¸c aemSoftware Marca ¸c˜a oCEdeDispositivosM ´e dicoseSeguran

Marca¸c˜ ao CE de Dispositivos M´edicos e Seguran¸ca em Software

C´elio Eduardo Sousa Cerqueira

Disserta¸c˜ ao apresentada no Instituto Superior de Engenharia do Porto para a obten¸c˜ ao de grau de Mestre em Engenharia de Computa¸c˜ ao e Instrumenta¸c˜ ao

M´ edica

Orientadores

Doutor Ant´ onio Manuel Cardoso da Costa Departamento de Inform´ atica - ISEP

Engenheiro Filipe Pires de Morais Engenheiro Ricardo Pinho

Efficientia Management Integration, Consulting, Lda

Porto, 9 de Dezembro de 2012

Aos meus pais, Maria e Albino Cerqueira.

Agradecimentos

A minha primeira palavra de agradecimento dirige-se aos meus orientadores, Doutor Ant´ onio Costa, Engenheiro Filipe Morais e Engenheiro Ricardo Pinho.

A institui¸c˜ ` ao que me acolheu, que fez com que tudo isto fosse poss´ıvel, a Efficien- tia Management Integration, Consulting, Lda pelo departamento Medical Solutions.

Aos meus colegas e amigos que me ajudaram sempre que necessitei, H´ elder da Silva, Ant´ onio Vaz, Nuno Pereira e especialmente ` a Diana Barros.

A C´ ` atia por todo o apoio, dedica¸c˜ ao e compreens˜ ao.

Aos meus pais e irm˜ a dirijo o meu maior agradecimento por me permitirem

chegar at´ e aqui.

Resumo

Com o crescente aumento da Teleradiologia, sentiu-se necessidade de criar mais e melhores softwares para sustentar esse crescimento. O presente trabalho pretende abordar a tem´ atica da certifica¸c˜ ao de software e a sua marca¸c˜ ao CE, pois para dar entrada no mercado Europeu todos os Dispositivos M´ edicos (DM) tˆ em de estar de- vidamente certificados. Para efetuar a marca¸c˜ ao CE e a certifica¸c˜ ao ser˜ ao estudadas normas e normativos adequados para marca¸c˜ ao de DM ao n´ıvel Europeu e tamb´ em dos Estados Unidos da Am´ erica. A tem´ atica da seguran¸ca de dados pessoais ser´ a tamb´ em estudada de forma a assegurar que o dispositivo respeite a legisla¸c˜ ao em vigor. Este estudo tem como finalidade a certifica¸c˜ ao de um software propriet´ ario da efficientia sysPACS, um servi¸co online abrangente, que permite a gest˜ ao integrada do armazenamento e distribui¸c˜ ao de imagens m´ edicas para apoio ao diagn´ ostico.

Palavras-chave: Certifica¸c˜ ao de software; Marca¸c˜ ao CE; Seguran¸ca de dados;

Dispositivos M´ edicos; DICOM; PACS, HL7.

Abstract

With the increasing use of tele-radiology, it is necessary to develop more and better software to support this growth without compromising security and safety. This study addresses the software certification in general and the CE label in particular, because all medical devices related software to be used in the European market must be a priori certified. To achieve CE label and software process certification, legislation, standards and good-practices associated with medical devices in Europe and in the United States of America will be identified and analyzed. The subject of personal data security will be addressed in order to ensure that the medical device complies with current legislation. This study aims at the certification of proprietary software from Efficientia (sysPACS), a comprehensive online web-based information system supporting an integrated storage management and the distribution of medical data for diagnostic purposes.

Keywords: Software certification, CE label, Data Security, Medical Devices, DI-

COM, PACS, HL7.

Conte´ udo

Resumo . . . . viii

Abstract . . . . x

Conte´ udo . . . . xii

Lista de Figuras . . . . xiii

Lista de Tabelas . . . . xv

Lista de Abreviaturas . . . . xx

1. Introdu¸ c˜ ao . . . . 1

1.1 Telemedicina . . . . 2

1.1.1 Teleradiologia . . . . 4

1.1.2 PACS . . . . 6

1.2 Objetivos e Motiva¸c˜ ao . . . . 7

1.3 Apresenta¸c˜ ao do Problema e Contribui¸c˜ oes . . . . 8

1.4 Estrutura da Disserta¸c˜ ao . . . . 8

1.5 Planeamento . . . . 9

2. Marca¸ c˜ ao CE de Dispositivos M´ edicos . . . . 11

2.1 Dispositivos M´ edicos . . . . 11

2.1.1 Classifica¸c˜ ao . . . . 13

2.2 Marca¸c˜ ao CE . . . . 15

2.2.1 Diretivas aplic´ aveis . . . . 17

2.2.2 Requisitos espec´ıficos do produto . . . . 19

2.2.3 Organismo Notificado . . . . 20

2.2.4 Avalia¸c˜ ao da conformidade . . . . 21

2.2.5 Documenta¸c˜ ao t´ ecnica . . . . 22

2.2.6 Aposi¸c˜ ao da Marca¸c˜ ao CE e declara¸c˜ ao de conformidade . . . 22

2.2.7 Qualidade em Sa´ ude . . . . 23

xii Conte´ udo

3. Seguran¸ ca em Software . . . . 27

3.1 Seguran¸ca de Aplica¸c˜ oes WEB . . . . 29

3.2 Protocolos e Normas de Seguran¸ca em Sa´ ude . . . . 35

3.2.1 DICOM . . . . 35

3.2.2 HL7 . . . . 37

3.2.3 T´ ecnicas de seguran¸ca - ISO 17799 . . . . 38

3.3 Prote¸c˜ ao de Dados . . . . 40

3.4 Gest˜ ao de Risco . . . . 42

3.4.1 Gest˜ ao de risco em Dispositivos M´ edicos - ISO 14971:2007 . . 43

3.4.2 Failure Modes and Effect Analysis . . . . 46

3.5 Licenciamento em Software . . . . 48

4. Implementa¸ c˜ ao do efficientia sysPACS . . . . 53

4.1 Medical Image Service . . . . 53

4.2 efficientia sysPACS . . . . 54

4.2.1 M´ odulos . . . . 55

4.2.2 Ferramentas . . . . 58

4.3 Processo de Marca¸c˜ ao CE . . . . 61

4.3.1 Classifica¸c˜ ao do Dispositivo M´ edico . . . . 61

4.3.2 Processo . . . . 65

4.4 Gest˜ ao de Risco - efficientia sysPACS . . . . 66

4.5 Avalia¸c˜ ao dos aspectos de seguran¸ca . . . . 71

4.5.1 Compara¸c˜ ao do MIS com o sysPACS . . . . 72

5. Conclus˜ oes e Perspetivas futuras . . . . 79

Bibliografia . . . . 81

A. Anexos . . . . 87

A.1 Requisitos Essenciais . . . . 87

A.2 Declara¸c˜ ao de Conformidade . . . 104

A.3 Requerimento Avalia¸c˜ ao da Conformidade . . . 107

A.4 Declara¸c˜ ao de Compromisso . . . 109

A.5 Manual de Utilizador . . . 112

A.6 Processo de Concep¸c˜ ao . . . 135

A.7 Checklist - Avalia¸c˜ ao dos aspetos de seguran¸ca . . . 137

A.8 FMEA . . . 144

A.9 Fluxograma dos Procedimentos de Avalia¸c˜ ao de Conformidade . . . . 148

Lista de Figuras

1.1 Equipamentos de telemedicina . . . . 3

1.2 Esquema de um sistema em teleradiologia . . . . 5

2.1 Passos gerais para a marca¸c˜ ao CE . . . . 16

2.2 Exigˆ encia da marca¸c˜ ao CE para dispositivos m´ edicos . . . . 18

2.3 Marca CE . . . . 23

2.4 Modelo Qualidade . . . . 24

3.1 AIC Triad . . . . 28

3.2 Arquitetura web. . . . . 29

3.3 Arquitetura web. . . . . 39

3.4 Processo da Gest˜ ao de Risco. . . . . 45

4.1 Requisitos Essenciais . . . . 66

4.2 efficientia sysPacs. . . . . 71

4.3 MIS and efficientia sysPACS . . . . 74

A.1 Fluxograma dos Procedimentos de Avalia¸c˜ ao de Conformidade . . . . 149

Lista de Tabelas

2.1 Sistema de classifica¸c˜ ao de Dispositivos M´ edicos . . . . 13

3.1 Escala usada no Top 10 das vulnerabilidades . . . . 30

3.2 Classifica¸c˜ ao do Top 10 do OWASP . . . . 34

3.3 Mecanismos m´ınimos para TLS . . . . 37

3.4 Probabilidade de ocorrˆ encia . . . . 45

3.5 N´ıvel de gravidade . . . . 46

3.6 Cronograma que delimita o risco aceit´ avel do n˜ ao aceit´ avel, pela con- juga¸c˜ ao do dano com a probabilidade. . . . 46

3.7 Sistema de classifica¸c˜ ao da Gravidade . . . . 49

3.8 Sistema de classifica¸c˜ ao da Ocorrˆ encia . . . . 49

3.9 Sistema de classifica¸c˜ ao da Dete¸c˜ ao . . . . 50

3.10 Escala RPN . . . . 50

4.1 Tipos de Licenciamento vs. Sistemas Operativos . . . . 62

4.2 Regras para Classifica¸c˜ ao da Classe do Dispositivo M´ edico. . . . 63

4.3 Ferramentas a incluir na gest˜ ao de risco p´ os-mercado. . . . 70

Lista de Abreviaturas

ACR Americam College of Radiology AES Advanced Encryption Standard API Application Programming Interface BSD Berkeley Software Distribution CE European Conformity

CERN European Organization for Nuclear Research CMS Content Management System

CNPD Comiss˜ ao Nacional de Prote¸c˜ ao de Dados CSRF Cross Site Request Forgery

DES Data Encryption Standard

DICOM Digital Imaging and Communications in Medicine DM Dispositivos M´ edicos

EPL Eclipse Public License

FDA Food and Drug Administration GPL General Public License

HIS Hospital Information Systems HL7 Health Level Seven

HTML HyperText Markup Language

INFARMED Autoridade Nacional do Medicamento e Produtos de Sa´ ude, I. P.

