uma proposta de uso de assinatura digital em...

2

Click here to load reader

Upload: truongquynh

Post on 25-Sep-2018

212 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Uma Proposta de Uso de Assinatura Digital em …telemedicina.unifesp.br/pub/SBIS/CBIS2004/trabalhos/arquivos/634.pdfUma Proposta de Uso de Assinatura Digital em Prontuário Eletrônico

Uma Proposta de Uso de Assinatura Digital em Prontuário Eletrônico do Paciente

Rafael Charnovscki1, Regiane Pizzetti Borges2, Paulo João Martins2

1 Departamento de Ciência da Computação - Projeto Kiron, UNESC

2 Departamento de Ciência da Computação – UNESC

Introdução

O médico é responsável pelas informações que redige a respeito de seus pacientes. Quando se emite um relatório sobre a saúde de uma pessoa, seja ele manuscrito ou impresso, o médico precisa inserir sua identificação e assinar este documento como forma de indicar sua responsabilidade sobre o que foi escrito a respeito das condições do paciente [1].

Este trabalho propõe o uso de recursos computacionais a fim de agregar mais segurança ao prontuário eletrônico do paciente, possibilitando a substituição da assinatura manual de um documento médico por uma assinatura digital. Assim, por exemplo, a informação da evolução de um paciente em uma Unidade de Terapia Intensiva, poderá ser associada ao profissional responsável por incluir aqueles dados no sistema.

A autenticação do documento eletrônico pode ser obtida utilizando-se a Assinatura Digital (AD) [2]. Esse método possibilita a autenticidade e a integridade das informações armazenadas em meio digital. A AD garante a verificação da identidade da pessoa que assinou o documento e também a verificação sobre qualquer modificação do documento [3].

Este trabalho tem três objetivos principais: a) pesquisar aspectos legais da AD; b) apresentar as tecnologias

computacionais que permitam a segurança de documentos eletrônicos por meio do conceito de assinatura digital;

c) desenvolver um protótipo de software que permita que um profissional de saúde identifique sua responsabilidade pelas informações médicas de um paciente por meio de uma assinatura digital. Metodologia

Foram estudados três aspectos principais na implantação de assinaturas digitais.

Legalidade da assinatura digital Em 24/08/01, a Medida Provisória 2200-2

instituiu a Infra-estrutura de Chaves Públicas no Brasil (ICP-Brasil), transformando o Instituto Nacional de Tecnologia da Informação (ITI) na Autoridade Certificadora Raiz (AC-Raiz) [2]. A MP 2200-2 legaliza o uso da ICP para aplicações que usam Certificados Digitais (CDs) [4].

A MP também considera os documentos eletrônicos tratados por ela como legais desde que tenham sido produzidos com a utilização do processo de certificação disponibilizado pela ICP-Brasil.

Uso da AD em prontuário eletrônico do paciente A resolução 1639/2002 do Conselho

Federal de Medicina indica o uso de AD para os casos de transmissão de dados do prontuário [5]. O Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico de Saúde, da Sociedade Brasileira de Informática em Saúde, define que a autenticação pode ser feita com uso de AD desde que os CDs sejam utilizados apenas para assinatura de registros eletrônicos[6].

Recursos computacionais necessários para implementação da assinatura digital A AD é baseada em métodos de criptografia

assimétrica, também conhecido como criptografia de chave pública, sendo o RSA o algoritmo mais utilizado. Na assinatura digital apenas parte do documento é cifrada utilizando uma função hash, que gera um message digest (resumo cifrado do documento)[3].

O processo de AD de um documento eletrônico inicia com um algoritmo de hash que gera um message digest (MD) do documento. Logo após é utilizada a chave privada do usuário para criptografar o MD. Após esta etapa, é anexada ao documento a chave pública do autor, presente no certificado digital, que é um documento eletrônico que identifica um autor por meio de um par de chaves (pública e privada), que serão utilizadas para a AD. Basicamente, o processo de AD consiste em três passos:

a) aplicação do algoritmo de hash e geração do MD;

b) aplicação da chave privada ao MD e obtenção do mesmo criptografado;

c) anexação da chave pública do autor, presente no certificado digital.

O documento chega ao seu destino acompanhado do MD criptografado e da chave pública do autor. O destinatário aplicará o mesmo algoritmo hash no conteúdo recebido, obtendo um MD do documento. Depois disso é aplicada a chave pública presente na mensagem no MD recebido, decodificando-o. Compara-se o MD gerado com o que foi recebido e decodificado. Se

Page 2: Uma Proposta de Uso de Assinatura Digital em …telemedicina.unifesp.br/pub/SBIS/CBIS2004/trabalhos/arquivos/634.pdfUma Proposta de Uso de Assinatura Digital em Prontuário Eletrônico

os dois forem iguais, significa que o documento não foi alterado e é autêntico. Caso contrário, depois que o documento foi assinado digitalmente, houve alguma modificação ou não foi o proprietário do certificado digital que o enviou [3].

Apesar de existirem alguns sistemas prontos para assinatura digital, é importante que se tenha a liberdade de implementação de soluções mais específicas para prontuários eletrônicos.

Para essa tarefa dispõe-se de uma biblioteca de software disponibilizada gratuitamente pela Microsoft, a "capicom.dll" (CryptoAPI COM), com o objetivo de possibilitar um acesso mais fácil às tarefas de assinatura digital e criptografia contidas na CryptoAPI. Ela fornece os serviços que permitem aos desenvolvedores adicionar às aplicações segurança baseada em criptografia. As principais funções disponíveis nesta biblioteca são: assinatura digital de documentos, verificação da assinatura, verificação das informações e propriedades do certificado, cifrar e decifrar documentos com uma senha, entre outras[3].

Resultados

Utilizando-se a biblioteca "capicom.dll" foi desenvolvido um sistema para teste das funções de assinatura digital de um documento eletrônico. Esse sistema pode ser incorporado a um prontuário eletrônico que emita relatórios de saúde em formato DOC. A figura 1 apresenta a interface do sistema depois de verificar a assinatura em um documento.

Figura 1 - Verificando uma assinatura digital

Discussão e Conclusões

Considerando-se a regulamentação existente e a relativa facilidade de implementação, pode-se dizer que a implantação de assinaturas digitais em prontuários eletrônicos é legal e possui viabilidade técnica.

Além de exercer o papel da assinatura tradicional, a AD serve também para proteger as informações médicas do paciente de alterações não autorizadas. Uma vez assinado o documento, o médico não pode negar a sua autoria.

Outro benefício é a redução das emissões de relatórios médicos que deveriam ser assinados manualmente. Isso reduz os custos de arquivamento e o espaço necessário para armazenamento da documentação do prontuário.

Um ponto a ser tratado em trabalhos futuros é o sigilo dos documentos médicos em formato eletrônico, já que a AD não confere sigilo ao documento eletrônico. A assinatura digital garante a integridade e a autenticidade do documento, mas não garante que o documento não tenha sido violado por outras pessoas.

Referências [1] Conselho Federal de Medicina. Resolução CFM 1.638/2002. Disponível em <http://www.portalmedico.org.br/resolucoes/cfm/20 02/1638_2002.htm> Acesso em: 18 outubro 2003. [2] Instituto Nacional de Tecnologia da Informação. Disponível em: <http://www.iti.gov.br/> Acesso em: 01 junho 2004 [3] BORGES, RP. Segurança de Informações Médicas em Prontuário Eletrônico Utilizando Assinatura Digital. Trabalho de Conclusão de Curso (Graduação - Curso de Ciência da Computação). Universidade do Extremo Sul Catarinense. Criciúma, 2004 [4] MEDIDA PROVISÓRIA No 2.200-2, DE 24 DE AGOSTO DE 2001. <http://www.planalto.gov.br/ccivil_03/MPV/2200-2.htm> Acesso em 30 janeiro 2004 [5] Conselho Federal de Medicina. Resolução CFM 1.639/2002. Disponível em <http://www.portalmedico.org.br/resolucoes/cfm/2002/1639_2002.htm> Acesso em: 18 outubro 2003. [6] SBIS - Sociedade Brasileira de Informática na Saúde. Manual de Requisitos de Segurança, Conteúdo e Funcionalidades para Sistemas de Registro Eletrônico em Saúde (RES). Disponível em: <http://www.sbis.org.br/>. Acesso em: 25 março 2004

Contato Rafael Charnovscki ([email protected]) Depto. de Ciência da Computação Projeto Kiron (http://www.kiron.unesc.rct-sc.br) Universidade do Extremo Sul Catarinense Av. Universitária, 1105 Criciúma - SC - 88806-000