Autorização e controle de acesso para o prontuário eletrônico do paciente em ambientes abertos e distribuídos: uma proposta de modelo e arquitetura

  • Gustavo H. M. B. Motta USP / UFPB
  • Sérgio S. Furuie USP
  • Fabiane B. Nardon USP
  • Marco A. Gutierrez USP
  • Marcos Yamaguti USP

Resumo


A perspectiva do aumento do uso de Sistemas de Informações Hospitalares em aplicações distribuídas de telemedicina a curto e médio prazos, com o Prontuário Eletrônico do Paciente (PEP) disponível a um grande número de instituições e pessoas, suscita preocupações acerca do acesso às informações clínicas. O problema é que o controle de acesso ao PEP, em nenhuma circunstância, deve prejudicar o atendimento ao paciente por negar acesso legítimo às informações e aos serviços requisitados pelo pessoal médico. Outra questão refere-se a como administrar uma política de autorização e impor o controle de acesso ao PEP, visto que este é composto por segmentos que estão distribuídos em bases de dados distintas, acessadas por aplicações diversas, em plataformas heterogêneas. Este trabalho apresenta um modelo de autorização adequado para as exigências de controle de acesso ao prontuário eletrônico, capaz de assegurar a privacidade do paciente e a segurança de acesso aos seus dados, mas flexível o suficiente para conceder o acesso em situações excepcionais. Propõem ainda a implementação deste modelo de autorização e controle de acesso numa arquitetura baseada em padrões abertos e distribuída, capaz de ser acessada pelos diversos segmentos em que o PEP se distribui, mas com uma administração unificada para política de autorização e controle de acesso.

Palavras-chave: controle de acesso, arquitetura aberta e distribuída, prontuário eletrônico do paciente

Referências

Bertino, E.; Jajordia, S. e Samarati, P. "A Flexible Authorization Mechanism for Relational Data Management Systems", ACM Transactions on Information Systems 17, 2 (Abril 1999), 101-140.

Beznosov, K. "Requirements for Access Control: US Health-care Domain", Proceedings of the 3rd ACM Workshop on Role-based Access, Fairfax, VA, USA, (1998), 43.

Beznosov, K.; Deng, Y.; Blakley, B.; Burt, C. e Barkley, J. "A Resource Access Decision Service for CORBA-based Distributed Systems", Proceedings. of the 15th Annual Computer Security Applications Conference (ACSAC '99)., (1999), 310-319.

Motta, G. H. M. B.; Furuie, S. S.; Nardon, F. B. e Gutierrez, M. A. "Considerações Sobre o Controle de Acesso ao Prontuário Eletrônico do Paciente", Anais do CBIS'2000 - VII Congresso Brasileiro de Informática em Saúde, São Paulo, SP, outubro de 2000.

National Academy of Sciences. For the Record: Protecting Electronic Health Information, National Academy Press, Washington, DC, USA, 1997.

Object Management Group. CORBA Security Service Specification. In: http://www.omg.org/cgibin/doc?formal/98-12-17.

Object Management Group. Resource Access Decision Facility. In: http://www.omg.org/cgi-bin/doc?dtc/00-08-06.

Sandhu, R. S. e Samarati, P. "Access Control: Principles and Practice", IEEE Communications Magazine, (Setembro 1994), 40-48.

Wiederhold, G.; Bilello, M.; Sarathy, V. e Qian, X "A Security Mediator for Health Care Information", Proceedings of the 1996 AMIM Conference, Washington, DC, USA, (1996), 120-124.

Yeong, W.; Howes, T. e Kille, S. Lightweight Directory Access Protocol. Internet Engineering Task Force - IETF, (Março 1995), In: http://www.ietf.org/rfc/rfc1777.txt?number=1777.
Publicado
05/03/2001
MOTTA, Gustavo H. M. B.; FURUIE, Sérgio S.; NARDON, Fabiane B.; GUTIERREZ, Marco A.; YAMAGUTI, Marcos. Autorização e controle de acesso para o prontuário eletrônico do paciente em ambientes abertos e distribuídos: uma proposta de modelo e arquitetura. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 1. , 2001, Florianópolis. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2001 . p. 96-106. DOI: https://doi.org/10.5753/sbseg.2001.21291.

Artigos mais lidos do(s) mesmo(s) autor(es)