Posicionamento TI SBPC 2011

Tecnologia da Informao em Tecnologia da Informao em

MedicinaLaboratorial: Medicina daLaboratorial: Posicionamento SBPC/ML 2011Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da Informao em

Medicina Laboratorial:Posicionamento da SBPC/ML 2011Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Logotipos:Copyright Digitalmed Copyright Matrix Copyright Shift Copyright Veus Technology Copyright Medic Ware Copyright Data Innovations Company Copyright Sociedade Brasileira de Patologia Clnica / Medicina Laboratorial (SBPC/ML)

Projeto grfico e editorao eletrnica:Rodrigo Paiva de Moraes

Tecnologia da Informao em Medicina Laboratorial: Posicionamento da SBPC/ML 20111.Boas Prticas de Segurana e Sigilo em TI para Laboratrios Clnicos 2.Conceitos de certificao e segurana digital de laudos 3.Garantindo a rastreabilidade de pacientes, amostras e informaes em sistemas laboratoriais 4.Validao e boas prticas de verificao e liberao 5.Novas tendncias tecnolgicas

Todos os direitos reservados. Nenhuma parte deste livro poder ser reproduzida, por qualquer processo, sem a permisso expressa da Sociedade Brasileira de Patologia Clnica / Medicina Laboratorial (SBPC/ML). Edio 2011


Apresentao

ApresentaoA cada dia, entramos em contato com novas tecnologias que acabam por fazer parte de nossa vida pessoal e profissional. Recursos como a Internet, redes sociais, smartphones e muitos outros no existiam em um passado recente, e hoje esto inseridos de tal modo em nossas vidas que impensvel viver sem eles. Com o objetivo de acompanhar a evoluo da tecnologia, a Sociedade Brasileira de Patologia Clnica/Medicina Laboratorial criou seu Comit de TI, que tem como primeira produo o Posicionamento SBPC/ML 2011 - Tecnologia da Informao em Medicina Laboratorial. Este documento inicia as discusses sobre vrios assuntos e novidades em Tecnologia da Informao para o segmento de diagnstico laboratorial.

Boa leitura!

Carlos Ballarati Presidente da SBPC/ML Binio 2010/2011



Autores deste documento

Autores deste documentoCarlos Alberto Franco Ballarati, Mdico Patologista Clnico, Doutor em Medicina pela USP, MBA em Gesto de Sade pelo IBMEC So Paulo Hospital Israelita Albert Einstein, Fellow pela DKD (Alemanha), Presidente da SBPC/ML no binio 2010/2011 Cesar Alex Galoro, Mdico Patologista Clnico, MBA pela Fundao Getlio Vargas, Doutor em Medicina pela USP, Fellow pela Universidade McGill (Montreal, Canad), Responsvel Tcnico do Cientificalab (DASA) e Diretor Administrativo da SBPC/ML no binio 2010/2011 Fabiano Gomes Estellita, Diretor de Operaes da Veus Technology, Diretor de Operaes da MBA/TITAN, formado em Matemtica pela Universo/RJ Felix Valmor Schultz, CEO da DigitalMed Francisco Eduardo Martins Serra Espuny, Especialista em Sistemas. Nos ltimos dez anos tem atuado em projetos de TI exclusivamente para o setor de sade. Gerente de TI na empresa Matrix Sistemas Gustavo Aguiar Campana, Mdico Patologista Clnico, Presidente da Regional So Paulo/Capital da SBPC/ML binio 2010/2011, scio da Formato Clnico - Projetos em Medicina Diagnostica Gustavo Vaz Nascimento, Prof. Msc., Coordenador de qualidade de software da Shift, Professor de Graduao e Ps-graduao da Unio das Faculdades dos Grandes Lagos (UNILAGO) e do Centro Universitrio de Rio Preto (UNIRP) Jos Colleoni, Diretor para a regio da Amrica Latina da empresa Data Innovations, formado em Anlise de Sistemas pela PUC-Campinas, Ps-graduado em Administrao pela FGV-SP, trabalha h mais de 33 anos na rea de TI, sendo os ltimos 16 anos dedicados empresas de renome no setor da Sade Luis Gustavo Gasparini Kiatake, Mestre em Engenharia Eltrica pela Escola Politcnica da USP, Diretor de Relaes Institucionais da Sociedade Brasileira de Informtica em Sade (SBIS), Consultor do processo de certificao de Sistemas de Registro Eletrnico em Sade da BIS/CFM, Colaborador da Associao Brasileira de Normas Tcnicas (ABNT) e da International Organization for Standardization (ISO) nos comits de Informtica em Sade e Segurana da Informao, Diretor da E-VAL Tecnologia Marcelo T. Botelho, Analista de Sistemas, Diretor da Veus Technology e da MB&A/TITAN Murilo R. Melo, Prof. Dr., Mdico Patologista Clnico, Vice-Diretor Cientfico da SBPC/ML binio 2010/2011, Presidente do Comit de TI em Medicina Laboratorial da SBPC/ML, Professor-Adjunto Doutor do Laboratrio de Medicina Molecular (FCMSCSP), Diretor de Patrimnio e Finanas (Associao Paulista de Medicina) e Director-at-large Latin America (WASPaLM - World Association of Societies of Pathology and Laboratory Medicine) Ricardo Nascimento da Silva, Snior Application Specialist da empresa Data Innovations, formado em Administrao de Empresas pela Faculdade Santana, possui mais de 20 anos de experincia na rea de TI e h 15 passou a trabalhar na rea laboratorial. Especialista em interfaceamento entre sistemas laboratoriais e instrumentos de anlises clnicas, assim como B2BTecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Autores deste documento Comit de Tecnologia da Informao da SBPC/ML

Rud Pereira da Costa, Jornalista Responsvel pela empresa Digitalmed Inovaes em Software, Coordenador do projeto "Novas Tendncias Tecnolgicas" para o Comit de Tecnologia da Informao SBPC/ML Victor Jos Bento, Arquiteto de Software e Diretor de Produto da Digitalmed Inovaes em Software W. Marcelo Lorencin, Empresrio, Presidente da Shift Consultoria e Sistemas, Diretor de Promoo e Desenvolvimento Social da Associao dos Profissionais e Empresas de Tecnologia da Informao (APETI), Presidente do Centro Tecnolgico de Rio Preto (CTRP) e Dirigente da Unidade Pescar de So Jos do Rio Preto Wilson Shcolnik, Mdico Patologista Clnico, Diretor de Acreditao da SBPC/ML binio 2010/2011, Gerente de Relaes Institucionais do Grupo Fleury, MBA em Gesto pela Qualidade (UFF/RJ)

Comit de Tecnologia da Informao da SBPC/MLAnderson Menon, Analista de Sistemas na Siemens Healthcare Diagnsticos Brasil Andr Gomes Silveira, Scio Diretor Executivo da MedicWare, graduado pela UFBA em Anlise de Sistemas, Ps-graduao em Gesto de TI Alvaro Rodrigues Martins, Mdico Patologista Clnico, Presidente do Conselho de Ex-Presidentes da SBPC/ML binio 2010/2011, Professor Instrutor FCMSCSP, Mdico Patologista Clnico do Hospital So Luiz da Unidade Assuno e Unidade Brasil. Cesar Alex Galoro, Mdico Patologista Clnico, MBA pela Fundao Getlio Vargas, Doutor em Medicina pela USP, Fellow pela Universidade McGill (Montreal, Canad), Responsvel Tcnico do Cientificalab (DASA) e Diretor Administrativo da SBPC/ML binio 2010/2011. Edgar Diniz Borges, Analista de Sistemas, Scio -proprietrio da Softeasy Tecnologia, empresa fundada em 2005 em sociedade com Arcadio A. C. Bianco Neto, especializada em sistema para gesto laboratorial, clnicas mdicas, gesto laboratorial veterinria e gesto de animais de produo Euclides de Silvio Gomes Junior, Diretor Tcnico da Hotsoft Informtica h 10 anos, trabalha em TI aplicada rea da sade h 16 anos, graduado em Processamento de Dados pela Universidade Estadual de Maring, Especializao MBA em Gerenciamento de Projetos (FGV) Hlio Magarinos Torres Filho, Mdico Patologista Clnico, MBA em Gesto em Sade (IBMEC), MBA em Gesto de Negcios (IBMEC), Diretor Mdico do Laboratrio Richet, Presidente Regional no Rio de Janeiro/Capital da SBPC/ML binio 2010/2011


Comit de Tecnologia da Informao da SBPC/ML

Igor da Silva Gomes, Analista de Sistemas formado pela PUC SP e Ps-graduado pela USP, Gerente de tecnologia da DASA - Diagnsticos da Amrica, responsvel pelos Sistemas de Produo de Anlises Clnicas e Apoio Luis Gasto M. Rosenfeld, Mdico (1968) Santa Casa de So Paulo, Especialista em Hematologia, foi Presidente da Sociedade Brasileira de Hematologia,dirigiu os Laboratrios do Instituto Dante Pazzanese, Hospital Albert Einstein e foi Vice-Presidente Mdico da DASA Luiz Gallotti Pvoa, Mdico Patologista Clnico, atua na rea h 31 anos. Assessor de Processos e Sistemas de Informao do Instituto Estadual de Diabetes e Endocrinologia (IEDE/RJ) Marcelo Henrique Wood Faulhaber, Mdico Patologista Clnico, MBA, Assessor de Direo da Diviso de Laboratrio Central do HC FMUSP. Marcelo Kutter, Scio Diretor Comercial da MedicWare Sistemas, Economista com MBA em Finanas (IBMEC), palestrante e Professor de Ps-graduao em Sistema de Informao em Sade Murilo R. Melo, Prof. Dr., Mdico Patologista Clnico, Vice-Diretor Cientfico da SBPC/ML binio 2010/2011, Presidente do Comit de TI em Medicina Laboratorial da SBPC/ML, Professor-Adjunto Doutor do Laboratrio de Medicina Molecular (FCMSCSP), Diretor de Patrimnio e Finanas (Associao Paulista de Medicina) e Director-at-large Latin America (WASPaLM - World Association of Societies of Pathology and Laboratory Medicine). Pedro Silvano Gunther, graduado em Direito (UFPR) e Administrao (PUC-PR), Ps-graduado em Marketing e Processamento de Dados (FAE-PR). Iniciou sua carreira em auditoria na Price Waterhouse, em 1978. Foi Chefe do Departamento de Documentao de Sistemas da Banestado Informtica. Fundou a Hotsoft em 1987, onde permanece at hoje como Diretor Geral. Roberto Ribeiro da Cruz, formado em Engenharia Mecnica com especializao em Produo (Faculdade de Engenharia Industrial/SP), Ps-graduao em Administrao de Pequenas e Mdias Empresas (EAESP/FGV), atua no desenvolvimento de software para medicina diagnstica desde 1986, com experincias no Brasil, Argentina, Chile e EUA. Hoje responsvel pelo desenvolvimento de novos produtos na Medical Systems. Rodolfo Sini Ruiz, formado em Anlise de Sistemas. Iniciou sua carreira na rea tcnica e hoje responsvel pelo desenvolvimento da rea comercial da Medical Systems. Atua no segmento de software para medicina diagnstica desde 1984. Simone Alves, tem 15 anos de experincia em Sistemas na rea de Sade, Especialista Lder de Sistemas de Produo de Anlises Clnicas da DASA do mercado privado. Estudou Cincias da Computao no Instituto de Ensino Superior de So Caetano do Sul (SP). Thiago Carvalho Melo, Bacherelado em Cincias da Computao, Analista de Sistemas, Analista de Implantao e Suporte Brasil da Siemens Healthcare Diagnsticos Brasil Wilson Shcolnik, Mdico Patologista Clnico, Diretor de Acreditao da SBPC/ML binio 2010/2011, Gerente de Relaes Institucionais do Grupo Fleury, MBA Gesto pela Qualidade (UFF/RJ)


