Sistemas de Informação
para a Gestão da Saúde
Fundação Aplicações de Tecnologias Críticas - Atech
Rua do Rocio, 313 - 11º andar
04552-000 - Vila Olímpia -São Paulo/SP
Tel.: (011) 3040.7318 - Fax: (011) 3040.7400
copyright © atech 2004
SCAI-Sistema de Controle
de Acesso para os
Requisitos da Saúde
Aldisney Martins1 – Fundação Atech/Vidatis
Einar Saukas2 – Summa Technologies
Juliano Zanardo3 - Fundação Atech/Vidatis
1,3Atech
copyright © atech 2004
/ Vidatis - Sistemas de Informação em Saúde,
2Summa Technologies
A Realidade
Firewalls não são infalíveis
40% das quebras de segurança na Internet
ocorrem em sites protegidos por Firewalls.
A maioria das quebras de segurança são
provocadas por Hackers
Perda dos dados e roubo de informações.
Criptografia não dá toda a segurança necessária
A maioria dos algorítimos já foram quebrados.
Tecnologia ajuda, mas…
É necessário definir processos metodológicos
e uma boa política de segurança.
copyright © atech 2004
SBIS-CFM
“Fica instituída a Infra-Estrutura de Chaves
Públicas Brasileira – ICP-Brasil, para garantir a
autenticidade, a integridade e a validade jurídica
de documentos em forma eletrônica, das
aplicações de suporte e das aplicações
habilitadas que utilizem certificados digitais, bem
como a realização de transações eletrônicas
seguras.”
ICP - provê um sistema de identificação em que
cada usuário, servidor ou sistema recebe um
certificado digital.
copyright © atech 2004
Princípios da Segurança
Autenticação
- Processo pelo qual a identidade de uma entidade é verificada
Autorização
- Associar uma identidade a uma lista de direitos, privilégios, ou
áreas de acesso
Controle de Acesso
- Garantir que usuários não autorizados serão mandados embora
Confidencialidade
- Proteger informações sensíveis de forma que estas não sejam
vistas indiscriminadamente
Integridade
- Assegurar que recursos ou dados não sejam alterados por
entidades não autorizadas
Não repudiação
- Quando não se pode negar a autenticidade de um documento, a sua
assinatura ou o seu envio
Disponibilidade
- Legitimar que os usuários tenham acesso quando necessitarem
copyright © atech 2004
Requisitos Comuns
• Módulo de Gerenciamento de usuários, grupos,
perfis e permissões
• Autenticação
• Autorização
• Criptografia “Função de Hashing”
• Geração de menus dinâmicos
• Restrição de acesso por permissão
copyright © atech 2004
Requisitos Críticos para Saúde
•Controle de Sessão do Usuário
• (data e hora, IP, empresa, aplicativo,…)
•Monitoração
•Auditoria
•Senhas que expiram automaticamente
•Gerenciamente por Delegação Hierárquica
•Suporte a Autenticação via cartão SUS
•Certificados Digitais
• Chaves públicas (cifra) e privadas (decifra)
copyright © atech 2004
Papéis Hierárquicos
•
•
•
•
•
Modelo adotado no InCor/HCFMUSP
Hierarquia de papéis (herança de permissões)
Regras conflitantes: ganha ou perde permissão?
Controle de Alçada: perfis restritos por ocupações
Resolução de conflitos
autorizacao = < perfil, tipo-privilegio,
operacao, tipo-autorizacao >
(+ / -)
(Forte / Fraca)
copyright © atech 2004
O que é o SCAI?
• Sistema de Controle de Acesso Integrado
• Solução multi-plataforma (100% Java)
• Ferramentas open-source e gratuitas
• Segurança de Aplicações na Internet em Ambiente
Distribuído
• Acesso x Confidencialidade
• Suporte a gerência de grande número de usuários
• Baseado nas normas de segurança da SBIS.
copyright © atech 2004
Visao Geral
copyright © atech 2004
Visão Conceitual
Empresa
Usuário
Ocupação
Grupo
Alçada
Perfil
Autorização
Permissão
copyright © atech 2004
Aplicativo
Principais Módulos
• Web Filter
Validar as regras de acesso a páginas web
• EJB Filter
2o Nível de segurança, valida regras de acesso aos métodos
• API
Utilizada pelas aplicações, para controles mais específicos
• Log
Armazenamento de informações de execução da aplicação
• Módulo de Gerenciamento
Interface web para configuração e monitoração de todas as
aplicações integradas ao SCAI.
copyright © atech 2004
Arquitetura
Servlets
Servlet
EJBs
JavaBeans
JavaBeans
JSPs
Web
Filter
Web Layer
EJB
Filter
EJB Layer
API / LOG
Database
copyright © atech 2004
Login
copyright © atech 2004
Módulo Administrativo
copyright © atech 2004
Utilização do SCAI
Sistemas da Secretaria Municipal de
Saúde de São Paulo
(Agendamento, Regulação, APAC, CNS e outros)
700 Estabelecimentos (atendem SUS)
40 mil profissionais de saúde
40 mil consultas/dia
5 milhões de procedimentos
ambulatoriais por mês
copyright © atech 2004
Fundação Aplicações de Tecnologias Críticas - Atech
Rua do Rocio, 313 - 11º andar
04552-000 - Vila Olímpia -São Paulo/SP
Tel.: (011) 3040.7300 - Fax: (011) 3040.7400
copyright © atech 2004