SISMETRO e a Resolução SES/MG Nº 5815, DE 18 DE JULHO DE 2017

A resolução Nº 5815, DE 18 DE JULHO DE 2017 da Secretaria de Estado de Saúde de Minas Gerais, estabelece os requisitos mínimos para o cumprimento das Boas Práticas de fracionamento, armazenamento, distribuição e transporte de produtos sob controle sanitário e seus insumos, exceto alimentos, no âmbito do Estado de Minas Gerais. Dentre muitos aspectos abordados a resolução possui uma seção dedicada a validação de sistemas computadorizados. "Para mais informações leia na íntegra a RESOLUÇÃO SES/MG Nº 5815, DE 18 DE JULHO DE 2017".

Tendo em vista que o SISMETRO é um software (sistema computadorizado) que pode impactar diretamente na qualidade e segurança de produtos e insumos submetidos ao controle sanitário, elaboramos o presente artigo para abordar o processo de validação do SISMETRO em nossos clientes no Estado de Minas Gerais.

O processo de validação em questão está associado a liberação ou renovação de licenças sanitárias e/ou autorizações similares, relacionadas ao cliente e não a SISMETRO. Portanto o processo de validação não compreende uma certificação ou registro do software SISMETRO, mas sim uma validação por parte do cliente, para verificar e documentar o pleno atendimento dos requisitos estabelecidos pela norma em questão.  

O processo de validação deverá ser conduzido e documentado pelo cliente contendo data, local e assinatura dos envolvidos. Como demonstrado abaixo recomendamos realizar o processo de validação “item a item” da resolução, garantindo assim o pleno atendimento de cada requisito. Em caso de dúvidas contate a equipe de suporte da SISMETRO.

Seção XIV

Dos sistemas computadorizados

Art. 125 – Os sistemas computadorizados utilizados para atividades que impactem na qualidade e segurança dos insumos e produtos devem ser validados.

A SISMETRO disponibiliza uma série de softwares (sistemas computadorizados) com diversas aplicações. Diante disso o cliente precisa verificar se o software contratado impacta ou não na qualidade e segurança dos insumos e produtos em questão. Caso seja verificado que o software SISMETRO se enquadra na validação o cliente deverá descrever brevemente a aplicação em sua operação, segue abaixo alguns exemplos:

Exemplo 1:

O software denominado SISMETRO fornecido pela empresa SISMETRO LTDA é utilizado no monitoramento das condições ambientais do estoque de produtos e insumos para saúde, se enquadrando assim como passível de validação, de acordo com na Resolução SES/MG Nº 5815, DE 18 DE JULHO DE 2017.

Exemplo 2:

O software denominado SISMETRO fornecido pela empresa SISMETRO LTDA é utilizado no controle de entrada e saída de produtos e insumos do estoque, se enquadrando assim como passível de validação, de acordo com na Resolução SES/MG Nº 5815, DE 18 DE JULHO DE 2017. 

Art. 126 – A validação de que trata o artigo anterior deve demonstrar, no mínimo:

I – Que os sistemas são seguros, apresentando restrição de acesso/usuários/senhas;

Neste item o cliente deverá inserir um resumo dos mecanismos de segurança adotados no SISMETRO, bem como as práticas de segurança adotadas pelo cliente. Segue abaixo um resumo dos mecanismos de segurança do SISMETRO.

Resumo:

O software SISMETRO possui uma série de mecanismos de segurança incluindo:

  • Atualização constante;
  • Bloqueio automático de senha após erros sucessivos;
  • Logs de acesso;
  • Bloqueio por tempo de inatividade;
  • Senha criptografada;
  • Toda informação é criptografada por protocolo HTTPS, através de certificado digital SSL;
  • Cloud Computing AWS;
  • Banco de dados com réplica total em tempo real;
  • Backup diário do banco de dados;
  • Estrutura baseada nas melhores práticas de mercado;
  • Perfis de acesso de segurança.

Adicionalmente o SISMETRO permite criar "N" perfis de segurança com o objetivo de gerenciar e restringir o acesso dos usuários. Quando um perfil de segurança é atribuído ao usuário o acesso a plataforma poderá ser realizado apenas a partir de dispositivos conectados em redes com os IP´s de origem liberados no perfil de segurança (White List). O usuário que não possuí perfil de segurança atribuído tem permissão de acessar a plataforma a partir de qualquer IP. Para mais informações leia o artigo “Perfis de Acesso de Segurança - Limitação de Acesso por IP´s (White List)”.

Como mecanismo de promoção da segurança e da proteção dos dados em conformidade com a Lei Nº 13.709, de 14 de Agosto de 2018, o software SISMETRO disponibiliza uma gestão de aceite dos “Termos de Uso” e da “Política de Privacidade” de cada usuário. Para mais informações leia os “Termos de Uso” e a “Política de Privacidade”.

O cliente poderá incluir quais práticas de segurança são adotadas na empresa.

Exemplo:

O acesso à internet é limitado e gerenciado via firewall, apenas “sites” considerados seguros podem ser acessados pelo usuário. Todos os dispositivos utilizam antivírus e Windows defender para mitigar riscos de cyber ataque ou contaminação com aplicações maliciosas.

II – que haja manutenção da rastreabilidade de todas as operações realizadas e de seus responsáveis;

Nesse item o cliente deverá descrever sobre o funcionamento do registro de logs de rastreabilidade no software SISMETRO. Segue abaixo um resumo do mecanismo de registro de logs no SISMETRO.

Resumo:

O software SISMETRO efetua o registro automático das ações realizadas pelo usuário, por meio de log´s de rastreabilidade, permitindo assim a identificação da operação realizada e do operador executor. Nenhuma informação pode ser efetivamente ser excluída do SISMETRO, garantindo assim a plena rastreabilidade do histórico de informações.

III – que haja manutenção dos sistemas e infraestrutura de informática adequada;

Neste item o cliente deverá descrever as características técnicas do SISMETRO, bem como as características da infraestrutura de informática interna (do cliente). Segue abaixo um resumo dos mecanismos de segurança do SISMETRO.

Resumo:

O software SISMETRO é totalmente web e é fornecido na modalidade puramente SaaS (Software as a Service), diferente da modalidade IaaS (Infrastructure as a Service) todo o controle e responsabilidade da gestão do banco de dados é da SISMETRO. O software SISMETRO utiliza a infraestrutura de cloud computing AWS – Amazon Web Service, com as seguintes características:

  • A AWS é uma plataforma de tecnologia segura e durável com certificações e auditorias reconhecidas pelo setor: PCI DSS Level 1, ISO 27001, FISMA Moderate, FedRAMP, HIPAA, e relatórios de auditoria SOC 1 (anteriormente referida como SAS 70 e/ou SSAE 16) e SOC 2. A AWS opera serviços e datacenters com várias camadas de segurança física e operacional para garantir a integridade e segurança dos seus dados;
  • O compromisso do Acordo de Nível de Serviço da AWS é disponibilidade de 99,95% (AWS EC2);
  • A AWS é líder em soluções de cloud computing;
  • Levantamento automático de instâncias de acordo com o aumento do fluxo de dados;
  • Servidores protegidos com Firewall e Antivírus;
  • Redundância nas instâncias;
  • Os investimentos com segurança a nível de infraestrutura da AWS superam o faturamento da maioria das empresas brasileiras;
  • A AWS é tão segura que é atualmente utilizada por empresas como Netflix que mantém armazenado dados de cartão de crédito dos usuários e até mesmo setores estratégicos do governo americano como CIA e NASA.

O software SISMETRO opera a partir da URL https://br.sismetro.com por meio de navegadores de web (browser) com acesso à internet, compatíveis com a tecnologia HTML 5. O acesso ao domínio https://*.sismetro.com deve estar totalmente liberado na rede do cliente.

O software SISMETRO não necessita de nenhuma instalação adicional de extensões, plugins, ou aplicações locais (exceto em caso de integrações ou IoT - Internet of Things). Basicamente o software opera a partir de navegadores web. Navegador web (browser) recomendados (utilizar versão atualizada):

  • Google Chrome;
  • Mozilla Firefox;
  • Opera;
  • Safari;
  • Microsoft Edge.

O cliente poderá incluir as características da infraestrutura de informática interna (do cliente).

Exemplo:

Todos os dispositivos à internet via conexão de fibra ótica, como mecanismo de redundância disponibilizamos conexão alternativa via banda larga e rede móvel 3G. A empresa não possui nenhum servidor local (on primese).

IV – que haja gerenciamento dos desvios;

Neste item o cliente deverá descrever os mecanismos de gerenciamento dos desvios do SISMETRO. Segue abaixo um resumo dos mecanismos:

Exemplo:

O software SISMETRO possui um monitoramento aprimorado de desempenho, bem como da utilização de suas ferramentas. Quando um desvio de qualidade no fornecimento é verificado proativamente pela equipe de monitoramento ou relatado por um usuário, é gerado um chamado do evento o qual estará sujeito ao SLA estabelecido.

