A_22046 - Sichere Software Entwicklungsumgebung

Der Hersteller des Highspeed-Konnektors MUSS die Entwicklung in der CC-evaluierten Entwicklungsumgebung durchführen. Wenn die Entwicklung nicht in einer während der Konnektor-Evaluierung (Aspekt ALC) mit geprüften Umgebung stattfindet, MUSS der Hersteller ein Sicherheitsgutachten über seine sicheren Softwareentwicklungsprozesse einreichen. [<=]

TIP1-A_4730-02 - Kommunikation mit NET_TI_GESICHERTE_FD

Der Konnektor MUSS sicherstellen, dass IP-Pakete mit einer Absenderadresse aus dem Adressbereich NET_TI_GESICHERTE_FD verworfen werden, wenn sie nicht vom SZZP der TI stammen.
Der Konnektor MUSS die Kommunikation mit Systemen des Netzwerksegments NET_TI_GESICHERTE_FD für folgende Fälle unterstützen:

• [1] vom Konnektor kommend
  
• [37] vom Fachmodul kommend
  

• [2] von „Aktive Komponenten“ kommend
  
• [3] in Richtung Konnektor gehend
  

TIP1-A_4731-02 - Kommunikation mit NET_TI_ZENTRAL

Der Konnektor MUSS sicherstellen, dass IP-Pakete mit einer Absenderadresse aus dem Adressbereich NET_TI_ZENTRAL verworfen werden, wenn sie nicht vom SZZP der TI stammen.
Der Konnektor MUSS die Kommunikation mit Systemen des Netzwerksegments NET_TI_ZENTRAL für folgende Fälle unterstützen:

• [4] vom Konnektor kommend
  

• [5] von „Aktive Komponenten“ kommend
  
• [6] in Richtung Konnektor gehend
  

TIP1-A_4732-02 - Kommunikation mit NET_TI_DEZENTRAL

Der Konnektor MUSS die Kommunikation mit Systemen des Netzwerksegments NET_TI_DEZENTRAL für folgende Fälle unterstützen:

• keine
  

• [7] vom Konnektor kommend (zur Verhinderung des Zugriffs auf fremde Konnektoren)
  
• [8] von „Aktive Komponenten“
  
• [9] in Richtung Konnektor gehend
  

TIP1-A_4733-02 - Kommunikation mit ANLW_AKTIVE_BESTANDSNETZE

Der Konnektor MUSS sicherstellen, dass IP-Pakete mit einer Absenderadresse aus dem Adressbereich ANLW_AKTIVE_BESTANDSNETZE verworfen werden, wenn sie nicht vom SZZP der TI stammen.
Der Konnektor MUSS die Kommunikation mit Systemen des Netzwerksegments ANLW_AKTIVE_BESTANDSNETZE für folgende Fälle unterstützen:

• [10] vom Konnektor kommend nur für die DNS-Namensauflösung mittels DNS_SERVERS_BESTANDSNETZE
  
• [11b] von „Aktive Komponenten“ kommend
  

• [11a] für nicht freigegebene angeschlossene Netze des Gesundheitswesens mit WANDA Basic (ANLW_BESTANDSNETZE abzüglich ANLW_AKTIVE_BESTANDSNETZE) von „Aktive Komponenten“ kommend;    
  
• [12] in Richtung Konnektor gehend (und den dahinterliegenden „Aktive Komponenten“)
  

TIP1-A_4797-04 - HSK: DNS-Forwards des DNS-Servers

Der DNS-Server des Highspeed-Konnektors MUSS die folgenden DNS-Forwards durchführen:

Tabelle 1: TAB_KON_687_03 DNS-Forwards des DNS-Servers

TIP1-A_4805-03 - HSK: Konfigurationsparameter Namensdienst und Dienstlokalisierung

Der Administrator MUSS die in TAB_KON_654 aufgelisteten Parameter über die Managementschnittstelle konfigurieren und die in TAB_KON_731 aufgelisteten Parameter ausschließlich einsehen können.
Nach jeder Änderung MUSS sichergestellt werden, dass die Änderungen sofort am autoritativen bzw. am Caching-Nameserver zur Verfügung stehen.

Tabelle 2: TAB_KON_654-02 - Konfigurationsparameter Namensdienst

TIP1-A_4701-03 - TUC_KON_035 „Zertifikatsdienst initialisieren“

In der Bootup-Phase MUSS der Konnektor den Zertifikatsdienst durch Aufruf des TUC_KON_035 „Zertifikatsdienst initialisieren“ initialisieren.

Tabelle 3: TAB_KON_772 TUC_KON_035 „Zertifikatsdienst initialisieren“

Tabelle 4: TAB_KON_605 Fehlercodes TUC_KON_035 „Zertifikatsdienst initialisieren“

TIP1-A_4693-03 - TUC_KON_032 „TSL aktualisieren”

Der Konnektor MUSS den technischen Use Case TUC_KON_032 „TSL aktualisieren“ umsetzen.

