Luis Gustavo Kiatake

Transcrição

1 Luis Gustavo Kiatake 04 de abril de 2014 Caesar Park &Business Faria Lima - SP

2 Luis Gustavo Kiatake Representante da SBIS no COPISS/ANS Colaborador no processo de certificação SBIS/CFM Colaborador a ABNT e ISO Comitê Informática em Saúde Diretor da E-VAL Tecnologia kiatake@evaltec.com.br 2

3 Agradecimento Dr. Marco Antônio Gutierrez Mr. Pallavi Taode 3

4 4

5 5

6 6

7 7

8 8

9 9

10 Name of Covered Entity Advocate Health And Hospitals Corporation, D/B/A Advocate Medical Group State Individuals Affected Breach Date Type of Breach IL /15/2013 Theft Location of Information Desktop Computer Horizon Healthcare Services, Inc., Doing Business As Horizon Blue Cross Blue Shield Of New Jersey, And Its Affiliates NJ /01/2013 Theft Laptop Ahmc Healthcare Inc. And Affiliated Hospitals CA /12/2013 Theft Laptop St. Joseph Health System TX /16/ /18/2013 Hacking/IT Incident Network Server Texas Health Harris Methodist Hospital Fort Worth TX /11/2013 Improper Disposal Other 04/06/2013- Indiana Family & Social Services Administration IN Other Paper 05/21/2013 Hacking/IT Desktop Uw Medicine WA /02/2013 Incident Computer Unauthorized Triple S Salud PR /20/2013 Paper Access/Disclosure 09/17/ Hacking/IT L.A. Gay & Lesbian Center CA Network Server 11/08/2013 Incident Other Portable Kaiser Foundation Hospital Orange County CA /25/2013 Loss kiatake@evaltec.com.br Electronic Device 10

11 11

12 12

13 13

14 14

15 2013 Survey on Medical Identity Theft 15

16 16

17 17

18 18

19 Jan

20 20

21 21

22 22

23 23

24 24

25 25

26 26

27 27

28 28

29 Segurança Documentação e controle de versões Identificação e login Controle de sessão Controle de acesso e autorizações Backup Comunicação e transmissão Segurança de dados Auditoria, tempo e ocorrências Certificação digital Eliminação do papel Segurança e kiatake@evaltec.com.br 29

30 Privacidade Alerta ao profissional Registro do Consentimento e sua associação à informação Acesso de emergência Propósito de uso Exportação e transmissão de dados Restrição de acesso especificada pelo usuário kiatake@evaltec.com.br 30

31 31

32 Autenticação Autenticar usuários (portal) e chamadas webservices Senha ou certificação digital Qualidade da senha 8 caracteres, 1 não alfabético Troca de senha em no máximo 1 ano Armazenar somente hash da senha kiatake@evaltec.com.br 32

33 Sigilo Canal e Sessão Criptografia e autenticação do canal de comunicação (uso de ao menos https) Bloqueio de sessão por tentativas (máx 5) Encerramento de sessão por inatividade (máx 30 min) Utilizar certificado digital de servidor Auditoria Registro de acessos e tentativas de acesso kiatake@evaltec.com.br 33

34 Disponibilidade Interrupção no serviço eletrônico resolvido em até 48hs Segurança nos Processos Constituir proteções administrativas, técnicas e físicas para impedir o acesso indevido kiatake@evaltec.com.br 34

35 Tem possibilidade de aplicar penalidades (RN ANS 124/2006) I - advertência; II - multa pecuniária; III - cancelamento da autorização de funcionamento e alienação da carteira da operadora; IV - suspensão de exercício do cargo; V - inabilitação temporária...; e VI - inabilitação permanente.... Segurança e Art. 12. O resultado alcançado do cálculo da multa não poderá importar em valor inferior a R$5.000,00 (cinco mil reais), nem superior a R$ ,00 (um milhão de reais). kiatake@evaltec.com.br 35

36 36

37 Segurança da Informação (ISO 27799) Requisitos de segurança e privacidade (ISO 14441) Propósito de uso (ISO 14265) Anonimização (ISO 25237) Consentimento (draft) kiatake@evaltec.com.br 37

38 38

39 A maturidade do setor no assunto é muito baixa O Brasil carece de regulamentações específicas relacionadas à privacidade eletrônica O Marco Civil da Internet não resolve todos os problemas Questão da localidade dos dados kiatake@evaltec.com.br 39

40 Luis Gustavo Kiatake 40

41 PEP: Prontuário Eletrônico de Paciente REPS: Registro Eletrônico Pessoal de Saúde RES: Registro Eletrônico de Saúde Augusto Gadelha, Diretor DATASUS/SGEP/MS CBIS 2012, 22/11/2012