de extenso de certificao. Mesmo nos casos onde possvel estender a certificao de um S-RES sem a necessidade de uma nova auditoria, imperativo aguardar o pronunciamento formal da SBIS sobre o assunto. O Solicitante no poder fazer qualquer aluso ao fato de que uma nova configurao ou verso de um S-RES previamente certificado tambm certificada, sem antes obter formalmente tal extenso da SBIS. Ao conceder tal extenso, a SBIS ir incluir a nova configurao ou verso na lista de configuraes/verses certificadas, disponvel para consulta no stio da SBIS na internet. Apenas ento o Solicitante poder se referir a esta nova configurao ou verso como sendo objeto da extenso do certificado pela SBIS. As configuraes e verses do S-RES anteriormente certificadas continuaro constando da lista de S-RES certificados disponvel no stio da SBIS na internet at o final dos respectivos prazos de validade de cada certificao, exceto nos casos onde o Cliente Certificado solicitar explicitamente sua excluso de tal lista.
Verso 4.0
Dezembro/2011
Pgina: 27/101
CERTIFICAO 2011
Contrato de Certificao: contrato firmado entre o Solicitante e a SBIS antes do incio da auditoria do S-RES, o qual regulamenta tanto a execuo do processo de certificao quanto as normas a serem cumpridas pelas partes aps tal processo, seja o produto certificado ou no. Estabelece, entre outras coisas, as regras do processo, os valores envolvidos, as obrigaes das partes (incluindo os termos de confidencialidade de informaes) e seus direitos (incluindo as regras de uso do Selo SBIS/CFM, Certificado e informaes correlatas), e os devidos termos jurdicos referentes ao contexto pactuado.
Certificado (Diploma de Certificao): documento probatrio da certificao de um determinado S-RES pela SBIS/CFM. Termo de Extenso de Certificado: documento probatrio da extenso do certificado de um determinado S-RES pela SBIS/CFM . Selo de Certificao SBIS/CFM: elemento grfico indicador da concesso do Certificado a um determinado S-RES. As normas de uso do selo encontram-se dispostas no item 7.2. deste manual.
CERTIFICAO 2011
um processo de certificao (ver item 5.1. , passo A.01), e que proporciona ao mesmo apenas o direito execuo desta parte do processo. Taxa de Reagendamento de Auditoria: valor a ser pago pelo Solicitante SBIS quando houver, a pedido do Solicitante, a necessidade de reagendamento de uma auditoria cujo cronograma tenha sido previamente aprovado entre as partes. Caso o Solicitante comunique a necessidade de reagendamento com mais de 15 (quinze) dias de antecedncia (fora o prprio dia) do incio previsto para o primeiro dia da auditoria, o valor a ser pago ser de 30% (trinta por cento) desta taxa. 4.7.1. Devoluo de Taxas No haver devoluo de taxas pagas SBIS, independentemente do resultado obtido pelo Solicitante no respectivo processo, exceto nos casos onde a SBIS recusar-se, por qualquer motivo, a executar a atividade pela qual recebeu a referida taxa. Assim, a no aprovao de uma determinada ficha de inscrio ou a no obteno da certificao ou extenso por um determinado produto (S-RES) aps o devido processo de auditoria ou avaliao, no constituiro motivo para a devoluo, por parte da SBIS, de qualquer taxa paga pelo Solicitante. Caber nica e exclusivamente Diretoria da SBIS a deciso a respeito de situaes excepcionais.
Verso 4.0
Dezembro/2011
Pgina: 29/101
CERTIFICAO 2011
5. Processo de Certificao
Assim como em outros processos congneres, a Certificao SBIS/CFM estabelece que a auditoria seja realizada por equipe especializada, a qual verificar se os requisitos obrigatrios para a categoria selecionada so realmente atendidos pelo S-RES. A auditoria constitui-se na realizao de uma bateria de testes sobre o sistema alvo da certificao. Os testes so realizados e analisados por um grupo de auditores devidamente treinados, credenciados e selecionados pela SBIS, todos membros titulares da Sociedade. Em linhas gerais, a empresa ou pessoa interessada em certificar o seu S-RES deve proceder s seguintes etapas: a) Analisar a documentao sobre o processo de certificao disponvel no stio da SBIS na internet; b) Verificar se o S-RES a ser certificado atende a todos os requisitos obrigatrios para as categorias desejadas (lembrando que os requisitos de segurana so obrigatrios para qualquer categoria); c) Realizar a bateria de testes internamente em sua instituio, conforme descrito no Manual Operacional de Ensaios e Anlises; d) Cumpridas as etapas anteriores, estando a empresa interessada segura de que seu S-RES est em condies de ser aprovado na auditoria, dever iniciar formalmente o processo para obteno do Selo de Certificao SBIS/CFM conforme descrito a seguir. Existem dois fluxos possveis no processo de certificao, a saber: a) Processo Padro: representa o fluxo bsico a ser seguido para a obteno da certificao, para um S-RES ainda no certificado ou que esteja com a sua validade expirada, ou para uma nova verso que contenha ajustes com impacto (ver item 4.3.2) em relao verso anteriormente certificada. b) Processo para Extenso de Certificao: representa o fluxo a ser seguido para a extenso da certificao para outras configuraes ou verses de um S-RES j certificado, conforme descrito no item 4.5.
Verso 4.0
Dezembro/2011
Pgina: 30/101
CERTIFICAO 2011
CERTIFICAO 2011
Ateno: o fluxo acima apresenta apenas as descries resumidas de cada passo, de forma a facilitar a visualizao e entendimento de todo o processo. As descries completas dos passos encontram-se detalhadas a seguir. 5.1.1. Atividades do Solicitante no Processo O Solicitante dever executar as atividades apresentadas na coluna esquerda do fluxo do processo de certificao (ver Figura 2), descritas a seguir: [P.01] Preenche e envia a Ficha de Inscrio para Certificao O Solicitante dever preencher a Ficha de Inscrio para Certificao (ver item 4.6. ), disponvel no stio da Certificao SBIS/CFM na internet. Uma vez preenchida, tal ficha dever ser enviada (submetida) eletronicamente atravs do e-mail certificacao@sbis.org.br. Aps o envio, uma mensagem de confirmao de recebimento ser enviada pela SBIS ao endereo de e-mail do Solicitante. [P.02] Efetua o pagamento da Taxa de Inscrio A SBIS enviar por e-mail ao Solicitante, no prazo mximo de 07 (sete) dias aps o recebimento da Ficha de Inscrio, um boleto bancrio referente Taxa de Inscrio no processo de certificao (ver item 4.7. ). A SBIS dar andamento s atividades subsequentes do processo somente aps o recebimento desta taxa, a qual dever ser paga pelo Solicitante na rede bancria dentro do prazo de vencimento disposto no boleto. [P.03] Avalia o Contrato de Certificao Caso a anlise da Ficha de Inscrio pela SBIS no aponte nenhuma restrio participao do Solicitante e do S-RES inscrito no processo de certificao, o Solicitante receber da SBIS, no prazo mximo de 15 (quinze) dias aps o pagamento da Taxa de Inscrio, o Contrato de Certificao (ver item 4.6. ), ainda no assinado. O Solicitante dever analisar cuidadosamente o contrato, questionando a SBIS sobre qualquer dvida que porventura seja suscitada. Caso haja alguma restrio participao do Solicitante ou do S-RES inscrito no processo de certificao, o Solicitante receber da SBIS, no prazo mximo de 15 (quinze) dias aps o pagamento da Taxa de Inscrio, um comunicado da impossibilidade de execuo do processo de certificao, onde sero expostos os motivos para tal rejeio. [P.04] Contrato aprovado? Caso o Solicitante concorde com todos os termos do contrato, dever devolv-lo assinado SBIS (passo P.05 adiante). Caso contrrio, solicita-se que tal deciso seja comunicada por e-mail SBIS, para que o processo seja arquivado. Na ausncia de pronunciamento formal positivo (caracterizado pelo passo P.05 adiante) ou negativo no prazo de 60 (sessenta) dias aps o recebimento da documentao (passo P.03 acima), o processo ser considerado encerrado e, ento, arquivado pela SBIS.
Verso 4.0
Dezembro/2011
Pgina: 32/101
CERTIFICAO 2011
Processos encerrados e arquivados pela SBIS no podero ser reativados, devendo o Solicitante, quando necessrio, iniciar um novo processo, submetendo nova Ficha de Inscrio (passo P.01). [P.05] Envia o contrato assinado e efetua o pagamento da Taxa de Auditoria e Certificao Caso o Solicitante concorde com todos os termos do Contrato de Certificao, seu representante legal dever assinar as 02 (duas) vias do mesmo e envi-las SBIS. O Solicitante receber da SBIS um boleto bancrio referente Taxa de Auditoria e Certificao (ver item 4.7. ). A SBIS dar andamento s atividades subsequentes do processo somente aps o recebimento desta taxa. O prazo para a execuo deste passo (envio do contrato assinado e da documentao, e pagamento da taxa) de 180 (cento e oitenta) dias aps o recebimento da respectiva documentao (passo P.03 acima). Caso tais tarefas no sejam executadas neste prazo, o processo ser considerado encerrado e, ento, arquivado pela SBIS. [P.06] Avalia a seleo dos auditores e o cronograma No prazo mximo de 30 (trinta) dias aps a efetivao do Contrato de Certificao (passo P.05 acima), o Solicitante receber da SBIS, por e-mail, uma proposta de cronograma para a auditoria e a relao dos auditores selecionados. O Solicitante dever, ento, avaliar tais elementos, verificando a viabilidade do cronograma proposto e a eventual existncia de restries participao de qualquer dos auditores indicados. Caso o Solicitante tenha rejeitado uma proposta anterior de cronograma e auditores (passo P.07 adiante), receber, no prazo mximo de 15 (quinze) dias aps ter comunicado tal rejeio, uma nova proposta de cronograma e relao dos auditores selecionados, devendo efetuar nova avaliao. [P.07] Auditores e cronograma aprovados? O Solicitante dever comunicar formalmente SBIS, por e-mail e no prazo mximo de 15 (quinze) dias aps o recebimento das informaes (passo P.06 acima), seu parecer quanto ao cronograma proposto e relao dos auditores selecionados. Caso o Solicitante concorde com a proposta apresentada, bastar comunicar tal aprovao SBIS. Caso o Solicitante discorde da proposta apresentada, seja do cronograma ou de algum dos auditores selecionados, dever comunicar tal rejeio SBIS, justificando explicitamente os motivos. Caso haja, dentre os motivos, a indisponibilidade do Solicitante face ao cronograma sugerido pela SBIS, o mesmo poder, visando agilizar esta definio, adicionar justificativa uma ou mais propostas de datas, desde que posteriores s datas originalmente sugeridas pela SBIS.
Verso 4.0
Dezembro/2011
Pgina: 33/101
CERTIFICAO 2011
Ateno: na ausncia de comunicao formal do Solicitante no prazo citado de 15 (quinze) dias, o cronograma proposto e a seleo dos auditores sero automaticamente considerados aprovados. O Solicitante poder rejeitar no mximo 03 (trs) propostas efetuadas pela SBIS, independentemente dos motivos alegados, sendo a quarta proposta, quando houver, no passvel de rejeio e automaticamente considerada aprovada. [P.08] Disponibiliza os recursos necessrios auditoria nas datas previstas Aps a aprovao do cronograma de auditoria e da relao de auditores, o Solicitante dever disponibilizar, nas datas previstas, o produto (S-RES) objeto da certificao e todos os aplicativos e produtos necessrios sua execuo. A auditoria ocorrer na sede da SBIS, em So Paulo/SP. O Solicitante poder disponibilizar o S-RES para auditoria atravs de qualquer um dos seguintes meios: - Instalao em um microcomputador (desktop ou notebook) do prprio Solicitante; - Instalao em um microcomputador (desktop) da SBIS, necessariamente sob o sistema operacional Windows; - Acesso direto ao sistema atravs da internet; - Acesso indireto ao sistema atravs da internet, utilizando algum aplicativo de controle remoto (ex.: VNC, PC Anywhere etc.); - Outro meio equivalente que atenda a este objetivo, desde que previamente acordado com a SBIS. O Solicitante dever, tambm, disponibilizar de 01 (um) a 03 (trs) profissionais para operarem o sistema na sede da SBIS, em So Paulo/SP, durante todo o perodo da auditoria. Tais profissionais devero, conjuntamente, estar aptos a operar todos os mdulos e funcionalidades do S-RES pertinentes s categorias sob certificao, e devero atender s orientaes e solicitaes efetuadas pelos auditores durante toda a auditoria. Caso haja a necessidade de algum outro recurso ou material adicional, a SBIS poder requisit-lo ao Solicitante, o qual dever providenci-lo. Todos os custos e despesas decorrentes da disponibilizao dos recursos aqui citados sero de total responsabilidade do Solicitante, e no sero passveis de qualquer tipo de remunerao, auxlio financeiro ou reembolso por parte da SBIS. [P.09] Reprovao aceita? Ao receber da SBIS o comunicado de reprovao da certificao de seu S-RES, o Solicitante dever analisar e avaliar os resultados obtidos na auditoria. Caso no concorde com tal reprovao, dever solicitar SBIS a reviso do resultado (passo P.10 adiante). Caso contrrio, dever comunicar por e-mail SBIS, para que o processo seja arquivado. Caso o Solicitante no se pronuncie formalmente a respeito do resultado no prazo de 30 (trinta) dias aps o recebimento do comunicado, o processo ser encerrado e arquivado pela SBIS.
Verso 4.0 Dezembro/2011 Pgina: 34/101
CERTIFICAO 2011
Apenas o resultado da auditoria original passvel de reviso, no cabendo tal solicitao sobre um resultado j revisado. [P.10] Envia recurso para reviso do resultado Caso no concorde com a reprovao da certificao de seu S-RES, o Solicitante dever enviar formalmente SBIS, no prazo mximo de 30 (trinta) dias aps o recebimento do comunicado, um recurso para reviso do resultado, o qual dever, necessariamente, conter as justificativas e embasamento para a discordncia. Os recursos para reviso de resultado sero analisados e respondidos pela SBIS no prazo de 30 (trinta) dias aps o seu recebimento. 5.1.2. Atividades da SBIS no Processo A SBIS executar as atividades apresentadas na coluna direita do fluxo do processo de certificao (ver Figura 2), descritas a seguir: [S.01] Gera e envia a cobrana da Taxa de Inscrio Ao receber a Ficha de Inscrio para Certificao, a SBIS enviar uma mensagem de confirmao de recebimento ao e-mail do Solicitante. No prazo mximo de 07 (sete) dias aps o recebimento de tal ficha, emitir um boleto bancrio para a cobrana da Taxa de Inscrio (ver item 4.7. ) e o enviar por e-mail ao Solicitante. [S.02] Analisa a Ficha de Inscrio e elabora o Contrato de Certificao Ao detectar o recebimento da Taxa de Inscrio, a SBIS analisar a Ficha de Inscrio, verificando se o Solicitante e o produto (S-RES) inscrito atendem s condies necessrias participao no processo de certificao. Caso as condies estejam atendidas, a SBIS, com base no enquadramento do S-RES (ver item 3.1. ) e na tabela de preos em vigor (ver item 4.7. ), elaborar o Contrato de Certificao (ver item 4.6. ), o qual explicitar, entre outras coisas, a parte contratante (Solicitante), o produto (S-RES) a ser certificado e o valor a ser pago pelo Solicitante a ttulo de Taxa de Auditoria e Certificao. Caso as condies participao no estejam atendidas, a SBIS enviar um comunicado ao Solicitante sobre tal impossibilidade, descrevendo os motivos para tal rejeio. [S.03] Envia o contrato e a cobrana da Taxa de Auditoria e Certificao No prazo mximo de 15 (quinze) dias aps o pagamento da Taxa de Inscrio, a SBIS enviar ao Solicitante o Contrato de Certificao em 02 (duas) vias no assinadas e um boleto bancrio para a cobrana da Taxa de Certificao, no valor definido no contrato. Caso a participao no processo tenha sido rejeitada, ser enviado ao Solicitante somente o comunicado elaborado no passo anterior (S.02) e arquivar o processo (passo S.04 adiante).
Verso 4.0 Dezembro/2011 Pgina: 35/101
CERTIFICAO 2011
[S.04] Encerra e arquiva o processo Quando configurado, em qualquer momento e por qualquer causa, o encerramento do processo, esteja o mesmo concludo ou no, a SBIS efetuar o seu arquivamento, armazenando toda a documentao e material relativos ao mesmo, tanto em meio eletrnico quanto em papel, pelo perodo mnimo de 05 (cinco) anos. [S.05] Seleciona os auditores e elabora o cronograma de auditoria Ao receber as 02 (duas) vias do Contrato de Certificao assinadas, a documentao do sistema e confirmar o recebimento da Taxa de Certificao, o representante legal da SBIS assinar as 02 (duas) vias do contrato e, no prazo mximo de 30 (trinta) dias, reenviar uma das vias ao Solicitante. A SBIS analisar o processo e elaborar uma proposta de cronograma para a auditoria. As datas propostas seguiro, obrigatoriamente, a ordem cronolgica de recebimento dos contratos assinados pelos Solicitantes (fila no mtodo FIFO), com exceo dos casos de reagendamento (citado no passo S.08) ou de 2 ciclo (passo A.01) de auditoria, os quais tero prioridade na obteno das datas mais prximas disponveis. No h prazo mximo pr-determinado para a data de incio da auditoria, j que tal prazo depender da quantidade de contratos celebrados e ainda no auditados (fila de espera) e da durao de cada auditoria, o que poder variar conforme o enquadramento de cada S-RES. A SBIS efetuar, tambm, a seleo dos auditores dentro do quadro de auditores credenciados pela SBIS. Esta atividade ser executada de acordo com as normas internas do CC, considerando, entre outros fatores, a rotatividade entre os auditores, a disponibilidade dos mesmos e eventuais impedimentos por questes ticas ou profissionais. Cada auditoria ser executada obrigatoriamente por 03 (trs) auditores seniores, e poder ser acompanhada por um ou mais auditores trainees, cujos papis encontram-se descritos no passo S.08 adiante e no captulo 6. [S.06] Envia a seleo dos auditores e o cronograma para aprovao No prazo mximo de 30 (trinta) dias, a SBIS encaminhar, por e-mail, a proposta de cronograma para a auditoria e a relao dos auditores selecionados ao Solicitante, para sua aprovao. [S.07] Seleciona novos auditores e/ou elabora novo cronograma Na eventualidade da rejeio, pelo Solicitante, da proposta de cronograma ou da relao de auditores, a SBIS elaborar um novo cronograma e/ou selecionar outros auditores, seguindo os mesmos procedimentos adotados no passo S.05 acima. [S.08] Auditores executam a auditoria e preenchem o caderno de resultados Nas datas previstas no cronograma e utilizando os recursos apontados no passo P.08, a equipe de auditores realizar a auditoria do S-RES objeto da certificao.
Verso 4.0
Dezembro/2011
Pgina: 36/101
CERTIFICAO 2011
Todas as sesses de auditoria sero gravadas, registrando-se, durante todo o tempo, os sons do ambiente e as imagens da tela (navegao e operao) do S-RES auditado. Cada auditoria ser executada obrigatoriamente por 03 (trs) auditores seniores (ver captulo 6), que solicitaro aos profissionais disponibilizados pelo Solicitante operarem o sistema. Sero executados todos os procedimentos (scripts) definidos no Manual Operacional de Ensaios e Anlises para todos os requisitos obrigatrios das categorias nas quais o S-RES auditado se enquadra, verificando-se a obteno ou no dos resultados esperados. Aps a execuo de cada script, cada auditor registrar o seu parecer em seu Caderno de Resultados, os quais sero consolidados pelo auditor lder ao final da auditoria. Caso haja divergncia entre os resultados observados por cada auditor na avaliao de um determinado requisito, os auditores debatero suas concluses na busca de um consenso, podendo, para tal, consultar a gravao realizada durante a auditoria ou pedir ao Solicitante uma nova verificao. Caso no se obtenha o consenso, prevalecer o resultado apontado pela maioria, ou seja, por 02 (dois) auditores, o qual passar a ser considerado como resultado final para tal requisito. A auditoria poder, ainda, ser acompanhada por um ou mais auditores trainees (ver captulo 6), os quais participaro apenas com a finalidade de capacitao e progresso no processo de credenciamento, no sendo seus registros considerados no resultado da auditoria. Caso a auditoria no seja realizada nas datas previstas devido a qualquer impossibilidade por parte do Solicitante, fundamentalmente por no disponibilizar algum recurso previsto no passo P.08, ser elaborado um novo cronograma, mediante o pagamento, pelo Solicitante, da Taxa de Reagendamento de Auditoria. Caso o Solicitante comunique tal impossibilidade e solicite o reagendamento com mais de 15 (quinze) dias de antecedncia (fora o prprio dia) do incio previsto para o primeiro dia da auditoria, o valor a ser pago ser de 30% (trinta por cento) da referida taxa. Caso a auditoria no seja realizada nas datas previstas devido a qualquer impossibilidade por parte da SBIS, ser elaborado um novo cronograma, isento de qualquer taxa adicional. A elaborao de um novo cronograma, independentemente do motivo, compreende a execuo do passos S.05, S.06, S.07, P.06, P.07 e P.08. Deve-se observar que qualquer alterao no cronograma poder provocar uma consequente alterao da seleo dos auditores, caso haja conflitos nas agendas dos auditores previamente selecionados. [S.09] Comit de Certificao avalia o resultado da auditoria Conforme caracterizada a demanda, o Comit de Certificao (ver captulo 6) se reunir presencialmente ou distncia para a discusso e avaliao das auditorias realizadas no perodo (desde a reunio antecedente), emitindo um parecer unificado para cada auditoria. Este parecer poder indicar a aprovao ou reprovao do S-RES na auditoria realizada. Aps a auditoria inicial (primeiro ciclo), o Comit poder recomendar ao Solicitante a realizao de ajustes no S-RES para a execuo de um segundo ciclo de auditoria, ainda dentro do mesmo processo original, cujo parecer indicar, finalmente, a aprovao ou reprovao do S-RES.
Verso 4.0
Dezembro/2011
Pgina: 37/101
CERTIFICAO 2011
Conforme j exposto anteriormente, para a obteno da certificao, o S-RES dever demonstrar, em sua auditoria, conformidade a todos os requisitos obrigatrios das categorias nas quais se enquadra. Dentre os membros do Comit que avaliarem um especfico S-RES e respectivas auditorias, no podero estar auditores que participaram das auditorias daquele S-RES. [S.10] S-RES aprovado? O Comit de Certificao far o encaminhamento do processo com o resultado de seu parecer Diretoria da SBIS para que esta proceda emisso e envio do Certificado e Selo ao Solicitante (passo S.11 adiante) ou comunicao da reprovao ao Solicitante (passo S.12 adiante). Conforme j mencionado anteriormente, o Comit poder recomendar ao Solicitante a realizao de ajustes no S-RES para a execuo de um segundo ciclo de auditoria (passo A.01). [S.11] Emite e envia o Certificado e o Selo, e os publica no site No prazo mximo de 15 (quinze) dias aps a aprovao pelo Comit de Certificao, a SBIS emitir e enviar ao Solicitante o Certificado e o Selo de Certificao SBIS/CFM (ver item 4.6. ) em arquivos eletrnicos, e os publicar no stio da Certificao na internet. Em seguida, encerrar e arquivar o processo (passo S.04). Dentre os membros da Diretoria que decidirem sobre a certificao de um especfico SRES, no podero estar auditores nem membros do Comit de Certificao que participaram da avaliao daquele S-RES. [S.12] Comunica a reprovao No prazo mximo de 15 (quinze) dias aps a reprovao pelo Comit de Certificao, a SBIS comunicar tal fato por escrito ao Solicitante, justificando os motivos e apontando explicitamente os resultados negativos que determinaram tal reprovao. [S.13] Auditores revisam os registros e resultados da auditoria Ao receber um recurso para reviso de resultado de auditoria, a SBIS reunir os auditores que executaram a auditoria contestada. A partir dos argumentos expostos pelo Solicitante no recurso e com o apoio das imagens e sons gravados durante as sesses de auditoria, o grupo reavaliar os resultados apontados e emitir um documento que poder ratificar ou retificar os resultados originais. 5.1.3. Sub-Processos Alternativos Os processos aqui descritos representam subconjuntos de atividades integrantes do processo padro, e so compostos de atividades executadas tanto pela SBIS quanto pelo Solicitante. [A.01] Ajustes e 2 ciclo de auditoria
Verso 4.0 Dezembro/2011 Pgina: 38/101
CERTIFICAO 2011
Ao concluir a auditoria de um S-RES, a SBIS poder, exclusivamente a seu critrio, considerando a quantidade e abrangncia das no-conformidades identificadas, proporcionar ao Solicitante oportunidade para que este realize no S-RES os ajustes necessrios soluo das no-conformidades apontadas na auditoria, Em seguida, ser executado um segundo ciclo de auditoria, ainda dentro do mesmo processo. Caso o Solicitante aceite tal oportunidade, dever efetuar o pagamento da Taxa de Realizao de 2 Ciclo de Auditoria (ver item 4.7. ). O prazo mximo para a realizao dos ajustes ser de 90 (noventa) dias corridos a partir da comunicao da SBIS ao Solicitante, devendo a nova auditoria (2 ciclo) ser realizada na data mais prxima disponvel aps este perodo. A nova auditoria ser realizada obrigatoriamente sobre o mesmo S-RES e na mesma configurao originalmente auditadas, atualizando-se apenas a verso constante no processo para a nova verso resultante dos ajustes efetuados pelo Solicitante, a qual dever conter apenas as alteraes necessrias soluo das no-conformidades apontadas. Este passo compreende a execuo, por parte da SBIS, do passos S.05, S.06, S.07 e S.08, e por parte do Solicitante dos passos P.06, P.07 e P.08, todos descritos anteriormente neste manual. Deve-se atentar para que a somatria dos prazos estipulados para cada passo no ultrapasse o prazo mximo definido para o presente processo. Este passo poder ser realizado uma nica vez dentro de um processo de certificao, no sendo passvel de repetio. Caso este segundo ciclo de auditoria ainda aponte para no-conformidades, independentemente da quantidade ou abrangncia das mesmas, o SRES ter sua certificao rejeitada.
CERTIFICAO 2011
A.01, os quais devero ser desconsiderados. Tambm devero ser desconsideradas as referncias auditoria nos passos S.09, S.10, S.13 e P.09, considerando-se, no seu lugar, a deciso quanto concesso ou no da extenso pretendida.
Verso 4.0
Dezembro/2011
Pgina: 40/101
CERTIFICAO 2011
Verso 4.0
Dezembro/2011
Pgina: 41/101
CERTIFICAO 2011
Elaborar cronogramas; Convocar os auditores; Responder as dvidas e questionamentos sobre o processo de certificao e Interagir com a Diretoria da SBIS nas questes pertinentes certificao.
6.3. Auditores
O Centro de Certificao conta com um quadro de auditores credenciados para a execuo das auditorias dos S-RES submetidos certificao. Compete aos auditores: Realizar as auditorias conforme as regras estabelecidas pela SBIS; Documentar todos os resultados obtidos, de forma objetiva e sem influncia de valores ou opinies pessoais; Declarar-se impedido quando houver algum conflito de interesse que impea a realizao do trabalho com objetividade e imparcialidade; Manter em sigilo, permanentemente, todas as informaes sobre o Solicitante, o SRES e a certificao a que tenha acesso em razo de sua participao no processo de certificao; No estar envolvido, diretamente ou indiretamente, com a organizao cujo S-RES est sendo avaliado, com seus fornecedores, clientes, concorrentes ou outra qualquer parte interessada, de maneira tal que sua imparcialidade possa ser comprometida. Para se tornar um auditor do Centro de Certificao, o profissional deve obrigatoriamente atender aos seguintes requisitos: Ser Membro Titular da SBIS e estar em dia com suas obrigaes perante a mesma; Ter realizado e sido aprovado no Curso para Auditores do Centro de Certificao da SBIS; Para se tornar um auditor senior, o auditor deve ter participado de, no mnimo, duas auditorias na condio de trainee. O processo de credenciamento de auditores, incluindo as regras detalhadas e a programao das turmas do respectivo curso, sero publicadas no stio da SBIS na internet.
6.4. Secretaria
A Secretaria do Centro de Certificao responsvel pelos aspectos administrativos e burocrticos do Centro, e apia seus membros, especialmente o Gerente, nas atividades relacionadas certificao. A Secretaria do Centro de Certificao poder, a critrio da Diretoria da SBIS, ser exercida pela sua Secretria Administrativa. Compete tambm Secretaria: Controlar todos os documentos, dados e registros relativos certificao, garantindo o controle do acesso e da distribuio das informaes s pessoas
Verso 4.0 Dezembro/2011 Pgina: 42/101
CERTIFICAO 2011
autorizadas e garantindo a confidencialidade, integridade e atualidade das informaes mantidas. Os documentos obsoletos e o registros devem ser mantidos por um perodo de tempo no inferior a cinco anos; Manter registros de qualificao, treinamento e experincia e compromisso pertinentes de cada pessoa envolvida no processo de certificao.
CERTIFICAO 2011
Verso 4.0
Dezembro/2011
Pgina: 44/101
CERTIFICAO 2011
O nome da empresa ou instituio O nome do produto (S-RES) certificado A verso do produto (S-RES) certificado O ano-base dos requisitos considerados na certificao (ano que aparece no selo de certificao) As categorias certificadas Desta forma, vlido o seguinte exemplo de citao: O (nome do S-RES e verso) desenvolvido pela (Nome da empresa) recebeu a Certificao SBIS/CFM na(s) categoria(s) (indicar categorias) com base nos requisitos de (ano-base requisitos)". Exemplo: O sistema YYY, verso 9.99 da ZZZ LTDA recebeu a Certificao SBIS/CFM na categoria Ambulatorial NGS1 com base nos requisitos de 2009. vetado ao Cliente Certificado usar a certificao de maneira a prejudicar a imagem da SBIS ou do CFM, assim como fazer qualquer declarao sobre a certificao que a SBIS ou o CFM possa considerar indevida ou no autorizada. A Certificao SBIS/CFM indica que um S-RES foi testado em relao a um conjunto de requisitos de segurana, estrutura, contedo e funcionalidade, bem como a aderncia ao padro TISS, e que durante a auditoria todos os requisitos especificados em cada categoria apontada no Selo de Certificao foram integralmente verificados. Estes requisitos para a certificao so um conjunto objetivo de critrios a serem considerados em um processo de avaliao de qualquer S-RES, facilitando o processo de busca e comparao entre sistemas disponveis no mercado, e diminuindo os riscos enfrentados por qualquer organizao interessada em adotar um novo S-RES.
Verso 4.0
Dezembro/2011
Pgina: 45/101
CERTIFICAO 2011
Apenas os S-RES que tenham sido certificados pela SBIS/CFM tero o direito, no exclusivo, de utilizar o selo SBIS/CFM em seus respectivos manuais e materiais promocionais durante o perodo de vigncia do respectivo certificado (ver item 4.4. ). O selo dever ser utilizado de modo que fique legvel, mantendo as mesmas propores, cores e aparncia do selo original, no podendo ser de qualquer modo estilizado. O selo no poder, em nenhuma hiptese, ser apresentado com destaque maior do que o nome do S-RES ou da organizao responsvel por sua comercializao. Se o selo for utilizado em uma pgina web, necessrio identificar claramente dentre os produtos apresentados na pgina, quais so os S-RES e respectivas verses que esto de fato certificados e quais no esto. Alm disto, o selo dever fornecer um link vinculado sua imagem que, ao ser acionado (clicado), remeta o usurio pgina do stio da SBIS na internet onde sejam apresentadas as informaes do S-RES detentor de tal selo.
Verso 4.0
Dezembro/2011
Pgina: 46/101
CERTIFICAO 2011
A auditoria realizada em um S-RES ser feita com base em cenrios reais de utilizao de sistemas de registro eletrnico em sade, concebidos de modo a test-los de forma rigorosa, garantindo o nvel de funcionalidade e segurana demandados pela sociedade em geral. A Certificao SBIS/CFM contribui para o aumento na adoo das Tecnologias da Informao na rea da sade, facilitando a escolha de sistemas por instituies, mdicos e outros profissionais da sade que no so especialistas em TI. Ao mesmo tempo, indica as caractersticas e funcionalidades necessrias para a construo de sistemas teis e confiveis, ajudando os desenvolvedores de S-RES a evolurem na direo de sistemas cada vez mais efetivos, seguros e completos.
Verso 4.0
Dezembro/2011
Pgina: 47/101
CERTIFICAO 2011
8. Requisitos de Conformidade
O captulo 2.1. apresenta uma descrio resumida de cada um dos padres utilizados na elaborao dos requisitos. Vrios destes padres descrevem caractersticas e funcionalidades que idealmente devem estar presentes em um S-RES, independentemente do seu nicho de aplicao. As caractersticas e funcionalidades existentes em padres respeitados nacional ou internacionalmente podem e devem ser utilizadas como base para facilitar a avaliao de um S-RES, bem como para o planejamento de novas verses de S-RES ao longo do tempo (incorporando caractersticas e funcionalidades existentes no padro, mas ainda no disponveis no sistema). Do ponto de vista do processo de certificao, necessrio estabelecer critrios objetivos que possam ser utilizados de modo uniforme em cada auditoria, garantindo que os S-RES avaliados tenham as mesmas chances de serem ou no aprovados no processo, independentemente dos auditores envolvidos. Os requisitos obrigatrios da Certificao SBIS/CFM foram extrados dos padres acima mencionados. Destes padres foram selecionados os requisitos mais adequados realidade brasileira. Vrios requisitos obrigatrios no cenrio internacional foram definidos como recomendveis ou opcionais neste manual. Estes devem ser vistos como funcionalidades ou caractersticas desejveis para futuros desenvolvimentos. Os requisitos da certificao SBIS/CFM foram agrupados da seguinte forma: Requisitos de Segurana Requisitos de Estrutura, Contedo e Funcionalidades para S-RES Assistencial Requisitos para GED (para aplicao futura) Requisitos para TISS Os prximos captulos apresentam todos os requisitos que compem a Certificao SBIS/CFM, exibidos de forma tabular com as seguintes informaes: Coluna ID Requisito Referncia Conformidade Descrio Identificao do requisito, utilizando codificao padronizada Nome do requisito Padro ou norma de referncia que deu origem ao requisito Descrio do requisito, incluindo exemplos sempre que apropriado. Adicionalmente, pode incluir indicaes de como o requisito ser avaliado durante a auditoria M Mandatrio: Deve ser obrigatoriamente atendido pelo S-RES. R Recomendado: Requisito importante, porm ainda no obrigatrio. Possui alta probabilidade de tornar-se obrigatrio nas prximas verses deste manual. O Opcional: X No se aplica: Requisito relevante, porm de adoo opcional. Requisito no aplicvel situao apresentada.
Presena
Verso 4.0
Dezembro/2011
Pgina: 48/101
CERTIFICAO 2011
Os requisitos com a presena "R" (Recomendado) tratam-se, geralmente, de requisitos j obrigatrios nos padres de referncia, como os da CEE-IS/ABNT e do Comit ISO/TC 215. Porm, encontram-se aqui apenas como "recomendados" com o objetivo de preparar o mercado desenvolvedor e permitir que sejam implementados gradualmente. indicado, portanto, que os desenvolvedores adotem aes para atender estes requisitos nas prximas verses de seus S-RES. Nos requisitos do Nvel de Garantia de Segurana 1 (NGS1), a coluna "Presena" est dividida entre "Local" e "Remoto", refletindo como cada requisito deve ser considerado de acordo com o enquadramento do S-RES que est sendo auditado (ver item 8.1. ). O Manual Operacional de Ensaios e Anlises para Certificao de S-RES apresenta os scripts de teste para verificao da conformidade de todos os requisitos mandatrios (M). Os demais requisitos (recomendados e opcionais) somente tero scripts de teste divulgados a partir do momento em que tornarem-se mandatrios.
