gemProdT_ePA_FdV_PTV_3.0.3-0_V1.0.0




Elektronische Gesundheitskarte und Telematikinfrastruktur





Produkttypsteckbrief

Prüfvorschrift

ePA-Frontend des Versicherten


    
Produkttyp Version 3.0.3-0
Produkttyp Status freigegeben

    
Version 1.0.0
Revision 1024944
Stand 24.10.2024
Status freigegeben
Klassifizierung öffentlich
Referenzierung gemProdT_ePA_FdV_PTV_3.0.3-0

Historie Produkttypversion und Produkttypsteckbrief

Historie Produkttypversion

Die Produkttypversion ändert sich, wenn sich die normativen Festlegungen für den Produkttyp ändern und die Umsetzung durch Produktentwicklungen ebenfalls betroffen ist.

Produkttypversion Beschreibung der Änderung Referenz
...
2.50.0-0 Anpassung auf Releasestand ePA 2.5.0  gemProdT_ePA_FdV_2.50.0-0
2.50.0-1 Kommentierung zu Releasestand ePA 2.5 gemProdT_ePA_FdV_2.50.0-1
2.50.1-0 Anpassung auf Releasestand ePA 2.5.1  gemProdT_ePA_FdV_2.50.1-0
2.50.1-1 Anpassung auf Releasestand ePA 2.5.1-1 gemProdT_ePA_FdV_2.50.1-1
2.50.2-0 Anpassung auf Releasestand ePA 2.5.2 gemProdT_ePA_FdV_2.50.2-0
2.51.0-0 Anpassung auf Releasestand ePA 2.6.0 gemProdT_ePA_FdV_2.51.0-0
2.70.0-0 Anpassungen zum EU-Pilot gemProdT_ePA_FdV_2.70.0-0
3.0.0-0 Anpassungen zu ePA für alle, Release 3.0.0  gemProdT_ePA_FdV_3.0.0-0
3.0.1-0 Anpassungen zu ePA für alle, Release 3.0.1  gemProdT_ePA_FdV_3.0.1-0
3.0.2-0 Anpassungen zu ePA für alle, Release 3.0.2 gemProdT_ePA_FdV_3.0.2-0
3.0.3-0 Anpassungen zu ePA für alle, Release 3.0.3 gemProdT_ePA_FdV_3.0.3-0
3.1.0-0 Anpassungen zu ePA für alle, Release 3.1.0 gemProdT_ePA_FdV_3.1.0-0
3.1.0-1 Redaktionelle Anpassungen im Kapitel 3 gemProdT_ePA_FdV_3.1.0-1

Historie Produkttypsteckbrief

Die Dokumentenversion des Produkttypsteckbriefs ändert sich mit jeder inhaltlichen oder redaktionellen Änderung des Produkttypsteckbriefs und seinen referenzierten Dokumenten. Redaktionelle Änderungen haben keine Auswirkung auf die Produkttypversion.

Version Stand Kap. Grund der Änderung, besondere Hinweise Bearbeiter
1.0.0 24.10.2024 freigegeben ePA für alle - Release 3.0.3 gematik

Inhaltsverzeichnis

1 Einführung

1.1 Zielsetzung und Einordnung des Dokumentes

Dieser Produkttypsteckbrief verzeichnet verbindlich die normativen Festlegungen der gematik an Herstellung und Betrieb von Produkten des Produkttyps oder verweist auf Dokumente, in denen verbindliche normativen Festlegungen mit ggf. anderer Notation zu finden sind. Die normativen Festlegungen bilden die Grundlage für die Erteilung von Zulassungen, Zertifizierungen bzw. Bestätigungen durch die gematik. (Wenn im weiteren Dokument vereinfachend der Begriff „Zulassung“ verwendet wird, so ist dies der besseren Lesbarkeit geschuldet und umfasst übergreifend neben dem Verfahren der Zulassung auch Zertifizierungen und Bestätigungen der gematik-Zulassungsstelle.)

Die normativen Festlegungen werden über ihren Identifier, ihren Titel sowie die Dokumentenquelle referenziert. Die normativen Festlegungen mit ihrem vollständigen, normativen Inhalt sind dem jeweils referenzierten Dokument zu entnehmen.

1.2 Zielgruppe

Der Produkttypsteckbrief richtet sich an Hersteller des ePA-Frontends des Versicherten sowie Hersteller und Anbieter von Produkttypen, die hierzu eine Schnittstelle besitzen.

Das Dokument ist außerdem zu verwenden von:

  • der gematik im Rahmen des Zulassungsverfahrens
  • dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Auditoren

Bei zentralen Diensten der TI-Plattform und fachanwendungsspezifischen Diensten beziehen sich normative Festlegungen, die sowohl an Anbieter als auch Hersteller gerichtet sind, jeweils auf den Anbieter als Zulassungsnehmer, bei dezentralen Produkten auf den Hersteller.

1.3 Geltungsbereich

Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z. B. gemPTV_ATV_Festlegungen, Leistungsbeschreibung) festgelegt und bekannt gegeben.

1.4 Abgrenzung des Dokumentes

Dieses Dokument macht keine Aussagen zur Aufteilung der Produktentwicklung bzw. Produktherstellung auf verschiedene Hersteller und Anbieter.

Dokumente zu den Zulassungsverfahren für den Produkttyp sind nicht aufgeführt. Die geltenden Verfahren und Regelungen zur Beantragung und Durchführung von Zulassungsverfahren können dem Fachportal der gematik (https://fachportal.gematik.de/downloadcenter/zulassungs-bestaetigungsantraege-verfahrensbeschreibungen) entnommen werden.

1.5 Methodik

Die im Dokument verzeichneten normativen Festlegungen werden tabellarisch dargestellt. Die Tabellenspalten haben die folgende Bedeutung:

ID: Identifiziert die normative Festlegung eindeutig im Gesamtbestand aller Festlegungen der gematik.

Bezeichnung: Gibt den Titel einer normativen Festlegung informativ wieder, um die thematische Einordnung zu erleichtern. Der vollständige Inhalt der normativen Festlegung ist dem Dokument zu entnehmen, auf das die Quellenangabe verweist.

Quelle (Referenz): Verweist auf das Dokument, das die normative Festlegung definiert.

2 Dokumente

Die nachfolgenden Dokumente enthalten alle für den Produkttyp normativen Festlegungen.

Tabelle 1: Dokumente mit normativen Festlegungen

Dokumentenkürzel Bezeichnung des Dokumentes Version
gemKPT_Test Testkonzept der TI 2.9.2
gemSpec_Aktensystem_ePAfueralle Spezifikation Aktensystem ePA für alle 1.2.1
gemSpec_DS_Hersteller Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Hersteller 1.6.0
gemSpec_ePA_FdV Spezifikation ePA-Frontend des Versicherten 2.2.1
gemSpec_IDP_Frontend Spezifikation Identity Provider - Frontend 1.8.0
gemSpec_Krypt Übergreifende Spezifikation Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur 2.37.0
gemSpec_Net Übergreifende Spezifikation Netzwerk 1.28.1
gemSpec_OM Übergreifende Spezifikation Operations und Maintenance 1.17.0
gemSpec_Perf Übergreifende Spezifikation Performance und Mengengerüst TI-Plattform 2.52.1
gemSpec_PKI Übergreifende Spezifikation – Spezifikation PKI 2.19.0
gemSpec_SGD_ePA Spezifikation Schlüsselgenerierungsdienst ePA 1.6.0
gemSpec_VZD_FHIR_Directory Spezifikation VZD FHIR-Directory 1.5.0

Weiterhin sind die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte Gegenstand der Bestätigung/Zulassung. Details finden sich in den Bestätigungs-/Zulassungsbedingungen für das Bestätigung-/Zulassungsobjekt. Die Bestätigungs-/Zulassungsbedingungen für den Produkttyp ePA-FdV werden im Dokument [gemZul_Prod_ePA_FdV] im Fachportal der gematik im Abschnitt Zulassung veröffentlicht.

