Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 23/05/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025052300224
224
Nº 96, sexta-feira, 23 de maio de 2025
ISSN 1677-7042
Seção 1
. .4. Proteção do ambiente da produção contra acessos indevidos;
5. Verificação da confiabilidade dos resultados de testes e de homologações;
6. Evidência de instâncias de bancos de dados e de instalações de softwares separadas; entre outros.
. .
1.4.8
.Os sistemas, processos e infraestrutura de TI são consistentes e adequados às necessidades e às mudanças do modelo de negócio, tanto em circunstâncias normais
de operação quanto em períodos de estresse.
.
Excelência
.
Interpretação:
. .Este item está relacionado ao grau de maturidade da governança de tecnologia de informação onde a operadora deverá demonstrar que possui flexibilidade e escalabilidade de seus sistemas
e infraestrutura de TI, frente às mudanças necessárias em decorrência de situações onde um volume esperado de demandas aos sistemas da operada sejam excedidos, quer por mudanças
no modelo de negócios, ou períodos de estresse. Podem ser citados como exemplos: (1) revisão de estratégias; (2) expansão para novos nichos de mercado; (3) reorganizações societárias;
(4) lançamento de produtos; (5) mudança no modelo de remuneração de prestadores de serviços - ex: modelo Fee For Service para pagamento por performance ou Bundle; (6) aumento
significativo da taxa de inadimplências da carteira; (7) queda do volume de negócios; (8) mudança de legislação; (9) crise sanitária e epidemias; entre outros (BRODBECK, 2003).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destacam-se as seguintes:
1. Documentos relativos ao PDTI - onde, por exemplo, poderá ser verificada a existência de item relativo à descrição e avaliação das condições dos sistemas, processos e
infraestrutura;
2. Relatório com os resultados da auditoria dos sistemas de informação;
. .3. Indicadores de disponibilidade dos sistemas;
4. Indicadores de satisfação dos usuários; etc
. .
1.4.9
.A Operadora exclusivamente odontológica fornece serviços em canais digitais para seus contratantes, beneficiários e membros da rede de prestadores.
.
Excelência
. .Interpretação:
Serviços fornecidos através de websites ou aplicativos podem favorecer a rapidez, transparência e independência a contratantes, beneficiários e prestadores no atendimento a suas
necessidades de relacionamento com a operadora.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destaca-se a disponibilidade ou existência de canais digitais e aplicativos.
.
1.5 Política de segurança e privacidade das informações
Interpretação:
Este requisito trata das diretrizes para a segurança e privacidade das informações a ser praticada pela operadora, alcançando colaboradores, a alta administração, atividades
terceirizadas, e no que couber prestadores de serviços de saúde da rede da operadora exclusivamente odontológica. Aborda ainda a relação entre operadoras exclusivamente odontológicas
e administradoras de benefícios.
. .A análise do requisito deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD).
. .
1.5.1
.A Operadora exclusivamente odontológica possui uma Política de Segurança da Informação definida e divulgada entre seus colaboradores, gestores, administradores,
direção e conselheiros.
.
Essencial
.
Interpretação:
Uma política de segurança de informação é um instrumento de planejamento que deve prover a operadora de diretrizes para a segurança da informação, estabelecendo
responsabilidades e atitudes adequadas para manuseio, tratamento, controle e proteção contra a indisponibilidade, a divulgação, a modificação e o acesso não autorizado a dados e
informações, conferindo às operadoras a responsabilidade de zelar pela confidencialidade, integridade e disponibilidade dos dados e das informações.
. .Esta política pode compreender a elaboração de diretrizes nos seguintes campos: (a) Propriedade da informação; (b) Classificação da informação; (c) Permissão e níveis de acesso; (d)
Responsabilidade sobre ativos de informação; (e) Gestão de continuidade de negócios (f) Monitoramento dos negócios de TI; (g) Monitoramento dos serviços e equipamentos; entre
outros.
(SCHNEIDER; SOUZA, 2017) (ABNT, 2005) (ABNT, 2013)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência documentada da política de segurança de informação da operadora.
. .
1.5.2
.Os colaboradores, administradores e conselheiros assinam termo de confidencialidade das informações obtidas em razão da atividade desempenhada, inclusive em caso de
rescisão contratual.
.
Essencial
.
Interpretação:
O termo de confidencialidade de informação é individual e deve fazer referência à Política de Segurança da Informação da operadora, abrangendo colaboradores, administradores e
membros dos diversos conselhos.
.
Entre as recomendações que podem estar expressas neste termos, destacam-se as seguintes: obrigatoriedade de guardar segredo de sua autenticação de acesso (senha) ao ambiente
computacional, não cedendo, não transferindo, não divulgando nem permitindo o seu conhecimento por terceiros, sendo responsável por todas as ações realizadas através desse acesso;
guardar sigilo e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas; estar ciente de que as responsabilidades dispostas no
documento perdurarão inclusive após a cessação do vínculo contratual com a empresa e abrangem as informações de propriedade da organização.
