Histórico da Página
Requisitos de Segurança e Privacidade TISS | |||||
| Número | Descrição | Condição | Produtos que Atendem ao Requisito: | Link da Documentação | Observação |
46 | a) A sessão de comunicação entre o componente de interação com o usuário (ex.: browser ou executável cliente) e os outros componentes do sistema (ex.: aplicação) deve oferecer os seguintes funcionalidades de segurança: autenticação, integridade dos dados e confidencialidade dos dados. b) O componente de segurança empregado deve implementar criptografia na comunicação utilizando algoritmo de, no mínimo, 256 bits. | Obrigatório | Framework Protheus | ||
53 | Todos os processos de validação das regras de negócio (ex.: validação de dados, conteúdo, tamanho, domínio, etc.) devem ser realizados no back-end. Opcionalmente, poderá haver tais validações no front-end, desde que seguidas das validações no back-end. | Obrigatório | |||
56 | Componentes que manipulam dados identificados do sistema para fins de interoperabilidade, visualização, assinatura e outros, não devem manter tais dados fora do SGBD após o término da operação. | Obrigatório | Framework Protheus | ||
| 57 | Gerar trilhas de auditoria das ações realizadas no tratamento de dados pessoais e pessoais sensiveis. | Obrigatório | |||
| 58 | Os registros de auditoria gerados devem ter garantia de integridade e serem protegidos contra acesso não autorizado. | Obrigatório | |||
62 | As bases de dados, mídias ou arquivos que contém dados pessoais e/ou dados pessoais sensíveis devem ser protegidas para garantir a confidencialidade (por exemplo: criptografia, somente acessos autorizados, etc.) | Obrigatório | |||
63 | Utilização de captcha na tela de acesso ao sistema vinculada ao método de autenticação por login e senha. Não deve ser permitido autenticar o usuário sem a validação simultânea do login, senha e token do captcha. | Recomendado | |||
| 64 | Adotar a criptografia de, no minimo, 256 bits na comunicação entre as partes da aplicação em redes distintas. | Recomendado | |||
| 65 | Utilização de captcha na tela de recuperação de senha de acesso do sistema para evitar ataques do tipo Brute Force. | Recomendado | |||
| 66 | Não permitir alterar e remover registros do log de auditoria de sistema por um tempo mínimo de 90 dias | Recomendado | |||
67 | Mínimo de 08 caracteres utilizando pelo menos um (01) caractere de cada um dos quatro (4) tipos de caracteres listados abaixo: • Letras Maiúsculas (AZ) • Letras Minúsculas (az) • Números (0-9) • Símbolos ASCII (`~! @ # $% ^ & * () _ + - = {} | \:"; '<>?,. / e espaço) e caracteres Unicode. | Obrigatório | |||
68 | Definir o período máximo de troca de senha como controle do sistema. Este período não deve ser superior a 180 (cento e oitenta dias). O sistema deve permitir que o usuário troque sua senha a qualquer momento. | Obrigatório | |||
69 | Bloquear, ao menos temporariamente, o usuário após um número máximo de tentativas inválidas de login, por qualquer meio de acesso. Este número de tentativas não deve ser superior a cinco. Após o número máximo de tentativas, o usuário poderá ser bloqueado por, no mínimo, 5 (cinco) minutos ou ser submetido a outros controles para autenticação. O desbloqueio será feito apenas pelo próprio usuário ou a sessão será encerrada. | Obrigatório | |||
70 | Registrar log de acessos e de tentativas de acesso ao sistema de informação. O tempo de armazenamento desta informação seja de, no mínimo, 90 (noventa) dias. | Obrigatório | |||
| 71 | Utilizar certificado digital que utilize apenas protocolo criptográfico TLS na versão mínima 1.2. | Obrigatório | |||
72 | A interrupção do serviço de troca eletrônica de informações entre prestadores de serviços de saúde e operadoras de planos privados de assistência à saúde deve ser solucionada em até 48 (quarenta e oito) horas corridas, salvo em caso fortuito ou de força maior devidamente justificado. | Obrigatório | |||
73 | As operadoras de planos privados de assistência à saúde devem constituir proteções administrativas, técnicas e físicas para impedir o acesso não autorizado à dados pessoais e dados pessoais sensíveis. | Obrigatório | |||
74 | Os prestadores de serviços de saúde devem constituir proteções administrativas, técnicas e físicas para impedir o acesso não autorizado à dados pessoais e dados pessoais sensíveis, em especial à toda informação identificada individualmente. | Obrigatório | |||
| 75 | Igualdade de senha: os processos de troca de senha devem exigir que a nova senha seja diferente das três últimas senhas utilizadas pelo usuário. | Obrigatório | |||
76 | a) A sessão de usuário deve ser automaticamente bloqueada ou encerrada forçadamente pelo aplicativo após um período de inatividade. Este tempo não deve ser superior a 30 minutos. b) Após o bloqueio ou encerramento da sessão de usuário, as informações em tela não deverão mais estar visíveis, sendo necessária uma nova autenticação para a retomada da atividade. c) Não deve ser possível para qualquer usuário do sistema desativar ou desabilitar tais controles. d)Para que o desbloqueio de sessão seja realizado, o sistema deve requerer novo processo de autenticação do usuário bloqueado. | Obrigatório | |||
77 | Armazenar de forma protegida todos os dados ou parâmetros utilizados no processo de autenticação de usuário. Método: Nome de usuário e senha a) A senha deve ser armazenada em banco de dados, de forma codificada por algoritmo criptográfico no minimo igual a 256 bits. b) As codificações das senhas de acesso dos usuários devem ser protegidas contra acesso não autorizado. Método: Biometria (condição: somente para pessoas) c) Os templates biométricos das pessoas devem ser protegidos contra acesso não autorizado. d) As amostras biométricas coletadas e transmitidas durante o processo de autenticação devem ser protegidas contra acesso não autorizado. Método: OTP e) As sementes de geração dos valores devem ser protegidas contra acesso não autorizado. | Obrigatório | |||
| 78 | |||||
| 79 | |||||
| 80 | |||||
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas