Chat
Retornar

Como saber se o prontuário do paciente está seguro? Confira 6 dicas dos especialistas da Prontmed

O prontuário do paciente tem sido, cada vez mais, organizado em formato digital. E uma das principais preocupações dos profissionais de saúde na hora de adquirir um prontuário eletrônico é se o produto é seguro. Então, como garantir que a melhor escolha será feita, em um mundo repleto de ameaças como invasão de sistemas e sequestro de dados?

Para preservar a integridade das informações compartilhadas pelos pacientes e poder se concentrar no trabalho com tranquilidade, é fundamental ter um prontuário fornecido por uma empresa que siga as melhores práticas de segurança digital. Um dos principais pontos é o respeito à Lei Geral de Proteção de Dados (LGPD), além da transparência e do foco na usabilidade por parte dos profissionais de saúde.

Neste artigo, vamos contextualizar brevemente o cenário das ameaças mais comuns nos dias de hoje, quais as melhores práticas de segurança e, ainda, trazer algumas dicas que vão ajudar na hora de escolher um prontuário eletrônico. Para isso, contamos com o conhecimento de dois especialistas no assunto: o CTO da Prontmed, Thiago Kolling, e o arquiteto de soluções técnicas Renan Vizza Campos.

Boa leitura!

Principais ameaças à segurança na internet

As ameaças à segurança no mundo digital parecem aumentar a cada dia. Mas muitas delas não estão relacionadas a um conhecimento tecnológico dos hackers, e têm mais a ver com o comportamento dos usuários. Muitas vezes, as pessoas entregam seus dados de bandeja, sem que um ataque mais robusto tenha sido efetuado. Saiba mais nos tópicos a seguir!

Sequestro de dados (phishing ou ransomware)

O sequestro de dados por meio de phishing e ransomware está entre as principais ameaças à segurança na internet. Mas você sabe o que significa cada um desses termos? Phishing se refere ao uso de tecnologias para roubo de senhas, números de cartão de crédito e documentos, entre outros. Já o ransomware são golpes que travam o dispositivo do usuário, cuja liberação é oferecida após pagamento de resgate.

Desde usuários comuns até grandes empresas, todos podem sofrer com esse tipo de ataque. No caso do sequestro de dados corporativos, no entanto, os crimes tendem a ser mais elaborados. Isso ocorre tanto pela dificuldade imposta pelas equipes de Tecnologia da Informação das empresas aos invasores, quanto pelo próprio conhecimento de quem promove a ação.

Aliás, é recomendável que todas as pessoas verifiquem se os seus e-mails já tiveram a senha vazada na internet. Neste site, você pode checar se sua senha foi exposta e, assim, trocá-la caso necessário.

Engenharia social

Muitos ataques que visam obter dados de usuários de um sistema ocorrem de forma mais simples do que se imagina — em geral, com ação dos criminosos sobre a psicologia humana. Diferentemente do que se vê no cinema, mesmo que não dominem uma linguagem de programação, os hackers podem enganar uma pessoa simplesmente ao se passarem por alguém que elas conheçam, por exemplo.

Esse tipo de ataque, entretanto, tem se popularizado por meio de aplicativos de comunicação, como WhatsApp e similares. Pensando que está conversando com alguém de confiança, a própria pessoa revela dados sensíveis sem imaginar que está sendo ludibriada. “O invasor cria a percepção de que é confiável para implantar o que deseja no dispositivo, com a autorização do próprio usuário”, explica Thiago.

E-mails falsos

Isso também pode ocorrer de forma um pouco mais sofisticada — por exemplo, pelo envio de e-mails falsos. Veja na imagem a seguir os pontos mais críticos em relação à segurança de uma mensagem.

E-mails falsos podem ser usados para enganar usuários de prontuário eletrônico e outros aplicativos

Na imagem, o campo 1 (“mailed-by” ou “enviado por”) informa a origem do e-mail. Pode ser um provedor (Gmail, por exemplo) ou um auxiliador (Amazon, Sendgrid, entre outros).

O campo 2 (“signed-by” ou “assinado por”) informa como foi realizada a assinatura do e-mail foi assinado. Se o espaço estiver preenchido com o próprio domínio de quem enviou o e-mail (no caso, prontmed.com), há maior garantia de segurança na mensagem. Entretanto, se houver uma informação diferente, abra o olho!

Por último, o campo 3 (“security” ou “segurança”) mostra se o e-mail foi trafegado de maneira criptografada. O ícone de cadeado é um sinal de que o conteúdo da mensagem está seguro.

Mensagens de empresas geralmente são impessoais

Outro ponto importante: e-mails enviados de um sistema (como um prontuário eletrônico) geralmente não estão atrelados a um indivíduo. Se o e-mail vem no nome de uma pessoa (por exemplo, “José da Silva”) e no campo 2 aparece uma mensagem dizendo “não preenchido”, ou o campo não está preenchido com o próprio domínio de quem enviou o e-mail, esse é um sinal de que a mensagem pode não ser segura.

Se, para completar, a mensagem tem no seu conteúdo algo como “poderia passar sua senha para analisar?”, as chances de que uma tentativa de roubo da conta esteja ocorrendo são enormes.

Além desses dois tipos de ataque, há mais variações de invasões a sistemas online, mas quase todas derivam do phishing ou do ransomware. Alguns exemplos são a instalação de malwares (software com a intenção de danificar sistemas ou roubar dados), o man-in-the-middle (alguém que intermedia comunicações entre o usuário e um terceiro), o pharming (que altera o DNS do dispositivo do usuário de forma a redirecioná-lo a um site ilegítimo, mesmo que a pessoa acesse uma URL verdadeira), os spywares (softwares “espiões” instalados junto a outros arquivos sem o conhecimento do usuário), entre outros.

Melhores práticas de segurança digital

A seguir, vamos apresentar algumas das melhores práticas de segurança digital — que valem não apenas para prontuários eletrônicos, mas para outros produtos digitais como redes sociais, apps de delivery e serviços de e-mail, para ficar apenas em alguns exemplos. Acompanhe!

Criptografia

Todo produto digital que se preze deve garantir que seus dados trafeguem com criptografia e sejam encaminhados para os servidores por um túnel seguro — como HTTPS e TLS 1.2 (protocolos padrão do segmento de Tecnologia da Informação). Assim, caso um invasor consiga superar as barreiras iniciais de segurança de um sistema, ele não terá como ler os dados.

“A criptografia nada mais é do que o ato de transformar um conteúdo compreensível em algo ilegível para um agente externo”, afirma o CTO da Prontmed. “Isso quer dizer que, mesmo que você consiga acessar o dado, não vai entender nada, a não ser que tenha um meio correto de abrir aquele arquivo”, complementa.

Isolamento da base de dados

Outra boa prática é isolar a base de dados, de forma que ela não seja acessível via internet. Isso é possível ao permitir que a base só seja alcançada de forma interna (pela própria aplicação). Além disso, adicionar diversas camadas de firewall (dispositivo que monitora entradas e saídas de uma rede ou sistema), para impedir acessos indevidos, é mais do que recomendado.

“Uma boa prática é aplicar técnicas de segurança como a autenticação de dois ou mais fatores. Por exemplo, além da senha tradicional, disponibilizar um token (dispositivo gerador de senhas de uso único) para garantir que a pessoa que está tentando acessar é realmente o usuário”, explica Thiago.

“A melhor forma de impedir que uma pessoa entre em um determinado lugar é não disponibilizar nenhuma porta. E, se ela tentar derrubar a parede, isso deve ser alarmante o suficiente para que outras pessoas percebam”, define Renan. “A autenticação de dois fatores é especialmente importante, porque ainda ocorrem casos de usuários que expõem seu nome de usuário e senha na internet, o que não é um comportamento seguro”, acrescenta.

Armazenamento de dados em nuvem

Uma empresa de tecnologia que ofereça o armazenamento de dados em nuvem demonstra ter o conhecimento técnico para proteger as informações de seus clientes, mas não apenas isso: também garante que eles estarão acessíveis a qualquer momento, em qualquer lugar. E isso sem a necessidade de que o usuário leve esses dados consigo em um pen drive ou notebook, por exemplo, já que esses dispositivos podem ser roubados ou sofrer outro tipo de ataque — desta vez, no “mundo real”.

“No caso da Prontmed, nosso prontuário eletrônico roda em módulos que estão dentro de contêineres que, se forem atacados, podem ser deletados rapidamente, bloqueando o acesso do invasor aos dados. Ao mesmo tempo, podemos disponibilizar novamente os arquivos para os usuários em um lugar seguro”, destaca Thiago.

Boa comunicação com usuários

Uma comunicação direta com os clientes, que deixe claro quais formas de contato os usuários podem esperar das empresas (e-mail, SMS, telefone), é essencial para mitigar riscos à segurança digital e alertar as pessoas a respeito de possíveis ataques. Nenhuma empresa séria solicita dados como nome de usuário e senha por telefone. Por isso, caso você se depare com uma situação semelhante, são enormes as chances de que se trate de um impostor.

