Guia de Implementação da SES GO - Segurança
0.0.2 - draft Brazil flag

Guia de Implementação da SES GO - Segurança - Local Development build (v0.0.2) built by the FHIR (HL7® FHIR® Standard) Build Tools. See the Directory of published versions

Início

URL oficial: https://fhir.saude.go.gov.br/r4/seguranca/ImplementationGuide/br.go.ses.seguranca				Versão: 0.0.2
Draft as of 2025-08-20				Nome para computador: SESGOSEGURANCA

Guia de Implementação de Segurança da Informação em Saúde

Resumo executivo

Este Guia de Implementação estabelece os requisitos obrigatórios de segurança da informação para a troca eletrônica de dados em saúde no âmbito da Secretaria de Estado da Saúde de Goiás (SES-GO), com base no padrão HL7® FHIR®. Seu objetivo é garantir a confidencialidade, integridade, autenticidade e não repúdio das informações clínicas, promovendo interoperabilidade segura entre sistemas de saúde públicos e privados.

O documento orienta estabelecimentos de saúde, gestores e integradores quanto às práticas de credenciamento, autenticação, autorização, assinatura digital e auditoria, detalhando fluxos, exemplos e casos de uso para apoiar o uso correto dos serviços oferecidos. O cumprimento destas diretrizes é fundamental para assegurar a confiança, a conformidade regulatória e a proteção dos dados sensíveis dos cidadãos goianos.

O Portal de Serviços https://fhir.saude.go.gov.br/ define em detalhes os serviços oferecidos.

Este Guia encontra-se em desenvolvimento, sugestões e críticas são bem-vindas.

Confiança na troca eletrônica de dados de saúde

Imagine a paciente Ana sendo atendida pelo Dr. Carlos, seu médico de atenção primária. O Dr. Carlos identifica a necessidade de encaminhar Ana para uma avaliação com a Dra. Sofia, uma cardiologista. Para que a Dra. Sofia realize sua avaliação, ela acessa eletronicamente o histórico clínico, resultados de exames e as notas do Dr. Carlos sobre o caso.

Este cenário é simples, mas suficiente para identificar os mecanismos necessários para que esta interação, dentre muitas outras, seja realizada de forma segura. Estes mecanismos são identificados abaixo.

As notas do Dr. Carlos, por exemplo, precisam trafegar do sistema empregado na atenção primária (sistema de origem) para o sistema utilizado pela Dra. Sofia (sistema de destino). Ambos os sistemas deverão estar credenciados junto à SES-GO. Desta forma, a SES-GO saberá com segurança para quem envia e de quem recebe informações em saúde. Adicionalmente, verifica-se se o interlocutor está autorizado a usufruir do serviço. Estas interações são realizadas de tal forma que a confidencialidade das informações transferidas seja respeitada. Ou seja, só a origem e o destino terão acesso às informações.

O credenciamento, a autenticação, a autorização e a confidencialidade estabelecem um canal seguro para a troca da informação, contudo, tais mecanismos não tratam do conteúdo transferido propriamente. Para ilustrar, a Dra. Sofia tem demandas adicionais. Ela precisa saber: (a) se as notas do Dr. Carlos não foram adulteradas; (b) se o Dr. Carlos é, de fato, o autor destas notas e (c) se o Dr. Carlos não pode negar a autoria. Para dirimir estas dúvidas o Dr. Carlos precisa assinar digitalmente a informação em saúde em questão e a Dra. Sofia deve validar a assinatura fornecida.

Pilares da confiança

A confiança na troca de informações em saúde é estabelecida por um conjunto de mecanismos que podem ser agrupados nos seguintes pilares:

Segurança do canal de comunicação
- Garante a confidencialidade dos dados em trânsito, impedindo que terceiros não autorizados tenham acesso às informações.
Controle de Acesso
- Envolve o credenciamento dos sistemas de informação.
- Requer a autenticação e a obtenção de um token de acesso para autorizar as operações.
Garantias sobre o conteúdo
- A assinatura digital avançada assegura a integridade, a autenticidade e o não repúdio da informação clínica.
  - A assinatura é criada e validada seguindo casos de uso bem definidos.
  - Aplica-se a um conteúdo específico a ser protegido.
- Registros de auditoria fornecem um histórico rastreável das operações realizadas.

Fluxo (contexto de uso)

O conteúdo do presente orienta a execução das atividades no fluxo abaixo.

flowchart TD
    A["Gestor do<br>Estabelecimento de Saúde"] -->|"Solicita credenciamento"| B["SES-GO<br>Sistema de Credenciamento"]
    B -->|"Credenciamento aprovado"| C["Integrador (Desenvolvedor de Software)"]
    C -->|"Adapta o SIS para assinar informações e consumir serviços FHIR"| D["Sistema de Informação em Saúde (SIS)"]
    D -->|"Solicita token de acesso"| E["SES-GO (Serviço de Autorização)"]
    E -->|"Token de acesso"| D
    D <--> |"Envia/recebe informação em saúde (com ou sem assinatura digital)"| F["SES-GO (Serviço FHIR)"]
    
    %% Legenda
    classDef ses fill:#0ff,stroke:#333,stroke-width:0.5px;
    class B,E,F ses;

Glossário

Assinatura digital. Mecanismo criptográfico que visa assegurar a autoria, a integridade e o não repúdio de informações eletrônicas, permitindo verificar se o conteúdo foi alterado e quem é o responsável pela autoria.
Confidencialidade. Garantia de que a informação em saúde só será acessada por pessoas ou sistemas autorizados, protegendo os dados contra acessos não autorizados.
FHIR (Fast Healthcare Interoperability Resources). Padrão para troca de dados em saúde.
Integrador (desenvolvedor de software). Profissional responsável por implementar a integração do SIS com os serviços oferecidos pela SES-GO. Adicionalmente, deve implementar a geração de assinaturas digitais.
Sistema de Informação em Saúde (SIS). Sistema utilizado pelo estabelecimento para troca eletrônica de informações com a SES-GO.

IG © 2024+ SES-GO. Package br.go.ses.seguranca#0.0.2 based on FHIR 4.0.1. Generated 2025-08-20
Links: Conteúdo | Relatório de qualidade