Posicionamento TI SBPC 2011

Tecnologia da Informao em Tecnologia da Informao em
MedicinaLaboratorial: Medicina daLaboratorial: Posicionamento SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011
Posicionamento da SBPC/ML 2011
Tecnologia da Informao em
Medicina Laboratorial:
Logotipos:
Copyright Digitalmed Copyright Matrix Copyright Shift Copyright Veus Technology Copyright Medic Ware Copyright Data Innovations Company Copyright Sociedade Brasileira de Patologia Clnica / Medicina Laboratorial (SBPC/ML)
Projeto grfico e editorao eletrnica:

Rodrigo Paiva de Moraes
Tecnologia da Informao em Medicina Laboratorial: Posicionamento da SBPC/ML 2011

1.Boas Prticas de Segurana e Sigilo em TI para Laboratrios Clnicos 2.Conceitos de certificao e segurana digital de laudos 3.Garantindo a rastreabilidade de pacientes, amostras e informaes em sistemas laboratoriais 4.Validao e boas prticas de verificao e liberao 5.Novas tendncias tecnolgicas
Todos os direitos reservados. Nenhuma parte deste livro poder ser reproduzida, por qualquer processo, sem a permisso expressa da Sociedade Brasileira de Patologia Clnica / Medicina Laboratorial (SBPC/ML). Edio 2011
Apresentao
Apresentao
A cada dia, entramos em contato com novas tecnologias que acabam por fazer parte de nossa vida pessoal e profissional. Recursos como a Internet, redes sociais, smartphones e muitos outros no existiam em um passado recente, e hoje esto inseridos de tal modo em nossas vidas que impensvel viver sem eles. Com o objetivo de acompanhar a evoluo da tecnologia, a Sociedade Brasileira de Patologia Clnica/Medicina Laboratorial criou seu Comit de TI, que tem como primeira produo o Posicionamento SBPC/ML 2011 - Tecnologia da Informao em Medicina Laboratorial. Este documento inicia as discusses sobre vrios assuntos e novidades em Tecnologia da Informao para o segmento de diagnstico laboratorial.
Boa leitura!
Carlos Ballarati Presidente da SBPC/ML Binio 2010/2011
Autores deste documento
Autores deste documento

Carlos Alberto Franco Ballarati, Mdico Patologista Clnico, Doutor em Medicina pela USP, MBA em Gesto de Sade pelo IBMEC So Paulo Hospital Israelita Albert Einstein, Fellow pela DKD (Alemanha), Presidente da SBPC/ML no binio 2010/2011 Cesar Alex Galoro, Mdico Patologista Clnico, MBA pela Fundao Getlio Vargas, Doutor em Medicina pela USP, Fellow pela Universidade McGill (Montreal, Canad), Responsvel Tcnico do Cientificalab (DASA) e Diretor Administrativo da SBPC/ML no binio 2010/2011 Fabiano Gomes Estellita, Diretor de Operaes da Veus Technology, Diretor de Operaes da MBA/TITAN, formado em Matemtica pela Universo/RJ Felix Valmor Schultz, CEO da DigitalMed Francisco Eduardo Martins Serra Espuny, Especialista em Sistemas. Nos ltimos dez anos tem atuado em projetos de TI exclusivamente para o setor de sade. Gerente de TI na empresa Matrix Sistemas Gustavo Aguiar Campana, Mdico Patologista Clnico, Presidente da Regional So Paulo/Capital da SBPC/ML binio 2010/2011, scio da Formato Clnico - Projetos em Medicina Diagnostica Gustavo Vaz Nascimento, Prof. Msc., Coordenador de qualidade de software da Shift, Professor de Graduao e Ps-graduao da Unio das Faculdades dos Grandes Lagos (UNILAGO) e do Centro Universitrio de Rio Preto (UNIRP) Jos Colleoni, Diretor para a regio da Amrica Latina da empresa Data Innovations, formado em Anlise de Sistemas pela PUC-Campinas, Ps-graduado em Administrao pela FGV-SP, trabalha h mais de 33 anos na rea de TI, sendo os ltimos 16 anos dedicados empresas de renome no setor da Sade Luis Gustavo Gasparini Kiatake, Mestre em Engenharia Eltrica pela Escola Politcnica da USP, Diretor de Relaes Institucionais da Sociedade Brasileira de Informtica em Sade (SBIS), Consultor do processo de certificao de Sistemas de Registro Eletrnico em Sade da BIS/CFM, Colaborador da Associao Brasileira de Normas Tcnicas (ABNT) e da International Organization for Standardization (ISO) nos comits de Informtica em Sade e Segurana da Informao, Diretor da E-VAL Tecnologia Marcelo T. Botelho, Analista de Sistemas, Diretor da Veus Technology e da MB&A/TITAN Murilo R. Melo, Prof. Dr., Mdico Patologista Clnico, Vice-Diretor Cientfico da SBPC/ML binio 2010/2011, Presidente do Comit de TI em Medicina Laboratorial da SBPC/ML, Professor-Adjunto Doutor do Laboratrio de Medicina Molecular (FCMSCSP), Diretor de Patrimnio e Finanas (Associao Paulista de Medicina) e Director-at-large Latin America (WASPaLM - World Association of Societies of Pathology and Laboratory Medicine) Ricardo Nascimento da Silva, Snior Application Specialist da empresa Data Innovations, formado em Administrao de Empresas pela Faculdade Santana, possui mais de 20 anos de experincia na rea de TI e h 15 passou a trabalhar na rea laboratorial. Especialista em interfaceamento entre sistemas laboratoriais e instrumentos de anlises clnicas, assim como B2B
Autores deste documento Comit de Tecnologia da Informao da SBPC/ML
Rud Pereira da Costa, Jornalista Responsvel pela empresa Digitalmed Inovaes em Software, Coordenador do projeto "Novas Tendncias Tecnolgicas" para o Comit de Tecnologia da Informao SBPC/ML Victor Jos Bento, Arquiteto de Software e Diretor de Produto da Digitalmed Inovaes em Software W. Marcelo Lorencin, Empresrio, Presidente da Shift Consultoria e Sistemas, Diretor de Promoo e Desenvolvimento Social da Associao dos Profissionais e Empresas de Tecnologia da Informao (APETI), Presidente do Centro Tecnolgico de Rio Preto (CTRP) e Dirigente da Unidade Pescar de So Jos do Rio Preto Wilson Shcolnik, Mdico Patologista Clnico, Diretor de Acreditao da SBPC/ML binio 2010/2011, Gerente de Relaes Institucionais do Grupo Fleury, MBA em Gesto pela Qualidade (UFF/RJ)
Comit de Tecnologia da Informao da SBPC/ML

Anderson Menon, Analista de Sistemas na Siemens Healthcare Diagnsticos Brasil Andr Gomes Silveira, Scio Diretor Executivo da MedicWare, graduado pela UFBA em Anlise de Sistemas, Ps-graduao em Gesto de TI Alvaro Rodrigues Martins, Mdico Patologista Clnico, Presidente do Conselho de Ex-Presidentes da SBPC/ML binio 2010/2011, Professor Instrutor FCMSCSP, Mdico Patologista Clnico do Hospital So Luiz da Unidade Assuno e Unidade Brasil. Cesar Alex Galoro, Mdico Patologista Clnico, MBA pela Fundao Getlio Vargas, Doutor em Medicina pela USP, Fellow pela Universidade McGill (Montreal, Canad), Responsvel Tcnico do Cientificalab (DASA) e Diretor Administrativo da SBPC/ML binio 2010/2011. Edgar Diniz Borges, Analista de Sistemas, Scio -proprietrio da Softeasy Tecnologia, empresa fundada em 2005 em sociedade com Arcadio A. C. Bianco Neto, especializada em sistema para gesto laboratorial, clnicas mdicas, gesto laboratorial veterinria e gesto de animais de produo Euclides de Silvio Gomes Junior, Diretor Tcnico da Hotsoft Informtica h 10 anos, trabalha em TI aplicada rea da sade h 16 anos, graduado em Processamento de Dados pela Universidade Estadual de Maring, Especializao MBA em Gerenciamento de Projetos (FGV) Hlio Magarinos Torres Filho, Mdico Patologista Clnico, MBA em Gesto em Sade (IBMEC), MBA em Gesto de Negcios (IBMEC), Diretor Mdico do Laboratrio Richet, Presidente Regional no Rio de Janeiro/Capital da SBPC/ML binio 2010/2011
Comit de Tecnologia da Informao da SBPC/ML
Igor da Silva Gomes, Analista de Sistemas formado pela PUC SP e Ps-graduado pela USP, Gerente de tecnologia da DASA - Diagnsticos da Amrica, responsvel pelos Sistemas de Produo de Anlises Clnicas e Apoio Luis Gasto M. Rosenfeld, Mdico (1968) Santa Casa de So Paulo, Especialista em Hematologia, foi Presidente da Sociedade Brasileira de Hematologia,dirigiu os Laboratrios do Instituto Dante Pazzanese, Hospital Albert Einstein e foi Vice-Presidente Mdico da DASA Luiz Gallotti Pvoa, Mdico Patologista Clnico, atua na rea h 31 anos. Assessor de Processos e Sistemas de Informao do Instituto Estadual de Diabetes e Endocrinologia (IEDE/RJ) Marcelo Henrique Wood Faulhaber, Mdico Patologista Clnico, MBA, Assessor de Direo da Diviso de Laboratrio Central do HC FMUSP. Marcelo Kutter, Scio Diretor Comercial da MedicWare Sistemas, Economista com MBA em Finanas (IBMEC), palestrante e Professor de Ps-graduao em Sistema de Informao em Sade Murilo R. Melo, Prof. Dr., Mdico Patologista Clnico, Vice-Diretor Cientfico da SBPC/ML binio 2010/2011, Presidente do Comit de TI em Medicina Laboratorial da SBPC/ML, Professor-Adjunto Doutor do Laboratrio de Medicina Molecular (FCMSCSP), Diretor de Patrimnio e Finanas (Associao Paulista de Medicina) e Director-at-large Latin America (WASPaLM - World Association of Societies of Pathology and Laboratory Medicine). Pedro Silvano Gunther, graduado em Direito (UFPR) e Administrao (PUC-PR), Ps-graduado em Marketing e Processamento de Dados (FAE-PR). Iniciou sua carreira em auditoria na Price Waterhouse, em 1978. Foi Chefe do Departamento de Documentao de Sistemas da Banestado Informtica. Fundou a Hotsoft em 1987, onde permanece at hoje como Diretor Geral. Roberto Ribeiro da Cruz, formado em Engenharia Mecnica com especializao em Produo (Faculdade de Engenharia Industrial/SP), Ps-graduao em Administrao de Pequenas e Mdias Empresas (EAESP/FGV), atua no desenvolvimento de software para medicina diagnstica desde 1986, com experincias no Brasil, Argentina, Chile e EUA. Hoje responsvel pelo desenvolvimento de novos produtos na Medical Systems. Rodolfo Sini Ruiz, formado em Anlise de Sistemas. Iniciou sua carreira na rea tcnica e hoje responsvel pelo desenvolvimento da rea comercial da Medical Systems. Atua no segmento de software para medicina diagnstica desde 1984. Simone Alves, tem 15 anos de experincia em Sistemas na rea de Sade, Especialista Lder de Sistemas de Produo de Anlises Clnicas da DASA do mercado privado. Estudou Cincias da Computao no Instituto de Ensino Superior de So Caetano do Sul (SP). Thiago Carvalho Melo, Bacherelado em Cincias da Computao, Analista de Sistemas, Analista de Implantao e Suporte Brasil da Siemens Healthcare Diagnsticos Brasil Wilson Shcolnik, Mdico Patologista Clnico, Diretor de Acreditao da SBPC/ML binio 2010/2011, Gerente de Relaes Institucionais do Grupo Fleury, MBA Gesto pela Qualidade (UFF/RJ)
Diretoria executiva binio 2010-2011
Diretoria executiva binio 2010-2011

Presidente: Carlos Alberto Franco Ballarati Vice-Presidente: Ismar Venncio Barbosa Diretor Administrativo: Csar Alex de Oliveira Galoro Vice-Diretor Administrativo: Rubens Hemb Diretor Cientfico: Nairo Massakazu Sumita Vice-Diretor Cientfico: Murilo Rezende Melo Diretor de Comunicao: Luiz Eduardo Rodrigues Martins Diretor Financeiro: Leila Carmo Sampaio Rodrigues Vice-Diretor Financeiro: Natasha Slhessarenko Diretor de Acreditao: Wilson Shcolnik Diretor de Defesa de Classe: Paulo Srgio Roffe Azevedo Presidente do Conselho de Ex-Presidentes: Alvaro Rodrigues Martins
Prefcio
Prefcio
"Tudo tem a sua ocasio prpria, e h tempo para todo propsito debaixo do cu." Ec 3:1 Neste ano de 2011, a Sociedade Brasileira de Patologia Clnica/Medicina Laboratorial decidiu que tempo de aumentar sua participao no desenvolvimento da Tecnologia de Informao (TI) em Medicina Laboratorial em nosso pas. Esta deciso leva em conta no apenas a importncia da TI nos laboratrios clnicos, mas tambm a crescente importncia da TI na nossa sociedade como um todo. Assim, foi criado o Comit de TI em Medicina Laboratorial da SBPC/ML, com a participao de interessados no assunto que representam toda a cadeia produtiva. Logo aps sua criao, estabeleceu-se o interesse de definir reas de consenso e tambm de temas que exigiro intenso debate, at atingirmos maturidade coletiva sobre nosso posicionamento oficial. Optou-se por documentar, inicialmente, alguns dos pontos de maior concordncia entre os participantes, com a elaborao dos documentos feita por integrantes da indstria de TI e membros da SBPC/ML, seguida de uma rodada de comentrios e discusso aberta entre todos os membros do Comit de TI para, ento, publicarmos o resultado final que espelha, na medida do possvel, o consenso do grupo. Este trabalho o primeiro fruto do Comit de TI da SBPC/ML. Esperamos que esta iniciativa frutifique ainda mais e que sejam frutos proveitosos para a nossa comunidade laboratorial como um todo: no apenas para o profissional de TI, mas para todos que se interessam por laboratrios clnicos. Procuramos fazer com que os documentos fossem escritos com linguagem de fcil acesso a todos interessados, mas com novidades e conceitos descritos para aqueles que militam h anos na rea de TI em Medicina Laboratorial acharem o material proveitoso. Aproveito para agradecer a todos os membros do Comit de TI da SBPC/ML e aos autores destes documentos pela sua participao ativa, assim como s empresas patrocinadoras, sem as quais os documentos no poderiam ser realizados, e Diretoria da SBPC/ML pelo incentivo e determinao em tomar esta iniciativa. Esperamos que aproveite a leitura e este documento enriquea ainda mais a sua prtica! Prof.Dr. Murilo Rezende Melo Presidente do Comit de TI em Medicina Laboratorial
Patrocinadores
Patrocinadores
Boas Prticas de Segurana e Sigilo em TI para Laboratrios Clnicos:

Como atender as normas nacionais e internacionais
Boas Prticas de Segurana e Sigilo em TI para Laboratrios Clnicos: Como atender as normas nacionais e internacionais
No restam dvidas que os sistemas eletrnicos agregam uma mirade de benefcios aos processos dos laboratrios clnicos, tais como organizao e otimizao, possibilidade de registros rastreveis, reduo de erros, velocidade na elaborao e fornecimento dos resultados, melhora na qualidade diagnstica, reduo de custos, dentre outros, auxiliando-o no cumprimento de sua misso dentro da cadeia de assistncia sade. Nos ltimos 20 anos, os sistemas de informao para laboratrios clnicos vm sofrendo inmeras transformaes. As primeiras aplicaes restringiam-se a duas atividades: emisso de laudos e faturamento. Normalmente, os sistemas eram restritos a salas de digitao de laudos e faturamento, os antigos CPD (Centros de Processamento de Dados). Com a evoluo, foram para as recepes dos laboratrios facilitando o atendimento aos pacientes. Hoje, esto integrados aos processos de todo o laboratrio, sendo uma ferramenta inerente a todos os processos, desde o atendimento, fluxo de amostras, processamento de exames etc. Ou seja, todo o processo de um laboratrio, desde pr-analtico, analtico e ps-analtico est intimamente ligado tecnologia da informao, que serve tambm como ferramenta de gesto, na medida em que produz indicadores que permitem monitorar a performance de cada processo, criando, assim, uma relao de interdependncia nica e vital necessidade de ambientes e sistemas de alta disponibilidade. Contudo, para o uso de tais sistemas no suporte do cuidado sade, uma srie de controles de segurana e privacidade devem estar implementados, no sentido de mitigar os riscos associados, e devem ser considerados como requisitos essenciais para a operao do negcio, de forma a garantir condies mnimas de privacidade e segurana do paciente, dos profissionais, das instituies e demais elementos participantes do processo. Esses fatores afetam desde a questo da intimidade e da honra pessoal, que so direitos constitucionais de todos os cidados brasileiros e estrangeiros residentes no Brasil, at questes de sade e risco de morte. Dentre tais requisitos bsicos pode-se citar a confidencialidade, a integridade, a auditabilidade, a autoria e a disponibilidade da informao e seus elementos de suporte. Falhas no atendimento desses requisitos podem incorrer no vazamento de resultados de exames a pessoas mal-intencionadas; adulterao de resultados; perda de informao; gerao de informao incorreta, com possvel comprometimento do estado de sade do paciente; degradao da imagem da empresa; perda de clientes; indevida responsabilizao e reparao de danos resultantes de processos judiciais. De uma forma geral, os controles podem ser classificados em duas categorias, sendo uma referente a processos e a outra referente tecnologia. Os controles de processo so intrinsecamente dependentes das pessoas e suas aes e comportamentos, e incluem a elaborao de polticas e processos, treinamentos e programas de conscientizao, a funo da pessoa dentro do laboratrio, relacionamento com os colaboradores, terceiros, fornecedores e usurios, a identificao e classificao dos ativos, o atendimento dos requisitos legais e de programas de certificao. Os controles de tecnologia envolvem componentes de infraestrutura de processamento, armazenamento, comunicao e segurana de dados, assim como os sistemas computacionais. Como exemplo, pode-se citar as estaes de trabalho e servidores, os elementos de rede cabeada e sem fio, os dispositivos de inspeo de dados e preveno a ataques cibernticos, os Sistemas de Informaes Laboratoriais (SIL) de atendimento aos pacientes e publicao de laudos dentre outros. Ateno especial se d a elementos no menos benficos, mas crticos do ponto de vista de segurana, como o uso de redes sem fio, de dispositivos mveis e de Internet.
Finalmente, assim como ocorre nas demais reas do laboratrio clnico, uma gesto adequada deve estar estabelecida, de forma a manter continuamente todos os controles de forma atualizada e operacional, sendo um processo de contnua evoluo e aperfeioamento. Esse documento apresenta uma viso geral do cenrio de TI no Brasil sobre a tica do sigilo e segurana e direciona o foco da segurana para a rea de laboratrios clnicos. O documento est organizado da seguinte forma. Na Seo 1 apresentado o cenrio de TI e alguns nmeros referentes a este cenrio no Brasil. A Seo 2 mostra alguns nmeros sobre a rea de sade no Brasil. A Seo 3 apresenta algumas normas sobre segurana de TI e sobre a rea de laboratrios clnicos. Na Seo 4 so mostrados os principais riscos relacionados segurana e sigilo de TI sob o contexto de laboratrios clnicos, estratgias para minimizao dos riscos e suas relaes com normas de segurana e da rea de laboratrios clnicos. Na Seo 5 so apresentadas algumas concluses sobre o assunto e, por fim, a Seo 6 informa as referncias bibliogrficas.
1.Cenrio de TI no Brasil sob a tica do sigilo e segurana

A informatizao no Brasil destaca-se por alguns nmeros expressivos. Como referncia, vale informar que, segundo o Censo Demogrfico de 2010, a populao brasileira de 195.755.799 habitantes (IBGE Instituto Brasileiro de Geografia e Estatstica). Uma primeira rea de referncia no uso da tecnologia pode ser encontrada no processo de votao eletrnica, implantado em 1996. Em 2010, com um eleitorado de mais de 153 milhes de cidados, foram utilizadas 456.000 urnas distribudas em 5.562 cidades, sendo que 60 usaram dispositivos biomtricos para identificao do eleitor. Com o sistema informatizado, o resultado da ltima votao presidencial foi divulgado s 20h04 do mesmo dia da votao (TSE Tribunal Superior Eleitoral). O sistema financeiro outro bom exemplo. Disponibiliza atualmente quase 175 mil terminais de autoatendimento espalhados por todo o pas, contabiliza mais de 226 milhes de cartes de dbito e de 175 milhes de cartes de crdito emitidos, e mais de 10 bilhes de transaes realizadas na Internet em 2010 (BC Banco Central do Brasil). Com relao telefonia celular, mais de 205 milhes de acessos foram emitidos (ANATEL Agncia Nacional de Telecomunicaes), superando a marca de uma unidade por cidado. No mbito da Internet, contabilizou-se mais de 81 milhes de internautas (F/Nasca Datafolha), sendo que diversas vezes esses usurios foram campees mundiais de tempo de navegao. Contudo, tambm existe o impacto, externado pela quantidade de ataques reportados (CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil), que apresentou grande queda de 2009 para 2010, mas surpreende apresentando, somente no primeiro trimestre de 2011, o volume de 63% do valor total de 2010, demonstrando um momento de ativo movimento de ataques. Tal panorama exibido na Figura 1 . Vale destacar a evoluo de um dado importante de 2006 para 2010, que contabiliza a origem dos ataques. Naquela poca, registrou-se que 24% originaram-se nos Estados Unidos, seguido do Brasil, com 21%. Agora, 46% dos ataques tm origem aqui mesmo, no pas, seguido pela China, com 14%. Isso reflete um aperfeioamento dos hackers no Brasil, contudo, importante salientar que os ataques podem originar-se de qualquer parte do mundo.
Total de Incidentes Reportados ao CERT.br por Ano

400000
Total de Incidentes
358343
320000
240000
197892
222528
160000
160080 142844
80000
54607 5997 2000 12301 2001 25092
75722
90759 68000
3107 1999
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
Ano ( 1999 a maro de 2011 )
Figura1: Incidentes reportados ao CERT.br por ano
2.rea da sade
Na rea de sade, o Brasil conta com um expressivo sistema pblico universal de atendimento, assim como uma no menos expressiva rede de atendimento privada e suplementar, atendida por meio das operadoras de planos de sade. Esse universo apresenta mais de 230.000 estabelecimentos de sade cadastrados, destes mais de 17.000 so unidades de apoio diagnose e terapia, nmero que inclui os laboratrios clnicos (CNES Cadastro Nacional de Estabelecimentos de Sade do Ministrio da Sade). Segundo o Cadastro Nacional de Estabelecimentos de Sade (CNES), existem cerca de 20 mil laboratrios clnicos no Brasil. Deste total, 30% so intra-hospitalares, atuando na prestao de servios ao SUS e, ao mesmo tempo, ao sistema de sade privado (Ministrio da Sade, 2011). A Pesquisa de Assistncia Mdico-Sanitria (AMS) 2009, realizada pelo IBGE e divulgada em novembro, apurou a existncia de 16.657 laboratrios de anlises clnicas no pas e 5.854 de anatomia patolgica/citologia (IBGE, 2010). Esses nmeros incluem laboratrios que esto em hospitais, clnicas e outros estabelecimentos de sade com ou sem internao. A AMS 2009 revela, tambm, quantos laboratrios prestam servios somente a particulares (incluindo planos de sade), quantos atendem pelo Sistema nico de Sade (SUS) e quantos tm os dois tipos de atendimento. Os dados se sobrepem porque muitos estabelecimentos enquadram-se em mais de uma dessas situaes (Tabela1). Tipo de laboratrio Pblico (SUS) Tipo de atendimento Privado Privado/SUS *Total
Anlises Clnicas Anatomia Patolgica

* Total = Pblico (SUS) + Privado
4917 1300
11740 4554
5468 1973
16657 5854
Tabela1: Laboratrios de anlises clnicas e anatomia patolgica/citologia no Brasil segundo tipo de atendimento
1596 1313 6488
Figura2: Laboratrios de anlises clnicas por regio geogrfica (IBGE Instituto Brasileiro de Geografia e Estatstica)
4548
2712
CO N NE S SE
De acordo com o Ministrio da Sade (2010), o nmero de exames laboratoriais realizados pelo SUS, para pacientes ambulatoriais, foi de 469.446.028. No mbito da sade suplementar, existem 1.618 operadoras cadastradas, incluindo tanto as de natureza mdico-hospitalar quanto exclusivamente odontolgicas, para um atendimento de mais de 45 milhes de beneficirios (ANS Agncia Nacional de Sade Suplementar, 2011), quase um quarto da populao nacional, o que demonstra tambm a importncia desse segmento no cenrio da sade no pas. Alguns marcos da informatizao da sade aconteceram em 1991, com a criao do Departamento de Informtica do Sistema nico de Sade (SUS); em 1996, a publicao da NOB-SUS 01/96 e as primeiras implementaes em 1999 (Levy). Em 2004, com a publicao, pelo Ministrio da Sade, da Poltica Nacional de Informatizao e Informtica em Sade - PNIIS e, em 2005, do padro de Troca de Informao na Sade Suplementar, o TISS, pela Agncia Nacional de Sade Suplementar, e mais recentemente com a publicao da nova portaria referente ao Carto Nacional de Sade, pelo Ministrio da Sade (Ministrio da Sade, 2011). A operacionalizao desse complexo sistema de sade muito amparada pela tecnologia, principalmente para o processamento e transmisso de dados. Contudo, infelizmente, o setor no apresenta indicadores precisos sobre grau de informatizao das suas instituies. Existe um sentimento de que a maioria dos laboratrios clnicos utiliza algum tipo de informatizao em seus processos, mas ainda poucos desses sistemas de informao foram certificados por processos de qualidade. O mesmo se aplica rea hospitalar, que demonstra uma forte expanso do uso da informtica, dos tradicionais sistemas administrativos, para as mais recentes aplicaes na rea clnica.
3.Normas de segurana e sigilo em TI

A questo da segurana e sigilo da informao considerada por algumas normas e institutos nacionais e internacionais. No contexto da segurana da informao para ambientes de laboratrios clnicos, os principais processos esto apresentados a seguir. ISO e ABNT A International Organization for Standadization (ISO) a maior e a principal instituio internacional de desenvolvimento de normas, que contempla a participao de representantes de 162 pases. A Associao Brasileira de Normas Tcnicas (ABNT) o rgo responsvel pela normatizao tcnica no Brasil e a representante oficial da ISO no Brasil.
A ISO responsvel pela publicao da principal referncia em segurana da informao mundial, desenvolvido pelo Joint Technical Committee 1 Sub-Committee 27 (Information Technology Security techniques), que a norma ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management, publicada no Brasil pela ABNT como NBR ISO/IEC 27002:2005 Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a gesto de segurana da informao. O Technical Committee 215 (Health informatics) publicou uma personalizao desta norma para a rea de sade, que a ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002, a qual est em processo de traduo pela ABNT. O Brasil marcou sua participao na ISO propondo e contribuindo com uma norma internacional para certificao de segurana em sistemas de sade, a ISO 14441 Health Informatics Security and privacy requirements of EHR Systems for use in conformity assessment, que est atualmente em sistemas de sade, a ISO 14441 Health Informatics Security and privacy requirements of EHR Systems for use in conformity assessment, que est atualmente em desenvolvimento, com perspectiva de publicao em 2012. Este trabalho considera, quando menciona a ISO e a ABNT, exatamente esse conjunto de normas. SBIS A Sociedade Brasileira de Informtica em Sade (SBIS) tem como objetivo promover o desenvolvimento de todos os aspectos da Tecnologia da Informao aplicada Sade. responsvel por diversos eventos de informtica em sade no Brasil, tanto com propsito acadmico quanto de tecnologia. Em convnio com o Conselho Federal de Medicina CFM, a SBIS desenvolveu o processo de Certificao de Sistemas de Registro Eletrnico em Sade (S-RES). Estabelecido em 2002, com a publicao do manual com requisitos de segurana e funcionalidade, os desenvolvedores de sistemas conformes com os requisitos formalmente se autodeclaravam em conformidade. Em 2007, o processo foi referenciado pela Resoluo 1821, do CFM, que indicou a possibilidade do uso de sistemas eletrnicos em sade, em especial sem o suporte em papel, desde que em conformidade com o manual de certificao da SBIS. A partir de ento, a fase de autodeclarao foi encerrada, iniciando-se o processo de auditoria dos sistemas por especialistas da SBIS. Desde ento, seis sistemas foram certificados, compreendendo os de maior uso no pas. Observa-se um grande movimento de adoo de sistemas eletrnicos da rea de sade, especificamente para uso clnico, alm da tradicional utilizao nas reas administrativa e financeira. Consequentemente, a interconexo entre sistemas laboratoriais e sistemas hospitalares tem se tornado cada vez mais comum, evidenciando a necessidade da padronizao desta interoperabilidade. Seguindo essa tendncia tambm est a dispensa do uso do papel, e, para isso, o uso de certificados digitais ICP-Brasil para a gerao de assinaturas digitais, em conformidade com o especificado no manual da SBIS. Os primeiros sistemas a utilizar assinaturas digitais com sistemas certificados iniciaram em 2010, sendo que os primeiros resultados esto efetivamente sendo percebidos nesse momento, como uma melhor adeso aos protocolos, maior agilidade e confiabilidade nos processos, economia financeira referente a no utilizao do papel e impressoras, entre outros. A SBIS est comprometida com a evoluo desse processo, incluindo as especificidades da rea de laboratrios, devendo publicar, em 2011, uma nova verso do manual, mantendo dilogos com diversos Conselhos Federais de profisses de sade, assim como com o Ministrio da Sade, a Agncia Nacional de Sade Suplementar (ANS) e a Agncia Nacional de Vigilncia Sanitria (ANVISA). Tambm colabora com a ABNT e ISO na elaborao da ISO 14441, previamente mencionada.
CAP O Colgio Americano de Patologistas (CAP) uma organizao americana de patologistas credenciados que atende pacientes, patologistas e o pblico, promovendo e defendendo a excelncia na prtica da patologia e medicina laboratorial (CAP Colgio Americano de Patologistas). O CAP possui um programa de acreditao chamado CAP Laboratory Accreditation Program, . reconhecido internacionalmente e ajuda os laboratrios a atingir excelncia no atendimento aos pacientes. Existem atualmente mais de seis mil laboratrios acreditados ao redor do mundo. O CAP Laboratory Accreditation Program baseado em padres de credenciamento rigorosos, que atendem a uma grande variedade de configuraes de laboratrios, que vo de consultrios mdicos at complexos centros mdicos. O programa tambm abrange uma gama completa de disciplinas e procedimentos de testes. PALC O Programa de Acreditao de Laboratrios Clnicos (PALC) da Sociedade Brasileira de Patologia Clnica/Medicina Laboratorial (SBPC/ML) foi lanado em 1998 e se mantm atualizado de acordo com as tendncias internacionais e cientficas da rea. O Programa de cunho educativo e constitudo por requisitos relacionados a todas as fases do processo laboratorial, alm de organizao e infraestrutura e um captulo especfico sobre o Sistema de Gesto das Informaes Laboratoriais (SIL).
4. Segurana e sigilo em TI no contexto de laboratrios clnicos: principais riscos e estratgias para um ambiente seguro
A informatizao dos laboratrios clnicos fundamental para a otimizao dos servios de sade prestados, no entanto, preciso garantir que este processo seja feito de forma segura. Para isso, imprescindvel que sejam identificadas as ameaas existentes para o ambiente informatizado que se deseja proteger e, com base nelas, que se defina procedimentos ou mecanismos de segurana que eliminem as ameaas, que minimizem os riscos dessas ameaas tornarem-se reais, que limitem os danos causados ou que permitam que o ambiente se recupere com a maior eficincia possvel, mantendo-o em condies mnimas de operao. O resultado desse processo uma Poltica da Segurana. A Figura 3 ilustra um exemplo de um mecanismo de anlise de riscos detalhado. Segundo Cludia Dias (2000), uma Poltica da Segurana deve estabelecer princpios institucionais de como a organizao ir proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informaes por ele manipuladas. A poltica tambm deve estabelecer as responsabilidades das funes relacionadas com a segurana e discriminar as principais ameaas, riscos e impactos envolvidos (Dias, 2000). Considerando um ambiente informatizado no contexto de laboratrios clnicos, as principais ameaas esto relacionadas aos seguintes servios de segurana: Confidencialidade (leitura no autorizada), Disponibilidade (disponibilizao dos dados para os usurios autorizados) e Integridade (validade e consistncia dos dados). Ampliando o escopo do ambiente para contemplar a transmisso de informaes clnicas por meios eletrnicos, deve-se considerar tambm a Autenticidade (identificao de quem solicita os dados e de quem fornece os dados) das entidades envolvidas na transmisso dos dados e mecanismos que no permitam que estas entidades possam negar seu envolvimento na transmisso (No Repdio) (Beal, 2008). Para atingir os objetivos deste documento, foram identificadas as ameaas inerentes ao ambiente de um laboratrio clnico e estas foram categorizadas de acordo com sua origem (Infraestrutura de TI e Sistemas/Processos em Laboratrios Clnicos). As ameaas foram complementadas com informaes que tentam responder os seguintes questionamentos:
Anlise de Risco detalhada
Identificar ativos de informao ( informao a ser protegida )
Avaliar os valores dos ativos de informao e estabeler dependncias entre ativos
Avaliar ameaas
Avaliar vulnerabilidade
Identificar mecanismos para reduzir as vulnerabilidades
Avaliar riscos Identificar e revisar limitaes
Selecionar mecanismos
Aceitar riscos No Sim Poltica de Segurana de sistema de TI
Plano de segurana da TI
Baseado na ISO 13335-3
Figura3: Anlise detalhada de riscos relativos segurana
A quais servios de segurana a ameaa est relacionada? O que pode ser ? feito para tentar minimizar os riscos de elas ocorrerem ou seus impactos? O que as principais normas de segurana e sigilo relacionados segurana de TI ou laboratrios clnicos ? dizem a respeito? Infraestrutura de TI A infraestrutura de TI corresponde a plataformas de hardware, de telecomunicaes, das redes Lan (local area network) e Wan (wide area network), s instalaes fsicas e s pessoas, necessrias para exercerem os papis e responsabilidades relativas a TI. Ela composta por elementos de processamento, armazenamento, comunicao e segurana que, junto com os softwares propiciam servios de TI (que podem ou no estar relacionados a servios de segurana). Tais servios podem representar uma ameaa segurana do ambiente informatizado, j que por eles trafegam informaes (sensveis ou no) dos laboratrios clnicos. Quando se olha sob a perspectiva de infraestrutura, as ameaas e riscos segurana independem da rea de atuao da empresa. Isso significa que qualquer empresa deve se preocupar com este tipo de ameaa. A seguir so apresentadas algumas das ameaas mais comuns a ambientes informatizados.
Ameaas relacionadas confidencialidade Confidencialidade o dever de resguardar todas as informaes que dizem respeito a uma pessoa, isto , a sua privacidade. A confidencialidade o dever que inclui a preservao das informaes privadas e ntimas (Beal, 2008). Como garantir que os acessos aos dados que esto armazenados ou que trafegam na infraestrutura de TI do laboratrio so de acesso restrito e controlado? Quando se pensa em ameaas confiabilidade de um ambiente de TI, a primeira lembrana que vem a mente relacionada a ataques de hackers. No entanto, a estrutura fsica de TI de qualquer empresa pode ser objeto de diferentes acessos indevidos, incluindo-se, alm dos hackers, acessos internos de funcionrios, fornecedores, dentre outros. Como controlar o acesso fsico e lgico aos equipamentos e dados da rede? Muitos dos problemas de confiabilidade nas empresas ocorrem por falta de polticas de segurana que definam como o acesso aos recursos de rede deve ser controlado. O controle de acesso deve abranger o controle fsico (restrio de acesso a reas internas do laboratrio) e o controle lgico (restrio de acesso aos recursos de rede servidores, e-mails, arquivos utilizados pelo laboratrio). O controle de acesso fsico pode ser implantado por meio de portas, trancas, cmeras, utilizao de crachs que permitam a identificao visual de funcionrios e visitantes, dispositivos de biometria, dentre outros. Um bom exemplo de utilizao desse tipo de controle restringir o acesso s salas onde os servidores do laboratrio esto alocados, utilizando-se trancas ou outro tipo de mecanismo de bloqueio. O controle de acesso lgico pode ser implantado por meio de processos de autenticao, como logon na rede, polticas de trocas peridicas de senhas, perfis de acessos, permisses especiais em diretrios e arquivos, desabilitao de portas USB, dentre outros. Os sistemas operacionais disponveis atualmente no mercado j possuem mecanismos que permitem este tipo de controle. A utilizao desses mecanismos extremamente importante pois, caso uma pessoa consiga acessar fisicamente um computador que esteja em sua rede interna, se ele no for detentor de uma senha que lhe permita fazer o logon na rede, e assim ter acesso privilegiado, ele no conseguir causar muitos danos. Como controlar o acesso aos dados que trafegam na rede interna do laboratrio? Os ataques podem ser classificados como passivos e ativos. Os passivos so aqueles que no interferem no contedo do recurso que foi atacado (exemplo: observao e conhecimento de informaes armazenadas). Os ataques ativos prejudicam diretamente o contedo do recurso atacado, modificando ou eliminando informaes ou gerando informaes falsas. importante salientar que os ataques, passivos ou ativos, podem ser realizados por hackers ou, de forma mais danosa e frequente, por funcionrios ou ex-funcionrios da empresa. A definio dos impactos que um ataque pode causar reputao do laboratrio muito difcil de medir, portanto, o mais adequado tentar evitar que eles ocorram. Para proteger-se de ataques que violem a confidencialidade das informaes dos laboratrios, os administradores de rede podem: Definir e proteger os limites da rede interna, visando evitar que pessoas sem autorizao ? acessem qualquer recurso desta rede. Este tipo de proteo pode ser oferecido por meio de
firewalls e/ou por meio de combinaes de equipamentos de rede que ajudem nesta tarefa. Utilizar ferramentas de deteco de intruso, conhecidas como Ferramentas de IDS (Intru? sion Detection System). Estas ferramentas avaliam o trfego na rede e enviam alertas ao administrador da rede quando detectam algo suspeito. Definir e utilizar uma arquitetura de rede que combine as diversas ferramentas de rede (fi? rewalls, switches, hubs, IDS, outros) e reforcem o monitoramento dos limites internos e externos das redes e o respectivo trfego de informaes que ocorrem nela. A DMZ um exemplo de arquitetura de rede. Possuir um processo recorrente de anlise de vulnerabilidades, na qual especialistas, tam? bm chamados de hackers do bem, realizam ataques controlados ao ambiente. Esse tipo de ao tambm conhecido por hacker tico ou penetration test (pentest). Utilizar aplicativos que tenham sido desenvolvidos e que sejam atualizados com as melho? res prticas em programao segura. Utilizar aplicativos de antivrus nas estaes, assim como nos servidores, em especial nos de ? correio eletrnico. Aplicar frequentemente as atualizaes dos aplicativos, sistemas operacionais, navegado? res e antivrus. Orientar os usurios para que no executem arquivos desconhecidos, que possam atuar co? mo um cavalo-de-tria ou trojan, ou seja, um aplicativo na mquina local que capturar e enviar para pessoas no autorizadas dados de interesse. O que as normas dizem a respeito de confidencialidade? CAP Colgio Americano de Patologistas O CAP exige que o diretor do laboratrio julgue se o sistema da empresa confivel e se est adequado para atender s necessidades de assistncia aos pacientes. Quando o laboratrio usa rede pblica (por exemplo: Internet) como meio de transmisso de dados, ele deve utilizar mecanismos que assegurem que os dados transmitidos nesta rede estejam protegidos de leitura no autorizada durante a transmisso. PALC - Programa de Acreditao de Laboratrios Clnicos da SBPC/ML atribuda ao diretor do laboratrio a garantia e responsabilidade pela preciso dos clculos realizados pelo sistema do laboratrio, assim como pelos dados relacionados ao paciente. A confidencialidade e preservao dos registros tambm responsabilidade da direo. Entre os requisitos exigidos pelo PALC encontra-se a existncia de procedimentos de realizao de backups seguros e rastreveis por pessoas autorizadas. Tambm exigido um sistema de segurana que ajudem a garantir que as informaes e dados compartilhados na Internet estejam protegidos por firewall, alm da proteo interna com programas antivrus. __________________________________________________________ DMZ (De-Militarized Zone): conhecida como Zona Desmilitarizada, a DMZ permite proteger um computador ou segmento de rede que fica entre uma rede interna e uma rede externa no confivel (exemplo: Internet). A DMZ atua como intermediria tanto para o trfego de entrada quanto de sada (Beal, 2008)
Ameaas relacionadas disponibilidade Um sistema de alta disponibilidade resistente a falhas de software ou de elementos relacionados ao seu funcionamento, e que est disponvel o mximo de tempo possvel. Como garantir que os dados do laboratrio esto disponveis diante de falhas de servidores e/ou rede? Falhas de hardware e software em servidores podem incorrer na perda de dados crticos. Mecanismos de backup de dados e de arquivos de configurao de equipamentos de rede, polticas de substituio de elementos de rede, dentre outros mecanismos so formas eficientes de manter os dados disponveis. Como garantir a disponibilidade das informaes do laboratrio em caso de falha de servidores? Existem diversos mecanismos que aumentam a disponibilidade de servidores e dos dados por ele disponibilizados. Dentre esses mecanismos, destacam-se: Espelhamento de Servidores (neste, existem servidores configurados com os mesmos servios Servidor Principal e Servidor Espelho permitindo que, em caso de falha do Servidor Principal, o Servidor Espelho assuma as tarefas de forma rpida, tornando os servios disponveis em um espao curto de tempo); Espelhamento de Dados (neste mecanismo existem servidores de dados configurados para assumirem o papel de Servidor Principal e Servidor Espelho, permitindo que, em caso de falha do Servidor Principal, o Servidor Espelho assuma o papel do Servidor Principal, propiciando alta disponibilidade dos dados); Storage (mecanismo que propicia alta capacidade de armazenamento e alta velocidade de acesso aos dados armazenados). Como garantir a disponibilidade das informaes do laboratrio em caso de falha de elementos de rede (switches, roteadores, firewalls e outros)? Falhas em elementos de infraestrutura podem tornar indisponveis os recursos de rede do laboratrio, portanto, importante ter procedimentos de backup dos softwares e arquivos de configurao tambm desses dispositivos. A atualizao dos softwares contidos nesses dispositivos e as recomendaes dos fabricantes tambm so importantes e podem evitar transtornos desnecessrios. Os elementos de infraestrutura tambm podem sofrer danos fsicos. Neste caso, importante que exista uma poltica de substituio desses equipamentos e que existam procedimentos que agilizem a configurao do equipamento substituto. Um exemplo de uma situao que poderia comprometer a disponibilidade envolvendo danos fsicos a equipamentos seria imaginar que um roteador foi danificado e substitudo por outro idntico. A substituio fsica pode ser feita em minutos, porm, como fica a configurao do equipamento? Quanto tempo a equipe de TI levar para deix-lo operando satisfatoriamente? Nesses casos, a realizao de backup de arquivos de configurao bastante til. Controle e armazenamento de backup A realizao de backup dos dados do laboratrio uma maneira eficiente de se garantir que os dados esto disponveis. No entanto, os seguintes pontos precisam receber uma ateno especial: os dados armazenados no backup podem no estar ntegros e impedir a restaurao em caso de necessidade; o backup pode no ser realizado adequadamente; as mdias de armazenamento podem no ser adequadas ou no terem mais condies de armazenar, dentre outros. Para que o controle e armazenamento de backup sejam eficientes, deve-se ter foco nos seguintes procedimentos: Realizao de ? backup dos dados da empresa em pelo menos dois tipos de mdias diferentes (exem-
plo: disco e fita), e em pelo menos dois perodos de tempos predeterminados (dirio, semanal, mensal, trimestral ou anual). Existem vrias ? plataformas de backup no mercado hardware e software. O laboratrio deve optar por uma soluo e a equipe de TI precisa se especializar na sua utilizao. Execuo peridica de rotinas de restaurao de dados (parcial, incremental ou total) de pastas ? de arquivos, contas de e-mail, tabelas de banco de dados e outros. A periodicidade deve ser estabelecida de acordo com o volume de dados e negcio. No contexto de laboratrios, preciso considerar os horrios de atendimento e o volume de dados gerados. Backup em fita ? DAT ou LTO devem ser mantidos em ambiente seguro e apropriado, fora dos domnios da empresa. preciso verificar a integridade dos dispositivos e fitas envolvidos no backup e seguir a recomendao do fabricante com relao ao numero de cpias seguras que podem ser sobrescritas. Por fim, deve-se ter cuidado especial no manuseio e transporte das partes mveis. Realizao de ? auditorias formais sobre os procedimentos de backup, visando garantir que todos esses procedimentos estejam ocorrendo adequadamente e conforme definido pelo laboratrio. Ateno para ? os controles de segurana com relao ao sigilo das informaes nos ambientes de backup e recuperao de todos os dados de controle de segurana em caso de restaurao do backup. Cabeamento O projeto de instalao de um ambiente informatizado deve ser desenvolvido e instalado segundo orientaes explcitas sobre cabeamento estruturado. Em resumo, a disciplina de Cabeamento Estruturado estuda a disposio organizada e padronizada de conectores e meios de transmisso para redes de informtica, tornando a infraestrutura de cabos independente do tipo de aplicao. No Brasil, existe a norma NBR 14565 que define padres sobre cabeamento estruturado. A norma ANSI/TIA/EIA-568-B (no brasileira) tambm especifica padres sobre o tema. Muitas empresas iniciam a instalao do ambiente informatizado de acordo com as boas prticas previstas. No entanto, com o crescimento do ambiente, a estruturao inicial vai se perdendo ao longo do tempo. O ideal que o laboratrio faa um projeto de cabeamento estruturado e realize sua certificao e inspeo peridicas. O que as normas dizem a respeito de disponibilidade? CAP Colgio Americano de Patologistas O CAP exige que seja demonstrado que o ambiente em que se encontra o LIS (incluindo-se equipamentos de infraestrutura envolvidos) adequado, monitorado permanentemente, bem mantido e ventilado. Alm disso, exige-se segurana de acesso aos ambientes e a existncia de extintores. Ainda sobre segurana por meio de mecanismos fsicos, esta norma exige que o cabeamento esteja adequadamente fixado com presilhas e protegido da rea de circulao e que o sistema seja protegido contra interrupes de energia eltrica e oscilaes de corrente eltrica. Em relao a procedimentos de backup, o CAP exige que existam procedimentos para a realizao peridica de backup e que estejam preparados para emitir alertas de erro, quando estes ocorrerem. Devem existir, tambm, procedimentos de verificao da integridade do sistema armazenado em backup (sistema opeTecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011
racional, aplicativos e bancos de dados), atravs de restaurao de arquivos de dados mantidos em backup. ISO e ABNT Nas normas, a questo da disponibilidade considerada no nvel do negcio, para garantir a sua continua operao. Assim, alm dos controles voltados tecnologia, como a necessidade de backup e de um planejamento de capacidade dos recursos, so consideradas as preocupaes com a dependncia em pessoas, fornecedores, instalaes fsicas e outros elementos. A norma traz reflexo um captulo exclusivo sobre a continuidade do negcio, cujo objetivo definir um plano de ao para casos de interrupes, falhas e desastres que afetem os sistemas de informao. Processo de certificao de software SBIS O manual da SBIS possui um captulo dedicado questo da disponibilidade do S-RES, no qual indica a necessidade de haver ferramentas que realizem a cpia de segurana (backup), de se exportar os atributos de segurana com os dados, do controle de acesso para a realizao da atividade de backup e restaurao, assim como da verificao da integridade das informaes no momento da restaurao. Ameaas relacionadas integridade Integridade de dados o termo usado para indicar que os mesmos no podem sofrer modificaes no autorizadas. Tais modificaes, quando no planejadas, podem gerar informaes incorretas e comprometer a integridade de todo o sistema. Como garantir que os dados armazenados em backup esto ntegros? Procedimentos de verificao de backup Os mecanismos de backup precisam ser sistematicamente verificados com o intuito de saber se no esto sendo armazenados dados no ntegros. Portanto, importante que ocorra a execuo peridica de rotinas de restaurao de dados de backup (parcial, incremental ou total) de pastas de arquivos, contas de e-mail, tabelas de banco de dados e outros. A periodicidade de restaurao pode variar em decorrncia do tipo e importncia do dado armazenado e deve ocorrer de forma sistemtica. Neste ponto, importante a realizao de auditorias que garantam que tais procedimentos so executados. O que as normas dizem a respeito de integridade? CAP Colgio Americano de Patologistas O CAP exige que existam procedimentos para a realizao peridica de backup. Estes devem estar preparados para emitir alertas de erro, quando ocorrerem. Devem existir, tambm, procedimentos de verificao da integridade do sistema armazenado em backup (sistema operacional, aplicativos e bancos de dados) atravs de restaurao de arquivos de dados mantidos em backup. ISO e ABNT Nas normas, a questo da disponibilidade considerada no nvel do negcio, para garantir a sua continua operao. Assim, alm dos controles voltados tecnologia, como a necessidade de backup e de um planejamento de capacidade dos recursos, so consideradas as preocupaes com a dependncia em pessoas, fornecedores, instalaes fsicas e outros elementos. A norma traz reflexo um captulo exclusivo sobre a continuidade de negcios, cujo objetivo definir um plano de ao para casos de interrupes, falhas e desastres que afetem os sistemas de informao.
etivo definir um plano de ao para casos de interrupes, falhas e desastres que afetem os sistemas de informao. Processo de certificao de software SBIS O manual da SBIS possui um captulo dedicado questo da disponibilidade do S-RES, no qual indica a necessidade de haver ferramentas que realizem a cpia de segurana (backup), de se exportar os atributos de segurana com os dados, do controle de acesso para a realizao da atividade de backup e restaurao, assim como da verificao da integridade das informaes no momento da restaurao. Sistemas de informao e processos em laboratrios clnicos No fcil justificar o investimento em segurana em qualquer empresa. O oramento de TI geralmente apertado e, na grande maioria dos casos, a segurana vinculada rea de TI. No entanto, a segurana no se restringe a isso. Ela pode ser abordada com diferentes enfoques: infraestrutura, sistemas, bancos de dados, criptografia das informaes, firewalls. evidente que a tecnologia auxilia a garantir a privacidade das informaes. No entanto, esta responsabilidade no pode ser atribuda exclusivamente tecnologia. O processo laboratorial to (ou mais) importante quanto a tecnologia e preciso dar uma ateno especial a esta necessidade. Diferentemente da perspectiva de infraestrutura, a viso sob a perspectiva dos processos que ocorrem em um ambiente de laboratrio clnico bastante especfica e quase que restrita rea laboratorial. O ambiente de um laboratrio tem necessidades de sistema e de processos quase que exclusivos e, portanto, as ameaas relacionadas a esses aspectos nesse ambiente so bastante especficas e precisam de uma ateno especial. A seguir, esto apresentadas algumas das ameaas mais comuns a ambientes informatizados. Ameaas relacionadas confidencialidade Como garantir que os dados do paciente esto corretos e protegidos contra acesso no autorizado (leitura ou alterao) durante e aps o processo laboratorial? Durante um processo laboratorial, existem muitos riscos envolvidos desde o atendimento do paciente, passando pela coleta, triagem e processamento da material at a disponibilizao dos resultados. Identificao do paciente antes, durante e aps a coleta de material Durante o processo laboratorial, os colaboradores do laboratrio precisam estar atentos identificao do paciente, desde o momento de cadastro ou identificao no sistema at a coleta do material. H mecanismos que garantam que a pessoa que est fazendo um exame realmente quem ela diz ser? Muitos problemas podem ocorrer nesse processo e alguns procedimentos podem ser teis para evitar erros: Os sistemas ?laboratoriais devem permitir o cadastramento de dados como CPF, RG, telefone, cdigo de barras. Estes dados facilitam a identificao do paciente e evitam erros futuros de identificao. Uso da biometria para identificao dos pacientes, desde o incio do atendimento, passando ? pela coleta, at a entrega do resultado. Confidencialidade das informaes produzidas pelo laboratrio As informaes geradas pelos laboratrios clnicos so bastante sensveis e altamente confidenciais.
Portanto, os laboratrios devem prover mecanismos que assegurem que as informaes sero acessadas somente por pessoas com autorizao. Os mecanismos devem assegurar confidencialidade via sistema e via documentos impressos. Problemas relacionados a este assunto remetem disponibilizao de resultados a terceiros. Neste caso, o laboratrio deve registrar o consentimento do paciente permitindo a entrega dos resultados a terceiros. Uma soluo complementar poderia ser a identificao visual nos resultados de exames (ou nos sistemas laboratoriais), indicando que eles foram disponibilizados a terceiros. Outro aspecto importante sobre a conduta dos funcionrios do laboratrio. Para isso, deve haver uma poltica que define qual a conduta esperada dos funcionrios e quais as punies e consequncias previstas em casos de desvio de conduta. A poltica deve ser amplamente divulgada, assegurando que no haja alegao de falta de conhecimento de sua existncia. A assinatura de contratos de confidencialidade pode ser utilizada. Outra prtica adequada solicitar consentimento do paciente para disponibilizao ou no de senha de acesso a resultados, envio por e-mail, correio ou qualquer outro meio que embora no garanta a confidencialidade, respeita a vontade do paciente. O que as normas dizem a respeito de confidencialidade? ISO e ABNT Do ponto de vista de processos, pode-se citar a poltica de mesa limpa, a fim de que informaes confidenciais no sejam deixadas expostas; cuidado nas conversas em reas comuns, como elevadores, corredores e restaurantes; proteo visual de monitores e no momento de digitao de senhas; e aes corporativas, como realizar um levantamento de antecedentes para profissionais que tero acesso a informaes crticas, elaborar contratos de confidencialidade, divulgar a responsabilizao por infraes, promover campanhas de conscientizao, classificar as informaes de acordo com sua criticidade. Do ponto de vista de controles tcnicos, a norma sinaliza a necessidade de definio dos controles e gesto do acesso informao, incluindo as polticas de acesso, o gerenciamento dos usurios e seus mtodos de acesso, como senha, aplicados aos aplicativos, ao sistema operacional e rede; e as questes de uso de criptografia para transporte e armazenamento dos dados. Processo de certificao de software SBIS O manual de certificao para sistemas de registro eletrnico em sade da Sociedade Brasileira de Informtica em Sade (SBIS) possui, em seus requisitos de segurana, especificaes voltadas a como os sistemas devem promover a confidencialidade da informao. Os captulos mais pertinentes a esse assunto tratam da identificao e autenticao de usurio, que exige a presena de ferramentas de controle de acesso e algumas caractersticas mnimas; o controle da sesso de usurio, que contempla a questo do encerramento da sesso e os controles para se evitar o roubo de sesso remota; a autorizao e o controle de acesso, que contempla a definio de grupos e papis de usurios e administradores; a comunicao remota, que trata os diversos tipos de comunicao entre os componentes do sistema, como entre o terminal de acesso e o servidor de aplicao, ou do servidor de aplicao ao servidor de base de dados; a segurana de dados, que trata da forma de acesso ao dado, da impossibilidade de alteraes e excluses de informao, das situaes para exportao de dados. Ameaas relacionadas integridade Como garantir que os dados disponibilizados pelos laboratrios clnicos por meios eletrnicos
(incluindo-se Internet e comunicaes de rede), impressos ou por meio de troca de informaes entre equipamentos de automao e o sistema laboratorial so confiveis? Na disponibilizao de informaes provenientes dos laboratrios clnicos preciso que existam mecanismos que garantam que os dados esto ntegros e corretos e que as informaes referem-se ao paciente correto. O resultado pertence ao paciente? H consenso de que os resultados dos exames so propriedade dos pacientes. A garantia de que os dados so autnticos uma busca constante e precisa ocorrer em todos os processos do laboratrio. O cadastro do paciente na recepo deve ser acompanhado de algum documento seu de identificao e confirmado durante a coleta. Com o uso de tubo primrio, possvel garantir que a amostra biolgica (matria-prima do exame laboratorial) pertence ao paciente cadastrado. Manutenes em bancos de dados (por exemplo: correes de nome aps a coleta) devem ser rastreados por meio de log de alteraes, garantindo rastreabilidade durante toda a vida do dado dentro do laboratrio. Comunicao entre equipamentos de automao e sistemas laboratoriais A troca de informaes entre sistemas (B2B) e entre sistemas e equipamentos laboratoriais uma prtica cada vez mais comum. Mecanismos de garantia desses processos so fundamentais para garantia da autenticidade dos dados. O processo de homologao de ativao dessas atividades deve ser rigoroso e evidenciado atravs de documentos e registros. Adulterao de resultados de exames A adulterao de resultados de exames de pacientes uma ameaa e pode ocorrer em todos os tipos de mdias. Muitas vezes, pensa-se somente no resultado pela Internet, que um meio eletrnico e pode ser mais facilmente alterado. No entanto, o resultado via papel tambm pode ser objeto de adulterao (por exemplo: por fotocpias). Deve haver mecanismos de controle de alteraes de dados e tambm de rastreabilidade dessas alteraes. Uma atual discusso como o paciente pode realizar a validao da integridade sobre o documento eletrnico. Naturalmente, so necessrias ferramentas para este fim e, assim, certa habilidade por parte dos usurios. Outra questo em aberto a verificao da integridade de um documento impresso. Isso se torna necessrio quando, mesmo que o original seja um documento eletrnico, uma cpia impressa fornecida ao paciente, ou gerada por ele, e que ser levada ao profissional de sade, que deve possuir alguma forma de validao. Em ambos os casos, a padronizao desses processos a chave para a maior compreenso, adeso e correta utilizao da tecnologia. Variaes bruscas de resultados de um mesmo paciente O acompanhamento de resultados anteriores do paciente e mecanismos de alerta sobre alteraes bruscas de resultados do paciente (delta-check) podem auxiliar no processo de integridade de dados, sugerindo investigao do processo e alertando possveis falhas na integridade dos dados. O que as normas dizem a respeito de integridade? ISO e ABNT Nas normas, a questo da integridade considerada no nvel do negcio, para garantir a sua continua
operao. Assim, alm dos controles voltados tecnologia, como a necessidade de backup e de um planejamento de capacidade dos recursos, so consideradas as preocupaes com a dependncia em pessoas, fornecedores, instalaes fsicas e outros elementos. A norma traz reflexo um captulo exclusivo sobre a continuidade de negcios, cujo objetivo definir um plano de ao para casos de interrupes, falhas e desastres que afetem os sistemas de informao. Processo de certificao de software SBIS O manual da SBIS possui um captulo dedicado questo da disponibilidade do S-RES, no qual indica a necessidade de haver ferramentas que realizem a cpia de segurana (backup), de se exportar os atributos de segurana com os dados, do controle de acesso para a realizao da atividade de backup e restaurao, assim como da verificao da integridade das informaes no momento da restaurao. Ameaas relacionadas autenticidade Como garantir que os envolvidos em um processo de comunicao entre computadores ou redes so realmente quem dizem ser? O contexto de autenticidade envolve no somente o processo de realizao de exames, mas tambm a transmisso de dados por meios eletrnicos. Em um processo de transmisso de dados, onde h comunicao entre redes ou computadores, preciso garantir a autenticidade de quem solicita a comunicao e tambm de quem fornece a comunicao. Em termos tcnicos, isso significa garantir a autenticidade de origem e de destino. Autenticao de usurios Garantir a autenticidade dos usurios que acessam os dados em um sistema laboratorial requer, alm de mecanismos de senha, polticas de atribuio de permisses e manuteno de senhas de acesso rede e aos sistemas. Recomenda-se a criao de uma poltica clara para a criao de novos usurios do sistema e tambm para cancelamento de senhas no caso de desligamentos de funcionrios. O que as normas dizem a respeito de autenticidade? ISO e ABNT As normas indicam a necessidade de validao da autenticidade, tanto quanto a integridade, nos processos de troca de informao com entidades externas e nas informaes e aplicativos que vem de fora da instituio. Menciona a assinatura digital como uma opo para prover a autenticidade. Processo de certificao de software SBIS O manual da SBIS trata a autenticidade em conjunto com o processo de autenticao. No caso voltado para a autenticao de usurios, o mecanismo mais simples o usurio e senha, sendo que a caracterstica de segurana baseada em uma informao que (somente) a pessoa autorizada conhece (a senha), e que no pode ser recuperada sem que a mesma esteja viva. Para um aprimoramento no nvel de segurana, pode-se usar um duplo fator para a autenticao. Este segundo fator pode ser materializado por meio de um equipamento que a pessoa autorizada possua no momento de sua identificao, como, por exemplo, um token one-time-password, que exibe um nmero que precisa ser digitado. A caracterstica de segurana, neste caso, que a pessoa autorizada possui algo exclusivo, que somente ela tem.
Outro segundo fator pode ser efetivado pelo uso da biometria, sendo digital, ris, ou veias. A caracterstica de segurana que utiliza algo que seja da pessoa. Um importante detalhe que deve ser considerado que o fator biometria pode no ser exclusivo, ou seja, outras pessoas podem possu-lo, como no caso de uma impresso digital, que pode ser deixada em um simples copo, por exemplo. Finalmente, a certificao digital outra opo. Em seu uso tradicional, o processo de emisso inclui alguma forma de identificao pessoal, que certificada por uma autoridade certificadora. No Brasil, existe um processo oficial de emisso de certificados, denominado ICP-Brasil, que exige a identificao presencial dos usurios perante agentes oficiais, e que equivale a um documento oficial de identificao eletrnica. Este mesmo dispositivo tambm pode ser utilizado para a gerao de assinaturas com equivalncia jurdica assinatura manuscrita (Presidncia da Repblica, 2011). Alm de usurios, sistemas e equipamentos devem se identificar nos processo de autenticao. Neste caso, um dos mtodos mais utilizados tambm a certificao digital. Nos casos em que no necessria uma identificao formal da entidade possuidora do sistema ou equipamento, utilizam-se certificados digitais fora da cadeia da ICP-Brasil. Nesta situao, a identificao mais confivel quanto confiana na autoridade certificadora emissora do certificado. Complementarmente identificao, o uso da certificao digital na comunicao entre sistemas pode prover a criptografia do canal e, assim, a confidencialidade da informao nesse processo. Ameaas relacionadas a no-repdio Como garantir que as operaes realizadas no laboratrio foram realizadas por pessoas com autorizao e, ainda, que estas pessoas no possam negar seu envolvimento nas operaes que executaram? Ao executar os processos laboratoriais, importante que as responsabilidades pela execuo das etapas estejam explicitamente definidas e que sejam controlada e, ainda, que as pessoas que executaram as etapas possam ser identificadas e responsabilizadas por possveis danos a pacientes ou ao laboratrio. Controle de acesso dos usurios ao sistema do laboratrio A poltica de hierarquizao de senhas controlada e respeitada? Cada grupo de usurios deve ter acesso a informaes pertinentes ao seu trabalho (e somente a elas). Por exemplo, uma faturista no precisa ter acesso aos resultados do paciente, embora tenha acesso a consulta de dados de guia. Esses nveis de acesso devem ser documentados, divulgados, e respeitados. Alm disso, de fundamental importncia um registro das atividades realizadas pelos usurios do sistema (log de operaes), mantendo, assim, possibilidade de auditoria no processo. O que as normas dizem a respeito de no-repdio? ISO e ABNT A norma indica que informaes e contratos firmados com entidades externas devem considerar o norepdio, principalmente quando firmados pela Internet. Processo de certificao de software SBIS O manual da SBIS trata o no-repdio por meio do uso da certificao digital, tanto para a questo da autenticao de sistemas e equipamentos, quanto de usurios. Em especial, quando a questo se aplica aos usurios, a questo tratada no conjunto de requisitos
destinados ao Nvel de Garantia de Segurana 2 (NGS2). O objetivo principal desses requisitos viabilizar a no utilizao do suporte em papel, de forma a manter as evidncias necessrias para a utilizao dos documentos e registros eletrnicos como provas jurdicas, o que consolidado pelo uso de certificados emitidos na cadeia de certificao ICP-Brasil . 5. Concluses O entendimento dos riscos relacionados aos sistemas de informao hoje existentes representa um desafio aos laboratrios clnicos. Acompanhar o surgimento de novas tecnologias, novos processos de trabalho e entender a aplicabilidade neste setor podem ser considerados fatores crticos de sucesso para uma utilizao de sistemas informatizados. Como a maioria dos servios laboratoriais fornecida por empresas terceirizadas, preciso contar com uma assessoria atualizada e que conhea os riscos presentes nos ambientes laboratoriais. Desta forma, podem-se criar procedimentos e mecanismos de segurana e sigilo mais adequados a rea laboratorial e, especialmente, ao laboratrio que utiliza tais procedimentos e mecanismos. 6. Referncias ANATEL Agncia Nacional de Telecomunicaes. (s.d.). Acesso em 2 de 7 de 2011, disponvel em ANATEL: http://www.anatel.gov.br ANS Agncia Nacional de Sade Suplementar. (3 de 2011). Caderno de Informao da Sade Suplementar. Acesso em 2 de 7 de 2011, disponvel em ANS Agncia Nacional de Sade Suplementar: http://www.ans.gov.br BC Banco Central do Brasil. (s.d.). Acesso em 2 de 7 de 2011, disponvel em BC Banco Central do Brasil: http://www.bc.gov.br Beal, A. (2008). Segurana da Informao: Princpios e Melhores Prticas para a Proteo dos Ativos de Informao nas Organizaes. So Paulo: Atlas. CAP Colgio Americano de Patologia. (s.d.). Acesso em 18 de 7 de 2011, disponvel em CAP Colgio Americano de Patologia: http://www.cap.org CERT.br - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. (s.d.). Acesso em 2 de 7 de 2011, disponvel em CERT.br: http://www.cert.br/stats/incidentes/ CNES Cadastro Nacional de Estabelecimentos de Sade do Ministrio da Sade. (s.d.). Acesso em 2 de 7 de 2011, disponvel em CNES Cadastro Nacional de Estabelecimentos de Sade do Ministrio da Sade: http://cnes.datasus.org.br Dias, C. (2000). Segurana e Auditoria da Tecnologia da Informao. Rio de Janeiro: Axcel Books. F/Nasca Datafolha. (s.d.). Acesso em 2 de 7 de 2011, disponvel em F/Nasca Datafolha: http://http://www.fnazca.com.br/index.php/2010/11/29/brasil-tem-813-milhoes-de-internautas-emacao/ IBGE Instituto Brasileiro de Geografia e Estatstica. (s.d.). Acesso em 2 de 7 de 2011, disponvel em IBGE: www.ibge.gov.br Levy, S. (s.d.). Acesso em 2 de 7 de 2011, disponvel em Carto Nacional de Sade: http://saudefloripa33pj.files.wordpress.com/2010/05/cartao-nacional-de-saude_15-anos-dehistoria.pdf Ministrio da Sade. (2011). CNES Cadastro Nacional de Estabelecimentos de Sade. Ministrio da Sade. (28 de 4 de 2011). Portaria Ministerial 940. Acesso em 18 de 7 de 2011, disponvel em http://bvsms.saude.gov.br/bvs/saudelegis/gm/2011/prt0940_28_04_2011.html Presidncia da Repblica. (24 de 8 de 2011). Acesso em 18 de 7 de 2011, disponvel em MEDIDA PROVISRIA No 2.200-2: http://www.planalto.gov.br/ccivil_03/mpv/Antigas_2001/2200-2.htm TSE Tribunal Superior Eleitoral. (s.d.). Acesso em 2 de 7 de 2011, disponvel em tse: http://www.tse.gov.br
Conceitos de certificao e segurana digital de laudos

Informar e Orientar
A Tecnologia da Informao traz fortemente registrado no seu DNA a necessidade constante da sua prpria reinveno, muitas vezes com inovaes disruptivas que podem dificultar acompanhar o seu prprio desenvolvimento pela grande maioria dos seus usurios, ainda mais se considerarmos que, enquanto cincia, pode ser considerada como muita nova e, portanto, enfrentando uma srie de transformaes. No tem sido fcil. Por isso, a constante necessidade de Informar e Orientar uma exigncia primordial para termos clareza de qual o propsito da utilizao de determinadas solues, seu emprego, suas vantagens, as dificuldades para uso, custos e tantos outros aspectos inerentes a adoo dessas solues. A inteno deste documento de poder auxiliar no esclarecimento quanto ao que de fato a Certificao Digital se prope, qual a sua semelhana em relao a Certificao de Sistemas, e consideramos como fundamental que sejam apresentados conceitos, diretrizes e propostas: Conceitos de certificao e segurana digital de laudos. Conceitos fundamentais: 1. Como funciona o e-CRM e a certificao digital do profissional que assina o laudo? 2. Como garantir a veracidade de um laudo laboratorial? 3. Precisamos de certificaes de sistemas diagnsticos?
Conceitos Fundamentais
Qual a definio de certificao digital? (*1) A Certificao Digital foi concebida para oferecer sigilo, agilidade, autenticidade e validade jurdica para diversos tipos de transaes eletrnicas. O certificado digital uma credencial que identifica uma empresa, pessoa fsica, equipamentos especiais ou um site na Internet. Os certificados digitais so compostos por um par de chaves (Chave Pblica e Privativa) e a assinatura de uma terceira parte confivel: Autoridade Certificadora (AC). As AC emitem, renovam ou revogam certificados. So supervisionadas e submetem-se regulamentao e fiscalizao de organismos tcnicos. No nosso cotidiano (mundo real), para que uma identificao seja aceita, precisamos que seja emitida ou validada por um rgo habilitado pelo governo. No mundo digital, temos a mesma relao, onde os Certificados Digitais emitidos por Autoridades Certificadoras oferecem confiana, segurana e validade jurdica. A ICP-Brasil (Infraestrutura de Chaves Pblicas Brasileira) foi instituda pela Medida Provisria 2.200-2, de 24 de agosto de 2001, que criou o Comit Gestor da ICP-Brasil, a Autoridade Certificadora Raiz Brasileira e define as demais entidades que compem sua estrutura. A partir dessa MP, foram elaborados os regulamentos que regem as atividades das entidades integrantes da Infraestrutura de Chaves Pblicas Brasileira: Resolues do Comit Gestor da ICP-Brasil, as Instrues Normativas e outros documentos.
O modelo de infraestrutura adotado pela ICP-Brasil foi o de Certificado com Raiz nica. O Instituto Nacional de Tecnologia da Informao - ITI est na ponta desse processo como Autoridade Certificadora Raiz. Cabe ao Instituto credenciar os demais participantes da cadeia, supervisionar e fazer auditoria dos processos. (*1) Fonte de consulta: Autoridade Certificadora Certisign A estrutura da ICP-Brasil est apresentada a seguir: (Fonte: ITI - Instituto Nacional da Tecnologia da Informao. http://www.iti.gov.br/twiki/pub/Certificacao/EstruturaIcp/Estrutura_da_ICP-Brasil_-_site.pdf)
Estrutura da ICP-Brasil
Atualizado: 14/04/2011
AC RAIZ
AC CEF
AC CERTISIGN
AC IMPRENSA OFICIAL SP
AC JUS
AC PR
SERASA ACP
AC SERPRO
AC RFB
AC CMB
AC CAIXA PF
AC CERTISIGN MULTIPLA AC CERTISIGN SPB AC IMPRENSA OFICIAL SP AC SINCOR AC PRODEMGE
AC IMPRESA OFICIAL
AC CAIXA JUS AC CERTISIGN JUS AC SERASA JUS AC SERPRO JUS
SERASA AC
SERPRO ACF AC PRODERJ
AC CERTISIGN RFB AC IMESP RFB AC PRODEMGE RFB AC SERASA RFB AC SERPRO RFB AC SINCOR RFB AC FENACON CERTSIGN RFB AC NOTORIAL RFB AC BR RFB
AC CAIXA PJ
SERASA CD
AC FENACOR
AC PETROBRAS
AC OAB AC INSTITUTO FENACON
AR CREDENCIADA AR EM CREDENCIAMENTO AC EM CREDENCIAMENTO AC CREDENCIADA DE 1NVEL AC CREDENCIADA DE 2NVEL
AC INSTITUTO FENACON RFB AC PRODEST RFB
Quais os tipos de certificados, formatos e validades? Existem vrios tipos de certificados digitais que podem ser adquiridos, porm destacaremos dois em especial: e-cpf e e-cnpj. O e-cpf a verso eletrnica do tradicional CPF, garantindo a autenticidade e a integridade nas transaes eletrnicas para pessoas fsicas. O e-cnpj a verso eletrnica do CNPJ (Cadastro Nacional de Pessoa Jurdica), tendo as mesmas caractersticas do e-cpf, porm aplicado pessoa jurdica. Em ambos os casos existem duas formas de utilizao. No tipo A1, o certificado gerado e armazenado num computador ( um arquivo digital), e sua validade de um ano.
No tipo A3, o certificado gerado e armazenado num carto inteligente (smart card precisa de um leitor para ser lido) ou token (parecido com um pen-drive precisa de porta USB habilitada para ser lido), e tem validade de trs anos. Existem variaes de preos para os certificados, conforme a sua validade e tipo que ser gerado, em smart card, token ou software. Como funciona o e-CRM e a certificao digital do profissional que assina o laudo? O e-crm um documento de identificao funcional do mdico, podendo vir a ter incorporado o certificado digital do mdico (similar ao e-cpf) em sua prpria carteira de identidade profissional, como pretende o Conselho Federal de Medicina (CFM). Mensagem no site do CFM (http://portal.cfm.org.br) CFM prepara-se para emitir certificados digitais junto com a identidade profissional Os cenrios para gerenciamento dessa tecnologia, que tambm poder ser chamada de CRM digital ou e-CRM, foram apresentados pelo representante do ITI, Ruy Csar Ramos. O Conselho Federal de Medicina (CFM) prepara-se para emitir certificados digitais conjuntamente com a identidade profissional. Os cenrios para gerenciamento dessa tecnologia, que tambm poder ser chamada de CRM digital ou e-CRM, foram apresentados pelo representante do Instituto Nacional de Tecnologia da Informao (ITI), Ruy Csar Ramos Filho, nesta quinta-feira (8), aos conselheiros federais. Certificado digital um documento eletrnico que tem informaes sobre a pessoa, assinado digitalmente por uma terceira parte confivel, com mesmo valor jurdico dos documentos assinados de forma tradicional. O diretor de Infraestrutura de Chaves Pblicas do ITI, Maurcio Augusto Coelho, explicou que o certificado digital poder autenticar e validar com garantias de integridade e sigilo (as informaes trafegam de forma criptografada). Com essa tecnologia, os processos tico-profissionais tambm poderiam tramitar eletronicamente, a exemplo do que j faz o judicirio. As eleies dos conselhos de medicina tambm poderiam ser realizadas de maneira informatizada com certificao digital, com o voto sendo efetuado de computadores privados. "O mdico, se ainda no precisa, vai precisar de um certificado digital, seja para exercer seus direitos e deveres como cidado, seja para exercer seus direitos e deveres como profissional da medicina", estima Coelho. Sul e Sudeste concentram 70% dos mdicos brasileiros. Estima-se que 90% deles tenham acesso a computadores pessoais. Inicialmente, este deve ser o principal pblico para o CRM digital ou e-CRM. Com o e-crm atrelado a um certificado digital emitido por autoridade certificadora (ainda no disponvel) ou pelo prprio e-cpf de um mdico, possvel, portanto, ter a sua identidade definida e validade comprovada juridicamente. A partir disso, documentos que sejam assinados digitalmente por esses profissionais contero informaes suficientes para que sejam validados legalmente. Para que isto ocorra, fundamental que uma soluo de TI utilize o e-crm (com certificado digital) ou o e-cpf do mdico para as operaes tcnicas necessrias para sua validao e criao de documento no padro PDF certificado ou no padro PKCS7/CMS (formato de documento certificado digitalmente). Cabe destacar que esta inteno tambm almejada nas demais categorias profissionais que atuam nos laboratrios de anlises clnicas.
Como garantir a veracidade de um laudo laboratorial? O conceito de veracidade (s.f. Qualidade de veraz ou verdadeiro: a veracidade de um fato) um elemento primordial para um laudo laboratorial, pois o que espera o cliente-final (paciente) que receba um laudo laboratorial completamente verdadeiro, e, pela parte do laboratrio, que o laudo preserve esta caracterstica indefinidamente ou, sendo evidenciada qualquer alterao das suas informaes, seja anulada completamente a sua veracidade. Um exemplo para garantir a veracidade de um laudo laboratorial, usado pelos SIL (Sistemas de Informao Laboratorial) a utilizao de um hash (*1) que represente, atravs de um nmero nico, o contedo de um laudo onde, ocorrendo qualquer alterao no referido laudo, mnima que seja, o referido hash seja invalidado. Este hash inicial, gerado para cada laudo, dever ser arquivado/publicado conjuntamente, para efeito de avaliao/comprovao posterior. Exemplo didtico: Laudo 001 Glicose: 100 mg/dL Hash gerado para o laudo = 012030405060 Se o mesmo laudo for alterado para o resultado abaixo: Laudo 001 Glicose: 222 mg/dL Hash = 012030405888 O hash do primeiro laudo DIFERE do hash do segundo laudo, portanto, evidenciando que o laudo posterior NO confere com o hash original do arquivo (arquivado/publicado pelo laboratrio). Este processo garante uma forma rpida e segura de comprovao de veracidade de um determinado laudo/documento. O processo de certificao digital de laudos utiliza os mesmos conceitos e mecanismos aplicados na elaborao de um documento certificado digitalmente, onde algoritmos matemticos so utilizados para que, na ocorrncia de qualquer alterao no documento certificado, a sua veracidade seja invalidada. (*1) Hash a transformao de uma grande quantidade de informaes em uma pequena quantidade de informaes, buscando identifica-la de forma unvoca, por exemplo, atravs de um cdigo numrico. Precisamos de certificaes de sistemas diagnsticos? A Certificao Digital, especificamente a de laudos, conforme apresentado antes neste artigo, refere-se informao gerada pelo Sistema de Informao Laboratorial, garantindo a sua autenticidade, veracidade e agilidade no tratamento das informaes, enquanto a Certificao de Sistemas refere-se a procedimentos sistemticos, mtodos e diretrizes que avaliem os requisitos tecnolgicos aplicados aos Sistemas de Informao voltados para a Sade, homologando o referido produto/servio quanto s exigncias definidas. Destaca-se o fato de que a Certificao de Sistemas est tendo forte enfoque para a possibilidade de eliminao do papel nos processos e a maior segurana da informao. O processo de Certificao de Sistemas para a sade est sendo conduzido pela SBIS (Sociedade Brasileira de Informtica na Sade), que elaborou o Manual de Certificao para Sistemas de Registro Eletrnico em
Sade (S-RES), sendo a referncia para a certificao de empresas de tecnologia da informao, com produtos voltados para a Assistncia Ambulatorial e TISS (nesta fase inicial). A Certificao de Sistemas para os Sistemas de Informao Laboratorial (SIL) ainda no tem calendrio oficial definido quanto a sua aplicao, certificao etc. Acreditamos que o Comit de TI da SBPC/ML poder contribuir na evoluo deste importante processo.
Regulamentao Para Sade

ANVISA RDC 302/2005 Parte Laudos: 6.3 Fase ps -analtica 6.3.1 O laboratrio clnico e o posto de coleta laboratorial devem possuir instrues escritas para emisso de laudos, que contemplem as situaes de rotina, plantes e urgncias. 6.3.2 O laudo deve ser legvel, sem rasuras de transcrio, escrito em lngua portuguesa, datado e assinado por profissional de nvel superior legalmente habilitado. 6.3.3 O laudo deve conter no mnimo os seguintes itens: a) identificao do laboratrio; b) endereo e telefone do laboratrio; c) identificao do Responsvel Tcnico (RT); d) no. de registro do RT no respectivo conselho de classe profissional; e) identificao do profissional que liberou o exame; f) no. registro do profissional que liberou o exame no respectivo conselho de classe do profissional g) no. de registro do Laboratrio Clnico no respectivo conselho de classe profissional; h) nome e registro de identificao do cliente no laboratrio; i) data da coleta da amostra; j) data de emisso do laudo; k) nome do exame, tipo de amostra e mtodo analtico; l) resultado do exame e unidade de medio; m) valores de referncia, limitaes tcnicas da metodologia e dados para interpretao; n) observaes pertinentes. A Anvisa RDC n 302, de 13 de outubro de 2005, define a necessidade da assinatura do laudo por um profissional de nvel superior legalmente habilitado.
Como no discriminada a obrigatoriedade de ser assinatura manuscrita, pode-se, portanto, recorrer assinatura digital (certificado digital) que, diferente da assinatura digitalizada, reconhecida oficialmente no Brasil, desde que devidamente fornecida por Autoridade Certificadora gerida pelo ICP-Brasil (Medida Provisria no 2.200, de 28 de junho de 2001).
Propostas de Utilizao
Modelos Existentes - Certificao Digital At o momento, existem duas formas para implantao/uso da Certificao Digital, especificamente para os laboratrios de anlises clnicas.
SOLUO INTERNA
Consultoria interna/externa para levantamento de necessidades e expectativas. Adequao do SIL para a soluo de certificao. Aquisio do SDK (software Develoment Kit) de empresa especializada em certificao digital.
SOLUO EXTERNA
Modelo pronto para uso, formatado para atender perfil geral de clientes. Integrao da soluo interna com soluo externa.
Soluo externa j est pronta e operacional modelo SaaS (Software as Service).
Homologao mais externa.
Servio homologado.
Custo Maior.
Custo Menor.
Certificados adquiridos em AC. Empresa detm maior controle no processo de certificao digital (sistema interno prprio).
Certificados adquiridos em AC. Processo de certificao digital realizado por empresa externa.
Implantao exige mais tempo.
Implantao exige mais tempo.
Maior facilidade para implantao por laboratrios de grande porte. Disponibilidade de TI com suporte para este novo tipo de processo.
Maior facilidade para implantao por laboratrios de pequeno e mdio porte.
10
Suporte de TI pontual.
Vantagens Para os Clientes? E os Laboratrios? Vantagens para os clientes (pacientes) quanto ao uso da certificao digital 1 2 3 4 5 Garantia de autenticidade Validade jurdica comprovada Maior segurana Facilidade para atestar a veracidade de um laudo (comprovao compulsria) Data e hora da liberao final do laudo com preciso (inclusive com uso de Time Stamp)
Vantagens para os laboratrios quanto ao uso da certificao 1 2 3 Maior proteo contra fraudes em laudos Validade jurdica comprovada Possibilidade de reduo de papel (eliminao de papel em rotinas)
Desvantagens para os laboratrios quanto ao uso da certificao digital 1 2 Novos custos com certificao. Implantao e emisso de certificados Mudana de rotinas internas/operacionais
Concluso
A Certificao Digital uma soluo que est sendo utilizada em diversos servios pblicos com a clara inteno de agilizar, garantir e atestar a validade de documentos/transaes eletrnicas, sendo considerada uma soluo perene e essencial. Ela dever, tambm, trazer benefcios para os sistemas de informao para a sade pois atender imediatamente os requisitos especificados pela Agncia Nacional de Vigilncia Sanitria (ANVISA), aumentar a segurana da informao e a forma de publicao de documentos com diminuio de custos (menos papel, armazenamento, processos etc). No entanto, o processo ainda embrionrio para o segmento da sade, com poucos fornecedores atuando no mercado, oferecendo solues para este tipo de utilizao. H necessidade de ampla avaliao dos custos envolvidos nesse novo servio, em especial, quanto a sua implantao (novas/adequaes das rotinas de TI e novos equipamentos), utilizao (emisso e manuteno dos certificados digitais dos profissionais), definio de regras claras de uso e mecanismos de fiscalizao.
Garantindo a rastreabilidade de pacientes, amostras e informaes em sistemas laboratoriais

O conceito de rastreabilidade
O termo Rastreabilidade refere-se capacidade de interrelacionar entidades ou eventos, permitindo sua verificao posterior. a possibilidade de recuperar sua histria, local ou responsvel por meio dos dados que foram armazenados no momento de sua ocorrncia. O registro dos eventos que ocorrem em um laboratrio pode se dar de forma manual (papis) ou por meio da utilizao de sistemas de informao. Neste documento, vamos nos ater exclusivamente aos casos onde o registro de informaes ocorre por meio da utilizao de sistemas de informao. No entanto, as ideias aqui apresentadas permanecem vlidas, embora com diferenas, em ambos os casos. Pontos de inspeo Ao longo do processo completo do laboratrio, recomendvel a definio de etapas no ciclo de produo onde so executadas verificaes, de modo automtico ou por profissional habilitado, a fim de assegurar que o desempenho ou qualquer caracterstica da qualidade de um processo, item, material, produto ou servio est correto at este ponto de inspeo, e que os processos subsequentes da rotina podero ser executados com segurana. Exemplos: Confirmao da coleta das amostras de um paciente, recebimento das amostras pelo setor tcnico, calibrao dos instrumentos para incio do processamento dos lotes de amostras e outros. Registros de eventos (Logs) Nos pontos de inspeo, deve ocorrer o registro dos dados importantes associados a cada evento, incluindo seus indicadores de realizao (se o evento foi realizado com sucesso ou no). Esses registros servem para prover a correta qualificao daquilo que pretendemos descrever, viabilizando sua posterior rastreabilidade. Exemplo: Na confirmao da coleta, para cada amostra colhida, armazenamos a data e hora da confirmao, a identificao do profissional que realizou a inspeo e a mudana de status dessa amostra indicando sua nova situao (colhida). TAT Turnaround time O conceito de TAT (Turnaround time) um dos mais importantes indicadores sobre o nvel de qualidade e desempenho dos servios prestados por um laboratrio. Esta medida serve para apontar o tempo transcorrido desde a submisso de uma tarefa at a sua completa execuo. Essa medida pode ser aplicada ao tempo total de atendimento, desde a chegada do paciente ao laboratrio at a emisso do seu laudo com os resultados dos testes solicitados, ou tambm pode ser aplicada para determinar o desempenho de etapas especficas. Por exemplo, medir o tempo de processo das amostras, desde a sua chegada ao setor tcnico at a validao e a liberao dos resultados.
Laboratrios preocupados com a qualidade dos servios oferecidos aos pacientes, costumam definir metas de TAT, objetivando a melhoria contnua de seus processos com reflexos diretos na satisfao dos clientes. Identificao positiva das amostras - Conceito-chave Como j abordamos acima, a importncia da identificao correta do paciente e de suas visitas nos centros de diagnsticos, desde o primeiro atendimento, ponto chave para se iniciar com sucesso qualquer procedimento diagnstico e, claro, garantir a rastreabilidade das informaes. Uma vez que o paciente e sua visita estejam identificados de forma correta e positiva, partimos, ento, com segurana, para abordar o mesmo conceito aplicado s suas amostras. Em termos gerais, a recomendao elaborar uma forma de identificao nica para cada amostra, assegurando-se que no haver em todo o processo outra amostra com a mesma identificao, mesmo associadas ao mesmo paciente/pedido. A este conceito de identificao nica, sem duplicidade de identificao das amostras, d-se o nome de identificao positiva da amostra. Desta forma, cada tubo, cada recipiente, cada lmina ou qualquer material colhido de cada paciente ter sua identificao prpria, nica e positiva, garantindo at esse ponto a qualidade do registro para os processos diagnsticos que viro. A identificao positiva das amostras garante que a execuo dos testes analticos e a rastreabilidade ou a auditoria dos processos ocorram sem riscos de falhas. Identificao positiva da amostra: cada tubo, recipiente, lmina, em resumo, cada material colhido de um paciente uma amostra. Portanto, dever ter sua prpria identificao nica. O objetivo garantir que no existam duas ou mais amostras com a mesma identificao em todo o processo. Portanto, supondo-se que um determinado paciente tenha colhido quatro amostras distintas, sendo um tubo para o material soro, um tubo destinado ao sangue total, um recipiente de urina e um recipiente de fezes, cada um desses tubos ou recipientes ter uma identificao prpria. De forma similar, um paciente que tenha uma prova de curva glicmica ter seus tubos de amostra, de cada ponto da curva, identificado de forma nica e positiva. Cada amostra da curva glicmica ter sua identificao nica. Convm notar que a adoo de identificaes positivas de processos e entidades (amostras, pacientes etc) decorre da necessidade de evitar dubiedades nesses registros, e no do fato de utilizarmos sistemas informatizados. Podem ser exploradas vrias alternativas para garantir a identificao positiva das amostras, de acordo com as regras de atendimento ou metodologia de trabalho de cada centro de diagnsticos, adequando-se a alternativa que melhor se adapte aos processos. Portanto, no h uma regra nica, geral, para todos os diferentes laboratrios. Por exemplo, uma das formas mais comuns de identificao de amostras a gerao de um cdigo de identificao derivado da identificao do pedido, garantindo o vnculo visual entre pedido e suas respectivas amostras.
Exemplo: Vamos supor que o paciente Jos Teste1 da Silva apresentou-se ao laboratrio para realizar os seguintes exames Colesterol, Glicose, PSA, Ferro ? T3, T4 ? Hemograma ? completo Urina Tipo I ? ... que foram cadastrados no sistema, gerando um pedido cujo nmero de identificao 09-911234. A partir desse nmero, o sistema laboratorial gerou automaticamente os nmeros das amostras que devem ser colhidas a fim de viabilizar a correta execuo dos exames pedidos, como segue: Amostra # 0991123401 Para o tubo de rolha vermelha com os testes: Colesterol, Glicose, PSA ? e Ferro a ser enviado ao Setor de Bioqumica. Amostra # 0991123402 Para o tubo de rolha amarela com os testes T3 e T4 a ser enviado ao ? Setor de Imunologia. Amostra # 0991123403 Para o tubo de rolha roxa com o teste hemograma completo a ser ? enviado ao Setor de Hematologia. Amostra # 0991123404 Para o tubo/recipiente de Urina tipo I a ser enviado ao Setor de ? Urinlise. Como podemos observar neste exemplo, a identificao das amostras composta pela identificao do pedido acrescida de dois dgitos finais que permitem a diferenciao de cada um dos tubos. Nunca sero produzidos dois tubos com a mesma numerao (identificao positiva). Alm disso, ao olhar para identificao dos tubos, percebe-se imediatamente a associao entre a identificao do pedido e as suas respectivas amostras. O exemplo apresentado acima apenas ilustrativo. Esta no a nica alternativa de identificao positiva das amostras. Existem vrias outras formas e tcnicas utilizadas pelos sistemas de gesto de laboratrios que melhor se ajustam realidade, ao volume de atendimento ou aos processos de suas unidades de coleta. Uma das vantagens da forma apresentada acima, e suas variaes, facilitar a identificao da amostra e sua relao com a identificao do pedido de forma visual. No entanto, atravs do uso do sistema de gesto, sempre ser possvel consultar cada amostra e reconhecer o pedido ao qual ela pertence. Seja qual for a metodologia que garanta a identificao positiva da amostra, o importante vincular esta identificao ao pedido. No prximo exemplo, procuramos demonstrar que o pedido tem um cdigo de identificao e as amostras tm cdigos de identificao com estrutura completamente diferentes. Exemplo: Vamos supor que o paciente Maria Conceio Lima Correa apresentou-se ao laboratrio para realizar os seguintes exames: Beta HCG ? T3, T4 ? Hemograma ? completo Urina Tipo I ?
... que foram cadastrados no sistema, gerando um pedido cujo nmero de identificao 20101012. Em seguida, o sistema laboratorial gerou automaticamente os nmeros das amostras que devem ser colhidas a fim de viabilizar a correta execuo dos exames pedidos, como segue: Amostra # 0001435465 Para o tubo de rolha amarela com os testes HCG, T3 e T4 a ser ? enviado ao Setor de Imunologia. Amostra # 0001435466 Para o tubo de rolha roxa com o teste hemograma completo a ser ? enviado ao Setor de Hematologia. Amostra # 0001435467 Para o tubo/recipiente de Urina tipo I a ser enviado ao Setor de ? Urinlise. Neste exemplo, a estrutura da identificao das amostras no deriva da identificao do pedido, mas segue uma numerao sequencial. Este mtodo tambm operacional e oferece a identificao positiva para as amostras. O sistema de gesto laboratorial fica responsvel por estabelecer o relacionamento entre o pedido e as suas respectivas amostras. A qualquer tempo, dado o nmero de uma amostra, possvel recuperar imediatamente os dados relativos ao pedido. Alquotas Um tema recorrente quando abordamos a identificao positiva das amostras a questo relativa s alquotas. Partindo-se da ideia que cada amostra tem a sua identificao nica e positiva, e no existiro amostras de mesma identificao nos processos, as amostras geradas a partir do processo de aliquotagem tambm devem ter a sua prpria identificao, diferente da amostra que originou a alquota. Em termos de rastreabilidade das informaes, importante registrar a amostra original de onde partiu a amostra de alquota. Etiquetas de cdigos de barras O uso de etiquetas de cdigos de barras, desde as primeiras etapas de atendimento, uma das formas sugeridas para diminuir os riscos de erros de identificao dos pacientes e suas amostras e, claro, garantir a segurana e a qualidade dos processos seguintes. Para os projetos de automao laboratorial, a identificao positiva das amostras por cdigo de barras pr-requisito essencial para o sucesso. Aqui, novamente, no existe at o momento, um padro da indstria estabelecendo um modelo para composio das etiquetas de identificao das amostras. importante notar que os instrumentos de anlises clnicas podem ser configurados para diferentes modelos e opes de codificaes (Cdigo 128, Codabar, Interleave 2 of 5 etc). recomendvel levantar os limites aceitos e os tipos de configuraes oferecidos por cada instrumento para que a identificao da amostra seja adotada de forma correta desde o incio do processo de coleta, evitando reetiquetagem ou substituio das etiquetas devido ao fato do formato adotado na coleta no ser aceito por determinado instrumento.
No nosso exemplo do pedido 09-911234 (Jos Teste1 da Silva), suas etiquetas de amostras possuiro cdigos de 10 dgitos (# 0991123401, 0991123402, 0991123403) no formato interleave 2 of 5. Assim sendo, a configurao dos leitores dos instrumentos dever ser compatvel com o padro adotado nessas etiquetas. Informaes constantes da etiqueta de cdigo de barras Alm de providenciar a identificao das amostras, informaes adicionais impressas nas etiquetas de cdigo de barras tm a finalidade de auxiliar e apoiar os profissionais do laboratrio durante todos os processos, desde a coleta, a confirmao da coleta, o preparo, o transporte, a distribuio aos setores tcnicos, a carga nos instrumentos e, finalmente, o seu armazenamento ou descarte. As informaes mais relevantes a serem impressas nas etiquetas de cdigo de barras das amostras so: Cdigo de identificao do pedido (se j no fizer parte do prprio nmero de identificao da ? amostra) Identificao/Nome ou iniciais do paciente ? Meio de coleta ? Tipo de material/fluido ? Setor tcnico ? de destino Representao ? do nmero da amostra em cdigo de barras Identificao ? da amostra (legvel) Exemplo: 09911234 Jos Teste1 da Silva Rolha roxa Sangue Hematologia Representao do nmero da amostra em cdigo de barras (0991123403)
Exemplo de etiqueta fsica:
HEMATOLOGIA
HEMOGRAMA COMPLETO
09911234
21/08/2003 SANGUE TAMPA ROXA
Automao e interface dos instrumentos de anlises clnicas Atualmente, existem duas classes de instrumentos laboratoriais: Equipamentos ? unidirecionais; Equipamentos ? bidirecionais. Equipamentos unidirecionais Os instrumentos classificados como unidirecionais so aqueles que, atravs de sua interface, oferecem comunicao em apenas uma direo. Assim, instrumentos unidirecionais no recebem comandos ou ordens de execuo de testes especficos, porm, oferecem o envio dos resultados dos testes executados. Exemplos desse tipo de instrumento so aqueles dedicados a executar sempre o mesmo teste ou perfil de testes. Por exemplo: instrumentos que processam testes de urina, alguns instrumentos mais antigos que executam testes de hemograma completo, alguns gasmetros e outros. Como explicamos acima, no final do processo de execuo desses testes, o instrumento unidirecional disponibiliza os resultados para o sistema de interface ou para o sistema de gesto do laboratrio, eliminando-se desta forma os processos de transcrio de resultados aos laudos dos pacientes. Equipamentos bidirecionais So classificados como instrumentos bidirecionais aqueles que aceitam as ordens vindas do sistema de interface ou do sistema de gesto do laboratrio e, ao terminar o processamento, enviam as informaes relativas aos resultados associados a cada amostra. Em geral, os instrumentos bidirecionais podem executar distintos testes por amostra e, neste caso, existe a necessidade de enviar ao instrumento a programao de exames que foi estabelecida em tempo de criao das amostras no sistema. Ou seja, envia-se ao instrumento a identificao de cada amostra e a lista dos exames que devem ser executados em cada uma delas. Os instrumentos bidirecionais podem trabalhar de duas formas: Instrumentos ? que trabalham atravs de carga prvia de uma lista de trabalho; Instrumentos ? que trabalham atravs da modalidade de pesquisa, ou query mode. Instrumentos bidirecionais que trabalham por lista de trabalho (worklist) so aqueles que precisam receber, previamente, todas as informaes de comandos, ou ordens, antes que possam comear a anlise das amostras de determinado lote. Esses instrumentos armazenam as ordens recebidas em listas internas de trabalho. Uma vez que a amostra identificada em seu rotor, seja de forma posicional ou atravs da leitura da etiqueta de identificao das amostras, atravs de cdigo de barras, o sistema interno do instrumento recorre a lista de trabalho (worklist) para reconhecer quais testes devero ser executados em cada amostra. Instrumentos bidirecionais que trabalham por modo pesquisa ou query mode so aqueles que, de forma diferente dos que trabalham na modalidade de lista de trabalho, no precisam ter pr-carregadas todas as informaes de comandos, ou ordens, para que possam comear a anlise das amostras. Esses instrumentos, ao reconhecerem a identificao da amostra pela leitura de seu cdigo de barras, se
comunicam com o sistema de interface ou com sistema de gesto a fim de receber a correta programao de exames referente a cada amostra. Esse tipo de instrumento no exige o processo extra de pr-anlise do operador para organizao dos tubos/recipientes em lotes. Como explicado acima, ao reconhecer a identificao da amostra, o sistema interno desse tipo de instrumento interage com o sistema de interface ou sistema de gesto para prosseguir com a execuo dos testes relacionados. Este tipo de tecnologia (modalidade de pesquisa ou query mode) permite aos laboratrios que processam grandes volumes de amostras ou visam eliminar etapas de pr-anlise obter ganho significativo no tempo total do processo. Cadeias de automao Instrumentos conectados a esteiras Uma tendncia em termos de automao laboratorial a adoo de cadeias ou esteiras que interconectam instrumentos de anlises clnicas. Esta tecnologia oferece vantagens significativas ao fluxo operacional, diminuindo a interveno humana nos processos pr-analticos e tambm colaborando na reduo de tubos de amostras colhidos dos pacientes, pois uma mesma amostra pode ser compartilhada entre vrios instrumentos que compem a cadeia de automao. A implementao de cadeias de automao demanda estudos dos volumes de amostras, dos picos de carga da cadeia durante a jornada de trabalho e regras de validao ou repetio de processos. Para efeito de rastreabilidade, os sistemas que gerenciam as aes e os processos das cadeias de automao registram automaticamente os eventos das amostras: Data e hora ? do reconhecimento da amostra na cadeia, sua localidade e as suas rotas, tais como a entrada e a sada das amostras nos instrumentos, as aes aplicadas s amostras, alarmes ou alertas durante todo o trajeto, e informaes relativas ao armazenamento das amostras. Permite marcar a data e a hora de cada processo na cadeia e o trajeto e as rotas seguidas por ? cada amostra. Protocolos de comunicao dos instrumentos laboratoriais Devido enorme gama de provedores de instrumentos de anlises clnicas, marcas, modelos, legado de instrumentos antigos e sistemas, no h um padro da indstria para oferecer um protocolo de comunicao nico. Diferente da rea de imagens, onde existe o padro DICOM (Digital Imaging Communication in Medicine), que especifica um protocolo de transferncia de dados e formato de imagem digital, os protocolos de comunicao em anlises clnicas so, em sua maioria, proprietrios e especficos para determinada marca e modelo de instrumento ou grupos de instrumentos. Cabe ao provedor de instrumentos prover a documentao tcnica completa, com exemplos, para desenvolvimento da interface e a pinagem de cabos de comunicao. Caracterizando ocorrncias: registro de entidades e processos objetivando a rastreabilidade No laboratrio clnico, o conceito de rastreabilidade ganhou importncia a partir da necessidade de
acompanhar o fluxo e o andamento de processos considerados importantes, especialmente no que se refere a questes de qualidade e segurana. Isso pode ser obtido relacionando eventos relevantes, identificando-os corretamente, caracterizando-os, interconectando-os e respondendo perguntas fundamentais sobre a sua ocorrncia : Que processo ? ocorreu? Para isso, preciso identificar de modo unvoco qual entidade ou evento est sendo registrado. Exemplo: A amostra cujo nmero de identificao 123456 est hemolisada. Se existe uma nica amostra no laboratrio cujo nmero 123456, este registro de ocorrncia no deixa margem a dvidas. A qualquer tempo, se quisermos recuperar as informaes relativas a essa amostra, bastaria fornecer sua identificao. Em nosso exemplo, descobriramos que ela estava hemolisada. Imagine agora o mesmo exemplo, numa situao onde amostras de um mesmo pedido compartilham a mesma numerao (por exemplo: os tubos de tampa vermelha e tampa amarela possuem etiquetas com o mesmo nmero de identificao, ou seja, 123456). Neste caso, ao executarmos o mesmo registro (A amostra cujo nmero de identificao 123456 est hemolisada), no iramos obter uma caracterizao perfeita desse evento, pois restaria sempre a dvida sobre qual das duas amostras fsicas estava imprpria para o processamento, se a de tampa vermelha ou a de tampa amarela. Na raiz dessa dubiedade est a ausncia de unicidade na identificao do objeto, em nosso caso, a amostra. Identificar corretamente e de modo unvoco cada entidade ou evento que queremos descrever o passo inicial para tornarmos um processo plenamente rastrevel. No jargo laboratorial, denominamos essa identificao perfeita que no deixa margem dvidas sobre qual objeto ou processo est sendo referenciado de Identificao Positiva. Este assunto ser abordado mais tarde em detalhes. Quando ocorreu? preciso saber com preciso sua Data e Hora de ocorrncia. Exemplo: A ? amostra de nmero 123456 foi colhida s 8:30h do dia 25/06/2011. Temos aqui mais um caso de registro correto onde, de modo simples, possvel saber exatamente o momento em que ocorreu a coleta. Isto ser til no futuro para a realizao de clculos (como, por exemplo, o tempo decorrido entre a coleta e o processamento desta amostra). Onde ocorreu? ? Muitas vezes, queremos saber onde um determinado processo ocorreu. Exemplo: O paciente de pronturio 123123 fez sua admisso na recepo de Diagnsticos por Imagem da Unidade Vila Mariana (estamos supondo que existe apenas um paciente cuja identificao de pronturio 123123). Em nosso exemplo, no basta descrever em qual unidade o paciente foi atendido. Temos que registrar em qual das recepes o evento ocorreu imaginando que a unidade Vila Mariana possa ter duas recepes : uma para exames de imagem e outra para pacientes exclusivamente de anlises clnicas. Imagine que, no futuro, queiramos obter estatsticas de atendimento relativas a cada uma das recepes. Se tivssemos registrado este evento mencionando apenas a unidade de Vila Mariana, isso no seria possvel.
Quem o profissional responsvel pela execuo ou aprovao desse processo? Exemplo: O ? resultado do exame de glicose referente ao pedido 12345 foi liberado pelo profissional cujo cdigo de identificao LIGIACOSTA. Muitos processos dependem de interveno ou aprovao humanas para serem realizados. Um exemplo clssico a liberao de resultados. Por incontveis razes, imprescindvel registrar o responsvel pela liberao de cada resultado de exame. Mais uma vez, no registro mencionado neste item, estamos admitindo que o pedido de nmero 12345 seja nico e que o usurio cuja identificao LIGIACOSTA seja igualmente nico. tambm importante que um registro esteja em perfeita sintonia com as ocorrncias do mundo real. Por exemplo, na maioria dos sistemas informatizados, reconhecemos o autor ou aprovador de uma ao a partir de sua identificao de login (cdigo de usurio no sistema aplicativo). Imagine, ento, que a bioqumica chamada Ligia Costa (cuja identificao no sistema LIGIACOSTA), empresta por qualquer motivo seu cdigo de usurio e senha a um colega de bancada. Se este colega, utilizando-se do login de outra pessoa, realiza de modo no autorizado a liberao de um resultado de exame, obteramos um registro incorreto do profissional responsvel por essa ao. O registro automtico diria que o resultado foi liberado pela Ligia, mas, na verdade, foi liberado por outro profissional. Esse exemplo nos leva a concluir que, alm de identificar com perfeio e sem dubiedades as entidades e eventos, devemos tambm garantir que os processos sejam desenhados de forma a produzir registros com baixo risco de inconsistncia. Em nosso exemplo, isso poderia ser obtido utilizando recursos de biometria (verificando a impresso digital do usurio) ou de expirao da sesso ativa aps algum tempo de inatividade, o usurio logado desconectado automaticamente. Isso poderia impedir a utilizao indevida de identificaes e o aproveitamento de logins entre usurios. Quais so os ? processos associados ou conectados a este? Exemplo: O paciente de identificao 123123 chegou ao laboratrio no dia 21/05/2011, s 8:40h, retirando a senha de atendimento B121, e foi atendido para cadastro dos exames no dia 21/05/2011, s 8:49h. Este paciente chegou ao laboratrio e retirou a senha de nmero B121 cujo registro no sistema informatizado inclui sua data e hora de emisso no nosso exemplo, 21/05/2011, s 8:40h, hora de chegada do paciente. Assim que ele foi chamado admisso, o atendente identificou o paciente e registrou novamente o nmero de sua senha no sistema, alm da data e da hora de ocorrncia deste evento (21/05/2011, s 8:49h). A partir deste momento, as duas etapas do fluxo do paciente esto solidamente conectadas pelo nmero da senha. Lembre-se que o fato de retirar uma senha impressa no possibilita ao sistema reconhecer automaticamente a qual paciente ela pertence. No entanto, ao associar um atendimento a esta senha, o sistema passa a saber que usurio a retirou.
Essa associao simples permite calcular o tempo decorrido entre a chegada do paciente e seu efetivo atendimento na recepo. Para calcular esse tempo de espera, basta subtrair o horrio de cadastramento do pedido mdico do horrio de emisso da senha, ambos registrados no sistema. O horrio de emisso da senha e do cadastramento dos pedidos so informaes que qualificam e permitem o rastreamento desses dois eventos. Mas foi o nmero da senha que os interconectou. Fluxo operacional e rastreabilidade: Apresentamos, a seguir, as principais etapas do fluxo de um laboratrio clnico indicando, em cada processo, seus perfis de registro e suas aplicaes. Call Center O Call Center o departamento responsvel por receber as ligaes telefnicas dos pacientes que buscam informaes sobre os servios oferecidos pelo laboratrio. Em contato com o Call Center, os pacientes tiram suas dvidas sobre os exames que podem realizar, sobre a cobertura de convnios, realizam agendamento de procedimentos, obtm instrues para a realizao da coleta etc. Dados importante a registrar: Informaes ? recolhidas durante os contatos telefnicos: constituem-se em subsdio importante para a construo de um repositrio de relacionamento (CRM). Contedo das ? ligaes: pode ser gravado, garantindo segurana na comunicao entre pacientes e atendentes, e possibilitando o monitoramento do servio. Quando houver questionamentos sobre a comunicao entre o laboratrio e o paciente, o contedo das conversas telefnicas pode elucidar eventuais dvidas. Tempo de espera de cada ligao entrante: deve ser registrado a fim de produzir estatsticas ? de qualidade de atendimento. Cadastro prvio dos pacientes e dos exames que iro realizar: o laboratrio pode conhecer ? com antecedncia que exames o paciente far, sob que condies e utilizando qual convnio/plano: Possibilita conhecer antecipadamente como se dar a ocupao das unidades de cole? ta/procedimentos, em especial nos casos onde se realizam diagnsticos por imagens. Racionaliza ?e reduz o tempo gasto numa futura admisso. Reduz as intercorrncias na admisso (exames no autorizados, no realizados em uma ? determinada unidade etc). Reduz intercorrncias na coleta a partir do envio prvio das instrues de preparo. ? Agendamento ? dos procedimentos: possibilita ao laboratrio administrar racionalmente as agendas dos profissionais responsveis pela realizao dos exames: Reduz o absentesmo: pacientes podem ser lembrados (por e-mail, SMS, ligaes ? telefnicas) das datas agendadas para procedimentos. Fazendo contato com os pacientes na vspera da realizao dos exames, o laboratrio ? pode obter a confirmao de que eles sero efetivamente realizados.
Pr-atendimento Ao se dirigir a uma unidade de coleta ou centro de diagnsticos por imagem, o paciente pode, na entrada, receber uma senha numerada. Um balco de pr-atendimento pode receber o paciente, solucionar suas dvidas e realizar a associao da senha a um determinado paciente que j foi cadastrado anteriormente. Este cadastro pode ter sido feito a partir de uma ligao ao Call Center. Se houver um pr-pedido j cadastrado, o registro da senha informa ao laboratrio que o paciente j chegou e que os respectivos procedimentos para sua admisso e realizao dos exames agendados j podem ser iniciados. Pacientes com senhas podem ser associados a filas adequadas ao seu estado clnico, condio fsica, idade etc. Dados importantes a registrar: Data e hora ? de chegada do paciente unidade: permite o clculo do TAT e do ndice de evaso pacientes que chegam ao laboratrio mas no completam a admisso. Tipo de fila ?a qual o paciente foi associado: permite a construo de estatsticas de tempos de espera para admisso e d subsdios para medies de qualidade dos servios prestados. Convocao para a admisso Nesta etapa, os pacientes das diversas filas so chamados admisso. Isso pode ser feito: Chamando cada paciente por seu nome. ? Ou por meio ? da utilizao de painis eletrnicos que exibem, para cada fila, o nmero da senha que est sendo chamada. Dados importante a registrar: Data e hora ? de convocao: permite o clculo do TAT e possibilita a construo de estatsticasde tempos de espera at a admisso. Admisso de pacientes Nesta etapa, so realizados os cadastros do paciente e dos exames solicitados. Dados importantes a registrar: Nmero da senha, identificao do atendente, data e hora da convocao: ? Permite o clculo do TAT. ? Permite realizar medies da qualidade dos servios prestados ao cliente. ? Permite a obteno de estatsticas de tempo de espera (por paciente, por atendente, ? por turno etc). Permite o clculo do ndice de evaso (pacientes convocados que no se apresentaram ? para a admisso).
A identificao ? correta do paciente: cadastros mltiplos (mesmo paciente com mais de uma identificao no sistema) inviabilizam a rastreabilidade. O sistema informtico deve possuir mecanismos para garantir um cadastro nico para cada paciente pesquisa fontica por nome, cruzamento de informaes, alertas de duplicidade, foto digitalizada etc. Autorizao ? do convnio: para consulta futura e soluo de problemas com glosas. Informaes ? sobre eventuais pagamentos (paciente particular): importante saber se h pendncias de pagamentos de um determinado paciente. Imagem digitalizada do pedido mdico original: permite dirimir dvidas durante a fase ? analtica e laudagem. Facilita a soluo de problemas junto aos convnios. Convocao para a coleta Nesta etapa, os pacientes das diversas filas so chamados coleta. Isso pode ser feito: Chamando-se ? cada paciente por seu nome. Ou por meio ? da utilizao de painis eletrnicos que exibem, para cada fila, o nmero da senha que est sendo chamada. Dados importantes a registrar: Nmero da senha, identificao do coletor, data e hora da convocao: ? Permite o clculo do TAT. ? Permite realizar medies da qualidade dos servios prestados ao cliente. ? Permite a obteno de estatsticas de tempo de espera por paciente, por coletor, por ? turno etc. Permite o clculo do ndice de evaso pacientes convocados que no se apresentaram ? para a coleta. Coleta Dados importantes a registrar: Identificao ? do coletor. Registro de ?ocorrncias durante a coleta. Autorizao ? para a coleta. Lotes de eventuais insumos e consumveis. ? Confirmao ? de amostras colhidas. Apontamento ? de material faltante. Envio de lotes de amostras para as unidades produtivas Dados importantes a registrar: Identificao ? das amostras que compem o lote. Data e hora ? de embarque do lote. Condies de ? envio.
Identificao ? do usurio que realizou o embarque. Registro de ?intercorrncias. Recebimento de lotes de amostras nas unidades produtivas Um dos pontos de inspeo mais importantes no fluxo operacional de qualquer laboratrio o processo de recebimento das amostras na rea tcnica. Seja de forma individual, ou por lotes de amostra, os procedimentos operacionais executados aqui devero assegurar que, at este momento, as amostras colhidas dos pacientes foram recebidas de acordo, ou no, com os pr-requisitos acordados e que os prximos processos relativos fase analtica podero seguir com suas etapas especficas com garantia de qualidade. Os registros relativos a esse importante ponto de inspeo podero apoiar o laboratrio a corrigir eventuais falhas e preparar as melhorias do processo, alm de garantir a rastreabilidade das informaes. As alternativas em termos de procedimentos operacionais para assegurar-se que todas as amostras que foram colhidas nas unidades de coleta chegaram em condies de uso e foram recebidas pela rea tcnica, so diversas. Dependendo da capacidade de cada sistema de gesto, da estrutura organizacional do laboratrio, da tecnologia disponvel e dos custos envolvidos. Assim, seja de forma manual ou automatizada, essa atividade de verificao dever ser executada reconhecendo-se amostra por amostra, ou por lotes e sua identificao, ou por recipiente de transporte com identificao. Nos casos de volumes maiores, comum assegurar-se que o recipiente de transporte das amostras e seu contedo foram conferidos nas unidades de coleta, e que as informaes relativas ao seu contedo, amostra por amostra, esto relacionadas ao nmero daquele lote ou recipiente. Assim, com a chegada do lote ou do recipiente na rea tcnica, uma vez que seu contedo foi assegurado na sada da unidade de coleta, o sistema de gesto reconhece que todas as amostras relativas a este lote ou recipiente chegaram rea tcnica. As informaes relativas a esse evento (registro de evento) marcam o incio do processo na rea tcnica, e so determinantes para as tomadas de deciso ou para a melhoria de processos. Dados importantes a registrar: Identificao ? das amostras que foram recebidas no lote. Data e hora de ? chegada do lote. Condies de ? recebimento. Identificao ? do usurio que realizou o recebimento. Registro de intercorrncias. ? Grfico de temperatura. ? Recebimento de amostras nos setores: Dados importantes a registrar: Identificao ? das amostras que foram recebidas. Data e hora de ? recebimento. Condies de ? recebimento.
Identificao ? do usurio que realizou o recebimento. Registro de intercorrncias. ? Passagem manual de resultados Seja atravs de um fluxo automatizado, ou atravs de tcnicas manuais, uma vez que as amostras estejam fisicamente presentes na rea tcnica e disponveis para continuidade no processo, o sistema de gesto reconhecer os pedidos de testes pendentes referentes a cada amostra, a cada setor, a cada procedimento, e produzir informaes para que os profissionais dos setores tcnicos tenham conhecimento das atividades a serem produzidas para cada amostra e seu prazo de entrega de resultados. O conjunto dessas informaes conhecido como mapa de trabalho ou listagem das ordens de servio por setor. Atravs do mapa de trabalho, o profissional ou o setor tcnico responsvel pelos procedimentos ter as informaes disponveis por relatrios impressos ou atravs das telas do sistema de gesto para que possa dar seguimento s suas atividades. Portanto, para efeito de rastreabilidade, esse ponto de inspeo e as informaes que compem o mapa de trabalho asseguram que cada setor tcnico recebeu as orientaes para executar os procedimentos relativos a cada amostra. Alguns sistemas de gesto proveem ferramentas para que cada setor tcnico confirme, em conjunto com o recebimento dos mapas de trabalho, a chegada das amostras na sua rea e, a partir deste momento, sob sua responsabilidade. Tratando-se do fluxo automatizado, neste ponto do processo, o sistema de gesto gera as informaes relativas s ordens ou pedidos de cada amostra diretamente aos instrumentos ou ao sistema de interface para que os instrumentos (bidirecionais) reconheam as ordens de testes relacionadas a cada amostra. Fluxos automatizados A adoo de um fluxo automatizado, atravs do uso de tcnicas de interface com os instrumentos e aes de sistema que possam apoiar nas decises e nos processos da rotina, traz inmeras vantagens. Alguns dos principais benefcios atingidos pela adoo de um fluxo automatizado so: Confiabilidade ? maior no processo analtico. Reduo da ?dependncia dos processos manuais, tanto na transcrio das ordens dos testes aos instrumentos como na transcrio dos resultados (digitao) ao sistema de gesto laboratorial. Apoio nos processos de validao e liberao dos resultados. ? Reduo dos ? prazos de entrega de resultados. Aumento global de produtividade. ? Registros de ? eventos, alertas e alarmes. Integrao entre o sistema de gesto e o sistema de interface A caracterstica principal nos projetos de automao a troca de informaes entre o sistema de gesto, conhecido como LIS (Laboratory Information System) ou HIS (Hospital Information System) e os instrumentos de anlises clnicas. Esta troca de informaes entre os sistemas de gesto e os instrumentos de anlises clnicas pode ocorrer tanto de forma direta, quando feita atravs do prprio sistema de gesto (LIS ou HIS) com os instrumentos, ou, o que mais comum no mercado mundial, atravs de sistemas de interface, especialistas, dedicados
comunicao com os instrumentos. O sistema de interface se comunica com o sistema de gesto laboratorial, e assume a responsabilidade pela comunicao com os diversos instrumentos de analises clnicas do laboratrio.
Sistema de Interface
Instrumento 1
Sistema de Gesto LIS/HIS
Instrumento 2
Instrumento N
Quando a comunicao entre o sistema de interface e o sistema de gesto est definida, desenvolvida e operacional, o sistema de interface passa a receber do sistema de gesto as informaes sobre os pacientes e os testes a serem realizados em cada amostra (ordens), traduz estas informaes de acordo com os diferentes cdigos internos de cada instrumento de analises clnicas e os disponibiliza para os instrumentos. Os instrumentos, com base nas informaes recebidas pelo sistema de interface, ou diretamente pelo sistema de gesto, estaro aptos a serem carregados com as amostras e executar os testes solicitados. Ao final do processo de anlise dos testes, quando os resultados estiverem disponveis pelos instrumentos, cabe ao sistema de interface, ou ao sistema de gesto, receber esses resultados eliminando-se a necessidade de sua digitao no sistema de gesto pelos profissionais do laboratrio, e claro, reduzindo-se ao mximo os riscos de erros provenientes desse processo. Os sistemas de interface, ou os sistemas de gesto laboratorial que se comunicam de forma direta com instrumentos de anlises clnicas, devem manter e disponibilizar registros desses eventos de comunicao que providenciem formas de consultas s informaes de rastreabilidade. Neste aspecto, as informaes relevantes, alm da data e hora desses eventos, so aquelas relativas aos pedidos de testes (ordens) enviados a cada instrumento, se este recebeu e reconheceu os pedidos de forma correta, e, claro, os registros relativos a entrega dos resultados, assim como os sinais de que a comunicao ocorreu com sucesso.
Dados importantes a registrar: Data e hora ? do evento, identificao do paciente, identificao da amostra, cdigos dos testes ordenados, quando disponvel, identificao do instrumento destino, e se a ordem foi recebida com sucesso pelo sistema de interface ou instrumento: Permite marcar o momento exato que as ordens foram recebidas pelo sistema de ? interface ou instrumento. Se a comunicao entre os sistemas e ou instrumentos ocorreu com sucesso. ? Alguns sistemas de interface e alguns sistemas de gesto oferecem tambm outras funcionalidades complementares simples comunicao e interface com os instrumentos. Exemplos: Ao receber ?os resultados dos instrumentos de anlises clnicas, prover a edio (arredondamento, acerto de casas decimais etc), interpretao (converso de resultados quantitativos em qualitativos), efetuar clculos com os resultados. Gerenciar a ? crtica e a liberao dos resultados, aplicando regras de lgica liberao de resultados dos exames, configurveis pelos profissionais do laboratrio, e apoiando o processo de verificao, liberao, ou reexecuo de testes e contribuindo para reduo do tempo total do processo (TAT). Possibilidade ? de comparao de resultados anteriores aos resultados dos testes atuais. Gerenciar e ? acompanhar o fluxo das amostras, tais como a repetio de execuo de testes, apontando o status e a correta localizao das amostras, assim como as suas pendncias de testes. Gerenciar o ? armazenamento das amostras (Soroteca) e o registro de eventos que facilitem a busca de informaes relativas localizao das amostras no laboratrio. Gerenciar as ? aes relativas s calibraes dos instrumentos de anlises clnicas e as informaes relativas s amostras de controle de qualidade. Neste caso, ocorrendo uma violao dos limites pr-estabelecidos para os resultados dos analitos de controles de qualidade, prover formas de interao para que o laboratrio possa tomar as aes corretivas. Para todas essas funcionalidades complementares, o sistema de interface ou o sistema de gesto dever manter registro dos eventos provenientes dessas atividades. Esses registros de eventos e suas informaes associadas devem prover subsdios para reconhecimento das informaes relativas s amostras antes e aps o processamento das tratativas ou aes com os resultados. Explicando melhor, o objetivo aqui manter registro dos dados originais (nativos) recebidos dos instrumentos de anlises clnicas, sem qualquer interao via sistema, e tambm manter registro do evento e informaes associadas aps a aplicao das tratativas ou regras aplicadas aos resultados. Esses registros de eventos, antes de qualquer interao com os resultados provenientes dos instrumentos de anlises clnicas e depois da interao do sistema, com a aplicao de clculos, edies, interpretaes ou aplicaes de regras, iro garantir as informaes requeridas rastreabilidade vinculada aos processos de automao laboratorial. Dados importantes a registrar nestes eventos: Alm da data ? e hora da ocorrncia do evento, identificao do paciente, identificao da amostra, serve para marcar a situao dos testes e seus resultados antes que sejam tratados
pela aplicao de clculos, edies, aplicao de regras, e servir de memria de registro dos resultados em sua forma nativa, como foram recebidos dos instrumentos. Alm da data ? e hora da ocorrncia do evento, identificao do paciente, identificao da amostra, serve para marcar a situao dos testes e seus resultados aps serem tratados pela aplicao de clculos, edies, aplicao de regras, e servir de memria de registro dos resultados em sua forma final, como foram modificados pelo sistema de interface ou pelo sistema de gesto laboratorial. Permite registrar as aes efetuadas, a forma nativa dos resultados e tambm a forma ? final aps as aes do sistema ou do usurio do sistema. Se a comunicao entre os sistemas e ou instrumentos ocorreu com sucesso. ? Outro ponto importante, tratando-se de processos de automao laboratorial, o registro dos testes e das simulaes que foram executadas, antes da entrada do sistema de automao ou suas manutenes em produo. Esses registros iro garantir a qualquer auditor evidncias que as tratativas com os resultados, atravs de clculos, edies, interpretaes e aplicao de regras de crtica ou avaliao de resultados, foram testadas e homologados antes de sua entrada em produo e, portanto, garantem que os resultados esto de acordo com as tratativas aplicadas. Dados importantes a registrar: Data e hora ? do evento e informaes de todos os testes de simulao efetuados e o responsvel pela homologao e liberao para entrada em produo. Permite informaes sobre o universo de testes efetuados, e se as simulaes produziram ? os resultados esperados atravs da aplicao de clculos, edies, interpretaes, regras de lgica no tratamento dos dados. Permite marcar a identificao do responsvel pela homologao das simulaes e aprova? o das aes para entrada em produo. Produo de resultados Tanto para os processos do fluxo operacional manual como para o automatizado, os pontos de inspeo e os registros de eventos ocorrem ao longo das atividades analticas de determinao de resultados. Uma vez que as amostras e os mapas de trabalho foram recebidos pelo setor tcnico, cabe a cada setor produzir os testes solicitados e entregar os resultados validados no prazo acordado com os pacientes. Nesta fase do processo, vale a pena citar os eventos e os pontos de inspeo mais importantes que iro assegurar os registros apropriados rastreabilidade. Dados importantes a registrar: Registros de ? informaes referentes qualidade das amostras para o que processo de anlise possa seguir adiante. Registros das ? etapas de calibrao de instrumentos e passagem dos controles dos analitos, que serviro de evidncias do controle de qualidade aplicado pelo laboratrio. Estes registros so requeridos pelos auditores quando das inspees para certificaes. Registros das ? repeties de testes, que serviro para sanar dvidas com respeito a valores de resultados alterados, ou mesmo para que sirvam de alerta ao mdico do paciente.
Registros das ? intercorrncias com as amostras, instrumentos, lotes dos reativos ou controles, e infraestrutura do setor tcnico, tais como falhas de energia, alteraes de temperatura, e os eventos importantes ocorridos com os profissionais tcnicos. Como explicamos no item anterior, que trata de fluxo automatizado, alguns sistemas de interface ou sistemas de gesto j oferecem ferramentas para registro de informaes desses eventos de forma automtica, ou provem telas para que estes eventos possam ser registrados. Entrada de resultados no sistema de gesto No caso de processos manuais, uma vez determinado o resultado dos testes, a etapa de entrada desses resultados no sistema de gesto ocorre atravs da sua digitao no sistema de gesto. Para o fluxo automatizado, uma vez que os resultados sejam disponibilizados ao sistema de interface, ou ao sistema de gesto de forma direta, a entrada de resultados ocorre de forma automtica. Independentemente da forma como ocorrer a entrada de resultados no sistema de gesto, seja de forma manual, atravs da digitao, ou de forma automtica, atravs da troca de informaes entre sistemas, cabe registro do evento apontando a data e a hora da ocorrncia, as informaes relativas identificao do digitador ou apontamento, se ocorreu de forma automtica. Dados importantes a registrar: Data e hora ? do evento, identificao do paciente, identificao da amostra, cdigos dos testes e seus resultados associados, a identificao do instrumento origem dos resultados, ou a identificao do usurio que digitou os resultados, e se os resultados foram recebidos com sucesso pelo sistema de interface ou sistema de gesto. Permite marcar o momento exato que os resultados foram recebidos pelo sistema de gesto ? laboratorial. Se a comunicao entre os sistemas e ou instrumentos ocorreu com sucesso. ? Liberao de resultados Uma vez completado o processo de anlise e determinao dos resultados, deve-se seguir com sua liberao. Para isso, os laboratrios costumam adotar rgidos padres de segurana, tanto para os processos manuais como para os fluxos automatizados, a fim de garantir que os resultados sero liberados conforme os critrios adotados pela instituio e por profissionais qualificados para tal. Os sistemas de interface e os sistemas de gesto devem fornecer apoio a esses processos, disponibilizando funcionalidades exclusivas para a realizao dessas atividades. Neste sentido, muitos sistemas suportam dois nveis de liberao de resultados: Liberao tcnica: realizada pela bancada, relativa aos resultados de exames sob sua respon? sabilidade. Liberao clnica: realizada posteriormente liberao tcnica, relativa ao conjunto dos ? resultados de cada paciente, independentemente dos setores de realizao de cada um dos exames.
Cabe a cada laboratrio decidir, em cada caso, quando utilizar apenas um dos nveis ou ambos. Seja qual for a modalidade escolhida, a rastreabilidade ponto fundamental e obrigatrio nos processos de liberao. Dados importantes a registrar, para cada um dos exames: Modalidade ?de liberao (tcnica ou clnica). Lembrar que, nos casos onde ocorrem os dois tipos de liberao, teremos usurios liberadores diferentes para cada uma das modalidades. Data e hora ? de cada uma das liberaes. Identificao ? do(s) profissional(ais) responsveis pela liberao em cada uma das modalidades. Comentrios ? e observaes complementares. Caso uma das ? liberaes tenha sido feita de modo automtico (baseada em regras), importante que isso fique corretamente registrado. Expedio de laudos nesta etapa que os laudos, devidamente liberados, devem chegar aos pacientes, seus mdicos ou instituies solicitantes. Isso pode ser feito: Pela impresso ? dos laudos em papel, seguida de envio aos respectivos destinatrios. Esta opo cada vez menos utilizada em funo da popularizao dos mecanismos de consulta de laudos pela Internet. Disponibilizao do laudo pela Intranet ou Internet. ? A expedio de laudos tambm pode ser rastreada, bastando registrar: A data e a hora ? da emisso do laudo em papel ou da disponibilizao do laudo pela Internet. No caso exclusivo de laudos disponveis pela Internet: ? Identificao ? do paciente ou solicitante que visualizou o laudo. Isso pode ser obtido pois, para ter acesso ao laudo pela Internet, o paciente/solicitante teve que realizar seu login no portal de laudos, fornecendo seu cdigo de usurio e senha. Data e hora ? da visualizao. Faturamento Grande parte dos problemas que ocorrem em um laboratrio clnico e que exigem soluo imediata tem relao com os processos de faturamento. O registro correto de informaes e a rastreabilidade, em especial das etapas iniciais do fluxo laboratorial (admisso e coleta), constitui-se na maneira mais simples e segura de dirimir dvidas e minimizar a ocorrncia de problemas que podem afetar o faturamento, em especial as glosas. So fatores que auxiliam na reduo de intercorrncias permitindo uma comunicao correta com os convnios em caso de dvidas: A correta identificao dos pacientes. ? A completa identificao dos convnios e planos utilizados em cada admisso. ?
O registro de ? todo o processo de aprovao para a realizao de exames ou procedimentos, tendo ele sido feito de modo manual (por meio de ligao telefnica, fax etc) ou de modo automtico por meio de autorizao eletrnica desse registro devem constar a imagem das autorizaes em papel, o nmero da autorizao eletrnica e toda e qualquer informao que sirva para esclarecer dvidas que podem ocorrer futuramente, como o nome do autorizador, nome do atendente na recepo etc. O armazenamento, preferencialmente em formato digital (imagem), do pedido mdico original ou ? da guia de pedido do convnio. As informaes ? de confirmao de coleta que permitam assegurar que um determinado procedimento foi realizado. Alm dos itens j mencionados, pode ser importante colecionar evidncias da realizao dos exames. Em alguns casos, isso chega a ser uma exigncia dos convnios. Outra boa prtica garantir, antes da consolidao do faturamento, que todas as informaes necessrias, e exigidas pelos convnios, estejam disponveis e previamente conferidas. O custo real da rastreabilidade Como vimos, rastrear processos aumenta a qualidade, melhora os servios prestados aos pacientes e auxilia na soluo de eventuais problemas tcnicos e comerciais. No entanto, o armazenamento e a disponibilizao de dados histricos requer subsdios importantes, tanto de infraestrutura tecnolgica como organizacionais. Armazenamento das informaes histricas Cada passagem de um paciente pelo laboratrio ir gerar, em funo de sua prpria natureza e complexidade, uma quantidade muito grande de informaes. Por essa razo, a TI dos laboratrios deve prover infraestrutura que possibilite o armazenamento e a recuperao seguros desse volume de dados: Deve-se alocar ? espao suficiente nos servidores, compatvel com o volume de dados a armazenar. Pode-se reduzir o espao dedicado ao armazenamento de informaes rastreveis determinan? do-se, para cada categoria de dados, seu perodo de reteno. Podemos, por exemplo, armazenar todas as informaes de pacientes e exames por 20 anos. As admisses compreendidas nesse perodo teriam seus dados disponveis para consulta on-line, a qualquer tempo e instantaneamente. Para os dados ? mais antigos, pode-se optar por um mtodo de armazenamento secundrio, onde cada consulta feita sob demanda, por meio de procedimentos especiaisos dados no mais estaro disponveis para consulta on-line. O importante ? garantir que ao longo do tempo esses dados no se deteriorem. Para isso, recomenda-se a utilizao de redundncias e o armazenamento seguro de backup. Cuidados com a troca de sistemas de informao Se na histria do laboratrio ocorrer a troca de seu LIS, preciso garantir que os dados armazenados no sistema legado ainda estejam disponveis depois que o novo sistema entrar em produo.
De um modo ideal, isso pode ser feito: Realizando-se ? a migrao completa dos dados legados para o sistema atual. Na prtica, sabemos que esse objetivo muito difcil de ser atingido. Mantendo-se ? o sistema legado ativo, com um nmero reduzido de pontos de acesso, apenas para consulta aos dados histricos. Mas isso tambm gera muitos inconvenientes, como a necessidade de convivncia com tecnologias no suportadas, perda de continuidade no registro histrico dos pacientes etc. Como no existe uma frmula perfeita para resolver essa situao, o melhor analisar cada cenrio, definir os melhores compromissos entre as necessidades reais e as possibilidades tecnolgicas e optar por uma soluo que propicie um mnimo de perdas. Por exemplo, manter os dados legados segregados, migrando apenas os dados de resultados de exames de cada paciente. Recuperao de dados histricos Uma vez armazenados, os dados histricos devem permitir fcil recuperao. Os sistemas LIS costumam ter funcionalidades especficas para a recuperao de dados relativos aos processos rastreveis mais comuns. No entanto, em muitas ocasies, preciso recuperar esses dados de um modo nico, que no foi previsto nas rotinas existentes no LIS. Para esses casos, podemos nos valer de ferramentas especiais, como: Geradores de ? relatrios que podem ser operados pelos prprios usurios. Softwares de ? organizao e recuperao de dados como Data Warehouses ou softwares de BI(Business Intelligence). Ferramentas ? estatsticas. Cabe lembrar que o acesso a grandes volumes de dados requer muita performance de servidores e gerenciadores de Bancos de Dados, cabendo gesto de TI o dimensionamento (capacity planning) tanto do espao de armazenamento quanto do volume de processamento adequados ao tipo de recuperao que ser efetuada. Ferramentas e tecnologias que apiam o registro das informaes rastreveis No sentido de facilitar o registro dos eventos e das informaes para futura rastreabilidade, existem vrias alternativas e opes disponveis, a depender da tecnologia e dos custos que se pretendem adotar. Algumas das opes, ou tendncias tecnolgicas, mais comuns no mercado so: Cdigo de barras A tecnologia de cdigos de barras j tem consolidado seu uso e sua prtica h pelo menos 30 anos. Inicialmente, era aplicada exclusivamente nos setores da indstria e do comrcio, por exemplo, em supermercados, e depois em vrios outros setores. J h algum tempo servem no s para facilitar e assegurar a correta identificao do paciente e suas amostras, mas tambm na identificao de laudos, medicamentos consumidos e em outras fases dos processos em sade. Em termos tcnicos, os cdigos de barras oferecem a representao grfica de dados numricos ou
alfanumricos. A decodificao (leitura) dos dados realizada por um tipo de scanner o leitor de cdigo de barras , que emite um raio vermelho que percorre todas as barras. Onde a barra for escura, a luz absorvida; onde ela for clara (espaos), a luz refletida novamente para o leitor. Os dados capturados nessa leitura so compreendidos pelo computador que, por sua vez, converte-os em letras ou nmeros legveis pelos humanos. Sua ampla utilizao nas etiquetas de identificao de amostras o fator determinante para que um fluxo automatizado possa ser implementado nos laboratrios de anlises clnicas. RFID RFID a sigla de Radio-Frequency IDentification, originria da lngua inglesa, que significa Identificao por Rdio Frequncia. Trata-se de um mtodo de identificao automtica atravs de sinais de rdio, recuperando e armazenando dados remotamente atravs de dispositivos denominados etiquetas RFID. Uma etiqueta, ou tag, RFID um pequeno objeto (conhecido como transponder) que pode ser colocado em uma pessoa, animal, equipamento, embalagem ou produto, dentre outros. Contm chips de silcio e antenas que lhe permite responder aos sinais de rdio enviados por uma base transmissora. Alm das etiquetas passivas, que respondem ao sinal enviado pela base transmissora, existem ainda as etiquetas semipassivas e as ativas, dotadas de bateria, que lhes permite enviar o prprio sinal. So bem mais caras que do que as etiquetas passivas. Aplicaes em laboratrios e hospitais Muitos hospitais tm comeado a adotar sistemas RFID ativos com o objetivo de localizar peas de equipamentos quando o pessoal mdico os necessita. Esta rastreabilidade serve a dois propsitos. Primeiro, o pessoal mdico, especialmente enfermeiros, pode gastar menos tempo caando" equipamentos que precisam, o que faz com que dediquem proporcionalmente mais tempo ateno direta aos pacientes. Em segundo lugar, os hospitais podem utilizar de forma mais eficiente os equipamentos que tm, gerando menos despesas relativas locao e aquisio de equipamentos adicionais. Tais sistemas RFID tem sido chamados de "sistemas de localizao interna. Outros hospitais comearam a adotar RFID ativo para identificar e localizar pacientes e membros da equipe. Por exemplo, dispositivos RFID foram incorporados em pulseiras de identificao de pacientes para que o pessoal mdico possa identific-los eletronicamente antes de cirurgias e transfuses sanguneas, e antes de administrar medicamentos. Alm disso, esses sistemas foram implementados com o objetivo de localizar e acompanhar movimentos e fluxos de pacientes e de materiais atravs do hospital. Da mesma forma, a equipe mdica recebe etiquetas RFID ativas incorporadas em crachs, a fim de recolher dados sobre presena e encontrar ineficincias nas operaes hospitalares. Estes ltimos tipos de sistemas tm sido implementados principalmente em pronto-socorros e centros cirrgicos, que so locais onde h grande volume de pacientes e os riscos crescentes de erro mdico. Biometria Este termo est associado s caractersticas fsicas ou comportamentais das pessoas como forma de identific-las unicamente. Hoje a biometria usada na identificao criminal, controle de acesso etc. Os sistemas chamados biomtricos podem basear o seu funcionamento em caractersticas de diversas partes do corpo humano, por exemplo: olhos, palma da mo, digitais do dedo, retina ou ris
dos olhos. A premissa em que se fundamentam a de que cada indivduo nico e possu caractersticas fsicas e de comportamento (voz, maneira de andar etc) distintas. Em geral, a identificao por DNA no considerada, ainda, uma tecnologia biomtrica de reconhecimento, principalmente por no ser ainda um processo automatizado (demora algumas horas para se criar uma identificao por DNA. Tablets e dispositivos mveis Um tablet PC um dispositivo pessoal em formato de prancheta que pode ser usado para acesso Internet, organizao pessoal, visualizao de fotos, vdeos, ou fazer uso de aplicaes de sistemas nas diversas reas de negcios. Apresenta uma tela touchscreen, que o dispositivo de entrada principal. A ponta dos dedos ou uma caneta aciona suas funcionalidades. um novo conceito. No deve ser igualado a um computador completo ou um smartphone, embora possua diversas funcionalidades dos dois. Devido s vantagens da mobilidade, a cada dia surgem novas aplicaces e caractersticas de sistema que faciltam o registro de eventos ou a busca de informaes para apoio nos processos operacionais.
Validao e boas prticas de verificao e liberao

A tecnologia da informao tornou-se uma ferramenta essencial nas diversas fases do laboratrio de anlises clnicas, fortemente presente nas etapas pr-analtica, analtica e ps-analtica, sendo facilmente comprovado seu uso, desde os laboratrios de pequeno porte aos mais complexos centros de anlises clnicas. Considerando que os sistemas de tecnologia da informao oferecidos no mercado ou mesmo os desenvolvidos pelos prprios laboratrios na forma in house possuem propostas, formas, utilizao, processos, recursos, plataformas operacionais, linguagens, tratamento de dados e tantas outras caractersticas, no tarefa fcil a avaliao quanto a sua real eficcia(*1) no aspecto de maior importncia para o laboratrio de anlises clnicas e, em consequncia, pelo cliente final: a liberao final de resultados, absolutamente corretos, com o uso dos mtodos acordados e no prazo combinado. esperado que existam diretrizes e regras que orientem quanto ao resultado esperado pelo dado tratado neste ambiente, ou seja, que o resultado do processo sistmico esteja dentro dos critrios estabelecidos e atendendo as necessidades do referido processo. Esta tarefa, longe de ser elementar, deve ser conduzida de forma racional e objetiva, no que se espera do uso dos sistemas de informao, em especial, no tratamento do grande volume de dados que se obtm no processo analtico do laboratrio de anlises clnicas. Diante deste quadro, abordaremos o Funcionamento de sistemas e desenho de regras bem como a Validao no laboratrio. (*1) s.f. Qualidade daquilo que produz o efeito que se espera.
Funcionamento de sistemas e desenho de regras

O que se espera do funcionamento de sistemas de informao que o resultado final de uma determinada rotina obedea aos padres e expectativas conhecidas/concebidas. Como exemplo clssico temos a aplicao de um algoritmo(*2) realizando uma determinada funo matemtica para os dados informados, gerando uma resposta que seja adequada a proposta do algoritmo. importante registrar que este procedimento repetido inmeras vezes gere os mesmos resultados. Os sistemas de informao so, na sua essncia, uma complexa rede de algoritmos que ditam aos computadores os passos especficos, a ordenao, a execuo, a expectativa de resultados, considerando como uma sequncia de operaes que podem ser aplicadas repetidamente dentro dos parmetros rigorosamente definidos, com a resposta do comportamento esperado nas mais diversas circunstncias. Cabe destacar que como qualquer operao, a existncia potencial da imprevisibilidade(*3) deve ser considerada como parte integrante do cenrio sistmico e, portanto regras, devem ser aplicadas para monitorar e controlar, possibilitando que correes sejam realizadas sempre que desvios, irregularidades ou divergncias forem observados (ou melhor, dentro do possvel, antes que ocorram). (*2) s.m. Sequncia de raciocnios ou operaes que oferece a soluo de certos problemas. (*3) s.f. Qualidade de imprevisvel ( adj. Que no se pode prever). Existe uma clara expectativa, por parte do mercado, que os resultados dos exames sejam liberados nos menores prazos possveis e com amplo acesso informao das mais variadas formas pelo cliente final ou mdico, sendo uma tarefa na qual a tecnologia da informao tem contribudo sobremaneira para sua efetivao.
Partindo desta premissa, a liberao de laudos com extensa validao, que possa ser realizada das formas mais automatizadas possveis, tem sido uma busca importante, especialmente na etapa analtica, onde os equipamentos da automao laboratorial oferecem amplos recursos para integrao com a plataforma de sistemas (enviando e recebendo informaes). Assim, favorecem a aplicao de algoritmos que possam determinar liberaes dentro de critrios amplamente discutidos, avaliados e controlados. Critrios definidos por exames, conforme a metodologia aplicada e utilizando algumas faixas de valores para os resultados obtidos, sejam faixas com valores absolutos ou mesmo com valores percentuais/relativos, so normalmente os mais utilizados na definio dos requisitos de liberao de resultados, porm no devem ser considerados como nicos, nem tampouco como suficientes. O profissional que atua na liberao de resultados deve dispor de recursos que apresentem dados e informaes que lhe permitam uma validao final consistente e segura. Para tanto, devemos considerar os requisitos mnimos para suportar adequadamente a rotina de liberao de resultados. A seguir, apresentamos um diagrama com as informaes e recursos que devem estar disposio para a liberao dos resultados, desde a etapa do atendimento do paciente (pr-analtica), com clareza dos dados do paciente, do mdico solicitante, data do atendimento, exames solicitados entre diversos outros, total disponibilidade dos dados gerados na etapa analtica, sendo garantido o amplo acesso ao dado bruto enviado por aparelhos automatizados, e em especial, acesso aos controles de qualidade aplicados as rotinas realizadas. O acesso fcil e rpido s informaes histricas do paciente e seus exames so elementos fundamentais para a garantia de uma deciso de qualidade.
Requisitos mnimos para a rotina de liberao de resultados
Dados do paciente, atendimento e mdico
Informaes bsicas do paciente Nome, sexo, idade, altura, peso, cor, localidade, telefone, outros.
Informaes do atendimento Data do atendimento, medicamentos, dieta, questionrios, data ltima mestruao, abst. sexual, unidade hosp/enfermaria, exames solicitados, complementos. Informaes bsicas do mdico solicitante Nome, especialidade, telefone.
RECURSOS DO SISTEMA
Rotina de Liberao de Resultados

SIL Sistema de Informao Laboratorial
Viso histrica
Acesso aos resultados anteriores por exames, aos laudos anteriores do paciente, histrico de contato com mdico e paciente.
Recursos para liberao

Flags coloridos para resultados alterados, crticos entre outros. Comparao automtica com resultados anteriores do paciente, Valores referenciais aplicados aos exames. Permitir bloqueio/trava por exame, rotina ou paciente.
Integrao tcnica
Confirmar resultados, solicitar reprocessamento da amostra, nova amostra, informe de problemas de processamento e/ou na amostra.
Informaes do processamento dos exames
Resultados dos Exames Valor obtido, UI, mtodo / eqp, Valor referencial, rotina / lote,data realizao, resultados digitados (histrico).
Controle de qualidade Resultado da calibrao da rotina

(Alto / Baixo, Positivo / Negativo, Muito Baixo / Moderadamente Baixo / Normal / Moderadamente alto / Muito Alto......)
Acesso imediato aos dados da rotina automatizada Dado bruto do exame, FLAGS/status especiais emitidos pelo aparelho
Validao no laboratrio
Uma importante ferramenta de avaliao das liberaes de resultados o uso do algoritmo delta check para monitorar, controlar e validar a liberao dos resultados obtidos, considerando as variaes fisiolgicas relacionadas ao paciente e a possibilidade de alteraes dos valores obtidos no perodo para o exame/resultado em questo. Garante-se, assim, que divergncias nos resultados sejam percebidas e possam ser amplamente informadas e investigadas, face aos recursos de anlise comparativa com os dados disponveis dos pacientes na base de informaes do sistema laboratorial. O objetivo do delta check pode ser definido em duas grandes propostas: identificar alteraes na condio do paciente em funo do resultado obtido (situao presente em comparao a anterior) e tambm para identificar falhas no processo pr-analtico (coleta incorreta, falhas de identificao de paciente / amostra). Essa ferramenta de controle de qualidade ps-analitica oferece verificao e acompanhamento importantes e deve ser estruturada com as rotinas de liberao aplicadas nos laboratrios de anlises clinicas. importante considerar que o delta check no o nico dispositivo de controle, nem tampouco novo, mas pode ser implementado de uma forma pouco complexa, evidenciando rapidamente situaes que merecem especial ateno do responsvel pela liberao de resultados das rotinas de exames. A grande limitao do delta-check que este instrumento avalia cada analito individualmente, ignorando as interrelaes entre os analitos que so analisados conjuntamente. Deste modo, nas implantaes de rotinas com o emprego de delta-check h necessidade de avaliar o conjunto final de resultados de cada paciente para garantir melhor consistncia clnica. Isto ocorre, especialmente, em funo de analitos que se alteram em escalas diferentes, como, por exemplo, TSH e T4L que apresentam uma relao aproximadamente log-normal entre eles. A lgica fuzzy (*4) tambm uma ferramenta da tecnologia da informao que auxilia na definio das amostras que esto sendo liberadas, ressaltando as que devem ser detidamente avaliadas pelos especialistas, pois apresentam resultados divergentes para a expectativa de resultados esperados para o paciente. Esta tecnologia possui caractersticas interessantes pois permite a insero de aspectos pouco usuais no cenrio tecnolgico, pois tratamos de situaes no estritamente booleanas (*5),, permitindo a adoo de condies especiais como talvez muito, pouco, aproximado, entre outras usuais e amplamente utilizadas no cenrio da medicina. Para os laboratrios de anlises clnicas, o emprego da lgica fuzzy, especificamente para a liberao de laudos, pode ser considerado como um agente de avaliao dos valores de entrada do paciente com relao aos resultados obtidos com os testes, o histrico do paciente e, por consequncia, uma sugesto de dados de resposta. Porm, fundamental a ampla integrao com o sistema de informao laboratorial e os sistemas de automao laboratorial, tendo um nvel elevado de complexidade. Os sistemas de emprego de regras sequenciais, booleanas ou fuzzy, permitem a construo de sistemas de avaliao mais complexos, com algoritmos abrangentes. Por um lado, existe maior dificuldade na construo de conjuntos de regras desse tipo. Por outro, h maior possibilidade de padronizao de aes no apenas de liberar ou no um resultado, mas como o laboratrio pretende padronizar sua resposta a um determinado conjunto de resultados. Para tanto, a documentao da lgica e dos resultados esperados de extrema importncia. A "inteligncia" determinada por quem escreve o conjunto de regras, e o sistema apenas automatiza a lgica documentada. Assim, a etapa de validao de um conjunto de regras deve ser bem demonstrada, utilizando-se
de diversas situaes e, preferencialmente, envolvendo um grupo maior de pessoas para sugerir situaes que podem ter passado despercebidas durante a montagem do algoritmo. Mesmo assim, considerada boa prtica a utilizao das regras com uma avaliao humana de seu desempenho, em paralelo, como medida adicional de segurana de modo anlogo aos estudos clnicos fase quatro, aps a liberao de medicamentos novos para a populao. Considere o exemplo a seguir: Caso clnico (dados do sistema laboratorial): Mulher, 35 anos, primeira visita ao laboratrio TSH=3,1mU/L(0,5-4,8); T3=728ng/dL(75-220) ; T4=8,8mg/dL(4-11) T4L=1,4ng/dL(0,8-1,5) TBG=22mg/mL(12-28) - Valores de referncia entre parnteses Estes resultados podem ser avaliados por regras booleanas complexas, como esta: IF T3T IS NUMERIC AND (T4TFLAG = 1 OR T4LFLAG = 1 OR TSHFLAG = 1) AND (T3T > 500) AND ((TSH > 0.4 AND TSH < 5) OR (T4T > 4 AND T4T < 11) OR (T4L > 0.8 AND T4L < 1.5)) THEN HOLD TSH AND HOLD T3T AND HOLD T4L AND HOLD T4L AND SET TEST ERROR FLAG OF T3T = CHEQUE Ac ANTI-T3 Vamos entender o que esta regra est executando: Na parte IF (SE), a regra avalia algumas condies: a presena de um resultado numrico de T3-total acima de 500ng/dL E pelo menos um destes: resultados de T4 total normal (entre 4 e 11g/dL) OU TSH normal (entre 0,4 e 5mU/L) OU T4L normal (entre 0,8 e 1,5ng/dL). Caso esta condio seja atingida, o programa executa a instruo THEN (ento), que estabelece que os resultados de TSH, T3T, T4L e T4T sero avaliados manualmente, e colocar uma observao de uso interno no resultado de T3T de "Cheque Ac ANTI-T3". Este caso, relativamente raro, de presena de anticorpos endgenos anti-T3 fica melhor documentado. O laboratrio pode ento definir uma conduta especial para este caso, que ser seguida mesmo por pessoas que no conhecem a fundo o problema. Garantindo que mesmo um timo conjunto de regras deva ser trabalhado juntamente com outros processos do laboratrio, no mesmo Plan-Do-Check-Act, o laboratrio consegue melhorias importantes da qualidade ao longo do tempo. Estes PDCA devem avaliar, pelo menos: o conjunto de regras (em relao ao melhor conhecimento da poca), a especificidade dos alertas, a existncia de documentao de condutas nos procedimentos operacionais do laboratrio para cada um destes alertas, e a aderncia e treinamento da equipe para execuo estas aes. Um benefcio dessa abordagem que o laboratrio pode, ento, empregar seu pessoal de forma mais produtiva, avaliando os casos de forma sistemtica e dentro de um sistema da qualidade, e com aes que tangibilizem aos clientes estes esforos pela melhoria da qualidade, comunicando os casos complexos ou pouco usuais e estreitando o relacionamento com os mdicos solicitantes. (*4) Lgica fuzzy uma extenso da lgica booleana que admite valores lgicos intermedirios entre o FALSO (0) e o VERDADEIRO (1). (*5) Booleano um tipo de dado primitivo que possui dois valores, que podem ser considerados como 0 ou 1, verdadeiro ou falso.
Concluso A rotina de liberao de resultados de um laboratrio de anlises clnicas um dos processos que certamente sofrem as maiores presses por performance, pois a sua melhoria de desempenho reflete diretamente na diminuio do tempo de liberao da informao para o cliente final ou mdico, ou, ainda, na determinao para que um teste seja reavaliado. Destaca-se, ainda, o fato de que a tecnologia da informao introduziu uma srie de ferramentas, especialmente nos ltimos anos, quanto a validao dos resultados liberados, trazendo melhor desempenho, mais segurana e amplo controle e rastreabilidade para as liberaes. Neste contexto, o papel principal est no processo de delta check. Apesar de ainda encontrar-se numa escala infinitamente menor, quanto ao uso, e por ser um processo bem mais complexo (e muito promissor), o uso da inteligncia artificial como suporte para a liberao de resultados para os profissionais dos laboratrios de anlises clnicas mostra-se como um desafio importante a ser alcanado nos prximos anos pelas empresas de tecnologia da informao do segmento ou pelos setores de desenvolvimento de TI dos laboratrios. No devemos omitir que, embora os processos de validao e liberao de resultados tenham sido aprimorados continuamente e venham sendo debatidos na literatura com intensidade, os modelos, digamos, analgicos e tradicionais permanecem vigentes. Servios de menor porte ou exames de baixa demanda, ou aqueles cujos sistemas analticos dependem de observao subjetiva e interpretao luz de conhecimento especfico dependem de verificao caso acaso, paciente a paciente, para que se obtenham concluses seguras e permitam sua liberao para interpretao. Permanece em pleno uso a necessidade de verificao individual dos resultados com grande impacto clnico ou que apresentem potencial de risco no apoio a decises mdicas. Os programas de acreditao, sem exceo, incluem critrios de ateno para resultados crticos (valores de pnico ou de alerta), exigindo ateno individualizada para esses resultados, alm da bvia obrigao de transmisso destes em carter imediato para o mdico assistente, de forma a prevenir demora desnecessria na ateno mdica. A literatura mostra que a porcentagem de erro em laudos liberados varia, por exemplo, em funo da categorizao do tipo de erro, mas o fato que apesar da utilizao de sistemas seguros, erros podem estar sendo includos nos laudos dos exames. Alm disso, diversos artigos apontam para o fator humano como uma importante fonte de erro em laudos, j que nas fases pr e ps-analticas a necessidade de interveno profissional permanece intensa. Ainda devemos ter em foco a necessidade de obedincia aos quesitos relacionados regulamentao de funciomanento de laboratrios clnicos e seu evidente vnculo com relao ao prescrito pelos cdigos de tica profissional vigentes, reforados pelas resolues complementares e suplementares emandas pelos Conselhos Profissionais. Exemplos claros so a RDC 302/2005 da ANVISA, este especfico para laboratrios clnicos e a Resoluo CFM N 1.821/07, publicada no D.O.U. de 23 nov. 2007, Seo I, pg. 252) do Conselho Federal de Medicina. Enquanto vigirem, ou at que sejam revistos e reformulados, permanecem como pedra angular do processo de validao de resultados. Embora no regulamentando especficamente, os tpicos em foco neste documento incluem exigncias e recomendaes que devero ser conhecidas ao nos lanarmos ao desenho de projetos de validao automatizada de resultados, mesmo que rudimentares. Para concluirmos, a tarefa de planejamento deve passar por anlise criteriosa e aprofundada das ferramentas disposio. H produtos eficientes comercializados no mercado brasileiro, que j passaram por processos de implantao e certificao e atendem s necessidades de projetos bsicos, intermedirios e avanados de sistemas de validao automtica. Mas a escolha no deve ser apenas vinculada s possibilidades materiais de cada servio. necessrio que esses sistemas sejam adaptveis s condies especficas
locais, compatveis com o ambiente de hardware e software pr-existentes e que possam refletir a especificao de qualidade j alcanada pelo laboratrio contratante, independente de seu porte ou vigor econmico. Outro aspecto extremamente recomendvel que disponha de arquitetura com razovel plasticidade. A possibilidade de customizao de sistemas comercializados um das principais caractersticas a serem avaliadas antes da aquisio, j que sua ausncia pode exigir investimentos no previstos na adaptao dos processos internos do laboratrio ao seu uso.
Novas tendncias tecnolgicas
Computao em Nuvem
O que ? A Computao em Nuvem, ou Cloud Computing (em ingls), um novo modelo computacional que est mudando os servios de TI da atualidade. Tecnicamente, a Computao em Nuvem faz a utilizao da memria e das capacidades de armazenamento e processamento de servidores compartilhados e interligados por meio da Internet, seguindo o princpio da computao em grade. Alguns exemplos prticos e do dia-a-dia so os acessos a programas, servios e arquivos via web, como, por exemplo, o Gmail, GoogleDocs, Flickr, Youtube e outros. As redes sociais (Facebook, Twitter, Orkut etc) tambm so categorizadas como computao em nuvem. Resumindo, qualquer aplicao ou servio que no necessite instalao, podendo ser acessado de qualquer lugar do mundo, a qualquer hora, atravs de um navegador, seja por um computador, notebook, tablet ou celular Computao em Nuvem. Nesse formato, os programas funcionam em servidores conectados a Internet. Assim, vrios programas podem ser interligados, formando uma grande plataforma, integrando os negcios da empresa numa nica base de dados. O termo Computao em Nuvem surgiu em 2006, em uma palestra de Eric Schmidt, da Google, sobre como sua empresa gerenciava seus Data Centers. A aluso ao termo em nuvem uma representao para a Internet para essa disponibilidade constante de acesso. Paralelamente, podemos incluir a Computao em Nuvem dentro do conceito da Web 2.0, que serve para designar uma segunda gerao de comunidades e servios na Internet, tendo como conceito a "Web como plataforma. Embora o termo tenha uma conotao de uma nova verso para a web, ele no se refere atualizao nas suas especificaes tcnicas, mas a uma mudana na forma como ela encarada por usurios e desenvolvedores, ou seja, o ambiente de interao e participao que hoje engloba inmeras linguagens e motivaes. Tipos Atualmente, a Computao em Nuvem dividida em cinco tipos: SaaS - Software as a Service ou Software como Servio: uso de um software em regime de utilizao web (por exemplo: Google Docs, Microsoft SharePoint Online). Este conceito o mais utilizado em laboratrios clnicos, ou seja, nos programas de Gesto Laboratorial. H tambm conceitos derivados, utilizados separadamente para diferenciar os seus servios. So eles: IaaS - Infrastructure as a Service ou Infraestrutura como Servio: quando se utiliza uma porcentagem de um servidor, geralmente com configurao que se adeque sua necessidade. PaaS - Plataform as a Service ou Plataforma como Servio: utilizando-se apenas uma plataforma como um banco de dados, um web service etc. (por exemplo: Windows Azure).
DaaS - Development as a Service ou Desenvolvimento como Servio: as ferramentas de desenvolvimento tomam forma no cloud computing como ferramentas compartilhadas, ferramentas de desenvolvimento baseadas na web e servios baseados em websites ou em aplicaes web que usam contedo de mais de uma fonte para criar um novo servio completo. CaaS - Communication as a Service ou Comunicao como Servio: uso de uma soluo de Comunicao Unificada hospedada em data center do provedor ou fabricante. Vantagens Entre as vantagens que a Computao em Nuvem nos oferece, podemos destacar: Mobilidade Acessvel de qualquer lugar, a qualquer hora e em qualquer computador (notebook, netbooks, smartphones, tablets e celulares) com navegador e em qualquer sistema operacional, levando mais facilidade e organizao no trabalho corporativo. Manuteno Esse um dos fatores que representam maior custo para as empresas. Ter um software instalado em vrias mquinas gera um custo altssimo de manuteno e atualizaes, alm de aumentar a possibilidade de erros e problemas. Atravs das plataformas web, esses problemas passam a ser radicalmente minimizados. Escalabilidade A escalabilidade um conceito que possibilita a expanso do servio de acordo com o seu crescimento ou demanda, ou seja, voc gasta o necessrio, similar conta de luz, que voc paga pelo que usa. Adaptando para a Computao em Nuvem, podemos afirmar que voc aumenta os recursos de hardware de acordo com a sua necessidade. Cpias de Segurana (Backups) Para Computao em Nuvem podemos utilizar o mtodo de redundncia, que consiste em formar Cpias de Segurana de componentes que, no caso, so os discos rgidos. Se ocorrer uma falha, uma cpia atual os substitui. Desta forma, garantimos a continuidade dos negcios sem perda de dados ou recursos. Este conceito pauta permanente nas empresas e instituies que preferem garantir a segurana dos seus dados do que gastar recursos na sua recuperao. Dvidas sobre Computao em Nuvem Como todo conceito novo, algumas dvidas ainda so frequentes. Entre as mais importantes, podemos salientar a questo sobre vulnerabilidade e a falta de Internet. A segurana em Computao em Nuvem ainda muito questionada por especialistas. Discusses no faltam sobre o tema devido questo de que determinadas informaes ficam armazenadas em computadores de terceiros (no caso, os fornecedores do servio). Mesmo que, por contrato, eles tenham que garantir a segurana, privacidade e o sigilo, isso preocupa pessoas e, principalmente, empresas, motivo pelo qual esse ponto precisa ser aprimorado.
Alm desta questo, podemos destacar outra dvida: o problema da dependncia de acesso Internet. O que fazer quando ocorrer uma indisponibilidade no servio? Algumas companhias j trabalham em formas de sincronizar aplicaes off-line com on-line, mas as tecnologias para isso ainda precisam evoluir bastante. No caso de sistemas laboratoriais, algumas empresas j disponibilizam sistemas auxiliares que fazem esta integrao. De qualquer forma, o futuro aponta para esse caminho, e uma prova disto que a prpria Microsoft, por exemplo, anunciou o Windows Azure, uma plataforma prpria para a execuo de aplicaes em "nuvem". Os dados so meus? Sim, porm este item nos remete a outros conceitos, que so os mtodos de implantao. Podemos utilizar os SaaS (Softwares como Servio) de diversas maneiras. Uma delas o mtodo privado, em que o SaaS instalado localmente no servidor da empresa. H, tambm, o mtodo pblico, no qual o servio executado por terceiros. Existe, ainda, o mtodo de implantao de comunidade, utilizado por diversas organizaes em conjunto, e o conceito hbrido, que mesclam os mtodos privado com pblico. Para cada mtodo apresentado temos prs e contras. Caso uma empresa opte por utilizar o mtodo privado ter total controle das aes. Em contrapartida, ter tambm os gastos com manuteno, infraestrutura e recursos. No mtodo pblico, todo o processo de manuteno terceirizado, porm a disponibilidade dos dados pode ser limitada de acordo com a empresa que prestar esse servio. Com tudo, o assunto polmico demais, por si s, e deve ser tratado individualmente com a empresa terceirizada, estabelecendo regras e contratos para o mesmo. Tendncias H ainda uma forte tendncia que indica que com este grande avano o que se espera que o custo da Internet baixe para atender toda a demanda. Outros afirmam que o custo dos computadores tambm ir cair, pois no ser mais necessrio possuir supercomputadores para executar tarefas na Internet. Existe tambm uma indicao que os prprios clientes sentem que a Computao em Nuvem um movimento irreversvel, ou seja, em breve teremos que nos adaptar a esta realidade. Outra tendncia apontada por especialistas que cada vez mais as empresas de softwares iro desenvolver seus produtos para equipamentos eletrnicos menos robustos e que tambm iro adaptar seus produtos para as verses online. Um exemplo a Adobe, que j possui a verso online do Adobe Photoshop. Porm, como toda tendncia, o fato que esse conceito ainda novo e especialistas no assunto possuem muitas divergncias de ideias.
Virtualizao
A virtualizao surgiu com a IBM nos mainframes, na dcada de 60, mas seu uso foi iniciado nos anos 80. uma tcnica que permite compartilhar e utilizar recursos de um nico sistema computacional em vrios outros, denominados de mquinas virtuais. Cada uma destas oferece um sistema computacional completo muito similar a uma mquina fsica. Com isso, cada mquina virtual pode ter seu prprio sistema operacional, aplicativos e oferecer servios de rede.
A virtualizao uma sada eficaz para empresas que querem economizar em hardware e eliminar a duplicidade de dados gravados em vrios discos. No armazenamento vale tambm para PCs e sistemas operacionais. Podemos destacar cinco benefcios da Virtualizao: Racionalizao da manuteno: reduzindo o nmero de servidores fsicos possvel cortar gastos de manuteno do hardware de forma relevante. Melhor uso de recursos: todo crescimento implica em aumento de gastos. Mas quem consegue fazer mais com menos certamente economiza energia eltrica, espao, refrigerao e administrao. Autonomia de aplicativos: quando cada aplicativo est inserido em seu prprio servidor virtual possvel evitar que upgrades e mudanas gerem impacto em toda rede e venham a comprometer a rotina de trabalho. Ganho de eficincia: a virtualizao permite apresentar produtos, servios e projetos ao mercado com maior agilidade, j que possvel acessar desktops remotamente e com segurana. Conformidade ideal: vrias tecnologias de sistemas operacionais podem coexistir em uma nica plataforma. Ou seja, possvel haver sistemas Windows e Linux coabitando o mesmo espao, o que uma grande vantagem para as empresas que vm renovando sua infraestrutura de TI ao longo dos anos. Segundo a consultoria Gartner, em 2009, quatro milhes de mquinas estavam operando virtualmente, e a tecnologia est se tornando umas das principais estratgias de tecnologia da informao no ano de 2011.
Rede neural
A avaliao de perfis assunto complexo e que exige, tradicionalmente, a participao de especialistas para adequada liberao setorial. Entretanto, na maioria dos laboratrios ambulatoriais, uma parte expressiva desses exames encontra-se dentro da normalidade, consumindo recursos humanos e financeiros na sua avaliao. Alm disso, a interpretao manual de grande quantidade de resultados normais pode levar diminuio da ateno dispensada a cada teste e do tempo disponvel do supervisor setorial para as adequadas investigaes e resolues de casos problemticos. Este problema vem se agravando com a tendncia de concentrao de exames em laboratrios maiores e a formao de grupos de laboratrios, alm dos laboratrios de apoio, que usualmente apresentam grande volume desses testes. A reformulao dos processos laboratoriais, visando excelncia na eficincia operacional e reduo concomitante de custos, considerada uma necessidade para os laboratrios clnicos. A anlise computadorizada dos resultados dos testes laboratoriais alternativa interessante para selecionar resultados a serem avaliados manualmente por especialista, otimizando, assim, o processo produtivo. Entre os sistemas informatizados comercializados no Brasil, trs tipos predominam. O sistema dicotmico, no qual cada teste avaliado individualmente e classificado entre normal e anormal, o mais frequente nos programas computacionais disponveis no pas. Nesse modelo, os testes classificados como anormais so bloqueados pelos sistemas, enquanto os normais so liberados. Uma variao desse algoritmo inclui a utilizao de delta-checks, comparando os resultados obtidos com os anteriores e liberando os que apresentam variao considerada adequada para cada teste. Uma vez que esse tipo de liberao de valores nopatolgicos rudimentar demais para administrar cenrios complexos como os perfis hormonais, restam basicamente duas metodologias de criao de regras: as regras booleanas e o sistema de lgica fuzzy. Enquanto o primeiro opera como uma caixa-branca, em que as situaes so conhecidas e as regras
definidas a partir de conhecimento preexistente, na lgica fuzzy existe um componente caixa-cinza no qual o modelador das regras pode introduzir conhecimentos a priori e tambm extrair e interpretar o conhecimento do modelo. O modelo lgico criado no sculo XIX pelo ingls George Boole (da, booleanas) baseia-se no uso de operadores (como and, or e not) para definir um conjunto matemtico. Tal conjunto de dados, definido na proposio da regra (se), avaliado como verdadeiro ou falso. Caso verdadeiro (o conjunto definido existe na base de dados), executada a ao correspondente, definida na concluso (ento) da regra. Isso implica certa rigidez na construo das regras, necessitando de parametrizao de todas as variveis. Estas distines entre os modelos de regras booleanas e lgicas fuzzy so extremamente interessantes, com claras vantagens para a fuzzy (e suas modificaes) em situaes de alta complexidade, como os modelos evolutivos. Entretanto, na prtica do laboratrio de rotina, existem dados de literatura abundantes para os testes executados. Assim, uma vez que sabemos as inter-relaes entre os elementos utilizados em uma determinada regra, como, por exemplo, a direo usual das concentraes de hormnio tireoestimulante (TSH) e tiroxina livre (T4L) nas diversas condies fisiopatolgicas existentes, a importncia da escolha entre esses dois modelos bastante reduzida. As melhores prticas laboratoriais so um reflexo do conhecimento adquirido pelas diferentes especialidades mdicas, sendo traduzidas pelo patologista clnico em regras de avaliao do resultado, quer matematicamente explcitas como uma regra booleana, quer utilizadas de maneira quase subconsciente na avaliao manual dos casos e em sistemas que utilizem a lgica fuzzy. De qualquer modo, o conhecimento est presente a priori, tornando os sistemas bem construdos muito semelhantes quanto aos resultados obtidos. Aps a criao da regra, deve-se definir sua prioridade em relao s outras. Esse passo essencial, pois define a ordem das aes a serem tomadas quando um resultado atinge uma condio verdadeira. Estabelecendo prioridades das regras, podem-se utilizar ainda as de apoio, que no sero usadas diretamente para uma tomada de deciso sobre um resultado, mas simplificaro a construo de uma regra subsequente. Como exemplo, podemos construir regras para avaliao de um resultado anterior de beta-hCG, criando um algoritmo para a liberao dos resultados desse teste.
Incio da avaliao
Solicitao de beta-hCG Sim No

Paciente do sexo feminino? Resultado acima de 5Ul/ml?
Sim
Reter resultado de beta-hCG para verificao
Sim
Existe resultado de beta-hCG nos ltimos 200 dias que foi superior a 50Ul/ml?
No
Resultado do beta-hCG atual entre 5 e 50Ul/ml?
Sim
Fim da avaliao
No Sim
Resultado do beta-hCG atual abaixo de a 50Ul/ml?
Liberar resultado de beta-hCG atual atravs das regras
No
TI Verde
O tema surgiu aps a crise ambiental gerada pelo uso inadequado dos bens naturais e a preocupao de tornar o setor de tecnologia da informao mais sustentvel. A cada dia que passa a tecnologia se recicla, tornando os equipamentos eletrnicos e computadores obsoletos e trazendo a necessidade de substitu-los em menor escala. Diante deste fato, temos um ponto crucial da TI verde, o e-lixo, ou lixo eletrnico. Segundo o Greenpeace, o mundo todo chega a produzir cerca de 50 milhes de toneladas de lixo eletrnico por ano. Entre eles esto computadores, impressoras, pilhas e outros equipamentos. Porm, os descartes desses equipamentos ocorrem muitas vezes de forma incorreta, gerando perigo sociedade e ao meio ambiente, j que possuem em sua composio diversos metais pesados como cobre, ouro, chumbo, nquel, antimnio, zinco, berlio, tntalo, arsnico, mercrio, columbita-tantalita, cdmio e vrios outros elementos txicos. Por este motivo, o lixo eletrnico considerado um resduo perigoso e precisa de um descarte adequado. Existem diversas instituies, ONGs, associaes e sites que auxiliam no descarte desses lixos eletrnicos. Uma opo o site E-lixo Maps (www.e-lixo.org) que indica, atravs de mapas, o local de descarte mais prximo do seu endereo. Podemos destacar algumas dicas para agir em relao ao e-lixo: O consumo consciente um dos pilares deste conceito. Portanto, compre um aparelho eletr? nico somente quando for necessrio. Preserve os ?recursos naturais seguindo as instrues dos fabricantes, tornando assim o equipamento mais durvel. Responsabilize-se pelo descarte. Faa o descarte do equipamento corretamente nos postos de ? coleta de e-lixo. H, tambm, algumas novidades tecnolgicas que podem ser consideradas aes de TI verde, como as novas formas de economizar na impresso e na utilizao de papel sulfite. Fontes alternativas Um dos meios de economia a utilizao da fonte Century Gothic que j vem instalada no computador e pode economizar 30% a mais na impresso do que as fontes convencionais, como Arial e Times New Roman. Outra fonte desenvolvida especialmente para a economia na impresso a Ecofont. Para utiliz-la preciso fazer o download pela Internet no site www.ecofont.com. Impresso Virtual Para economia de papel surge uma nova forma de impresso, a virtual. Nesta, no existe de fato uma impressora fsica e sim um software que gera que PDF de um documento, evitando a impresso, economizando mais papel e tinta/toner. Alguns softwares de impresso virtual no mercado so o PDF Creator e o PDF Writer. Papel reciclvel A utilizao de papel reciclvel tambm ajuda na preservao do meio ambiente, j que ele composto por
100% de papel descartado. Estima-se que a cada 28 toneladas de papel reciclado evita-se o corte de 1 hectare de floresta (1 tonelada por rvore). Para a fabricao de 1 tonelada de papel novo so necessrios de 50 a 60 eucaliptos, 100 mil litros de gua e 5 mil KW/h de energia. Para 1 tonelada de papel reciclado so necessrios 1.200 Kg de papel velho, 2 mil litros de gua e de 1.000 a 2.500 KW/h de energia. Equipamentos eletrnicos Os equipamentos eletrnicos consomem altas taxas de energia eltrica e ainda emitem CO na atmosfera. Algumas aes prticas como desligar os computadores, monitores e equipamentos enquanto no esto sendo utilizados e optar pelos monitores LCD ou similares auxiliam na reduo de energia. Um computador ligado por 1 hora/dia consome 5 kwh/ms, totalizando 18 Kg de CO por ano, equivalente emisso de um carro gasolina percorrendo 120 km. Isto se deve a se considerar que um computador ligado 1 hora/dia consome 5kwh/ms, e que, ao final de um ano, emite 18 kg de CO2 no ambiente. Significa que reduzir uma hora do tempo de operao do computador domstico implica na reduo da emisso de CO2 equivalente emisso de um carro gasolina percorrendo 120 km (fonte: AKATU, 2008). Futuro do TI Verde Por esses motivos, as iniciativas em TI Verde cresceram 500% nos ltimos dois anos nas empresas, segundo uma pesquisa do Instituto Sem Fronteiras (ISF). O conceito de TI Verde cresce tambm na sociedade, mesmo que de forma inconsciente, j que a preocupao ambiental assunto recorrente no dia-a-dia de todos. O que falta, de fato, a conscientizao dos funcionrios que a TI Verde tambm pode ser praticada em seu laboratrio com pequenas mudanas de comportamento e aes voltadas reduo da emisso de Co2.
Dispositivos mveis
Do surgimento s novas tendncias Em 1946, foi criado pelo exrcito americano o primeiro computador digital eletrnico, chamado ENIAC, que pesava em torno de 30 toneladas, tinha aproximadamente 5,50m de altura e 25m de comprimento, ocupando 180m do local onde foi construdo. Possua uma mdia de 18 mil vlvulas a vcuo, que ocupavam a rea equivalente ao espao de um ginsio esportivo. No fazia nada mais do que alguns clculos matemticos, cujos resultados eram exibidos em uma sequncia de lmpadas. O primeiro aparelho celular foi desenvolvido pela empresa Ericsson, em 1956, chamado de Ericsson MTA (Mobilie Telephony A), pesando cerca de 40 kg, projetado para ser instalado em porta-malas de automveis. Com o passar do tempo, os computadores foram se tornando cada vez menores mas, em compensao, passaram a ficar mais velozes e com enorme capacidade de processamento. Os telefones celulares, at ento, apresentaram um avano parecido, porm perduraram como aparelhos analgicos at o incio da dcada de 1990, quando surgiu uma nova gerao de aparelhos, os celulares digitais. Pode-se considerar este marco como o incio da juno entre a informtica e a telefonia mvel. Desde ento, a proliferao dos aparelhos celulares dominou o mercado graas procura, o que fez da disponibilidade da comunicao uma necessidade para a sociedade, e do aparelho celular o principal meio para proporcion-la.
Smartphones Os smarthphones (do ingls, telefones inteligentes) so aparelhos de uma nova categoria de celular, com funcionalidades avanadas que podem ser estendidas por meio de programas executados em um sistema operacional, que por serem abertos, permitem que o usurio possa instalar ou at desenvolver programas para expandir, agregar ou executar novas funcionalidades. Os principais sistemas operacionais conhecidos no mercado atualmente so: Symbian, Blackberry OS, Windows Phone/Mobile, Apple iOS e Android, sendo os quatro ltimos baseados em plataforma Linux, sistema operacional muito utilizado em computadores. Atravs de um smartphone, que hoje vem ganhando o espao que antes era do celular comum, possvel no s executar as funes bsicas de telefonia, agenda e correio, como tambm passou a ser usual, variando entre marcas e modelos, ter interao com contedo multimdia, capturar fotos com cmera digital embutida, acessar a Internet e servios online, fazer vdeo conferncias, enviar e receber mensagens e uma infinidade de outros recursos que vem crescendo no mercado de software para dispositivos mveis. Tablets Assim como os smartphones, a Tablet PC tambm vai aumentando muito sua popularidade no mercado da informtica. So dispositivos pessoais em formato de prancheta com funcionalidades parecidas com a de um smartphone e que podem ser usados tambm para leitura de livros, jornais e revistas. A diferena entre um smartphone e a tablet que ela no foi projetada para carregar funcionalidades de um telefone. Portanto, est mais prxima do que um computador, neste caso, de bolso, tornando-se uma alternativa ao uso do notebook. A tablet possui uma espessura fina com superfcie plana e explora mais os recursos da tecnologia Touch Screen (tela sensvel ao toque) para manuseio da interface do seu sistema. O Touch Screen, ou Tela sensvel ao toque, um termo adotado tecnologia de tela cujo display percebe a presena e a localizao de um toque em sua superfcie, permitindo assim que o usurio interaja com a interface do sistema sem a necessidade de outros perifricos, como teclado, mouse ou outros dispositivos apontadores, de forma muito mais intuitiva. As principais fabricantes de tablets e seus respectivos modelos mais conhecidos mundialmente so: Apple iPad, Samsung Galaxy Tab, Motorola Xoom, Toshiba Tablet, Black Berry Playbook, Lenovo IdeaPad U1 Hybrid, HP Slate 500, Coby Kyros e Eken Tablet PC. Por serem possivelmente os equipamentos de maior ascenso no mercado na atualidade, seu valor encontra-se relativamente elevado, o que muitas vezes mobiliza o consumidor a aderir pela procura no exterior.
A medicina mvel
Cresce o uso de tablets e smartphones na rea mdica A rea da sade tambm passa por uma revoluo mvel. Um tero de quase 4 mil mdicos entrevistados pela companhia QuantiaMD fazem uso de tablets para pesquisar informaes sobre tratamentos, medicamentos e para educar pacientes. Alm disso, um quarto desses profissionais manuseia tanto smartphones quanto tablets no seu cotidiano mdico. De acordo com uma pesquisa realizada pelo instituto de pesquisas Manhattan Research, cerca de 64% dos
mdicos nos Estados Unidos esto usando smartphones no trabalho. Nessa comunidade, os aparelhos BlackBerry so mais populares do que o famoso iPhone da Apple, aponta o levantamento. A pesquisa cita o uso de um aplicativo chamado Epocrates para entender essa febre. Atravs deste pequeno programa, o mdico pode consultar e conhecer melhor determinado medicamento, pesquisar sobre interaes medicamentosas e at mesmo calcular a dosagem correta. No George Washington University Hospital, hospital da cidade de Washington, nos Estados Unidos, os alunos tambm usam dispositivos mveis para procurar informaes, estudar medicina e realizar testes. Um dos fatores que mais contribuem para a adeso de dispositivos mveis entre esses profissionais o mercado de software e aplicativos voltados tecnologia Mobile (Tecnologia Mvel) para a rea mdica, graas ao grande comprometimento das empresas de solues do ramo e preocupao com esta tendncia tecnolgica cada vez mais presente. Mobilidade A mobilidade um fenmeno que vem se expandindo na sociedade de uma maneira to rpida que hoje mal se percebe o espao enorme que j ocupou em nossas vidas. O conceito de comunicao atualmente no mais simplesmente o ato de se comunicar. Telefones fixos hoje perdem cada vez mais espao para a telefonia mvel. Celulares e dispositivos mveis tm uma infinidade de recursos e planos de servio que no s suprem com excelncia a funcionalidade bsica da comunicao, como oferecem localizao imediata em qualquer lugar. Graas s tecnologias da informao em prol da telefonia e comunicao, existem outros inmeros meios de transmisso de dados e informao disponveis para aparelhos mveis que podem at mesmo superar os computadores. Principais tipos de conexo Para um simples aparelho fabricado hoje, alm dos tipos de sinais telefnicos como a rede celular e via satlite, esto disponveis diversas opes em conexo com a Internet. As mais conhecidas so: WAP Trata-se de um protocolo para aplicaes sem fio (do ingls, Wireless Application Protocol). uma das primeiras e mais bsicas formas de comunicao entre um dispositivo mvel e a Internet. Com a WAP possvel navegar na internet e acessar verses simplificadas de sites. EDGE Enhanced Data rates for GSM Evolution, ou Taxa de dados aprimorada para evoluo GSM, uma tecnologia digital para telefonia celular que surgiu em meados de 2003 e que permite melhorar a transmisso de dados e aumentar a confiabilidade da transmisso de dados. 3G O 3G hoje um dos principais meios de conexo com a Internet para dispositivos mveis da atualidade, graas ao amplo raio de alcance oferecido pelas operadoras, j que o sinal enviado pelas mesmas torres de telefonia para o aparelho.
LTE Muitos consideram a conexo LTE como uma evoluo do 3G, pois consegue alcanar velocidades absurdamente superiores comparada ao que se possvel com a tecnologia de conexo atual. S para efeito de informao, j se estima que a tecnologia LTE permita picos de velocidade que atinjam at 170Mbps, superando em mais de dez vezes a internet 3G. Bluetooth Apesar de no ser um meio de conexo com a Internet, o Bluetooth tornou-se popular pela facilidade na transmisso de dados entre aparelhos atravs de sinais de rdio de ondas curtas que, apesar do nome, podem ter alcances que variam de 1m (1mw de potncia) at incrveis 100m (100mw). Reconhecimento de fala Outra tendncia forte para os prximos anos o reconhecimento de voz (do ingls, Automatic Speech Recognition), que permite que computadores equipados com microfones interpretem a fala humana, por exemplo, para transcrio ou como mtodo de comando por voz. A empresa Philips anunciou, em meados de 2005, uma soluo de equipamentos por controle de voz para profissionais de sade chamada Hands-Free (em portugus, Mos Livres) que possibilita a manipulao com preciso de diversos tipos de equipamentos atravs da voz. Assim, o mdico passa a ter as mos livres para trabalhar com maior liberdade em seus procedimentos. J existem diversos tipos de equipamentos que fazem uso desta tecnologia. Atravs de comandos por voz, um mdico pode, por exemplo, determinar funes e fazer a manipulao de imagens em equipamento de raio-X cardiovascular. Solues como esta so revolucionrias para a sade. Espera-se que as empresas do ramo abracem-nas com a mesma proporo que j vm sendo utilizadas em dispositivos mveis, pois uma vez desenvolvida, a tendncia que a tecnologia seja aprimorada e alcance instituies de pequeno grande porte.
CRM
O que CRM? O CRM (Customer Relationship Management ou Gesto de Relacionamento com o Cliente) um conceito individualizado de relacionamento com o consumidor que visa estreitar os laos entre cliente/instituio para fins de fidelizao e valorizao e crescimento da marca. Por vezes o CRM entendido como os sistemas de computador desenvolvidos para a gesto de clientes, ou mesmo como sistemas de vendas ainda mais simplificados. Mas, na realidade, o CRM apenas um conceito, e os sistemas de informtica so as ferramentas que auxiliam na gesto do relacionamento com clientes. Atender as necessidades do consumidor um dos princpios bsicos do marketing. Atualmente, o poder de compra e os relacionamentos positivos com uma marca so de grande importncia tanto como a confiabilidade nos resultados, a segurana das informaes dos seus dados e as associaes com a qualidade que ele faz. Desta forma, essencial para concretizao dos negcios que a relao cliente/empresa seja a mais
prxima possvel. Conhecendo seus desejos e insatisfaes possvel atender uma quantidade maior e com mais qualidade, sempre superando as expectativas. ntidade maior e com mais qualidade, sempre superando as expectativas. Podemos aplicar este conceito em diversas reas dentro do laboratrio, principalmente naquelas que tm contato direto com o cliente. Boas prticas/dicas Alm de ter suas unidades bem localizadas, uma infraestrutura slida e um ambiente bem organizado, os laboratrios devem estar em constante evoluo conceitual e tecnolgica, atravs de equipamentos de alta tecnologia. Algumas prticas internas podem ser facilmente aplicadas nos laboratrios. Entre elas, podemos destacar: Conhecer seu cliente um princpio bsico de CRM, mas seu laboratrio sabe quem realmente ele ? Podemos dizer que os clientes so os pacientes? Sim, mas ser que so somente eles? Ser que voc os conhece? Que conhecimento seu laboratrio possui dos seus clientes? H variadas definies para serem aplicadas ao termo cliente, dependendo do campo de aplicao que o termo ser empregado. Atualmente, temos contato direto com diversos grupos de clientes e para cada grupo deve-se ter um atendimento diferenciado. De fato, o cliente final de um laboratrio o paciente, porm alguns estudos apontam que dentro dos laboratrios os mdicos solicitantes que so os clientes finais. O atendimento personalizado a chave do CRM. Quem no gosta de ser bem atendido e, principalmente, ser lembrado como um cliente especial? Cada consumidor nico. Portanto, temos que conhecer nossos clientes para atend-los da maneira que necessitam e com a cordialidade que desejam, fazendo do tempo em que ele permanea no laboratrio o mais agradvel possvel, para que ele volte sempre e tambm indique pessoas do seu crculo social. Enviar informativos sobre a empresa, cartes de aniversrio e lembretes para os pacientes no se esquecerem de realizar procedimentos podem ser alternativas para estreitar os laos. Outra dica fazer uso das informaes do seu paciente para construir o seu CRM do laboratrio. Alguns sistemas laboratoriais identificam previamente a data de aniversrio do paciente, tornando o contato mais prximo e possibilitando o envio de correspondncias ou outro meio eletrnico como email, SMS etc. parabenizando-o pelo seu aniversrio. H ainda um recurso que mede, atravs dos atendimentos anteriores prestados, quais so as preferncias deste paciente. De posse destas informaes, sabemos como devemos proceder, proporcionando um atendimento personalizado. Outra sada para buscar informaes sobre os nossos clientes atravs das pesquisas de satisfao. Com uma pesquisa bem estruturada podemos descobrir qual a necessidade real do cliente. Assim, possvel evitar possveis problemas, planejar estratgias e melhorar a relao com o cliente.
Outro item importante a impresso dos resultados anteriores (de preferncia, com grficos explicativos). Muitas clnicas no utilizam este recurso que, alm de gerar conforto para paciente e mdico solicitante, ajuda na anlise da sua evoluo clnica. Outra segmentao importante a quantidade de atendimentos feitos pela origem. Com estas informaes, podemos identificar se existe uma alta demanda por regio. Assim possvel investir e criar unidades prximas a esses clientes, facilitando o atendimento e gerando mais conforto. Alguns laboratrios personalizam ainda mais seus atendimentos criando unidades especializadas para um determinado pblico-alvo. Podemos citar como exemplos as unidades de atendimento mulher, aos idosos, para portadores de necessidades especiais e tambm peditricas. Esta prtica nos permite criar estratgias segmentadas para cada pblico. Porm, temos que atentar para a identificao destas unidades especficas nos meios de comunicao do laboratrio, como site, redes sociais etc. Essa prtica canaliza os atendimentos da central para unidades especficas, diminuindo o fluxo da primeira. Em contrapartida, os atendimentos nas unidades especializadas so mais rpidos e tambm personalizados, uma vez que temos em mente, de uma forma muito clara, o perfil do cliente. Outro conceito interessante a identificao dos motivos do exame do cliente (admissional, demissional, check-up etc). De posse destas informaes, podemos avisar se h a necessidade de um novo check-up, o que, de certa forma, fideliza o cliente. Preservar e promover a marca Marca e empresa andam juntas. Mas o que mais importante? Ter um bom nome no mercado e no possuir uma empresa slida e confivel para seus clientes ou ter uma boa empresa que no seja conhecida no mercado? Esquea os dois. necessrio ter uma marca de destaque que inspire credibilidade, com infraestrutura e equipamentos de ponta. Somente assim podemos oferecer o melhor para nossos clientes. Mas como preservar e promover sua marca no ramo laboratorial? Com servios de qualidade e excelncia no atendimento, pois atravs destes, com a ajuda de divulgao nos meios de comunicao, possvel alcanar ampla visibilidade marca. Porm, necessrio estar antenado para as crticas e elogios sobre seu laboratrio, atravs de pesquisas de satisfao, dilogo com os clientes e mensurando a sua assimilao na Internet. fato que, atualmente, a Internet um dos principais meios de comunicao e tambm de publicidade. Porm, temos que monitor-la para identificar as crticas de nossos clientes. Para isso, preciso prestar ateno tambm para as redes sociais. Resultados na Internet Esta ferramenta j uma realidade em muitos laboratrios. Se sua instituio ainda no possui, dever se adequar se no quiser perder espao. J comum pacientes questionarem quando seus exames estaro disponveis na Internet. Acessvel de qualquer lugar e a qualquer hora, essa ferramenta tem como prioridade fornecer mais comodidade, garantindo um melhor relacionamento entre cliente e empresa.
necessrio que o sistema de resultados online seja simples, intuitivo, com fcil navegabilidade e de preferncia integrado aos outros sistemas web. Porm, necessrio dar ateno especial ao sigilo dessas informaes. SMS Outra prtica que leva mais comodidade para os pacientes, e vem sendo disponibilizada por vrios laboratrios, o uso de alertas em tempo real, via mensagem de celular (SMS), comunicando que os resultados de exames esto prontos, podendo retirar o laudo no prprio laboratrio ou visualiz-lo pela Internet, atravs dos resultados online. O servio tambm pode ser utilizado para avisar que no foi possvel cumprir prazo de processamento de exame, evitando, assim, que o paciente se dirija para o laboratrio sem necessidade. uma tecnologia que tem um custo-benefcio muito interessante, j que uma maneira rpida, prtica e barata de alcanar o seu cliente, oferecendo a ele conforto e praticidade, e tambm economizar papel e impresso. Desta forma sua instituio fortalece e associa sua imagem de um laboratrio moderno, criando uma interessante base de dados que pode ser usada em aes futuras de marketing, publicidade ou informativa. Redes Sociais Atualmente, tambm temos que atentar para o relacionamento cliente/empresa nas redes sociais, pois a sua empresa pode estar sendo falada, em algum canto da Internet, neste instante, saiba voc ou no. Se falam bem, melhor. Mas mesmo que falem mal, critiquem etc, uma empresa precisa estar preparada para lidar com as crticas mais do que com os elogios. Busque e no tenha medo de achar. Utilize as redes sociais, como LinkedIn, Facebook, Twitter, Orkut, e tambm as mdias sociais, como sites de reclamao, blogs pessoais, corporativos, ONGs etc. Lembre-se que, tratando de Internet, a soluo deve ser de acordo com o ritmo, ou seja, rpida. Em caso de polmicas, o melhor a transparncia. Reconhecer e corrigir os erros, s vezes traz uma boa imagem para seu laboratrio. Para evitar problemas, uma dica ter um planejamento especfico para as redes sociais e que o dilogo seja na abordagem pessoal e no massiva, sempre com os olhos e ouvidos atentos para o seu cliente e suas dvidas, sugestes e, principalmente, crticas. Quando h sucesso nessa comunicao, sua empresa ter criado uma relao muito valiosa e duradoura com os clientes. Portanto, use a Internet a seu favor e esteja em todos os cantos, criando uma rede de perfis e sites que contm a sua marca.
Glossrio
Glossrio de termos voltados para a certificao digital
Infraestrutura de Chaves Pblicas Brasileira - GLOSSRIO ICP-BRASIL - Verso 1.4 18 de maio de 2010 Elaborado pelo ITI Brasil. Link para o glossrio : http://www.iti.gov.br/twiki/pub/Certificacao/Legislacao/GLOSSaRIOV1.4.pdf
ABNT (Associao Brasileira de Normas Tcnicas) Fundada em 1940, o rgo responsvel pela normalizao tcnica no pas, fornecendo a base necessria ao desenvolvimento tecnolgico brasileiro. Aceitao do Certificado Digital Demonstrao da concordncia de uma pessoa fsica ou jurdica quanto correo e adequao do contedo e de todo o processo de emisso de um certificado digital, feita pelo indivduo ou entidade que o solicitou. O certificado considerado aceito a partir de sua primeira utilizao, ou aps haver decorrido o prazo prestipulado para sua rejeio. A aceitao do certificado ser declarada pelo titular. Acesso Estabelecimento de conexo entre um indivduo ou entidade e um sistema de comunicao ou de informaes. A partir do acesso podem ocorrer a transferncia de dados e a ativao de processos computacionais. Acesso fsico Habilidade de obter acesso a um ambiente fsico. Os sistemas de controle de acesso fsico possibilitam a integrao de funcionalidades, com leitores biomtricos, alarmes de incndio, emisso de crachs para visitantes etc. Acesso lgico O Controle de Acesso Lgico permite que os sistemas de tecnologia da informao verifiquem a identidade dos usurios que tentam utilizar seus servios. Como exemplo mais comum temos o logonde um usurio em um computador. Acesso remoto Habilidade de obter acesso a um computador ou a uma rede distncia. As conexes dial-up, wireless, DSL so exemplos de possibilidades de acesso remoto. AES (Advanced Encryption Standard) O Padro de Cifrao Avanada (AES) uma cifra de bloco adotada como padro de cifrao pelo governo dos Estados Unidos. O AES um dos algoritmos mais populares usados na criptografia de chave simtrica. Tem um tamanho de bloco fixo de 128 bits e uma chave com tamanho de 128, 192 ou 256 bits. Agente de registro Responsvel pela execuo das atividades inerentes Autoridade de Registro (AR). a pessoa que realiza a autenticao da identidade de um individuo ou de uma organizao e validao das solicitaes de emisso e revogao de certificados nas AR. Agentes causadores de eventos Pessoa, organizao, dispositivo ou aplicao que causa um evento registrado pelo conjunto de sistemas de auditoria. Algoritmo Srie de etapas utilizadas para completar uma tarefa, procedimento ou frmula na soluo de um problema. Usado como "chaves" para criptografia de dados. Algoritmo assimtrico um algoritmo de criptografia que usa duas chaves: uma pblica e uma privada. A chave pblica pode ser distribuda abertamente, enquanto a privada mantida secreta. Os algoritmos assimtricos so capazes de muitas operaes, incluindo criptografia, assinaturas digitais e acordo de chave. Algoritmo criptogrfico Processo matemtico especificamente definido para cifrar e decifrar mensagens e informaes, normalmente com a utilizao de chaves. Algoritmo simtrico Algoritmo de criptografia que usa somente uma chave, tanto para cifrar como para decifrar. Esta chave deve ser mantida secreta para garantir a confidencialidade da mensagem. Tambm conhecido como algoritmo de chave secreta. Alvar Documento eletrnico assinado digitalmente pela Entidade Auditora para uma Autoridade de Carimbo do Tempo, atravs de um sistema de auditoria e sincronismo. Consiste de um certificado de atributo no qual estaro expressos os dados referentes ao sincronismo e o parecer do auditor sobre a exatido do relgio da entidade auditada. Ambiente fsico Ambiente composto pelos ativos fsicos permanentes das entidades integrantes da ICP-Brasil. Ambiente lgico Ambiente composto pelos ativos de informao das entidades integrantes da ICP-Brasil. Anlise de risco Identificao e avaliao dos riscos (vulnerabilidades e impactos) a que os ativos da informao esto sujeitos. Aplicaes do certificado Os certificados da ICP-Brasil so utilizados, de acordo com o seu tipo, em aplicaes como: 1.Tipo A: confirmao da identidade na web, correio eletrnico, transaes online, redes privadas virtuais, transaes eletrnicas, informaes eletrnicas, cifrao de chaves de sesso e assinatura de documentos com verificao da integridade de suas informaes. 2. Tipo S: cifrao de documentos, bases de dados, mensagens e outras informaes eletrnicas. Applet Aplicativo executado no contexto de outro programa. Arquivo dedicado (Dedicated File DF) Corresponde a um arquivo que contm informaes de controle sobre outros arquivos e, opcionalmente, sobre a memria disponvel para alocao. Tambm pode corresponder a um diretrio que permite que outros arquivos e/ou diretrios (EF e DF) possam estar contidos, vinculados ou agrupados [ISO/IEC 7816-4]. Arquivo elementar (Elementary File EF) Corresponde a um conjunto de unidades de dados ou registros que compartilham o mesmo identificador de arquivo. Por exemplo, dados necessrios para uma aplicao so armazenados em EF. Um EF no pode ser pai (pertencer a um nvel hierrquico superior na rvore de arquivos e diretrios) de outro arquivo [ISO/IEC 7816-4]. Arquivo Pai Corresponde ao arquivo dedicado (DF) imediatamente precedente a um dado arquivo dentro da hierarquia [ISO/IEC 7816-4]. Arquivamento de chave privada Armazenamento da chave privada para seu uso futuro, aps o perodo de validade do certificado correspondente. S se aplica a chaves privadas de certificados de sigilo. As chaves privadas de assinatura digital s podero ser utilizadas durante o perodo de validade dos respectivos certificados, sendo, portanto, proibido seu armazenamento. Arquivamento de chave pblica Armazenamento da chave pblica, por um perodo mnimo de 30 anos, para uso futuro, aps o perodo de validade do certificado correspondente, com o objetivo de verificar as assinaturas geradas durante o prazo de validade dos respectivos certificados. S se aplica a chaves pblicas de certificados de assinatura. As chaves publicas de sigilo s podero ser utilizadas durante o perodo de validade dos respectivos certificados, sendo, portanto, proibido seu armazenamento. ASN.1 (Abstract Syntax Notation 1) Notao formal usada para descrever os dados transmitidos por protocolos de telecomunicaes, no obstante a representao fsica destes dados, o que quer que a aplicao faa, seja complexa ou muito simples. Assinatura digital Cdigo anexado ou logicamente associado a uma mensagem eletrnica que permite de forma nica e exclusiva a comprovao da autoria de um determinado conjunto de dados (um arquivo, um e-mailou uma transao). A assinatura digital comprova que a pessoa criou ou concorda com um documento assinado digitalmente, como a assinatura de prprio punho comprova a autoria de um documento escrito. A verificao da origem do dado feita com a chave pblica remetente. Ataque 1. Ato de tentar desviar dos controles de segurana de um programa, sistema ou rede de computadores. Um ataque pode ser ativo (procura alterar os dados) ou passivo (seu objetivo a liberao dos dados). 2. Tentativa de criptoanlise. O fato de um ataque estar acontecendo no significa necessariamente que ele ter sucesso. O nvel de sucesso depende da vulnerabilidade do sistema ou da atividade e da eficcia de contramedidas existentes. Ativao de chave Mtodo pelo qual a chave criptogrfica fica pronta para exercer suas funes. A ativao da chave se d por meio de um mdulo criptogrfico, aps a identificao dos operadores responsveis. A identificao pode ocorrer atravs de uma senha ou outro dispositivo de controle de acesso, como um token, smart carde biometria. Ativo de informao Patrimnio composto por todos os dados e informaes geradas e manipuladas durante a execuo dos sistemas e processos de uma organizao. Ativo de processamento Patrimnio composto por todos os elementos de hardwaree softwarenecessrios para a execuo dos sistemas e processos das entidades, tanto os produzidos internamente quanto os adquiridos. Atribuio de chaves (Key Establishment) Processo ou protocolo que possibilita atribuir uma chave criptogrfica simtrica compartilhada a parceiros legtimos. A atribuio de chaves pode ser realizada por um processo automtico (protocolo de negociao de chaves ou protocolo de transporte de chaves), por um mtodo manual ou por uma combinao dos anteriores. Auditor Profissional que realiza a avaliao dos controles e processos das entidades auditadas. Deve ser idneo, dotado de capacidades e conhecimentos tcnicos especficos e realizar o seu trabalho com observncia de princpios, mtodos e tcnicas geralmente aceitos. No deve possuir nenhum dos impedimentos ou suspeies estabelecidos nas normas da ICP-Brasil e no Cdigo de Processo Civil. Auditor independente Auditor que no est vinculado aos quadros do ITI nem da entidade auditada. Trabalha para uma empresa de auditoria independente. Auditoria Procedimento utilizado para verificar se todos os controles, equipamentos e dispositivos esto preparados e so adequados s regras, normas, objetivos e funes. Inclui o registro e anlise de todas as atividades importantes para detectar vulnerabilidades, determinar se houve violao ou abusos em um sistema de informaes com vista a possibilitar ao auditor formar uma opinio e emitir um parecer sobre a matria analisada. Auditoria de conformidade Avaliao da adequao dos processos, procedimentos e atividades das unidades auditadas com a legislao e os regulamentos aplicveis. Verificam-se todos os aspectos relacionados com a emisso e o gerenciamento de certificados digitais, incluindo o controle dos processos de solicitao, identificao, autenticao, gerao, publicao, distribuio, renovao e revogao de certificados.
Auditoria independente Auditoria realizada por empresa de auditoria especializada e independente. Auditoria operacional Auditoria de conformidade realizada aps o processo de credenciamento. Ocorre anualmente ou a qualquer momento, se houver suspeitas de irregularidades. Auditoria pr-operacional Auditoria de conformidade realizada antes do processo de credenciamento. Autenticao Processo de confirmao da identidade de uma pessoa fsica (Autenticao de um individuo) ou jurdica (Autenticao da identidade de uma organizao) atravs das documentaes apresentadas pelo solicitante e da confirmao dos dados da solicitao. Executado por Agentes de Registro, como parte do processo de aprovao de uma solicitao de certificado digital. Autenticao do Agente de Registro Verificao da identidade de um Agente de Registro, em um sistema computadorizado, como um prrequisito para permitir o acesso aos recursos de um sistema. Na ICP-Brasil, a autenticao do Agente deve se dar com o uso de certificado que tenha requisito de segurana, no mnimo, equivalente ao de um certificado A3. Autenticao e Sincronizao de Relgio (ASR) Atividade periodicamente realizada pela EAT que resulta na habilitao ou no de um SCT para operar sincronizado com a hora UTC. Essas operaes devem ser efetuadas por intermdio de um conjunto de protocolos que garantam que o resultado final seja isento de fraudes. Autenticidade Qualidade de um documento ser o que diz ser, independente de se tratar de minuta, original ou cpia e que livre de adulteraes ou qualquer outro tipo de corrupo. Autoassinatura digital Assinatura feita usando a chave privada correspondente chave pblica associada ao certificado digital. Autoteste Estratgia proposta inicialmente para ser utilizada em classes de sistemas orientados a objetos. Nesta estratgia incorporada uma especificao de testes classe, alm do acrscimo de funes BIT (do ingls, Builtin Test) que criam capacidades de observao e controle do estado da classe. A ideia principal a incorporao ao componente da capacidade de gerar casos de testes automaticamente, ou da incluso de casos de teste j prontos. Esses casos de teste podem ser executados pelo cliente ou pelo prprio componente. Autoridade Certificadora (AC) Entidade que emite, renova ou revoga certificados digitais de outras AC ou de titulares finais. Alm disso, emite e publica LCR. Na estrutura de carimbo de tempo da ICP-Brasil, emite os certificados digitais usados nos equipamentos e sistemas das ACT e da EAT. Autoridade Certificadora Raiz (AC Raiz) Entidade que credencia, audita e fiscaliza as demais entidades da ICP-Brasil. Assina seu prprio certificado e os certificados das AC imediatamente abaixo dela. tambm a Entidade de Auditoria do tempo da Rede de Carimbo do Tempo da ICP-Brasil. Autoridade de Carimbo de Tempo (ACT) Entidade na qual os usurios de servios de carimbo do tempo subscritores e terceiras parte confiam para emitir carimbos do tempo. A ACT tem a responsabilidade geral pelo fornecimento do carimbo do tempo. responsvel pela operao de um ou mais SCT, conectados Rede de Carimbo do Tempo da ICP-Brasil. Autoridade de Registro (AR) Entidade responsvel pela interface entre o usurio e a Autoridade Certificadora. Vinculada a uma AC que tem por objetivo o recebimento, validao, encaminhamento de solicitaes de emisso ou revogao de certificados digitais s AC e identificao, de forma presencial, de seus solicitantes. responsabilidade de a AR manter registros de suas operaes. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.
Autoridade Gestora de Polticas da ICP-Brasil Ver Comit Gestor da ICP-Brasil Autorizao Concesso de direito ou permisso que inclui a capacidade de acessar informaes e recursos especficos em um sistema computacional ou permisso de acesso a ambientes fsicos. Autorizao de Auditoria Independente Constitui ato declaratrio do Diretor de Auditoria, Fiscalizao e Normalizao do ITI que permite ao Auditor Independente prestar servios de auditoria, no mbito da ICP-Brasil, em conformidade com as normas estabelecidas por este Comit Gestor. Avaliao de conformidade Conjunto de ensaios com o objetivo de verificar se os padres e especificaes tcnicas mnimas aplicveis a um determinado sistema ou equipamento de certificao digital esto atendidos. Backup Ver Cpia de segurana Banco de dados Basicamente um conjunto de informaes relacionadas que so reunidas de forma organizada e categorizada, assim como os "arquivos tradicionais em forma de fichas", porm armazenados em meio magntico (disco de computadores) e que so "gerenciados" por "sistemas especializados", os chamados "Sistemas Gerenciadores de Banco de Dados" (por exemplo, MYSQL, SQL Server, Oracle, DB2, IMS/DLI, ADABAS etc.), que permitem armazenagem, atualizao e recuperao dessas informaes de forma eficiente (fcil, rpida e precisa), independente do volume. BASE64 Mtodo para codificao de dados para transferncia na Internet (Content Transfer Enconding). Basic Encoding Rules (BER) Regras para codificao de objetos ASN.1 em uma sequncia de bytes. Biometria Cincia que utiliza propriedades fsicas e biolgicas nicas e exclusivas para identificar indivduos. So exemplos de identificao biomtrica as impresses digitais, o escaneamento de retina e o reconhecimento de voz. Binary digit (Bit) Menor unidade de informao possvel dentro de um computador. Pode assumir os valores de 0 ou 1. Bloco Sequncia de bitsde comprimento fixo. Buffer Regio de memria temporria utilizada para escrita e leitura de dados. Os dados podem ser originados de dispositivos (ou processos) externos ou internos ao sistema. Os bufferspodem ser implementados em software(mais usado) ou hardware. Normalmente, so utilizados quando existe uma diferena entre a taxa em que os dados so recebidos e a taxa em que eles podem ser processados, ou no caso em que essas taxas so variveis. Bureau International des Poids et Mesures (BIPM) Organizao central do Sistema Internacional de Metrologia, localizada na Frana, responsvel pela gerao do UTC. Cache Bloco de memria para o armazenamento temporrio de dados que possuem uma grande probabilidade de serem utilizados novamente. Cadastro de auditoria independente Registro cadastral oficial do ITI das empresas de auditoria especializada e independente. Para almejar o cadastro a empresa dever apresentar ao ITI rol de documentos previstos na resoluo 44 do CG da ICP-Brasil. O cadastro ter validade de cinco anos, sendo possvel renovaes. Cadeia de AC Interligaes hierrquicas existentes entre as diversas Autoridades Certificadoras participantes da ICP-Brasil.
Cadeia de certificao Srie hierrquica de certificados assinados por sucessivas autoridades certificadoras. Carimbo de Tempo (CT) Documento eletrnico emitido pela ACT, que serve como evidncia de que uma informao digital existia numa determinada data e hora passada. Carto Inteligente Ver Smart Card Cavalo de Tria Programa no qual um cdigo malicioso ou prejudicial est contido em uma programao ou dados aparentemente inofensivos, de modo a poder obter o controle e causar danos. CBC (Cipher Block Chaining) Modo de operao de uma cifra de bloco (ver Cifra de bloco), em que o texto plano primeiro submetido a uma operao binria de XOR com o criptograma resultante do bloco anterior. Algum valor conhecido usado para o primeiro bloco. Normalmente, chamado de vetor de inicializao, esse valor deve ser nico para cada mensagem, mas no precisa ser secreto pode ser enviado junto com o criptograma, para permitir a decifrao. O resultado ento cifrado, usando a chave simtrica. Assim, blocos de entrada idnticos em texto claro iro produzir criptogramas diferentes. Certificao de data e hora Ver Time-stamping Certificao digital Atividade de reconhecimento em meio eletrnico que se caracteriza pelo estabelecimento de uma relao nica, exclusiva e intransfervel entre uma chave de criptografia e uma pessoa fsica, jurdica, mquina ou aplicao. Esse reconhecimento inserido em um Certificado Digital, por uma Autoridade Certificadora. Certificado de atributo Estrutura de dados contendo um conjunto de atributos (caractersticas e informaes) sobre a entidade final, que assinada digitalmente com a chave privada da entidade que o emitiu. Pode possuir um perodo de validade, durante o qual os atributos includos no certificado so considerados vlidos. Certificado autoassinado Certificado assinado com a chave privada da prpria entidade que o gerou. O nico certificado autoassinado da ICP-Brasil o da Autoridade Certificadora Raiz. Certificado de calibrao Documento emitido pelo Observatrio Nacional, atestando que o equipamento usado para emitir carimbos de tempo (SCT) est dentro dos padres de sincronismo esperados e apto a entrar em funcionamento. Certificados de assinatura digital (A1, A2, A3 e A4) So os certificados usados para confirmao da identidade na web, correio eletrnico, transaes online, redes privadas virtuais, transaes eletrnicas, informaes eletrnicas, cifrao de chaves de sesso e assinatura de documentos com verificao da integridade de suas informaes. Certificado de especificaes Documento com as descries dos requisitos atendidos pelo SCT, no qual o seu fabricante declara responsabilidade sobre estas caractersticas. Cada certificado restrito a um SCT. Certificado de sigilo (S1, S2, S3 e S4) Certificados usados para cifrao de documentos, bases de dados, mensagens e outras informaes eletrnicas. Certificado digital Conjunto de dados de computador, gerados por uma Autoridade Certificadora, em observncia Recomendao Internacional ITU-T X.509, que se destina a registrar, de forma nica, exclusiva e intransfervel, a relao existente entre uma chave de criptografia e uma pessoa fsica, jurdica, mquina ou aplicao. Certificado do tipo A1 e S1 Certificado em que a gerao das chaves criptogrficas feita por softwaree seu armazenamento pode ser fei-
to em hardwareou repositrio protegido por senha. Sua validade mxima de um ano, sendo a frequncia de publicao da LCR no mximo de 48 horas e o prazo mximo admitido para concluso do processo de revogao de 72 horas. Certificado do tipo A2 e S2 Certificado em que a gerao das chaves criptogrficas feita em softwaree as mesmas so armazenadas em carto inteligente ou token, ambos sem capacidade de gerao de chave e protegidos por senha. As chaves criptogrficas tm, no mnimo, 1024 bits. A validade mxima do certificado de dois anos, sendo a frequncia de publicao da LCR no mximo de 36 horas e o prazo mximo admitido para concluso do processo de revogao de 54 horas. Certificado do tipo A3 e S3 Certificado em que a gerao e o armazenamento das chaves criptogrficas so feitos em carto inteligente ou token, ambos com capacidade de gerao de chaves e protegidos por senha, ou hardwarecriptogrfico aprovado pela ICP-Brasil. As chaves criptogrficas tm, no mnimo, 1024 bits. A validade mxima do certificado de trs anos, sendo a frequncia de publicao da LCR no mximo de 24 horas e o prazo mximo admitido para concluso do processo de revogao de 36 horas. Certificado do tipo A4 e S4 Certificado em que a gerao e o armazenamento das chaves criptogrficas so feitos em carto inteligente ou token, ambos com capacidade de gerao de chaves e protegidos por senha, ou hardwarecriptogrfico aprovado pela ICP-Brasil. As chaves criptogrficas tm no mnimo 2048 bits. A validade mxima do certificado de trs anos, sendo a frequncia de publicao da LCR no mximo de 12 horas e o prazo mximo admitido para concluso do processo de revogao de 18 horas. Certificado expirado Certificado cuja data de validade foi ultrapassada. Certificado vlido Certificado dentro do prazo de validade, que no tenha sido revogado e que seja possvel validar toda a cadeia do certificado at uma AC Raiz. CFB (Ciphertext Feedback) Modo de operao para uma cifra de bloco (ver Cifra de bloco), no qual a sada do sistema retroalimentada no mecanismo. Depois que cada bloco cifrado, parte dele sofre um deslocamento em um registrador. O contedo desse registrador cifrado usando a chave do usurio e a sada sofre uma nova operao binria de XOR com os dados de entrada, para produzir o criptograma. Nesse modo, podemos trabalhar com blocos de mensagens menores do que o tamanho nativo do algoritmo. Dependendo do sistema externo onde est inserido o sistema criptogrfico, isso pode trazer vantagens, pois evita a utilizao de bufferspara armazenar temporariamente elementos da mensagem at completar o tamanho de bloco do algoritmo. Efetivamente, o que se ir obter uma converso do algoritmo, que opera em forma nativa como cifrador de blocos, em um sistema de cifrao sequencial. Esse mtodo autossincronizvel e permite que o usurio decifre apenas uma parte de uma grande base de dados, se comear a partir de uma distncia fixa dos dados desejados. Chave criptogrfica Valor numrico ou cdigo usado com um algoritmo criptogrfico para transformar, validar, autenticar, cifrar e decifrar dados. Chave criptogrfica em texto claro Representa uma chave criptogrfica no cifrada. Chave criptogrfica secreta Ver Chave privada e Chave simtrica Chave de sesso Chave para sistemas criptogrficos simtricos. Utilizada durante uma sesso de comunicao. O protocolo Secure Socket Layer(SSL) utiliza as chaves de sesso para manter a segurana das comunicaes via Internet. Chave privada Chave secreta do par de chaves criptogrficas a outra uma chave pblica em um sistema de criptografia assimtrica. mantida secreta pelo seu dono (detentor de um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ou arquivos cifrados com a chave pblica correspondente.
Chave pblica Chave mantida pblica a outra uma chave privada em um sistema de criptografia assimtrica. divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente. Dependendo do algoritmo, a chave pblica tambm usada para cifrar mensagens ou arquivos que possam, ento, ser decifrados com a chave privada correspondente. Chave simtrica Chave criptogrfica gerada por um algoritmo simtrico (Ver Algoritmo simtrico). Chaves assimtricas Chaves criptogrficas geradas por um algoritmo assimtrico (Ver Algoritmo assimtrico). Ciclo de vida do certificado Perodo de tempo que se inicia com a solicitao do certificado e termina com sua expirao ou revogao. Cifra Algoritmo criptogrfico utilizado para prover confidencialidade informao. Cifra de bloco Algoritmo criptogrfico simtrico, no qual a mensagem dividida em blocos e cada bloco cifrado separadamente. Cifrar 1.Processo de transformao de dados ou informao para uma forma ininteligvel usando um algoritmo criptogrfico e uma chave criptogrfica. Os dados no podem ser recuperados sem usar o processo inverso de decifrao. 2.Processo de conversao de dados em "cdigo ilegvel" de forma a impedir que pessoas no autorizadas tenham acesso informao. Classificao da informao Ato ou efeito de analisar e identificar o contedo de documentos, atribuindo um grau de sigilo que define as condies de acesso aos mesmos, conforme normas e legislao em vigor. CMM-SEI (Capability Maturity Model do Software Engineering Institute) Modelo para avaliao da maturidade dos processos de softwarede uma organizao e para identificao das prticas-chave que so requeridas para aumentar a maturidade desses processos. O CMM prev cinco nveis de maturidade: inicial, repetvel, definido, gerenciado e otimizado. O modelo foi proposto por Watts S. Humphrey, a partir das propostas de Philip B. Crosby, e vem sendo aperfeioado pelo Software Engineering Institute - SEI da Carnegie Mellon University. CMPV (Cryptographic Module Validation Program) Programa de testes para mdulos criptogrficos criado pelo NIST (National Institute of Standards and Technology), do governo dos Estados Unidos, e pelo CSE (Communications Security Establishment), do governo do Canad, em 1995. Utiliza-se de laboratrios independentes credenciados. Fabricantes interessados nos testes de validao podem selecionar qualquer um dos laboratrios credenciados. Para as validaes, so utilizados os requisitos definidos no padro FIPS 140-2. CMS (Cryptographic Message Syntax) Padro do IETF definido na RFC 3852. Esta sintaxe baseada nas especificaes do PKCS#7 que, por sua vez, baseia-se no Privacy-Enhanced Mail- PEM. Pode ser usado para assinatura digital, hash, autenticao ou cifrao de qualquer formato de dado digital. CN (Common Name) Atributo especificado dentro do campo Assunto - Nome Distinto (Distinguished Name) de um certificado. Por exemplo, para certificados de servidor o nome do hostDNS do sitea ser certificado; para um Certificado de Assinatura de Software, o nome comum o nome da organizao; e em certificados de assinante, o nome comum normalmente composto pelo prenome e sobrenome do titular. Coassinatura Assinatura gerada de maneira independente das outras assinaturas. Cdigo de autenticao Verificador criptogrfico de integridade e autenticidade que comumente referenciado como MAC (Message
Authentication Code). Comit Gestor da ICP-Brasil Entidade responsvel pela implantao da ICP-Brasil. Estabelece polticas, critrios e normas de funcionamento que devem ser seguidas pelas entidades integrantes da ICP-Brasil. Audita e fiscaliza a AC-Raiz. Commom Criteria (CC) Padro internacional (ISO/IEC 15408) para a segurana do computador. CC fornece a garantia que o processo da especificao, da execuo e da avaliao de um produto de segurana do computador foi conduzido de modo rigoroso e padronizado. Compensao (Offset) Correo necessria no relgio local para fazer com que indique o mesmo tempo indicado pelo relgio de referncia. Comprometimento Violao concreta ou suspeita de violao de uma poltica de segurana de um sistema, onde possa ter ocorrido divulgao no autorizada ou perda do controle sobre informaes sigilosas. Confiana Suposio de que uma entidade se comportar substancialmente como esperado no desempenho de uma funo especfica. Confidencial Tipo de classificao de informao que, se for divulgada ou usada sem autorizao, trar srios prejuzos para uma organizao. Confidencialidade Propriedade de certos dados ou informaes que no podem ser disponibilizadas ou divulgados sem autorizao para pessoas, entidades ou processos. Assegurar a confidencialidade de documentos assegurar que apenas pessoas autorizadas tenham acesso informao. Confirmao da identidade Ver Autenticao da identidade Consulta online de situao do certificado Ver OCSP Conta Permisso para acesso a um servio. A permisso obtida aps o registro de dados especficos do usurio, no servidor, que definem o ambiente de trabalho desse usurio. O registro pode incluir configuraes de tela, configuraes de aplicativos e conexes de rede. O que o usurio v na tela, alm de quais arquivos, aplicativos e diretrios ele tem acesso determinado pela maneira com que foi configurada a conta do usurio. Contexto seguro de execuo Estrutura de dados existente durante a execuo da biblioteca criptogrfica onde as chaves criptogrficas esto protegidas contra divulgao, modificao e substituio no autorizada. Contingncia Situao excepcional decorrente de um desastre. Contra-assinatura Contra-assinatura (countersign) aquela realizada sobre uma assinatura j existente. Na especificao CMS a contra-assinatura adicionada na forma de um atributo no autenticado (countersignature attribute) no bloco de informaes (signerInfo) relacionado assinatura j existente. Controles 1. Procedimentos usados para controlar o sistema de tal maneira que ele esteja de acordo com critrios especificados. 2. Qualquer ao, procedimento, tcnica ou outra medida que reduza a vulnerabilidade de uma ameaa a um sistema. Controle n de m Forma de controle mltiplo onde n pessoas de um grupo de m so requeridas para utilizao de uma chave privada. Controle de acesso 1. Conjunto de componentes dedicados a proteger a rede, aplicaes webe instalaes fsicas de uma AC con-
tra o acesso no autorizado, permitindo que somente organizaes ou indivduos previamente identificados e autorizados possam utiliz-las. 2. Restries ao acesso s informaes de um sistema, exercidas pela gerncia de segurana da entidade detentora daquele sistema. Cpia de segurana Cpias feitas de um arquivo ou de um documento que devero ser guardadas sob condies especiais para a preservao de sua integridade no que diz respeito forma e ao contedo, de maneira a permitir o resgate de programas ou informaes importantes em caso de falha ou perda dos originais. COTEC Comit Tcnico (COTEC): presta suporte tcnico e assistncia ao Comit Gestor da ICP-Brasil, sendo responsvel por manifestar previamente sobre as matrias apreciadas e decididas pelo Comit Gestor. Credenciamento Processo em que o ITI avalia e aprova os documentos legais, tcnicos, as prticas e os procedimentos das entidades que desejam ingressar na ICP-Brasil. Aplica-se a Autoridades Certificadoras, Autoridades de Registro e Prestadores de Servios de Suporte. Quando aprovados, os credenciamentos so publicados no Dirio Oficial da Unio. CryptoAPI Cryptographic Application Programming Interface (tambm conhecida como CryptoAPI, Microsoft Cryptography API ou, simplesmente, CAPI) uma interface de programao para aplicaes includa com o sistema operacional Microsoft Windows que prov servios para habilitar desenvolvedores para aplicaes de segurana baseadas em Windows usando criptografia. um conjunto de bibliotecas dinamicamente ligadas que prov um nvel de abstrao que isola programadores do cdigo usado para cifrar dados. Criptografar Ver Cifrar Criptografia 1. Disciplina de criptologia que trata dos princpios, dos meios e dos mtodos de transformao de documentos com o objetivo de mascarar seu contedo, impedir modificaes, uso no autorizado e dar segurana confidncia e autenticao de dados. 2. Cincia que estuda os princpios, meios e mtodos para tornar ininteligveis as informaes, atravs de um processo de cifragem, e para restaurar informaes cifradas para sua forma original, inteligvel, atravs de um processo de decifragem. A criptografia tambm se preocupa com as tcnicas de criptoanlise, que dizem respeito s formas de recuperar aquela informao sem se ter os parmetros completos para a decifragem. Criptografia assimtrica Tipo de criptografia que usa um par de chaves criptogrficas distintas (privada e pblica) e matematicamente relacionadas. A chave pblica est disponvel para todos que queiram cifrar informaes para o dono da chave privada ou para verificao de uma assinatura digital criada com a chave privada correspondente. A chave privada mantida em segredo pelo seu dono e pode decifrar informaes ou gerar assinaturas digitais. Criptografia de chaves pblicas Ver Criptografia assimtrica Criptografia simtrica Tipo de criptografia que usa uma chave nica para cifrar e decifrar dados. CSP (Cryptographic Service Provider) Biblioteca de softwareque implementa a Cryptographic Application Programming Interface(CAPI). CSP implementam funes de codificao e decodificao, que os programas de aplicao de computador podem usar para, por exemplo, autenticao segura de usurio ou para o e-mailseguro. CSP's so executados basicamente como um tipo especial de DLL com limitaes especiais no carregamento e no uso. Curvas elpticas Criptografia de curvas elpticas (ECC) uma abordagem de criptografia de chave pblica baseada na estrutura de curvas algbricas de campos finitos. As curvas elpticas so usadas tambm em diversos algoritmos de fatorao de inteiro que tem aplicaes em criptografia.
Custdia Responsabilidade jurdica de guarda e proteo de um ativo, independente de vnculo de propriedade. A custdia, entretanto, no permite automaticamente o acesso ao ativo, nem o direito de conceder acesso a outros. Dados Informaes representadas em forma digital, incluindo voz, texto, fac-smile, imagens e vdeo. Dados de ativao Valores de dados, que no sejam chaves criptogrficas, necessrios para operar mdulos criptogrficos e que necessitam ser protegidos. Por exemplo: PIN, passphraseou uma chave compartilhada manualmente. Data de validade do certificado A hora e a data de quando termina o perodo operacional de um certificado digital. No tem relao com a revogao antes da hora e data anteriormente prevista. Datao de registros Servio de certificao da hora e do dia em que foi assinado um documento eletrnico, com identidade do autor. Decifrar Processo que transforma dados previamente cifrados e ininteligveis de volta sua forma legvel. Declarao das Prticas de Carimbo de Tempo (DPCT) Declarao das prticas e dos procedimentos empregados pela ACT para emitir Carimbos do Tempo. Declarao de Praticas de Certificao (DPC) Documento periodicamente revisado e republicado que descreve as prticas e os procedimentos empregados pela Autoridade Certificadora na execuo de seus servios. a declarao a respeito dos detalhes do sistema de credenciamento, prticas, atividades e polticas que fundamentam a emisso de certificados e outros servios relacionados. utilizado pelas Autoridades Certificadoras para garantir a emisso correta dos certificados e pelos solicitantes e partes confiantes para avaliar a adequao dos padres de segurana empregados s necessidades de segurana de suas aplicaes. Decriptografar Ver Decifrar DER (Distinguished Encoding Rules) Regras para codificao de objetos ASN.1 em uma sequncia de bytes. Corresponde a um caso especial de BER. DES (Data Encryption Standard) Algoritmo simtrico de criptografia de dados que utiliza um sistema de cifragem em blocos. Foi criado pela IBM, em 1977, e, apesar de permitir cerca de 72 quatrilhes de combinaes (256), seu tamanho de chave (56 bits) considerado pequeno, tendo sido quebrado por "fora bruta" em 1997, em um desafio lanado na Internet. Est definido no documento de padronizao FIPS 46-1. Desastre 1. Evento sbito e inesperado cujo impacto resulta em perdas significativas para a organizao. 2. Circunstncia em que um negcio julgado incapaz de funcionar em consequncia de alguma ocorrncia natural ou criada. Desativao de chave Contrrio de ativao de chave (ver Ativao de chave). Destruio de chave Eliminao fsica da mdia armazenadora e/ou lgica sobrescrever os espaos onde a chave estiver armazenada da chave criptogrfica. Diffie-Hellman Mtodo de criptografia desenvolvido por Whitfield Diffie e Martin Hellman, publicado em 1976. Possibilita a troca de chaves pblicas entre duas ou mais partes, permitindo que as pessoas que recebem a chave pblica usem-na para cifrar o contedo de uma mensagem que ser enviada parte que forneceu esta chave. Esse texto cifrado no poder ser aberto por indivduos que possuam a chave pblica, mas apenas pela parte que enviou esta chave, pois a mesma possui a chave privada que se encontra em seu poder. Tendo posse dessa chave a mensagem cifrada poder ser aberta.
Direito de acesso Privilgio associado a um cargo, pessoa ou processo para ter acesso a um ativo. Diretrio Unidade lgica de armazenamento que permite agrupar arquivos em pastas hierrquicas e subpastas. Disponibilidade Razo entre o tempo durante o qual o sistema est acessvel e operacional e o tempo decorrido. No mbito da ICP-Brasil, a disponibilidade das informaes publicadas pelas AC em servio de diretrio ou pgina webdeve ser de 99% do ms, 24 horas por dia e 7 dias por semana. DMZ (Demilitarized Zone) rea na rede de uma empresa que acessvel rede pblica (Internet), mas no faz parte da sua rede interna. Geralmente, esses servidores possuem nmeros de IP acessveis pela rede externa, o que os torna alvos de ataques. Para assegurar que os riscos sejam minimizados, um sistema de deteco e preveno de intrusos deve ser implementado nessa DMZ. DN (Distinguished Name) Conjunto de dados que identifica de modo inequvoco uma entidade ou indivduo pertencente ao mundo fsico no mundo digital. Por exemplo: pas=BR, estado=Rio de Janeiro, nome organizacional=Sua Empresa S.A., nome comum=Jos da Silva. DNS (Domain Name Service) Servio e protocolo da famlia TCP/IP para o armazenamento e consulta s informaes sobre recursos da rede. A implementao distribuda entre diferentes servidores e trata principalmente da converso de nomes na Internet em seus nmeros IP correspondentes. Documentao tcnica Conjunto de documentos tcnicos que acompanham o objeto de homologao e que a parte interessada deve depositar no LSITEC-LEA para servir ao processo de homologao. A documentao tcnica deve apresentar uma descrio tcnica sobre o objeto de homologao que satisfaa aos requisitos definidos no MCT. Documento Unidade de registro de informaes, qualquer que seja o suporte. Documento digital Unidade de registro de informaes, codificada por meio de dgitos binrios. Documento eletrnico Unidade de registro de informaes, acessvel por meio de um equipamento eletrnico. Drift Variao no skew(segunda derivada do offset) apresentada por alguns relgios. DSA (Digital Signature Algarithm) Algoritmo unicamente destinado a assinaturas digitais. Foi proposto pelo NIST, em agosto de 1991, para utilizao no seu padro DSS (Digital Signature Standard). Adotado como padro final em dezembro de 1994, trata de uma variao dos algoritmos de assinatura ElGamal e Schnorr. Foi inventado pela NSA e patenteado pelo governo americano. ECB (Electronic Code Book) Modo de operao de uma cifra de bloco (ver Cifra de bloco), com a caracterstica que cada bloco possvel de texto claro tem um valor correspondente definido da mensagem cifrada e vice-versa. Ou seja, o mesmo valor de texto claro resultar sempre no mesmo valor da mensagem cifrada. ECB usado quando um volume de texto claro dividido em diversos blocos dos dados, onde cada um ento cifrado independentemente de outros blocos. De fato, ECB tem a capacidade de suportar uma chave separada de cifrao para cada tipo do bloco. e-PING Padres de Interoperabilidade de Governo Eletrnico: definem um conjunto mnimo de premissas, polticas e especificaes tcnicas que regulamentam a utilizao da Tecnologia de Informao e Comunicao (TIC) na interoperabilidade de Servios de Governo Eletrnico, estabelecendo as condies de interao com os demais poderes e esferas de governo e com a sociedade em ge-
ral. As reas cobertas pela e-PING, esto segmentadas em "Interconexo, "Segurana, "Meios de Acesso, "Organizao e Intercmbio de Informaes e "reas e Assuntos de Integrao para Governo Eletrnico. Elemento de dado No contexto da norma ISO/IEC 7816-4 referente ao carto inteligente, um elemento de dado corresponde a um item de informao para o qual associado um nome, uma descrio de contedo lgico, um formato e uma codificao [ISO/IEC 7816-4]. Emisso de certificado digital Atividade de gerao de um certificado digital, a incluso neste dos dados de identificao do seu emissor (Autoridade Certificadora), do titular e da sua assinatura digital e subsequente notificao ao seu solicitante, observados os dispostos nos documentos pblicos das AC denominados Prticas de Certificao - PC e Declarao de Prticas de Certificao DPC. Empresa de auditoria especializada e independente Ver Empresa de auditoria independente Empresa de auditoria independente Empresas autorizadas pelo ITI para atuar na ICP-Brasil e que podem ser contratadas pelas autoridades certificadoras para realizar auditorias operacionais em entidades a elas subordinadas Encadeamento Ato de associar um carimbo de tempo a outro. Encriptar Ver Cifrar Engenharia social Termo utilizado para a obteno de informaes importantes de uma organizao, atravs de seus usurios e colaboradores, ou de uma pessoa fsica. Essas informaes podem ser obtidas pela ingenuidade ou confiana. Os ataques desta natureza podem ser realizados atravs de telefonemas, envio de mensagens por correio eletrnico, salas de bate-papo e at mesmo pessoalmente. Ensaio Procedimento tcnico realizado em conformidade com as normas aplicveis, que tem o objetivo de analisar um ou mais requisitos tcnicos de um dado sistema ou equipamento. Entidade de Auditoria de Tempo (EAT) Entidade que realiza as atividades de autenticao e sincronismo de Servidores de Carimbo do Tempo (SCT). Na estrutura de carimbo do tempo da ICP-Brasil, a EAT a AC-Raiz, que possui Sistemas de Auditoria e Sincronismo (SASs) ligados diretamente ao relgio atmico. Entidades operacionalmente vinculadas Entidade relacionada outra: 1. Como matriz, subsidiria, scia, joint-venture, contratada ou agente; 2. Como membro de uma comunidade de interesses registrada, ou 3. Como entidade que tem relacionamento com uma entidade principal, que mantm negcios ou registros capazes de fornecer comprovao adequada da identidade da afiliada. No caso da ICP-Brasil, diz-se que uma AR ou PSS est operacionalmente vinculada a uma AC, por exemplo. Entidade usuria externa Indivduo ou processo que realiza acesso a um mdulo criptogrfico independentemente do papel assumido. Enveloped data Contedo cifrado de todos os tipos e chaves cifradas de sesso do tipo content-encryptionpara um ou mais recipientes. As mensagens envelopedmantm os contedos do segredo da mensagem e reservam-nos somente a pessoas ou entidades para recuperar os contedos. Cryptographic message syntax(CMS) pode ser usado para codificar mensagens enveloped. Equipamento de certificao digital Aparelho, dispositivo ou elemento fsico que compe meio necessrio ou suficiente realizao de Certificao digital. Erro Diferena de tempo medida entre os relgios de um SAS e de um SCT.
Erro mximo acumulado Erro mximo que pode ser acumulado pelo relgio interno do SCT, entre duas ASR. Esquema de assinatura Conjunto formado por um algoritmo de criao de assinatura, um algoritmo de verificao de assinatura e um algoritmo de gerao de chaves, sendo que este ltimo gera chaves para os outros dois algoritmos. Esquema de envelopes criptogrficos Combinao formada por uma cifra simtrica e uma assimtrica. Os dados so cifrados com chave simtrica e esta cifrada com a chave assimtrica pblica. Estabilidade Capacidade de um oscilador em manter a mesma frequncia em um determinado intervalo de tempo. Escrow de chave privada Ver Recuperao de chave Evento Ocorrncias de significncia, eletrnicas ou manuais, que devem ser registradas para anlises e auditorias posteriores. Na ICP-Brasil, h diversos tipos de eventos que devem obrigatoriamente ser registrados, como iniciao e desligamento do sistema de certificao, tentativas de criar, remover, definir senhas ou mudar os privilgios de sistema dos operadores da AC etc. Exatido Afastamento mximo tolerado entre o valor indicado por um sistema de medio e o valor verdadeiro do tempo. Expoente privado Representa o expoente na definio de chave privada: par (d, n) onde d o expoente privado e n o mdulo pblico (produto de dois fatores primos privados). Expoente pblico Representa o expoente na definio de chave pblica: par (e, n) onde e o expoente pblico e n o mdulo pblico (produto de dois fatores primos privados). Exportao de certificado digital Atividade de copiar um certificado digital instalado em determinado computador ou hardware, para um disquete, CD etc, permitindo a sua instalao em outro(s) computador(es) ou hardwares. Exportao de chaves criptogrficas Processo de retirada de chave criptogrfica do mdulo criptogrfico. A exportao pode ser realizada de forma manual ou automtica. Exportao automtica de chaves criptogrficas Processo de retirada de chave criptogrfica de um mdulo criptogrfico que utiliza uma mdia eletrnica ou meio de comunicao eletrnico. Exportao manual de chaves criptogrficas Processo de retirada de chave criptogrfica do mdulo criptogrfico que utiliza mtodos manuais. Por exemplo: apresentao do valor da chave um display.
ses de dados corporativas, a uma (ou algumas) das redes, que normalmente tm informaes e recursos que no devem estar disponveis aos usurios da(s) outra(s) rede(s). Firmware Programas e componentes de dados de um mdulo que esto armazenados em uma poro de hardware(ROM, PROM, EPROM, EEPROM ou FLASH, por exemplo) que no podem ser dinamicamente escritos ou modificados durante a execuo. Fonte Confivel de Tempo (FCT) Denominao dada a um relgio sincronizado a hora UTC. Fronteira criptogrfica (Cryptographic Boundary) Permetro explicitamente definido que estabelece os limites fsicos de um mdulo criptogrfico. Funo Resumo Transformao matemtica que mapeia uma sequncia de bits de tamanho arbitrrio para uma sequncia de bits de tamanho fixo menor conhecida como resultado hashou resumo criptogrfico de forma que seja muito difcil encontrar duas mensagens distintas produzindo o mesmo resultado hash(resistncia coliso), e que o processo reverso tambm no seja realizvel (dado um resultado hash, no possvel recuperar a mensagem que o gerou). Gerao de par de chaves Processo de criao de um par de chaves (chave privada e chave pblica), sendo normalmente executado na solicitao de um certificado digital. Gerador de nmeros aleatrios Ver RNG Gerador de nmeros pseudo-aleatrios Ver PRNG Gerenciamento de certificado Conjunto de procedimentos a partir do qual a AC, baseada em suas DPC, PC e PS, atua na emisso, renovao e revogao de certificados, bem como na emisso e publicao da sua LCR. Gerenciamento de risco Processo que visa a proteo dos ativos das entidades integrantes da ICP-Brasil, por meio da eliminao, reduo ou transferncia dos riscos, conforme seja econmica e estrategicamente mais vivel. Hacker Pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. Handle 1. Dispositivo, unido a um objeto, que seja anexado para mover ou usar o objeto. 2. Tipo do ponteiro inteligente, uma referncia a uma posio na memria de computador. Hardware 1. Conjunto dos componentes fsicos necessrios operao de um sistema computacional. 2. Equipamento mecnico e eletrnico, combinado com software(programas, instrues etc.) na implementao de um sistema de processamento de informaes eletrnicas. Hardware Secure Module (HSM) Dispositivo baseado em hardwareque gera, guarda e protege chaves criptogrficas, alm de ter a capacidade de executar operaes criptogrficas, como assinatura digital. Hash Resultado da ao de algoritmos que fazem o mapeamento de uma sequncia de bits de tamanho arbitrrio para uma sequncia de bits de tamanho fixo menor conhecido como resultado hash de forma que seja muito difcil encontrar duas mensagens produzindo o mesmo resultado hash(resistncia coliso) e que o processo reverso tambm no seja realizvel (dado um hash, no possvel recuperar a mensagem que o gerou). Hibernao Modo de operao power-savingque conserva a bateria
FIPS (Federal Information Processing Standards) Correspondem aos padres e diretrizes desenvolvidos e publicados pelo NIST (National Institute of Standards and Technology) para uso de sistemas computacionais no mbito governamental federal norte-americano. O NIST desenvolve os padres e diretrizes FIPS quando h requisitos obrigatrios do governo federal, tais como, segurana e interoperabilidade e no h padres ou solues industriais aceitveis. FIPS 140 O Federal Information Processing Standards 140 um padro do governo dos Estados Unidos para implementaes de mdulos de criptografia, ou seja, hardwaree softwarepara cifrar e decifrar dados ou realizar outras operaes criptogrficas, como gerao ou verificao de assinaturas digitais. Encontra-se atualmente na verso 2. Est em elaborao, pelo NIST, a verso 3. Firewall Conjunto formado por hardware, softwaree uma poltica de acesso instalado entre redes, com o propsito de segurana. A funo do firewall controlar o trfego entre duas ou mais redes, com o objetivo de fornecer segurana, prevenir ou reduzir ataques ou invases s ba-
do computador, mas permite uma reativao mais rpida da operao do que desligando o equipamento e voltando a lig-lo. Quando o modo de hibernao ativado, todas as aplicaes atuais que esto na memria so conservadas no disco e o computador desligado. Ao retomar a operao, pressionando uma tecla ou clicando o mouse, as aplicaes so lidas do disco e voltam ao mesmo estado anterior. Hierarquia do certificado Estrutura de certificados digitais que permite a indivduos verificarem a validade de um certificado. Este emitido e assinado por uma Autoridade Certificadora que est numa posio superior na hierarquia dos certificados. A validade de um certificado especfico determinada, entre outras coisas, pela validade correspondente ao certificado da AC que fez a assinatura. Homologao Processo que consiste no conjunto de atos, realizados de acordo com um regulamento e com as demais normas editadas ou adotadas pela ICP-Brasil, que, se plenamente atendido, resultar na expedio de ato pelo qual, na forma e nas hipteses previstas, a entidade responsvel pela conduo do referido processo reconhecer o laudo de conformidade. HSM (Hardware Security Modules) Ver Mdulo de segurana criptogrfica IDEA (International Data Encryption Algorithm) Algoritmo criado em 1991, por James Massey e Xuejia Lai, e que possui patente da sua ASCOM Systec. estruturado seguindo as mesmas linhas gerais do DES. Mas, na maioria dos microprocessadores, uma implementao por software IDEA mais rpida do que uma implementao por softwaredo DES. O IDEA o programa para criptografia de e-mailpessoal mais disseminado no mundo. Seu tamanho de chave de 128 bits. Identificao Ver Autenticao Identificador de registro Valor associado a um registro que pode ser usado para referenciar aquele registro. Diversos registros poderiam ter o mesmo identificador dentro de um EF [ISO/IEC 7816-4]. Importao de certificado digital Atividade de copiar um certificado digital a partir de um disquete, CD, smart card, para um computador ou hardware, permitindo a sua instalao e uso posterior, por exemplo, para assinatura digital de e-mails. Importao de chaves criptogrficas Processo de insero de chave criptogrfica no mdulo criptogrfico. A importao pode ser realizada de forma manual ou automtica. Importao de chaves criptogrficas de forma automtica Processo de insero de chave criptogrfica de um mdulo criptogrfico que utiliza uma mdia eletrnica ou meio de comunicao eletrnico. Importao de chaves criptogrficas de forma manual Processo de insero de chave criptogrfica de um mdulo criptogrfico que utiliza mtodos manuais. Por exemplo: digitao em um teclado, por uma entidade usuria externa, do valor da chave. Incerteza Disperso dos valores que podem ser atribudos a um mensurando, como resultado de uma sincronizao. Incidente de segurana Evento ou ocorrncia que promova uma ou mais aes que comprometa ou que seja uma ameaa integridade, autenticidade ou disponibilidade de qualquer ativo das entidades integrantes da ICP-Brasil. Infraestrutura de chaves pblicas brasileira (ICPBrasil) Conjunto de tcnicas, arquitetura, organizao, prticas e procedimentos implementados pelas organizaes governamentais e privadas brasileiras que suportam, em conjunto, a implementao e a operao de um sistema de certificao. Tem como objetivo estabelecer os fundamentos tcnicos e metodolgicos de um sistema de certificao digital baseado em criptografia de chave pblica, para garantir a autenticidade,
a integridade e a validade jurdica de documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. A ICP-Brasil foi criada pela Medida Provisria 22002, de 24.08.2001 e est regulamentada pelas Resolues do Comit-Gestor da ICP-Brasil, disponveis no sitewww.iti.gov.br. Instituto Nacional de Tecnologia da Informao (ITI) Autarquia federal vinculada Casa Civil da Presidncia Repblica. a primeira autoridade da cadeia de certificao, executora das Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil. Integridade Garantia oferecida ao usurio de que documento eletrnico, mensagem ou conjunto de dados no foi alterado, intencionalmente nem acidentalmente, por pessoas no autorizadas durante sua transferncia entre sistemas ou computadores. Interface Ponto lgico de entrada e sada de dados, que prov acesso aos servios disponveis pelos softwares. Intimao Ato pelo qual se d conhecimento do procedimento de fiscalizao para que a entidade fiscalizada faa ou deixe de fazer alguma coisa. Irretratabilidade Mecanismo para garantir que o emissor da mensagem ou participante de um processo no negue posteriormente a sua autoria. IRIG (Inter-range instrumentation group time codes) Formatos para codificao do tempo definidos pelo Telecommunications and Timing Group (TTG) of the Range Commanders Council (RCC). ISO (International Standards Organization) Organizao que cria padres internacionais para diversas reas, incluindo computadores. Congrega em torno de 90 pases. ITU (International Telecommunication Union) Organizao internacional que faz parte do Sistema das Naes Unidas. Responsvel pelo estabelecimento de normas e padres em telecomunicaes e seus servios. Key containers Parte do key database(banco de dados que possui as chaves criptogrficas para um CSP especfico) que contm todos os pares de chaves (pares de chaves para troca e assinatura) que pertencem a um usurio especfico. Cada recipiente tem um nome nico que usado ao chamar funes de contexto para obter um handleao container. Key zeroization Mtodo de apagar chaves criptogrficas armazenadas eletronicamente, alterando ou suprimindo os ndices de armazenamento das chaves para impedir a recuperao das informaes. Laboratrio de Ensaio e Auditoria (LEA) Entidades, formalmente vinculadas ao ITI, aptas a realizar os ensaios exigidos nas avaliaes de conformidade e a emitir os correspondentes laudos de conformidade, na forma prevista na resoluo n 36 do CG da ICPBrasil, que embasaro a tomada de deciso por parte do ITI quanto homologao ou no de um dado sistema ou equipamento avaliado. Laudo de conformidade Documento emitido ao final da avaliao de conformidade, na forma prevista na resoluo n 36 do CG da ICP-Brasil, que atesta se um dado sistema ou equipamento, devidamente identificado, est ou no em conformidade com as normas editadas ou adotadas pela ICP-Brasil. Leap second Segundo adicionado ao UTC para compensar o atraso da rotao da Terra e manter o UTC em sincronismo com o tempo solar. Leitora de carto inteligente Hardware instalado no computador, utilizando de interface serial ou USB, que serve para efetuar leituras
de smart cards. Lista de Certificados Revogados (LCR) Lista assinada digitalmente por uma Autoridade Certificadora, publicada periodicamente, contendo certificados que foram revogados antes de suas respectivas datas de expirao. A lista, geralmente, indica o nome de quem a emite, a data de emisso e a data da prxima emisso programada, alm dos nmeros de srie dos certificados revogados e a data da revogao. Lista de Controle de Acesso Lista de indivduos ou entidades com permisso de acesso a certas reas especficas de um servidor, rede, aplicao de Internet ou instalaes fsicas. Log Conjunto de registros que lista as atividades realizadas por uma mquina ou usurio especfico. Um nico registro conhecido como registro de log. Em termos de segurana, os logsso usados para identificar e investigar as atividades suspeitas e estudar as tentativas ou os sucessos dos ataques, para conhecimento dos mecanismos usados e aprimoramento do nvel de eficincia da segurana. Login Processo de identificao e autenticao ao qual o usurio submetido antes de integrar ao sistema, softwareou aplicativo. Logoff Processo de encerramento da sesso de trabalho pelo usurio. MAC (Message Authentication Code) Pequena parte de informao usada para autenticar uma mensagem. Um algoritmo MAC aceita como entrada uma chave secreta e uma mensagem de comprimento indefinido para ser autenticado e envia como sada um MAC (conhecido, s vezes, como tag). O valor do MAC protege a integridade de uma mensagem assim como sua autenticidade, permitindo que os verificadores (que possuem tambm a chave secreta) detectem todas as mudanas no contedo da mensagem. Mtodo de padding Processo de insero de bits numa mensagem, preparando-a para a cifrao ou assinatura. MD5 (Message Digest 5) Funo de hash, ou resumo de mensagem espalhamento unidirecional inventada por Ron Rivest. Este algoritmo produz um valor hashde 128 bits, para uma mensagem de entrada de tamanho arbitrrio. Foi inicialmente proposto em 1991, aps alguns ataques de criptoanlise terem sido descobertos contra a funo hashingprvia: a MD4. O algoritmo foi projetado para ser rpido, simples e seguro. Seus detalhes so pblicos e tm sido analisados pela comunidade de criptografia. Foi descoberta uma fraqueza em parte do MD5, mas at agora ela no afetou a segurana global do algoritmo. Entretanto, o fato de ele produzir uma valor hashde somente 128 bits o que causa maior preocupao. Mdia Base fsica (hardware) ou lgica (software) sobre a qual a informao registrada, podendo ser exportada para outra mdia ou permanecer armazenada nela prpria. Mdia armazenadora Ver Mdia. MIME (Multipurpose Internet Mail Extensions) Padro da Internet que estende o formato de emailpara suportar texto em conjunto de caracteres alm do tipo US-ASCII; anexos do tipo no-texto; corpos de mensagem do tipo multi-parte informao de cabealho em conjunto de caracteres do tipo no-ASCII. Os tipos de contedo definidos por padres MIME so tambm importantes, alm do e-mail, como em protocolos de comunicao, como o HTTP para a Internet. Mitigao Conjunto de aes para minimizar ameaas, evitando que estas venham a se tornar desastres. Estas aes tambm reduzem os efeitos dos desastres. A mitigao focaliza em medidas a longo prazo para se reduzir ou eliminar os riscos no ambiente considerado. Modo de operao Tipo de tratamento que ser dado aos blocos de mensagem, para evitar que blocos idnticos gerem o mesmo
resultado criptogrfico ao serem cifrados. Mdulo criptogrfico Software ou hardwareque fornece servios criptogrficos, como cifrao, decifrao, gerao de chaves, gerao de nmeros aleatrios. Mdulo criptogrfico mono-CI Mdulo criptogrfico com um nico circuito integrado protegido por um invlucro. Mdulo criptogrfico multi-CI Mdulo criptogrfico com vrios circuitos integrados protegidos por um invlucro. Mdulo criptogrfico multiaplicao Mdulo criptogrfico que suporta mais que uma aplicao. Exemplo: mdulo criptogrfico contendo aplicao ICP e aplicao EMV. Mdulo de segurana criptogrfica (MSC) Hardware com capacidade de processamento, que gera chaves criptogrficas e assina documentos, sendo usado para assinar os certificados digitais em Autoridades Certificadoras, oferecendo grande velocidade e segurana. Multi-threaded Caracterstica dos sistemas operativos modernos que permite repartir a utilizao do processador entre vrias tarefas simultaneamente. No-repdio Garantia que o emissor de uma mensagem ou a pessoa que executou determinada transao de forma eletrnica no poder posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital. Deste modo, a menos que tenha ocorrido um uso indevido do certificado digital, que no exime de responsabilidade, o autor no pode negar a autoria da transao. Transaes digitais esto sujeitas a fraude quando sistemas de computador so acessados indevidamente ou infectados por cavalos de Tria ou vrus. Assim, os participantes podem, potencialmente, alegar fraude para repudiar uma transao. Navegador de Internet ou browser Aplicativo utilizado para visualizar arquivos HTML, VRML, textos, arquivos de udio, animao, videoclipes e/ou correio eletrnico pela Internet. Entre os principais navegadores disponveis no mercado esto Microsoft Internet Explorer, Netscape Navigator, Opera, Mozilla, etc. NBR (Norma Brasileira Regulamentadora) a sigla de Norma Brasileira aprovada pela ABNT, de carter voluntrio e fundamentada no consenso de um grupo de representantes da comunidade cientfica. Suas disposies abrangem diversos temas e so obrigatrias quando em condies estabelecidas pelo poder pblico competente. Negociao de chaves (Key Agreement) Processo ou protocolo que possibilita atribuir uma chave criptogrfica simtrica compartilhada aos parceiros legtimos em funo de valores secretos escolhidos por cada um dos parceiros, de forma que nenhuma outra entidade possa determinar o valor da chave criptogrfica. Exemplo clssico de negociao de chaves o algoritmo Diffie-Hellman. No-break Equipamento que tem como funo suprir a energia de um circuito, por um tempo determinado, na ausncia da fonte de energia principal da rede eltrica. Nome significativo Nome que determina a identidade da pessoa ou organizao a que se refere. Nmero de srie do certificado Valor que identifica de forma unvoca um certificado emitido por uma Autoridade Certificadora. Nmero de Identificao Pessoal (Personal Identification Number - PIN) Cdigo alfanumrico ou senha usada para autenticar uma identidade. Nmero de registro No contexto do sistema de arquivos de cartes inteligentes, um nmero sequencial atribudo a cada registro, que serve para identificar unicamente o registro
dentro de seu EF [ISO/IEC 7816-4]. Object Identifier (OID) Nmero nico que identifica uma classe de objetos ou um atributo em um diretrio ou combinao de diretrios. OID so definidos por entidades emissoras e formam uma hierarquia. Um OID representado por um conjunto de nmeros decimais separados por pontos (por exemplo: 1.2.3.4). OID so usados extensivamente em certificados de formato X.509, como, por exemplo, para designar algoritmos criptogrficos empregados, polticas de certificao e campos de extenso. Praticamente toda implementao de ICP usando este formato requer o registro de novos OID, em particular, uma que designe a poltica de certificao que estabelece seu regime regulatrio bsico. crucial que os OID sejam obtidos dos legtimos responsveis pelos arcos, para se evitar incompatibilidades e colises. Nos certificados da ICP-Brasil os OIDs utilizados para identificar as Polticas de Certificados e Declarao de Prticas de Certificao das Autoridades Certificadoras so atribudos pelo ITI, durante o processo de auditoria da AC, e obedecem a seguinte lgica: 2.16.76.1.1.n OID para Declaraes de Prticas de Certificao 2.16.76.1.2.n OID para Polticas de Certificados 2.16.76.1.3.n e 2.16.76.1.4.n OID usados para permitir a incluso no certificado de outros dados de pessoas fsicas e jurdicas, como CNPJ, CPF, ttulo de eleitor, categoria profissional etc. Objeto de dado No contexto do padro ISO/IEC 7816-4 para cartes inteligentes, um objeto de dado consiste em um conjunto de caracteres (tag), um comprimento e um valor (um elemento de dado, por exemplo). Nesta parte do padro ISO/IEC 7816, objetos de dados so referenciados como BER-TLV, COMPACT-TLV e SIMPLE-TLV [ISO/IEC 7816-4]. Observatrio Nacional (ON) Unidade de pesquisa do Ministrio da Cincia e Tecnologia (MCT), integrante do Sistema Nacional de Metrologia (SINMETRO). O ON o responsvel legal pela gerao, conservao e disseminao da Hora Legal do Brasil. Octeto Conjunto de oito bits compreendendo um byte. OCSP (Online Certificate Status Protocol) Protocolo para verificao de Estado de Certificado On-line, OCSP um dos dois esquemas comuns para verificar se um certificado digital no se encontra revogado. O outro mtodo a LCR (ver LCR). Atravs do OCSP, qualquer aplicao pode fazer consultas a um servio que verifica, diretamente no Banco de Dados da Autoridade Certificadora, o status de um determinado certificado. As respostas emitidas por este servio so individuais (uma para cada certificado) e assinadas digitalmente, a fim de garantir sua confiabilidade. Dessa maneira, a lacuna entre o momento da revogao e a emisso da prxima LCR deixa de existir, j que, uma vez que seja marcado como revogado no banco de dados da AC, a prxima resposta OCSP j apresentar este status, eliminando a possibilidade de um acesso no-autorizado desta natureza. Offline Fora de linha, desligado. Quando no existe nenhum contato do computador com uma rede. Oficial de segurana Perfil de acesso que permite a uma entidade usuria externa realizar servios relacionados iniciao do sistema de arquivos do mdulo, gerenciamento do mdulo, reinicializao do mdulo, sobrescrita do valor de chaves criptogrficas (key zeroization) e destruio do mdulo. Online Significa "estar em linha", estar ligado em determinado momento rede ou a outro computador. Operao criptogrfica Operao que manipula uma chave criptogrfica. Operador Indivduo ou processo que realiza operaes no mdulo criptogrfico. OpenSSL Implementao de cdigo aberto dos protocolos SSL e
TLS. A biblioteca (escrita na linguagem C) implementa as funes bsicas de criptografia e disponibiliza vrias funes utilitrias. O OpenSSL est disponvel para a maioria dos sistemas do tipo Unix, incluindo Linux, Mac OS X e para as quatro verses do BSD de cdigo aberto e tambm para o Microsoft Windows. Par de chaves Chaves privada e pblica de um sistema criptogrfico assimtrico. A chave privada e sua chave pblica so matematicamente relacionadas e possuem certas propriedades, entre elas a de que impossvel a deduo da chave privada a partir da chave pblica conhecida. A chave pblica pode ser usada para verificao de uma assinatura digital que a chave privada correspondente tenha criado, ou a chave privada pode decifrar a uma mensagem cifrada a partir da sua correspondente chave pblica. A chave privada deve ser de conhecimento exclusivo do titular do certificado. Parmetros crticos de segurana (PCS) Representam informaes sensveis e relacionadas segurana, tais como chaves criptogrficas assimtricas privadas, chaves simtricas de carter secreto, chaves de sesso e dados de autenticao (senhas e PIN, por exemplo), cuja leitura ou modificao podem comprometer a segurana de um mdulo criptogrfico. PEM (Privacy Enhanced Mail) Padro da Internet que fornece troca segura no correio eletrnico. O PEM emprega um conjunto de tcnicas de criptografia para permitir confidencialidade, autenticao do remetente e integridade da mensagem. Os aspectos da integridade da mensagem permitem que o usurio se assegure que ela no seja modificada durante o transporte do remetente. A autenticao do remetente permite que um usurio verifique que a mensagem PEM que recebeu verdadeiramente da pessoa que reivindica t-la emitido. A caracterstica da confidencialidade permite que uma mensagem seja mantida secreta de pessoas a quem ela no foi dirigida. PI (Parte Interessada) Parte interessada (empresa) que deseja fazer a homologao junto ao LSITEC-LEA. PIN (Personal Identification Number) Sequncia de nmeros e/ou letras (senha) usadas para liberar o acesso chave privada, ou outros dados armazenados na mdia, somente para pessoas autorizadas. PKCS (Public Key Cryptographic Standard) Padres de criptografia de chave pblica. So especificaes produzidas pelos Laboratrios RSA em cooperao com desenvolvedores de sistemas seguros de todo o mundo, com a finalidade de acelerar a distribuio da criptografia de chave pblica. PKCS#1 Especificao de padro de dados para o protocolo RSA, incluindo o padro para criptografia e assinatura digital RSA e o padro para estocagem de chaves pblicas e privadas. PKCS#5 Especificao de um padro para derivao de chaves e mecanismos de cifrao baseado em senhas. Descreve um mtodo para cifrar um vetor de bytesutilizando uma chave secreta calculada a partir de uma senha (Password-Based Encryptionou PBE). destinado proteo de chaves privadas em situaes que exijam a sua transferncia. Isto pode ser necessrio, por exemplo, quando as chaves so geradas pela CA e no pelo usurio, ou quando o usurio necessita transferir a chave para outra mquina. A cifragem utilizada est baseada no DES. PKCS#10 Especificao de um padro para codificar requisies de certificados, incluindo o nome da pessoa que requisita o certificado e sua chave pblica. PKCS#7 (CMS) Padro que descreve uma sintaxe genrica para dados que podem ser submetidos a funes criptogrficas, tais como assinatura e envelopagem digital. Permite recursividade, com aninhamento de envelopes e wrappers. Permite, tambm, a associao de atributos arbitrrios como, por exemplo, selo temporal ou contraassinatura mensagem no processo de autenticao por assinatura. Casos particulares oferecem meios de disseminao de certificados e CRL. O CMS fornece suporte a uma variedade de arquitetu-
ras de gerenciamento de chaves baseadas em ICP, como aquela proposta para o padro PEM na RFC 1422. Entretanto, topologias, modelos de confiana e polticas de certificao para ICP esto fora do seu escopo. Valores produzidos pelo padro esto destinados codificao DER, ou seja, para transmisso e armazenagem na forma de cadeias de octetos de comprimento no necessariamente conhecidos de antemo. Na ICP-Brasil, largamente utilizado na assinatura digital. PKCS#8 Especificao de um padro para chaves privadas: o valor da chave, o algoritmo correspondente e um conjunto de atributos associados. Define tambm uma sintaxe para chaves cifradas recorrendo s tcnicas PBE definidas no PKCS#5. PKCS#11 Descreve a interface de programao chamada Cryptoki", utilizada para operaes criptogrficas em hardwares: tokens, smart cards. comum utilizar o PKCS#11 para prover o suporte aos tokenscomo as aplicaes de SSL e S/MIME. PKCS#12 Descreve uma sintaxe para a transferncia de informao de identificao pessoal, incluindo chaves privadas, certificados, chaves secretas e extenses. uma norma muito til uma vez que utilizada por diversas aplicaes (por exemplo, Internet Explorer e Mozilla) para importar e exportar este tipo de informao. Suporta a transferncia de informao pessoal em diferentes condies de manuteno da privacidade e integridade. O grau de segurana mais elevado prev a utilizao de assinaturas digitais e cifras assimtricas para proteo da informao. PKI (Public Key Infrastrusture) Infraestrutura de chaves pblicas. A ICP-Brasil um exemplo de PKI. Plano de auditoria Roteiro que descreve, pelo menos, como a auditoria pretende proceder verificao da Poltica de Certificao (PC), da Declarao de Prticas de Certificao (DPC) e da Poltica de Segurana (PS) e recomendar providncias quanto s observaes levantadas. Plano de contingncia Plano de aes para situaes de emergncia. Tem como objetivo a garantia da disponibilidade dos recursos e servios crticos e facilitar a continuidade de operaes de uma organizao. Deve ser regularmente atualizado e testado, para ter eficcia caso necessria sua utilizao. Sinnimo de plano de desastre e plano de emergncia. Plano de continuidade de negcios Plano cujo objetivo manter em funcionamento os servios e processos crticos das entidades integrantes da ICP-Brasil, na eventualidade da ocorrncia de desastres, atentados, falhas e intempries. Plano de desenvolvimento e implantao dos trabalhos de auditoria Plano elaborado pela empresa de auditoria independente, que especifica de maneira clara e objetiva cada etapa do trabalho, procedimentos e tcnicas a serem adotados em cada atividade, prazo de execuo e pontos de homologao, bem como tabelas indicativas do nmero de horas de auditoria e o nmero de auditores a serem alocados nos servios que sero realizados em entidades da ICP-Brasil. Plano de recuperao de desastres Conjunto de procedimentos alternativos a serem adotados aps um desastre, visando a reativao dos processos operacionais que tenham sido paralisados, total ou parcialmente, ainda que com alguma degradao. Poltica de Carimbo de Tempo (PCT) Conjunto de normas que indicam a aplicabilidade de um carimbo de tempo para uma determinada comunidade e/ou classe de aplicao com requisitos comuns de segurana. Poltica de Certificao (PC) Documento que descreve os requisitos, procedimentos e nvel de segurana adotados para a emisso, revogao e gerenciamento do ciclo de vida de um certificado digital. Poltica de Segurana (PS) Conjunto de diretrizes destinadas a definir a proteo
adequada dos ativos produzidos pelos sistemas de informao das entidades. Preciso Ver Exatido. Prestador de Servio de Certificao (PSC) Qualquer entidade credenciada junto ICP-Brasil que fornea servios de certificao. Prestador de Servios de Suporte (PSS) Entidade que desempenha as atividades descritas na PC, PCT, DPC ou DPCT da AC ou ACT, responsvel por esses documentos. So empresas contratadas por uma AC, ACT ou AR para realizar atividades de disponibilizao de infraestrutura fsica, lgica, e humana, ou quaisquer dessas. Privacidade de documentos eletrnicos Vide Confidencialidade de documentos eletrnicos PRNG (Pseudo Random Number Generator) Algoritmo usado na gerao de sequncias numricas, cujos nmeros so aproximadamente independentes um dos outros. A sada da maioria dos geradores de nmeros aleatrios no verdadeiramente aleatria. Ela somente aproxima algumas das propriedades dos nmeros aleatrios. Enquanto nmeros verdadeiramente aleatrios podem ser gerados usando hardwarepara gerao de nmero aleatrio, nmeros pseudo-aleatrios so uma parte crtica da computao moderna, da criptografia at o mtodo de Monte Carlo passando por sistemas de simulao. Uma cuidadosa anlise matemtica necessria para assegurar que a gerao dos nmeros seja suficientemente "aleatria". Procedimento de fiscalizao Aes que tm o objetivo de verificar o cumprimento das normas que regem a ICP-Brasil por parte das entidades credenciadas. Protocolo Descrio das regras que dois computadores devem obedecer ao estabelecer uma comunicao. Um conjunto de regras padronizadas que especifica o formato, a sincronizao, o sequenciamento, a transmisso de dados, incluindo inicializao, verificao, coleta de dados, endereamento e verificao e correo de erros em comunicao de dados. PSC (Provedor de Servios Criptogrficos) Ver CSP (Cryptographic Service Provider) Proxy Servidor que age como um intermedirio entre uma estao de trabalho e a Internet para segurana, controle administrativo e servio de cache. Um servidor (programa) proxy(ou com capacidades de proxy) recebe pedidos de computadores ligados sua rede e, caso necessrio, efetua esses mesmos pedidos ao exterior dessa rede, usando como identificao o seu prprio numero IP e no o numero IP do computador que requisitou o servio. til quando no se dispe de nmeros IP registrados numa rede interna ou por questes de segurana. PUK (Personal Identification Number Umblocking Key) Chave para desbloqueio do nmero de identificao pessoal (PIN), o qual normalmente fica bloqueado aps vrias tentativas invlidas. Como o PIN, a senha PUK deve ser guardada de forma segura, pois ambas permitem, em dispositivos como tokense smart cards, o acesso chave privada de um titular de certificado. Rastreabilidade Relacionamento do resultado de uma medio de sincronismo com um valor de referncia previamente estabelecido como padro. A rastreabilidade se evidencia por intermdio de uma sequncia contnua de medidas, devidamente registradas e armazenadas e permite a verificao, direta ou indireta, do relacionamento entre o tempo informado e a fonte confivel de tempo. Recuperao de chave Processo no qual uma chave privada pode ser recuperada, a partir de dados armazenados por uma empresa ou rgo governamental. Na ICP-Brasil proibida a recuperao de chaves privadas, isto , no se permite que terceiros possam legalmente obter uma chave privada sem o consentimento de seu titular. Recurso criptogrfico Controle de segurana baseado no uso de criptografia simtrica ou assimtrica.
Rede Grupo de computadores interconectados, controlados individualmente, junto com o hardwaree o softwareusado para conect-los. Uma rede permite que usurios compartilhem dados e dispositivos perifricos como impressoras e mdia de armazenamento, troquem informaes por meio do correio eletrnico e assim por diante. Rede de Carimbo do Tempo da ICP-Brasil Rede criada e mantida pela AC-Raiz da ICP-Brasil, que se liga ao Observatrio Nacional para obter a hora UTC e a dissemina s ACT credenciadas na ICP-Brasil. Rede de Sincronismo Autenticado (ReTemp/HLB) Rede criada e mantida pelo Observatrio Nacional, que permite a rastreabilidade e a autenticao do tempo, nos equipamentos que a compem, em relao Hora Legal Brasileira e UTC. Rede local Grupo de computadores conectados com a finalidade de compartilhar recursos. Os computadores em uma rede local so normalmente ligados por um nico cabo de transmisso e localizados dentro de uma pequena rea, como um nico prdio ou seo de um prdio. Redundncia 1. Componentes de um sistema de computador que so instalados para fazer backup. Utilizados para garantir a operao ininterrupta de um sistema em caso de falha. 2. Segundo dispositivo que esteja imediatamente disponvel para uso quando ocorre falha de um dispositivo primrio de um sistema de computador. Registro Cadeia de octetos que pode ser manuseada como um todo pelo carto inteligente e referenciada por um nmero de registro ou por um identificador de registro [ISO/IEC 7816-4]. Relatrio de auditoria Documento que traduz a forma como foi desenvolvido o trabalho de auditoria e que exprime de forma clara, concisa e exata uma opinio sobre os resultados a que o auditor chegou, devendo conter, sempre que for caso, as alegaes, as respostas ou as observaes dos responsveis e, ainda, concluses e recomendaes. Relatrio de fiscalizao Documento pelo qual o servidor responsvel pela fiscalizao descreve o que constatou na entidade fiscalizada Relying Party Ver Terceira parte RNG (Random Number Generator) Quando um nmero aleatrio gerado por um programa, este nmero no exatamente aleatrio (por isto que nmeros aleatrios gerados por programas so mais corretamente classificados como pseudoaleatrios). Portanto, em sistemas onde so geradas chaves criptogrficas importantes, necessrio existir um circuito chamado Random Number Generator(RNG) que garanta que os nmeros gerados so realmente ao acaso e no baseados no relgio de tempo real do computador. Realimentao de dados de autenticao (Echo) Exibio visvel de caracteres no momento da insero de uma senha. Renovao de certificados Processo para obter um certificado novo antes que o certificado existente tenha expirado. Na ICP-Brasil, obrigatria a gerao de novas chaves criptogrficas para cada certificado emitido. Repositrio Sistema confivel e acessvel on-line, mantido por uma Autoridade Certificadora, para publicar sua Declarao de Prticas de Certificao (DPC), Lista de Certificados Revogados (LCR) e endereos das instalaes tcnicas das AR vinculadas. Resoluo (Resolution) Menor diferena entre indicaes de um dispositivo mostrador que pode ser significativamente percebida. A resoluo de um relgio o menor incremento de tempo que o mesmo pode indicar. Retardo (Delay) Tempo de propagao na Internet entre o SCT e o SAS.
Revogao de certificados Encerramento da validade de um certificado digital antes do prazo previsto. Pode ocorrer por iniciativa do usurio, da Autoridade de Registro, da Autoridade Certificadora ou da Autoridade Certificadora Raiz. RFC (Request for Comments) Documentos tcnicos ou informativos que discutem os mais diversos aspectos relacionados Internet. Os assuntos variam desde especificaes, padres e normas tcnicas at questes histricas acerca da rede mundial de computadores. Os RFC so documentos pblicos, qualquer pessoa tem acesso a eles, podendo ler, comentar, enviar sugestes e relatar experincias sobre o assunto. Pode-se pesquisar os RFC no sitehttp://www.faqs.org/rfcs. Risco ou ameaa 1. Probabilidade da concretizao de um evento que possa causar perdas significativas por provocar ar danos a um ou mais aos ativos da organizao. 2. Fator externo que pode vir a atacar um ativo, causando um desastre ou perda significativa. Roteador Sistema computacional que usa uma ou mais mtricas para determinar o caminho otimizado pelo qual o trfego da rede deve ser encaminhado por meio de seus endereos de uma rede local ou remota para outra. Roteamento Processo de seleo de rotas para uma mensagem. RSA (Rivest Shamir and Adleman) Algoritmo assimtrico que possui este nome devido a seus inventores, Ron Rivest, Adi Shamir e Len Adleman, que o criaram em 1977, no MIT. , atualmente, o algoritmo de chave pblica mais amplamente utilizado, sendo capaz de fornecer assinaturas digitais e cifrar textos. Sala-cofre rea de segurana restrita, formada por cofre com proteo eletromagntica, fsica e contra fogo, para proteger as chaves privativas que assinam os certificados digitais. Secure Messaging (Transferncia segura de mensagens por meios eletrnicos) Qualquer mtodo de entrega de uma mensagem segura, incluindo TLS (segurana da camada de transporte), SMTP sobre SSL e HTTPS. Segundo de transio (leap second) Ajuste ao UTC por meio da subtrao ou adio de um segundo ao ltimo segundo de um ms do UTC. A primeira escolha o fim de dezembro e de junho, e a segunda escolha o fim de maro e de setembro. Segurana fsica O principal objetivo da implantao de controles de segurana fsica restringir o acesso s reas crticas da organizao, prevenindo acessos no autorizados que podem acarretar danos a equipamentos, acessos indevidos informao, roubos de equipamentos, entre outros. Os controles de acesso fsico devem ser implantados em conjunto com os controles de acesso lgico. A falta de implementao desses dois controles em conjunto seria o mesmo que restringir o acesso s informaes atravs de senhas, mas deixar os servidores desprotegidos fisicamente, vulnerveis a roubo, por exemplo. Selo Cronolgico Digital Servio que registra, no mnimo, a data e a hora correta de um ato, alm da identidade da pessoa ou equipamento que enviou ou recebeu o selo cronolgico. O Selo Cronolgico Digital cria uma confirmao assinada digitalmente e prova de fraude sobre a existncia de uma transao ou documento especfico. Selo de homologao Selo conferido aos sistemas e equipamentos homologados pelo ITI. Semente (de chave criptogrfica) Valor secreto usado para inicializar uma funo ou uma operao criptogrfica. Senha Conjunto de caracteres, conhecidos apenas pelo usurio, que fornecem acesso ao arquivo, computador ou programa. Senhas so geralmente usadas em conjunto com o nome do usurio que o autentica e o garante autorizao ao acesso.
Senha forte Inverso de senha fraca ou bvia Senha fraca ou bvia aquela onde se utilizam caracteres de fcil associao com o dono da senha, ou que seja muito simples ou pequena, tal como datas de aniversrio, casamento, nascimento, o prprio nome, o nome de familiares, sequncias numricas simples, palavras com significado, dentre outras Servio criptogrfico ICP (ou Aplicao ICP) Aplicao de infraestrutura de chaves pblicas contextualizada para o mbito da ICP-Brasil. Servidor de aplicativos Sistema que realiza a interface entre o subscritor e o SCT. Encaminha as solicitaes de carimbo de tempo ao SCT e em seguida devolve ao subscritor os carimbos de tempo ou mensagens de erro recebidos em resposta. Servidor de Auditoria e Sincronismo (SAS) Dispositivo constitudo por hardwaree softwareque audita e sincroniza SCT. Deve possuir um HSM com relgio para sincronizao e capacidade de processamento criptogrfico para gerao de chaves criptogrficas e realizao de assinaturas digitais Servidor de Carimbo de Tempo (SCT) Dispositivo nico constitudo por hardwaree softwareque gera os carimbos do tempo, sob o gerenciamento da ACT. Deve possuir um HSM contendo um relgio a partir do qual so emitidos os carimbos do tempo. Nesse HSM devem ser tambm realizadas as funes criptogrficas de gerao de chaves e assinaturas digitais. SHA-1 (Secure Hash Algorithm) O Secure Hash Algorithm, uma funo de espalhamento unidirecional inventada pela NSA, gera um valor hashde 160 bits, a partir de um tamanho arbitrrio de mensagem. SHA-224, SHA-256, SHA-384 e SHA-512 (SHA-2 Family - Secure Hash Algorithm) O NIST publicou quatro funes adicionais da famlia SHA, cada uma com valores hashmaiores, conhecidos coletivamente como SHA-2. As variantes individuais so nomeadas atravs de seus comprimentos de hash(em bits): SHA-224, SHA-256, SHA-384, e SHA-512. O SHA-224 foi definido para combinar o comprimento da chave com duas chaves TripleDES. SHA-256 e SHA512 so funes de hashcomputadas com palavras de 32 bits e 64 bits, respectivamente. Usam quantidades diferentes de deslocamento e constantes adicionais, mas suas estruturas so virtualmente idnticas, diferindo somente no nmero de voltas. SHA-224 e SHA-384 so simplesmente verses truncadas das duas primeiras, computadas com valores iniciais diferentes. Sigilo Condio na qual dados sensveis so mantidos secretos e divulgados apenas para as partes autorizadas. Os titulares de certificados de assinatura digital emitidos pela AC so responsveis pela gerao, manuteno e garantia do sigilo de suas respectivas chaves privadas, bem como pela divulgao ou utilizao indevidas dessas mesmas chaves. Signatrio Pessoa/entidade que cria uma assinatura digital para uma mensagem com a inteno de autentic-la. Signed data Qualquer contedo assinado. Um determinado nmero de assinantes pode assinar em paralelo qualquer tipo de contedo. A aplicao tpica do tipo de contedo signed data representada por uma assinatura digital do assinador no contedo do tipo de contedo de dados. Outra aplicao tpica disseminada so os certificados digitais e as listas da revogao do certificado (CRL). Sincronizao de relgio Processo pelo qual dois ou mais relgios passam a indicar o mesmo tempo. Sistema de Autenticao e Sincronismo (SAS) Dispositivo constitudo por hardwaree softwareque audita e sincroniza SAS ou SCT. Deve possuir um HSM com relgio para sincronizao e capacidade de processamento criptogrfico para gerao de chaves criptogrficas e realizao de assinaturas digitais.
Sistema autnomo (Autonomous System - AS) Grupo de redes de endereo IP que gerenciado por um ou mais operadores de rede de Internet, que possuem uma clara e nica poltica de roteamento. Sistema criptogrfico Sistema composto de documentao normativa especfica de criptografia aplicada na ICP-Brasil, conjunto de requisitos de criptografia, projetos, mtodos de implementao, mdulos implementados de hardwaree software, definies relativas a algoritmos criptogrficos e demais algoritmos integrantes de um processo criptogrfico, procedimentos adotados para gerncia das chaves criptogrficas, mtodos adotados para testes de robustez das cifras e deteco de violaes dessas. Sistema de certificao digital Programa de computador, ainda que embarcado, que possua meio necessrio ou suficiente realizao de certificao digital. Sistema de Deteco de Intruso (IDS) Ferramentas de segurana que ajudam os administradores a evitarem danos na rede quando as outras protees, tais como controle de acesso ou firewalls, no conseguem afastar os intrusos. Detecta tentativas ou ataques bem-sucedidos nos recursos monitorados. Estes recursos podem fazer parte de uma rede ou um sistema host. Sistema de Pagamento Brasileiro (SPB) Sistema responsvel pela interao entre o Banco Central, governo, instituies financeiras, empresas e at mesmo pessoas fsicas. Gerencia o processo de compensao e liquidao de pagamentos por meio eletrnico, ligando as instituies financeiras credenciadas ao Banco Central. Utiliza certificados digitais da ICPBrasil para autenticar e verificar a identidade dos participantes em todas as operaes realizadas. Sistema operacional Programa principal que se dedica s tarefas de organizao e controle das atividades do computador e seus perifricos. Skew Diferena de frequncia entre dois relgios (primeira derivada do offsetno tempo).
Slot Em um HSM (Hardware Security Module), um slot um leitor lgico que potencialmente contm um token. Smart card 1. Um tipo de carto plstico, semelhante a um carto de crdito, com um ou mais microchips embutidos, capaz de armazenar e processar dados. Um smart cardpode ser programado para desempenhar inmeras funes, inclusive ter capacidade de gerar chaves pblicas e privadas e armazenar certificados digitais. Pode ser utilizado tanto para controle de acesso lgico como para controle de acesso fsico. 2. Pequeno dispositivo, geralmente do tamanho de um carto de crdito, que contm um processador e capaz de armazenar informao criptogrfica (como chaves e certificado) e realizar operaes criptogrficas. S/MIME (Secure / Multipurpose Internet Mail Extensions) Protocolo de segurana de e-mail. Foi desenhado para prevenir a interceptao e falsificao de emailusando cifrao e assinatura digital. S/MIME constri a segurana em cima do protocolo MIME e baseado na tecnologia desenvolvida originalmente pela RSA Data Security, Inc. SO 1. Sistema operacional. 2. Em um HSM (Hardware Security Module), o Security Officer, um usurio do dispositivo criptogrfico com poderes de administrador do sistema. Software 1. Programa de computador que utiliza uma sequncia lgica de instrues que o computador capaz de executar para obter um resultado especfico. 2. Conjunto de programas e instrues que operam o computador. So dois os tipos de softwarede computador: softwarede sistema, que engloba operaes bsicas necessrias para operar o hardware(por exemplo, sistema operacional, utilitrios de comunicao, monitores de performance, editores, compiladores etc), e softwareaplicativo, que executa tarefas especficas pa-
ra auxiliar os usurios em suas atividades. 3. Programas e componentes de dados que podem ser dinamicamente modificados durante a execuo, usualmente armazenados em mdias regravveis. SSL (Secure Socket Layer) Protocolo de segurana que fornece privacidade na comunicao atravs da Internet. orientado conexo, com servio de crifrao ponto-a-ponto, possibilitando que aplicativos cliente (normalmente um navegador web) e servidor se comuniquem, utilizando mecanismos criados para proteger o sigilo e a integridade do contedo. Opcionalmente pode fornecer servio de autenticao para entidades de camadas. Desenvolvido pela Netscape para transmitir documentos privativos pela Internet. Subscritor Pessoa fsica ou jurdica que solicita os servios de uma Autoridade de Carimbo do Tempo (ACT), implcita ou explicitamente concordando com os termos mediante os quais o servio oferecido. Sute de assinatura Combinao de um esquema de assinatura com um mtodo de paddinge uma funo resumo.
contexto de programas multi-threaded. Uma parte do cdigo thread-safese funcionar corretamente durante a execuo simultnea para threadsmltiplas. Em particular, deve satisfazer necessidade para threadsmltiplas, para acessar os mesmos dados compartilhados, e necessidade para uma parte compartilhada dos dados ser acessada por somente uma threadde cada vez. Time-stamping Ver Datao de registros Tipo de certificados Na ICP-Brasil esto definidos oito tipos de certificados para titulares, classificados como: A1, A2, A3, A4, S1, S2, S3 e S4 e um tipo de certificado para Autoridades Certificadoras. Titular de certificado Entidades, pessoa fsica ou jurdica, para as quais foram emitidos um certificado digital. O assinante o titular da chave privada correspondente chave pblica contida no certificado e possui a capacidade de utilizar tanto uma quanto a outra. Token 1. Dispositivo para armazenamento do certificado digital de forma segura, sendo seu funcionamento parecido com o smart card. Tem sua conexo com o computador via USB. 2. Em um HSM (Hardware Security Module), um token a viso lgica de um dispositivo criptogrfico definido em PKCS#11 (Cryptoki). Topologia Disposio fsica dos ns e dos meios de rede dentro de uma estrutura de rede corporativa. Transporte de chaves (Key Transport) Processo ou protocolo que possibilita que uma chave criptogrfica simtrica compartilhada seja transferida aos participantes legtimos da entidade geradora para parceiros. Neste mtodo, a chave definida por uma das entidades e repassada para as demais. Trilhas de auditoria 1. Histrico das transaes de sistemas que esto disponveis para a avaliao com o objetivo de provar a correo de sua execuo comparada com os procedimentos ditados pela poltica de segurana. 2. Rotinas especficas programadas nos sistemas para fornecerem informaes de interesse da auditoria. 3. Conjunto cronolgico de registros que proporcionam evidncias do funcionamento do sistema. Estes registros podem ser utilizados para reconstruir, revisar e examinar transaes, desde a entrada de dados at a sada dos resultados finais, bem como para rastrear o uso do sistema, detectando e identificando usurios no autorizados. Triple DES (3DES) Variao do DES, utilizando-o em trs ciframentos sucessivos, podendo empregar um verso com duas ou com trs chaves diferentes. Seu tamanho de chave de 112 ou 168 bits. Unidade de dado No contexto da norma ISO 7816-4, representa o menor conjunto de bits que pode ser referenciado de forma no ambgua [ISO/IEC 7816-4]. URL (Uniform Resource Locator) Mecanismo padronizado para identificar e localizar certos cadastros e outros recursos localizados na web. A maioria das URL aparece na forma familiar de endereos de sites. Usurio 1. Pessoa que utiliza certificado digital apresentado por um titular. 2. Papel de acesso que, quando assumido por uma entidade usuria externa, permite realizar servios de segurana no mdulo criptogrfico aps sua iniciao, incluindo operaes criptogrficas, gerao de chaves criptogrficas, o uso do sistema de arquivos, sobrescrita do valor de chaves criptogrficas (key zeroization) etc. Usurio final Pessoa fsica ou jurdica que possui um certificado digital. Sinnimo de Titular de certificado. Validao da cadeia de certificados Consiste na verificao da validade do certificado, nomeadamente a data, assinatura e validade dos certifi-
cados que estejam na sua cadeia de certificao, at ao certificado de confiana. Validade de LCR Perodo de tempo em que a LCR est com sua data de validade operacional. As LCR possuem prazo mximo de validade de acordo com o tipo de certificado previsto na ICP-Brasil. Validade do certificado Perodo de tempo em que o certificado est com sua data de validade operacional. Os certificados possuem prazo mximo de validade de acordo com o tipo de certificado previsto na ICP-Brasil. Verificao Ratificao da identidade de uma pessoa fsica ou jurdica mediante a solicitao de certificado atravs de documentao apresentada pelo solicitante e da reconfirmao dos dados da solicitao. Verificao da validade do certificado Processo realizado por um destinatrio ou terceira parte para confirmar que o certificado de um titular, usurio final, vlido e era operacional na data e hora que uma assinatura digital pertinente foi criada. Verificao de assinatura digital Ao realizada para determinar com preciso que: 1. A assinatura digital foi criada durante o perodo operacional de um certificado vlido por uma chave privada correspondente chave pblica contida no certificado. 2. Que a mensagem associada no tenha sido alterada desde que a assinatura digital foi criada. Vrus Pequenos segmentos de cdigos programados, normalmente com ms intenes, que tm a caracterstica de se agregar ao cdigo de outros programas. Assim que so executados, disparam o cdigo maliciosamente alterado a fim de causar modificaes indevidas no processamento normal do sistema em que este se encontra, causando (ou no) desde danos leves a irreparveis. VPN (Virtual Private Networks) Canal criptografado de dados que utiliza rede compartilhada de maneira segura. Os ns so conectados por meio de recursos de uma rede pblica de telecomunicaes, utilizando criptografia e outros dispositivos de segurana para garantir que os dados dessa rede no sero interceptados. Vulnerabilidade Fragilidade em uma mquina, programa ou sistema que pode ser explorada por agressores. Estes procuram por essas vulnerabilidades para explor-las como forma de tomar acesso ao sistema. Um bom administrador de redes se mantm informado e atualizado de todas as vulnerabilidades descobertas nos sistemas, para agir de forma rpida na correo daquelas que dizem respeito ao ambiente que administra. Worms Programas maliciosos semelhantes aos vrus, porm se diferenciam na forma de infeco e nos tipos de danos que podem causar. X.509 Recomendao ITU-T, a especificao X.509 um padro que especifica o formato dos certificados digitais, de tal maneira que se possa amarrar firmemente um nome a uma chave pblica, permitindo autenticao forte. Faz parte das sries X.500 de recomendaes para uma estrutura de diretrio global, baseadas em nomes distintos para localizao. Na ICP-Brasil utilizam-se certificados no padro X-509 V3. Zeramento de chaves Ver Key zeroization
Suspenso de certificado Suspenso do uso de um certificado digital por um perodo determinado de tempo. A suspenso de certificado digital no permitida no mbito da ICP-Brasil. Switch Dispositivo que direciona pacotes em uma rede. Template Na especificao do PKCS#11 (Cryptoki), template um vetor de atributos e usado para criar, manipular e procurar objetos. TRC (Teorema de Resto Chins) Algoritmo utilizado para resolver sistemas de congruncias lineares. muito antigo e foi inventado, independentemente, pelos chineses e pelos gregos, para resolver problemas de astronomia. O algoritmo chins do resto tem este nome porque um dos primeiros lugares em que aparece no livro Manual de aritmtica do mestre Sun, escrito entre 287 d.C. e 473 d.C. Tempo Universal Coordenado (UTC) Escala de tempo adotada como padro de Tempo Oficial Internacional, utilizada pelo sistema de Metrologia Internacional, Conveno do Metro, determinada e disseminada pelo Bureau International des Poids et Mesures - BIPM, Frana. Terceira parte (Relying part) 1. Parte que age confiante no teor, validade e aplicabilidade do certificado digital e/ou carimbo do tempo emitido por uma das AC e/ou ACT integrante da ICPBrasil. 2. Pessoa ou instituio que age com total independncia de fabricantes, desenvolvedores, representantes comerciais, prestadores de servios de certificao digital e de potenciais compradores de sistemas e equipamentos de certificao digital Termo de responsabilidade Termo assinado por uma pessoa fsica, que ser a responsvel pelo uso do certificado, quando o titular do certificado uma organizao. No termo, esto estabelecidas as condies de uso do certificado. Termo de titularidade Termo assinado pelo titular do certificado digital emitido para pessoa fsica ou jurdica onde so estabelecidas as condies de uso do mesmo. Termo Inicial de Fiscalizao (TIF) Documento que inicia o procedimento de fiscalizao. Texto cifrado Dado que foi criptografado. O texto cifrado a sada do processo de criptografia e pode ser transformado novamente em informao legvel, em forma de texto claro, a partir da chave de decifrao. Texto claro Dado que est no estado no cifrado ou decifrado. Thread-safe Conceito de programao de computador aplicado ao

Posicionamento TI SBPC 2011

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Posicionamento TI SBPC 2011

Caricato da

Copyright:

Formati disponibili

Tecnologia da Informao em Tecnologia da Informao em

MedicinaLaboratorial: Medicina daLaboratorial: Posicionamento SBPC/ML 2011

Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Projeto grfico e editorao eletrnica:

Tecnologia da Informao em Medicina Laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Carlos Ballarati Presidente da SBPC/ML Binio 2010/2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Autores deste documento

Autores deste documento

Autores deste documento Comit de Tecnologia da Informao da SBPC/ML

Comit de Tecnologia da Informao da SBPC/ML

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Comit de Tecnologia da Informao da SBPC/ML

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Diretoria executiva binio 2010-2011

Diretoria executiva binio 2010-2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Posicionamento da SBPC/ML 2011

Boas Prticas de Segurana e Sigilo em TI para Laboratrios Clnicos:

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

1.Cenrio de TI no Brasil sob a tica do sigilo e segurana

Total de Incidentes Reportados ao CERT.br por Ano

Ano ( 1999 a maro de 2011 )

Figura1: Incidentes reportados ao CERT.br por ano

Anlises Clnicas Anatomia Patolgica

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

1596 1313 6488

3.Normas de segurana e sigilo em TI

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Anlise de Risco detalhada

Identificar ativos de informao ( informao a ser protegida )

Avaliar os valores dos ativos de informao e estabeler dependncias entre ativos

Identificar mecanismos para reduzir as vulnerabilidades

Avaliar riscos Identificar e revisar limitaes

Aceitar riscos No Sim Poltica de Segurana de sistema de TI

Baseado na ISO 13335-3

Figura3: Anlise detalhada de riscos relativos segurana

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Posicionamento da SBPC/ML 2011

Conceitos de certificao e segurana digital de laudos

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Conceitos de certificao e segurana digital de laudos

Conceitos de certificao e segurana digital de laudos

AC CERTISIGN MULTIPLA AC CERTISIGN SPB AC IMPRENSA OFICIAL SP AC SINCOR AC PRODEMGE

AC CAIXA JUS AC CERTISIGN JUS AC SERASA JUS AC SERPRO JUS

SERPRO ACF AC PRODERJ

AC OAB AC INSTITUTO FENACON

AR CREDENCIADA AR EM CREDENCIAMENTO AC EM CREDENCIAMENTO AC CREDENCIADA DE 1NVEL AC CREDENCIADA DE 2NVEL

AC INSTITUTO FENACON RFB AC PRODEST RFB

Conceitos de certificao e segurana digital de laudos

Tecnologia da informao em medicina laboratorial: Posicionamento da SBPC/ML 2011

Conceitos de certificao e segurana digital de laudos