Linha Datasul

Árvore de páginas

Requisitos de Segurança TISS 3

Produto:

TOTVS - Gestão de Planos de Saúde

Versões:

 a partir da TISS 3

Ocorrência:

 Requisitos de Segurança da TISS 3

Passo a passo:

Itens presentes no manual de segurança do padrão TISS 3.00.01:
• 4-Verificar a qualidade de segurança da senha no momento de sua definição pelo usuário obrigando a utilização de, no mínimo, 8 caracteres dos quais, no mínimo, 1 caractere deve ser não alfabético;
• 5-Definir o período máximo de troca de senha como controle do sistema. Este período não deve ser superior a um ano. O sistema deve permitir que o usuário troque sua senha a qualquer momento;
• 6-Armazenar a senha dos usuários utilizando qualquer algoritmo hash;
• 7-Bloquear, ao menos temporariamente, o usuário após um número máximo de tentativas inválidas de login. Este número de tentativas não deve ser superior a 5;
• 10-Encerrar a sessão do usuário após período de tempo configurável de inatividade. Este tempo não deve ser superior a 30 minutos;
• 11-Registrar log de acessos e de tentativas de acesso ao sistema de informação.
Os demais itens presentes no manual de segurança do padrão TISS são de responsabilidade da operadora configurar/parametrizar, pois se referem a questões de ambiente e servidor web.

1. Processo Inicial
É necessário que o cliente realize os seguintes passos para atualização dos ambientes:
• Importação do arquivo de menu que contém as atualizações de  menu;
• Atualização do arquivo md5-digest.js no diretório inetpub/wwwroot/seriouswac. É importante salientar que esse diretório está presente na máquina onde o servidor web da operadora está sendo executado;
• Atualização do arquivo login3.gif no diretório inetpub/wwwroot/seriouswac/imagens.  É importante salientar que esse diretório está presente na máquina onde o servidor web da operadora está sendo executado.

2. Manutenção de Clínicas

Na manutenção de clínicas foram incluídos os seguintes campos:

  • Dt. Inicio segur. TISS 3.00.01: Indica a data na qual iniciará o controle dos requisitos de segurança do padrão TISS 3.00.01. Antes desta data os controles de senha dos prestadores/clínicas permanecerão da forma como é realizado atualmente;
  • Dias validade senha: Permite ao cliente parametrizar o número de dias de validade da senha da clinica/prestador. A validade não poderá ser superior a 365 dias, período que compreende 12 meses, conforme definido no padrão TISS;
  • Dias antec. Aviso troca senha: Antes de expirar a senha do usuário será gerado um aviso. Esse parâmetro indica quantos dias antes de expirar a senha é que o aviso será gerado. Para não gerar o aviso, pode-se informar o valor 0 (zero) no campo;
  • Nr. Max. Login Invalido: Permite ao cliente parametrizar o número máximo de tentativas inválidas de login antes de bloquear a senha do usuário. Este número não poderá exceder 5 tentativas;
  • Mins. Inatividade p/ encerrar sessão: Permite ao cliente parametrizar a quantidade de minutos que o usuário poderá permanecer logado e sem realizar nenhuma atividade no sistema antes de expirar a sessão. Esse valor não poderá ser maior que 30 minutos.

Para auxiliar na carga destes campos, foi disponibilizado o programa spp/spac010.p.
Ainda na manutenção de clínicas, na opção “Código” foi adicionado uma tela para exibir informações sobre a senha da clínica:

 
3. Manutenção de Prestadores
Na manutenção de prestadores também foi adicionada tela para exibir informações sobre a senha do prestador. Essas informações serão alimentadas quando o controle da senha, definido na manutenção de clínicas, for realizado em nível de prestador:


4. Login do módulo WAC
Foi alterada a forma de autenticação do módulo WAC, onde agora se faz necessária a autenticação do prestador antes de utilizar qualquer programa presente neste módulo. Para a autenticação ocorrer com sucesso, serão considerados os campos Clínica, Prestador e senha, e deverá ser utilizado o botão “Entrar” para realizar a validação.

Alguns controles que passarão a ser realizados no login do módulo WAC:

