Your SlideShare is downloading. ×
Tecnologías para garantizar autoría no adulteración y privacidad de los archivos médicos dr humberto mandirola
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Tecnologías para garantizar autoría no adulteración y privacidad de los archivos médicos dr humberto mandirola

1,018
views

Published on


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,018
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
22
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Discuss the consensus that has gone in to the RIM
  • Describe the “Clinical Statement” model, and involvement by other committees.
  • Transcript

    • 1. CAIS 2010 Tecnologías para garantizar autoría, no adulteración y privacidad de los archivos médicos. Dr. Humberto Fernán Mandirola Brieux Email: [email_address] 16/10/10 http://www.biocom.com Médico del Hospital Belgrano Director de la Carrera de post grado de Medicina Interna de la UBA (Universidad de Buenos Aires Argentina), Director de BIOCOM Argentina http://www.biocom.com , Miembro de la comisión directiva de HL7 Argentina http://www.hl7.org.ar , Miembro de la comisión directiva de AAIM http://www.aaim.com.ar Ex Presidente de GIBBA http: //www.gibba.org.ar
    • 2. SGSI
      • Estándares ISO (políticas, normas , roles y procedimientos)
      • Marco legal
      • IT
        • Firma Electrónica y Firma Digital
        • Que firmar? Modelo de datos
        • Procedimiento para Firmar
      16/10/10 http://www.biocom.com
    • 3. 16/10/10 Sin estándares normas ni procesos los sistemas no son seguros SGSI
    • 4. Seguridad de la Información
      • La seguridad de la información consiste en procesos y controles diseñados para proteger información de su divulgación no autorizada, transferencia, modificación o destrucción, a los efectos de:
        • – asegurar la continuidad
        • – minimizar posibles daños
        • – maximizar oportunidades
      • La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. La información puede estar:
          • Impresa o escrita en papel.
          • Almacenada electrónicamente.
          • Trasmitida por correo o medios electrónicos
          • Microfilmada.
          • Hablada en conversación o grabada.
      16/10/10 http://www.biocom.com
    • 5. Sistemas de Gestión de la Seguridad de la Información (SGSI) Nomas ISO 27000
      • ISO/IEC 27000 es un conjunto de estándares desarrollados por:
        • ISO (International Organization for Standardization) y
        • IEC (International Electrotechnical Commission),
        • proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
      • IRAM-ISO 27799 Tecnología de la información. Informática en salud. Gestión de seguridad de la información en salud utilizando la IRAM-ISO-IEC 27002
      16/10/10 http://www.biocom.com
    • 6. La Serie 27000
      • ISO 27000 : Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman.
      • ISO 27002 : Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
      • ISO 27003 : Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases.
      • ISO 27004 : Especifica las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
      • ISO 27005 : Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.
      • ISO 27006 : Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
      16/10/10 http://www.biocom.com
    • 7. QUE PROPORCIONAN LAS 27000 16/10/10 http://www.biocom.com
    • 8. Súbanse al Tren 27000 vagón IRAM-ISO 27799 16/10/10 http://www.biocom.com
        • Pueden venir cuantos quieran, que serán tratados bien. Los que estén en el camino, bienvenidos al tren!
        • Charlie García
    • 9. Ley 25.326, de Protección de Datos Personales
      • Se deben inscribir en el Registro Nacional de Bases de Datos a los responsables que administren bases, archivos que contengan datos personales.
      • Esto alcanza a las instituciones de Salud que usen sistemas en los que contengan información sobre sus pacientes.
      • La disposición fue dictada por la Dirección Nacional de Protección de Datos Personales (DNPDP) como autoridad de aplicación de la ley de Hábeas Data.
      • En caso de no cumplir con esta normativa, se aplicarán multas que van desde $ 1.000 hasta $50.000 y hasta se puede determinar la clausura de la base.
      • B.O. 07/09/05 Disposición 6/2005 - DNPDP -isologotipo que identificará a los responsables de bases de datos personales inscriptos en el mencionado Registro.
      • DNPDP
        • http://www.jus.gov.ar/dnpdp/
        • Email: infodnpdp@jus.gov.ar
        • TE 4328-7138. (Sarmiento 329, 4° piso, Anexo).
