gemPolicy_ZETA_VSDM_2_V1.0.0






ZETA – Zero Trust Access





Policy

ZETA Guard – Policies 

VSDM2





Version1.0.0
Revision1657166
Stand06.07.2026
Statusfreigegeben
Klassifizierungöffentlich
ReferenzierunggemPolicy_ZETA_VSDM_2

Dokumentinformationen

Gender-Hinweis
Aus Gründen der besseren Lesbarkeit wird in diesem Dokument überwiegend die männliche Form verwendet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Änderungen zur Vorversion

Es handelt sich um eine Erstveröffentlichung.

Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.

Dokumentenhistorie

Version Stand Kap./ Seite Grund der Änderung, besondere Hinweise Bearbeitung
1.0.0 06.07.2026 initiale Erstellung (Policies_26_1) gematik

Inhaltsverzeichnis

1 Einordnung des Dokuments

1.1 Ziel der Policies

Sicherheitsrichtlinien in Zero Trust Umgebungen werden durch Policies definiert, die innerhalb des ZETA Guard durch den Open Policy Agent verarbeitet und durch PDP/PEP durchgesetzt werden. 
Die Policies stellen sicher, dass nur autorisierte Institutionen, Personen und Geräte Zugriff auf geschützte Ressourcen und Dienste erhalten. Sie definieren Regeln, um die Berechtigungen - beispielsweise basierend auf den Institutionstypen und angefragten Berechtigungen - zu gewähren oder abzulehnen. 
Die Policies bestehen grundsätzlich aus Regeln und dazugehörenden Daten. Die Regeln können sowohl allgemeingültig als auch dienstspezifisch sein; das gilt ebenso für die dazugehörenden Daten. 
Nach Auswertung der Policies durch den Open Policy Agent werden im Positiv- Fall Access Token erstellt. Die Gültigkeitsdauer für Access Token wird durch den jeweiligen Fachdienst festgelegt. 
Die Policies überprüfen die folgenden Aspekte. Bei Verstoß gegen eine der unten genannten Regeln wird der Zugriff verweigert und entsprechende Fehlermeldungen zurückgegeben: 

1.1.1 Scopes und Audiences

Es wird geprüft, ob die angefragten Berechtigungen (scopes) und Zielressourcen (audience) mit den erlaubten Berechtigungen und Zielressourcen übereinstimmen. 

1.1.2 Client-Version

Die Software- Version des Clients muss den erlaubten Versionen entsprechen.  
Nur bei der gematik registrierte Clients (product_id und product_version) erhalten Zugriff auf die TI 2.0. 

1.1.3 Profession

Der Institutionstyp muss in der Liste der erlaubten Institutionstypen enthalten sein.  
Eine detaillierte Festlegung erlaubter OID’s erfolgt in Allowlists fachdienstspezifischer Policies. 

1.2 Zielgruppe

Dieses Dokument dient der Information und Abstimmung der Regeln. 
Die dazugehörenden Daten werden durch die gematik definiert.

1.3 Abgrenzung des Dokuments

Die Beschreibungen der generellen Funktionalitäten des ZETA Guard und des Open Policy Agent sind nicht Bestandteil dieses Dokuments.

Wichtiger Schutzrechts-/Patentrechtshinweis

Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.

Hinweis auf offene Punkte

Offener Punkt: Das Kapitel wird in einer späteren Version des Dokumentes ergänzt.

2 Dienstspezifische Berechtigungen / Einschränkungen

Für den PoPP-Service gibt es keine Einschränkung bezüglich der OIDs des Gesundheitswesens. Der Zugriff auf den PoPP Service ist für alle Institutionen, die eine SM(C-)B haben, erlaubt. 

2.1 Allowlists

Die erteilten Berechtigungen umfassen die folgenden Dienste und Funktionen: 

Tabelle 1: Allowlist – scopes/audiences

Berechtigung 
Erläuterung 
vsdservice 
Zugriff auf die VSDService-API, Resource VSDMBundle 
“UC_1 VSD über Fachdienst VSDM API /vsdservice abrufen“

2.1.1 Berechtigte Leistungserbringerinstitutionen

Tabelle 2: Allowlist – professionOID‘s

Institutionstyp 
OID 
 Betriebsstätte Arzt  1.2.276.0.76.4.50 
Zahnarztpraxis  1.2.276.0.76.4.51 
Betriebsstätte Psychotherapeut  1.2.276.0.76.4.52 
Krankenhaus  1.2.276.0.76.4.53 
Öffentliche Apotheke  1.2.276.0.76.4.54 
Krankenhausapotheke  1.2.276.0.76.4.55 
Bundeswehrapotheke  1.2.276.0.76.4.56 
Betriebsstätte Mobile Einrichtung Rettungsdienst  1.2.276.0.76.4.57 
Betriebsstätte gematik (gematik probing) 1.2.276.0.76.4.58 
Betriebsstätte Kostenträger  1.2.276.0.76.4.59 

2.1.2 Erlaubte Zugriffsmethoden

Tabelle 3 : Allowlist – Zugriffsmethoden

Methode 
Erläuterung 
„GET“ 
https://gemspec.gematik.de/docs/gemSpec/gemSpec_VSDM_2/latest/#A_26733 

2.1.3 Token Gültigkeitsdauer

Tabelle 4 : Allowlist – Token Gültigkeitsdauer

Methode 
Erläuterung 
VSDMBundle https://gemspec.gematik.de/docs/gemSpec/gemSpec_VSDM_2/latest/#A_27330  
Die Gültigkeit eines PoPP-Tokens darf das jeweilige Quartalsende nicht überschreiten.

2.2 Denylists

Tabelle 5 : Denylist

Einschränkung 
Erläuterung 
keine 
 

3 Anhang – Verzeichnisse

3.1 Abkürzungen

Kürzel
Erläuterung
PDP Policy Decision Point
PEP Policy Enforcement Point
PS Primärsystem
LEI Leistungserbringerinstitution
PoPP Proof of Patient Presence

3.2 Glossar

Begriff
Erläuterung

Das Glossar wird als eigenständiges Dokument (vgl. [gemGlossar]) zur Verfügung gestellt.

3.3 Abbildungsverzeichnis

    3.4 Tabellenverzeichnis

    3.5 Referenzierte Dokumente

    3.5.1 Dokumente der gematik

    Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur.

    [Quelle]
    Herausgeber: Titel
    [gemSpec_ZETA] Gematik: Spezifikation Zero Trust Access 
    https://gemspec.gematik.de/docs/gemSpec/gemSpec_ZETA/latest/ 
    [gemSpec_OID] gematik: Spezifikation Festlegung von OIDs 
    https://gemspec.gematik.de/docs/gemSpec/gemSpec_OID/latest/  
    [gemSpec_PoPP-Service] gematik: Spezifikation Proof of Patient Presence (PoPP)-Service (Stufe 1) 
    https://gemspec.gematik.de/docs/gemSpec/gemSpec_PoPP_Service/latest/ 
    [gemSpec_VSDM2]  gematik: Spezifikation Versichertenstammdatenmanagement 2.0 (VSDM 2.0) 
    https://gemspec.gematik.de/docs/gemSpec/gemSpec_VSDM_2/latest/  
    [Open Policy Agent] https://www.openpolicyagent.org/ 

    3.5.2 Weitere Dokumente

    [Quelle]
    Herausgeber (Erscheinungsdatum): Titel

    3.6 Offene Punkte/Klärungsbedarf <optional>


    <hier werden offene Punkte vermerkt, die bereits in Klärung sind, aber noch nicht in Form einer "offiziellen" Stellungnahme" vorliegen (z.B. bereits erstellte Entscheidungsvorlagen)> 
     

    Kap. 
    Offener Punkt 
    Zuständig