A certificação de plataformas de telemedicina para uso da assinatura digital. Por Renato Sabbatini
25 de novembro de 2020O uso de certificados digitais para assinatura de documentos clínicos é adotado no Brasil desde a primeira resolução do Conselho Federal de Medicina (CFM), em 2007
Por Renato M.E. Sabbatini
Naquela época, o sistema e os padrões de infraestrutura de chaves públicas para certificados digitais (ICP) já existiam desde uma medida provisória do governo federal, de 2000.
Também na mesma época, uma colaboração entre o CFM e a Sociedade Brasileira de Informática em Saúde tornou possível o desenvolvimento de um processo de certificação de Sistemas de Registro Eletrônico de Saúde (SRES), que assegurasse que sistemas desse tipo, que se caracterizam por conter informação identificada e sensível de pessoas, teria uma conformidade a um número mínimo de requisitos de segurança, estrutura, conteúdo e funcionalidade.
Através de um processo de auditoria, desde então a SBIS certificou dezenas de sistemas, em um trabalho pioneiro e de grande importância, que continua até o presente.
A SBIS cria, publica e atualiza periodicamente manuais de requisitos que devem ser testados e obedecidos em sua integralidade para que o software seja certificado. Os mais recentes, publicados em novembro de 2020, abrangem novas áreas e tipos de sistemas, como para plataformas das várias modalidades da telemedicina, como teleconsulta, teletriagem e teleinterconsulta.
Essa nova certificação deve ser de grande interesse para as numerosas empresas, principalmente as integrantes do ecossistema de inovação das chamadas “healthtechs”, que são as “startups” envolvidas na área de saúde, uma vez que obter o selo de certificação é uma vantagem competitiva inegável, principalmente em tempos de LGPD (Lei Geral de Proteção de Dados Pessoais, já vigente desde setembro), bem como para assegurar qualidade e segurança por uma autoridade notória nessas tecnologias.
Como ficou o uso de certificados digitais para autenticação e assinatura nessas certificações?
Este domínio de certificação, segundo a SBIS, é denominado de NGS2, ou Nível de Garantia de Segurança 2, que amplia e complementa o NGS1, que é o mais básico (e obrigatório para a certificação de todos os sistemas), mediante o uso de certificados digitais padrão ICP Brasil A3 ou A4 para a assinatura digital, ou A1 em diante para a certificação.
Nos manuais de requisitos anteriores, o NGS2 sempre foi opcional, ou seja, se o usuário do sistema do PEP, por exemplo (Prontuário Eletrônico do Paciente) preferir não utilizar a assinatura digital, ele pode continuar imprimindo papel e assinando fisicamente com carimbo e caneta!
Em sistemas de telemedicina, no entanto, essa possibilidade seria absurda, pois toda a transação de documentos é puramente eletrônica: sua funcionalidade e agilidade ficaria muito prejudicada se todos os documentos envolvidos na atenção clínica tivessem que ser impressos, assinados e enviados fisicamente pelo correio!
Fica claro, portanto, que não se pode conceber uma plataforma de telemedicina que não use o certificado digital para assinatura, importação e exportação de documentos digitais, tais como receitas, atestados, pedidos e resultados de exames, e outros mais.
Diante do cenário da pandemia, em que o governo federal, através de portarias e uma lei específica, autorizou a modalidade de telemedicina direta entre profissional clínico e paciente, que é a teleconsulta (antes permitida apenas em situações excepcionais), surgiram novas iniciativas.
Sendo a principal uma plataforma de assinatura digital voltada á área de saúde, em uma colaboração entre a SBIS, o CFM, o CFF (Conselho Federal de Farmácia) e o ITI: Instituto de Tecnologia de Informação, gestor da ICP Brasil, plataforma essa que está disponível desde junho de 2020 e tem sido utilizada milhões de vezes.
A SBIS não somente incorporou essa obrigatoriedade do uso do certificado digital para a assinatura em sua certificação para plataformas de telemedicina, telessaúde e receita digital, como criou um documento de especificação de como a exportação de documentos em PDF assinados digitalmente por tais plataformas deve ser feito, como por exemplo, uma receita digital ser gerada pelo PEP do médico, assinada digitalmente com um certificado válido ICP Brasil do tipo A3 ou A4, e enviado ao destinatário, seja ele o paciente, a farmácia, etc.
Esta é uma ótima novidade, pois aumenta dramaticamente a segurança, a confidencialidade, a integridade e a proteção dos dados exportados, uma vez que a assinatura digital por um dos padrões adotados pela SBIS (PADES, CADES ou XADES: Advanced Digital Electronic Signature).
Certificar o NGS2 é trabalhoso: são 34 requisitos para o nível 3 de maturidade, que se desdobram em 55 sub-requisitos. É necessário a equipe ter um conhecimento técnico profundo sobre o processo de desenvolvimento de bibliotecas de rotinas, utilizando os vários padrões ICP, com XMLDSIG ou CMS, os vários formatos de assinatura ADES, as políticas exigidas, como AD-RB, AD-RT, AD-RV ou AD-RC, a leitura e validação do CD, a aposição da assinatura, com ou sem carimbo de tempo (selo cronológico, SigningTime, que são diferentes para cada formato), sua validação em um portal com LCR (Lista de Certificados Revogados), e muito mais.
Assim, historicamente, a maioria das empresas certificadas pela SBIS tem procurado implementar um modelo de serviço on-line para a maioria dessas operações (frameworks de assinatura digital), inclusive com o armazenamento dos certificados em um HSM (Hardware Security Module) residente na nuvem, etc., ao invés de tentar desenvolver suas próprias rotinas.
Até recentemente, algumas empresas comercializavam SDK (Software Development Kits), com bibliotecas que os desenvolvedores de SRES podiam incorporar às suas bibliotecas e evitar fazer um desenvolvimento mais pesado, bastando aprender a como fazer as chamadas às rotinas.
O surgimento de plataformas de assinatura digital (DSaS: Digital Signature as a Service) já incorporando o carimbo de tempo gerado uma Autoridade de Carimbo de Tempo (ACT) credenciada pelo ITI, usando certificados T, facilitou muito a implementação do NGS2 até para empresas de pequeno porte, e assim conseguir a tão ambicionada certificação SBIS.
No próximo artigo comentaremos algumas das novidades da certificação para NGS2 da SBIS.
Para Saber Mais
Sabbatini, Renato M.E.: Certificação de Registros Eletrônicos de Saúde e o Uso do Certificado Digital na Documentação Clínica. Vídeo da palestra no CertForum 2019. Brasília: Instituto de Tecnologia da Informação. Disponível na Internet. Acessado em 24/11/2020. URL.
O Autor
O Prof. Renato Marcos Endrizzi Sabbatini é um dos pioneiros da Informática em Saúde na América Latina, com 50 anos de experiência profissional na área. Atua também como professor e consultor na área de teste e certificação de softwares e de segurança da informação, aplicações dos certificados digitais etc., desde 2010.
É Fellow da International Academy of Health Sciences Informatics e do American College of Medical Informatics.
Contato: renato@sabbatini.com
Copyright © 2020 by Renato Marcos Endrizzi Sabbatini. Direito de reprodução cedido para Crypto ID.
Entrevista com Dr. Renato Sabbatini, a maior autoridade em Tecnologia Médica do Brasil
Informática em Saúde: Um Sonho Que Deu Certo, 1986-2016
Decreto 14.543/2020 regulamenta o artigo 5º da Lei 14.063/2020