PADRO TISS

Padro de Comunicao Padro de Segurana e Privacidade

Oficinas TISS 2006

Roteiro sobre Comunicao

Introduo

Objetivos
Arquiteturas de Integrao

Integrao ao nvel de dados Integrao ao nvel de mensagens Integrao via Web Services

Oficinas TISS 2006

Objetivos
Apresentar alternativas de arquiteturas de integrao entre aplicaes de prestadores e operadoras para implementar o padro TISS, considerando sistemas legados e arquiteturas baseadas em Internet

Oficinas TISS 2006

Integrao ao Nvel de Troca de Arquivos

Abordagem 1: Integrao a Nvel de Troca de

Arquivos
Prestadores

Transmisso de dados atravs de troca de arquivos Operadoras

Quando aplicar? Integrao de aplicaes legadas que no utilizam arquitetura Internet Vantagens Simplicidade

Desvantagens Manuteno trabalhosa

Oficinas TISS 2006 4

Abordagem 1: Integrao via troca de Prestadores arquivos Operadoras

Aplicao de Gerao das Guias Comunicao Segura
Aplicao Operadoras

Schemas TISS
Diretrio Sada
Diretrio de Entrada

Diretrio Entrada
Oficinas TISS 2006

Diretrio de Sada
5

Abordagem 1: Integrao via troca de arquivos

Workflow

Digitao ou extrao das guias a partir do prestador Gerao das guias em XML conforme schemas Gravao Guias diretrio de sada local Disparar aplicao de comunicao segura (TISSNET?) Autenticar usurio para comunicao segura Enviar lote de guias atravs de canal segura Gravar no diretrio de entrada do servidor Buscar no diretrio de sada do servidor recibo de entrega do lote de guias (protocolo) Enviar recibo atravs de canal seguro para o prestador

Oficinas TISS 2006

Abordagem 2: Integrao por troca de mensagens

Transmisso de dados atravs de troca de mensagens Operadoras

Prestadores

Quando aplicar? Integrao de aplicaes em ambiente Internet Como implementar? HTTPS + Schemas TISS Servio de Mensagens (JMS + schemas TISS) Vantagens Padres, independncia de plataforma, SO Oficinas TISS 2006

Abordagem 2: Integrao via troca de mensagens

Prestadores Comunicao Segura
Operadoras

Aplicao de Gerao das Guias

Mensagens Schemas TISS

Aplicao Operadoras

Oficinas TISS 2006

Abordagem 2: Integrao via servios de mensagens

Implementam todos os mecanismos de envio e

recebimento de mensagens Gerenciam a fila de mensagens, garantindo que uma determinada aplicao realmente recebeu a mensagem JMS (Java Message Service): especificao de um servio de mensagens em Java. Diversas implementaes disponveis: Ex.: Java 1.3 e OpenJMS SOAP (Simple Object Access Protocol): especificao de um servio de mensagens. Elemento chave da arquitetura .net. Ainda no padro W3C.

Oficinas TISS 2006

Web Services: Conceitos

So Componentes de software, que possibilitam a

interoperabilidade entre aplicaes, de forma automtica atravs de protocolos abertos de comunicao Podem ser encontrados atravs de UDDI (Universal Description, Discovery and Integration) Os servios oferecidos so descritos por WSDL (Web Services Description Language) WSDL ainda no padro W3C Web services utilizam XML para codificar e decodificar os dados e SOAP para transport-los

Oficinas TISS 2006

10

Abordagem 3: Integrao via Web Services

Prestadores Comunicao Segura
W E B S E R V I C E S Operadoras

Aplicao de Gerao das Guias

Aplicao Operadoras

Oficinas TISS 2006

11

Abordagem 3: Integrao via Web Services

Oficinas TISS 2006

12

Reflexes
possvel implementar o padro TISS com

diferentes metodologias, mesmo para sistemas legados A Mensagem TISS contm todos os elementos necessrios para a implementao do padro A adoo de Web Services atravs da publicao da WSDL ANS possibilitaria a automao de todas as trocas de informao em sade suplementar
Oficinas TISS 2006 13

Links
SOAP

http://www.w3schools.com/soap/soap_syntax. asp http://www.openjms.org http://java.sun.com/products/jms/tutorial/ http://www.w3schools.com/webservices/defaul t.asp http://java.sun.com/webservices/index.jsp?cid =142157

Oficinas TISS 2006

OpenJMS

Web Services

14

SEGURANA

RN n 114/2005 Artigo 8 CAPTULO V Da Segurana e da Privacidade

Oficinas TISS 2006

15

Legislaes, normas e regulamentaes de segurana que norteiam suas organizaes

ISO 17799 Publicaes do Governo Federal (decreto 4553 e outros)

A Internet no Brasil Pesquisa da Mdulo Security (out-2003)

37% 30% 27% 20% 20% 17% 11,5% 6% 6%
Publicaes do Banco Central (resoluo 2554 e outras) Regulamentao da ICP-Brasil COBIT Publicaes da CVM (Resoluo 358 e outras)

63,5%

Publicaes da Anatel Publicaes da SEC (Sarbanes e Oxley e outras)

Publicaes do CFM
Outras

Observao: o total de citaes superior a 100% devido questo aceitar mltiplas respostas.

Pesquisa realizada com cerca de 50% das 1000 maiores empresas brasileiras- Financeiro (21%), Governo (17%), Indstria e Comrcio (14%), Tecnologia/Informtica (14%), Prestao de Servios (9%), Outros (8%), Telecomunicaes (7%), Comrcio/Varejo (4%), Energia Eltrica (2%), Educao (2%) e Sade (2%) Oficinas TISS 2006 16

Resoluo Normativa n 114/2005 e Instruo Normativa/DIDES n 17/2005 IN n 17/2005: estrutura fsica do RN n 114 /2005: padro estabelece o padro Anexo I: lay-out das guias e TISS

Guias e demonstrativos de retorno; Transaes eletrnicas; Cronograma; COPISS; Requisio de informaes pela ANS; Segurana e privacidade; Penalidades

demonstrativos

Anexo II: transaes eletrnicas Anexo III: XML

Oficinas TISS 2006

17

Segurana e privacidade

CFM Resoluo 1638/2002

Pronturio Mdico: documento nico constitudo de um conjunto de informaes, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situaes sobre a sade do paciente e a assistncia a ele prestada, de carter legal, sigiloso e cientfico, que possibilita a comunicao entre membros da equipe multiprofissional e a continuidade da assistncia prestada ao indivduo Normas Tcnicas para uso dos sistemas informatizados para a guarda e manuseio do pronturio mdico

CFM Resoluo 1639/2002

Constituio Federal

art. 5 So inviolveis a intimidade, a honra,.....

Oficinas TISS 2006 18

Segurana e privacidade
RN 114/2005 - Artigo 8

Proteo informao identificada individualmente: CFM n 1639/2002 e ANS-RN n 21/2002 e ANS-RDC n 64/2001 recomenda o uso do manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES) ISO 17799 www.sbis.org.br ou www.cfm.org.br IN n 17/2005 Anexo II - define HASH MD5 no eplogo da mensagem

Oficinas TISS 2006

19

 Agncia Nacional de Sade Suplementar

Resoluo RDC n 64 de 10/04/2001 Dispe sobre a designao de mdico responsvel pelo fluxo de informaes relativas assistncia mdica prestada aos consumidores de planos privados de assistncia sade.

Resoluo RN n 21 de 12/12/2002 Art. 1 As operadoras de planos privados de assistncia sade devero manter protegidas as informaes assistenciais fornecidas pelos seus consumidores ou por sua rede de prestadores, observado o disposto na Resoluo - RDC n 64, de 10 de abril de 2001, quando acompanhadas de dados que possibilitem a sua individualizao, no podendo as mesmas ser divulgadas ou fornecidas a terceiros, salvo em casos expressamente previstos na legislao.