IPsec Internet Protocol Security

xviii Lista de Tabelas

ISO International Organization for Standardization ISP Internet sSrvice Provider

JSP JavaServer Page MAC Apple Macintosh MD5 Message Digest 5 MIS Medical Image Service MSW microsoft windows

NANDO New Approach Notified and Designated Organisations NEMA National Electrical Manufacturers Association

ON Organismo Notificado

OSI Open systems Interconnection OWASP The Open Web Application Security

PACS Picture Archiving and Communication Systems PHP Hypertext Preprocessor

PPTP Point-to-Point Tunneling Protocol RIS Radiology Information System RPM Risk Priority Number

SHA Secure Hash Algorithm SQL Structured Query Language SSL Secure Sockets Layer

TAC Tomografia Axial Computadorizada TLS Transport Layer Security

URL Uniform Resource Locator VPN Virtual Private Network

WADO Web Access to DICOM Objects

WWW World Wide Web

XML eXtensible Markup Language

Lista de Tabelas xix

XSS Cross Site Scripting

Cap´ıtulo 1

Introdu¸c˜ ao

A grande expans˜ ao dos mercados da sa´ ude, juntamente com o grande avan¸co tec- nol´ ogico, introduziram no mercado um grande n´ umero de DM, com aplica¸c˜ ao nas diversas ´ areas da medicina, abrindo grandes possibilidades para o diagn´ ostico m´ edico e tratamento de doen¸cas, colocando no entanto algumas quest˜ oes de seguran¸ca.

Com este grande aumento na produ¸c˜ ao de dispositivos m´ edicos, os pa´ıses da Uni˜ ao Europeia tiverem necessidade de uniformizar as normas, pelo que cada pa´ıs de- via deixar de ter regulamentos pr´ oprios e passar a usar os comunit´ arios, designando- se esta abertura constitucional Nova Abordagem [1], sobre a qual se tem trabalhado para uma harmoniza¸c˜ ao das diretivas.

Para a sua coloca¸c˜ ao no mercado, os dispositivos m´ edicos tˆ em de estar de acordo com as regras impostas pela Uni˜ ao Europeia. Para tal, tem de existir um organismo que verifique se essas regras s˜ ao aplicadas de forma correcta. Com o constante aumento da legisla¸c˜ ao e da sua complexidade, juntamente com a variedade dos dis- positivos m´ edicos, come¸ca a ser cada vez mais necess´ aria a existˆ encia de profissionais com um grande know-how para a realiza¸c˜ ao destas tarefas.

A presente disserta¸c˜ ao ´ e desenvolvida no ˆ ambito do Mestrado de Engenharia em Computa¸c˜ ao e Instrumenta¸c˜ ao M´ edica, tendo em conta o est´ agio realizado na empresa Efficientia Management Integration, Consulting, Lda no departamento Me- dical Solutions, que est´ a a desenvolver um software destinado ` a teleradiologia, o efficientia sysPACS.

O efficientia sysPACS est´ a a ser desenvolvido com o objetivo de o comercializar no mercado Europeu, devendo por isso ostentar a marca¸c˜ ao CE.

A aposi¸c˜ ao da marca¸c˜ ao CE ´ e uma evidˆ encia dada pelo fabricante de que o

produto est´ a em conformidade com as disposi¸c˜ oes das diretivas europeias aplic´ aveis.

2 Cap´ ıtulo 1. Introdu¸ c˜ ao

Para melhor compreens˜ ao dos temas abordados inicialmente, come¸caremos por explicar temas base com a Telemedicina, Teleradiologia e PACS.

1.1 Telemedicina

A Telemedicina n˜ ao ´ e propriamente uma novidade, pois ´ e um conceito que j´ a tem alguns anos de hist´ oria. Segundo [2], a revista Radio News Magazine em 1924 mostrou um desenho de um m´ edico que observava um paciente ` a distˆ ancia, marcando assim o in´ıcio desta atividade.

V´ arias defini¸c˜ oes foram propostas por diferentes autores [3], mas todas centram- se na premissa de que a telemedicina ´ e a presta¸c˜ ao de cuidados de sa´ ude a distˆ ancia.

No entanto para o rigor deste trabalho adoptou-se a defini¸c˜ ao que ´ e proposta pelo Parlamento Europeu:

“Entende-se por telemedicina a presta¸ c˜ ao de servi¸ cos de sa´ ude atrav´ es da uti- liza¸ c˜ ao das tecnologias da informa¸ c˜ ao e das comunica¸ c˜ oes em situa¸ c˜ oes em que o profissional de sa´ ude e o doente (ou dois profissionais de sa´ ude) n˜ ao se encontrem no mesmo local. A telemedicina compreende a transmiss˜ ao segura de informa¸ c˜ oes e dados m´ edicos, necess´ arios para a preven¸ c˜ ao, diagn´ ostico, tratamento e seguimento dos doentes, por meio de texto, som, imagens ou outras vias” [4].

Existem diferentes tipos de telemedicina, como por exemplo: a telemonitoriza¸c˜ ao, a teleconsulta e a teleradiologia. A teleradiologia, o m´ etodo mais comum, baseia-se no envio de imagem de um centro de imagem m´ edica para o respetivo m´ edico que, atrav´ es da imagem, efetua o diagn´ ostico do doente.

O conceito de teleconsulta est´ a relacionado com a realiza¸c˜ ao de uma consulta, por parte do m´ edico, ` a distˆ ancia e tamb´ em com a poss´ıvel necessidade de uma segunda opini˜ ao m´ edica [5, 6].

A telemonitoriza¸c˜ ao, como o pr´ oprio nome indica, consiste em monitorizar um doente ` a distˆ ancia, como por exemplo registar os batimentos card´ıacos no caso de um doente com insuficiˆ encia card´ıaca [7].

Um sistema como o de telemedicina, que resulta da fus˜ ao das tecnologias de infor-

ma¸c˜ ao e comunica¸c˜ ao, [8], levanta in´ umeras quest˜ oes de seguran¸ca e confiabilidade,

colocando em risco a privacidade dos pacientes. Para a resolu¸c˜ ao destas quest˜ oes

a Uni˜ ao Europeia tem clarificado quest˜ oes jur´ıdicas para que os Estados-Membros

avaliem as suas regulamenta¸c˜ oes e as adaptem para facilitarem o acesso a servi¸cos de

telemedicina. Esta clarifica¸c˜ ao tem incidido sobre quest˜ oes como a responsabilidade

cl´ınica, a privacidade e a prote¸c˜ ao de dados [4, 3].

1.1. Telemedicina 3

Com o grande aumento da popula¸c˜ ao idosa, o que significa mobilidade reduzida, e tamb´ em com o aumento do n´ umero de pessoas com doen¸cas cr´ onicas, os cuidados m´ edicos de que necessitam tˆ em, muitas vezes, de ser prolongados. No entanto, a telemedicina pode revelar-se uma grande ajuda na resolu¸c˜ ao da maioria destes problemas, como, por exemplo, facilitar o acesso a cuidados de sa´ ude especializados, a diminui¸c˜ ao de dias dos internamento hospitalar devido ` a telemonitoriza¸c˜ ao dos doentes cr´ onicos. A teleradiologia pode ser utilizada na optimiza¸c˜ ao de recursos, permitindo a diminui¸c˜ ao do tempo de resposta.

Este sistema apresenta vantagens, a saber: a presta¸c˜ ao de servi¸cos de sa´ ude

`

a distˆ ancia pode melhorar, tornar mais f´ acil e r´ apido o servi¸co que ´ e prestado ` as pessoas, melhorando assim alguns dos problemas do sistema de sa´ ude [8].

A telemedicina ´ e uma ´ area que tem ainda alguns problemas t´ ecnicos como o acesso ` a banda larga e a garantia de obten¸c˜ ao de conectividade, que s˜ ao condi¸c˜ oes essenciais ` a difus˜ ao da telemedicina. A normaliza¸c˜ ao de todas as disciplinas da telemedicina ´ e fundamental para a sua expans˜ ao[4].

Hasan et al realizaram um estudo em 2010 com o objectivo de fornecer cuidados de sa´ ude a zonas isoladas. Pode ver-se na Figura 1.1 um esquema da estrutura utilizada por Hasan et al no seu projeto, que serve para demonstrar como ´ e que funciona um sistema de telemedicina [8].

Fig. 1.1: Equipamentos de telemedicina [8]

4 Cap´ ıtulo 1. Introdu¸ c˜ ao

1.1.1 Teleradiologia

A Teleradiologia n˜ ao consiste s´ o numa simples transmiss˜ ao de imagens m´ edicas, en- volve tamb´ em uma partilha de conhecimentos entre os profissionais. Porque este servi¸co facilita o acesso a relat´ orios m´ edicos, permite a troca de opini˜ oes entre m´ e- dicos, bem como a obten¸c˜ ao de uma segunda opini˜ ao, entre outros benef´ıcios [9].

Para a teleradiologia poder beneficiar de todas estas vantagens, tem de estar interligada com um sistema Picture Archiving and Communication Systems (PACS), sistema que vai permitir toda esta gest˜ ao de liga¸c˜ oes.

A teleradiolgia teve uma evolu¸c˜ ao ao longo dos tempos, passando de um simples envio de uma imagem do centro hospitalar para o computador do m´ edico, no in´ıcio da d´ ecada de 50 [10], para um sistema de maior complexidade, em que ´ e poss´ıvel obter um hist´ orico de todas as imagem de um determinado paciente e aceder a informa¸c˜ oes do Radiology Information System (RIS).

Actualmente os sistemas de teleradiologia j´ a permitem, juntamente com a infor- ma¸c˜ ao do paciente, obter o ditado ou o relat´ orio que o m´ edico fez do exame [11, 12].

Este avan¸co tecnol´ ogico est´ a relacionado com a aceita¸c˜ ao e generaliza¸c˜ ao do proto- colo de comunica¸c˜ ao de imagens m´ edicas, o Digital Imaging and Communication in Medicine, (DICOM) [13].

A teleradiologia apresenta-se como mais valia e consegue dar resposta ao grande fluxo de trabalho dos profissionais da imagiologia m´ edica. No entanto existem ques- t˜ oes que se devem colocar antes de se optar por um sistema de teleradiologia:

• Como ´ e que a informa¸c˜ ao ´ e transmitida e integrada?

• Quem tem acesso ` a imagem e aos relat´ orios armazenados?

• A que legisla¸c˜ ao est´ a sujeito o paciente no pa´ıs de origem?

• Como se trata a privacidade e integridade dos dados?

• Como ´ e assegurada a comunica¸c˜ ao entre m´ edicos e radiologistas?

• Quais os aspetos m´ edico-legais a ter em conta? [11].

Segundo [9], n˜ ao existem aspetos legais espec´ıficos para a teleradiologia, no en-

tanto existe um conjunto substancial de legisla¸c˜ ao que ´ e transversal, aos diversos

pa´ıses, e que ser´ a aprofundada no Cap´ıtulo 2.

1.1. Telemedicina 5

A Uni˜ ao Europeia desenvolveu um conjunto de diretivas que abordam algumas quest˜ oes relacionadas com esta ´ area, como a Directiva de Protec¸c˜ ao de Dados Pes- soais [14].

Os aspetos mais sens´ıveis da teleradiologia est˜ ao relacionados com os pacientes, a saber:

• Direitos, confidencialidade, prote¸c˜ ao de dados;

• Servi¸cos com o m´ aximo de qualidade;

• Garantir a identidade ´ unica de todos os pacientes;

• Servi¸co com seguran¸ca e rastreabilidade [9].

Para uma m´ axima qualidade no servi¸co e para que os dados m´ edicos dos pacientes sejam mantidos com seguran¸ca, o sistema de telaradiologia dever´ a garantir n´ıveis adequados de seguran¸ca na manuten¸c˜ ao da privacidade e na transmiss˜ ao de dados [9].

Relativamente ` a seguran¸ca, existem v´ arias pol´ıticas que podem ser aplicadas ao sistema de telaradiologia, tais como pol´ıtica de seguran¸ca f´ısica, seguran¸ca em rede, juntamente com um conjunto de diretrizes de seguran¸ca, como por exemplo criptografia. A confidencialidade pode ser mantida por meio de uma rede VPN, j´ a a integridade pode ser assegurada usando a norma DICOM com compress˜ ao sem perdas [11].

Pode ver-se na Figura 1.2 um esquema de um sistema de teleradiologia, muito simples, de uma rede DICOM que permite o acesso ` as imagens atrav´ es da internet.

Fig. 1.2: Esquema de um sistema em teleradiologia [15]

6 Cap´ ıtulo 1. Introdu¸ c˜ ao

1.1.2 PACS

O PACS ´ e um sistema que, por via electr´ onica, processa, armazena, distribui e recupera imagens m´ edicas [2] procedentes de modalidades de imagiologia m´ edica como Tomografia Computorizada, Ressonˆ ancia Magn´ etica, entre outras.

A arquitectura geral do PACS consiste na aquisi¸c˜ ao de uma imagem, um servidor de arquivo e workstations integradas na rede (PACS), por sua vez ligados ao sistema de informa¸c˜ ao do hospital, o Radiology Information System/Hospital Information Systems (HIS/RIS) [12].

O servidor PACS ´ e o “motor” do PACS, consistindo em computadores ou ser- vidores, e tem como principais componentes uma base de dados e um sistema de arquivo, que pode armazenar em curto, m´ edio ou longo prazo.

Estes servidores tˆ em como principais fun¸c˜ oes:

• Receber as imagens dos exames;

• Entender a informa¸c˜ ao que consta no cabe¸calho da imagem DICOM;

• Encaminhar os exames para as workstations ;

• Permitir o visionamento de imagem antigas.

A seguran¸ca da informa¸c˜ ao contida no PACS ´ e um ponto de extrema importˆ ancia, devido ` a confidencialidade dos dados m´ edicos do paciente, que tem de ser preservada.

Arquitetura do PACS

Existem trˆ es tipos de arquitecturas PACS, o stand-alone, cliente-servidor e Web- based. [12].

No stand-alone as imagem s˜ ao enviadas automaticamente para as esta¸c˜ oes de trabalho, onde se pode fazer Query/Retrieve

` as imagens que est˜ ao no servidor.

Na arquitetura cliente-servidor as imagens s˜ ao armazenadas centralmente no ser- vidor do PACS. Este envia uma lista de trabalho para as workstations, onde ´ e poss´ıvel selecionar os pacientes juntamente com as imagens. N˜ ao existe um armazenamento local, pelo que as imagens s˜ ao descartadas ap´ os a leitura.

1

Query / Retrieve ´ e um servi¸ co DICOM que permite ao utilizador visualizar a lista de exames

do doente e transferir as imagens desejadas [13].

1.2. Objetivos e Motiva¸ c˜ ao 7

Por ´ ultimo, o modelo baseado na web ´ e muito semelhante ao do cliente-servidor, estando a principal diferen¸ca no servidor orientado para aplica¸c˜ oes web. Compa- rando com o modelo anterior, tem como principais vantagens ser um sistema com- pletamente port´ atil, permitindo ao m´ edico aceder aos exames em qualquer parte do mundo. O hardware das esta¸c˜ oes de trabalho pode ser independente, bastando um web browser adequado.

No entanto apresenta como desvantagens as limita¸c˜ oes do web browser : funci- onalidade e performance. Estes sistemas tˆ em evolu´ıdo nos ´ ultimos anos e est˜ ao a tornar-se sistemas dominantes [12].

1.2 Objetivos e Motiva¸ c˜ ao

A raz˜ ao que levou ` a escolha deste tema foi o facto de permitir estar em contacto com uma solu¸c˜ ao empresarial de valor crescente no mercado, adquirindo conheci- mentos abrangentes na ´ area da imagem m´ edica, certifica¸c˜ ao, seguran¸ca inform´ atica e programa¸c˜ ao web.

Com este trabalho pretende-se estudar os m´ etodos existentes para a certifica¸c˜ ao de software m´ edico como dispositivo m´ edico e quest˜ oes relacionadas com seguran¸ca inform´ atica e da informa¸c˜ ao. Para a obten¸c˜ ao da marca¸c˜ ao CE, que ser´ a atribu´ıda pela autoridade competente, a Autoridade Nacional do Medicamento e Produtos de Sa´ ude, I. P. (INFARMED), ´ e necess´ ario estudar as normas relacionadas com a certifica¸c˜ ao de software, juntamente com as boas pr´ aticas e normas de seguran¸ca.

A solu¸c˜ ao ter´ a de estar de acordo com a entidade que rege a prote¸c˜ ao de dados, a Comiss˜ ao Nacional de Prote¸c˜ ao de Dados (CNPD).

O objetivo principal desta disserta¸c˜ ao passa ent˜ ao por preparar a documenta¸c˜ ao do software para a sua marca¸c˜ ao. Al´ em deste, outros objetivos podem ser conside- rados como de grande importˆ ancia:

• Objetivos

– Melhorar o sistema atual;

– Implementar seguran¸ca no sistema;

– Analisar os riscos associados;

– Estudar e compreender directivas nacionais e internacionais sobre os Dis- positivos M´ edicos;

– Estudar e compreender normas de seguran¸ca e boas pr´ aticas em software;

8 Cap´ ıtulo 1. Introdu¸ c˜ ao

– Compreender, realizar e implementar um sistema de Teleradiologia.

1.3 Apresenta¸ c˜ ao do Problema e Contribui¸ c˜ oes

O acesso a dados m´ edicos de pacientes atrav´ es da rede inform´ atica ´ e fundamental para optimizar os processos de presta¸c˜ ao de cuidados de sa´ ude. Para ser bem aceite este tipo de partilha de informa¸c˜ ao m´ edica ´ e necess´ ario que o sistema seja seguro.

De forma a permitir esta troca de dados m´ edicos na Internet ´ e necess´ ario criar uma solu¸c˜ ao que cumpra todas as recomenda¸c˜ oes e boas pr´ aticas de seguran¸ca.

A solu¸c˜ ao deve ser preparada para marca¸c˜ ao CE, com vista ` a comercializa¸c˜ ao no mercado Europeu.

As grandes contribui¸c˜ oes deste trabalho passaram pela prepara¸c˜ ao de uma so- lu¸c˜ ao de teleradiologia para marca¸c˜ ao CE bem como a respetiva implementa¸c˜ ao de seguran¸ca inform´ atica de toda a solu¸c˜ ao. O grande benef´ıcio ´ e o fabrico de um sistema que permite a troca de informa¸c˜ ao m´ edica de uma forma segura na Internet.

Este sistema vem trazer uma maior conf´ıan¸ca aos utilizadores pois ir´ a permitir que sejam trocados dados cl´ınicos na Internet com seguran¸ca quer para o utilizador quer para os utentes.

