CONSELHO REGIONAL DE MEDICINA DO ESTADO DE SÃO PAULO
RESOLUÇÃO CREMESP Nº 175, DE 29 DE ABRIL DE 2008

O Presidente do Conselho Regional de Medicina do Estado de São Paulo no uso das atribuições que lhe conferem o Regimento Interno, e,

CONSIDERANDO que este órgão deverá estabelecer normas para dar segurança e proteção aos dados e ativos digitais armazenados nos computadores e redes de processamento de dados do CREMESP contra acesso, uso e modificação não autorizada, intencional ou não e para garantir sua confidencialidade, disponibilidade e integridade;

CONSIDERANDO a obrigatoriedade de gestão deste Conselho sobre as políticas de segurança da informação e de acesso aos recursos de tecnologia da informação;

CONSIDERANDO a necessidade de atendimento das recomendações da Comissão de Tecnologia da Informação quanto ao controle sobre o acesso aos dados e recursos de informática do CREMESP;

CONSIDERANDO finalmente o decidido na Reunião de Diretoria realizada em 07/04/2008,

RESOLVE:

1. O CREMESP manterá em seu WebSite, disponível na Internet, uma área protegida e de acesso restrito aos médicos registrados neste Conselho, chamada Área do Médico;

2. A segurança de acesso aos dados, sistemas e recursos disponíveis na Área do Médico, utilizará os mecanismos de “Autenticação através de senha” e “LOG” para registro de todas as atividades executadas pelo usuário na sua navegação pelo WebSite;

3. Os procedimentos para o cadastramento de usuários e senhas na Área do Médico e sua utilização, estão descritos no Anexo - Conceitos e Requisitos;

4. A senha do usuário é pessoal e intransferível. É a sua assinatura eletrônica e utilizada para autenticar as transações para as quais ele tem acesso. Por isso, é de fundamental importância que seu sigilo seja preservado. Neste contexto, o usuário será responsável pelos direitos que lhe serão conferidos e pelos atos e ações realizados com sua identificação e senha, devidamente autenticados;

5. A senha deverá ser criada e mantida pelos próprios usuários e, quanto ao seu uso, deverão ser observados:

a. Para a sua criação, os usuários deverão observar as características mínimas exigidas constantes do Anexo - Conceitos e Requisitos;
b. na ocorrência de 3 (três) erros sucessivos na entrada da senha, ela será cancelada e o usuário, conseqüentemente, bloqueado. Para o seu desbloqueio, o usuário deverá solicitar uma nova senha através de funcionalidade própria para esta finalidade, disponível no WebSite, ou comparecer a uma das unidades do CREMESP para o cadastramento de uma nova senha. Estes procedimentos estão descritos no Anexo - Conceitos e Requisitos;
c. Ao ausentar-se de seu microcomputador, o usuário deverá encerrar seu acesso ao WebSite. Para maior proteção, acessos inativos por mais de 15 minutos, serão automaticamente encerrados;
d. Todos os acessos realizados pelos usuários serão registrados automaticamente em arquivo tipo “LOG” para uso de auditoria ou investigação futura;

6. Todas as páginas da Área do Médico que contiverem dados privativos do usuário, incluindo as de autenticação (identificação do usuário e senha), trafegarão, pela internet, devidamente criptografadas, utilizando recursos apropriados de segurança (protocolo HTTPS);

7. Para garantia de sigilo, as senhas dos usuários serão armazenadas nos servidores da rede do CREMESP na forma criptografada, impossibilitando seu acesso por terceiros;

8. As especificações aqui constantes deverão ser revisadas, periodicamente, para serem adequadas às necessidades do Conselho e às constantes evoluções tecnológicas. A Área de TI (Tecnologia da Informação) será a responsável pela proposição das revisões e a Comissão de Tecnologia da Informação pela pré-aprovação e encaminhamento à Presidência do Conselho para aprovação e publicação;

9. Esta Resolução entrará em vigência na data de sua publicação, revogando-se as disposições em contrário.

São Paulo, 02 de abril de 2008.
DR. HENRIQUE CARLOS GONÇALVES - Presidente

HOMOLOGADA NA 3827ª SESSÃO PLENÁRIA DE 29/04/2008

RESOLUÇÃO CREMESP Nº 175, de 29 de abril de 2008
ANEXO

SEGURANÇA DE ACESSO AO WEBSITE - ÁREA DO MÉDICO

CONCEITOS e REQUISITOS

A sistemática de controle de acesso ao WebSite - Área do Médico, adota alguns conceitos, processos e técnicas, descritos abaixo, que são utilizados, individualmente ou combinados, para garantir o nível de segurança adequado ao requerido pelo WebSite.

a) Autenticação
É o processo que permite a identificação de um usuário autorizado a entrar num ambiente de informática controlado. No caso do WebSite - Área do Médico, a autenticação será baseada em SENHA. O processo de entrada do usuário é denominado “Logon” ou “Login” e o de saída de “Logoff” ou “Logout”.

b) Senha de Acesso
É o meio mais comum e utilizado para autenticação e validação da identidade de um usuário. Consiste de um conjunto de caracteres, conhecidos apenas pelo usuário, que quando informado corretamente permite o seu acesso ao ambiente de informática controlado. A senha escolhida pelo usuário deverá conter as seguintes características mínimas que serão exigidas pelas rotinas de autenticação do WebSite:

1) Tamanho:
* Mínimo de 6 caracteres - Máximo de 12 caracteres
2) Tipos de caracteres permitidos. Deverá ser uma combinação de:
* Caracteres alfabéticos (sem diferenciação entre maiúsculos e minúsculos)
* Caracteres numéricos
3) Tipos de caracteres não permitidos:
* Caracteres especiais, do tipo: #, %, $, @, e afins, pois há restrições na sua utilização na web
* Acentuação
4) Outras características:
* o conjunto de caracteres deverá ter, no mínimo, um caractere alfabético, entre o primeiro e o último, ou seja, os caracteres centrais da senha não poderão ser formados exclusivamente de números.
* o conjunto de caracteres deverá ter, no mínimo, 4 caracteres diferentes entre si (não repetição)

c) LOG
É o registro histórico das autenticações e atividades efetuadas por um determinado usuário contendo sua identificação e as respectivas datas e horários, permitindo, em caso de necessidade, a realização de auditoria.

Para a implantação e início de operação desta sistemática de segurança de acesso, os procedimentos abaixo serão adotados:

a) Geração das Senhas de Acesso inicial:
As Senhas de Acesso inicial serão geradas, de forma automática por sistema de informática e enviadas, pelo correio, a todos os médicos cadastrados.
As Senhas de Acesso inicial terão validade temporária de 30 (trinta) dias corridos e deverão, obrigatoriamente, ser alteradas no primeiro acesso de cada médico, desde que ocorra dentro do prazo de validade. Expirado este prazo, a senha temporária não mais permitirá a entrada do usuário para cadastrar a senha definitiva.

no primeiro acesso, o médico deverá:
* Informar a nova Senha de Acesso recebida pelo correio
* Informar dados pessoais para a autenticação complementar

Caso todos os dados sejam confirmados, o sistema de autenticação solicitará ao médico para digitar e cadastrar os seguintes dados obrigatórios:
* a sua Senha de Acesso definitiva
A senha definitiva deverá, obrigatoriamente, ser diferente da recebida pelo correio
Por segurança, a senha de acesso deverá ser informada com dupla digitação.
* o seu Lembrete da Senha de Acesso
O Lembrete é um texto livre de até 255 caracteres que o médico deverá cadastrar para auxiliá-lo a lembrar a sua Senha de Acesso cadastrada, no caso de esquecimento.

Nota:
Caso algum médico não cadastre a sua nova Senha de Acesso dentro do prazo (30 dias), seja por não ter interesse ou por algum problema de endereço ou entrega, ele poderá solicitá-la através do processo normal de solicitação de nova Senha de Acesso (ver adiante, item c - Solicitação de novas Senhas de Acesso).

