016 (Rev) Manual Certificacao SBIS CFM 2011 v4 Consulta Publica

Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES)
Verso 4.0
CERTIFICAO 2011
Editor: Marcelo Lcio da Silva
Dezembro de 2011
Manual de Certificao para Sistemas de Registro Eletrnico em Sade
CERTIFICAO 2011
Sociedade Brasileira de Informtica em Sade

Diretoria
Gesto 2011-2012 Presidente: Vice-Presidente: Secretrio: Tesoureiro: Gerente Executivo: Dir. Educao: Dir. Rel. Institucionais: Dir. Atend. Associado: Representante na IMIA: Editora-Chefe do JHI: Cludio Giulliano Alves da Costa Magdala de Arajo Novaes Abel Magalhes Marco Antnio Gutierrez Marcelo Lcio da Silva Renato Marcos Endrizzi Sabbatini Luis Gustavo Kiatake Eduardo Alvarez Ribeiro Lincoln de Assis Moura Jr Heimar de Ftima Marin
Verso 4.0
Dezembro/2011
Pgina: 2/101
CERTIFICAO 2011
Conselho Federal de Medicina

Diretoria
Gesto 2009-2014 Presidente: 1 Vice-Presidente: 2 Vice-Presidente: 3 Vice-Presidente: Secretrio-geral: 1 Secretrio: 2 Secretrio: Tesoureiro: 2 Tesoureiro: Corregedor: Vice-Corregedor: Roberto Luiz dAvila Carlos Vital Corra Lima Alosio Tibiri Miranda Emmanuel Fortes Silveira Cavalcanti Henrique Batista e Silva Desir Carlos Callegari Gerson Zafalon Martins Jos Hiran da Silva Gallo Frederico Henrique de Melo Jos Fernando Maia Vinagre Jos Albertino Souza
Cmara Tcnica de Informtica em Sade

Roberto Luiz d'vila (Coordenador) Beatriz de Faria Leo SBIS Cludio Giuliano Alves da Costa SBIS Cristianne da Silva Gonalves Anvisa Gerson Zafalon Martins CFM Goethe Ramos de Oliveira CFM Jos Mrio Morais Mateus CFO Luciano Maurcio Sampaio Barreto CFO Moacyr Perche CRM-SP Ricardo de Oliveira Bessa AMB Rigoleta Dutra ANS Rogrio Sugai Mortaza
Verso 4.0
Dezembro/2011
Pgina: 3/101
CERTIFICAO 2011
ndice
Histrico das Revises ..................................................................................................... 6 Glossrio ............................................................................................................................ 7 Definio de Termos Utilizados ........................................................................................ 8 1. Introduo .................................................................................................................... 9 2. Referencial Terico ................................................................................................... 11 2.1. Padres Utilizados .................................................................................................... 11 2.2. Definies ................................................................................................................. 15 2.3. Princpios da Certificao ......................................................................................... 16 3. Escopo de Certificao ............................................................................................. 19 3.1. Categorias e Enquadramento dos Sistemas ............................................................ 20 4. Conceitos, Normas e Condies da Certificao ................................................... 23 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. Componentes de um S-RES .................................................................................... 23 Configuraes de S-RES.......................................................................................... 24 Verses de S-RES ................................................................................................... 24 Validade da Certificao ........................................................................................... 25 Extenso da Certificao para Outras Configuraes ou Verses ........................... 26 Instrumentos Formais ............................................................................................... 27 Taxas e Preos......................................................................................................... 28
5. Processo de Certificao .......................................................................................... 30 5.1. 5.2. 5.3. 5.4. Processo Padro ...................................................................................................... 30 Processo para Extenso da Certificao .................................................................. 39 Apelaes, Reclamaes e Disputas ....................................................................... 40 Auditorias Internas do Processo de Certificao ...................................................... 40
6. Estrutura do Centro de Certificao da SBIS.......................................................... 41 6.1. 6.2. 6.3. 6.4. 6.5. Comit de Certificao ............................................................................................. 41 Gerente do Centro de Certificao ........................................................................... 41 Auditores .................................................................................................................. 42 Secretaria ................................................................................................................. 42 Diretoria da SBIS ...................................................................................................... 43
7. Uso da Informao Relacionada com a Certificao ............................................. 44 7.1. Referncias ao Estado de S-RES Certificado .......................................................... 44 7.2. Uso do Selo de Certificao SBIS/CFM ................................................................... 46
Verso 4.0 Dezembro/2011 Pgina: 4/101
CERTIFICAO 2011
7.3. Referncias ao Processo de Certificao ................................................................. 46 7.4. Reclamaes de Solicitantes e Clientes Certificados ............................................... 47 8. Requisitos de Conformidade .................................................................................... 48 8.1. 8.2. 8.3. 8.4. 8.5. 8.6. 8.7. Introduo aos Requisitos ........................................................................................ 49 Requisitos do Nvel de Garantia de Segurana 1 (NGS1) ........................................ 52 Requisitos do Nvel de Garantia de Segurana 2 (NGS2) ........................................ 65 Requisitos de Estrutura e Contedo para S-RES Assistencial ................................. 73 Requisitos de Funcionalidades para S-RES Assistencial ......................................... 81 Requisitos para GED ................................................................................................ 90 Requisitos para TISS ................................................................................................ 91
9. Referncias .............................................................................................................. 100
Verso 4.0
Dezembro/2011
Pgina: 5/101
CERTIFICAO 2011
Histrico das Revises

Data 25/08/2003 Verso 1.0 Descrio Especificao Inicial Autores GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM GT Certificao SBIS - CT Informtica em Sade e Telemedicina CFM Consultores SBIS Consultores SBIS Consultores SBIS Consultores SBIS Consultores SBIS Consultores SBIS Consultores SBIS Consultores SBIS Consultores SBIS Distribuio GT Certificao SBIS
30/11/2003
1.1
Primeira Reviso
02/12/2003
1.2
Segunda Reviso
03/12/2003
1.3
Terceira Reviso
15/12/2003
1.4
Quarta Reviso
12/02/2004
2.0
Quinta Reviso
19/02/2004
2.1
Sexta Reviso
GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM GT Certificao SBIS / Diretoria SBIS / Cmara Tcnica Informtica em Sade do CFM Pblico
12/09/2007 01/10/2007 04/10/2007 16/10/2007 16/10/2007 19/10/2007 08/11/2007 10/03/2008 01/08/2008
2.2 2.3 2.4 2.5 2.6 2.7 3.0 3.1 3.2
20/05/2009 12/12/2011
3.3 4.0
Inicio Reviso Fase 2 Fase 2 2 Reviso Fase 2 3 Reviso Fase 2 4 Reviso Reviso prconsulta pblica Reviso Final p/ consulta pblica Reviso Final p/ publicao Adequao ao MEA 1.0 Reviso final (psconsulta pblica) para publicao Publicao da Edio 2009 Elaborao da Edio 2011
Diretoria SBIS e Coordenao GI Certificao Diretoria SBIS e Coordenao GI Certificao Diretoria SBIS e Coordenao GI Certificao Diretoria SBIS e Coordenao GI Certificao Diretoria SBIS e Coordenao GI Certificao Consulta Pblica Pblico Consulta Pblica Pblico
Consultores SBIS Consultores SBIS
Pblico Consulta Pblica
Verso 4.0
Dezembro/2011
Pgina: 6/101
CERTIFICAO 2011
Glossrio
ABNT ABRAHUE AC AMB ANS ANSI ANVISA AR ASSESPRO CC CCHIT CFM CNES CNU CONARQ CRO HL7 ICP IEC ISO ITI MS ONA PEP RES SBIS SGBD S-RES TISS UTC Associao Brasileira de Normas Tcnicas Associao Brasileira de Hospitais Universitrios e de Ensino Autoridade Certificadora Associao Mdica Brasileira Agncia Nacional de Sade Suplementar American National Standards Institute Agncia Nacional de Vigilncia Sanitria Autoridade Registradora Associao das Empresas Brasileiras de Tecnologia da Informao, Software e Internet Centro de Certificao SBIS Certification Commission for Healthcare Information Technology Conselho Federal de Medicina Cadastro Nacional de Estabelecimentos e Profissionais de Sade do SUS Cadastro Nacional de Usurios do SUS Conselho Nacional de Arquivos Conselho Regional de Odontologia Health Level Seven Infraestrutura de Chaves Pblicas International Eletrotechnical Commission International Organization for Standardization Instituto Nacional de Tecnologia da Informao Ministrio da Sade Organizao Nacional de Acreditao Pronturio Eletrnico do Paciente Registro Eletrnico em Sade Sociedade Brasileira de Informtica em Sade Sistema de Gerenciamento de Banco de Dados Sistema de Registro Eletrnico em Sade Troca de Informao em Sade Suplementar Coordinated Universal Time
Verso 4.0
Dezembro/2011
Pgina: 7/101
CERTIFICAO 2011
Definio de Termos Utilizados

Cliente certificado Empresa de conectividade Imparcialidade Operadora (de plano de sade) Prestador (de servio de sade) Solicitante Representante legal Organizao cujo S-RES foi certificado Empresa que prov ou executa a troca eletrnica de dados entre a Operadora e o Prestador Presena real e perceptvel de objetividade Empresa do setor de sade suplementar que oferece aos consumidores os planos de assistncia sade. Empresa ou profissional autorizado a executar aes e/ou servios de sade, que prestam servios s operadoras de plano de sade Organizao ou pessoa solicitante (contratante) da certificao Pessoa com poderes para representar juridicamente a organizao, conforme designao em seu estatuto ou contrato social ou em procurao Profissional designado pela organizao desenvolvedora ou detentora dos direitos do S-RES, como responsvel pelas questes tcnicas relativas ao sistema
Responsvel tcnico pelo S-RES
Verso 4.0
Dezembro/2011
Pgina: 8/101
CERTIFICAO 2011
1. Introduo
Mas ltimas dcadas, a tecnologia afetou significativamente a forma como os indivduos e organizaes lidam com suas informaes. Em um processo irreversvel, os registros em papel vm sendo transformados em registros eletrnicos, possibilitando inmeras vantagens proporcionadas por este meio. O mesmo vem ocorrendo na rea da sade, onde profissionais e instituies, consoantes evoluo tecnolgica, vm adotando cada vez mais os registros eletrnicos em suas atividades. A rea da sade, contudo, apresenta caractersticas e condies bastante especficas, tornando-a nica perante as demais atividades profissionais e setores da economia, principalmente naquilo que tange s questes de privacidade e confidencialidade dos indivduos assistidos, integridade e segurana das informaes e aos recursos mnimos necessrios para o perfeito registro dos atos praticados e das condies de sade dos indivduos. Neste cenrio, o Conselho Federal de Medicina (CFM) visou as questes concernentes legalidade da utilizao de sistemas informatizados para capturar, armazenar, manusear e transmitir dados do atendimento em sade, incluindo as condies para a substituio do suporte papel pelo meio eletrnico. Ciente da complexidade do assunto e da necessidade de aprofundar os aspectos tcnicos sobre o tema, o CFM, atravs da Cmara Tcnica de Informtica em Sade, estabeleceu convnio de cooperao tcnica com a Sociedade Brasileira de Informtica em Sade para desenvolver o processo de certificao de sistemas informatizados em sade. O primeiro produto da parceria SBIS/CFM foi a elaborao da resoluo n 1639/2002, que aprovou as "Normas Tcnicas para o Uso de Sistemas Informatizados para a Guarda e Manuseio do Pronturio Mdico", dispondo sobre o tempo de guarda dos pronturios, estabelecendo critrios para certificao dos sistemas de informao e dando outras providncias. Posteriormente, esta foi revogada e substituda pela resoluo n 1821/2007, que aprovou as Normas Tcnicas Concernentes Digitalizao e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Pronturios dos Pacientes, Autorizando a Eliminao do Papel e a Troca de Informao Identificada em Sade, a qual faz referncia, em seu artigo 1, a este Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES). O segundo produto foi a elaborao do Manual de Requisitos de Segurana, Contedo e Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES). Com base nesse manual, publicado em 2004 nos stios da SBIS e do CFM, teve incio a Fase 1 do Processo de Certificao SBIS/CFM, que teve 70 sistemas declarados pelos representantes legais das organizaes detentoras, como aderentes ao conjunto de requisitos da verso 2.1 do manual (auto-declarao). A Fase 1 teve como objetivo preparar o mercado para o processo de certificao, o que foi plenamente atingido. A atualizao desse manual reflete o incio da Fase 2 do Processo de Certificao SBIS/CFM, com a auditoria efetiva dos Sistemas de Registro Eletrnico em Sade (SRES). A atualizao foi bastante abrangente, procurando refletir as experincias internacionais desenvolvidas desde 2004. Naquela ocasio, no havia ainda no mundo
Verso 4.0
Dezembro/2011
Pgina: 9/101
CERTIFICAO 2011
um processo de certificao de S-RES em operao. Os EUA foram os primeiros a certificar S-RES, comeando seu processo em 2006. A publicao da verso 3.2 do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES) em 01/08/2008 encerrou as possibilidades de autodeclarao (Fase 1). A lista das organizaes que haviam declarado seus S-RES conformes com a verso 2.1 do manual permaneceu disponvel para consulta no stio da SBIS na internet pelo perodo de 06 (seis) meses, sendo, portanto, retirada em 01/02/2009. Desde o incio da Fase 2, diversos sistemas foram auditados sob este processo, sendo vrios destes aprovados. A lista atualizada dos sistemas certificados pode ser consultada no stio da SBIS na internet (www.sbis.org.br/certificacao). Em 2009 foi publicada a verso 3.3, a qual esteve vigente at a publicao efetiva da presente verso. Esta verso (4.0) do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES) revoga e substitui todas as suas verses anteriores.
Verso 4.0
Dezembro/2011
Pgina: 10/101
CERTIFICAO 2011
2. Referencial Terico
A Certificao SBIS/CFM se baseia em conceitos e padres nacionais e internacionais da rea de Informtica em Sade. Este captulo apresenta um breve resumo dos principais padres e iniciativas utilizados como referncias na definio do Processo de Certificao SBIS/CFM.
2.1. Padres Utilizados

Segundo a Organizao Internacional de Padronizao (International Organization for Standardization - ISO), padro um documento estabelecido por consenso e aprovado por um grupo reconhecido, que estabelece para uso geral e repetido um conjunto de regras, protocolos ou caractersticas de processos com o objetivo de ordenar e organizar atividades em contextos especficos para o benefcio de todos. 2.1.1. Resoluo CFM N. 1638/2002 A Resoluo CFM n 1638/2002[1] define pronturio mdico e atribui as responsabilidades por seu preenchimento, guarda e manuseio. Essa resoluo torna obrigatria a existncia de comisses de reviso de pronturios mdicos nos estabelecimentos de sade onde se presta assistncia mdica, estabelecendo as informaes de carter obrigatrio que devem constar no pronturio mdico, seja ele eletrnico ou em papel. 2.1.2. Resoluo CFM N. 1821/2007 A Resoluo CFM n 1821/2007[3] aprova as "Normas Tcnicas Concernentes Digitalizao e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Pronturios dos Pacientes, Autorizando a Eliminao do Papel e a Troca de Informao Identificada em Sade". Essa resoluo aprova o Manual de Certificao para Sistemas de Registro Eletrnico em Sade, verso 3.0 e/ou outra verso aprovada pelo Conselho Federal de Medicina, autoriza a digitalizao de pronturios mdicos conforme normas especficas e estabelece a guarda permanente para pronturios mdicos arquivados eletronicamente, em meio ptico ou magntico e microfilmados, bem como o prazo mnimo de vinte anos para a preservao dos pronturios mdicos em suporte de papel. 2.1.3. A Infraestrutura de Chaves Pblicas ICP-Brasil A Infraestrutura de Chaves Pblicas Brasileira ICP-Brasil foi criada atravs da Medida Provisria 2.200-2 de 24 de agosto de 2001[4], transformando o Instituto Nacional de Tecnologia da Informao ITI em autarquia ligada Casa Civil da Presidncia da Repblica. Por meio dessa MP e das resolues publicadas pela ICP-Brasil, so estabelecidos os critrios para o estabelecimento e funcionamento do sistema, servindo de base para os servios de assinatura, no-repdio, identificao e sigilo. Como resultados, tm-se o aumento de segurana das transaes eletrnicas e aplicaes que faam uso de certificados digitais, assim como a possibilidade da migrao total de processos em papel para meios eletrnicos, sem prejuzo do reconhecimento legal destes documentos. Mais informaes podem ser obtidas em http://www.icpbrasil.gov.br.
Verso 4.0
Dezembro/2011
Pgina: 11/101
CERTIFICAO 2011
2.1.4. Os Cadastros Nacionais em Sade Os principais cadastros nacionais so o Cadastro Nacional de Usurios do SUS[5] e o Cadastro Nacional de Estabelecimentos e Profissionais de Sade - CNES[6]. O Cadastro Nacional de Usurios estabelece o conjunto de informaes necessrias para que uma pessoa seja identificada no Sistema de Sade Brasileiro. Hoje, existem no Pas 165 milhes de pessoas cadastradas na base federal. O CNES estabelece a identificao de todos os estabelecimentos de sade pblicos e privados no Pas. O nmero CNES de uso obrigatrio na rea pblica e privada. O conjunto de dados de ambos os cadastros foi utilizado como padro de identificao nos requisitos deste manual. 2.1.5. O Padro TISS O padro TISS - Troca de Informao em Sade Suplementar[7] o padro definido pela Agncia Nacional de Sade Suplementar ANS (www.ans.gov.br) para registro e intercmbio de dados entre operadoras de planos privados de assistncia sade e prestadores de servios de sade. O objetivo do padro TISS atingir a compatibilidade e interoperabilidade funcional e semntica entre os diversos sistemas independentes para fins de avaliao da assistncia sade (carter clnico, epidemiolgico ou administrativo) e seus resultados, orientando o planejamento do setor. O padro TISS se divide em 4 categorias: contedo e estrutura, representao de conceitos em sade, comunicao, e segurana e privacidade, conforme descrevem as Resolues Normativas publicadas no stio da ANS na internet, na seguinte URL: http://www.ans.gov.br/index.php/planos-de-saude-e-operadoras/tiss A ANS determinou que as normas tcnicas estabelecidas pelo CFM e os requisitos do Nvel de Garantia de Segurana 1 (NGS1) deste manual (ver item 8.2. ) devem obrigatoriamente ser observados no padro TISS. Para as entidades que utilizam webservices como padro de comunicao recomendada a utilizao do Nvel de Garantia de Segurana 2 (NGS2), tambm descrito neste manual (ver item 8.3. ). Ressalta-se que a eliminao do papel s possvel quando cumprido o NGS2. Como descrito no captulo 3, o escopo da certificao SBIS/CFM estabelece uma categoria especfica que engloba todo e qualquer sistema que apresente entre as suas funcionalidades a capacidade de ser uma das pontas em um canal de comunicao entre operadoras de planos de sade e prestadores de servios de sade. Deste modo, qualquer S-RES poder se submeter ao processo de certificao visando apenas a validar sua aderncia ao padro TISS. 2.1.6. Normas ISO TC-215 A norma ISO/TR 20.514[8] um documento de referncia tcnica (TR - Technical Report) que estabelece as definies de RES e de Sistemas de RES. Esse relatrio descreve as
Verso 4.0
Dezembro/2011
Pgina: 12/101
CERTIFICAO 2011
principais categorias de sistemas, define cenrios de utilizao, e a necessidade de interoperabilidade semntica entre os diferentes S-RES. Adicionalmente esse relatrio introduz o conceito de Registro Pessoal de Sade RPS. O documento 20.514 um marco referencial na rea de RES e S-RES e representa vrios anos de trabalho na rea de padres para S-RES. A norma ISO/TS 18.308[9] um documento formal de especificao tcnica (TS Technical Specification) que define os requisitos para um S-RES. A especificao apresenta os requisitos categorizados em estrutura, processo, comunicao, privacidade e segurana, mdico-legal, tico, consumidor/cultural e tambm os requisitos relacionados evoluo de sistemas de RES. Estas duas normas encontram-se traduzidas (ABNT ISO/TR 20.514 Informtica em sade - Registro eletrnico de sade - Definio, escopo e contexto[10] e ABNT ISO/TS 18.308 - Informtica em sade - Requisitos para uma arquitetura do registro eletrnico[11]) e disponveis no sitio da ABNT na internet. A norma ISO/DIS 27.799[26] Health informatics -- Information security management in health using ISO/IEC 27.002 detalha e destaca a importncia do emprego dos controles de segurana descritos na ISO/IEC 27.002[12] com foco na rea de sade. 2.1.7. Comisso Especial de Informtica em Sade da ABNT A ABNT Associao Brasileira de Normas Tcnicas (www.abnt.org.br) a representante oficial do Brasil junto ISO. Em outubro de 2006, a ABNT criou a Comisso Especial de Estudos em Informtica em Sade, inspirada no Comit de Informtica em Sade da ISO, tambm conhecido como TC-215. A criao desta comisso um marco importante para o desenvolvimento da rea de padres em sade no Brasil, estando estruturada nos mesmos moldes do TC-215, com os seguintes Grupos de Trabalho GT: GT 1 Modelos concentra-se no estudo dos modelos e padres de contedo para representar a informao em sade. GT 2 - Interoperabilidade concentra-se nos padres para estabelecer a comunicao efetiva entre sistemas e equipamentos na rea da sade. um dos grupos mais ativos no Comit ISO, contando j com vrios padres aprovados. No Brasil, este grupo tem-se dedicado s questes especficas da rea de Telemedicina. GT 3 Conceitos concentra-se nas terminologias em sade. O trabalho extenso e no Brasil o grupo j traduziu dois documentos de referncia sobre o tema de terminologias e indicadores em sade. GT 4 Segurana concentra-se nos padres de segurana da informao em sade. A questo da assinatura digital e privacidade um dos temas em discusso. No Brasil, esse grupo tem trabalhado e colaborado com a ISO 27.799, norma internacional de segurana da informao em sade. Os padres em discusso pela Comisso Especial de Estudos em Informtica em Sade da ABNT so os documentos de referncia para o Processo de Certificao SBIS/CFM.
Verso 4.0
Dezembro/2011
Pgina: 13/101
CERTIFICAO 2011
2.1.8. Normas ISO/IEC JTC1/SC27 O Joint Technical Committee 1 (JTC1) o comit tcnico da ISO responsvel pela elaborao de normas sobre tecnologia da informao. Seu sub-comit 27 (SC27) responsvel pelas normas que tratam das tcnicas de segurana em tecnologia da informao. Desta forma, vrias de suas normas so de interesse tambm para a rea de sade, destacando-se as apresentadas a seguir. O cdigo de prtica ISO/IEC 27.002 Information technology - Security techniques - Code of practice for information security management[12], comumente conhecido por sua antiga numerao ISO/IEC 17.799, o guia mais difundido mundialmente no assunto segurana e apresenta os principais controles de segurana a serem empregados por qualquer instituio com o objetivo de proteger suas informaes. Esse cdigo de prtica possui sua verso brasileira NBR ISO/IEC 27.002 Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto da segurana da informao [13]. A norma ISO/IEC 15.408 Information technology -- Security techniques - Evaluation criteria for IT security em suas trs partes: Part 1: Introduction and general model[14], Part 2: Security functional requirements[15] e Part 3: Security assurance requirements[16], descreve um processo e requisitos especficos para certificao de segurana de sistemas. 2.1.9. ANSI HL7 Functional Model (EHR-S FM) O HL7 o padro mais utilizado para intercmbio de dados na rea da sade no cenrio internacional, h mais de 15 anos. Hoje, na verso 3.0, o padro incorpora um modelo de referncia RIM Reference Information Model com conceitos dos domnios clnico e administrativo[17]. Em 2001, o HL7 estabeleceu um grupo de trabalho em Registros Eletrnicos em Sade (EHR-SIG). Este grupo de trabalho definiu um conjunto de requisitos funcionais para SRES: o EHR Functional Model[18]. O trabalho realizado por este comit extenso e cobre diferentes perfis de sistema, com um enfoque prtico e proposta de scripts para validao dos requisitos. No Brasil, em fevereiro de 2007, foi criado o Instituto HL7 Brasil a fim de dar respaldo jurdico e administrativo s atividades da representao do HL7 no Brasil (www.hl7brazil.org), com o intuito de "promover e prover padres relacionados com a troca, integrao, compartilhamento e recuperao de informao eletrnica, para apoio da prtica mdica e administrativa, permitindo um maior controle dos servios de sade". Os grupos de trabalho esto em fase de organizao, dentre eles, o Grupo de Registro Eletrnico de Sade e Registro Pessoal em Sade, que discute os requisitos funcionais de S-RES. 2.1.10. Processo de Certificao CCHIT A Certification Commission for Healthcare Information Technology CCHIT desenvolveu o processo de certificao de S-RES[19] adotado no mercado americano. Sua origem posterior Certificao SBIS/CFM, uma vez que foi criado em 2005, com um aporte inicial da ordem de 7.5 milhes de dlares, e administrado pelas seguintes organizaes:
Verso 4.0
Dezembro/2011
Pgina: 14/101
CERTIFICAO 2011
American Health Information Management Association (AHIMA); Healthcare Information and Management Systems Society (HIMSS); e National Alliance for Healthcare Information Technology (the Alliance). O processo americano voluntrio e baseado em conjuntos de scripts para diferentes categorias de S-RES. Os critrios so bastante detalhados e analisam a funcionalidade, contedo, estrutura, segurana e aspectos de interoperabilidade dos S-RES. Os S-RES so avaliados por trs auditores, distncia, a partir de ambiente cooperativo especializado para esta finalidade. O processo do ponto de vista tcnico semelhante ao da SBIS/CFM.
2.2. Definies
As normas ABNT ISO/TR 20514[10] e ISO/TS18308[11] apresentam definies utilizadas na elaborao deste manual, em especial nos requisitos de contedo, estrutura e funcionalidades. As seguintes definies, extradas destas normas, so relevantes para o entendimento deste manual: Registro Eletrnico em Sade (RES): Um repositrio de informao a respeito da sade de indivduos, numa forma processvel eletronicamente. Sistema de Registro Eletrnico em Sade (S-RES): Sistema para registro, recuperao e manipulao das informaes de um Registro Eletrnico em Sade. Arquitetura: Conjunto de artefatos de projeto ou representaes descritivas que so relevantes para descrever um objeto de modo que ele possa ser produzido com base em requisitos (qualidade), como tambm mantido durante o perodo de sua vida til (alterao). Arquitetura do Registro Eletrnico em Sade (ARES): Componentes estruturais genricos a partir dos quais todos os RES so construdos, definidos em termos de um modelo de informao. Informao processvel em computador: Informao que pode ser programaticamente criada, armazenada, manipulada e recuperada de um computador eletrnico. Interoperabilidade Funcional: A habilidade de dois ou mais sistemas trocarem informaes. Interoperabilidade semntica: A habilidade da informao compartilhada entre sistemas ser entendida em nvel dos conceitos de domnio formalmente definidos. Modelo lgico de informao: Modelo de informao que especifica as estruturas e relaes entre as informaes, mas independente de qualquer tecnologia particular ou ambiente de implementao. O conceito de modelo de informao em sade, explicitado na arquitetura do S-RES, considerado como essencial para existncia de um RES. Os requisitos descritos neste
CERTIFICAO 2011
manual buscam, em ltima anlise, comprovar a existncia deste modelo de informao representado atravs da arquitetura de software. O S-RES um sistema complexo que exige mtodos robustos de engenharia de software na sua construo para garantir que a informao em sade possa ser capturada, armazenada, exibida e compartilhada de forma segura, ntegra e completa. A perspectiva de ambientes sem-papel s aumenta a necessidade de robustez e escalabilidade dos SRES. Alm dos componentes que implementam as funcionalidades de um S-RES (componente principal), em geral desenvolvidos pelo Solicitante da Certificao SBIS/RES, podem existir componentes acessrios (ainda que indispensveis), dos quais depender a implementao de diversas funcionalidades do S-RES. Exemplos tpicos so o sistema de gerenciamento de base de dados (SGBD), um componente dinmico WEB (Applet ou ActiveX), ou ainda um sistema de diretrios (AD, LDAP, etc.) utilizado para armazenar parmetros dos usurios, papeis e grupos. Um S-RES o conjunto de todos estes componentes que so necessrios para atender aos requisitos especificados neste manual. No faz parte do escopo da certificao, entretanto, certificar isoladamente cada um desses componentes, como por exemplo, o SGDB ou o sistema operacional.
2.3. Princpios da Certificao