CERTIFICAO 2011
tambm a forma como o sistema est sendo utilizado, j que o S-RES, por si s, no ser suficiente para garantir a legitimidade de qualquer informao. Por exemplo, o S-RES possui mecanismos para validar seus usurios atravs de identificao e senha, mas este mecanismo se torna irrelevante na medida em que todos os usurios do sistema usam a mesma identificao e senha para acessar o sistema. J os S-RES classificados como NGS2 estaro, a princpio, autorizados a substituir o papel, em conformidade com a ICP-Brasil, desde que atendam integralmente aos requisitos obrigatrios de estrutura, contedo e funcionalidades (ver item 8.1.2). Recomenda-se que as instituies que queiram substituir o papel faam tambm a certificao de aderncia Norma ABNT NBR ISO/IEC 27.001:2006[20] junto a Organismos Acreditados de Certificao. O uso efetivo de certificados digitais, em conjunto com a observncia dos demais requisitos de segurana, depender tambm da forma como o S-RES for utilizado por seus usurios. Para efeito da certificao SBIS/CFM, os S-RES foram classificados em: Acesso Local - todo S-RES instalado num nico computador, com acesso ao sistema apenas neste equipamento. Alm disso, um S-RES de acesso local no dever permitir o acesso simultneo por mais de um usurio. Acesso Remoto - todo S-RES que permite o acesso simultneo ao sistema, no computador onde o S-RES est instalado, ou em computador remoto, atravs de algum tipo de conexo (rede local, conexo sem-fio, internet, etc.). 8.1.2. Estrutura, Contedo e Funcionalidades para S-RES Assistencial Conforme j exposto no item 3.1. , a categoria Assistencial aplica-se a qualquer S-RES voltado assistncia sade de indivduos. Adicionalmente, um S-RES Assistencial poder ser complementado pelo bloco de requisitos para atendimento Ambulatorial. Sistemas voltados a outros tipos de atendimento assistencial, como sistemas de informao hospitalar, pronto-atendimento e sade ocupacional sero gradualmente contemplados nesta categoria em futuras verses deste manual. Neste conjunto de requisitos, a coluna "Presena" est representada por duas colunas: G = Geral: aplicvel a todo e qualquer S-RES Assistencial; A = Ambulatorial: aplicvel exclusivamente a S-RES Ambulatorial. 8.1.3. GED Os requisitos para sistemas de GED (Gerenciamento Eletrnico de Documentos) contemplam as necessidades bsicas a este tipo de recurso para a digitalizao, guarda e manuseio dos pronturios em meio eletrnico, atendendo fundamentalmente a Resoluo CFM N 1821/2007. Encontra-se publicado nesta verso do manual somente um conjunto mnimo preliminar de requisitos para referncia, os quais sero expandidos quando esta categoria tornar-se passvel de certificao.
Verso 4.0
Dezembro/2011
Pgina: 50/101
CERTIFICAO 2011
8.1.4. TISS Os requisitos especficos para verificar a aderncia ao padro TISS refletem o contedo da RN 153, de 29/05/2007, da ANS. Os requisitos foram agrupados em contedo, estrutura e comunicao de dados, para que assim um sistema possa ser considerado em conformidade com o TISS. Alm disto, preciso distinguir se o S-RES tem como foco a automao de operadoras de planos de sade (mdico e/ou odontolgico) ou a automao de prestadores de servios de sade (categorias 1, 2 e 3). Esta subdiviso respeitou os agrupamentos adotados pela ANS, conforme apresentado no item 3.1. Cabe ainda lembrar que na definio dos requisitos de contedo e estrutura para S-RES utilizados por Prestadores pertencentes ao Grupo 1, foi ainda necessrio distinguir entre S-RES para SADTs isolados, e S-RES para todos os demais tipos de instituio contidos neste grupo. Os conjuntos de requisitos TISS devem ser atendidos conforme o seguinte esquema (Tabela 2), considerando-se o tipo do servio prestado e as categorias descritas no item 3.1. : Tabela 2 - Esquema de conjuntos de requisitos TISS
A Prestador Grupo 1 Grupo 2 Grupo 3 TISS.01 TISS.02 TISS.03 B Comunicao Lado Prestador TISS.06 TISS.07 C Comunicao Lado Operadora TISS.08 TISS.09 D Operadora TISS.04 TISS.05
Para facilitar o entendimento do esquema acima, podem ser consideradas as seguintes possibilidades: Sistemas voltados ao uso dos Prestadores devem atender os requisitos da coluna A; Sistemas voltados ao uso dos Prestadores e que tambm efetuam a comunicao com as Operadoras, devem atender os requisitos das colunas A e B; Sistemas voltados ao uso das Operadoras devem atender os requisitos da coluna D; Sistemas voltados ao uso das Operadoras e que tambm efetuam a comunicao com os Prestadores, devem atender os requisitos das colunas C e D; Sistemas voltados apenas comunicao entre Prestadores e Operadoras (caso tpico das empresas de conectividade) devem atender os requisitos das colunas B e C. Delimitadas as colunas aplicveis, deve-se ento cruz-las com as devidas linhas da tabela, conforme os grupos definidos pela ANS (ver Tabela 1), para se obter os conjuntos de requisitos a serem atendidos para a certificao.
Verso 4.0
Dezembro/2011
Pgina: 51/101
CERTIFICAO 2011
NGS1.01.02
Cdigo fonte
R R R
R R R
NGS1.01.03 NGS1.01.04
NGS1.01.05
Verso 4.0
Dezembro/2011
Pgina: 52/101
CERTIFICAO 2011
ID NGS1.02.02 REQUISITO Mtodo de autenticao REFERNCIA HL7 ERH-S FM IN1.1 ABNT NBR ISO/IEC 27001:2006 A.11.5.1 CONFORMIDADE Utilizar, no mnimo, um dos seguintes mtodos de autenticao: Usurio e senha; Certificado digital; One Time Password (OTP); e/ou Biometria. Nota: Outros mtodos de autenticao devero ser avaliados individualmente. Para isso, devero apresentar documentao demonstrando o nvel segurana, sendo minimamente necessrio nvel equivalente ou maior em relao ao mecanismo baseado em usurio e senha. Todos os dados ou parmetros utilizados no processo de autenticao de usurio devem ser armazenados de forma protegida, de acordo com o NGS1.07.09. Exemplos: Mtodo: usurio e senha: a) A senha deve ser armazenada de forma codificada b) As codificaes das senhas devem ser protegidas contra acesso no autorizado. c) Recomenda-se a implementao de tcnicas de SALT. Mtodo: On time password (OTP) a) As sementes de gerao dos valores numricos devem ser protegidas contra acesso no autorizado. Mtodo: Biometria a) Os templates biomtricos dos usurios devem ser protegidos contra acesso no autorizado. b) As amostras biomtricas coletadas e transmitidas durante o processo de autenticao devem ser protegidas contra acesso no autorizado. M M
Local Remoto
NGS1.02.03
SBIS
Verso 4.0
Dezembro/2011
Pgina: 53/101
CERTIFICAO 2011
ID NGS1.02.04 REQUISITO Segurana de senhas REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.11.5.3 CONFORMIDADE Condio: Utilizao de autenticao baseada em usurio/senha. Utilizar os seguintes controles de segurana: Qualidade da senha: verificar a qualidade da senha no momento de sua definio pelo usurio, obrigando a utilizao de, no mnimo, 8 caracteres dos quais, no mnimo, 1 caractere deve ser no alfabtico; Periodicidade de troca de senhas: o S-RES deve ter funcionalidade de obrigar a troca de senhas pelos usurios, em um perodo mximo configurvel; Armazenar a senha de forma codificada. Como exemplo, armazenar somente o cdigo hash. O S-RES deve ter mecanismos para bloquear o usurio aps um nmero mximo configurvel de tentativas invlidas de login. Todo usurio deve possuir um identificador no sistema que, eventualmente em conjunto com outros identificadores, o identifique univocamente, e possa ser utilizado nos processos de autenticao e auditoria. Para isso, no momento do cadastro, o sistema deve verificar se existe duplicidade, verificando a pr-existncia dos principais identificadores (ex: nome, RG, CPF, nmero profissional).
Local Remoto
NGS1.02.05
NGS1.02.06
NGS1.03.02
Verso 4.0
Dezembro/2011
Pgina: 54/101
CERTIFICAO 2011
NGS1.04.02
NGS1.04.03
Garantir que o acesso aos dados do S-RES seja somente possvel por meio de canais de interao pr-definidos (web, console local, interface entre aplicativos), com atuao obrigatria de mecanismos de controle de acesso. Permitir o gerenciamento de usurios (criao, inativao e modificao), gerenciamento de papis (criao, inativao e modificao) e gerenciamento de grupos (criao, Inativao e modificao). Possuir funcionalidades que permitam, no mnimo, as seguintes atividades: Administrador: configurao dos parmetros de TI do S-RES; Operador de cpias de segurana: realizao e restaurao de cpias de segurana; Operador: iniciao e encerramento do sistema, monitorao do sistema. Gestor de usurios: gerenciamento de usurios do sistema; gerenciamento dos perfis de usurios do sistema; gerenciamento de permisses aos servios do sistema. Auditor: auditoria dos registros do sistema. Disponibilizar mecanismos necessrios para que seja possvel implementar a poltica de controle de acesso atravs da configurao dos perfis de acesso, considerando os papis de usurio, dos grupos e das operaes que podem ser realizadas, inclusive a diferenciao de operaes de consulta e de incluso/alterao. Considerar que um mesmo usurio pode possuir mais de um papel.
NGS1.04.04
Papis relacionados TI
NGS1.04.05
NGS1.04.06
Concesso de autorizaes
HL7 ERH-S FM IN1.2; ABNT NBR ISO/IEC 27001:2006 A.11.6 ISO/TS 18308:2004(E) PRS3.3 HL7 ERH-S FM IN1.2
Garantir que haja ao menos um usurio responsvel pela concesso de autorizao e pelo controle de acesso aos recursos de acordo com o escopo de atuao, a poltica organizacional e legislao. Nota: Preferencialmente um usurio dedicado a esta atividade.
Verso 4.0
Dezembro/2011
Pgina: 55/101
CERTIFICAO 2011
ID NGS1.04.07 REQUISITO Delegao de poder REFERNCIA SBIS CONFORMIDADE Condio: Inteno de fornecer suporte delegao de poder. Sendo o atribuidor aquele responsvel por autorizar a delegao de poder e o delegado aquele quem recebe a delegao de poder, ento: O atribuidor deve ser previamente autorizado para conceder tais autorizaes; A delegao de poder deve ser registrada no sistema; A delegao de poder deve informar: O atribuidor; O delegado; O motivo O instante da concesso O perodo de vigncia Nota: Como exemplo de delegao pode-se citar um mdico que delega poder de entrada de informaes ao RES de um paciente para uma enfermeira. Garantir que o paciente possa ter acesso a todas as suas informaes pessoais e clnicas armazenadas no S-RES. Caso o S-RES no permita acesso direto do prprio paciente ao S-RES, deve existir um papel de usurio que permita realizar esta atividade em nome do paciente. O paciente dever poder levar consigo estas informaes em formato eletrnico ou impresso. O sistema dever disponibilizar uma interface para impresso de declarao do usurio de que est recebendo suas informaes. M Tanto no caso do paciente acessar diretamente as informaes, quanto no caso da existncia de um responsvel direto pelo acesso a estas informaes, as atividades de exportao de dados e impresso da declarao de recebimento devem ser registrada com, no mnimo, as seguintes informaes: Usurio que executou a atividade Nome completo do paciente Local e instante da operao Permitir que o paciente possa adicionar restries de acesso a uma determinada parte ou totalidade de seu RES. M
Local Remoto
NGS1.04.08
NGS1.04.09
Verso 4.0
Dezembro/2011
Pgina: 56/101
CERTIFICAO 2011
NGS1.05.02
NGS1.06.02
NGS1.06.03
Controle de acesso do cliente ao servidor Restrio de dados transmitidos Segurana da comunicao entre componentes
ABNT NBR ISO/IEC 27001:2006 A.10.9.2 ABNT NBR ISO/IEC 27001:2006 A.10.9.2 ABNT NBR ISO/IEC 27001:2006 A.10.9.2
NGS1.06.04
Verso 4.0
Dezembro/2011
Pgina: 57/101
CERTIFICAO 2011
ID NGS1.06.05 REQUISITO Controle de acesso entre componentes Comunicao entre S-RES. REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.10.9.2 HL7 ERH-S FM IN1.7 CONFORMIDADE Em S-RES composto por diversos componentes distribudos (localizados em computadores diferentes), na comunicao entre tais componentes (como, por exemplo, com o banco de dados), o acesso ao componente deve ser restrito somente aos parceiros (componentes) previamente autorizados. O canal de comunicao entre S-RES deve oferecer os seguintes servios de segurana: autenticao de parceiro (cliente e servidor) utilizando certificados digitais, integridade dos dados e confidencialidade dos dados.
Local Remoto
NGS1.06.06
NGS1.07.03
NGS1.07.04
NGS1.07.05 NGS1.07.06
Impedir excluso e alterao Verificao de integridade dos dados Utilizao de SGBD Impedir acesso direto ao SGBD Dados de identificao do paciente criptografados Confirmao de entrega
R M
R M
NGS1.07.07
SBIS
NGS1.07.08
SBIS
Verso 4.0
Dezembro/2011
Pgina: 58/101
CERTIFICAO 2011
ID NGS1.07.09 NGS1.07.10 REQUISITO Algoritmos criptogrficos Visualizao do histrico de alteraes REFERNCIA ICP-Brasil SBIS CONFORMIDADE No podem ser utilizados mecanismos ou algoritmos de desenvolvimento prprio. Somente algoritmos especificados no DOC-ICP.01.01 devem ser utilizados. Possuir funcionalidade de visualizao do histrico de alteraes dos registros.
