Últimas notícias

Fique informado

A certificação de plataformas de telemedicina para uso da assinatura digital

25 de novembro de 2020

Spotlight

Reconhecimento facial sem prova de vida está com os dias contados, afirma CEO de uma das principais plataformas brasileiras de biometria facial

Conversamos com José Luis Volpini, CEO da CredDefense, uma das pioneiras e mais conceituadas plataformas de biometria facial do mercado brasileiro.

6 de janeiro de 2021

Carimbo do Tempo dá início ao fim da era dos protocolos proprietários na ICP-Brasil. Ouça

Segundo Dr. Roberto Gallo, o fim da era dos protocolos proprietários na ICP-Brasil tem data marcada e deve beneficiar fabricantes, prestadores de serviços e clientes finais.

28 de dezembro de 2020

Em tempo de mobilidade extrema e home office, como controlar o perímetro de segurança da empresa? Ouça

Conversamos com Jan Rochat da AET Europe, sobre a eficiência das tecnologias que protegem as informações das empresas, especialmente nesse momento de extrema necessidade de mobilidade das pessoas em “home office.

8 de dezembro de 2020

Identificar, confiar e conectar. Quantas vezes por dia nos autenticamos?

Controlar credencias de acesso nas organizações é tão difícil quanto

2 de dezembro de 2020

Doutor Fabiano Menke Concede Entrevista Sobre a Evolução das Assinaturas Eletrônicas

Nesta entrevista Dr. Fabiano Menke fala sobre a Lei 14.063 de setembro de 2020 e sobre o Decreto 14.543 de novembro de 2020 sobre os tipos de assinaturas eletrônicas

25 de novembro de 2020

Acesso ao Siscomex é feito com Certificação Digital. Ouça

O Siscomex, Sistema Integrado de Comércio Exterior, é um serviço informatizado que tem como função “integrar todas as atividades de registro”

5 de novembro de 2020

O uso de certificados digitais para assinatura de documentos clínicos é adotado no Brasil desde a primeira resolução do Conselho Federal de Medicina (CFM), em 2007

Por Renato M.E. Sabbatini

Renato M.E. Sabbatini – PhD, CPHIMS, FIAHSI, FACMI

Naquela época, o sistema e os padrões de infraestrutura de chaves públicas para certificados digitais (ICP) já existiam desde uma medida provisória do governo federal, de 2000.

Também na mesma época, uma colaboração entre o CFM e a Sociedade Brasileira de Informática em Saúde tornou possível o desenvolvimento de um processo de certificação de Sistemas de Registro Eletrônico de Saúde (SRES), que assegurasse que sistemas desse tipo, que se caracterizam por conter informação identificada e sensível de pessoas, teria uma conformidade a um número mínimo de requisitos de segurança, estrutura, conteúdo e funcionalidade.

Através de um processo de auditoria, desde então a SBIS certificou dezenas de sistemas, em um trabalho pioneiro e de grande importância, que continua até o presente.

A SBIS cria, publica e atualiza periodicamente manuais de requisitos que devem ser testados e obedecidos em sua integralidade para que o software seja certificado. Os mais recentes, publicados em novembro de 2020, abrangem novas áreas e tipos de sistemas, como para plataformas das várias modalidades da telemedicina, como teleconsulta, teletriagem e teleinterconsulta.

Essa nova certificação deve ser de grande interesse para as numerosas empresas, principalmente as integrantes do ecossistema de inovação das chamadas “healthtechs”, que são as “startups” envolvidas na área de saúde, uma vez que obter o selo de certificação é uma vantagem competitiva inegável, principalmente em tempos de LGPD (Lei Geral de Proteção de Dados Pessoais, já vigente desde setembro), bem como para assegurar qualidade e segurança por uma autoridade notória nessas tecnologias.

Como ficou o uso de certificados digitais para autenticação e assinatura nessas certificações?

Este domínio de certificação, segundo a SBIS, é denominado de NGS2, ou Nível de Garantia de Segurança 2, que amplia e complementa o NGS1, que é o mais básico (e obrigatório para a certificação de todos os sistemas), mediante o uso de certificados digitais padrão ICP Brasil A3 ou A4 para a assinatura digital, ou A1 em diante para a certificação.

Nos manuais de requisitos anteriores, o NGS2 sempre foi opcional, ou seja, se o usuário do sistema do PEP, por exemplo (Prontuário Eletrônico do Paciente) preferir não utilizar a assinatura digital, ele pode continuar imprimindo papel e assinando fisicamente com carimbo e caneta!

Em sistemas de telemedicina, no entanto, essa possibilidade seria absurda, pois toda a transação de documentos é puramente eletrônica: sua funcionalidade e agilidade ficaria muito prejudicada se todos os documentos envolvidos na atenção clínica tivessem que ser impressos, assinados e enviados fisicamente pelo correio!

Fica claro, portanto, que não se pode conceber uma plataforma de telemedicina que não use o certificado digital para assinatura, importação e exportação de documentos digitais, tais como receitas, atestados, pedidos e resultados de exames, e outros mais.

Diante do cenário da pandemia, em que o governo federal, através de portarias e uma lei específica, autorizou a modalidade de telemedicina direta entre profissional clínico e paciente, que é a teleconsulta (antes permitida apenas em situações excepcionais), surgiram novas iniciativas.

Sendo a principal uma plataforma de assinatura digital voltada á área de saúde, em uma colaboração entre a SBIS, o CFM, o CFF (Conselho Federal de Farmácia) e o ITI: Instituto de Tecnologia de Informação, gestor da ICP Brasil, plataforma essa que está disponível desde junho de 2020 e tem sido utilizada milhões de vezes.

A SBIS não somente incorporou essa obrigatoriedade do uso do certificado digital para a assinatura em sua certificação para plataformas de telemedicina, telessaúde e receita digital, como criou um documento de especificação de como a exportação de documentos em PDF assinados digitalmente por tais plataformas deve ser feito, como por exemplo, uma receita digital ser gerada pelo PEP do médico, assinada digitalmente com um certificado válido ICP Brasil do tipo A3 ou A4, e enviado ao destinatário, seja ele o paciente, a farmácia, etc.

Esta é uma ótima novidade, pois aumenta dramaticamente a segurança, a confidencialidade, a integridade e a proteção dos dados exportados, uma vez que a assinatura digital por um dos padrões adotados pela SBIS (PADES, CADES ou XADES: Advanced Digital Electronic Signature).

Certificar o NGS2 é trabalhoso: são 34 requisitos para o nível 3 de maturidade, que se desdobram em 55 sub-requisitos. É necessário a equipe ter um conhecimento técnico profundo sobre o processo de desenvolvimento de bibliotecas de rotinas, utilizando os vários padrões ICP, com XMLDSIG ou CMS, os vários formatos de assinatura ADES, as políticas exigidas, como AD-RB, AD-RT, AD-RV ou AD-RC, a leitura e validação do CD, a aposição da assinatura, com ou sem carimbo de tempo (selo cronológico, SigningTime, que são diferentes para cada formato), sua validação em um portal com LCR (Lista de Certificados Revogados), e muito mais.

Assim, historicamente, a maioria das empresas certificadas pela SBIS tem procurado implementar um modelo de serviço on-line para a maioria dessas operações (frameworks de assinatura digital), inclusive com o armazenamento dos certificados em um HSM (Hardware Security Module) residente na nuvem, etc., ao invés de tentar desenvolver suas próprias rotinas.

Até recentemente, algumas empresas comercializavam SDK (Software Development Kits), com bibliotecas que os desenvolvedores de SRES podiam incorporar às suas bibliotecas e evitar fazer um desenvolvimento mais pesado, bastando aprender a como fazer as chamadas às rotinas.

O surgimento de plataformas de assinatura digital (DSaS: Digital Signature as a Service) já incorporando o carimbo de tempo gerado uma Autoridade de Carimbo de Tempo (ACT) credenciada pelo ITI, usando certificados T, facilitou muito a implementação do NGS2 até para empresas de pequeno porte, e assim conseguir a tão ambicionada certificação SBIS.

No próximo artigo comentaremos algumas das novidades da certificação para NGS2 da SBIS.

Para Saber Mais

Sabbatini, Renato M.E.: Certificação de Registros Eletrônicos de Saúde e o Uso do Certificado Digital na Documentação Clínica. Vídeo da palestra no CertForum 2019. Brasília: Instituto de Tecnologia da Informação. Disponível na Internet. Acessado em 24/11/2020. URL.

O Autor

O Prof. Renato Marcos Endrizzi Sabbatini é um dos pioneiros da Informática em Saúde na América Latina, com 50 anos de experiência profissional na área. Atua também como professor e consultor na área de teste e certificação de softwares e de segurança da informação, aplicações dos certificados digitais etc., desde 2010.

É Fellow da International Academy of Health Sciences Informatics e do American College of Medical Informatics.

Contato: renato@sabbatini.com

Copyright © 2020 by Renato Marcos Endrizzi Sabbatini. Direito de reprodução cedido para Crypto ID.

Entrevista com Dr. Renato Sabbatini, a maior autoridade em Tecnologia Médica do Brasil

Informática em Saúde: Um Sonho Que Deu Certo, 1986-2016

Telemedicina é liberada pelo Ministério da Saúde pela portaria 467 e inclui o uso do certificado digital ICP-Brasil

Decreto 14.543/2020 regulamenta o artigo 5º da Lei 14.063/2020

CFO integra site validador de receitas e atestados digitais