Oficinas TISS 2006

20

Segurana e privacidade
RN 124 de 03/04/2006 - Dispe sobre a aplicao

de penalidades para as infraes legislao dos planos privados de assistncia sade.

Informao sobre Condies de Sade dos Consumidores Art. 72. Divulgar ou fornecer a terceiros no envolvidos na prestao de servios assistenciais, informao sobre as condies de sade dos consumidores, contendo dados de identificao, sem a anuncia expressa dos mesmos, salvo em casos autorizados pela legislao: Sano multa de R$ 50.000,00..... Proteo de Informao sobre Consumidor Art. 73. Deixar de adotar os mecanismos mnimos de proteo informao em sade suplementar, previstos na regulamentao da ANS: Sano multa de R$ 50.000,00. Oficinas TISS 2006 21 Pargrafo nico. Na hiptese de reincidncia,...

Segurana e privacidade
RN 114/2005 No estabelece padres de segurana prprios

do TISS
Art 8 As operadoras de plano privado de assistncia sade e prestadores de servios de sade devem constituir protees administrativas, tcnicas, e fsicas para impedir o acesso eletrnico ou manual imprprio informao de sade, em especial a toda informao identificada individualmente, conforme normas tcnicas estabelecidas na Resoluo CFM n 1639 de 10 de julho de 2002, e na RN n 21 de 12 de dezembro de 2002, e na RDC n 64 de 10 de abril de 2001 ambas da ANS. Pargrafo nico. Para que os objetivos de segurana e privacidade sejam alcanados, recomenda-se que sejam observados pelo menos os requisitos de segurana do Nvel de Garantia de Segurana 1 (NGS-1), descritos no Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES) publicado na pgina da Sociedade Brasileira de Informao em Sade - SBIS e do Oficinas TISS 2006 22 Conselho Federal de Medicina - CFM, conforme norma NBR ISO/IEC 17799 - Cdigo de Prtica para a Gesto da Segurana

Segurana e privacidade
Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES) Base terica: Comit ISO 215 Informtica em Sade Registro Eletrnico em Sade (RES): padronizao na rea de informao em sade e tecnologia da informao com o objetivo de atingir a compatibilidade e a interoperabilidade entre sistemas independentes. Garantir a compatibilidade de dados para fins de anlise estatstica, reduzindo redundncias e a duplicao de esforos.

Oficinas TISS 2006

23

Oficinas TISS 2006

24

Oficinas TISS 2006 25 http://www.iso.org/iso/en/stdsdevelopment/tc/tclist/TechnicalCommitteeDetailPage.TechnicalCommitteeDetail?COMMID=4720

Pases participantes do Comit ISO/TC215

Secretariat:
USA (ANSI)

Participating countries:

Observer countries:

Australia (SA) Austria (ON) Belgium (IBN) Canada (SCC) Czech Republic (CNI) Denmark (DS) Finland (SFS) France (AFNOR) Germany (DIN) Israel (SII) Italy (UNI) Japan (JISC) Kenya (KEBS) Korea, Republic of (KATS) Netherlands (NEN) New Zealand (SNZ) Norway (SN) Russian Federation (GOST R) Serbia and Montenegro (ISSM) South Africa (SABS) Spain (AENOR) Sweden (SIS) Turkey (TSE) United Kingdom (BSI)

Argentina (IRAM) China (SAC) Croatia (HZN) Ecuador (INEN) Hungary (MSZT) India (BIS) Iran, Islamic Republic of (ISIRI) Ireland (NSAI) Mongolia (MASM) Poland (PKN) Portugal (IPQ) Singapore (SPRING SG) Switzerland (SNV) Thailand (TISI) Zimbabwe (SAZ)