    • 10. Ley 25.326, de Protección de datos Personales Habeas Data
      • Pedir el consentimiento al paciente para registrar sus datos e informarlo de sus derechos sobre los mismos
      • Preservar la privacidad de los datos.
      • Política de datos, se debe informar al paciente que:
        • De conformidad con lo establecido en la legislación vigente, le informamos que sus datos personales serán incluidos en un fichero.
        • Usted tiene legalmente establecido el derecho a acceder a la información recopilada, y rectificarla y / o cancelarla. Para ello debe solicitarlo por medio fehaciente o enviarnos su solicitud por Correo ordinario- electrónico"
    • 11. Ley general de ejercicio de la medicina (ley N° 17132)
      • A favor Ley de Firma digital Ley 25.506
      • En contra la Ley general de ejercicio de la medicina (ley N° 17132) que en su artículo 19 inciso 7°, dice: " Las prescripciones y las recetas deberán ser manuscritas, formuladas en castellano, fechadas y firmadas...“
      16/10/10
    • 12. Ley de Firma Digital
      • Ley 25.506: Cap. I (Consid. Grales.) - art. 2
      • Se entiende por FIRMA DIGITAL al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control.
      • La FIRMA DIGITAL debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Para ello, se requiere la presencia de un Certificado Digital emitido por un Certificador Licenciado .
      • Si alguno de los requisitos legales no se cumple (por ejemplo, no se dispone del Certificado Digital emitido por un Certificador Licenciado) , la ley contempla la figura de Firma Electrónica , que a diferencia de la Firma Digital, se invierte el peso de la prueba correspondiendo a quien la invoca acreditar su validez.
    • 13. ¿Cuál es el instrumento de IT que garantiza la HCE?
      • LA FIRMA DIGITAL puede ser usada para:
        • La autoría ( no repudio) y la integridad de la información
        • Privacidad: Mediante otra p r o p iedad permite que cifrando los datos podamos decidir quien lee esa información .
        • Temporalidad: por medio del Time Stamping podemos garantizar cuándo se generó esa información
      16/10/10 http://www.biocom.com
    • 14. Características que deben preservarse de los documentos médicos informatizados o no
      • Inviolabilidad : Que la información no pueda ser adulterada.
      • Autoría : Identificación del responsable que la generó
      • Reserva : “Confidencialidad”:  No puede difundirse libremente, tiene que tener control de quienes tienen acceso
      • Secuencialidad : Debe seguir el orden en que fue escrita.
      • Disponibilidad : Debe garantizar la posibilidad de consulta cuando el paciente y los profesionales lo necesiten en tiempo y forma.
      • Integridad : “Total y Completa”: Los que están justificadamente habilitados deben poder acceder a toda la información que se requiera para el acto médico, así como para la auditoria, estadísticas, epidemiología, planes de prevención y peritajes legales.
      • Temporalidad precisa : Fecha y hora en que se generó.( debe relfejar lo que el Médico actuó y pensó en un momento dado)
      • Durabilidad : Debe permanecer inalterable en el tiempo para que su información pueda ser consultada.
      16/10/10 http://www.biocom.com
    • 15. LA HCE Y LA FD
      • Es el medio para garantizar su privacidad, para que sus datos no puedan ser vistos por cualquier persona no autorizada.
      • Puede recibir y emitir información segura.
      • La privacidad se logra mediante atributos de la firma digital por medio de las técnicas criptográficas asimétricas, encriptando el texto con la clave publica del receptor de la información el cual solo va poder ver la misma con su clave privada.
      Las técnicas de Fechado o time Stamping, son las que permiten saber cuando fue firmado el documento, generalmente provee el servicio la entidad certificante quien es la que debe validar permanentemente la vigencia de los certificados 16/10/10 http://www.biocom.com
    • 16. ¿ Como obtengo mi certificado? 16/10/10
      • Que conviene?
      • Me dirijo a una empresa o entidad que tenga el carácter de Prestador de Servicios de Certificación y solicito de ellos el par de claves y el certificado digital correspondiente a las mismas.
