Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 23/05/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025052300186
186
Nº 96, sexta-feira, 23 de maio de 2025
ISSN 1677-7042
Seção 1
. .
1.5.1
.A Operadora possui uma Política de Segurança da Informação definida e divulgada entre seus colaboradores, gestores, administradores, direção e
conselheiros.
.Essencial
.
Interpretação:
Uma política de segurança de informação é um instrumento de planejamento que deve prover a operadora de diretrizes para a segurança da informação, estabelecendo responsabilidades
e atitudes adequadas para manuseio, tratamento, controle e proteção contra a indisponibilidade, a divulgação, a modificação e o acesso não autorizado a dados e informações, conferindo
às operadoras a responsabilidade de zelar pela confidencialidade, integridade e disponibilidade dos dados e das informações.
. .Esta política pode compreender a elaboração de diretrizes nos seguintes campos: (a) Propriedade da Informação; (b) Classificação da informação; (c) Permissão e níveis de acesso; (d)
Responsabilidade sobre ativos de informação; (e) Gestão de continuidade de negócios (f) Monitoramento dos negócios de TI; (g) Monitoramento dos serviços e equipamentos; entre
outros.
(SCHNEIDER; SOUZA 2017) (ABNT, 2005) (ABNT, 2013)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência documentada da política de segurança de informação da operadora.
. .
1.5.2
.Os colaboradores, administradores e conselheiros assinam termo de confidencialidade das informações obtidas em razão da atividade desempenhada,
inclusive em caso de rescisão contratual.
.
Essencial
.
Interpretação:
.
O termo de confidencialidade de informação é individual e deve fazer referência à Política de Segurança da Informação da operadora, abrangendo colaboradores, administradores
e membros dos diversos conselhos. Entre as recomendações que podem estar expressas neste termos, destacam-se as seguintes: obrigatoriedade de guardar segredo de sua autenticação
de acesso (senha) ao ambiente computacional, não cedendo, não transferindo, não divulgando nem permitindo o seu conhecimento por terceiros, sendo responsável por todas as ações
realizadas através desse acesso; guardar sigilo e zelar pela privacidade das informações confidenciais a que tiver acesso, sem divulgá-las para pessoas não autorizadas; estar ciente de que
as responsabilidades dispostas no documento perdurarão inclusive após a cessação do vínculo contratual com a empresa e abrangem as informações de propriedade da organização.
. .Para ser efetivo, deve contemplar menção à responsabilidade dos usuários pelas consequências legais, inclusive por danos materiais ou financeiros, devidamente comprovados, em virtude
da não observância dos itens elencados.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar:
1. a existência e assinatura de termo de confidencialidade com colaboradores, administradores e conselheiros;
2. a existência e assinatura de termo de adesão à política de divulgação de informações;
3. cláusulas contratuais com previsão de punição/indenização em caso de descumprimento.
. .
1.5.3
.Os registros contendo a documentação cadastral da rede prestadora de serviço e as informações cadastrais e clínicas dos beneficiários são
armazenados de forma a garantir a sua disponibilidade, integridade e confidencialidade.
.
Essencial
.
Interpretação:
Segundo os padrões internacionais, norma ISO/IEC 17799:2005(atualizada pela ISO/IEC 27002), a tríade CIA (Confidentiality, Integrity and Av a i l a b i l i t y ) - Confidencialidade, Integridade e
Disponibilidade - representa os principais atributos que orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja
proteger:
.
Disponibilidade: propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da
informação.
Outro atributo importante é a autenticidade, ou seja, a propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de alteração ao longo de um
processo;
. .Integridade: propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de
mudanças e garantia do seu ciclo de vida;
Confidencialidade: propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de:
1. Controles Físicos: barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura que a suporta.
2. Mecanismos de segurança que apoiam os controles físicos: portas, trancas, paredes, blindagem, guardas, entre outros.
. .3. Controles lógicos: barreiras que impedem ou limitam o acesso à informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração
não autorizada por elemento mal-intencionado.
4. Mecanismos de segurança que apoiam os controles lógicos: cifração ou encriptação, assinatura digital, controle de acesso (senhas, sistemas biométricos, firewalls), certificação; Hash, entre
outros.
. .
1.5.4
.Os contratos das atividades terceirizadas, incluindo contratos com as administradoras de benefícios, preveem a garantia da confidencialidade das
informações obtidas em razão da atividade desempenhada, inclusive em caso de rescisão contratual.
.Essencial
.
Interpretação:
A decisão por terceirizar serviços deve ser precedida por uma rigorosa análise de riscos e benefícios, alinhada à visão estratégica da organização. A terceirização pode trazer benefícios como:
redução de despesas, foco em operações centrais, e vantagens competitivas em relação a preços e qualidade do serviço prestado. No entanto, também há riscos associados, entre eles, riscos
operacionais, risco com a segurança e com o controle.
.