Tabelle 5: TAB_KON_766 TUC_KON_032 „TSL aktualisieren“

Tabelle 6: TAB_KON_598 Fehlercodes TUC_KON_032 „TSL aktualisieren“

A_21884 - Redundanter Aufbau Highspeed-Konnektor

Der Anbieter des Highspeed-Konnektors SOLL die Lösung redundant betreiben, damit bei Ausfall einer technischen Komponente die - zwecks Betreiberausschluss notwendigerweise durch den Hersteller vorzunehmende - technische Wartung nicht zu erhöhten Ausfallzeiten führt. [<=]

A_21854 - Nutzung des VSDM-Intermediärs

Der Konnektor MUSS über einen Intermediär auf die VSDM-Dienste zugreifen. [<=]

TIP1-A_4814-02 - Export- Import von Konfigurationsdaten

Der Administrator MUSS die gesamten Konfigurationsdaten des Anwendungskonnektors ex- und importieren können. Dazu gehören die Konfigurationsparameter des Konnektors, die persistenten Daten wie im Informationsmodell des Konnektors (Tabelle TAB_KON_507 Informationsmodell Entitäten) definiert  und die Pairing Informationen der Kartenterminals.
Für die Konfigurationsdaten des Netzkonnektors MUSS eine Möglichkeit zur Sicherung und Wiederherstellung existieren.

Der Konnektor MUSS sicherstellen, dass der Exportvorgang nur von einem am Konnektor angemeldeten User mit mindestens der Rolle Administrator ausgelöst werden kann.
Der Konnektor MUSS sicherstellen, dass der Importvorgang nur von einem am Konnektor angemeldeten User mit der Rolle Super-Administrator ausgelöst werden kann.
Sowohl Ex- als auch Import MÜSSEN protokolliert werden durch TUC_KON_271 „Schreibe Protokolleintrag“ {    
    topic = „MGM/CONFIG_EXIMPORT“;
    eventType = Op;
    severity = Info;
    parameters = („User=$AdminUsername,
                            Mode=[Export/Import]“)}.

[<=]

A_22338 - Tägliche Aktualisierung der TSL

Der Highspeed-Konnektor MUSS täglich durch Aufruf von TUC_KON_032 die TSL aktualisieren [<=]

A_21988-01 - Highspeed-Konnektor - Keine zusätzlichen Schnittstellen

Der Highspeed-Konnektor DARF NICHT Schnittstellen besitzen, die ein Einbox-Konnektor nicht auch besitzt, sofern diese nicht explizit gefordert oder erlaubt sind. Dies betrifft auch Zugänge die ggf. durch die Server-Hardware-Basis grundsätzlich gegeben wären. Der Highspeed-Konnektor verhält sich nach außen in der Art seiner Schnittstellen somit wie ein Einbox-Konnektor.
[<=]

A_22041 - Highspeed-Konnektor: Sichere Trennung virtueller Instanzen

Der Highspeed-Konnektor MUSS virtuelle Instanzen von Konnektoren sicher voneinander trennen, sodass zum einen kein Zugriff von einer Instanz auf die andere möglich ist und zum anderen eine feste Zuordnung von Mandanten zu Konnektorinstanzen durchgesetzt wird. [<=]

TIP1-A_4820-02 - HSK: Instanzen erstellen und löschen

Der HSK, der virtuelle Instanzen unterstützt, MUSS über eine Administratorrolle verfügen, die eine virtuelle Instanz in einem HSK löschen und erstellen kann. Der HSK MUSS es ermöglichen, diese Rolle von der Administration innerhalb einzelner HSK-Instanzen zu trennen.
Beim Löschen einer HSK-Instanz muss die gesamte Konfiguration dieser Instanz und alle internen Speicher, Protokolle inklusiv der Sicherheitsprotokolle sowie der Vertrauensraum inklusiv der  CERT_IMPORTED_CA_LIST gelöscht werden.
Das Löschen der HSK-Instanz MUSS zusammen mit dem username des auslösenden Administrators im HSK protokolliert werden.
Beim Erstellen einer HSK-Instanz MUSS beim Start der Instanz der aktuelle Vertrauensraum eingebunden werden.
[<=]

A_23159 - Prozess zum Erstellen und Löschen von HSK-Instanzen

Der Betreiber des HSK MUSS einen Prozess etablieren, der den Auftrag zum Erstellen und Löschen einer HSK-Instanz, dessen Prüfung und dessen Umsetzung mit den dabei beteiligten Personen dokumentiert. Der Prozess muss geeignet sein, die unberechtigte Löschung von Instanzen zu verhindern. [<=]

A_23359-03 - Administration des HSK-Basis Systems

Der Highspeed-Konnektor MUSS eine Administration für das Basissystem bereitstellen und folgende separate Administratoren-Rollen umsetzen:

• Hersteller (HSK-Basis)
• • Konfiguration der Kopplung zum HSM und Management HSM
  • Leserechte auf das Logging des Basissystems ohne die Logs der vInstanzen
  • Nutzer mit Rolle "Hersteller" erzeugen/ändern/löschen
  • Nutzer mit Rolle "Schlüsselverwalter" erzeugen/ändern/löschen
  • Rolle "Schlüsselverwalter" einem Nutzer der Rolle Basissystem-Administrator zuweisen oder entziehen
  • Neue Schlüssel für C.HSK.SIG, C.HSK.ENC, C.AK.AUT, C.SAK.AUT und C.SAK.AUTD_CVC erzeugen und CSRs exportieren
  • Zertifikate C.HSK.SIG, C.HSK.ENC, C.AK.AUT, C.SAK.AUT, C.SAK.AUTD_CVC und C.CA_SAK.CS importieren.
• Basissystem-Administrator
• • Verwaltung der instanzenübergreifenden HSK-Konfigurationen inkl. Einspielen Updates
  • Ressourcenkonfiguration von vInstanzen
  • Leserechte auf das Logging des Basissystems ohne die Logs der vInstanzen
  • Backup/Restore von vInstanzen (Snapshots)
  • Löschen von vInstanzen
  • Nutzer mit Rolle "HSK-Admin" erzeugen/ändern/löschen
  • im technisch unterstützten 4 Augenprinzip Nutzer mit Rolle "Zugangsmodul" erzeugen/ändern/löschen
• Schlüsselverwalter
• • Erzeugen von Schlüsselpaaren für Institutionsidentitäten und exportieren von mit C.HSK.SIG signierten CSR-Paketen (öffentliche Schlüssel der SM-B-Identität in mit vom jeweiligen privaten Schlüssel signierten CSRs)
  • Einspielen von verschlüsselten Zertifikatspaketen zu Institutionsidentitäten
  • Zuordnen von Institutionsidentitäten zu vInstanzen
  • Zertifikate C.HSK.SIG, C.HSK.ENC, C.AK.AUT, C.SAK.AUT, C.SAK.AUTD_CVC und C.CA_SAK.CS importieren
  • Institutionsidentitäten löschen

• Zugangsmodul (technischer user)
• • Erzeugen und löschen von vInstanzen
  • Zuordnen von IP-Adressen zu vInstanzen 
  • Backup/Restore von vInstanzen
  • Ressourcenkonfiguration von vInstanzen
  • Erzeugen von Schlüsselpaaren für Institutionsidentitäten und exportieren von mit C.HSK.SIG signierten CSR-Paketen (öffentliche Schlüssel der SM-B-Identität in mit vom jeweiligen privaten Schlüssel signierten CSRs)
  • Einspielen von verschlüsselten Zertifikatspaketen zu Institutionsidentitäten
  • Zuordnen von Institutionsidentitäten zu vInstanzen
  • Institutionsidentitäten löschen

TIP1-A_4810-02 - Benutzerverwaltung der Managementschnittstelle

HSK-Instanzen MÜSSEN eine Benutzerverwaltung für die Managementschnittstelle enthalten, in der anmeldeberechtigte Administratoren-Benutzer definiert werden können.
Die Benutzerverwaltung MUSS die Administrator-Rollen Lokaler-Administrator und Super-Administrator unterstützen.
Die Benutzerverwaltung kann weitere Rollen unterstützen.
Den Administrator-Rollen MÜSSEN folgende Rechte zugewiesen sein:

• Lokaler-Administrator:
  
• • ausschließlicher Zugriff über lokalen Endpunkt der Managementschnittstelle
    
  • Verwaltung aller Konfigurationsdaten und Durchführung aller Administratoraktionen mit Ausnahme von:
  • • Benutzerverwaltung gemäß Tabelle TAB_KON_655
      
• Remote-Administrator:
  
• • ausschließlicher Zugriff über remote-Endpunkt der Managementschnittstelle
    
  • Verwaltung aller Konfigurationsdaten und Durchführung aller Administratoraktionen mit Ausnahme von:
  • • Benutzerverwaltung gemäß Tabelle TAB_KON_655
    • Konfigurationseinstellungen und Administratoraktionen gemäß Tabelle TAB_KON_851
      
• Super-Administrator:
  
• • ausschließlicher Zugriff über lokalen Endpunkt der Managementschnittstelle
    
  • Benutzerverwaltung gemäß Tabelle TAB_KON_655
    
  • Verwaltung aller Konfigurationsdaten und Durchführung aller Administratoraktionen
    

Tabelle 7: TAB_KON_655 Konfigurationen der Benutzerverwaltung (Super-Administrator)

Tabelle 8: TAB_KON_656 Konfigurationen der Benutzerverwaltung

A_23258 - Rollenausschlüsse Highspeedkonnektor

Der Highspeed-Konnektor MUSS folgende Einschränkungen bei der Zuordnung von Rollen zu Nutzern durchsetzen:

• Ein Nutzer mit der Rolle Hersteller darf keine andere Rolle haben.
• Ein Nutzer mit der Rolle Zugangsmodul darf keine andere Rolle haben.

A_23395 - Backup & Restore von Instanzen (Konfigurationsdaten)

Der Highspeed-Konnektor MUSS ein Backup und Restore der Konfigurationen seiner Instanzen ermöglichen, wobei die Backups entweder den HSK (und seine VAU) nicht verlassen oder mit Schlüsselmaterial des HSK oder der SMC-B hinsichtlich Vertraulichkeit und Integrität so geschützt sind, dass diese nicht unberechtigt eingesehen oder geändert werden dürfen. Unberechtigt ist jeder außer der Inhaber der Instanz (LEI) und der ggf. von ihm berechtigte DVO. [<=]

A_23397 - Sicherung und Wiederherstellung HSK-Basissystem

Der HSK MUSS eine Möglichkeit bieten, die Konfiguration oder den Systemzustand des Basissystems zu sichern und wieder herzustellen.
[<=]

A_23477 - Protokollierung Infomodell - Clientsysteme

Der HSK MUSS im Sicherheitsprotokoll der jeweiligen Instanz protokollieren, wenn ClientsystemIDs und ClientsystemCredentials konfiguriert, geändert oder gelöscht werden. [<=]

TIP1-A_4832-03 - TUC_KON_280 „Konnektoraktualisierung durchführen“

Der Highspeed-Konnektor MUSS den technischen Use Case TUC_KON_280 „Konnektoraktualisierung durchführen“ umsetzen.

Tabelle 9: TAB_KON_664 – TUC_KON_280 „Konnektoraktualisierung durchführen“

Tabelle 10: TAB_KON_665 Fehlercodes TUC_KON_280 „Konnektoraktualisierung durchführen“

A_23476 - Zentrale Umsetzung von KSR-Client, NTP und Namensdienst

Der HSK MUSS die Funktionen KSR-Client, NTP und Namensdienst auf zentral für alle HSK-Instanzen oder einen Cache für alle Instanzen implementieren.
[<=]

A_23303 - TLS mit Client-Authentisierung verpflichtend für Clientsystemanbindungen

Der Highspeed-Konnektor in einem TI-Gateway MUSS im Modus [ANCL_ TLS_ MANDATORY = enabled] und [ANCL_ CAUT_ MANDATORY = enabled] und [ANCL_ CAUT_ MODE = CERTIFICATE] betrieben werden, was global am Basissystem des HSK durch die Rolle "Hersteller" im Rahmen der Inbetriebnahme konfiguriert werden muss und nicht durch andere Administrator-Rollen (Basissystem-Administrator, Zugangsmodul, Administratoren von HSK-Instanzen) deaktivierbar sein darf. [<=]

A_23475 - Nachnutzung HSM durch TI-GW-Zugangsmodul

Der Highspeed-Konnektor in einem TI-Gateway KANN sein HSM dem TI-GW-Zugangsmodul verfügbar machen. [<=]

A_23474 - Nachnutzung HSM durch TI-GW-Zugangsmodul - Absicherung und Prüfung

Der Highspeed-Konnektor in einem TI-Gateway MUSS, wenn sein HSM auch für das TI-GW-Zugangsmodul nutzbar ist, diese Schnittstelle absichern, sodass keine Zugriffe auf den HSK oder die Schlüssel des HSK im HSM durch das TI-Gateway oder dessen Betreiber möglich sind, und die Schnittstelle eindeutig als Außenschnittstelle im Rahmen der Sicherheitsnachweisverfahren ausweisen und dort prüfen lassen. [<=]

A_23360 - TI-Gateway - Kopplung Zugangsmodul und HSK

Der HSK in einem TI-Gateway MUSS das Zugangsmodul (bzw. Clients in der Rolle "Zugangsmodul") mittels eines beidseitig authentisierten und hinsichtlich Vertraulichkeit und Integrität geschützten Kanals anbinden, wobei der HSK seine, im HSM gespeicherte Identität (z.B. I.AK.AUT) als Server-Authentisierung nutzen muss. [<=]

A_23469 - Unterstützung AK.AUT und individuelle Identität an der Management-Schnittstelle

Der Highspeed-Konnektor in einem TI-Gateway MUSS beim initialen Verbindungsaufbau zur Management-Schnittstelle einer HSK-Instanz immer seine AK.AUT Identität als TLS-Server-Identität verwenden und über die Konfiguration der Instanz auch Instanz-individuelle erzeugte (vgl. A_21699*) oder importierte (vgl. A_21697*) Identitäten für die Management-Schnittstelle unterstützen. [<=]

A_23432 - Verpflichtendes Auto-Update

Der Highspeed-Konnektor in einem TI-Gateway MUSS im Modus [MGM_KSR_AUTO_UPDATE=Enabled] und [MGM_KSR_UTODOWNLOAD=Enabled] betrieben werden, was global am Basissystem des HSK durch die Rolle "Hersteller" im Rahmen der Inbetriebnahme konfiguriert werden muss und nicht durch andere Administrator-Rollen (Basissystem-Administrator, Zugangsmodul, Administratoren von HSK-Instanzen) deaktivierbar sein darf. [<=]

A_23444 - Verifikation gesteckter SMC-B

Der Highspeed-Konnektor in einem TI-Gateway MUSS von gesteckten und freigeschalteten SMC-B die Gültigkeit und Echtheit prüfen und das Ergebnis der Prüfung für das TI-Gateway-Zugangsmodul zugreifbar machen. Die Prüfung muss die Zertifikatsprüfung incl OCSP sowie die Verwendung eines Privaten Schlüssels umfassen. Die Prüfung muss nach der Freischaltung sowie einmal täglich erfolgen. [<=]

A_23446-01 - Messung von Verfügbarkeitsdaten

Der Highspeed-Konnektor in einem TI-Gateway MUSS Verfügbarkeitsdaten für alle aktiven Kartenterminals, die Erreichbarkeit von Intermediär VSDM, ePA-Fachdiensten und freigeschaltete SMC-B erheben und dem TI-Gateway-Zugangsmodul zugreifbar machen.
[<=]

A_23882 - HSK OCSP-Adressierung

Der Highspeed-Konnektor MUSS OCSP-Responder im Namensraum der TI direkt adressieren. OCSP-Anfragen außerhalb des Namensraum MUSS der Highspeed-Konnektor an den OCSP-Proxy der TI-Plattform mit einer neu gebildeten Ziel-URL richten. Die Ziel-URL ist nach folgendem Schema zu bilden:
<URL des OCSP-Proxy>/<bisherige Ziel URL des OCSP Requests> [<=]

A_23488 - HSK, http-Forwarder - Funktion

Der http-Forwarder MUSS einen http-Forwarder implementieren, der an ihn gerichtete http-Anfragen in der Funktion eines Forwarding-Proxy weiterleitet und die zurückgelieferten http-Antworten an den Absender sendet.
Alle Anfragen, deren Ziel nicht im Namensraum der TI liegt, MÜSSEN an den OCSP-Proxy der TI-Plattform mit einer neu gebildeten Ziel-URL weitergeleitet werden. Die Ziel-URL ist nach folgendem Schema zu bilden:
<URL des OCSP-Proxy>/<bisherige Ziel URL des OCSP Requests>
[<=]

A_23478 - HSK, http-Forwarder - Absenderadresse

Der http-Forwarder MUSS http-Anfragen mit der IP-Adresse des http-Forwarders als Absenderadresse weiterleiten. [<=]

A_23479 - HSK, http-Forwarder - kein Cache

Der http-Forwarder DARF Datenverkehr NICHT in einem Cache zwischenspeichern. [<=]

A_23480 - Anonymisierung

Der http-Forwarder MUSS weitergeleitetem http-Anfragen anonymisieren; insbesondere DARF die IP-Adresse des ursprünglichen http-Klienten NICHT in der weitergeleiteten Anfrage enthalten sein. [<=]

TIP1-A_4793-03 - Konfigurierbarkeit des Konnektor NTP-Servers (Highspeed-Konnektor)

Der Administrator MUSS die in TAB_KON_643-HSK aufgelisteten Parameter über die Managementschnittstelle konfigurieren können.

Tabelle 11: TAB_KON_643-HSK Konfiguration des Konnektor NTP-Servers

TIP1-A_4789-02 - Zustandsvariablen des Konnektor Zeitdiensts

TAB_KON_640 listet die zu verwendenden Zustandsvariablen des Konnektor NTP-Servers. Diese Werte DÜRFEN NICHT durch den Administrator geändert werden.

Tabelle 12: TAB_KON_640 Zustandswerte für Konnektor NTP-Server

GS-A_3942-01 - Produkttyp Highspeed-Konnektor, Stratum 2

Der Produkttyp Highspeed-Konnektor MUSS einen Stratum-2-NTP-Server implementieren, der sich bei bestehender Verbindung mit Stratum-1-NTP-Servern der zentralen TI synchronisieren MUSS.
[<=]

A_24061 - HSK: Konfiguration NTP-Server

Der NTP-Server im HSK MUSS in der Lage sein, sich mit Strata 1 bis 3 zu synchronisieren. [<=]

A_23470 - Rollentrennung HSM-Personalisierung und Betrieb TI-Gateway

Der Hersteller des HSK MUSS sicherstellen, dass Personen die an der Personalisierung des HSM des HSK beteiligt sind nicht zeitgleich am Betrieb des TI-Gateways (Rolle Betreiber) beteiligt sind und dass entsprechende Prozesse definiert und etabliert sind, die dies dauerhaft gewährleisten und eine regelmäßige Validierung der Umsetzung durchsetzen. Die Umsetzung des Rollenausschluss MUSS die Weisungsbefugnis von Vorgesetzten berücksichtigen. Das heißt, dass kein Vorgesetzter direkte Weisungsbefugnis sowohl für Personen im Bereich der HSM-Personalisierung des HSK-Herstellers als auch für Personen mit der Rolle Betreiber beim TI-Gateway innehaben darf (ausgenommen ist das Management des Unternehmens). [<=]

A_22336 - Initialisierung mit ECC-Vertrauensraum

Der Hersteller des Highspeed-Konnektors MUSS diesen mit dem ECC-Vertrauensraum initialisieren. [<=]

A_17548-02 - TSL-Signer-CA Zertifikat sicher speichern

Der Konnektor MUSS den aktuellen TI-Vertrauensanker im sicheren Datenspeicher speichern.
[<=]

TIP1-A_4503-03 - Verpflichtung zur Nutzung von gSMC-K oder HSM

Der Konnektor MUSS das geheime Schlüsselmaterial zur Geräteidentität (ID.AK.AUT, ID.SAK.AUT) und der Rolle SAK (C.SAK.AUTD_CVC) über Smartcards des Typs gSMC-K gemäß [gemSpec_gSMC-K_ObjSys] oder ein HSM nutzen. Der Konnektor MUSS mit einer gSMC-K oder einem HSM bestückt sein. Er KANN mit mehr als einer gSMC-K oder HSM bestückt sein.
[<=]

A_25268 - Verlängerung Laufzeit HSK-Identitäten

Der Hersteller des HSK MUSS sicherstellen, dass alle Identitäten des HSK nach deren Zertifikatslaufzeit von 5 Jahren verlängert werden können und die notwendigen Prozesse dafür definiert und umgesetzt sind. [<=]

A_17598-01 - Qualität des HSM

Die Highspeed-Konnektoren MÜSSEN privates Schlüsselmaterial zu Zertifikaten der Telematikinfrastruktur in einem HSM, dessen Eignung durch eine erfolgreiche Evaluierung nachgewiesen wurde, integritätsgeschützt und vertraulich speichern. Als Evaluierungsschema kommen dabei Common Criteria oder Federal Information Processing Standard (FIPS) in Frage. Die Prüftiefe MUSS mindestens (a) FIPS 140-2 Level 3, oder (b) Common Criteria EAL 4 entsprechen. [<=]

A_21885 - Personalisierung des HSM mit Konnektoridentitäten durch Hersteller

Der Hersteller des Konnektors MUSS, wenn er ein HSM für die Speicherung der Konnektoridentitäten verwendet, das HSM mittels sicherer Prozesse und in seiner gesicherten Produktionsumgebung personalisieren. [<=]

