PADRÃO TISS Padrão de Comunicação Padrão de Segurança e Privacidade

Slides:



Advertisements
Apresentações semelhantes
Sistemas Distribuídos Baseados na Web
Advertisements

Administração e segurança de redes
Sistemas Distribuídos Web Services
CONGRESSO BRASILEIRO DE CONTABILIDADE 29/08/2012
Universal Description, Discovery and Integration (UDDI)
Web Services Erika Hmeljevski Estefania Borm Leonardo Malagoli
Infra-estrutura de Chaves Públicas
Prontuário Eletrônico: Conceitos e aplicações Beatriz de Faria Leão
Criptografia e Segurança em Rede Capítulo 1
Área de Desenvolvimento de Sistemas
DAS Sistemas Distribuídos para Automação Industrial
Rigoleta Dutra Mediano Dias
Prontuário Eletrônico
Padrão TISS – Troca de Informações em Saúde Suplementar
Infra-estrutura de Chaves Públicas
Registro Eletrônico para Acompanhamento Médico de Pacientes em uma UTI Rafael Charnovscki (1), Jacques R. Nascimento Filho (2,3) Giancarlo Bianchin.
Fundação Aplicações de Tecnologias Críticas - Atech
Certificação de Sistemas de Registro Eletrônico Perspectiva da Assespro Associação das Empresas Brasileiras de Tecnologia da Informação, Software e Internet.
Aplicações de Certificados Digitais
Programa de Educação Médica Continuada do Conselho Regional de Medicina do Estado de São Paulo Prontuário Eletrônico do Paciente Marcelo Lúcio da Silva.
Sistemas Distribuídos
SOA - Arquitetura Orientada a Serviços
Sistema de Registro Eletrônico de Imóveis 2013
Introdução a Arquitetura Orientada a serviços
A Enfermagem na Era da Informática
Obrigações Acessórias Eletrônicas
Segurança da Informação e privacidade
Certificação Digital Assinatura Digital.
Minicurso PHP – Parte 2 João Paulo Ribeiro jpribeiro.com
Tópicos de Sistemas de Informação A
Faculdade de engenharia química Gestão estratégica da produção Sistemas de Informação e tecnologia Trabalho 6 Tecnologias e Ferramentas para Garantir a.
TRABALHO 6: Tecnologias e Ferramentas para Garantir a Segurança
PADRÃO DE TROCA DE INFORMAÇÕES NA SAÚDE SUPLEMENTAR TISS – 3.0.
Secure Sockets Layer (SSL) e Transport Layer Security (TLS)
Web Services Desmistificando o pré-conceito.
Marcelo Lúcio da Silva Brasília, 26 de outubro de 2010
Comitê de Padronização das Informações em Saúde Suplementar - COPISS
Transações Eletrônicas
PADRÃO TISS aplicaTISS Oficinas TISS
Padrão de Conteúdo e Estrutura
Sistemas de informação em planos de saúde: rede credenciada, usuários e ANS André Junqueira Xavier.
Normas para Segurança da Informação
Prof. Diogo Nunes de Oliveira
Emenda Constitucional nº 42 – 19/12/03
Jornada das Delegacias do CREMESC do Litoral Balneário Camboriú – SC 5 a 6 de novembro de 2010.
A IMPORTÂNCIA DO PRONTUÁRIO MÉDICO DO PACIENTE
CERTIFICADO DE ATRIBUTOS
Sistema de Informação e Tecnologia Trabalho 09 – Tecnologias e Ferramentas para Garantir a Segurança Gestão Estratégica de Produção Marcel Fernando de.
Desafios Tecnológicos da NFe
Prontuário Médico Eletrônico CT de Informática em Saúde do CFM
Tecgraf PUC-Rio Setembro de 2013 Introdução ao Openbus.
PADRÃO TISS 3.0.
Da Introdução à Prática

