latest

Releases:

PDF HTML Excel XML ZIP
latest



Elektronische Gesundheitskarte und Telematikinfrastruktur






Produkttypsteckbrief

Prüfvorschrift

Verzeichnisdienst FHIR 


    

     

      Produkttyp Version
      1.1.2-0
     

     

      Produkttyp Status
      freigegeben
     

    

    

     

      Version
      1.0.0
     

     

      Revision
      875861
     

     

      Stand
      28.03.2024
     

     

      Status
      freigegeben
     

     

      Klassifizierung
      öffentlich
     

     

      Referenzierung
      gemProdT_VZD_FHIR_PTV_1.1.2-0

Historie Produkttypversion und Produkttypsteckbrief

Historie Produkttypversion

Die Produkttypversion ändert sich, wenn sich die normativen Festlegungen für den Produkttyp ändern und die Umsetzung durch Produktentwicklungen ebenfalls betroffen ist.

Produkttypversion Beschreibung der Änderung Referenz
1.0.0-0 Initiale Version auf Dokumentenebene gemProdT_VZD_FHIR_PTV1.0.0-0
1.1.0-0 Einarbeitung TI-Messenger Maintenance 23.1 / VZD FHIR Maintenance_23.1  gemProdT_VZD_FHIR_PTV1.1.0-0
1.1.0-1 Hotfix zu TIM_1_1_1, Neue Versionen der  Dokumente gemProdT_VZD_FHIR_PTV1.1.0-1
1.1.1-0 Anpassungen für ePA für alle gemProdT_VZD_FHIR_PTV1.1.1-0
1.1.2-0 Anpassung an VZD_23.2 und VZD_24.1  gemProdT_VZD_FHIR_PTV1.1.2-0

Historie Produkttypsteckbrief

Die Dokumentenversion des Produkttypsteckbriefs ändert sich mit jeder inhaltlichen oder redaktionellen Änderung des Produkttypsteckbriefs und seinen referenzierten Dokumenten. Redaktionelle Änderungen haben keine Auswirkung auf die Produkttypversion.

Version Datum Kap. Grund der Änderung, besondere Hinweise Bearbeiter
1.0.0 28.03.2024 freigegeben gematik

Inhaltsverzeichnis

1 Einführung

1.1 Zielsetzung und Einordnung des Dokumentes

Dieser Produkttypsteckbrief verzeichnet verbindlich die normativen Festlegungen der gematik an Herstellung und Betrieb von Produkten des Produkttyps Verzeichnisdienst FHIR oder verweist auf Dokumente, in denen verbindliche normative Festlegungen mit ggf. anderer Notation zu finden sind. Die normativen Festlegungen bilden die Grundlage für die Erteilung von Zulassungen/Bestätigungen durch die gematik.

Die normativen Festlegungen werden über ihren Identifier, ihren Titel sowie die Dokumentenquelle referenziert. Die normativen Festlegungen mit ihrem vollständigen, normativen Inhalt sind dem jeweils referenzierten Dokument zu entnehmen.

1.2 Zielgruppe

Der Produkttypsteckbrief richtet sich an Verzeichnisdienst FHIR-Hersteller und -Anbieter sowie Hersteller und Anbieter von Produkttypen, die hierzu eine Schnittstelle besitzen.

Das Dokument ist außerdem zu verwenden von:

  • der gematik im Rahmen des Zulassungs-/Bestätigungsverfahrens
  • dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • akkreditierten Materialprüflaboren
  • Auditoren

Bei zentralen Diensten der TI-Plattform und fachanwendungsspezifischen Diensten beziehen sich normative Festlegungen, die sowohl an Anbieter als auch Hersteller gerichtet sind, jeweils auf den Anbieter als Zulassungsnehmer, bei dezentralen Produkten auf den Hersteller.

1.3 Geltungsbereich

Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungs-/Bestätigungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z. B. gemPTV_ATV_Festlegungen, Leistungsbeschreibung) festgelegt und bekannt gegeben.

