Luis Gustavo Kiatake Kiatake@evaltec.com.br 04 de abril de 2014 Caesar Park &Business Faria Lima - SP
Luis Gustavo Kiatake kiatake@evaltec.com.br Representante da SBIS no COPISS/ANS Colaborador no processo de certificação SBIS/CFM Colaborador a ABNT e ISO Comitê Informática em Saúde Diretor da E-VAL Tecnologia kiatake@evaltec.com.br 2
Agradecimento Dr. Marco Antônio Gutierrez Mr. Pallavi Taode kiatake@evaltec.com.br 3
kiatake@evaltec.com.br 4
kiatake@evaltec.com.br 5
kiatake@evaltec.com.br 6
kiatake@evaltec.com.br 7
kiatake@evaltec.com.br 8
kiatake@evaltec.com.br 9
Name of Covered Entity Advocate Health And Hospitals Corporation, D/B/A Advocate Medical Group State Individuals Affected Breach Date Type of Breach IL 4029530 07/15/2013 Theft Location of Information Desktop Computer Horizon Healthcare Services, Inc., Doing Business As Horizon Blue Cross Blue Shield Of New Jersey, And Its Affiliates NJ 839711 11/01/2013 Theft Laptop Ahmc Healthcare Inc. And Affiliated Hospitals CA 729000 10/12/2013 Theft Laptop St. Joseph Health System TX 405000 12/16/2013-12/18/2013 Hacking/IT Incident Network Server Texas Health Harris Methodist Hospital Fort Worth TX 277014 05/11/2013 Improper Disposal Other 04/06/2013- Indiana Family & Social Services Administration IN 187533 Other Paper 05/21/2013 Hacking/IT Desktop Uw Medicine WA 76183 10/02/2013 Incident Computer Unauthorized Triple S Salud PR 70189 09/20/2013 Paper Access/Disclosure 09/17/2013 - Hacking/IT L.A. Gay & Lesbian Center CA 59000 Network Server 11/08/2013 Incident Other Portable Kaiser Foundation Hospital Orange County CA 49000 09/25/2013 Loss kiatake@evaltec.com.br Electronic Device 10
kiatake@evaltec.com.br 11
kiatake@evaltec.com.br 12
kiatake@evaltec.com.br 13
kiatake@evaltec.com.br 14
2013 Survey on Medical Identity Theft kiatake@evaltec.com.br 15
kiatake@evaltec.com.br 16
kiatake@evaltec.com.br 17
kiatake@evaltec.com.br 18
Jan 2014 kiatake@evaltec.com.br 19
kiatake@evaltec.com.br 20
kiatake@evaltec.com.br 21
kiatake@evaltec.com.br 22
kiatake@evaltec.com.br 23
kiatake@evaltec.com.br 24
kiatake@evaltec.com.br 25
kiatake@evaltec.com.br 26
kiatake@evaltec.com.br 27
kiatake@evaltec.com.br 28
Segurança Documentação e controle de versões Identificação e login Controle de sessão Controle de acesso e autorizações Backup Comunicação e transmissão Segurança de dados Auditoria, tempo e ocorrências Certificação digital Eliminação do papel Segurança e kiatake@evaltec.com.br 29
Privacidade Alerta ao profissional Registro do Consentimento e sua associação à informação Acesso de emergência Propósito de uso Exportação e transmissão de dados Restrição de acesso especificada pelo usuário kiatake@evaltec.com.br 30
kiatake@evaltec.com.br 31
Autenticação Autenticar usuários (portal) e chamadas webservices Senha ou certificação digital Qualidade da senha 8 caracteres, 1 não alfabético Troca de senha em no máximo 1 ano Armazenar somente hash da senha kiatake@evaltec.com.br 32
Sigilo Canal e Sessão Criptografia e autenticação do canal de comunicação (uso de ao menos https) Bloqueio de sessão por tentativas (máx 5) Encerramento de sessão por inatividade (máx 30 min) Utilizar certificado digital de servidor Auditoria Registro de acessos e tentativas de acesso kiatake@evaltec.com.br 33
Disponibilidade Interrupção no serviço eletrônico resolvido em até 48hs Segurança nos Processos Constituir proteções administrativas, técnicas e físicas para impedir o acesso indevido kiatake@evaltec.com.br 34
Tem possibilidade de aplicar penalidades (RN ANS 124/2006) I - advertência; II - multa pecuniária; III - cancelamento da autorização de funcionamento e alienação da carteira da operadora; IV - suspensão de exercício do cargo; V - inabilitação temporária...; e VI - inabilitação permanente.... Segurança e Art. 12. O resultado alcançado do cálculo da multa não poderá importar em valor inferior a R$5.000,00 (cinco mil reais), nem superior a R$1.000.000,00 (um milhão de reais). kiatake@evaltec.com.br 35
kiatake@evaltec.com.br 36
Segurança da Informação (ISO 27799) Requisitos de segurança e privacidade (ISO 14441) Propósito de uso (ISO 14265) Anonimização (ISO 25237) Consentimento (draft) kiatake@evaltec.com.br 37
kiatake@evaltec.com.br 38
A maturidade do setor no assunto é muito baixa O Brasil carece de regulamentações específicas relacionadas à privacidade eletrônica O Marco Civil da Internet não resolve todos os problemas Questão da localidade dos dados kiatake@evaltec.com.br 39
Luis Gustavo Kiatake kiatake@evaltec.com.br 40
PEP: Prontuário Eletrônico de Paciente REPS: Registro Eletrônico Pessoal de Saúde RES: Registro Eletrônico de Saúde Augusto Gadelha, Diretor DATASUS/SGEP/MS CBIS 2012, 22/11/2012