Copyright © Dia Oficial 2025 | contato@diaoficial.com

DOU 07/04/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025040700103
103
Nº 66, segunda-feira, 7 de abril de 2025
ISSN 1677-7042
Seção 1
. .3. Indicadores de disponibilidade dos sistemas;
4. Indicadores de satisfação dos usuários; etc
. .
1.4.9
.A Operadora exclusivamente odontológica fornece serviços em canais digitais para seus contratantes, beneficiários e membros da
rede de prestadores.
.
Excelência
. .Interpretação:
Serviços fornecidos através de websites ou aplicativos podem favorecer a rapidez, transparência e independência a contratantes, beneficiários e prestadores no atendimento a suas
necessidades de relacionamento com a operadora.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destaca-se a disponibilidade ou existência de canais digitais e aplicativos.
.
1.5 Política de segurança e privacidade das informações
Interpretação:
Este requisito trata das diretrizes para a segurança e privacidade das informações a ser praticada pela operadora, alcançando colaboradores, a alta administração, atividades
terceirizadas, e no que couber prestadores de serviços de saúde da rede da operadora exclusivamente odontológica. Aborda ainda a relação entre operadoras exclusivamente odontológicas
e administradoras de benefícios.
. .A análise do requisito deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD).
. .
1.5.1
.A Operadora exclusivamente odontológica possui uma Política de Segurança da Informação definida e divulgada entre seus
colaboradores, gestores, administradores, direção e conselheiros.
.
Essencial
.
Interpretação:
Uma política de segurança de informação é um instrumento de planejamento que deve prover a operadora de diretrizes para a segurança da informação, estabelecendo
responsabilidades e atitudes adequadas para manuseio, tratamento, controle e proteção contra a indisponibilidade, a divulgação, a modificação e o acesso não autorizado a dados e
informações, conferindo às operadoras a responsabilidade de zelar pela confidencialidade, integridade e disponibilidade dos dados e das informações.
. .Esta política pode compreender a elaboração de diretrizes nos seguintes campos: (a) Propriedade da informação; (b) Classificação da informação; (c) Permissão e níveis de acesso; (d)
Responsabilidade sobre ativos de informação; (e) Gestão de continuidade de negócios (f) Monitoramento dos negócios de TI; (g) Monitoramento dos serviços e equipamentos; entre
outros.
(SCHNEIDER; SOUZA, 2017) (ABNT, 2005) (ABNT, 2013)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência documentada da política de segurança de informação da operadora.
. .
1.5.2
.Os colaboradores, administradores e conselheiros assinam termo de confidencialidade das informações obtidas em razão da
atividade desempenhada, inclusive em caso de rescisão contratual.
.
Essencial
.
Interpretação:
O termo de confidencialidade de informação é individual e deve fazer referência à Política de Segurança da Informação da operadora, abrangendo colaboradores, administradores
e membros dos diversos conselhos.
.
Entre as recomendações que podem estar expressas neste termos, destacam-se as seguintes: obrigatoriedade de guardar segredo de sua autenticação de acesso (senha) ao
ambiente computacional, não cedendo, não transferindo, não divulgando nem permitindo o seu conhecimento por terceiros, sendo responsável por todas as ações realizadas através desse
acesso; guardar sigilo e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas; estar ciente de que as responsabilidades
dispostas no documento perdurarão inclusive após a cessação do vínculo contratual com a empresa e abrangem as informações de propriedade da organização.
. .Para ser efetivo, deve contemplar menção à responsabilidade dos usuários pelas consequências legais, inclusive por danos materiais ou financeiros, devidamente comprovados, em virtude
da não observância dos itens elencados.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar:
1. a existência e assinatura de termo de confidencialidade com colaboradores, administradores e conselheiros;
2. a existência e assinatura de termo de adesão à política de divulgação de informações;
3. cláusulas contratuais com previsão de punição/indenização em caso de descumprimento.
. .
1.5.3
.Os registros contendo a documentação cadastral da rede prestadora de serviço e as informações cadastrais e clínicas dos
beneficiários são armazenados de forma a garantir a sua disponibilidade, integridade e confidencialidade.
.
Essencial
.
Interpretação:
Segundo os padrões internacionais, norma ISO/IEC 17799:2005 (atualizada pela ISO/IEC 27002), a tríade CIA (Confidentiality, Integrity and Av a i l a b i l i t y ) - Confidencialidade, Integridade
e Disponibilidade
- representa os principais atributos que orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja
proteger:
.
Confidencialidade: propriedade que limita o acesso à informação tão somente às entidades legítimas, ou
seja, àquelas autorizadas pelo proprietário da informação.
Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de
mudanças e garantia do seu ciclo de vida;
. .Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação;
Outro atributo importante é a autenticidade, ou seja, a propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de alteração ao longo de
um processo.
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de:
1. Controles Físicos: barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura que a suporta.
2. Mecanismos de segurança que apoiam os controles físicos: portas, trancas, paredes, blindagem, guardas, entre outros.
. .3. Controles lógicos: barreiras que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração
não autorizada por elemento mal-intencionado.
4. Mecanismos de segurança que apoiam os controles lógicos: cifração ou encriptação, assinatura digital, controle de acesso (senhas, sistemas biométricos, firewalls), certificação;
Hash, entre outros.
. .
1.5.4
.Os contratos das atividades terceirizadas, incluindo contratos com as administradoras de benefícios, preveem a garantia da
confidencialidade das informações obtidas em razão da atividade desempenhada, inclusive em caso de rescisão contratual.
.
Essencial
.
Interpretação:
A decisão por terceirizar serviços deve ser precedida por uma rigorosa análise de riscos e benefícios, alinhada à visão estratégica da organização. A terceirização pode trazer benefícios
como: redução de despesas, foco em operações centrais, e vantagens competitivas em relação a preços e qualidade do serviço prestado. No entanto, também há riscos associados, entre
eles, riscos operacionais, risco com a segurança e com o controle.
.
Particularmente na terceirização de serviços como, por exemplo, serviços de Tecnologia da Informação, as operadoras de planos privados de assistência à saúde devem implementar
medidas que visem a mitigar os riscos envolvidos, como por exemplo:
contratar empresas idôneas e com capacidade e conhecimento adequados ao trabalho a ser executado;
definir quais processos de trabalho devem efetivamente ser terceirizados;
.
implementar mecanismos que permitam manter o controle sobre os processos de trabalho, como exigência de documentação, relatórios operacionais, estabelecimento de níveis
mínimos de qualidade;
elaborar contrato de prestação de serviços que defina de forma completa e objetiva todas as obrigações a serem cumpridas pela empresa terceirizada, em especial, cláusulas
referentes à obrigação de manter o sigilo e confidencialidade das informações, à continuidade dos serviços, e à exigência de cumprimento de níveis de qualidade preestabelecidos.
Especificamente no caso de Operadoras e Administradora de Benefícios, esta relação deverá estar estabelecida em contrato e em tal contrato deverá prever o estabelecido neste
item.
.
Destaca-se que a atividade de Administradora de Benefício foi regulada pela ANS por intermédio de Resolução Normativa específica. Uma administradora de benefício deve possuir
autorização de funcionamento concedida pela ANS, com um número de registro ativo para exercer suas atividades.
Dentre as atividades a serem desenvolvidas por uma Administradora de Benefícios, elencam-se as seguintes:
I - promover a reunião de pessoas jurídicas contratantes na forma específica definida na legislação vigente;
II - contratar plano privado de assistência à saúde coletivo, na condição de estipulante, a ser disponibilizado para as pessoas jurídicas legitimadas para contratar;
.
III - oferecer planos para associados das pessoas jurídicas contratantes;
IV - apoiar tecnicamente a discussão de aspectos operacionais, tais como: a) negociação de reajuste;
b) aplicação de mecanismos de regulação pela operadora de plano de saúde; e c) alteração de rede assistencial.
V - apoiar a área de recursos humanos na gestão de benefícios do plano;
VI - terceirizar serviços administrativos;
.
VII - realizar movimentação cadastral;
VIII - conferir faturas;
IX - realizar cobrança ao beneficiário por delegação;
.
X - realizar consultoria para prospectar o mercado, sugerir desenho de plano e modelo de gestão. Assim, a atividade desempenhada por uma administradora de benefícios
proporciona acesso a uma grande quantidade de dados pessoais e confidenciais tanto de clientes quanto a dados estratégicos, de competitividade e de mercado da própria operadora.
Assim, a confidencialidade das informações obtidas em razão dessa atividade desempenhada deverá ser objeto de tratamento e cláusula contratual específica.
Especificamente no caso de Operadoras e Administradoras de Benefícios:
.
A cláusula/termo de confidencialidade das informações obtidas em razão da atividade desempenhada pela administradora de benefícios deverá contemplar os seguintes aspectos,
dentre outros:
Informações relativas aos dados cadastrais de beneficiários;
Informações relativas à condição de saúde de beneficiários;
Informações relativas aos dados cadastrais das pessoas jurídicas contratantes dos planos;
.
Informações cadastrais dos associados das pessoas jurídicas contratantes;
Informações referentes aos aspectos operacionais dos planos;
Dados e informações referentes à gestão dos benefícios;
Dados de movimentação cadastral, faturas e cobranças; e
Dados estratégicos, de competitividade e de mercado da operadora.
. .No caso de a operadora não possuir nenhum serviço terceirizado, este item não será considerado na avaliação.
A análise do item deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD) (FRAGA, 2017).

Fechar