Pesquisar
Close this search box.
Categorias
Assinatura Eletrônica

Afinal, qual é a diferença entre assinatura eletrônica qualificada e avançada promovida pela Lei 14.063/20?

Publicada no Diário Oficial da União, a Lei 14.063/20, visa simplificar, entre outros pontos, o uso de assinaturas eletrônicas em interações com entes públicos, em atos de pessoas jurídicas e em questões de saúde.

Além da assinatura simples, a Lei 14.063/20 criou dois novos tipos de assinatura eletrônica que torna na prática o exercício da cidadania digital acessível a todos os pacientes.

Assinatura Eletrônica Qualificada

A assinatura classificada como qualificada será o único tipo autorizado em qualquer interação com o poder público que envolva sigilo constitucional, legal ou fiscal, em atos de transferência e de registro de bens imóveis; na transferência de veículos, na assinatura de atos de chefes de poder, ministros e titulares de órgãos; e na emissão de notas fiscais, exceto por pessoas físicas e MEIs. 

Neste caso, a assinatura qualificada beneficia as instituições de saúde no gerenciamento de seus ativos e processos administrativos e financeiros, trazendo eficiência à gestão médica.

Como característica principal a Assinatura Eletrónica Qualificada consiste na assinatura que utiliza certificado digital tradicional, com a infraestrutura de Chaves Públicas Brasileira (ICP-Brasil), para as ações que envolvam dados sigilosos, como histórico do paciente, prescrições médicas ou formulários de operadoras de saúde, por exemplo.

Assinatura eletrônica avançada

A assinatura avançada se aplica a processos e transações com o poder público, ela garante o acesso exclusivo do titular e permite o rastreamento de alterações feitas no documento assinado.  

As principais características da assinatura eletrônica avançada:

  • Aquela que está associada ao signatário de maneira única;
  • Utiliza dados para a criação de assinatura eletrônica cujo signatário pode, com elevado nível de confiança, operar sob o seu controle exclusivo;
  • Está relacionada aos dados a ela associados de tal modo que qualquer modificação posterior seja detectável.

Em relação à saúde, a assinatura eletrônica avançada poderá ser usada, por exemplo, no processo de abertura, alteração e fechamento de novas instituições de saúde.

A Lei 14.063/20 apresenta benefícios diretos da Assinatura Eletrônica Avançada e Qualificada para a área da saúde

Em resumo, a Lei 14.063/20 apresenta uma lista de benefícios diretos para as instituições e profissionais de saúde.

tipos assinatura

O uso de assinatura eletrônica é uma grande mudança que pode levar hospitais, sejam eles públicos ou privados, a novos patamares. A adoção da assinatura eletrônica e a implementação de soluções sem papel farão com que todo o processo de assinatura ocorra online, portanto, seja qual for a localização dos pacientes ou equipes, não importa. 

Os documentos são enviados online de forma segura e assinados com a assinatura eletrônica em poucos minutos ou mesmo segundos, sem qualquer espera ou demora de dias e semanas, e finalmente devolvidos online também de forma segura. 

Como resultado da Lei 14.063/20, as instituições de saúde devem economizar muito tempo e reduzir custos

Além disso, o uso de assinatura eletrônica reduzirá o esforço necessário para armazenar, proteger e gerenciar os documentos em papel – algo que já está na rotina de hospitais, laboratórios e clínicas médicas. 

O tempo e o esforço que as instituições vão economizar usando a assinatura eletrônica pode, portanto, ser investidos em muitas outras ações que ajudariam a levar aos hospitais para o níveis mais altos de resultados e eficiência.

Lei 14.063/20: A importância de manter os dados do paciente compartilháveis ​​e confidenciais

Não muito tempo atrás, a maioria dos processos no setor de saúde era assim: um administrador imprimia um formulário de registro ou acordo para um documento de procedimento médico. 

O paciente aplicaria uma assinatura manuscrita ao documento, após a qual seria digitalizado como um prontuário eletrônico e arquivado nos arquivos do paciente. Se o documento precisasse ser acessado por qualquer motivo, alguém teria que recuperá-lo manualmente. 

Se não for mais necessário, o documento será destruído com segurança.  

É claro que esse processo antiquado pode levar a sérios problemas: atrasos, perdas, altos custos em termos de armazenamento, impressão e custos de mão de obra para gerenciar o processo. 

Portanto, a  Lei 14.063/20 consolida a importância das assinaturas eletrônicas nas mais importantes etapas de atendimento e gerenciamento de pacientes.

 Lei 14.063/20

De fato, a evolução digital das assinaturas eletrônicas tornou esse processo consideravelmente mais fácil. O documento pode ser assinado digitalmente em qualquer dispositivo e o armazenamento seguro em nuvem pode automatizar o processo de armazenamento, recuperação e descarte. 

4 razões pelas quais vale a pena assinar documentos de saúde digitalmente

1. Economizando tempo e dinheiro

Comparando os dois processos acima, fica claro que a assinatura eletrônica de documentos economiza tempo. Os processos mais curtos requerem pouca entrada manual e funcionam de forma confiável para dar suporte aos profissionais de saúde. 

Mas a digitalização também economiza dinheiro. Após um investimento inicial para configurar e implantar a tecnologia de assinatura eletrônica, pense nos altos custos de mão de obra, armazenamento físico e impressão que as instituições e profissionais médicos economizarão com o tempo. 

Benefícios adicionais como segurança jurídica e impacto ambiental levam a mais ganhos financeiros ao longo do tempo. 

2. Acesso seguro a dados médicos

Em emergências médicas, é crucial acessar prontamente as notas médicas. Documentos assinados digitalmente podem ser compartilhados com facilidade e segurança entre os provedores, dando acesso a informações de saúde cruciais quando necessário. 

As inscrições para testes médicos podem ser assinadas por pessoas diferentes ao mesmo tempo, os formulários de registro podem ser preenchidos no conforto da casa do paciente e as notas de alta podem ser enviadas digitalmente para todas as partes necessárias em poucos minutos. 

3. Eliminação de gargalos

O processo tradicional baseado em papel tinha muitos gargalos. O paciente, que teria que assinar pessoalmente. O médico, que precisaria passar o documento para sua equipe administrativa. Os serviços postais, que teriam de entregar documentos entre fornecedores diferentes. 

Essa velha maneira de fazer as coisas não só consomem muito tempo, como também está sujeita a erros e perda de informações. 

Os documentos assinados digitalmente podem ser assinados, salvos e enviados em minutos, e não dependem da movimentação física do documento de um local para outro.  

4. Conformidade Legal 

A exemplo da Lei Geral de Proteção de Dados (LGPD), existem diversas legislações que podem ser relevantes se você estiver no setor de saúde

Dependendo de sua localização geográfica no mundo, você provavelmente se deparará com legislações que afetam direta ou indiretamente a maneira como você armazena documentos, como se adquire assinaturas ou como se transmite dados de pacientes com segurança. 

Lei 14.063/20 é apenas a ponta do iceberg

E toda essa mudança promovida pela Lei 14.063/20 é apenas a ponta do iceberg – pense em documentos de registro, formulários de consentimento do paciente, notas de alta, faturas, avisos de práticas de privacidade, acordos com fornecedores, solicitações de testes médicos, etc. 

A lista é infinita. Muitos desses documentos devem ser mantidos por anos (até 30, você pode acreditar?) Para cumprir os requisitos regulamentares do governo e exigências comerciais. 

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Impactos da LGPD no varejo

Não é segredo que o papel dos dados no setor de varejo cresceu consideravelmente com o aumento do e-commerce global e do comércio móvel. Portanto, os impactos da LGPD no varejo são fortemente sentidas e definem grande parte das estratégia de proteção de dados no varejo nos próximos anos. Proteção de dados no varejo

Nesse cenário digital acelerado e em constante evolução, a governança da informação se tornou um tópico proeminente, com as empresas do setor de varejo considerando como podem modernizar suas políticas de proteção de dados. 

O descumprimento dessas políticas ou o uso indevido de dados pessoais de indivíduos pode ter consequências jurídicas, de reputação e financeiras pesadas. 

Quais são os impactos da LGPD no varejo?

Nesta era de estratégias de comunicação personalizadas e marketing online direcionado, mudanças radicais na coleta, processamento e armazenamento de dados têm enormes implicações para os varejistas. 

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 com algumas limitações em relação à aplicação de multas e outros tipos de penalizações, porém, na prática, ela representa uma grande oportunidade para os varejistas e algo que eles absolutamente precisam estar atentos.

Isso ocorre porque os dados são as commodities mais valiosas que os varejistas podem ter em relação aos seus consumidores, sejam eles business-to-business (B2B) ou business-to-consumer (B2C). 

O que você sabe sobre seus consumidores molda sua proposta, seus preços e sua cadeia de suprimentos. Por essa razão, não considerar os impactos da LGPD no varejo pode ser um grande erro.

Existem quatro aspectos principais da LGPD dos quais os varejistas devem estar cientes, e que devem agir rápido o suficiente para lidar com todos eles

Em primeiro lugar, os avisos de privacidade serão muito mais destacados. Essas são as declarações que você coloca em seu site dizendo aos consumidores o que você fará com os dados deles.

As conhecidas caixas de seleção ainda terão destaque, mas os consumidores terão que ativá-la de forma proativa.

Isso significa que os varejistas devem fornecer informações detalhadas, permitindo que os consumidores tomem decisões totalmente informadas sobre se desejam permitir que o varejista retenha e processe seus dados. 

Novos avisos de privacidade precisam explicar porque os dados são necessários, como isso afetará o consumidor, os critérios usados ​​para decidir por quanto tempo os dados são retidos e o direito do consumidor de retirar seu consentimento.

A segunda área chave é a responsabilidade e manutenção de registros. Mais uma vez, a conformidade será um desafio, mas os varejistas também terão que demonstrar que mantiveram seus registros atualizados e de acordo com a LGPD.

Em terceiro lugar, você deve ter um acordo por escrito com qualquer terceiro que processe os dados para você.

Se um varejista terceiriza a coleta de informações, o que muitas empresas grandes fazem, então ele precisa de um contrato robusto por escrito que estabeleça os termos e condições entre eles e o terceirizado. 

Além disso, existem cláusulas contratuais prescritas pela LGPD, o que significa que muitos acordos entre varejistas e as partes que coletam e processam seus dados terão de ser eliminados e processados do zero a um custo significativo.

Finalmente, os varejistas devem abordar direitos individuais aprimorados em relação às informações mantidas sobre indivíduos.

Isso inclui o direito de ser esquecido e o direito à portabilidade de dados, que está vinculado ao uso de dados.

Isso ocorre porque os dados são as commodities mais valiosas que os varejistas podem ter em relação aos seus consumidores, sejam eles business-to-business ou business-to-consumer.

Como os varejistas podem implementar um programa de proteção de dados eficaz e reduzir os impactos da LGPD no varejo?

As necessidades de conformidade com a LGPD variam de varejista para varejista, com base em quão bem suas atividades comerciais suportam os direitos de privacidade de dados pessoais de indivíduos no Brasil. 

Implementar um programa LGPD eficaz pode ser particularmente complicado para varejistas, especialmente aqueles que têm uma variedade de pontos de contato com o cliente em todos os canais, bem como aqueles que têm franquias. 

Esses vários pontos de contato variam de pontos de vendas a e-commerce e call centers, bem como aplicativos móveis, quiosques, sistemas ERP e até mesmo e-mail.

Para começar, os varejistas devem considerar algumas perguntas comuns quando se trata de implementar seu programa de privacidade de dados:

  • Se um titular de dados deseja excluir seus dados, como localizarei todas as suas informações? Como a empresa determinará o que pode ser excluído e o que é necessário para fins regulatórios ou de retenção legal?
  • Se o titular dos dados do consumidor deseja obter acesso aos seus dados pessoais, o que a empresa pode fornecer a ele? Qual formato será entregue?
  • Quais dados pessoais a empresa retém e por quanto tempo?
  • Precisamos trabalhar com fornecedores terceirizados para obter cópias de dados pessoais?
  • Temos funcionários que podem fazer solicitações semelhantes e a empresa sabe como atender a essas solicitações?
  • A empresa consegue cumprir os prazos estabelecidos pela LGPD? 

As solicitações de titulares de dados são de longe um dos aspectos mais complicados do cumprimento da LGPD porque os consumidores querem saber:

  • Como seus dados pessoais são protegidos;
  • Onde seus dados estão localizados e quem tem acesso a eles;
  • Como corrigir informações pessoais;
  • Se a empresa tem consentimento para usar ou compartilhar seus dados pessoais.

Em geral, a LGPD exige que os varejistas adotem uma abordagem holística para a governança da privacidade de dados.

Lembre-se de que a lei de proteção de dados foi estabelecida com o entendimento de que a privacidade de dados continuará a evoluir, e a aplicação dos direitos de privacidade de dados pessoais precisará ser alterada. 

Programas eficazes de privacidade de dados devem estar alinhados aos negócios, operações, funções jurídicas e de tecnologia dos varejistas, ajudando a impulsionar uma cultura de privacidade e proteção de dados em toda a empresa

Os varejistas que confirmarem que suas políticas atuais atendem aos requisitos da LGPD e estabelecerem filosofias corporativas de privacidade de dados robustas e responsivas estarão mais bem equipados para a nova era de privacidade de dados.

A possível inviabilidade do negócio como um dos principais impactos da LGPD no varejo

As empresas do varejo precisam reformular o modo como pensam sobre os dados do cliente e a sua própria responsabilidade. Então, se implementada adequadamente, a LGPD pode ser uma oportunidade de melhoria para as organizações.

Adote uma abordagem baseada em risco. A privacidade tem que ser um componente para o qual você está preparado e no qual deve acreditar.

As multas serão cobradas com base no que está previsto na LGPD, o que leva as empresas a riscos significativos.

Os valores atribuídos para cada situação podem inviabilizar totalmente a existência da organização ou comprometer a credibilidade dela diante do mercado e dos consumidores.

Entre em contato conosco. Nossos especialistas poderão ajudá-los, contribuindo para o desenvolvimento dos seus projetos de proteção de dados e a melhoria contínua da sua empresa.

Sobre a Eval 

A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Categorias
Assinatura Digital

Requisição de certificado digital em hospitais

A certificação digital possibilitou ao setor de saúde garantir a autenticidade e a validade jurídica de documentos no meio eletrônico.

Com a integração do certificado a um sistema de prontuário eletrônico, o médico pode realizar, por exemplo, a autorização de um procedimento a partir de sua assinatura digital.

Sem dúvidas, a eficiência operacional é um dos maiores benefícios da medida, ainda mais quando consideramos as deficiências do setor, que podem ser bastante reduzidas com mais celeridade no atendimento aos pacientes.

Mas como obter o certificado digital? A requisição é o caminho para se obter um certificado digital junto a uma Autoridade Certificadora (AC) para uma entidade final, como por exemplo, o certificado e-CPF, certificado e-CNPJ  ou mesmo um certificado de TLS/SSL para um serviço WEB.

Certificados digitais emitidos no Brasil

No Brasil, o crescente número de emissões de certificados digitais se deve a novas demandas de aplicações e serviços públicos que implementam a infraestrutura de chaves públicas brasileira, também conhecida como ICP Brasil.

Com a crescente emissão de certificados digitais, aumenta também a quantidade de pessoas com dúvidas, por exemplo: como é o procedimento de emissão e quais informações é preciso fornecer? Com esse artigo vamos responder tais questões.

Como é o procedimento de requisição de certificado digital?

