Fundação Aplicações de Tecnologias Críticas - Atech Sistemas de Informação para a Gestão da Saúde Fundação Aplicações de Tecnologias Críticas - Atech Rua do Rocio, 313 - 11º andar 04552-000 - Vila Olímpia -São Paulo/SP Tel.: (011) 3040.7318 - Fax: (011) 3040.7400
SCAI-Sistema de Controle de Acesso para os Requisitos da Saúde Aldisney Martins1 – Fundação Atech/Vidatis Einar Saukas2 – Summa Technologies Juliano Zanardo3 - Fundação Atech/Vidatis 1,3Atech / Vidatis - Sistemas de Informação em Saúde, 2Summa Technologies
A Realidade Firewalls não são infalíveis 40% das quebras de segurança na Internet ocorrem em sites protegidos por Firewalls. A maioria das quebras de segurança são provocadas por Hackers Perda dos dados e roubo de informações. Criptografia não dá toda a segurança necessária A maioria dos algorítimos já foram quebrados. Tecnologia ajuda, mas… É necessário definir processos metodológicos e uma boa política de segurança.
SBIS-CFM “Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira – ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.” ICP - provê um sistema de identificação em que cada usuário, servidor ou sistema recebe um certificado digital.
Princípios da Segurança Autenticação - Processo pelo qual a identidade de uma entidade é verificada Autorização - Associar uma identidade a uma lista de direitos, privilégios, ou áreas de acesso Controle de Acesso - Garantir que usuários não autorizados serão mandados embora Confidencialidade - Proteger informações sensíveis de forma que estas não sejam vistas indiscriminadamente Integridade - Assegurar que recursos ou dados não sejam alterados por entidades não autorizadas Não repudiação - Quando não se pode negar a autenticidade de um documento, a sua assinatura ou o seu envio Disponibilidade - Legitimar que os usuários tenham acesso quando necessitarem
Requisitos Comuns Módulo de Gerenciamento de usuários, grupos, perfis e permissões Autenticação Autorização Criptografia “Função de Hashing” Geração de menus dinâmicos Restrição de acesso por permissão
Requisitos Críticos para Saúde Controle de Sessão do Usuário (data e hora, IP, empresa, aplicativo,…) Monitoração Auditoria Senhas que expiram automaticamente Gerenciamente por Delegação Hierárquica Suporte a Autenticação via cartão SUS Certificados Digitais Chaves públicas (cifra) e privadas (decifra)
Modelo adotado no InCor/HCFMUSP Papéis Hierárquicos Modelo adotado no InCor/HCFMUSP Hierarquia de papéis (herança de permissões) Regras conflitantes: ganha ou perde permissão? Controle de Alçada: perfis restritos por ocupações Resolução de conflitos autorizacao = < perfil, tipo-privilegio, operacao, tipo-autorizacao > (+ / -) (Forte / Fraca)
Sistema de Controle de Acesso Integrado O que é o SCAI? Sistema de Controle de Acesso Integrado Solução multi-plataforma (100% Java) Ferramentas open-source e gratuitas Segurança de Aplicações na Internet em Ambiente Distribuído Acesso x Confidencialidade Suporte a gerência de grande número de usuários Baseado nas normas de segurança da SBIS.
Visao Geral
Visão Conceitual Usuário Grupo Permissão Autorização Aplicativo Perfil Ocupação Empresa Alçada
Principais Módulos Web Filter Validar as regras de acesso a páginas web EJB Filter 2o Nível de segurança, valida regras de acesso aos métodos API Utilizada pelas aplicações, para controles mais específicos Log Armazenamento de informações de execução da aplicação Módulo de Gerenciamento Interface web para configuração e monitoração de todas as aplicações integradas ao SCAI.
Arquitetura
Login
Módulo Administrativo
Sistemas da Secretaria Municipal de Saúde de São Paulo Utilização do SCAI Sistemas da Secretaria Municipal de Saúde de São Paulo (Agendamento, Regulação, APAC, CNS e outros) 700 Estabelecimentos (atendem SUS) 40 mil profissionais de saúde 40 mil consultas/dia 5 milhões de procedimentos ambulatoriais por mês
Fundação Aplicações de Tecnologias Críticas - Atech Rua do Rocio, 313 - 11º andar 04552-000 - Vila Olímpia -São Paulo/SP Tel.: (011) 3040.7300 - Fax: (011) 3040.7400