Particularmente na terceirização de serviços como, por exemplo, serviços de Tecnologia da Informação, as operadoras de planos privados de assistência à saúde devem implementar
medidas que visem a mitigar os riscos envolvidos, como por exemplo:
contratar empresas idôneas e com capacidade e conhecimento adequados ao trabalho a ser executado;
definir quais processos de trabalho devem efetivamente ser terceirizados;
.
implementar mecanismos que permitam manter o controle sobre os processos de trabalho, como exigência de documentação, relatórios operacionais, estabelecimento de níveis
mínimos de qualidade;
elaborar contrato de prestação de serviços que defina de forma completa e objetiva todas as obrigações a serem cumpridas pela empresa terceirizada, em especial, cláusulas referentes
à obrigação de manter o sigilo e confidencialidade das informações, à continuidade dos serviços, e à exigência de cumprimento de níveis de qualidade preestabelecidos.
Especificamente no caso de Operadoras e Administradora de Benefícios, esta relação deverá estar estabelecida em contrato e em tal contrato deverá prever o estabelecido neste item.
.
Destaca-se que a atividade de Administradora de Benefício foi regulada pela ANS por intermédio de Resolução Normativa específica. Uma administradora de benefício deve possuir
autorização de funcionamento concedida pela ANS, com um número de registro ativo para exercer suas atividades. Dentre as atividades a serem desenvolvidas por uma Administradora
de Benefícios, elencam-se as seguintes:
I - promover a reunião de pessoas jurídicas contratantes na forma específica definida na legislação vigente;
.
II - contratar plano privado de assistência à saúde coletivo, na condição de estipulante, a ser disponibilizado para as pessoas jurídicas legitimadas para contratar;
III - oferecer planos para associados das pessoas jurídicas contratantes;
IV - apoiar tecnicamente a discussão de aspectos operacionais, tais como: a) negociação de reajuste;
b) aplicação de mecanismos de regulação pela operadora de plano de saúde; e c) alteração de rede assistencial;
IV - apoiar a área de recursos humanos na gestão de benefícios do plano;
.
VI - terceirizar serviços administrativos;
VII - realizar movimentação cadastral;
VIII - conferir faturas;
IX - realizar cobrança ao beneficiário por delegação;
X - realizar consultoria para prospectar o mercado, sugerir desenho de plano e modelo de gestão.
.
Assim, a atividade desempenhada por uma administradora de benefícios proporciona acesso a uma grande quantidade de dados pessoais e confidenciais tanto de clientes quanto
a dados estratégicos, de competitividade e de mercado da própria operadora. Assim, a confidencialidade das informações obtidas em razão dessa atividade desempenhada deverá ser objeto
de tratamento e cláusula contratual específica.
Especificamente no caso de Operadoras e Administradoras de Benefícios:
.
A cláusula/termo de confidencialidade das informações obtidas em razão da atividade desempenhada pela administradora de benefícios deverá contemplar os seguintes aspectos,
dentre outros:
Informações relativas aos dados cadastrais de beneficiários;
Informações relativas à condição de saúde de beneficiários;
Informações relativas aos dados cadastrais das pessoas jurídicas contratantes dos planos;
.
Informações cadastrais dos associados das pessoas jurídicas contratantes;
Informações referentes aos aspectos operacionais dos planos;
Dados e informações referentes à gestão dos benefícios;
Dados de movimentação cadastral, faturas e cobranças; e
Dados estratégicos, de competitividade e de mercado da operadora.
. .No caso de a operadora não possuir nenhum serviço terceirizado, este item não será considerado na avaliação.
A análise do item deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD).
(FRAGA, 2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar os contratos com os terceirizados de forma a constatar a existência das cláusulas contratuais que garantam: (1) a confidencialidade das informações obtidas em razão da atividade
desempenhada; (2) exigências estabelecidas para a garantia da confidencialidade das informações em caso de rescisão contratual; e (3) as cláusulas contratuais com previsão de indenização
em caso de descumprimento. Também poderá ser evidenciada a existência e assinatura de termo de confidencialidade.
. .1.6 Gestão de Riscos Corporativos
.
Interpretação:
As atividades envolvidas na Gestão de Riscos Corporativos devem contribuir para a perenidade da operadora, atendendo aos seus objetivos estatutários e estratégicos.
A Gestão de Riscos Corporativos permite que a alta administração e os gestores da organização lidem eficientemente com a incerteza e deve buscar o balanceamento entre desempenho,
retorno e riscos associados.
.
A Gestão de Riscos Corporativos é composta por princípios, estrutura e processos desenhados para identificar e responder a eventos que possam afetar os objetivos da operadora.
Além disso, a Gestão de Riscos Corporativos deve atender alguns princípios, entre eles:
Proteger e criar valor para operadora;
Ser parte integrante de todos os processos organizacionais;
Ser considerada no processo de tomada de decisão;

Fechar