Após a implantação, os procedimentos abaixo serão adotados:

a) Geração da Senha de Acesso inicial quando do cadastramento de novos médicos no CREMESP:
O procedimento será similar ao adotado na implantação, com as seguintes mudanças:
* a geração da Senha de Acesso e emissão da correspondência “tipo confidencial” será vinculada ao processo de cadastramento do médico no sistema de Cadastro de Médicos.
* a correspondência, “tipo confidencial”, com a Senha de Acesso, será enviada ao local onde o médico deverá comparecer para a retirada da sua carteira profissional de médico, para ser entregue junto.

b) Esquecimento da Senha de Acesso:
Este procedimento poderá ser utilizado pelo usuário no caso de esquecimento da sua Senha de Acesso.
Para seu uso, o médico deverá informar alguns dados para confirmação com o cadastro e, caso estejam corretos, será enviado, para o e-mail do médico constante no seu cadastro no CREMESP, a frase cadastrada como lembrete da Senha de Acesso.
Caso o médico não tenha e-mail cadastrado, ele deverá ser avisado e orientado a solicitar uma nova senha (item c, a seguir).
O mesmo procedimento deverá ser adotado caso o lembrete recebido não seja suficiente para lembrá-lo.

c) Solicitação de novas Senhas de Acesso:
A geração de novas Senhas de Acesso para médicos já cadastrados no CREMESP poderá ser feita nas seguintes condições:
* a Senha de Acesso provisória expirou, pois o médico:
o não teve interesse de acessar o WebSite na época que recebeu a correspondência com a Senha de Acesso provisória o não recebeu a correspondência por erro de endereçamento ou algum outro problema
* o médico esqueceu a Senha de Acesso e o “Lembrete da Senha” não foi suficiente
* o médico esqueceu a Senha de Acesso e não tem e-mail para recebimento do Lembrete
* a Senha de Acesso foi bloqueada por mais de 3 erros sucessivos

O procedimento estará disponível nas seguintes formas:
1) Através do WebSite - Área do Médico
Neste caso o próprio médico fará a solicitação e o processo será similar ao adotado para a geração da Senha de Acesso inicial, como o envio da Senha de Acesso provisória pelo correio.
2) com a presença do médico numa das unidades do CREMESP
Neste caso, o funcionário responsável, após a devida identificação do médico, disponibilizará o sistema para que o próprio usuário crie a sua Senha de Acesso.

d) Alteração da Senha de Acesso:
Este procedimento estará disponível apenas após a autenticação do usuário.
Estando autenticado, o usuário poderá utilizá-lo a qualquer instante para mudança de suas senhas.
A nova senha entrará em vigor imediatamente, devendo ser utilizada no próximo acesso.

Código de Segurança:
O WebSite - Área do Médico deverá, em futuro próximo, oferecer aos médicos cadastrados, acessos a novos serviços e dados que, por sua natureza, exigirão um maior grau de segurança para poderem estar disponibilizados na Internet.
Para isso deverá ser implementada uma senha adicional, que será chamada de “Código de Segurança” e que será solicitada, durante a navegação do médico pelo WebSite - Área do Médico, sempre que for utilizar alguma dessas novas funcionalidades críticas em termos de segurança.

Características do Código de Segurança:
As características do Código de Segurança serão as mesmas definidas para a Senha de Acesso, exceto o tamanho mínimo exigido que será de 8 (oito) caracteres.

Implantação do Código de Segurança:
Os procedimentos para implantação inicial e utilização do Código de Segurança serão próprios, mas deverão adotar a mesma sistemática já definida para a Senha de Acesso. A implantação deverá ocorrer em conjunto com a primeira funcionalidade crítica em termos de segurança que for implantada no WebSite - Área do Médico.

São Paulo, 02 de abril de 2008.

DR. HENRIQUE CARLOS GONÇALVES - Presidente

Fonte: Diário Oficial do Estado; Poder Executivo, São Paulo, SP, 27 maio 2008. Seção I, p. 159-160