gemProdT_VZD_FHIR_PTV_1.1.0-1_V1.0.0
Releases:
Elektronische Gesundheitskarte und Telematikinfrastruktur
Produkttypsteckbrief
Prüfvorschrift
Verzeichnisdienst FHIR
| Produkttyp Version | 1.1.0-1 |
| Produkttyp Status | freigegeben |
| Version | 1.0.0 |
| Revision | 693209 |
| Stand | 11.08.2023 |
| Status | freigegeben |
| Klassifizierung | öffentlich |
| Referenzierung | gemProdT_VZD_FHIR_PTV_1.1.0-1 |
Historie Produkttypversion und Produkttypsteckbrief
Historie Produkttypversion
Die Produkttypversion ändert sich, wenn sich die normativen Festlegungen für den Produkttyp ändern und die Umsetzung durch Produktentwicklungen ebenfalls betroffen ist.
| Produkttypversion | Beschreibung der Änderung | Referenz |
|---|---|---|
| 1.0.0-0 | Initiale Version auf Dokumentenebene | gemProdT_VZD_FHIR_PTV1.0.0-0 |
| 1.1.0-0 | Einarbeitung TI-Messenger Maintenance 23.1 / VZD FHIR Maintenance_23.1 | gemProdT_VZD_FHIR_PTV1.1.0-0 |
| 1.1.0-1 | Hotfix zu TIM_1_1_1, Neue Versionen der Dokumente | gemProdT_VZD_FHIR_PTV1.1.0-1 |
Historie Produkttypsteckbrief
Die Dokumentenversion des Produkttypsteckbriefs ändert sich mit jeder inhaltlichen oder redaktionellen Änderung des Produkttypsteckbriefs und seinen referenzierten Dokumenten. Redaktionelle Änderungen haben keine Auswirkung auf die Produkttypversion.
| Version | Datum | Kap. | Grund der Änderung, besondere Hinweise | Bearbeiter |
|---|---|---|---|---|
| 1.0.0 | 11.08.2023 | freigegeben | gematik |
Inhaltsverzeichnis
1 Einführung
1.1 Zielsetzung und Einordnung des Dokumentes
Dieser Produkttypsteckbrief verzeichnet verbindlich die normativen Festlegungen der gematik an Herstellung und Betrieb von Produkten des Produkttyps Verzeichnisdienst FHIR oder verweist auf Dokumente, in denen verbindliche normative Festlegungen mit ggf. anderer Notation zu finden sind. Die normativen Festlegungen bilden die Grundlage für die Erteilung von Zulassungen/Bestätigungen durch die gematik.
Die normativen Festlegungen werden über ihren Identifier, ihren Titel sowie die Dokumentenquelle referenziert. Die normativen Festlegungen mit ihrem vollständigen, normativen Inhalt sind dem jeweils referenzierten Dokument zu entnehmen.
1.2 Zielgruppe
Der Produkttypsteckbrief richtet sich an Verzeichnisdienst FHIR-Hersteller und -Anbieter sowie Hersteller und Anbieter von Produkttypen, die hierzu eine Schnittstelle besitzen.
Das Dokument ist außerdem zu verwenden von:
- der gematik im Rahmen des Zulassungs-/Bestätigungsverfahrens
- dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
- akkreditierten Materialprüflaboren
- Auditoren
Bei zentralen Diensten der TI-Plattform und fachanwendungsspezifischen Diensten beziehen sich normative Festlegungen, die sowohl an Anbieter als auch Hersteller gerichtet sind, jeweils auf den Anbieter als Zulassungsnehmer, bei dezentralen Produkten auf den Hersteller.
1.3 Geltungsbereich
Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungs-/Bestätigungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z. B. gemPTV_ATV_Festlegungen, Leistungsbeschreibung) festgelegt und bekannt gegeben.
1.4 Abgrenzung des Dokumentes
Dieses Dokument macht keine Aussagen zur Aufteilung der Produktentwicklung bzw. Produktherstellung auf verschiedene Hersteller und Anbieter.
Dokumente zu den Zulassungs-/Bestätigungsverfahren für den Produkttyp sind nicht aufgeführt. Die geltenden Verfahren und Regelungen zur Beantragung und Durchführung von Zulassungs-/Bestätigungsverfahren können dem Fachportal der gematik (https://fachportal.gematik.de/downloadcenter/zulassungs-bestaetigungsantraege-verfahrensbeschreibungen) entnommen werden.
1.5 Methodik
Die im Dokument verzeichneten normativen Festlegungen werden tabellarisch dargestellt. Die Tabellenspalten haben die folgende Bedeutung:
ID: Identifiziert die normative Festlegung eindeutig im Gesamtbestand aller Festlegungen der gematik.
Bezeichnung: Gibt den Titel einer normativen Festlegung informativ wieder, um die thematische Einordnung zu erleichtern. Der vollständige Inhalt der normativen Festlegung ist dem Dokument zu entnehmen, auf das die Quellenangabe verweist.
Quelle (Referenz): Verweist auf das Dokument, das die normative Festlegung definiert.
2 Dokumente
Die nachfolgenden Dokumente enthalten für das Bestätigungsobjekt TI-Messenger Verzeichnisdienst FHIR normative Festlegungen. Die für die Erlangung einer Bestätigung / Zulassung notwendigen Nachweise pro Festlegung werden in den folgenden Kapiteln aufgeführt.
Tabelle 1: Dokumente mit normativen Festlegungen
| Dokumentenkürzel | Bezeichnung des Dokumentes | Version |
|---|---|---|
| gemKPT_Test | Testkonzept der TI | 2.8.7 |
| gemRL_TSL_SP_CP | Certificate Policy Gemeinsame Zertifizierungsrichtlinie für Teilnehmer der gematik-TSL | 2.11.0 |
| gemSpec_DS_Hersteller | Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Hersteller | 1.5.0 |
| gemSpec_Krypt | Übergreifende Spezifikation Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur | 2.28.0 |
| gemSpec_Perf | Übergreifende Spezifikation Performance und Mengengerüst TI-Plattform | 2.30.1 |
| gemSpec_TI-Messenger-Dienst | Spezifikation TI-Messenger-Dienst | 1.1.1 |
| gemSpec_VZD_FHIR_Directory | Spezifikation VZD FHIR-Directory | 1.3.0 |
Weiterhin sind die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte normativ und gelten mit.
Tabelle 2: Mitgeltende Dokumente und Web-Inhalte
| Quelle |
Herausgeber: Bezeichnung / URL |
Version Branch / Tag |
|---|---|---|
| [VZD-FHIR-PACKAGE-DIRECTORY] |
https://simplifier.net/packages/de.gematik.fhir.directory/0.10.1 |
0.10.1 |
Die Bestätigungs-/Zulassungsbedingungen für das Bestätigungs-/Zulassungsobjekt VZD-FHIR-Directory werden im Dokument [gemZul_ProdVerzD] im Fachportal der gematik im Abschnitt Zulassung veröffentlicht.
Die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte sind informative Beistellungen und sind nicht Gegenstand der Bestätigung / Zulassung.
Tabelle 3 Informative Dokumente und Web-Inhalte
| Quelle | Herausgeber: Bezeichnung / URL | Version Branch / Tag |
|---|---|---|
| [GITHUB-VZD] | https://github.com/gematik/api-vzd | |
| [SIMPLIFIER-VZD] | https://simplifier.net/vzd-fhir-directory | |
| [CC] |
Internationaler Standard: Common Criteria for Information Technology Security Evaluation, https://www.commoncriteriaportal.org/cc/ | |
| [gemRL_PruefSichEig_DS] | Richtlinie zur Prüfung der Sicherheitseignung | 2.2.0 |
Hinweis:
- Ist kein Herausgeber angegeben, wird angenommen, dass die gematik für Herausgabe und Veröffentlichung der Quelle verantwortlich ist.