Para tratar de dados sensíveis por telefone, o contato sempre deve partir do usuário. Comunicações que partem da empresa (como e-mails, por exemplo), nunca devem solicitar dados privados. Apenas mensagens informativas e alertas devem ser emitidos. “Empresas de tecnologia também nunca devem solicitar que os usuários acessem a plataforma por um determinado link. Se o usuário já está logado e alguém pede para que ele entre de novo no sistema, provavelmente está sendo enganado”, alerta Renan.

Usabilidade dos produtos digitais

A usabilidade é mais um aspecto que deve ser observado quando pensamos em boas práticas de segurança dos produtos digitais. O preenchimento dos dados por parte dos usuários deve ser fácil e intuitivo o bastante para evitar erros que possam expor as informações para terceiros.

Respeito à LGPD

O respeito à LGPD também é uma característica fundamental de uma empresa que desenvolve um produto digital, já que isso não apenas demonstra um olhar detalhado em relação à proteção de dados, como também mune o usuário de meios de se salvaguardar legalmente caso algum problema ocorra.

6 dicas para adquirir um prontuário do paciente seguro

Na hora de escolher uma empresa para adquirir um prontuário eletrônico, vários elementos são essenciais: qualidade do produto, flexibilidade, recursos oferecidos… E, é claro, a segurança aparece como uma das principais preocupações dos profissionais de saúde, especialmente em tempos de LGPD.

Embora não exista uma lei que exija que essas empresas ofereçam recursos específicos voltados à segurança, é padrão no segmento de Tecnologia da Informação garantir a aplicação das melhores práticas, sempre pensando no bem-estar digital do usuário.

Confira as dicas dos nossos especialistas sobre o que levar em conta na hora de definir qual produto comprar!

1. Garanta que o prontuário do paciente conta com criptografia

A criptografia de dados que trafegam no prontuário eletrônico é essencial, especialmente no login (nome de usuário e senha). Afinal, é isso que dá acesso ao conteúdo do sistema, geralmente abastecido com dados sensíveis de pacientes.

2. Entenda como o login é estruturado

Além da criptografia, é fundamental entender se o acesso ao prontuário conta com camadas extras de segurança, como autenticação de dois fatores, ou se, pelo menos, um e-mail de confirmação é enviado.

3. Verifique se a empresa já sofreu algum ataque ou vazamento de dados

É possível fazer uma busca na internet para verificar se o desenvolvedor do prontuário eletrônico já sofreu algum tipo de ataque hacker ou passou por uma situação de vazamento de dados, antes de tomar uma decisão de compra. A forma como a empresa lidou com a situação também é um fator relevante, já que muitos ataques acabam não tendo efeitos práticos, pois são neutralizados rapidamente. Cheque notícias sobre o assunto em fontes confiáveis, como sites de jornais e revistas.

4. Pergunte a respeito da organização de backups

Os backups são fundamentais para garantir a segurança dos dados. Afinal, são “cópias” de arquivos para o caso de haver algum problema com os originais. Mas como os backups do prontuário eletrônico são planejados, executados e disponibilizados para os usuários? É importante entender de que forma isso funciona para saber o que fazer quando precisar solicitá-los e, até mesmo, para se certificar de que eles estarão seguros.

5. Saiba se a empresa segue a LGPD

No caso do Brasil, as empresas em todo o território nacional devem seguir as recomendações e regras da LGPD — a legislação e sua abrangência variam de país para país. É importante que o prontuário garanta o cumprimento da lei para que profissionais e pacientes tenham a garantia de que as melhores práticas estão sendo executadas.

6. Confira se o sistema passa por atualizações frequentes

Atualizações de segurança são fundamentais para proteger os dados em relação a novos tipos de ataque que surgem a todo instante na internet. Por isso, saber se a empresa se dedica a essas questões é importante para ter a certeza de que as informações dos pacientes e do consultório estarão preservadas.

Neste post, abordamos um dos temas que mais preocupam os profissionais de saúde na hora de adquirir um prontuário eletrônico: a segurança e os cuidados que os desenvolvedores desses produtos digitais devem ter em relação à proteção dos dados de seus pacientes e possíveis ataques na internet. Assim, dá para decidir com mais embasamento qual tecnologia adquirir.

A Prontmed é uma empresa com mais de 25 anos de experiência nos mercados de tecnologia e saúde. A cada ano, novos recursos, funcionalidades e atualizações de segurança integram o prontuário do paciente.

Para conhecer mais sobre nosso produto, clique para acessar a página destinada aos profissionais de saúde.

Escrito por
Marketing Prontmed

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *