170 likes | 267 Vues
Sistemas de Informação para a Gestão da Saúde. Fundação Aplicações de Tecnologias Críticas - Atech Rua do Rocio, 313 - 11º andar 04552-000 - Vila Olímpia -São Paulo/SP Tel.: (011) 3040.7318 - Fax: (011) 3040.7400. SCAI- Sistema de Controle de Acesso para os Requisitos da Saúde.
E N D
Sistemas de Informaçãopara a Gestão da Saúde Fundação Aplicações de Tecnologias Críticas - Atech Rua do Rocio, 313 - 11º andar 04552-000 - Vila Olímpia -São Paulo/SP Tel.: (011) 3040.7318 - Fax: (011) 3040.7400
SCAI-Sistema de Controlede Acesso para os Requisitos da Saúde Aldisney Martins1 – Fundação Atech/Vidatis Einar Saukas2 – Summa Technologies Juliano Zanardo3 - Fundação Atech/Vidatis 1,3Atech / Vidatis - Sistemas de Informação em Saúde,2Summa Technologies
A Realidade • Firewalls não são infalíveis40% das quebras de segurança na Internet ocorrem em sites protegidos por Firewalls. • A maioria das quebras de segurança são provocadas por HackersPerda dos dados e roubo de informações. • Criptografia não dá toda a segurança necessáriaA maioria dos algorítimos já foram quebrados. • Tecnologia ajuda, mas… • É necessário definir processos metodológicos e uma boa política de segurança.
SBIS-CFM • “Fica instituída a Infra-Estrutura deChaves Públicas Brasileira – ICP-Brasil, paragarantir a autenticidade, a integridade e avalidade jurídica de documentos em formaeletrônica, das aplicações de suporte e dasaplicações habilitadas que utilizemcertificadosdigitais, bem como a realização de transaçõeseletrônicas seguras.” • ICP - provê um sistema deidentificação em que cada usuário, servidor ousistema recebe um certificado digital.
Princípios da Segurança • Autenticação- Processo pelo qual a identidade de uma entidade é verificada • Autorização- Associar uma identidade a uma lista de direitos, privilégios, ou áreas de acesso • Controle de Acesso- Garantir que usuários não autorizados serão mandados embora • Confidencialidade- Proteger informações sensíveis de forma que estas não sejam vistas indiscriminadamente • Integridade- Assegurar que recursos ou dados não sejam alterados por entidades não autorizadas • Não repudiação- Quando não se pode negar a autenticidade de um documento, a sua assinatura ou o seu envio • Disponibilidade- Legitimar que os usuários tenham acesso quando necessitarem
Requisitos Comuns • Módulo de Gerenciamento de usuários, grupos, perfis e permissões • Autenticação • Autorização • Criptografia “Função de Hashing” • Geração de menus dinâmicos • Restrição de acesso por permissão
Requisitos Críticos para Saúde • Controle de Sessão do Usuário • (data e hora, IP, empresa, aplicativo,…) • Monitoração • Auditoria • Senhas que expiram automaticamente • Gerenciamente por Delegação Hierárquica • Suporte a Autenticação via cartão SUS • Certificados Digitais • Chaves públicas (cifra) e privadas (decifra)
Papéis Hierárquicos • Modelo adotado no InCor/HCFMUSP • Hierarquia de papéis (herança de permissões) • Regras conflitantes: ganha ou perde permissão? • Controle de Alçada: perfis restritos por ocupações • Resolução de conflitos autorizacao = < perfil, tipo-privilegio,operacao, tipo-autorizacao > (+ / -) (Forte / Fraca)
O que é o SCAI? • Sistema de Controle de AcessoIntegrado • Solução multi-plataforma (100% Java) • Ferramentas open-source e gratuitas • Segurança de Aplicações na Internet em Ambiente Distribuído • Acesso x Confidencialidade • Suporte a gerência de grande número de usuários • Baseado nas normas de segurança da SBIS.
Usuário Ocupação Empresa Grupo Alçada Perfil Autorização Permissão Aplicativo Visão Conceitual
Principais Módulos • Web Filter • Validar asregras de acesso a páginas web • EJB Filter • 2o Nível de segurança, valida regras de acesso aos métodos • API • Utilizada pelas aplicações, para controles mais específicos • Log • Armazenamento de informações de execução da aplicação • Módulo de Gerenciamento • Interface web paraconfiguração e monitoração de todas asaplicações integradas ao SCAI.
Utilização do SCAI • Sistemas da Secretaria Municipal de • Saúde de São Paulo • (Agendamento, Regulação, APAC, CNS e outros) • 700 Estabelecimentos (atendem SUS) • 40 mil profissionais de saúde • 40 mil consultas/dia • 5 milhões de procedimentos ambulatoriais por mês
Fundação Aplicações de Tecnologias Críticas - Atech Rua do Rocio, 313 - 11º andar 04552-000 - Vila Olímpia -São Paulo/SP Tel.: (011) 3040.7300 - Fax: (011) 3040.7400