Diretoria executiva binio 2010-2011

Diretoria executiva binio 2010-2011Presidente: Carlos Alberto Franco Ballarati Vice-Presidente: Ismar Venncio Barbosa Diretor Administrativo: Csar Alex de Oliveira Galoro Vice-Diretor Administrativo: Rubens Hemb Diretor Cientfico: Nairo Massakazu Sumita Vice-Diretor Cientfico: Murilo Rezende Melo Diretor de Comunicao: Luiz Eduardo Rodrigues Martins Diretor Financeiro: Leila Carmo Sampaio Rodrigues Vice-Diretor Financeiro: Natasha Slhessarenko Diretor de Acreditao: Wilson Shcolnik Diretor de Defesa de Classe: Paulo Srgio Roffe Azevedo Presidente do Conselho de Ex-Presidentes: Alvaro Rodrigues Martins


Prefcio

Prefcio"Tudo tem a sua ocasio prpria, e h tempo para todo propsito debaixo do cu." Ec 3:1 Neste ano de 2011, a Sociedade Brasileira de Patologia Clnica/Medicina Laboratorial decidiu que tempo de aumentar sua participao no desenvolvimento da Tecnologia de Informao (TI) em Medicina Laboratorial em nosso pas. Esta deciso leva em conta no apenas a importncia da TI nos laboratrios clnicos, mas tambm a crescente importncia da TI na nossa sociedade como um todo. Assim, foi criado o Comit de TI em Medicina Laboratorial da SBPC/ML, com a participao de interessados no assunto que representam toda a cadeia produtiva. Logo aps sua criao, estabeleceu-se o interesse de definir reas de consenso e tambm de temas que exigiro intenso debate, at atingirmos maturidade coletiva sobre nosso posicionamento oficial. Optou-se por documentar, inicialmente, alguns dos pontos de maior concordncia entre os participantes, com a elaborao dos documentos feita por integrantes da indstria de TI e membros da SBPC/ML, seguida de uma rodada de comentrios e discusso aberta entre todos os membros do Comit de TI para, ento, publicarmos o resultado final que espelha, na medida do possvel, o consenso do grupo. Este trabalho o primeiro fruto do Comit de TI da SBPC/ML. Esperamos que esta iniciativa frutifique ainda mais e que sejam frutos proveitosos para a nossa comunidade laboratorial como um todo: no apenas para o profissional de TI, mas para todos que se interessam por laboratrios clnicos. Procuramos fazer com que os documentos fossem escritos com linguagem de fcil acesso a todos interessados, mas com novidades e conceitos descritos para aqueles que militam h anos na rea de TI em Medicina Laboratorial acharem o material proveitoso. Aproveito para agradecer a todos os membros do Comit de TI da SBPC/ML e aos autores destes documentos pela sua participao ativa, assim como s empresas patrocinadoras, sem as quais os documentos no poderiam ser realizados, e Diretoria da SBPC/ML pelo incentivo e determinao em tomar esta iniciativa. Esperamos que aproveite a leitura e este documento enriquea ainda mais a sua prtica! Prof.Dr. Murilo Rezende Melo Presidente do Comit de TI em Medicina Laboratorial


Patrocinadores

Patrocinadores


Medicina Laboratorial:



Boas Prticas de Segurana e Sigilo em TI para Laboratrios Clnicos:Como atender as normas nacionais e internacionaisTecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


Boas Prticas de Segurana e Sigilo em TI para Laboratrios Clnicos: Como atender as normas nacionais e internacionais

No restam dvidas que os sistemas eletrnicos agregam uma mirade de benefcios aos processos dos laboratrios clnicos, tais como organizao e otimizao, possibilidade de registros rastreveis, reduo de erros, velocidade na elaborao e fornecimento dos resultados, melhora na qualidade diagnstica, reduo de custos, dentre outros, auxiliando-o no cumprimento de sua misso dentro da cadeia de assistncia sade. Nos ltimos 20 anos, os sistemas de informao para laboratrios clnicos vm sofrendo inmeras transformaes. As primeiras aplicaes restringiam-se a duas atividades: emisso de laudos e faturamento. Normalmente, os sistemas eram restritos a salas de digitao de laudos e faturamento, os antigos CPD (Centros de Processamento de Dados). Com a evoluo, foram para as recepes dos laboratrios facilitando o atendimento aos pacientes. Hoje, esto integrados aos processos de todo o laboratrio, sendo uma ferramenta inerente a todos os processos, desde o atendimento, fluxo de amostras, processamento de exames etc. Ou seja, todo o processo de um laboratrio, desde pr-analtico, analtico e ps-analtico est intimamente ligado tecnologia da informao, que serve tambm como ferramenta de gesto, na medida em que produz indicadores que permitem monitorar a performance de cada processo, criando, assim, uma relao de interdependncia nica e vital necessidade de ambientes e sistemas de alta disponibilidade. Contudo, para o uso de tais sistemas no suporte do cuidado sade, uma srie de controles de segurana e privacidade devem estar implementados, no sentido de mitigar os riscos associados, e devem ser considerados como requisitos essenciais para a operao do negcio, de forma a garantir condies mnimas de privacidade e segurana do paciente, dos profissionais, das instituies e demais elementos participantes do processo. Esses fatores afetam desde a questo da intimidade e da honra pessoal, que so direitos constitucionais de todos os cidados brasileiros e estrangeiros residentes no Brasil, at questes de sade e risco de morte. Dentre tais requisitos bsicos pode-se citar a confidencialidade, a integridade, a auditabilidade, a autoria e a disponibilidade da informao e seus elementos de suporte. Falhas no atendimento desses requisitos podem incorrer no vazamento de resultados de exames a pessoas mal-intencionadas; adulterao de resultados; perda de informao; gerao de informao incorreta, com possvel comprometimento do estado de sade do paciente; degradao da imagem da empresa; perda de clientes; indevida responsabilizao e reparao de danos resultantes de processos judiciais. De uma forma geral, os controles podem ser classificados em duas categorias, sendo uma referente a processos e a outra referente tecnologia. Os controles de processo so intrinsecamente dependentes das pessoas e suas aes e comportamentos, e incluem a elaborao de polticas e processos, treinamentos e programas de conscientizao, a funo da pessoa dentro do laboratrio, relacionamento com os colaboradores, terceiros, fornecedores e usurios, a identificao e classificao dos ativos, o atendimento dos requisitos legais e de programas de certificao. Os controles de tecnologia envolvem componentes de infraestrutura de processamento, armazenamento, comunicao e segurana de dados, assim como os sistemas computacionais. Como exemplo, pode-se citar as estaes de trabalho e servidores, os elementos de rede cabeada e sem fio, os dispositivos de inspeo de dados e preveno a ataques cibernticos, os Sistemas de Informaes Laboratoriais (SIL) de atendimento aos pacientes e publicao de laudos dentre outros. Ateno especial se d a elementos no menos benficos, mas crticos do ponto de vista de segurana, como o uso de redes sem fio, de dispositivos mveis e de Internet.



Finalmente, assim como ocorre nas demais reas do laboratrio clnico, uma gesto adequada deve estar estabelecida, de forma a manter continuamente todos os controles de forma atualizada e operacional, sendo um processo de contnua evoluo e aperfeioamento. Esse documento apresenta uma viso geral do cenrio de TI no Brasil sobre a tica do sigilo e segurana e direciona o foco da segurana para a rea de laboratrios clnicos. O documento est organizado da seguinte forma. Na Seo 1 apresentado o cenrio de TI e alguns nmeros referentes a este cenrio no Brasil. A Seo 2 mostra alguns nmeros sobre a rea de sade no Brasil. A Seo 3 apresenta algumas normas sobre segurana de TI e sobre a rea de laboratrios clnicos. Na Seo 4 so mostrados os principais riscos relacionados segurana e sigilo de TI sob o contexto de laboratrios clnicos, estratgias para minimizao dos riscos e suas relaes com normas de segurana e da rea de laboratrios clnicos. Na Seo 5 so apresentadas algumas concluses sobre o assunto e, por fim, a Seo 6 informa as referncias bibliogrficas.

1.Cenrio de TI no Brasil sob a tica do sigilo e seguranaA informatizao no Brasil destaca-se por alguns nmeros expressivos. Como referncia, vale informar que, segundo o Censo Demogrfico de 2010, a populao brasileira de 195.755.799 habitantes (IBGE Instituto Brasileiro de Geografia e Estatstica). Uma primeira rea de referncia no uso da tecnologia pode ser encontrada no processo de votao eletrnica, implantado em 1996. Em 2010, com um eleitorado de mais de 153 milhes de cidados, foram utilizadas 456.000 urnas distribudas em 5.562 cidades, sendo que 60 usaram dispositivos biomtricos para identificao do eleitor. Com o sistema informatizado, o resultado da ltima votao presidencial foi divulgado s 20h04 do mesmo dia da votao (TSE Tribunal Superior Eleitoral). O sistema financeiro outro bom exemplo. Disponibiliza atualmente quase 175 mil terminais de autoatendimento espalhados por todo o pas, contabiliza mais de 226 milhes de cartes de dbito e de 175 milhes de cartes de crdito emitidos, e mais de 10 bilhes de transaes realizadas na Internet em 2010 (BC Banco Central do Brasil). Com relao telefonia celular, mais de 205 milhes de acessos foram emitidos (ANATEL Agncia Nacional de Telecomunicaes), superando a marca de uma unidade por cidado. No mbito da Internet, contabilizou-se mais de 81 milhes de internautas (F/Nasca Datafolha), sendo que diversas vezes esses usurios foram campees mundiais de tempo de navegao. Contudo, tambm existe o impacto, externado pela quantidade de ataques reportados (CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil), que apresentou grande queda de 2009 para 2010, mas surpreende apresentando, somente no primeiro trimestre de 2011, o volume de 63% do valor total de 2010, demonstrando um momento de ativo movimento de ataques. Tal panorama exibido na Figura 1 . Vale destacar a evoluo de um dado importante de 2006 para 2010, que contabiliza a origem dos ataques. Naquela poca, registrou-se que 24% originaram-se nos Estados Unidos, seguido do Brasil, com 21%. Agora, 46% dos ataques tm origem aqui mesmo, no pas, seguido pela China, com 14%. Isso reflete um aperfeioamento dos hackers no Brasil, contudo, importante salientar que os ataques podem originar-se de qualquer parte do mundo.Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


Total de Incidentes Reportados ao CERT.br por Ano400000

Total de Incidentes

358343

320000

240000197892

222528

160000

160080 142844

8000054607 5997 2000 12301 2001 25092

75722

90759 68000

0

3107 1999

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

Ano ( 1999 a maro de 2011 )

Figura1: Incidentes reportados ao CERT.br por ano

2.rea da sadeNa rea de sade, o Brasil conta com um expressivo sistema pblico universal de atendimento, assim como uma no menos expressiva rede de atendimento privada e suplementar, atendida por meio das operadoras de planos de sade. Esse universo apresenta mais de 230.000 estabelecimentos de sade cadastrados, destes mais de 17.000 so unidades de apoio diagnose e terapia, nmero que inclui os laboratrios clnicos (CNES Cadastro Nacional de Estabelecimentos de Sade do Ministrio da Sade). Segundo o Cadastro Nacional de Estabelecimentos de Sade (CNES), existem cerca de 20 mil laboratrios clnicos no Brasil. Deste total, 30% so intra-hospitalares, atuando na prestao de servios ao SUS e, ao mesmo tempo, ao sistema de sade privado (Ministrio da Sade, 2011). A Pesquisa de Assistncia Mdico-Sanitria (AMS) 2009, realizada pelo IBGE e divulgada em novembro, apurou a existncia de 16.657 laboratrios de anlises clnicas no pas e 5.854 de anatomia patolgica/citologia (IBGE, 2010). Esses nmeros incluem laboratrios que esto em hospitais, clnicas e outros estabelecimentos de sade com ou sem internao. A AMS 2009 revela, tambm, quantos laboratrios prestam servios somente a particulares (incluindo planos de sade), quantos atendem pelo Sistema nico de Sade (SUS) e quantos tm os dois tipos de atendimento. Os dados se sobrepem porque muitos estabelecimentos enquadram-se em mais de uma dessas situaes (Tabela1). Tipo de laboratrio Pblico (SUS) Tipo de atendimento Privado Privado/SUS *Total

Anlises Clnicas Anatomia Patolgica* Total = Pblico (SUS) + Privado

4917 1300

11740 4554

5468 1973

16657 5854

Tabela1: Laboratrios de anlises clnicas e anatomia patolgica/citologia no Brasil segundo tipo de atendimento



1596 1313 6488

Figura2: Laboratrios de anlises clnicas por regio geogrfica (IBGE Instituto Brasileiro de Geografia e Estatstica)

4548

2712

CO N NE S SE

De acordo com o Ministrio da Sade (2010), o nmero de exames laboratoriais realizados pelo SUS, para pacientes ambulatoriais, foi de 469.446.028. No mbito da sade suplementar, existem 1.618 operadoras cadastradas, incluindo tanto as de natureza mdico-hospitalar quanto exclusivamente odontolgicas, para um atendimento de mais de 45 milhes de beneficirios (ANS Agncia Nacional de Sade Suplementar, 2011), quase um quarto da populao nacional, o que demonstra tambm a importncia desse segmento no cenrio da sade no pas. Alguns marcos da informatizao da sade aconteceram em 1991, com a criao do Departamento de Informtica do Sistema nico de Sade (SUS); em 1996, a publicao da NOB-SUS 01/96 e as primeiras implementaes em 1999 (Levy). Em 2004, com a publicao, pelo Ministrio da Sade, da Poltica Nacional de Informatizao e Informtica em Sade - PNIIS e, em 2005, do padro de Troca de Informao na Sade Suplementar, o TISS, pela Agncia Nacional de Sade Suplementar, e mais recentemente com a publicao da nova portaria referente ao Carto Nacional de Sade, pelo Ministrio da Sade (Ministrio da Sade, 2011). A operacionalizao desse complexo sistema de sade muito amparada pela tecnologia, principalmente para o processamento e transmisso de dados. Contudo, infelizmente, o setor no apresenta indicadores precisos sobre grau de informatizao das suas instituies. Existe um sentimento de que a maioria dos laboratrios clnicos utiliza algum tipo de informatizao em seus processos, mas ainda poucos desses sistemas de informao foram certificados por processos de qualidade. O mesmo se aplica rea hospitalar, que demonstra uma forte expanso do uso da informtica, dos tradicionais sistemas administrativos, para as mais recentes aplicaes na rea clnica.

3.Normas de segurana e sigilo em TIA questo da segurana e sigilo da informao considerada por algumas normas e institutos nacionais e internacionais. No contexto da segurana da informao para ambientes de laboratrios clnicos, os principais processos esto apresentados a seguir. ISO e ABNT A International Organization for Standadization (ISO) a maior e a principal instituio internacional de desenvolvimento de normas, que contempla a participao de representantes de 162 pases. A Associao Brasileira de Normas Tcnicas (ABNT) o rgo responsvel pela normatizao tcnica no Brasil e a representante oficial da ISO no Brasil.



A ISO responsvel pela publicao da principal referncia em segurana da informao mundial, desenvolvido pelo Joint Technical Committee 1 Sub-Committee 27 (Information Technology Security techniques), que a norma ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management, publicada no Brasil pela ABNT como NBR ISO/IEC 27002:2005 Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto de segurana da informao. O Technical Committee 215 (Health informatics) publicou uma personalizao desta norma para a rea de sade, que a ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002, a qual est em processo de traduo pela ABNT. O Brasil marcou sua participao na ISO propondo e contribuindo com uma norma internacional para certificao de segurana em sistemas de sade, a ISO 14441 Health Informatics Security and privacy requirements of EHR Systems for use in conformity assessment, que est atualmente em sistemas de sade, a ISO 14441 Health Informatics Security and privacy requirements of EHR Systems for use in conformity assessment, que est atualmente em desenvolvimento, com perspectiva de publicao em 2012. Este trabalho considera, quando menciona a ISO e a ABNT, exatamente esse conjunto de normas. SBIS A Sociedade Brasileira de Informtica em Sade (SBIS) tem como objetivo promover o desenvolvimento de todos os aspectos da Tecnologia da Informao aplicada Sade. responsvel por diversos eventos de informtica em sade no Brasil, tanto com propsito acadmico quanto de tecnologia. Em convnio com o Conselho Federal de Medicina CFM, a SBIS desenvolveu o processo de Certificao de Sistemas de Registro Eletrnico em Sade (S-RES). Estabelecido em 2002, com a publicao do manual com requisitos de segurana e funcionalidade, os desenvolvedores de sistemas conformes com os requisitos formalmente se autodeclaravam em conformidade. Em 2007, o processo foi referenciado pela Resoluo 1821, do CFM, que indicou a possibilidade do uso de sistemas eletrnicos em sade, em especial sem o suporte em papel, desde que em conformidade com o manual de certificao da SBIS. A partir de ento, a fase de autodeclarao foi encerrada, iniciando-se o processo de auditoria dos sistemas por especialistas da SBIS. Desde ento, seis sistemas foram certificados, compreendendo os de maior uso no pas. Observa-se um grande movimento de adoo de sistemas eletrnicos da rea de sade, especificamente para uso clnico, alm da tradicional utilizao nas reas administrativa e financeira. Consequentemente, a interconexo entre sistemas laboratoriais e sistemas hospitalares tem se tornado cada vez mais comum, evidenciando a necessidade da padronizao desta interoperabilidade. Seguindo essa tendncia tambm est a dispensa do uso do papel, e, para isso, o uso de certificados digitais ICP-Brasil para a gerao de assinaturas digitais, em conformidade com o especificado no manual da SBIS. Os primeiros sistemas a utilizar assinaturas digitais com sistemas certificados iniciaram em 2010, sendo que os primeiros resultados esto efetivamente sendo percebidos nesse momento, como uma melhor adeso aos protocolos, maior agilidade e confiabilidade nos processos, economia financeira referente a no utilizao do papel e impressoras, entre outros. A SBIS est comprometida com a evoluo desse processo, incluindo as especificidades da rea de laboratrios, devendo publicar, em 2011, uma nova verso do manual, mantendo dilogos com diversos Conselhos Federais de profisses de sade, assim como com o Ministrio da Sade, a Agncia Nacional de Sade Suplementar (ANS) e a Agncia Nacional de Vigilncia Sanitria (ANVISA). Tambm colabora com a ABNT e ISO na elaborao da ISO 14441, previamente mencionada.



CAP O Colgio Americano de Patologistas (CAP) uma organizao americana de patologistas credenciados que atende pacientes, patologistas e o pblico, promovendo e defendendo a excelncia na prtica da patologia e medicina laboratorial (CAP Colgio Americano de Patologistas). O CAP possui um programa de acreditao chamado CAP Laboratory Accreditation Program, . reconhecido internacionalmente e ajuda os laboratrios a atingir excelncia no atendimento aos pacientes. Existem atualmente mais de seis mil laboratrios acreditados ao redor do mundo. O CAP Laboratory Accreditation Program baseado em padres de credenciamento rigorosos, que atendem a uma grande variedade de configuraes de laboratrios, que vo de consultrios mdicos at complexos centros mdicos. O programa tambm abrange uma gama completa de disciplinas e procedimentos de testes. PALC O Programa de Acreditao de Laboratrios Clnicos (PALC) da Sociedade Brasileira de Patologia Clnica/Medicina Laboratorial (SBPC/ML) foi lanado em 1998 e se mantm atualizado de acordo com as tendncias internacionais e cientficas da rea. O Programa de cunho educativo e constitudo por requisitos relacionados a todas as fases do processo laboratorial, alm de organizao e infraestrutura e um captulo especfico sobre o Sistema de Gesto das Informaes Laboratoriais (SIL).