- Ist keine Version angegeben, bezieht sich die Quellenangabe auf die aktuellste Version.
- Bei Quellen aus gitHub werden als Version Branch und / oder Tag verwendet.
3 normative Festlegungen
Die folgenden Abschnitte verzeichnen alle für den Produkttypen normativen Festlegungen, die für die Entwicklung und den Betrieb von Produkten des Produkttyps notwendig sind. Die Festlegungen sind gruppiert nach der Art der Nachweisführung ihrer Erfüllung als Grundlage der Zulassung/Bestätigung.
3.1 Festlegungen zur funktionalen Eignung
3.1.1 Produkttest/Produktübergreifender Test
In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Festlegungen an den technischen Teil des Produkttyps verzeichnet, deren Umsetzung im Zuge von Zulassungs-/Bestätigungstests durch die gematik geprüft wird.
Tabelle 4: Festlegungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| TIP1-A_6529 | Produkttypen: Mindestumfang der Interoperabilitätsprüfung | gemKPT_Test |
3.1.2 Herstellererklärung funktionale Eignung
In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Festlegungen an den technischen Teil des Produkttyps verzeichnet, deren Erfüllung der Hersteller bzw. der Anbieter durch eine Herstellererklärung belegt.
Tabelle 5: Festlegungen zur funktionalen Eignung "Herstellererklärung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| GS-A_4155 | Performance – zentrale Dienste – Verfügbarkeit | gemSpec_Perf |
| AF_10057 | Anmeldung eines Akteurs am Messenger-Service | gemSpec_TI-Messenger-Dienst |
| AF_10058-01 | Akteur (User-HBA) im Verzeichnisdienst hinzufügen | gemSpec_TI-Messenger-Dienst |
| AF_10059-01 | Organisationsressourcen im Verzeichnisdienst hinzufügen | gemSpec_TI-Messenger-Dienst |
| AF_10060-01 | Bereitstellung eines Messenger-Service für eine Organisation | gemSpec_TI-Messenger-Dienst |
| AF_10061-01 | Einladung von Akteuren außerhalb einer Organisation | gemSpec_TI-Messenger-Dienst |
| AF_10062-01 | Austausch von Events zwischen Akteuren außerhalb einer Organisation | gemSpec_TI-Messenger-Dienst |
| AF_10064-01 | Föderationszugehörigkeit eines Messenger-Service prüfen | gemSpec_TI-Messenger-Dienst |
| AF_10036 | Nutzer sucht Einträge im FHIR-Directory | gemSpec_VZD_FHIR_Directory |
| AF_10037 | Einträge im VZD-FHIR-Directory ändern | gemSpec_VZD_FHIR_Directory |
| AF_10047-01 | Einträge mit dem VZD-LDAP-Directory abgleichen | gemSpec_VZD_FHIR_Directory |
| AF_10048-01 | Anwendungsfälle der TI-Messenger-Anbieter im VZD-FHIR-Directory | gemSpec_VZD_FHIR_Directory |
| TIP1-A_5552 | VZD, Begrenzung der Suchergebnisse | gemSpec_VZD_FHIR_Directory |
3.2 Festlegungen zur sicherheitstechnischen Eignung
3.2.1 CC-Evaluierung
In diesem Abschnitt sind Festlegungen verzeichnet, deren Umsetzung im Zuge einer Zertifizierung gemäß Common Criteria (CC) nachgewiesen werden muss. Der Nachweis erfolgt durch die Vorlage des IT-Sicherheitszertifikats bei der gematik.
Tabelle 6: Festlegungen zur sicherheitstechnischen Eignung "CC-Evaluierung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| Es liegen keine Festlegungen vor |
3.2.2 Sicherheitsgutachten
Die in diesem Abschnitt verzeichneten Festlegungen sind Gegenstand der Prüfung der Sicherheitseignung gemäß [gemRL_PruefSichEig_DS]. Das entsprechende Sicherheitsgutachten ist der gematik vorzulegen.
Tabelle 7: Festlegungen zur sicherheitstechnischen Eignung "Sicherheitsgutachten"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| GS-A_4330 | Einbringung des Komponentenzertifikats | gemRL_TSL_SP_CP |
| A_19147 | Sicherheitstestplan | gemSpec_DS_Hersteller |
| A_19148 | Sicherheits- und Datenschutzkonzept | gemSpec_DS_Hersteller |
| A_19150 | Umsetzung Sicherheitstestplan | gemSpec_DS_Hersteller |
| A_19151 | Implementierungsspezifische Sicherheitsanforderungen | gemSpec_DS_Hersteller |
| A_19152 | Verwendung eines sicheren Produktlebenszyklus | gemSpec_DS_Hersteller |
| A_19153 | Sicherheitsrelevanter Softwarearchitektur-Review | gemSpec_DS_Hersteller |
| A_19154 | Durchführung einer Bedrohungsanalyse | gemSpec_DS_Hersteller |
| A_19155 | Durchführung sicherheitsrelevanter Quellcode-Reviews | gemSpec_DS_Hersteller |
| A_19156 | Durchführung automatisierter Sicherheitstests | gemSpec_DS_Hersteller |
| A_19157 | Dokumentierter Plan zur Sicherheitsschulung für Entwickler | gemSpec_DS_Hersteller |
| A_19158 | Sicherheitsschulung für Entwickler | gemSpec_DS_Hersteller |
| A_19159 | Dokumentation des sicheren Produktlebenszyklus | gemSpec_DS_Hersteller |
| A_19160 | Änderungs- und Konfigurationsmanagementprozess | gemSpec_DS_Hersteller |
| A_19161 | Verifizierung der Einhaltung sicherheitstechnische Eignung durch Datenschutzbeauftragten | gemSpec_DS_Hersteller |
| A_19162 | Informationspflicht bei Veröffentlichung neue Produktversion | gemSpec_DS_Hersteller |
| A_17124-01 | TLS-Verbindungen (ECC-Migration) | gemSpec_Krypt |
| A_18464 | TLS-Verbindungen, nicht Version 1.1 | gemSpec_Krypt |
| A_18467 | TLS-Verbindungen, Version 1.3 | gemSpec_Krypt |
| A_21275-01 | TLS-Verbindungen, zulässige Hashfunktionen bei Signaturen im TLS-Handshake | gemSpec_Krypt |
| GS-A_4359-02 | X.509-Identitäten für die Durchführung einer TLS-Authentifizierung | gemSpec_Krypt |
| GS-A_4367 | Zufallszahlengenerator | gemSpec_Krypt |
| GS-A_4368 | Schlüsselerzeugung | gemSpec_Krypt |
| GS-A_4384-01 | TLS-Verbindungen | gemSpec_Krypt |
| GS-A_4385 | TLS-Verbindungen, Version 1.2 | gemSpec_Krypt |
| GS-A_4387 | TLS-Verbindungen, nicht Version 1.0 | gemSpec_Krypt |
| GS-A_5035 | Nichtverwendung des SSL-Protokolls | gemSpec_Krypt |
| GS-A_5322 | Weitere Vorgaben für TLS-Verbindungen | gemSpec_Krypt |
| GS-A_5526 | TLS-Renegotiation-Indication-Extension | gemSpec_Krypt |
| TIP1-A_5546-01 | VZD, Integritäts- u. Authentizitätsschutz | gemSpec_VZD_FHIR_Directory |
| TIP1-A_5548 | VZD, Protokollierung der Änderungsoperationen | gemSpec_VZD_FHIR_Directory |
| TIP1-A_5551 | VZD, Sicher gegen Datenverlust | gemSpec_VZD_FHIR_Directory |
| TIP1-A_5553 | VZD, Private Schlüssel sicher speichern | gemSpec_VZD_FHIR_Directory |
| TIP1-A_5554-01 | VZD, Registrierungsdaten sicher speichern | gemSpec_VZD_FHIR_Directory |
| TIP1-A_5556 | VZD, Fehler Logging | gemSpec_VZD_FHIR_Directory |
| TIP1-A_5558 | VZD, Sicheres Speichern der TSL | gemSpec_VZD_FHIR_Directory |
3.2.3 Herstellerklärung sicherheitstechnische Eignung
Sofern in diesem Abschnitt Festlegungen verzeichnet sind, muss der Hersteller bzw. der Anbieter deren Umsetzung und Beachtung zum Nachweis der sicherheitstechnischen Eignung durch eine Herstellererklärung bestätigen bzw. zusagen.
Tabelle 8: Festlegungen zur sicherheitstechnischen Eignung "Herstellererklärung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| GS-A_2162 | Kryptographisches Material in Entwicklungs- und Testumgebungen | gemKPT_Test |
| TIP1-A_4191 | Keine Echtdaten in RU und TU | gemKPT_Test |
| A_19163 | Rechte der gematik zur sicherheitstechnischen Prüfung des Produktes | gemSpec_DS_Hersteller |
| A_19164 | Mitwirkungspflicht bei Sicherheitsprüfung | gemSpec_DS_Hersteller |
| A_19165 | Auditrechte der gematik zur Prüfung der Herstellerbestätigung | gemSpec_DS_Hersteller |
| A_17322 | TLS-Verbindungen nur zulässige Ciphersuiten und TLS-Versionen (ECC-Migration) | gemSpec_Krypt |
| A_17775 | TLS-Verbindungen Reihenfolge Ciphersuiten (ECC-Migration) | gemSpec_Krypt |
| GS-A_5541 | TLS-Verbindungen als TLS-Klient zur Störungsampel oder SM | gemSpec_Krypt |
| GS-A_5542 | TLS-Verbindungen (fatal Alert bei Abbrüchen) | gemSpec_Krypt |
| GS-A_5580-01 | TLS-Klient für betriebsunterstützende Dienste | gemSpec_Krypt |
| GS-A_5581 | "TUC vereinfachte Zertifikatsprüfung“ (Komponenten-PKI) | gemSpec_Krypt |
| TIP1-A_5549 | VZD, Keine Leseprofilbildung | gemSpec_VZD_FHIR_Directory |
| TIP1-A_5550 | VZD, Keine Kopien von gelöschten Daten | gemSpec_VZD_FHIR_Directory |
3.3 Festlegungen zur elektrischen, mechanischen und physikalischen Eignung
In diesem Abschnitt sind Festlegungen verzeichnet, deren Umsetzung im Zuge einer elektrischen, mechanischen und physikalischen Prüfung nachgewiesen werden muss. Der Nachweis erfolgt durch die Vorlage des Prüfberichts.
Tabelle 9: Festlegungen zur elektrischen, mechanischen und physikalischen Eignung
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| Es liegen keine Festlegungen vor |
4 Produkttypspezifische Merkmale
Es liegen keine optionalen Ausprägungen des Produkttyps vor.
5 Anhang A – Verzeichnisse
5.1 Abkürzungen
| Kürzel | Erläuterung |
|---|---|
| ID | Identifikation |
| CC |
Common Criteria |
5.2 Tabellenverzeichnis
- Tabelle 1: Dokumente mit normativen Festlegungen
- Tabelle 2: Mitgeltende Dokumente und Web-Inhalte
- Tabelle 3 Informative Dokumente und Web-Inhalte
- Tabelle 4: Festlegungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"
- Tabelle 5: Festlegungen zur funktionalen Eignung "Herstellererklärung"
- Tabelle 6: Festlegungen zur sicherheitstechnischen Eignung "CC-Evaluierung"
- Tabelle 7: Festlegungen zur sicherheitstechnischen Eignung "Sicherheitsgutachten"
- Tabelle 8: Festlegungen zur sicherheitstechnischen Eignung "Herstellererklärung"
- Tabelle 9: Festlegungen zur elektrischen, mechanischen und physikalischen Eignung