Local Remoto
M M
M M
NGS1.08 Auditoria
ID NGS1.08.01 REQUISITO Auditoria contnua REFERNCIA ISO/TS 18308:2004(E) PRS5.1 ABNT NBR ISO/IEC 27001:2006 A.10.10.3 ABNT NBR ISO/IEC 27001:2006 A.10.10.1 CONFORMIDADE Gerar registros de auditoria de forma contnua, no permitindo sua desativao. O SRES deve gerar alerta quando o espao para armazenamento de registros de auditoria atingir um limiar de ocupao a fim de possibilitar aos operadores a realizao de medidas preventivas. Os dados das trilhas de auditoria devem ser protegidos contra acesso no autorizado. Alm disso, o S-RES deve impedir a alterao das trilhas de auditoria. Restringir o acesso s trilhas de auditoria somente aos usurios autorizados. M M
Local Remoto
NGS1.08.02
NGS1.08.03
Verso 4.0
Dezembro/2011
Pgina: 59/101
CERTIFICAO 2011
ID NGS1.08.04 REQUISITO Eventos e informaes registradas REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.10.10.1 ISO/TS 18308:2004(E) PRS5.3 CONFORMIDADE As trilhas de auditoria devem conter informaes relacionadas minimamente aos seguintes eventos: Criao, acesso e atualizao ao RES (exibio em tela, impresso ou download) Acesso de emergncia a informaes protegidas por instruo do paciente Pesquisa em dados do RES Exportao, incluindo transmisso e troca de dados, e impresso de RES Atividades de gerenciamento de usurios, papis e grupos Acesso aos registros de auditoria Tambem recomendado registrar os seguintes eventos: Incio e parada do sistema Tentativas de autenticao de usurio e seus resultados, com ou sem sucesso Finalizao, expirao e travamento de sesso de usurio Falhas de autenticao em troca de dados Gerao de assinatura digital Eventos de administrao de segurana, incluindo troca de senhascpia de segurana e restaurano Acessos base de dados Com relao aos eventos citados acima, as trilhas de auditoria devem possuir, no mnimo, as seguintes informaes para cada evento: Identidade do usurio Identidade do autorizador, em caso de ser diferente do usurio O papel que o usurio est exercendo, no caso de haver mais de um papel para o usurio em questo A organizao do usurio, no caso do usurio possuir registro no sistema de relao com mais de uma organizao A justificativa, em caso de acesso de emergncia Data/hora Dispositivo do usurio ou ponto de acesso Possuir uma interface de visualizao dos registros de auditoria, que minimamente exiba os registros em ordem cronolgica. Tal interface deve possuir acesso restrito a usurios autorizados.
Local Remoto
NGS1.08.05
SBIS
Verso 4.0
Dezembro/2011
Pgina: 60/101
CERTIFICAO 2011
ID NGS1.08.06 REQUISITO Exportao e visualizao dos registros de auditoria REFERNCIA SBIS CONFORMIDADE Possuir funcionalidade de exportao dos dados de auditoria, de tal forma que os mesmos possam ser visualizados em aplicativo externo. Tal aplicativo pode prover funcionalidades de busca e ordenao para facilitar sua manipulao.
Local Remoto
NGS1.09 - Documentao
ID NGS1.09.01 REQUISITO Documentao REFERNCIA SBIS CONFORMIDADE Possuir no(s) manual(is) as seguintes informaes: Viso geral do S-RES, incluindo formas de operao, requisitos do ambiente, papis de usurios relevantes (por exemplo: administrador, operador, operador de backup, etc); Instalao e configurao do S-RES; Instalao e configurao dos componentes complementares (ex: SGBD,sistema operacional, etc); Recomendao sobre a forma de configurao segura do S-RES e componentes complementares (ex: configurao da quantidade de tentativas sem sucesso de login deve ser 5) e forma de operao segura do S-RES. Todos os manuais devem indicar claramente, no incio do documento, a verso a que se referem.
Local Remoto
NGS1.09.02
NGS1.09.03 NGS1.09.04
SBIS
NGS1.09.05
NGS1.09.06
SBIS
Informar e manter histrico de todas as alteraes nos manuais, para que o usurio possa consultar todas as alteraes realizadas at a ltima verso disponvel. O manual de instalao deve informar como realizar a configurao de um usurio com perfil de operador de backup no SGBD. Alm disso, manual de instalao deve informar como configurar o SGBD de forma que as atividades de exportao e restaurao de uma cpia de segurana dos dados possa ser realizada somente pelo usurio com papel de operador de backup. O manual de instalao deve informar como configurar o SGBD de forma a impedir o acesso de entidades (usurios ou outros sistemas) no autenticadas e no autorizadas pelo componente de autenticao e controle de acesso do S-RES.
SBIS
O manual de instalao ou operao deve informar que, quando houver gerao e restaurao de cpia de segurana, o sistema deve realizar a verificao da integridade dos dados. Dezembro/2011
Verso 4.0
Pgina: 61/101
CERTIFICAO 2011
ID NGS1.09.07 REQUISITO Configurao da Segurana da comunicao entre componentes Sincronizao de relgio REFERNCIA SBIS CONFORMIDADE O manual de instalao e operao deve informar que a comunicao entre os componentes de um S-RES distribudo deve implementar os servios de segurana de autenticao de parceiro (cliente e servidor), integridade dos dados e confidencialidade dos dados, e dar orientaes para tal configurao.
Local Remoto
NGS1.09.08
O manual de administrao e operao deve informar ao administrador que os componentes do S-RES devem estar com seus relgios sincronizados e referenciados a uma nica e mais confivel fonte temporal. O manual deve tambm informar as formas para que a sincronizao possa ser configurada no ambiente.
NGS1.10 - Tempo
ID NGS1.10.1 REQUISITO Uniformidade da representao de tempo para controle e auditoria Formato da representao de tempo em registros eletrnicos exportados Fonte temporal REFERNCIA SBIS CONFORMIDADE Todo registro de tempo para fins de controle e auditoria deve estar no mesmo formato em todo o S-RES.
Local Remoto
NGS1.10.2
NGS1.10.3
Todo registro de tempo presente em registros eletrnicos exportados deve ser representado no formato da ISO 8601:2004 e RFC 3339, incluindo o horrio local e sua diferena para o UTC. Exceo somente do carimbo de tempo, que segue RFC 3161. Exemplo: evento no dia 12 de abril de 1985, ocorrido s 10 horas, 15 minutos e 30 segundos no horrio de Braslia, fora do horrio de vero, que corresponde a 3 horas atrs do UTC (Coordinated Universal Time). Sintaxe: 1985-04-12T10:15:30-03:00 Todo registro de tempo para fins de controle e auditoria em todo o S-RES deve ser baseado em uma nica e mais confivel fonte temporal, que no tenha acesso de configurao pelo usurio a no ser pelo administrador do sistema.
Verso 4.0
Pgina: 62/101
CERTIFICAO 2011
NGS1.12.02
SBIS
NGS1.12.03
NGS1.12.04
SBIS
Condio: S-RES que utiliza certificado digital para autenticao. Os componentes de um S-RES que utilizam certificao digital para autenticao devem ser homologados pela ICP-Brasil. R R
NGS1.13 Privacidade
ID NGS1.13.01 REQUISITO Exibio de mensagem de cincia de uso REFERNCIA SBIS CONFORMIDADE Exibir imediatamente aps o primeiro acesso do usurio no sistema no dia, uma mensagem de confidencialidade e uso apropriado das informaes de sade identificadas acessveis pelo sistema, assim como as consequncias do uso inadequado.
Local Remoto
Verso 4.0
Dezembro/2011
Pgina: 63/101
CERTIFICAO 2011
NGS1.13.02 Consentimento do paciente Associao do consentimento informao de sade Acesso de emergncia Propsito de uso Restrio de exportao por propsito de uso Restries para transmisso e exportao de RES SBIS SBIS Registrar o consentimento do paciente referente ao propsito de uso da informao clnica, assim como de quem poder ter acesso a tal informao, incluindo a possibilidade de acesso de emergncia. Em situaes em que informaes pessoais de sade, em formato eletrnico, forem transmitidas para fora do domnio da instituio, as informaes de consentimento devero acompanhar os dados, de forma a permitir que o sistema receptor respeite as diretivas do consentimento. Permitir o acesso de emergncia somente a pessoas autorizadas, e seu uso deve ser registrado nas informaes de auditoria. Registrar o propsito de uso das informaes pessoais de sade, e utilizar tais informaes somente para os propsitos consentidos. A exportao ou impresso de informaes pessoais de sade devem respeitar o propsito de uso e consentimento.
NGS1.13.03
R R
R R
NGS1.13.07
SBIS
A transmisso e exportao de RES de um S-RES, incluindo impresso, deve ser permitida somente nas seguintes situaes: para transmisso para um outro sistema; cpia de segurana; para o paciente, a pedido do paciente, podendo ser realizada de forma eletrnica ou impressa; em processos nos quais seja necessria a impresso de parte ou todo do RES; para atendimento ao requisito legal de manter documentao em papel atravs da impresso. Todas as atividades de transmisso e exportao de RES devem ser registradas.
Verso 4.0
Dezembro/2011
Pgina: 64/101
CERTIFICAO 2011
M M
NGS2.01.04
ICP-Brasil SBIS
NGS2.01.05
NGS2.02.02
X.509
Verso 4.0
Dezembro/2011
Pgina: 65/101
CERTIFICAO 2011
ID NGS2.02.03 REQUISITO Referncia temporal para revogao REFERNCIA RFC 3161 ETSI TS 101 733 DOC-ICP-11 DOC-ICP-12 DOC-ICP-13 CONFORMIDADE Toda assinatura digital ICP-Brasil realizada no mbito do S-RES deve incluir um carimbo de tempo compatvel com RFC 3161 a ser utilizado como referncia temporal nas atividades de verificao de revogao. O carimbo de tempo deve ser anexado to logo possvel aps a assinatura. O certificado de assinatura de carimbo de tempo precisa possuir o propsito de uso de chave (KeyPuposeID) para assinatura de carimbo de tempo definido no extended key usage como timestamping (1.3.6.1.5.5.7.3.8). Recomenda-se que a autoridade de carimbo de tempo esteja homologada na ICP-Brasil; ou que a autoridade de carimbo de tempo seja auditada pelo Observatrio Nacional. Caso contrrio, obrigatrio que a autoridade de carimbo de tempo integre o S-RES e seja sincronizada via protocolo NTP com o Observatrio Nacional, com periodicidade de sincronizao mnima de 60 minutos. Ser capaz de validar documentos com mais de uma assinatura digital. Isto representa uma situao de co-assinatura. O processo de validao de assinatura digital, alm da validao da integridade, deve seguir as mesmas caractersticas descritas no requisito NGS2.01.03 sobre a validao dos certificados digitais dos signatrios. Realizar a validao da assinatura antes da aceitao formal da mesma no sistema, ou seja, imediatamente depois da assinatura e no momento da importao de um registro assinado, assim como permitir a validao pelo usurio a qualquer momento, por exemplo, durante uma pesquisa ou consulta de registros. A validao da assinatura inclui: a) a verificao do carimbo de tempo, quando presente, procedendo a verificao do certificado e da assinatura da autoridade de carimbo de tempo a qual forneceu o carimbo de tempo, e prosseguindo as validaes com a referncia temporal assinada do carimbo de tempo, conforme RFC 3161; b) a verificao do formato da assinatura, do estado do certificado do(s) signatrio(s) referente expirao e revogao, e do estado dos certificados da(s) cadeia(s), referente ao momento do carimbo de tempo, ou se este no estiver presente, ao momento da assinatura (signingtime), de acordo com a RFC 5280 (Internet X.509 Public Key Infrastructure - Certificate and Certificate Revocation List - CRL Profile) ou RFC 2560 (Internet X.509 Public Key Infrastructure - Online Certificate Status Protocol OCSP). Incluir, em toda assinatura digital realizada, o propsito da assinatura (atributo commitment-type-indication), ou seja, o tipo de comprometimento que o signatrio assume no momento de firmar a assinatura digital, e o papel do signatrio (atributo role) no S-RES.