4. Segurana e sigilo em TI no contexto de laboratrios clnicos: principais riscos e estratgias para um ambiente seguroA informatizao dos laboratrios clnicos fundamental para a otimizao dos servios de sade prestados, no entanto, preciso garantir que este processo seja feito de forma segura. Para isso, imprescindvel que sejam identificadas as ameaas existentes para o ambiente informatizado que se deseja proteger e, com base nelas, que se defina procedimentos ou mecanismos de segurana que eliminem as ameaas, que minimizem os riscos dessas ameaas tornarem-se reais, que limitem os danos causados ou que permitam que o ambiente se recupere com a maior eficincia possvel, mantendo-o em condies mnimas de operao. O resultado desse processo uma Poltica da Segurana. A Figura 3 ilustra um exemplo de um mecanismo de anlise de riscos detalhado. Segundo Cludia Dias (2000), uma Poltica da Segurana deve estabelecer princpios institucionais de como a organizao ir proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informaes por ele manipuladas. A poltica tambm deve estabelecer as responsabilidades das funes relacionadas com a segurana e discriminar as principais ameaas, riscos e impactos envolvidos (Dias, 2000). Considerando um ambiente informatizado no contexto de laboratrios clnicos, as principais ameaas esto relacionadas aos seguintes servios de segurana: Confidencialidade (leitura no autorizada), Disponibilidade (disponibilizao dos dados para os usurios autorizados) e Integridade (validade e consistncia dos dados). Ampliando o escopo do ambiente para contemplar a transmisso de informaes clnicas por meios eletrnicos, deve-se considerar tambm a Autenticidade (identificao de quem solicita os dados e de quem fornece os dados) das entidades envolvidas na transmisso dos dados e mecanismos que no permitam que estas entidades possam negar seu envolvimento na transmisso (No Repdio) (Beal, 2008). Para atingir os objetivos deste documento, foram identificadas as ameaas inerentes ao ambiente de um laboratrio clnico e estas foram categorizadas de acordo com sua origem (Infraestrutura de TI e Sistemas/Processos em Laboratrios Clnicos). As ameaas foram complementadas com informaes que tentam responder os seguintes questionamentos:Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


Anlise de Risco detalhada

Identificar ativos de informao ( informao a ser protegida )

Avaliar os valores dos ativos de informao e estabeler dependncias entre ativos

Avaliar ameaas

Avaliar vulnerabilidade

Identificar mecanismos para reduzir as vulnerabilidades

Avaliar riscos Identificar e revisar limitaes

Selecionar mecanismos

Aceitar riscos No Sim Poltica de Segurana de sistema de TI

Plano de segurana da TI

Baseado na ISO 13335-3

Figura3: Anlise detalhada de riscos relativos segurana

A quais servios de segurana a ameaa est relacionada? O que pode ser ? feito para tentar minimizar os riscos de elas ocorrerem ou seus impactos? O que as principais normas de segurana e sigilo relacionados segurana de TI ou laboratrios clnicos ? dizem a respeito? Infraestrutura de TI A infraestrutura de TI corresponde a plataformas de hardware, de telecomunicaes, das redes Lan (local area network) e Wan (wide area network), s instalaes fsicas e s pessoas, necessrias para exercerem os papis e responsabilidades relativas a TI. Ela composta por elementos de processamento, armazenamento, comunicao e segurana que, junto com os softwares propiciam servios de TI (que podem ou no estar relacionados a servios de segurana). Tais servios podem representar uma ameaa segurana do ambiente informatizado, j que por eles trafegam informaes (sensveis ou no) dos laboratrios clnicos. Quando se olha sob a perspectiva de infraestrutura, as ameaas e riscos segurana independem da rea de atuao da empresa. Isso significa que qualquer empresa deve se preocupar com este tipo de ameaa. A seguir so apresentadas algumas das ameaas mais comuns a ambientes informatizados.Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


Ameaas relacionadas confidencialidade Confidencialidade o dever de resguardar todas as informaes que dizem respeito a uma pessoa, isto , a sua privacidade. A confidencialidade o dever que inclui a preservao das informaes privadas e ntimas (Beal, 2008). Como garantir que os acessos aos dados que esto armazenados ou que trafegam na infraestrutura de TI do laboratrio so de acesso restrito e controlado? Quando se pensa em ameaas confiabilidade de um ambiente de TI, a primeira lembrana que vem a mente relacionada a ataques de hackers. No entanto, a estrutura fsica de TI de qualquer empresa pode ser objeto de diferentes acessos indevidos, incluindo-se, alm dos hackers, acessos internos de funcionrios, fornecedores, dentre outros. Como controlar o acesso fsico e lgico aos equipamentos e dados da rede? Muitos dos problemas de confiabilidade nas empresas ocorrem por falta de polticas de segurana que definam como o acesso aos recursos de rede deve ser controlado. O controle de acesso deve abranger o controle fsico (restrio de acesso a reas internas do laboratrio) e o controle lgico (restrio de acesso aos recursos de rede servidores, e-mails, arquivos utilizados pelo laboratrio). O controle de acesso fsico pode ser implantado por meio de portas, trancas, cmeras, utilizao de crachs que permitam a identificao visual de funcionrios e visitantes, dispositivos de biometria, dentre outros. Um bom exemplo de utilizao desse tipo de controle restringir o acesso s salas onde os servidores do laboratrio esto alocados, utilizando-se trancas ou outro tipo de mecanismo de bloqueio. O controle de acesso lgico pode ser implantado por meio de processos de autenticao, como logon na rede, polticas de trocas peridicas de senhas, perfis de acessos, permisses especiais em diretrios e arquivos, desabilitao de portas USB, dentre outros. Os sistemas operacionais disponveis atualmente no mercado j possuem mecanismos que permitem este tipo de controle. A utilizao desses mecanismos extremamente importante pois, caso uma pessoa consiga acessar fisicamente um computador que esteja em sua rede interna, se ele no for detentor de uma senha que lhe permita fazer o logon na rede, e assim ter acesso privilegiado, ele no conseguir causar muitos danos. Como controlar o acesso aos dados que trafegam na rede interna do laboratrio? Os ataques podem ser classificados como passivos e ativos. Os passivos so aqueles que no interferem no contedo do recurso que foi atacado (exemplo: observao e conhecimento de informaes armazenadas). Os ataques ativos prejudicam diretamente o contedo do recurso atacado, modificando ou eliminando informaes ou gerando informaes falsas. importante salientar que os ataques, passivos ou ativos, podem ser realizados por hackers ou, de forma mais danosa e frequente, por funcionrios ou ex-funcionrios da empresa. A definio dos impactos que um ataque pode causar reputao do laboratrio muito difcil de medir, portanto, o mais adequado tentar evitar que eles ocorram. Para proteger-se de ataques que violem a confidencialidade das informaes dos laboratrios, os administradores de rede podem: Definir e proteger os limites da rede interna, visando evitar que pessoas sem autorizao ? acessem qualquer recurso desta rede. Este tipo de proteo pode ser oferecido por meio de



firewalls e/ou por meio de combinaes de equipamentos de rede que ajudem nesta tarefa. Utilizar ferramentas de deteco de intruso, conhecidas como Ferramentas de IDS (Intru? sion Detection System). Estas ferramentas avaliam o trfego na rede e enviam alertas ao administrador da rede quando detectam algo suspeito. Definir e utilizar uma arquitetura de rede que combine as diversas ferramentas de rede (fi? rewalls, switches, hubs, IDS, outros) e reforcem o monitoramento dos limites internos e externos das redes e o respectivo trfego de informaes que ocorrem nela. A DMZ um exemplo de arquitetura de rede. Possuir um processo recorrente de anlise de vulnerabilidades, na qual especialistas, tam? bm chamados de hackers do bem, realizam ataques controlados ao ambiente. Esse tipo de ao tambm conhecido por hacker tico ou penetration test (pentest). Utilizar aplicativos que tenham sido desenvolvidos e que sejam atualizados com as melho? res prticas em programao segura. Utilizar aplicativos de antivrus nas estaes, assim como nos servidores, em especial nos de ? correio eletrnico. Aplicar frequentemente as atualizaes dos aplicativos, sistemas operacionais, navegado? res e antivrus. Orientar os usurios para que no executem arquivos desconhecidos, que possam atuar co? mo um cavalo-de-tria ou trojan, ou seja, um aplicativo na mquina local que capturar e enviar para pessoas no autorizadas dados de interesse. O que as normas dizem a respeito de confidencialidade? CAP Colgio Americano de Patologistas O CAP exige que o diretor do laboratrio julgue se o sistema da empresa confivel e se est adequado para atender s necessidades de assistncia aos pacientes. Quando o laboratrio usa rede pblica (por exemplo: Internet) como meio de transmisso de dados, ele deve utilizar mecanismos que assegurem que os dados transmitidos nesta rede estejam protegidos de leitura no autorizada durante a transmisso. PALC - Programa de Acreditao de Laboratrios Clnicos da SBPC/ML atribuda ao diretor do laboratrio a garantia e responsabilidade pela preciso dos clculos realizados pelo sistema do laboratrio, assim como pelos dados relacionados ao paciente. A confidencialidade e preservao dos registros tambm responsabilidade da direo. Entre os requisitos exigidos pelo PALC encontra-se a existncia de procedimentos de realizao de backups seguros e rastreveis por pessoas autorizadas. Tambm exigido um sistema de segurana que ajudem a garantir que as informaes e dados compartilhados na Internet estejam protegidos por firewall, alm da proteo interna com programas antivrus. __________________________________________________________ DMZ (De-Militarized Zone): conhecida como Zona Desmilitarizada, a DMZ permite proteger um computador ou segmento de rede que fica entre uma rede interna e uma rede externa no confivel (exemplo: Internet). A DMZ atua como intermediria tanto para o trfego de entrada quanto de sada (Beal, 2008)



