Manual Certificacao SBIS-CFM 2008 v3-2

Manual de Certificao
para Sistemas de Registro

Eletrnico em Sade (S-RES)
Verso 3.2
CERTIFICAO 2008
Editores:
Beatriz de Faria Leo
Cludio Giulliano Alves da Costa
John Lemos Forman
Marcelo Lcio da Silva
Stanley da Costa Galvo
Agosto de 2008
Manual de Certificao para

Sistemas de Registro Eletrnico em Sade
CERTIFICAO 2008
Conselho Federal de Medicina

Diretoria
Gesto de: 13/10/2004 12/10/2009
Presidente:
1 Vice-Presidente:
2 Vice-Presidente:
3 Vice-Presidente:
Secretrio-geral:
1 Secretrio:
2 Secretrio:
Tesoureiro:
2 Tesoureiro:
Corregedor:
Vice-Corregedor:
Edson de Oliveira Andrade

Roberto Luiz D'Avila
Rafael Dias Marques Nogueira
Gerson Zafalon Martins
Livia Barros Garcao
Henrique Batista e Silva
Clvis Francisco Constantino
Jos Hiran da Silva Gallo
Ricardo Jos Baptista
Pedro Pablo Magalhes Chacel
Jose Fernando Maia Vinagre
Cmara Tcnica de Informtica em Sade e Telemedicina

Roberto Luiz D'Avila (Coordenador)
Camilo Mussi
Gerson Zafalon Martins
Jos A. Escamilla
Mauricio Moreira
Ricardo Bessa
Verso 3.2
Data: 01/08/2008
Pgina: 2/96

CERTIFICAO 2008
Sociedade Brasileira de Informtica em Sade

Diretoria
Gesto 2007 -2008
Presidente:
Vice-Presidente:
Secretria:
Tesoureiro:
Heimar de Ftima Marin

Evandro Eduardo Seron Ruiz
Grace Dal Sasso
Membros do Grupo de Interesse (GI)

em Certificao de Software e Padres que participaram da elaborao
deste manual
Adilson Eduardo Guelfi
Alex Souza Silveira
Cludio Giulliano Alves da Costa (Coordenador)
Eduardo Pereira Marques
John Lemos Forman
Luis Gustavo Gasparini Kiatake
Luiz Renato Evangelisti
Matteo Nava
Marcelo Lcio da Silva (Secretrio)
Osni Pereira
Stanley da Costa Galvo (Vice-Coordenador)
Tulio Toshiharu Rodrigues Takemae
Volnys Borges Bernal
Consultoria e Reviso Jurdica

Leopoldo Santana Luz
Verso 3.2
Data: 01/08/2008
Pgina: 3/96

CERTIFICAO 2008
ndice
Histrico das Revises..................................................................................................................6
Glossrio ...........................................................................................................................................7
1. Introduo..................................................................................................................................8
2. Referencial Terico ...............................................................................................................10
2.1.
2.2.
2.3.
Definies ..............................................................................................................................10
Padres Utilizados................................................................................................................10
Princpios da Certificao ...................................................................................................16
3. Escopo de Certificao ........................................................................................................19

3.1.
Categorias e Enquadramento dos Sistemas ...................................................................20
4. Conceitos, Normas e Condies da Certificao .........................................................23

4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
Componentes de um S-RES ..............................................................................................23

Configuraes de S-RES ....................................................................................................23
Verses de S-RES ...............................................................................................................23
Validade da Certificao .....................................................................................................25
Extenso da Certificao para Outras Configuraes ou Verses ..............................25
Instrumentos Formais ..........................................................................................................27
Taxas e Preos .....................................................................................................................27
5. Processo de Certificao.....................................................................................................29
5.1.
5.2.
5.3.
5.4.
Processo Padro ..................................................................................................................29

Processo para Extenso de Certificao .........................................................................39
Apelaes, Reclamaes e Disputas................................................................................39
Auditorias Internas do Processo de Certificao ............................................................40
6. Estrutura do Centro de Certificao da SBIS.................................................................41

6.1.
6.2.
6.3.
6.4.
6.5.
Comit de Certificao ........................................................................................................41

Gerente do Centro de Certificao....................................................................................41
Auditores ................................................................................................................................42
Secretaria...............................................................................................................................42
Diretoria da SBIS ..................................................................................................................43
7. Uso da Informao Relacionada com a Certificao ...................................................45

7.1.
7.2.
Referncias ao Estado de S-RES Certificado .................................................................46

Uso do Selo de Certificao SBIS/CFM ...........................................................................47
Verso 3.2
Data: 01/08/2008
Pgina: 4/96

CERTIFICAO 2008
7.3.
7.4.
Referncias ao Processo de Certificao ........................................................................47

Tratamento de Reclamaes pelos Solicitantes e Clientes Certificados ....................48
8. Requisitos de Conformidade..............................................................................................49
8.1. Viso Geral dos Requisitos de Segurana.......................................................................49
8.2. Viso Geral dos Requisitos de Contedo, Estrutura e Funcionalidades para S-RES
Assistencial ......................................................................................................................................52
8.3. Viso Geral dos Requisitos para GED..............................................................................53
8.4. Viso Geral dos Requisitos para TISS .............................................................................53
8.5. Apresentao dos Requisitos para Certificao SBIS/CFM .........................................54
8.6. Requisitos do Nvel de Garantia de Segurana 1 (NGS1) ............................................55
8.7. Requisitos do Nvel de Garantia de Segurana 2 (NGS2) ............................................65
8.8. Requisitos de Estrutura e Contedo para S-RES Assistencial.....................................69
8.9. Requisitos de Funcionalidades para S-RES Assistencial..............................................75
8.10. Requisitos para GED .........................................................................................................84
8.11. Requisitos para TISS.........................................................................................................85
9. Referncias..............................................................................................................................95
Verso 3.2
Data: 01/08/2008
Pgina: 5/96

CERTIFICAO 2008
Histrico das Revises

Data
Verso
Descrio
Autores
Distribuio
25/08/2003
1.0
Especificao
Inicial
GT Certificao SBIS
30/11/2003
1.1
Primeira Reviso
02/12/2003
1.2
Segunda Reviso
03/12/2003
1.3
Terceira Reviso
15/12/2003
1.4
Quarta Reviso
12/02/2004
2.0
Quinta Reviso
19/02/2004
2.1
Sexta Reviso
12/09/2007
2.2
01/10/2007
2.3
04/10/2007
2.4
16/10/2007
2.5
16/10/2007
2.6
19/10/2007
2.7
08/11/2007
3.0
10/03/2008
3.1
01/08/2008
3.2
Inicio Reviso Fase

2
Fase 2 2
Reviso
Fase 2 3
Reviso
Fase 2 4
Reviso
Reviso prconsulta pblica
Reviso Final p/
consulta pblica
Reviso Final p/
publicao
Adequao ao MEA
1.0
Reviso final (psconsulta pblica)
para publicao
GT Certificao SBIS
- CT Informtica em
Sade e Telemedicina
CFM
GT Certificao SBIS
- CT Informtica em
Sade e Telemedicina
CFM
GT Certificao SBIS
- CT Informtica em
Sade e Telemedicina
CFM
GT Certificao SBIS
- CT Informtica em
Sade e Telemedicina
CFM
GT Certificao SBIS
- CT Informtica em
Sade e Telemedicina
CFM
GT Certificao SBIS
- CT Informtica em
Sade e Telemedicina
CFM
GT Certificao SBIS
- CT Informtica em
Sade e Telemedicina
CFM
Consultores SBIS
Verso 3.2
GT Certificao SBIS /
Diretoria SBIS / Cmara
Tcnica Informtica em
Sade do CFM
Sade do CFM
Sade do CFM
Sade do CFM
Sade do CFM
Pblico
Consultores SBIS
Diretoria SBIS e
Coordenao GI Certificao
Diretoria SBIS e
Diretoria SBIS e
Diretoria SBIS e
Diretoria SBIS e
Consulta Pblica
Consultores SBIS
Pblico
Consultores SBIS
Consulta Pblica
Consultores SBIS
Pblico
Consultores SBIS
Consultores SBIS
Consultores SBIS
Consultores SBIS
Data: 01/08/2008
Pgina: 6/96

CERTIFICAO 2008
Glossrio
Cliente certificado: organizao cujo S-RES foi certificado.
Empresa de conectividade: empresa que prov ou executa a troca eletrnica de dados
entre a Operadora e o Prestador.
Imparcialidade: presena real e perceptvel de objetividade
Operadora (de plano de sade): empresa do setor de sade suplementar que oferece
aos consumidores os planos de assistncia sade.
Prestador (de servio de sade): empresa ou profissional autorizado a executar aes
e/ou servios de sade, que prestam servios s operadoras de plano de
sade.
Solicitante: organizao ou pessoa solicitante (contratante) da certificao.
Representante legal: pessoa com poderes para representar juridicamente a organizao,
conforme designao em seu estatuto ou contrato social ou em procurao.
Responsvel tcnico pelo S-RES: profissional designado pela organizao
desenvolvedora ou detentora dos direitos do S-RES, como responsvel pelas
questes tcnicas relativas ao sistema.
ABNT Associao Brasileira de Normas Tcnicas
ABRAHUE Associao Brasileira de Hospitais Universitrios e de Ensino
AC Autoridade Certificadora
AMB Associao Mdica Brasileira
ANS Agncia Nacional de Sade Suplementar
ANSI American National Standards Institute
ANVISA Agncia Nacional de Vigilncia Sanitria
AR Autoridade Registradora
ASSESPRO Associao das Empresas Brasileiras de Tecnologia da Informao,
Software e Internet
CC Centro de Certificao SBIS
CCHIT Certification Commission for Healthcare Information Technology
CFM Conselho Federal de Medicina
CNES Cadastro Nacional de Estabelecimentos e Profissionais de Sade do SUS
CNU Cadastro Nacional de Usurios do SUS
CONARQ Conselho Nacional de Arquivos
CRO Conselho Regional de Odontologia
HL7 Health Level Seven
ICP Infra-estrutura de Chaves Pblicas
IEC International Eletrotechnical Commission
ISO International Organization for Standardization
ITI Instituto Nacional de Tecnologia da Informao
MS Ministrio da Sade
ONA Organizao Nacional de Acreditao
PEP Pronturio Eletrnico do Paciente
RES Registro Eletrnico em Sade
SBIS Sociedade Brasileira de Informtica em Sade
SGBD Sistema de Gerenciamento de Banco de Dados
S-RES Sistema de Registro Eletrnico em Sade
TISS Troca de Informao em Sade Suplementar
UTC Coordinated Universal Time
Verso 3.2
Data: 01/08/2008
Pgina: 7/96

CERTIFICAO 2008
1. Introduo
O Conselho Federal de Medicina (CFM) tem recebido nos ltimos anos uma srie de
solicitaes de pareceres a respeito da legalidade da utilizao de sistemas
informatizados para capturar, armazenar, manusear e transmitir dados do atendimento em
sade. Uma das indagaes mais freqentes a substituio do papel pelo formato
eletrnico. Ciente da complexidade do assunto e da necessidade de aprofundar os
aspectos tcnicos sobre esta questo, o CFM, atravs da Cmara Tcnica de Informtica
em Sade e Telemedicina, estabeleceu convnio de cooperao tcnica com a
Sociedade Brasileira de Informtica em Sade para desenvolver o processo de
certificao de sistemas informatizados em sade.
O primeiro produto da parceria SBIS/CFM foi a elaborao da resoluo n. 1639/2002
que aprovou as "Normas Tcnicas para o Uso de Sistemas Informatizados para a Guarda
e Manuseio do Pronturio Mdico", dispondo sobre o tempo de guarda dos pronturios,
estabelecendo critrios para certificao dos sistemas de informao e dando outras
providncias. Posteriormente, esta foi revogada e substituda pela resoluo n.
1821/2007, que aprovou as Normas Tcnicas Concernentes Digitalizao e Uso dos
Sistemas Informatizados para a Guarda e Manuseio dos Documentos dos Pronturios dos
Pacientes, Autorizando a Eliminao do Papel e a Troca de Informao Identificada em
Sade, a qual faz referncia, em seu artigo 1, a este Manual de Certificao para
Sistemas de Registro Eletrnico em Sade (S-RES).
O segundo produto foi a elaborao do Manual de Requisitos de Segurana, Contedo e
Funcionalidades para Sistemas de Registro Eletrnico em Sade (RES). Com base nesse
manual, publicado em 2004 nos stios da SBIS e do CFM, teve incio a Fase 1 do
Processo de Certificao SBIS/CFM, que, at a presente data, conta com mais de 70
sistemas declarados pelos representantes legais das organizaes detentoras, como
estando aderentes ao conjunto de requisitos da verso 2.1 do manual (autodeclarao). A
Fase 1 teve objetivo de preparar o mercado para o processo de certificao, o que foi
plenamente atingido.
A atualizao desse manual reflete o incio da Fase 2 do Processo de Certificao
SBIS/CFM, com a auditoria efetiva dos Sistemas de Registro Eletrnico em Sade (SRES). A atualizao foi bastante abrangente, procurando refletir as experincias
internacionais desenvolvidas desde 2004. Naquela ocasio, no havia ainda no mundo
um processo de certificao de S-RES em operao. Os EUA foram os primeiros a
certificar S-RES, comeando seu processo em 2006. Outros pases ainda esto em fase
de estudos e definies, sem sequer terem iniciado uma etapa de autodeclarao com
requisitos j definidos.
Com a publicao da presente verso do Manual de Certificao para Sistemas de
Registro Eletrnico em Sade (S-RES), encerram-se as possibilidades de autodeclarao
(Fase 1).
A lista das organizaes que declararam seus sistemas S-RES conformes com a verso
2.1 do manual continuar disponvel para consulta por um perodo de 06 (seis) meses, a
Verso 3.2
Data: 01/08/2008
Pgina: 8/96

CERTIFICAO 2008
partir da aprovao desta verso do Manual de Certificao para Sistemas de Registro

Eletrnico em Sade (S-RES) pelo CFM, sendo esse o prazo de transio para as
organizaes submeterem seus S-RES auditoria, visando a certificao de seus
produtos.
Com o incio efetivo da Fase 2, as organizaes cujos S-RES forem auditados e
receberem o Selo SBIS -CFM aparecero com destaque no stio da SBIS na Internet,
seguidas da relao das organizaes que, no passado, autodeclararam a conformidade
de seus S-RES (Fase 1). Aps o prazo acima citado, a relao de organizaes que
autodeclararam a conformidade ser retirada do stio da SBIS na Internet, permanecendo
apenas aquelas detentoras do Selo de Certificao SBIS/CFM.
Esta verso deste Manual de Certificao para Sistemas de Registro Eletrnico em Sade
(S-RES) revoga e substitui todas as verses anteriores.
Verso 3.2
Data: 01/08/2008
Pgina: 9/96

CERTIFICAO 2008
2. Referencial Terico
A Certificao SBIS/CFM se baseia em conceitos e padres internacionais da rea de
Informtica em Sade, muitos dos quais j foram traduzidos para portugus e foram
reconhecidos como padres brasileiros. Primeiramente, apresentam-se as definies de
alguns termos indispensveis para este Manual de Certificao para Sistemas de Registro
Eletrnico em Sade (S-RES), e, em seguida, faz-se um breve resumo dos principais
padres e iniciativas utilizados como referncias na definio do Processo de Certificao
SBIS/CFM e dos requisitos a serem observados nessa certificao.
2.1. Definies
O relatrio tcnico ISO/TR 20.514:2005 Health Informatics Electronic Health Record
Definition, scope and context (ver em 2.2.8) apresenta uma srie de definies
importantes para a Informtica em Sade. Cabe aqui serem destacadas as seguintes
definies:
Registro Eletrnico de Sade RES Um repositrio de informao a respeito da

sade de indivduos, numa forma processvel eletronicamente.
Sistema de Registro Eletrnico de Sade S-RES Sistema para registro,

recuperao e manipulao das informaes de um Registro Eletrnico de Sade.
Como se pode observar, essas definies so propositalmente abrangentes. De qualquer

modo, importante salientar que um S-RES pode englobar diversos subsistemas ou
componentes.
Alm dos componentes que implementam as funcionalidades de um S-RES (componente
principal), em geral desenvolvidos pela organizao solicitante da Certificao SBIS/RES,
podem existir componentes acessrios (ainda que indispensveis), dos quais depender
a implementao de diversas funcionalidades do S-RES. Exemplos tpicos so o sistema
de gerenciamento de base de dados (SGBD), um componente dinmico WEB (Applet ou
ActiveX), ou ainda um sistema de diretrios (AD, LDAP, etc.) utilizado para armazenar
parmetros dos usurios, papeis e grupos. Um S-RES o conjunto de todos estes
componentes que so necessrios para atender aos requisitos especificados neste
Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES). No faz
parte do escopo da certificao, entretanto, certificar isoladamente cada um desses
componentes, como por exemplo, o SGDB ou o sistema operacional.
2.2. Padres Utilizados

Segundo a Organizao Internacional de Padronizao (International Organization for
Standardization - ISO), padro um documento estabelecido por consenso e aprovado
por um grupo reconhecido, que estabelece para uso geral e repetido um conjunto de
regras, protocolos ou caractersticas de processos com o objetivo de ordenar e organizar
atividades em contextos especficos para o benefcio de todos.
Verso 3.2
Data: 01/08/2008
Pgina: 10/96

CERTIFICAO 2008
Sempre que possvel, foram tomados como base padres brasileiros na elaborao deste
Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES), com
destaque para:
As resolues do CFM a respeito de pronturio do paciente;

A Infra-Estrutura de Chaves Pblicas Brasileira ICP Brasil, que d validade aos
documentos eletrnicos no Pas;
Os cadastros nacionais em sade; e
O padro Troca de Informaes em Sade Complementar TISS da Agncia
Nacional em Sade Suplementar ANS;
Alm disto, esto sendo acompanhados os trabalhos desenvolvidos pela Comisso

Especial de Informtica em Sade da ABNT e as iniciativas da organizao HL7 Brasil.
Na ausncia de padres brasileiros, padres internacionais foram levados em conta para
complementar o trabalho sendo desenvolvido, destacando-se:
Documentos do Comit ISO/TC-215 Health Informatics:
ISO/TR 20.514:2005;
ISO/TS 18.308:2004;
ISO/DIS 27.799;
Normas do ISO/IEC JTC1/SC27;
ANSI HL7 Functional Model (EHR-S FM); e
Processo de Certificao de Software da CCHIT.
Merece destaque o fato de que diferentes organizaes, principalmente no mbito

internacional, esto desenvolvendo esforos para harmonizar padres semelhantes que
tenham sido elaborados por cada uma delas. o caso, por exemplo, de alguns padres
criados pela ISO e que j se encontram no processo de serem harmonizados com o
trabalho desenvolvido pela organizao HL7.
A SBIS e o CFM esto atentos a esta tendncia e observando os resultados que esto
sendo gerados neste esforo de harmonizao. Futuras verses deste manual devero
incorporar todos estes avanos. A seguir, apresenta-se com mais detalhes cada um dos
padres ou iniciativas acima mencionados.
2.2.1. Resoluo CFM N. 1638/2002
A Resoluo CFM n 1638/2002[1] define pronturio mdico e atribui as responsabilidades
por seu preenchimento, guarda e manuseio. Essa resoluo torna obrigatria a existncia
de comisses de reviso de pronturios mdicos nos estabelecimentos de sade onde se
presta assistncia mdica, estabelecendo as informaes de carter obrigatrio que
devem constar no pronturio mdico, seja ele eletrnico ou em papel.
2.2.2. Resoluo CFM N. 1639/2002
A Resoluo CFM n 1639/2002[2] aprova as "Normas Tcnicas para o Uso de Sistemas
Informatizados para a Guarda e Manuseio do Pronturio Mdico", dispe sobre tempo de
Verso 3.2
Data: 01/08/2008
Pgina: 11/96

CERTIFICAO 2008
guarda dos pronturios mdicos e estabelece critrios para certificao dos sistemas de
informao. Esta resoluo estabelece a guarda permanente para os pronturios mdicos
arquivados eletronicamente, em meio ptico ou magntico e microfilmados, bem como o
prazo mnimo de 20 (vinte) anos para a preservao dos pronturios mdicos em suporte
de papel. Essa resoluo foi o primeiro produto do Convnio SBIS/CFM para o
estabelecimento da Certificao de S-RES, sendo, posteriormente, revogada e substituda
pela Resoluo CFM n 1821/2007.
2.2.3. Resoluo CFM N. 1821/2007
A Resoluo CFM n 1821/2007[3] aprova as "Normas Tcnicas Concernentes
Digitalizao e Uso dos Sistemas Informatizados para a Guarda e Manuseio dos
Documentos dos Pronturios dos Pacientes, Autorizando a Eliminao do Papel e a Troca
de Informao Identificada em Sade". Essa resoluo aprova o Manual de Certificao
para Sistemas de Registro Eletrnico em Sade, verso 3.0 e/ou outra verso aprovada
pelo Conselho Federal de Medicina, autoriza a digitalizao de pronturios mdicos
conforme normas especficas e estabelece a guarda permanente para pronturios
mdicos arquivados eletronicamente, em meio ptico ou magntico e microfilmados, bem
como o prazo mnimo de vinte anos para a preservao dos pronturios mdicos em
suporte de papel.
2.2.4. A Infra-estrutura de Chaves Pblicas ICP-Brasil
A Infra-estrutura de Chaves Pblicas Brasileira ICP-Brasil foi criada atravs da Medida
Provisria 2.200-2 de 24 de agosto de 2001[4], transformando o Instituto Nacional de
Tecnologia da Informao ITI em autarquia ligada Casa Civil da Presidncia da
Repblica. Por meio dessa MP e das resolues publicadas pela ICP-Brasil, so
estabelecidos os critrios para o estabelecimento e funcionamento do sistema, servindo
de base para os servios de assinatura, no-repdio, identificao e sigilo. Como
resultados, tm-se o aumento de segurana das transaes eletrnicas e aplicaes que
faam uso de certificados digitais, assim como a possibilidade da migrao total de
processos em papel para meios eletrnicos, sem prejuzo do reconhecimento legal destes
documentos. Mais informaes podem ser obtidas em http://www.icpbrasil.gov.br.
2.2.5. Os Cadastros Nacionais em Sade
Os principais cadastros nacionais so o Cadastro Nacional de Usurios do SUS
Cadastro Nacional de Estabelecimentos e Profissionais de Sade - CNES[6].
[5]
eo
O Cadastro de Usurios (anteriormente chamado de Projeto Carto Nacional de Sade)

estabelece o conjunto de informaes necessrias para que uma pessoa seja identificada
no Sistema de Sade Brasileiro. Hoje, existem no Pas 133 milhes de pessoas
cadastradas na base federal.
J o CNES estabelece a identificao de todos os estabelecimentos de sade pblicos e
privados no Pas. O nmero CNES de uso obrigatrio na rea pblica e privada. O
conjunto de dados de ambos os cadastros foi utilizado como padro de identificao nos
requisitos deste manual.
Verso 3.2
Data: 01/08/2008
Pgina: 12/96

CERTIFICAO 2008
2.2.6. O Padro TISS

O padro TISS - Troca de Informao em Sade Suplementar [7] o padro definido pela
Agncia Nacional de Sade Suplementar ANS (www.ans.gov.br) para registro e
intercmbio de dados entre operadoras de planos privados de assistncia sade e
prestadores de servios de sade. O objetivo do padro TISS atingir a compatibilidade e
interoperabilidade funcional e semntica entre os diversos sistemas independentes para
fins de avaliao da assistncia sade (carter clnico, epidemiolgico ou administrativo)
e seus resultados, orientando o planejamento do setor.
O padro TISS se divide em 4 categorias: contedo e estrutura, representao de
conceitos em sade, comunicao, e segurana e privacidade, conforme descrevem as
Resolues Normativas publicadas no stio da ANS na Internet, na seguinte URL:
http://www.ans.gov.br/portal/site/_hotsite_tiss/f_materia_21227.htm
A ANS determinou que as normas tcnicas estabelecidas na Resoluo CFM n.

1639/2002 supracitada, e os requisitos do Nvel de Garantia de Segurana 1 (NGS1)
deste manual (ver 5.5) devem obrigatoriamente ser observados no padro TISS. Para as
entidades que utilizam web services como padro de comunicao recomendada a
utilizao do Nvel de Garantia de Segurana 2 (NGS2) tambm descrito neste manual
(ver 5.6). Ressalta-se que a eliminao do papel s possvel por meio do cumprimento
do NGS2.
Como descrito no captulo 3, no escopo da certificao SBIS/CFM foi estabelecida uma
categoria especfica que engloba todo e qualquer sistema que apresente entre as suas
funcionalidades a capacidade de ser uma das pontas em um canal de comunicao entre
operadoras de planos de sade e prestadores de servios de sade. Deste modo,
qualquer S-RES poder se submeter ao processo de certificao visando apenas a
validar sua aderncia ao padro TISS.
2.2.7. Comisso Especial de Informtica em Sade da ABNT
A ABNT Associao Brasileira de Normas Tcnicas (www.abnt.org.br) a representante
oficial do Brasil junto ISO. Em outubro de 2006, a ABNT criou a Comisso Especial de
Estudos em Informtica em Sade, inspirada no Comit de Informtica em Sade da ISO,
tambm conhecido como TC-215. A criao desta comisso um marco importante para
o desenvolvimento da rea de padres em sade no Brasil, estando estruturada nos
mesmos moldes do TC-215, com os seguintes Grupos de Trabalho GT:
GT 1 Modelos concentra-se no estudo dos modelos e padres de contedo para
representar a informao em sade. Os documentos ISO/TS 20.154:2005 e ISO/TR
18.308:2004 utilizados como marcos de referncia do processo de certificao foram
contribuies do GT 1 do Comit ISO-TC-215. O GT 1 da Comisso Brasileira j traduziu
estes dois documentos, que sero submetidos ABNT e a comunidade para tambm se
tornarem padres nacionais.
GT 2 - Interoperabilidade concentra-se nos padres para estabelecer a comunicao
efetiva entre sistemas e equipamentos na rea da sade. um dos grupos mais ativos no
Verso 3.2
Data: 01/08/2008
Pgina: 13/96

CERTIFICAO 2008
Comit ISO, contando j com vrios padres aprovados. No Brasil, este grupo tem-se
dedicado s questes especficas da rea de Telemedicina.
GT 3 Conceitos concentra-se nas terminologias em sade. O trabalho extenso e no
Brasil o grupo j traduziu dois documentos de referncia sobre o tema de terminologias e
indicadores em sade.
GT 4 Segurana concentra-se nos padres de segurana da informao em sade. A
questo da assinatura digital e privacidade um dos temas em discusso. No Brasil, esse
grupo tem trabalhado e colaborado com a ISO 27.799, norma internacional de segurana
da informao em sade, norma que ser publicada quase que simultaneamente em
portugus e em ingls.
Todos os padres em discusso pela Comisso Especial de Estudos em Informtica em
Sade da ABNT foram e sero, cada vez mais, os documentos de referncia para este
processo de certificao.
2.2.8. Normas ISO TC-215
A norma ISO/TR 20.514:2005[8] um documento de referncia tcnica (TR - Technical
Report) que estabelece as definies de RES e de Sistemas de RES. Esse relatrio
descreve as principais categorias de sistemas, define cenrios de utilizao, e a
necessidade de interoperabilidade semntica entre os diferentes S-RES. Adicionalmente
esse relatrio introduz o conceito de Registro Pessoal de Sade RPS. O documento
20.514:2005 um marco referencial na rea de RES e S-RES e representa vrios anos
de trabalho na rea de padres para S-RES.
A norma ISO/TS 18.308:2004[9] um documento formal de especificao tcnica (TS
Technical Specification) que define os requisitos para um S-RES. A especificao
apresenta os requisitos categorizados em estrutura, processo, comunicao, privacidade
e segurana, mdico-legal, tico, consumidor/cultural e tambm os requisitos
relacionados evoluo de sistemas de RES.
O projeto de norma ISO/DIS 27.799 Health informatics -- Information security
management in health using ISO/IEC 17.799, que est em fase final para publicao,
detalha e destaca a importncia do emprego dos controles de segurana descritos na
ISO/IEC 27.002[10] com foco na rea de sade.
2.2.9. Normas ISO/IEC JTC1/SC27
O Joint Technical Committee 1 (JTC1) o comit tcnico da ISO responsvel pela
elaborao de normas sobre tecnologia da informao. Seu subcomit 27 (SC27)
responsvel pelas normas que tratam das tcnicas de segurana em tecnologia da
informao. Desta forma, vrias de suas normas so de interesse tambm para a rea de
sade, destacando-se as apresentadas a seguir.
O cdigo de prtica ISO/IEC 27.002:2005 Information technology - Security techniques Code of practice for information security management [10], comumente conhecido por sua
antiga numerao ISO/IEC 17.799, o guia mais difundido mundialmente no assunto
Verso 3.2
Data: 01/08/2008
Pgina: 14/96

CERTIFICAO 2008
segurana e apresenta os principais controles de segurana a serem empregados por

qualquer instituio com o objetivo de proteger suas informaes. Esse cdigo de prtica
possui sua verso brasileira NBR ISO/IEC 27.002:2005 Tecnologia da informao Tcnicas de segurana - Cdigo de prtica para a gesto da segurana da informao
[11]
.
A norma ISO/IEC 15.408:2005 Information technology -- Security techniques - Evaluation
criteria for IT security em suas trs partes: Part 1: Introduction and general model[12],
Part 2: Security functional requirements[13] e Part 3: Security assurance
requirements[14], descreve um processo e requisitos especficos para certificao de
segurana de sistemas.
2.2.10. ANSI HL7 Functional Model (EHR-S FM)
O HL7 o mais utilizado padro para intercmbio de dados na rea da sade no cenrio
internacional, h mais de 15 anos. Hoje, na verso 3.0, o padro incorpora um modelo de
referncia RIM Reference Information Model com conceitos de domnio clnico e
administrativo [15].
Em 2001, o HL7 estabeleceu um grupo de trabalho em Registros Eletrnicos em Sade
(EHR-SIG). Este grupo de trabalho definiu um conjunto de requisitos funcionais para SRES: o EHR Functional Model [16]. O trabalho realizado por este comit extenso e cobre
diferentes perfis de sistema, com um enfoque prtico e proposta de scripts para validao
dos requisitos.
No Brasil, em fevereiro de 2007, foi criado o Instituto HL7 Brasil a fim de dar respaldo
jurdico e administrativo s atividades da representao do HL7 no Brasil
(www.hl7brazil.org), com o intuito de "promover e prover padres relacionados com a
troca, integrao, compartilhamento e recuperao de informao eletrnica, para apoio
da prtica mdica e administrativa, permitindo um maior controle dos servios de sade".
Os grupos de trabalho esto em fase de organizao, dentre eles, o Grupo de Registro
Eletrnico de Sade e Registro Pessoal em Sade, que discute os requisitos funcionais
de S-RES.
2.2.11. Processo de Certificao CCHIT
A Certification Commission for Healthcare Information Technology CCHIT desenvolveu
o processo de certificao de S-RES [17] adotado no mercado americano. Sua origem
posterior Certificao SBIS -CFM, j que foi criado em 2005 com um aporte inicial da
ordem de 7.5 milhes de dlares, sendo administrado pelas seguintes organizaes:
American Health Information Management Association (AHIMA);
Healthcare Information and Management Systems Society (HIMSS); e
National Alliance for Healthcare Information Technology (the Alliance).
O processo americano voluntrio e baseado em conjuntos de scripts para diferentes
categorias de S-RES. Inicialmente apenas sistemas ambulatoriais podiam ser certificados,
mas a CCHIT est expandindo as categorias de sistemas que podem se submeter ao
processo de certificao. Os critrios so bastante detalhados e analisam a
funcionalidade, contedo, estrutura, segurana e aspectos de interoperabilidade dos SVerso 3.2
Data: 01/08/2008
Pgina: 15/96

CERTIFICAO 2008
RES. Os S-RES so avaliados por trs auditores, distncia, a partir de ambiente

cooperativo especializado para esta finalidade. O processo do ponto de vista tcnico
semelhante ao da SBIS/CFM.
2.3. Princpios da Certificao

2.3.1. Imparcialidade
Para que a SBIS possa oferecer uma certificao que proporcione confiana,
necessrio que todo o processo seja imparcial e percebido como tal.
Isso significa que todas as atividades e decises do Processo de Certificao SBIS/CFM
sero baseadas em evidncias objetivas de conformidade e que as decises no sero
influenciadas por interesses esprios.
As principais fontes de ameaa imparcialidade so:
Ameaas de interesse prprio, que surgem de algum que atua em seu prprio
interesse.
Ameaas de auto-avaliao, que surgem de algum que avalia seu prprio
trabalho.
Ameaas de familiaridade, que surgem de algum que, por ser muito familiar ou
confiante em algo ou em algum, no procura evidncias objetivas.
Ameaas de intimidao, que surgem de algum que est sendo coagido,
abertamente ou veladamente, a tomar ou deixar de tomar alguma deciso.
A SBIS manter procedimentos para detectar, avaliar, documentar e combater todas as
ameaas imparcialidade da Certificao SBIS/CFM, em todos os nveis da organizao,
preventiva e corretivamente, inclusive com aplicao de sanes, quando necessrio.
2.3.2. Competncia
Para que a certificao oferea confiana, necessrio que o sistema de certificao
SBIS utilize apenas pessoal competente, entendendo-se competncia, como a
capacidade demonstrada de aplicar conhecimentos e habilidades.
A SBIS apenas utilizar no Processo de Certificao SBIS/CFM pessoal
comprovadamente competente e autorizado e manter registros de formao,
experincia, habilidade e treinamento do pessoal cujas atividades contribuem para o
processo de certificao.
2.3.3. Responsabilidade
Para que a certificao oferea confiana, necessrio que o Cliente Certificado entenda
e assuma que ele, e no a SBIS, quem possui a responsabilidade pela conformidade
com os requisitos para a certificao.
Por exemplo, diante de uma reclamao de um cliente usurio do S-RES, a certificao
jamais pode ser invocada como evidncia objetiva de que o S-RES no apresente a
deficincia apontada pelo cliente. Pelo contrrio, a certificao refora o compromisso do
Verso 3.2
Data: 01/08/2008
Pgina: 16/96

CERTIFICAO 2008
Cliente Certificado em promover todas as investigaes e subseqentes correes ou

esclarecimentos para sanar a reclamao de seu cliente.
A SBIS responsvel por avaliar evidncias objetivas suficientes nas quais possa basear
sua deciso de certificao. Com base nas concluses de auditorias, a SBIS/CFM toma a
deciso de conceder a certificao, se houver evidncia suficiente de conformidade, ou de
no conceder a certificao, se no houver evidncia suficiente de conformidade.
Qualquer auditoria se baseia em amostragem e, portanto, no uma garantia de 100% de
conformidade com os requisitos.
2.3.4. Transparncia
Transparncia um princpio de acesso ou divulgao de informaes.
Para obter e manter confiana na certificao, a SBIS oferecer acesso pblico sobre seu
processo de certificao e sobre a situao da certificao de qualquer S-RES, exceto
informaes de natureza confidencial, tais como as informaes privadas de seus
clientes.
2.3.5. Confidencialidade
A confidencialidade um princpio que favorece SBIS obter confiana do Solicitante de
que no ter sua imagem ou seus interesses, de alguma forma, prejudicados por
submeter seus S-RES ao processo de certificao.
Para que a SBIS possa obter acesso privilegiado s informaes necessrias para avaliar
adequadamente a conformidade dos S-RES com os requisitos de certificao,
compromete-se a manter a confidencialidade de todas as informaes privadas de seus
clientes, exceo dos dados cadastrais essenciais da organizao e do S-RES e da
situao da certificao (concesso, extenso, renovao, suspenso, ou cancelamento),
que sero publicados no stio da SBIS na Internet e em outros meios, a critrio da
SBIS/CFM.
2.3.6. Capacidade de Respostas a Reclamaes
Para que a certificao adquira confiana das partes interessadas, necessrio que tanto
a SBIS quanto o Cliente Certificado sejam capazes de prontamente registrar e tratar
adequadamente as reclamaes a que tiverem acesso.
A efetiva capacidade para respostas a reclamaes uma salvaguarda fundamental para
a proteo da Certificao SBIS, seus clientes e outras partes interessadas contra erros,
omisses ou comportamento imprprio.
A SBIS manter procedimentos sistemticos para registrar e tratar reclamaes e exigir,
mediante contrato, que os Solicitantes e Clientes Certificados mantenham sistemas para
registro e tratamento formalizados de reclamaes.
Verso 3.2
Data: 01/08/2008
Pgina: 17/96

CERTIFICAO 2008
Os registros de reclamaes que digam respeito a Clientes Certificados sero

considerados informaes privadas desses clientes, e, portanto, no sero divulgados a
terceiros pela SBIS, exceo do prprio Cliente Certificado e do reclamante.
Verso 3.2
Data: 01/08/2008
Pgina: 18/96

CERTIFICAO 2008
3. Escopo de Certificao
O Processo de Certificao SBIS/CFM destina-se, genericamente, a Sistemas de Registro
Eletrnico de Sade (S-RES). Como j visto no item 2.1. , a definio do que um S-RES
bastante ampla e abrangente. Engloba todos os subsistemas e componentes (SGBDs,
servidores, bibliotecas etc.). Ser avaliado o conjunto completo de subsistemas e
componentes que compem o S-RES, devidamente configurados de forma a atender aos
requisitos especificados neste manual.
Dessa forma, qualquer sistema que capture, armazene, apresente, transmita ou imprima
informao identificada em sade pode ser considerado como sendo um S-RES. Tendo
em vista a existncia de um grande nmero de S-RES no mercado brasileiro, englobando
uma ampla faixa de sistemas focados em diferentes nichos do mercado de sade, no
seria possvel, num primeiro momento, certificar todos e quaisquer S-RES existentes.
Inicialmente, o processo de Certificao SBIS/CFM estar disponvel apenas para
algumas categorias mais genricas de S-RES. No futuro prximo, e considerando a
demanda futura, as categorias podero ser ampliadas, e em alguns casos,
especializadas.
importante ressaltar que dever do desenvolvedor do S-RES indicar para seus
usurios e clientes todas as interdependncias entre os subsistemas e componentes
necessrios para que o S-RES seja configurado e funcione corretamente, especialmente
quando os subsistemas ou componentes no so fornecidos juntamente com o S-RES,
cabendo ao usurio/cliente contratar o licenciamento destes parte.
imprescindvel que a documentao do S-RES indique o nome e verso de cada um de
seus subsistemas ou componentes, bem como o local onde os mesmos podem ser
obtidos (seja um fornecedor comercial, seja o repositrio de um projeto de software livre).
Alm disso, devem ser informadas todas as instrues sobre a configurao necessria
para o correto funcionamento destes subsistemas/componentes em conjunto. Todas estas
informaes devem ter como referncia o nome e verso do sistema operacional sobre o
qual iro funcionar.
Verso 3.2
Data: 01/08/2008
Pgina: 19/96

CERTIFICAO 2008
3.1. Categorias e Enquadramento dos Sistemas

Para fins da Certificao SBIS/CFM, inicialmente, podero ser submetidos ao processo de
certificao apenas os S-RES enquadrados em ao menos uma das categorias abaixo:
a) Assistencial Ambulatorial S-RES voltados para a assistncia ambulatorial, tais
como: sistemas de automao de consultrios clnicos, de informao ambulatorial, de
unidades bsicas de atendimento sade, etc., assim como a parte ambulatorial de
sistemas hospitalares ou de sistemas integrados de informao em sade.
Ateno: Sistemas ou funcionalidades voltadas a outros tipos de atendimento
assistencial, como internao hospitalar, vigilncia epidemiolgica, medicina
ocupacional, etc., sero gradualmente agregados a esta categoria nas prximas
verses deste manual.
b) SADT Sistemas de apoio diagnstico e teraputica, tais como: automao de
laboratrio, emisso de laudos, imagens mdicas e outros.
Ateno: Devido ao complexo trabalho de reviso e aperfeioamento que a SBIS est
realizando na lista de requisitos e scripts, esta categoria no ser passvel de
certificao nesta verso do manual, devendo retornar nas prximas verses.
c) GED Sistemas de gerenciamento eletrnico de documentos, utilizados para o
armazenamento e visualizao de documentos relacionados informao de sade.
d) TISS Categoria dirigida ao atendimento do padro TISS da ANS. Inmeros S-RES,
especialmente aqueles em uso por operadoras de planos de sade e prestadores de
servios de sade, so obrigados a trocar informaes usando o TISS. Atende
tambm aos aplicativos de comunicao (empresas de conectividade) que realizam a
troca de informaes entre Operadoras e Prestadores.
Ao inscrever-se no processo de certificao (ver captulo 5), o Solicitante dever indicar
uma ou mais categorias onde o seu sistema se enquadra.
Sistemas voltados para consultrios mdicos provavelmente se enquadraro apenas na
categoria Assistencial Ambulatorial, mas um grande sistema integrado poder apresentar
caractersticas e funcionalidades que atendam no apenas categoria Assistencial
Ambulatorial, mas tambm s categorias SADT e GED. Um sistema como este
provavelmente estar apto ainda a trocar informaes utilizando o TISS, e, neste caso,
poder ser solicitada a certificao em todas as categorias acima.
Como poder ser visto adiante no item 8.1. , a certificao SBIS/CFM prev ainda nveis
diferenciados nos requisitos de segurana. Est prevista a possibilidade de um S-RES ser
enquadrado em dois nveis distintos de garantia de segurana, sendo o primeiro nvel
bastante amplo, enquanto o segundo nvel engloba todos os requisitos do primeiro nvel e
ainda exige que o S-RES tenha as funcionalidades necessrias para trabalhar com
certificados digitais padro ICP-Brasil. Adicionalmente, o S-RES dever ser identificado
Verso 3.2
Data: 01/08/2008
Pgina: 20/96

CERTIFICAO 2008
como sendo um S-RES local ou um S-RES remoto, refletindo se o mesmo funciona

isoladamente ou se pode ser acessado simultaneamente por diferentes usurios a partir
de estaes de trabalho conectadas ao computador onde o S-RES est instalado.
Para ser aprovado, um S-RES precisar necessariamente se enquadrar em pelo menos
uma das categorias de S-RES descritas acima, atendendo a todos os requisitos
obrigatrios (ver definio no item 8.5. ) estabelecidos para aquela categoria, alm de
atender tambm a todos os requisitos previstos pelo menos no Nvel de Garantia de
Segurana 1 - NGS1 (ver item 8.1. ).
A categoria TISS apresenta algumas variaes nos requisitos, de acordo com os
agrupamentos adotados pela ANS no cronograma de implantao do TISS, conforme a
Tabela 1 a seguir.
Tabela 1: Categorias de Prestadores e Operadoras para a Implantao do TISS
Prestadores
Operadoras
Grupo 1
Hospitais gerais
Hospitais especializados
Hospitais/diaisolado
Pronto socorro especializado
Pronto socorro geral
Clnica
especializada
/
ambulatrio
de
especialidade
Operadoras de
Unidade de apoio diagnose e terapia (SADT planos de
isolado)
assistncia mdica
Unidade mvel de nvel pr-hospitalar urgncia/emergncia
Unidade mvel fluvial
Unidade mvel terrestre
Grupo 2
Consultrio isolado
Profissionais de sade ou pessoa jurdica que
presta servio em consultrio mdico
Grupo 3
Clnica radiolgica em odontologia
Consultrio odontolgico isolado
Operadoras de
Odontologista ou pessoa jurdica da rea planos odontolgicos
odontolgica que presta servio em consultrio
Alm das divises acima, a categoria TISS apresenta o recurso da Comunicao,
responsvel pelo envio e recebimento dos dados transitados entre o Prestador e a
Operadora. Cada uma destas partes (lados da comunicao) pode apresentar este
recurso como uma funcionalidade agregada ao seu aplicativo (S-RES) ou utilizar um
aplicativo especfico para tal finalidade, sendo que esse ltimo pode estar em seus
domnios ou ser terceirizado atravs das chamadas empresas de conectividade. Este
recurso, quando includo pelo Solicitante no enquadramento para certificao, requer,
obrigatoriamente, a adoo do NGS2.
Cabe ao Solicitante indicar as categorias de sistema e o nvel de garantia de segurana
do seu S-RES, para que estas informaes sejam consideradas no processo de
certificao.
Verso 3.2
Data: 01/08/2008
Pgina: 21/96

CERTIFICAO 2008
O enquadramento de um S-RES se faz, portanto, pelas seguintes opes:

a) Nvel de Garantia de Segurana: NGS1 (Local ou Remoto) ou NGS2
+
b) Categoria: Assistencial (Ambulatorial) e/ou GED e/ou TISS
Caso o S-RES apresente a categoria TISS, haver, ainda, as seguintes opes:
c) Tipo TISS: Prestador e/ou Comunicao e/ou Operadora
+
d) Grupo TISS: Grupo 1 e/ou Grupo 2 e/ou Grupo 3
Assim, obtm-se o enquadramento de um S-RES atravs da escolha de uma opo do

item a acima, mais a escolha de uma ou mais opes do item b. Caso haja a escolha,
no item b, da opo TISS, deve-se acrescentar a escolha de uma ou mais opes do
item c, mais a escolha de uma ou mais opes do item d. Deve-se observar que a
escolha da opo Comunicao no item c requer, obrigatoriamente, a adoo do NGS2.
Caso seja solicitada a certificao no nvel de garantia de segurana NGS2 e a auditoria
apontar no-conformidade aos requisitos deste nvel, mas apontar conformidade aos
requisitos do NGS1, e no sendo obrigatria a adoo do NGS2, conforme condies
descritas anteriormente, ser possvel, a critrio do Solicitante, a obteno da certificao
no nvel NGS1, desde que atingida a conformidade em no mnimo uma das categorias
inscritas.
Caso seja solicitada a certificao em mais de uma categoria e a auditoria no apontar
conformidade a todas, mas apontar conformidade a no mnimo uma das categorias
inscritas, ser possvel, a critrio do Solicitante, a obteno da certificao nas categorias
que atingirem a conformidade.
Verso 3.2
Data: 01/08/2008
Pgina: 22/96

CERTIFICAO 2008
4. Conceitos, Normas e Condies da Certificao

4.1. Componentes de um S-RES
Para submeter um S-RES a uma auditoria de certificao, o Solicitante deve identific-lo e
deve descrever cada um de seus componentes. A descrio deve incluir a infra-estrutura
necessria para o S-RES funcionar corretamente, incluindo todos os componentes de
hardware e software que sero utilizados no processo de certificao, alm dos
respectivos parmetros que devam ser eventualmente ajustados. A seguir apresenta-se
uma lista, no exaustiva, de itens que devem ser considerados ao elaborar a descrio do
S-RES:
Sistema Operacional
SGBD/Banco de Dados e conectores
Arquitetura do S-RES (cliente/servidor, ASP, Mainframe, etc.)
Componentes do tipo web dinmicos (Applet, ActiveX etc.)
Sistema de diretrios (AD, LDAP etc.)
A SBIS far a auditoria com base no S-RES identificado e descrito pelo Solicitante,
considerando ainda as categorias para as quais a certificao esta sendo solicitada.
importante lembrar que a descrio fornecida pelo Solicitante dever ser fiel verso do
S-RES que ser efetivamente submetida ao processo de auditoria.
Sendo o S-RES aprovado, a SBIS publicar sua descrio na lista de sistemas
certificados disponvel em seu stio na Internet. Esta descrio constar tambm no
certificado SBIS/CFM em papel.
4.2. Configuraes de S-RES

Cada certificao est relacionada com uma configurao especfica do S-RES, testada
no processo de auditoria e totalmente de acordo com os requisitos estabelecidos. Por
outras configuraes entende-se o mesmo S-RES funcionando com um conjunto
alternativo de componentes, como por exemplo, outros sistemas operacionais, outros
SGBDs etc.
4.3. Verses de S-RES

Cada certificao est relacionada com uma verso especfica do S-RES, testada no
processo de auditoria e totalmente de acordo com os requisitos estabelecidos. Tanto
assim que a descrio de um S-RES deve incluir tambm a identificao da verso do SRES sendo auditada e a data em que ela foi produzida, oficialmente lanada no mercado
ou utilizada pela primeira vez.
Por outro lado, sabido que sistemas/software esto em constante evoluo, com novas
verses sendo lanadas periodicamente. Para efeito da certificao SBIS/CFM, uma nova
verso de um S-RES corresponde a uma evoluo do S-RES, tanto em termos de
Verso 3.2
Data: 01/08/2008
Pgina: 23/96

CERTIFICAO 2008
ampliao ou aperfeioamento de funcionalidades, como em termos da diminuio de

problemas ou inconsistncias verificadas. Uma nova verso necessariamente trar
consigo ajustes em relao s verses anteriores, sendo que estes podem ser
classificados como pequenos ajustes ou ajustes relevantes.
Por pequenos ajustes entendem-se aquelas modificaes e atualizaes que no
afetam a conformidade do S-RES em relao aos requisitos da certificao. Modificaes
que impliquem em risco significativo de afetar a conformidade do S-RES aos critrios
estabelecidos so consideradas ajustes relevantes.
Como poder ser visto no item 4.5. a seguir, possvel solicitar que a certificao
concedida a uma determinada configurao/verso de um S-RES seja estendida para
outras configuraes ou verses. Neste contexto que devem ser entendidos os
exemplos a seguir, fornecidos com o intuito de melhor esclarecer os interessados neste
processo.
4.3.1. Pequenos Ajustes
Como exemplos de pequenos ajustes, lembrando que eles no podem afetar, modificar
ou remover uma ou mais funcionalidades ou caractersticas necessrias para a
certificao, podem ser citados:
Modificaes no nome do produto;

Consertos de bugs cujo objetivo primrio apenas o de corrigir o funcionamento do
S-RES;
Pequenas modificaes na interface com o usurio (esquemas de cores, fontes,
estilos de botes, etc.);
Adio de novas funcionalidades ou mdulos (por exemplo, incluir uma consulta
aos mdicos conectados ao sistema) fora do escopo da certificao;
Substituio de componentes internos do S-RES que possuam interfaces ou
caractersticas padronizadas (por exemplo, substituio de SGBD, desde que o SRES anteriormente certificado s dependesse de funcionalidades amplamente
disponveis naquele ou em qualquer outro SGBD).
4.3.2. Ajustes Relevantes

Como exemplos de ajustes relevantes, e que necessariamente iro impactar em uma ou
mais funcionalidades ou caractersticas do S-RES consideradas no processo de
certificao, podem ser citadas:
Remoo de qualquer funcionalidade ou mdulo essencial para a obteno da

certificao (por exemplo, retirada da funo de registro de log);
Substituio de bibliotecas ou componentes de software (por exemplo, substituindo
um editor de textos desenvolvido internamente e utilizado na edio do pronturio
do paciente por um componente de editor de textos desenvolvido por terceiros, ou
vice-versa);
Remodelagem significativa da interface com o usurio, por exemplo, mudando a
estrutura dos menus, nomenclatura de telas, ou ainda migrando o sistema para
uma nova interface (por exemplo, via web-browser);
Substituio de componentes internos do S-RES que, mesmo possuindo interfaces
ou caractersticas padronizadas, oferecem caractersticas especficas utilizadas
Verso 3.2
Data: 01/08/2008
Pgina: 24/96

CERTIFICAO 2008
pelo S-RES para obter a certificao (por exemplo, substituio de SGBD cujo
mdulo de criptografia de dados era utilizado para garantir aspectos de segurana
da informao avaliados na certificao).
4.4. Validade da Certificao

O Certificado SBIS/CFM ser vlido por um perodo calculado da seguinte forma: dois
anos, a partir da emisso, ou um ano a contar da publicao pela SBIS de verso do
Manual de Certificao para Sistemas de Registro Eletrnico em Sade (S-RES) posterior
que serviu de base para o certificado, o que ocorrer depois.
Dessa forma, o Cliente Certificado ter a segurana que o Certificado SBIS/CFM no ter
durao inferior a dois anos e que, se for publicada uma nova verso do Manual de
Certificao para Sistemas de Registro Eletrnico em Sade (S-RES), ele ter prazo no
inferior a um ano para adequar seu S-RES nova verso do manual, antes que expire a
validade do Certificado.
A data de emisso do certificado nunca ser anterior data em que a Diretoria da SBIS
decidir pela certificao do S-RES (passo [S-11] do processo de certificao).
Quando da publicao de uma nova verso do Manual de Certificao para Sistemas de
Registro Eletrnico em Sade (S-RES), durante o perodo de 90 dias, podero ser
emitidos Certificados SBIS/CFM com base na verso anterior do manual, a pedido do
Solicitante, tanto para processos de certificao que iniciaram antes da data da
publicao, quanto para processos novos. Nesse caso, a validade do certificado expirar
na data em que a publicao da nova verso do manual completar um ano.
4.5. Extenso da Certificao para Outras Configuraes ou Verses

O Certificado SBIS/CFM especfico para a configurao e para a verso do S-RES nele
discriminadas.
A SBIS poder estender a certificao para outras configuraes ou verses de um SRES j certificado, desde que tal extenso seja obtida durante o perodo de validade da
certificao do S-RES original. Para tanto, o Solicitante dever preencher a Ficha de
Inscrio para Extenso de Certificao (ver item 4.6. ) e submet-la ao processo descrito
no captulo 5 deste manual.
No caso de extenso para outras configuraes, a solicitao dever conter a descrio
das configuraes alternativas para as quais se solicita a extenso. O Responsvel
Tcnico pelo S-RES dever declarar que estas configuraes alternativas so idnticas
em funcionalidades configurao certificada, e que atendem integralmente aos
requisitos para a certificao. A Ficha de Inscrio dever ser assinada por este
Responsvel Tcnico e pelo Representante Legal do Solicitante.
J no caso de solicitaes de extenso da certificao do S-RES para novas verses, o
Solicitante dever primeiramente avaliar os ajustes realizados na nova verso. A
solicitao dever conter a descrio de todos os ajustes realizados na nova verso,
Verso 3.2
Data: 01/08/2008
Pgina: 25/96

