Objetivos
Arquiteturas de Integrao
Integrao ao nvel de dados Integrao ao nvel de mensagens Integrao via Web Services
Objetivos
Apresentar alternativas de arquiteturas de integrao entre aplicaes de prestadores e operadoras para implementar o padro TISS, considerando sistemas legados e arquiteturas baseadas em Internet
Arquivos
Prestadores
Quando aplicar? Integrao de aplicaes legadas que no utilizam arquitetura Internet Vantagens Simplicidade
Schemas TISS
Diretrio Sada
Diretrio de Entrada
Diretrio Entrada
Oficinas TISS 2006
Diretrio de Sada
5
Digitao ou extrao das guias a partir do prestador Gerao das guias em XML conforme schemas Gravao Guias diretrio de sada local Disparar aplicao de comunicao segura (TISSNET?) Autenticar usurio para comunicao segura Enviar lote de guias atravs de canal segura Gravar no diretrio de entrada do servidor Buscar no diretrio de sada do servidor recibo de entrega do lote de guias (protocolo) Enviar recibo atravs de canal seguro para o prestador
Prestadores
Quando aplicar? Integrao de aplicaes em ambiente Internet Como implementar? HTTPS + Schemas TISS Servio de Mensagens (JMS + schemas TISS) Vantagens Padres, independncia de plataforma, SO Oficinas TISS 2006
recebimento de mensagens Gerenciam a fila de mensagens, garantindo que uma determinada aplicao realmente recebeu a mensagem JMS (Java Message Service): especificao de um servio de mensagens em Java. Diversas implementaes disponveis: Ex.: Java 1.3 e OpenJMS SOAP (Simple Object Access Protocol): especificao de um servio de mensagens. Elemento chave da arquitetura .net. Ainda no padro W3C.
interoperabilidade entre aplicaes, de forma automtica atravs de protocolos abertos de comunicao Podem ser encontrados atravs de UDDI (Universal Description, Discovery and Integration) Os servios oferecidos so descritos por WSDL (Web Services Description Language) WSDL ainda no padro W3C Web services utilizam XML para codificar e decodificar os dados e SOAP para transport-los
10
Aplicao Operadoras
11
12
Reflexes
possvel implementar o padro TISS com
diferentes metodologias, mesmo para sistemas legados A Mensagem TISS contm todos os elementos necessrios para a implementao do padro A adoo de Web Services atravs da publicao da WSDL ANS possibilitaria a automao de todas as trocas de informao em sade suplementar
Oficinas TISS 2006 13
Links
SOAP
OpenJMS
Web Services
14
SEGURANA
15
63,5%
Publicaes do CFM
Outras
Observao: o total de citaes superior a 100% devido questo aceitar mltiplas respostas.
Pesquisa realizada com cerca de 50% das 1000 maiores empresas brasileiras- Financeiro (21%), Governo (17%), Indstria e Comrcio (14%), Tecnologia/Informtica (14%), Prestao de Servios (9%), Outros (8%), Telecomunicaes (7%), Comrcio/Varejo (4%), Energia Eltrica (2%), Educao (2%) e Sade (2%) Oficinas TISS 2006 16
Resoluo Normativa n 114/2005 e Instruo Normativa/DIDES n 17/2005 IN n 17/2005: estrutura fsica do RN n 114 /2005: padro estabelece o padro Anexo I: lay-out das guias e TISS
Guias e demonstrativos de retorno; Transaes eletrnicas; Cronograma; COPISS; Requisio de informaes pela ANS; Segurana e privacidade; Penalidades
demonstrativos
17
Segurana e privacidade
Pronturio Mdico: documento nico constitudo de um conjunto de informaes, sinais e imagens registradas, geradas a partir de fatos, acontecimentos e situaes sobre a sade do paciente e a assistncia a ele prestada, de carter legal, sigiloso e cientfico, que possibilita a comunicao entre membros da equipe multiprofissional e a continuidade da assistncia prestada ao indivduo Normas Tcnicas para uso dos sistemas informatizados para a guarda e manuseio do pronturio mdico
Constituio Federal
Segurana e privacidade
RN 114/2005 - Artigo 8
Proteo informao identificada individualmente: CFM n 1639/2002 e ANS-RN n 21/2002 e ANS-RDC n 64/2001 recomenda o uso do manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES) ISO 17799 www.sbis.org.br ou www.cfm.org.br IN n 17/2005 Anexo II - define HASH MD5 no eplogo da mensagem
19
Resoluo RDC n 64 de 10/04/2001 Dispe sobre a designao de mdico responsvel pelo fluxo de informaes relativas assistncia mdica prestada aos consumidores de planos privados de assistncia sade.
Resoluo RN n 21 de 12/12/2002 Art. 1 As operadoras de planos privados de assistncia sade devero manter protegidas as informaes assistenciais fornecidas pelos seus consumidores ou por sua rede de prestadores, observado o disposto na Resoluo - RDC n 64, de 10 de abril de 2001, quando acompanhadas de dados que possibilitem a sua individualizao, no podendo as mesmas ser divulgadas ou fornecidas a terceiros, salvo em casos expressamente previstos na legislao.
20
Segurana e privacidade
RN 124 de 03/04/2006 - Dispe sobre a aplicao
Segurana e privacidade
RN 114/2005 No estabelece padres de segurana prprios
do TISS
Art 8 As operadoras de plano privado de assistncia sade e prestadores de servios de sade devem constituir protees administrativas, tcnicas, e fsicas para impedir o acesso eletrnico ou manual imprprio informao de sade, em especial a toda informao identificada individualmente, conforme normas tcnicas estabelecidas na Resoluo CFM n 1639 de 10 de julho de 2002, e na RN n 21 de 12 de dezembro de 2002, e na RDC n 64 de 10 de abril de 2001 ambas da ANS. Pargrafo nico. Para que os objetivos de segurana e privacidade sejam alcanados, recomenda-se que sejam observados pelo menos os requisitos de segurana do Nvel de Garantia de Segurana 1 (NGS-1), descritos no Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES) publicado na pgina da Sociedade Brasileira de Informao em Sade - SBIS e do Oficinas TISS 2006 22 Conselho Federal de Medicina - CFM, conforme norma NBR ISO/IEC 17799 - Cdigo de Prtica para a Gesto da Segurana
Segurana e privacidade
Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES) Base terica: Comit ISO 215 Informtica em Sade Registro Eletrnico em Sade (RES): padronizao na rea de informao em sade e tecnologia da informao com o objetivo de atingir a compatibilidade e a interoperabilidade entre sistemas independentes. Garantir a compatibilidade de dados para fins de anlise estatstica, reduzindo redundncias e a duplicao de esforos.
23
24
Participating countries:
Observer countries:
Australia (SA) Austria (ON) Belgium (IBN) Canada (SCC) Czech Republic (CNI) Denmark (DS) Finland (SFS) France (AFNOR) Germany (DIN) Israel (SII) Italy (UNI) Japan (JISC) Kenya (KEBS) Korea, Republic of (KATS) Netherlands (NEN) New Zealand (SNZ) Norway (SN) Russian Federation (GOST R) Serbia and Montenegro (ISSM) South Africa (SABS) Spain (AENOR) Sweden (SIS) Turkey (TSE) United Kingdom (BSI)
Argentina (IRAM) China (SAC) Croatia (HZN) Ecuador (INEN) Hungary (MSZT) India (BIS) Iran, Islamic Republic of (ISIRI) Ireland (NSAI) Mongolia (MASM) Poland (PKN) Portugal (IPQ) Singapore (SPRING SG) Switzerland (SNV) Thailand (TISI) Zimbabwe (SAZ)
26
Segurana e privacidade
Com a troca eletrnica os problemas de segurana e privacidade se
multiplicam Uma das funes do intercmbio eletrnico de dados (EDI) permitir a aplicao de mecanismos de segurana Confidencialidade: criptografia (garante que a mensagem eletrnica trocada seja pelas partes realmente envolvidas) Autenticao: uso de senhas, certificados digitais (as partes envolvidas devem estar confiantes ) Integridade dos dados: uso de algoritmos para garantir que os dados no sejam modificados na transao Aceitao da mensagem: assinatura digital (nenhuma parte envolvida pode negar a transao)
27
Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES) - SBIS e CFM
RES
Compartilhvel
No compartilhvel
RES assistencial
28
Segurana e privacidade
Requisitos de Arquitetura de RES: Elementos estruturais padronizados
Segurana e privacidade
Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES): NBR ISO 17799 e ISO 15408 NBR ISO/IEC 17799: verso brasileira da ISO/IEC 17799 parte 1: cdigo de prticas (best practices) parte 2: orientaes para a criao de Sistemas de Gesto de Segurana ISO/IEC 15408: Evaluation criteria for IT Security : auxilia o desenvolvedor de software a incluir, melhorar ou simplesmente avaliar os aspectos de segurana do software em desenvolvimento
30
Segurana e privacidade
Infra-estrutura de ICP-Brasil: chaves pblicas brasileiras (MP n 2200 de agosto de 2001 www.icpbrasil.com.br
Certificados so pares de chaves formados por uma chave pblica e uma chave privada
Informao criptografada com a chave pblica de um usurio s pode ser aberta com a chave privada correspondente e vice-versa Chave pblica disponibilizada e a chave privada mantida em segredo pelo usurio
Oficinas TISS 2006 31
Nveis de segurana 1 NGS1 assinatura manual 11 requisitos Requisito 1: controle de verso do software
Segurana e privacidade
Requisito 2: autenticao e controle de acesso - mecanismos de administrao de usurios ligados a administrador do sistema controles de acesso, perfis, grupos, senhas, perfil para execuo de backup, permitir somente a incluso de dados Requisito 3: acesso aos dados do paciente com controle
Requisito 4: mecanismos de certificao de origem que garantam que somente informaes oriundas de servidores internos sejam aceitas por estaes clientes e vice-versa
Nveis de segurana 1 NGS1 assinatura manual Requisito 7: canais seguros de comunicao para sistemas baseados em arquitetura client-server e WEB: tcnicas de criptografia, https Requisito 8: utilizao de recursos computacionais requisitos para falhas de hardware e software
Segurana e privacidade
33
Segurana e privacidade
Nveis de segurana 2 NGS2 certificados digitais em processos de autenticao, ou seja, baseados em assinatura digital Requisito 1: origem de certificados digitais de acordo com a MP 2200 de 2001
pelo
uso
de
34
35