V – que os sistemas permitem a recuperação de dados;

Neste item o cliente deverá descrever a política de recuperação de dados aplicada. Segue abaixo um resumo da política:

Resumo:

Por questões de segurança, a SISMETRO não disponibiliza acesso direto ao banco de dados ou arquivos de cópias de segurança (backup). Toda a infraestrutura de dados incluindo a recuperação de dados é automática, restrita e gerenciada pela SISMETRO. O acesso ao banco de dados é monitorado e restrito a equipe interna gestora do mesmo. A SISMETRO não envia ou disponibiliza quaisquer dados para tratamento externo. As tecnologias de interações entre funções, micro serviços, telas, API´s e banco de dados utilizam mecanismos de segurança baseados nas melhores práticas de mercado.

VI – que sejam realizadas cópias de segurança (backups) periódicos, mantendo-se os dados de forma segura;

Neste item o cliente deverá descrever a política de cópias de segurança (backup) aplicada. Segue abaixo um resumo da política:

Resumo:

O software SISMETRO é totalmente web e é fornecido na modalidade puramente SaaS (Software as a Service), diferente da modalidade IaaS (Infrastructure as a Service) todo o controle e responsabilidade da gestão das cópias de segurança (backup) é da SISMETRO. Por questões de segurança, a SISMETRO não disponibiliza acesso direto a cópias de segurança (backup) salvo quando solicitado expressamente pelo cliente, como previsto em contrato. As cópias de segurança são realizadas de forma automática de acordo com as especificações abaixo:

  • Banco de Dados: Backup completo em nuvem diário armazenado por 15 dias;
  • Banco de Dados: Backup completo local diário armazenado por 15 dias;
  • Banco de Dados: Réplica total em tempo real;
  • Aplicação: Backup completo diário armazenado por 15 dias.

VII – que haja um plano de contingência no caso de falhas ou interrupção de funcionamento;

Neste item o cliente deverá descrever o plano de contingência do SISMETRO aplicado em caso de falhas e interrupções de funcionamento, bem como o plano de contingência interno (do cliente). Segue abaixo um resumo do plano de contingência do SISMETRO.

Resumo:

Como parte do plano de contingência o software SISMETRO possui uma série de mecanismos automáticos para evitar e contornar falhas ou interrupções de funcionamento. O SISMETRO utiliza instâncias elásticas da AWS, que podem variar em quantidade e em configurações de acordo com a demanda, operando como configuração mínima:

  • 1 Servidor local de desenvolvimento;
  • 1 Servidor de testes;
  • 1 Servidor  de aplicação de homologação;
  • 1 Servidor de aplicação para Quality Assurance;
  • 2 Servidores de aplicação para produção;
  • 2 Servidores de Banco de Dados (Master/Slave) Replicação Global Multi-AZ;
  • 2 Servidores para integrações.

De forma prática a arquitetura aplicada na infraestrutura de cloud utilizada pela SISMETRO permite uma rápida de detecção de incidentes como queda de performance, ou indisponibilidade do software, garantindo assim uma atuação proativa. Além do monitoramento constante do software e infraestrutura foi concebida de forma a garantir uma ampla manobrabilidade, fornecendo a equipe de desenvolvimento e suporte uma ampla gama de possibilidades de contornos aplicáveis aos incidentes. O plano de contingência do SISMETRO é um documento confidencia e não pode ser exposto para garantia da segurança. Para mais informações leia o artigo “Características Técnicas da Plataforma”.

Caso o cliente diagnostique algum incidente ou comportamento inadequado do software poderá realizar a comunicação via central de chamados ou via o telefone 0800 606 6035.

O cliente poderá incluir um resumo do plano de contingência interno (do cliente) de acordo com a sua realidade.

Exemplo:

Em caso de interrupção do funcionamento ou indisponibilidade parcial ou total do software SISMETRO, os processos de registro das condições ambientais do estoque deverão ser realizados manualmente em livro ata e posteriormente registrados no software.

VIII – que os arquivos gerados pelo sistema garantam integridade a inviolabilidade dos dados registrados.

Nenhuma informação pode ser efetivamente ser excluída do SISMETRO, garantindo assim a plena rastreabilidade do histórico de informações. Todas operações registradas possuem logs de rastreabilidade. O acesso ao banco de dados é restrito e protegido e a aplicação possui mecanismo de verificação de integridade dos dados contra alteração maliciosa. Para mais informações leia o artigo "Segurança de dados como funciona?".