CERTIFICAO 2008
desde que estes ajustes se enquadrem, todos, na definio de pequenos ajustes acima
apresentada. Se a nova verso contiver qualquer ajuste relevante, isto ser motivo
suficiente para que a nova verso do S-RES seja submetida a uma nova auditoria.
importante salientar que grave violao contratual o Cliente Certificado deixar de
comunicar SBIS a existncia de ajustes em seu S-RES que afetam sua conformidade
aos requisitos para a Certificao SBIS/CFM, ou fizer uso da certificao de uma verso
anterior de seu S-RES para respaldar a conformidade de uma nova verso cuja existncia
no tenha sido informada SBIS. Nesse caso, o Cliente Certificado estar sujeito s
penalidades previstas no Contrato de Certificao (ver item 4.6. ), que podero chegar ao
cancelamento do Certificado e proibio de submeter qualquer S-RES ao processo de
certificao pelo perodo de um ano, contado da data em que a Diretoria da SBIS
anunciar sua deciso de como proceder em relao ao ocorrido.
Voltando ao caso de uma nova verso de S-RES contendo ajustes relevantes, uma das
seguintes alternativas dever ser observada quando de sua eventual certificao:
Se a verso do Manual de Certificao vigente poca da solicitao de extenso

ainda for a mesma na qual se baseou a certificao da verso anterior do S-RES, o
Solicitante dever pagar uma Taxa de Extenso de Certificao. A critrio da SBIS,
o escopo desta nova auditoria poder ser reduzido, considerando-se as
informaes prestadas pelo Solicitante sobre os pequenos ajustes e os ajustes
relevantes contidos na nova verso do S-RES. No caso da nova verso ser
aprovada nesta nova auditoria, o prazo de validade da certificao passar a ser
contado a partir desta ltima auditoria.
Se a verso do Manual de Certificao vigente poca da solicitao de extenso

for diferente daquela na qual se baseou a certificao da verso anterior do S-RES,
o Solicitante dever submeter o S-RES a uma nova certificao completa, no
podendo ser efetuado o processo de extenso de certificao.
Mesmo nos casos em que seja possvel estender a certificao de um S-RES sem a
necessidade de uma nova auditoria, imperativo aguardar o pronunciamento formal da
SBIS sobre o assunto. O Solicitante no poder fazer qualquer aluso ao fato de que uma
nova configurao ou verso de um S-RES previamente certificado tambm certificada,
sem antes obter formalmente tal extenso da SBIS. Ao conceder tal extenso, a SBIS ir
incluir a nova configurao ou verso na lista de configuraes/verses certificadas
daquele especfico S-RES, disponvel para consulta no stio da SBIS na Internet. Apenas
ento o Solicitante poder se referir a esta nova configurao ou verso como sendo
igualmente certificada pela SBIS.
As configuraes e verses do S-RES anteriormente certificadas continuaro constando
da lista de S-RES certificados disponvel no stio da SBIS na Internet at o final dos
respectivos prazos de validade de cada certificao, exceto nos casos onde o Cliente
Certificado solicitar explicitamente sua excluso de tal lista.
Verso 3.2
Data: 01/08/2008
Pgina: 26/96

CERTIFICAO 2008
4.6. Instrumentos Formais

A certificao ser formalizada e regida pelos seguintes instrumentos:
Ficha
de
Inscrio
para
Certificao: formulrio eletrnico (ou,
excepcionalmente, em papel) a ser preenchido e enviado pelo Solicitante SBIS
para indicar a inteno de submeter um produto (S-RES) ao processo de
certificao. Contm, em seu corpo, a descrio das condies que regem tal
inscrio.
Ficha de Inscrio para Extenso de Certificao: formulrio eletrnico (ou,

excepcionalmente, em papel) a ser preenchido e enviado pelo Solicitante SBIS
para indicar a inteno de submeter um produto (S-RES) ao processo de extenso
de certificao. Contm, em seu corpo, a descrio das condies que regem tal
inscrio.
Contrato de Certificao: contrato firmado entre o Solicitante certificao e a

SBIS antes do incio da auditoria do S-RES, e que regulamenta tanto a execuo
do processo de certificao quanto as normas a serem cumpridas pelas partes
aps tal processo, seja o produto certificado ou no. Estabelece, entre outras
coisas, as regras do processo, os preos avenados, as obrigaes das partes
(incluindo os termos de confidencialidade de informaes) e seus direitos (incluindo
as regras de uso do Selo SBIS/CFM, Certificado e informaes correlatas), e os
devidos termos jurdicos referentes ao contexto pactuado.
Termo de Extenso de Certificao: termo aditivo firmado entre a SBIS e o

Cliente Certificado com o objetivo de estender os direitos atribudos a um
determinado S-RES, tornando-os aplicveis s demais configuraes e/ou verses
discriminadas em tal termo.
Certificado (Diploma de Certificao): documento probatrio da certificao de

um determinado S-RES pela SBIS/CFM.
Selo de Certificao SBIS/CFM: elemento grfico de concepo artstica

indicador da obteno do Certificado a um determinado S-RES. As normas de uso
do selo encontram-se dispostas no item 7.2. deste manual.
4.7. Taxas e Preos

Sero cobradas do Solicitante certificao as seguintes taxas, cujos valores encontramse disponveis para consulta no stio da SBIS na Internet.
Taxa de Inscrio: valor a ser pago pelo Solicitante SBIS imediatamente aps o
envio da Ficha de Inscrio para Certificao ou da Ficha de Inscrio para
Extenso de Certificao, e que proporciona ao mesmo unicamente o direito
anlise e avaliao de tal ficha pela SBIS e elaborao do Contrato de
Certificao ou do Termo de Extenso de Certificao.
Verso 3.2
Data: 01/08/2008
Pgina: 27/96

CERTIFICAO 2008
Taxa de Certificao: valor a ser pago pelo Solicitante SBIS no momento da

assinatura do Contrato de Certificao, e que proporciona ao mesmo o direito a
todo o processo de auditoria do S-RES objeto do contrato e, caso o mesmo seja
aprovado (certificado), emisso do Certificado e do Selo de Certificao. Esta
mesma taxa confere ao Solicitante, ainda, o direito de uso do referido selo e da
divulgao da condio de S-RES Certificado no stio da SBIS na Internet durante
todo o prazo de validade da certificao (ver item 4.4. ), sem a incidncia de taxas
de manuteno durante tal perodo.
Taxa de Extenso de Certificao: valor a ser pago pelo Solicitante SBIS no

momento da assinatura do Termo de Extenso de Certificao, e que proporciona
ao mesmo o direito a todo o processo de avaliao e/ou auditoria do S-RES objeto
do termo e, caso o mesmo seja aprovado (obtenha a extenso do certificado),
emisso do Certificado e do Selo de Certificao. Esta mesma taxa confere ao
Solicitante, ainda, o direito de uso do referido selo e da divulgao da condio de
S-RES Certificado no stio da SBIS na Internet durante todo o prazo de validade da
certificao (ver item 4.4. ), sem a incidncia de taxas de manuteno durante tal
perodo.
Taxa de Realizao de 2 Ciclo de Auditoria: valor a ser pago pelo Solicitante

SBIS para a realizao, quando necessrio, de um 2 ciclo de auditoria dentro de
um processo de certificao (ver item 5.1. , passo A.01), e que proporciona ao
mesmo apenas o direito execuo desta parte do processo.
Taxa de Reagendamento de Auditoria: valor a ser pago pelo Solicitante SBIS

quando houver a necessidade de reagendamento de uma auditoria cujo
cronograma tenha sido previamente aprovado pelo Solicitante, desde que tal
necessidade seja causada por este ltimo. Caso o Solicitante comunique a
necessidade de reagendamento com mais de 02 (dois) dias teis de antecedncia
(fora o prprio dia) do incio previsto para o primeiro dia da auditoria, dever ser
pago o equivalente a 30% (trinta por cento) desta taxa.
4.7.1. Devoluo de Taxas

No haver devoluo de taxas pagas SBIS, independentemente do resultado obtido
pelo Solicitante no processo ao qual a mesma se refere, exceto nos casos onde a SBIS
recusar-se, por qualquer motivo, a executar a atividade pela qual recebeu a referida taxa.
Assim, a no aprovao de uma determinada ficha de inscrio ou a no obteno da
certificao ou extenso por um determinado produto (S-RES) aps o devido processo de
auditoria ou avaliao, no constituiro motivo para a devoluo, por parte da SBIS, de
qualquer taxa paga pelo Solicitante.
Ficar nica e exclusivamente a critrio da Diretoria da SBIS a anlise de situaes
excepcionais, cabendo mesma a deciso sobre tais casos.
Verso 3.2
Data: 01/08/2008
Pgina: 28/96

CERTIFICAO 2008
5. Processo de Certificao
Tais como os processos de acreditao hospitalar e/ou certificaes ISO, a Certificao
SBIS-CFM estabelece que a auditoria seja realizada por equipe especializada, que
verifica se, realmente, os requisitos obrigatrios para a categoria selecionada so
atendidos pelo S-RES.
Como se trata de software (programa de computador), essa auditoria corresponde, na
prtica, a uma bateria de testes na qual o sistema amplamente analisado por um grupo
de auditores, devidamente treinados, credenciados e selecionados pela SBIS, todos
membros titulares da Sociedade.
Em linhas gerais, a empresa ou pessoa interessada em certificar o seu S-RES deve
proceder s seguintes etapas:
a) Analisar a documentao sobre o processo de certificao disponvel no stio da
SBIS na Internet;
b) Verificar se o S-RES a ser certificado realmente atende a todos os requisitos
obrigatrios para as categorias desejadas (lembrando que os requisitos de
segurana so obrigatrios para qualquer categoria);
c) Realizar a bateria de testes internamente em sua instituio, conforme descrito no
Manual Operacional de Ensaios e Anlises;
d) Cumpridas as etapas anteriores, estando a empresa ou pessoa interessada segura
de que o seu S-RES est em condies de ser aprovado na auditoria, somente
ento ele dever iniciar formalmente o processo para obteno do Selo de
Certificao SBIS/CFM conforme descrito a seguir.
Existem dois fluxos possveis dentro do processo de certificao, a saber:
a) Processo Padro: representa o fluxo bsico a ser seguido para a obteno da
certificao, para um S-RES ainda no certificado ou que esteja com a sua
validade expirada, ou para uma nova verso que contenha ajustes relevantes (ver
item 4.3.2) em relao verso anteriormente certificada.
b) Processo para Extenso de Certificao: representa o fluxo a ser seguido para a
extenso da certificao para outras configuraes ou verses de um S-RES j
certificado, conforme descrito no item 4.5.
5.1. Processo Padro

Este o processo bsico a ser seguido para a obteno da certificao, para um S-RES
ainda no certificado ou que esteja com a sua validade expirada, ou para uma nova
verso que contenha ajustes relevantes (ver item 4.3.2) em relao verso
anteriormente certificada.
composto por uma srie de atividades a serem executadas pelo Solicitante e pela SBIS,
conforme demonstrado no fluxo da Figura 1 e, em seguida, explicado em detalhes.
Verso 3.2
Data: 01/08/2008
Pgina: 29/96

CERTIFICAO 2008
SOLICITANTE
SBIS
P.01
S.01
Sistema do CC gera
e envia a cobrana da
Taxa de Inscrio
Preenche e envia a
Ficha de Inscrio para Certificao
P.02
S.02
Efetua o pagamento da
Taxa de Inscrio
P.03
Gerente do CC analisa
a Ficha de Inscrio e elabora o
Contrato de Certificao
S.03
Envia o contrato e a cobrana

da Taxa de Certificao
Avalia o Contrato de Certificao
S.04
P.04
Contrato
aprovado?
No
Encerra e arquiva o processo
Sim
P.05
S.05
P.06
S.06
Envia o contrato assinado e

a documentao do sistema, e efetua o
pagamento da Taxa de Certificao
Gerente do CC seleciona
os auditores e elabora o cronograma de
auditoria
Avalia a seleo dos auditores e o

cronograma
P.07
Envia a seleo dos

auditores e o cronograma para
aprovao
S.07
Auditores
e cronograma
aprovados?
Sim
No
Gerente do CC seleciona novos

auditores e/ou elabora novo cronograma
P.08
S.08
Disponibiliza os recursos necessrios

auditoria nas datas previstas
Auditores executam a auditoria e

preenchem o caderno de resultados
A.01
S.09
Ajustes e
2 ciclo de auditoria
Comit de Certificao avalia o resultado

da auditoria
Parcial
S.10
S-RES
aprovado?
No
Sim
S.11
Diretoria emite e envia o Certificado e o

Selo, e os publica no site
S.12
Sim
P.09
Reprovao
aceita?
Comunica a reprovao
No
P.10
S.13
Envia solicitao de reviso do

resultado
Gerente do CC e auditores revisam os

registros e resultados da auditoria
*Obs.: CC = Centro de Certificao da SBIS
Figura 1 : Fluxo do processo de certificao

Verso 3.2
Data: 01/08/2008
Pgina: 30/96

CERTIFICAO 2008
Ateno: o fluxo acima apresenta apenas as descries resumidas de cada passo, de

forma a facilitar a visualizao e entendimento de todo o processo. As descries
completas encontram-se detalhadas no decorrer deste captulo.
5.1.1. Atividades do Solicitante no Processo
O Solicitante dever executar as atividades apresentadas na coluna esquerda do fluxo do
processo de certificao (ver Figura 1), as quais se encontram detalhadas a seguir.
[P.01] Preenche e envia a Ficha de Inscrio para Certificao
O Solicitante deve acessar, no stio da Certificao SBIS/CFM na Internet, a Ficha de
Inscrio para Certificao (ver item 4.6. ), a qual deve ser preenchida e enviada
(submetida) eletronicamente atravs do prprio stio eletrnico. Aps o envio, uma
mensagem de confirmao de recebimento enviada pela SBIS ao endereo de e-mail
do solicitante.
[P.02] Efetua o pagamento da Taxa de Inscrio
A SBIS envia por e-mail ao Solicitante, no prazo mximo de 02 (dois) dias teis aps o
recebimento da Ficha de Inscrio, um boleto bancrio referente Taxa de Inscrio no
processo de certificao (ver item 4.7. ). A SBIS dar andamento s atividades
subseqentes do processo somente aps o recebimento desta taxa, que deve ser paga
pelo Solicitante na rede bancria dentro do prazo de vencimento disposto no boleto.
[P.03] Avalia o Contrato de Certificao
Caso a anlise da Ficha de Inscrio pela SBIS no aponte nenhuma restrio
participao do Solicitante e do S-RES inscrito no processo de certificao, o Solicitante
recebe da SBIS, no prazo mximo de 10 (dez) dias teis aps o pagamento da Taxa de
Inscrio, o Contrato de Certificao (ver item 4.6. ), ainda no assinado. Deve avaliar tal
contrato por completo, questionando a SBIS sobre qualquer dvida que porventura seja
suscitada, atentando ao fato de que o mesmo estabelece, entre outras coisas, as regras
do processo, os preos avenados, as obrigaes das partes (incluindo os termos de
confidencialidade de informaes) e seus direitos (incluindo as regras de uso do Selo
SBIS/CFM, Certificado e informaes correlatas).
Caso haja alguma restrio participao do Solicitante ou do S-RES inscrito no
processo de certificao, o Solicitante recebe da SBIS, no prazo mximo de 10 (dez) dias
teis aps o pagamento da Taxa de Inscrio, um comunicado da impossibilidade de
execuo do processo de certificao, onde so expostos os motivos para tal rejeio.
[P.04] Contrato aprovado?
Caso o Solicitante concorde com todos os termos do contrato, deve devolv-lo assinado
SBIS (passo P.05 adiante). Caso contrrio, solicita-se que tal deciso seja comunicada
por e-mail SBIS, para que o processo seja arquivado.
Verso 3.2
Data: 01/08/2008
Pgina: 31/96

CERTIFICAO 2008
Na ausncia de pronunciamento expresso positivo (caracterizado pelo passo P.05

adiante) ou negativo no prazo de 30 (trinta) dias teis aps o recebimento da
documentao (passo P.03 acima), o processo ser considerado encerrado e, ento,
arquivado pela SBIS.
Deve-se ressaltar que os processos encerrados e arquivados pela SBIS no podem ser
reativados, devendo o Solicitante, caso arrependa-se de tal fato, iniciar um novo
processo, submetendo nova Ficha de Inscrio (passo P.01).
[P.05] Envia o contrato assinado e a documentao do sistema, e efetua o
pagamento da Taxa de Certificao
Caso o Solicitante concorde com todos os termos do Contrato de Certificao, seu
representante legal assina as 02 (duas) vias do mesmo e as envia de volta SBIS,
juntamente com toda a documentao tcnica do sistema que possa ser relevante ao
processo de certificao, tal como manuais de instalao e de operao.
Junto com o Contrato de Certificao, o Solicitante j recebe da SBIS (no passo P.03
acima) um boleto bancrio referente Taxa de Certificao (ver item 4.7. ). A SBIS dar
andamento s atividades subseqentes do processo somente aps o recebimento desta
taxa, que deve ser paga pelo Solicitante na rede bancria dentro do prazo de vencimento
disposto no boleto.
O prazo para a execuo deste passo (envio do contrato assinado e da documentao, e
pagamento da taxa) de 30 (trinta) dias teis aps o recebimento da respectiva
documentao (passo P.03 acima). Caso tais tarefas no sejam executadas neste prazo,
o processo ser considerado encerrado e, ento, arquivado pela SBIS.
[P.06] Avalia a seleo dos auditores e o cronograma
No prazo mximo de 10 (dez) dias aps a efetivao do Contrato de Certificao (passo
P.05 acima), o Solicitante recebe da SBIS, por e-mail, uma proposta de cronograma para
a auditoria e os nomes dos auditores selecionados. Deve, ento, avaliar tais elementos,
verificando a viabilidade do cronograma proposto e a existncia de restries
participao de qualquer dos auditores indicados.
Caso tenha havido uma proposta anterior de cronograma e auditores pela SBIS, sendo a
mesma rejeitada pelo Solicitante (passo P.07 adiante), este receber, no prazo mximo
de 10 (dez) dias teis aps ter comunicado tal rejeio, uma nova proposta de
cronograma para a auditoria e os nomes dos auditores selecionados, devendo proceder
mesma avaliao j citada.
[P.07] Auditores e cronograma aprovados?
O Solicitante deve comunicar expressamente SBIS, por e-mail e no prazo mximo de 05
(cinco) dias teis aps o recebimento das informaes (passo P.06 acima), seu parecer
quanto ao cronograma proposto e aos nomes dos auditores selecionados.
Verso 3.2
Data: 01/08/2008
Pgina: 32/96

CERTIFICAO 2008
Caso o Solicitante concorde com todos os elementos apresentados, bastar informar tal
aprovao SBIS.
Caso o Solicitante discorde de algum elemento, seja o cronograma ou algum dos nomes
de auditores propostos, dever informar tal rejeio, justificando explicitamente os motivos
para tal. Caso haja, dentre os motivos, a indisponibilidade do Solicitante perante o
cronograma sugerido pela SBIS, e na tentativa de agilizar esta definio, o mesmo poder
adicionar justificativa uma ou mais propostas de datas, sempre posteriores s datas
originalmente sugeridas pela SBIS.
Na ausncia de tal comunicao expressa no prazo citado de 05 (cinco) dias teis, o
cronograma proposto e a seleo dos auditores sero automaticamente considerados
aprovados.
O Solicitante pode rejeitar no mximo 03 (trs) propostas efetuadas pela SBIS,
independentemente das causas de tais rejeies, sendo a quarta proposta, quando
houver, impassvel de rejeio e automaticamente considerada aprovada.
[P.08] Disponibiliza os recursos necessrios auditoria nas datas previstas
Estando o cronograma de auditoria e os nomes dos auditores aprovados, o Solicitante
deve disponibilizar, nas datas previstas, o produto (S-RES) objeto da certificao e todos
os aplicativos e produtos necessrios para a sua execuo, para acesso na sede da
SBIS, em So Paulo/SP, atravs do meio que considerar mais adequado, podendo, a
princpio:
- Instal-lo em um microcomputador da SBIS, desde que sob o sistema operacional
Windows ou Linux, ou;
- Lev-lo j instalado em um microcomputador do prprio Solicitante, ou;
- Acess-lo diretamente atravs da internet, ou;
- Acess-lo indiretamente atravs da internet, utilizando-se algum aplicativo de controle
remoto (ex.: VNC, PC Anywhere etc.), ou;
- Utilizar algum outro meio equivalente que atenda a este objetivo, o qual dever ser
acordado entre o Solicitante e a SBIS.
O Solicitante deve, tambm, disponibilizar de 01 (um) a 03 (trs) profissionais para
operarem o sistema na sede da SBIS, em So Paulo/SP, durante todo o perodo da
auditoria. Tais profissionais devem, conjuntamente, ser aptos a operar todos os mdulos
ou funcionalidades do S-RES pertinentes s categorias sob certificao, e devem seguir
as orientaes e solicitaes efetuadas pelos auditores durante toda a auditoria.
Eventualmente, ao perceber a necessidade, para o bom andamento dos trabalhos, de
algum outro recurso ou material adicional, a SBIS pode solicit-lo ao Solicitante, que deve
providenci-lo sempre que disponvel.
Todos os custos e despesas decorrentes da necessidade de disponibilizar os recursos
aqui citados devem ser pagos integralmente pelo Solicitante, e no so passveis de
qualquer tipo de remunerao, auxlio financeiro ou reembolso por parte da SBIS.
Verso 3.2
Data: 01/08/2008
Pgina: 33/96

CERTIFICAO 2008
[P.09] Reprovao aceita?

Ao receber da SBIS o comunicado de reprovao da certificao de seu S-RES, o
Solicitante deve analisar e avaliar os resultados obtidos na auditoria. Caso no concorde
com tal reprovao, deve solicitar SBIS a reviso do resultado (passo P.10 adiante).
Caso contrrio, solicita-se que tal deciso seja comunicada por e-mail SBIS, para que o
processo seja arquivado.
Na ausncia de pronunciamento expresso no prazo de 15 (quinze) dias teis aps o
recebimento do comunicado de reprovao, o processo ser considerado encerrado e,
ento, arquivado pela SBIS.
Apenas o resultado da auditoria original passvel de reviso, no cabendo tal solicitao
sobre um resultado j revisado.
[P.10] Envia solicitao de reviso do resultado
Caso no concorde com a reprovao da certificao de seu S-RES, o Solicitante deve
enviar SBIS, por escrito e no prazo mximo de 15 (quinze) dias aps o recebimento do
comunicado de reprovao, uma solicitao de reviso do resultado, a qual deve,
necessariamente, conter as justificativas e embasamento para tal discordncia.
5.1.2. Atividades da SBIS no Processo

A SBIS ir executar as atividades apresentadas na coluna direita do fluxo do processo de
certificao (ver Figura 1 :), as quais se encontram detalhadas a seguir.
[S.01] Sistema do CC gera e envia a cobrana da Taxa de Inscrio
Ao receber o cadastramento de uma nova Ficha de Inscrio para Certificao, o sistema
do CC (Centro de Certificao) da SBIS envia uma mensagem de confirmao de
recebimento ao e-mail do Solicitante. No prazo mximo de 02 (dois) dias teis aps o
recebimento de tal ficha, o CC gera um boleto bancrio para a cobrana da Taxa de
Inscrio (ver item 4.7. ) e o envia, por e-mail, ao Solicitante.
[S.02] Gerente do CC analisa a Ficha de Inscrio e elabora o Contrato de
Certificao
Ao detectar o recebimento da Taxa de Inscrio, o Gerente do CC analisa a Ficha de
Inscrio, verificando se o Solicitante e o produto (S-RES) inscrito atendem s condies
necessrias participao no processo de certificao.
Caso as condies estejam atendidas, o Gerente do CC, com base no enquadramento do
S-RES (ver item 3.1. ) e na tabela de preos em vigor (ver item 4.7. ), elabora o Contrato
de Certificao (ver item 4.6. ), o qual explicita, entre outras coisas, a parte contratante
(Solicitante), o produto (S-RES) a ser certificado e o valor a ser pago pelo Solicitante a
ttulo de Taxa de Certificao.
Verso 3.2
Data: 01/08/2008
Pgina: 34/96

CERTIFICAO 2008
Caso as condies participao no estejam atendidas, o Gerente do CC elabora um

comunicado ao Solicitante sobre tal impossibilidade, descrevendo os motivos para tal
rejeio.
[S.03] Envia o contrato e a cobrana da Taxa de Certificao
No prazo mximo de 10 (dez) dias teis aps o pagamento da Taxa de Inscrio pelo
Solicitante, o CC envia ao mesmo o Contrato de Certificao elaborado, em 02 (duas)
vias e ainda sem qualquer assinatura. Envia, tambm, um boleto bancrio emitido pelo
sistema do CC para a cobrana da Taxa de Certificao, no valor definido no contrato.
Caso a participao no processo tenha sido rejeitada, o CC envia ao Solicitante, ao invs
do contrato e da cobrana, o comunicado elaborado no passo anterior, enviando o
processo para arquivamento (passo S.04 adiante).
[S.04] Encerra e arquiva o processo
Quando configurado, em qualquer momento e por qualquer causa, o encerramento do
processo, esteja o mesmo concludo ou no, a SBIS efetua o seu arquivamento,
armazenando toda a documentao e material relativos ao mesmo, tanto em meio
eletrnico quanto em papel, pelo perodo mnimo de 05 (cinco) anos.
[S.05] Gerente do CC seleciona os auditores e elabora o cronograma de auditoria
Ao receber as 02 (duas) vias do Contrato de Certificao assinadas, a documentao do
sistema e detectar o recebimento da Taxa de Certificao, o representante legal da SBIS
assina as 02 (duas) vias do contrato e, no prazo mximo de 10 (dez) dias teis, reenvia
uma delas ao Solicitante.
O Gerente do CC analisa o processo e elabora uma proposta de cronograma para a
auditoria. As datas propostas seguiro, obrigatoriamente, a ordem cronolgica de
recebimento dos contratos assinados pelos Solicitantes (fila no mtodo FIFO), com
exceo dos casos de reagendamento (citado no passo S.08) ou de 2 ciclo (passo A.01)
de auditoria, os quais tero prioridade na obteno das datas mais prximas disponveis.
No h prazo mximo pr-determinado para a data de incio da auditoria, j que tal prazo
depende da quantidade de contratos celebrados e ainda no auditados (fila de espera) e
da durao de cada auditoria, o que pode variar conforme o enquadramento de cada SRES.
O Gerente efetua, tambm, a seleo dos auditores dentro do quadro de auditores
credenciados pela SBIS. Esta atividade executada de acordo com as normas internas
do CC, as quais consideram, entre outros elementos, a rotatividade entre os auditores, a
disponibilidade dos mesmos e eventuais impedimentos por questes ticas ou
profissionais. Cada auditoria executada obrigatoriamente por 03 (trs) auditores seniors,
e pode ser acompanhada por um ou mais auditores trainees, estando os papis de ambos
descritos no passo S.08 adiante e no captulo 6.
Verso 3.2
Data: 01/08/2008
Pgina: 35/96

CERTIFICAO 2008
[S.06] Envia a seleo dos auditores e o cronograma para aprovao

No prazo mximo de 10 (dez) dias teis, o Gerente do CC encaminha, por e-mail, a
proposta de cronograma para a auditoria e os nomes dos auditores selecionados ao
Solicitante, solicitando sua aprovao.
[S.07] Gerente do CC seleciona novos auditores e/ou elabora novo cronograma
Na eventualidade da rejeio, pelo Solicitante, de uma proposta de cronograma ou da
seleo dos auditores, o Gerente do CC elabora um novo cronograma e/ou seleciona
outros auditores, seguindo-se os mesmos procedimentos adotados no passo S.05 acima.
[S.08] Auditores executam a auditoria e preenchem o caderno de resultados
Nas datas previstas no cronograma e utilizando os recursos apontados no passo P.08, a
equipe de auditores realiza a auditoria do S-RES objeto da certificao.
Todas as sesses de auditoria so gravadas, registrando-se, durante todo o tempo, os
sons do ambiente onde se realizam e as imagens da tela (navegao e operao) do SRES auditado.
Cada auditoria executada obrigatoriamente por 03 (trs) auditores seniors (ver captulo
6), que comandam os profissionais disponibilizados pelo Solicitante para a operao do
sistema auditado. So executados todos os procedimentos (scripts) definidos no Manual
Operacional de Ensaios e Anlises para todos os requisitos obrigatrios das categorias
nas quais o S-RES auditado se enquadra, verificando-se a obteno ou no de cada
resultado esperado. Aps a execuo de cada script, cada auditor registra o seu parecer
em seu Caderno de Resultados, os quais so posteriormente consolidados pelo Gerente
do CC. Havendo divergncia entre os resultados observados por cada auditor na
avaliao de um determinado requisito, prevalecer o resultado apontado pela maioria, ou
seja, por 02 (dois) auditores, o qual passa a ser considerado como resultado final do
requisito.
A auditoria pode, ainda, ser acompanhada por um ou mais auditores trainees (ver captulo
6), os quais participam apenas com a finalidade de capacitao e progresso no processo
de credenciamento, no sendo seus registros considerados no resultado da auditoria.
Caso a auditoria no seja realizada nas datas previstas devido a qualquer impossibilidade
por parte do Solicitante, fundamentalmente por no disponibilizar algum recurso previsto
no passo P.08, ser elaborado um novo cronograma, mediante o pagamento, pelo
Solicitante, da Taxa de Reagendamento de Auditoria. Caso o Solicitante comunique tal
impossibilidade e solicite o reagendamento com mais de 02 (dois) dias teis de
antecedncia (fora o prprio dia) do incio previsto para o primeiro dia da auditoria, o valor
a ser pago corresponder a 30% (trinta por cento) da referida taxa.
Caso a auditoria no seja realizada nas datas previstas devido a qualquer impossibilidade
por parte da SBIS, ser elaborado um novo cronograma, isento de qualquer taxa
adicional.
Verso 3.2
Data: 01/08/2008
Pgina: 36/96

CERTIFICAO 2008
A elaborao de um novo cronograma, independentemente do motivo, compreende a

execuo do passos S.05, S.06, S.07, P.06, P.07 e P.08. Deve-se observar que qualquer
alterao no cronograma pode provocar uma conseqente alterao da seleo dos
auditores, caso haja conflitos nas agendas dos auditores previamente selecionados.
[S.09] Comit de Certificao avalia o resultado da auditoria
Todos os meses, uma vez por ms, conforme cronograma definido oportunamente, o
Comit de Certificao (ver captulo 6) se rene para a discusso e avaliao das
auditorias realizadas no perodo (desde a reunio antecedente), emitindo um parecer
unificado para cada auditoria. Este parecer pode indicar a aprovao ou reprovao do SRES na auditoria realizada. H ainda, aps a auditoria inicial (primeiro ciclo), a
possibilidade de o Comit recomendar ao Solicitante a realizao de ajustes no S-RES
para a execuo de um segundo ciclo de auditoria, ainda dentro do mesmo processo
original, cujo parecer indicar, finalmente, a aprovao ou reprovao do S-RES.
Deve-se lembrar, conforme j exposto anteriormente, que para a obteno da certificao,
um S-RES deve demonstrar, durante sua auditoria, conformidade a todos os requisitos
obrigatrios das categorias nas quais se enquadra.
Dentre os membros do Comit que avaliarem um especfico S-RES e respectivas
auditorias, no podero estar auditores que participaram das auditorias daquele S-RES.
[S.10] S-RES aprovado?
O Comit de Certificao far o encaminhamento do processo conforme o resultado de
seu parecer.
Caso o S-RES tenha sua certificao aprovada, encaminha Diretoria da SBIS para que
esta proceda emisso e envio do Certificado e Selo ao Solicitante (passo S.11 adiante).
Caso o parecer reprove a certificao, o Comit encaminha o processo Diretoria da
SBIS para que esta proceda comunicao da reprovao ao Solicitante (passo S.12
adiante).
H ainda, conforme citado anteriormente, a possibilidade, somente aps a auditoria inicial
(primeiro ciclo), de o Comit recomendar ao Solicitante a realizao de ajustes no S-RES
para a execuo de um segundo ciclo de auditoria (passo A.01).
[S.11] Diretoria emite e envia o Certificado e o Selo, e os publica no site
No prazo mximo de 05 (cinco) dias teis aps a aprovao pelo Comit de Certificao,
a Diretoria da SBIS emite e envia ao Solicitante o Certificado e o Selo de Certificao
SBIS/CFM (ver item 4.6. ), tanto em arquivos eletrnicos como em papel, e os publica no
stio da Certificao na Internet. Em seguida, encerra e arquiva o processo (passo S.04).
Dentre os membros da Diretoria que decidirem sobre a certificao de um especfico SRES, no podero estar auditores nem membros do Comit de Certificao que
participaram da avaliao daquele S-RES.
Verso 3.2
Data: 01/08/2008
Pgina: 37/96

CERTIFICAO 2008
[S.12] Comunica a reprovao

No prazo mximo de 05 (cinco) dias teis aps a reprovao pelo Comit de Certificao,
a Diretoria da SBIS comunica tal fato por escrito ao Solicitante, justificando os motivos e
apontando explicitamente os resultados negativos que determinaram tal reprovao.
[S.13] Gerente do CC e auditores revisam os registros e resultados da auditoria
Ao receber uma solicitao de reviso de resultado, o Gerente do CC rene-se com os
auditores que executaram a auditoria contestada. A partir dos argumentos expostos pelo
Solicitante na solicitao e com o apoio das imagens e sons gravados durante as sesses
de auditoria, o grupo reavalia os resultados apontados e emite um documento que
conforme verificado em cada caso ratifica ou retifica os resultados originais.
5.1.3. Sub-Processos Alternativos
Os processos aqui descritos representam subconjuntos de atividades integrantes do
processo padro, e so compostos de atividades executadas tanto pela SBIS quanto pelo
Solicitante.
[A.01] Ajustes e 2 ciclo de auditoria
Ao concluir a auditoria de um S-RES, a SBIS pode, exclusivamente a seu critrio, que
levar em considerao a quantidade e abrangncia das no-conformidades identificadas,
proporcionar ao Solicitante oportunidade para que ele realize no S-RES os ajustes
necessrios soluo das no-conformidades apontadas na auditoria, executando, em
seguida, um segundo ciclo de auditoria, ainda dentro do mesmo processo. Caso o
Solicitante aceite tal proposta, dever efetuar o pagamento da Taxa de Realizao de 2
Ciclo de Auditoria (ver item 4.7. ).
O prazo mximo para a realizao dos ajustes ser de 60 (sessenta) dias corridos a partir
da comunicao da SBIS ao Solicitante, devendo a nova auditoria (2 ciclo) ser realizada
na data mais prxima disponvel aps este perodo. A nova auditoria ser realizada
obrigatoriamente sobre o mesmo S-RES e na mesma configurao originalmente
auditadas, atualizando-se apenas a verso constante no processo para a nova verso
resultante dos ajustes efetuados pelo Solicitante, a qual dever conter apenas as
alteraes necessrias soluo das no-conformidades apontadas.
Este sub-processo compreende a execuo, por parte da SBIS, do passos S.05, S.06,
S.07 e S.08, e por parte do Solicitante dos passos P.06, P.07 e P.08, todos descritos
anteriormente neste manual. Deve-se atentar para que a somatria dos prazos
estipulados para cada passo no ultrapasse o prazo mximo definido para o presente
sub-processo.
Este sub-processo poder ser realizado uma nica vez dentro de um processo de
certificao, no sendo passvel de repetio caso este segundo ciclo de auditoria ainda
aponte para no-conformidades, independentemente da quantidade ou abrangncia das
mesmas.
Verso 3.2
Data: 01/08/2008
Pgina: 38/96

CERTIFICAO 2008
5.2. Processo para Extenso de Certificao

Este o processo a ser seguido para a obteno de extenses da certificao para outras
configuraes ou verses de um S-RES j certificado, conforme descrito no item 4.5.
Este processo segue o mesmo fluxo de atividades descrito para o processo padro (ver
item 5.1. , Figura 1), exceto nos pontos destacados a seguir:
a) Toda referncia Ficha de Inscrio para Certificao deve ser substituda pela Ficha
de Inscrio para Extenso de Certificao (ver item 4.6. );
b) Onde h referncia assinatura e envio do Contrato de Certificao, deve-se
considerar a assinatura e envio do Termo de Extenso de Certificao (ver item 4.6. ),
o qual se constitui de um aditivo a um contrato previamente firmado entre a SBIS e o
Solicitante;
c) Toda referncia Taxa de Certificao deve ser substituda pela Taxa de Extenso de
Certificao (ver item 4.7. );
d) Dependendo do tipo (outra configurao ou nova verso) e abrangncia da extenso
solicitada, a SBIS pode, exclusivamente a seu critrio, dispensar a necessidade de
realizao de auditoria do S-RES inscrito, no sendo executadas, neste caso, as
atividades pertinentes ao cronograma de auditoria e seleo de auditores existentes
no passo S.05, e nem executados os passos S.06, S.07, S.08, P.06, P.07, P.08 e
A.01, os quais devem ser desconsiderados. Tambm devem ser desconsideradas as
referncias auditoria nos passos S.09, S.10, S.13 e P.09, considerando-se, no seu
lugar, a deciso quanto concesso ou no da extenso pretendida.
5.3. Apelaes, Reclamaes e Disputas

As apelaes, reclamaes e disputas apresentadas SBIS pelos Solicitantes, outros
fornecedores, clientes ou outras partes interessadas, sero todas registradas pela
Secretaria da SBIS e encaminhadas Diretoria da SBIS para soluo, encaminhando-as
primeiramente ao Gerente do Centro de Certificao, se for de sua alada resolv-las.
Toda a apelaes, reclamaes e disputas devero ser devidamente analisadas e devem
ser realizadas as devidas aes subseqentes apropriadas para sanar as deficincias
apontadas e confirmadas. Se o reclamante se identificar, deve-lhe ser fornecida resposta
formal.
Se a reclamao disser respeito a Solicitante cujo S-RES estiver certificado, ele deve ser
comunicado formalmente dela e deve ser intimado a apresentar resposta formal, sob pena
de aplicao de sano, que ir desde a advertncia at a eventual suspenso do
certificado, em casos mais extremos, a critrio da Diretoria da SBIS.
As apelaes, reclamaes e disputas e as subseqentes aes tomadas devem ser
registradas.
Verso 3.2
Data: 01/08/2008
Pgina: 39/96

CERTIFICAO 2008
5.4. Auditorias Internas do Processo de Certificao

A SBIS realizar auditorias internas peridicas, de maneira planejada e sistemtica,
abrangendo todos os procedimentos, para verificar se os processos se desenvolvem de
maneira regular, de acordo com as disposies planejadas. Os resultados das auditorias
internas sero documentados e levados ao conhecimento da Diretoria da SBIS, que
determinar a realizao de aes para corrigir as desconformidades detectadas e suas
causas, no devido tempo e de maneira apropriada.
As auditorias internas sero realizadas por pessoal indicado pela Diretoria da SBIS e
independente das atividades auditadas.
Verso 3.2
Data: 01/08/2008
Pgina: 40/96

CERTIFICAO 2008
6. Estrutura do Centro de Certificao da SBIS

O Centro de Certificao (CC) o departamento interno da SBIS responsvel pela
operacionalizao do processo de Certificao SBIS/CFM. Localizado na sede da SBIS e
subordinado sua Diretoria, composto por colaboradores com dedicao no-exclusiva,
os quais sero contratados conforme a demanda observada ao longo da implantao
desta Fase 2 da Certificao.
So apresentados, a seguir, apenas os papis desempenhados pelo Centro citados ao
longo deste manual.
6.1. Comit de Certificao

Comit formado por 03 (trs) pessoas, com a seguinte composio:
01 (um) integrante da Coordenao do GICSP (Coordenador, Vice-Coordenador ou
Secretrio);
01 (um) membro representante do CFM;
01 (um) membro indicado pela Diretoria da SBIS.
Compete ao Comit, fundamentalmente, o seguinte:
Auxiliar no desenvolvimento das polticas relativas imparcialidade das atividades
de certificao;
Impedir qualquer tendncia por parte da SBIS em permitir que interesses
comerciais ou outros impeam a proviso regular e objetiva de atividades de
certificao;
Aconselhar sobre questes que afetem a confiana na certificao, incluindo
transparncia e imagem pblica;
Realizar uma anlise crtica, pelo menos uma vez por ano, da imparcialidade dos
processos de auditoria, certificao e tomada de deciso da SBIS;
Avaliar as auditorias realizadas e os atos do Gerente do Centro de Certificao e
emitir pareceres indicativos de aprovao ou reprovao dos procedimentos do
Centro de Certificao.
O Comit de Certificao ter acesso a todas as informaes necessrias para possibilitar
o cumprimento de suas funes.
6.2. Gerente do Centro de Certificao

O Centro de Certificao, unidade funcional da SBIS em que se desenvolvem as
principais atividades do Processo de Certificao SBIS/CFM, gerenciado em todas suas
aes, tanto no mbito interno quanto no relacionamento com os Solicitantes, Clientes
Certificados e demais interessados na certificao por um profissional contratado pela
Diretoria da SBIS e nomeado como Gerente do Centro de Certificao.
Ao Gerente compete fundamentalmente o seguinte:
Analisar as solicitaes de certificao;
Verso 3.2
Data: 01/08/2008
Pgina: 41/96

CERTIFICAO 2008
Elaborar e gerir os contratos com os Solicitantes;

Elaborar contratos com os profissionais envolvidos;
Elaborar cronogramas;
Convocar os auditores;
Responder as dvidas e questionamentos sobre o processo de certificao e
Interagir com a Diretoria da SBIS nas questes pertinentes certificao.
6.3. Auditores
O Centro de Certificao conta com um quadro de auditores credenciados para a
execuo das auditorias dos S-RES submetidos certificao.
Compete aos auditores o seguinte:
Realizar as auditorias conforme as regras estabelecidas pela SBIS;
Documentar todos os resultados obtidos, de forma objetiva e sem influncia de
valores ou opinies pessoais;
Declarar-se impedido, se tiver algum conflito de interesse, que o impea de realizar
seu trabalho com objetividade e imparcialidade;
Manter em sigilo, permanentemente, todas as informaes sobre o Solicitante, o SRES e a certificao a que tenha acesso em razo de sua participao no
processo de certificao;
No estar envolvido, diretamente ou indiretamente, com a organizao cujo S-RES
est sendo avaliado, com seus fornecedores, clientes, concorrentes ou outra
qualquer parte interessada, de maneira tal que sua imparcialidade possa ser
comprometida.
Para se tornar um auditor do Centro de Certificao, o profissional deve obrigatoriamente
atender aos seguintes requisitos:
Ser Membro Titular da SBIS e estar em dia com suas obrigaes perante a
mesma;
Ter realizado e sido aprovado no Curso para Auditores do Centro de Certificao
da SBIS;
Para se tornar um auditor senior, o auditor deve ter participado de, no mnimo,
duas auditorias na condio de trainee.
O processo de credenciamento de auditores, incluindo as regras detalhadas e a
programao das turmas do respectivo curso, estar, em breve, disponvel no stio da
SBIS na Internet.
6.4. Secretaria
A Secretaria do Centro de Certificao responsvel pelos aspectos administrativos e
burocrticos do Centro, e apia seus membros, especialmente o Gerente, nas atividades
relacionadas certificao.
Inicialmente, e enquanto o volume de trabalho assim permitir, a Secretaria do Centro de
Certificao ser realizada pela Secretria Administrativa da SBIS.
Verso 3.2
Data: 01/08/2008
Pgina: 42/96

CERTIFICAO 2008
Compete tambm Secretaria o seguinte:

Controlar todos os documentos, dados e registros relativos certificao,
garantindo o controle do acesso e da distribuio das informaes s pessoas
autorizadas e garantindo a confidencialidade, integridade e atualidade das
informaes mantidas. Os documentos obsoletos e o registros devem ser mantidos
por um perodo de tempo no inferior a cinco anos;
Manter registros de qualificao, treinamento e experincia e compromisso
pertinentes de cada pessoa envolvida no processo de certificao.
6.5. Diretoria da SBIS

Compete Diretoria da SBIS, concomitantemente e sem prejuzo de suas atribuies
estatutrias, o seguinte:
A garantia da existncia de uma estrutura interna que salvaguarde a imparcialidade
da SBIS na certificao e que permita a participao de todas as partes com
interesse significativo no desenvolvimento de polticas e princpios relativos ao
contedo e funcionamento do sistema de certificao;
A formulao de polticas relativas operao da certificao;
A superviso da implementao de suas polticas;
As bases tcnicas para conceder a certificao;
A nomeao do pessoal e estruturas internas envolvidos no processo de
certificao e determinao de suas autoridades e responsabilidades, empregando
um nmero suficiente de pessoas que tenham a necessria formao, treinamento,
conhecimento tcnico e experincia para desempenhar as funes de certificao,
sob a responsabilidade do Gerente do Centro de Certificao;
A garantia de que o pessoal e as estruturas envolvidas estejam livres de quaisquer
presses comerciais, financeiras e outras que possam influenciar os resultados do
processo de certificao;
A garantia de que o pessoal e estruturas envolvidos estejam conscientes de que
devem manter a confidencialidade das informaes obtidas no curso das atividades
de certificao, em todos os nveis da organizao, incluindo tambm comits,
organismos externos ou pessoas atuando em seu nome;
O estabelecimento de instrues documentadas para o pessoal envolvido na
certificao, conforme necessrio, descrevendo seus deveres e responsabilidades;
A exigncia que o pessoal envolvido no processo de certificao assine Termos de
Compromisso de Conduta no qual se comprometa a: i) obedecer s regras
definidas pela SBIS, inclusive aquelas relativas confidencialidade e
independncia de interesses comerciais e outros interesses; ii) declarar qualquer
associao da sua parte com o Solicitante para cuja avaliao ou certificao
venha a ser designado, presente ou passada, direta ou indireta;
As decises finais sobre a concesso, manuteno, extenso, suspenso e
cancelamentos dos certificados;
O estabelecimento de polticas e procedimentos para a soluo de reclamaes,
apelaes e disputas recebidas de fornecedores ou de outras partes, sobre o
tratamento dado certificao ou quaisquer outras matrias relacionadas.
A superviso das finanas da SBIS e a garantia de existncia de estabilidade
financeira e recursos necessrios para a operao do sistema de certificao,
Verso 3.2
Data: 01/08/2008
Pgina: 43/96

CERTIFICAO 2008
incluindo mecanismos adequados para cobrir responsabilidades legais decorrentes

das suas operaes e/ou atividades de certificao;
A realizao de anlises crticas documentadas do sistema de certificao, a
intervalos definidos, que sejam suficientemente breves para assegurar a contnua
adequao e eficcia em satisfazer aos requisitos e s polticas.
Verso 3.2
Data: 01/08/2008
Pgina: 44/96

CERTIFICAO 2008
7. Uso da Informao Relacionada com a Certificao

A certificao de S-RES foi inicialmente pensada como uma maneira de garantir a
legalidade da substituio do papel por sistemas computadorizados quando da captura,
armazenamento, manuseio e transmisso de dados do atendimento em sade. Mas os
objetivos da certificao j tinham sido consideravelmente ampliados quando foi firmado o
primeiro convnio entre o CFM e SBIS objetivando a operacionalizao desta certificao.
Dentre os benefcios que a certificao SBIS/CFM traz para o mercado de sade no Brasil
podem ser destacados:
Conscientizar o mercado quanto importncia de funcionalidades bsicas em

sistemas de RES;
Diminuir o risco enfrentado por mdicos e instituies de sade na seleo e
compra de S-RES;
Redirecionar as prioridades de investimentos em informtica em sade,
considerando aspectos relevantes para a melhoria da qualidade, segurana e
eficincia de sistemas informatizados;
Contribuir para a confidencialidade e privacidade das informaes de sade ao
demandar que os S-RES atendam requisitos de segurana adequados, e garantir a
legalidade das informaes armazenadas nestes sistemas pelo uso de tecnologia
reconhecida no pas (ICP/Brasil);
Aumentar o uso da informtica em sade no Brasil, e em conseqncia, melhorar a
eficincia e a eficcia do sistema de sade brasileiro.
Apesar de o processo de certificao ser voluntrio, a expectativa que desenvolvedores

de S-RES busquem a certificao como forma de diferenciao dos seus softwares no
mercado, utilizando o fato de sistema ter sido certificado como parte importante de suas
estratgias de marketing.
De forma anloga, mdicos e instituies de sade iro cada vez mais privilegiar S-RES
certificados.
Mas preciso tambm cuidar para que abusos no sejam cometidos, e que todos os
envolvidos no processo de certificao atuem de forma tica e responsvel, garantindo
que toda a sociedade realmente tire o melhor proveito da certificao. Com este objetivo
foram elaboradas diretrizes para o uso da informao relacionada com a certificao
SBIS/CFM. Estas diretrizes so detalhadas a seguir.
Cabe ainda ressaltar que estas diretrizes devem ser observadas para a confeco de
qualquer material de marketing (folhetos, embalagens, manuais, brindes, etc.), incluindo
ainda todas as formas de comunicao com o mercado (mdia impressa, rdio, televiso,
internet, etc.).
No caso de press releases mencionando a SBIS, CFM ou a Certificao SBIS/CFM,
obrigatria a consulta prvia SBIS, que dever autorizar por escrito a divulgao do
mesmo para a imprensa.
Verso 3.2
Data: 01/08/2008
Pgina: 45/96

CERTIFICAO 2008
Apenas as organizaes que tiverem recebido o Certificado e o respectivo Selo

SBIS/CFM indicando que o S-RES auditado atende integralmente os requisitos da
certificao podero divulgar o respectivo S-RES como sendo certificado pela SBIS/CFM.
Se tal certificao for, por qualquer motivo, revogada, todos os materiais de marketing
fazendo referncia a esta certificao devero deixar de ser distribudos, assim como a
organizao no mais poder fazer qualquer referncia a esta certificao.
Aqueles que divulgarem informaes relacionadas com a Certificao SBIS/CFM de modo
no previsto nestas diretrizes podero ser chamados a responder por tais atos, sujeitando
o S-RES a ter sua certificao revogada.
7.1. Referncias ao Estado de S-RES Certificado

Ao fazer qualquer referncia a um S-RES certificado pela SBIS/CFM, uma empresa ou
instituio dever indicar claramente:
O nome da empresa ou instituio

O nome do produto (S-RES) certificado
A verso do produto (S-RES) certificado
O ano-base dos requisitos considerados na certificao (ano que aparece no selo
de certificao)
As categorias certificadas
Como exemplo, apresenta-se um modelo de citao: O (nome do S-RES e verso)

desenvolvido pela (Nome da empresa) recebeu a certificao SBIS/CFM na(s)
categoria(s) (indicar categorias) com base nos requisitos de (ano-base requisitos).
Exemplo: O sistema YYY, verso 9.99 da XXX recebeu a certificao SBIS/CFM na
categoria Ambulatorial NGS-1 com base nos requisitos de 2008.
O Cliente Certificado no deve usar a certificao de maneira a prejudicar a imagem da
SBIS ou do CFM e no deve fazer qualquer declarao sobre a certificao que a SBIS
ou o CFM possa considerar indevida ou no autorizada.
A certificao SBIS/CFM indica que um S-RES foi testado em relao a um conjunto de
requisitos que vo desde segurana, contedo, estrutura e funcionalidade at a aderncia
ao padro TISS, e que durante a auditoria todos os requisitos especificados em cada
categoria listada no selo de certificao foram integralmente verificados.
Estes requisitos para a certificao se constituem em um conjunto objetivo de critrios a
serem considerados em um processo de avaliao de qualquer S-RES, facilitando o
processo de busca e comparao entre sistemas disponveis no mercado, e diminuindo
os riscos enfrentados por qualquer organizao interessada em adotar um novo S-RES.
Verso 3.2
Data: 01/08/2008
Pgina: 46/96

CERTIFICAO 2008
7.2. Uso do Selo de Certificao SBIS/CFM
Figura 2: Modelo ilustrativo do Selo de Certificao SBIS/CFM
Apenas os S-RES que tenham sido certificados pela SBIS/CFM tero o direito, no
exclusivo, de utilizar o selo SBIS/CFM em seus respectivos manuais e materiais
promocionais durante o perodo de vigncia do respectivo certificado (ver item 4.4. ).
O selo dever ser utilizado de modo que fique legvel, mantendo as mesmas propores,
cores e aparncia do selo original, no podendo ser de qualquer modo estilizado. O selo
no poder, em nenhuma hiptese, ser apresentado com destaque maior do que o nome
do S-RES ou da organizao responsvel por sua comercializao.
Se o selo for utilizado em uma pgina web, aqueles acessando tal pgina devero
identificar claramente dentre os produtos apresentados nesta mesma pgina, quais so
os S-RES e respectivas verses que esto de fato certificados e quais no esto. Alm
disto, o selo dever fornecer vinculado sua imagem um link que, ao ser acionado
(clicado), remeta o usurio pgina do stio da SBIS na Internet onde sejam
apresentadas as informaes do S-RES detentor de tal selo.
7.3. Referncias ao Processo de Certificao

A certificao SBIS/CFM foi elaborada considerando-se o estado da arte em termos de
certificao de sistemas de informao e as mais recentes recomendaes sobre
caractersticas e funcionalidades necessrias para constituir um S-RES. Apesar das
inmeras referncias internacionais, a realidade brasileira foi tambm considerada,
gerando um conjunto de requisitos compatvel com o estgio atual do mercado brasileiro,
assegurando ainda nveis apropriados de segurana, confiabilidade e sofisticao.
Todo o processo foi amplamente debatido com a sociedade, atravs de inmeras
apresentaes em congressos e seminrios, alm de audincias pblicas realizadas
especificamente para validar e aprimorar todas as etapas da certificao. Merece
destaque o empenho do Grupo de Interesse em Certificao de Software e Padres da
SBIS, composto por voluntrios, que dedicaram inmeras horas para contribuir com a
melhoria e aperfeioamento da certificao como um todo.
Verso 3.2
Data: 01/08/2008
Pgina: 47/96

CERTIFICAO 2008
A auditoria realizada nos S-RES feita com base em cenrios reais de utilizao de
sistemas de registro eletrnico da sade, concebidos de modo a test-los de forma
rigorosa, garantindo o nvel de funcionalidade e segurana demandados pela sociedade
em geral.
A certificao SBIS/CFM contribui para o aumento na adoo das Tecnologias da
Informao na rea da sade, facilitando a escolha de sistemas por mdicos e outros
profissionais da sade que no so especialistas em TI. Ao mesmo tempo, indica as
caractersticas e funcionalidades necessrias para a construo de sistemas teis e
confiveis, ajudando os desenvolvedores de S-RES a evolurem na direo de sistemas
cada vez mais efetivos, seguros e completos.
7.4. Tratamento de Reclamaes pelos Solicitantes e Clientes

Certificados
Os Solicitantes e os Clientes Certificados devero:
Manter registros de todas as reclamaes de qualquer parte interessada trazidas

ao seu conhecimento relativas conformidade do produto com os requisitos da
certificao SBIS/CFM e das aes subseqentes tomadas, que devem ser
disponibilizados SBIS quando solicitados;
Tomar aes apropriadas com respeito a tais reclamaes e quaisquer deficincias

encontradas no produto ou servios que afetem o atendimento aos requisitos para
certificao.
Verso 3.2
Data: 01/08/2008
Pgina: 48/96

CERTIFICAO 2008
8. Requisitos de Conformidade
A lista com todos os padres utilizados e uma descrio resumida de cada um deles est
no captulo 2. Vrios destes padres descrevem caractersticas e funcionalidades que
idealmente devem estar presentes em um S-RES, independentemente do seu nicho de
aplicao.
As caractersticas e funcionalidades existentes em padres respeitados nacional ou
internacionalmente podem e devem ser utilizadas como base para facilitar a avaliao de
um S-RES. Adicionalmente, podem ser teis para o planejamento de novas verses de SRES ao longo do tempo (incorporando caractersticas e funcionalidades existentes no
padro, mas ainda no disponveis no sistema).
J do ponto de vista do processo de certificao, necessrio estabelecer critrios
objetivos que possam ser utilizados de modo uniforme em cada auditoria, garantindo que
os S-RES avaliados tenham as mesmas chances de serem ou no aprovados no
processo, independentemente dos auditores envolvidos.
Os requisitos obrigatrios da certificao SBIS/CFM foram extrados dos padres de
referncia, buscando-se identificar aqueles mais adequados realidade brasileira. Vrios
requisitos obrigatrios no cenrio internacional foram definidos como opcionais nos
requisitos da certificao. Estes devem ser vistos com funcionalidades e ou
caractersticas desejveis para futuros desenvolvimentos.
Os requisitos da certificao SBIS -CFM foram agrupados da seguinte forma:
a)
b)
c)
d)
Requisitos de Segurana
Requisitos de Contedo, Estrutura e Funcionalidades para S-RES Assistencial
Requisitos para GED
Requisitos para TISS
Nos itens seguintes, apresenta-se uma viso geral de cada um deles.
8.1. Viso Geral dos Requisitos de Segurana

Os requisitos de segurana de um S-RES so fundamentais para aqueles interessados
em eliminar o registro em papel das informaes relativas a cada paciente.
Existe uma srie de recomendaes quanto ao acesso, uso e armazenamento dos
pronturios em papel, vrias delas visando resguardar a sua legitimidade, ao mesmo
tempo preservando a segurana e confidencialidade das informaes ali contidas.
De forma anloga, os requisitos de segurana aqui apresentados buscam resguardar a
legitimidade das informaes manipuladas e armazenadas em um S-RES, ao mesmo
tempo preservando a segurana e confidencialidade destas informaes.
Verso 3.2
Data: 01/08/2008
Pgina: 49/96

CERTIFICAO 2008
Os pronturios em papel esto sujeitos a falsificaes, destruio (p.ex., incndio ou

inundao), alm de extravio ou roubo. Com o pronturio em um S-RES no diferente,
sendo que muitos entendem que estes riscos so at maiores para um S-RES na medida
em que computadores conectados internet podem ser facilmente invadidos (maior risco
de roubo e quebra de confidencialidade), se medidas adequadas de segurana no forem
adotadas. Outro exemplo so sistemas incorretamente configurados, permitindo que
usurios inexperientes possam equivocadamente formatar a unidade de disco onde o SRES est instalado, perdendo todos os dados ali armazenados. O que fazer nesta
situao? Os mais versados na informtica podero lembrar que um usurio cuidadoso
deve sempre se preocupar em fazer cpias de segurana das informaes armazenadas
no computador (tambm conhecidas como backup).
Mas se os riscos so maiores para os pronturios eletrnicos, por outro lado a reverso
de situaes de risco muito mais fcil em sistemas computadorizados. No exemplo
acima, mesmo que o disco rgido do computador tenha entrado em curto-circuito, a
existncia de um backup recente permitir a instalao do S-RES em um novo
computador e a recuperao quase que imediata dos dados armazenados na cpia de
segurana. Em pouco tempo o usurio pode voltar a utilizar o S-RES com perdas
mnimas. Tamanha facilidade seria possvel caso os pronturios estivessem em papel e
fossem destrudos pelo fogo?
Em outras palavras, tanto o pronturio em papel como o pronturio eletrnico esto
sujeitos a riscos. Que fique claro, no entanto, que praticamente impossvel reduzir a
zero os riscos envolvidos na utilizao de pronturios, seja em papel ou em formato
eletrnico. O usurio deve estar constantemente avaliando os riscos potenciais e
decidindo por medidas preventivas de segurana que possam mitigar estes riscos. Os
requisitos de segurana apresentados a seguir procuram orientar desenvolvedores de SRES e seus respectivos usurios quanto aos cuidados mnimos que devem ser
observados na utilizao de sistemas computadorizados.
Quanto deciso de abandonar o papel e passar a operar apenas com informaes
armazenadas em um S-RES, ela deve ser tomada avaliando os riscos envolvidos. A
legislao brasileira deixa claro que a verso impressa de um documento eletrnico
armazenada em um computador ser considerada vlida se todas as partes interessadas
naquele documento reconhecerem sua legitimidade. Mas o que fazer se um paciente
colocar em dvida a validade de uma prescrio mdica armazenada em um S-RES?
Como provar que tal prescrio verdadeira e que no foi adulterada para corrigir o valor
de uma dosagem que, segundo o paciente, era diferente na verso que foi originalmente
a ele entregue?
Uma alternativa a contratao de um perito tcnico para analisar o sistema
computadorizado e as prticas de segurana adotadas em seu uso, emitindo parecer
sobre a validade ou no daquela prescrio. Trata-se de um procedimento custoso,
muitas vezes demorado, e que dependendo das caractersticas do S-RES poder no ser
conclusivo.
Outra alternativa amparada pela legislao brasileira ter assinado digitalmente tal
prescrio, usando para tanto um certificado digital em conformidade com a ICP-Brasil.
Neste caso, qualquer documento eletrnico ser considerado vlido, para todos os
Verso 3.2
Data: 01/08/2008
Pgina: 50/96

CERTIFICAO 2008
efeitos, inclusive perante tribunais brasileiros, como tendo sido assinado pela pessoa ou
instituio para a qual o certificado digital foi emitido.
Assim sendo, a prescrio mdica sendo contestada em nosso exemplo, mesmo que
tenha sido gerada no computador por um editor de textos qualquer, mas que tenha sido
assinada digitalmente pelo mdico que a criou, ter o mesmo valor legal que uma
prescrio escrita e assinada manualmente no receiturio deste mesmo mdico.
No custa lembrar, entretanto, que documentos eletrnicos, mesmo quando assinados
digitalmente, precisam observar cuidados adicionais de segurana. De nada adiantar
assinar digitalmente as informaes de um S-RES se tais informaes no forem
submetidas a backups peridicos, garantindo que continuaro a existir e estaro
disponveis no futuro caso vierem a ter sua legitimidade questionada.
Em funo deste cenrio, o processo de certificao SBIS/CFM classifica os S-RES, do
ponto de vista de segurana da informao, em dois Nveis de Garantia de Segurana
(NGS):
NGS1 - categoria constituda por S-RES que no contemplam o uso de certificados

digitais ICP-Brasil para assinatura digital das informaes clnicas,
conseqentemente sem amparo para a eliminao do papel e com a necessidade
de impresso e aposio manuscrita da assinatura;
NGS2 - categoria constituda por S-RES que viabilizam a eliminao do papel nos
processos de registros de sade. Para isso, especifica a utilizao de certificados
digitais ICP-Brasil para os processos de assinatura e autenticao. Para atingir o
NGS2 necessrio que o S-RES atenda aos requisitos j descritos para o
NGS1 e apresente ainda total conformidade com os requisitos especificados
para o nvel de garantia 2.
Recomenda-se, para ambos os nveis, a observncia das boas prticas para a gesto da
segurana da informao descritas na norma NBR ISO/IEC 27.002[11] publicada pela
ABNT, adaptadas s necessidades organizacionais de cada instalao do S-RES.
A certificao SBIS/CFM considera no seu processo de auditoria o nvel de segurana
para o qual o S-RES se declara em conformidade, j que o NGS2 incorpora todos os
requisitos do NGS1, e prev um conjunto adicional de requisitos.
Os S-RES auditados no NGS1 devem possuir todas as caractersticas necessrias para
que uma percia tcnica possa tirar concluses satisfatrias sobre a validade ou no das
informaes por ele armazenadas. As concluses da percia devero levar em
considerao tambm a forma como o sistema est sendo utilizado, j que o S-RES, por
si s, no ser suficiente para garantir a legitimidade de qualquer informao. Um
exemplo para tornar mais clara esta afirmao aquele em que o S-RES possui
mecanismos para validar seus usurios atravs de identificao e senha, mas este
mecanismo se torna irrelevante na medida em que todos os usurios do sistema usam a
mesma identificao e senha para acessar o sistema.
J os S-RES auditados no NGS2, estaro em condies de gerar documentos eletrnicos
Verso 3.2
Data: 01/08/2008
Pgina: 51/96

CERTIFICAO 2008
assinados digitalmente em conformidade com a ICP-Brasil. Tais documentos sero

considerados vlidos independentemente de auditoria, mas, novamente, o S-RES apenas
permitir que os documentos sejam assinados. O uso efetivo de certificados digitais, em
conjunto com a observncia dos demais requisitos de segurana, depender tambm da
forma como o S-RES for utilizado por seus usurios.
Finalmente, dependendo de como o S-RES pode ser acessado pelos seus usurios,
requisitos diferenciados de segurana devem ser considerados. Para efeito da certificao
SBIS/CFM, considera-se como S-RES de acesso local todo e qualquer S-RES no qual o
usurio s consegue acessar e utilizar o sistema a partir do mesmo computador onde ele
(e todos os seus subsistemas e componentes) est instalado. Alm disso, um S-RES de
acesso local no permite o acesso simultneo de mais de um usurio. Por outro lado, o SRES de acesso remoto o S-RES que permite o acesso simultneo ao sistema, e
independentemente de estarem fazendo este acesso do prprio computador onde o SRES est instalado, ou de um computador remoto via algum tipo de conexo (rede local,
conexo sem-fio, internet, etc.). Nas listas de requisitos apresentadas nos itens 8.6. e 8.7.
, as colunas Local e Remoto representam as indicaes de PRESENA (ver item 8.5.
) para estes dois tipos de acesso.
Para as instituies que queiram deixar de usar o pronturio em papel, a SBIS e o CFM
recomendam a opo pelos S-RES certificados como NGS2, ao mesmo tempo buscando
a certificao de aderncia da instituio Norma ABNT NBR ISO/IEC 27.001:2006 [18]
junto a Organismos Acreditados de Certificao.
A avaliao dos riscos envolvidos deve ser feita por cada instituio, cabendo somente a
elas decidir sobre o grau de equilbrio entre custo e risco que esteja mais adequado s
suas necessidades e possibilidades.
8.2. Viso Geral dos Requisitos de Contedo, Estrutura e

Funcionalidades para S-RES Assistencial
Hoje so ainda poucos os S-RES no Brasil que atendem a vrios dos requisitos listados
neste manual, como por exemplo, a incorporao de alertas, diretrizes e protocolos
clnicos. Entretanto, a SBIS e o CFM entendem que as definies do comit tcnico ISO
TC-215 definem requisitos importantes para um S-RES, sempre buscando apoiar e
facilitar a atividade assistencial. Neste primeiro momento vrios requisitos foram
considerados apenas como recomendveis (e no obrigatrios), mas espera-se que
futuramente todos os S-RES incorporem funcionalidades mais sofisticadas.
Deve-se atentar, conforme j exposto no item 3.1. , que a categoria Assistencial est
sendo tratada, nesta verso do manual, apenas no foco ambulatorial, enquanto os
sistemas voltados a outros tipos de atendimento assistencial, como sistemas de
informao hospitalar, vigilncia epidemiolgica, medicina ocupacional, etc., sero
gradualmente agregados a esta categoria em futuras verses.
Da mesma forma, os sistemas de SADT, que vinham sendo tratados nas verses
anteriores deste manual, no esto contemplados nesta verso, sendo que retornaro
nas prximas verses, quando contaro com toda a lista de requisitos pertinentes.
Verso 3.2
Data: 01/08/2008
Pgina: 52/96

CERTIFICAO 2008
Nas listas de requisitos apresentadas nos itens 8.8. e 8.9. , a coluna Ambulat.
representa a indicao de PRESENA (ver item 8.5. ) para a sub-categoria
Ambulatorial. Conforme forem contempladas, em verses futuras deste manual, novas
sub-categorias (hospitalar, SADT etc), as respectivas colunas sero adicionadas para
indicar suas devidas presenas.
8.3. Viso Geral dos Requisitos para GED

Os requisitos para sistemas de GED (Gerenciamento Eletrnico de Documentos)
contemplam as necessidades bsicas a este tipo de recurso para a digitalizao, guarda e
manuseio dos pronturios em meio eletrnico, atendendo, fundamentalmente, a
Resoluo CFM N 1821/2007.
8.4. Viso Geral dos Requisitos para TISS

Os requisitos especficos para verificar a aderncia ao padro TISS refletem o contedo
da RN 153, de 29/05/2007, da ANS. Os requisitos foram agrupados em contedo,
estrutura e comunicao de dados, para que assim um sistema possa ser considerado em
conformidade com o TISS. Alm disto, preciso distinguir se o S-RES tem como foco a
automao de operadoras de planos de sade (mdico e/ou odontolgico) ou a
automao de prestadores de servios de sade (categorias 1, 2 e 3). Esta subdiviso
respeitou os agrupamentos adotados pela ANS, conforme apresentado no item 3.1. ).
Cabe ainda lembrar que na definio dos requisitos de contedo e estrutura para S-RES
utilizados por Prestadores pertencentes ao Grupo 1, foi ainda necessrio distinguir entre
S-RES para SADTs isolados, e S-RES para todos os demais tipos de instituio contidos
neste grupo.
Os conjuntos de requisitos TISS devem ser atendidos conforme o seguinte esquema
(Tabela 2), considerando-se o tipo do servio prestado e as categorias descritas no item
3.1. :
Tabela 2 - Esquema de conjuntos de requisitos TISS
A
Prestador
Grupo 1
Grupo 2
Grupo 3
TISS.01
TISS.02
TISS.03
B
C
Comunicao
Comunicao
Lado Prestador Lado Operadora
D
Operadora
TISS.06
TISS.08
TISS.04
TISS.07
TISS.09
TISS.05
Para facilitar o entendimento do esquema acima, podem ser consideradas as seguintes

possibilidades:
Sistemas voltados ao uso dos Prestadores devem atender os requisitos da coluna A;
Sistemas voltados ao uso dos Prestadores e que tambm efetuam a comunicao
com as Operadoras, devem atender os requisitos das colunas A e B;
Sistemas voltados ao uso das Operadoras devem atender os requisitos da coluna D;
Verso 3.2
Data: 01/08/2008
Pgina: 53/96

CERTIFICAO 2008
Sistemas voltados ao uso das Operadoras e que tambm efetuam a comunicao com
os Prestadores, devem atender os requisitos das colunas C e D;
Sistemas voltados apenas comunicao entre Prestadores e Operadoras (caso
tpico das empresas de conectividade) devem atender os requisitos das colunas B e C.
Delimitadas as colunas aplicveis, deve-se ento cruz-las com as devidas linhas da

tabela, conforme os grupos definidos pela ANS (ver Tabela 1), para se obter os conjuntos
de requisitos a serem atendidos para a certificao.
8.5. Apresentao dos Requisitos para Certificao SBIS/CFM

Os prximos captulos apresentam todos os requisitos considerados na certificao
SBIS/CFM. Para cada requisito, so apresentadas as seguintes informaes:
ID Identificao do requisito, utilizando codificao padronizada.
NOME DO REQUISITO.
REFERNCIA identificao da funo ou caracterstica existente em um padro de
referncia e que deu origem a este requisito.
CONFORMIDADE descrio do requisito, incluindo exemplos sempre que
apropriado. Aqui podem tambm ser fornecidas indicaes de como o requisito ser
avaliado durante a auditoria visando certificao SBIS/CFM.
PRESENA Indicao se o requisito :
M Mandatrio: Deve ser obrigatoriamente atendido pelo S-RES.
R Recomendado: Requisito que provavelmente ser considerado Mandatrio
(M) em prximas verses, recomendando-se ao desenvolvedor do S-RES
priorizar aes para atend-lo, caso ainda no atenda.
O Opcional: Requisito relevante, recomendando-se ao desenvolvedor do SRES planejar aes para atend-lo, caso ainda no atenda.
X No se aplica: possvel se deparar com a situao em que no faz
sentido observar se um determinado requisito atendido ou no. Nestes
casos, ao invs de deixar o campo em branco, suscitando dvidas, o mesmo
ser preenchido com a letra X, indicando que no se deve considerar tal
requisito para a categoria ou tipo de S-RES correspondente.
Nos requisitos de segurana, a coluna PRESENA pode estar dividida entre
LOCAL e REMOTO, refletindo como cada requisito deve ser considerado de
acordo com o enquadramento do S-RES que est sendo auditado.
O Manual Operacional de Ensaios e Anlises para Certificao de S-RES apresenta os
scripts de teste para verificao de conformidade para todos os requisitos mandatrios
(M). Os demais requisitos (recomendados e opcionais) somente tero scripts de teste
divulgados a partir do momento em que tornarem-se mandatrios.
Verso 3.2
Data: 01/08/2008
Pgina: 54/96

CERTIFICAO 2008
8.6. Requisitos do Nvel de Garantia de Segurana 1 (NGS1)

NGS1.01 - Controle de verso do software
ID
NGS1.01.01
NGS1.01.02
NGS1.01.03
NGS1.01.04
NGS1.01.05
REQUISITO
Verso
software
REFERNCIA
HL7 ERH-S FM IN4.2
ABNT NBR ISO/IEC
27001:2006 A.12.5
Cdigo fonte
HL7 ERH-S FM IN5.2

ABNT NBR ISO/IEC
27001:2006 A.12.5
HL7 ERH-S FM IN4.2
Histrico de
alterao
Repositrio de
verses
Dependncias
dos
componentes
HL7 ERH-S FM IN4.2

HL7 ERH-S FM IN5.2
CONFORMIDADE
Todos os componentes do S-RES devem possuir verso do software associada a uma
nica referncia (nome, fornecedor e nmero de verso) e no ambgua.
O S-RES deve permitir a exibio da verso de seus componentes de software para
todos os usurios.
Deve ser possvel, a partir do nmero de verso de cada componente do S-RES,
resgatar os cdigos-fonte correspondentes, possibilitando a rastreabilidade dos arquivos
fontes que o geraram.
Manter histrico descritivo de todas as alteraes realizadas em cada verso, contendo
a data e o responsvel pela alterao.
Ter um repositrio estruturado com todas as verses dos componentes (executveis e
cdigos-fonte) que foram utilizadas em produo em algum momento, permitindo voltar
verses anteriores em casos de atualizaes mal sucedidas.
Para cada verso de cada componente, indicar no manual de instalao e requisitos de
sistema quais so as dependncias com outros componentes do S-RES ou do
ambiente, e os requisitos de operao. Por exemplo, informar que uma determinada
verso de componente compatvel com o padro HL7 verso 2.x (requisito de
operao), que roda em um determinado sistema operacional (requisito de ambiente),
que depende de um especfico sistema de diretrio para autenticao de usurios.
Local
Remoto
Local
Remoto
NGS1.02 - Identificao e autenticao de usurio

ID
NGS1.02.01
NGS1.02.02
Verso 3.2
REQUISITO
Identificao e
autenticao
do usurio
Mtodo de
autenticao
REFERNCIA
HL7 ERH-S FM
IN1.1;
ABNT NBR ISO/IEC
27001:2006 A.11.5.2
HL7 ERH-S FM IN1.1
ABNT NBR ISO/IEC
27001:2006 A.11.5.1
CONFORMIDADE
Todo usurio deve ser identificado e autenticado antes de qualquer acesso a dados do
S-RES.
Utilizar mtodos tradicionais de autenticao, como usurio/senha, ou mtodos mais

seguros, como certificao digital, One Time Password (OTP) ou biometria.
Data: 01/08/2008
Pgina: 55/96

CERTIFICAO 2008
ID
NGS1.02.03
NGS1.02.04
NGS1.02.05
REQUISITO
Proteo dos
parmetros de
autenticao
REFERNCIA
SBIS
Segurana de
senhas
ABNT NBR ISO/IEC

27001:2006 A.11.5.3
Controle de
tentativas de
login
ABNT NBR ISO/IEC

27001:2006 A.11.5.1
CONFORMIDADE
Todos os dados ou parmetros utilizados no processo de autenticao de usurio
devem ser armazenados de forma protegida. Por exemplo, armazenar o cdigo hash
da senha do usurio ao invs dela prpria alm disso, o local de armazenamento desse
cdigo hash deve possuir restries de acesso. A gerao do cdigo hash deve utilizar
algoritmos de gerao reconhecidamente seguros, como por exemplo, o algoritmo SHA1; na autenticao via OTP, a semente utilizada deve ser protegida.
Quando a autenticao for baseada em usurio/senha, utilizar os seguintes controles de
segurana:
Qualidade da senha: verificar a qualidade da senha no momento de sua
definio pelo usurio, obrigando a utilizao de, no mnimo, 8 caracteres dos
quais, no mnimo, 1 caractere deve ser no alfabtico;
Periodicidade de troca de senhas: o S-RES deve ter funcionalidade de obrigar a
troca de senhas pelos usurios, em um perodo mximo configurvel;
No armazenar a senha, somente o cdigo hash das senhas do usurio.
O S-RES deve ter mecanismos para bloquear o usurio aps um nmero mximo
configurvel de tentativas invlidas de login.
Local
Remoto
CONFORMIDADE
Sesso de usurio (local ou remota) inativa deve ser encerrada aps um perodo
definido de inatividade.
Local
Remoto
NGS1.03 - Controle de sesso de usurio

ID
NGS1.03.01
NGS1.03.02
Verso 3.2
REQUISITO
Encerramento
por inatividade
Segurana
contra roubo
de sesso de
usurio
REFERNCIA
ABNT NBR ISO/IEC
27001:2006
A.11.5.5
ABNT NBR ISO/IEC
27001:2006
A.10.8
Em S-RES distribudo a sesso de comunicao deve possuir controles de segurana a

fim de no permitir o roubo da sesso do usurio. O roubo de sesso de comunicao
pode ocorrer, inclusive em sesses protegidas (ex. SSL/TLS). Por exemplo, se o
controle de sesso for realizado atravs de cookie na URL, em determinadas situaes,
a URL da sesso de um usurio pode ser obtida e utilizada por outro usurio,
personificando o usurio anterior.
Data: 01/08/2008
Pgina: 56/96

CERTIFICAO 2008
NGS1.04 - Autorizao e controle de acesso

ID
NSG1.04.01
NSG1.04.02
NSG1.04.03
NSG1.04.04
NSG1.04.05
NSG1.04.06
Verso 3.2
REQUISITO
Impedir acesso
por entidades
no
autorizadas
Mecanismo de
controle de
acesso ao RES
REFERNCIA
HL7 ERH-S FM IN1.2
ABNT NBR ISO/IEC
27001:2006 A.11.6.1
CONFORMIDADE
Impedir acesso ao RES (acesso direto base de dados) e ao S-RES por entidades
(usurios ou outros sistemas) no autenticadas e no autorizadas.
HL7 ERH-S FM IN1.2
Garantir que o acesso ao RES seja somente possvel atravs do mecanismo de

controle de acesso, mesmo para o administrador do sistema ou outro usurio que
porventura venha a ter acesso ao RES.
Gerenciamento
de usurios
HL7 ERH-S FM IN1.2

ISO/TS
18308:2004(E)
PRS3.2
SBIS
Papis
relacionados
TI
Configurao
de controle de
acesso
Concesso de
autorizaes
HL7 ERH-S FM
IN1.2;
ABNT NBR ISO/IEC
27001:2006
A.11.6
ISO/TS
18308:2004(E)
PRS3.3
HL7 ERH-S FM IN1.2
Permitir o gerenciamento de usurios (criao, remoo e modificao), gerenciamento

de papis (criao, remoo e modificao) e gerenciamento de grupos (criao,
remoo e modificao).
Suportar os seguintes papis relacionados tecnologia da informao (no
obrigatoriamente com tais nomes):
Gestor de segurana;
Auditor;
Administrador do sistema;
Operador do sistema;
Operador de backup: exportao de dados para fins de cpia (Backup). Mesmo
que o S-RES no possua funes para realizao de backup, sendo o sistema
de gerenciamento da base de dados (SGBD) um componente do S-RES, deve
existir no SGBD o perfil de operador de backup.
Disponibilizar mecanismos necessrios para que seja possvel implementar a poltica de
controle de acesso atravs da configurao dos perfis de acesso, considerando os
papis de usurio, dos grupos e das operaes que podem ser realizadas, inclusive a
diferenciao de operaes de consulta e de incluso/alterao. Considerar que um
mesmo usurio pode possuir mais de um papel.
Disponibilizar ao gestor de segurana meios para conceder autorizaes aos usurios e

controle de acesso aos recursos de acordo com o escopo de atuao, a poltica
organizacional e legislao.
Data: 01/08/2008
Local
Remoto
Pgina: 57/96

CERTIFICAO 2008
ID
NSG1.04.07
NSG1.04.08
NSG1.04.09
Verso 3.2
REQUISITO
Delegao de
poder
Acesso ao
RES pelo
paciente.
Restries de
acesso ao RES
adicionadas
pelo paciente
REFERNCIA
SBIS
HL7 ERH-S FM IN1.4
HL7 ERH-S FM IN1.4
CONFORMIDADE
Sendo o atribuidor aquele responsvel por autorizar a delegao de poder e o delegado
aquele quem recebe a delegao de poder, ento:
O atribuidor deve ser previamente autorizado para conceder tais classes de
autorizao;
A delegao de poder deve ser registrada no sistema;
A delegao de poder deve informar:
O atribuidor;
O delegado;
O motivo
O instante da concesso
O perodo de vigncia
Como exemplo de delegao pode-se citar um mdico que delega poder de entrada de
informaes ao RES de um paciente para uma enfermeira.
Garantir que o paciente possa ter acesso a todas as suas informaes pessoais e
clnicas armazenadas no S-RES. Caso o S-RES no permita acesso direto do prprio
paciente ao S-RES, deve existir um papel de usurio que permita realizar esta atividade
em nome do paciente. Esta atividade deve ser registrada (log), devendo ser informado:
o usurio, o paciente, o local e o instante da operao. O usurio dever poder levar
consigo estas informaes em formato eletrnico ou impresso. O sistema dever
disponibilizar uma interface para impresso de declarao do usurio de que est
recebendo suas informaes, contendo o nome do paciente, nome do usurio do
sistema que est exportando ou imprimindo os dados, local e instante da operao.
Permitir que o paciente possa adicionar restries de acesso a uma determinada parte
ou totalidade de seu RES.
Data: 01/08/2008
Local
Remoto
Pgina: 58/96

CERTIFICAO 2008
NGS1.05 - Disponibilidade do RES

ID
NGS1.05.01
NGS1.05.02
REQUISITO
Cpia de
Segurana
Verificao de
integridade na
recuperao de
dados
REFERNCIA
ABNT NBR ISO/IEC
27001:2006
A.10.5
ABNT NBR ISO/IEC

27001:2006
A.10.5
CONFORMIDADE
O S-RES deve permitir que a salvaguarda dos dados e o arquivamento atendam aos
seguintes requisitos:
exportar os atributos de segurana em conjunto com os dados;
garantir na restaurao de uma cpia de segurana e arquivamento que os
atributos de segurana
e
suas
associaes
sejam
automaticamente
recuperados, sem a interveno do administrador;
assegurar que somente o usurio com papel de operador de backup possa
exportar e restaurar uma cpia de segurana e arquivamento;
A salvaguarda de dados (backup) deve incluir controles para verificao da integridade
dos dados.
Garantir a verificao da integridade dos dados armazenados no RES, sempre que
houver recuperao da informao
Local
Remoto
CONFORMIDADE
Em S-RES de acesso remoto , a sesso de comunicao entre o componente cliente
(do lado do usurio) e o componente servidor deve oferecer os seguintes servios de
segurana: autenticao do servidor, integridade dos dados e confidencialidade dos
dados. Como exemplo, pode-se citar a utilizao do protocolo HTTPS (HTTP +
SSL/TLS).
Em S-RES de acesso remoto, o acesso ao sistema deve ser restrito somente aos
clientes previamente autorizados. Este controle de acesso pode ser realizado, por
exemplo, pelo endereo IP do cliente.
Local
Remoto
NGS1.06 - Comunicao remota

ID
NGS1.06.01
NGS1.06.02
NGS1.06.03
NGS1.06.04
Verso 3.2
REQUISITO
Segurana da
comunicao
entre cliente e
servidor
REFERNCIA
ABNT NBR ISO/IEC
27001:2006
A.10.9.2
Controle de
acesso do
cliente ao
servidor
Restrio de
dados
transmitidos
ABNT NBR ISO/IEC

27001:2006
A.10.9.2
Segurana da
comunicao
entre
componentes
ABNT NBR ISO/IEC

27001:2006
A.10.9.2
ABNT NBR ISO/IEC

27001:2006
A.10.9.2
Em S-RES de acesso remoto os dados transmitidos ao componente cliente (lado do

usurio) devem ser somente aqueles que sero apresentados ao usurio. Ou seja, todo
e qualquer processamento relacionado seleo de dados deve ser realizado no lado
servidor.
Em S-RES composto por diversos componentes distribudos (localizados em
computadores diferentes), a comunicao entre tais componentes (como, por exemplo,
com o banco de dados) deve oferecer os seguintes servios de segurana: autenticao
de parceiro (cliente e servidor), integridade dos dados e confidencialidade dos dados.
Data: 01/08/2008
Pgina: 59/96