CURSO GESTÃO ESTRATÉGICA DA PRODUÇÃO SISTEMAS DE INFORMAÇÃO E TECNOLOGIA RAFAEL F P BRIARD TRABALHO 9.
RPC and Web Service André Pereira.
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
Sistema de Gestão de Segurança da Informação
.NET com C#.  Conceitos e Características  Vantagens do SOAP  Descrição do WebService  Gerenciamento de Estados  UDDI  Novidades do Framework 2.0.
Universidade Federal de Alagoas Instituto de Computação - IC Redes de Computadores 2 Serviços Web Felipe Santos José Oswaldo.
WSDL Web Services Description Language. Tecnologias Relacionadas Web Services SOAP (Simple Object Access Protocol) HTTP (HyperText Markup Language) UDDI.
Análise de estratégias para implantação de segurança em arquiteturas orientadas a serviços Dezembro/2010 Itabaiana/SE Universidade Federal de Sergipe –
Versão 1 - julho/2013 Tecgraf PUC-Rio Novembro de 2013 Introdução ao OpenBus.
Conceituação de Assinatura e Certificação Digital
YOUR LOGO Tópicos Avançados em Internet Prof. Lincoln Ferreira Dantas Sistemas de Informação UNIESP – Presidente Epitácio.
Segurança em Comércio Eletrônico Comércio tradicional realizado de maneira centralizada cercado de restrições legais Comércio eletrônico realização de.
Unimed Belém TISS Unimed Belém – 7 Novembro 2007.
7º Seminário FEMIPA – “Novos Rumos para a Saúde!! Financiamento, Custeio e Gestão 13 de novembro de º Seminário FEMIPA l - Curitiba (PR) - 13/11/
1 TUSS Terminologia Unificada em Saúde Suplementar.
Web Services / SOA. O cenário de TI nas corporações Novas tendências batiam à porta das corporações Migraram o foco do “gerenciamento de dados” para o.
Transcrição da apresentação:

PADRÃO TISS Padrão de Comunicação Padrão de Segurança e Privacidade Oficinas TISS 2006

Roteiro sobre Comunicação Introdução Objetivos Arquiteturas de Integração Integração ao nível de dados Integração ao nível de mensagens Integração via Web Services Oficinas TISS 2006

Objetivos Apresentar alternativas de arquiteturas de integração entre aplicações de prestadores e operadoras para implementar o padrão TISS, considerando sistemas legados e arquiteturas baseadas em Internet Oficinas TISS 2006

Integração ao Nível de Troca de Arquivos Abordagem 1: Integração a Nível de Troca de Arquivos Transmissão de dados através de troca de arquivos Operadoras Prestadores Quando aplicar? Integração de aplicações legadas que não utilizam arquitetura Internet Vantagens Simplicidade Desvantagens Manutenção trabalhosa Oficinas TISS 2006

Abordagem 1: Integração via troca de arquivos Prestadores Operadoras Comunicação Segura Aplicação Operadoras Aplicação de Geração das Guias Schemas TISS Diretório de Entrada Diretório Saída Diretório de Saída Diretório Entrada Oficinas TISS 2006

Abordagem 1: Integração via troca de arquivos Workflow Digitação ou extração das guias a partir do prestador Geração das guias em XML conforme schemas Gravação Guias diretório de saída local Disparar aplicação de comunicação segura (TISSNET?) Autenticar usuário para comunicação segura Enviar lote de guias através de canal segura Gravar no diretório de entrada do servidor Buscar no diretório de saída do servidor recibo de entrega do lote de guias (protocolo) Enviar recibo através de canal seguro para o prestador Oficinas TISS 2006

Abordagem 2: Integração por troca de mensagens Transmissão de dados através de troca de mensagens Operadoras Prestadores Quando aplicar? Integração de aplicações em ambiente Internet Como implementar? HTTPS + Schemas TISS Serviço de Mensagens (JMS + schemas TISS) Vantagens Padrões, independência de plataforma, SO Oficinas TISS 2006

Abordagem 2: Integração via troca de mensagens Comunicação Segura Operadoras Prestadores Mensagens Schemas TISS Aplicação de Geração das Guias Aplicação Operadoras Oficinas TISS 2006

Abordagem 2: Integração via serviços de mensagens Implementam todos os mecanismos de envio e recebimento de mensagens Gerenciam a fila de mensagens, garantindo que uma determinada aplicação realmente recebeu a mensagem JMS (Java Message Service): especificação de um serviço de mensagens em Java. Diversas implementações disponíveis: Ex.: Java 1.3 e OpenJMS SOAP (Simple Object Access Protocol): especificação de um serviço de mensagens. Elemento chave da arquitetura .net. Ainda não é padrão W3C. Oficinas TISS 2006

Web Services: Conceitos São Componentes de software, que possibilitam a interoperabilidade entre aplicações, de forma automática através de protocolos abertos de comunicação Podem ser encontrados através de UDDI (Universal Description, Discovery and Integration) Os serviços oferecidos são descritos por WSDL (Web Services Description Language) WSDL ainda não é padrão W3C Web services utilizam XML para codificar e decodificar os dados e SOAP para transportá-los Oficinas TISS 2006

Abordagem 3: Integração via Web Services Comunicação Segura Operadoras Prestadores Aplicação de Geração das Guias Aplicação Operadoras Oficinas TISS 2006

Abordagem 3: Integração via Web Services Oficinas TISS 2006

Reflexões Ë possível implementar o padrão TISS com diferentes metodologias, mesmo para sistemas legados A Mensagem TISS contém todos os elementos necessários para a implementação do padrão A adoção de Web Services através da publicação da WSDL ANS possibilitaria a automação de todas as trocas de informação em saúde suplementar Oficinas TISS 2006

Links SOAP OpenJMS Web Services http://www.w3schools.com/soap/soap_syntax.asp OpenJMS http://www.openjms.org http://java.sun.com/products/jms/tutorial/ Web Services http://www.w3schools.com/webservices/default.asp http://java.sun.com/webservices/index.jsp?cid=142157 Oficinas TISS 2006

Da Segurança e da Privacidade RN nº 114/2005 – Artigo 8º CAPÍTULO V Da Segurança e da Privacidade Oficinas TISS 2006

A Internet no Brasil Pesquisa da Módulo Security (out-2003) Legislações, normas e regulamentações de segurança que norteiam suas organizações Publicações do Governo Federal (decreto 4553 e outros) Publicações do Banco Central (resolução 2554 e outras) ISO 17799 Regulamentação da ICP-Brasil COBIT Publicações da CVM (Resolução 358 e outras) Publicações da Anatel Publicações da SEC (Sarbanes e Oxley e outras) Publicações do CFM Outras 63,5% 37% 30% 27% 20% 17% 11,5% 6% Observação: o total de citações é superior a 100% devido à questão aceitar múltiplas respostas. Pesquisa realizada com cerca de 50% das 1000 maiores empresas brasileiras- Financeiro (21%), Governo (17%), Indústria e Comércio (14%), Tecnologia/Informática (14%), Prestação de Serviços (9%), Outros (8%), Telecomunicações (7%), Comércio/Varejo (4%), Energia Elétrica (2%), Educação (2%) e Saúde (2%) Oficinas TISS 2006

Resolução Normativa nº 114/2005 e Instrução Normativa/DIDES nº 17/2005 RN nº 114 /2005: estabelece o padrão TISS Guias e demonstrativos de retorno; Transações eletrônicas; Cronograma; COPISS; Requisição de informações pela ANS; Segurança e privacidade; Penalidades IN nº 17/2005: estrutura física do padrão Anexo I: lay-out das guias e demonstrativos Anexo II: transações eletrônicas Anexo III: XML Oficinas TISS 2006

Segurança e privacidade CFM – Resolução 1638/2002 Prontuário Médico: documento único constituído de um conjunto de informações, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situações sobre a saúde do paciente e a assistência a ele prestada, de caráter legal, sigiloso e científico, que possibilita a comunicação entre membros da equipe multiprofissional e a continuidade da assistência prestada ao indivíduo CFM – Resolução 1639/2002 “Normas Técnicas para uso dos sistemas informatizados para a guarda e manuseio do prontuário médico” Constituição Federal – art. 5º “São invioláveis a intimidade, a honra,.....” Oficinas TISS 2006

Segurança e privacidade RN 114/2005 - Artigo 8º Proteção à informação identificada individualmente: CFM nº 1639/2002 e ANS-RN nº 21/2002 e ANS-RDC nº 64/2001 recomenda o uso do manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde (RES) – ISO 17799 – www.sbis.org.br ou www.cfm.org.br IN nº 17/2005 – Anexo II - define HASH MD5 no epílogo da mensagem Oficinas TISS 2006

Segurança e privacidade Agência Nacional de Saúde Suplementar Resolução RDC nº 64 de 10/04/2001 “Dispõe sobre a designação de médico responsável pelo fluxo de informações relativas à assistência médica prestada aos consumidores de planos privados de assistência à saúde.” Resolução RN nº 21 de 12/12/2002 “Art. 1º As operadoras de planos privados de assistência à saúde deverão manter protegidas as informações assistenciais fornecidas pelos seus consumidores ou por sua rede de prestadores, observado o disposto na Resolução - RDC nº 64, de 10 de abril de 2001, quando acompanhadas de dados que possibilitem a sua individualização, não podendo as mesmas ser divulgadas ou fornecidas a terceiros, salvo em casos expressamente previstos na legislação.” Oficinas TISS 2006

Segurança e privacidade RN 124 de 03/04/2006 - Dispõe sobre a aplicação de penalidades para as infrações à legislação dos planos privados de assistência à saúde. “Informação sobre Condições de Saúde dos Consumidores Art. 72. Divulgar ou fornecer a terceiros não envolvidos na prestação de serviços assistenciais, informação sobre as condições de saúde dos consumidores, contendo dados de identificação, sem a anuência expressa dos mesmos, salvo em casos autorizados pela legislação: Sanção – multa de R$ 50.000,00....”. “Proteção de Informação sobre Consumidor Art. 73. Deixar de adotar os mecanismos mínimos de proteção à informação em saúde suplementar, previstos na regulamentação da ANS: Sanção – multa de R$ 50.000,00. Parágrafo único. Na hipótese de reincidência,...” Oficinas TISS 2006

Segurança e privacidade RN 114/2005 – Não estabelece padrões de segurança próprios do TISS Art 8º “As operadoras de plano privado de assistência à saúde e prestadores de serviços de saúde devem constituir proteções administrativas, técnicas, e físicas para impedir o acesso eletrônico ou manual impróprio à informação de saúde, em especial a toda informação identificada individualmente, conforme normas técnicas estabelecidas na Resolução CFM nº 1639 de 10 de julho de 2002, e na RN nº 21 de 12 de dezembro de 2002, e na RDC nº 64 de 10 de abril de 2001 ambas da ANS.” Parágrafo único. “Para que os objetivos de segurança e privacidade sejam alcançados, recomenda-se que sejam observados pelo menos os requisitos de segurança do Nível de Garantia de Segurança 1 (NGS-1), descritos no Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde (RES) publicado na página da Sociedade Brasileira de Informação em Saúde - SBIS e do Conselho Federal de Medicina - CFM, conforme norma NBR ISO/IEC 17799 - Código de Prática para a Gestão da Segurança da Informação.” Oficinas TISS 2006

Segurança e privacidade Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde (RES) Base teórica: Comitê ISO 215 – Informática em Saúde Registro Eletrônico em Saúde (RES): padronização na área de informação em saúde e tecnologia da informação com o objetivo de atingir a compatibilidade e a interoperabilidade entre sistemas independentes. Garantir a compatibilidade de dados para fins de análise estatística, reduzindo redundâncias e a duplicação de esforços. Oficinas TISS 2006

Oficinas TISS 2006

http://www.iso.org/iso/en/stdsdevelopment/tc/tclist/TechnicalCommitteeDetailPage.TechnicalCommitteeDetail?COMMID=4720 Oficinas TISS 2006

Países participantes do Comitê ISO/TC215 Secretariat: USA (ANSI) Participating countries: Australia (SA)   Austria (ON)   Belgium (IBN)   Canada (SCC)   Czech Republic (CNI)   Denmark (DS)   Finland (SFS)   France (AFNOR)   Germany (DIN)   Israel (SII)   Italy (UNI)   Japan (JISC)   Kenya (KEBS)   Korea, Republic of (KATS)   Netherlands (NEN)   New Zealand (SNZ)   Norway (SN)   Russian Federation (GOST R)   Serbia and Montenegro (ISSM)   South Africa (SABS)   Spain (AENOR)   Sweden (SIS)   Turkey (TSE)   United Kingdom (BSI)   Observer countries: Argentina (IRAM)   China (SAC)   Croatia (HZN)   Ecuador (INEN)   Hungary (MSZT)   India (BIS)   Iran, Islamic Republic of (ISIRI)   Ireland (NSAI)   Mongolia (MASM)   Poland (PKN)   Portugal (IPQ)   Singapore (SPRING SG)   Switzerland (SNV)   Thailand (TISI)   Zimbabwe (SAZ)   Oficinas TISS 2006

Segurança e privacidade Com a troca eletrônica os problemas de segurança e privacidade se multiplicam Uma das funções do intercâmbio eletrônico de dados (EDI) é permitir a aplicação de mecanismos de segurança Confidencialidade: criptografia (garante que a mensagem eletrônica trocada seja pelas partes realmente envolvidas) Autenticação: uso de senhas, certificados digitais (as partes envolvidas devem estar “confiantes” ) Integridade dos dados: uso de algoritmos para garantir que os dados não sejam modificados na transação Aceitação da mensagem: assinatura digital (nenhuma parte envolvida pode negar a transação) Oficinas TISS 2006

Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde (RES) - SBIS e CFM RES Compartilhável Não compartilhável RES assistencial Oficinas TISS 2006

Segurança e privacidade Requisitos de Arquitetura de RES: Elementos estruturais padronizados Categorização de dados, acesso às informações Armazenamento histórico Relacionamentos e associações entre as evoluções, prescrições, definições de problemas, intervenções e resultados Controle de vocabulários Níveis de compartilhamento de informação: Interoperabilidade funcional: propriedade de um ou mais sistemas trocarem informação Interoperabilidade semântica: propriedade que garante que a informação compartilhada seja reconhecida Oficinas TISS 2006

Segurança e privacidade Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde (RES): NBR ISO 17799 e ISO 15408 NBR ISO/IEC 17799: versão brasileira da ISO/IEC 17799 – parte 1: código de práticas (best practices) parte 2: orientações para a criação de Sistemas de Gestão de Segurança ISO/IEC 15408: Evaluation criteria for IT Security : auxilia o desenvolvedor de software a incluir, melhorar ou simplesmente avaliar os aspectos de segurança do software em desenvolvimento Oficinas TISS 2006

Segurança e privacidade Infra-estrutura de ICP-Brasil: chaves públicas brasileiras (MP nº 2200 de agosto de 2001 www.icpbrasil.com.br Marco importante: valida os documentos eletrônicos Certificados digitais: garante a segurança de sistemas de informação, confirmando a identidade de seus usuários, servidores e processos. Certificados são pares de chaves formados por uma chave pública e uma chave privada Informação criptografada com a chave pública de um usuário só pode ser aberta com a chave privada correspondente e vice-versa Chave pública é disponibilizada e a chave privada é mantida em segredo pelo usuário Oficinas TISS 2006

Segurança e privacidade Níveis de segurança 1– NGS1 – assinatura manual – 11 requisitos Requisito 1: controle de versão do software Requisito 2: autenticação e controle de acesso - mecanismos de administração de usuários ligados a administrador do sistema – controles de acesso, perfis, grupos, senhas, perfil para execução de backup, permitir somente a inclusão de dados Requisito 3: acesso aos dados do paciente com controle Requisito 4: mecanismos de certificação de origem que garantam que somente informações oriundas de servidores internos sejam aceitas por estações clientes e vice-versa Requisito 5: controle de sigilo e integridade – acessos Requisito 6: cópias de segurança e restauração de dados: canal seguro para troca de informação e backup Oficinas TISS 2006

Segurança e privacidade Níveis de segurança 1– NGS1 – assinatura manual Requisito 7: canais seguros de comunicação para sistemas baseados em arquitetura client-server e WEB: técnicas de criptografia, https Requisito 8: utilização de recursos computacionais – requisitos para falhas de hardware e software Requisito 9: Auditoria – trilhas de auditoria que garantam integridade e confidencialidade Requisito 10: cópias de segurança e restauração de dados Requisito 11: documentação Oficinas TISS 2006

Segurança e privacidade Níveis de segurança 2– NGS2 – certificados digitais em processos de autenticação, ou seja, baseados em assinatura digital Requisito 1: origem de certificados digitais – de acordo com a MP 2200 de 2001 Requisito 2: controle de autenticação pelo uso de certificados digitais – assinatura digital Oficinas TISS 2006

Oficinas TISS 2006