      • Genero mi propia unidad Servicios de Certificación dentro de mi empresa
      • Los Servicios de Certificación comprobarán mi identidad, bien directamente o por medio de entidades colaboradoras
      • Los Servicios de Certificación crean con los dispositivos técnicos adecuados el par de claves pública y privada y genera el certificado digital correspondiente a esas claves
      • Los Servicios de Certificación permiten que genere mi certificado, ya sea en un medio magnético (Tarjeta Magnética, Token, Etc.) o Directamente en formato de archivo (.PFX).
      http://www.biocom.com
    • 17. Como se obtiene un certificado para utilizar la Firma Digital o Electrónica
      • El Prestador de Servicios de Certificación que provee el certificado digital .
        • Debe comprobar la identidad, bien directamente o por medio de entidades colaboradoras
        • Con los dispositivos técnicos adecuados el par de claves pública y privada ( certificado digital).
      • Montar una entidad certificante ( esto es de utilidad para las empresas, sanatorios,etc..
      • Obtener el certificado por Internet
        • (http://www.pki.gov.ar
        • http://www.certisur.com
        • http://www.verisign.com )
      16/10/10 http://www.biocom.com
    • 18. Obtención del Certificado 16/10/10 http://www.biocom.com
    • 19. Obtención a Través De Internet 16/10/10 http://www.biocom.com
    • 20. Registración 16/10/10
      • Planilla de registro:
      • Datos generales y/o datos específicos segun actividad.
      • Challenge Phrase: frase protectora del certificado ( password del certificado)
      http://www.biocom.com
    • 21. Registración 16/10/10 En este momento un soft es instalado en la maquina. Con el cual Se generaran tanto las claves publicas como privadas. http://www.biocom.com
    • 22. Confirmación 16/10/10 Certificado digital ya disponible. Se le envia: Link y número de pin para obtenerlo. http://www.biocom.com
    • 23. Obtención 16/10/10 Se le solicitará su PIN (enviado en la confirma- ción) http://www.biocom.com
    • 24. Instalación 16/10/10 Finalmente se le es entregado el certificado habilitado. Este puede ser directamente instalado en su sistema o bien guardado en formato de archivo para su utilización. * Este último paso depende del tipo de certificado y de la entidad certificante http://www.biocom.com
    • 25. El Certificado Ya Instalado 16/10/10 El certificado ya instalado en el sistema al abrirlo se pueden ver sus datos generales, validez, tipo, entidad emisora, etc. Segun el tipo de certificado ya estará disponible para firmar sus aplicaciones. http://www.biocom.com
    • 26. Certificado 16/10/10 http://www.biocom.com Para ello emiten un certificado que contiene los datos identificatorios del firmante y la clave pública. Dicho Certificado debe acompañar siempre al documento firmado.
    • 27. Su dispositivo de Identidad digital 16/10/10 http://www.biocom.com
    • 28. Medios de almacenamiento de la Firma Digital Si bien la Ley Argentina no especifica el medio de almacenamiento, es importante considerar la seguridad del resguardo de la Clave Privada El E-Token no es solo un medio de almacenamiento, tiene la ventaja de usar la conexion USB standar Smartcard 16/10/10 http://www.biocom.com
    • 29. Como es el Dispositivo para poder Firmar Digitalmente
      • Presentación en Formato USB.
      • Fácil implementación en su PC.
      • Portable, del tamaño de la llave de nuestra casa.
      • Seguro
      • No menos de 10 años de Uso!!!!
      16/10/10 http://www.biocom.com
    • 30. Elementos a considerar en la implemenztación de la firma digital dentro de un sistema
      • Librerías
      • Certificado
      • Administración de certificados y dispositivos
      • Generación de un documento de salida para firmar
      • Administración del evento de firma dentro del sistema.
      • Administración del proceso de verificación de los datos firmados
      16/10/10 http://www.biocom.com
    • 31. LIBRERIAS PARA FIRMAR
      • CAPICOM sirven para firmar datos y código digitalmente, comprobar firmas digitales, proteger la privacidad de datos, hacer hash de datos y cifrar y descifrar datos, entre otras aplicaciones. Son gratuitas y pueden bajarse del sitio de Microsoft.
