Histórico da Página
Requisitos de Segurança e Privacidade TISS | |||||
| Número | Descrição | Condição | Produtos que Atendem ao Requisito: | Link da Documentação | Observação |
46 | a) A sessão de comunicação entre o componente de interação com o usuário (ex.: browser ou executável cliente) e os outros componentes do sistema (ex.: aplicação) deve oferecer os seguintes funcionalidades de segurança: autenticação, integridade dos dados e confidencialidade dos dados. b) O componente de segurança empregado deve implementar criptografia na comunicação utilizando algoritmo de, no mínimo, 256 bits. | Obrigatório | Framework Protheus | ||
53 | Todos os processos de validação das regras de negócio (ex.: validação de dados, conteúdo, tamanho, domínio, etc.) devem ser realizados no back-end. Opcionalmente, poderá haver tais validações no front-end, desde que seguidas das validações no back-end. | Obrigatório | |||
56 | Componentes que manipulam dados identificados do sistema para fins de interoperabilidade, visualização, assinatura e outros, não devem manter tais dados fora do SGBD após o término da operação. | Obrigatório | Framework Protheus | ||
| 57 | Gerar trilhas de auditoria das ações realizadas no tratamento de dados pessoais e pessoais sensiveis. | Obrigatório | |||
| 58 | Os registros de auditoria gerados devem ter garantia de integridade e serem protegidos contra acesso não autorizado. | Obrigatório | |||
62 | As bases de dados, mídias ou arquivos que contém dados pessoais e/ou dados pessoais sensíveis devem ser protegidas para garantir a confidencialidade (por exemplo: criptografia, somente acessos autorizados, etc.) | Obrigatório | |||
63 | Utilização de captcha na tela de acesso ao sistema vinculada ao método de autenticação por login e senha. Não deve ser permitido autenticar o usuário sem a validação simultânea do login, senha e token do captcha. | Recomendado | |||
| 64 | Adotar a criptografia de, no minimo, 256 bits na comunicação entre as partes da aplicação em redes distintas. | Recomendado | |||
| 65 | Utilização de captcha na tela de recuperação de senha de acesso do sistema para evitar ataques do tipo Brute Force. | Recomendado | |||
| 66 | Não permitir alterar e remover registros do log de auditoria de sistema por um tempo mínimo de 90 dias | Recomendado | |||
67 | Mínimo de 08 caracteres utilizando pelo menos um (01) caractere de cada um dos quatro (4) tipos de caracteres listados abaixo: • Letras Maiúsculas (AZ) • Letras Minúsculas (az) • Números (0-9) • Símbolos ASCII (`~! @ # $% ^ & * () _ + - = {} | \:"; '<>?,. / e espaço) e caracteres Unicode. | Obrigatório | |||
68 | Definir o período máximo de troca de senha como controle do sistema. Este período não deve ser superior a 180 (cento e oitenta dias). O sistema deve permitir que o usuário troque sua senha a qualquer momento. | Obrigatório | |||
69 | Bloquear, ao menos temporariamente, o usuário após um número máximo de tentativas inválidas de login, por qualquer meio de acesso. Este número de tentativas não deve ser superior a cinco. Após o número máximo de tentativas, o usuário poderá ser bloqueado por, no mínimo, 5 (cinco) minutos ou ser submetido a outros controles para autenticação. O desbloqueio será feito apenas pelo próprio usuário ou a sessão será encerrada. | Obrigatório | |||
70 | Registrar log de acessos e de tentativas de acesso ao sistema de informação. O tempo de armazenamento desta informação seja de, no mínimo, 90 (noventa) dias. | Obrigatório | |||
| 71 | Utilizar certificado digital que utilize apenas protocolo criptográfico TLS na versão mínima 1.2. | Obrigatório | |||
72 | A interrupção do serviço de troca eletrônica de informações entre prestadores de serviços de saúde e operadoras de planos privados de assistência à saúde deve ser solucionada em até 48 (quarenta e oito) horas corridas, salvo em caso fortuito ou de força maior devidamente justificado. | Obrigatório | |||
73 | As operadoras de planos privados de assistência à saúde devem constituir proteções administrativas, técnicas e físicas para impedir o acesso não autorizado à dados pessoais e dados pessoais sensíveis. | Obrigatório | |||
| 74 | |||||
| 75 | |||||
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas