Re: [sbis_l] Re: LEI_Nº_13_787,_DE_27_DE_DEZEMBRO

quinta-feira, 3 de janeiro de 2019
Em 03/01/2019 14:49, Luis Kiatake escreveu:
Nesse sentido, A SBIS já publicou os requisitos de certificação de software para GED, os quais especificam que essa assinatura deve ser do responsável pelo SAME.

A meu ver, Kia, esses requisitos da SBIS deverão ser revistos urgentemente pela Comissão de Certificação, uma vez que:

1. Dependendo da regulamentação que fala a Lei, os requisitos e os scripts para certificação do GED usando certificado digital terão que ser modificados e estendidos consideravelmente;

2. A regulamentação da SBIS hoje em dia trata tão somente do processo de assinatura digital do material digitalizado, mas não do fluxo de trabalho, processo de descarte de informação eletrônica, conectividade ao PEP, etc. ;

3. A LGPDP também influenciará muitos requisitos dos escopos NGS1 e NGS2 da atual versão (4.2), que precisará ser revista: algumas disposições da LGPDP contradizem e inviabilizam vários requisitos, e até da própria Lei 13787;

4. Soube extra-oficialmente que a SBIS montou um Grupo de Interesse sobre a LGPDP, na assembléia extraordinária de dezembro. Tenho interesse em participar, estou me aprofundando no assunto, dei a palestra sobre o tema no último Ciclo de Seminários da SBIS, e o GT4 - Segurança da Informação e do Paciente da ABNT/CEE/IS 78, do qual sou vice-relator, já manifestou seu interesse na última reunião, proposta inclusive repassada para a Secretaria Geral da CEE, de fazer um trabalho conjunto com outras entidades da área, inclusive a SBIS.

5. Pelo que eu sei, nenhuma empresa até agora certificou o GED pela SBIS. Existem alguns obstáculos para isso, e um deles é que os requisitos não podem ser certificados separadamente de um PEP, e um produto PEP/GED é muito raro no mercado. A SBIS deveria fazer um processo de certificação exclusivamente para GEDs. Isso foi prometido mas nunca realizado. Eu já ofereci várias vezes à Diretoria de Certificação um conjunto de requisitos que eu imaginei, em trabalho conjunto com as empresas que têm GED: alguns são inviáveis do ponto de vista técnico, como armazenar todas as imagens em um banco de dados e precisam ser revistos, outros são essenciais, como o GED ter um 'single logon' com o PEP e haver interoperabilidade e acesso mútuo;

6. A Lei menciona a possibilidade de certificação: o que está sendo feito de contatos da SBIS com os responsáveis pela regulamentação da Lei nesse sentido? Existem, como na ISO 27799, aspectos de software, de processos, de contrato, etc. A SBIS não certifica processos, quem certificará? INMETRO?

 
Outro ponto que é contemplado no processo de certificação de GED da a assinatura para garantia de integridade e origem do processo de digitalização, não seja indevidamente utilizada para outros fins, como de assinatura de autoria de um documento .

O descarte do documento original, mantendo a assinatura física, carimbo de identificação e data, é problemático, se os metadados não contiverem essas informações!! Em muitos casos o carimbo é todo borrado, ilegível, e não compete a um técnico de digitalização dar fé pública, ou seja, atestar, como num cartório, a legitimidade da assinatura. Assim, o ideal seria apor a assinatura digital do profissional ou profissionais que assinaram o documento original. O caso em que o diretor técnico é o único assinante de uma receita digitalizada, por exemplo, cria um sério risco para essa pessoa de ter aceito uma receita falsificada, por exemplo, e assumir a responsabilidade legal, ética e profissional por um erro. Pensaram nisso?


 Qui, 3 de jan de 2019 11:59, Odirlei F. Cristino <odirlei85@gmail.com escreveu:
 se precisar uma assinatura para cada profissional teremos problemas com profissionais que não atuam mais na instituição, falecidos e outros.

Odirlei, nesses casos, embora a nova lei permita, eu, sinceramente, não teria coragem de descartar o original, mesmo digitalizado e assinado por um diretor técnico. Colocaria em um arquivo morto.

Outros dois pontos muito importantes:

1) Imagine só a carga gigantesca de assinatura do coitado do diretor técnico!! O requisito da SBIS exige que ele visualize todo e qualquer documento a assinar, implicitamente não permite assinatura por lote. A Lei também menciona essa exigência.

2) E não é só dele: pelo requisito da SBIS, também precisam assinar digitalmente o documento digitalizado, além do operador de digitalização, o seu supervisor e o componente do software! O requisito da SBIS não menciona a assinatura para preservação da autoria, e nem o do responsável técnico pela instituição. Supõe-se que o componente de software assine usando o e-CNPJ, e os demais, o seu e-CPF.

Portanto seriam 4 ou 5 assinaturas, minimamente, por documento (por página? para o documento inteiro em um único arquivo?: nada é mencionado). Com carimbo de tempo certificado T3 ou T3? Imaginem o custo...

Por muito menos a RDC 30, que obrigava a assinatura digital dos resultados de exame, foi combatida e revogada. Preparem-se para a resistência que vem por ai.

Abraços

Prof. Renato M.E. Sabbatini
Sabbatini Consulting



0 comentários: