Recomendações para a LGPD em Hospidata SIGH/SIGCLIN MV

Prévia do material em texto

Hospidata
SIGH / SIGCLIN MV - 
Recomendações para a LGPD
Índice
1 Boas práticas gerais de segurança da informação e privacidade de dados _________________________________________________ 3
1.1 Objetivo __________________________________________________________________________________________________________________________ 3
1.2 O que é informação? _______________________________________________________________________________________________________________ 3
1.3 O que é segurança da informação? ___________________________________________________________________________________________________ 3
1.4 Por que zelar pela Segurança da informação? __________________________________________________________________________________________ 3
1.5 O que fazer? ______________________________________________________________________________________________________________________ 3
2 Tipos de Ataques _________________________________________________________________________________________________ 4
2.1 Phishing __________________________________________________________________________________________________________________________ 4
2.2 Malware __________________________________________________________________________________________________________________________ 5
2.3 Pharming _________________________________________________________________________________________________________________________ 6
3 Recomendações aos Clientes _______________________________________________________________________________________ 6
3.1 Introdução ________________________________________________________________________________________________________________________ 6
3.2 Recomendações ___________________________________________________________________________________________________________________ 7
3.2.1 Assinatura Digital ________________________________________________________________________________________ 7
3.2.2 Limitar Acesso ao Banco de Dados __________________________________________________________________________ 7
3.2.3 Mobile Device Management ________________________________________________________________________________ 8
3.2.4 Realizar a coleta de termos de consentimento _________________________________________________________________ 8
3.2.5 Politica de Backup ________________________________________________________________________________________ 8
3.2.6 Controle de acesso rigoroso _______________________________________________________________________________ 8
3.2.7 Adesão ao Código de Ética da IMIA para Profissionais de Informática em Saúde ____________________________________ 8
4 Processo de adequação da MV Hospidata _____________________________________________________________________________ 9
Copyright ©2020 MV. Todos os direitos reservados. 3
Boas práticas gerais de segurança da informação e privacidade de dados
Objetivo
Este documento tem por objetivo orientar todos os usuários dos sistemas SIGH E SIGCLIN 
sobre o que é segurança de informação. Levando ao usuário uma visão geral de algumas 
práticas e ações que devem ser adotadas para garantir a segurança dos dados da instituição
O que é informação?
A informação é um conjunto de dados estruturados e organizados, visando transmitir algum 
significado. A informação pode estar presente em um papel, e-mail, arquivo, entre outros.
O que é segurança da informação?
São ações que objetivam viabilizar e assegurar a "[...] preservação da confidencialidade, 
integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como 
autenticidade, responsabilidade, não repúdio e confiabilidade[...] FONT: ABNT ISCO/IEC 
27001:2006
Por que zelar pela Segurança da informação?
A informação é um ativo muito importante para qualquer instituição, podendo ser considerada, 
atualmente, o recurso patrimonial mais critico e valioso. Informações sem integridade, 
indisponíveis ou na posse de pessoas de má-fé, comprometem a imagem da instituição e o 
andamento dos seus próprios processos. Em casos mais críticos, inviabilizando a continuidade 
do negócio.
O que fazer?
Observar e aplicar boas práticas e normativas de segurança que tratam da 
confidencialidade, integridade, disponibilidade e autenticidade da informação;
Adoção e cumprimento de uma política de segurança da informação organizacional;
Identificação dos ativos de informação institucionais, e seus devidos gestores, e os 
riscos de segurança envolvidos sobre os ativos;
Mantenha sua senha sempre segura com 8 ou mais caracteres; o ideal é que tenham 
no mínimo 14 caracteres. Combine letras, números e símbolos. Quanto maior a 
variedade de caracteres da senha, mais difícil será adivinha-la. Evite senhas fracas 
como: datas de nascimento e sequencias numéricas
Copyright ©2020 MV. Todos os direitos reservados. 4
1. 
Utilize um bom anti-vírus e antispyware/malware. Eles ajudam bastante caso a tentativa 
de obter seus dados seja feita através de uma execução remota, tanto localmente, 
quanto pela internet
Utilize criptografia nos diretórios onde há informações sensíveis.
Troque a senha a cada 45 dias / 60 dias;
Acesse somente endereços de sites confiáveis;
Entre outros.
Tipos de Ataques
Neste tópico serão exemplificados alguns tipos de ataques e maneiras de mitiga-los, vale 
ressaltar que todos os dias surgem novas vulnerabilidades e formas de ataque. Mantenha-se 
atualizado
Phishing
O que é? 
Tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um 
usuário, pela utilização combinada de meios técnicos e engenharia social.
Como Acontece? 
Tentam se passar pela comunicação oficial de uma instituição conhecida, como um 
banco, uma empresa ou um site popular;
Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela 
possibilidade de obter alguma vantagem financeira;
Informam que a não execução dos procedimentos descritos pode acarretar sérias 
consequências, como a inscrição em serviços de proteção de crédito cancelamento de 
um cadastro, de uma conta bancária ou de um cartão de crédito;
Tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso 
às páginas falsas, que tentam se passar pela página oficial da instituição da instalação 
de códigos maliciosos, projetados para coletar informações sensíveis; e do 
preenchimento de formulários contidos na Mensagem ou em página Web.
O Que Fazer? 
Fique atento a mensagens, recebidas em nome de alguma instituição, que tentem induzi-
lo a fornecer informações, instalar/executar programas ou clicar e links;
Copyright ©2020 MV. Todos os direitos reservados. 5
2. 
3. 
4. 
5. 
6. 
7. 
8. 
1. 
2. 
3. 
Questione-se por que instituições com as quais você não tem contato estão lhe enviando 
mensagens;
Fique atento a mensagens que apelem demasiadamente pela sua atenção;
Seja cuidadoso ao acessar links. Procure digitar o endereço diretamente no navegador 
Web;
Verifique o link apresentado na mensagem. Golpistas costumam usar técnicas para 
ofuscar o link real para o phishing;
Verifique se a página utiliza conexão segura;
Verifique as informações mostradas no certificado (https);
Acesse a página da instituição que supostamente enviou a mensagem e procure por 
informações (você vai observar que não faz parte da política da maioria das empresas o 
envio de mensagens, de forma indiscriminada, para os seus usuários);
Malware
O que é? 
São programas (Vírus, worm, spyware, trojan e outros) especificamente desenvolvidos para 
executar ações danosas e atividades maliciosas em um computador que podem, dentre 
outras, executar ações em nome dos usuários.
Como Acontece? 
Pela exploração de vulnerabilidades existentes nos programas instalados;
Pela autoexecução de mídias removíveis infectadas, como pen-drives;
Pela execução de arquivos previamente infectados, obtidos em anexo de mensagens 
eletrônicas;
Em páginas Web Infectadas;
E ainda diretamentede outros computadores (através do compartilhamento de 
recursos);
O Que Fazer?
Seja cuidadoso ao clicar em links, independente de como foram recebidos e de quem os 
enviou;
Procure desabilitar a autoexecução de mídias removíveis (se estiverem infectadas, elas 
podem comprometer o ser computador ao serem executadas);
Não abra ou execute arquivos sem antes verificá-los com seu antimalware (antivírus);
Copyright ©2020 MV. Todos os direitos reservados. 6
4. 
1. 
2. 
3. 
Não crie e não permita o uso de contas (logins) compartilhadas, cada conta deve ser 
acessada apenas por uma pessoa.
Pharming
O Que é? 
Tipo específico de phishing (tipo de fraude) que envolve a redireção da navegação do usuário 
para sites falsos.
Como Acontece? 
Quando você tenta acessar um site legítimo, o seu navegador Web é redirecionado, de 
forma transparente, para uma página falsa.
O Que Fazer? 
Desconfie se, ao digitar uma URL (endereço), for redirecionado para outro site, o qual 
tenta realizar alguma ação suspeita, como abrir um arquivo ou tentar instalar um 
programa (recomenda-se não abrir e nem instalar);
Desconfie imediatamente caso o site de comércio eletrônico ou Internet Banking que 
você está acessando não utilize conexão segura (https). Sites confiáveis de comércio 
eletrônico e Internet Banking sempre usam conexões seguras quando dados pessoais e 
financeiros são solicitados (certifique-se de que o site usa protocolo seguro - https, antes 
de fornecer seu dados);
Observe se o certificado apresentado corresponde ao do site verdadeiro ;
Recomendações aos Clientes
Introdução
Para garantir as melhores atualizações de segurança e funcionalidades que apoiam em 
questão de privacidade, para qualquer software, é importante estar atualizado na última 
versão. Com o SIGH E SIGCLIN não é diferente. Ao longo do tempo, para cada mudança 
tecnologia e versão significativa dos produtos, é melhorada aderência aos padrões mais 
atuais, assim como melhorias que deixam o software mais seguro.
Uma das mais recomendadas práticas de segurança da informação é manter tecnologias e 
software sempre atualizados, para evitar brechas de segurança. Os tipos de ataque evoluem e 
as tecnologias evoluem em paralelo, portanto os usuários precisam evoluir no mesmo ritmo, 
adotando as ferramentas mais atualizadas.
Copyright ©2020 MV. Todos os direitos reservados. 7
Outras boas práticas são fazer cópias de segurança, utilizar firewall, ter uma ferramenta de 
gestão de incidentes, implementar uma política de segurança, plano de contingência, investir 
nos melhores equipamentos de segurança, investir na educação em segurança, ter uma boa 
gestão de riscos, entre outros.
Recomendações
Assinatura Digital
A Assinatura Digital garante, de acordo com o ITI:
Autenticidade;
Integridade;
Confiabilidade;
Não repúdio;
"No âmbito da ICP-Brasil, a assinatura digital possui autenticidade, integridade, 
confiabilidade e o não-repúdio, seu autor não poderá, por forças tecnológicas e legais, 
negar que seja o responsável por seu conteúdo.¿ A assinatura digital fica de tal modo 
vinculada ao documento eletrônico que, caso seja feita qualquer alteração no 
documento, a assinatura se torna inválida. A técnica permite não só verificar a autoria 
do documento, como estabelece também uma “imutabilidade lógica” de seu conteúdo, 
pois qualquer alteração do documento, como por exemplo a inserção de mais um 
espaço entre duas palavras, invalida a assinatura."¿
ITI. Perguntas Frequentes sobre Certificado Digital. Disponível em <https://iti.gov.br/perguntas-
>.frequentes/41-perguntas-frequentes/112-sobre-certificacao-digital
Acessado em 23/07/2020
Atualmente nossos sistemas possuem certificação digital nós seguintes pontos:
SIGH - Fluxo de atendimento, Fluxo de Atendimento com classificação de Riscos, Evoluções, 
Prescrições e SAE
SIGCLIN - Fluxo de Atendimento, Evoluções e Prescrições
Limitar Acesso ao Banco de Dados
Para aumentar a segurança do sistema, será necessário limitar o acesso ao banco de dados. 
Várias estratégias podem ser utilizadas, como a de limitar o acesso via firewall. Ainda 
acrescentamos a necessidade de criar papéis (ROLES) no SGBD e atribuí-los aos usuários 
criados, aumentando assim a segurança com o intuito de impedir o acesso de entidades não 
autorizadas aos dados da aplicação
https://iti.gov.br/perguntas-frequentes/41-perguntas-frequentes/112-sobre-certificacao-digital
https://iti.gov.br/perguntas-frequentes/41-perguntas-frequentes/112-sobre-certificacao-digital
Copyright ©2020 MV. Todos os direitos reservados. 8
Mobile Device Management
Quando houver a utilização de dispositivos móveis para exercer as atividades requeridas pela 
instituição, seja o dispositivo fornecido pela própria instituição ou sendo do próprio usuário, é 
importante utilizar uma solução de MDM para garantir a segurança dos Apps instalados, assim 
como limpeza de dados, quando necessário.
Realizar a coleta de termos de consentimento
O fornecimento do termo de consentimento pelo titular dos dados é uma importante base legal 
da LGPD, assim, caso não identificada outra base legal que fundamente o tratamento do dado, 
faz-se recomendável a existência da coleta dos respectivos termos de consentimento junto aos 
titulares.
O consentimento pode ser confeccionado e emitido pelas ferramentas de Gerador de 
Relatórios.
Politica de Backup
Manter uma rotina de backup diária e armazenamento seguro deste backup é fundamental 
para manter os dados da instituição seguros em caso de algum incidente que comprometa as 
informações.
Controle de acesso rigoroso
Ambos os sistemas, permitem o controle de acesso baseado em grupos, no qual é possível 
designar funcionalidades para usuários ou grupos de usuários específicos. O acesso deve ser 
concedido apenas àquelas funcionalidades que fazem parte da atividade profissional do 
usuário, com a devida capacitação do mesmo sobre a politica de privacidade do cliente.
Adesão ao Código de Ética da IMIA para Profissionais de Informática em Saúde
Recomendamos que todos os profissionais de Informática Aplicada à Saúde das instituições 
firmem um termo de concordância com O Código de Ética da IMIA para Profissionais de 
Informática em Saúde, disponível em:http://www.sbis.com.br/images/ProTics
(acessado em 23/07/2020), traduzido pela SBIS./Codigo_Etica_IMIA_Brasil.pdf
Os profissionais certificados CPTICS pela SBIS, têm a obrigação de assinar um documento de 
concordância com este código, para que possam prestar o exame de certificação.
http://www.sbis.com.br/images/ProTics/Codigo_Etica_IMIA_Brasil.pdf
http://www.sbis.com.br/images/ProTics/Codigo_Etica_IMIA_Brasil.pdf
Copyright ©2020 MV. Todos os direitos reservados. 9
Processo de adequação da MV Hospidata
MV está se adequando à LGPD em seu âmbito corporativo. Contamos com a consultoria 
especializada da Indyxa, além de consultoria Jurídica especializada. Com isso, avançaremos 
constantemente para levar processos cada vez mais seguros e adequados à evolução da 
legislação e da governança em privacidade, oportunizando um alto grau de proteção aos 
dados de funcionários, fornecedores, clientes e parceiros.
	Boas práticas gerais de segurança da informação e privacidade de dados
	Objetivo
	O que é informação?
	O que é segurança da informação?
	Por que zelar pela Segurança da informação?
	O que fazer?
	Tipos de Ataques
	Phishing
	Malware
	Pharming
	Recomendações aos Clientes
	Introdução
	Recomendações
	Assinatura Digital
	Limitar Acesso ao Banco de Dados
	Mobile Device Management
	Realizar a coleta de termos de consentimento
	Politica de Backup
	Controle de acesso rigoroso
	Adesão ao Código de Ética da IMIA para Profissionais de Informática em Saúde
	Processo de adequação da MV Hospidata