1.4 Estrutura da Disserta¸ c˜ ao

O presente trabalho encontra-se dividido em 5 cap´ıtulos. No Cap´ıtulo 1 ´ e apresen- tada a problem´ atica te´ orica e ´ e feito o seu enquadramento, bem como aquilo que se pretende alcan¸car com este trabalho. Apresenta-se ainda o modo para atingir esses objetivos.

No Cap´ıtulo 2 s˜ ao apresentadas no¸c˜ oes te´ oricas de dispositivos m´ edicos junta- mente com a legisla¸c˜ ao associada, assim como a descri¸c˜ ao do processo de marca¸c˜ ao CE.

No Cap´ıtulo 3 ´ e apresentada a problem´ atica da seguran¸ca, bem como processos a adaptar para a implementa¸c˜ ao de um sistema seguro.

No Cap´ıtulo 4 ´ e apresentado o sistema que foi desenvolvido, juntamente com os processos associados ` a marca¸c˜ ao e classifica¸c˜ ao entre outros.

Finalmente, no Cap´ıtulo 5 s˜ ao apresentadas as ideias mais importantes que foram

alcan¸cadas com a elabora¸c˜ ao deste trabalho, bem como algumas propostas para

trabalho futuro.

1.5. Planeamento 9

1.5 Planeamento

O planeamento deste projeto foi estruturado em quatro fases, sendo elas:

1. Requisitos

• Levantamento de requisitos;

• Estado da arte;

• Requisitos do sistema;

2. Implementa¸c˜ ao

• Implementa¸c˜ ao de todo sistema;

• Prepara¸c˜ ao para a Marca¸c˜ ao CE;

3. Verifica¸c˜ ao

• Testes ao sistema;

4. Elabora¸c˜ ao da disserta¸c˜ ao.

Cap´ıtulo 2

Marca¸c˜ ao CE de Dispositivos M´edicos

Os Dispositivos M´ edicos s˜ ao instrumentos que se destinam a ser utilizados para fins como diagn´ ostico, preven¸c˜ ao ou tratamento de uma doen¸ca. Esta defini¸c˜ ao inclui uma gama muito vasta de produtos, que podem ir de um simples term´ ometro at´ e uma Ressonˆ ancia Magn´ etica.

Segundo o estudo da Acmite Market Intelligence, [16], os DM apresentam um crescimento anual de 6 a 9%, sendo este um mercado que movimenta muitos milh˜ oes de euros na Europa.

A marca¸c˜ ao CE d´ a-nos a garantia de que um produto est´ a de acordo com a legisla¸c˜ ao da Uni˜ ao Europeia, pois esta marca¸c˜ ao permite que o produto circule de forma segura no mercado Europeu.

Para um DM ostentar a marca¸c˜ ao CE deve estar em conformidade com os re- quisitos legais que fazem parte integrante do Decreto-Lei n.

145/2009. Para tal, deve ser submetido junto do Organismo Notificado (INFARMED) a uma avalia¸c˜ ao de conformidade. Para essa avalia¸c˜ ao, o fabricante tem de elaborar uma declara¸c˜ ao CE de Conformidade com a respetiva documenta¸c˜ ao t´ ecnica [17].

2.1 Dispositivos M´ edicos

O Artigo 3.

do Decreto-Lei 145/2009, que transp˜ oe internamente as Diretivas Euro-

peias sobre Dispositivos M´ edicos, define como dispositivo m´ edico “qualquer instru-

mento, aparelho, equipamento, software, material ou artigo utilizado isoladamente

ou em combina¸ c˜ ao, incluindo o software destinado pelo seu fabricante a ser utilizado

especificamente para fins de diagn´ ostico ou terapˆ euticos e que seja necess´ ario para o

bom funcionamento do dispositivo m´ edico, cujo principal efeito pretendido no corpo

12 Cap´ ıtulo 2. Marca¸ c˜ ao CE de Dispositivos M´ edicos

humano n˜ ao seja alcan¸ cado por meios farmacol´ ogicos, imunol´ ogicos ou metab´ olicos, embora a sua fun¸ c˜ ao possa ser apoiada por esses meios, destinado pelo fabricante a ser utilizado em seres humanos ” .

O artigo anterior define tamb´ em os fins dos dispositivos m´ edicos, que s˜ ao:

i) “Diagn´ ostico, preven¸ c˜ ao, controlo, tratamento ou atenua¸ c˜ ao de uma doen¸ ca;”

ii) “Diagn´ ostico, controlo, tratamento, atenua¸ c˜ ao ou compensa¸ c˜ ao de uma les˜ ao ou de uma deficiˆ encia;”

iii) “Estudo, substitui¸ c˜ ao ou altera¸ c˜ ao da anatomia ou de um processo fisiol´ ogico;”

iv) “Controlo da concep¸ c˜ ao.”

Uma outra defini¸c˜ ao a considerar para este trabalho ´ e a de Dispositivo m´ edico ativo, que se define como: “qualquer dispositivo m´ edico cujo funcionamento depende de uma fonte de energia el´ ectrica, ou outra n˜ ao gerada directamente pelo corpo humano ou pela gravidade, e que actua por convers˜ ao dessa energia, n˜ ao sendo con- siderados como tal os dispositivos destinados a transmitir energia, substˆ ancias ou outros elementos entre um dispositivo m´ edico activo e o doente, sem qualquer modi- fica¸ c˜ ao significativa e sendo que o software, por si s´ o, ´ e considerado um dispositivo m´ edico activo;” [17].

Nos Estados Unidos da Am´ erica, a Food and Drug Administration (FDA) ´ e a entidade que regula os dispositivos m´ edicos, segundo Diretivas pr´ oprias como a FD&C Act.

Uma defini¸c˜ ao de Dispositivos M´ edicos segundo essa Diretiva ´ e:

A medical device is an instrument, apparatus, implement, machine, contrivance, implant, in vitro reagent, or other similar or related article, including a component part, or accessory which is:

• recognized in the official National Formulary, or the United States Pharmaco- poeia, or any supplement to them,

• intended for use in the diagnosis of disease or other conditions, or in the cure, mitigation, treatment, or prevention of disease, in man or other animals, or

• intended to affect the structure or any function of the body of man or other

animals, and which does not achieve any of it’s primary intended purposes

through chemical action within or on the body of man or other animals and

2.1. Dispositivos M´ edicos 13

which is not dependent upon being metabolized for the achievement of any of its primary intended purposes. Pode ser consultada no site da FDA.

2.1.1 Classifica¸ c˜ ao

N˜ ao ´ e comercialmente vi´ avel submeter todos os dispositivos m´ edicos a procedimentos de avalia¸c˜ ao muito rigorosos, ´ e mais vi´ avel dividir em grupos e submeter cada grupo aos testes mais adequados.

Para assegurar que a avalia¸c˜ ao ´ e bem feita o fabricante deve ser capaz de deter- minar a classifica¸c˜ ao do dispositivo do modo mais preliminar poss´ıvel [18]. Desta feita foi acordada a cria¸c˜ ao de um sistema de classes, para que cada fabricante possa classificar os seus dispositivos.

A classifica¸c˜ ao ´ e baseada no risco que tem por base a vulnerabilidade do corpo humano, tendo em conta os potenciais riscos associados ao pr´ oprio dispositivo [19].

Desta abordagem surgem alguns crit´ erios que combinados permitem a classifica¸c˜ ao dos dispositivos.

Os dispositivos m´ edicos podem ser classificados de v´ arias formas, sendo que, a determina¸c˜ ao da classe do dispositivo ´ e preponderante para a marca¸c˜ ao CE. ´ E com base neste t´ opico que vai assentar todo processo [17]. O sistema de classifica¸c˜ ao geral proposto pela Diretiva Europeia 93/42/EEC e pelo Decreto-Lei 145/2009 est´ a representado na tabela 2.1.

Tab. 2.1: Sistema de classifica¸ c˜ ao de Dispositivos M´ edicos.

Classe N´ıvel de Risco Exemplo

A Baixo Term´ ometro

C Baixo-Moderado Ressonˆ ancia Magn´ etica C Moderado-Alto Sacos de sangue

D Alto V´ alvula Cardiaca

De seguida os n´ıveis de requisitos regulamentares que aumentam a classe de risco.

• sistema da qualidade;

• dados t´ ecnicos;

• testes ao produto;

1

http://www.fda.gov/MedicalDevices/DeviceRegulationandGuidance/Overview/

ClassifyYourDevice/ucm051512.htm

14 Cap´ ıtulo 2. Marca¸ c˜ ao CE de Dispositivos M´ edicos

• evidˆ encia cl´ınica;

• auditoria externa independente;

• revis˜ ao externa independente dos dados t´ ecnicos.

A classifica¸c˜ ao tem como base os potenciais riscos que pode causar ao ser humano e depende de alega¸c˜ oes feitas pelo fabricante e aplica¸c˜ ao pretendida. De acordo com o Artigo 4

do Decreto - Lei 145/2009, est´ a dividida em 4 classes [20, 18]:

• Classe I;

• Classe IIa;

• Classe IIb;

• Classe III.

A classifica¸c˜ ao ´ e obtida atrav´ es da aplica¸c˜ ao de 18 regras que s˜ ao definidas pelo Decreto-Lei 145/2009. As regras est˜ ao subdivididas em 4 grupos: Dispositivos n˜ ao invasivos, Dispositivos Invasivos, Dispositivos activos e Dispositivos especiais [18].

A classifica¸c˜ ao dos dispositivos m´ edicos est´ a relacionada com v´ arios factores deter- minantes:

• a dura¸c˜ ao de contato com o corpo;

• invasibilidade (invasivo, n˜ ao invasivo);

• ´ area do corpo afetada;

• riscos da conce¸c˜ ao t´ ecnica e de fabrico;

• fim a que se destina [19, 17].

E aceit´ ´ avel dizer-se que as normas existentes em alguns casos s˜ ao inadequadas para a classifica¸c˜ ao dos dispositivos. Estes casos incluem em especial os casos lim´ı- trofes entre as duas classes. Para al´ em destes podem existir dispositivos de natureza incomum, isto ´ e, n˜ ao tipificados.

Para uma boa classifica¸c˜ ao o fabricante deve proceder de acordo com os quatro pontos seguintes.

• o produto ´ e realmente um dispositivo m´ edico;

2.2. Marca¸ c˜ ao CE 15

• documenta¸c˜ ao espec´ıfica do produto;

• aplica¸c˜ ao de todas as regras, optando pela classifica¸c˜ ao mais elevada;

• verificar a aplica¸c˜ ao de regras nacionais espec´ıficas [19].

2.2 Marca¸ c˜ ao CE

O grande crescimento de produtos ligados ` a tecnologia m´ edica e as inconsistˆ encias legais no mercado Europeu levaram a que a Uni˜ ao Europeia adoptasse a “nova abor- dagem” na harmoniza¸c˜ ao t´ ecnica, descrita na Resolu¸ c˜ ao do Conselho 85/C136/01, de 7 de Maio de 1985. Esta abordagem introduziu um conjunto de normas comuns a toda a Uni˜ ao. Os fabricantes disp˜ oem assim de um mercado ´ unico, permitindo a livre circula¸c˜ ao dos produtos. Anteriormente a esta nova abordagem, as principais barreiras eram as leis nacionais e normas associadas ` a seguran¸ca dos produtos [21].

Os estados membros foram obrigados a harmonizar as suas regulamenta¸c˜ oes de acordo com as regulamenta¸c˜ oes comunit´ arias, sendo esta mudan¸ca apelidada de

“nova abordagem” . Com ela os Estados designaram Autoridades Competentes que por sua vez designaram Organismos Notificados. Essencialmente a“nova abordagem”

obriga a que as Diretivas contenham requisitos essenciais que os produtos devem respeitar [21].

Nem todos os produtos que circulam no mercado Europeu tˆ em de ostentar a Mar- ca¸c˜ ao CE esta s´ o ´ e obrigat´ oria para produtos que pertencem a categorias abrangidas por Diretivas espec´ıficas. Os Dispositivos m´ edicos pertencem a esta categoria, como nos dizem as Diretivas 93/42/EEC e 2007/47/CE, transpostas para o Decreto-Lei 145 de 2009 [22].

A Marca¸c˜ ao CE n˜ ao ´ e uma marca atribu´ıda a produtos fabricados na Europa, mas sim a um produto que est´ a em conformidade com as normas impostas pela Comunidade Europeia e respeita todas as disposi¸c˜ oes legais. Significa isto que o fabricante comprovou perante o ON (Organismo Notificado) os requisitos essencias das diretivas aplic´ aveis.

O processo de Marca¸c˜ ao CE ´ e da total responsabilidade do fabricante, que deve fazer a avalia¸c˜ ao da conformidade, elabora¸c˜ ao da ficha t´ ecnica, emiss˜ ao da declara¸c˜ ao CE de conformidade e aposi¸c˜ ao da marca¸c˜ ao CE no produto. J´ a os distribuidores tˆ em de provar a existˆ encia da marca¸c˜ ao CE com a documenta¸c˜ ao de apoio.

Existem procedimentos que tˆ em de ser cumpridos independentemente do pro-

duto, podendo dividir-se em 6 passos, como se pode ver na Figura 2.1, os quais

16 Cap´ ıtulo 2. Marca¸ c˜ ao CE de Dispositivos M´ edicos

ser˜ ao posteriormente explicados.

Fig. 2.1: Passos gerais para a marca¸ c˜ ao CE

[23]

1. Identificar as diretivas aplic´ aveis

Existem aproximadamente 20 diretivas que definem as categorias dos produtos que devem ter Marca¸c˜ ao CE. No caso dos dispositivos m´ edicos essa diretiva

´

e a 93/42/EEC, que sofreu ao longo dos anos v´ arias modifica¸c˜ oes. A ´ ultima vers˜ ao pode ser consultada na diretiva 2007/47/EC ou no site da ec.europa

. Posteriormente, as diretivas publicadas como normas europeias harmonizadas baseadas nas diretivas, onde s˜ ao especificados tecnicamente os requisitos es- senciais

.

2. Identificar a aplicabilidade dos requisitos ao produto

Cada diretiva tem m´ etodos diferentes de conformidade, dependendo da classifi- ca¸c˜ ao dos produtos, por exemplo, as diferentes classes de dispositivos m´ edicos.

Dependendo da classifica¸c˜ ao, cada diretiva tem um n´ umero de requisitos essˆ en- cias que o produto tem de satisfazer. Para se cumprir os requisitos essenciais de uma boa pr´ atica ´ e necess´ ario satisfazer uma norma harmonizada aplic´ avel

. 3. Identifica¸ c˜ ao do Organismo Notificado

3

http://ec.europa.eu/enterprise/policies/european-standards/

harmonised-standards/medical-devices/index en.htm

4

http://www.ce-marking.org/list-of-standards.html

5

http://ec.europa.eu/enterprise/policies/european-standards/harmonised-standards/medical-

devices/index en.htm

2.2. Marca¸ c˜ ao CE 17

Cada diretiva especifica, se for necess´ ario, recorrer a uma terceira entidade autorizada a realizar a avalia¸c˜ ao de conformidade. Para os dispositivos m´ edicos em Portugal, a autoridade competente ´ e o INFARMED o que pode ver-se no site da ec.europa

ec.europa.

4. Avalia¸ c˜ ao da conformidade do produto

Quando todos os requisitos essenciais estiverem definidos, ´ e preciso garantir que s˜ ao cumpridos, bem como todos os requisitos das normas harmonizadas aplic´ aveis e uma avalia¸c˜ ao dos riscos [17].

5. Elabora¸ c˜ ao da documenta¸ c˜ ao t´ ecnica

A documenta¸c˜ ao t´ ecnica relativa ao produto deve abranger todos os aspetos relacionados com a conformidade.

6. Aposi¸ c˜ ao da Marca¸ c˜ ao CE e declara¸ c˜ ao de conformidade

A Marca¸c˜ ao CE tem de ser aposta pelo fabricante ou representante. Por conseguinte cabe ao fabricante elaborar a declara¸c˜ ao CE de conformidade e certificar que os produtos cumprem os requisitos [17].

Estes 6 passos para a marca¸c˜ ao CE, que incorporam de forma direta ou indireta as exigˆ encias da marca¸c˜ ao CE para dispositivos m´ edicos como os da Figura 2.2, s˜ ao temas a abordar nas se¸c˜ oes seguintes.

2.2.1 Diretivas aplic´ aveis

O passo inicial para a marca¸c˜ ao CE ´ e a garantia de que o produto que pretende certificar ´ e abrangido por Diretivas Europeias. Os dispositivos m´ edicos, como seria expect´ avel, est˜ ao abrangidos por um grande n´ umero de legisla¸c˜ ao aplic´ avel. As diretivas que est˜ ao diretamente relacionada com a marca¸c˜ ao CE de dispositivos m´ edicos s˜ ao:

• Diretiva n.

90/385/CEE, de 20 de Junho, relativa a Dispositivos M´ edicos Implant´ aveis Activos.

• Diretiva n.

93/42/CEE, de 14 de Junho, relativa a Dispositivos M´ edicos.

• Diretiva n.

98/79/CE, de 27 de Outubro de 1998, relativa aos Dispositivos M´ edicos para Diagn´ ostico In Vitro.

6

http://ec.europa.eu/ent

18 Cap´ ıtulo 2. Marca¸ c˜ ao CE de Dispositivos M´ edicos

Fig. 2.2: Exigˆ encia da marca¸ c˜ ao CE para dispositivos m´ edicos

• Diretiva n.

2000/70/CE, de 16 de Novembro, relativa a Dispositivos M´ edicos que incorporam na sua composi¸c˜ ao derivados est´ aveis do sangue e plasma humanos.

• Diretiva n.

2003/32/CE, de 23 de Abril, que introduz especifica¸c˜ oes porme- norizadas relativamente aos requisitos estabelecidos na Diretiva 93/42/CEE na sua actual reda¸c˜ ao, no que diz respeito a dispositivos m´ edicos fabricados mediante a utiliza¸c˜ ao de tecidos de origem animal.

• Diretiva n.

2007/47/CE, de 5 de Setembro, que altera a Diretiva n.

90/385/CE e Diretiva 93/42/CEE.

• Decreto-Lei n

145/2009, de 17 de Junho: este decreto-lei estabelece as regras a que devem obedecer a investiga¸c˜ ao, o fabrico, a comercializa¸c˜ ao, a entrada em servi¸co, a vigilˆ ancia e a publicidade dos dispositivos m´ edicos e respetivos acess´ orios. Este decreto-lei transp˜ oe para a lei interna a diretiva 2007/47/CE, 90/385/CEE, 93/42/CEE, 2000/70/CE, 2003/32/CE [17].

Como j´ a foi referido, o Decreto-Lei n

145 de 2009 tem com principal objetivo

transpor para a ordem jur´ıdica interna a Diretiva n

2007/47/CE, do Parlamento Eu-

ropeu e do conselho, de 5 de Setembro de 2007, alterando a Diretiva n

93/42/CEE

2.2. Marca¸ c˜ ao CE 19

relativa aos dispositivos m´ edicos e assegurando a coerˆ encia legislativa entre as Dire- tivas 93/42/CEE e 90/885/CEE.

Estabelece que a Autoridade Competente deve ser notificada do exerc´ıcio da ati- vidade de fabrico e distribui¸c˜ ao por grosso de dispositivos m´ edicos, que o fabricante deve dispor de um respons´ avel t´ ecnico que tem como principal fun¸c˜ ao assegurar a qualidade das atividades desenvolvidas, bem como a manuten¸c˜ ao dos requisitos de seguran¸ca e desempenho dos Dispositivos M´ edicos.

Est´ a dividido em 18 cap´ıtulos com um total de 20 anexos, em que os mais rele- vantes para a este trabalho s˜ ao os anexos de I a IX [17].

Depois de identificadas as Diretivas, deve verificar-se se o produto est´ a de acordo com a defini¸c˜ ao de dispositivo m´ edico, de acordo com o Artigo n

3 do Decreto-Lei 145 de 2009 ou com o Artigo n

1 da Diretiva 93/42/CEE. ´ E necess´ ario verificar se o dispositivo est´ a abrangido pelas Diretivas 90/385/CEE e 98/79/CE. Cumpridas estas tarefas, conclui-se que a Diretiva 93/42/CEE ´ e aplic´ avel e pode avan¸car para a segunda fase.

2.2.2 Requisitos espec´ıficos do produto

Este segundo passo ´ e de extrema relevˆ ancia para o processo da marca¸c˜ ao CE, pois para a obten¸c˜ ao da marca¸c˜ ao os dispositivos m´ edicos tˆ em de cumprir todos os re- quisitos aplic´ aveis, que se encontram no Anexo A.1, sendo estes baseados no Anexo I do Decreto-Lei 145 de 2009 e fornecidos pelo INFARMED para os dispositivos m´ edicos. Estes requisitos destinam-se a proporcionar um bom n´ıvel de seguran¸ca aos dispositivos m´ edicos.

No entanto, o fabricante tem de estar atento a outras Diretivas, pois existem casos onde se aplica mais do que uma diretiva.

Os requisitos tˆ em como principal objetivo definir os resultados a atingir. Os fabricantes, para os alcan¸carem, ter˜ ao de recorrer a solu¸c˜ oes t´ ecnicas que n˜ ao s˜ ao especificadas pela diretiva [17]. Esta flexibilidade tem como finalidade permitir que os fabricantes escolham o m´ etodo mais recente e que melhor se adequa ` a obten¸c˜ ao da conformidade.

Os dispositivos devem ser produzidos de tal modo que, quando usados em con- di¸c˜ oes normais, eles cumpram o seu objetivo e que n˜ ao coloquem em risco os seus utilizadores. As solu¸c˜ oes adoptadas pelo fabricante na concep¸c˜ ao devem respeitar os requisitos juntamente com o estado da arte.

Aquando da elabora¸c˜ ao dos requisitos, se se identificar que o risco ´ e elevado, o

20 Cap´ ıtulo 2. Marca¸ c˜ ao CE de Dispositivos M´ edicos

fabricante deve aplicar os seguintes princ´ıpios pela ordem indicada:

• Identificar os perigos conhecidos ou previs´ıveis e estimar o risco associado;

• Eliminar os riscos na medida do razo´ avel atrav´ es de uma concep¸ c˜ ao segura;

• Reduzir tanto quanto poss´ıvel os riscos e tomar medidas de protec¸ c˜ ao, por exemplo alarmes;

• Informar os utilizadores dos riscos associados [24].

2.2.3 Organismo Notificado

O Organismo Notificado (ON) ´ e uma entidade ligada ao Estado-Membro que tem como fun¸c˜ ao efetuar a avalia¸c˜ ao da conformidade de dispositivos m´ edicos com o objetivo da marca¸c˜ ao CE. O Organismo Notificado ´ e respons´ avel por:

- Efetuar os procedimentos de avalia¸c˜ ao da comformidade dos dispositivos m´ e- dicos, no quadro da legisla¸c˜ ao nacional e comunit´ aria;

- Autorizar a aposi¸c˜ ao da marca¸c˜ ao CE dos dispositivos m´ edicos;

- Emitir os certificados CE de conformidade dos dispositivos m´ edicos;

- Assegurar que o fabricante cumpre corretamente com as obriga¸c˜ oes decorrentes do sistema de qualiade aprovado.

Segundo o Decreto-Lei n

145/2009, a defini¸c˜ ao de Organismo Notificado ´ e: o organismo designado para avaliar e verificar a conformidade dos dispositivos com os requisitos exigidos no presente decreto-lei, bem como aprovar, emitir e manter os certificados de conformidade.

No Artigo 22.

do Decreto-Lei n

145/2009 s˜ ao designados os deveres do Orga- nismo Notificado, que passam por analisar a documenta¸c˜ ao da concep¸c˜ ao a fim de garantir que o fabricante do dispositivo m´ edico est´ a a cumprir todas as disposi¸c˜ oes aplic´ aveis. Esta an´ alise deve ser t˜ ao mais cuidadosa quanto maior for a classe de risco do dispositivo[17].

Depois da sele¸c˜ ao deste organismo para a avalia¸c˜ ao de conformidade, deve ser enviada toda a documenta¸c˜ ao que ´ e referida no Decreto-Lei n

145/2009.

O Organismo Notificado avaliar´ a toda a documenta¸c˜ ao enviada, far´ a uma audito-

ria ` as instala¸c˜ oes do fabricante, ensair´ a o produto e, por fim, elaborar´ a um relat´ orio

2.2. Marca¸ c˜ ao CE 21

da avalia¸c˜ ao. Caso o parecer seja positivo, ser´ a emitido um certificado CE de con- formidade, que tem um acompanhamento anual pelo Organismo Notificado. Ap´ os a realiza¸c˜ ao da auditoria e caso sejam detetadas n˜ ao conformidades cr´ıticas, o ON aguarda pela sua resolu¸c˜ ao e posteriormente emitir´ a o certificado CE de conformi- dade.

2.2.4 Avalia¸ c˜ ao da conformidade

Os dispositivos m´ edicos s˜ ao abrangidos pelo diretiva 93/42/CEE, na sua atual reda-

¸c˜ ao, transposta para o direito interno pelo Decreto-Lei n

145/2009 de 17 de Junho.

Para a avalia¸c˜ ao da conformidade o fabricante pode escolher um dos procedimentos de avalia¸c˜ ao previstos no Artigo 8

e descritos nos anexos II a VIII do Decreto-Lei n

145/2009 de 17 de Junho.

Para a marca¸c˜ ao de dispositivos de classe I, a aposi¸c˜ ao da marca¸c˜ ao CE ´ e da total responsabilidade do fabricante, sendo este obrigado a elaborar uma declara¸c˜ ao de conformidade, notificar a autoridade competente, e sujeitar-se a fiscaliza¸c˜ ao por parte da referida autoridade.

Para os dispositivos de classes IIa, IIb e III o fabricante deve escolher o orga- nismo notificado para a interven¸c˜ ao, que ´ e obrigat´ oria, ao qual deve ser dirigido um pedido de avalia¸c˜ ao da conformidade. O organismo, perante a avalia¸c˜ ao, emite um certificado de conformidade.

De acordo com o Decreto-Lei n

145/2009, os fabricantes de dispositivos m´ edicos de classe I devem proceder de acordo com o Anexo VII - Declara¸ c˜ ao CE de confor- midade, como descrito na al´ınea d) do Artigo 8

. No Anexo VII s˜ ao descritas as obriga¸c˜ oes do fabricante ou do mandat´ ario, que passam por assegurar e declarar que os produtos em quest˜ ao satisfazem as disposi¸c˜ oes do Decreto-Lei n

145/2009 que lhes s˜ ao aplic´ aveis. O procedimento de avalia¸c˜ ao descrito no Anexo VII-Declara¸ c˜ ao CE de Conformidade pode ser conjugado com um dos procedimentos de avalia-

¸c˜ ao de conformidade descritos no anexo V-Garantia da Qualidade da Produ¸ c˜ ao ou VI-Garantia da Qualidade dos Produtos, tendo em conta a natureza do dispositivo m´ edico, com fun¸c˜ ao de medi¸c˜ ao ou est´ eril [17].

O fabricante deve elaborar a documenta¸c˜ ao t´ ecnica sobre a qual ser´ a feita a

avalia¸c˜ ao da conformidade do produto com as exigˆ encias do Decreto-Lei n

145/2009,

designadamente: uma descri¸c˜ ao geral do produto; desenhos de concep¸c˜ ao e descri¸c˜ ao

dos m´ etodos de fabrico; resultados da an´ alise de risco, bem como uma lista de normas

harmonizadas cujas referˆ encias tenham sido publicadas no Jornal Oficial da Uni˜ ao

22 Cap´ ıtulo 2. Marca¸ c˜ ao CE de Dispositivos M´ edicos

Europeia; e os resultados dos c´ alculos da concep¸c˜ ao, e das inspe¸c˜ oes efetuadas, entre outros.

2.2.5 Documenta¸ c˜ ao t´ ecnica

A documenta¸c˜ ao t´ ecnica deve ser elaborada pelo fabricante do Dispositivo M´ edico e tem como finalidade demonstrar a conformidade dos dispositivos m´ edicos com os requisitos essenciais que lhes s˜ ao aplic´ aveis.

A descri¸c˜ ao dos requisitos essenciais encontra-se no Anexo I do Decreto-Lei 145/2009, que diz o seguinte: Os dispositivos devem ser concebidos e fabricados por forma que a sua utiliza¸ c˜ ao n˜ ao comprometa o estado cl´ınico nem a seguran¸ ca dos do- entes, nem, ainda, a seguran¸ ca e a sa´ ude dos utilizadores ou, eventualmente, de ter- ceiros, quando sejam utilizados nas condi¸ c˜ oes e para os fins previstos, considerando- se que os eventuais riscos associados ` a utiliza¸ c˜ ao a que se destinam constituem riscos aceit´ aveis quando comparados com o benef´ıcio proporcionado aos doentes e s˜ ao compat´ıveis com um elevado grau de prote¸ c˜ ao da sa´ ude e da seguran¸ ca.