      • Librerías de terceros proveedores para administrar dispositivos de almacenamiento de certificados tipo eTocx
      16/10/10 http://www.biocom.com
    • 32. Administración de certificados y dispositivos 16/10/10 http://www.biocom.com
    • 33. Llamado a las librerías desde el código
      • Function fdDatosCert(ByRef Certificado As String, ByRef Version As String, _
      • ByRef FDesde As Date, FHasta As Date, _
      • ByRef Thumb As String, ByRef Mail As String, _
      • Ubicacion As String, Pass As String, cer As String) As fdErrorCert
      • Dim cert As Certificate
      • Dim MiStoreEnMemoria As New Store
      • Dim Error As fdErrorCert
      • MiStoreEnMemoria.Open CAPICOM_MEMORY_STORE, "memory", CAPICOM_STORE_OPEN_READ_WRITE
      • Set cert = New Certificate
      • '/////////////////////
      • 'Cargo el certificado
      • '/////////////////////
      • On Error Resume Next
      • cert.Load Ubicacion, Pass
      • If Err.Number <> 0 Then
      • Select Case Err.Number
      • Case -2147024810:
      • Error = fdcertpasserror
      • Case -2147024894
      • Error = fdCertNoEncontrado
      • Case Else
      • Error = fdErrorGral
      • End Select
      • Else
      '/////////////////////////////////////////// 'Establezco el certificado para el firmante ' ///////////////////////////////////////// Certificado = cert.GetInfo(CAPICOM_CERT_INFO_ISSUER_DNS_NAME) Version = cert.Version Thumb = cert.Thumbprint Mail = cert.GetInfo(CAPICOM_CERT_INFO_SUBJECT_EMAIL_NAME) cer = cert.Export(CAPICOM_ENCODE_BASE64) FDesde = cert.ValidFromDate FHasta = cert.ValidToDate End If Set cert = Nothing fdDatosCert = Error End Function 16/10/10 http://www.biocom.com
    • 34. Implementaci ón T é cnica de la FIRMA DIGITAL ¿Qué Puedo Firmar Digitalmente? 16/10/10 El l í mite no est á en el contenido,sino en Conseguir una Aplicaci ón Adaptada Tecnológica-mente para FIRMAR. http://www.biocom.com
    • 35. Implementaci ón T é cnica de la FIRMA DIGITAL 16/10/10 En una aplicación de Correo Electr ónico Texto Plano (leible desde el bloc de notas por ej). http://www.biocom.com
    • 36. 1.Implementación ¿Que se Firma? Encabezado En un Informe de Laboratorio Texto Plano (leible desde el bloc de notas por ej). 16/10/10
    • 37. 2.Implementación En un Informe de Laboratorio Texto Plano (leible desde el bloc de notas por ej). Orina 16/10/10
    • 38. 3.¿Qué es lo que se Firma ? En un Informe de Laboratorio www. .com Texto Plano (leible desde el bloc de notas por ej). Hemograma 16/10/10 http://www.biocom.com
    • 39. 4.¿Qué es lo que se Firma ? En un Informe de Laboratorio Texto Plano (leible desde el bloc de notas por ej). Acido-Base 16/10/10 http://www.biocom.com
    • 40. Síntesis FIRMA DIGITAL Maestro de Pacientes Resultados de las Gramas Maestro de Medicos Autoanalizador Informe de Laboratorio Texto Plano Firma Unica del Informe TimeStamp (Fecha y Hora Certificadas) 16/10/10 http://www.biocom.com
    • 41. Generación de un documento de salida para firmar
      • CDA (Arquitectura de documentos clínicos) es un estandar HL7.
      • Es un documento AMSI markup estándar, con estructura y semántica diseñada para el intercambio de documentos clínicos
      • Estos documentos de salida son una estructura ideal para elegir un medio estándar para firmar datos clínicos.
      16/10/10 http://www.biocom.com
    • 42.
      • Es una documentación de las observaciones y otros servicios que tiene las siguientes características:
              • Persistencia
              • Tiene Potencial para la autenticación
              • Contexto
              • Es un documento completo es si mismo
              • Permite ser leido por un humano
              • Bajo costo
      • CDA es un objeto de salida completo de información y puede incluir texto, imágenes, sonido y otros contenidos multimedia.
      Características de los CDA 16/10/10 http://www.biocom.com
    • 43.
      • CDA viene del HL7's modelo referencial de datos (Reference Information Model) (RIM)
      • la diferencia sustancial es que el RMI es un modelo de datos y el CDA es un objeto que permite el intercambio, interoperabilidad y reutilización de los datos.
      Características de los CDA 16/10/10 http://www.biocom.com
    • 44. <ClinicalDocument> ... <structuredBody> <section> <text>...</text> <observation>...</observation> <substanceAdministration> <supply>...</supply> </substanceAdministration> <observation> <externalObservation> ... </externalObservation> </observation> </section> <section> <section>...</section> </section> </structuredBody> </ClinicalDocument> Componentes de los CDA 16/10/10 http://www.biocom.com D O C U M E N T O C U E R P O Header S E C C I O N E S Bloque Narrativo E N T R A D A S Referencias externas
    • 45. Modelo CDA R2 encabezado y conexión con el cuerpo del documento. 16/10/10 http://www.biocom.com
    • 46. Modelo CDA R2 entradas anidadas 16/10/10 http://www.biocom.com
    • 47. Ejemplo de documento CDA 16/10/10 http://www.biocom.com
    • 48. Método
        • Hay tres métodos contemplados en el CDA para firmar
        • Detached: en donde la firma va por fuera del documento
        • Enveloped : en donde la firma forma parte del documento
        • Enveloping: en donde la firma incluye el documento
      16/10/10 http://www.biocom.com
    • 49. Firma y verificación
      • LA FIRMA DE DOCUMENTOS ES UN ACTO Y NO UNA INSTANCIA DEL SISTEMA
      • Administración del evento de firma dentro del sistema.
      • Administración del proceso de verificación de los datos firmados
      16/10/10 http://www.biocom.com
    • 50. Firma y verificación 16/10/10 http://www.biocom.com Firmar Programa Clave Privada Documento Firma Digital C/ C. Privada Para firmar un documento digital se emplea un PROGRAMA en la computadora que, a partir del documento y de la clave privada , genera un número que llamaremos FIRMA DIGITAL de ese documento . Hash Programa Documento Verificar Para verificar un Documento Digital, el receptor emplea un PROGRAMA en su computadora que, a partir del documento, la firma digital y la clave pública del firmante, aplica un cálculo matemático y determina si estos tres elementos concuerdan. Hash Firma Digital C/ C. Privada Firma Digital C/ C. Pública = SI NO   Documento Clave Pública Guardar Firma Digital
    • 51. Informar al usuario del acto antes de proceder a firmar Texto = Texto + &quot;Para poder firmar los documentos&quot; + Chr(13) Texto = Texto + &quot;tiene que gestionar&quot; + Chr(13) Texto = Texto + &quot;un certificado de firma digital &quot; + Chr(13) Texto = Texto + &quot;certificante autorizada&quot; + Chr(13) Texto = Texto + &quot;RECUERDE QUE: &quot; + Chr(13) Texto = Texto + &quot;El procedimiento permite que va ejecutar firmar digitalmente su prescripción&quot; + Chr(13) Texto = Texto + &quot;con el mismo valor legal que la firma&quot; + Chr(13) Texto = Texto + &quot;convencional &quot; + Chr(13) MsgBox Texto, vbInformation UbicacionFirma = fdFirmar(fdHistorias_Clinicas, IDMaestro, Texto, TimeStamping, _ TimeServer, TimeMachine, USUARIOACTIVO%, True, CertPass, errorf) 16/10/10 http://www.biocom.com
    • 52. Gracias por su atención 16/10/10 Cualquier consulta pueden enviarla por mail al foro http://groups.yahoo.com/group/biocom / http://groups.google.com.ar/group/historia-clinica http://groups.yahoo.com/group/FD_Salud 光顧 guāng gù Dr. Humberto Fernán Mandirola Brieux Email hmandirola@biocom.com http://www.biocom.com

    ×