A_22590 - HSK: Kein Abruf von Zertifikatsprofilen C.NK.VPN bei Nutzung HSM

Der Hersteller des Highspeedkonnektors DARF NICHT Zertifikate mit dem Profil C.NK.VPN beziehen, wenn er ein HSM statt einer gSMC-K verwendet und das HSM personalisiert. [<=]

A_21987-02 - Zugriff auf die VAU nur durch den Hersteller

Die VAU des Highspeed-Konnektors MUSS Eingriffe in das System durch andere als den Hersteller unterbinden. Das betrifft im Besonderen administrative Zugriffe auf das HSM, die Kopplung des HSM.
[<=]

A_21886 - Feste Kopplung von Konnektor und HSM

Der Konnektor MUSS, wenn ein HSM verwendet wird, fest kryptographisch mit dem HSM gekoppelt sein, sodass eine hinsichtlich Vertraulichkeit und Integrität geschützte, beidseitig authentisierte Verbindung zwischen Konnektor und HSM besteht und ausschließlich der Konnektor die auf dem HSM gespeicherten Identitäten nutzen kann.
[<=]

A_17346-02 - HSK: VAU - Zwingende Verwendung der VAU

Der Highspeed-Konnektor MUSS Schlüssel und Medizinischen Daten eines Versicherten ausschließlich innerhalb der VAU verarbeiten und sie so vor Zugriff durch Unbefugte bei ihrer Verarbeitung im Klartext schützen.
[<=]

A_17347-02 - HSK: VAU - Keine persistente Speicherung von Versichertendaten

Der Highspeed-Konnektors DARF Schlüssel und medizinische Daten eines Versicherten NICHT persistent speichern, auch nicht verschlüsselt.
[<=]

A_17348-02 - HSK: VAU - Schutz ePA-Akten- und Kontextschlüssel

Der Highspeed-Konnektor MUSS sicherstellen, dass die Akten- und Kontextschlüssel der Versicherten die VAU nur verlassen (unabhängig davon, ob sie verschlüsselt oder unverschlüsselt sind), wenn sie ans ePA-Aktensystem übermittelt werden und die Übermittlung zum ePA-Aktensystem in einem sicheren Kanal erfolgt.
[<=]

A_17350-02 - HSK: VAU - Isolation von anderen Datenverarbeitungsprozessen des Anbieters

Der Highspeed-Konnektor MUSS die in der VAU ablaufenden Datenverarbeitungsprozesse von allen sonstigen Datenverarbeitungsprozessen des Anbieters/Betreibers trennen und damit gewährleisten, dass der Anbieter/Betreiber vom Zugriff auf die in der VAU verarbeiteten, schützenswerten Daten ausgeschlossen ist.
[<=]

A_17351-02 - HSK: VAU - Ausschluss von Manipulationen an der Software

Die VAU des Highspeed-Konnektors MUSS die Integrität der eingesetzten Software schützen und damit insbesondere unbemerkte Manipulationen an der Software durch den Anbieter/Betreiber ausschließen.
[<=]

A_17352-02 - HSK: VAU - Ausschluss von Manipulationen an der Hardware

Die VAU des Highspeed-Konnektors MUSS die Integrität der eingesetzten Hardware schützen und damit insbesondere unberechtigten physischen Zugriff auf die VAU-Hardware und unbemerkte Manipulationen an der VAU-Hardware - auch durch den Anbieter/Betreiber - ausschließen. [<=]

A_17353-02 - HSK: VAU - Kontinuierliche Wirksamkeit des Manipulationsschutzes

Die VAU des Highspeed-Konnektors MUSS den Ausschluss von Manipulationen an der Hardware und der Software durch den Anbieter/Betreiber mit Mitteln umsetzen, deren dauerhafte und kontinuierliche Wirksamkeit gewährleistet werden kann.
[<=]

A_17354-02 - HSK: VAU - Physischer Zugang

Die VAU des Highspeed-Konnektors MUSS mit technischen Mitteln sicherstellen, dass kein unberechtigter Zugriff auf die Hardware der VAU möglich ist und dass

A_17355-02 - HSK: VAU - Extraktion Klartextdaten bei physischem Zugang unterbinden

Die VAU des Highspeed-Konnektors MUSS mit technischen Mitteln sicherstellen, dass ein physischer Zugang zu Hardware-Komponenten der VAU nur erfolgen kann, wenn gewährleistet ist, dass aus ihnen keine Nutzdaten im Klartext extrahiert werden können. Dies kann erfüllt werden, indem bei physischem Zugang automatisch sämtliche sensiblen Daten aus dem Speicher gelöscht werden oder gar keine Klartextdaten auf dem System verarbeitet werden und dies auch durch physischen Zugang nicht umgangen oder deaktiviert werden kann. [<=]

A_17356-03 - HSK: VAU - Löschen aller Daten beim Beenden von Verarbeitungsvorgängen

Die VAU des Highspeed-Konnektors MUSS beim Beenden von Verarbeitungsvorgängen sämtliche Daten dieses Verarbeitungsvorgangs löschen, sobald diese Daten nicht mehr benötigt werden. Insbesondere müssen beim Beenden einer virtuellen HSK-Instanz sämtliche transienten Daten dieser Instanz gelöscht werden. Löschen bedeutet, dass auch keine sensiblen Daten mehr im flüchtigen Speicher gehalten werden. Ein Persistieren von sensiblen Daten ist entsprechend A_17347-* zu keinem Zeitpunkt zulässig.
[<=]

A_23495-01 - HSK: VAU - Protokollierung bei physischem Zugang zu Systemen der VAU

Der Highspeed-Konnektor MUSS sämtliche Zugriffe auf die Hardware der VAU protokollieren - sei es die vorgesehene berechtigte Öffnungen oder das Auslösen der Sensoren/Alarme des physischen Zugangsschutzes (vgl. A_17352-*, A_17354-*, A_17355-*).
[<=]

A_24294 - HSK: VAU - Physischer Zugang bei laufender Verarbeitung

Der Hersteller des Highspeed-Konnektors MUSS, wenn sein HSK-Produkt physischen Zugang zur Hardware bei laufender Datenverarbeitung durch berechtigte Mitarbeiter des Anbieters entsprechend A_17354-* Punkt b zulässt, folgendes umsetzen:

• Dieser Zugang des Anbieters MUSS im Sicherheitskonzept des Herstellers berücksichtigt werden, wobei dies auch Innentäter beim Anbieter einbeziehen muss.
• In den Nutzungsbedingungen für Anbieter (bspw. "Secure User Guidance") MÜSSEN
• • die zulässigen Wartungsarbeiten, die der Anbieter durchführen darf, inkl. Maximaldauer benannt werden (diese sind auch konkret im Produktgutachten aufzuführen),
  • die für berechtigte physische Zugriffe des Anbieters notwendigen zusätzlichen organisatorischen Maßnahmen definiert werden und
  • auf die zwingende Prüfung der Umsetzung dieser zusätzlichen Maßnahmen entsprechend GS-A_4984-01 und A_24295 hingewiesen werden.

A_21248-02 - Anbieter HSK - Unabhängigkeit des Betreibers eines ePA-Aktensystems vom Betreiber eines HSK

Der Anbieter des ePA-Aktensystems und der Anbieter des HSK MÜSSEN dafür Sorge tragen, dass ihr beauftragter Betreiber für das ePA-Aktensystem unabhängig vom beauftragten Betreiber des Highspeed-Konnektors ist, d.h. es sind mindestens jeweils eigenständige Rechtspersönlichkeiten mit eigenständigen operativen Geschäfts- und Betriebsführungen und es ist eine strikte Vermeidung von Personenidentitäten bzw. Doppelrollen in den Funktionen Geschäftsführung, leitende Mitarbeiter und Zugangsberechtigte zum Betriebsort des Highspeed-Konnektor bzw. des ePA-Aktensystems gewährleistet.
[<=]

A_21989 - Auftragsdatenverarbeitung zwischen LEI und Anbieter Highspeed-Konnektor

Der Anbieter des HSK MUSS, wenn er nicht der nutzende Leistungserbringer ist, mit jeder nutzenden LEI eine Auftragsdatenverarbeitung vertraglich in Form eines AVV nach DSGVO regeln. Diese vertragliche Regelung muss insbesondere auch umfassen, dass der Anbieter oder ein von ihm beauftragter Betreiber nicht auf die fachlichen Anwendungsfälle (SOAP-Operationen) des Konnektors und seiner Fachmodule zugreift. [<=]

TIP1-A_4795-03 - TUC_KON_352 „Initialisierung Zeitdienst“ (Highspeed-Konnektor)

Der Highspeed-Konnektor MUSS in der Bootup-Phase TUC_KON_352 "Initialisierung Zeitdienst" durchlaufen.

Tabelle 13: TAB_KON_644-HSK – TUC_KON_352 „Initialisierung Zeitdienst“

Tabelle 14: TAB_KON_645-HSK Fehlercodes TUC_KON_352 „Initialisierung Zeitdienst“

TIP1-A_5152-01 - Aktualisieren der Infrastrukturinformationen aus der TI

Der Betreiber des Highspeed-Konnektors MUSS einen Prozess etablieren, mit dem Änderungen in der Bestandsnetze.xml innerhalb von einem Arbeitstag umgesetzt werden können.
[<=]

A_22571 - Benachrichtigung und Bereitstellung der Bestandsnetze.xml

Der Highspeed-Konnektor KANN eine Benachrichtigung des Betreibers über eine neue Bestandsnetze.xml und die Bereitstellung der heruntergeladenen Bestandsnetze.xml für den Betreiber umsetzen. [<=]

A_23764-01 - Highspeed-Konnektor:Betriebsdaten - Konfiguration CI-ID und URL-Schnittstelle ContentUploadXML

Der Anbieter Highspeed-Konnektor MUSS die folgenden Parameter des Highspeed-Konnektor-Basissystems konfigurieren:

• Configuration-Item Identifier (CI-ID*)
• URL zu der Schnittstelle I_OpsData_Update::contentUploadXML nach Vorgabe der gematik

A_23769-01 - Highspeed-Konnektor: Betriebsdaten - Konfiguration Betriebsstättenart

Der Highspeed-Konnektor MUSS die Konfiguration der Betriebsstättenart gemäß Vorgaben zum Element SiteType aus dem Schema „conn/OperatingData.xsd“ durchsetzen. Der Konnektor KANN die Einstellung entweder als einfache Auswahlliste in der Managementoberfläche der Highspeed-Konnektor-Instanz konfigurierbar bereit stellen (die Konfiguration muss initial leer sein und der Highspeed-Konnektor MUSS durchsetzen, dass die Konfiguration ausgeführt wird) oder er KANN die Information automatisch aus der Profession-OID der SMC-B gemäß GS-A_4443* ermitteln.
Wenn der Konnektor die Information automatisch aus der Profession-OID der SMC-B ermittelt, MUSS er folgendes Mapping der Profession-OID auf das Element SiteType aus dem Schema „conn/OperatingData.xsd“ vornehmen:

Tabelle 15: TAB_KON_940 Mapping Profession-OID auf SiteType

1. KRANKENHAUS
2. ARZTPRAXIS oder ZAHNARZTPRAXIS (gleichgestellt)
3. APOTHEKE
4. SONSTIGE

A_23846-01 - Highspeed-Konnektor:Betriebsdaten - Konfiguration CI-ID

Der Highspeed-Konnektor MUSS die Configuration-Item Identifier (CI-ID*) im Highspeed-Konnektor-Basissystem konfigurierbar als Datentyp String bereit stellen.