  • Caso o parâmetro da manutenção de clínicas “Dt. Inicio segur. TISS 3.00.01”  possuir data posterior à data corrente, a senha que será utilizada na autenticação é a senha antiga do prestador, aquela presente nos campos de senha na manutenção de clínicas/prestadores. Caso contrário a nova senha deverá ter sido definida pois será considerada na autenticação;
  • Caso a senha do prestador expire dentro do período parametrizado no campo “Dias antec. Aviso troca senha” da manutenção de clínicas, será gerado aviso do número de dias até a senha expirar na área “Informações Login”;
  • Na tentativa de login do usuário, caso a senha esteja expirada, a autenticação falhará. Neste caso é necessário o prestador definir uma nova senha para acesso;
  • Caso o usuário tente se autenticar com uma senha inválida e o número de tentativas inválidas consecutivas exceda o parametrizado no campo “Nr. Max. Login Invalido” da manutenção de clínicas, sua senha será bloqueada, sendo necessário o desbloqueio da senha antiga ou a definição de uma nova senha;
  • Caso o tempo de inatividade do usuário exceda o parametrizado no campo “Mins. Inatividade p/ encerrar sessão” da manutenção de clínicas, a sessão expirará e o prestador deverá realizar novo login para registrar nova sessão;
  • Cada tentativa de autenticação ao módulo WAC será registrada, independente se a mesma ocorra com sucesso ou não. Para consulta a esses registros, utilizar o programa “Consulta Registros Login WAC (AC-02-L – ac0210k)”. Juntamente com o código da clínica, prestador e data/hora de login, caso a autenticação do usuário falhe, será gravado um motivo de a autenticação ter falhado. Os motivos possíveis são:
    • 1-Clinica nao cadastrada;
    • 2-Prestador nao cadastrado;
    • 3-Prestador excluído;
    • 4-Prestador suspenso;
    • 5-Prestador nao cadastrado na clinica;
    • 6-Senha bloqueada;
    • 7-Senha expirada;
    • 8-Senha nao cadastrada para o usuário;
    •  9-Senha invalida.

O único motivo que irá considerar o registro na contagem das tentativas inválidas de login para bloquear a senha do usuário é o “9-Senha invalida”.

Como proceder caso a senha do prestador seja bloqueada ou expire

Para os casos em que o usuário exceder o número de tentativas inválidas de login e a senha do mesmo for bloqueada ou expirar, deve-se proceder com a utilização de um dos programas a seguir:

  • Desbloqueio/Troca Senha Prestador/Clínica (ac0210j): através deste programa pode-se desbloquear ou definir uma nova senha ao prestador. Neste programa não é realizada nenhuma consistência com relação a dados do prestador para fins de validação de identidade do mesmo, é apenas solicitado o código da clínica/prestador e a nova senha será definida. Esta funcionalidade é disponibilizada aos usuários internos à operadora, não sendo liberado o acesso aos prestadores;
  • Troca da senha da clínica/prestador (wac0068a.w): este programa pode ser liberado aos prestadores para uso no módulo WAC. Para sua utilização não é necessário o prestador estar autenticado no sistema. Este programa permite que o prestador realize a troca da sua senha caso a mesma esteja bloqueada/expirada. A cada troca de senha são solicitados os campos “CPF/CNPJ”, “Data de Nascimento/Fundação” e “Nr.Registro”, que serão validados contra o cadastro do prestador para fins de validação no momento da troca da senha. Para prestadores do tipo pessoa jurídica que não possuírem o campo “Nr.Registro” informado no cadastro, este campo não será validado.

Ambos os programas possuem o parâmetro “Alterar senha somente prestador”. Para as clínicas em que o controle da senha é realizado em nível de clínica, marcando este parâmetro será possível alterar a senha pessoal somente no cadastro do prestador. Esta é a senha utilizada nos demonstrativos TISS e consulta aos títulos dos prestadores. Caso o controle da senha seja realizado em nível de clínica e este parâmetro permanecer desligado, a senha da clínica será alterada e as informações do prestador serão utilizadas apenas para fins de validação da identidade do mesmo.

5. Alteração dos demonstrativos TISS e consulta títulos do prestador
Foram alterados todos os programas onde é solicitada a senha pessoal do prestador quando o controle de senha da clínica for realizado em nível de clínica. Nestes programas, agora é feito o tratamento do campo “Dt. Inicio segur. TISS 3.00.01” da manutenção de clínicas. Se este campo possuir data posterior à data corrente, o controle da senha será feito conforme realizado atualmente no sistema, ou seja, a senha antiga do prestador será solicitada (aquela numérica que não é armazenada utilizando algoritmo MD5). Já se este parâmetro possuir uma data anterior à data corrente, então será solicitada a senha pessoal do prestador que deverá ser definida utilizando algum dos programas disponibilizados para este fim. Os programas que sofreram esta alteração são: 

  • Demonstrativo de Pagamento TISS 3.00.01 (wac0055a.w);
  • Demonstrativo de Pagamento Odontológico TISS 3.00.01 (wac0058a.w);
  • Consulta títulos do Prestador (wac0022a.w);
  • Demonstrativo INSS (wac0028a.w);
  • Demonstrativo de Pagamento TISS 2.02.03 (wac0032a.w);
  • Relatório de Produção dos Cooperados (wac0033a.w);
  • Demonstrativo de Pagamento Odontológico TISS 2.02.03 (wac0041a.w).