Histórico da Página
Requisitos de Segurança e Privacidade TISS | |||||
Número | Descrição | Condição | Produtos / Processos que Atendem ao Requisito: | Link da Documentação | Observação |
46 | a) A sessão de comunicação entre o componente de interação com o usuário (ex.: browser ou executável cliente) e os outros componentes do sistema (ex.: aplicação) deve oferecer os seguintes funcionalidades de segurança: autenticação, integridade dos dados e confidencialidade dos dados. b) O componente de segurança empregado deve implementar criptografia na comunicação utilizando algoritmo de, no mínimo, 256 bits. | Obrigatório | Framework Protheus |
Funcionalidades e Recursos:
https://tdn.totvs.com/pages/releaseview.action?pageId=521139050
https://tdn.totvs.com/display/public/framework/Grupos+e+Campos+dos+Dados+Protegidos
https://tdn.totvs.com/pages/releaseview.action?pageId=532024154
Criptografia:
https://tdn.totvs.com.br/pages/viewpage.action?pageId=135496188
53 | Todos os processos de validação das regras de negócio (ex.: validação de dados, conteúdo, tamanho, domínio, etc.) devem ser realizados no back-end. Opcionalmente, poderá haver tais validações no front-end, desde que seguidas das validações no back-end. | Obrigatório | |||
56 | Componentes que manipulam dados identificados do sistema para fins de interoperabilidade, visualização, assinatura e outros, não devem manter tais dados fora do SGBD após o término da operação. | Obrigatório | Framework Protheus | ||
57 | Gerar trilhas de auditoria das ações realizadas no tratamento de dados pessoais e pessoais sensiveis. | Obrigatório | |||
58 | Os registros de auditoria gerados devem ter garantia de integridade e serem protegidos contra acesso não autorizado. | Obrigatório | |||
62 | As bases de dados, mídias ou arquivos que contém dados pessoais e/ou dados pessoais sensíveis devem ser protegidas para garantir a confidencialidade (por exemplo: criptografia, somente acessos autorizados, etc.) | Obrigatório | Framework Protheus | Documentação Framework Protheus: | |
63 | Utilização de captcha na tela de acesso ao sistema vinculada ao método de autenticação por login e senha. Não deve ser permitido autenticar o usuário sem a validação simultânea do login, senha e token do captcha. | Recomendado | |||
64 | Adotar a criptografia de, no minimo, 256 bits na comunicação entre as partes da aplicação em redes distintas. | Recomendado | |||
65 | Utilização de captcha na tela de recuperação de senha de acesso do sistema para evitar ataques do tipo Brute Force. | Recomendado | |||
66 | Não permitir alterar e remover registros do log de auditoria de sistema por um tempo mínimo de 90 dias | Recomendado | |||
67 | Mínimo de 08 caracteres utilizando pelo menos um (01) caractere de cada um dos quatro (4) tipos de caracteres listados abaixo: | Obrigatório | Framework Protheus Portal do Beneficiário Portal do Prestador TISS Online | Documentação Framework Protheus: Documentação Portal do Beneficiário: Documentação Portal do Prestador TISS Online | |
68 | Definir o período máximo de troca de senha como controle do sistema. Este período não deve ser superior a 180 (cento e oitenta dias). O sistema deve permitir que o usuário troque sua senha a qualquer momento. | Obrigatório | Framework Protheus Portal do Beneficiário Portal do Prestador TISS Online | Documentação Framework Protheus: Documentação Portal do Beneficiário: Documentação Portal do Prestador: TISS Online: | |
69 | Bloquear, ao menos temporariamente, o usuário após um número máximo de tentativas inválidas de login, por qualquer meio de acesso. Este número de tentativas não deve ser superior a cinco. Após o número máximo de tentativas, o usuário poderá ser bloqueado por, no mínimo, 5 (cinco) minutos ou ser submetido a outros controles para autenticação. | Obrigatório | Framework Protheus Portal do Beneficiário Portal do Prestador TISS Online | Documentação Framework Protheus: Documentação Portal do Beneficiário: Portal do Prestador Documentação TISS Online: | |
70 | Registrar log de acessos e de tentativas de acesso ao sistema de informação. O tempo de armazenamento desta informação seja de, no mínimo, 90 (noventa) dias. | Obrigatório | Framework Protheus Portal do Beneficiário Portal do Prestador TISS Online | Documentação Framework Protheus: Documentação Portal do Beneficiário: Portal do Prestador Documentação TISS Online: | |
71 | Utilizar certificado digital que utilize apenas protocolo criptográfico TLS na versão mínima 1.2. | Obrigatório | Framework Protheus Portal do Beneficiário Portal do Prestador TISS Online | Documentação Framework Protheus: | |
72 | A interrupção do serviço de troca eletrônica de informações entre prestadores de serviços de saúde e operadoras de planos privados de assistência à saúde deve ser solucionada em até 48 (quarenta e oito) horas corridas, salvo em caso fortuito ou de força maior devidamente justificado. | Obrigatório | Responsabilidade do Cliente | ||
73 | As operadoras de planos privados de assistência à saúde devem constituir proteções administrativas, técnicas e físicas para impedir o acesso não autorizado à dados pessoais e dados pessoais sensíveis. | Obrigatório | Framework Protheus | Documentação Framework Protheus: | |
74 | Os prestadores de serviços de saúde devem constituir proteções administrativas, técnicas e físicas para impedir o acesso não autorizado à dados pessoais e dados pessoais sensíveis, em especial à toda informação identificada individualmente. | Obrigatório | |||
75 | Igualdade de senha: os processos de troca de senha devem exigir que a nova senha seja diferente das três últimas senhas utilizadas pelo usuário. | Obrigatório | Framework Protheus Portal do Beneficiário Portal do Prestador TISS Online | Documentação Framework Protheus: Documentação Portal do Beneficiário: Portal do Prestador Documentação TISS Online: | |
76 | a) A sessão de usuário deve ser automaticamente bloqueada ou encerrada forçadamente pelo aplicativo após um período de inatividade. Este tempo não deve ser superior a 30 minutos. b) Após o bloqueio ou encerramento da sessão de usuário, as informações em tela não deverão mais estar visíveis, sendo necessária uma nova autenticação para a retomada da atividade. c) Não deve ser possível para qualquer usuário do sistema desativar ou desabilitar tais controles. d)Para que o desbloqueio de sessão seja realizado, o sistema deve requerer novo processo de autenticação do usuário bloqueado. | Obrigatório | Framework Protheus Portal do Beneficiário Portal do Prestador TISS Online | Documentação Framework Protheus: Documentação Portal do Beneficiário: Portal do Prestador Documentação TISS Online: | |
77 | Armazenar de forma protegida todos os dados ou parâmetros utilizados no processo de autenticação de usuário. Método: Nome de usuário e senha a) A senha deve ser armazenada em banco de dados, de forma codificada por algoritmo criptográfico no minimo igual a 256 bits. b) As codificações das senhas de acesso dos usuários devem ser protegidas contra acesso não autorizado. Método: Biometria (condição: somente para pessoas) c) Os templates biométricos das pessoas devem ser protegidos contra acesso não autorizado. d) As amostras biométricas coletadas e transmitidas durante o processo de autenticação devem ser protegidas contra acesso não autorizado. Método: OTP e) As sementes de geração dos valores devem ser protegidas contra acesso não autorizado. | Obrigatório | Framework Protheus | Documentação Framework Protheus: Senhas de usuários no Protheus | |
78 | A comunicação entre componentes distribuídos do sistema (como por exemplo, entre a aplicação e o banco de dados) devem oferecer controles de segurança para impedir acesso não autorizado. Para tal, deverão ser utilizados componentes de segurança que garantam a autenticação e a confidencialidade entre as partes da aplicação e a integridade dos dados. | Obrigatório | |||
79 | Dados pessoais e pessoais sensíveis estruturados devem ser armazenados por Sistema(s) de Gerenciamento de Banco de Dados (SGBD) e dados pessoais e pessoais sensíveis não estruturados e não armazenados em SGBD devem atender à requisitos de confidencialidade. | Obrigatório | Framework Protheus | Sessão: Funcionalidades e Recursos | |
80 | Para as transmissões remotas de dados identificados, os sistemas das operadoras de planos de saúde deverão possuir um certificado digital de servidor emitido por uma Autoridade Certificadora. AC certificados de servidor homologada WebTrust for CAs, WebTrust for CAs - SSL Baseline with Network Security , e ETSI TS 102 042, ETSI EN 319 411-1 e ETSI EN 319 411-2 . | Obrigatório |