Os softwares de gestão tutelar como Proxima lidam com dados entre os mais sensíveis do setor médico-social: patrimônio, rendimentos, identidade civil, documentos médicos. A proteção dessas informações está sujeita a obrigações regulatórias específicas, reforçadas desde a aplicação do RGPD e as recomendações recentes da CNIL que visam especificamente as estruturas que acompanham maiores protegidos.
Registro de acessos e rastreabilidade no Proxima: o que exige a CNIL
A CNIL exige explicitamente que as ferramentas utilizadas para os maiores protegidos integrem um registro detalhado de acessos: quem se conectou, quando, a partir de qual terminal. Essa exigência não é apenas uma questão de conforto técnico. Ela permite provar a conformidade em caso de fiscalização e rastrear qualquer incidente de segurança.
Também interessante : Dicas para combinar sua jaqueta com um macacão azul-marinho
No Proxima, essa rastreabilidade diz respeito a cada usuário que possui acesso ao software. Cada consulta de arquivo, cada modificação de dados patrimoniais ou pessoais deve deixar um rastro utilizável. A questão que se coloca para os serviços tutelares: suas configurações atuais realmente cobrem esse nível de detalhe?
Os feedbacks de campo divergem nesse ponto. Algumas estruturas possuem registros de acesso completos e auditados regularmente, enquanto outras se contentam com um histórico mínimo sem procedimento de revisão. O quadro regulatório é o mesmo para todos, mas a capacidade de gerenciar sua conta Proxima com segurança depende amplamente da rigorosidade dos procedimentos internos implementados por cada serviço.
Veja também : Como gerenciar efetivamente suas faturas online com os grandes varejistas?
Procedimentos internos de segurança: formalizar para resistir às fiscalizações da ARS e do Parquet
Desde 2023, vários tribunais judiciais e serviços de mandatos judiciais devem indicar em seus procedimentos internos escritos como garantem a segurança do acesso a seus softwares de trabalho. Este documento deve abranger senhas, autenticação, backups e gestão de direitos de acesso.
A novidade não é a obrigação de segurança em si, mas o fato de ter que apresentar esses procedimentos por escrito durante as fiscalizações da Agência Regional de Saúde ou do Parquet. Um serviço que utiliza o Proxima corretamente, mas não consegue demonstrar como o protege, se expõe a observações, ou até mesmo a sanções.
O que o documento de procedimento deve abranger
- A política de senhas: comprimento mínimo, renovação periódica, proibição de compartilhamento entre usuários. Uma senha única por conta de usuário é o mínimo esperado.
- A gestão de habilitações: quem acessa quais arquivos, com qual nível de direitos (somente leitura, modificação, exclusão). Os perfis devem corresponder às funções reais de cada profissional.
- O protocolo em caso de saída de um colaborador: desativação imediata da conta, revisão dos acessos compartilhados, verificação de que nenhuma senha coletiva persiste.
- A frequência e o escopo dos backups, bem como os testes de restauração realizados.
Os dados disponíveis não permitem concluir sobre a porcentagem de estruturas realmente dotadas de tais procedimentos formalizados. Por outro lado, a tendência ao fortalecimento das fiscalizações torna essa formalização difícil de contornar.
Autenticação multifatorial e separação de contas: as recomendações do guia CNIL 2024
O guia CNIL 2024 sobre cibersegurança das estruturas médico-sociais destaca um aumento de ataques por ransomware visando estabelecimentos de saúde e serviços sociais. Entre as recomendações explícitas estão a autenticação multifatorial (MFA) e a separação rigorosa entre contas profissionais e pessoais.
A autenticação multifatorial adiciona uma etapa de verificação além da senha: código enviado por SMS, aplicativo de autenticação, chave física. Para um software como o Proxima, que gerencia informações patrimoniais e documentos jurídicos, essa camada de proteção reduz consideravelmente o risco de acesso fraudulento em caso de roubo de senha.
Separar contas: uma medida simples, mas raramente aplicada
A CNIL recomenda que cada profissional tenha seu próprio identificador, sem compartilhamento. Uma conta compartilhada entre vários mandatos torna o registro inútil: impossível saber quem realmente consultou ou modificou um arquivo.
Essa separação também se aplica aos terminais. Acessar o Proxima a partir de um computador pessoal, sem proteção dedicada, expõe os dados dos maiores protegidos a riscos adicionais (malware, Wi-Fi não seguro, ausência de criptografia do disco).
Gestão dos direitos de acesso Proxima: adaptar as habilitações às funções reais
O Proxima permite definir níveis de acesso diferenciados de acordo com o papel de cada usuário. Um delegado mandatário não tem as mesmas necessidades que um contador ou um responsável de serviço. Configurar esses direitos com precisão limita a exposição de arquivos sensíveis.
O princípio do menor privilégio se aplica: cada usuário acessa apenas as informações necessárias para sua função. Um assistente administrativo não precisa consultar as contas bancárias de um maior protegido. Um mandatário não precisa acessar os arquivos geridos por um colega, exceto em situação de substituição formalizada.
Essa granularidade pressupõe uma revisão regular das habilitações. Mudanças de cargo, ausências prolongadas, término de contratos devem desencadear uma atualização imediata dos direitos. Sem essa disciplina, as contas fantasmas (usuários que saíram, mas ainda estão ativos no sistema) representam uma falha de segurança documentada pela CNIL em suas recomendações às estruturas médico-sociais.
A gestão segura de uma conta Proxima não se limita a escolher uma boa senha. Ela envolve uma cadeia de responsabilidades que vai da configuração técnica à redação de procedimentos, passando pela formação de cada usuário. As estruturas que antecipam as fiscalizações formalizando essas práticas se colocam em uma postura de conformidade ativa, onde um simples uso diário do software não é mais suficiente para demonstrar a proteção efetiva dos dados dos maiores protegidos.