*<CI-ID> = Identifiziert die Produktinstanz, siehe Anforderung [] in [ ]
[<=]

A_23847-01 - Highspeed-Konnektor:Betriebsdaten - Konfiguration URL Schnittstelle ContentUploadXML

Der Highspeed-Konnektor MUSS die URL zu der Schnittstelle I_OpsData_Update::contentUploadXML im
Highspeed-Konnektor-Basissystem konfigurierbar als Datentyp String bereit stellen.
[<=]

A_23761-01 - Highspeed-Konnektor:Betriebsdaten - Bereitstellung von Betriebsdaten - Basissystem

Die Highspeed-Konnektor-Instanz MUSS Betriebsdaten, reduziert um die folgenden Werte:

• ContractID 
• UpdateMode
• TI-Connection Mode
• Internetmode
• TrustStatus::CRL

A_25003 - Highspeed-Konnektor:Betriebsdaten - Eindeutige Kennung Highspeed-Konnektor-Instanz

Die Highspeed-Konnektor-Instanz MUSS in dem Top-level-HTTP-Header in einem zusätzlichen Feld InstanceID einen Identifier für die Highspeed-Konnektor-Instanz liefern, der innerhalb der ICCSN eindeutig sein muss.
[<=]

A_24956 - Highspeed-Konnektor:Betriebsdaten - Formatierung der Betriebsdaten

Die Highspeed-Konnektor-Instanz MUSS die Betriebsdaten als XML Content gemäß dem Schema „conn/OperatingData.xsd“
senden. [<=]

A_21225 - Konnektor:Betriebsdaten - Annotations im XML-Schema

Der Konnektor MUSS die XML Elemente der Betriebsdaten gemäß der Annotations im Schema OperatingData.xsd befüllen. [<=]

A_23762 - Highspeed-Konnektor:Betriebsdaten - Fehlerbehandlung

Liefert I_OpsData_Update einen Fehler, MUSS der Highspeed-Konnektor das Senden der Betriebsdaten 3 Mal im Abstand von 5 Minuten erneut versuchen.
[<=]

A_23763 - Highspeed-Konnektor:Betriebsdaten - contentUploadXML nicht vorhanden

Meldet I_OpsData_Update, dass die Schnittstelle contentUploadXML nicht vorhanden ist, DARF der Konnektor die Operation NICHT sofort wiederholen. Erst zum nächsten regulären Termin soll wieder gesendet werden.
[<=]

A_23857 - Highspeed-Konnektor:Betriebsdaten - Vermeiden von Spitzenlasten beim Senden von Betriebsdaten

Der Highspeed-Konnektor MUSS Spitzenlasten durch paralleles Senden von Betriebsdaten vermeiden.
Dazu MÜSSEN die im Einsatz befindlichen Highspeed-Konnektoren eines Herstellers ihre Sende-Versuche gleichmäßig über den Tag verteilen.
[<=]

A_21140 - Konnektor:Betriebsdaten - Keine personenbezogenen und medizinischen Daten senden

Der Konnektor DARF NICHT personenbezogene, personenbeziehbare oder medizinische Daten senden. [<=]

A_22577 - Highspeed-Konnektor: Bereitstellung TU-Anbindung

Der Hersteller eines Highspeed-Konnektors MUSS die Anbindung seines Produktes an die TU über einen SZZP inklusive vollständiger Erreichbarkeit aller Dienste bereitstellen. [<=]

A_22574 - Zugang zum Highspeed Konnektor

Der Hersteller eines Highspeed-Konnektors MUSS nach der Anbindung seines Produktes in der TU dem Test der gematik einen Zugang auf die Managementschnittstelle zu seinem Produkt einrichten. [<=]

TIP1-A_2805 - Zeitnahe Anpassung von Produktkonfigurationen

Der Hersteller oder Anbieter von Produkten MUSS sicherstellen, dass in der Testumgebung die Produkte (außer Smartcards) sich in ihren Konfigurationen zeitnah (möglichst kleiner 1 Arbeitstag) anpassen lassen. [<=]

TIP1-A_7330 - Tracedaten von echten Außenschnittstellen

Die testdurchführende Instanz SOLL seine eigenverantwortlichen Tests an den Außenschnittstellen des Testobjekts und nicht an internen Loopback Devices durchführen.
[<=]

TIP1-A_7331 - Bereitstellung von Tracedaten an Außenschnittstelle

TIP1-A_6529 - Produkttypen: Mindestumfang der Interoperabilitätsprüfung

Die testdurchführende Instanz (TDI) MUSS zum Nachweis der Interoperabilität alle für das jeweilige Produkt relevanten anwendungsfallbasierten Tests mit der Mindestanzahl von Produkten gemäß Tabelle 13: Tab_Test_033 Mindestumfang der Interoperabilitätsprüfung durchführen. [<=]