Ameaas relacionadas disponibilidade Um sistema de alta disponibilidade resistente a falhas de software ou de elementos relacionados ao seu funcionamento, e que est disponvel o mximo de tempo possvel. Como garantir que os dados do laboratrio esto disponveis diante de falhas de servidores e/ou rede? Falhas de hardware e software em servidores podem incorrer na perda de dados crticos. Mecanismos de backup de dados e de arquivos de configurao de equipamentos de rede, polticas de substituio de elementos de rede, dentre outros mecanismos so formas eficientes de manter os dados disponveis. Como garantir a disponibilidade das informaes do laboratrio em caso de falha de servidores? Existem diversos mecanismos que aumentam a disponibilidade de servidores e dos dados por ele disponibilizados. Dentre esses mecanismos, destacam-se: Espelhamento de Servidores (neste, existem servidores configurados com os mesmos servios Servidor Principal e Servidor Espelho permitindo que, em caso de falha do Servidor Principal, o Servidor Espelho assuma as tarefas de forma rpida, tornando os servios disponveis em um espao curto de tempo); Espelhamento de Dados (neste mecanismo existem servidores de dados configurados para assumirem o papel de Servidor Principal e Servidor Espelho, permitindo que, em caso de falha do Servidor Principal, o Servidor Espelho assuma o papel do Servidor Principal, propiciando alta disponibilidade dos dados); Storage (mecanismo que propicia alta capacidade de armazenamento e alta velocidade de acesso aos dados armazenados). Como garantir a disponibilidade das informaes do laboratrio em caso de falha de elementos de rede (switches, roteadores, firewalls e outros)? Falhas em elementos de infraestrutura podem tornar indisponveis os recursos de rede do laboratrio, portanto, importante ter procedimentos de backup dos softwares e arquivos de configurao tambm desses dispositivos. A atualizao dos softwares contidos nesses dispositivos e as recomendaes dos fabricantes tambm so importantes e podem evitar transtornos desnecessrios. Os elementos de infraestrutura tambm podem sofrer danos fsicos. Neste caso, importante que exista uma poltica de substituio desses equipamentos e que existam procedimentos que agilizem a configurao do equipamento substituto. Um exemplo de uma situao que poderia comprometer a disponibilidade envolvendo danos fsicos a equipamentos seria imaginar que um roteador foi danificado e substitudo por outro idntico. A substituio fsica pode ser feita em minutos, porm, como fica a configurao do equipamento? Quanto tempo a equipe de TI levar para deix-lo operando satisfatoriamente? Nesses casos, a realizao de backup de arquivos de configurao bastante til. Controle e armazenamento de backup A realizao de backup dos dados do laboratrio uma maneira eficiente de se garantir que os dados esto disponveis. No entanto, os seguintes pontos precisam receber uma ateno especial: os dados armazenados no backup podem no estar ntegros e impedir a restaurao em caso de necessidade; o backup pode no ser realizado adequadamente; as mdias de armazenamento podem no ser adequadas ou no terem mais condies de armazenar, dentre outros. Para que o controle e armazenamento de backup sejam eficientes, deve-se ter foco nos seguintes procedimentos: Realizao de ? backup dos dados da empresa em pelo menos dois tipos de mdias diferentes (exem-



plo: disco e fita), e em pelo menos dois perodos de tempos predeterminados (dirio, semanal, mensal, trimestral ou anual). Existem vrias ? plataformas de backup no mercado hardware e software. O laboratrio deve optar por uma soluo e a equipe de TI precisa se especializar na sua utilizao. Execuo peridica de rotinas de restaurao de dados (parcial, incremental ou total) de pastas ? de arquivos, contas de e-mail, tabelas de banco de dados e outros. A periodicidade deve ser estabelecida de acordo com o volume de dados e negcio. No contexto de laboratrios, preciso considerar os horrios de atendimento e o volume de dados gerados. Backup em fita ? DAT ou LTO devem ser mantidos em ambiente seguro e apropriado, fora dos domnios da empresa. preciso verificar a integridade dos dispositivos e fitas envolvidos no backup e seguir a recomendao do fabricante com relao ao numero de cpias seguras que podem ser sobrescritas. Por fim, deve-se ter cuidado especial no manuseio e transporte das partes mveis. Realizao de ? auditorias formais sobre os procedimentos de backup, visando garantir que todos esses procedimentos estejam ocorrendo adequadamente e conforme definido pelo laboratrio. Ateno para ? os controles de segurana com relao ao sigilo das informaes nos ambientes de backup e recuperao de todos os dados de controle de segurana em caso de restaurao do backup. Cabeamento O projeto de instalao de um ambiente informatizado deve ser desenvolvido e instalado segundo orientaes explcitas sobre cabeamento estruturado. Em resumo, a disciplina de Cabeamento Estruturado estuda a disposio organizada e padronizada de conectores e meios de transmisso para redes de informtica, tornando a infraestrutura de cabos independente do tipo de aplicao. No Brasil, existe a norma NBR 14565 que define padres sobre cabeamento estruturado. A norma ANSI/TIA/EIA-568-B (no brasileira) tambm especifica padres sobre o tema. Muitas empresas iniciam a instalao do ambiente informatizado de acordo com as boas prticas previstas. No entanto, com o crescimento do ambiente, a estruturao inicial vai se perdendo ao longo do tempo. O ideal que o laboratrio faa um projeto de cabeamento estruturado e realize sua certificao e inspeo peridicas. O que as normas dizem a respeito de disponibilidade? CAP Colgio Americano de Patologistas O CAP exige que seja demonstrado que o ambiente em que se encontra o LIS (incluindo-se equipamentos de infraestrutura envolvidos) adequado, monitorado permanentemente, bem mantido e ventilado. Alm disso, exige-se segurana de acesso aos ambientes e a existncia de extintores. Ainda sobre segurana por meio de mecanismos fsicos, esta norma exige que o cabeamento esteja adequadamente fixado com presilhas e protegido da rea de circulao e que o sistema seja protegido contra interrupes de energia eltrica e oscilaes de corrente eltrica. Em relao a procedimentos de backup, o CAP exige que existam procedimentos para a realizao peridica de backup e que estejam preparados para emitir alertas de erro, quando estes ocorrerem. Devem existir, tambm, procedimentos de verificao da integridade do sistema armazenado em backup (sistema opeTecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


racional, aplicativos e bancos de dados), atravs de restaurao de arquivos de dados mantidos em backup. ISO e ABNT Nas normas, a questo da disponibilidade considerada no nvel do negcio, para garantir a sua continua operao. Assim, alm dos controles voltados tecnologia, como a necessidade de backup e de um planejamento de capacidade dos recursos, so consideradas as preocupaes com a dependncia em pessoas, fornecedores, instalaes fsicas e outros elementos. A norma traz reflexo um captulo exclusivo sobre a continuidade do negcio, cujo objetivo definir um plano de ao para casos de interrupes, falhas e desastres que afetem os sistemas de informao. Processo de certificao de software SBIS O manual da SBIS possui um captulo dedicado questo da disponibilidade do S-RES, no qual indica a necessidade de haver ferramentas que realizem a cpia de segurana (backup), de se exportar os atributos de segurana com os dados, do controle de acesso para a realizao da atividade de backup e restaurao, assim como da verificao da integridade das informaes no momento da restaurao. Ameaas relacionadas integridade Integridade de dados o termo usado para indicar que os mesmos no podem sofrer modificaes no autorizadas. Tais modificaes, quando no planejadas, podem gerar informaes incorretas e comprometer a integridade de todo o sistema. Como garantir que os dados armazenados em backup esto ntegros? Procedimentos de verificao de backup Os mecanismos de backup precisam ser sistematicamente verificados com o intuito de saber se no esto sendo armazenados dados no ntegros. Portanto, importante que ocorra a execuo peridica de rotinas de restaurao de dados de backup (parcial, incremental ou total) de pastas de arquivos, contas de e-mail, tabelas de banco de dados e outros. A periodicidade de restaurao pode variar em decorrncia do tipo e importncia do dado armazenado e deve ocorrer de forma sistemtica. Neste ponto, importante a realizao de auditorias que garantam que tais procedimentos so executados. O que as normas dizem a respeito de integridade? CAP Colgio Americano de Patologistas O CAP exige que existam procedimentos para a realizao peridica de backup. Estes devem estar preparados para emitir alertas de erro, quando ocorrerem. Devem existir, tambm, procedimentos de verificao da integridade do sistema armazenado em backup (sistema operacional, aplicativos e bancos de dados) atravs de restaurao de arquivos de dados mantidos em backup. ISO e ABNT Nas normas, a questo da disponibilidade considerada no nvel do negcio, para garantir a sua continua operao. Assim, alm dos controles voltados tecnologia, como a necessidade de backup e de um planejamento de capacidade dos recursos, so consideradas as preocupaes com a dependncia em pessoas, fornecedores, instalaes fsicas e outros elementos. A norma traz reflexo um captulo exclusivo sobre a continuidade de negcios, cujo objetivo definir um plano de ao para casos de interrupes, falhas e desastres que afetem os sistemas de informao.



etivo definir um plano de ao para casos de interrupes, falhas e desastres que afetem os sistemas de informao. Processo de certificao de software SBIS O manual da SBIS possui um captulo dedicado questo da disponibilidade do S-RES, no qual indica a necessidade de haver ferramentas que realizem a cpia de segurana (backup), de se exportar os atributos de segurana com os dados, do controle de acesso para a realizao da atividade de backup e restaurao, assim como da verificao da integridade das informaes no momento da restaurao. Sistemas de informao e processos em laboratrios clnicos No fcil justificar o investimento em segurana em qualquer empresa. O oramento de TI geralmente apertado e, na grande maioria dos casos, a segurana vinculada rea de TI. No entanto, a segurana no se restringe a isso. Ela pode ser abordada com diferentes enfoques: infraestrutura, sistemas, bancos de dados, criptografia das informaes, firewalls. evidente que a tecnologia auxilia a garantir a privacidade das informaes. No entanto, esta responsabilidade no pode ser atribuda exclusivamente tecnologia. O processo laboratorial to (ou mais) importante quanto a tecnologia e preciso dar uma ateno especial a esta necessidade. Diferentemente da perspectiva de infraestrutura, a viso sob a perspectiva dos processos que ocorrem em um ambiente de laboratrio clnico bastante especfica e quase que restrita rea laboratorial. O ambiente de um laboratrio tem necessidades de sistema e de processos quase que exclusivos e, portanto, as ameaas relacionadas a esses aspectos nesse ambiente so bastante especficas e precisam de uma ateno especial. A seguir, esto apresentadas algumas das ameaas mais comuns a ambientes informatizados. Ameaas relacionadas confidencialidade Como garantir que os dados do paciente esto corretos e protegidos contra acesso no autorizado (leitura ou alterao) durante e aps o processo laboratorial? Durante um processo laboratorial, existem muitos riscos envolvidos desde o atendimento do paciente, passando pela coleta, triagem e processamento da material at a disponibilizao dos resultados. Identificao do paciente antes, durante e aps a coleta de material Durante o processo laboratorial, os colaboradores do laboratrio precisam estar atentos identificao do paciente, desde o momento de cadastro ou identificao no sistema at a coleta do material. H mecanismos que garantam que a pessoa que est fazendo um exame realmente quem ela diz ser? Muitos problemas podem ocorrer nesse processo e alguns procedimentos podem ser teis para evitar erros: Os sistemas ?laboratoriais devem permitir o cadastramento de dados como CPF, RG, telefone, cdigo de barras. Estes dados facilitam a identificao do paciente e evitam erros futuros de identificao. Uso da biometria para identificao dos pacientes, desde o incio do atendimento, passando ? pela coleta, at a entrega do resultado. Confidencialidade das informaes produzidas pelo laboratrio As informaes geradas pelos laboratrios clnicos so bastante sensveis e altamente confidenciais.Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


