Nom-024-Ssa3-2010 sistemasece

Recommendations

Info

(Primera Sección) DIARIO OFICIAL Miércoles 8 de septiembre de <strong>2010</strong> CLAVE Funcionalidad Criterios de evaluación 3.2.2 Estándares de intercambio de información a. Debe utilizar el estándar HL7 (Capítulo México) V.3.0 para el intercambio de información. b. Debe intercambiar toda aquella información disponible definida en cada tipo de mensaje del estándar HL7 (Capítulo México) V.3.0. c. Debe realizar el intercambio de información de manera transparente sin intervención del usuario. 3.3 SEGURIDAD 3.3.1 Autenticación a. Debe establecer un número máximo de 3 autenticaciones no exitosas para bloquear la cuenta. 3.3.2 Autorización de entidades b. Debe autenticar a los usuarios, organizaciones, dispositivos u objetos antes de permitir el acceso a la información. c. Debe denegar el acceso y uso de la información del sistema de los Registros Electrónicos de Salud, y la infraestructura que lo soporta, a todos los usuarios, organizaciones, dispositivos u objetos no autorizados, implementando mecanismos de seguridad que garanticen la integridad y confidencialidad de la información. d. Debe autenticar a los usuarios, organizaciones, dispositivos u objetos, usando al menos uno de los siguientes mecanismos de autenticación: nombre del usuario y contraseña, certificado digital o datos biométricos. a. Debe administrar los permisos de control de acceso a la información y a los programas informáticos concedidos a usuarios, organizaciones, instituciones, dispositivos y/o aplicaciones informáticas. b. Debe incluir mecanismos informáticos de seguridad del sistema de expediente con la capacidad de conceder autorizaciones a usuarios, organizaciones, instituciones, dispositivos y/o aplicaciones informáticas. 3.3.3 Control de Acceso a. Debe mantener controles de acceso a nivel de módulos, subsistemas, expedientes, formatos y campos para cada rol de usuario. 3.3.4 Intercambio seguro de datos b. Debe utilizar listas de control de acceso. c. Debe contar con interfaces de usuario restringidas basadas en roles. d. Debe utilizar alguna forma de cifrado en sus comunicaciones. e. Debe contar con protección de puertos de dispositivos y el bloqueo de todos aquellos puertos que no tengan una justificación de uso, tanto en TCP como en UDP. f. Debe contar con una autenticación centralizada adicional a la que se tenga a nivel de equipo de cómputo. g. Debe configurar y aplicar reglas de control de acceso al sistema y a los datos, a nivel de componente, aplicación y usuario, para las organizaciones, dispositivos, objetos y usuarios. a. Debe comunicar y transmitir datos de manera cifrada. b. Debe incorporar al menos un algoritmo de cifrado simétrico y al menos dos longitudes de llave -una de ellas de al menos 128 bits y la otra de longitud superior-, a ser utilizados para cifrar los archivos electrónicos que contienen datos personales antes de su transmisión. Asimismo, deberá incorporar un mecanismo que permita al remitente enviar al destinatario de forma segura la llave de cifrado utilizada. Estos elementos deberán ser usados cuando los sistemas de expedientes clínicos electrónicos se encuentren en ubicaciones físicas diferentes y/o cuando el intercambio sea entre instituciones u organizaciones tanto públicas como privadas. c. Debe, en el caso de la transmisión de datos al interior de la unidad médica utilizar medios seguros de comunicación como puede ser el uso del protocolo HTTPS. d. Debe cifrar en todo evento de comunicación al menos, los datos del paciente. e. Debe utilizar algoritmos y protocolos basados en normas y estándares internacionales para el cifrado de datos para su transmisión.
Miércoles 8 de septiembre de <strong>2010</strong> DIARIO OFICIAL (Primera Sección) CLAVE Funcionalidad Criterios de evaluación 3.3.5 Ruteo Seguro de la Información entre entidades autorizadas 3.3.6 Ratificación de la información 3.3.7 Confidencialidad y privacidad del paciente a. Debe asegurar que la transmisión de información se realice desde y hacia entidades autorizadas, en tiempo y forma, y sobre medios de transmisión seguros. b. Debe mantener actualizadas las listas de entidades autorizadas para el envío y recepción de datos. a. Debe ratificar la autoría de la información que es capturada en cada evento del sistema. b. Debe permitir el reconocimiento de datos ratificados por usuarios u organizaciones diferentes del autor, correctamente identificados y autorizados. c. Se recomienda utilizar mecanismos de identificación electrónica como el medio para la ratificación de contenidos. a. Debe mantener la confidencialidad de la información. b. Debe disociar los datos del paciente para fines de estadística e investigación de conformidad con la Ley de Información Estadística y Geográfica. 3.3.8 Rastros de auditoría a. Debe poder configurar los eventos que serán registrados en el rastro de auditoría. b. Debe registrar los intentos y accesos a los recursos del sistema, incluyendo el registro del usuario, recurso involucrado, la actividad realizada o intentada, y el momento (hora y fecha). c. Debe registrar quién (usuarios, organizaciones, dispositivos u objetos) y cuándo se ha creado, actualizado, traducido, visto, extraído y/o eliminado un expediente o elemento del mismo. d. Debe mantener una bitácora de la información intercambiada entre sistemas registrando el motivo por el cuál se realiza la transmisión, cuándo ocurre (fecha y hora), identificación del origen y del destino, información intercambiada. e. Debe generar reportes configurables de los rastros de auditoría del sistema. f. Debe mantener la integridad de los registros de auditoría. g. Debe controlar el uso de y el acceso a los registros de auditoría conforme a la normatividad aplicable y las políticas institucionales u organizacionales. 3.3.9 Sincronización a. Debe sincronizar la información con el índice nacional de pacientes que para tal fin ponga a su disposición la Secretaría de Salud a través de los medios y mecanismos establecidos por esta última. 3.3.10 Consultas de información del expediente clínico electrónico 3.3.11 Interoperabilidad de los Sistemas Estatales, Nacionales e Institucionales b. Debe sincronizarse en un plazo máximo de 24 horas a partir de la captura de nuevos datos. c. Debe sincronizar sólo la información de pacientes que tengan completos sus datos de identificación. d. Debe apegarse a los mecanismos y estructura de mensajería electrónica que para tal fin publique la Secretaría de Salud. a. Debe permitir consultar datos con fines estadísticos al personal cuyo rol lo requiera. b. Debe generar conjuntos de datos identificados, para emitir reportes para fines de investigación. c. Debe generar una serie completa de datos que constituyen el registro de salud de un individuo dentro del sistema. d. Se recomienda poder generar un reporte de datos con fines administrativos. e. Se recomienda poder generar un reporte con fines financieros. f. Se recomienda poder generar reportes con fines de análisis de calidad. g. Se recomienda poder generar un reporte con fines de salud pública. a. Debe apegarse a los protocolos definidos para interactuar con Sistemas Estatales, Institucionales o Nacionales de interoperabilidad de acuerdo a los lineamientos que para este fin sean publicados por la Secretaría de Salud. b. Debe apegarse a los protocolos definidos para los servicios de registros.
Page 1 and 2: Miércoles 8 de septiembre de 2010
Page 19: Miércoles 8 de septiembre de 2010

Nom-024-Ssa3-2010 sistemasece

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?