CERTIFICAO 2008
ID
NGS1.06.05
NGS1.06.06
REQUISITO
Controle de
acesso entre
componentes
REFERNCIA
ABNT NBR ISO/IEC
27001:2006
A.10.9.2
Comunicao
entre S-RES.
HL7 ERH-S FM IN1.7
CONFORMIDADE
Em S-RES composto por diversos componentes distribudos (localizados em
computadores diferentes), na comunicao entre tais componentes (como, por exemplo,
com o banco de dados), o acesso ao componente deve ser restrito somente aos
parceiros (componentes) previamente autorizados.
O canal de comunicao entre S-RES deve oferecer os seguintes servios de
segurana: autenticao de parceiro (cliente e servidor), integridade dos dados e
confidencialidade dos dados.
Quando a comunicao envolva S-RES de diferentes entidades, a autenticao de
parceiro deve utilizar certificados digitais ICP-Brasil.
Local
Remoto
CONFORMIDADE
Os dados importados de outro S-RES devem estar relacionados a um paciente e um
mdico responsvel, local e momento (data e hora) da importao e profissional usurio
do sistema que realiza a importao.
A transmisso e exportao de RES de um S-RES deve ser permitida somente nas
seguintes situaes:
para transmisso para um outro S-RES;
para salvaguarda de dados (backup);
para arquivamento;
para o paciente, a pedido do paciente, podendo ser realizada de forma
eletrnica ou por impressa;
em processos internos nos quais seja necessria a impresso de parte do RES;
para atendimento ao requisito legal de manter documentao em papel, atravs
da impresso;
Todas as atividades de transmisso de RES devem ser registradas (logs).
No permitir excluso ou alterao de dados j existentes no RES. Aes de correo
devem preservar os dados antigos.
Local
Remoto
NGS1.07 - Segurana de Dados

ID
NGS1.07.01
NGS1.07.02
NGS1.07.03
NGS1.07.04
Verso 3.2
REQUISITO
Importao de
dados
REFERNCIA
HL7 ERH-S FM IN1.6
Restries
para
transmisso e
exportao de
RES
SBIS
Impedir
excluso e
alterao
Verificao de
integridade dos
dados
SBIS
SBIS
Devem existir controles para verificao de integridade dos dados RES de forma a
prevenir que qualquer ao do usurio ou falha do sistema possa originar uma
inconsistncia nos dados. Este requisito pode ser atendido pelo SGBD utilizado pelo SRES.
Data: 01/08/2008
Pgina: 60/96

CERTIFICAO 2008
ID
NGS1.07.05
NGS1.07.06
NGS1.07.07
NGS1.07.08
REQUISITO
Utilizao de
SGBD
Impedir acesso
direto ao
SGBD
REFERNCIA
SBIS
CONFORMIDADE
O RES deve ser protegido por um Sistema de Gerenciamento de Banco de Dados.
SBIS
Dados de
identificao do
paciente
criptografados
Confirmao
de entrega
SBIS
O SGBD no deve permitir acesso direto pelos usurios. O acesso de usurios ao RES
deve ser permitido somente por n
i termdio do componente de autenticao e controle
de acesso do S-RES, nunca diretamente pelo SGBD, exceto nas atividades de
salvaguarda (backup) de dados
Os dados de identificao do paciente devem ser criptografados a fim de impedir a
reconstruo do seu RES atravs de acessos no autorizados base de dados do SRES ou cpia de segurana (gerado na salvaguarda dos dados). Este requisito pode
ser atendido pelo SGBD utilizado pelo S-RES.
A troca de dados entre S-RES, caso do TISS, deve possuir controles de confirmao de
entrega/recebimento dos dados.
SBIS
Local
Remoto
Local
Remoto
NGS1.08 Auditoria
ID
NGS1.08.01
NGS1.08.02
NGS1.08.03
Verso 3.2
REQUISITO
Auditoria de
acesso
Integridade das
trilhas de
auditoria
Acesso s
trilhas de
auditoria
REFERNCIA
ISO/TS
18308:2004(E)
PRS5.1
ABNT NBR ISO/IEC
27001:2006
A.10.10.3
ABNT NBR ISO/IEC
27001:2006
A.10.10.1
CONFORMIDADE
Suportar o registro de dados para auditoria de autenticao, acesso e modificao de
dados em parte ou no todo do S-RES
Os recursos e informaes de registros (log) devem ser protegidos contra falsificao e
acesso no autorizado.
Trilhas de auditoria no podem ser modificadas por nenhum usurio.
Garantir que o acesso s trilhas de auditoria somente seja permitida a usurio com
papel Auditor.
Data: 01/08/2008
Pgina: 61/96

CERTIFICAO 2008
ID
NGS1.08.04
REQUISITO
Trilha de
auditoria
REFERNCIA
ABNT NBR ISO/IEC
27001:2006
A.10.10.1
ISO/TS
18308:2004(E)
PRS5.3
CONFORMIDADE
A trilha de auditoria deve conter eventos relacionados a:
tentativas de autenticao de usurio;
atividades de gerenciamento de usurios, papeis e grupos;
atividades de administrao do sistema;
atividades de operao do sistema;
operaes realizadas pelos usurios;
interao com outros sistemas, incluindo outros S-RES;
troca (transmisso e recepo) de dados;
salvaguarda de dados;
arquivamento de dados;
acessos base de dados;
erros do S-RES;
alertas de incidentes de segurana;
Local
Remoto
CONFORMIDADE
Possuir as seguintes documentaes:
Manual de instalao e requisitos de sistemas;
Manual do usurio;
Manual do administrador e operador;
Manual de mecanismos de segurana;
Manual de prticas de segurana.
Todos os manuais devem indicar claramente, no incio do documento, a verso a que
se referem.
Local
Remoto
NGS1.09 - Documentao
ID
NGS1.09.01
NGS1.09.02
NGS1.09.03
NGS1.09.04
Verso 3.2
REQUISITO
Documentao
Referncia
verso do
software na
documentao
Alterao
Documentao
Operador de
backup
REFERNCIA
SBIS
SBIS
SBIS
ABNT NBR ISO/IEC
27001:2006
Informar e manter histrico de todas as alteraes nos manuais, para que o usurio
possa consultar todas as alteraes realizadas at a ltima verso disponvel.
O manual de instalao deve informar como realizar a configurao de um usurio com
perfil de operador de backup no SGBD. Alm disso, O manual de instalao deve
informar como configurar o SGBD de forma que as atividades de exportao e
restaurao de uma cpia de segurana (backup) dos dados possa ser realizada
somente pelo usurio com papel de operador de backup.
Data: 01/08/2008
Pgina: 62/96

CERTIFICAO 2008
ID
NGS1.09.05
NGS1.09.06
NGS1.09.07
NGS1.09.08
REQUISITO
Restrio de
acesso a
entidades no
autenticadas e
autorizadas
Verificao da
integridade dos
dados
Configurao
da Segurana
da
comunicao
entre
componentes
Sincronizao
de relgio
REFERNCIA
SBIS
SBIS
SBIS
ABNT NBR ISO/IEC

27001:2006 10.10
CONFORMIDADE
O manual de instalao deve informar como configurar o SGBD de forma a impedir o
acesso de entidades (usurios ou outros sistemas) no autenticadas e no autorizadas
pelo componente de autenticao e controle de acesso do S-RES.
O manual de instalao e operao deve informar que, quando houver recuperao de

salvaguarda de dados, o sistema deve realizar a verificao da integridade dos dados.
O manual de instalao e operao deve informar que a comunicao entre os
componentes de um S-RES distribudo deve implementar os servios de segurana de
autenticao de parceiro (cliente e servidor), integridade dos dados e confidencialidade
dos dados, caso tais componentes no estiverem em uma rede segregada da Internet e
dos demais ambientes, principalmente daqueles em que esto os usurios, assim como
dos componentes que acessam diretamente a web.
O manual de administrao e operao deve informar ao administrador que os
componentes do S-RES devem estar com seus relgios sincronizados e referenciados
ao UTC. O manual deve tambm informar as formas para que a sincronizao possa
ser configurada no ambiente.
Local
Remoto
Local
Remoto
NGS1.10 - Tempo
ID
NGS1.10.1
NGS1.10.2
Verso 3.2
REQUISITO
Uniformidade
da
representao
de tempo para
controle e
auditoria
Formato da
representao
de tempo para
controle e
auditoria em
registros
exportados
REFERNCIA
SBIS
ISO 8601:2004
CONFORMIDADE
Todo registro de tempo para fins de controle e auditoria deve estar no mesmo formato
em todo o S-RES.
Todo registro de tempo para fins de controle e auditoria presente em registros

exportados deve ser representado no formato da ISO 8601:2004, com exceo do
carimbo de tempo, que segue RFC 3161.
Data: 01/08/2008
Pgina: 63/96

CERTIFICAO 2008
ID
NGS1.10.3
REQUISITO
Fonte temporal
REFERNCIA
ABNT NBR ISO/IEC
27001:2006
CONFORMIDADE
Todo registro de tempo para fins de controle e auditoria em todo o S-RES deve ser
baseado em uma nica e mais confivel fonte temporal, que no tenha acesso de
configurao pelo usurio a no ser pelo administrador do sistema.
Local
Remoto
CONFORMIDADE
Disponibilizar uma interface para que usurios possam notificar sobre ocorrncia de
incidentes de segurana, problemas, melhoramentos ou sugestes.
Local
Remoto
NGS1.11 Notificao de Ocorrncias

ID
NGS1.12.01
Verso 3.2
REQUISITO
Interface para
notificao
REFERNCIA
ABNT NBR
ISO/IEC
27002:2006
13.1.1
Data: 01/08/2008
Pgina: 64/96

CERTIFICAO 2008
8.7. Requisitos do Nvel de Garantia de Segurana 2 (NGS2)

NGS2.01 Certificao Digital
ID
NGS2.01.01
NGS2.01.02
NGS2.01.03
NGS2.01.04
REQUISITO
Certificado
digital
REFERNCIA
ICP-Brasil;
Resoluo CFM
Atendimento
ICP-Brasil e
PC
Validao do
certificado
digital antes do
uso
ICP-Brasil;
Resoluo CFM
Configurao
de certificados
raiz
ICP-Brasil
ICP-Brasil
CONFORMIDADE
Utilizao de certificado digital emitido por AC credenciada ICP-Brasil para os
processos de autenticao de usurios e para assinatura digital de documentos
eletrnicos no S-RES.
Atender s normas de uso definidas pela ICP-Brasil e pela Poltica de Certificado (PC)
na utilizao de certificados digitais.
Antes da utilizao de um certificado digital deve ser realizada sua validao. . A
validao do certificado digital envolve a validao criptogrfica, verificao de validade,
inclusive dos certificados da sua cadeia de certificao. A verificao da revogao do
certificado e sua cadeia de certificao deve ser realizada antes de sua utilizao ou
imediatamente aps sua utilizao.
O S-RES deve permitir a configurao do conjunto de certificados raiz de confiana.
Deve, tambm, possuir controles de segurana sobre esse conjunto de certificados raiz
de confiana.
Local
Remoto
Local
Remoto
NGS2.02 Assinatura Digital

ID
NGS2.02.01
NGS2.02.02
NGS2.02.03
Verso 3.2
REQUISITO
Formato de
assinatura
Verificao do
propsito do
certificado
digital para
assinatura
digital
Referncia
temporal para
revogao
REFERNCIA
SBIS
X.509
ETSI TS 101 733
CONFORMIDADE
Utilizar formatos abertos a fim de garantir a interoperabilidade dos dados. Neste sentido,
a assinatura digital dever utilizar estruturas compatveis com o formato CMS [RFC
3852] ou XMLDSIG [RFC 3275]
Verificar, antes da realizao de uma assinatura digital, se o certificado digital a ser
utilizado possui propsito de uso para assinatura digital (Digital Signature e NonRepudiation no campo key usage).
Toda assinatura digital ICP-Brasil realizada no mbito do S-RES deve incluir um

carimbo de tempo (RFC 3161) que deve ser utilizado como referncia temporal nas
atividades de verificao de revogao.
Data: 01/08/2008
Pgina: 65/96

CERTIFICAO 2008
ID
NGS2.02.04
NGS2.02.05
NGS2.02.06
NGS2.02.07
NGS2.02.08
NGS2.02.09
NGS2.02.10
REQUISITO
Validao da
assinatura
digital
Validao da
assinatura a
qualquer
momento
REFERNCIA
SBIS
Propsito da
assinatura e
papel do
signatrio
Visualizao
das
informaes a
serem
assinadas
Homologao
ICP-Brasil
Exportao de
registros
assinados
ETSI TS 101 733
Poltica de
assinatura
ICP-Brasil
ETSI TS 101 733
SBIS
ICP-Brasil
SBIS
CONFORMIDADE
Realizar a validao da assinatura digital aps sua realizao. A validao envolve a
validao dos certificados digitais e da assinatura em si.
Manter os elementos necessrios (informaes sobre certificados raiz, cadeias de
certificao , certificados dos signatrios e informaes de revogao) a fim de
possibilitar que a assinatura digital possa ser validada a qualquer momento futuro.
Esses elementos podem estar includos no registro assinado digitalmente ou
referenciado por este e armazenado no S-RES.
Incluir, em toda assinatura digital realizada, o propsito da assinatura (atributo
commitment-type-indication), ou seja, o tipo de comprometimento que o signatrio
assume no momento de firmar a assinatura digital, e o papel do signatrio (atributo role)
no S-RES.
Sempre permitir a visualizao da informao a ser assinada.
Os componentes de um S-RES que utilizam certificao digital para assinatura digital

devem ser homologados pela ICP-Brasil.
Todos os registros assinados digitalmente exportados, por exemplo, para outros S-RES,
devem conter todos os elementos necessrios para sua validao (informaes sobre
certificados raiz, cadeias de certificao , certificados dos signatrios e informaes de
revogao).
As assinaturas firmadas nos registros assinados digitalmente devem utilizar poltica de
assinatura.
Local
Remoto
Local
Remoto
NGS2.03 Autenticao de usurio utilizando certificado digital

ID
NGS2.03.01
Verso 3.2
REQUISITO
Verificao do
propsito do
certificado
digital para
autenticao
REFERNCIA
ICP-Brasil
CONFORMIDADE
Verificar, antes da realizao de uma autenticao, se o certificado digital a ser utilizado
possui propsito de uso para autenticao (client authentication).
Data: 01/08/2008
Pgina: 66/96

CERTIFICAO 2008
ID
NGS2.03.02
NGS2.03.03
NGS2.03.04
REQUISITO
Irretratabilidade
da
autenticao
realizada
REFERNCIA
SBIS
Tipos de
usurios para
autenticao
com
certificao
digital
Homologao
ICP-Brasil
SBIS
ICP-Brasil
CONFORMIDADE
A autenticao realizada atravs de certificado digital deve gerar prova de forma a
garantir a irretratabilidade da autenticao realizada. O elemento de prova deve ser
armazenado em registros de segurana do sistema, em formatos compatveis com os
padres CMS [RFC 3852] ou XMLDSIG [RFC 3275] e deve ser possvel agregar todos
os elementos necessrios para sua validao (informaes sobre certificados raiz,
cadeias de certificao , certificados dos signatrios e informaes de revogao) no SRES.
Todos os usurios que realizam assinatura digital ICP-Brasil devem se autenticar com
seus certificados digitais ICP-Brasil.
Os componentes de um S-RES que utilizam certificao digital para autenticao

devem ser homologados pela ICP-Brasil.
Local
Remoto
NGS2.04 Digitalizao de Documentos (Aplicvel somente para S-RES da categoria GED)

ID
NGS2.04.01
NGS2.04.02
Verso 3.2
REQUISITO
Assinatura
digital do
software
REFERNCIA
SBIS
Assinatura
digital do
operador
SBIS
CONFORMIDADE
Todo componente de digitalizao deve possuir um par de chaves assimtricas e
certificado digital associado. Todo documento digitalizado deve ser assinado pelo
componente de digitalizao com esta chave, utilizando o propsito garantia de envio.
O propsito de garantia de envio pode ser estabelecido incluindo o atributo assinado
commitment-type-indication com o propsito genrico id-cti-ets-proofOfDelivery,
enquanto no seja definido um propsito mais especfico.
O operador de digitalizao deve assinar digitalmente o documento digitalizado, com
certificado ICP-Brasil tipo A3 ou A4, utilizando o propsito garantia de recebimento. O
propsito de garantia de recebimento pode ser estabelecido incluindo o atributo
assinado commitment-type-indication com o propsito genrico id-cti-etsproofOfReceipt , enquanto no seja definido um propsito mais especfico. Essa
assinatura deve ser aposta como uma contra-assinatura da assinatura do software.
O operador deve necessariamente verificar o enquadramento e a qualidade da imagem
digitalizada em comparao original, e ser capaz de repetir do processo de
digitalizao em casos de imperfeies.
Data: 01/08/2008
PRESENA
Pgina: 67/96

CERTIFICAO 2008
ID
NGS2.04.03
REQUISITO
Assinatura
digital do
responsvel
REFERNCIA
Resoluo CFM;
NGS2.04.04
Autenticao
SBIS
NGS2.04.05
Instante da
assinatura
Termo de
conduta para
digitalizao
Homologao
ICP-Brasil
SBIS
NGS2.04.06
NGS2.04.07
Verso 3.2
SBIS
ICP-Brasil
CONFORMIDADE
O responsvel deve assinar digitalmente o documento digitalizado, com certificado ICPBrasil utilizando o propsito aprovao. O propsito de aprovao pode ser
estabelecido incluindo o atributo assinado commitment-type-indication com o propsito
genrico id-cti-ets-proofOfApproval, enquanto no seja definido um propsito mais
especfico.
Essa assinatura deve ser aposta como uma contra-assinatura da assinatura do
software.
O operador, responsvel e administrador do sistema de assinatura devem se autenticar
no sistema segundo o NGS2.03.
Toda assinatura de documento digitalizado deve incluir o atributo signing-time, contendo
o instante da assinatura no formato UTC.
Permitir ao usurio a realizao de operaes de digitalizao somente aps a
assinatura digital do Termo de conduta para digitalizao que deve conter requisitos
sobre confidencialidade das informaes e sobre a responsabilidade do processo.
Os componentes de um S-RES que utilizam certificao digital para autenticao e
assinatura digital devem ser homologados pela ICP-Brasil.
Data: 01/08/2008
PRESENA
M
M
M
R
Pgina: 68/96

CERTIFICAO 2008
8.8. Requisitos de Estrutura e Contedo para S-RES Assistencial

ESTR.01 - Estrutura do RES
ID
ESTR.01.01
ESTR.01.02
ESTR.01.03
ESTR.01.04
ESTR.01.05
REQUISITO
Navegao e
consultas
REFERNCIA
ISO STR1.1
TS 18308:2004(E)
CONFORMIDADE
Possibilitar que a informao do RES esteja organizada em diferentes sees que devem se
refletir nos mecanismos de navegao e consultas
Estrutura
mnima
ISO STR1.2
TS 18308:2004(E)
CFM 1638/2002
Assegurar que o formato do RES esteja aderente ao conjunto de especificaes

estabelecidas pela resoluo 1638/2002 do CFM, aos padres de identificao de usurio,
profissional e estabelecimento conforme descritos no Cadastro Nacional de Usurios, e
adotados no projeto piloto do Carto Nacional de Sade (www.saude.gov.br/cartao), e no
Cadastro Nacional de Estabelecimentos de Sade (ww.datasus.gov.br/cnes). Para a rea de
sade privada, os requisitos de informao da ANS (www.ans.gov.br) devem ser garantidos
Suportar o compartilhamento de RES com independncia de hardware, software (aplicativos,
Sistemas operacionais, linguagens de programao), bancos de dados, redes, sistemas de
codificao e linguagens naturais
Possibilitar que a informao seja organizada e recuperada de tal forma que facilite os usos
secundrios do RES, tais como: vigilncia epidemiolgica, gesto, faturamento e pesquisa
Suportar armazenamento do RES
Independncia
Recuperao
de dados
Armazenament
o do RES
ISO STR1.3
TS 18308:2004(E)
ISO STR1.4
TS 18308:2004(E)
ISO STR1.5
TS 18308:2004(E)
Ambulat.
M
R
R
M
ESTR.02 - Dados estruturados

ID
ESTR.02.01
ESTR.02.02
ESTR.02.03
ESTR.02.04
Verso 3.2
REQUISITO
Armazenament
o em listas
Preservao de
relacionamento
de dados
Hierarquia de
nodos
Associao do
nome e valor
dado
REFERNCIA
ISO STR2.1
TS 18308:2004(E)
ISO STR2.2
TS 18308:2004(E)
CONFORMIDADE
Permitir armazenamento de dados em listas, de tal forma que a ordem cronolgica seja
preservada sempre que a informao for apresentada
Permitir o armazenamento de dados em tabelas de tal forma que os relacionamentos dos
dados com as linhas e colunas sejam preservados
ISO STR2.3
TS 18308:2004(E)
ISO STR2.4
TS 18308:2004(E)
Permitir o armazenamento de dados em hierarquias, preservando o relacionamento dos

nodos pais com os nodos filhos
Possibilitar o armazenamento de dados simples, preservando a associao entre nome do
dado e respectivo valor.
Data: 01/08/2008
Ambulat.
M
M
M
Pgina: 69/96

CERTIFICAO 2008
ID
ESTR.02.05
ESTR.02.06
ESTR.02.07
ESTR.02.08
ESTR.02.09
REQUISITO
Armazenament
o de mltiplos
valores
REFERNCIA
ISO STR2.5
TS 18308:2004(E)
Texto livre
ISO STR2.6
TS 18308:2004(E)
ERH-S FM- IN 2.5.1
ISO STR2.7
TS 18308:2004(E)
ISO STR2.8
TS 18308:2004(E)
Busca e
incluso
Incluso de
comentrios
nfase nos
comentrios e
dados
ISO STR2.9
TS 18308:2004(E)
CONFORMIDADE
Possibilitar o armazenamento de mltiplos valores para a mesma observao coletada
seqencialmente, em curtos intervalos de tempo, durante um mesmo contato ou em
diferentes contatos e locais. O contexto no qual as medidas foram realizadas deve ser
preservado, como, o tipo de ferramenta e metodologia utilizada e quem a coletou. Estes
valores devem ser retornados quando solicitado, e ordenados de diferentes formas.
Suportar a incluso de texto livre
Ambulat.
M
Suportar busca em dados estruturados e no-estruturados e a incluso de texto estruturado
nesses dados
Possibilitar a incluso de comentrios nos dados armazenados, desta forma permitindo ao
mdico clarificar a informao estruturada apropriadamente. Deve ser possvel associar os
comentrios com os respectivos dados (atributos)
Oferecer mecanismos que possibilitem ao profissional de sade expressar nfase nos
comentrios ou dados fornecidos. Dependendo do tipo de nfase, a forma como os dados
so apresentados aps uma consulta pode ser modificada.
M
R
ESTR.03 - Dados Administrativos

ID
ESTR.03.01
ESTR.03.02
ESTR.03.03
Verso 3.2
REQUISITO
Registro de
identificao do
paciente
Padres do
CNS, CNES,
CNPJ
Episdios de
ateno
REFERNCIA
ISO STR2.11
TS 18308:2004(E)
SUS
ISO STR2.12
TS 18308:2004(E)
SUS
ISO STR2.13
TS 18308:2004(E)
CONFORMIDADE
Incorporar o registro da identificao do paciente, localizao, dados demogrficos, pessoa
para contato, dados ocupacionais e outros dados administrativos.
Adotar padres para representar de forma no ambgua o sujeito da ateno, os
profissionais (de sade ou no) envolvidos no processo assistencial incluindo seus papis no
contexto da assistncia, local da assistncia, data e hora inicial e final do processo
assistencial. Para identificao do usurio e do profissional responsvel pelo atendimento e
pela digitao dos dados, utilizar os padres de identificao do Carto Nacional de Sade.
Para a identificao do Estabelecimento Assistencial de Sade (EAS) utilizar cdigo do
Cadastro Nacional de Estabelecimentos de Sade CNES. Em se tratando de consultrios
particulares que no possuam o nmero CNES, utilizar o nmero do Cadastro Nacional de
Pessoa Jurdica (CNPJ), ou a identificao do profissional responsvel conforme padres do
Carto Nacional de Sade.
Gerenciar a administrao dos processos em sade e episdios de ateno, bem como a
organizao de cada encontro e seus dados
Data: 01/08/2008
Ambulat.
M
Pgina: 70/96

CERTIFICAO 2008
ID
ESTR.03.04
ESTR.03.05
REQUISITO
Informaes
financeiras e
comerciais
Situao legal
ESTR.03.06
Vigilncia
REFERNCIA
ISO STR2.14
TS 18308:2004(E)
CONFORMIDADE
Registrar as informaes financeiras ou comerciais tais como planos de sade e respectivas
elegibilidades, coberturas, responsvel por despesas, custos, taxas e utilizao
ISO STR2.15
TS 18308:2004(E)
ISO STR2.16
TS 18308:2004(E)
Registrar a situao legal e consentimentos relevantes para o cuidado do paciente (ex:

situao legal do guardio, consentimento para cirurgia e outros procedimentos)
Oferecer consultas e relatrios para atender s demandas da vigilncia epidemiolgica,
sanitria e doenas de notificao compulsria
REFERNCIA
ISO STR2.10
TS 18308:2004(E)
SUS
CONFORMIDADE
Registrar, armazenar e recuperar dados estruturados e no estruturados sobre:
Anamnese (histria do paciente)
Exame fsico
Antecedentes mrbidos pessoais (psicolgicos, sociais, ambientais) e familiares
Alergias e outras informaes de relevncia clnica
Imunizaes e medidas preventivas e outras intervenes no estilo de vida
Investigao diagnstica, intervenes teraputicas tais como medicamentos e
procedimentos
Evolues clnicas, interpretaes, decises e raciocnio clnico
Solicitao de exames, tratamentos e encaminhamentos
Hipteses Diagnsticas, Lista de Problemas, Diagnsticos, Questes relevantes,
preferncias e expectativas
Consentimentos informados (desejvel)
Plano de sade
Sumrio de alta com as condies funcionais e de sade
Informaes a respeito de prteses ou implantes: fornecedor, modelo
Suportar laudos e resultados de exames, com a descrio do que foi realizado, mtodo
utilizado, data e hora da realizao, profissional responsvel pelo laudo/resultado e
concluso
Atender as exigncias de envio eletrnico de dados de faturamento, produo, e vigilncia
conforme as normas do SUS / Ministrio da Sade e Agncia Nacional de Sade
Suplementar
Ambulat.
R
R
M
ESTR.04 - Dados clnicos

ID
ESTR.04.01
ESTR.04.02
ESTR.04.03
Verso 3.2
REQUISITO
Dados
estruturados ou
no
Laudos e
resultados de
exames
Envio
eletrnico de
dados
ISO STR2.10
TS 18308:2004(E)
SUS
ISO STR2.10
TS 18308:2004(E)
SUS
Data: 01/08/2008
Ambulat.
Pgina: 71/96

CERTIFICAO 2008
ESTR.05 - Tipos de dados

ID
ESTR.05.01
ESTR.05.02
ESTR.05.03
ESTR.05.04
ESTR.05.05
ESTR.05.06
ESTR.05.07
ESTR.05.08
REQUISITO
Dados
numricos e
quantificveis
Preciso da
medida
Percentagem e
valor absoluto
Limites
Lgica dos
valores
fracionados
Lgica de data
e hora
Definies
incompletas
Eventos e
aes futuras
ESTR.05.09
Linha de tempo
ESTR.05.10
Fuso horrio
ESTR.05.11
Preciso de
milissegundos
DICOM, MIME
e ECG
ESTR.05.12
Verso 3.2
REFERNCIA
ISO STR3.1
TS 18308:2004(E)
ISO STR3.2
TS 18308:2004(E)
ISO STR3.3
TS 18308:2004(E)
ISO STR3.4
TS 18308:2004(E)
ISO STR3.5
TS 18308:2004(E)
ISO STR3.6
TS 18308:2004(E)
ISO STR3.7
TS 18308:2004(E)
ISO STR3.8
TS 18308:2004(E)
ISO STR3.9
TS 18308:2004(E)
ISO STR3.10
TS 18308:2004(E)
ISO STR3.11
TS 18308:2004(E)
ISO STR3.12
TS 18308:2004(E)
CONFORMIDADE
Representar dados numricos e quantificveis
Definir a estrutura lgica de dados numricos e quantificveis, incluindo o gerenciamento de
unidades
Informar o grau de preciso da medida realizada
Expressar as percentagens tambm em valores absolutos
Incorporar a definio de limites inferior e superior adequados ao contexto clnico
Ambulat.
M
R
R
M
Possibilitar a representao lgica dos valores fracionados

R
Incorporar a definio da estrutura lgica de valores data e hora
Aceitar definies incompletas ou aproximadas de data e hora, tais como:
- datas aproximadas ex: ontem; semana passada
- datas parciais ex: ??/Maio/1997; ??/??/1928
Registrar eventos ou aes futuras, tais como:
- Perodos do dia ou de tempo: manh, tarde, noite, enquanto acordado;
- Momentos aproximados de datas ou horas: ao acordar, durante as refeies (caf da
manh, almoo, jantar), ao deitar;
- Momentos relativos de datas ou horas: antes do caf da manh, aps o almoo, dois dias
aps a alta, uma semana depois da ltima dose;
- Perodos alternados de datas/horas: alternadamente a cada 8 horas, todas as segundas,
quartas e sextas-feiras, todos os domingos, toda terceira tera-feira
Registrar a hora de um dado momento, o tempo decorrido desde um evento em particular, e
a durao (data hora de incio e data hora fim)
Registrar o fuso horrio do local onde o registro foi realizado
Registrar as unidades de tempo com preciso de milissegundos
Suportar a representao de tipos de dados padronizados, tais como: DICOM, MIME e ECG
Data: 01/08/2008
M
R
R
R
R
R
Pgina: 72/96

CERTIFICAO 2008
ESTR.06 - Dados de referncia

ID
ESTR.06.01
REQUISITO
Dados de
referncia
REFERNCIA
ISO STR3.13
TS 18308:2004(E)
CONFORMIDADE
Registrar dados de referncia, tais como valores normais, e os atributos e contexto
relevantes a uma observao ou medida em particular
Ambulat.
REFERNCIA
ISO STR3.14
TS 18308:2004(E)
ISO STR3.15
TS 18308:2004(E)
ISO STR3.16
TS 18308:2004(E)
ISO STR3.17
TS 18308:2004(E)
ISO STR3.18
TS 18308:2004(E)
ISO STR3.19
TS 18308:2004(E)
ISO STR3.20
TS 18308:2004(E)
ISO STR3.21
TS 18308:2004(E)
CONFORMIDADE
Suportar o registro de dados contextuais associados data/hora de eventos j ocorridos
Ambulat.
REFERNCIA
ISO STR3.22
TS 18308:2004(E)
ISO STR3.23
TS 18308:2004(E)
CONFORMIDADE
Representar a associao semntica dos links entre diferentes informaes no RES
ESTR.07 - Dados contextuais

ID
ESTR.07.01
ESTR.07.02
ESTR.07.03
ESTR.07.04
ESTR.07.05
ESTR.07.06
ESTR.07.07
ESTR.07.08
REQUISITO
Eventos j
ocorridos
Contexto e
tempo
Contexto e
assunto
Contexto e
responsvel
Contexto e
ambiente fsico
Contexto e
localizao
Contexto e
razo
Contexto e
protocolo
Suportar o registro de dados contextuais associados data/hora de eventos relacionados

com o registro
Suportar o registro de dados contextuais associados ao assunto
Suportar o registro de dados contextuais associados pessoa responsvel pelo registro e
ocorrncia do registro
Suportar o registro de dados contextuais associados estrutura fsica do ambiente onde
ocorreu o cuidado a sade
Suportar o registro de dados contextuais associados com a localizao onde o evento foi
registrado
Suportar o registro de dados contextuais associados razo do registro da informao
associada ao evento
Suportar registro de dados contextuais associados ao protocolo associado informao
registrada
M
M
R
R
R
R
R
R
ESTR.08 - Associaes
ID
ESTR.08.01
ESTR.08.02
Verso 3.2
REQUISITO
Associao
semntica
Dados
referenciados
externamente
Suportar as associaes de dados referenciados externamente para aqueles dados que

no puderem ser representados no RES, desde que a segurana do paciente no seja
comprometida
Data: 01/08/2008
Ambulat.
R
R
Pgina: 73/96

CERTIFICAO 2008
ESTR.09 - Representao de conceitos em sade

Este grupo de requisitos se presta a garantir que haja registro dos conceitos em sade preservando a forma originalmente informada, bem como sua representao
no(s) sistema (s) de codificao escolhido(s), como por exemplo, SNOMED e/ou CID. Este expediente garante a decodificao dos conceitos por futuros sistemas
de codificao, a partir da informao original e no a codificada. Por exemplo, numa histria patolgica pregressa, a informao de que o paciente teve "sarampo
na infncia complicado com pneumonia" deve ser registrada nos formatos originais e codificados, informando o(s) cdigo(s) e verso do sistema de codificao.
ID
ESTR.09.01
ESTR.09.02
ESTR.09.03
ESTR.09.04
ESTR.09.05
REQUISITO
Mltiplos
sistemas de
codificao
Captura de
cdigo
Vocabulrio
padro e de
origem
Ambigidade
Mapeamentos
REFERNCIA
ISO STR 4.1
TS 18308:2004(E)
ISO STR4.2
TS 18308:2004(E)
HL7
CNS
ISO STR4.3
TS 18308:2004(E)
CNS
ISO STR4.4
TS 18308:2004(E)
ISO STR4.5
TS 18308:2004(E)
CONFORMIDADE
Suportar os mltiplos sistemas de codificao (terminologias de entrada ou interface,
terminologia de referncia, e classificaes) atravs de interfaces com ferramentas
eletrnicas, tais como: navegadores de terminologia, editores e servidores de vocabulrios.
Suportar ao nvel do atributo para captura de cdigo, o esquema de codificao (ex: sistema
de classificao ou codificao), verso, idioma original e descrio original
Suportar registro de dados a partir de vocabulrios padro, preservando a informao do

vocabulrio de origem
Suportar regras explcitas para evitar ambigidades quando o dado no for registrado de
apenas uma maneira ou lugar. (por exemplo: explicitar o que [no] [pulso pedioso ausente]
significa)
Suportar os mapeamentos entre modelos de informao e de inferncia com base em um
conjunto de conceitos bem definidos num vocabulrio de referncia ou modelo conceitual
Ambulat.
R
R
R
ESTR.10 - Representao de texto

ID
ESTR.10.01
Verso 3.2
REQUISITO
Texto original
REFERNCIA
ISO STR 4.6
TS 18308:2004(E)
CONFORMIDADE
Preservar o texto original conforme fornecido pelo profissional de sade no RES, quando a
informao for traduzida da linguagem natural para outra, ou quando os termos forem
mapeados de um sistema de codificao/classificao para outro
Data: 01/08/2008
Ambulat.
R
Pgina: 74/96

CERTIFICAO 2008
8.9. Requisitos de Funcionalidades para S-RES Assistencial

FUNC.01 - Suporte aos processos clnicos
ID
FUNC.01.01
REQUISITO
Evento clnico
FUNC.01.02
Processos
clnicos de
apoio
Continuidade
de processos
clnicos
Processos
clnicos
incompletos
FUNC.01.03
FUNC.01.04
REFERNCIA
ISO PRO1.1
TS 18308:2004(E)
ISO PRO1.2
TS 18308:2004(E)
CONFORMIDADE
Capacidade de registrar qualquer tipo de evento clnico, encontro ou episdio relevante
assistncia sade do paciente
Suportar a criao, acompanhamento e manuteno dos processos clnicos que apiam as
atividades de seus usurios
ISO PRO1.3
TS 18308:2004(E)
Suportar a continuidade do processo clnico, e a habilidade de se consultar o status de um

processo, de se modificar um processo j existente e de se verificar se um processo foi
completado
Acomodar a existncia de processos clnicos em aberto / incompletos (ex.: solicitao de
exames nunca realizados)
ISO PRO1.4
TS 18308:2004(E)
Ambulat.
R
M
FUNC.02 - Problemas / condies de sade e outras questes

ID
FUNC.02.01
FUNC.02.02
FUNC.02.03
Verso 3.2
REQUISITO
Condio
holstica do
paciente
Estrutura de
dados
orientada por
problemas
Perodo de vida
do paciente
REFERNCIA
ISO PRO1.5
TS 18308:2004(E)
ISO PRO1.6
TS 18308:2004(E)
ISO PRO1.7
TS 18308:2004(E)
CONFORMIDADE
Registrar a condio holstica da situao da sade do indivduo, situao funcional,
problemas, condies, circunstncias ambientais e outras questes que possam afetar a sua
sade
Registrar e apresentar os dados em estrutura orientada por problemas incluindo o status dos
problemas, planos de soluo e metas. Possibilitar tambm estruturas como as orientadas
cronologicamente, por episdios, e por processos
Suportar todo o perodo de vida do paciente, com registro longitudinal da condio de sade
e intervenes, que devem ser visualizadas de forma cronolgica. O RES
simultaneamente:
retrospectivo: oferece viso histrica das condies de sade e intervenes (ex:
eventos ou atos em sade realizados);
atual: viso condio atual de sade e intervenes ativas ou em andamento; e
prospectivo: planejamento das aes futuras (eventos ou atos em sade pendentes
ou agendados)
Data: 01/08/2008
Ambulat.
R
Pgina: 75/96

CERTIFICAO 2008
FUNC.03 - Raciocnio Clnico

ID
FUNC.03.01
REQUISITO
Raciocnio
clnico
REFERNCIA
ISO PRO1.8
TS 18308:2004(E)
CONFORMIDADE
Suportar o registro do raciocnio clnico para todos os diagnsticos, concluses e aes a
respeito da assistncia sade do paciente, incluindo aqueles realizados por processos
automatizados.
Ambulat.
R
FUNC.04 - Suporte deciso, protocolos clnicos e alertas.

ID
FUNC.04.01
FUNC.04.02
FUNC.04.03
FUNC.04.04
FUNC.04.05
REQUISITO
Alertas e
lembretes
REFERNCIA
ISO PRO1.9
TS 18308:2004(E)
Alertas e
lembretes em
vigilncia
Notificao de
agravos
Diretrizes e
protocolos
Restrio e
obrigatoriedade
ISO PRO1.10
TS 18308:2004(E)
SUS
ISO PRO1.11
TS 18308:2004(E)
ISO PRO1.12
TS 18308:2004(E)
CONFORMIDADE
Suportar a apresentao automtica de alertas, lembretes e avisos tais como: alergias,
resultados urgentes, condio de infeco, precaues teraputicas, intervenes
importantes, e resultados urgentes
Incorporar lembretes e chamadas sobre os programas de vigilncia epidemiolgica e outras
aes de sade publica tais como programas de imunizao ou outras campanhas.
Incorporar a notificao de agravos conforme prev o gestor federal, estadual e municipal de
sade.
Suportar a incorporao de diretrizes, protocolos e sistemas de apoio deciso
Suportar a representao de restries e dados obrigatrios ao processo de apoio deciso.
Por ex., restries de sexo X diagnstico ou medicao X diagnstico
Ambulat.
R
R
M
R
R
FUNC.05 - Planejamento Teraputico

ID
FUNC.05.01
Verso 3.2
REQUISITO
Planejamento
teraputico
REFERNCIA
ISO PRO1.13
TS 18308:2004(E)
CONFORMIDADE
Incorporar o planejamento teraputico incluindo gerenciamento da situao dos diferentes
processos (ex: solicitado, agendado, em realizao, suspenso, em pendncia, completo,
verificado, cancelado, complementado)
Data: 01/08/2008
Ambulat.
M
Pgina: 76/96

CERTIFICAO 2008
FUNC.06 - Prescrio e processamento de exames

ID
FUNC.06.01
FUNC.06.02
REQUISITO
Registro e
acompanhame
nto
Associao
REFERNCIA
ISO PRO1.14
TS 18308:2004(E)
CONFORMIDADE
Suportar o registro e o acompanhamento de todas as prescries mdicas e de outros
profissionais, solicitao de exames e encaminhamentos
ISO PRO1.15
TS 18308:2004(E)
Associar o procedimento solicitado com o realizado e respectivo resultado
Ambulat.
R
R
FUNC.07 - Assistncia integral

ID
FUNC.07.01
REQUISITO
Assistncia
integral
REFERNCIA
ISO PRO1.16
TS 18308:2004(E)
CONFORMIDADE
Suportar o processo de assistncia integral incluindo cuidados multidisciplinares e em
diferentes nveis de ateno em sade: primrio, especializado, internao hospitalar,
cuidados e hospitalizao domiciliar, urgncia / emergncia
Ambulat.
REFERNCIA
ISO PRO1.17
TS 18308:2004(E)
CONFORMIDADE
Suportar registro e consulta de dados com medidas (indicadores) de performance clnica e
operacional, aderentes aos padres de assistncia com o objetivo de garantir a qualidade e
medir os resultados dos processos em sade
Ambulat.
REFERNCIA
ISO PRO2.1
TS 18308:2004(E)
CONFORMIDADE
Ter regras claras de consistncia para entrada e acrscimos de dados, bem como para a
transmisso, recebimento, traduo, substituio de dados obsoletos. Este requisito no
implica em excluso de registros. As regras locais de excluso prevalecero
Implementar regras de validao dos dados
Ambulat.
FUNC.08 - Garantia de qualidade

ID
FUNC.08.01
REQUISITO
Performance
clnica e
operacional
FUNC.09 - Captura de dados

ID
FUNC.09.01
FUNC.09.02
FUNC.09.03
Verso 3.2
REQUISITO
Entrada e
acrscimo de
dados
Validao de
dados
Pesquisa com
filtros
ISO PRO2.2
TS 18308:2004(E)
ISO PRO2.3
TS 18308:2004(E)
Suportar a habilidade de rever informaes de todos os tipos registradas no passado,

inclusive via o uso de pesquisas com filtros durante o processo de captura
Data: 01/08/2008
M
M
R
Pgina: 77/96

CERTIFICAO 2008
FUNC.10 - Recuperao/ consultas e vises

ID
FUNC.10.01
REQUISITO
Vises
REFERNCIA
ISO PRO2.4
TS 18308:2004(E)
CONFORMIDADE
Suportar vises diferenciadas e recuperao seletiva para a mesma informao de para
atender demandas especficas (apoio deciso, anlise de dados)
Ambulat.
CONFORMIDADE
Ter capacidade de apresentar os dados marcados como sumrio clnico de forma
automtica, sem a necessidade de pesquisa manual
Utilizar o dispositivo adequado para exibir a informao, garantindo a resoluo necessria
para a interpretao clnica (p.ex., imagens coloridas no devem ser exibidas em monitores
monocromticos ou visualizar uma imagem diagnstica num monitor de baixa resoluo)
Ambulat.
CONFORMIDADE
Processar eficientemente mesmo quando lidando com registros numerosos e/ou grandes.
Ambulat.
FUNC.11 - Apresentao dos dados

ID
FUNC.11.01
REQUISITO
Sumrio clnico
FUNC.11.02
Resoluo para
interpretao
clnica
REFERNCIA
ISO PRO2.5
TS 18308:2004(E)
ISO PRO2.6
TS 18308:2004(E)
R
M
FUNC.12 - Escalabilidade e performance

ID
FUNC.12.01
REQUISITO
Eficincia de
processamento
REFERNCIA
ISO PRO2.5
TS 18308:2004(E)
FUNC.13 - Protocolos de mensagens

ID
FUNC.13.01
REQUISITO
Exportao e
importao de
dados
REFERNCIA
ISO COM2.1
TS 18308:2004(E)
CONFORMIDADE
Suportar a exportao e a importao de dados recebidos por meio de protocolos de
mensagens tais como HL7, UN/EDIFACT e DICOM
Ambulat.
CONFORMIDADE
Suportar a serializao de dados com propsito de interoperabilidade (ex: via XML, SOAP,
CORBA, .Net, etc.)
Ambulat.
FUNC.14 - Troca de registros

ID
FUNC.14.01
Verso 3.2
REQUISITO
Serializao
REFERNCIA
ISO COM2.2
TS 18308:2004(E)
Data: 01/08/2008
Pgina: 78/96

CERTIFICAO 2008
ID
FUNC.14.02
FUNC.14.03
REQUISITO
Regras de
troca
Interoperabilida
de semntica
REFERNCIA
ISO COM2.5
TS 18308:2004(E)
ISO COM2.6
TS 18308:2004(E)
CONFORMIDADE
Prover regras de troca que sejam as mesmas para apenas um extrato do registro ou o
registro completo
Suportar interoperabilidade semntica de conceitos clnicos entre sistemas objetivando
processamento automtico dos dados no S-RES receptor
Ambulat.
REFERNCIA
ISO PRS2.1
TS 18308:2004(E)
ISO PRS2.2
TS 18308:2004(E)
CONFORMIDADE
Suportar o registro de consentimento informado
Ambulat.
ISO PRS2.3
TS 18308:2004(E)
Suportar o registro dos propsitos pelos quais o consentimento foi obtido
ISO PRS2.4
TS 18308:2004(E)
Suportar o registro do instante de cada consentimento
REFERNCIA
ISO MEL1.1
TS 18308:2004(E)
ISO MEL1.2
TS 18308:2004(E)
CONFORMIDADE
Suportar medidas que assegurem um acurado reflexo da cronologia dos eventos clnicos e
das informaes disponveis no RES
Suportar viso da representao precisa e acurada do RES de qualquer data ou hora desde
a sua criao
R
R
FUNC.16 - Consentimento
ID
FUNC.16.01
FUNC.16.02
FUNC.16.03
FUNC.16.04
REQUISITO
Consentimento
informado
Situao do
consentimento
informado
Propsito do
consentimento
informado
Instante do
consentimento
informado
Suportar a obteno, registro e acompanhamento da situao do consentimento informado

para acessar parte ou o todo do RES, para propsitos previamente definidos
R
R
FUNC.17 - Mdico-legal
ID
FUNC.17.01
FUNC.17.02
Verso 3.2
REQUISITO
Cronologia de
eventos
Preciso de
viso
cronolgica
Data: 01/08/2008
Ambulat.
M
M
Pgina: 79/96

CERTIFICAO 2008
FUNC.18 - Atores
ID
FUNC.18.01
FUNC.18.02
FUNC.18.03
FUNC.18.04
FUNC.18.05
FUNC.18.06
FUNC.18.07
FUNC.18.08
FUNC.18.09
FUNC.18.10
Verso 3.2
REQUISITO
Cuidado de
uma ou mais
pessoas
Atributos
clnicos
relevantes
Identificao de
fornecedor de
informao
Identificao de
usurio
Identificao
dos clnicos
Registro do
papel dos
clnicos
Datao de
registro
Identificao de
responsvel de
contribuio
aos registros
Responsabilida
de sobre
contribuio
aos registros
Responsabilida
de sobre
emendas e
alteraes de
registros
REFERNCIA
ISO MEL2.1
TS 18308:2004(E)
CONFORMIDADE
Suportar que sujeito do cuidado do RES pode ser uma ou mais pessoas
Ambulat.
ISO MEL2.2
TS 18308:2004(E)
Suportar o registro dos atributos apropriados para a identificao do paciente e de atributos

clnicos relevantes tais como data de nascimento, sexo, etnia, etc.
ISO MEL2.3
TS 18308:2004(E)
Assegurar que usurios que atestam ou afirmam uma informao em particular no RES
sejam distinta e confiavelmente identificados
ISO MEL2.4
TS 18308:2004(E)
ISO MEL2.5
TS 18308:2004(E)
ISO MEL2.6
TS 18308:2004(E)
Suportar a identificao de usurio, mesmo que este mude seu nome, profisso, sexo ou
endereo
Suportar medidas que assegurem que todos os clnicos referidos em um RES sejam
distintamente identificados
Suportar o registro do papel de qualquer clnico responsvel por qualquer atividade clnica
registrada no RES
ISO MEL2.7
TS 18308:2004(E)
ISO MEL2.8
TS 18308:2004(E)
Suportar medidas que assegurem que todo registro seja datado e seu autor responsvel
identificado
Suportar medidas que assegurem que haja uma necessidade absoluta para cada
contribuio nos registros seja atribuda a um ator responsvel, independentemente se este
atuou ou no como ator no evento
ISO MEL2.9
TS 18308:2004(E)
Suportar medidas que assegurem que toda contribuio aos registros seja atestada pela
pessoa responsvel
ISO MEL2.10
TS 18308:2004(E)
Suportar medidas que assegurem que emendas / alteraes sejam atribudas pessoa
responsvel, e que a hora/data e a razo para a emenda/alterao sejam registradas
M
M
R
M
Data: 01/08/2008
Pgina: 80/96

CERTIFICAO 2008
FUNC.19 - Competncia e governana clnica

ID
FUNC.19.01
REQUISITO
Competncia
tcnica e
responsabilidad
e clnica
REFERNCIA
ISO MEL3.1
TS 18308:2004(E)
CONFORMIDADE
Suportar a demonstrao de competncia clnica e responsabilidade tcnica dos clnicos
Ambulat.
REQUISITO
Substituio de
dados
REFERNCIA
ISO MEL4.1
TS 18308:2004(E)
Ambulat.
Situao de
registro
ISO MEL4.2
TS 18308:2004(E)
CONFORMIDADE
Assegurar que as novas informaes entradas, para substituio de outras previamente
registradas, sejam coletadas separadamente e atestadas como em substituio quelas
previamente registradas
Assegurar que a exata situao do registro possa ser recriada em um dado ponto no tempo
desde a criao original do RES
REFERNCIA
ISO MEL5.1
TS 18308:2004(E)
CONFORMIDADE
Suportar que textos ou rubricas originais sejam preservados na linguagem original, onde o
texto ou termos codificados no RES tenham sido traduzidos ou mapeados
Ambulat.
ISO MEL5.2
TS 18308:2004(E)
Manter a associao da informao do contexto clnico e elementos de dados relevantes

independentemente de como os dados tenham sido estruturados
REFERNCIA
ISO MEL6.1
TS 18308:2004(E)
CONFORMIDADE
Assegurar que a informao atestada seja armazenada em modo protegido de tal sorte a
impedir qualquer alterao ou excluso
FUNC.20 F Pblica
ID
FUNC.20.01
FUNC.20.02
M
R
FUNC.21 - Preservao de contexto

ID
FUNC.21.01
FUNC.21.02
REQUISITO
Preservao da
linguagem
original do
registro
Associao da
informao do
contexto clnico
FUNC.22 - Permanncia
ID
FUNC.22.01
Verso 3.2
REQUISITO
Permanncia
Data: 01/08/2008
Ambulat.
R
Pgina: 81/96

CERTIFICAO 2008
FUNC.23 - Controle de verso

ID
FUNC.23.01
FUNC.23.02
REQUISITO
Controle de
verses
Medidas de
discernimento
REFERNCIA
ISO MEL7.1
TS 18308:2004(E)
ISO MEL7.2
TS 18308:2004(E)
CONFORMIDADE
Suportar controle de verses de acordo com a granularidade que a informao foi atestada
REFERNCIA
ISO ETH1.1
TS 18308:2004(E)
CONFORMIDADE
Suportar o registro da justificativa tica e da aprovao para uso secundrio da informao
do paciente constante no RES
Ambulat.
CONFORMIDADE
Suportar uma viso do RES orientada para o paciente
Ambulat.
Suportar medidas de discernimento de modificao ou atualizao do registro usando

controle de verso
Ambulat.
R
R
FUNC.24 - tica
ID
FUNC.24.01
REQUISITO
Registro de
justificativa
tica
FUNC.25 - Direitos do paciente

ID
FUNC.25.01
FUNC.25.02
FUNC.25.03
REQUISITO
Viso orientada
para o paciente
Direito de
acesso
Informaes
dos pacientes
REFERNCIA
ISO COC1.1
TS 18308:2004(E)
ISO COC1.2
TS 18308:2004(E)
ISO COC1.3
TS 18308:2004(E)
Suportar o direito de acesso a todas as informaes do RES sujeitas a questes legais

Suportar a incorporao no RES de informaes dos pacientes sobre auto-cuidado, ponto
de vista pessoal sobre as questes de sade, nveis de satisfao, expectativas e
comentrios, quando manifestarem desejo
R
M
M
FUNC.26 - Questes culturais

ID
FUNC.26.01
Verso 3.2
REQUISITO
Interoperabilida
de
REFERNCIA
ISO COC2.1
TS 18308:2004(E)
CONFORMIDADE
Suportar a interoperabilidade de tal sorte que seja realmente global, respeitando, contudo, os
costumes e cultura locais. O processo deve ser sempre simples e adaptvel a diferentes
ambientes legais
Data: 01/08/2008
Ambulat.
R
Pgina: 82/96

CERTIFICAO 2008
FUNC.27 - Evoluo
ID
FUNC.27.01
FUNC.27.02
FUNC.27.03
Verso 3.2
REQUISITO
Compatibilidad
e com
arquiteturas e
verses antigas
Compatibilidad
e com
arquiteturas e
verses mais
novas
Novos
conhecimentos
REFERNCIA
ISO EVO1.1
TS 18308:2004(E)
CONFORMIDADE
Ser compatvel com arquiteturas e verses antigas dos S-RES, de tal sorte que possa
processar dados criados nessas verses.
ISO EVO1.2
TS 18308:2004(E)
Ser compatvel com arquiteturas e verses mais novas dos S-RES, de tal sorte que possa
processar dados criados nessas verses.
Ambulat.
R
ISO EVO1.3
TS 18308:2004(E)
Ser capaz de acomodar o registro de informao relacionada a novos conhecimentos

clnicos, novas disciplinas clnicas, e novas prticas e processos clnicos.
Data: 01/08/2008
Pgina: 83/96

CERTIFICAO 2008
8.10. Requisitos para GED

SGED.01 - Gerais
ID
SGED.01.01
SGED.01.02
SGED.01.03
SGED.01.04
SGED.01.05
SGED.01.06
Verso 3.2
REQUISITO
Utilizao de
banco de
dados
Mtodo de
Indexao
Organizao
dos
documentos
Qualidade
Formatos de
arquivo
Integrao com
sistemas
externos
REFERNCIA
Resoluo CFM
1821/2007
CONFORMIDADE
Utilizar base de dados adequada para o armazenamento dos arquivos digitalizados, em
banco de dados relacional.
Resoluo CFM
1821/2007
Resoluo CFM
1821/2007
Possuir mtodo de indexao que permita criar um arquivamento organizado, possibilitando

a pesquisa de maneira simples e eficiente.
Permitir a organizao dos documentos em pastas e sub-pastas, de forma a representar a
estrutura de sees de um Pronturio.
Resoluo CFM
1821/2007
O documento digitalizado deve reproduzir todas as informaes dos documentos originais.

Em caso de digitalizao de registros multimdia, tais como imagens, vdeos e udios,
responsabilidade da comisso de pronturios analisar os algoritmos e formatos utilizados no
processo, que eventualmente causem reduo da qualidade das imagens. As assinaturas do
software, do operador e do responsvel devem ser apostas no registro final que ser
armazenado (ps-processado). O sistema deve armazenar os algoritmos utilizados no
processamento dos registros.
Permitir o armazenamento de vrios formatos de documentos (PDF, DOC, JPG, PNG, GIF,
XLS, PPT, etc).
Permitir a integrao com sistemas de informao externos, tais como sistemas de gesto
hospitalar, ambulatorial, SADT, etc.
SBIS
SBIS
Data: 01/08/2008
Presena
M
M
M
M
R
Pgina: 84/96

CERTIFICAO 2008
8.11. Requisitos para TISS

O conjunto de requisitos abaixo descritos verifica se os sistemas de informao de prestadores de servios de sade (grupos 1, 2 e 3) e
de operadoras de planos de sade (mdico e/ou odontolgicos) atendem os requisitos de contedo e estrutura do padro TISS. A
definio dos sistemas que se enquadram em cada grupo pode ser consultada no item 8.4.
TISS.01 Contedo e Estrutura para Prestadores do Grupo 1
ID
TISS.01.01
TISS.01.02
REQUISITO
Guia de
Consulta TISS
Guia de
Servios
Profissionais /
SADT
REFERNCIA
ANS RN 153,
29/05/2007
ANS RN 153,
29/05/2007
CONFORMIDADE
O S-RES deve ser capaz de capturar e/ou gerar os dados da Guia de Consulta TISS,
conforme:
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/consulta/Guia_Consulta.xls
e gerar este contedo em XML para compor a mensagem eletrnica ENVIO_GUIAS
conforme o esquema XML publicado em http://www.ans.gov.br/padroes/tiss/esquemas
Guia TISS de
Solicitao de
Internao
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/spsadt/Guia_SADT.xls e gerar este contedo em XML para compor a mensagem

ANS RN 153,
29/05/2007
SADT s
O S-RES deve ser capaz de capturar e/ou gerar os dados da Guia de Servios
Profissionais / Servio Auxiliar Diagnstico e Terapia (SP/SADT) TISS, conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/sp-sadt/Guia_SADT.xls
eletrnica
ENVIO_GUIAS
conforme
o
http://www.ans.gov.br/padroes/tiss/esquemas
TISS.01.03
Grupo 1
esquema
XML
publicado
em
O S-RES deve ser capaz de capturar os dados da Guia TISS de Solicitao de

Internao,
conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/solicita%20interna%E7%E3o/Gui
a_Solicitacao_Internacao.xls
e gerar este contedo em XML para compor a mensagem eletrnica
SOLICITACAO_PROCEDIMENTOS conforme o esquema XML publicado em
Grupo 1 inclui todos os S-RES no Grupo 1 da Tabela 1 (item 3.1. ), EXCETO S-RES para SADT isolados.
Verso 3.2
Data: 01/08/2008
Pgina: 85/96

CERTIFICAO 2008
ID
TISS.01.04
TISS.01.05
TISS.01.06
REQUISITO
Guia TISS de
Resumo de
Internao
REFERNCIA
ANS RN 153,
29/05/2007
Guia TISS de
Honorrio
Individual
ANS RN 153,
29/05/2007
Guia TISS de
Outras
Despesas
ANS RN 153,
29/05/2007
CONFORMIDADE
O S-RES deve ser capaz de capturar os dados da Guia TISS de Resumo de Internao,
conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/resumo%20e%20interna%E7%E
3o/Guia_Resumo_Internacao.xls
O S-RES deve ser capaz de capturar os dados da Guia TISS de e Honorrio Individual
conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/Honor%E1rio%20Individual/Guia
_Honorario_Individual.xls
O S-RES deve ser capaz de capturar os dados da Guia TISS de Outras Despesas
conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/outras%20despesas/Guia_Outra
s_Despesas.xls
Grupo 1
SADT s

ID
TISS.02.01
TISS.02.02
Verso 3.2
REQUISITO
Guia de
Consulta TISS
Guia TISS de
Solicitao de
Internao
REFERNCIA
ANS RN 153,
29/05/2007
ANS RN 153,
29/05/2007
CONFORMIDADE
O sistema de informaes de prestadores da categoria 2 deve ser capaz de capturar e/ou
gerar os dados da Guia de Consulta TISS, conforme:
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/consulta/Guia_Consulta.xls
O sistema de informaes de prestadores da categoria 2 deve ser capaz de capturar os
dados
da
Guia
TISS
de
Solicitao
de
Internao,
conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/solicita%20interna%E7%E3o/Guia_S
olicitacao_Internacao.xls
e gerar este contedo em XML para compor a mensagem eletrnica
SOLICITACAO_PROCEDIMENTOS conforme o esquema XML publicado em
Data: 01/08/2008
PRESENA
Pgina: 86/96

CERTIFICAO 2008
ID
TISS.02.03
REQUISITO
Guia de
Servios
Profissionais /
SADT
REFERNCIA
ANS RN 153,
29/05/2007
CONFORMIDADE
O sistema de informaes de prestadores da categoria 2 deve ser capaz de capturar e/ou
gerar os dados da Guia de Servios Profissionais / Servio Auxiliar Diagnstico e
Terapia
(SP/SADT)
TISS,
conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/sp-sadt/Guia_SADT.xls
PRESENA

ID
TISS.03.01
TISS.03.02
REQUISITO
Guia de
Tratamento
Odontolgico Solicitao
REFERNCIA
ANS RN 153,
29/05/2007
Guia de
Tratamento
Odontolgico Cobrana
ANS RN 153,
29/05/2007
CONFORMIDADE
dados da Guia TISS de Tratamento Odontolgico - Solicitao conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/tratamento%20odontol%F3gico/Guia
_Solicitacao_odontologia.xls
e
gerar
este
contedo
em
XML
para
compor
a
mensagem
eletrnica
AUTORIZACAO_ODONTOLOGIA
conforme
o
esquema
XML
publicado
em
dados da Guia TISS de Tratamento Odontolgico - Cobrana
conforme
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/tratamento%20odontol%F3gico/Guia
_Cobranca_odontologia.xls
PRESENA
TISS.04 Contedo e Estrutura para Operadoras de Planos de Assistncia Mdica (Grupos 1 e 2)

ID
TISS.04.01
Verso 3.2
REQUISITO
Demonstrativo
de Pagamento
REFERNCIA
ANS RN 153,
29/05/2007
CONFORMIDADE
O sistema de informaes das operadoras de planos de assistncia medica dever gerar os
dados do Demonstrativo de Pagamento, conforme:
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/demonstrativos/Demonstrativo.doc
Data: 01/08/2008
PRESENA
Pgina: 87/96

CERTIFICAO 2008
ID
TISS.04.02
REQUISITO
Demonstrativo
de Anlise de
Conta Mdica
REFERNCIA
ANS RN 153,
29/05/2007
CONFORMIDADE
O sistema de informaes das operadoras de planos de assistncia medica dever gerar os
dados
do
Demonstrativo
de
Anlise
de
Conta
Mdica
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/demonstrativos/Demonstrativo
Conta
Medica.doc
PRESENA
TISS.05 Contedo e Estrutura para Operadoras exclusivamente de Planos Odontolgicos (Grupo 3)

ID
TISS.05.01
REQUISITO
Guia de
Tratamento
Odontolgico Demonstrativo
de Pagamento
REFERNCIA
ANS RN 153,
29/05/2007
CONFORMIDADE
O sistema de informaes das operadoras de planos exclusivamente odontolgicos dever
gerar os dados do Guia de Tratamento Odontolgico - Demonstrativo de Pagamento,
conforme:
http://www.ans.gov.br/portal/site/_hotsite_tiss/pdf/guias/tratamento
odontol%F3gico/Guia
demonstrativo pagamento Odonto.xls
PRESENA
TISS.06 Comunicao para Prestadores dos Grupos 1 e 2

A tabela abaixo descreve o conjunto de requisitos de comunicao para que os sistemas de informao de Prestadores dos grupos 1 e
2 (ver item 3.1. ) estejam aptos a enviar e receber todas as mensagens XML previstas no padro TISS, conforme prevem a RN 153 de
29/05/2007 e a IN n 26, de 10/05/2007 2007. Observar que o contedo das mensagens em XML deve obedecer aos esquemas
descritos acima nos requisitos de contedo, de acordo com o grupo no qual o S-RES se enquadra, conforme classificao da ANS. Por
exemplo, em se tratando de S-RES de consultrio mdico este dever enviar as Guias de Faturamento de seu contexto, ou seja, as
Guias de Consulta. Portanto, no ser exigido que um S-RES de consultrio seja capaz de enviar Guias de Resumo de Internao.
Conforme o Manual de Comunicao e Segurana das Mensagens TISS, a comunicao prestador operadora poder ser: via
WebServices (preferencialmente), via troca de arquivos em diretrios de entrada e sada, tambm definidos pelo padro TISS, ou, ainda
atravs de upload no stio das operadoras na Internet. Cada uma das mensagens abaixo descritas dever, portanto, obedecer a pelo
menos um destes mtodos de comunicao para que o S-RES nesta categoria venha a ser certificado.
ID
TISS.06.01
Verso 3.2
REQUISITO
Guias de
Faturamento
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS :
ENVIO_LOTE_GUIAS conforme esquemas descritos em:
http://www.ans.gov.br/padroes/tiss/schemas
Data: 01/08/2008
PRESENA
Pgina: 88/96

CERTIFICAO 2008
ID
TISS.06.02
TISS.06.03
TISS.06.04
TISS.06.05
TISS.06.06
TISS.06.07
TISS.06.08
TISS.06.09
TISS.06.10
TISS.06.11
Verso 3.2
REQUISITO
Protocolo de
Recebimento
Lote de Guias
Solicitao do
Status do
Protocolo
Recebimento
da Situao do
Protocolo
Solicitao de
Procedimentos
Recebimento
Autorizao de
Procedimentos
Solicitao do
Status da
Autorizao
Solicitao dos
Demonstrativos
de Retorno
Recebimentos
demonstrativos
de pagamento,
da anlise de
contas mdicas
e de
odontologia
Reapresentao
de guias
Cancelamento
de Guias
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
O S-RES deve ser capaz de receber das operadoras a mensagem TISS
PROTOCOLO_RECEBIMENTO
conforme
esquemas
descritos
em:
O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS
SOLIC_STATUS_PROTOCOLO
conforme
esquemas
descritos
em:
O
S-RES
deve
ser
capaz
de
receber
das
operadoras
a
mensagem
SITUACAO_PROTOCOLO,
conforme
esquemas
descritos
em
SOLICITACAO_PROCEDIMENTOS
,
conforme
esquemas
descritos
em
O
S-RES
deve
ser
capaz
de
receber
das
operadoras
a
mensagem
AUTORIZACAO_PROCEDIMENTOS,
conforme
esquemas
descritos
em
O S-RES deve ser capaz de enviar as operadoras a mensagem TISS
SOLICITA_STATUS_AUTORIZACAO,
conforme
esquemas
descritos
em
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
O S-RES deve ser capaz de enviar as operadoras a mensagem

SOLIC_DEMONSTRATIVO_RETORNO,
conforme
esquemas
descritos
O
S-RES
deve
ser
capaz
de
receber
as
mensagens
DEMONSTRATIVO_PAGAMENTO"
"DEMONSTRATIVO_ANALISE_CONTA_MEDICA"
conforme esquemas descritos em http://www.ans.gov.br/padroes/tiss/schemas
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
TISS
em
TISS

ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA, conforme esquemas
descritos em http://www.ans.gov.br/padroes/tiss/schemas
O S-RES deve ser capaz de enviar as operadoras a mensagem TISS CANCELA_GUIA,
Data: 01/08/2008
PRESENA
Pgina: 89/96

CERTIFICAO 2008
ID
TISS.06.12
TISS.06.13
REQUISITO
Verificao de
Elegibilidade
Recebimento
da resposta a
Verificao
Elegibilidade
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
O S-RES deve ser capaz de enviar
VERIFICA_ELEGIBILIDADE,
conforme
O S-RES deve ser capaz de receber
SITUACAO_ELEGIBILIDADE,
conforme
PRESENA
as
operadoras
esquemas
das
operadoras
esquemas
mensagem
descritos
TISS
em
mensagem
descritos
TISS
em
TISS.07 Comunicao para Prestadores do Grupo 3

A tabela abaixo descreve o conjunto de requisitos de comunicao para que os sistemas de informao de Prestadores do grupo 3 (ver
item 3.1. ) estejam aptos a enviar e receber todas as mensagens XML previstas no padro TISS, conforme prevem a RN 153 de
29/05/2007 e a IN n 26, de 10/05/2007 2007.
ID
TISS.07.01
TISS.07.02
TISS.07.03
TISS.07.04
TISS.07.05
TISS.07.06
Verso 3.2
REQUISITO
Guias de
Faturamento
Protocolo de
Recebimento
do Lote de
Guias
Solicitao do
Status do
Protocolo
Recebimento
da Situao do
Protocolo
Solicitao de
Autorizao
Procedimentos
Odontologia
Recebimento
da Autorizao
de
Procedimentos
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
O S-RES deve ser capaz de gerar o contedo em XML da Mensagem TISS :
ENVIO_LOTE_GUIAS conforme esquemas descritos em:
PROTOCOLO_RECEBIMENTO
conforme
esquemas
descritos
em:
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007

conforme
esquemas
descritos
em:
O
S-RES
deve
ser
capaz
de
receber
das
operadoras
a
mensagem
SITUACAO_PROTOCOLO, conforme esquemas descritos em:
AUTORIZACAO_ODONTOLOGIA, conforme esquemas descritos em:
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
O
S-RES
deve
ser
capaz
de
receber
das
operadoras
AUTORIZACAO_PROCEDIMENTOS, conforme esquemas descritos em :
Data: 01/08/2008
PRESENA
mensagem
M
Pgina: 90/96

CERTIFICAO 2008
ID
TISS.07.07
TISS.07.08
TISS.07.09
TISS.07.10
TISS.07.11
TISS.07.12
TISS.07.13
PRESENA
REQUISITO
Solicitao do
Status da
Autorizao
Solicitao dos
Demonstrativos
de Retorno
Odontologia
Recebimento,
Demonstrativo
de Odontologia
Reapresentao
de guias
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em
SOLIC_DEMONSTRATIVO_RETORNO, conforme esquemas descritos em :
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
Cancelamento
de Guias
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
O S-RES deve ser capaz de receber as mensagens TISS "

"DEMONSTRATIVO_ODONTOLOGIA, conforme esquemas descritos em :
ENVIO_LOTE_GUIAS incorporando a RE_APRESENTACAO_GUIA, , conforme esquemas
descritos em :
O S-RES deve ser capaz de enviar as operadoras a mensagem TISS CANCELA_GUIA,
conforme esquemas descritos em:
VERIFICA_ELEGIBILIDADE, conforme esquemas descritos em :
SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em :
Verificao de
Elegibilidade
Recebimento
da resposta a
Verificao
Elegibilidade
TISS
M
TISS
M
TISS.08 Comunicao para Operadoras de Planos de Assistncia Mdica (Grupos 1 e 2)

A tabela abaixo descreve o conjunto de requisitos de comunicao para que os sistemas de informao de operadoras de planos de
assistncia mdica estejam aptos a enviar e receber todas as mensagens XML previstas no padro TISS, conforme prevem a RN 153
de 29/05/2007 e a IN n 26, de 10/05/2007 2007.
As Operadoras devem , ainda, atender ao disposto na Nota Esclarecedora DIDES/GGSUS N 001/2008, disponvel em:
http://www.ans.gov.br/portal/site/_hotsite_tiss/nota_esclarecedora_001_2008.htm
Verso 3.2
Data: 01/08/2008
Pgina: 91/96

CERTIFICAO 2008
ID
TISS.08.01
TISS.08.02
TISS.08.03
TISS.08.04
TISS.08.05
TISS.08.06
TISS.08.07
TISS.08.08
TISS.08.09
TISS.08.10
TISS.08.11
Verso 3.2
REQUISITO
Guias de
Faturamento
Protocolo de
Recebimento
do Lote de
Guias
Solicitao do
Status do
Protocolo
Envio da
Situao do
Protocolo
Solicitao de
Procedimentos
Envio da
Autorizao de
Procedimentos
Solicitao do
Status da
Autorizao
Solicitao dos
Demonstrativos
de Retorno
Envio Demon.
Pagamento, e
da Anlise de
contas Mdicas
Reapresentao
de guias
Cancelamento
de Guias
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
O S-RES deve ser capaz de receber dos prestadores o contedo em XML da Mensagem
TISS : ENVIO_LOTE_GUIAS conforme esquemas descritos em:
O S-RES deve ser capaz de enviar s operadoras a mensagem TISS
PROTOCOLO_RECEBIMENTO conforme esquemas descritos em:
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
TISS SOLIC_STATUS_PROTOCOLO conforme esquemas descritos em:
O
S-RES
deve
ser
capaz
de
enviar
aos
prestadores
a
mensagem
SITUACAO_PROTOCOLO, conforme esquemas descritos em
O S-RES deve ser capaz de
receber dos prestadores a
Mensagem TISS
SOLICITACAO_PROCEDIMENTOS , conforme esquemas descritos em:
O
S-RES
deve
ser
capaz
enviar
aos
prestadores
a
mensagem
TISS
conforme
esquemas
descritos
em
O S-RES deve ser capaz de receber dos prestadores a mensagem TISS
SOLICITA_STATUS_AUTORIZACAO, conforme esquemas descritos em:
conforme
esquemas
descritos
em
aos prestadores as mensagens TISS
DEMONSTRATIVO_PAGAMENTO"
"DEMONSTRATIVO_ANALISE_CONTA_MEDICA", conforme esquemas descritos em:
descritos em:
O S-RES deve ser capaz de receber dos prestadores a mensagem TISS CANCELA_GUIA,
conforme esquemas descritos em:
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
Data: 01/08/2008
PRESENA
Pgina: 92/96

CERTIFICAO 2008
ID
TISS.08.12
TISS.08.13
REQUISITO
Verificao de
Elegibilidade
Resposta a
Verificao
Elegibilidade
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
O S-RES deve ser capaz de receber dos prestadores
conforme
esquemas
aos prestadores
SITUACAO_ELEGIBILIDADE, conforme esquemas descritos em:
PRESENA
mensagem
descritos
TISS
em
mensagem
TISS
TISS.09 Comunicao para Operadoras exclusivamente de Planos Odontolgicos (Grupo 3)

A tabela abaixo descreve o conjunto de requisitos de comunicao para que os sistemas de informao de operadoras exclusivamente
de planos odontolgicos estejam aptos a enviar e receber todas as mensagens XML previstas no padro TISS, conforme prevem a RN
153 de 29/05/2007 e a IN n 26, de 10/05/2007 2007.
As Operadoras devem , ainda, atender ao disposto na Nota Esclarecedora DIDES/GGSUS N 001/2008, disponvel em:
http://www.ans.gov.br/portal/site/_hotsite_tiss/nota_esclarecedora_001_2008.htm
ID
TISS.09.01
TISS.09.02
TISS.09.03
TISS.09.04
TISS.09.05
TISS.09.06
Verso 3.2
REQUISITO
Guias de
Faturamento
Protocolo de
Recebimento
do Lote de
Guias
Solicitao do
Status do
Protocolo
Envio da
Situao do
Protocolo
Solicitao de
Procedimentos
Odontologia
Envio da
Autorizao de
Procedimentos
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
TISS : ENVIO_LOTE_GUIAS conforme esquemas descritos em:
O S-RES deve ser capaz de enviar aos prestadores
a mensagem TISS
PROTOCOLO_RECEBIMENTO conforme esquemas descritos em:
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
TISS
conforme
esquemas
descritos
em:
O
S-RES
deve
ser
capaz
de
enviar
aos
prestadores
a
mensagem
SITUACAO_PROTOCOLO,
conforme
esquemas
descritos
em
O S-RES deve ser capaz de
receber dos prestadores a
Mensagem TISS
AUTORIZACAO_ODONTOLOGIA,
conforme
esquemas
descritos
em
O
S-RES
deve
ser
capaz
enviar
aos
prestadores
a
mensagem
TISS
conforme
esquemas
descritos
em
Data: 01/08/2008
PRESENA
Pgina: 93/96

CERTIFICAO 2008
ID
TISS.09.07
TISS.09.08
TISS.09.09
TISS.09.10
TISS.09.11
TISS.09.12
TISS.09.13
Verso 3.2
REQUISITO
Solicitao do
Status da
Autorizao
Solicitao dos
Demonstrativos
de Retorno
Envio Demon.
de Pagamento,
e da Anlise de
contas Mdicas
Reapresentao
de guias
Cancelamento
de Guias
Verificao de
Elegibilidade
Envio da
resposta a
Verificao
Elegibilidade
PRESENA
REFERNCIA
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
CONFORMIDADE
O S-RES deve ser capaz de receber dos prestadores a
SOLICITA_STATUS_AUTORIZACAO,
conforme
esquemas
O S-RES deve ser capaz de receber dos prestadores a
conforme
esquemas
aos prestadores as
DEMONSTRATIVO_ODONTOLOGIA,
conforme
esquemas
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007
ANS RN 153,
29/05/2007 e IN n
26, de 10/05/2007

descritos em http://www.ans.gov.br/padroes/tiss/schemas
O S-RES deve ser capaz de receber dos prestadores a mensagem TISS CANCELA_GUIA,
O S-RES deve ser capaz de receber
conforme
SITUACAO_ELEGIBILIDADE,
conforme
Data: 01/08/2008
dos
prestadores
esquemas
aos
prestadores
esquemas
mensagem
descritos
TISS
em
mensagem
descritos
TISS
em
mensagens
descritos
TISS
em
mensagem
descritos
TISS
em
mensagem
descritos
TISS
em
Pgina: 94/96

CERTIFICAO 2008
9. Referncias
[1]
CFM. Resoluo 1638/2002. On-line. Disponvel em:

http://www.portalmedico.org.br/resolucoes/cfm/2002/1638_2002.htm
[2]

[3]

[4]
MEDIDA PROVISRIA No 2.200-2, DE 24 DE AGOSTO DE 2001. On-line.

Disponvel em: https://www.planalto.gov.br/ccivil_03/MPV/Antigas_2001/2200-2.htm
[5]
Cadastro Nacional de Usurios do Sistema nico de Sade. Disponvel em:

http://cartaonet.datasus.gov.br/
[6]
Cadastro Nacional de Estabelecimentos e Profissionais de Sade CNES.

Disponvel em: http://www.datasus.gov.br/cnes
[7]
Padro TISS. Disponvel em: http://www.ans.gov.br/portal/site/_hotsite_tiss
[8]
ISO/TR 20.514:2005 Technical Report - Health informatics -- Electronic health record

-- Definition, scope and context. Disponvel em:
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=39525
[9]
ISO/TS 18.308:2004 - Health informatics -- Requirements for an electronic health

record architecture. Disponvel em:
http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=33397
[10] ISO/IEC 27.002:2005 - Information technology -- Security techniques -- Code of

practice for information security management. Disponvel em:
[11] ABNT NBR ISO/IEC 27.002:2005 (antiga NBR ISO/IEC 17799:2005) - Cdigo de
Prtica para a Gesto da Segurana da Informao. Disponvel em:
http://www.abntnet.com.br/ecommerce/default.aspx
[12] ISO/IEC 15.408-1:2005 Information technology - Security techniques - Evaluation

criteria for IT security - Part 1: Introduction and general model. Disponvel em:
[13] ISO/IEC 15.408-2:2005 Information technology - Security techniques - Evaluation

criteria for IT security - Part 2: Security functional requirements. Disponvel em:
[14] ISO/IEC FCD 15.408-3:2005 Information technology - Security techniques - Evaluation

criteria for IT security - Part 3: Security assurance requirements. Disponvel em:
[15] HL7 Health Level 7 http://www.hl7.org

Verso 3.2
Data: 01/08/2008
Pgina: 95/96

CERTIFICAO 2008
[16] HL7 -EHR Functional Model. Disponvel on line: http://www.hl7.org/EHR/

[17] CCHIT. Commercial Certification Handbook. Ambulatory EHR Products. Disponvel
em:
http://www.cchit.org/files/Ambulatory_Domain/2007AEHRCertificationHandbookV2_1.pdf
[18] ABNT NBR ISO/IEC 27.001:2006 Sistemas de Gesto de Segurana da Informao

Requisitos. Disponvel em: http://www.abntnet.com.br/ecommerce/default.aspx
[19] ISO/FDIS - 21549-7 - Health informatics - Patient healthcard data - Part 7: Medication
data - Final draft 2007
[20] Mon, Donald T.. Difference Between the EHR Standard and Certification. Journal of
AHIMA 77, no.5 (May 2006): 66,68,70.
[21] ETSI TS 101 733: ETSI. "Electronic Signatures and Infrastructures (ESI); Electronic
Signature Formats".
[22] ABNT ISO/IEC GUIA 65/1997 Requisitos para Organismos que Operam Sistemas de
Certificao de Produtos.
[23] ABNT NBR ISO/IEC 17021:2007 Avaliao de Conformidade Requisitos para
Organismos que Fornecem Auditoria e Certificao de Sistemas de Gesto.
Verso 3.2
Data: 01/08/2008
Pgina: 96/96

Manual Certificacao SBIS-CFM 2008 v3-2

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Manual Certificacao SBIS-CFM 2008 v3-2

Caricato da

Copyright:

Formati disponibili

Manual de Certificao

para Sistemas de Registro

Manual de Certificao para

Conselho Federal de Medicina

Edson de Oliveira Andrade

Cmara Tcnica de Informtica em Sade e Telemedicina

Manual de Certificao para

Sociedade Brasileira de Informtica em Sade

Heimar de Ftima Marin

Membros do Grupo de Interesse (GI)

Consultoria e Reviso Jurdica

Manual de Certificao para

3. Escopo de Certificao ........................................................................................................19

Categorias e Enquadramento dos Sistemas ...................................................................20

4. Conceitos, Normas e Condies da Certificao .........................................................23

Componentes de um S-RES ..............................................................................................23

Processo Padro ..................................................................................................................29

6. Estrutura do Centro de Certificao da SBIS.................................................................41

Comit de Certificao ........................................................................................................41

7. Uso da Informao Relacionada com a Certificao ...................................................45

Referncias ao Estado de S-RES Certificado .................................................................46

Manual de Certificao para

Referncias ao Processo de Certificao ........................................................................47

Manual de Certificao para

Histrico das Revises

Inicio Reviso Fase

Manual de Certificao para

Manual de Certificao para

Manual de Certificao para

partir da aprovao desta verso do Manual de Certificao para Sistemas de Registro

Manual de Certificao para

Registro Eletrnico de Sade RES Um repositrio de informao a respeito da

Sistema de Registro Eletrnico de Sade S-RES Sistema para registro,

Como se pode observar, essas definies so propositalmente abrangentes. De qualquer

2.2. Padres Utilizados

Manual de Certificao para

As resolues do CFM a respeito de pronturio do paciente;

Alm disto, esto sendo acompanhados os trabalhos desenvolvidos pela Comisso

Documentos do Comit ISO/TC-215 Health Informatics:

Merece destaque o fato de que diferentes organizaes, principalmente no mbito

Manual de Certificao para

O Cadastro de Usurios (anteriormente chamado de Projeto Carto Nacional de Sade)

Manual de Certificao para

2.2.6. O Padro TISS

A ANS determinou que as normas tcnicas estabelecidas na Resoluo CFM n.

Manual de Certificao para

Manual de Certificao para

segurana e apresenta os principais controles de segurana a serem empregados por

Manual de Certificao para

RES. Os S-RES so avaliados por trs auditores, distncia, a partir de ambiente

2.3. Princpios da Certificao

Manual de Certificao para

Cliente Certificado em promover todas as investigaes e subseqentes correes ou

Manual de Certificao para

Os registros de reclamaes que digam respeito a Clientes Certificados sero

Manual de Certificao para

Manual de Certificao para

3.1. Categorias e Enquadramento dos Sistemas

Manual de Certificao para

como sendo um S-RES local ou um S-RES remoto, refletindo se o mesmo funciona

Manual de Certificao para

O enquadramento de um S-RES se faz, portanto, pelas seguintes opes:

Assim, obtm-se o enquadramento de um S-RES atravs da escolha de uma opo do