PRESENA
NGS2.02.04
SBIS
NGS2.02.05
ICP-Brasil RFC 3280 RFC 2560 RFC 3161 ETSI TS 101 733
NGS2.02.06
Verso 4.0
Dezembro/2011
Pgina: 66/101
CERTIFICAO 2011
ID NGS2.02.07 REQUISITO Visualizao das informaes a serem assinadas Homologao ICP-Brasil Formato de assinatura para exportao eletrnica de registros assinados Instante da assinatura Certificado de Atributo Informaes de certificao digital REFERNCIA SBIS CONFORMIDADE Sempre permitir a visualizao da informao a ser assinada.
PRESENA
M ICP-Brasil ICP-Brasil
NGS2.02.08 NGS2.02.09
Os componentes de um S-RES que utilizam certificao digital para assinatura digital devem estar homologados pela ICP-Brasil. Seguir o disposto na DOC-ICP-15, da ICP-Brasil, que trata sobre a normalizao de assinatura digital, para o padro de assinatura digital com referncias completas (ADRC).
NGS2.02.14
NGS2.02.15
SBIS SBIS
NGS2.02.16
SBIS
Toda assinatura digital deve incluir o atributo signingtime, contendo o instante da assinatura no formato UTC. Possibilitar a incluso e validao de certificado de atributo (X.509) para qualificao do signatrio. A instituio deve manter em seu domnio todos os elementos necessrios (informaes sobre certificados raiz, cadeias de certificao, certificados dos signatrios e informaes de revogao) a fim de possibilitar que a assinatura digital possa ser validada a qualquer momento futuro. Esses elementos podem estar includos no registro assinado digitalmente ou referenciado por este e armazenado no S-RES. A assinatura deve conter o nmero do certificado obtido no processo de Certificao de SRES da SBIS para o sistema que est realizando a assinatura. O registro ser grafado como CertificadoSBIS_XXX-Y. Garantir a ordem temporal de assinatura e presena de todos os registros assinados para cada paciente. Isso deve ser implementando por meio do registro de um cdigo hash da sequncia de assinaturas. Ou seja, a cada assinatura, o hash sequencial deve ser atualizado com o valor resultante do processo: novo hash sequencial = hash (hash sequencial atual + hash assinatura encadeada). Possuir funcionalidade para que o usurio, a qualquer momento, consiga validar o encadeamento dos registros assinados digitalmente. Para isso, o sistema dever listar, em ordem temporal de assinatura todos os documentos assinados, e perfazer a validao, permitindo ao usurio a escolha de visualizao de qualquer documento.
M R
Verso 4.0
Dezembro/2011
Pgina: 67/101
CERTIFICAO 2011
ID NGS2.02.17 REQUISITO Contingncia em caso de indisponibilidad e da chave privada REFERNCIA SBIS CONFORMIDADE Condio: o S-RES permitir assinatura de contingncia. Em caso de no disponibilidade da chave privada de assinatura do profissional de sade, o S-RES deve permitir que o registro seja assinado por outro profissional, com autoridade similar ou superior, respeitando as questes de privacidade e consentimentos. Esta assinatura deve ser realizada com o propsito temporrio, at que o profissional cuja chave privada estava indisponvel, assine o registro. Este propsito deve ser estabelecido incluindo o atributo assinado commitment-type-indication com o propsito genrico id-ctiets-proofOfCreation, enquanto no seja definido um propsito mais especfico. Esse registro ficar pendente de assinatura pelo profissional cuja chave privada estava indisponvel. Caso o usurio possua alguma assinatura pendente, a lista de assinaturas pendentes deve ser exibida imediatamente aps a entrada do usurio no sistema, eventualmente aps da exibio de outras mensagens de segurana e privacidade. No momento da assinatura, caso no haja disponibilidade da OCSP ou da LCR publicada imediatamente antes da assinatura, o S-RES deve realizar a assinatura com a ltima LCR disponvel correspondente, e a assinatura ficar pendente de atualizao de LCR, a qual dever ser atualizao to logo haja disponibilidade de nova LCR. M
PRESENA
NGS2.02.18
NGS2.02.19
NGS2.02.20
Aviso de registro pendente de assinatura Contingncia em caso de indisponibilidad e de acesso a LCR no momento da assinatura Validao com LCR emitida aps assinatura
SBIS
SBIS
SBIS
Condio: registro validado por meio de LCR, e no OCSP. Revalidar o registro assinado to logo haja uma LCR emitida aps o momento de assinatura, e atualizar a LCR na assinatura. Caso essa validao indique que a assinatura foi realizada com um certificado revogado: a) uma mensagem imediata deve ser enviada aos responsveis da instituio e do profissional cujo certificado foi revogado; b) o registro deve ser colocado na lista de registros pendentes de assinatura. No momento da assinatura, deve haver a possibilidade de ser exibido para o usurio o contedo a ser assinado (registro), de forma formatada para legibilidade. Existem algumas possibilidades a serem consideradas: a) caso o registro seja um PDF, imagem ou TXT; b) caso o registro seja um XML ou HTML: necessrio assinar, conjuntamente com o registro, os arquivos utilizados para exibio formatada das informaes. Dezembro/2011
NGS2.02.21
SBIS
Verso 4.0
Pgina: 68/101
CERTIFICAO 2011
NGS2.04.02
SBIS
NGS2.04.03
Resoluo CFM
NGS2.04.06
NGS2.04.07
SBIS ICP-Brasil
M R
Verso 4.0
Dezembro/2011
Pgina: 69/101
CERTIFICAO 2011
ID NGS2.04.08 REQUISITO Certificado digital do sistema GED REFERNCIA SBIS CONFORMIDADE Todo componente de digitalizao deve possuir um par de chaves assimtricas e certificado digital associado, com propsito de uso de chave (KeyPuposeID) para autenticao de servidor definido no extended key usage como server authentication (1.3.6.1.5.5.7.3.1), com common name emitido conforme o Registro de Domnios para a Internet no Brasil (Registro.br) para a instituio de sade. Recomenda-se que seja emitido um certificado com subdomnio exclusivo para o processo de digitalizao, por exemplo: ged.hospitalexemplo.com.br.
PRESENA
Verso 4.0
Dezembro/2011
Pgina: 70/101
CERTIFICAO 2011
ID NGS2.05.02 REQUISITO Mensagem de verificao de registro assinado digitalmente formatado para impresso REFERNCIA SBIS CONFORMIDADE Condio: Impresso de registros assinados digitalmente com mensagem de verificao de registro assinado digitalmente Em caso de impresso de registros assinados digitalmente, os mesmos devem ser validados antes da impresso e deve ser adicionada a seguinte mensagem na parte inferior de cada pgina. Os dados variveis (nome, CPF, data e hora, nmero de certificado SBIS) devero ser extrados da assinatura. A hora e a data so respectivamente referentes ao signingtime e data e hora do carimbo de tempo. Este registro foi assinado digitalmente de acordo com a ICP-Brasil, MP-2.200-2/2001, Resoluo CFM 1821/2007, Resoluo CFO 91/2009, tendo sido gerado em um sistema certificado no processo de Certificao para Sistemas de Registro Eletrnico em Sade (So RES) da Sociedade Brasileira de Informtica em Sade (SBIS) sob N XXX-Y. (nome do signatrio), AC (nome da AC common name), CPF (CPF do signatrio), s (HH:MM+-fuso) de (DIA/MS/ANO), carimbado por (nome da ACT - Common Name) s (HH:MM+-fuso) de (DIA/MS/ANO) sob nmero (serial number do carimbo de tempo), validado <com LCR (serial number da LCR) publicada s (HH:MM+-fuso) de (DIA/MS/ANO) OU via OCSP (nome da OCSP common name) s (HH:MM+-fuso) de (DIA/MS/ANO) >. <Caso haja mais de uma assinatura, os mesmos dados devem ser apresentados para os outros signatrios na sequncia.> M
PRESENA
Verso 4.0
Dezembro/2011
Pgina: 71/101
CERTIFICAO 2011
ID NGS2.05.03 REQUISITO Relatrio de verificao de registros assinados digitalmente formatados para impresso REFERNCIA SBIS CONFORMIDADE Condio: Existncia do relatrio de verificao de registros assinados digitalmente formatados para impresso Para impresso do relatrio de verificao de assinaturas digitais, todos os registros assinados devem ser validados antes da gerao do relatrio e da impresso dos registros, e a seguinte mensagem deve ser impressa: Os registros a seguir esto assinados digitalmentes de acordo com a ICP-Brasil, MP-2.2002/2001, Resoluo CFM 1821/2007, Resoluo CFO 91/2009, tendo sido gerado em um sistema certificado no processo de Certificao para Sistemas de Registro Eletrnico em o Sade (S-RES) da Sociedade Brasileira de Informtica em Sade (SBIS) sob N XXX-Y.
PRESENA
Em seguida, dever vir a lista de registros assinados digitalmente, paginados sequencialmente, e para cada registro, indicar: As pginas a que se referem, o (nome do signatrio), AC (nome da AC common name), CPF (CPF do signatrio), s (HH:MM+-fuso) de (DIA/MS/ANO), carimbado por (nome da ACT - Common Name) s (HH:MM+-fuso) de (DIA/MS/ANO) sob nmero (serial number do carimbo de tempo), validado <com LCR (serial number da LCR) publicada s (HH:MM+fuso) de (DIA/MS/ANO) OU via OCSP (nome da OCSP common name) s (HH:MM+fuso) de (DIA/MS/ANO) >. Caso haja mais de uma assinatura, os mesmos dados devem ser apresentados para os outros signatrios na sequncia.
Verso 4.0
Dezembro/2011
Pgina: 72/101
CERTIFICAO 2011
ESTR.01.02
ESTR.01.03
Independncia
ESTR.01.04
ESTR.01.05
Verso 4.0
Dezembro/2011
Pgina: 73/101
CERTIFICAO 2011
ESTR.02.02
ESTR.02.03
ESTR.02.04
ESTR.02.05
ESTR.02.06
ESTR.02.07
Busca
ESTR.02.08
ESTR.02.09
ABNT ISO/TS 18308 EST2.6 ERH-S FM- IN 2.5.1 SBIS ABNT ISO/TS 18308 EST2.7 SBIS ABNT ISO/TS 18308 ISO EST2.8 SBIS ABNT ISO/TS 18308 EST2.9
Fazer pesquisa (de texto e dados numricos) em todos os campos (estruturados e de texto livre).
Garantir a incluso de texto estruturado para melhor qualificar o contedo de campos de texto livre, garantindo a associao destes comentrios com os dados ou informaes originais (vide ESTR.02.06). Enfatizar os comentrios ou dados registrados, devendo tal nfase ser apresentada associado ao respectivo comentrios ou dados originais. Exemplo: ativao de um flag ou boto, ou alterao de atributos da fonte (negrito, cor, etc.).
Verso 4.0
Dezembro/2011
Pgina: 74/101
CERTIFICAO 2011
ESTR.02.10 Validao da cronologia SBIS Parametrizar regras de validao de cronologia de dados ou informaes que possuam registro de tempo. Exemplo: alarmar se a data de bito for anterior data de nascimento; alertar se data de resultado de exame complementar for anterior data de sua solicitao.
ESTR.03.02
ESTR.03.03
Episdios de ateno
ESTR.03.04
ESTR.03.05
ESTR.03.06
Vigilncia
Verso 4.0
Dezembro/2011
Pgina: 75/101
CERTIFICAO 2011
ESTR.04.02
ESTR.04.03
ESTR.04.04
Arqutipos
ABNT ISO/TS 18308 EST2.10 SUS ABNT ISO/TS 18308 EST2.10 SUS SBIS SBIS
Estruturar captura de dados clnicos usando modelos de referncia. Exemplo: arqutipo de presso arterial ou apgar estruturado segundo a openEHR ou MLHIM.
Verso 4.0
Dezembro/2011
Pgina: 76/101
CERTIFICAO 2011
ESTR.05.02
ESTR.05.03
ESTR.05.04
ESTR.05.05
ESTR.05.06
ESTR.05.07
ESTR.05.08
ESTR.05.09
Linha de tempo
Verso 4.0
Dezembro/2011
Pgina: 77/101
CERTIFICAO 2011
ID ESTR.05.10 REQUISITO Fuso horrio REFERNCIA ABNT ISO/TS 18308 EST3.10 ABNT ISO/TS 18308 EST3.11 ABNT ISO/TS 18308 EST3.12 CONFORMIDADE Registrar o fuso horrio do local onde o registro foi realizado (vide ESTR.05.06). G M Registrar em todos os campos de datas o tempo com preciso de milissegundos (vide ESTR.05.06). Utilizar uma estrutura lgica de representao de tipos de dados padronizados. Exemplo: DICOM e MIME. A M
ESTR.05.11
ESTR.05.12
ESTR.07.02
ESTR.07.03
ESTR.07.04
ESTR.07.05
Verso 4.0
Pgina: 78/101
CERTIFICAO 2011
ID ESTR.07.06 REQUISITO Localizao do registro Contexto e razo Protocolo associado REFERNCIA ABNT ISO/TS 18308 EST3.19 ABNT ISO/TS 18308 EST3.20 ABNT ISO/TS 18308 EST3.21 CONFORMIDADE Registrar o contexto associado ao local onde o evento foi registrado. Exemplo: Registro efetuado na unidade matriz de um servio de atendimento domiciliar. Registrar o contexto associado razo do registro. Exemplo: Registro de mudana do status do pronturio para inativo por no comparecimento do paciente na unidade de atendimento aps 20 anos da ltima consulta. Registrar o contexto associado ao protocolo associado informao registrada. Exemplo: Registro disparado por procedimento, rotina ou protocolo de pesquisa clnica na unidade de atendimento do paciente. G R A R
ESTR.07.07
ESTR.07.08
ESTR.08 - Associaes
ID ESTR.08.01 REQUISITO Associao semntica Dados referenciados externamente REFERNCIA ABNT ISO/TS 18308 EST3.22 ABNT ISO/TS 18308 EST3.23 CONFORMIDADE Representar a associao semntica entre diferentes dados e informaes no RES, atravs de um servio de terminologias. Exemplo: relaes semnticas dos tipos semnticos do UMLS Associar dados referenciados externamente quando estes no puderem ser representados no RES, desde que a segurana dos dados do paciente no seja comprometida. Exemplo: enlace (link) de imagem mdica registrada em um outro sistema. G R A R
ESTR.08.02
ESTR.09.02
ESTR.09.03
Verso 4.0
Dezembro/2011
Pgina: 79/101
CERTIFICAO 2011
ID ESTR.09.04 REQUISITO Ambiguidade REFERNCIA ABNT ISO/TS 18308 EST4.4 ABNT ISO/TS 18308 EST4.5 ABNT ISO/TS 18308 EST 4.1 HL7 DIS 27951 Lexicon Query Service Specification CONFORMIDADE Usar regras explcitas para evitar ambiguidades sempre que um determinado dado no for registrado de apenas uma maneira ou em um nico lugar. Exemplo: garantir que [pulsos pediosos: no] igual a [pulsos pediosos ausentes]. Usar mapeamentos entre modelos de informao e de inferncia com base em um conjunto de conceitos bem definidos num vocabulrio de referncia ou modelo conceitual. Usar um servio de terminologia (clnica). Exemplo: HL7 CTS; servios que usem UMLS ou SNOMED-CT. G R R A R R
ESTR.09.05 ESTR.09.06
Verso 4.0
Dezembro/2011
Pgina: 80/101
CERTIFICAO 2011
FUNC.01.04
FUNC.02.02
FUNC.02.03
Verso 4.0
Dezembro/2011
Pgina: 81/101
CERTIFICAO 2011
FUNC.04.03
FUNC.04.04
FUNC.04.05
FUNC.04.06
ABNT ISO/TS 18308 PRO1.11 ABNT ISO/TS 18308 PRO1.12 SBIS SBIS
R Representar restries e dados obrigatrios (ambos parametrizveis) ao processo de apoio deciso. Exemplo: restries de sexo X diagnstico, medicao X diagnstico, restrio prescrio de medicao que tenha alergia informada, e interao medicamentosa (vide FUNC.04.01). Apresentar as mensagens do sistema da maneira a mais clara possvel (no apenas um cdigo), estar associadas com o contexto da operao que as motivou, e ser escritas em portugus usando termos que o usurio leigo em informtica entenda. Apresentar rtulos de campos mostrados em tela e relatrios da forma a mais clara e legvel possvel a qualquer momento do uso da tela, incluindo durante a rolagem de tela, listas, combos, etc.
FUNC.04.07
SBIS
Verso 4.0
Dezembro/2011
Pgina: 82/101
CERTIFICAO 2011
FUNC.06.02
Verso 4.0
Dezembro/2011
Pgina: 83/101
CERTIFICAO 2011
FUNC.09.02 FUNC.09.03
M R
M R
FUNC.11.02
FUNC.11.03
Resoluo para ABNT ISO/TS 18308 PRO2.6 interpretao clnica SBIS Imagens mdicas
Verso 4.0
Dezembro/2011
Pgina: 84/101
CERTIFICAO 2011
FUNC.16 - Consentimento
ID FUNC.16.01 FUNC.16.02 REQUISITO Consentimento informado Situao do consentimento informado Propsito do consentimento informado REFERNCIA ABNT ISO/TS 18308 PRS2.1 ABNT ISO/TS 18308 PRS2.2 ABNT ISO/TS 18308 PRS2.3 CONFORMIDADE Registrar consentimentos informados. Obter, registrar e acompanhar a situao do consentimento informado para acessar parte ou todo o RES, para propsitos previamente definidos. Registrar os propsitos pelos quais o consentimento foi obtido. M M G M M A M M
FUNC.16.03
Verso 4.0
Dezembro/2011
Pgina: 85/101
CERTIFICAO 2011
ID FUNC.16.04 REQUISITO Instante do consentimento informado REFERNCIA ABNT ISO/TS 18308 PRS2.4 CONFORMIDADE Registrar a data/hora/minuto de cada consentimento. G M A M
FUNC.17 - Mdico-legal
ID FUNC.17.01 FUNC.17.02 REQUISITO Cronologia de eventos Preciso de viso cronolgica REFERNCIA ABNT ISO/TS 18308 MEL1.1 ABNT ISO/TS 18308 MEL1.2 CONFORMIDADE Assegurar a acurcia da cronologia dos seus eventos clnicos e das suas informaes (vide ESTR.02.01, ESTR.05.06, ESTR.05.11) Visualizar com preciso e acurcia todo e qualquer dado do RES desde o momento do seu registro, garantindo compatibilidade retrgrada com verses anteriores (vide FUNC 20.02 e FUNC 23.02). G M M A M M
FUNC.18 - Atores
ID FUNC.18.02 REQUISITO Atributos clnicos relevantes Identificao de fornecedor de informao Identificao de usurio REFERNCIA ABNT ISO/TS 18308 MEL2.2 ABNT ISO/TS 18308 MEL2.3 ABNT ISO/TS 18308 MEL2.4 ABNT ISO/TS 18308 MEL2.5 ABNT ISO/TS 18308 MEL2.6 ABNT ISO/TS 18308 MEL2.7 CONFORMIDADE Registrar os atributos apropriados (parametrizveis) para a identificao do paciente e de atributos clnicos relevantes tais como data de nascimento, sexo, etnia, etc. (vide ESTR.01.02). Identificar univocamente os usurios que atestam ou registram qualquer informao especfica no RES (vide ESTR.03.02). Identificar continuamente o usurio, mesmo que este mude qualquer atributo de identificao. Isto tem que permitir que pesquisas ou relatrios acusem claramente as alteraes desses atributos. Exemplo: alterao de nome, profisso, sexo ou endereo (vide FUNC 18.02). Garantir que todos os profissionais de sade referidos em um RES sejam distintamente identificados (vide ESTR.01.02 e ESTR.03.02). Registrar o papel de todos os profissionais de sade responsveis por qualquer atividade assistencial registrada no RES (vide ESTR.01.02 e ESTR.03.02) G M A M
FUNC.18.03
FUNC.18.04
FUNC.18.05
FUNC.18.06
FUNC.18.07
Identificao dos profissionais de sade Registro do papel dos profissionais de sade Data do registro
Garantir que todo registro seja datado e seu autor responsvel univocamente identificado.
Verso 4.0
Dezembro/2011
Pgina: 86/101
CERTIFICAO 2011
ID FUNC.18.08 REQUISITO Identificao de responsvel pela informao no RES Responsabilidade sobre contribuio aos registros Responsabilidade sobre emendas e adies REFERNCIA ABNT ISO/TS 18308 MEL2.8 ABNT ISO/TS 18308 MEL2.9 ABNT ISO/TS 18308 MEL2.10 CONFORMIDADE Garantir que toda a informao registrada no RES seja atribuda a um ator responsvel, independentemente se este foi o autor da informao ou no. Exemplo: na transcrio posterior de uma prescrio original em papel, o sistema deve identificar univocamente a pessoa que est digitando a informao e o autor da mesma. Garantir que todos os dados fornecidos ao RES sejam atestados ou validados pela pessoa responsvel univocamente identificada. Exemplo: preceptor validando entradas de posgraduandos em treinamento em ambiente acadmico. Garantir que qualquer adio de dados seja atribuda pessoa responsvel, e que a hora/data/minuto e a razo (quando aplicvel) para tal adio sejam registradas. G R A R
FUNC.18.09
FUNC.18.10
FUNC.20 F Pblica
ID FUNC.20.01 REQUISITO Substituio de dados REFERNCIA ABNT ISO/TS 18308 MEL4.1 ABNT ISO/TS 18308 MEL4.2 CONFORMIDADE Garantir que as novas informaes/dados inseridas para substituio de outras previamente registradas, sejam coletadas separadamente e atestadas como em substituio quelas previamente registradas, as quais devem ser sempre mantidas. Jamais um registro ou campo (total ou parcial) deletado ou marcado para deleo (vide FUNC.09.01). Garantir que a exata situao do registro possa ser recriada em um dado ponto no tempo desde a criao original do RES (vide FUNC.17.02 e FUNC.23.02). G M A M
FUNC.20.02
Situao de registro
Verso 4.0
Dezembro/2011
Pgina: 87/101
CERTIFICAO 2011
FUNC.21.02
Manter a associao da informao do contexto clnico e elementos de dados relevantes independentemente de como os dados tenham sido estruturados.
FUNC.22 - Permanncia
ID FUNC.22.01 REQUISITO Permanncia REFERNCIA ABNT ISO/TS 18308 MEL6.1 CONFORMIDADE Impedir a adulterao ou excluso de qualquer dado ou informao armazenada no RES (vide FUNC.09.01). G R A R
FUNC.24 - tica
ID FUNC.24.01 REQUISITO Registro de justificativa tica REFERNCIA ABNT ISO/TS 18308 ETH1.1 CONFORMIDADE Suportar o registro da justificativa tica e da aprovao para uso secundrio da informao do paciente constante no RES. G R A R
Verso 4.0
Dezembro/2011
Pgina: 88/101
CERTIFICAO 2011
FUNC.27 - Evoluo
ID FUNC.27.01 FUNC.27.03 REQUISITO Compatibilidade retroativa Novos conhecimentos REFERNCIA ABNT ISO/TS 18308 EVO1.1 ABNT ISO/TS 18308 EVO1.3 CONFORMIDADE Garantir compatibilidade com arquiteturas e verses antigas dos S-RES, de forma que possa processar dados criados nessas verses. Incorporar o registro de informao relacionada a novos conhecimentos clnicos, novas disciplinas clnicas, e novas prticas e processos clnicos. G M R A M R
FUNC.28 - Acesso
ID FUNC.28.01 REQUISITO Direito de acesso REFERNCIA SBIS CONFORMIDADE Garantir acesso apenas ao(s) profissional(is) de sade indicado(s) pelo paciente como o(s) responsvel(is) pela guarda e manuseio do mesmo, bloqueando o acesso aos no indicados. G M A M
Verso 4.0
Dezembro/2011
Pgina: 89/101
CERTIFICAO 2011
SGED.01.02 SGED.01.03
Possuir mtodo de indexao que permita criar um arquivamento organizado, possibilitando a pesquisa de maneira simples e eficiente. Permitir a organizao dos documentos em pastas e sub-pastas, de forma a representar a estrutura de sees de um Pronturio. O documento digitalizado deve reproduzir todas as informaes dos documentos originais. Em caso de digitalizao de registros multimdia, tais como imagens, vdeos e udios, responsabilidade da comisso de pronturios analisar os algoritmos e formatos utilizados no processo, que eventualmente causem reduo da qualidade das imagens. As assinaturas do software, do operador e do responsvel devem ser apostas no registro final que ser armazenado (ps-processado). O sistema deve armazenar os algoritmos utilizados no processamento dos registros. Permitir o armazenamento de vrios formatos de documentos (PDF, DOCX, JPG, PNG, GIF, XLSX, PPTX,TIFF, KEY, ODT, etc.). Permitir a integrao com sistemas de informao externos, tais como sistemas integrados de gesto.