Portanto, os laboratrios devem prover mecanismos que assegurem que as informaes sero acessadas somente por pessoas com autorizao. Os mecanismos devem assegurar confidencialidade via sistema e via documentos impressos. Problemas relacionados a este assunto remetem disponibilizao de resultados a terceiros. Neste caso, o laboratrio deve registrar o consentimento do paciente permitindo a entrega dos resultados a terceiros. Uma soluo complementar poderia ser a identificao visual nos resultados de exames (ou nos sistemas laboratoriais), indicando que eles foram disponibilizados a terceiros. Outro aspecto importante sobre a conduta dos funcionrios do laboratrio. Para isso, deve haver uma poltica que define qual a conduta esperada dos funcionrios e quais as punies e consequncias previstas em casos de desvio de conduta. A poltica deve ser amplamente divulgada, assegurando que no haja alegao de falta de conhecimento de sua existncia. A assinatura de contratos de confidencialidade pode ser utilizada. Outra prtica adequada solicitar consentimento do paciente para disponibilizao ou no de senha de acesso a resultados, envio por e-mail, correio ou qualquer outro meio que embora no garanta a confidencialidade, respeita a vontade do paciente. O que as normas dizem a respeito de confidencialidade? ISO e ABNT Do ponto de vista de processos, pode-se citar a poltica de mesa limpa, a fim de que informaes confidenciais no sejam deixadas expostas; cuidado nas conversas em reas comuns, como elevadores, corredores e restaurantes; proteo visual de monitores e no momento de digitao de senhas; e aes corporativas, como realizar um levantamento de antecedentes para profissionais que tero acesso a informaes crticas, elaborar contratos de confidencialidade, divulgar a responsabilizao por infraes, promover campanhas de conscientizao, classificar as informaes de acordo com sua criticidade. Do ponto de vista de controles tcnicos, a norma sinaliza a necessidade de definio dos controles e gesto do acesso informao, incluindo as polticas de acesso, o gerenciamento dos usurios e seus mtodos de acesso, como senha, aplicados aos aplicativos, ao sistema operacional e rede; e as questes de uso de criptografia para transporte e armazenamento dos dados. Processo de certificao de software SBIS O manual de certificao para sistemas de registro eletrnico em sade da Sociedade Brasileira de Informtica em Sade (SBIS) possui, em seus requisitos de segurana, especificaes voltadas a como os sistemas devem promover a confidencialidade da informao. Os captulos mais pertinentes a esse assunto tratam da identificao e autenticao de usurio, que exige a presena de ferramentas de controle de acesso e algumas caractersticas mnimas; o controle da sesso de usurio, que contempla a questo do encerramento da sesso e os controles para se evitar o roubo de sesso remota; a autorizao e o controle de acesso, que contempla a definio de grupos e papis de usurios e administradores; a comunicao remota, que trata os diversos tipos de comunicao entre os componentes do sistema, como entre o terminal de acesso e o servidor de aplicao, ou do servidor de aplicao ao servidor de base de dados; a segurana de dados, que trata da forma de acesso ao dado, da impossibilidade de alteraes e excluses de informao, das situaes para exportao de dados. Ameaas relacionadas integridade Como garantir que os dados disponibilizados pelos laboratrios clnicos por meios eletrnicos



(incluindo-se Internet e comunicaes de rede), impressos ou por meio de troca de informaes entre equipamentos de automao e o sistema laboratorial so confiveis? Na disponibilizao de informaes provenientes dos laboratrios clnicos preciso que existam mecanismos que garantam que os dados esto ntegros e corretos e que as informaes referem-se ao paciente correto. O resultado pertence ao paciente? H consenso de que os resultados dos exames so propriedade dos pacientes. A garantia de que os dados so autnticos uma busca constante e precisa ocorrer em todos os processos do laboratrio. O cadastro do paciente na recepo deve ser acompanhado de algum documento seu de identificao e confirmado durante a coleta. Com o uso de tubo primrio, possvel garantir que a amostra biolgica (matria-prima do exame laboratorial) pertence ao paciente cadastrado. Manutenes em bancos de dados (por exemplo: correes de nome aps a coleta) devem ser rastreados por meio de log de alteraes, garantindo rastreabilidade durante toda a vida do dado dentro do laboratrio. Comunicao entre equipamentos de automao e sistemas laboratoriais A troca de informaes entre sistemas (B2B) e entre sistemas e equipamentos laboratoriais uma prtica cada vez mais comum. Mecanismos de garantia desses processos so fundamentais para garantia da autenticidade dos dados. O processo de homologao de ativao dessas atividades deve ser rigoroso e evidenciado atravs de documentos e registros. Adulterao de resultados de exames A adulterao de resultados de exames de pacientes uma ameaa e pode ocorrer em todos os tipos de mdias. Muitas vezes, pensa-se somente no resultado pela Internet, que um meio eletrnico e pode ser mais facilmente alterado. No entanto, o resultado via papel tambm pode ser objeto de adulterao (por exemplo: por fotocpias). Deve haver mecanismos de controle de alteraes de dados e tambm de rastreabilidade dessas alteraes. Uma atual discusso como o paciente pode realizar a validao da integridade sobre o documento eletrnico. Naturalmente, so necessrias ferramentas para este fim e, assim, certa habilidade por parte dos usurios. Outra questo em aberto a verificao da integridade de um documento impresso. Isso se torna necessrio quando, mesmo que o original seja um documento eletrnico, uma cpia impressa fornecida ao paciente, ou gerada por ele, e que ser levada ao profissional de sade, que deve possuir alguma forma de validao. Em ambos os casos, a padronizao desses processos a chave para a maior compreenso, adeso e correta utilizao da tecnologia. Variaes bruscas de resultados de um mesmo paciente O acompanhamento de resultados anteriores do paciente e mecanismos de alerta sobre alteraes bruscas de resultados do paciente (delta-check) podem auxiliar no processo de integridade de dados, sugerindo investigao do processo e alertando possveis falhas na integridade dos dados. O que as normas dizem a respeito de integridade? ISO e ABNT Nas normas, a questo da integridade considerada no nvel do negcio, para garantir a sua continuaTecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


operao. Assim, alm dos controles voltados tecnologia, como a necessidade de backup e de um planejamento de capacidade dos recursos, so consideradas as preocupaes com a dependncia em pessoas, fornecedores, instalaes fsicas e outros elementos. A norma traz reflexo um captulo exclusivo sobre a continuidade de negcios, cujo objetivo definir um plano de ao para casos de interrupes, falhas e desastres que afetem os sistemas de informao. Processo de certificao de software SBIS O manual da SBIS possui um captulo dedicado questo da disponibilidade do S-RES, no qual indica a necessidade de haver ferramentas que realizem a cpia de segurana (backup), de se exportar os atributos de segurana com os dados, do controle de acesso para a realizao da atividade de backup e restaurao, assim como da verificao da integridade das informaes no momento da restaurao. Ameaas relacionadas autenticidade Como garantir que os envolvidos em um processo de comunicao entre computadores ou redes so realmente quem dizem ser? O contexto de autenticidade envolve no somente o processo de realizao de exames, mas tambm a transmisso de dados por meios eletrnicos. Em um processo de transmisso de dados, onde h comunicao entre redes ou computadores, preciso garantir a autenticidade de quem solicita a comunicao e tambm de quem fornece a comunicao. Em termos tcnicos, isso significa garantir a autenticidade de origem e de destino. Autenticao de usurios Garantir a autenticidade dos usurios que acessam os dados em um sistema laboratorial requer, alm de mecanismos de senha, polticas de atribuio de permisses e manuteno de senhas de acesso rede e aos sistemas. Recomenda-se a criao de uma poltica clara para a criao de novos usurios do sistema e tambm para cancelamento de senhas no caso de desligamentos de funcionrios. O que as normas dizem a respeito de autenticidade? ISO e ABNT As normas indicam a necessidade de validao da autenticidade, tanto quanto a integridade, nos processos de troca de informao com entidades externas e nas informaes e aplicativos que vem de fora da instituio. Menciona a assinatura digital como uma opo para prover a autenticidade. Processo de certificao de software SBIS O manual da SBIS trata a autenticidade em conjunto com o processo de autenticao. No caso voltado para a autenticao de usurios, o mecanismo mais simples o usurio e senha, sendo que a caracterstica de segurana baseada em uma informao que (somente) a pessoa autorizada conhece (a senha), e que no pode ser recuperada sem que a mesma esteja viva. Para um aprimoramento no nvel de segurana, pode-se usar um duplo fator para a autenticao. Este segundo fator pode ser materializado por meio de um equipamento que a pessoa autorizada possua no momento de sua identificao, como, por exemplo, um token one-time-password, que exibe um nmero que precisa ser digitado. A caracterstica de segurana, neste caso, que a pessoa autorizada possui algo exclusivo, que somente ela tem.Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


Outro segundo fator pode ser efetivado pelo uso da biometria, sendo digital, ris, ou veias. A caracterstica de segurana que utiliza algo que seja da pessoa. Um importante detalhe que deve ser considerado que o fator biometria pode no ser exclusivo, ou seja, outras pessoas podem possu-lo, como no caso de uma impresso digital, que pode ser deixada em um simples copo, por exemplo. Finalmente, a certificao digital outra opo. Em seu uso tradicional, o processo de emisso inclui alguma forma de identificao pessoal, que certificada por uma autoridade certificadora. No Brasil, existe um processo oficial de emisso de certificados, denominado ICP-Brasil, que exige a identificao presencial dos usurios perante agentes oficiais, e que equivale a um documento oficial de identificao eletrnica. Este mesmo dispositivo tambm pode ser utilizado para a gerao de assinaturas com equivalncia jurdica assinatura manuscrita (Presidncia da Repblica, 2011). Alm de usurios, sistemas e equipamentos devem se identificar nos processo de autenticao. Neste caso, um dos mtodos mais utilizados tambm a certificao digital. Nos casos em que no necessria uma identificao formal da entidade possuidora do sistema ou equipamento, utilizam-se certificados digitais fora da cadeia da ICP-Brasil. Nesta situao, a identificao mais confivel quanto confiana na autoridade certificadora emissora do certificado. Complementarmente identificao, o uso da certificao digital na comunicao entre sistemas pode prover a criptografia do canal e, assim, a confidencialidade da informao nesse processo. Ameaas relacionadas a no-repdio Como garantir que as operaes realizadas no laboratrio foram realizadas por pessoas com autorizao e, ainda, que estas pessoas no possam negar seu envolvimento nas operaes que executaram? Ao executar os processos laboratoriais, importante que as responsabilidades pela execuo das etapas estejam explicitamente definidas e que sejam controlada e, ainda, que as pessoas que executaram as etapas possam ser identificadas e responsabilizadas por possveis danos a pacientes ou ao laboratrio. Controle de acesso dos usurios ao sistema do laboratrio A poltica de hierarquizao de senhas controlada e respeitada? Cada grupo de usurios deve ter acesso a informaes pertinentes ao seu trabalho (e somente a elas). Por exemplo, uma faturista no precisa ter acesso aos resultados do paciente, embora tenha acesso a consulta de dados de guia. Esses nveis de acesso devem ser documentados, divulgados, e respeitados. Alm disso, de fundamental importncia um registro das atividades realizadas pelos usurios do sistema (log de operaes), mantendo, assim, possibilidade de auditoria no processo. O que as normas dizem a respeito de no-repdio? ISO e ABNT A norma indica que informaes e contratos firmados com entidades externas devem considerar o norepdio, principalmente quando firmados pela Internet. Processo de certificao de software SBIS O manual da SBIS trata o no-repdio por meio do uso da certificao digital, tanto para a questo da autenticao de sistemas e equipamentos, quanto de usurios. Em especial, quando a questo se aplica aos usurios, a questo tratada no conjunto de requisitos



destinados ao Nvel de Garantia de Segurana 2 (NGS2). O objetivo principal desses requisitos viabilizar a no utilizao do suporte em papel, de forma a manter as evidncias necessrias para a utilizao dos documentos e registros eletrnicos como provas jurdicas, o que consolidado pelo uso de certificados emitidos na cadeia de certificao ICP-Brasil . 5. Concluses O entendimento dos riscos relacionados aos sistemas de informao hoje existentes representa um desafio aos laboratrios clnicos. Acompanhar o surgimento de novas tecnologias, novos processos de trabalho e entender a aplicabilidade neste setor podem ser considerados fatores crticos de sucesso para uma utilizao de sistemas informatizados. Como a maioria dos servios laboratoriais fornecida por empresas terceirizadas, preciso contar com uma assessoria atualizada e que conhea os riscos presentes nos ambientes laboratoriais. Desta forma, podem-se criar procedimentos e mecanismos de segurana e sigilo mais adequados a rea laboratorial e, especialmente, ao laboratrio que utiliza tais procedimentos e mecanismos. 6. Referncias ANATEL Agncia Nacional de Telecomunicaes. (s.d.). Acesso em 2 de 7 de 2011, disponvel em ANATEL: http://www.anatel.gov.br ANS Agncia Nacional de Sade Suplementar. (3 de 2011). Caderno de Informao da Sade Suplementar. Acesso em 2 de 7 de 2011, disponvel em ANS Agncia Nacional de Sade Suplementar: http://www.ans.gov.br BC Banco Central do Brasil. (s.d.). Acesso em 2 de 7 de 2011, disponvel em BC Banco Central do Brasil: http://www.bc.gov.br Beal, A. (2008). Segurana da Informao: Princpios e Melhores Prticas para a Proteo dos Ativos de Informao nas Organizaes. So Paulo: Atlas. CAP Colgio Americano de Patologia. (s.d.). Acesso em 18 de 7 de 2011, disponvel em CAP Colgio Americano de Patologia: http://www.cap.org CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. (s.d.). Acesso em 2 de 7 de 2011, disponvel em CERT.br: http://www.cert.br/stats/incidentes/ CNES Cadastro Nacional de Estabelecimentos de Sade do Ministrio da Sade. (s.d.). Acesso em 2 de 7 de 2011, disponvel em CNES Cadastro Nacional de Estabelecimentos de Sade do Ministrio da Sade: http://cnes.datasus.org.br Dias, C. (2000). Segurana e Auditoria da Tecnologia da Informao. Rio de Janeiro: Axcel Books. F/Nasca Datafolha. (s.d.). Acesso em 2 de 7 de 2011, disponvel em F/Nasca Datafolha: http://http://www.fnazca.com.br/index.php/2010/11/29/brasil-tem-813-milhoes-de-internautas-emacao/ IBGE Instituto Brasileiro de Geografia e Estatstica. (s.d.). Acesso em 2 de 7 de 2011, disponvel em IBGE: www.ibge.gov.br Levy, S. (s.d.). Acesso em 2 de 7 de 2011, disponvel em Carto Nacional de Sade: http://saudefloripa33pj.files.wordpress.com/2010/05/cartao-nacional-de-saude_15-anos-dehistoria.pdf Ministrio da Sade. (2011). CNES Cadastro Nacional de Estabelecimentos de Sade. Ministrio da Sade. (28 de 4 de 2011). Portaria Ministerial 940. Acesso em 18 de 7 de 2011, disponvel em http://bvsms.saude.gov.br/bvs/saudelegis/gm/2011/prt0940_28_04_2011.html Presidncia da Repblica. (24 de 8 de 2011). Acesso em 18 de 7 de 2011, disponvel em MEDIDA PROVISRIA No 2.200-2: http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-2.htm TSE Tribunal Superior Eleitoral. (s.d.). Acesso em 2 de 7 de 2011, disponvel em tse: http://www.tse.gov.brTecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Medicina Laboratorial:



Conceitos de certificao e segurana digital de laudosTecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


Conceitos de certificao e segurana digital de laudos

Informar e OrientarA Tecnologia da Informao traz fortemente registrado no seu DNA a necessidade constante da sua prpria reinveno, muitas vezes com inovaes disruptivas que podem dificultar acompanhar o seu prprio desenvolvimento pela grande maioria dos seus usurios, ainda mais se considerarmos que, enquanto cincia, pode ser considerada como muita nova e, portanto, enfrentando uma srie de transformaes. No tem sido fcil. Por isso, a constante necessidade de Informar e Orientar uma exigncia primordial para termos clareza de qual o propsito da utilizao de determinadas solues, seu emprego, suas vantagens, as dificuldades para uso, custos e tantos outros aspectos inerentes a adoo dessas solues. A inteno deste documento de poder auxiliar no esclarecimento quanto ao que de fato a Certificao Digital se prope, qual a sua semelhana em relao a Certificao de Sistemas, e consideramos como fundamental que sejam apresentados conceitos, diretrizes e propostas: Conceitos de certificao e segurana digital de laudos. Conceitos fundamentais: 1. Como funciona o e-CRM e a certificao digital do profissional que assina o laudo? 2. Como garantir a veracidade de um laudo laboratorial? 3. Precisamos de certificaes de sistemas diagnsticos?

Conceitos FundamentaisQual a definio de certificao digital? (*1) A Certificao Digital foi concebida para oferecer sigilo, agilidade, autenticidade e validade jurdica para diversos tipos de transaes eletrnicas. O certificado digital uma credencial que identifica uma empresa, pessoa fsica, equipamentos especiais ou um site na Internet. Os certificados digitais so compostos por um par de chaves (Chave Pblica e Privativa) e a assinatura de uma terceira parte confivel: Autoridade Certificadora (AC). As AC emitem, renovam ou revogam certificados. So supervisionadas e submetem-se regulamentao e fiscalizao de organismos tcnicos. No nosso cotidiano (mundo real), para que uma identificao seja aceita, precisamos que seja emitida ou validada por um rgo habilitado pelo governo. No mundo digital, temos a mesma relao, onde os Certificados Digitais emitidos por Autoridades Certificadoras oferecem confiana, segurana e validade jurdica. A ICP-Brasil (Infraestrutura de Chaves Pblicas Brasileira) foi instituda pela Medida Provisria 2.200-2, de 24 de agosto de 2001, que criou o Comit Gestor da ICP-Brasil, a Autoridade Certificadora Raiz Brasileira e define as demais entidades que compem sua estrutura. A partir dessa MP, foram elaborados os regulamentos que regem as atividades das entidades integrantes da Infraestrutura de Chaves Pblicas Brasileira: Resolues do Comit Gestor da ICP-Brasil, as Instrues Normativas e outros documentos.Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


O modelo de infraestrutura adotado pela ICP-Brasil foi o de Certificado com Raiz nica. O Instituto Nacional de Tecnologia da Informao - ITI est na ponta desse processo como Autoridade Certificadora Raiz. Cabe ao Instituto credenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos. (*1) Fonte de consulta: Autoridade Certificadora Certisign A estrutura da ICP-Brasil est apresentada a seguir: (Fonte: ITI - Instituto Nacional da Tecnologia da Informao. http://www.iti.gov.br/twiki/pub/Certificacao/EstruturaIcp/Estrutura_da_ICP-Brasil_-_site.pdf)

Estrutura da ICP-BrasilAtualizado: 14/04/2011AC RAIZ

AC CEF

AC CERTISIGN

AC IMPRENSA OFICIAL SP

AC JUS

AC PR

SERASA ACP

AC SERPRO

AC RFB

AC CMB

AC CAIXA PF

AC CERTISIGN MULTIPLA AC CERTISIGN SPB AC IMPRENSA OFICIAL SP AC SINCOR AC PRODEMGE

AC IMPRESA OFICIAL

AC CAIXA JUS AC CERTISIGN JUS AC SERASA JUS AC SERPRO JUS

SERASA AC

SERPRO ACF AC PRODERJ

AC CERTISIGN RFB AC IMESP RFB AC PRODEMGE RFB AC SERASA RFB AC SERPRO RFB AC SINCOR RFB AC FENACON CERTSIGN RFB AC NOTORIAL RFB AC BR RFB

AC CAIXA PJ

SERASA CD

AC FENACOR

AC PETROBRAS

AC OAB AC INSTITUTO FENACON

AR CREDENCIADA AR EM CREDENCIAMENTO AC EM CREDENCIAMENTO AC CREDENCIADA DE 1NVEL AC CREDENCIADA DE 2NVEL

AC INSTITUTO FENACON RFB AC PRODEST RFB

Quais os tipos de certificados, formatos e validades? Existem vrios tipos de certificados digitais que podem ser adquiridos, porm destacaremos dois em especial: e-cpf e e-cnpj. O e-cpf a verso eletrnica do tradicional CPF, garantindo a autenticidade e a integridade nas transaes eletrnicas para pessoas fsicas. O e-cnpj a verso eletrnica do CNPJ (Cadastro Nacional de Pessoa Jurdica), tendo as mesmas caractersticas do e-cpf, porm aplicado pessoa jurdica. Em ambos os casos existem duas formas de utilizao. No tipo A1, o certificado gerado e armazenado num computador ( um arquivo digital), e sua validade de um ano.Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011


No tipo A3, o certificado gerado e armazenado num carto inteligente (smart card precisa de um leitor para ser lido) ou token (parecido com um pen-drive precisa de porta USB habilitada para ser lido), e tem validade de trs anos. Existem variaes de preos para os certificados, conforme a sua validade e tipo que ser gerado, em smart card, token ou software. Como funciona o e-CRM e a certificao digital do profissional que assina o laudo? O e-crm um documento de identificao funcional do mdico, podendo vir a ter incorporado o certificado digital do mdico (similar ao e-cpf) em sua prpria carteira de identidade profissional, como pretende o Conselho Federal de Medicina (CFM). Mensagem no site do CFM (http://portal.cfm.org.br) CFM prepara-se para emitir certificados digitais junto com a identidade profissional Os cenrios para gerenciamento dessa tecnologia, que tambm poder ser chamada de CRM digital ou e-CRM, foram apresentados pelo representante do ITI, Ruy Csar Ramos. O Conselho Federal de Medicina (CFM) prepara-se para emitir certificados digitais conjuntamente com a identidade profissional. Os cenrios para gerenciamento dessa tecnologia, que tambm poder ser chamada de CRM digital ou e-CRM, foram apresentados pelo representante do Instituto Nacional de Tecnologia da Informao (ITI), Ruy Csar Ramos Filho, nesta quinta-feira (8), aos conselheiros federais. Certificado digital um documento eletrnico que tem informaes sobre a pessoa, assinado digitalmente por uma terceira parte confivel, com mesmo valor jurdico dos documentos assinados de forma tradicional. O diretor de Infraestrutura de Chaves Pblicas do ITI, Maurcio Augusto Coelho, explicou que o certificado digital poder autenticar e validar com garantias de integridade e sigilo (as informaes trafegam de forma criptografada). Com essa tecnologia, os processos tico-profissionais tambm poderiam tramitar eletronicamente, a exemplo do que j faz o judicirio. As eleies dos conselhos de medicina tambm poderiam ser realizadas de maneira informatizada com certificao digital, com o voto sendo efetuado de computadores privados. "O mdico, se ainda no precisa, vai precisar de um certificado digital, seja para exercer seus direitos e deveres como cidado, seja para exercer seus direitos e deveres como profissional da medicina", estima Coelho. Sul e Sudeste concentram 70% dos mdicos brasileiros. Estima-se que 90% deles tenham acesso a computadores pessoais. Inicialmente, este deve ser o principal pblico para o CRM digital ou e-CRM. Com o e-crm atrelado a um certificado digital emitido por autoridade certificadora (ainda no disponvel) ou pelo prprio e-cpf de um mdico, possvel, portanto, ter a sua identidade definida e validade comprovada juridicamente. A partir disso, documentos que sejam assinados digitalmente por esses profissionais contero informaes suficientes para que sejam validados legalmente. Para que isto ocorra, fundamental que uma soluo de TI utilize o e-crm (com certificado digital) ou o e-cpf do mdico para as operaes tcnicas necessrias para sua validao e criao de documento no padro PDF certificado ou no padro PKCS7/CMS (formato de documento certificado digitalmente). Cabe destacar que esta inteno tambm almejada nas demais categorias profissionais que atuam nos laboratrios de anlises clnicas.



Como garantir a veracidade de um laudo laboratorial? O conceito de veracidade (s.f. Qualidade de veraz ou verdadeiro: a veracidade de um fato) um elemento primordial para um laudo laboratorial, pois o que espera o cliente-final (paciente) que receba um laudo laboratorial completamente verdadeiro, e, pela parte do laboratrio, que o laudo preserve esta caracterstica indefinidamente ou, sendo evidenciada qualquer alterao das suas informaes, seja anulada completamente a sua veracidade. Um exemplo para garantir a veracidade de um laudo laboratorial, usado pelos SIL (Sistemas de Informao Laboratorial) a utilizao de um hash (*1) que represente, atravs de um nmero nico, o contedo de um laudo onde, ocorrendo qualquer alterao no referido laudo, mnima que seja, o referido hash seja invalidado. Este hash inicial, gerado para cada laudo, dever ser arquivado/publicado conjuntamente, para efeito de avaliao/comprovao posterior. Exemplo didtico: Laudo 001 Glicose: 100 mg/dL Hash gerado para o laudo = 012030405060 Se o mesmo laudo for alterado para o resultado abaixo: Laudo 001 Glicose: 222 mg/dL Hash = 012030405888 O hash do primeiro laudo DIFERE do hash do segundo laudo, portanto, evidenciando que o laudo posterior NO confere com o hash original do arquivo (arquivado/publicado pelo laboratrio). Este processo garante uma forma rpida e segura de comprovao de veracidade de um determinado laudo/documento. O processo de certificao digital de laudos utiliza os mesmos conceitos e mecanismos aplicados na elaborao de um documento certificado digitalmente, onde algoritmos matemticos so utilizados para que, na ocorrncia de qualquer alterao no documento certificado, a sua veracidade seja invalidada. (*1) Hash a transformao de uma grande quantidade de informaes em uma pequena quantidade de informaes, buscando identifica-la de forma unvoca, por exemplo, atravs de um cdigo numrico. Precisamos de certificaes de sistemas diagnsticos? A Certificao Digital, especificamente a de laudos, conforme apresentado antes neste artigo, refere-se informao gerada pelo Sistema de Informao Laboratorial, garantindo a sua autenticidade, veracidade e agilidade no tratamento das informaes, enquanto a Certificao de Sistemas refere-se a procedimentos sistemticos, mtodos e diretrizes que avaliem os requisitos tecnolgicos aplicados aos Sistemas de Informao voltados para a Sade, homologando o referido produto/servio quanto s exigncias definidas. Destaca-se o fato de que a Certificao de Sistemas est tendo forte enfoque para a possibilidade de eliminao do papel nos processos e a maior segurana da informao. O processo de Certificao de Sistemas para a sade est sendo conduzido pela SBIS (Sociedade Brasileira de Informtica na Sade), que elaborou o Manual de Certificao para Sistemas de Registro Eletrnico em



Sade (S-RES), sendo a referncia para a certificao de empresas de tecnologia da informao, com produtos voltados para a Assistncia Ambulatorial e TISS (nesta fase inicial). A Certificao de Sistemas para os Sistemas de Informao Laboratorial (SIL) ainda no tem calendrio oficial definido quanto a sua aplicao, certificao etc. Acreditamos que o Comit de TI da SBPC/ML poder contribuir na evoluo deste importante processo.

Regulamentao Para SadeANVISA RDC 302/2005 Parte Laudos: 6.3 Fase ps -analtica 6.3.1 O laboratrio clnico e o posto de coleta laboratorial devem possuir instrues escritas para emisso de laudos, que contemplem as situaes de rotina, plantes e urgncias. 6.3.2 O laudo deve ser legvel, sem rasuras de transcrio, escrito em lngua portuguesa, datado e assinado por profissional de nvel superior legalmente habilitado. 6.3.3 O laudo deve conter no mnimo os seguintes itens: a) identificao do laboratrio; b) endereo e telefone do laboratrio; c) identificao do Responsvel Tcnico (RT); d) no. de registro do RT no respectivo conselho de classe profissional; e) identificao do profissional que liberou o exame; f) no. registro do profissional que liberou o exame no respectivo conselho de classe do profissional g) no. de registro do Laboratrio Clnico no respectivo conselho de classe profissional; h) nome e registro de identificao do cliente no laboratrio; i) data da coleta da amostra; j) data de emisso do laudo; k) nome do exame, tipo de amostra e mtodo analtico; l) resultado do exame e unidade de medio; m) valores de referncia, limitaes tcnicas da metodologia e dados para interpretao; n) observaes pertinentes. A Anvisa RDC n 302, de 13 de outubro de 2005, define a necessidade da assinatura do laudo por um profissional de nvel superior legalmente habilitado.



Como no discriminada a obrigatoriedade de ser assinatura manuscrita, pode-se, portanto, recorrer assinatura digital (certificado digital) que, diferente da assinatura digitalizada, reconhecida oficialmente no Brasil, desde que devidamente fornecida por Autoridade Certificadora gerida pelo ICP-Brasil (Medida Provisria no 2.200, de 28 de junho de 2001).

Propostas de UtilizaoModelos Existentes - Certificao Digital At o momento, existem duas formas para implantao/uso da Certificao Digital, especificamente para os laboratrios de anlises clnicas.

SOLUO INTERNAConsultoria interna/externa para levantamento de necessidades e expectativas. Adequao do SIL para a soluo de certificao. Aquisio do SDK (software Develoment Kit) de empresa especializada em certificao digital.

SOLUO EXTERNA

1

Modelo pronto para uso, formatado para atender perfil geral de clientes. Integrao da soluo interna com soluo externa.Soluo externa j est pronta e operacional modelo SaaS (Software as Service).

2

3

4

Homologao mais externa.

Servio homologado.

5

Custo Maior.

Custo Menor.

6

Certificados adquiridos em AC. Empresa detm maior controle no processo de certificao digital (sistema interno prprio).

Certificados adquiridos em AC. Processo de certificao digital realizado por empresa externa.

7

8

Implantao exige mais tempo.

Implantao exige mais tempo.

9

Maior facilidade para implantao por laboratrios de grande porte. Disponibilidade de TI com suporte para este novo tipo de processo.

Maior facilidade para implantao por laboratrios de pequeno e mdio porte.

10

Suporte de TI pontual.



Vantagens Para os Clientes? E os Laboratrios? Vantagens para os clientes (pacientes) quanto ao uso da certificao digital 1 2 3 4 5 Garantia de autenticidade Validade jurdica comprovada Maior segurana Facilidade para atestar a veracidade de um laudo (comprovao compulsria) Data e hora da liberao final do laudo com preciso (inclusive com uso de Time Stamp)

Vantagens para os laboratrios quanto ao uso da certificao 1 2 3 Maior proteo contra fraudes em laudos Validade jurdica comprovada Possibilidade de reduo

Posicionamento TI SBPC 2011

Documents

Transcript of Posicionamento TI SBPC 2011