1.4 Abgrenzung des Dokumentes

Dieses Dokument macht keine Aussagen zur Aufteilung der Produktentwicklung bzw. Produktherstellung auf verschiedene Hersteller und Anbieter.

Dokumente zu den Zulassungs-/Bestätigungsverfahren für den Produkttyp sind nicht aufgeführt. Die geltenden Verfahren und Regelungen zur Beantragung und Durchführung von Zulassungs-/Bestätigungsverfahren können dem Fachportal der gematik (https://fachportal.gematik.de/downloadcenter/zulassungs-bestaetigungsantraege-verfahrensbeschreibungen) entnommen werden.

1.5 Methodik

Die im Dokument verzeichneten normativen Festlegungen werden tabellarisch dargestellt. Die Tabellenspalten haben die folgende Bedeutung:

ID: Identifiziert die normative Festlegung eindeutig im Gesamtbestand aller Festlegungen der gematik.

Bezeichnung: Gibt den Titel einer normativen Festlegung informativ wieder, um die thematische Einordnung zu erleichtern. Der vollständige Inhalt der normativen Festlegung ist dem Dokument zu entnehmen, auf das die Quellenangabe verweist.

Quelle (Referenz): Verweist auf das Dokument, das die normative Festlegung definiert.

2 Dokumente

Die nachfolgenden Dokumente enthalten für das Bestätigungsobjekt TI-Messenger Verzeichnisdienst FHIR normative Festlegungen. Die für die Erlangung einer Bestätigung / Zulassung notwendigen Nachweise pro Festlegung werden in den folgenden Kapiteln aufgeführt.

Tabelle 1: Dokumente mit normativen Festlegungen

Dokumentenkürzel Bezeichnung des Dokumentes Version
gemKPT_Test Testkonzept der TI 2.9.0
gemRL_TSL_SP_CP Certificate Policy Gemeinsame Zertifizierungsrichtlinie für Teilnehmer der gematik-TSL 2.12.0
gemSpec_DS_Hersteller Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Hersteller 1.5.0
gemSpec_IDP_Dienst Spezifikation Identity Provider - Dienst 1.6.0
gemSpec_IDP_FD Spezifikation Identity Provider – Fachdienste 1.7.0
gemSpec_Krypt Übergreifende Spezifikation Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur 2.31.0
gemSpec_OM Übergreifende Spezifikation Operations und Maintenance 1.16.0
gemSpec_Perf Übergreifende Spezifikation Performance und Mengengerüst TI-Plattform 2.40.0
gemSpec_TI-Messenger-Dienst Spezifikation TI-Messenger-Dienst 1.1.1
gemSpec_VZD Spezifikation Verzeichnisdienst 1.17.0
gemSpec_VZD_FHIR_Directory Spezifikation VZD FHIR-Directory 1.5.0

Weiterhin sind die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte normativ und gelten mit. 

Tabelle 2: Mitgeltende Dokumente und Web-Inhalte

Quelle
 Herausgeber: Bezeichnung / URL
 Version 
Branch / Tag
[VZD-FHIR-PACKAGE-DIRECTORY]
 https://simplifier.net/packages/de.gematik.fhir.directory/0.10.1 
 0.10.1

Die Bestätigungs-/Zulassungsbedingungen für das Bestätigungs-/Zulassungsobjekt VZD-FHIR-Directory werden im Dokument [gemZul_ProdVerzD] im Fachportal der gematik im Abschnitt Zulassung veröffentlicht.

Die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte sind informative Beistellungen und sind nicht Gegenstand der Bestätigung / Zulassung. 

Tabelle 3 Informative Dokumente und Web-Inhalte

Quelle Herausgeber: Bezeichnung / URL  Version 
Branch / Tag
[GITHUB-VZD] https://github.com/gematik/api-vzd 
[SIMPLIFIER-VZD] https://simplifier.net/vzd-fhir-directory 
[CC]

 Internationaler Standard: Common Criteria for Information Technology Security Evaluation, https://www.commoncriteriaportal.org/cc/
[gemRL_PruefSichEig_DS] Richtlinie zur Prüfung der Sicherheitseignung 2.2.0

Hinweis:

  • Ist kein Herausgeber angegeben, wird angenommen, dass die gematik für Herausgabe und Veröffentlichung der Quelle verantwortlich ist. 
  • Ist keine Version angegeben, bezieht sich die Quellenangabe auf die aktuellste Version.
  • Bei Quellen aus gitHub werden als Version Branch und / oder Tag verwendet. 

3 normative Festlegungen

Die folgenden Abschnitte verzeichnen alle für den Produkttypen normativen Festlegungen, die für die Entwicklung und den Betrieb von Produkten des Produkttyps notwendig sind. Die Festlegungen sind gruppiert nach der Art der Nachweisführung ihrer Erfüllung als Grundlage der Zulassung/Bestätigung.

3.1 Festlegungen zur funktionalen Eignung

3.1.1 Produkttest/Produktübergreifender Test

In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Festlegungen an den technischen Teil des Produkttyps verzeichnet, deren Umsetzung im Zuge von Zulassungs-/Bestätigungstests durch die gematik geprüft wird.

Tabelle 4: Festlegungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"

ID Bezeichnung Quelle (Referenz)
TIP1-A_6529 Produkttypen: Mindestumfang der Interoperabilitätsprüfung gemKPT_Test
GS-A_3695 Grundlegender Aufbau Versionsnummern gemSpec_OM
GS-A_3696 Zeitpunkt der Erzeugung neuer Versionsnummern gemSpec_OM
GS-A_3697 Anlass der Erhöhung von Versionsnummern gemSpec_OM
A_21975 Performance - Rohdaten - Default-Werte für Lieferintervalle (Rohdatenerfassung v.02) gemSpec_Perf
A_21976 Performance - Rohdaten - Konfigurierbarkeit der Lieferintervalle (Rohdatenerfassung v.02) gemSpec_Perf
A_21978 Performance - Rohdaten - Trennung der Lieferintervalle (Rohdatenerfassung v.02) gemSpec_Perf
A_21979 Performance - Rohdaten - Bezug der Lieferverpflichtung (Rohdatenerfassung v.02) gemSpec_Perf
A_21980 Performance - Rohdaten - Leerlieferung (Rohdatenerfassung v.02) gemSpec_Perf
A_21981-02 Performance - Rohdaten - Format des Rohdaten-Performance-Berichtes (Rohdatenerfassung v.02) gemSpec_Perf
A_21982-01 Performance - Rohdaten - Message-Block (Rohdatenerfassung v.02) gemSpec_Perf
A_22000 Performance - Rohdaten - zu liefernde Dateien (Rohdatenerfassung v.02) gemSpec_Perf
A_22001-01 Performance - Rohdaten - Name der Berichte (Rohdatenerfassung v.02) gemSpec_Perf
A_22002 Performance - Rohdaten - Übermittlung (Rohdatenerfassung v.02) gemSpec_Perf
A_22004 Performance - Rohdaten - Korrektheit (Rohdatenerfassung v.02) gemSpec_Perf
A_22005 Performance - Rohdaten - Frist für Nachlieferung (Rohdatenerfassung v.02) gemSpec_Perf
A_22047 Performance - Rohdaten - Änderung der Konfiguration der Lieferintervalle (Rohdatenerfassung v.02) gemSpec_Perf
A_22429 Performance - Rohdaten - Inhalt der Selbstauskunft (Rohdatenerfassung v.02) gemSpec_Perf
A_22500-01 Performance - Rohdaten - Status-Block (Rohdatenerfassung v.02) gemSpec_Perf
A_22513-01 Performance - Rohdaten - Message-Block im Fehlerfall (Rohdatenerfassung v.02) gemSpec_Perf
A_25215 Performance - Verzeichnisdienst FHIR - Last- und Bearbeitungszeiten gemSpec_Perf
A_25216 Performance - Rohdaten - Spezifika Verzeichnisdienst FHIR - Operation (Rohdatenerfassung v.02) gemSpec_Perf
A_25217 Performance - Rohdaten - Spezifika Verzeichnisdienst FHIR - Duration (Rohdatenerfassung v.02) gemSpec_Perf
A_25218 Performance - Rohdaten - Spezifika Verzeichnisdienst FHIR - Message (Rohdatenerfassung v.02) gemSpec_Perf
A_25228 Performance - Rohdaten - Spezifika Verzeichnisdienst FHIR - Status (Rohdatenerfassung v.02) gemSpec_Perf
GS-A_4145 Performance – zentrale Dienste – Robustheit gegenüber Lastspitzen gemSpec_Perf
GS-A_5331 Performance – zentrale Dienste – TLS-Handshake gemSpec_Perf

3.1.2 Herstellererklärung funktionale Eignung

In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Festlegungen an den technischen Teil des Produkttyps verzeichnet, deren Erfüllung der Hersteller bzw. der Anbieter durch eine Herstellererklärung belegt.

Tabelle 5: Festlegungen zur funktionalen Eignung "Herstellererklärung"

ID Bezeichnung Quelle (Referenz)
A_23185-01 Maximale Verwendungsdauer für Schlüssel von Fachdienst Authorization Servern gemSpec_IDP_FD
A_22482 Performance - Rohdaten - Erfassung von Rohdaten (Rohdatenerfassung v.02) gemSpec_Perf
GS-A_3058 Performance – zentrale Dienste – lineare Skalierbarkeit gemSpec_Perf
GS-A_4155 Performance – zentrale Dienste – Verfügbarkeit gemSpec_Perf
AF_10057 Anmeldung eines Akteurs am Messenger-Service gemSpec_TI-Messenger-Dienst
AF_10058-01 Akteur (User-HBA) im Verzeichnisdienst hinzufügen gemSpec_TI-Messenger-Dienst
AF_10059-01 Organisationsressourcen im Verzeichnisdienst hinzufügen gemSpec_TI-Messenger-Dienst
AF_10060-01 Bereitstellung eines Messenger-Service für eine Organisation gemSpec_TI-Messenger-Dienst
AF_10061-01 Einladung von Akteuren außerhalb einer Organisation gemSpec_TI-Messenger-Dienst
AF_10062-01 Austausch von Events zwischen Akteuren außerhalb einer Organisation gemSpec_TI-Messenger-Dienst
AF_10064-01 Föderationszugehörigkeit eines Messenger-Service prüfen gemSpec_TI-Messenger-Dienst
A_24059 VZD, I_Directory_Administration, Synchronisationsregeln für verlinkte LDAP Datensätze gemSpec_VZD
AF_10036-01 Nutzer sucht Einträge im FHIR-Directory gemSpec_VZD_FHIR_Directory
AF_10037-02 Einträge im VZD-FHIR-Directory ändern und suchen gemSpec_VZD_FHIR_Directory
AF_10047-01 Einträge mit dem VZD-LDAP-Directory abgleichen gemSpec_VZD_FHIR_Directory
AF_10048-01 Anwendungsfälle der TI-Messenger-Anbieter im VZD-FHIR-Directory gemSpec_VZD_FHIR_Directory
AF_10207 FHIR-Directory - Bestätigen einer Verlinkungsanfrage gemSpec_VZD_FHIR_Directory
AF_10208 FHIR-Directory - Erstellen einer Verlinkungsanfrage gemSpec_VZD_FHIR_Directory
AF_10209 FHIR-Directory - Löschen einer Verlinkung gemSpec_VZD_FHIR_Directory
AF_10219 Versicherter sucht Einträge im FHIR-Directory gemSpec_VZD_FHIR_Directory
TIP1-A_5552 VZD, Begrenzung der Suchergebnisse gemSpec_VZD_FHIR_Directory

3.2 Festlegungen zur sicherheitstechnischen Eignung

3.2.1 CC-Evaluierung

In diesem Abschnitt sind Festlegungen verzeichnet, deren Umsetzung im Zuge einer Zertifizierung gemäß Common Criteria (CC) nachgewiesen werden muss. Der Nachweis erfolgt durch die Vorlage des IT-Sicherheitszertifikats bei der gematik.

Tabelle 6: Festlegungen zur sicherheitstechnischen Eignung "CC-Evaluierung"

ID Bezeichnung Quelle (Referenz)
Es liegen keine Festlegungen vor

3.2.2 Sicherheitsgutachten

Die in diesem Abschnitt verzeichneten Festlegungen sind Gegenstand der Prüfung der Sicherheitseignung gemäß [gemRL_PruefSichEig_DS]. Das entsprechende Sicherheitsgutachten ist der gematik vorzulegen.

Tabelle 7: Festlegungen zur sicherheitstechnischen Eignung "Sicherheitsgutachten"

ID Bezeichnung Quelle (Referenz)
GS-A_4330 Einbringung des Komponentenzertifikats gemRL_TSL_SP_CP
A_19147 Sicherheitstestplan gemSpec_DS_Hersteller
A_19148 Sicherheits- und Datenschutzkonzept gemSpec_DS_Hersteller
A_19150 Umsetzung Sicherheitstestplan gemSpec_DS_Hersteller
A_19151 Implementierungsspezifische Sicherheitsanforderungen gemSpec_DS_Hersteller
A_19152 Verwendung eines sicheren Produktlebenszyklus gemSpec_DS_Hersteller
A_19153 Sicherheitsrelevanter Softwarearchitektur-Review gemSpec_DS_Hersteller
A_19154 Durchführung einer Bedrohungsanalyse gemSpec_DS_Hersteller
A_19155 Durchführung sicherheitsrelevanter Quellcode-Reviews gemSpec_DS_Hersteller
A_19156 Durchführung automatisierter Sicherheitstests gemSpec_DS_Hersteller
A_19157 Dokumentierter Plan zur Sicherheitsschulung für Entwickler gemSpec_DS_Hersteller
A_19158 Sicherheitsschulung für Entwickler gemSpec_DS_Hersteller
A_19159 Dokumentation des sicheren Produktlebenszyklus gemSpec_DS_Hersteller
A_19160 Änderungs- und Konfigurationsmanagementprozess gemSpec_DS_Hersteller
A_19161 Verifizierung der Einhaltung sicherheitstechnische Eignung durch Datenschutzbeauftragten gemSpec_DS_Hersteller
A_19162 Informationspflicht bei Veröffentlichung neue Produktversion gemSpec_DS_Hersteller
A_17124-03 TLS-Verbindungen (ECC-Migration) gemSpec_Krypt
A_18464 TLS-Verbindungen, nicht Version 1.1 gemSpec_Krypt
A_18467 TLS-Verbindungen, Version 1.3 gemSpec_Krypt
A_21275-01 TLS-Verbindungen, zulässige Hashfunktionen bei Signaturen im TLS-Handshake gemSpec_Krypt
GS-A_4359-02 X.509-Identitäten für die Durchführung einer TLS-Authentifizierung gemSpec_Krypt
GS-A_4367 Zufallszahlengenerator gemSpec_Krypt
GS-A_4368 Schlüsselerzeugung gemSpec_Krypt
GS-A_4384-03 TLS-Verbindungen gemSpec_Krypt
GS-A_4385 TLS-Verbindungen, Version 1.2 gemSpec_Krypt
GS-A_4387 TLS-Verbindungen, nicht Version 1.0 gemSpec_Krypt
GS-A_5035 Nichtverwendung des SSL-Protokolls gemSpec_Krypt
GS-A_5322 Weitere Vorgaben für TLS-Verbindungen gemSpec_Krypt
GS-A_5526 TLS-Renegotiation-Indication-Extension gemSpec_Krypt
TIP1-A_5546-01 VZD, Integritäts- u. Authentizitätsschutz gemSpec_VZD_FHIR_Directory
TIP1-A_5548 VZD, Protokollierung der Änderungsoperationen gemSpec_VZD_FHIR_Directory
TIP1-A_5551 VZD, Sicher gegen Datenverlust gemSpec_VZD_FHIR_Directory
TIP1-A_5553 VZD, Private Schlüssel sicher speichern gemSpec_VZD_FHIR_Directory
TIP1-A_5554-01 VZD, Registrierungsdaten sicher speichern gemSpec_VZD_FHIR_Directory
TIP1-A_5556 VZD, Fehler Logging gemSpec_VZD_FHIR_Directory
TIP1-A_5558 VZD, Sicheres Speichern der TSL gemSpec_VZD_FHIR_Directory

3.2.3 Herstellerklärung sicherheitstechnische Eignung

Sofern in diesem Abschnitt Festlegungen verzeichnet sind, muss der Hersteller bzw. der Anbieter deren Umsetzung und Beachtung zum Nachweis der sicherheitstechnischen Eignung durch eine Herstellererklärung bestätigen bzw. zusagen.

Tabelle 8: Festlegungen zur sicherheitstechnischen Eignung "Herstellererklärung"

ID Bezeichnung Quelle (Referenz)
GS-A_2162 Kryptographisches Material in Entwicklungs- und Testumgebungen gemKPT_Test
TIP1-A_4191 Keine Echtdaten in RU und TU gemKPT_Test
A_19163 Rechte der gematik zur sicherheitstechnischen Prüfung des Produktes gemSpec_DS_Hersteller
A_19164 Mitwirkungspflicht bei Sicherheitsprüfung gemSpec_DS_Hersteller
A_19165 Auditrechte der gematik zur Prüfung der Herstellerbestätigung gemSpec_DS_Hersteller
A_22270 Löschung der Sitzungsdaten zum sektoralen Identity Provider gemSpec_IDP_Dienst
A_17322 TLS-Verbindungen nur zulässige Ciphersuiten und TLS-Versionen (ECC-Migration) gemSpec_Krypt
A_17775 TLS-Verbindungen Reihenfolge Ciphersuiten (ECC-Migration) gemSpec_Krypt
GS-A_5541 TLS-Verbindungen als TLS-Klient zur Störungsampel oder SM gemSpec_Krypt
GS-A_5542 TLS-Verbindungen (fatal Alert bei Abbrüchen) gemSpec_Krypt
GS-A_5580-01 TLS-Klient für betriebsunterstützende Dienste gemSpec_Krypt
GS-A_5581 "TUC vereinfachte Zertifikatsprüfung“ (Komponenten-PKI) gemSpec_Krypt
TIP1-A_5549 VZD, Keine Leseprofilbildung gemSpec_VZD_FHIR_Directory
TIP1-A_5550 VZD, Keine Kopien von gelöschten Daten gemSpec_VZD_FHIR_Directory

3.3 Festlegungen zur elektrischen, mechanischen und physikalischen Eignung

In diesem Abschnitt sind Festlegungen verzeichnet, deren Umsetzung im Zuge einer elektrischen, mechanischen und physikalischen Prüfung nachgewiesen werden muss. Der Nachweis erfolgt durch die Vorlage des Prüfberichts.

Tabelle 9: Festlegungen zur elektrischen, mechanischen und physikalischen Eignung

ID Bezeichnung Quelle (Referenz)
Es liegen keine Festlegungen vor

4 Produkttypspezifische Merkmale

Es liegen keine optionalen Ausprägungen des Produkttyps vor. 

5 Anhang A – Verzeichnisse

5.1 Abkürzungen

Kürzel Erläuterung
ID Identifikation
CC
 Common Criteria

5.2 Tabellenverzeichnis