Oficinas TISS 2006

26

Segurana e privacidade
Com a troca eletrnica os problemas de segurana e privacidade se

multiplicam Uma das funes do intercmbio eletrnico de dados (EDI) permitir a aplicao de mecanismos de segurana Confidencialidade: criptografia (garante que a mensagem eletrnica trocada seja pelas partes realmente envolvidas) Autenticao: uso de senhas, certificados digitais (as partes envolvidas devem estar confiantes ) Integridade dos dados: uso de algoritmos para garantir que os dados no sejam modificados na transao Aceitao da mensagem: assinatura digital (nenhuma parte envolvida pode negar a transao)

Oficinas TISS 2006

27

Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES) - SBIS e CFM
RES

Compartilhvel

No compartilhvel

RES assistencial

Oficinas TISS 2006

28

Segurana e privacidade
Requisitos de Arquitetura de RES: Elementos estruturais padronizados

Categorizao de dados, acesso s informaes

Armazenamento histrico Relacionamentos e associaes entre as evolues, prescries, definies de problemas, intervenes e resultados Controle de vocabulrios Nveis de compartilhamento de informao:

Interoperabilidade funcional: propriedade de um ou mais sistemas trocarem informao

Interoperabilidade semntica: propriedade que garante que a informao compartilhada seja reconhecida Oficinas TISS 2006 29

Segurana e privacidade
Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES): NBR ISO 17799 e ISO 15408 NBR ISO/IEC 17799: verso brasileira da ISO/IEC 17799 parte 1: cdigo de prticas (best practices) parte 2: orientaes para a criao de Sistemas de Gesto de Segurana ISO/IEC 15408: Evaluation criteria for IT Security : auxilia o desenvolvedor de software a incluir, melhorar ou simplesmente avaliar os aspectos de segurana do software em desenvolvimento

Oficinas TISS 2006

30

Segurana e privacidade
Infra-estrutura de ICP-Brasil: chaves pblicas brasileiras (MP n 2200 de agosto de 2001 www.icpbrasil.com.br

Marco importante: valida os documentos eletrnicos

Certificados digitais: garante a segurana de sistemas de informao, confirmando a identidade de seus usurios, servidores e processos.

Certificados so pares de chaves formados por uma chave pblica e uma chave privada
Informao criptografada com a chave pblica de um usurio s pode ser aberta com a chave privada correspondente e vice-versa Chave pblica disponibilizada e a chave privada mantida em segredo pelo usurio
Oficinas TISS 2006 31

 Nveis de segurana 1 NGS1 assinatura manual 11 requisitos Requisito 1: controle de verso do software

Segurana e privacidade

Requisito 2: autenticao e controle de acesso - mecanismos de administrao de usurios ligados a administrador do sistema controles de acesso, perfis, grupos, senhas, perfil para execuo de backup, permitir somente a incluso de dados Requisito 3: acesso aos dados do paciente com controle
Requisito 4: mecanismos de certificao de origem que garantam que somente informaes oriundas de servidores internos sejam aceitas por estaes clientes e vice-versa

Requisito 5: controle de sigilo e integridade acessos

Requisito 6: cpias de segurana e restaurao de dados: canal seguro para troca de informao e backup
Oficinas TISS 2006 32

 Nveis de segurana 1 NGS1 assinatura manual Requisito 7: canais seguros de comunicao para sistemas baseados em arquitetura client-server e WEB: tcnicas de criptografia, https Requisito 8: utilizao de recursos computacionais requisitos para falhas de hardware e software

Segurana e privacidade

Requisito 9: Auditoria trilhas de auditoria que garantam integridade e confidencialidade

Requisito 10: cpias de segurana e restaurao de dados Requisito 11: documentao

Oficinas TISS 2006

33

Segurana e privacidade
Nveis de segurana 2 NGS2 certificados digitais em processos de autenticao, ou seja, baseados em assinatura digital Requisito 1: origem de certificados digitais de acordo com a MP 2200 de 2001

Requisito 2: controle de autenticao certificados digitais assinatura digital

pelo

uso

de

Oficinas TISS 2006

34

Oficinas TISS 2006

35