Este processo geralmente é executado de duas maneiras:

A primeira consiste na emissão de certificados pessoa física ou e-CPF, onde o requerente vai até uma Entidade de Registro (AR) credenciada pela AC e apresenta os documentos necessários.

O certificado pode ser gerado em um cartão criptográfico, também conhecido como smartcard, utilizando equipamentos da própria AR. Este método possui várias vantagens para o requerente, que deve se preocupar apenas com a sua documentação, não precisando cuidar de detalhes técnicos.

O segundo procedimento é aplicado aos certificados destinados a serviços, como WEB ou processamento de imagem para compensação bancária por exemplo.

Dessa forma, além de providenciar a documentação necessária, o responsável pela solicitação deve executar um procedimento um pouco mais complicado, que geralmente é constituído pelos seguintes passos:

1.A criação do par de chaves;

2. A geração da requisição de certificado digital em um arquivo CSR (Certificate Signing Request);

3.O envio da solicitação de certificado à autoridade certificadora através de um arquivo CSR;

4.A associação do certificado recebido com a chave privada RSA gerada no primeiro passo.

Posteriormente à execução deste procedimento, você ainda terá que configurar o serviço para utilizar este certificado.

Agora vamos falar um pouco mais sobre este processo, a CSR e as dificuldades que talvez você possa encontrar.

Quais as informações em uma CSR?

Uma CSR (Certificate signing request) contém um conjunto mínimo de informações que permite à AC gerar o certificado para o requerente. Estas informações são:

1.A identificação do requerente;

2. A chave pública;

3. Assinatura da requisição, feita com a chave privada parceira da chave pública.

A identificação do requerente é composta por vários campos:

  • CN (Common Name): nome de uma pessoa, empresa, aplicação ou URL;
  • O (Organization): nome da organização;
  • OU (Organizational Unit): departamento ou setor da empresa;
  • L (Locality): sua cidade;
  • S (State): nome do estado ou província;
  • C (Country): sigla do país com 2 caracteres.

 

Dificuldades

São inúmeras as dificuldades enfrentadas pelo usuário ao se gerar uma requisição de certificado, o que gera várias dúvidas, como:

  1. Quais os valores corretos para os campos do nome do requerente para a aplicação?
  2. Qual o tipo e o tamanho apropriado das chaves para a aplicação?
  3. Qual algoritmo utilizar para a assinatura?
  4. Qual o formato de CSR arquivo da CSR?
  5. Qual o conjunto de caracteres a utilizar? Podemos utilizar caracteres especiais, cedilha e acentos?
  6. Qual repositório de chaves utilizar?
  7. Qual ferramenta utilizar?
  8. A CSR gerada está de acordo com as normas brasileiras e as políticas de certificação da AC?
  9. Como instalar a cadeia de certificados? Ou mesmo, o que é uma cadeia de certificados?

Essas dúvidas se somam às dificuldades inerentes das ferramentas de software utilizadas para a geração do par de chaves e da requisição como:

  1. Métodos genéricos difíceis para o usuário leigo, como utilizados nas ferramentas OpenSSL e Java KeyTool;
  2. Métodos específicos para as aplicações;
  3. Métodos específicos para HSM (Hardware Security Module).

Algumas respostas

Dependendo da autoridade certificadora que emite o certificado, ou do uso a que o mesmo se destina, as questões levantadas aqui podem mudar de resposta.

Entretanto, algumas regras gerais são válidas para certificados emitidos pelas AC brasileiras: CSRs devem ser geradas com chaves de tamanho de 2048 bits e algoritmo de assinatura sha256WithRSAEncryption. Também prefira utilizar um HSM para a guarda das chaves, pois ele provê o melhor nível de segurança.

Concluindo

 Antes de gerar uma CSR, procure se informar sobre quais as necessidades da aplicação que utilizará o certificado e quais as exigências da AC para a emissão dele. Verifique também, entre as ferramentas disponíveis, qual se encaixa melhor às suas necessidades e que facilita o teu trabalho, pois existem diversos sistemas que podem te auxiliar em todo o processo de geração dos certificados digitais.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.