Para dar cumprimento aos requisitos essenciais foi utilizada uma tabela dis- ponibilizada pelo INFARMED, que se enquadra com as exigˆ encias do Decreto-Lei 145/2009 e que pode ser consultada no Anexo A.1.

Para al´ em dos requisitos essenciais, o requerente, depois de escolher um procedi- mento de avalia¸c˜ ao de conformidade previsto na diretiva, deve preencher o modelo de Requerimento para Avalia¸ c˜ ao da Conformidade, juntamente com toda a documen- ta¸c˜ ao t´ ecnico cient´ıfica necess´ aria para a avalia¸c˜ ao da conformidade. O fabricante deve manter c´ opias da documenta¸c˜ ao por um per´ıodo de 5 anos.

2.2.6 Aposi¸ c˜ ao da Marca¸ c˜ ao CE e declara¸ c˜ ao de conformidade

A ´ ultima fase da marca¸c˜ ao CE ´ e a coloca¸c˜ ao no mercado do produto [17]. Para esta fase ser bem sucedida, todos os processos anteriores tˆ em de ser cumpridos com sucesso. Imediatamente antes da coloca¸c˜ ao no mercado ocorre a aposi¸c˜ ao e declara¸c˜ ao de conformidade.

A Declara¸c˜ ao de Conformidade ´ e o documento que o fabricante apresenta pe-

rante o Organismo Notificado, no qual onde declara que mant´ em um sistema de

qualidade adequado para a produ¸c˜ ao de dispositivos m´ edicos. Garante ainda que os

dispositivos m´ edicos est˜ ao em conformidade com os requisitos essenciais presentes

2.2. Marca¸ c˜ ao CE 23

Fig. 2.3: Marca CE [1]

na diretiva que lhe ´ e aplic´ avel.

Neste documento, como se pode ver no Anexo A.2, tˆ em de constar algumas informa¸c˜ oes do fabricante, juntamente com informa¸c˜ oes referentes aos produtos, tais como classe do produto e normas aplicadas no processo de certifica¸c˜ ao.

Para a aposi¸c˜ ao da marca¸c˜ ao CE num dispositivo m´ edico, Figura 2.3, ´ e neces- s´ ario que esteja em conformidade com os requisitos essenciais. Ap´ os esta fase e se todo o processo est´ a conforme, o Organismo Notificado atribui a marca¸c˜ ao CE ao dispositivo.

De forma a resumir este Cap´ıtulo, pode ver-se no Anexo A.9 um fluxograma dos procedimentos de avalia¸c˜ ao de conformidade para marca¸c˜ ao CE de todas as classes de dispositivos m´ edicos, previstos na Diretiva 93/42/CE, o qual pode ser consultado no anexo 8 do Guia Nova Abordagem [1].

2.2.7 Qualidade em Sa´ ude

Depois de analisar os requisitos do Decreto-Lei 145/2009 conclui-se que, para a aposi¸c˜ ao de marca¸c˜ ao CE, os dispositivos m´ edicos de classe I devem estar de acordo com a conjuga¸c˜ ao dos anexos V,VI e VII. Tal conjuga¸c˜ ao leva ` a implementa¸c˜ ao de um sistema de qualidade.

Os sistemas da qualidade em sa´ ude s˜ ao implementados normalmente pelas nor- mas NP EN ISO 9001:2008 ou EN ISO 13485:2003 [25, 26]. Esta se¸c˜ ao tem como finalidade dar uma vis˜ ao geral da normas focando o sistema de concep¸c˜ ao da NP EN ISO 9001:2008.

A qualidade ´ e definida pela NP EN ISO 9000:2005 como sendo “grau de satisfa¸ c˜ ao

de requisitos dado por um conjunto de carater´ısticas intr´ınsecas” [27].

24 Cap´ ıtulo 2. Marca¸ c˜ ao CE de Dispositivos M´ edicos

Fig. 2.4: Esquema do modelo da gest˜ ao da qualidade baseado em processos [27].

NP EN ISO 9001:2008

Com a implementa¸c˜ ao desta norma as organiza¸c˜ oes definem um sistema de qualidade em que tˆ em de mostrar aptid˜ ao para proporcionar produtos que v˜ ao ao encontro dos requisitos do cliente e regulamenta¸c˜ oes aplic´ aveis. Implementa ainda uma vis˜ ao focada no cliente, incluindo processos para uma melhoria cont´ınua do sistema.

Esta norma internacional implementa uma abordagem por processos. Uma das vantagem desta abordagem “´ e o controlo passo-a-passo que proporciona sobre a in- terliga¸ c˜ ao dos processos individuais dentro do sistema de processos, bem como sobre a sua combina¸ c˜ ao e intera¸ c˜ ao” [27].

Pode ver-se na Figura 2.4 um modelo de um sistema de gest˜ ao da qualidade baseado em processos.

Um dos processos do sistema da qualidade mais relevantes para este trabalho ´ e o processo de concep¸c˜ ao, que pode ser consultado no Anexo A.6. Esse processo ´ e apresentado na cl´ ausula 7.3 da norma ISO 9001:2008, onde s˜ ao descritos os requisi- tos.

O processo est´ a dividido em 4 fases Especifica¸c˜ ao para o projeto, Conce¸c˜ ao Ini- cial, 1

Fornecimento e Lan¸camento, sendo tamb´ em descritas as entradas e quais as sa´ıdas.

Este processo ´ e referido porque ´ e a base de toda a conce¸c˜ ao de qualquer produto

de uma empresa certificada pelo norma 9001:2008.

2.2. Marca¸ c˜ ao CE 25

EN ISO 13485:2003

A norma ISO 13485:2003 tem como finalidade especificar os requisitos para o sis- tema da gest˜ ao da qualidade nas ´ areas de concep¸c˜ ao e desenvolvimento, produ¸c˜ ao, instala¸c˜ ao e assistˆ encia t´ ecnica de dispositivos m´ edicos [28].

Auxilia na harmoniza¸c˜ ao da regulamenta¸c˜ ao mundial de dispositivos m´ edicos.

Tem como base a norma ISO 9001, com algumas modifica¸c˜ oes, e requisitos espec´ıficos

para dispositivos m´ edicos.

Cap´ıtulo 3

Seguran¸ca em Software

O problema da seguran¸ca inform´ atica surgiu muito antes da expans˜ ao da internet [29, 30]. O estudo da seguran¸ca inform´ atica foi crescendo e foram surgindo conceitos e mecanismos basilares, tais como princ´ıpios do projeto de sistemas seguros, controlo de acesso, seguran¸ca multin´ıvel, modelos de seguran¸ca, n´ ucleos de seguran¸ca, entre outros.

Com a grande expans˜ ao da internet, a seguran¸ca de computadores e de redes torna-se indispens´ avel [29].

As principais raz˜ oes para a inseguran¸ca na internet devem-se a um n´ umero enorme de potenciais v´ıtimas que ficou exposta na rede ` a invisibilidade e ao anoni- mato que a internet proporciona aos atacantes. Para colmatar esta exposi¸c˜ ao dos utilizadores a poss´ıveis, ataques surgiram mecanismos que permitem aumentar a seguran¸ca tais como: comunica¸c˜ ao segura, firewalls, detetores de intrus˜ ao e chaves criptogr´ aficas.

Hoje sabe-se que grande parte dos problemas de seguran¸ca existente no software est˜ ao relacionados com a vulnerabilidade do software, isto ´ e, com erros de projecto que o deixam sujeito ao ataque de piratas inform´ aticos [29, 31].

A seguran¸ca ´ e baseada fundamentalmente em trˆ es conceitos conhecidos como AIC triad, como pode ver-se na Figura 3.1 [32].

• Confidencialidade ´ e caraterizada como a ausˆ encia da divulga¸c˜ ao n˜ ao auto- rizada de informa¸c˜ ao [33, 32]. Sempre que h´ a uma liberta¸c˜ ao n˜ ao intencional de informa¸c˜ ao o sigilo ´ e perdido.

• Integridade significa que os dados n˜ ao s˜ ao modificados ou alterados sem

autoriza¸c˜ ao pr´ evia [29]. A integridade deve tamb´ em impedir a altera¸c˜ ao dos

28 Cap´ ıtulo 3. Seguran¸ ca em Software

Fig. 3.1: AIC Triad

dados durante o armazenamento ou quando s˜ ao transmitidos pela rede [32].

• Disponibilidade est´ a relacionada com o acesso confi´ avel e em tempo ´ util aos dados e recursos que se tem autoriza¸c˜ ao para usar. Um exemplo de perda de disponibilidade ´ e um ataque DoS, que n˜ ao d´ a acesso ao criminoso mas impede a utiliza¸c˜ ao normal do sistema [32].

A avalia¸c˜ ao de risco ´ e um processo de extrema importˆ ancia para as organiza¸c˜ oes, permitindo identificar e dar prioridade a riscos inerentes ao neg´ ocio. Esta avalia¸c˜ ao vai permitir projetar uma boa pol´ıtica de seguran¸ca e procedimentos para defender os pontos fracos da empresa, protegendo assim os seus ativos [32].

A identifica¸c˜ ao de risco tem como objetivo reduzir o risco a que a organiza¸c˜ ao est´ a sujeita. Mas esta diminui¸c˜ ao ter´ a um custo que tem de ser medido e n˜ ao faz sentido gastar-se milhares de euros a proteger um computador pessoal, no entanto ser´ a l´ ogico proteger, ao mais alto n´ıvel, um software onde as falhas de seguran¸ca levam a perda de utilizadores e consequentemente de dinheiro [29].

A gest˜ ao de risco tem como finalidade avaliar as amea¸cas que uma organiza¸c˜ ao enfrenta. Tem de ser capaz de identificar e analisar as vulnerabilidades para saber como lidar com o risco. Alguns dos processos mais importantes da gest˜ ao de risco passam por nomear uma equipa de gest˜ ao de risco, identificar as vulnerabilidades e determinar medidas para colmatar os riscos encontrados [32]. Os conceitos de amea¸ca, vulnerabilidade e controlo s˜ ao importantes para se efetuar uma boa an´ alise de risco.

• Amea¸ ca ´ e um acontecimento natural ou induzido que poder´ a ter algum tipo

de impacto na organiza¸c˜ ao.

3.1. Seguran¸ ca de Aplica¸ c˜ oes WEB 29

• Vulnerabilidade ´ e um defeito do sistema relevante para efeitos de seguran¸ca, que pode ser explorada por um atacante para subverter a pol´ıtica de segu- ran¸ca. Existem v´ arios tipos de vulnerabilidades de projeto, de codifica¸c˜ ao e operacional.

• Controlos s˜ ao mecanismos para regular ou reduzir as vulnerabilidades.

3.1 Seguran¸ ca de Aplica¸ c˜ oes WEB

A World Wide Web (WWW) surgiu por volta dos anos 90 no CERN, na Su´ı¸ca, e desde ent˜ ao aumentou exponencialmente tanto ao n´ıvel de aplica¸c˜ oes como vulnera- bilidades [34, 35].

A internet ´ e um sistema cliente-servidor, no qual os servidores contˆ em dados multim´ edia que podem ser acedidos atrav´ es do browser. O sistema evoluiu com o passar dos anos, passando de uma simples representa¸c˜ ao de HTML para aquilo que hoje em dia se chama de aplica¸c˜ oes web. Estas aplica¸c˜ oes recorrem a diversas tecnologias que oferecem um comportamento altamente dinˆ amico.

Do lado do cliente ´ e usado um browser, como por exemplo o Mozilla Firefox, e do lado do servidor ´ e usado um servidor web, como por exemplo o Apache. Do lado do Cliente, as tecnologias presentes s˜ ao o HTML o JavaScript, Ajax, entre outras, enquanto que no lado do servidor temos o PHP, JSP, entre outras, ver Figura 3.2.

Fig. 3.2: Arquitetura web [29].

Com a conjuga¸c˜ ao de in´ umeras tecnologias aumenta a probabilidade de vulne- rabilidades. Para tentar diminuir essas falhas ´ e importante conhecer minimamente as mais perigosas e mais usadas nos dias de hoje. Em seguida apresentam-se um resumo das 10 principais vulnerabilidades e uma breve explica¸c˜ ao de cada uma delas.

A Open Web Application Security Project (OWASP) ´ e uma organiza¸c˜ ao que

visa melhorar a seguran¸ca do software. Tem vindo a acompanhar a evolu¸c˜ ao das

vulnerabilidades ao longo do tempo e publica periodicamente a sua vis˜ ao sobre o

assunto [36]. Existem outras organiza¸c˜ oes que tamb´ em fazem a avalia¸c˜ ao dessas

30 Cap´ ıtulo 3. Seguran¸ ca em Software

vulnerabilidades tais como a Web Application Security Consortium (WASC), no entanto ´ e apresentada a metodologia da OWASP, mais propriemente a OWASP Top 10 [37].

Relativamente ` as vulnerabilidades que constam nesta lista, foram tidos em conta o n´ıvel de amea¸ca, grau de vulnerabilidade, impacto e dete¸c˜ ao. Os n´ıveis de amea¸ca s˜ ao medidos de acordo com a Tabela 3.1.

Tab. 3.1: Escala usada no Top 10 das vulnerabilidades[37].

Fatores Escala

Dificuldade de ataque F´ acil, M´ edio, Dif´ıcil

Grau de vulnerabilidade Bastante comum, comum, incomum Detectabilidade da vulnerabilidade F´ acil, M´ edia, Dif´ıcil

Impacto t´ ecnico Severo, Moderado, Menor

O Top 10 ´ e composto pelas seguintes vulnerabilidades:

1. Inje¸c˜ ao SQL;

2. Cross Site Scripting (XSS);

3. Autentica¸c˜ ao e gest˜ ao de sec¸c˜ oes;

4. Referˆ encia direta a objetos;

5. Cross Site Request Forgery (CSRF);

6. Configura¸c˜ ao insegura;

7. Armazenamento criptogr´ afico inseguro;

8. Falha na restri¸c˜ ao de acesso a URL‘s;

9. Comunica¸c˜ ao insegura;

10. Redireccionamentos n˜ ao validados.

Para cada uma das vulnerabilidades apresentadas ser´ a apresentada uma explica-

¸c˜ ao e como previnir.

3.1. Seguran¸ ca de Aplica¸ c˜ oes WEB 31

Inje¸ c˜ ao SQL

A inje¸c˜ ao pode ser de diversos tipos como SQL, XML, HTML ou mesmo comando do sistema operativo. As injec¸c˜ oes de peda¸cos de c´ odigo podem ser entendidas pelo interpretador e dar acesso a informa¸c˜ ao confidencial a atacantes, sendo a mais perigosa a pr´ opria inje¸c˜ ao de SQL [37, 29].

A preven¸c˜ ao da inje¸c˜ ao passa por prevenir que comandos ou Queries

possam ser contaminados com dados n˜ ao confi´ aveis [29]. Para obter essa prote¸c˜ ao devem ser usadas Application Programming Interface (APIs) seguras que possam evitar que o c´ odigo seja contaminado com dados n˜ ao confi´ aveis.

Uma boa pr´ atica para a prote¸c˜ ao contra ataques deste tipo ´ e codificar os carateres especiais, metacarateres e para ir mais longe pode-se criar uma lista de carateres confi´ aveis [37].

Cross Site Scripting (XSS)

O Cross Site Scripting ´ e um ataque muito perigoso e bastante comum, que permite ao atacante executar um script no browser da v´ıtima, podendo assim copiar dados da sec¸c˜ ao ou redirecionar a v´ıtima para um site malicioso.

Este tipo de ataque pode ser prevenido com a valida¸c˜ ao do input e codifica¸c˜ ao de output. Uma boa pr´ atica para prevenir este ataque passa tamb´ em pela codifica¸c˜ ao de carateres usados [37].

Autentica¸ c˜ ao e gest˜ ao de sec¸ c˜ oes

Este tipo de ataque prende-se com o problema de n˜ ao ser poss´ıvel manter um sess˜ ao ativa entre o servidor e o cliente. Deve-se ao facto do protocolo HTML n˜ ao manter o estado, pois ´ e stateless, em que o servidor n˜ ao relaciona os pedidos efetuados pelo utilizador, abrindo assim possibilidades ao atacante.

Para prevenir este tipo de ataque, a organiza¸c˜ ao deve adaptar um conjunto de boas pr´ aticas que podem ser:

• Utiliza¸c˜ ao de HTTPS nas comunica¸c˜ oes entre o servidor e o cliente.

• Definir um n´ umero m´ aximo de tentativas de autentica¸c˜ ao.

• As credencias devem respeitar um formato que deve ser o mais complexo pos- s´ıvel.

1

Linguagem para pesquisa em base de dados

32 Cap´ ıtulo 3. Seguran¸ ca em Software

• Deve ser exigida re-autentica¸c˜ ao antes de serem efetuadas opera¸c˜ oes que pos- sam por em causa o bom funcionamento do sistema.

• As credencias devem expirar ao fim de um per´ıodo de tempo pr´ edefinido.

• O ficheiro de registo de eventos deve incluir a autentica¸c˜ ao.

• As passwords devem ser encriptadas.

• A sess˜ ao deve ser terminada quando o utilizador faz logout.

• A sess˜ ao deve expirar ap´ os um per´ıodo de inatividade.

Referˆ encia direta a objetos

A vulnerabilidade encontra-se quando uma aplica¸c˜ ao web exp˜ oe objetos que ser˜ ao usados internamente. Isto acontece quando se exp˜ oe referˆ encias diretas via URL, ou no pr´ oprio c´ odigo HTML, como por exemplo passar um vari´ avel por URL que ser´ a utilizada numa pesquisa ` a base de dados.

No caso de ser necess´ ario fazer uma referˆ encia direta a um objeto, essa informa¸c˜ ao deve ser encriptada e deve ser verificado se o utilizador pode aceder ` a informa¸c˜ ao pretendida.

Cross Site Request Forgery (CSRF)

Este tipo de vulnerabilidade est´ a presente em aplica¸c˜ oes web que autenticam o uti- lizador com base em credenciais est´ aticas e persistentes, por exemplo o cookie.

Esta vulnerabilidade pode ser contornada de duas formas a partir da cria¸c˜ ao de um terceiro campo que n˜ ao ´ e guardado junto do cookie, como um n´ umero aleat´ orio;

usando a re-autentica¸c˜ ao aquando de a¸c˜ oes mais cr´ıticas.

Configura¸ c˜ ao insegura

Uma boa seguran¸ca implica uma configura¸c˜ ao segura de todos os componentes que contribuem para a aplica¸c˜ ao, como por exemplo o servidor web, sistema de base de dados, sistema operativo, entre outros.

A preven¸c˜ ao passo por boas pr´ aticas tais como a cria¸c˜ ao de um guia para a

correta manuten¸c˜ ao de todos os sistemas que est˜ ao relacionados com a aplica¸c˜ ao

web.