DOU 07/04/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040700063
63
Nº 66, segunda-feira, 7 de abril de 2025
ISSN 1677-7042
Seção 1
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de documentação acerca do controle da qualidade de dados utilizados na operadora, destacando-se:
1. Documento formal contendo política com diretrizes da operadora em relação ao controle da qualidade de dados;
. .2. Documentos específicos determinados em acordos entre o setor de TI e os outros setores da operadora; e
3. Evidência de controles de captação e do desenvolvimento de sistemas de armazenamento físico dos dados, incluindo mecanismo de consulta, alterações e reportes, além das definições
relativas à segurança lógica destes sistemas.
. .
1.4.6
.A Operadora realiza auditoria interna e/ou externa de sistemas de informação.
.
Complementar
.
Interpretação:
Visando garantir a qualidade de seus sistemas de informação, a redução de riscos na operação e a proteção de seus ativos informacionais, as operadoras devem realizar sistematicamente
auditorias especializadas de TI (internas ou externas) em seus sistemas, processos, operações e atividades de gestão e tomada de decisão. A auditoria deverá verificar a aderência à Política de
Tecnologia da Operadora bem como o atendimento às imposições legais e regulatórias.
. .A Política de Tecnologia da Operadora deverá conter as diretrizes de seleção, adoção, utilização e operação dos recursos de tecnologia da informação para atender a demandas regulatórias,
de clientes internos e externos e decorrentes de estratégias e objetivos de negócio da organização.
Cabe registrar que a auditoria externa de sistemas é independente e que a auditoria interna é realizada por profissionais ligados à operadora.
(ABNT, 2005), JULIANI (2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a realização da auditoria de sistemas de informação e se os relatórios e documentos produzidos contêm: (1) tópicos sobre confiabilidade e veracidade das informações; (2) a
avaliação dos resultados da auditoria; (3) No caso da auditoria externa: se as conclusões do auditor externo asseguram a conformidade legal e regulamentar; entre outros, (4) No caso da
auditoria interna: se as conclusões do auditor interno definem o nível de conformidade legal e regulamentar, entre outros .
. .
1.4.7
.A Operadora possui ambientes segregados para desenvolvimento, testes e disponibilização dos sistemas de TI.
.
Complementar
. .Interpretação:
A operadora deverá manter ambientes segregados para desenvolvimento, testes, homologação e disponibilização visando garantir a estabilidade, segurança e qualidade dos sistemas de
informação, evitando o risco de introdução em produção de falhas de softwares ainda não testados ou homologados (ABNT, 2005).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destacam-se as seguintes:
1. Utilização das funções e dados em seus ambientes providos dos controles e segregações adequados;
2. Evidência de disponibilidade de dados para testes e homologações, sem prejuízo da confidencialidade exigida pelo negócio;
3. Evidência de conformidade às exigências legais;
. .4. Proteção do ambiente da produção contra acessos indevidos;
5. Verificação da confiabilidade dos resultados de testes e de homologações;
6. Evidência de instâncias de bancos de dados e de instalações de softwares separadas; entre outros.
. .
1.4.8
.Os sistemas, processos e infraestrutura de TI são consistentes e adequados às necessidades e às mudanças do modelo de negócio, tanto em circunstâncias
normais de operação quanto em períodos de estresse.
.Excelência
.
Interpretação:
Este item está relacionado ao grau de maturidade da governança de tecnologia de informação onde a operadora deverá demonstrar que possui flexibilidade e escalabilidade de seus
sistemas e infraestrutura de TI, frente às mudanças necessárias em decorrência de situações onde um volume esperado de demandas aos sistemas da operada sejam excedidos, quer por
mudanças no modelo de negócios, ou períodos de estresse. Podem ser citados como exemplos:
. .(1) revisão de estratégias; (2) expansão para novos nichos de mercado; (3) reorganizações societárias; (4) lançamento de produtos; (5) mudança no modelo de remuneração de prestadores
de serviços - ex: modelo Fee For Service para DRG; (6) aumento significativo da taxa de inadimplências da carteira; (7) queda do volume de negócios; (8) mudança de legislação; (9) crise
sanitária e epidemias; entre outros. (BRODBECK,2003)
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destacam-se as seguintes:
1. Documentos relativos ao PDTI - onde, por exemplo, poderá ser verificada a existência de item relativo à descrição e avaliação das condições dos sistemas, processos e
infraestrutura;
2. Relatório com os resultados da auditoria dos sistemas de informação;
3. Indicadores de disponibilidade dos sistemas;
. .4. Indicadores de satisfação dos usuários; etc.
. .
1.4.9
.A Operadora fornece serviços em canais digitais para seus contratantes, beneficiários e membros da rede de prestadores.
.Excelência
. .Interpretação:
Serviços fornecidos através de websites ou aplicativos podem favorecer a rapidez, transparência e independência a contratantes, beneficiários e prestadores no atendimento a suas
necessidades de relacionamento com a operadora.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destaca-se a disponibilidade ou existência de canais digitais e aplicativos.
. .1.5 Política de segurança e privacidade das informações
Interpretação:
Este requisito trata das diretrizes para a segurança e privacidade das informações a ser praticada pela operadora, alcançando colaboradores, a alta administração, atividades terceirizadas,
e no que couber prestadores de serviços de saúde da rede da operadora. Aborda ainda a relação entre operadoras de planos de assistência e administradoras de benefícios.
A análise do requisito deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD).
. .
1.5.1
.A Operadora possui uma Política de Segurança da Informação definida e divulgada entre seus colaboradores, gestores, administradores, direção e
conselheiros.
.Essencial
.
Interpretação:
Uma política de segurança de informação é um instrumento de planejamento que deve prover a operadora de diretrizes para a segurança da informação, estabelecendo
responsabilidades e atitudes adequadas para manuseio, tratamento, controle e proteção contra a indisponibilidade, a divulgação, a modificação e o acesso não autorizado a dados e informações,
conferindo às operadoras a responsabilidade de zelar pela confidencialidade, integridade e disponibilidade dos dados e das informações.
. .Esta política pode compreender a elaboração de diretrizes nos seguintes campos: (a) Propriedade da Informação; (b) Classificação da informação; (c) Permissão e níveis de acesso; (d)
Responsabilidade sobre ativos de informação; (e) Gestão de continuidade de negócios (f) Monitoramento dos negócios de TI; (g) Monitoramento dos serviços e equipamentos; entre
outros.
(SCHNEIDER; SOUZA 2017) (ABNT, 2005) (ABNT, 2013)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência documentada da política de segurança de informação da operadora.
. .
1.5.2
.Os colaboradores, administradores e conselheiros assinam termo de confidencialidade das informações obtidas em razão da atividade desempenhada,
inclusive em caso de rescisão contratual.
.
Essencial
.
Interpretação:
.
O termo de confidencialidade de informação é individual e deve fazer referência à Política de Segurança da Informação da operadora, abrangendo colaboradores, administradores e
membros dos diversos conselhos. Entre as recomendações que podem estar expressas neste termos, destacam-se as seguintes: obrigatoriedade de guardar segredo de sua autenticação de
acesso (senha) ao ambiente computacional, não cedendo, não transferindo, não divulgando nem permitindo o seu conhecimento por terceiros, sendo responsável por todas as ações realizadas
através desse acesso; guardar sigilo e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas; estar ciente de que as
responsabilidades dispostas no documento perdurarão inclusive após a cessação do vínculo contratual com a empresa e abrangem as informações de propriedade da organização.
. .Para ser efetivo, deve contemplar menção à responsabilidade dos usuários pelas consequências legais, inclusive por danos materiais ou financeiros, devidamente comprovados, em virtude da
não observância dos itens elencados.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar:
1. a existência e assinatura de termo de confidencialidade com colaboradores, administradores e conselheiros;
2. a existência e assinatura de termo de adesão à política de divulgação de informações;
3. cláusulas contratuais com previsão de punição/indenização em caso de descumprimento.
. .
1.5.3
.Os registros contendo a documentação cadastral da rede prestadora de serviço e as informações cadastrais e clínicas dos beneficiários são
armazenados de forma a garantir a sua disponibilidade, integridade e confidencialidade.
.
Essencial
.
Interpretação:
Segundo os padrões internacionais, norma ISO/IEC 17799:2005(atualizada pela ISO/IEC 27002), a tríade CIA (Confidentiality, Integrity and Av a i l a b i l i t y ) - Confidencialidade, Integridade
e Disponibilidade - representa os principais atributos que orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja
proteger:
.
Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da
informação.
Outro atributo importante é a autenticidade, ou seja, a propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de alteração ao longo de
um processo;
. .Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de
mudanças e garantia do seu ciclo de vida;
Confidencialidade: propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de:
1. Controles Físicos: barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura que a suporta.
2. Mecanismos de segurança que apoiam os controles físicos: portas, trancas, paredes, blindagem, guardas, entre outros.
. .3. Controles lógicos: barreiras que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração
não autorizada por elemento mal-intencionado.
4. Mecanismos de segurança que apoiam os controles lógicos: cifração ou encriptação, assinatura digital, controle de acesso (senhas, sistemas biométricos, firewalls), certificação;
Hash, entre outros.
. .
1.5.4
.Os contratos das atividades terceirizadas, incluindo contratos com as administradoras de benefícios, preveem a garantia da confidencialidade
das informações obtidas em razão da atividade desempenhada, inclusive em caso de rescisão contratual.
.Essencial
.
Interpretação:
A decisão por terceirizar serviços deve ser precedida por uma rigorosa análise de riscos e benefícios, alinhada à visão estratégica da organização. A terceirização pode trazer benefícios
como: redução de despesas, foco em operações centrais, e vantagens competitivas em relação a preços e qualidade do serviço prestado. No entanto, também há riscos associados, entre
eles, riscos operacionais, risco com a segurança e com o controle.
Fechar