O CARTÃO
O principal objetivo da utilização do Cartão é a identificação do cidadão usuário do SUS (cartão do usuário) e dos profissionais de saúde que realizam atendimentos para o SUS (cartão do profissional). O cartão do usuário armazena seu número de identificação e outras informações como nome, sexo, data de nascimento, município e estado de residência. No cartão do profissional são armazenados seu número de identificação, o nome e uma senha protegida criptograficamente.
|
|
Cartão
de profissionais do SUS
|
O Número de Identificação
O número de identificação é único, nacionalmente, sendo obtido a partir de um processo de cadastramento de usuários e profissionais de saúde. A base de numeração é o PIS-Pasep. Por meio do processo de cadastramento são gerados números para aqueles profissionais e usuários que ainda não os têm e, para aqueles que já são inscritos no PIS-Pasep, os números anteriormente existentes são identificados e comunicados pela Caixa Econômica Federal ao Departamento de Informática do SUS (Datasus).
O número PIS/Pasep tem 11 dígitos, e a numeração utilizada no Cartão Nacional de Saúde tem 15 dígitos. Os quatro dígitos extras foram introduzidos como reserva, para eventual utilização do cartão como instrumento de outros programas de governo. Eles também podem ser usados provisoriamente para identificação de atendimentos prestados a usuários ainda não cadastrados ou que não estejam de posse do cartão. Nos casos de usuários cadastrados, os quatro dígitos são 000V, onde V representa o dígito verificador.
A Tecnologia do Cartão
Para fins do projeto piloto, a tecnologia adotada para os cartões é a de tarjas magnéticas de alta coercividade, segundo os padrões ISO 7810 e ISO 7811, utilizando três trilhas, exclusivamente para leitura. Essa escolha reflete compromisso entre diversas variáveis, incluindo:
· durabilidade;
· custo; e
· controle de uso.
Nada impede que, no futuro, uma vez consolidada a discussão sobre aspectos ético-profissionais e econômicos sejam adotadas para os cartões de profissionais soluções do tipo smart cards ou equivalentes.
O cartão tem também impressão em alto relevo na parte anterior (embossing). Esta tecnologia permite que o cartão seja utilizado em equipamentos como “mata-pulga”.
Por último, vale frisar que o conceito de cartão é abstrato e independe do meio físico em que ele se concretize em um determinado instante. O importante é a possibilidade de identificação por meio de um número único em âmbito nacional, gerado a partir do cadastro de usuários do SUS.
O uso do cartão acelera a entrada de dados no sistema, aumenta a confiabilidade nestes dados - uma vez que diminui erros de digitação - e permite uma autenticação dos profissionais responsáveis pelo atendimento e entrada de dados. Apesar de possibilitar todas essas vantagens, a existência do cartão do usuário não é fator limitante de acesso ao sistema de saúde, uma vez que sua apresentação não é obrigatória para obtenção de atendimento.
EQUIPAMENTOS
O Terminal de atendimento do SUS e o aplicativo municipal compõem os níveis descentralizados de um sistema distribuído por uma rede que se estende até o âmbito federal, interligando municípios via servidores concentradores (regionais), estes em agregados estaduais e, finalmente, os estados como parte da união.
O sistema pode ser dividido em cinco níveis:
· nível de atendimento: composto pelos terminais de atendimento instalados nas unidades de saúde;
· nível municipal: composto pelos equipamentos servidores municipais responsáveis pelo processamento e armazenamento dos dados de todos os atendimentos realizados no município e pelo armazenamento dos cadastros de usuários, de profissionais e unidades de saúde;
· nível regional: composto por equipamentos servidores conectados a uma rede permanente, on-line, e responsáveis pelo armazenamento dos dados de atendimentos de todos os municípios a eles conectados. Esses equipamentos funcionam também como mecanismo de contingência, em casos em que os terminais não completam ligação com os equipamentos servidores municipais, para fins de maior segurança e integridade das informações;
· nível estadual: composto por equipamentos servidores conectados à rede permanente e responsáveis pelo armazenamento das informações totalizadas dos atendimentos realizados nas unidades de saúde existentes no estado; e
· nível federal: composto por equipamentos servidores conectados à rede permanente e responsáveis pelo armazenamento das informações totalizadas dos atendimentos realizados no conjunto das unidades de saúde existentes. O nível federal é composto por dois servidores, de forma a permitir mecanismos de contingência e garantir a integridade dos dados coletados e armazenados. Existe um conjunto de equipamentos em Brasília e outro conjunto no Rio de Janeiro.
Configurações
Nível de atendimento
 Terminal de atendimento Procomp |
 Terminal de atendimento Hypercom |
Este nível é constituído pelos terminais de atendimento e equipamentos de comunicação (gateway e hub). Existem basicamente três possibilidades para o nível de atendimento:
a) terminal único, que se comunica com o nível municipal através do seu modem interno;
b) mais de um terminal, cada um se comunicando com o nível municipal através de seu modem interno;
c) mais de um terminal, ligados em rede local e com acesso ao nível municipal através de um gateway dial-up.
O terminal é o dispositivo que realiza a interface dos usuários e profissionais de saúde com o restante do sistema. Dentre os requisitos que foram considerados para o desenvolvimento dos equipamentos terminais, podem ser destacados: robustez, segurança, facilidade de operação, uso exclusivo, dentre outros.
Tanto os equipamentos terminais de fornecimento da Hypercom (Lotes 1 e 2) quanto da Procomp (Lote 3) apresentam as mesmas características básicas, sendo equipamentos compactos, com display LCD 5.7”, impressora e keypad integrais, teclado ABNT e fonte de alimentação externos. Apresentam também leitora de cartões magnéticos para as trilhas 1, 2 e 3, leitor de smart card, Modem integrado com conector RJ-11, interface Ethernet com conector RJ-45, e interface serial RS-232 com conector DB-9. Suporta protocolos TCP/IP, PPP, HTTP(S). Utilizam um esquema de memória flash, que garante a manutenção dos dados coletados mesmo na ausência de alimentação por longos períodos de tempo. Suporta tensões da alimentação primária de 90 a 240VAC.
Embora ambos se baseiem também no mesmo sistema operacional – Windows-CE, a CPU utilizada nos terminais da Hypercom são Hitachi - RISC SH3 7709a, enquanto nos da Procomp são de arquitetura Intel/Pentium com CPU National GEODE GX.
No que se refere às facilidades de uso, os terminais utilizam interface gráfica e, além do tradicional teclado, possuem telas sensíveis ao toque (touch screen) como dispositivo de interação com o operador.
Existe a possibilidade de utilização de outros modelos de terminais, nos casos em que existam sistemas já implantados, pois o sistema Cartão Nacional de Saúde permite a integração com outras estruturas.
Nível municipal
Este nível é constituído pelo servidor municipal, periféricos e equipamentos de rede correspondentes, tais como switches Ethernet e roteadores.
Os servidores dos lotes 1 e 2, fornecidos pela Hypercom, são constituídos por estações Sun E250 ou E450, conforme o porte do município, rodando sistema operacional Sun Solaris 7, com BD Oracle 8i.
No caso da Procomp, para o lote 3, os servidores são Procomp TW-9620 ou 9630, conforme o porte do município, de arquitetura Intel/Pentium-III, rodando sistema operacional Windows 2000 Server com BD Oracle 8i.
Os servidores são certificados por uma certificadora digital criada no nível federal, de forma que se autenticam tanto para conexão com os terminais como com o concentrador.
Nível concentrador (regional)
O nível concentrador é constituído pelo servidor concentrador e demais equipamentos de comunicação e periféricos. Neste nível são recebidos os dados dos municípios através de linha discada, ou LPCD, e o resultado das informações processadas transmitidas ao nível estadual através de conexão on-line.
Os servidores dos lotes 1 e 2, fornecidos pela Hypercom, são constituídos por estações Sun E3500, rodando sistema operacional Sun Solaris 7, com BD Oracle 8i.
No caso da Procomp, para o lote 3, os servidores são Procomp TW- 9630, de arquitetura Intel/Pentium-III, rodando sistema operacional Windows 2000 Server com BD Oracle 8i.
Os servidores são certificados por uma certificadora digital criada no nível federal, de forma que se autenticam tanto para conexão com o servidor estadual como com os servidores municipais.
Nível estadual
O nível estadual é constituído pelo servidor estadual e demais equipamentos de comunicação e periféricos.
Neste nível são recebidos os dados provenientes dos servidores concentradores e transmitidos ao nível federal. Os servidores dos lotes 1 e 2, fornecidos pela Hypercom, são constituídos por estações Sun E3500 ou E450, conforme o porte necessário, rodando sistema operacional Sun Solaris 7, com BD Oracle 8i.
No caso da Procomp, para o lote 3, os servidores são Procomp TW- 9630, 9640 ou 9650, conforme o porte necessário, de arquitetura Intel/Pentium-III, rodando sistema operacional Windows 2000 Server com BD Oracle 8i.
Os servidores são certificados por uma certificadora digital criada no nível federal, de forma que se autenticam tanto para conexão com o servidor federal como com os servidores concentradores.
Nível federal
O nível federal é constituído por dois nós instalados fisicamente em locais distintos e interligados por meio de enlaces dedicados de comunicação (Rio e Brasília). Neste nível são recebidos os dados da esfera estadual através de conexão on-line. Cada um dos nós federais é ainda constituído por um cluster de dois servidores Sun E6500, além de roteadores, switches e estação para gerência de rede e servidor federal. Os servidores rodam sistema operacional Sun Solaris 7 com BD Oracle 8i. Os servidores são certificados por uma certificadora digital criada no nível federal, de forma que se autenticam para conexão entre si e com os servidores estaduais.
SOFTWARE
Equipamentos terminais
A principal funcionalidade dos terminais é capturar os dados durante as sessões de atendimento. As informações do atendimento incluem: quem foi atendido, quem atendeu o usuário, onde ele foi atendido, quando, qual o problema de saúde identificado, o que resultou do atendimento, dentre outros.
Também merecem destaque as seguintes funções:
- cadastramento, que permite manter atualizados os dados cadastrais dos usuários, bem como atender a demanda de cadastramento de novos usuários no sistema;
- agendamento, que permite organizar a agenda de todos os atendimentos da unidade de saúde e marcar retornos e novas consultas dos usuários na unidade;
- vinculação com prontuário, que permite vincular o número do cartão do usuário ao seu prontuário na unidade;
- dispensação de medicamento, permitindo controle dos medicamentos efetivamente entregues aos usuários, assim como de eventual saldo devedor;
A qualidade dos dados capturados é garantida por um elenco de tabelas de domínio e tabelas corporativas que não só exigem uma codificação válida como permitem a visualização e busca pelos seus significados.
Os dados capturados são mantidos em memória não-volátil até que seja estabelecida uma conexão com o servidor municipal, quando então para eles são transferidos.
Toda conexão estabelecida com o servidor municipal pode ser utilizada para obtenção de novas versões dos programas ou das tabelas de domínio.
Além disso, sempre que necessário, o software permite que seja feita uma conexão discada e on-line com o servidor municipal para acessar o seu banco de dados, por exemplo, na pesquisa a atendimentos anteriores do usuário.
Servidores
Todos os servidores agregam ao seu banco os dados recebidos do nível inferior e transmitem uma cópia de contingência para o servidor do nível superior.
Também em todos eles estão presentes os dados das tabelas de domínio corporativo que só são atualizadas no nível federal, o qual as repassa para os servidores do nível estadual. Esse processo se propaga até os equipamentos terminais, no nível de atendimento.
O servidor municipal também contempla no seu banco dados pertinentes exclusivamente ao município, tais como procedimentos específicos, medicamentos disponíveis, etc, que são mantidos pelo gestor municipal. Podem ser emitidos relatórios de gestão sobre o banco de dados operacional e utilizada a ferramenta de EIS para explorar as diversas informações captadas e armazenadas pelo sistema.
Na atual fase piloto, o servidor concentrador simplesmente implementa um repositório de contingência dos dados dos municípios e facilita a comunicação entre eles, não possuindo funcionalidades de atualização ou gestão. Esses usos podem ser revistos numa segunda fase do projeto.
O servidor estadual agrega os dados dos concentradores e os repassa ao servidor federal. No servidor federal, são atualizadas as tabelas de domínio e é feita a interação com os sistemas de bases de dados nacionais do Ministério da Saúde, bem como com o sistema do PIS da CEF, que realiza a identificação dos usuários.
 |
A REDE DE COMUNICAÇÕES
A rede do Cartão Nacional de Saúde está configurada como uma rede TCP/IP Classe A tipo Intranet, com endereçamento 10.X.X.X, do nível federal até o nível municipal. O nível de atendimento pode ter, contudo, um esquema de endereçamento local independente, recebendo um endereço atribuído pelo nível municipal quando realizar uma conexão discada, via um esquema de DHCP.
Toda conexão entre roteadores da rede é realizada criando-se uma VPN, utilizando-se o protocolo IPSec com 3-DES/168bits. Além disso, todo o tráfego de upload entre servidores, assim como todo o tráfego de serviço (consultas) é realizado sobre o protocolo HTTPS (HTTP + SSL). As chaves criptográficas utilizadas são de no mínimo 1024 bits, quando assimétricas, e 128 bits, quando simétricas.
No nível de aplicação, os terminais de atendimento e os servidores municipais comunicam-se através de um conjunto de documentos XML cujas definições foram acordadas entre o Ministério da Saúde e os fornecedores contratados para o desenvolvimento do projeto, e independem de lote, de modelo do terminal e de sistema operacional do servidor municipal. Do nível municipal para os níveis superiores, a comunicação ocorre ora através de documentos XML, ora através do mecanismo de replicação do sistema gerenciador de banco de dados Oracle. Para isso, foi definido um padrão de comunicação, que utiliza modelos denominados Document Type Definition (DTD).
Também há padrões de comunicação que garantem o suprimento de informações consistentes para o EIS (Sistema de Informações Executivas) nos níveis estadual e federal.
REQUISITOS DE SEGURANÇA
A utilização da base de dados do Cartão Nacional de Saúde tem como finalidade única a gestão dos serviços de saúde pelas diferentes esferas de governo, não podendo sob hipótese nenhuma servir a fins comerciais ou outros que venham ferir os direitos constitucionais do cidadão. Um usuário desta base só deve ter direito de acesso aos dados na forma única e exclusiva necessária para os fins alegados, justificados e autorizados ao exercício de sua função.
O Projeto Cartão foi concebido tendo em mente a importância da segurança das informações. Para tanto, como parte da arquitetura do sistema, está sendo proposta uma política de segurança abrangendo cinco requisitos básicos: privacidade, autenticidade, integridade, controle de acesso e auditoria dos dados de saúde vinculados ao sistema Cartão Nacional de Saúde. Os mecanismos de segurança adotados pelo projeto incluem os seguintes aspectos:
No requisito de privacidade/confidencialidade, os dados são protegidos do monitoramento, tanto na forma ativa, onde poderá ser feita uma alteração, quanto na forma passiva, cujo objetivo é simplesmente o da obtenção da informação.
No requisito de autenticidade, toda e qualquer inclusão ou alteração de informações no sistema deve estar vinculada a um operador devidamente cadastrado tanto para operação dos servidores como dos terminais. Todos os profissionais de saúde responsáveis pela operação e fornecimento de dados para o sistema, por meio dos terminais, disporão do cartão de profissional de saúde, que os identifica e qualifica. Esse cartão contém uma senha protegida criptograficamente.
No requisito de integridade, existem proteções contra a adulteração dos dados enquanto esses são transferidos ou armazenados nos diversos níveis do sistema. Além disso, o sistema armazena os dados coletados por tempo indeterminado e registra todas as alterações neles ocorridas, sem apagar os registros anteriores.
No requisito de controle de acesso, o sistema permite a implementação de uma política de definição de privilégios de acessos para classes de operadores e normas de divulgação da informação. Todas as tentativas de acesso às funcionalidades e informações do sistema são ser armazenadas para fins de auditoria.
No requisito de auditoria, o que se prevê é a capacidade de se avaliar a veracidade dos dados armazenados. Esta avaliação poderá ser realizada nos vários níveis do sistema, de acordo com regras definidas.
Toda conexão entre roteadores da rede é realizada criando-se uma VPN, utilizando-se o protocolo IPSec (Internet Protocol Security) com o algoritmo 3DES/168bits, que garante o sigilo de todas as comunicações que ali trafegam. Além disso, todo o tráfego entre um terminal e um servidor, de upload entre servidores ou de serviço (consultas) é realizado sobre o protocolo HTTPS, ou seja, protocolo HTTP (Hypertext Transfer Protocol) sobre o protocolo SSL (Secure Sockets Layer).
Todos os Servidores serão certificados por uma certificadora digital criada no nível federal, de forma que se autenticam tanto para conexão com os níveis inferiores como com os níveis superiores (ou entre si no caso dos servidores federais).
Adicionalmente, cabe destacar os seguintes aspectos:
· os sistemas off-line devem ser tratados da mesma forma que os sistemas on-line;
· na transferência de dados devem ser garantidos os três requisitos citados: privacidade, autenticidade e integridade, utilizando técnicas criptográficas;
· os algoritmos criptográficos aqui utilizados, quando de chave simétrica, devem ter o tamanho da chave não inferior a 128 bits, e quando de chave assimétrica, devem ter tamanho não inferior a 1024 bits;
· os certificados digitais utilizados no mecanismo de autenticação entre servidores é gerenciado pelo nível federal, tanto para sua geração quanto para distribuição.