2.3.1. Imparcialidade Para que a SBIS possa oferecer uma certificao que proporcione confiana, necessrio que todo o processo seja imparcial e percebido como tal. Todas as atividades e decises do Processo de Certificao SBIS/CFM sero baseadas em evidncias objetivas de conformidade e que as decises no sero influenciadas por interesses esprios. As principais fontes de ameaa imparcialidade so: Ameaas de interesse prprio, que surgem de algum que atua em seu prprio interesse. Ameaas de auto-avaliao, que surgem de algum que avalia seu prprio trabalho. Ameaas de familiaridade, que surgem de algum que, por ser muito familiar ou confiante em algo ou em algum, no procura evidncias objetivas. Ameaas de intimidao, que surgem de algum que est sendo coagido, abertamente ou veladamente, a tomar ou deixar de tomar alguma deciso. A SBIS manter procedimentos para detectar, avaliar, documentar e combater todas as ameaas imparcialidade da Certificao SBIS/CFM, em todos os nveis da organizao, preventiva e corretivamente, inclusive com aplicao de sanes, quando necessrio. 2.3.2. Competncia Para que a certificao oferea confiana, necessrio que o Processo de Certificao SBIS/CFM utilize apenas recursos humanos competentes, entendendo-se por competncia a capacidade demonstrada de aplicar conhecimentos e habilidades.
Verso 4.0
Dezembro/2011
Pgina: 16/101
CERTIFICAO 2011
A SBIS utilizar no Processo de Certificao SBIS/CFM somente recursos humanos comprovadamente competentes e autorizados, e manter registros de formao, experincia, habilidade e treinamento dos mesmos. 2.3.3. Responsabilidade Para que a certificao oferea confiana, necessrio que o Cliente Certificado entenda e assuma que ele, e no a SBIS, quem possui a responsabilidade pela conformidade com os requisitos da certificao. Por exemplo, diante de uma reclamao de um cliente usurio do S-RES, a certificao jamais poder ser invocada como evidncia objetiva de que o S-RES no apresente a deficincia apontada pelo cliente. Pelo contrrio, a certificao refora o compromisso do Cliente Certificado em promover todas as investigaes e subsequentes correes ou esclarecimentos para sanar as reclamaes de seus clientes. A SBIS responsvel por avaliar evidncias objetivas suficientes nas quais possa basear sua deciso de certificao, conforme requisitos expressos neste manual. A certificao SBIS-CFM ser concedida se houver evidncia suficiente de conformidade aos requisitos do manual, com base nos resultados das auditorias. O processo de auditoria baseia-se em amostragem. No existe, portanto, garantia de 100% de conformidade com os requisitos; h sempre um risco associado ao processo que deve ser entendido e assumido por todas as partes envolvidas. 2.3.4. Transparncia Transparncia um princpio de acesso ou divulgao de informaes. Para obter e manter confiana na certificao, a SBIS oferecer acesso pblico sobre seu processo de certificao, exceto informaes de natureza confidencial, tais como as informaes privadas dos Solicitantes e Clientes Certificados. 2.3.5. Confidencialidade A confidencialidade um princpio que favorece SBIS obter confiana do Solicitante de que no ter sua imagem ou seus interesses, de alguma forma, prejudicados por submeter seus S-RES ao processo de certificao. Para que possa obter acesso privilegiado s informaes necessrias para avaliar adequadamente a conformidade dos S-RES com os requisitos da certificao, a SBIS compromete-se a manter a confidencialidade de todas as informaes privadas dos Solicitantes e Clientes Certificados, exceo dos dados cadastrais essenciais da organizao e do S-RES e da situao da certificao (concesso, extenso, renovao, suspenso, ou cancelamento), que sero publicados no stio da SBIS na internet e em outros meios, a critrio da SBIS/CFM.
Verso 4.0
Dezembro/2011
Pgina: 17/101
CERTIFICAO 2011
2.3.6. Capacidade de Respostas a Reclamaes Para que a certificao adquira confiana das partes interessadas, necessrio que tanto a SBIS quanto o Cliente Certificado sejam capazes de prontamente registrar e tratar adequadamente as reclamaes a que tiverem acesso. A efetiva capacidade para respostas a reclamaes uma salvaguarda fundamental para a proteo da Certificao SBIS/CFM, seus clientes e outras partes interessadas contra erros, omisses ou comportamentos imprprios. A SBIS manter procedimentos sistemticos para registrar e tratar reclamaes e exigir, mediante contrato, que os Solicitantes e Clientes Certificados mantenham sistemas para registro e tratamento formalizados de reclamaes. Os registros de reclamaes que digam respeito a Clientes Certificados sero considerados informaes privadas desses clientes e, portanto, no sero divulgados a terceiros pela SBIS, exceo do prprio Cliente Certificado e do reclamante.
Verso 4.0
Dezembro/2011
Pgina: 18/101
CERTIFICAO 2011
3. Escopo de Certificao
O Processo de Certificao SBIS/CFM destina-se, genericamente, a Sistemas de Registro Eletrnico de Sade (S-RES). Como j visto no item 2.2. , a definio do que um S-RES bastante ampla e abrangente. Engloba todos os subsistemas e componentes (SGBDs, servidores, bibliotecas, etc.). Ser avaliado o conjunto completo de subsistemas e componentes que compem o S-RES, devidamente configurados de forma a atender os requisitos especificados neste manual. De acordo com a definio das normas ABNT ISO/TR 20514 e ISO/TS18308, qualquer sistema que capture, armazene, apresente, transmita ou imprima informao identificada em sade pode ser considerado como sendo um S-RES. Tendo em vista a existncia de um grande nmero de S-RES no mercado brasileiro, englobando uma ampla faixa de sistemas focados em diferentes nichos do mercado de sade, no seria possvel, num primeiro momento, certificar todos e quaisquer S-RES existentes. Atualmente, o processo de Certificao SBIS/CFM est disponvel apenas para algumas categorias mais genricas de S-RES. No futuro prximo, e considerando a demanda que vier a ser constatada, as categorias podero ser ampliadas, e em alguns casos, especializadas. importante ressaltar que dever do desenvolvedor do S-RES indicar para seus usurios e clientes todas as interdependncias entre os subsistemas e componentes necessrios para que o S-RES esteja configurado e funcione corretamente, especialmente quando os subsistemas ou componentes no so fornecidos juntamente com o S-RES, cabendo ao usurio/cliente contratar o licenciamento destes parte. imprescindvel que a documentao do S-RES indique o nome e verso de cada um de seus subsistemas ou componentes, bem como o local onde os mesmos podem ser obtidos (seja um fornecedor comercial ou o repositrio de um projeto de software livre). Alm disso, devem ser informadas todas as instrues sobre a configurao necessria para o correto funcionamento destes subsistemas/componentes em conjunto. Todas estas informaes devem ter como referncia o nome e verso do sistema operacional sobre o qual iro funcionar.
Verso 4.0
Dezembro/2011
Pgina: 19/101
CERTIFICAO 2011
3.1. Categorias e Enquadramento dos Sistemas

Para fins da Certificao SBIS/CFM, podem ser submetidos ao processo de certificao apenas os S-RES enquadrados em ao menos uma das categorias abaixo: Assistencial S-RES voltados assistncia sade de indivduos, de forma bsica e genrica (no especfica), tais como: automao de consultrios clnicos, atendimento ambulatorial, unidades bsicas de sade, atendimento e/ou internao hospitalar, pronto-atendimento, sade ocupacional, etc. TISS Categoria dirigida ao atendimento do padro TISS da ANS. Inmeros SRES, especialmente aqueles em uso por operadoras de planos de sade e prestadores de servios de sade, so obrigados a trocar informaes usando o TISS. Atende tambm aos aplicativos de comunicao (empresas de conectividade) que realizam a troca de informaes entre Operadoras e Prestadores. A categoria Assistencial poder ser complementada com um ou mais blocos de especializao, que so incrementos voltados a segmentos especficos da assistncia sade, tais como atendimento ambulatorial, internao hospitalar, pronto-atendimento, sade ocupacional, etc. Estes blocos devero ser sempre agregados categoria Assistencial bsica. Atualmente, est disponvel apenas o bloco Ambulatorial, sendo que posteriormente sero disponibilizados blocos para outros segmentos da assistncia. Ambulatorial S-RES voltados para a assistncia ambulatorial, tais como: automao de consultrios clnicos, clnicas, unidades bsicas de sade, etc., assim como a parte ambulatorial de sistemas hospitalares ou de sistemas integrados de informao em sade. Ao inscrever-se no processo de certificao (ver captulo 5), o Solicitante dever indicar uma ou mais categorias onde o seu sistema se enquadra. Como poder ser visto adiante no item 8.1. , a Certificao SBIS/CFM prev ainda nveis diferenciados nos requisitos de segurana. O S-RES poder ser enquadrado em dois nveis distintos de garantia de segurana: um primeiro nvel mais amplo e um segundo nvel que, alm de contemplar todos os requisitos do primeiro nvel, exige tambm que o S-RES incorpore as funcionalidades necessrias para que o sistema opere sem a gerao de registros impressos (sistema sem papel - paperless). Adicionalmente, o SRES dever ser identificado como sendo um S-RES local ou um S-RES remoto, refletindo se o mesmo funciona somente no prprio computador onde for instalado (local) ou se pode ser acessado remotamente a partir de estaes de trabalho conectadas ao computador (remoto). Para ser aprovado, um S-RES precisar necessariamente se enquadrar em pelo menos uma das categorias de S-RES descritas acima, atendendo a todos os requisitos obrigatrios estabelecidos para aquela categoria, alm de atender tambm a todos os
Verso 4.0
Dezembro/2011
Pgina: 20/101
CERTIFICAO 2011
requisitos obrigatrios previstos pelo menos no Nvel de Garantia de Segurana 1 - NGS1 (ver item 8.1. ). A categoria TISS apresenta algumas variaes nos requisitos, de acordo com os agrupamentos adotados pela ANS no cronograma de implantao do TISS, conforme a Tabela 1 a seguir. Tabela 1: Categorias de Prestadores e Operadoras para a Implantao do TISS Prestadores Operadoras Grupo 1 Hospitais gerais Hospitais especializados Hospitais/diaisolado Pronto socorro especializado Pronto socorro geral Clnica especializada / ambulatrio de especialidade Operadoras de Unidade de apoio diagnose e terapia (SADT planos de isolado) assistncia mdica Unidade mvel de nvel pr-hospitalar urgncia/emergncia Unidade mvel fluvial Unidade mvel terrestre Grupo 2 Consultrio isolado Profissionais de sade ou pessoa jurdica que presta servio em consultrio mdico Grupo 3 Clnica radiolgica em odontologia Consultrio odontolgico isolado Operadoras de Odontologista ou pessoa jurdica da rea planos odontolgicos odontolgica que presta servio em consultrio Alm das divises acima, a categoria TISS apresenta o recurso da Comunicao, responsvel pelo envio e recebimento dos dados transitados entre o Prestador e a Operadora. Cada uma destas partes (lados da comunicao) pode apresentar este recurso como uma funcionalidade agregada ao seu aplicativo (S-RES) ou utilizar um aplicativo especfico para tal finalidade, sendo que esse ltimo pode estar em seus domnios ou ser terceirizado atravs das chamadas empresas de conectividade. Este recurso, quando includo pelo Solicitante no enquadramento para certificao, requer, obrigatoriamente, a adoo do NGS2. Caber ao Solicitante indicar as categorias de sistema e o nvel de garantia de segurana do seu S-RES, para que estas informaes sejam consideradas no processo de certificao. As categorias para enquadramento podem ser resumidas, de forma esquemtica, conforme disposto na Figura 1 a seguir:
Verso 4.0
Dezembro/2011
Pgina: 21/101
CERTIFICAO 2011
Figura 1: Modelo esquemtico das categorias para certificao
O enquadramento de um S-RES se faz, portanto, pelas seguintes opes: a) Nvel de Garantia de Segurana: NGS1 (Local ou Remoto) ou NGS2 + b) Categoria: Assistencial (opcionalmente: + Ambulatorial) e/ou TISS Caso o S-RES apresente a categoria TISS, haver, ainda, as seguintes opes: c) Tipo TISS: Prestador e/ou Comunicao e/ou Operadora + d) Grupo TISS: Grupo 1 e/ou Grupo 2 e/ou Grupo 3
Assim, obtm-se o enquadramento de um S-RES atravs da escolha de uma opo do item a acima, mais a escolha de uma ou mais opes do item b. Caso haja a escolha, no item b, da opo TISS, deve-se acrescentar a escolha de uma ou mais opes do item c, mais a escolha de uma ou mais opes do item d. Deve-se observar que a escolha da opo Comunicao no item c requer, obrigatoriamente, a adoo do NGS2. Caso seja solicitada a certificao no nvel de garantia de segurana NGS2 e a auditoria apontar no-conformidade aos requisitos deste nvel, mas apontar conformidade aos requisitos do NGS1, e no sendo obrigatria a adoo do NGS2, conforme condies descritas anteriormente, ser possvel, a critrio do Solicitante, a obteno da certificao no nvel NGS1, desde que atingida a conformidade em no mnimo uma das categorias inscritas. Caso seja solicitada a certificao em mais de uma categoria e a auditoria no apontar conformidade a todas, mas apontar conformidade a no mnimo uma das categorias inscritas, ser possvel, a critrio do Solicitante, a obteno da certificao nas categorias que atingirem a conformidade.
Verso 4.0
Dezembro/2011
Pgina: 22/101
CERTIFICAO 2011
4. Conceitos, Normas e Condies da Certificao

4.1. Componentes de um S-RES
Para submeter um S-RES a uma auditoria de certificao, o Solicitante deve identific-lo e descrever cada um de seus componentes. A descrio deve incluir a infraestrutura necessria para o S-RES funcionar corretamente, incluindo todos os componentes de hardware e software que sero utilizados no processo de certificao, alm dos respectivos parmetros que devam ser eventualmente ajustados. A seguir apresenta-se uma lista, no exaustiva, de itens que devem ser considerados ao elaborar a descrio do S-RES: Sistema Operacional SGBD (Banco de Dados) e conectores Arquitetura do S-RES (cliente/servidor, ASP, Mainframe, etc.) Componentes do tipo web dinmicos (Applet, ActiveX, etc.) Sistema de diretrios (AD, LDAP, etc.) A SBIS far a auditoria com base no S-RES identificado e descrito pelo Solicitante, considerando ainda as categorias para as quais a certificao est sendo solicitada. importante lembrar que a descrio fornecida pelo Solicitante dever ser fiel verso do S-RES que ser efetivamente submetida ao processo de auditoria. 4.1.1. Componentes alternativos Alm dos componentes descritos na auditoria, o Solicitante poder informar uma lista contendo os Sistemas Operacionais e SGBDs para os quais o S-RES tambm funciona e que produzem exatamente os mesmos efeitos no que tange conformidade aos requisitos deste manual. Sendo o S-RES aprovado na auditoria, a SBIS publicar sua descrio no Certificado SBIS/CFM e na lista de sistemas certificados disponvel em seu stio na internet. Desta descrio constaro, de forma distinta, os componentes utilizados na configurao auditada e a lista dos componentes alternativos habilitados declarada pelo Solicitante. Esta ltima ser acompanhada de informao explcita de que tais componentes alternativos no sofreram verificao durante o processo de auditoria, ficando sob responsabilidade exclusiva do Solicitante a veracidade da declarao de manuteno da conformidade do S-RES quando da utilizao dos referidos componentes. Considera-se grave violao contratual o Solicitante declarar em sua lista de componentes alternativos habilitados qualquer componente que, quando utilizado, no mantenha as mesmas conformidades obtidas com a utilizao do respectivo componente auditado. Nesse caso, o Solicitante estar sujeito s penalidades previstas no Contrato de Certificao (ver item 4.6. ), as quais podero incluir o cancelamento do Certificado e a proibio de submeter qualquer S-RES ao processo de certificao pelo perodo de um ano, contado da data em que a Diretoria da SBIS anunciar sua deciso em relao ao ocorrido.
Verso 4.0
Dezembro/2011
Pgina: 23/101
CERTIFICAO 2011
4.2. Configuraes de S-RES

Cada certificado est relacionado a uma configurao especfica do S-RES, testada no processo de auditoria com um conjunto de componentes e em total conformidade com os requisitos estabelecidos, alm de uma lista de componentes alternativos habilitados (ver item 4.1.1) declarada pelo Cliente Certificado. Por outras configuraes entende-se o mesmo S-RES funcionando com um conjunto de componentes diferente do utilizado na configurao auditada, como por exemplo, outros sistemas operacionais, SGBDs, etc.
4.3. Verses de S-RES

Cada certificado est relacionado a uma verso especfica do S-RES, testada no processo de auditoria e totalmente de acordo com os requisitos estabelecidos. Assim, a descrio de um S-RES dever incluir tambm a identificao da sua verso. Para efeito da Certificao SBIS/CFM, uma nova verso de um S-RES corresponde a uma evoluo do mesmo, seja pela adio, ampliao ou aperfeioamento de funcionalidades, ou pela correo de problemas ou inconsistncias verificados. Uma nova verso necessariamente trar consigo ajustes em relao s verses anteriores, sendo que estes podem ser classificados como ajustes sem impacto ou ajustes com impacto. possvel solicitar que a certificao concedida a uma determinada configurao/verso de um S-RES seja estendida para outras configuraes ou verses (ver item 4.5. ), considerando-se a classificao dos ajustes conforme exposto adiante. 4.3.1. Ajustes Sem Impacto Entende-se por ajustes sem impacto as modificaes e atualizaes que no afetam a conformidade do S-RES aos requisitos da certificao. Como exemplos de ajustes sem impacto, lembrando que eles no podem afetar, modificar ou remover uma ou mais funcionalidades ou caractersticas necessrias para a certificao, podem ser citados: Modificaes no nome do produto; Pequenas modificaes na interface com o usurio (esquemas de cores, fontes, estilos de botes, etc.); Adio de novas funcionalidades ou mdulos fora do escopo da certificao; Substituio de componentes internos do S-RES que possuam interfaces ou caractersticas padronizadas (por exemplo, substituio de SGBD, desde que o SRES anteriormente certificado s dependesse de funcionalidades amplamente disponveis naquele ou em qualquer outro SGBD). 4.3.2. Ajustes Com Impacto Entende-se por "ajustes com impacto" as modificaes que impliquem em risco significativo de afetar a conformidade do S-RES aos requisitos da certificao. Como exemplos de ajustes com impacto, e que necessariamente iro impactar em uma ou mais funcionalidades ou caractersticas do S-RES consideradas no processo de certificao, podem ser citadas:
Verso 4.0
Dezembro/2011
Pgina: 24/101
CERTIFICAO 2011
Remoo de qualquer funcionalidade ou mdulo essencial para a obteno da certificao; Substituio de bibliotecas ou componentes de software (por exemplo, substituindo um editor de textos desenvolvido internamente e utilizado na edio do pronturio do paciente por um componente de editor de textos desenvolvido por terceiros, ou vice-versa); Remodelagem significativa da interface com o usurio, por exemplo, mudando a estrutura dos menus, nomenclatura de telas, ou ainda migrando o sistema para uma nova interface (por exemplo, via web-browser); Substituio de componentes internos do S-RES que, mesmo possuindo interfaces ou caractersticas padronizadas, oferecem caractersticas especficas utilizadas pelo S-RES para obter a certificao (por exemplo, substituio de SGBD cujo mdulo de criptografia de dados era utilizado para garantir aspectos de segurana da informao avaliados na certificao); Mudana de modelo de informao. Por exemplo, se o sistema adotava o modelo HL7 V3 e passa a adotar o modelo Open-EHR baseado em arqutipos. 4.3.3. Declarao de manuteno da conformidade
O Cliente Certificado poder, opcionalmente, declarar que uma nova verso de um S-RES certificado mantm total conformidade aos requisitos estabelecidos, sem qualquer prejuzo em relao verso originalmente certificada. No h, neste caso, a necessidade de execuo do processo de Extenso da Certificao (ver item 4.5. ), cabendo integral e exclusivamente ao Solicitante a responsabilidade pela veracidade da declarao de manuteno da conformidade da nova verso do S-RES. Dever, contudo, atender obrigatoriamente ao requisito de segurana NGS1.01.03 (ver item 8.2. ), mantendo os respectivos histricos de alteraes em seu poder pelo prazo mnimo de 05 (cinco) anos, obrigando-se, durante este prazo, a disponibiliz-los SBIS para consulta sempre que solicitados. SBIS reserva-se o direito de convocar o Cliente Certificado para uma verificao e/ou auditoria sobre o S-RES sempre que houver qualquer indcio ou denncia de falsidade acerca de uma declarao de manuteno de conformidade. Considera-se grave violao contratual o Cliente Certificado declarar a manuteno da conformidade de uma nova verso de um S-RES certificado quando esta nova verso no atender integralmente as mesmas conformidades da verso originalmente certificada. Nesse caso, o Cliente Certificado estar sujeito s penalidades previstas no Contrato de Certificao (ver item 4.6. ), as quais podero incluir o cancelamento do Certificado e a proibio de submeter qualquer S-RES ao processo de certificao pelo perodo de um ano, contado da data em que a Diretoria da SBIS anunciar sua deciso em relao ao ocorrido.
4.4. Validade da Certificao

O Certificado SBIS/CFM ser vlido por um perodo calculado da seguinte forma: 02 (dois) anos a partir da emisso, ou 06 (seis) meses a partir da publicao pela SBIS da verso do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (SVerso 4.0 Dezembro/2011 Pgina: 25/101
CERTIFICAO 2011
RES) imediatamente posterior que serviu de base para o certificado, sendo considerado o evento que ocorrer na data mais avanada. Portanto, o Cliente Certificado ter a segurana de que o Certificado SBIS/CFM no ter durao inferior a dois anos e que, se for publicada uma nova verso do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES), ele ter prazo no inferior a seis meses para adequar seu S-RES nova verso do manual, antes que expire a validade do seu Certificado. A data de emisso do certificado nunca ser anterior data em que a Diretoria da SBIS decidir pela certificao do S-RES (passo [S-11] do processo de certificao). Quando da publicao de uma nova verso do Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES), durante um perodo de 90 (noventa) dias, podero ser emitidos Certificados SBIS/CFM com base na verso anterior do manual, a pedido do Solicitante, tanto para processos de certificao que se iniciaram antes da data da publicao, quanto para processos novos.
4.5. Extenso da Certificao para Outras Configuraes ou Verses

O Certificado SBIS/CFM especfico para a configurao e para a verso do S-RES nele discriminadas. A SBIS poder estender a certificao para outras configuraes ou verses de um SRES j certificado, desde que tal extenso seja obtida durante o perodo de validade do certificado original. Para tanto, o Solicitante dever preencher a Ficha de Inscrio para Extenso de Certificao (ver item 4.6. ) e submet-la ao processo descrito no captulo 5 deste manual. No caso de extenso para outras configuraes, a solicitao dever conter a descrio das configuraes alternativas para as quais se solicita a extenso. O Responsvel Tcnico pelo S-RES dever declarar que estas configuraes alternativas so idnticas em funcionalidades configurao certificada, e que atendem integralmente aos requisitos para a certificao. A Ficha de Inscrio dever ser assinada por este Responsvel Tcnico e pelo Representante Legal do Solicitante. J no caso de solicitaes de extenso da certificao do S-RES para novas verses, o Solicitante dever primeiramente avaliar os ajustes realizados na nova verso. A solicitao dever conter a descrio de todos os ajustes realizados na nova verso. Se a nova verso contiver qualquer ajuste com impacto (ver item 4.3.2), o processo de extenso incluir auditoria mesma. Considera-se grave violao contratual o Cliente Certificado deixar de comunicar SBIS a existncia de ajustes em seu S-RES que afetam sua conformidade aos requisitos para a Certificao SBIS/CFM. Nesse caso, o Cliente Certificado estar sujeito s penalidades previstas no Contrato de Certificao (ver item 4.6. ), as quais podero incluir o cancelamento do Certificado e a proibio de submeter qualquer S-RES ao processo de certificao pelo perodo de um ano, contado da data em que a Diretoria da SBIS anunciar sua deciso em relao ao ocorrido.
CERTIFICAO 2011
No caso de nova verso de um S-RES j certificado que contenha ajustes com impacto, uma das seguintes alternativas dever ser observada: Caso a verso do Manual de Certificao vigente poca da solicitao de extenso for a mesma da certificao da verso anterior do S-RES, o Solicitante dever pagar uma Taxa de Extenso de Certificao. A critrio da SBIS, o escopo desta nova auditoria poder ser reduzido, considerando-se as informaes prestadas pelo Solicitante sobre os ajustes sem impacto e os ajustes com impacto contidos na nova verso do S-RES. No caso da nova verso ser aprovada nesta nova auditoria, o prazo de validade da certificao passar a ser contado a partir desta ltima auditoria. Caso a verso do Manual de Certificao vigente poca da solicitao de extenso for diferente daquela na qual se baseou a certificao da verso anterior do S-RES, o Solicitante dever submeter o S-RES a uma nova certificao completa, no podendo ser efetuado o processo de extenso de certificao. Mesmo nos casos onde possvel estender a certificao de um S-RES sem a necessidade de uma nova auditoria, imperativo aguardar o pronunciamento formal da SBIS sobre o assunto. O Solicitante no poder fazer qualquer aluso ao fato de que uma nova configurao ou verso de um S-RES previamente certificado tambm certificada, sem antes obter formalmente tal extenso da SBIS. Ao conceder tal extenso, a SBIS ir incluir a nova configurao ou verso na lista de configuraes/verses certificadas, disponvel para consulta no stio da SBIS na internet. Apenas ento o Solicitante poder se referir a esta nova configurao ou verso como sendo objeto da extenso do certificado pela SBIS. As configuraes e verses do S-RES anteriormente certificadas continuaro constando da lista de S-RES certificados disponvel no stio da SBIS na internet at o final dos respectivos prazos de validade de cada certificao, exceto nos casos onde o Cliente Certificado solicitar explicitamente sua excluso de tal lista.
4.6. Instrumentos Formais

A certificao ser formalizada e regulamentada pelos seguintes instrumentos: Ficha de Inscrio para Certificao: formulrio eletrnico (ou, excepcionalmente, em papel) a ser preenchido e enviado pelo Solicitante SBIS para indicar a inteno de submeter um produto (S-RES) ao processo de certificao. Contm, em seu corpo, a descrio das condies que regulamentam tal inscrio. Ficha de Inscrio para Extenso de Certificao: formulrio eletrnico (ou, excepcionalmente, em papel) a ser preenchido e enviado pelo Solicitante SBIS para indicar a inteno de submeter um produto (S-RES) ao processo de extenso de certificao. Contm, em seu corpo, a descrio das condies que regulamentam tal inscrio.
Verso 4.0
Dezembro/2011
Pgina: 27/101
CERTIFICAO 2011
Contrato de Certificao: contrato firmado entre o Solicitante e a SBIS antes do incio da auditoria do S-RES, o qual regulamenta tanto a execuo do processo de certificao quanto as normas a serem cumpridas pelas partes aps tal processo, seja o produto certificado ou no. Estabelece, entre outras coisas, as regras do processo, os valores envolvidos, as obrigaes das partes (incluindo os termos de confidencialidade de informaes) e seus direitos (incluindo as regras de uso do Selo SBIS/CFM, Certificado e informaes correlatas), e os devidos termos jurdicos referentes ao contexto pactuado.
Certificado (Diploma de Certificao): documento probatrio da certificao de um determinado S-RES pela SBIS/CFM. Termo de Extenso de Certificado: documento probatrio da extenso do certificado de um determinado S-RES pela SBIS/CFM . Selo de Certificao SBIS/CFM: elemento grfico indicador da concesso do Certificado a um determinado S-RES. As normas de uso do selo encontram-se dispostas no item 7.2. deste manual.
4.7. Taxas e Preos

Sero cobradas do Solicitante as seguintes taxas, cujos valores encontram-se disponveis para consulta no stio da SBIS na internet. Taxa de Inscrio: valor a ser pago pelo Solicitante SBIS imediatamente aps o envio da Ficha de Inscrio para Certificao, que proporciona ao mesmo unicamente o direito anlise e avaliao de tal ficha pela SBIS e elaborao do Contrato de Certificao. Taxa de Auditoria e Certificao: valor a ser pago pelo Solicitante SBIS no momento da assinatura do Contrato de Certificao, e que proporciona ao mesmo o direito a todo o processo de auditoria do S-RES objeto do contrato e, caso seja aprovado (certificado), emisso do Certificado e do Selo de Certificao. Confere ainda ao Solicitante o direito de uso do referido selo e da divulgao da condio de S-RES Certificado no stio da SBIS na internet durante todo o prazo de validade da certificao (ver item 4.4. ). Taxa de Extenso de Certificao: valor a ser pago pelo Solicitante SBIS imediatamente aps o envio da Ficha de Inscrio para Extenso de Certificao, e que proporciona ao mesmo o direito a todo o processo de avaliao e/ou auditoria do S-RES objeto do termo e, caso seja aprovado (obtenha a extenso do certificado), emisso do Certificado e do Selo de Certificao. Confere ainda ao Solicitante o direito de uso do referido selo e da divulgao da condio de S-RES Certificado no stio da SBIS na internet durante todo o prazo de validade da certificao (ver item 4.4. ). Taxa de Realizao de 2 Ciclo de Auditoria: valor a ser pago pelo Solicitante SBIS para a realizao, quando necessrio, de um 2 ciclo de auditoria dentro de
CERTIFICAO 2011
um processo de certificao (ver item 5.1. , passo A.01), e que proporciona ao mesmo apenas o direito execuo desta parte do processo. Taxa de Reagendamento de Auditoria: valor a ser pago pelo Solicitante SBIS quando houver, a pedido do Solicitante, a necessidade de reagendamento de uma auditoria cujo cronograma tenha sido previamente aprovado entre as partes. Caso o Solicitante comunique a necessidade de reagendamento com mais de 15 (quinze) dias de antecedncia (fora o prprio dia) do incio previsto para o primeiro dia da auditoria, o valor a ser pago ser de 30% (trinta por cento) desta taxa. 4.7.1. Devoluo de Taxas No haver devoluo de taxas pagas SBIS, independentemente do resultado obtido pelo Solicitante no respectivo processo, exceto nos casos onde a SBIS recusar-se, por qualquer motivo, a executar a atividade pela qual recebeu a referida taxa. Assim, a no aprovao de uma determinada ficha de inscrio ou a no obteno da certificao ou extenso por um determinado produto (S-RES) aps o devido processo de auditoria ou avaliao, no constituiro motivo para a devoluo, por parte da SBIS, de qualquer taxa paga pelo Solicitante. Caber nica e exclusivamente Diretoria da SBIS a deciso a respeito de situaes excepcionais.
Verso 4.0
Dezembro/2011
Pgina: 29/101
CERTIFICAO 2011
5. Processo de Certificao
Assim como em outros processos congneres, a Certificao SBIS/CFM estabelece que a auditoria seja realizada por equipe especializada, a qual verificar se os requisitos obrigatrios para a categoria selecionada so realmente atendidos pelo S-RES. A auditoria constitui-se na realizao de uma bateria de testes sobre o sistema alvo da certificao. Os testes so realizados e analisados por um grupo de auditores devidamente treinados, credenciados e selecionados pela SBIS, todos membros titulares da Sociedade. Em linhas gerais, a empresa ou pessoa interessada em certificar o seu S-RES deve proceder s seguintes etapas: a) Analisar a documentao sobre o processo de certificao disponvel no stio da SBIS na internet; b) Verificar se o S-RES a ser certificado atende a todos os requisitos obrigatrios para as categorias desejadas (lembrando que os requisitos de segurana so obrigatrios para qualquer categoria); c) Realizar a bateria de testes internamente em sua instituio, conforme descrito no Manual Operacional de Ensaios e Anlises; d) Cumpridas as etapas anteriores, estando a empresa interessada segura de que seu S-RES est em condies de ser aprovado na auditoria, dever iniciar formalmente o processo para obteno do Selo de Certificao SBIS/CFM conforme descrito a seguir. Existem dois fluxos possveis no processo de certificao, a saber: a) Processo Padro: representa o fluxo bsico a ser seguido para a obteno da certificao, para um S-RES ainda no certificado ou que esteja com a sua validade expirada, ou para uma nova verso que contenha ajustes com impacto (ver item 4.3.2) em relao verso anteriormente certificada. b) Processo para Extenso de Certificao: representa o fluxo a ser seguido para a extenso da certificao para outras configuraes ou verses de um S-RES j certificado, conforme descrito no item 4.5.
5.1. Processo Padro

Este o processo bsico a ser seguido para a obteno da certificao, para um S-RES ainda no certificado ou que esteja com a sua validade expirada, ou para uma nova verso que contenha ajustes com impacto (ver item 4.3.2) em relao verso anteriormente certificada. composto por uma srie de atividades a serem executadas pelo Solicitante e pela SBIS, conforme demonstrado no fluxo da Figura 2 abaixo.
Verso 4.0
Dezembro/2011
Pgina: 30/101
CERTIFICAO 2011
Figura 2: Fluxo do processo de certificao

CERTIFICAO 2011
Ateno: o fluxo acima apresenta apenas as descries resumidas de cada passo, de forma a facilitar a visualizao e entendimento de todo o processo. As descries completas dos passos encontram-se detalhadas a seguir. 5.1.1. Atividades do Solicitante no Processo O Solicitante dever executar as atividades apresentadas na coluna esquerda do fluxo do processo de certificao (ver Figura 2), descritas a seguir: [P.01] Preenche e envia a Ficha de Inscrio para Certificao O Solicitante dever preencher a Ficha de Inscrio para Certificao (ver item 4.6. ), disponvel no stio da Certificao SBIS/CFM na internet. Uma vez preenchida, tal ficha dever ser enviada (submetida) eletronicamente atravs do e-mail certificacao@sbis.org.br. Aps o envio, uma mensagem de confirmao de recebimento ser enviada pela SBIS ao endereo de e-mail do Solicitante. [P.02] Efetua o pagamento da Taxa de Inscrio A SBIS enviar por e-mail ao Solicitante, no prazo mximo de 07 (sete) dias aps o recebimento da Ficha de Inscrio, um boleto bancrio referente Taxa de Inscrio no processo de certificao (ver item 4.7. ). A SBIS dar andamento s atividades subsequentes do processo somente aps o recebimento desta taxa, a qual dever ser paga pelo Solicitante na rede bancria dentro do prazo de vencimento disposto no boleto. [P.03] Avalia o Contrato de Certificao Caso a anlise da Ficha de Inscrio pela SBIS no aponte nenhuma restrio participao do Solicitante e do S-RES inscrito no processo de certificao, o Solicitante receber da SBIS, no prazo mximo de 15 (quinze) dias aps o pagamento da Taxa de Inscrio, o Contrato de Certificao (ver item 4.6. ), ainda no assinado. O Solicitante dever analisar cuidadosamente o contrato, questionando a SBIS sobre qualquer dvida que porventura seja suscitada. Caso haja alguma restrio participao do Solicitante ou do S-RES inscrito no processo de certificao, o Solicitante receber da SBIS, no prazo mximo de 15 (quinze) dias aps o pagamento da Taxa de Inscrio, um comunicado da impossibilidade de execuo do processo de certificao, onde sero expostos os motivos para tal rejeio. [P.04] Contrato aprovado? Caso o Solicitante concorde com todos os termos do contrato, dever devolv-lo assinado SBIS (passo P.05 adiante). Caso contrrio, solicita-se que tal deciso seja comunicada por e-mail SBIS, para que o processo seja arquivado. Na ausncia de pronunciamento formal positivo (caracterizado pelo passo P.05 adiante) ou negativo no prazo de 60 (sessenta) dias aps o recebimento da documentao (passo P.03 acima), o processo ser considerado encerrado e, ento, arquivado pela SBIS.
Verso 4.0
Dezembro/2011
Pgina: 32/101
CERTIFICAO 2011
Processos encerrados e arquivados pela SBIS no podero ser reativados, devendo o Solicitante, quando necessrio, iniciar um novo processo, submetendo nova Ficha de Inscrio (passo P.01). [P.05] Envia o contrato assinado e efetua o pagamento da Taxa de Auditoria e Certificao Caso o Solicitante concorde com todos os termos do Contrato de Certificao, seu representante legal dever assinar as 02 (duas) vias do mesmo e envi-las SBIS. O Solicitante receber da SBIS um boleto bancrio referente Taxa de Auditoria e Certificao (ver item 4.7. ). A SBIS dar andamento s atividades subsequentes do processo somente aps o recebimento desta taxa. O prazo para a execuo deste passo (envio do contrato assinado e da documentao, e pagamento da taxa) de 180 (cento e oitenta) dias aps o recebimento da respectiva documentao (passo P.03 acima). Caso tais tarefas no sejam executadas neste prazo, o processo ser considerado encerrado e, ento, arquivado pela SBIS. [P.06] Avalia a seleo dos auditores e o cronograma No prazo mximo de 30 (trinta) dias aps a efetivao do Contrato de Certificao (passo P.05 acima), o Solicitante receber da SBIS, por e-mail, uma proposta de cronograma para a auditoria e a relao dos auditores selecionados. O Solicitante dever, ento, avaliar tais elementos, verificando a viabilidade do cronograma proposto e a eventual existncia de restries participao de qualquer dos auditores indicados. Caso o Solicitante tenha rejeitado uma proposta anterior de cronograma e auditores (passo P.07 adiante), receber, no prazo mximo de 15 (quinze) dias aps ter comunicado tal rejeio, uma nova proposta de cronograma e relao dos auditores selecionados, devendo efetuar nova avaliao. [P.07] Auditores e cronograma aprovados? O Solicitante dever comunicar formalmente SBIS, por e-mail e no prazo mximo de 15 (quinze) dias aps o recebimento das informaes (passo P.06 acima), seu parecer quanto ao cronograma proposto e relao dos auditores selecionados. Caso o Solicitante concorde com a proposta apresentada, bastar comunicar tal aprovao SBIS. Caso o Solicitante discorde da proposta apresentada, seja do cronograma ou de algum dos auditores selecionados, dever comunicar tal rejeio SBIS, justificando explicitamente os motivos. Caso haja, dentre os motivos, a indisponibilidade do Solicitante face ao cronograma sugerido pela SBIS, o mesmo poder, visando agilizar esta definio, adicionar justificativa uma ou mais propostas de datas, desde que posteriores s datas originalmente sugeridas pela SBIS.
Verso 4.0
Dezembro/2011
Pgina: 33/101
CERTIFICAO 2011
Ateno: na ausncia de comunicao formal do Solicitante no prazo citado de 15 (quinze) dias, o cronograma proposto e a seleo dos auditores sero automaticamente considerados aprovados. O Solicitante poder rejeitar no mximo 03 (trs) propostas efetuadas pela SBIS, independentemente dos motivos alegados, sendo a quarta proposta, quando houver, no passvel de rejeio e automaticamente considerada aprovada. [P.08] Disponibiliza os recursos necessrios auditoria nas datas previstas Aps a aprovao do cronograma de auditoria e da relao de auditores, o Solicitante dever disponibilizar, nas datas previstas, o produto (S-RES) objeto da certificao e todos os aplicativos e produtos necessrios sua execuo. A auditoria ocorrer na sede da SBIS, em So Paulo/SP. O Solicitante poder disponibilizar o S-RES para auditoria atravs de qualquer um dos seguintes meios: - Instalao em um microcomputador (desktop ou notebook) do prprio Solicitante; - Instalao em um microcomputador (desktop) da SBIS, necessariamente sob o sistema operacional Windows; - Acesso direto ao sistema atravs da internet; - Acesso indireto ao sistema atravs da internet, utilizando algum aplicativo de controle remoto (ex.: VNC, PC Anywhere etc.); - Outro meio equivalente que atenda a este objetivo, desde que previamente acordado com a SBIS. O Solicitante dever, tambm, disponibilizar de 01 (um) a 03 (trs) profissionais para operarem o sistema na sede da SBIS, em So Paulo/SP, durante todo o perodo da auditoria. Tais profissionais devero, conjuntamente, estar aptos a operar todos os mdulos e funcionalidades do S-RES pertinentes s categorias sob certificao, e devero atender s orientaes e solicitaes efetuadas pelos auditores durante toda a auditoria. Caso haja a necessidade de algum outro recurso ou material adicional, a SBIS poder requisit-lo ao Solicitante, o qual dever providenci-lo. Todos os custos e despesas decorrentes da disponibilizao dos recursos aqui citados sero de total responsabilidade do Solicitante, e no sero passveis de qualquer tipo de remunerao, auxlio financeiro ou reembolso por parte da SBIS. [P.09] Reprovao aceita? Ao receber da SBIS o comunicado de reprovao da certificao de seu S-RES, o Solicitante dever analisar e avaliar os resultados obtidos na auditoria. Caso no concorde com tal reprovao, dever solicitar SBIS a reviso do resultado (passo P.10 adiante). Caso contrrio, dever comunicar por e-mail SBIS, para que o processo seja arquivado. Caso o Solicitante no se pronuncie formalmente a respeito do resultado no prazo de 30 (trinta) dias aps o recebimento do comunicado, o processo ser encerrado e arquivado pela SBIS.
CERTIFICAO 2011
Apenas o resultado da auditoria original passvel de reviso, no cabendo tal solicitao sobre um resultado j revisado. [P.10] Envia recurso para reviso do resultado Caso no concorde com a reprovao da certificao de seu S-RES, o Solicitante dever enviar formalmente SBIS, no prazo mximo de 30 (trinta) dias aps o recebimento do comunicado, um recurso para reviso do resultado, o qual dever, necessariamente, conter as justificativas e embasamento para a discordncia. Os recursos para reviso de resultado sero analisados e respondidos pela SBIS no prazo de 30 (trinta) dias aps o seu recebimento. 5.1.2. Atividades da SBIS no Processo A SBIS executar as atividades apresentadas na coluna direita do fluxo do processo de certificao (ver Figura 2), descritas a seguir: [S.01] Gera e envia a cobrana da Taxa de Inscrio Ao receber a Ficha de Inscrio para Certificao, a SBIS enviar uma mensagem de confirmao de recebimento ao e-mail do Solicitante. No prazo mximo de 07 (sete) dias aps o recebimento de tal ficha, emitir um boleto bancrio para a cobrana da Taxa de Inscrio (ver item 4.7. ) e o enviar por e-mail ao Solicitante. [S.02] Analisa a Ficha de Inscrio e elabora o Contrato de Certificao Ao detectar o recebimento da Taxa de Inscrio, a SBIS analisar a Ficha de Inscrio, verificando se o Solicitante e o produto (S-RES) inscrito atendem s condies necessrias participao no processo de certificao. Caso as condies estejam atendidas, a SBIS, com base no enquadramento do S-RES (ver item 3.1. ) e na tabela de preos em vigor (ver item 4.7. ), elaborar o Contrato de Certificao (ver item 4.6. ), o qual explicitar, entre outras coisas, a parte contratante (Solicitante), o produto (S-RES) a ser certificado e o valor a ser pago pelo Solicitante a ttulo de Taxa de Auditoria e Certificao. Caso as condies participao no estejam atendidas, a SBIS enviar um comunicado ao Solicitante sobre tal impossibilidade, descrevendo os motivos para tal rejeio. [S.03] Envia o contrato e a cobrana da Taxa de Auditoria e Certificao No prazo mximo de 15 (quinze) dias aps o pagamento da Taxa de Inscrio, a SBIS enviar ao Solicitante o Contrato de Certificao em 02 (duas) vias no assinadas e um boleto bancrio para a cobrana da Taxa de Certificao, no valor definido no contrato. Caso a participao no processo tenha sido rejeitada, ser enviado ao Solicitante somente o comunicado elaborado no passo anterior (S.02) e arquivar o processo (passo S.04 adiante).
CERTIFICAO 2011
[S.04] Encerra e arquiva o processo Quando configurado, em qualquer momento e por qualquer causa, o encerramento do processo, esteja o mesmo concludo ou no, a SBIS efetuar o seu arquivamento, armazenando toda a documentao e material relativos ao mesmo, tanto em meio eletrnico quanto em papel, pelo perodo mnimo de 05 (cinco) anos. [S.05] Seleciona os auditores e elabora o cronograma de auditoria Ao receber as 02 (duas) vias do Contrato de Certificao assinadas, a documentao do sistema e confirmar o recebimento da Taxa de Certificao, o representante legal da SBIS assinar as 02 (duas) vias do contrato e, no prazo mximo de 30 (trinta) dias, reenviar uma das vias ao Solicitante. A SBIS analisar o processo e elaborar uma proposta de cronograma para a auditoria. As datas propostas seguiro, obrigatoriamente, a ordem cronolgica de recebimento dos contratos assinados pelos Solicitantes (fila no mtodo FIFO), com exceo dos casos de reagendamento (citado no passo S.08) ou de 2 ciclo (passo A.01) de auditoria, os quais tero prioridade na obteno das datas mais prximas disponveis. No h prazo mximo pr-determinado para a data de incio da auditoria, j que tal prazo depender da quantidade de contratos celebrados e ainda no auditados (fila de espera) e da durao de cada auditoria, o que poder variar conforme o enquadramento de cada S-RES. A SBIS efetuar, tambm, a seleo dos auditores dentro do quadro de auditores credenciados pela SBIS. Esta atividade ser executada de acordo com as normas internas do CC, considerando, entre outros fatores, a rotatividade entre os auditores, a disponibilidade dos mesmos e eventuais impedimentos por questes ticas ou profissionais. Cada auditoria ser executada obrigatoriamente por 03 (trs) auditores seniores, e poder ser acompanhada por um ou mais auditores trainees, cujos papis encontram-se descritos no passo S.08 adiante e no captulo 6. [S.06] Envia a seleo dos auditores e o cronograma para aprovao No prazo mximo de 30 (trinta) dias, a SBIS encaminhar, por e-mail, a proposta de cronograma para a auditoria e a relao dos auditores selecionados ao Solicitante, para sua aprovao. [S.07] Seleciona novos auditores e/ou elabora novo cronograma Na eventualidade da rejeio, pelo Solicitante, da proposta de cronograma ou da relao de auditores, a SBIS elaborar um novo cronograma e/ou selecionar outros auditores, seguindo os mesmos procedimentos adotados no passo S.05 acima. [S.08] Auditores executam a auditoria e preenchem o caderno de resultados Nas datas previstas no cronograma e utilizando os recursos apontados no passo P.08, a equipe de auditores realizar a auditoria do S-RES objeto da certificao.
Verso 4.0
Dezembro/2011
Pgina: 36/101
CERTIFICAO 2011
Todas as sesses de auditoria sero gravadas, registrando-se, durante todo o tempo, os sons do ambiente e as imagens da tela (navegao e operao) do S-RES auditado. Cada auditoria ser executada obrigatoriamente por 03 (trs) auditores seniores (ver captulo 6), que solicitaro aos profissionais disponibilizados pelo Solicitante operarem o sistema. Sero executados todos os procedimentos (scripts) definidos no Manual Operacional de Ensaios e Anlises para todos os requisitos obrigatrios das categorias nas quais o S-RES auditado se enquadra, verificando-se a obteno ou no dos resultados esperados. Aps a execuo de cada script, cada auditor registrar o seu parecer em seu Caderno de Resultados, os quais sero consolidados pelo auditor lder ao final da auditoria. Caso haja divergncia entre os resultados observados por cada auditor na avaliao de um determinado requisito, os auditores debatero suas concluses na busca de um consenso, podendo, para tal, consultar a gravao realizada durante a auditoria ou pedir ao Solicitante uma nova verificao. Caso no se obtenha o consenso, prevalecer o resultado apontado pela maioria, ou seja, por 02 (dois) auditores, o qual passar a ser considerado como resultado final para tal requisito. A auditoria poder, ainda, ser acompanhada por um ou mais auditores trainees (ver captulo 6), os quais participaro apenas com a finalidade de capacitao e progresso no processo de credenciamento, no sendo seus registros considerados no resultado da auditoria. Caso a auditoria no seja realizada nas datas previstas devido a qualquer impossibilidade por parte do Solicitante, fundamentalmente por no disponibilizar algum recurso previsto no passo P.08, ser elaborado um novo cronograma, mediante o pagamento, pelo Solicitante, da Taxa de Reagendamento de Auditoria. Caso o Solicitante comunique tal impossibilidade e solicite o reagendamento com mais de 15 (quinze) dias de antecedncia (fora o prprio dia) do incio previsto para o primeiro dia da auditoria, o valor a ser pago ser de 30% (trinta por cento) da referida taxa. Caso a auditoria no seja realizada nas datas previstas devido a qualquer impossibilidade por parte da SBIS, ser elaborado um novo cronograma, isento de qualquer taxa adicional. A elaborao de um novo cronograma, independentemente do motivo, compreende a execuo do passos S.05, S.06, S.07, P.06, P.07 e P.08. Deve-se observar que qualquer alterao no cronograma poder provocar uma consequente alterao da seleo dos auditores, caso haja conflitos nas agendas dos auditores previamente selecionados. [S.09] Comit de Certificao avalia o resultado da auditoria Conforme caracterizada a demanda, o Comit de Certificao (ver captulo 6) se reunir presencialmente ou distncia para a discusso e avaliao das auditorias realizadas no perodo (desde a reunio antecedente), emitindo um parecer unificado para cada auditoria. Este parecer poder indicar a aprovao ou reprovao do S-RES na auditoria realizada. Aps a auditoria inicial (primeiro ciclo), o Comit poder recomendar ao Solicitante a realizao de ajustes no S-RES para a execuo de um segundo ciclo de auditoria, ainda dentro do mesmo processo original, cujo parecer indicar, finalmente, a aprovao ou reprovao do S-RES.
Verso 4.0
Dezembro/2011
Pgina: 37/101
CERTIFICAO 2011
Conforme j exposto anteriormente, para a obteno da certificao, o S-RES dever demonstrar, em sua auditoria, conformidade a todos os requisitos obrigatrios das categorias nas quais se enquadra. Dentre os membros do Comit que avaliarem um especfico S-RES e respectivas auditorias, no podero estar auditores que participaram das auditorias daquele S-RES. [S.10] S-RES aprovado? O Comit de Certificao far o encaminhamento do processo com o resultado de seu parecer Diretoria da SBIS para que esta proceda emisso e envio do Certificado e Selo ao Solicitante (passo S.11 adiante) ou comunicao da reprovao ao Solicitante (passo S.12 adiante). Conforme j mencionado anteriormente, o Comit poder recomendar ao Solicitante a realizao de ajustes no S-RES para a execuo de um segundo ciclo de auditoria (passo A.01). [S.11] Emite e envia o Certificado e o Selo, e os publica no site No prazo mximo de 15 (quinze) dias aps a aprovao pelo Comit de Certificao, a SBIS emitir e enviar ao Solicitante o Certificado e o Selo de Certificao SBIS/CFM (ver item 4.6. ) em arquivos eletrnicos, e os publicar no stio da Certificao na internet. Em seguida, encerrar e arquivar o processo (passo S.04). Dentre os membros da Diretoria que decidirem sobre a certificao de um especfico SRES, no podero estar auditores nem membros do Comit de Certificao que participaram da avaliao daquele S-RES. [S.12] Comunica a reprovao No prazo mximo de 15 (quinze) dias aps a reprovao pelo Comit de Certificao, a SBIS comunicar tal fato por escrito ao Solicitante, justificando os motivos e apontando explicitamente os resultados negativos que determinaram tal reprovao. [S.13] Auditores revisam os registros e resultados da auditoria Ao receber um recurso para reviso de resultado de auditoria, a SBIS reunir os auditores que executaram a auditoria contestada. A partir dos argumentos expostos pelo Solicitante no recurso e com o apoio das imagens e sons gravados durante as sesses de auditoria, o grupo reavaliar os resultados apontados e emitir um documento que poder ratificar ou retificar os resultados originais. 5.1.3. Sub-Processos Alternativos Os processos aqui descritos representam subconjuntos de atividades integrantes do processo padro, e so compostos de atividades executadas tanto pela SBIS quanto pelo Solicitante. [A.01] Ajustes e 2 ciclo de auditoria
CERTIFICAO 2011
Ao concluir a auditoria de um S-RES, a SBIS poder, exclusivamente a seu critrio, considerando a quantidade e abrangncia das no-conformidades identificadas, proporcionar ao Solicitante oportunidade para que este realize no S-RES os ajustes necessrios soluo das no-conformidades apontadas na auditoria, Em seguida, ser executado um segundo ciclo de auditoria, ainda dentro do mesmo processo. Caso o Solicitante aceite tal oportunidade, dever efetuar o pagamento da Taxa de Realizao de 2 Ciclo de Auditoria (ver item 4.7. ). O prazo mximo para a realizao dos ajustes ser de 90 (noventa) dias corridos a partir da comunicao da SBIS ao Solicitante, devendo a nova auditoria (2 ciclo) ser realizada na data mais prxima disponvel aps este perodo. A nova auditoria ser realizada obrigatoriamente sobre o mesmo S-RES e na mesma configurao originalmente auditadas, atualizando-se apenas a verso constante no processo para a nova verso resultante dos ajustes efetuados pelo Solicitante, a qual dever conter apenas as alteraes necessrias soluo das no-conformidades apontadas. Este passo compreende a execuo, por parte da SBIS, do passos S.05, S.06, S.07 e S.08, e por parte do Solicitante dos passos P.06, P.07 e P.08, todos descritos anteriormente neste manual. Deve-se atentar para que a somatria dos prazos estipulados para cada passo no ultrapasse o prazo mximo definido para o presente processo. Este passo poder ser realizado uma nica vez dentro de um processo de certificao, no sendo passvel de repetio. Caso este segundo ciclo de auditoria ainda aponte para no-conformidades, independentemente da quantidade ou abrangncia das mesmas, o SRES ter sua certificao rejeitada.
5.2. Processo para Extenso da Certificao

Este o processo a ser seguido para a obteno de extenses da certificao para outras configuraes ou verses de um S-RES j certificado, conforme descrito no item 4.5. Este processo segue o mesmo fluxo de atividades descrito para o processo padro (ver item 5.1. , Figura 2), exceto nos pontos destacados a seguir: a) Toda referncia Ficha de Inscrio para Certificao deve ser substituda pela Ficha de Inscrio para Extenso de Certificao (ver item 4.6. ); b) Deve-se desconsiderar as referncias assinatura e envio do Contrato de Certificao; c) Toda referncia Taxa de Certificao deve ser substituda pela Taxa de Extenso de Certificao (ver item 4.7. ); d) Dependendo do tipo (outra configurao ou nova verso) e abrangncia da extenso solicitada, a SBIS poder, exclusivamente a seu critrio, dispensar a necessidade de realizao de auditoria do S-RES inscrito, no sendo executadas, neste caso, as atividades pertinentes ao cronograma de auditoria e seleo de auditores existentes no passo S.05, e nem executados os passos S.06, S.07, S.08, P.06, P.07, P.08 e
CERTIFICAO 2011
A.01, os quais devero ser desconsiderados. Tambm devero ser desconsideradas as referncias auditoria nos passos S.09, S.10, S.13 e P.09, considerando-se, no seu lugar, a deciso quanto concesso ou no da extenso pretendida.
5.3. Apelaes, Reclamaes e Disputas

Todas as apelaes, reclamaes e disputas apresentadas SBIS pelos Solicitantes, outros fornecedores, clientes ou outras partes interessadas, sero registradas e encaminhadas Diretoria da SBIS para soluo. Toda a apelaes, reclamaes e disputas sero devidamente analisadas e realizadas as aes apropriadas para sanar as deficincias apontadas e confirmadas. Se o reclamante se identificar, dever ser fornecida resposta formal. Caso a reclamao refira-se a um Cliente Certificado, este ser comunicado formalmente e ser intimado a apresentar resposta formal, sob pena de aplicao de sano, que ir desde a advertncia at a eventual suspenso do certificado, a critrio da Diretoria da SBIS.
5.4. Auditorias Internas do Processo de Certificao

A SBIS realizar auditorias internas peridicas, de maneira planejada e sistemtica, abrangendo todos os procedimentos, para verificar se os processos se desenvolvem de maneira regular, de acordo com as disposies planejadas. Os resultados das auditorias internas sero documentados e levados ao conhecimento da Diretoria da SBIS, que determinar a realizao de aes para corrigir as no-conformidades detectadas e suas causas, no devido tempo e de maneira apropriada. As auditorias internas sero realizadas por pessoal indicado pela Diretoria da SBIS e independente das atividades auditadas.
Verso 4.0
Dezembro/2011
Pgina: 40/101
CERTIFICAO 2011
6. Estrutura do Centro de Certificao da SBIS

O Centro de Certificao (CC) o departamento interno da SBIS responsvel pela operacionalizao do processo de Certificao SBIS/CFM. Localizado na sede da SBIS e subordinado sua Diretoria, composto por colaboradores com dedicao no-exclusiva, os quais sero contratados conforme a demanda observada ao longo do tempo. So apresentados, a seguir, os papis desempenhados pelo Centro de Certificao:
6.1. Comit de Certificao

Trata-se de comit formado por 03 (trs) pessoas, com a seguinte composio: 02 (dois) membros indicados pela Diretoria da SBIS; 01 (um) membro representante do CFM. Compete ao Comit: Auxiliar no desenvolvimento das polticas relativas imparcialidade das atividades de certificao; Impedir qualquer tendncia por parte da SBIS em permitir que interesses comerciais ou outros impeam a proviso regular e objetiva de atividades de certificao; Aconselhar sobre questes que afetem a confiana na certificao, incluindo transparncia e imagem pblica; Realizar uma anlise crtica, pelo menos uma vez por ano, da imparcialidade dos processos de auditoria, certificao e tomada de deciso da SBIS; Avaliar as auditorias realizadas e os atos do Gerente do Centro de Certificao e emitir pareceres indicativos de aprovao ou reprovao dos procedimentos do Centro de Certificao. O Comit de Certificao ter acesso a todas as informaes necessrias para possibilitar o cumprimento de suas funes.
6.2. Gerente do Centro de Certificao

O Centro de Certificao, unidade funcional da SBIS na qual so desenvolvidas as principais atividades do Processo de Certificao SBIS/CFM, gerenciado em todas suas aes, tanto no mbito interno quanto no relacionamento com os Solicitantes, Clientes Certificados e demais interessados na certificao por um profissional contratado pela Diretoria da SBIS e nomeado como Gerente do Centro de Certificao. A Gerncia do Centro de Certificao poder, a critrio da Diretoria da SBIS, ser exercida pelo seu Gerente Executivo. Compete ao Gerente do Centro de Certificao: Analisar as solicitaes de certificao; Elaborar e gerir os contratos com os Solicitantes; Elaborar contratos com os profissionais envolvidos;
Verso 4.0
Dezembro/2011
Pgina: 41/101
CERTIFICAO 2011
Elaborar cronogramas; Convocar os auditores; Responder as dvidas e questionamentos sobre o processo de certificao e Interagir com a Diretoria da SBIS nas questes pertinentes certificao.
6.3. Auditores
O Centro de Certificao conta com um quadro de auditores credenciados para a execuo das auditorias dos S-RES submetidos certificao. Compete aos auditores: Realizar as auditorias conforme as regras estabelecidas pela SBIS; Documentar todos os resultados obtidos, de forma objetiva e sem influncia de valores ou opinies pessoais; Declarar-se impedido quando houver algum conflito de interesse que impea a realizao do trabalho com objetividade e imparcialidade; Manter em sigilo, permanentemente, todas as informaes sobre o Solicitante, o SRES e a certificao a que tenha acesso em razo de sua participao no processo de certificao; No estar envolvido, diretamente ou indiretamente, com a organizao cujo S-RES est sendo avaliado, com seus fornecedores, clientes, concorrentes ou outra qualquer parte interessada, de maneira tal que sua imparcialidade possa ser comprometida. Para se tornar um auditor do Centro de Certificao, o profissional deve obrigatoriamente atender aos seguintes requisitos: Ser Membro Titular da SBIS e estar em dia com suas obrigaes perante a mesma; Ter realizado e sido aprovado no Curso para Auditores do Centro de Certificao da SBIS; Para se tornar um auditor senior, o auditor deve ter participado de, no mnimo, duas auditorias na condio de trainee. O processo de credenciamento de auditores, incluindo as regras detalhadas e a programao das turmas do respectivo curso, sero publicadas no stio da SBIS na internet.
6.4. Secretaria
A Secretaria do Centro de Certificao responsvel pelos aspectos administrativos e burocrticos do Centro, e apia seus membros, especialmente o Gerente, nas atividades relacionadas certificao. A Secretaria do Centro de Certificao poder, a critrio da Diretoria da SBIS, ser exercida pela sua Secretria Administrativa. Compete tambm Secretaria: Controlar todos os documentos, dados e registros relativos certificao, garantindo o controle do acesso e da distribuio das informaes s pessoas
CERTIFICAO 2011
autorizadas e garantindo a confidencialidade, integridade e atualidade das informaes mantidas. Os documentos obsoletos e o registros devem ser mantidos por um perodo de tempo no inferior a cinco anos; Manter registros de qualificao, treinamento e experincia e compromisso pertinentes de cada pessoa envolvida no processo de certificao.
6.5. Diretoria da SBIS

Compete Diretoria da SBIS, concomitantemente e sem prejuzo de suas atribuies estatutrias: Garantir a existncia de estrutura interna que salvaguarde a imparcialidade da SBIS na certificao e que permita a participao de todas as partes com interesse significativo no desenvolvimento de polticas e princpios relativos ao contedo e funcionamento do sistema de certificao; Formular polticas relativas operao da certificao; Supervisionar a implementao de suas polticas; Definir as bases tcnicas para conceder a certificao; Nomear recursos humanos e estruturas internas envolvidos no processo de certificao e determinar suas respectivas autoridades e responsabilidades, empregando um nmero suficiente de pessoas que tenham a necessria formao, treinamento, conhecimento tcnico e experincia para desempenhar as funes de certificao, sob a responsabilidade do Gerente do Centro de Certificao; Garantir que os recursos humanos e as estruturas envolvidas estejam livres de quaisquer presses comerciais, financeiras e outras que possam influenciar os resultados do processo de certificao; Garantir que os recursos humanos e as estruturas envolvidas mantenham a confidencialidade das informaes obtidas atravs das atividades de certificao, em todos os nveis da organizao, incluindo tambm comits, organismos externos ou pessoas atuando em seu nome; Estabelecer instrues documentadas para a equipe envolvida na certificao, conforme necessrio, descrevendo seus deveres e responsabilidades; Exigir que os recursos humanos envolvidos no processo de certificao assinem Termos de Compromisso de Conduta no qual se comprometem a: i) obedecer s regras definidas pela SBIS, inclusive aquelas relativas confidencialidade e independncia de interesses comerciais e outros interesses; ii) declarar qualquer associao, presente ou passada, direta ou indireta, da sua parte com o Solicitante para cuja avaliao ou certificao venha a ser designado; Elaborar as decises finais sobre a concesso, manuteno, extenso, suspenso e cancelamentos dos certificados; Estabelecer polticas e procedimentos para a soluo de reclamaes, apelaes e disputas recebidas de fornecedores ou de outras partes, sobre o tratamento dado certificao ou quaisquer outras matrias relacionadas; Supervisionar as finanas da SBIS e a garantia de existncia de estabilidade financeira e recursos necessrios para a operao do sistema de certificao, incluindo mecanismos adequados para cobrir responsabilidades legais decorrentes das suas operaes e/ou atividades de certificao; Realizar anlises crticas documentadas do sistema de certificao, em intervalos definidos, que sejam suficientemente breves para assegurar a contnua adequao e eficcia em satisfazer aos requisitos e s polticas.
CERTIFICAO 2011
7. Uso da Informao Relacionada com a Certificao

A certificao de S-RES foi concebida como uma maneira de garantir a legalidade da substituio do papel por sistemas computadorizados quando da captura, armazenamento, manuseio e transmisso de dados identificados em sade. Dentre os benefcios que a Certificao SBIS/CFM traz para o mercado de sade no Brasil, destacam-se: Conscientizar o mercado quanto importncia de funcionalidades bsicas em SRES; Diminuir o risco enfrentado por mdicos e instituies de sade na seleo e compra de S-RES; Redirecionar as prioridades de investimentos em informtica em sade, considerando aspectos relevantes para a melhoria da qualidade, segurana e eficincia de sistemas informatizados; Contribuir para a confidencialidade e privacidade das informaes de sade ao demandar que os S-RES atendam requisitos de segurana adequados, e garantir a legalidade das informaes armazenadas nestes sistemas pelo uso de tecnologia reconhecida no pas (ICP/Brasil); Aumentar o uso da informtica em sade no Brasil, e consequentemente melhorar a eficincia e a eficcia do sistema de sade brasileiro. A informao relacionada Certificao SBIS/CFM dever ser utilizada de acordo com as diretrizes apresentadas abaixo. Estas diretrizes devem ser observadas para a confeco de qualquer material de marketing (folhetos, folders, embalagens, manuais, brindes, etc.), incluindo todas as formas de comunicao com o mercado (mdia impressa, rdio, televiso, internet, etc.). No caso de press releases mencionando a SBIS, CFM ou a Certificao SBIS/CFM, obrigatria a consulta prvia SBIS, sendo necessria autorizao desta por escrito para a divulgao do material imprensa. Apenas os Clientes Certificados podero divulgar o respectivo S-RES como sendo certificado pela SBIS/CFM. Caso tal certificado seja revogado ou tenha sua validade expirada, os materiais de marketing que faam referncia ao mesmo no podero ser distribudos ou divulgados. As pessoas ou instituies que divulgarem informaes relacionadas com a Certificao SBIS/CFM de modo no previsto nestas diretrizes sero chamados a responder por tais atos. Caso trate-se de um S-RES certificado, o mesmo poder ter sua certificao revogada.
7.1. Referncias ao Estado de S-RES Certificado

Ao fazer qualquer referncia a um S-RES certificado pela SBIS/CFM, uma empresa ou instituio dever indicar claramente:
Verso 4.0
Dezembro/2011
Pgina: 44/101
CERTIFICAO 2011
O nome da empresa ou instituio O nome do produto (S-RES) certificado A verso do produto (S-RES) certificado O ano-base dos requisitos considerados na certificao (ano que aparece no selo de certificao) As categorias certificadas Desta forma, vlido o seguinte exemplo de citao: O (nome do S-RES e verso) desenvolvido pela (Nome da empresa) recebeu a Certificao SBIS/CFM na(s) categoria(s) (indicar categorias) com base nos requisitos de (ano-base requisitos)". Exemplo: O sistema YYY, verso 9.99 da ZZZ LTDA recebeu a Certificao SBIS/CFM na categoria Ambulatorial NGS1 com base nos requisitos de 2009. vetado ao Cliente Certificado usar a certificao de maneira a prejudicar a imagem da SBIS ou do CFM, assim como fazer qualquer declarao sobre a certificao que a SBIS ou o CFM possa considerar indevida ou no autorizada. A Certificao SBIS/CFM indica que um S-RES foi testado em relao a um conjunto de requisitos de segurana, estrutura, contedo e funcionalidade, bem como a aderncia ao padro TISS, e que durante a auditoria todos os requisitos especificados em cada categoria apontada no Selo de Certificao foram integralmente verificados. Estes requisitos para a certificao so um conjunto objetivo de critrios a serem considerados em um processo de avaliao de qualquer S-RES, facilitando o processo de busca e comparao entre sistemas disponveis no mercado, e diminuindo os riscos enfrentados por qualquer organizao interessada em adotar um novo S-RES.
Verso 4.0
Dezembro/2011
Pgina: 45/101
CERTIFICAO 2011
7.2. Uso do Selo de Certificao SBIS/CFM
Figura 3: Modelo ilustrativo do Selo de Certificao SBIS/CFM
Apenas os S-RES que tenham sido certificados pela SBIS/CFM tero o direito, no exclusivo, de utilizar o selo SBIS/CFM em seus respectivos manuais e materiais promocionais durante o perodo de vigncia do respectivo certificado (ver item 4.4. ). O selo dever ser utilizado de modo que fique legvel, mantendo as mesmas propores, cores e aparncia do selo original, no podendo ser de qualquer modo estilizado. O selo no poder, em nenhuma hiptese, ser apresentado com destaque maior do que o nome do S-RES ou da organizao responsvel por sua comercializao. Se o selo for utilizado em uma pgina web, necessrio identificar claramente dentre os produtos apresentados na pgina, quais so os S-RES e respectivas verses que esto de fato certificados e quais no esto. Alm disto, o selo dever fornecer um link vinculado sua imagem que, ao ser acionado (clicado), remeta o usurio pgina do stio da SBIS na internet onde sejam apresentadas as informaes do S-RES detentor de tal selo.
7.3. Referncias ao Processo de Certificao

A Certificao SBIS/CFM foi elaborada com base no estado da arte em certificao de sistemas de informao e as mais recentes normas e recomendaes sobre caractersticas e funcionalidades necessrias para constituir um S-RES. Foram consideradas inmeras referncias nacionais e internacionais, assim como a realidade brasileira, gerando como produto um conjunto de requisitos compatvel com o estgio atual do mercado brasileiro, assegurando nveis apropriados de segurana, confiabilidade e sofisticao. Todo o processo foi amplamente debatido com a sociedade, atravs de inmeras apresentaes em congressos e seminrios, alm de consultas e audincias pblicas realizadas especificamente para validar e aprimorar todas as etapas da certificao. Merece destaque o empenho do Grupo de Interesse em Certificao de Software e Padres da SBIS, composto por voluntrios que dedicaram inmeras horas para contribuir com a melhoria e aperfeioamento da certificao como um todo.
Verso 4.0
Dezembro/2011
Pgina: 46/101
CERTIFICAO 2011
A auditoria realizada em um S-RES ser feita com base em cenrios reais de utilizao de sistemas de registro eletrnico em sade, concebidos de modo a test-los de forma rigorosa, garantindo o nvel de funcionalidade e segurana demandados pela sociedade em geral. A Certificao SBIS/CFM contribui para o aumento na adoo das Tecnologias da Informao na rea da sade, facilitando a escolha de sistemas por instituies, mdicos e outros profissionais da sade que no so especialistas em TI. Ao mesmo tempo, indica as caractersticas e funcionalidades necessrias para a construo de sistemas teis e confiveis, ajudando os desenvolvedores de S-RES a evolurem na direo de sistemas cada vez mais efetivos, seguros e completos.
7.4. Reclamaes de Solicitantes e Clientes Certificados

Os Solicitantes e os Clientes Certificados devero: Manter os registros de todas as reclamaes de qualquer parte interessada trazidas ao seu conhecimento relativas conformidade do produto com os requisitos da Certificao SBIS/CFM e das aes subsequentes tomadas, que devero ser disponibilizados SBIS sempre que solicitados; Tomar aes apropriadas com respeito s reclamaes e quaisquer deficincias encontradas no produto ou servios que afetem o atendimento aos requisitos para certificao.
Verso 4.0
Dezembro/2011
Pgina: 47/101
CERTIFICAO 2011
8. Requisitos de Conformidade
O captulo 2.1. apresenta uma descrio resumida de cada um dos padres utilizados na elaborao dos requisitos. Vrios destes padres descrevem caractersticas e funcionalidades que idealmente devem estar presentes em um S-RES, independentemente do seu nicho de aplicao. As caractersticas e funcionalidades existentes em padres respeitados nacional ou internacionalmente podem e devem ser utilizadas como base para facilitar a avaliao de um S-RES, bem como para o planejamento de novas verses de S-RES ao longo do tempo (incorporando caractersticas e funcionalidades existentes no padro, mas ainda no disponveis no sistema). Do ponto de vista do processo de certificao, necessrio estabelecer critrios objetivos que possam ser utilizados de modo uniforme em cada auditoria, garantindo que os S-RES avaliados tenham as mesmas chances de serem ou no aprovados no processo, independentemente dos auditores envolvidos. Os requisitos obrigatrios da Certificao SBIS/CFM foram extrados dos padres acima mencionados. Destes padres foram selecionados os requisitos mais adequados realidade brasileira. Vrios requisitos obrigatrios no cenrio internacional foram definidos como recomendveis ou opcionais neste manual. Estes devem ser vistos como funcionalidades ou caractersticas desejveis para futuros desenvolvimentos. Os requisitos da certificao SBIS/CFM foram agrupados da seguinte forma: Requisitos de Segurana Requisitos de Estrutura, Contedo e Funcionalidades para S-RES Assistencial Requisitos para GED (para aplicao futura) Requisitos para TISS Os prximos captulos apresentam todos os requisitos que compem a Certificao SBIS/CFM, exibidos de forma tabular com as seguintes informaes: Coluna ID Requisito Referncia Conformidade Descrio Identificao do requisito, utilizando codificao padronizada Nome do requisito Padro ou norma de referncia que deu origem ao requisito Descrio do requisito, incluindo exemplos sempre que apropriado. Adicionalmente, pode incluir indicaes de como o requisito ser avaliado durante a auditoria M Mandatrio: Deve ser obrigatoriamente atendido pelo S-RES. R Recomendado: Requisito importante, porm ainda no obrigatrio. Possui alta probabilidade de tornar-se obrigatrio nas prximas verses deste manual. O Opcional: X No se aplica: Requisito relevante, porm de adoo opcional. Requisito no aplicvel situao apresentada.
Presena
Verso 4.0
Dezembro/2011
Pgina: 48/101
CERTIFICAO 2011
Os requisitos com a presena "R" (Recomendado) tratam-se, geralmente, de requisitos j obrigatrios nos padres de referncia, como os da CEE-IS/ABNT e do Comit ISO/TC 215. Porm, encontram-se aqui apenas como "recomendados" com o objetivo de preparar o mercado desenvolvedor e permitir que sejam implementados gradualmente. indicado, portanto, que os desenvolvedores adotem aes para atender estes requisitos nas prximas verses de seus S-RES. Nos requisitos do Nvel de Garantia de Segurana 1 (NGS1), a coluna "Presena" est dividida entre "Local" e "Remoto", refletindo como cada requisito deve ser considerado de acordo com o enquadramento do S-RES que est sendo auditado (ver item 8.1. ). O Manual Operacional de Ensaios e Anlises para Certificao de S-RES apresenta os scripts de teste para verificao da conformidade de todos os requisitos mandatrios (M). Os demais requisitos (recomendados e opcionais) somente tero scripts de teste divulgados a partir do momento em que tornarem-se mandatrios.
8.1. Introduo aos Requisitos

8.1.1. Segurana Os requisitos de segurana de um S-RES so fundamentais para garantir a privacidade, confidencialidade e integridade da informao identificada em sade. Uma das principais motivaes do CFM ao participar deste processo de certificao foi o de garantir o sigilo profissional, ou seja, que o acesso informao identificada s possa ser feito por pessoas autorizadas. Aos interessados em eliminar o registro das informaes em papel, obrigatria a conformidade ao Nvel de Garantia de Segurana 2 (NGS2), que contempla o uso de certificados digitais, conforme descrito abaixo. O Processo de Certificao SBIS/CFM classifica os S-RES, do ponto de vista de segurana da informao, em dois Nveis de Garantia de Segurana (NGS): NGS1 - categoria aplicvel a S-RES que no pretendem eliminar a impresso dos registros em papel. Assim, mantm a necessidade de impresso e aposio manuscrita da assinatura; NGS2 - categoria constituda por S-RES que viabilizam a eliminao do papel nos processos de registros de sade. Para isso, especifica a utilizao de certificados digitais ICP-Brasil para os processos de assinatura e autenticao. Para atingir o NGS2 necessrio que o S-RES atenda aos requisitos j descritos para o NGS1 e apresente ainda total conformidade com os requisitos especificados para o Nvel de Garantia 2. Recomenda-se, para ambos os nveis, a observncia das boas prticas para a gesto da segurana da informao descritas na norma NBR ISO/IEC 27.002[13] publicada pela ABNT, adaptadas s necessidades organizacionais de cada instalao do S-RES. Os S-RES auditados no NGS1 devem possuir todas as caractersticas necessrias para que uma percia tcnica possa tirar concluses satisfatrias sobre a validade ou no das informaes por ele armazenadas. As concluses da percia levaro em considerao
CERTIFICAO 2011
tambm a forma como o sistema est sendo utilizado, j que o S-RES, por si s, no ser suficiente para garantir a legitimidade de qualquer informao. Por exemplo, o S-RES possui mecanismos para validar seus usurios atravs de identificao e senha, mas este mecanismo se torna irrelevante na medida em que todos os usurios do sistema usam a mesma identificao e senha para acessar o sistema. J os S-RES classificados como NGS2 estaro, a princpio, autorizados a substituir o papel, em conformidade com a ICP-Brasil, desde que atendam integralmente aos requisitos obrigatrios de estrutura, contedo e funcionalidades (ver item 8.1.2). Recomenda-se que as instituies que queiram substituir o papel faam tambm a certificao de aderncia Norma ABNT NBR ISO/IEC 27.001:2006[20] junto a Organismos Acreditados de Certificao. O uso efetivo de certificados digitais, em conjunto com a observncia dos demais requisitos de segurana, depender tambm da forma como o S-RES for utilizado por seus usurios. Para efeito da certificao SBIS/CFM, os S-RES foram classificados em: Acesso Local - todo S-RES instalado num nico computador, com acesso ao sistema apenas neste equipamento. Alm disso, um S-RES de acesso local no dever permitir o acesso simultneo por mais de um usurio. Acesso Remoto - todo S-RES que permite o acesso simultneo ao sistema, no computador onde o S-RES est instalado, ou em computador remoto, atravs de algum tipo de conexo (rede local, conexo sem-fio, internet, etc.). 8.1.2. Estrutura, Contedo e Funcionalidades para S-RES Assistencial Conforme j exposto no item 3.1. , a categoria Assistencial aplica-se a qualquer S-RES voltado assistncia sade de indivduos. Adicionalmente, um S-RES Assistencial poder ser complementado pelo bloco de requisitos para atendimento Ambulatorial. Sistemas voltados a outros tipos de atendimento assistencial, como sistemas de informao hospitalar, pronto-atendimento e sade ocupacional sero gradualmente contemplados nesta categoria em futuras verses deste manual. Neste conjunto de requisitos, a coluna "Presena" est representada por duas colunas: G = Geral: aplicvel a todo e qualquer S-RES Assistencial; A = Ambulatorial: aplicvel exclusivamente a S-RES Ambulatorial. 8.1.3. GED Os requisitos para sistemas de GED (Gerenciamento Eletrnico de Documentos) contemplam as necessidades bsicas a este tipo de recurso para a digitalizao, guarda e manuseio dos pronturios em meio eletrnico, atendendo fundamentalmente a Resoluo CFM N 1821/2007. Encontra-se publicado nesta verso do manual somente um conjunto mnimo preliminar de requisitos para referncia, os quais sero expandidos quando esta categoria tornar-se passvel de certificao.
Verso 4.0
Dezembro/2011
Pgina: 50/101
CERTIFICAO 2011
8.1.4. TISS Os requisitos especficos para verificar a aderncia ao padro TISS refletem o contedo da RN 153, de 29/05/2007, da ANS. Os requisitos foram agrupados em contedo, estrutura e comunicao de dados, para que assim um sistema possa ser considerado em conformidade com o TISS. Alm disto, preciso distinguir se o S-RES tem como foco a automao de operadoras de planos de sade (mdico e/ou odontolgico) ou a automao de prestadores de servios de sade (categorias 1, 2 e 3). Esta subdiviso respeitou os agrupamentos adotados pela ANS, conforme apresentado no item 3.1. Cabe ainda lembrar que na definio dos requisitos de contedo e estrutura para S-RES utilizados por Prestadores pertencentes ao Grupo 1, foi ainda necessrio distinguir entre S-RES para SADTs isolados, e S-RES para todos os demais tipos de instituio contidos neste grupo. Os conjuntos de requisitos TISS devem ser atendidos conforme o seguinte esquema (Tabela 2), considerando-se o tipo do servio prestado e as categorias descritas no item 3.1. : Tabela 2 - Esquema de conjuntos de requisitos TISS
A Prestador Grupo 1 Grupo 2 Grupo 3 TISS.01 TISS.02 TISS.03 B Comunicao Lado Prestador TISS.06 TISS.07 C Comunicao Lado Operadora TISS.08 TISS.09 D Operadora TISS.04 TISS.05
Para facilitar o entendimento do esquema acima, podem ser consideradas as seguintes possibilidades: Sistemas voltados ao uso dos Prestadores devem atender os requisitos da coluna A; Sistemas voltados ao uso dos Prestadores e que tambm efetuam a comunicao com as Operadoras, devem atender os requisitos das colunas A e B; Sistemas voltados ao uso das Operadoras devem atender os requisitos da coluna D; Sistemas voltados ao uso das Operadoras e que tambm efetuam a comunicao com os Prestadores, devem atender os requisitos das colunas C e D; Sistemas voltados apenas comunicao entre Prestadores e Operadoras (caso tpico das empresas de conectividade) devem atender os requisitos das colunas B e C. Delimitadas as colunas aplicveis, deve-se ento cruz-las com as devidas linhas da tabela, conforme os grupos definidos pela ANS (ver Tabela 1), para se obter os conjuntos de requisitos a serem atendidos para a certificao.
Verso 4.0
Dezembro/2011
Pgina: 51/101
CERTIFICAO 2011
8.2. Requisitos do Nvel de Garantia de Segurana 1 (NGS1)

