Software Médico: saiba qual a certificação seu software precisa ter

Tempo de leitura: 9 minutos

A Tecnologia da Informação é uma área do conhecimento que parece ter muitos mistérios. Por isso, facilmente, alguém pode supervalorizar recursos ultrapassados ou esconder falhas importantes. Exemplo disso são as empresas que fornecem software médico e argumentam sobre a importância da Certificação SBIS. Você sabia que este certificado não é mais necessário desde 2018?

Neste artigo, vamos mostrar que:

  • A certificação SBIS não é necessária;
  • Software médico de confiança possui certificação ICP-Brasil.

Certificação da SBIS não é necessária

A Resolução nº 2.218/2018 do Conselho Federal de Medicina (CFM) revogou o convênio entre o CFM e a Sociedade Brasileira de Informática em Saúde (SBIS) para expedição de certificado de qualidade para sistemas informatizados. Portanto, a certificação com a SBIS não é mais necessária para um software médico no Brasil. O motivo dessa revogação, conforme texto oficial da Resolução, foi o seguinte:

Em  virtude  do término  do Convênio CFM/SBIS  e em virtude da evolução tecnológica na última década e a necessidade de um estudo mais pormenorizado e atual para rever  as novas regras para assinatura de novo convênio com o mesmo objeto, que traga maior segurança operacional aos  prontuários eletrônicos e reúna dados adequados a nova realidade tecnológica, torna-se imperioso, no momento, a revogação do art. 10 da Resolução CFM  nº 1.821/2017.

A Resolução nº 1.821/2017 do CFM 

estabelece normas técnicas sobre a digitalização e o uso dos sistemas informatizados para guarda e manuseio dos documentos dos prontuários dos pacientes, autorizando a eliminação do papel e a troca de informação identificada em saúde. 

Dentre as normas técnicas indicadas por esta Resolução, constava a necessidade de o software médico possui certificação pela SBIS. Por isso, muitas empresas que fornecem sistemas médicos podem utilizar esse certificado como um argumento de segurança. No entanto, o próprio CFM, como mostrado acima, revogou a obrigatoriedade dessa certificação. 

Vale destacar, ainda, a revogação ocorreu, entre outros motivos, pela “evolução tecnológica”. O avanço da tecnologia abriu espaço para estratégias de segurança de dados mais avançadas. Por isso, um software médico não precisa mais da certificação pela SBIS e, sim, de uma certificação reconhecida pela Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

Software médico com certificação reconhecida pelo ICP –Brasil 

O software médico da Amplimed possui certificação reconhecida pelo ICP-Brasil além de seguir as diretrizes da nova Lei Geral de Proteção de Dados (LGPD)

O que é ICP Brasil? 

De acordo com o Instituto Nacional de Tecnologia da Informação, a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil): 

é uma cadeia hierárquica de confiança que viabiliza a emissão de certificados digitais para identificação virtual do cidadão.

Essa infraestrutura é um conjunto de procedimentos técnicos e práticos utilizados para suportar um sistema de criptografias em certificados digitais. Logo, o ICP-Brasil é uma cadeia hierárquica que viabiliza a emissão de certificados digitais para identificação virtual dos cidadãos. 

O modelo adotado no país é o chamado Certificação com Raiz Única, que conta com uma Autoridade Certificadora Raiz (AC-Raiz). A ICP-Brasil possui uma estrutura de gestão, composta por representantes da sociedade civil, representantes de setores relacionados com o tema e representantes de alguns órgãos governamentais. Os órgãos representados no Comitê Gestor da ICP Brasil são:

  • Ministério da Justiça;
  • Ministério da Fazenda;
  • Ministério do Desenvolvimento, Indústria e Comércio Exterior;
  • Ministério do Planejamento, Orçamento e Gestão;
  • Ministério da Ciência e Tecnologia;
  • Casa Civil da Presidência da República;
  • Gabinete de Segurança Institucional da Presidência da República.

Entes da ICP-Brasil

A estrutura organizacional da ICP-Brasil é composta por diferentes níveis hierárquicos, que desempenham funções específicas na segurança de dados no país. São entes da ICP Brasil:

  • Autoridade Certificadora Raiz (AC-Raiz)
  • Autoridade Certificadora (AC)
  • Autoridade de Registro (AR)
  • Autoridade Certificadora do Tempo
  • Prestador de Serviço de Suporte
  • Prestador de Serviço Biométrico.

Autoridade Certificadora Raiz (AC-Raiz)

A AC-Raiz é o Instituto Nacional de Tecnologia da Informação (ITI). O ITI está no topo da hierarquia de certificação. É responsável pela execução de normas técnicas e operacionais e as políticas de certificados estabelecidas pelo Comitê Gestor. Assim, o ITI pode emitir, distribuir, expedir, revogar e gerenciar os certificados das autoridades que estão abaixo em seu nível hierárquico. 

Além disso, a AC-Raiz deve emitir a lista de certificados revogados e fiscalizar Autoridades Certificadoras, Autoridades de Registro e os prestadores de serviço habilitados pelo ICP Brasil. 

Autoridade Certificadora (AC)

A Autoridade Certificadora (AC) pode ser uma entidade pública ou privada, subordinada à AC-Raiz. Suas principais funções em relação aos certificados digitais são:

  • Emissão
  • Distribuição
  • Renovação
  • Revogação 
  • Gerenciamento

Outras funções típicas da AC são:

  • Verificação da interação entre a chave privada e a chave pública do certificado.
  • Criação e assinatura do certificado do titular.
  • Emissão da lista com os certificados revogados.
  • Emitir a “Declaração de Práticas de Certificação”, com o registro de suas operações.
  • Observação dos procedimentos das Autoridades de Registro a ela vinculadas.

Autoridade de Registro (AR)

A Autoridade de Registro (AR) realizam o vínculo entre o usuário e a Autoridade Certificadora. A AR é registrada na Autoridade Certificadora e presta o serviço de intermediário preferencial para facilitar a adesão do interessado pelo certificado digital. A AR recebe, valida e encaminha solicitações de emissão ou revogação dos certificados digitais. A atuação da AR pode ser presencial ou remota.

Autoridade Certificadora do Tempo (ACT)

Quando um documento é emitido, recebe por criptografia os atributos de data e horário. Então, o documento é atestado pela assinatura digital. Os atributos de data e horário compõem o Carimbo de Tempo. A Autoridade Certificadora do Tempo (ACT) é responsável pela emissão e validação deste Carimbo. Dessa forma, a ACT tem como função principal atestar o registro temporal de uma transação em que se aplica o Certificado Digital. 

Prestador de Serviço de Suporte (PSS)

O Prestador de Serviço de Suporte (PSS) está vinculado a uma Autoridade Certificadora de forma direta ou por meio da Autoridade de Registro. O PSS desempenha as atividades descritas na “Declaração de Práticas de Certificação” e nas “Políticas de Certificado” da AC a que estiver vinculado. O PSS, portanto, é responsável por toda tecnologia de emissão e gerenciamento de certificados digitais de uma AC. 

Prestador de Serviço Biométrico (PSBio)

Os Prestadores de Serviço Biométrico (PSBio) possuem capacidade técnica para a realização da identificação biométrica. A grande vantagem de se ter esse ente da ICP Brasil na cadeia é a possibilidade de tornar um registro ou requerente único em todos os bancos de dados e sistemas da ICP Brasil. Assim, é possível fazer a verificação biométrica do solicitante de um certificado digital e garantir a veracidade de sua identificação.

Qual a importância do ICP Brasil para o profissional? 

O ICP-Brasil possui a função de coordenar a implantação e o funcionamento da infraestrutura informática do país. O órgão definiu o Certificado Digital como um produto eletrônico personalíssimo, porque é disponibilizada uma versão exclusiva para cada adquirente. Ou seja, não há dois certificados digitais iguais. O ITI explica o funcionamento do Certificado Digital:

Na prática, o certificado digital ICP-Brasil funciona como uma identidade virtual que permite a identificação segura e inequívoca do autor de uma mensagem ou transação feita em meios eletrônicos, como a web. Esse documento eletrônico é gerado e assinado por uma terceira parte confiável, ou seja, uma Autoridade Certificadora (AC) que, seguindo regras estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma entidade (pessoa, processo, servidor) a um par de chaves criptográficas. Os certificados contêm os dados de seu titular conforme detalhado na Política de Segurança de cada Autoridade Certificadora.

A principal funcionalidade do Certificado Digital é garantir a veracidade das transações eletrônicas. Nesse sentido, a tecnologia do Certificado Digital cria uma chave de segurança criptografada, o que é importante para documentos médicos. Com isso, os laudos têm garantida sua inviolabilidade e a integridade das informações, eliminando chances de clonagem ou adulteração. 

O Serasa Experian mostra a importância da utilização do Certificado Digital no padrão ICP-Brasil em clínicas e consultórios.

Com a adoção do PEP (Prontuário Eletrônico do Paciente), hospitais ou clínicas que adotem o novo sistema deverão ter prontuários ou laudos eletrônicos assinados com certificado digital válido no padrão ICP-Brasil. Isso agiliza o dia a dia, reduz o custo com papel e diminui a burocracia.

Por isso, antes de ouvir propostas de software médico com certificação SBIS, fique atento ao que há de mais atual na legislação brasileira. Você precisa de um software médico com certificação padrão ICP-Brasil! 

Conclusão

Você percebeu que há uma contradição no mercado de software médico? Muitas empresas argumentam que a certificação SBIS é necessária e que seria o ápice da proteção de dados. No entanto, você pode verificar que os órgãos oficiais de gestão de dados do país revogaram a necessidade de tal certificação. Essa revogação ocorreu, principalmente, em decorrência da evolução tecnológica. Por isso, foi criada a ICP-Brasil. A Amplimed, além de seguir as diretrizes da nova LGPD, possui certificação ICP-Brasil.

Por isso, pesquise mais sobre os avanços tecnológicos no mercado de software médico e proteção de dados. Você verá que estamos na frente. Antes de contratar software com certificações ultrapassadas, consulte um de nossos especialistas.   

Quer essa praticidade para a sua clínica? Faça um teste grátis. 

Iniciar teste gratuito

 

Sobre o autor: 

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.