M M
SGED.01.04
SGED.01.05 SGED.01.06
SBIS SBIS
M R
Verso 4.0
Dezembro/2011
Pgina: 90/101
CERTIFICAO 2011
TISS.01.02
TISS.01.03
TISS.01.04
Grupo 1 inclui todos os S-RES no Grupo 1 da Tabela 1 (item 3.1. ), EXCETO S-RES para SADT isolados.
Dezembro/2011 Pgina: 91/101
Verso 4.0
CERTIFICAO 2011
ID TISS.01.05 REQUISITO Guia TISS de Honorrio Individual REFERNCIA ANS RN 153, 29/05/2007 CONFORMIDADE O S-RES deve ser capaz de capturar os dados da Guia TISS de e Honorrio Individual conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/Honor%E1rio%20Individual/Guia _Honorario_Individual.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas O S-RES deve ser capaz de capturar os dados da Guia TISS de Outras Despesas conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/outras%20despesas/Guia_Outra s_Despesas.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas
Grupo 1 SADT s
TISS.01.06
TISS.02.02
TISS.02.03
Verso 4.0
Dezembro/2011
Pgina: 92/101
CERTIFICAO 2011
TISS.03.02
TISS.04.02
Verso 4.0
Pgina: 93/101
CERTIFICAO 2011
TISS.06 Comunicao para Prestadores dos Grupos 1 e 2 Nota 1: Observar que o contedo das mensagens em XML deve obedecer aos esquemas descritos acima nos requisitos de contedo, de acordo com o grupo no qual o S-RES se enquadra, conforme classificao da ANS. Por exemplo, em se tratando de S-RES de consultrio mdico este dever enviar as Guias de Faturamento de seu contexto, ou seja, as Guias de Consulta. Portanto, no ser exigido que um S-RES de consultrio seja capaz de enviar Guias de Resumo de Internao. Nota 2: Conforme o Manual de Comunicao e Segurana das Mensagens TISS, a comunicao prestador operadora poder ser: via WebServices (preferencialmente), via troca de arquivos em diretrios de entrada e sada, tambm definidos pelo padro TISS, ou, ainda atravs de upload no stio das operadoras na internet. Cada uma das mensagens abaixo descritas dever, portanto, obedecer a pelo menos um destes mtodos de comunicao para que o S-RES nesta categoria venha a ser certificado.
ID TISS.06.01 REQUISITO Guias de Faturamento Protocolo de Recebimento Lote de Guias Solicitao do Status do Protocolo Recebimento da Situao do Protocolo Solicitao de Procedimentos Recebimento Autorizao de Procedimentos Solicitao do Status da Autorizao REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS ENVIO_LOTE_GUIAS conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem TISS PROTOCOLO_RECEBIMENTO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS SOLIC_STATUS_PROTOCOLO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem SITUACAO_PROTOCOLO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS SOLICITACAO_PROCEDIMENTOS , conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.06.02
TISS.06.03
TISS.06.04
TISS.06.05
TISS.06.06
TISS.06.07
Verso 4.0
Dezembro/2011
Pgina: 94/101
CERTIFICAO 2011
ID TISS.06.08 REQUISITO Solicitao dos Demonstrativos de Retorno Recebimento de demonstrativos de pagamento, da anlise de contas mdicas e de odontologia Reapresentao de guias Cancelamento de Guias Verificao de Elegibilidade Recebimento da resposta a Verificao Elegibilidade REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de enviar as operadoras a mensagem TISS SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber as mensagens TISS "DEMONSTRATIVO_PAGAMENTO" e "DEMONSTRATIVO_ANALISE_CONTA_MEDICA" conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.06.09
TISS.06.10
TISS.06.11
TISS.06.12
TISS.06.13
ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007
O S-RES deve ser capaz de enviar as operadoras a mensagem TISS ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS CANCELA_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas mensagem TISS
O mensagem TISS O
TISS.07.02
TISS.07.03
Verso 4.0
Pgina: 95/101
CERTIFICAO 2011
ID TISS.07.04 REQUISITO Recebimento da Situao do Protocolo Solicitao de Autorizao Procedimentos Odontologia Recebimento da Autorizao de Procedimentos Solicitao do Status da Autorizao Solicitao dos Demonstrativos de Retorno Odontologia Recebimento, Demonstrativo de Odontologia Reapresentao de guias Cancelamento de Guias Verificao de Elegibilidade Recebimento da resposta a Verificao Elegibilidade REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber das operadoras a mensagem SITUACAO_PROTOCOLO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS AUTORIZACAO_ODONTOLOGIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas a mensagem M TISS M TISS M
PRESENA
TISS.07.05
TISS.07.06
TISS.07.07
TISS.07.08
O S-RES deve ser capaz de enviar as operadoras a mensagem SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
TISS.07.09
TISS.07.10
TISS.07.11
TISS.07.12
TISS.07.13
O S-RES deve ser capaz de receber as mensagens TISS "DEMONSTRATIVO_ODONTOLOGIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA , conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS CANCELA_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem TISS SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
Verso 4.0
Dezembro/2011
Pgina: 96/101
CERTIFICAO 2011
TISS.08 Comunicao para Operadoras de Planos de Assistncia Mdica (Grupos 1 e 2) Nota: Alm dos requisitos abaixo, as Operadoras devem atender tambm ao disposto na Nota Esclarecedora DIDES/GGSUS N 001/2008, disponvel em: http://www.ans.gov.br/portal/site/_hotsite_tiss/nota_esclarecedora_001_2008.htm
ID TISS.08.01 REQUISITO Guias de Faturamento Protocolo de Recebimento do Lote de Guias Solicitao do Status do Protocolo Envio da Situao do Protocolo Solicitao de Procedimentos Envio da Autorizao de Procedimentos Solicitao do Status da Autorizao Solicitao dos Demonstrativos de Retorno Envio de Demonstrativo de Pagamento e da Anlise de contas Mdicas Reapresentao de guias REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem TISS : ENVIO_LOTE_GUIAS conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar s operadoras a mensagem TISS PROTOCOLO_RECEBIMENTO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem TISS SOLIC_STATUS_PROTOCOLO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores a mensagem SITUACAO_PROTOCOLO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a Mensagem TISS SOLICITACAO_PROCEDIMENTOS , conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz enviar aos prestadores a mensagem TISS AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores as mensagens TISS "DEMONSTRATIVO_PAGAMENTO" e "DEMONSTRATIVO_ANALISE_CONTA_MEDICA", conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas Dezembro/2011
PRESENA
TISS.08.02
TISS.08.03
TISS.08.04
TISS.08.05
TISS.08.06
TISS.08.07
TISS.08.08
TISS.08.09
TISS.08.10
Verso 4.0
Pgina: 97/101
CERTIFICAO 2011
ID TISS.08.11 REQUISITO Cancelamento de Guias Verificao de Elegibilidade Resposta a Verificao Elegibilidade REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber dos prestadores a mensagem TISS CANCELA_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores a mensagem TISS SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.08.12
TISS.08.13
TISS.09 Comunicao para Operadoras exclusivamente de Planos Odontolgicos (Grupo 3) Nota: Alm dos requisitos abaixo, as Operadoras devem atender tambm ao disposto na Nota Esclarecedora DIDES/GGSUS N 001/2008, disponvel em: http://www.ans.gov.br/portal/site/_hotsite_tiss/nota_esclarecedora_001_2008.htm
ID TISS.09.01 REQUISITO Guias de Faturamento Protocolo de Recebimento do Lote de Guias Solicitao do Status do Protocolo Envio da Situao do Protocolo Solicitao de Procedimentos Odontologia Envio da Autorizao de Procedimentos REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem TISS ENVIO_LOTE_GUIAS conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores a mensagem TISS PROTOCOLO_RECEBIMENTO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem TISS SOLIC_STATUS_PROTOCOLO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores a mensagem SITUACAO_PROTOCOLO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a Mensagem TISS AUTORIZACAO_ODONTOLOGIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz enviar aos prestadores a mensagem TISS AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.09.02
TISS.09.03
TISS.09.04
TISS.09.05
TISS.09.06
Verso 4.0
Dezembro/2011
Pgina: 98/101
CERTIFICAO 2011
ID TISS.09.07 REQUISITO Solicitao do Status da Autorizao Solicitao dos Demonstrativos de Retorno Envio de Demonstrativo de Pagamento e da Anlise de contas Mdicas Reapresentao de guias Cancelamento de Guias Verificao de Elegibilidade Envio da resposta a Verificao Elegibilidade REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber dos prestadores a mensagem SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores as mensagens DEMONSTRATIVO_ODONTOLOGIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.09.08
TISS.09.09
TISS.09.10
TISS.09.11
O S-RES deve ser capaz de receber dos prestadores a mensagem TISS ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS CANCELA_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas a mensagem TISS
TISS.09.12
O a mensagem TISS O
TISS.09.13
Verso 4.0
Dezembro/2011
Pgina: 99/101
CERTIFICAO 2011
9. Referncias
[1] [2] [3] [4] [5] [6] [7] [8] CFM. Resoluo 1638/2002. On-line. Disponvel em:
http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm
MEDIDA PROVISRIA No 2.200-2, DE 24 DE AGOSTO DE 2001. On-line. Disponvel em: https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm Cadastro Nacional de Usurios do Sistema nico de Sade. Disponvel em:
http://cartaonet.datasus.gov.br/
Cadastro Nacional de Estabelecimentos e Profissionais de Sade CNES. Disponvel em: http://www.datasus.gov.br/cnes Padro TISS. Disponvel em: http://www.ans.gov.br/portal/site/_hotsite_tiss ISO/TR 20.514:2005 Technical Report - Health informatics -- Electronic health record -- Definition, scope and context. Disponvel em:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=39525
[9]
ISO/TS 18.308:2004 - Health informatics -- Requirements for an electronic health record architecture. Disponvel em:
http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=33397
[10] ABNT ISO/TR 20.514 Informtica em sade - Registro eletrnico de sade Definio, escopo e contexto. Disponvel em:
http://www.abntnet.com.br/fidetail.aspx?FonteID=41192
[11] ABNT ISO/TS18.308 - Informtica em sade - Requisitos para uma arquitetura do registro eletrnico. Disponvel em:
http://www.abntnet.com.br/fiprint.aspx?FonteID=41190
[12] ISO/IEC 27.002:2005 - Information technology -- Security techniques -- Code of practice for information security management. Disponvel em:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=50297
[13] ABNT NBR ISO/IEC 27.002:2005 (antiga NBR ISO/IEC 17799:2005) - Cdigo de Prtica para a Gesto da Segurana da Informao. Disponvel em:
http://www.abntnet.com.br/ecommerce/default.aspx
[14] ISO/IEC 15.408-1:2005 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model. Disponvel em:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=40612
Verso 4.0
Dezembro/2011
Pgina: 100/101
CERTIFICAO 2011
[15] ISO/IEC 15.408-2:2005 Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements. Disponvel em:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=40613
[16] ISO/IEC FCD 15.408-3:2005 Information technology - Security techniques Evaluation criteria for IT security - Part 3: Security assurance requirements. Disponvel em:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=40614
[17] HL7 Health Level 7 http://www.hl7.org [18] HL7 -EHR Functional Model. Disponvel em: http://www.hl7.org/EHR/ [19] CCHIT. Commercial Certification Handbook. Ambulatory EHR Products. Disponvel em:
http://www.cchit.org/files/Ambulatory_Domain/2007AEHRCertificationHandbookV2_1.pdf
[20] ABNT NBR ISO/IEC 27.001:2006 Sistemas de Gesto de Segurana da Informao Requisitos. Disponvel em: http://www.abntnet.com.br/ecommerce/default.aspx [21] ISO/FDIS - 21549-7 - Health informatics - Patient healthcard data - Part 7: Medication data - Final draft 2007 [22] Mon, Donald T.. Difference Between the EHR Standard and Certification. Journal of AHIMA 77, no.5 (May 2006): 66,68,70. [23] ETSI TS 101 733: ETSI. "Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats". [24] ABNT ISO/IEC GUIA 65/1997 Requisitos para Organismos que Operam Sistemas de Certificao de Produtos. [25] ABNT NBR ISO/IEC 17021:2007 Avaliao de Conformidade Requisitos para Organismos que Fornecem Auditoria e Certificao de Sistemas de Gesto. [26] ISO 27.799:2008 Health informatics -- Information security management in health using ISO/IEC 27002. Disponvel em:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=41298
Verso 4.0
Dezembro/2011
Pgina: 101/101