O Tribunal, por unanimidade, de acordo com o voto do Relator, decidiu: I – tomar conhecimento dos Ofícios nºs 8553/2020-SES/GAB (e-doc 33289BB2-c) e 8549/2020-SES/GAB (e-doc AB83D568-c); II – determinar à Secretaria de Estado de Saúde do Distrito Federal – SES/DF que, no prazo de 90 (noventa) dias: a) adote as medidas pertinentes para estabelecer a regular fiscalização contratual, relativa à disponibilização de informações dos trabalhadores da contratada que prestam serviços de manutenção/suporte do Sistema SIS/Trakcare e a elaboração de relatório de atividades mensais contemplando as seguintes informações: identificador (no sequencial), ordem de serviço vinculada à atividade, tipo do serviço realizado pela prestadora, severidade, status, descrição, tempo de execução (data da abertura e fechamento), perfil(s) profissional(i)s que realizou(aram) o serviço, tempo de execução, produtos/resultados esperados e o cumprimento ou não do acordo de nível de serviço estabelecido em contrato, para efeito de acompanhamento do Contrato nº 19/2018-SES/DF, de acordo com o art. 66 da Lei nº 8.666/93 e do art. 19, inciso I, alínea “b”, da IN 04/2014- SLTI/MPOG (Achado 1); b) em estrita observância à Lei nº 13.709/18, adote medidas de segurança, técnicas e administrativas necessárias à proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito e, em especial: b.1) implemente as seguintes medidas relacionadas ao gerenciamento e política de controle de acesso do Sistema SIS/Trakcare (Achado 2): i) regras/políticas de controle que abarquem todas as unidades de saúde a serem definidas e formalmente estabelecidas pelo gestor da informação, em especial a atribuição de perfis de acesso, à luz do controle A.9.1.1 - Política de Controle de Acesso da ABNT NBR ISO/IEC 27001:2013; ii) gestão de acessos e autorizações ao sistema de prontuário eletrônico, com validação periódica de cadastros por parte dos titulares das unidades administrativas, de forma a inibir a possibilidade de aceso não autorizado por ex-servidor ou servidor afastado da jurisdicionada, de acordo com o controle A.9.2.3 - Gerenciamento de direitos de acesso privilegiado da ABNT NBR ISO/IEC 27001:2013; iii) medidas necessárias para ativar o bloqueio do usuário por número máximo de tentativas sem acesso, de acordo com o controle A.9.2.6 - Retirada ou ajuste dos direitos de acesso da ABNT NBR ISO 27001:2013; b.2) restabelecer a data de validade do Certificado de Segurança do site de acesso externo ao sistema SIS/Trackcare, de forma a proteger a confidencialidade, a autenticidade e a integridade das informações, nos termos do controle A.10.1.2 – Gerenciamento de Chaves da ABNT NBR ISO/IEC 27001:2013 (Achado 3); b.3) implemente ações técnicas que não permitam a exposição de informações do servidor Web da aplicação SIS/Trakcare, uma vez que podem permitir que pessoas mal-intencionadas encontrem vulnerabilidades e exposições comuns, deixando o sistema vulnerável a ataques, nos termos do controle A.12.6.1 – Controles de Vulnerabilidades Técnicas da ABNT NBR ISO/IEC 27001:2013 (Achado 4); b.4) implemente as seguintes medidas relacionadas às Políticas e Práticas de Segurança da Informação (Achado 5): i) elabore, divulgue e utilize sua Política de Segurança da Informação e, quando necessário, os normativos dela derivados (ex: procedimentos de Controle de Acesso Lógico e Físico, Cadastramento de Usuários etc.), conforme recomendam as boas práticas de Segurança da Informação (COBIT 5, ABNT ISO 27001:2013, ABNT ISO 27002:2013, ABNT ISO 27014:2013) e a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18); ii) tome as medidas necessárias para melhorar a segurança do processo de identificação e acesso ao Sistema de Prontuário Eletrônico – SIS/Trakcare, de forma a assegurar níveis de risco aceitáveis, nos termos das normas ABNT NBR ISO 27001:2013 e ABNT ISO 27005:2019; iii) estabelecer classificação da informação para permitir a possibilidade de aplicar critérios de segurança com base nos ativos mais críticos e relevantes para Secretaria de Estado de Saúde do Distrito Federal, nos termos da norma ABNT NBR ISO 27002:2013; iv) passe a adotar abordagem baseada em riscos para Segurança da Informação conforme estabelece a ISO 27001:2013, ISO 27002:2013, ISO 27005:2019 e ISO 27014:2013; v) elabore e faça uso de termo, preferencialmente em formato digital, que cientifique os usuários do Sistema SIS/Trakcare quanto às suas responsabilidades e obrigações, bem como indicações de possíveis vulnerabilidades decorrentes do mal uso dos sistemas, mantendo o registro da ciência pelos usuários; b.5) envide esforços para criação de barramento de dados único ou de uma solução técnica que integre as informações dos prontuários eletrônicos dos Sistemas SIS/Trakcare, SOUL-MV e e-SUS AB de forma a permitir disponibilização da informação consolidada de prontuários dos pacientes aos profissionais de saúde, conforme as boas práticas descritas no COBIT 2019 (DSS04 – Gerenciamento de Continuidade), ISO 27001:2013, ISO 27002:2013 e ISO 27005:2019 (Achado 6); III – recomendar ao Complexo Administrativo do Distrito Federal que: a) mantenha válidos os Certificados de Segurança dos sites governamentais, de forma a proteger a confidencialidade, a autenticidade e a integridade das informações, nos termos do controle A.10.1.2 – Gerenciamento de Chaves da ABNT NBR ISO/IEC 27001:2013; b) no prazo de 90 dias, implemente ações técnicas que não permitam a exposição de informações das aplicações instaladas nos servidores Web (sites governamentais), uma vez que podem permitir que pessoas mal-intencionadas encontrem vulnerabilidades e exposições comuns, deixando o sistema vulnerável a ataques, nos termos do controle A.12.6.1 – Controles de Vulnerabilidades Técnicas da ABNT NBR ISO/IEC 27001:2013; c) utilize técnicas de prevenção para sanar possíveis vulnerabilidades de injeção por meio de comandos LDAP/SQL nas aplicações Web instaladas nos sites governamentais, em conformidade com o controle A.12.6.1 – Controles de Vulnerabilidades Técnicas da ABNT NBR ISO/IEC 27001:2013; IV – alertar os titulares do Complexo Administrativo do Distrito Federal de que a implementação das providências recomendadas no inciso anterior poderá ser objeto de fiscalização desta Corte em momento posterior, nos termos do subitem 4.1.6 do Manual de Auditoria Operacional do TCDF; V – autorizar: a) o envio de cópia do Relatório Final de Inspeção nº 1/2021 - DIFTI (e-doc 4B5F04FC-e), do Parecer nº 368/2021–G3P/DA (e-doc 29A91BF8-e), do relatório/voto do Relator e desta decisão à Secretaria de Estado de Saúde do Distrito Federal e ao Complexo Administrativo Distrital, para subsidiar a adoção das medidas acima mencionadas; b) o retorno dos autos à Secretaria de Fiscalização Especializada, para adoção das providências cabíveis.
Presidiu a sessão o Presidente, Conselheiro PAULO TADEU. Votaram os Conselheiros INÁCIO MAGALHÃES FILHO, PAIVA MARTINS e MÁRCIO MICHEL. Participou o representante do MPjTCDF, Procurador DEMÓSTENES TRES ALBUQUERQUE. Ausentes os Conselheiros MANOEL DE ANDRADE e RENATO RAINHA e a Conselheira ANILCÉIA MACHADO.
Clone(s)
| Envio | Orgão Envio | Recebimento | Orgão Recebimento |
|---|---|---|---|
| 14/07/2021 14:19 | 14/07/2021 14:19 | Secretaria das Sessões |