latest
ZETA – Zero Trust Access
Policy
ZETA Guard – Policies
VSDM2
| Version | 1.0.0 |
| Revision | 1657166 |
| Stand | 06.07.2026 |
| Status | freigegeben |
| Klassifizierung | öffentlich |
| Referenzierung | gemPolicy_ZETA_VSDM_2 |
Dokumentinformationen
Gender-Hinweis
Aus Gründen der besseren Lesbarkeit wird in diesem Dokument überwiegend die männliche Form verwendet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.
Änderungen zur Vorversion
Es handelt sich um eine Erstveröffentlichung.
Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.
Dokumentenhistorie
| Version | Stand | Kap./ Seite | Grund der Änderung, besondere Hinweise | Bearbeitung |
|---|---|---|---|---|
| 1.0.0 | 06.07.2026 | initiale Erstellung (Policies_26_1) | gematik |
Inhaltsverzeichnis
1 Einordnung des Dokuments
1.1 Ziel der Policies
Sicherheitsrichtlinien in Zero Trust Umgebungen werden durch Policies definiert, die innerhalb des ZETA Guard durch den Open Policy Agent verarbeitet und durch PDP/PEP durchgesetzt werden.
Die Policies stellen sicher, dass nur autorisierte Institutionen, Personen und Geräte Zugriff auf geschützte Ressourcen und Dienste erhalten. Sie definieren Regeln, um die Berechtigungen - beispielsweise basierend auf den Institutionstypen und angefragten Berechtigungen - zu gewähren oder abzulehnen.
Die Policies bestehen grundsätzlich aus Regeln und dazugehörenden Daten. Die Regeln können sowohl allgemeingültig als auch dienstspezifisch sein; das gilt ebenso für die dazugehörenden Daten.
Nach Auswertung der Policies durch den Open Policy Agent werden im Positiv- Fall Access Token erstellt. Die Gültigkeitsdauer für Access Token wird durch den jeweiligen Fachdienst festgelegt.
Die Policies überprüfen die folgenden Aspekte. Bei Verstoß gegen eine der unten genannten Regeln wird der Zugriff verweigert und entsprechende Fehlermeldungen zurückgegeben:
1.1.1 Scopes und Audiences
Es wird geprüft, ob die angefragten Berechtigungen (scopes) und Zielressourcen (audience) mit den erlaubten Berechtigungen und Zielressourcen übereinstimmen.
1.1.2 Client-Version
Die Software- Version des Clients muss den erlaubten Versionen entsprechen.
Nur bei der gematik registrierte Clients (product_id und product_version) erhalten Zugriff auf die TI 2.0.
1.1.3 Profession
Der Institutionstyp muss in der Liste der erlaubten Institutionstypen enthalten sein.
Eine detaillierte Festlegung erlaubter OID’s erfolgt in Allowlists fachdienstspezifischer Policies.
1.2 Zielgruppe
Dieses Dokument dient der Information und Abstimmung der Regeln.
Die dazugehörenden Daten werden durch die gematik definiert.
1.3 Abgrenzung des Dokuments
Die Beschreibungen der generellen Funktionalitäten des ZETA Guard und des Open Policy Agent sind nicht Bestandteil dieses Dokuments.
Wichtiger Schutzrechts-/Patentrechtshinweis
Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.
Hinweis auf offene Punkte
| Offener Punkt: Das Kapitel wird in einer späteren Version des Dokumentes ergänzt. |
2 Dienstspezifische Berechtigungen / Einschränkungen
Für den PoPP-Service gibt es keine Einschränkung bezüglich der OIDs des Gesundheitswesens. Der Zugriff auf den PoPP Service ist für alle Institutionen, die eine SM(C-)B haben, erlaubt.
2.1 Allowlists
Die erteilten Berechtigungen umfassen die folgenden Dienste und Funktionen:
Tabelle 1: Allowlist – scopes/audiences
| Berechtigung
|
Erläuterung
|
|---|---|
| vsdservice
|
Zugriff auf die VSDService-API, Resource VSDMBundle
“UC_1 VSD über Fachdienst VSDM API /vsdservice abrufen“ |
2.1.1 Berechtigte Leistungserbringerinstitutionen
Tabelle 2: Allowlist – professionOID‘s
| Institutionstyp
|
OID
|
|---|---|
| Betriebsstätte Arzt | 1.2.276.0.76.4.50 |
| Zahnarztpraxis | 1.2.276.0.76.4.51 |
| Betriebsstätte Psychotherapeut | 1.2.276.0.76.4.52 |
| Krankenhaus | 1.2.276.0.76.4.53 |
| Öffentliche Apotheke | 1.2.276.0.76.4.54 |
| Krankenhausapotheke | 1.2.276.0.76.4.55 |
| Bundeswehrapotheke | 1.2.276.0.76.4.56 |
| Betriebsstätte Mobile Einrichtung Rettungsdienst | 1.2.276.0.76.4.57 |
| Betriebsstätte gematik (gematik probing) | 1.2.276.0.76.4.58 |
| Betriebsstätte Kostenträger | 1.2.276.0.76.4.59 |
2.1.2 Erlaubte Zugriffsmethoden
Tabelle 3 : Allowlist – Zugriffsmethoden
| Methode
|
Erläuterung
|
|---|---|
| „GET“
|
https://gemspec.gematik.de/docs/gemSpec/gemSpec_VSDM_2/latest/#A_26733
|
2.1.3 Token Gültigkeitsdauer
Tabelle 4 : Allowlist – Token Gültigkeitsdauer
| Methode
|
Erläuterung
|
|---|---|
| VSDMBundle | https://gemspec.gematik.de/docs/gemSpec/gemSpec_VSDM_2/latest/#A_27330
Die Gültigkeit eines PoPP-Tokens darf das jeweilige Quartalsende nicht überschreiten. |
2.2 Denylists
Tabelle 5 : Denylist
| Einschränkung
|
Erläuterung
|
|---|---|
| keine
|
|
3 Anhang – Verzeichnisse
3.1 Abkürzungen
| Kürzel
|
Erläuterung
|
|---|---|
| PDP | Policy Decision Point |
| PEP | Policy Enforcement Point |
| PS | Primärsystem |
| LEI | Leistungserbringerinstitution |
| PoPP | Proof of Patient Presence |
3.2 Glossar
| Begriff
|
Erläuterung
|
|---|---|
Das Glossar wird als eigenständiges Dokument (vgl. [gemGlossar]) zur Verfügung gestellt.
3.3 Abbildungsverzeichnis
3.4 Tabellenverzeichnis
3.5 Referenzierte Dokumente
3.5.1 Dokumente der gematik
Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur.
| [Quelle]
|
Herausgeber: Titel
|
|---|---|
| [gemSpec_ZETA] | Gematik: Spezifikation Zero Trust Access
https://gemspec.gematik.de/docs/gemSpec/gemSpec_ZETA/latest/ |
| [gemSpec_OID] | gematik: Spezifikation Festlegung von OIDs
https://gemspec.gematik.de/docs/gemSpec/gemSpec_OID/latest/ |
| [gemSpec_PoPP-Service] | gematik: Spezifikation Proof of Patient Presence (PoPP)-Service (Stufe 1)
https://gemspec.gematik.de/docs/gemSpec/gemSpec_PoPP_Service/latest/ |
| [gemSpec_VSDM2] | gematik: Spezifikation Versichertenstammdatenmanagement 2.0 (VSDM 2.0)
https://gemspec.gematik.de/docs/gemSpec/gemSpec_VSDM_2/latest/ |
| [Open Policy Agent] | https://www.openpolicyagent.org/ |
3.5.2 Weitere Dokumente
| [Quelle]
|
Herausgeber (Erscheinungsdatum): Titel
|
|---|---|
3.6 Offene Punkte/Klärungsbedarf <optional>
<hier werden offene Punkte vermerkt, die bereits in Klärung sind, aber noch nicht in Form einer "offiziellen" Stellungnahme" vorliegen (z.B. bereits erstellte Entscheidungsvorlagen)>
| Kap.
|
Offener Punkt
|
Zuständig
|
|---|---|---|
|
|
|
|
|
|
|
|