. .Para ser efetivo, deve contemplar menção à responsabilidade dos usuários pelas consequências legais, inclusive por danos materiais ou financeiros, devidamente comprovados, em virtude
da não observância dos itens elencados.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar:
1. a existência e assinatura de termo de confidencialidade com colaboradores, administradores e conselheiros;
2. a existência e assinatura de termo de adesão à política de divulgação de informações;
3. cláusulas contratuais com previsão de punição/indenização em caso de descumprimento.
. .
1.5.3
.Os registros contendo a documentação cadastral da rede prestadora de serviço e as informações cadastrais e clínicas dos beneficiários são armazenados de forma a garantir
a sua disponibilidade, integridade e confidencialidade.
.
Essencial
.
Interpretação:
Segundo os padrões internacionais, norma ISO/IEC 17799:2005 (atualizada pela ISO/IEC 27002), a tríade CIA (Confidentiality, Integrity and Av a i l a b i l i t y ) - Confidencialidade, Integridade
e Disponibilidade
- representa os principais atributos que orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger:
.
Confidencialidade: propriedade que limita o acesso à informação tão somente às entidades legítimas, ou
seja, àquelas autorizadas pelo proprietário da informação.
Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de
mudanças e garantia do seu ciclo de vida;
. .Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação;
Outro atributo importante é a autenticidade, ou seja, a propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de alteração ao longo de um
processo.
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de:
1. Controles Físicos: barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura que a suporta.
2. Mecanismos de segurança que apoiam os controles físicos: portas, trancas, paredes, blindagem, guardas, entre outros.
. .3. Controles lógicos: barreiras que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração
não autorizada por elemento mal-intencionado.
4. Mecanismos de segurança que apoiam os controles lógicos: cifração ou encriptação, assinatura digital, controle de acesso (senhas, sistemas biométricos, firewalls), certificação;
Hash, entre outros.
. .
1.5.4
.Os contratos das atividades terceirizadas, incluindo contratos com as administradoras de benefícios, preveem a garantia da confidencialidade das informações
obtidas em razão da atividade desempenhada, inclusive em caso de rescisão contratual.
.
Essencial
.
Interpretação:
A decisão por terceirizar serviços deve ser precedida por uma rigorosa análise de riscos e benefícios, alinhada à visão estratégica da organização. A terceirização pode trazer benefícios
como: redução de despesas, foco em operações centrais, e vantagens competitivas em relação a preços e qualidade do serviço prestado. No entanto, também há riscos associados, entre
eles, riscos operacionais, risco com a segurança e com o controle.
.
Particularmente na terceirização de serviços como, por exemplo, serviços de Tecnologia da Informação, as operadoras de planos privados de assistência à saúde devem implementar
medidas que visem a mitigar os riscos envolvidos, como por exemplo:
contratar empresas idôneas e com capacidade e conhecimento adequados ao trabalho a ser executado;
definir quais processos de trabalho devem efetivamente ser terceirizados;
.
implementar mecanismos que permitam manter o controle sobre os processos de trabalho, como exigência de documentação, relatórios operacionais, estabelecimento de níveis
mínimos de qualidade;
elaborar contrato de prestação de serviços que defina de forma completa e objetiva todas as obrigações a serem cumpridas pela empresa terceirizada, em especial, cláusulas
referentes à obrigação de manter o sigilo e confidencialidade das informações, à continuidade dos serviços, e à exigência de cumprimento de níveis de qualidade preestabelecidos.
Especificamente no caso de Operadoras e Administradora de Benefícios, esta relação deverá estar estabelecida em contrato e em tal contrato deverá prever o estabelecido neste
item.
.
Destaca-se que a atividade de Administradora de Benefício foi regulada pela ANS por intermédio de Resolução Normativa específica. Uma administradora de benefício deve possuir
autorização de funcionamento concedida pela ANS, com um número de registro ativo para exercer suas atividades.
Dentre as atividades a serem desenvolvidas por uma Administradora de Benefícios, elencam-se as seguintes:
I - promover a reunião de pessoas jurídicas contratantes na forma específica definida na legislação vigente;
II - contratar plano privado de assistência à saúde coletivo, na condição de estipulante, a ser disponibilizado para as pessoas jurídicas legitimadas para contratar;
.
III - oferecer planos para associados das pessoas jurídicas contratantes;
IV - apoiar tecnicamente a discussão de aspectos operacionais, tais como: a) negociação de reajuste;
b) aplicação de mecanismos de regulação pela operadora de plano de saúde; e c) alteração de rede assistencial.
V - apoiar a área de recursos humanos na gestão de benefícios do plano;
VI - terceirizar serviços administrativos;
.
VII - realizar movimentação cadastral;
VIII - conferir faturas;
IX - realizar cobrança ao beneficiário por delegação;

Fechar