NGS1.01 - Controle de verso do software
ID NGS1.01.01 REQUISITO Verso software REFERNCIA HL7 ERH-S FM IN4.2 ABNT NBR ISO/IEC 27001:2006 A.12.5 HL7 ERH-S FM IN5.2 ABNT NBR ISO/IEC 27001:2006 A.12.5 HL7 ERH-S FM IN4.2 HL7 ERH-S FM IN4.2 HL7 ERH-S FM IN5.2 CONFORMIDADE Todos os componentes do S-RES devem possuir verso do software associada a uma nica referncia (nome, fornecedor e nmero de verso) e no ambgua. O S-RES deve possuir funcionalidade que permita a visualizao da verso de seus componentes de software por parte do usurio. Deve ser possvel, a partir do nmero de verso de cada componente do S-RES, resgatar os cdigos-fonte correspondentes, possibilitando a rastreabilidade dos arquivos fontes que o geraram. Manter histrico descritivo de todas as alteraes realizadas em cada verso, contendo a data e o responsvel pela alterao. Ter um repositrio estruturado com todas as verses dos componentes (executveis e cdigos-fonte) que foram utilizadas em produo em algum momento, permitindo voltar verses anteriores em casos de atualizaes mal sucedidas. Para cada verso de cada componente, indicar no manual de instalao e requisitos de sistema quais so as dependncias com outros componentes do S-RES ou do ambiente, e os requisitos de operao. Por exemplo, informar que uma determinada verso de componente compatvel com o padro HL7 verso 2.x (requisito de operao), que roda em um determinado sistema operacional (requisito de ambiente), que depende de um especfico sistema de diretrio para autenticao de usurios.
Local Remoto
NGS1.01.02
Cdigo fonte
R R R
R R R
NGS1.01.03 NGS1.01.04
Histrico de alterao Repositrio de verses Dependncias dos componentes
NGS1.01.05
NGS1.02 - Identificao e autenticao de usurio

ID NGS1.02.01 REQUISITO Identificao e autenticao do usurio REFERNCIA HL7 ERH-S FM IN1.1; ABNT NBR ISO/IEC 27001:2006 A.11.5.2 CONFORMIDADE Todo usurio deve ser identificado e autenticado antes de qualquer acesso a dados do S-RES.
Local Remoto
Verso 4.0
Dezembro/2011
Pgina: 52/101
CERTIFICAO 2011
ID NGS1.02.02 REQUISITO Mtodo de autenticao REFERNCIA HL7 ERH-S FM IN1.1 ABNT NBR ISO/IEC 27001:2006 A.11.5.1 CONFORMIDADE Utilizar, no mnimo, um dos seguintes mtodos de autenticao: Usurio e senha; Certificado digital; One Time Password (OTP); e/ou Biometria. Nota: Outros mtodos de autenticao devero ser avaliados individualmente. Para isso, devero apresentar documentao demonstrando o nvel segurana, sendo minimamente necessrio nvel equivalente ou maior em relao ao mecanismo baseado em usurio e senha. Todos os dados ou parmetros utilizados no processo de autenticao de usurio devem ser armazenados de forma protegida, de acordo com o NGS1.07.09. Exemplos: Mtodo: usurio e senha: a) A senha deve ser armazenada de forma codificada b) As codificaes das senhas devem ser protegidas contra acesso no autorizado. c) Recomenda-se a implementao de tcnicas de SALT. Mtodo: On time password (OTP) a) As sementes de gerao dos valores numricos devem ser protegidas contra acesso no autorizado. Mtodo: Biometria a) Os templates biomtricos dos usurios devem ser protegidos contra acesso no autorizado. b) As amostras biomtricas coletadas e transmitidas durante o processo de autenticao devem ser protegidas contra acesso no autorizado. M M
Local Remoto
NGS1.02.03
Proteo dos parmetros de autenticao
SBIS
Verso 4.0
Dezembro/2011
Pgina: 53/101
CERTIFICAO 2011
ID NGS1.02.04 REQUISITO Segurana de senhas REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.11.5.3 CONFORMIDADE Condio: Utilizao de autenticao baseada em usurio/senha. Utilizar os seguintes controles de segurana: Qualidade da senha: verificar a qualidade da senha no momento de sua definio pelo usurio, obrigando a utilizao de, no mnimo, 8 caracteres dos quais, no mnimo, 1 caractere deve ser no alfabtico; Periodicidade de troca de senhas: o S-RES deve ter funcionalidade de obrigar a troca de senhas pelos usurios, em um perodo mximo configurvel; Armazenar a senha de forma codificada. Como exemplo, armazenar somente o cdigo hash. O S-RES deve ter mecanismos para bloquear o usurio aps um nmero mximo configurvel de tentativas invlidas de login. Todo usurio deve possuir um identificador no sistema que, eventualmente em conjunto com outros identificadores, o identifique univocamente, e possa ser utilizado nos processos de autenticao e auditoria. Para isso, no momento do cadastro, o sistema deve verificar se existe duplicidade, verificando a pr-existncia dos principais identificadores (ex: nome, RG, CPF, nmero profissional).
Local Remoto
NGS1.02.05
NGS1.02.06
Controle de tentativas de login Identidade nica do usurio
ABNT NBR ISO/IEC 27001:2006 A.11.5.1 SBIS
NGS1.03 - Controle de sesso de usurio

ID NGS1.03.01 REQUISITO Encerramento por inatividade Segurana contra roubo de sesso de usurio REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.11.5.5 ABNT NBR ISO/IEC 27001:2006 A.10.8 CONFORMIDADE A sesso de usurio deve ser encerrada aps perodo de inatividade. O perodo mximo de inatividade deve ser configurvel no sistema. A sesso de comunicao deve possuir controles de segurana a fim de no permitir o roubo da sesso do usurio. Nota:O roubo de sesso pode ser possvel inclusive em sesses protegidas (ex. SSL/TLS). Por exemplo, se o controle de sesso for realizado atravs de cookie na URL, em determinadas situaes, a URL da sesso de um usurio pode ser obtida e utilizada por outro usurio, personificando o usurio anterior. X M
Local Remoto
NGS1.03.02
Verso 4.0
Dezembro/2011
Pgina: 54/101
CERTIFICAO 2011
NGS1.04 - Autorizao e controle de acesso

ID NGS1.04.01 REQUISITO Impedir acesso por entidades no autorizadas Mecanismo de controle de acesso ao RES Gerenciamento de usurios REFERNCIA HL7 ERH-S FM IN1.2 ABNT NBR ISO/IEC 27001:2006 A.11.6.1 HL7 ERH-S FM IN1.2 HL7 ERH-S FM IN1.2 ISO/TS 18308:2004(E) PRS3.2 SBIS CONFORMIDADE Impedir acesso ao RES, S-RES e SGBD por entidades no autenticadas e no autorizadas.
Local Remoto
NGS1.04.02
NGS1.04.03
Garantir que o acesso aos dados do S-RES seja somente possvel por meio de canais de interao pr-definidos (web, console local, interface entre aplicativos), com atuao obrigatria de mecanismos de controle de acesso. Permitir o gerenciamento de usurios (criao, inativao e modificao), gerenciamento de papis (criao, inativao e modificao) e gerenciamento de grupos (criao, Inativao e modificao). Possuir funcionalidades que permitam, no mnimo, as seguintes atividades: Administrador: configurao dos parmetros de TI do S-RES; Operador de cpias de segurana: realizao e restaurao de cpias de segurana; Operador: iniciao e encerramento do sistema, monitorao do sistema. Gestor de usurios: gerenciamento de usurios do sistema; gerenciamento dos perfis de usurios do sistema; gerenciamento de permisses aos servios do sistema. Auditor: auditoria dos registros do sistema. Disponibilizar mecanismos necessrios para que seja possvel implementar a poltica de controle de acesso atravs da configurao dos perfis de acesso, considerando os papis de usurio, dos grupos e das operaes que podem ser realizadas, inclusive a diferenciao de operaes de consulta e de incluso/alterao. Considerar que um mesmo usurio pode possuir mais de um papel.
NGS1.04.04
Papis relacionados TI
NGS1.04.05
Configurao de controle de acesso
NGS1.04.06
Concesso de autorizaes
HL7 ERH-S FM IN1.2; ABNT NBR ISO/IEC 27001:2006 A.11.6 ISO/TS 18308:2004(E) PRS3.3 HL7 ERH-S FM IN1.2
Garantir que haja ao menos um usurio responsvel pela concesso de autorizao e pelo controle de acesso aos recursos de acordo com o escopo de atuao, a poltica organizacional e legislao. Nota: Preferencialmente um usurio dedicado a esta atividade.
Verso 4.0
Dezembro/2011
Pgina: 55/101
CERTIFICAO 2011
ID NGS1.04.07 REQUISITO Delegao de poder REFERNCIA SBIS CONFORMIDADE Condio: Inteno de fornecer suporte delegao de poder. Sendo o atribuidor aquele responsvel por autorizar a delegao de poder e o delegado aquele quem recebe a delegao de poder, ento: O atribuidor deve ser previamente autorizado para conceder tais autorizaes; A delegao de poder deve ser registrada no sistema; A delegao de poder deve informar: O atribuidor; O delegado; O motivo O instante da concesso O perodo de vigncia Nota: Como exemplo de delegao pode-se citar um mdico que delega poder de entrada de informaes ao RES de um paciente para uma enfermeira. Garantir que o paciente possa ter acesso a todas as suas informaes pessoais e clnicas armazenadas no S-RES. Caso o S-RES no permita acesso direto do prprio paciente ao S-RES, deve existir um papel de usurio que permita realizar esta atividade em nome do paciente. O paciente dever poder levar consigo estas informaes em formato eletrnico ou impresso. O sistema dever disponibilizar uma interface para impresso de declarao do usurio de que est recebendo suas informaes. M Tanto no caso do paciente acessar diretamente as informaes, quanto no caso da existncia de um responsvel direto pelo acesso a estas informaes, as atividades de exportao de dados e impresso da declarao de recebimento devem ser registrada com, no mnimo, as seguintes informaes: Usurio que executou a atividade Nome completo do paciente Local e instante da operao Permitir que o paciente possa adicionar restries de acesso a uma determinada parte ou totalidade de seu RES. M
Local Remoto
NGS1.04.08
Acesso ao RES pelo paciente.
HL7 ERH-S FM IN1.4
NGS1.04.09
Restries de acesso ao RES adicionadas pelo paciente
HL7 ERH-S FM IN1.4
Verso 4.0
Dezembro/2011
Pgina: 56/101
CERTIFICAO 2011
NGS1.05 - Disponibilidade do RES

ID NGS1.05.01 REQUISITO Cpia de Segurana REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.10.5 CONFORMIDADE A cpia de segurana deve atender aos seguintes requisitos: exportar os atributos de segurana em conjunto com os dados; garantir na restaurao de uma cpia de segurana e arquivamento que os atributos de segurana e suas associaes sejam automaticamente recuperados, sem a interveno do administrador; assegurar que somente o usurio com papel de operador de backup possa exportar e restaurar uma cpia de segurana, garantindo que este usurio no tenha acesso direto s informaes. Deve haver controle que garanta a verificao da integridade das informaes na gerao e na restaurao da cpia de segurana.
Local Remoto
NGS1.05.02
Verificao de integridade na recuperao de dados
ABNT NBR ISO/IEC 27001:2006 A.10.5
NGS1.06 - Comunicao remota

ID NGS1.06.01 REQUISITO Segurana da comunicao entre cliente e servidor REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.10.9.2 CONFORMIDADE A sesso de comunicao entre o componente cliente (do lado do usurio) e o componente servidor deve oferecer os seguintes servios de segurana: autenticao do servidor, integridade dos dados e confidencialidade dos dados. Nota: Como exemplo, pode-se citar a utilizao de protocolos como HTTPS (HTTP + SSL/TLS) e IPSEC. Em S-RES de acesso remoto, o acesso ao sistema deve ser restrito somente aos clientes previamente autorizados. Este controle de acesso pode ser realizado, por exemplo, pelo endereo IP do cliente. Em S-RES de acesso remoto os dados transmitidos ao componente cliente (lado do usurio) devem ser somente aqueles que sero apresentados ao usurio. Ou seja, todo e qualquer processamento relacionado seleo de dados deve ser realizado no lado servidor. Em S-RES composto por diversos componentes distribudos (localizados em computadores diferentes), a comunicao entre tais componentes (como, por exemplo, com o banco de dados) deve oferecer os seguintes servios de segurana: autenticao de parceiro (cliente e servidor), integridade dos dados e confidencialidade dos dados.
Local Remoto
NGS1.06.02
NGS1.06.03
Controle de acesso do cliente ao servidor Restrio de dados transmitidos Segurana da comunicao entre componentes
ABNT NBR ISO/IEC 27001:2006 A.10.9.2 ABNT NBR ISO/IEC 27001:2006 A.10.9.2 ABNT NBR ISO/IEC 27001:2006 A.10.9.2
NGS1.06.04
Verso 4.0
Dezembro/2011
Pgina: 57/101
CERTIFICAO 2011
ID NGS1.06.05 REQUISITO Controle de acesso entre componentes Comunicao entre S-RES. REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.10.9.2 HL7 ERH-S FM IN1.7 CONFORMIDADE Em S-RES composto por diversos componentes distribudos (localizados em computadores diferentes), na comunicao entre tais componentes (como, por exemplo, com o banco de dados), o acesso ao componente deve ser restrito somente aos parceiros (componentes) previamente autorizados. O canal de comunicao entre S-RES deve oferecer os seguintes servios de segurana: autenticao de parceiro (cliente e servidor) utilizando certificados digitais, integridade dos dados e confidencialidade dos dados.
Local Remoto
NGS1.06.06
NGS1.07 - Segurana de Dados

ID NGS1.07.01 REQUISITO Importao de dados REFERNCIA HL7 ERH-S FM IN1.6 CONFORMIDADE Condio: possibilidade de importao de dados de outros S-RES. Os dados importados de outro S-RES devem estar relacionados a um paciente e um mdico responsvel, local e momento (data e hora) da importao e profissional usurio do sistema que realiza a importao. No permitir excluso ou alterao de dados j existentes no RES. Aes de correo devem preservar os dados antigos. Devem existir controles para verificao de integridade dos dados RES de forma a prevenir que qualquer ao do usurio ou falha do sistema possa originar uma inconsistncia nos dados. O RES deve ser armazenado e protegido por um Sistema de Gerenciamento de Banco de Dados. O SGBD no deve permitir acesso direto pelos usurios do S-RES. O acesso de usurios ao RES deve ser permitido somente por intermdio do componente de autenticao e controle de acesso do S-RES, nunca diretamente pelo SGBD, exceto nas atividades de cpia de segurana. Os dados de identificao do paciente devem ser criptografados a fim de impedir a reconstruo do seu RES por meio de acessos no autorizados base de dados do SRES ou cpia de segurana (gerado na salvaguarda dos dados). A troca de dados entre S-RES deve possuir controles de confirmao de entrega/recebimento dos dados. Nota: Como exemplo podemos citar o TISS.
Local Remoto
NGS1.07.03
NGS1.07.04
NGS1.07.05 NGS1.07.06
Impedir excluso e alterao Verificao de integridade dos dados Utilizao de SGBD Impedir acesso direto ao SGBD Dados de identificao do paciente criptografados Confirmao de entrega
SBIS SBIS SBIS SBIS
R M
R M
NGS1.07.07
SBIS
NGS1.07.08
SBIS
Verso 4.0
Dezembro/2011
Pgina: 58/101
CERTIFICAO 2011
ID NGS1.07.09 NGS1.07.10 REQUISITO Algoritmos criptogrficos Visualizao do histrico de alteraes REFERNCIA ICP-Brasil SBIS CONFORMIDADE No podem ser utilizados mecanismos ou algoritmos de desenvolvimento prprio. Somente algoritmos especificados no DOC-ICP.01.01 devem ser utilizados. Possuir funcionalidade de visualizao do histrico de alteraes dos registros.
Local Remoto
M M
M M
NGS1.08 Auditoria
ID NGS1.08.01 REQUISITO Auditoria contnua REFERNCIA ISO/TS 18308:2004(E) PRS5.1 ABNT NBR ISO/IEC 27001:2006 A.10.10.3 ABNT NBR ISO/IEC 27001:2006 A.10.10.1 CONFORMIDADE Gerar registros de auditoria de forma contnua, no permitindo sua desativao. O SRES deve gerar alerta quando o espao para armazenamento de registros de auditoria atingir um limiar de ocupao a fim de possibilitar aos operadores a realizao de medidas preventivas. Os dados das trilhas de auditoria devem ser protegidos contra acesso no autorizado. Alm disso, o S-RES deve impedir a alterao das trilhas de auditoria. Restringir o acesso s trilhas de auditoria somente aos usurios autorizados. M M
Local Remoto
NGS1.08.02
NGS1.08.03
Integridade das trilhas de auditoria Acesso s trilhas de auditoria
Verso 4.0
Dezembro/2011
Pgina: 59/101
CERTIFICAO 2011
ID NGS1.08.04 REQUISITO Eventos e informaes registradas REFERNCIA ABNT NBR ISO/IEC 27001:2006 A.10.10.1 ISO/TS 18308:2004(E) PRS5.3 CONFORMIDADE As trilhas de auditoria devem conter informaes relacionadas minimamente aos seguintes eventos: Criao, acesso e atualizao ao RES (exibio em tela, impresso ou download) Acesso de emergncia a informaes protegidas por instruo do paciente Pesquisa em dados do RES Exportao, incluindo transmisso e troca de dados, e impresso de RES Atividades de gerenciamento de usurios, papis e grupos Acesso aos registros de auditoria Tambem recomendado registrar os seguintes eventos: Incio e parada do sistema Tentativas de autenticao de usurio e seus resultados, com ou sem sucesso Finalizao, expirao e travamento de sesso de usurio Falhas de autenticao em troca de dados Gerao de assinatura digital Eventos de administrao de segurana, incluindo troca de senhascpia de segurana e restaurano Acessos base de dados Com relao aos eventos citados acima, as trilhas de auditoria devem possuir, no mnimo, as seguintes informaes para cada evento: Identidade do usurio Identidade do autorizador, em caso de ser diferente do usurio O papel que o usurio est exercendo, no caso de haver mais de um papel para o usurio em questo A organizao do usurio, no caso do usurio possuir registro no sistema de relao com mais de uma organizao A justificativa, em caso de acesso de emergncia Data/hora Dispositivo do usurio ou ponto de acesso Possuir uma interface de visualizao dos registros de auditoria, que minimamente exiba os registros em ordem cronolgica. Tal interface deve possuir acesso restrito a usurios autorizados.
Local Remoto
NGS1.08.05
Interface de visualizao dos registros de auditoria
SBIS
Verso 4.0
Dezembro/2011
Pgina: 60/101
CERTIFICAO 2011
ID NGS1.08.06 REQUISITO Exportao e visualizao dos registros de auditoria REFERNCIA SBIS CONFORMIDADE Possuir funcionalidade de exportao dos dados de auditoria, de tal forma que os mesmos possam ser visualizados em aplicativo externo. Tal aplicativo pode prover funcionalidades de busca e ordenao para facilitar sua manipulao.
Local Remoto
NGS1.09 - Documentao
ID NGS1.09.01 REQUISITO Documentao REFERNCIA SBIS CONFORMIDADE Possuir no(s) manual(is) as seguintes informaes: Viso geral do S-RES, incluindo formas de operao, requisitos do ambiente, papis de usurios relevantes (por exemplo: administrador, operador, operador de backup, etc); Instalao e configurao do S-RES; Instalao e configurao dos componentes complementares (ex: SGBD,sistema operacional, etc); Recomendao sobre a forma de configurao segura do S-RES e componentes complementares (ex: configurao da quantidade de tentativas sem sucesso de login deve ser 5) e forma de operao segura do S-RES. Todos os manuais devem indicar claramente, no incio do documento, a verso a que se referem.
Local Remoto
NGS1.09.02
NGS1.09.03 NGS1.09.04
Referncia verso do software na documentao Alterao Documentao Operador de backup
SBIS
SBIS ABNT NBR ISO/IEC 27001:2006
NGS1.09.05
NGS1.09.06
Restrio de acesso a entidades no autenticadas e autorizadas Verificao da integridade dos dados
SBIS
Informar e manter histrico de todas as alteraes nos manuais, para que o usurio possa consultar todas as alteraes realizadas at a ltima verso disponvel. O manual de instalao deve informar como realizar a configurao de um usurio com perfil de operador de backup no SGBD. Alm disso, manual de instalao deve informar como configurar o SGBD de forma que as atividades de exportao e restaurao de uma cpia de segurana dos dados possa ser realizada somente pelo usurio com papel de operador de backup. O manual de instalao deve informar como configurar o SGBD de forma a impedir o acesso de entidades (usurios ou outros sistemas) no autenticadas e no autorizadas pelo componente de autenticao e controle de acesso do S-RES.
SBIS
O manual de instalao ou operao deve informar que, quando houver gerao e restaurao de cpia de segurana, o sistema deve realizar a verificao da integridade dos dados. Dezembro/2011
Verso 4.0
Pgina: 61/101
CERTIFICAO 2011
ID NGS1.09.07 REQUISITO Configurao da Segurana da comunicao entre componentes Sincronizao de relgio REFERNCIA SBIS CONFORMIDADE O manual de instalao e operao deve informar que a comunicao entre os componentes de um S-RES distribudo deve implementar os servios de segurana de autenticao de parceiro (cliente e servidor), integridade dos dados e confidencialidade dos dados, e dar orientaes para tal configurao.
Local Remoto
NGS1.09.08
ABNT NBR ISO/IEC 27001:2006 10.10
O manual de administrao e operao deve informar ao administrador que os componentes do S-RES devem estar com seus relgios sincronizados e referenciados a uma nica e mais confivel fonte temporal. O manual deve tambm informar as formas para que a sincronizao possa ser configurada no ambiente.
NGS1.10 - Tempo
ID NGS1.10.1 REQUISITO Uniformidade da representao de tempo para controle e auditoria Formato da representao de tempo em registros eletrnicos exportados Fonte temporal REFERNCIA SBIS CONFORMIDADE Todo registro de tempo para fins de controle e auditoria deve estar no mesmo formato em todo o S-RES.
Local Remoto
M ISO 8601:2004 RFC 3339 RFC 3161
NGS1.10.2
NGS1.10.3
ABNT NBR ISO/IEC 27001:2006
Todo registro de tempo presente em registros eletrnicos exportados deve ser representado no formato da ISO 8601:2004 e RFC 3339, incluindo o horrio local e sua diferena para o UTC. Exceo somente do carimbo de tempo, que segue RFC 3161. Exemplo: evento no dia 12 de abril de 1985, ocorrido s 10 horas, 15 minutos e 30 segundos no horrio de Braslia, fora do horrio de vero, que corresponde a 3 horas atrs do UTC (Coordinated Universal Time). Sintaxe: 1985-04-12T10:15:30-03:00 Todo registro de tempo para fins de controle e auditoria em todo o S-RES deve ser baseado em uma nica e mais confivel fonte temporal, que no tenha acesso de configurao pelo usurio a no ser pelo administrador do sistema.
NGS1.11 Notificao de Ocorrncias

ID NGS1.11.01 REQUISITO Interface para notificao REFERNCIA ABNT NBR ISO/IEC 27002:2006 13.1.1 CONFORMIDADE Possuir uma interface para que usurios possam notificar ocorrncia de incidentes de segurana, problemas, melhoramentos ou sugestes, assim como de visualizar as notificaes j realizadas. Dezembro/2011
Local Remoto
Verso 4.0
Pgina: 62/101
CERTIFICAO 2011
NGS1.12 Autenticao de usurio utilizando certificado digital

ID NGS1.12.01 REQUISITO Verificao do propsito do certificado digital para autenticao Irretratabilidade da autenticao realizada REFERNCIA ICP-Brasil CONFORMIDADE Condio: S-RES que utiliza certificado digital para autenticao. Verificar, antes da realizao de uma autenticao, se o certificado digital a ser utilizado possui propsito de uso de chave (KeyPuposeID) para autenticao de cliente definido no extended key usage como client authentication (1.3.6.1.5.5.7.3.2). Condio: S-RES que utiliza certificado digital para autenticao. A autenticao realizada por meio de certificado digital deve gerar prova de forma a garantir a irretratabilidade da autenticao realizada. O elemento de prova deve ser armazenado em registros de segurana do sistema, em formato compatvel com o disposto na DOC-ICP-15, da ICP-Brasil, que trata sobre a normalizao de assinatura digital, para o padro de assinatura digital com referncias para validao (AD-RV), desde que os objetos referenciados estejam no domnio da instituio, ou padro de assinatura digital com referncias completas (AD-RC). Condio: S-RES que utiliza certificado digital para autenticao. Todos os usurios que realizam assinatura digital ICP-Brasil devem se autenticar com seus certificados digitais ICP-Brasil. ICP-Brasil
Local Remoto
NGS1.12.02
SBIS
NGS1.12.03
NGS1.12.04
Tipos de usurios para autenticao com certificao digital Homologao ICP-Brasil
SBIS
Condio: S-RES que utiliza certificado digital para autenticao. Os componentes de um S-RES que utilizam certificao digital para autenticao devem ser homologados pela ICP-Brasil. R R
NGS1.13 Privacidade
ID NGS1.13.01 REQUISITO Exibio de mensagem de cincia de uso REFERNCIA SBIS CONFORMIDADE Exibir imediatamente aps o primeiro acesso do usurio no sistema no dia, uma mensagem de confidencialidade e uso apropriado das informaes de sade identificadas acessveis pelo sistema, assim como as consequncias do uso inadequado.
Local Remoto
Verso 4.0
Dezembro/2011
Pgina: 63/101
CERTIFICAO 2011
NGS1.13.02 Consentimento do paciente Associao do consentimento informao de sade Acesso de emergncia Propsito de uso Restrio de exportao por propsito de uso Restries para transmisso e exportao de RES SBIS SBIS Registrar o consentimento do paciente referente ao propsito de uso da informao clnica, assim como de quem poder ter acesso a tal informao, incluindo a possibilidade de acesso de emergncia. Em situaes em que informaes pessoais de sade, em formato eletrnico, forem transmitidas para fora do domnio da instituio, as informaes de consentimento devero acompanhar os dados, de forma a permitir que o sistema receptor respeite as diretivas do consentimento. Permitir o acesso de emergncia somente a pessoas autorizadas, e seu uso deve ser registrado nas informaes de auditoria. Registrar o propsito de uso das informaes pessoais de sade, e utilizar tais informaes somente para os propsitos consentidos. A exportao ou impresso de informaes pessoais de sade devem respeitar o propsito de uso e consentimento.
NGS1.13.03
NGS1.13.04 NGS1.13.05 NGS1.13.06
SBIS SBIS SBIS
R R
R R
NGS1.13.07
SBIS
A transmisso e exportao de RES de um S-RES, incluindo impresso, deve ser permitida somente nas seguintes situaes: para transmisso para um outro sistema; cpia de segurana; para o paciente, a pedido do paciente, podendo ser realizada de forma eletrnica ou impressa; em processos nos quais seja necessria a impresso de parte ou todo do RES; para atendimento ao requisito legal de manter documentao em papel atravs da impresso. Todas as atividades de transmisso e exportao de RES devem ser registradas.
Verso 4.0
Dezembro/2011
Pgina: 64/101
CERTIFICAO 2011
8.3. Requisitos do Nvel de Garantia de Segurana 2 (NGS2)

NGS2.01 Certificao Digital
ID NGS2.01.01 NGS2.01.02 NGS2.01.03 REQUISITO Certificado digital Atendimento ICP-Brasil Validao do certificado digital antes do uso Configurao de certificados raiz Segurana da chave privada de signatrios REFERNCIA ICP-Brasil; Resoluo CFM ICP-Brasil; Resoluo CFM ICP-Brasil CONFORMIDADE Utilizar certificado digital emitido por AC credenciada ICP-Brasil para o processo de assinatura digital de documentos eletrnicos no S-RES. Atender s normas de uso definidas pela ICP-Brasil na utilizao de certificados digitais. Antes da utilizao de um certificado digital deve ser realizada sua validao. A validao do certificado digital envolve a validao criptogrfica, verificao de validade, inclusive dos certificados da sua cadeia de certificao. A verificao da revogao do certificado e sua cadeia de certificao deve ser realizada antes de sua utilizao ou imediatamente aps sua utilizao. Permitir a configurao do conjunto de certificados raiz de confiana. Deve, tambm, possuir controles de segurana que garantam a integridade e evite alterao no autorizada da relao de certificados raiz de confiana. As chaves privadas dos signatrios (pessoas envolvidas no processo de assinatura) devem ser protegidas por dispositivos criptogrficos, os quais devem estar homologados pela ICPBrasil / LEA, NIST ou Common Criteria.
PRESENA
M M
NGS2.01.04
ICP-Brasil SBIS
NGS2.01.05
NGS2.02 Assinatura Digital

ID NGS2.02.01 REQUISITO Formato de assinatura para guarda no domnio da instituio Verificao do propsito do certificado digital para assinatura digital REFERNCIA ICP-Brasil CONFORMIDADE Seguir o disposto na DOC-ICP-15, da ICP-Brasil, que trata sobre a normalizao de assinatura digital, para o padro de assinatura digital com referncias para validao (ADRV), desde que os objetos referenciados estejam no domnio da instituio, ou padro de assinatura digital com referncias completas (AD-RC). Verificar, antes da realizao de uma assinatura digital, se o certificado digital a ser utilizado possui o atributo referente ao propsito de uso para assinatura digital no campo key usage definido como Digital Signature e NonRepudiation..
PRESENA
NGS2.02.02
X.509
Verso 4.0
Dezembro/2011
Pgina: 65/101
CERTIFICAO 2011
ID NGS2.02.03 REQUISITO Referncia temporal para revogao REFERNCIA RFC 3161 ETSI TS 101 733 DOC-ICP-11 DOC-ICP-12 DOC-ICP-13 CONFORMIDADE Toda assinatura digital ICP-Brasil realizada no mbito do S-RES deve incluir um carimbo de tempo compatvel com RFC 3161 a ser utilizado como referncia temporal nas atividades de verificao de revogao. O carimbo de tempo deve ser anexado to logo possvel aps a assinatura. O certificado de assinatura de carimbo de tempo precisa possuir o propsito de uso de chave (KeyPuposeID) para assinatura de carimbo de tempo definido no extended key usage como timestamping (1.3.6.1.5.5.7.3.8). Recomenda-se que a autoridade de carimbo de tempo esteja homologada na ICP-Brasil; ou que a autoridade de carimbo de tempo seja auditada pelo Observatrio Nacional. Caso contrrio, obrigatrio que a autoridade de carimbo de tempo integre o S-RES e seja sincronizada via protocolo NTP com o Observatrio Nacional, com periodicidade de sincronizao mnima de 60 minutos. Ser capaz de validar documentos com mais de uma assinatura digital. Isto representa uma situao de co-assinatura. O processo de validao de assinatura digital, alm da validao da integridade, deve seguir as mesmas caractersticas descritas no requisito NGS2.01.03 sobre a validao dos certificados digitais dos signatrios. Realizar a validao da assinatura antes da aceitao formal da mesma no sistema, ou seja, imediatamente depois da assinatura e no momento da importao de um registro assinado, assim como permitir a validao pelo usurio a qualquer momento, por exemplo, durante uma pesquisa ou consulta de registros. A validao da assinatura inclui: a) a verificao do carimbo de tempo, quando presente, procedendo a verificao do certificado e da assinatura da autoridade de carimbo de tempo a qual forneceu o carimbo de tempo, e prosseguindo as validaes com a referncia temporal assinada do carimbo de tempo, conforme RFC 3161; b) a verificao do formato da assinatura, do estado do certificado do(s) signatrio(s) referente expirao e revogao, e do estado dos certificados da(s) cadeia(s), referente ao momento do carimbo de tempo, ou se este no estiver presente, ao momento da assinatura (signingtime), de acordo com a RFC 5280 (Internet X.509 Public Key Infrastructure - Certificate and Certificate Revocation List - CRL Profile) ou RFC 2560 (Internet X.509 Public Key Infrastructure - Online Certificate Status Protocol OCSP). Incluir, em toda assinatura digital realizada, o propsito da assinatura (atributo commitment-type-indication), ou seja, o tipo de comprometimento que o signatrio assume no momento de firmar a assinatura digital, e o papel do signatrio (atributo role) no S-RES.
PRESENA
NGS2.02.04
Validao da co-assinatura digital Validao da assinatura
SBIS
NGS2.02.05
ICP-Brasil RFC 3280 RFC 2560 RFC 3161 ETSI TS 101 733
NGS2.02.06
Propsito da assinatura e papel do signatrio
ETSI TS 101 733
Verso 4.0
Dezembro/2011
Pgina: 66/101
CERTIFICAO 2011
ID NGS2.02.07 REQUISITO Visualizao das informaes a serem assinadas Homologao ICP-Brasil Formato de assinatura para exportao eletrnica de registros assinados Instante da assinatura Certificado de Atributo Informaes de certificao digital REFERNCIA SBIS CONFORMIDADE Sempre permitir a visualizao da informao a ser assinada.
PRESENA
M ICP-Brasil ICP-Brasil
NGS2.02.08 NGS2.02.09
Os componentes de um S-RES que utilizam certificao digital para assinatura digital devem estar homologados pela ICP-Brasil. Seguir o disposto na DOC-ICP-15, da ICP-Brasil, que trata sobre a normalizao de assinatura digital, para o padro de assinatura digital com referncias completas (ADRC).
NGS2.02.11 NGS2.02.12 NGS2.02.13
SBIS X.509 SBIS
NGS2.02.14
NGS2.02.15
Informao do sistema de assinatura Encadeamento de registros assinados digitalmente
SBIS SBIS
NGS2.02.16
Verificao do encadeamento de registros assinados digitalmente
SBIS
Toda assinatura digital deve incluir o atributo signingtime, contendo o instante da assinatura no formato UTC. Possibilitar a incluso e validao de certificado de atributo (X.509) para qualificao do signatrio. A instituio deve manter em seu domnio todos os elementos necessrios (informaes sobre certificados raiz, cadeias de certificao, certificados dos signatrios e informaes de revogao) a fim de possibilitar que a assinatura digital possa ser validada a qualquer momento futuro. Esses elementos podem estar includos no registro assinado digitalmente ou referenciado por este e armazenado no S-RES. A assinatura deve conter o nmero do certificado obtido no processo de Certificao de SRES da SBIS para o sistema que est realizando a assinatura. O registro ser grafado como CertificadoSBIS_XXX-Y. Garantir a ordem temporal de assinatura e presena de todos os registros assinados para cada paciente. Isso deve ser implementando por meio do registro de um cdigo hash da sequncia de assinaturas. Ou seja, a cada assinatura, o hash sequencial deve ser atualizado com o valor resultante do processo: novo hash sequencial = hash (hash sequencial atual + hash assinatura encadeada). Possuir funcionalidade para que o usurio, a qualquer momento, consiga validar o encadeamento dos registros assinados digitalmente. Para isso, o sistema dever listar, em ordem temporal de assinatura todos os documentos assinados, e perfazer a validao, permitindo ao usurio a escolha de visualizao de qualquer documento.
M R
Verso 4.0
Dezembro/2011
Pgina: 67/101
CERTIFICAO 2011
ID NGS2.02.17 REQUISITO Contingncia em caso de indisponibilidad e da chave privada REFERNCIA SBIS CONFORMIDADE Condio: o S-RES permitir assinatura de contingncia. Em caso de no disponibilidade da chave privada de assinatura do profissional de sade, o S-RES deve permitir que o registro seja assinado por outro profissional, com autoridade similar ou superior, respeitando as questes de privacidade e consentimentos. Esta assinatura deve ser realizada com o propsito temporrio, at que o profissional cuja chave privada estava indisponvel, assine o registro. Este propsito deve ser estabelecido incluindo o atributo assinado commitment-type-indication com o propsito genrico id-ctiets-proofOfCreation, enquanto no seja definido um propsito mais especfico. Esse registro ficar pendente de assinatura pelo profissional cuja chave privada estava indisponvel. Caso o usurio possua alguma assinatura pendente, a lista de assinaturas pendentes deve ser exibida imediatamente aps a entrada do usurio no sistema, eventualmente aps da exibio de outras mensagens de segurana e privacidade. No momento da assinatura, caso no haja disponibilidade da OCSP ou da LCR publicada imediatamente antes da assinatura, o S-RES deve realizar a assinatura com a ltima LCR disponvel correspondente, e a assinatura ficar pendente de atualizao de LCR, a qual dever ser atualizao to logo haja disponibilidade de nova LCR. M
PRESENA
NGS2.02.18
NGS2.02.19
NGS2.02.20
Aviso de registro pendente de assinatura Contingncia em caso de indisponibilidad e de acesso a LCR no momento da assinatura Validao com LCR emitida aps assinatura
SBIS
SBIS
SBIS
Condio: registro validado por meio de LCR, e no OCSP. Revalidar o registro assinado to logo haja uma LCR emitida aps o momento de assinatura, e atualizar a LCR na assinatura. Caso essa validao indique que a assinatura foi realizada com um certificado revogado: a) uma mensagem imediata deve ser enviada aos responsveis da instituio e do profissional cujo certificado foi revogado; b) o registro deve ser colocado na lista de registros pendentes de assinatura. No momento da assinatura, deve haver a possibilidade de ser exibido para o usurio o contedo a ser assinado (registro), de forma formatada para legibilidade. Existem algumas possibilidades a serem consideradas: a) caso o registro seja um PDF, imagem ou TXT; b) caso o registro seja um XML ou HTML: necessrio assinar, conjuntamente com o registro, os arquivos utilizados para exibio formatada das informaes. Dezembro/2011
NGS2.02.21
Assinatura de componentes utilizados para formatao visual da informao
SBIS
Verso 4.0
Pgina: 68/101
CERTIFICAO 2011
NGS2.04 Digitalizao de Documentos (Aplicvel somente para S-RES da categoria GED)

ID NGS2.04.01 REQUISITO Assinatura digital do sistema de GED REFERNCIA SBIS CONFORMIDADE Todo documento digitalizado deve ser assinado pelo componente de digitalizao com certificado digital especificado no NGS2.04.08, com o propsito de garantia de integridade e de indicao de que a imagem assinada foi originada em um processo de digitalizao. Este propsito deve ser estabelecido incluindo o atributo assinado commitment-typeindication com o propsito genrico id-cti-ets-proofOfDelivery, enquanto no seja definido um propsito mais especfico. O operador de digitalizao deve assinar digitalmente o documento digitalizado, com certificado ICP-Brasil de acordo com NGS2.01.05, com o propsito de conferncia, garantindo a verificao do enquadramento e a qualidade da imagem digitalizada em comparao original, refazendo o processo de digitalizao em casos de imperfeies. Este propsito deve ser estabelecido incluindo o atributo assinado commitment-typeindication com o propsito genrico id-cti-ets-proofOfReceipt, enquanto no seja definido um propsito mais especfico. Essa assinatura deve ser aposta como uma contra-assinatura da assinatura do sistema de GED. O responsvel deve assinar digitalmente o documento digitalizado, com certificado ICPBrasil de acordo com NGS2.01.05, com o propsito de aprovao, garantindo a autenticidade da imagem digitalizada em comparao original. Este propsito deve ser estabelecido incluindo o atributo assinado commitment-type-indication com o propsito genrico id-cti-ets-proofOfApproval, enquanto no seja definido um propsito mais especfico. Essa assinatura deve ser aposta como uma contra-assinatura da assinatura do sistema de GED. Permitir ao usurio a realizao de operaes de digitalizao somente aps a assinatura digital do Termo de conduta para digitalizao que deve conter requisitos sobre confidencialidade das informaes e sobre a responsabilidade do processo. Os componentes de um S-RES que utilizam certificao digital para autenticao e assinatura digital devem ser homologados pela ICP-Brasil.
PRESENA
NGS2.04.02
Assinatura digital do operador
SBIS
NGS2.04.03
Assinatura digital do responsvel
Resoluo CFM
NGS2.04.06
NGS2.04.07
Termo de conduta para digitalizao Homologao ICP-Brasil
SBIS ICP-Brasil
M R
Verso 4.0
Dezembro/2011
Pgina: 69/101
CERTIFICAO 2011
ID NGS2.04.08 REQUISITO Certificado digital do sistema GED REFERNCIA SBIS CONFORMIDADE Todo componente de digitalizao deve possuir um par de chaves assimtricas e certificado digital associado, com propsito de uso de chave (KeyPuposeID) para autenticao de servidor definido no extended key usage como server authentication (1.3.6.1.5.5.7.3.1), com common name emitido conforme o Registro de Domnios para a Internet no Brasil (Registro.br) para a instituio de sade. Recomenda-se que seja emitido um certificado com subdomnio exclusivo para o processo de digitalizao, por exemplo: ged.hospitalexemplo.com.br.
PRESENA
NGS2.05 Impresso de Registro Assinado Digitalmente

ID NGS2.05.01 REQUISITO Impresso de registros assinados digitalmente REFERNCIA SBIS CONFORMIDADE Imprimir os registros assinados digitalmente utilizando ao menos uma das opes abaixo: a) mensagem de verificao de registro assinado digitalmente formatado para impresso, e/ou b) relatrio de verificao de registros assinados digitalmente formatados para impresso.
PRESENA
Verso 4.0
Dezembro/2011
Pgina: 70/101
CERTIFICAO 2011
ID NGS2.05.02 REQUISITO Mensagem de verificao de registro assinado digitalmente formatado para impresso REFERNCIA SBIS CONFORMIDADE Condio: Impresso de registros assinados digitalmente com mensagem de verificao de registro assinado digitalmente Em caso de impresso de registros assinados digitalmente, os mesmos devem ser validados antes da impresso e deve ser adicionada a seguinte mensagem na parte inferior de cada pgina. Os dados variveis (nome, CPF, data e hora, nmero de certificado SBIS) devero ser extrados da assinatura. A hora e a data so respectivamente referentes ao signingtime e data e hora do carimbo de tempo. Este registro foi assinado digitalmente de acordo com a ICP-Brasil, MP-2.200-2/2001, Resoluo CFM 1821/2007, Resoluo CFO 91/2009, tendo sido gerado em um sistema certificado no processo de Certificao para Sistemas de Registro Eletrnico em Sade (So RES) da Sociedade Brasileira de Informtica em Sade (SBIS) sob N XXX-Y. (nome do signatrio), AC (nome da AC common name), CPF (CPF do signatrio), s (HH:MM+-fuso) de (DIA/MS/ANO), carimbado por (nome da ACT - Common Name) s (HH:MM+-fuso) de (DIA/MS/ANO) sob nmero (serial number do carimbo de tempo), validado <com LCR (serial number da LCR) publicada s (HH:MM+-fuso) de (DIA/MS/ANO) OU via OCSP (nome da OCSP common name) s (HH:MM+-fuso) de (DIA/MS/ANO) >. <Caso haja mais de uma assinatura, os mesmos dados devem ser apresentados para os outros signatrios na sequncia.> M
PRESENA
Verso 4.0
Dezembro/2011
Pgina: 71/101
CERTIFICAO 2011
ID NGS2.05.03 REQUISITO Relatrio de verificao de registros assinados digitalmente formatados para impresso REFERNCIA SBIS CONFORMIDADE Condio: Existncia do relatrio de verificao de registros assinados digitalmente formatados para impresso Para impresso do relatrio de verificao de assinaturas digitais, todos os registros assinados devem ser validados antes da gerao do relatrio e da impresso dos registros, e a seguinte mensagem deve ser impressa: Os registros a seguir esto assinados digitalmentes de acordo com a ICP-Brasil, MP-2.2002/2001, Resoluo CFM 1821/2007, Resoluo CFO 91/2009, tendo sido gerado em um sistema certificado no processo de Certificao para Sistemas de Registro Eletrnico em o Sade (S-RES) da Sociedade Brasileira de Informtica em Sade (SBIS) sob N XXX-Y.
PRESENA
Em seguida, dever vir a lista de registros assinados digitalmente, paginados sequencialmente, e para cada registro, indicar: As pginas a que se referem, o (nome do signatrio), AC (nome da AC common name), CPF (CPF do signatrio), s (HH:MM+-fuso) de (DIA/MS/ANO), carimbado por (nome da ACT - Common Name) s (HH:MM+-fuso) de (DIA/MS/ANO) sob nmero (serial number do carimbo de tempo), validado <com LCR (serial number da LCR) publicada s (HH:MM+fuso) de (DIA/MS/ANO) OU via OCSP (nome da OCSP common name) s (HH:MM+fuso) de (DIA/MS/ANO) >. Caso haja mais de uma assinatura, os mesmos dados devem ser apresentados para os outros signatrios na sequncia.
Verso 4.0
Dezembro/2011
Pgina: 72/101
CERTIFICAO 2011
8.4. Requisitos de Estrutura e Contedo para S-RES Assistencial

ESTR.01 - Estrutura do RES
ID ESTR.01.01 REQUISITO Navegao e consultas Estrutura mnima REFERNCIA ABNT ISO/TS 18308 EST1.1 ABNT ISO/TS 18308 EST1.2 CFM 1638/2002 SBIS CONFORMIDADE Organizar os dados e informaes do RES em diferentes sees para facilitar a navegao e consultas. Assegurar que a estrutura do RES esteja aderente ao conjunto de especificaes estabelecidas pela resoluo 1638/2002 do CFM, aos padres de identificao de usurio, profissional de sade e estabelecimento conforme descritos no Cadastro Nacional de Usurios, e adotados no Carto Nacional de Sade e no Cadastro Nacional de Estabelecimentos de Sade. Utilizar para a identificao do Estabelecimento Assistencial de Sade (EAS) o cdigo do Cadastro Nacional de Estabelecimentos de Sade CNES. Em se tratando de consultrios particulares que no possuam o nmero CNES, dever utilizar o nmero do Cadastro Nacional de Pessoa Jurdica (CNPJ), ou a identificao do profissional responsvel conforme padres de identificao do profissional de sade no CNES. Assegurar que os requisitos de informao da ANS estejam contemplados, conforme descritos no padro TISS, quando aplicvel. Garantir o compartilhamento do RES com independncia de hardware, software (aplicativos, sistemas operacionais, linguagens de programao), bancos de dados, redes, sistemas de codificao e linguagens naturais. Exemplo: cdigos adotados pelo Carto Nacional de Sade devem estar em tabelas no banco de dados e no embutidos no cdigo dos aplicativos. Possibilitar que os dados e informaes estejam organizados e passveis de recuperao de tal forma que facilite os usos secundrios do RES, tais como: vigilncia epidemiolgica, gesto, auditoria, faturamento e pesquisa, entre outros. Garantir o armazenamento do RES. M M G M A M
ESTR.01.02
ESTR.01.03
Independncia
ABNT ISO/TS 18308 EST1.3 SBIS
ESTR.01.04
Recuperao de dados Armazenament o do RES
ESTR.01.05
ABNT ISO/TS 18308 EST1.4 ABNT ISO/TS 18308 EST1.5
Verso 4.0
Dezembro/2011
Pgina: 73/101
CERTIFICAO 2011
ESTR.02 - Dados estruturados

ID ESTR.02.01 REQUISITO Armazenament o em listas Preservao de relacionamento de dados Hierarquia de nodos Associao do nome e valor dado Armazenament o de mltiplos valores REFERNCIA ABNT ISO/TS 18308 EST2.1 ABNT ISO/TS 18308 EST2.2 ABNT ISO/TS 18308 EST2.3 ABNT ISO/TS 18308 EST2.4 ABNT ISO/TS 18308 EST2.5 CONFORMIDADE Armazenar em listas de todos os dados que possuam registro de tempo, de tal forma que a ordem cronolgica esteja preservada sempre que os dados forem apresentados. Registrar dados em tabelas de tal forma que os relacionamentos dos dados com as linhas e colunas estejam preservados no banco de dados, com total independncia dos aplicativos Registrar os dados em hierarquias, preservando o relacionamento dos nodos pais com os nodos filhos, de forma que possibilite a navegao, busca e consulta destes dados. Registrar dados simples, preservando a associao entre nome do dado e respectivo valor. M Registrar mltiplos valores para a mesma observao coletada sequencialmente, em curtos intervalos de tempo, durante um mesmo contato ou em diferentes contatos e locais. O contexto no qual as medidas foram realizadas deve ser preservado, tais como o tipo de ferramenta e metodologia utilizada e quem as coletou. Estes valores devem ser exibidos quando solicitados, e ordenados de diferentes formas. Exemplo: registro sequencial da presso arterial braquial. Garantir a incluso de texto livre para melhor qualificar as opes de campos estruturados, garantindo a associao destes comentrios com os dados ou informaes originais (vide ESTR.02.08). M G M A M
ESTR.02.02
ESTR.02.03
ESTR.02.04
ESTR.02.05
ESTR.02.06
Incluso de comentrios em texto livre
ESTR.02.07
Busca
ESTR.02.08
ESTR.02.09
Incluso de comentrios em texto estruturado nfase nos comentrios e dados
ABNT ISO/TS 18308 EST2.6 ERH-S FM- IN 2.5.1 SBIS ABNT ISO/TS 18308 EST2.7 SBIS ABNT ISO/TS 18308 ISO EST2.8 SBIS ABNT ISO/TS 18308 EST2.9
Fazer pesquisa (de texto e dados numricos) em todos os campos (estruturados e de texto livre).
Garantir a incluso de texto estruturado para melhor qualificar o contedo de campos de texto livre, garantindo a associao destes comentrios com os dados ou informaes originais (vide ESTR.02.06). Enfatizar os comentrios ou dados registrados, devendo tal nfase ser apresentada associado ao respectivo comentrios ou dados originais. Exemplo: ativao de um flag ou boto, ou alterao de atributos da fonte (negrito, cor, etc.).
Verso 4.0
Dezembro/2011
Pgina: 74/101
CERTIFICAO 2011
ESTR.02.10 Validao da cronologia SBIS Parametrizar regras de validao de cronologia de dados ou informaes que possuam registro de tempo. Exemplo: alarmar se a data de bito for anterior data de nascimento; alertar se data de resultado de exame complementar for anterior data de sua solicitao.
ESTR.03 - Dados Administrativos

ID ESTR.03.01 REQUISITO Registro de identificao do paciente Padres do CNS, CNES, CNPJ REFERNCIA ABNT/TS18308 EST2.11 SUS ABNT/TS18308 EST2.12 CONFORMIDADE Alm dos dados constantes do requisito ESTR.01.02, incluir na tela de identificao do paciente, a pessoa para contato e o responsvel legal (se aplicvel). Identificar univocamente o indivduo assistido, os profissionais envolvidos no processo assistencial (incluindo seus respectivos papis), o local da assistncia (via pblica, embarcao, aeronave, residncia, consultrio, leito, quarto, etc.), bem como a data, hora e minuto inicial e final do evento. A identificao do sujeito da ateno e dos profissionais responsveis pela assistncia e pela digitao dos dados dever utilizar os padres de identificao do Carto Nacional de Sade e do CNES (vide ESTR.01.02). Registrar os episdios de ateno e os seus processos, preservando a associao dos dados registrados a cada um destes episdios. Exemplo: associao de uma prescrio medicamentosa a uma consulta ou evoluo clnica especfica, ou um resultado de exame complementar a uma sua solicitao especfica. Registrar dados e informaes financeiras e comerciais, tais como operadoras de planos de sade e respectivas elegibilidades, coberturas, responsvel por despesas, custos, taxas e utilizao, quando aplicvel. Registrar a situao legal e consentimentos relevantes para o cuidado do paciente. Exemplo: situao legal do guardio, consentimento para cirurgia e outros procedimentos. Este registro dever conter minimamente a identificao do signatrio do consentimento, bem como a data, hora e minuto da assinatura. Realizar consultas e emitir relatrios para atender s demandas da vigilncia epidemiolgica, sanitria e doenas de notificao compulsria em pacientes externos ou internados. Devero ser contemplados, no mnimo, os agravos constantes da Portaria N. 5, de 21/02/2006 (ou mais recente) da Secretaria de Vigilncia em Sade. G M A M
ESTR.03.02
ESTR.03.03
Episdios de ateno
ABNT/TS18308 EST2.13 ABNT/TS18308 EST2.14 ABNT/TS18308 EST2.15 ABNT/TS18308 EST2.16
ESTR.03.04
ESTR.03.05
Informaes financeiras e comerciais Situao legal
ESTR.03.06
Vigilncia
Verso 4.0
Dezembro/2011
Pgina: 75/101
CERTIFICAO 2011
ESTR.04 - Dados clnicos

ID ESTR.04.01 REQUISITO Conjunto mnimo de dados REFERNCIA ABNT ISO/TS 18308 EST2.10 CFM 1638/2002 CONFORMIDADE Armazenar dados estruturados e no estruturados que atendam minimamente: Anamnese Exame fsico Antecedentes mrbidos pessoais (psicolgicos, sociais, ambientais) e familiares Alergias e outras informaes de relevncia clnica Imunizaes, medidas preventivas e outras intervenes no estilo de vida Investigao diagnstica, intervenes teraputicas tais como medicamentos e procedimentos Evolues clnicas, interpretaes, decises e raciocnio clnico Solicitao de exames complementares, tratamentos, interconsultas e encaminhamentos Hipteses diagnsticas, lista de problemas com status (exemplo: ativo, inativo), diagnsticos Questes relevantes, preferncias e expectativas Consentimentos informados (no mandatrio quando NGS1) Operadora de plano de sade (vide ESTR. 03.04) Sumrio de alta (ambulatorial, hospitalar, domiciliar, etc.) com as condies funcionais e de sade Informaes a respeito de prteses ou implantes: fornecedor, modelo Registrar os resultados de exames complementares, com a descrio de como foi realizado, o mtodo utilizado, a data, hora e minuto da realizao, o profissional responsvel pelo laudo/resultado e concluso. Possuir funcionalidade de envio eletrnico de dados de faturamento, produo e vigilncia conforme as exigncias vigentes do SUS / Ministrio da Sade, Agncia Nacional de Sade Suplementar ou outra autoridade sanitria oficial. G A
ESTR.04.02
Laudos e resultados de exames Envio eletrnico de dados
ESTR.04.03
ESTR.04.04
Arqutipos
ABNT ISO/TS 18308 EST2.10 SUS ABNT ISO/TS 18308 EST2.10 SUS SBIS SBIS
Estruturar captura de dados clnicos usando modelos de referncia. Exemplo: arqutipo de presso arterial ou apgar estruturado segundo a openEHR ou MLHIM.
Verso 4.0
Dezembro/2011
Pgina: 76/101
CERTIFICAO 2011
ESTR.05 - Tipos de dados

ID ESTR.05.01 REQUISITO Dados numricos e quantificveis Preciso da medida Percentagem e valor absoluto Limites REFERNCIA ABNT ISO/TS 18308 EST3.1 ABNT ISO/TS 18308 EST3.2 ABNT ISO/TS 18308 EST3.3 ABNT ISO/TS 18308 EST3.4 SBIS ABNT ISO/TS 18308 EST3.5 ABNT ISO/TS 18308 EST3.6 ABNT ISO/TS 18308 EST3.7 ABNT ISO/TS 18308 EST3.8 CONFORMIDADE Ter estrutura lgica de representao de dados numricos e quantificveis, incluindo o gerenciamento e converso parametrizvel de unidades e dimenses. Exemplos: interconverter quilograma em libra; grau Celsius em Farhenheit; miligrama por decilitro para miliosmol por litro; hora em minutos; miligrama em grama, litro para mililitro, etc. Armazenar o grau de preciso de medidas de quantidades de acordo com o mtodo utilizado. Expressar as percentagens tambm em valores absolutos. R Parametrizar a estrutura lgica de representao de intervalos, ou seja, a representao de limites inferior e superior para dados quantificveis adequados ao contexto clnico, garantindo a escolha da ao (alerta, alarme, bloqueio, etc.). Exemplo: peso e altura de recm-nascido; frequncia cardaca em adulto, potssio srico em paciente em uso de diurtico, etc. Representar a lgica de valores fracionados. Exemplo: Relao Colesterol total / HDLColesterol. Definir a estrutura lgica de representao dos valores de dia, ms, ano, hora, minuto e segundo, incluindo fuso horrio (vide ESTR.05.09 e ESTR.05.10). Definir a estrutura lgica de representao dos valores citados em ESTR.05.06 que permita definies incompletas ou aproximadas, tais como: - datas aproximadas Exemplo: ontem; semana passada - datas parciais Exemplo: ??/Maio/1997; ??/??/1928 Registrar eventos ou aes planejadas para o futuro. Exemplos: - Perodos do dia ou de tempo: manh, tarde, noite, enquanto acordado; - Momentos aproximados de datas ou horas: ao acordar, durante as refeies (caf da manh, almoo, jantar), ao deitar; - Momentos relativos de datas ou horas: antes do caf da manh, aps o almoo, dois dias aps a alta, uma semana depois da ltima dose; - Perodos alternados de datas/horas: alternadamente a cada 8 horas, todas as segundas, quartas e sextas-feiras, todos os sbados, todo terceiro domingo. Registrar o tempo em um dado instante, o tempo decorrido desde um determinado evento e/ou sua respectiva durao. R G M A M
ESTR.05.02
ESTR.05.03
ESTR.05.04
ESTR.05.05
ESTR.05.06
Lgica dos valores fracionados Lgica de data e hora Definies incompletas
ESTR.05.07
ESTR.05.08
Eventos e aes futuras
ESTR.05.09
Linha de tempo
ABNT ISO/TS 18308 EST3.9
Verso 4.0
Dezembro/2011
Pgina: 77/101
CERTIFICAO 2011
ID ESTR.05.10 REQUISITO Fuso horrio REFERNCIA ABNT ISO/TS 18308 EST3.10 ABNT ISO/TS 18308 EST3.11 ABNT ISO/TS 18308 EST3.12 CONFORMIDADE Registrar o fuso horrio do local onde o registro foi realizado (vide ESTR.05.06). G M Registrar em todos os campos de datas o tempo com preciso de milissegundos (vide ESTR.05.06). Utilizar uma estrutura lgica de representao de tipos de dados padronizados. Exemplo: DICOM e MIME. A M
ESTR.05.11
Preciso de milissegundos DICOM, MIME e ECG
ESTR.05.12
ESTR.06 - Dados de referncia

ID ESTR.06.01 REQUISITO Dados de referncia REFERNCIA ABNT ISO/TS 18308 EST3.13 CONFORMIDADE Registrar dados de referncia, tais como faixas de normalidade e os atributos e contexto relevantes a uma observao ou mensurao especfica. Exemplo: medida de presso arterial em membros inferiores ou superiores; medida de temperatura em neonato em incubadora (vide ESTR.05.04) G M A M
ESTR.07 - Dados contextuais

ID ESTR.07.01 REQUISITO Data de ocorrncia Data de registro Motivo ou assunto Responsvel pelo registro Ambiente fsico da ocorrncia REFERNCIA ABNT ISO/TS 18308 EST3.14 ABNT ISO/TS 18308 EST3.15 ABNT ISO/TS 18308 EST3.16 ABNT ISO/TS 18308 EST3.17 ABNT ISO/TS 18308 EST3.18 CONFORMIDADE Registrar o contexto associado data/hora em que o evento ocorreu. Exemplo: Atendimento do paciente durante a falta de energia eltrica na unidade. Registrar o contexto associado data/hora em que o evento foi registrado no SRES. Exemplo: Registro do atendimento ocorrido h 6 horas atrs quando no havia energia eltrica na unidade prestadora de servios em sade. Registrar o contexto associado ao motivo/assunto do evento. Exemplo: Impresso do pronturio realizada por imposio de autoridade judicial. Registrar o contexto associado pessoa responsvel pelo registro do evento. Exemplo: Diretor clnico da unidade de sade efetuando o registro por ausncia do profissional de sade habitual do paciente. Registrar o contexto associado ao estabelecimento (ambiente fsico) onde ocorreu o evento. Exemplo: Atendimento realizado em via pblica, consultrio, enfermaria, etc. (vide ESTR.03.02). Dezembro/2011 G M A M
ESTR.07.02
ESTR.07.03
ESTR.07.04
ESTR.07.05
Verso 4.0
Pgina: 78/101
CERTIFICAO 2011
ID ESTR.07.06 REQUISITO Localizao do registro Contexto e razo Protocolo associado REFERNCIA ABNT ISO/TS 18308 EST3.19 ABNT ISO/TS 18308 EST3.20 ABNT ISO/TS 18308 EST3.21 CONFORMIDADE Registrar o contexto associado ao local onde o evento foi registrado. Exemplo: Registro efetuado na unidade matriz de um servio de atendimento domiciliar. Registrar o contexto associado razo do registro. Exemplo: Registro de mudana do status do pronturio para inativo por no comparecimento do paciente na unidade de atendimento aps 20 anos da ltima consulta. Registrar o contexto associado ao protocolo associado informao registrada. Exemplo: Registro disparado por procedimento, rotina ou protocolo de pesquisa clnica na unidade de atendimento do paciente. G R A R
ESTR.07.07
ESTR.07.08
ESTR.08 - Associaes
ID ESTR.08.01 REQUISITO Associao semntica Dados referenciados externamente REFERNCIA ABNT ISO/TS 18308 EST3.22 ABNT ISO/TS 18308 EST3.23 CONFORMIDADE Representar a associao semntica entre diferentes dados e informaes no RES, atravs de um servio de terminologias. Exemplo: relaes semnticas dos tipos semnticos do UMLS Associar dados referenciados externamente quando estes no puderem ser representados no RES, desde que a segurana dos dados do paciente no seja comprometida. Exemplo: enlace (link) de imagem mdica registrada em um outro sistema. G R A R
ESTR.08.02
ESTR.09 - Representao de conceitos em sade

ID ESTR.09.01 REQUISITO Mltiplos sistemas de codificao Captura de cdigo REFERNCIA ABNT ISO/TS 18308 EST 4.1 ABNT ISO/TS 18308 EST4.2 HL7 CNS ABNT ISO/TS 18308 EST4.3 CNS CONFORMIDADE Utilizar mltiplos sistemas de codificao (terminologias de entrada ou interface, terminologias de referncia e classificaes) e o mapeamento entre eles. Registrar o cdigo, a descrio do sistema de classificao/codificao utilizado, a verso, o idioma original e a descrio original no registro de um cdigo de um sistema de classificao/codificao. Exemplo: ao se registrar um cdigo do CID ou LOINC, associar ao registro dados relativos ao sistema utilizado (CID ou LOINC), verso, idioma original, o descritivo original no sistema de codificao em questo. Registrar dados a partir de vocabulrios padro, preservando-se a informao do vocabulrio de origem. O registro de diagnsticos dever utilizar obrigatoriamente o CID-10, ou verso mais recente padronizada pelo Ministrio da Sade (vide ESTR.09.02). G R A R
ESTR.09.02
ESTR.09.03
Vocabulrio padro e de origem
Verso 4.0
Dezembro/2011
Pgina: 79/101
CERTIFICAO 2011
ID ESTR.09.04 REQUISITO Ambiguidade REFERNCIA ABNT ISO/TS 18308 EST4.4 ABNT ISO/TS 18308 EST4.5 ABNT ISO/TS 18308 EST 4.1 HL7 DIS 27951 Lexicon Query Service Specification CONFORMIDADE Usar regras explcitas para evitar ambiguidades sempre que um determinado dado no for registrado de apenas uma maneira ou em um nico lugar. Exemplo: garantir que [pulsos pediosos: no] igual a [pulsos pediosos ausentes]. Usar mapeamentos entre modelos de informao e de inferncia com base em um conjunto de conceitos bem definidos num vocabulrio de referncia ou modelo conceitual. Usar um servio de terminologia (clnica). Exemplo: HL7 CTS; servios que usem UMLS ou SNOMED-CT. G R R A R R
ESTR.09.05 ESTR.09.06
Mapeamentos Servios de terminologia
ESTR.10 - Representao de texto

ID ESTR.10.01 REQUISITO Texto original REFERNCIA ABNT ISO/TS 18308 EST 4.6 CONFORMIDADE Preservar o texto original conforme fornecido pelo profissional de sade no RES, quando a informao for traduzida da linguagem natural para outra, ou quando os termos forem mapeados de um sistema de codificao/classificao para outro. G R A R
Verso 4.0
Dezembro/2011
Pgina: 80/101
CERTIFICAO 2011
8.5. Requisitos de Funcionalidades para S-RES Assistencial

FUNC.01 - Suporte aos processos clnicos
ID FUNC.01.01 FUNC.01.02 FUNC.01.03 REQUISITO Evento clnico Processos de apoio clnico Continuidade de processos clnicos Processos clnicos incompletos REFERNCIA ABNT ISO/TS 18308 PRO1.1 ABNT ISO/TS 18308 PRO1.2 ABNT ISO/TS 18308 PRO1.3 ABNT ISO/TS 18308 PRO1.4 CONFORMIDADE Registrar qualquer tipo de evento clnico, encontro ou episdio relevante assistncia sade do paciente. Criar, acompanhar e fazer a manuteno dos processos clnicos que apoiam as atividades de seus usurios. Consultar o status de um processo, modificar um processo j existente e verificar se um processo foi completado, facilitando a continuidade do cuidado. Ex.: status de um exame complementar (vide FUNC.05.01). Registrar processos clnicos em aberto ou incompletos. Exemplo: solicitao de exame nunca realizado pelo paciente. G M M M A M M M
FUNC.01.04
FUNC.02 - Problemas / condies de sade e outras questes

ID FUNC.02.01 REQUISITO Condio holstica do paciente Estrutura de dados orientada por problemas Perodo de vida do paciente REFERNCIA ABNT ISO/TS 18308 PRO1.5 ABNT ISO/TS 18308 PRO1.6 ABNT ISO/TS 18308 PRO1.7 CONFORMIDADE Registrar a condio holstica da situao da sade do indivduo, situao funcional, problemas, condies, circunstncias ambientais e outras questes que possam afetar a sua sade e caracterizar seu estado num dado momento. Registrar e apresentar dados em estrutura orientada por problemas, incluindo o status dos problemas (subjetivos e objetivos), anlise, planos de soluo e metas (SOAP). Possibilitar tambm a apresentao dos dados em estruturas como as orientadas cronologicamente, por episdios, e por processos (vide ESTR.02.01 e ESTR.03.03). Registrar longitudinalmente todo o perodo de vida do paciente, incluindo a condio de sade e intervenes, que devem obrigatoriamente ser visualizadas de forma cronolgica (vide ESTR.02.01). O RES simultaneamente: retrospectivo: oferece viso histrica das condies de sade e intervenes. Exemplo: eventos ou atos realizados; atual: viso da condio atual de sade e intervenes ativas ou em andamento; e prospectivo: planejamento das aes futuras (eventos ou atos em sade pendentes ou agendados). G M A M
FUNC.02.02
FUNC.02.03
Verso 4.0
Dezembro/2011
Pgina: 81/101
CERTIFICAO 2011
FUNC.03 - Raciocnio Clnico

ID FUNC.03.01 REQUISITO Raciocnio clnico REFERNCIA ABNT ISO/TS 18308 PRO1.8 CONFORMIDADE Registrar do raciocnio clnico para todos os diagnsticos (provisrios ou definitivos), concluses e aes a respeito da assistncia sade do paciente, incluindo aqueles realizados por processos automatizados. G R A R
FUNC.04 - Suporte deciso, protocolos clnicos e alertas.

ID FUNC.04.01 REQUISITO Alertas e lembretes REFERNCIA ABNT ISO/TS 18308 PRO1.9 SBIS FUNC.04.02 Alertas e lembretes em vigilncia Notificao de agravos Diretrizes e protocolos Restrio e obrigatoriedade ABNT ISO/TS 18308 PRO1.10 SUS CONFORMIDADE Apresentar automaticamente alertas, lembretes e avisos parametrizveis, tais como alergias, resultados urgentes, condio de infeco, precaues teraputicas, interaes medicamentosas, toxicidade potencializada por comorbidade, intervenes importantes e resultados urgentes, os quais devero ser necessariamente exibidos sempre que se abrir o pronturio do paciente, fazer prescries/orientaes, consultar telas ou gerar relatrios pertinentes. Incorporar lembretes e chamadas sobre os programas de vigilncia epidemiolgica e outras aes de sade pblica, tais como programas de imunizao ou outras campanhas (vide ESTR.03.06). Emitir automaticamente a notificao de agravos conforme prev o gestor federal, estadual e municipal de sade. Devero ser contemplados, no mnimo, os agravos constantes da Portaria N. 5, de 21/02/2006 (ou mais recente) da Secretaria de Vigilncia em Sade. Incorporar diretrizes, protocolos e sistemas de apoio deciso. G A
FUNC.04.03
FUNC.04.04
FUNC.04.05
FUNC.04.06
Mensagens do sistema Rtulos
ABNT ISO/TS 18308 PRO1.11 ABNT ISO/TS 18308 PRO1.12 SBIS SBIS
R Representar restries e dados obrigatrios (ambos parametrizveis) ao processo de apoio deciso. Exemplo: restries de sexo X diagnstico, medicao X diagnstico, restrio prescrio de medicao que tenha alergia informada, e interao medicamentosa (vide FUNC.04.01). Apresentar as mensagens do sistema da maneira a mais clara possvel (no apenas um cdigo), estar associadas com o contexto da operao que as motivou, e ser escritas em portugus usando termos que o usurio leigo em informtica entenda. Apresentar rtulos de campos mostrados em tela e relatrios da forma a mais clara e legvel possvel a qualquer momento do uso da tela, incluindo durante a rolagem de tela, listas, combos, etc.
FUNC.04.07
SBIS
Verso 4.0
Dezembro/2011
Pgina: 82/101
CERTIFICAO 2011
FUNC.05 - Planejamento Teraputico

ID FUNC.05.01 REQUISITO Planejamento teraputico REFERNCIA ABNT ISO/TS 18308 PRO1.13 CONFORMIDADE Registrar o planejamento teraputico incluindo gerenciamento do status (parametrizvel) de diferentes processos. Exemplos de status: solicitado, agendado, em realizao, suspenso, em pendncia, completo, verificado, cancelado, complementado (vide FUNC.01.03). G M A M
FUNC.06 - Prescrio e processamento de exames

ID FUNC.06.01 REQUISITO Registro e acompanhamento Associao REFERNCIA ABNT ISO/TS 18308 PRO1.14 ABNT ISO/TS 18308 PRO1.15 CONFORMIDADE Registar e acompanhar todas as prescries e ordens mdicas e de outros profissionais de sade (se aplicvel), solicitao de exames complementares, interconsultas e encaminhamentos (vide ESTR.04.01) Associar um procedimento solicitado com o realizado e o respectivo resultado (vide ESTR.04.02) G M M A M M
FUNC.06.02
FUNC.07 - Assistncia integral

ID FUNC.07.01 REQUISITO Assistncia integral REFERNCIA ABNT ISO/TS 18308 PRO1.16 CONFORMIDADE Registrar o processo de assistncia integral incluindo cuidados multidisciplinares e em diferentes nveis de ateno em sade. Exemplo: primrio, secundrio, tercirio, quaternrio, especializado, internao hospitalar, cuidados e hospitalizao domiciliar, urgncia / emergncia, pronto atendimento. G R A R
FUNC.08 - Garantia de qualidade

ID FUNC.08.01 REQUISITO Performance clnica e operacional REFERNCIA ABNT ISO/TS 18308 PRO1.17 CONFORMIDADE Registrar e consultar dados com medidas (indicadores) de performance clnica e operacional, aderentes aos padres de assistncia com o objetivo de garantir a qualidade e medir os resultados dos processos em sade. G R A R
Verso 4.0
Dezembro/2011
Pgina: 83/101
CERTIFICAO 2011
FUNC.09 - Captura de dados

ID FUNC.09.01 REQUISITO Entrada e acrscimo de dados Validao de dados Pesquisa com filtros REFERNCIA ABNT ISO/TS 18308 PRO2.1 ABNT ISO/TS 18308 PRO2.2 ABNT ISO/TS 18308 PRO2.3 CONFORMIDADE Ter regras claras e consistentes para a entrada, manuteno, transmisso, recepo, traduo e substituio de dados. Este requisito jamais implicar em excluso ou deleo de registros. Exemplo: regras para marcao de um registro ou campo (parcial ou total) com o status de inativo por lanado inadvertidamente, etc. (vide FUNC.20.01) Implementar regras de validao dos dados em campos estruturados, quando aplicvel. Exemplo: limites ou faixas de validade (vide ESTR.05.04). Recuperar dados e informaes de todos os tipos registrados no passado, inclusive atravs do uso de pesquisas com filtros durante o processo de entrada de dados em campos estruturados ou no. G M A M
FUNC.09.02 FUNC.09.03
M R
M R
FUNC.10 - Recuperao/ consultas e vises

ID FUNC.10.01 REQUISITO Vises REFERNCIA ABNT ISO/TS 18308 PRO2.4 CONFORMIDADE Apresentar vises diferenciadas e recuperar seletivamente a mesma informao para atender demandas especficas, tais como apoio deciso, anlise de dados, financeiro, administrativo, etc. (vide ESTR.01.01). G M A M
FUNC.11 - Apresentao dos dados

ID FUNC.11.01 REQUISITO Sumrio clnico REFERNCIA ABNT ISO/TS 18308 PRO2.5 CONFORMIDADE Gerar automaticamente o sumrio clnico a partir de dados marcados (flags parametrizveis) como sumrio clnico, ou seja, sem a necessidade de pesquisa manual. O sumrio clnico ser parametrizvel e conter, minimamente, os diagnsticos provisrios e definitivos, medicamentos prescritos, exames complementares solicitados com resultados (se disponveis), atendimentos programados e/ou realizados, alergias e outros dados considerados relevantes. Garantir a resoluo necessria para a interpretao clnica de imagens mdicas. Exemplo: manter a mesma matriz de pixeis/voxeis, nmero de bits de cores e frames no tempo da(s) imagem(ns) original(is). Ao exibir imagens mdicas, sempre exibir uma mensagem informando qual a matriz de pixeis/voxeis, nmero de bits de cores e frames no tempo mnimos e/ou adequados para a resoluo diagnstica. G A
FUNC.11.02
FUNC.11.03
Resoluo para ABNT ISO/TS 18308 PRO2.6 interpretao clnica SBIS Imagens mdicas
Verso 4.0
Dezembro/2011
Pgina: 84/101
CERTIFICAO 2011
FUNC.12 - Escalabilidade e performance

ID FUNC.12.01 REQUISITO Eficincia de processamento REFERNCIA ABNT ISO/TS 18308 PRO2.5 CONFORMIDADE Processar eficientemente mesmo lidando com registros numerosos e/ou grandes. G R A R
FUNC.13 - Protocolos de mensagens

ID FUNC.13.01 REQUISITO Exportao e importao de dados REFERNCIA ABNT ISO/TS 18308 COM2.1 CONFORMIDADE Exportar e importar dados recebidos por meio de protocolos de mensagens tais como HL7 e DICOM. G R A R
FUNC.14 - Troca de registros

ID FUNC.14.01 FUNC.14.02 FUNC.14.03 REQUISITO Serializao Regras de troca Interoperabilida de semntica REFERNCIA ABNT ISO/TS 18308 COM2.2 ABNT ISO/TS 18308 COM2.5 ABNT ISO/TS 18308 COM2.6 CONFORMIDADE Serializar dados com propsito de interoperabilidade. Exemplo: XML, SOAP, CORBA, .Net, etc. Prover regras de troca de dados que sejam as mesmas tanto para apenas um extrato do RES ou para o RES completo. Garantir interoperabilidade semntica de conceitos clnicos entre sistemas objetivando processamento automtico dos dados no S-RES receptor. (vide ESTR.08.01 e ESTR.09.06). Exemplo: uso de UMLS. G R M R A R M R
FUNC.16 - Consentimento
ID FUNC.16.01 FUNC.16.02 REQUISITO Consentimento informado Situao do consentimento informado Propsito do consentimento informado REFERNCIA ABNT ISO/TS 18308 PRS2.1 ABNT ISO/TS 18308 PRS2.2 ABNT ISO/TS 18308 PRS2.3 CONFORMIDADE Registrar consentimentos informados. Obter, registrar e acompanhar a situao do consentimento informado para acessar parte ou todo o RES, para propsitos previamente definidos. Registrar os propsitos pelos quais o consentimento foi obtido. M M G M M A M M
FUNC.16.03
Verso 4.0
Dezembro/2011
Pgina: 85/101
CERTIFICAO 2011
ID FUNC.16.04 REQUISITO Instante do consentimento informado REFERNCIA ABNT ISO/TS 18308 PRS2.4 CONFORMIDADE Registrar a data/hora/minuto de cada consentimento. G M A M
FUNC.17 - Mdico-legal
ID FUNC.17.01 FUNC.17.02 REQUISITO Cronologia de eventos Preciso de viso cronolgica REFERNCIA ABNT ISO/TS 18308 MEL1.1 ABNT ISO/TS 18308 MEL1.2 CONFORMIDADE Assegurar a acurcia da cronologia dos seus eventos clnicos e das suas informaes (vide ESTR.02.01, ESTR.05.06, ESTR.05.11) Visualizar com preciso e acurcia todo e qualquer dado do RES desde o momento do seu registro, garantindo compatibilidade retrgrada com verses anteriores (vide FUNC 20.02 e FUNC 23.02). G M M A M M
FUNC.18 - Atores
ID FUNC.18.02 REQUISITO Atributos clnicos relevantes Identificao de fornecedor de informao Identificao de usurio REFERNCIA ABNT ISO/TS 18308 MEL2.2 ABNT ISO/TS 18308 MEL2.3 ABNT ISO/TS 18308 MEL2.4 ABNT ISO/TS 18308 MEL2.5 ABNT ISO/TS 18308 MEL2.6 ABNT ISO/TS 18308 MEL2.7 CONFORMIDADE Registrar os atributos apropriados (parametrizveis) para a identificao do paciente e de atributos clnicos relevantes tais como data de nascimento, sexo, etnia, etc. (vide ESTR.01.02). Identificar univocamente os usurios que atestam ou registram qualquer informao especfica no RES (vide ESTR.03.02). Identificar continuamente o usurio, mesmo que este mude qualquer atributo de identificao. Isto tem que permitir que pesquisas ou relatrios acusem claramente as alteraes desses atributos. Exemplo: alterao de nome, profisso, sexo ou endereo (vide FUNC 18.02). Garantir que todos os profissionais de sade referidos em um RES sejam distintamente identificados (vide ESTR.01.02 e ESTR.03.02). Registrar o papel de todos os profissionais de sade responsveis por qualquer atividade assistencial registrada no RES (vide ESTR.01.02 e ESTR.03.02) G M A M
FUNC.18.03
FUNC.18.04
FUNC.18.05
FUNC.18.06
FUNC.18.07
Identificao dos profissionais de sade Registro do papel dos profissionais de sade Data do registro
Garantir que todo registro seja datado e seu autor responsvel univocamente identificado.
Verso 4.0
Dezembro/2011
Pgina: 86/101
CERTIFICAO 2011
ID FUNC.18.08 REQUISITO Identificao de responsvel pela informao no RES Responsabilidade sobre contribuio aos registros Responsabilidade sobre emendas e adies REFERNCIA ABNT ISO/TS 18308 MEL2.8 ABNT ISO/TS 18308 MEL2.9 ABNT ISO/TS 18308 MEL2.10 CONFORMIDADE Garantir que toda a informao registrada no RES seja atribuda a um ator responsvel, independentemente se este foi o autor da informao ou no. Exemplo: na transcrio posterior de uma prescrio original em papel, o sistema deve identificar univocamente a pessoa que est digitando a informao e o autor da mesma. Garantir que todos os dados fornecidos ao RES sejam atestados ou validados pela pessoa responsvel univocamente identificada. Exemplo: preceptor validando entradas de posgraduandos em treinamento em ambiente acadmico. Garantir que qualquer adio de dados seja atribuda pessoa responsvel, e que a hora/data/minuto e a razo (quando aplicvel) para tal adio sejam registradas. G R A R
FUNC.18.09
FUNC.18.10
FUNC.19 - Competncia e governana clnica

ID FUNC.19.01 REQUISITO Competncia tcnica e responsabilidade REFERNCIA ABNT ISO/TS 18308 MEL3.1 CONFORMIDADE Registrar os dados de credenciamento (se aplicvel), registro profissional e responsabilidade tcnica dos profissionais de sade. G R A R
FUNC.20 F Pblica
ID FUNC.20.01 REQUISITO Substituio de dados REFERNCIA ABNT ISO/TS 18308 MEL4.1 ABNT ISO/TS 18308 MEL4.2 CONFORMIDADE Garantir que as novas informaes/dados inseridas para substituio de outras previamente registradas, sejam coletadas separadamente e atestadas como em substituio quelas previamente registradas, as quais devem ser sempre mantidas. Jamais um registro ou campo (total ou parcial) deletado ou marcado para deleo (vide FUNC.09.01). Garantir que a exata situao do registro possa ser recriada em um dado ponto no tempo desde a criao original do RES (vide FUNC.17.02 e FUNC.23.02). G M A M
FUNC.20.02
Situao de registro
Verso 4.0
Dezembro/2011
Pgina: 87/101
CERTIFICAO 2011
FUNC.21 - Preservao de contexto

ID FUNC.21.01 REQUISITO Preservao da linguagem original do registro Associao da informao do contexto clnico REFERNCIA ABNT ISO/TS 18308 MEL5.1 ABNT ISO/TS 18308 MEL5.2 CONFORMIDADE Registrar tambm o idioma original dos dados ou informaes, sempre que estes sejam codificados, traduzidos ou mapeados quando registrados no RES. G R A R
FUNC.21.02
Manter a associao da informao do contexto clnico e elementos de dados relevantes independentemente de como os dados tenham sido estruturados.
FUNC.22 - Permanncia
ID FUNC.22.01 REQUISITO Permanncia REFERNCIA ABNT ISO/TS 18308 MEL6.1 CONFORMIDADE Impedir a adulterao ou excluso de qualquer dado ou informao armazenada no RES (vide FUNC.09.01). G R A R
FUNC.23 - Controle de verso

ID FUNC.23.01 FUNC.23.02 REQUISITO Controle de verses Medidas de discernimento REFERNCIA ABNT ISO/TS 18308 MEL7.1 ABNT ISO/TS 18308 MEL7.2 CONFORMIDADE Suportar o versionamento das informaes/dados armazenados no RES. Visualizar o versionamento das informaes/dados contidos no RES, sempre que aplicvel (ex. mudana de nome, endereo, profisso, sexo, etc.) (vide FUNC.17.02 e FUNC.20.02). G R R A R R
FUNC.24 - tica
ID FUNC.24.01 REQUISITO Registro de justificativa tica REFERNCIA ABNT ISO/TS 18308 ETH1.1 CONFORMIDADE Suportar o registro da justificativa tica e da aprovao para uso secundrio da informao do paciente constante no RES. G R A R
Verso 4.0
Dezembro/2011
Pgina: 88/101
CERTIFICAO 2011
FUNC.25 - Direitos do paciente

ID FUNC.25.01 FUNC.25.02 FUNC.25.03 REQUISITO Viso orientada para o paciente Direito de acesso Informaes dos pacientes REFERNCIA ABNT ISO/TS 18308 COC1.1 ABNT ISO/TS 18308 COC1.2 ABNT ISO/TS 18308 COC1.3 CONFORMIDADE Garantir o direito de acesso do paciente ao seu RES (vide ESTR.01.01 e ESTR.01.04) Garantir o direito de acesso do paciente ou seu representante legal s informaes do RES sujeitas a questes legais. Garantir a incorporao no RES de informaes dos pacientes sobre autocuidado, ponto de vista pessoal sobre as questes de sade, nveis de satisfao, expectativas e comentrios, quando assim o paciente desejar. G M M R A M M R
FUNC.26 - Questes culturais

ID FUNC.26.01 REQUISITO Interoperabilidade REFERNCIA ABNT ISO/TS 18308 COC2.1 CONFORMIDADE Garantir a interoperabilidade de forma global (para o mundo inteiro), respeitando, contudo, os costumes e cultura locais. O processo deve ser sempre simples e adaptvel a diferentes ambientes legais. G R A R
FUNC.27 - Evoluo
ID FUNC.27.01 FUNC.27.03 REQUISITO Compatibilidade retroativa Novos conhecimentos REFERNCIA ABNT ISO/TS 18308 EVO1.1 ABNT ISO/TS 18308 EVO1.3 CONFORMIDADE Garantir compatibilidade com arquiteturas e verses antigas dos S-RES, de forma que possa processar dados criados nessas verses. Incorporar o registro de informao relacionada a novos conhecimentos clnicos, novas disciplinas clnicas, e novas prticas e processos clnicos. G M R A M R
FUNC.28 - Acesso
ID FUNC.28.01 REQUISITO Direito de acesso REFERNCIA SBIS CONFORMIDADE Garantir acesso apenas ao(s) profissional(is) de sade indicado(s) pelo paciente como o(s) responsvel(is) pela guarda e manuseio do mesmo, bloqueando o acesso aos no indicados. G M A M
Verso 4.0
Dezembro/2011
Pgina: 89/101
CERTIFICAO 2011
8.6. Requisitos para GED

SGED.01 - Gerais
ID SGED.01.01 REQUISITO Utilizao de banco de dados Mtodo de Indexao Organizao dos documentos Qualidade REFERNCIA Resoluo CFM 1821/2007 Resoluo CFM 1821/2007 Resoluo CFM 1821/2007 Resoluo CFM 1821/2007
PRESENA CONFORMIDADE Utilizar base de dados adequada para o armazenamento dos arquivos digitalizados, em banco de dados relacional. M
SGED.01.02 SGED.01.03
Possuir mtodo de indexao que permita criar um arquivamento organizado, possibilitando a pesquisa de maneira simples e eficiente. Permitir a organizao dos documentos em pastas e sub-pastas, de forma a representar a estrutura de sees de um Pronturio. O documento digitalizado deve reproduzir todas as informaes dos documentos originais. Em caso de digitalizao de registros multimdia, tais como imagens, vdeos e udios, responsabilidade da comisso de pronturios analisar os algoritmos e formatos utilizados no processo, que eventualmente causem reduo da qualidade das imagens. As assinaturas do software, do operador e do responsvel devem ser apostas no registro final que ser armazenado (ps-processado). O sistema deve armazenar os algoritmos utilizados no processamento dos registros. Permitir o armazenamento de vrios formatos de documentos (PDF, DOCX, JPG, PNG, GIF, XLSX, PPTX,TIFF, KEY, ODT, etc.). Permitir a integrao com sistemas de informao externos, tais como sistemas integrados de gesto.
M M
SGED.01.04
SGED.01.05 SGED.01.06
Formatos de arquivo Integrao com sistemas externos
SBIS SBIS
M R
Verso 4.0
Dezembro/2011
Pgina: 90/101
CERTIFICAO 2011
8.7. Requisitos para TISS

TISS.01 Contedo e Estrutura para Prestadores do Grupo 1
ID TISS.01.01 REQUISITO Guia de Consulta TISS REFERNCIA ANS RN 153, 29/05/2007 CONFORMIDADE O S-RES deve ser capaz de capturar e/ou gerar os dados da Guia de Consulta TISS, conforme: http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/consulta/Guia_Consulta.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas O S-RES deve ser capaz de capturar e/ou gerar os dados da Guia de Servios Profissionais / Servio Auxiliar Diagnstico e Terapia (SP/SADT) TISS, conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/sp-sadt/Guia_SADT.xls http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/sp-sadt/Guia_SADT.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas O S-RES deve ser capaz de capturar os dados da Guia TISS de Solicitao de Internao, conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/solicita%20interna%E7%E3o/Gui a_Solicitacao_Internacao.xls e gerar este contedo em XML para compor a mensagem eletrnica SOLICITACAO_PROCEDIMENTOS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas O S-RES deve ser capaz de capturar os dados da Guia TISS de Resumo de Internao, conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/resumo%20e%20interna%E7%E 3o/Guia_Resumo_Internacao.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas
Grupo 1 SADT s
TISS.01.02
Guia de Servios Profissionais / SADT
ANS RN 153, 29/05/2007
TISS.01.03
Guia TISS de Solicitao de Internao
ANS RN 153, 29/05/2007
TISS.01.04
Guia TISS de Resumo de Internao
ANS RN 153, 29/05/2007
Grupo 1 inclui todos os S-RES no Grupo 1 da Tabela 1 (item 3.1. ), EXCETO S-RES para SADT isolados.
Dezembro/2011 Pgina: 91/101
Verso 4.0
CERTIFICAO 2011
ID TISS.01.05 REQUISITO Guia TISS de Honorrio Individual REFERNCIA ANS RN 153, 29/05/2007 CONFORMIDADE O S-RES deve ser capaz de capturar os dados da Guia TISS de e Honorrio Individual conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/Honor%E1rio%20Individual/Guia _Honorario_Individual.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas O S-RES deve ser capaz de capturar os dados da Guia TISS de Outras Despesas conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/outras%20despesas/Guia_Outra s_Despesas.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas
Grupo 1 SADT s
TISS.01.06
Guia TISS de Outras Despesas
ANS RN 153, 29/05/2007

ID TISS.02.01 REQUISITO Guia de Consulta TISS REFERNCIA ANS RN 153, 29/05/2007 CONFORMIDADE O sistema de informaes de prestadores da categoria 2 deve ser capaz de capturar e/ou gerar os dados da Guia de Consulta TISS, conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/consulta/Guia_Consulta.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas O sistema de informaes de prestadores da categoria 2 deve ser capaz de capturar os dados da Guia TISS de Solicitao de Internao, conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/solicita%20interna%E7%E3o/Guia_S olicitacao_Internacao.xls e gerar este contedo em XML para compor a mensagem eletrnica SOLICITACAO_PROCEDIMENTOS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas O sistema de informaes de prestadores da categoria 2 deve ser capaz de capturar e/ou gerar os dados da Guia de Servios Profissionais / Servio Auxiliar Diagnstico e Terapia (SP/SADT) TISS, conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/sp-sadt/Guia_SADT.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas
PRESENA
TISS.02.02
Guia TISS de Solicitao de Internao
ANS RN 153, 29/05/2007
TISS.02.03
Guia de Servios Profissionais / SADT
ANS RN 153, 29/05/2007
Verso 4.0
Dezembro/2011
Pgina: 92/101
CERTIFICAO 2011

ID TISS.03.01 REQUISITO Guia de Tratamento Odontolgico Solicitao REFERNCIA ANS RN 153, 29/05/2007 CONFORMIDADE O sistema de informaes de prestadores da categoria 3 deve ser capaz de capturar os dados da Guia TISS de Tratamento Odontolgico - Solicitao conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/tratamento%20odontol%F3gico/Guia _Solicitacao_odontologia.xls e gerar este contedo em XML para compor a mensagem eletrnica AUTORIZACAO_ODONTOLOGIA conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas O sistema de informaes de prestadores da categoria 3 deve ser capaz de capturar os dados da Guia TISS de Tratamento Odontolgico - Cobrana conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/tratamento%20odontol%F3gico/Guia _Cobranca_odontologia.xls e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas
PRESENA
TISS.03.02
Guia de Tratamento Odontolgico Cobrana
ANS RN 153, 29/05/2007
TISS.04 Contedo e Estrutura para Operadoras de Planos de Assistncia Mdica (Grupos 1 e 2)

ID TISS.04.01 REQUISITO Demonstrativo de Pagamento Demonstrativo de Anlise de Conta Mdica REFERNCIA ANS RN 153, 29/05/2007 ANS RN 153, 29/05/2007 CONFORMIDADE O sistema de informaes das operadoras de planos de assistncia medica dever gerar os dados do Demonstrativo de Pagamento, conforme: http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/demonstrativos/Demonstrativo.doc O sistema de informaes das operadoras de planos de assistncia medica dever gerar os dados do Demonstrativo de Anlise de Conta Mdica conforme http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/demonstrativos/Demonstrativo Conta Medica.doc
PRESENA
TISS.04.02
TISS.05 Contedo e Estrutura para Operadoras exclusivamente de Planos Odontolgicos (Grupo 3)

ID TISS.05.01 REQUISITO Guia de Tratamento Odontolgico Demonstrativo de Pagamento REFERNCIA ANS RN 153, 29/05/2007 CONFORMIDADE O sistema de informaes das operadoras de planos exclusivamente odontolgicos dever gerar os dados do Guia de Tratamento Odontolgico - Demonstrativo de Pagamento, conforme: http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/tratamento odontol%F3gico/Guia demonstrativo pagamento Odonto.xls Dezembro/2011
PRESENA
Verso 4.0
Pgina: 93/101
CERTIFICAO 2011
TISS.06 Comunicao para Prestadores dos Grupos 1 e 2 Nota 1: Observar que o contedo das mensagens em XML deve obedecer aos esquemas descritos acima nos requisitos de contedo, de acordo com o grupo no qual o S-RES se enquadra, conforme classificao da ANS. Por exemplo, em se tratando de S-RES de consultrio mdico este dever enviar as Guias de Faturamento de seu contexto, ou seja, as Guias de Consulta. Portanto, no ser exigido que um S-RES de consultrio seja capaz de enviar Guias de Resumo de Internao. Nota 2: Conforme o Manual de Comunicao e Segurana das Mensagens TISS, a comunicao prestador operadora poder ser: via WebServices (preferencialmente), via troca de arquivos em diretrios de entrada e sada, tambm definidos pelo padro TISS, ou, ainda atravs de upload no stio das operadoras na internet. Cada uma das mensagens abaixo descritas dever, portanto, obedecer a pelo menos um destes mtodos de comunicao para que o S-RES nesta categoria venha a ser certificado.
ID TISS.06.01 REQUISITO Guias de Faturamento Protocolo de Recebimento Lote de Guias Solicitao do Status do Protocolo Recebimento da Situao do Protocolo Solicitao de Procedimentos Recebimento Autorizao de Procedimentos Solicitao do Status da Autorizao REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS ENVIO_LOTE_GUIAS conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem TISS PROTOCOLO_RECEBIMENTO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS SOLIC_STATUS_PROTOCOLO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem SITUACAO_PROTOCOLO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS SOLICITACAO_PROCEDIMENTOS , conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.06.02
TISS.06.03
TISS.06.04
TISS.06.05
TISS.06.06
TISS.06.07
Verso 4.0
Dezembro/2011
Pgina: 94/101
CERTIFICAO 2011
ID TISS.06.08 REQUISITO Solicitao dos Demonstrativos de Retorno Recebimento de demonstrativos de pagamento, da anlise de contas mdicas e de odontologia Reapresentao de guias Cancelamento de Guias Verificao de Elegibilidade Recebimento da resposta a Verificao Elegibilidade REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de enviar as operadoras a mensagem TISS SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber as mensagens TISS "DEMONSTRATIVO_PAGAMENTO" e "DEMONSTRATIVO_ANALISE_CONTA_MEDICA" conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.06.09
TISS.06.10
TISS.06.11
TISS.06.12
TISS.06.13
ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007
O S-RES deve ser capaz de enviar as operadoras a mensagem TISS ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS CANCELA_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas mensagem TISS
O mensagem TISS O
TISS.07 Comunicao para Prestadores do Grupo 3

ID TISS.07.01 REQUISITO Guias de Faturamento Protocolo de Recebimento do Lote de Guias Solicitao do Status do Protocolo REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS ENVIO_LOTE_GUIAS conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem TISS PROTOCOLO_RECEBIMENTO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS SOLIC_STATUS_PROTOCOLO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas Dezembro/2011
PRESENA
TISS.07.02
TISS.07.03
Verso 4.0
Pgina: 95/101
CERTIFICAO 2011
ID TISS.07.04 REQUISITO Recebimento da Situao do Protocolo Solicitao de Autorizao Procedimentos Odontologia Recebimento da Autorizao de Procedimentos Solicitao do Status da Autorizao Solicitao dos Demonstrativos de Retorno Odontologia Recebimento, Demonstrativo de Odontologia Reapresentao de guias Cancelamento de Guias Verificao de Elegibilidade Recebimento da resposta a Verificao Elegibilidade REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber das operadoras a mensagem SITUACAO_PROTOCOLO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS AUTORIZACAO_ODONTOLOGIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas a mensagem M TISS M TISS M
PRESENA
TISS.07.05
TISS.07.06
TISS.07.07
TISS.07.08
O S-RES deve ser capaz de enviar as operadoras a mensagem SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
TISS.07.09
TISS.07.10
TISS.07.11
TISS.07.12
TISS.07.13
O S-RES deve ser capaz de receber as mensagens TISS "DEMONSTRATIVO_ODONTOLOGIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA , conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS CANCELA_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar as operadoras a mensagem TISS VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber das operadoras a mensagem TISS SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
Verso 4.0
Dezembro/2011
Pgina: 96/101
CERTIFICAO 2011
TISS.08 Comunicao para Operadoras de Planos de Assistncia Mdica (Grupos 1 e 2) Nota: Alm dos requisitos abaixo, as Operadoras devem atender tambm ao disposto na Nota Esclarecedora DIDES/GGSUS N 001/2008, disponvel em: http://www.ans.gov.br/portal/site/_hotsite_tiss/nota_esclarecedora_001_2008.htm
ID TISS.08.01 REQUISITO Guias de Faturamento Protocolo de Recebimento do Lote de Guias Solicitao do Status do Protocolo Envio da Situao do Protocolo Solicitao de Procedimentos Envio da Autorizao de Procedimentos Solicitao do Status da Autorizao Solicitao dos Demonstrativos de Retorno Envio de Demonstrativo de Pagamento e da Anlise de contas Mdicas Reapresentao de guias REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem TISS : ENVIO_LOTE_GUIAS conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar s operadoras a mensagem TISS PROTOCOLO_RECEBIMENTO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem TISS SOLIC_STATUS_PROTOCOLO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores a mensagem SITUACAO_PROTOCOLO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a Mensagem TISS SOLICITACAO_PROCEDIMENTOS , conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz enviar aos prestadores a mensagem TISS AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores as mensagens TISS "DEMONSTRATIVO_PAGAMENTO" e "DEMONSTRATIVO_ANALISE_CONTA_MEDICA", conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas Dezembro/2011
PRESENA
TISS.08.02
TISS.08.03
TISS.08.04
TISS.08.05
TISS.08.06
TISS.08.07
TISS.08.08
TISS.08.09
TISS.08.10
Verso 4.0
Pgina: 97/101
CERTIFICAO 2011
ID TISS.08.11 REQUISITO Cancelamento de Guias Verificao de Elegibilidade Resposta a Verificao Elegibilidade REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber dos prestadores a mensagem TISS CANCELA_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores a mensagem TISS SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.08.12
TISS.08.13
TISS.09 Comunicao para Operadoras exclusivamente de Planos Odontolgicos (Grupo 3) Nota: Alm dos requisitos abaixo, as Operadoras devem atender tambm ao disposto na Nota Esclarecedora DIDES/GGSUS N 001/2008, disponvel em: http://www.ans.gov.br/portal/site/_hotsite_tiss/nota_esclarecedora_001_2008.htm
ID TISS.09.01 REQUISITO Guias de Faturamento Protocolo de Recebimento do Lote de Guias Solicitao do Status do Protocolo Envio da Situao do Protocolo Solicitao de Procedimentos Odontologia Envio da Autorizao de Procedimentos REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem TISS ENVIO_LOTE_GUIAS conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores a mensagem TISS PROTOCOLO_RECEBIMENTO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem TISS SOLIC_STATUS_PROTOCOLO conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores a mensagem SITUACAO_PROTOCOLO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a Mensagem TISS AUTORIZACAO_ODONTOLOGIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz enviar aos prestadores a mensagem TISS AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS.09.02
TISS.09.03
TISS.09.04
TISS.09.05
TISS.09.06
Verso 4.0
Dezembro/2011
Pgina: 98/101
CERTIFICAO 2011
ID TISS.09.07 REQUISITO Solicitao do Status da Autorizao Solicitao dos Demonstrativos de Retorno Envio de Demonstrativo de Pagamento e da Anlise de contas Mdicas Reapresentao de guias Cancelamento de Guias Verificao de Elegibilidade Envio da resposta a Verificao Elegibilidade REFERNCIA ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 ANS RN 153, 29/05/2007 e IN n 26, de 10/05/2007 CONFORMIDADE O S-RES deve ser capaz de receber dos prestadores a mensagem SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores as mensagens DEMONSTRATIVO_ODONTOLOGIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
PRESENA
TISS M TISS M TISS M
TISS.09.08
TISS.09.09
TISS.09.10
TISS.09.11
O S-RES deve ser capaz de receber dos prestadores a mensagem TISS ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores a mensagem TISS CANCELA_GUIA, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de receber dos prestadores VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas O S-RES deve ser capaz de enviar aos prestadores SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas a mensagem TISS
TISS.09.12
O a mensagem TISS O
TISS.09.13
Verso 4.0
Dezembro/2011
Pgina: 99/101
CERTIFICAO 2011
9. Referncias
[1] [2] [3] [4] [5] [6] [7] [8] CFM. Resoluo 1638/2002. On-line. Disponvel em:
http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm
CFM. Resoluo 1639/2002. On-line. Disponvel em:

CFM. Resoluo 1821/2007. On-line. Disponvel em:

MEDIDA PROVISRIA No 2.200-2, DE 24 DE AGOSTO DE 2001. On-line. Disponvel em: https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm Cadastro Nacional de Usurios do Sistema nico de Sade. Disponvel em:
http://cartaonet.datasus.gov.br/
Cadastro Nacional de Estabelecimentos e Profissionais de Sade CNES. Disponvel em: http://www.datasus.gov.br/cnes Padro TISS. Disponvel em: http://www.ans.gov.br/portal/site/_hotsite_tiss ISO/TR 20.514:2005 Technical Report - Health informatics -- Electronic health record -- Definition, scope and context. Disponvel em:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=39525
[9]
ISO/TS 18.308:2004 - Health informatics -- Requirements for an electronic health record architecture. Disponvel em:
http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=33397
[10] ABNT ISO/TR 20.514 Informtica em sade - Registro eletrnico de sade Definio, escopo e contexto. Disponvel em:
http://www.abntnet.com.br/fidetail.aspx?FonteID=41192
[11] ABNT ISO/TS18.308 - Informtica em sade - Requisitos para uma arquitetura do registro eletrnico. Disponvel em:
http://www.abntnet.com.br/fiprint.aspx?FonteID=41190
[12] ISO/IEC 27.002:2005 - Information technology -- Security techniques -- Code of practice for information security management. Disponvel em:
[13] ABNT NBR ISO/IEC 27.002:2005 (antiga NBR ISO/IEC 17799:2005) - Cdigo de Prtica para a Gesto da Segurana da Informao. Disponvel em:
http://www.abntnet.com.br/ecommerce/default.aspx
[14] ISO/IEC 15.408-1:2005 Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model. Disponvel em:
Verso 4.0
Dezembro/2011
Pgina: 100/101
CERTIFICAO 2011
[15] ISO/IEC 15.408-2:2005 Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements. Disponvel em:
[16] ISO/IEC FCD 15.408-3:2005 Information technology - Security techniques Evaluation criteria for IT security - Part 3: Security assurance requirements. Disponvel em:
[17] HL7 Health Level 7 http://www.hl7.org [18] HL7 -EHR Functional Model. Disponvel em: http://www.hl7.org/EHR/ [19] CCHIT. Commercial Certification Handbook. Ambulatory EHR Products. Disponvel em:
http://www.cchit.org/files/Ambulatory_Domain/2007AEHRCertificationHandbookV2_1.pdf
[20] ABNT NBR ISO/IEC 27.001:2006 Sistemas de Gesto de Segurana da Informao Requisitos. Disponvel em: http://www.abntnet.com.br/ecommerce/default.aspx [21] ISO/FDIS - 21549-7 - Health informatics - Patient healthcard data - Part 7: Medication data - Final draft 2007 [22] Mon, Donald T.. Difference Between the EHR Standard and Certification. Journal of AHIMA 77, no.5 (May 2006): 66,68,70. [23] ETSI TS 101 733: ETSI. "Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats". [24] ABNT ISO/IEC GUIA 65/1997 Requisitos para Organismos que Operam Sistemas de Certificao de Produtos. [25] ABNT NBR ISO/IEC 17021:2007 Avaliao de Conformidade Requisitos para Organismos que Fornecem Auditoria e Certificao de Sistemas de Gesto. [26] ISO 27.799:2008 Health informatics -- Information security management in health using ISO/IEC 27002. Disponvel em:
Verso 4.0
Dezembro/2011
Pgina: 101/101

016 (Rev) Manual Certificacao SBIS CFM 2011 v4 Consulta Publica

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

016 (Rev) Manual Certificacao SBIS CFM 2011 v4 Consulta Publica

Încărcat de

Drepturi de autor:

Formate disponibile

Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES)

Editor: Marcelo Lcio da Silva

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Sociedade Brasileira de Informtica em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Conselho Federal de Medicina

Cmara Tcnica de Informtica em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

9. Referncias .............................................................................................................. 100

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Histrico das Revises

12/09/2007 01/10/2007 04/10/2007 16/10/2007 16/10/2007 19/10/2007 08/11/2007 10/03/2008 01/08/2008

2.2 2.3 2.4 2.5 2.6 2.7 3.0 3.1 3.2

Consultores SBIS Consultores SBIS

Pblico Consulta Pblica

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Definio de Termos Utilizados

Responsvel tcnico pelo S-RES

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

2.1. Padres Utilizados

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

2.3. Princpios da Certificao

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

3.1. Categorias e Enquadramento dos Sistemas

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Figura 1: Modelo esquemtico das categorias para certificao

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

4. Conceitos, Normas e Condies da Certificao

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

4.2. Configuraes de S-RES

4.3. Verses de S-RES

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

4.4. Validade da Certificao

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

4.5. Extenso da Certificao para Outras Configuraes ou Verses

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

4.6. Instrumentos Formais

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

4.7. Taxas e Preos

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

5.1. Processo Padro

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Figura 2: Fluxo do processo de certificao

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade

Manual de Certificao para Sistemas de Registro Eletrnico em Sade