Tabelle 2: Mitgeltende Dokumente und Web-Inhalte

Quelle Herausgeber: Bezeichnung / URL  Version 
Branch / Tag
[ePA Basic] - Allgemeine Dienste der ePA  https://github.com/gematik/ePA-Basic/tree/ePA-3.0.3  ePA-3.0.3 
[ePA Medication] - Datendienst der ePA für Medikation (Fhir)
https://github.com/gematik/ePA-Medication/tree/ePA-3.0.3  ePA-3.0.3
[ePA XDS Document] - 
Datendienst der ePA für XDS Dokumente

https://github.com/gematik/ePA-XDS-Document/tree/ePA-3.0.3  ePA-3.0.3
Simplifier: ePA Medication (ePA R3.0) ePA Medication (ePA R3.0) - SIMPLIFIER.NET ePA-3.0.3
Simplifier: ePA Basic (ePA R3.0) ePA Basic (ePA R3.0) - SIMPLIFIER.NET ePA-3.0.3
[CC]

Internationaler Standard: Common Criteria for Information Technology Security Evaluation, https://www.commoncriteriaportal.org/cc/
[gemRL_PruefSichEig_DS] gematik: Richtlinie zur Prüfung der Sicherheitseignung 2.2.0
[gemZul_Prod_ePA_FdV] gematik: Verfahrensbeschreibung Zulassung Produkte der Telematikinfrastruktur hier: ePA-Frontend des Versicherten 1.4.0

3 Normative Festlegungen

Die folgenden Abschnitte verzeichnen alle für den Produkttypen normativen Festlegungen, die für die Herstellung und den Betrieb von Produkten des Produkttyps notwendig sind. Die Festlegungen sind gruppiert nach der Art der Nachweisführung ihrer Erfüllung als Grundlage der Zulassung, Zertifizierung bzw. Bestätigung.

3.1 Festlegungen zur funktionalen Eignung

3.1.1 Produkttest/Produktübergreifender Test

In diesem Abschnitt sind alle funktionalen und nicht-funktionalen Festlegungen an den technischen Teil des Produkttyps verzeichnet, deren Umsetzung im Zuge von Zulassungstests durch die gematik geprüft wird.

Tabelle 3: Festlegungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"

ID Bezeichnung Quelle (Referenz)
A_24736 Version des Testtreibers passend zur Version des TI-Moduls gemKPT_Test
A_14760-24 Nutzungsvorgaben für die Verwendung von XDS-Metadaten gemSpec_Aktensystem_ePAfueralle
A_14761-08 Nutzungsvorgaben für die Verwendung von IHE ITI XDS-Metadaten bei strukturierten Dokumenten gemSpec_Aktensystem_ePAfueralle
A_14762-05 XDS Document Service – Nutzungsvorgabe für authorPerson als Teil von DocumentEntry.author und SubmissionSet.author gemSpec_Aktensystem_ePAfueralle
A_14763-03 XDS Document Service - Nutzungsvorgabe für SubmissionSet.authorInstitution gemSpec_Aktensystem_ePAfueralle
A_14974-02 XDS Document Service - Nutzungsvorgabe für DocumentEntry.patientId und SubmissionSet.patientId gemSpec_Aktensystem_ePAfueralle
A_15083-07 XDS Document Service – Prüfung auf ausschließliche Aktualisierung der erlaubten Metadaten gemSpec_Aktensystem_ePAfueralle
A_19388-20 Nutzungsvorgaben für die Verwendung von Datenkategorien gemSpec_Aktensystem_ePAfueralle
A_21200 XDS Document Service und Clients – UTF-8 Kodierung von SOAP 1.2-Nachrichten gemSpec_Aktensystem_ePAfueralle
A_21209-02 XDS Document Service - Nutzungsvorgabe für DocumentEntry.authorInstitution gemSpec_Aktensystem_ePAfueralle
A_23369-02 XDS Document Service – Verpflichtender Dokumententitel in DocumentEntry.title gemSpec_Aktensystem_ePAfueralle
A_23874 Consent Decision Management - Definition der widerspruchsfähigen Funktionen der ePA gemSpec_Aktensystem_ePAfueralle
A_25188 XDS Document Service - Input Sanitization gemSpec_Aktensystem_ePAfueralle
A_23086 Aufruf des Authorization-Servers gemSpec_IDP_Frontend
A_17124-03 TLS-Verbindungen (ECC-Migration) gemSpec_Krypt
A_18464 TLS-Verbindungen, nicht Version 1.1 gemSpec_Krypt
A_21269-01 ePA-Client: TLS-Session-Resumption gemSpec_Krypt
A_21275-01 TLS-Verbindungen, zulässige Hashfunktionen bei Signaturen im TLS-Handshake gemSpec_Krypt
GS-A_4385 TLS-Verbindungen, Version 1.2 gemSpec_Krypt
GS-A_4387 TLS-Verbindungen, nicht Version 1.0 gemSpec_Krypt
GS-A_5035 Nichtverwendung des SSL-Protokolls gemSpec_Krypt
GS-A_5322 Weitere Vorgaben für TLS-Verbindungen gemSpec_Krypt
GS-A_5526 TLS-Renegotiation-Indication-Extension gemSpec_Krypt
GS-A_5542 TLS-Verbindungen (fatal Alert bei Abbrüchen) gemSpec_Krypt
A_17237 Rückgabe der Versionsinformationen von Software Modulen über Benutzerschnittstelle gemSpec_OM
A_17792 Rückgabe der Versionsinformationen von Software Modulen auf Dateibasis gemSpec_OM
GS-A_5034 Inhalte der Betriebsdokumentation der dezentralen Produkte der TI-Plattform gemSpec_OM
GS-A_4661-01 kritische Erweiterungen in Zertifikaten gemSpec_PKI
GS-A_4662 Bedingungen für TLS-Handshake gemSpec_PKI
GS-A_3702 Inhalt der Selbstauskunft von Produkten außer Karten gemSpec_Perf
A_17893 Maximale Größe der JSON-Requests und -Responses gemSpec_SGD_ePA
A_17925 SGD-Client, Parallele Anfrage SGD1 und SGD2 gemSpec_SGD_ePA
A_17990 ePA-FdV: Parallele Anfrage SGD1 und SGD2 gemSpec_SGD_ePA
A_15283-01 ePA-Frontend des Versicherten: Dokumentgrößen von 25 MB gemSpec_ePA_FdV
A_15292-06 ePA-Frontend des Versicherten: Parameter speichern und laden gemSpec_ePA_FdV
A_15294-02 ePA-Frontend des Versicherten: Login nach Notwendigkeit gemSpec_ePA_FdV
A_15295-02 ePA-Frontend des Versicherten: Beenden der User Session gemSpec_ePA_FdV
A_15296-02 ePA-Frontend des Versicherten: Abmeldung des Nutzers nach Inaktivität gemSpec_ePA_FdV
A_15297-01 ePA-Frontend des Versicherten: Kommunikation über TLS-Verbindung gemSpec_ePA_FdV
A_15298-01 ePA-Frontend des Versicherten: Unzulässige TLS-Verbindungen ablehnen gemSpec_ePA_FdV
A_15300-02 ePA-Frontend des Versicherten: TLS-Verbindungsaufbau nach Notwendigkeit gemSpec_ePA_FdV
A_15301-02 ePA-Frontend des Versicherten: TLS-Verbindung beenden gemSpec_ePA_FdV
A_15302-02 ePA-Frontend des Versicherten: Lokalisierung Access Gateway gemSpec_ePA_FdV
A_15303-01 ePA-Frontend des Versicherten: SOAP-Responses valide gemSpec_ePA_FdV
A_15304-02 ePA-Frontend des Versicherten: Umsetzung sicherer Kanal zur Aktenkontoverwaltung gemSpec_ePA_FdV
A_15305-03 ePA-Frontend des Versicherten: Geräteinformationen speichern gemSpec_ePA_FdV
A_15340-02 ePA-Frontend des Versicherten: Login - Session-Daten für Nutzer prüfen gemSpec_ePA_FdV
A_15343-02 ePA-Frontend des Versicherten: Login - Authentisieren des Nutzers gemSpec_ePA_FdV
A_15352-04 ePA-Frontend des Versicherten: Login - Protokolldaten abfragen gemSpec_ePA_FdV
A_15389 ePA-Frontend des Versicherten: Daten des Vertreters gemSpec_ePA_FdV
A_15461-02 ePA-Frontend des Versicherten: Dokumente einstellen - Prüfung Dateigröße gemSpec_ePA_FdV
A_15463-01 ePA-Frontend des Versicherten: Dokumente einstellen - Prüfung XDS-Metadaten gemSpec_ePA_FdV
A_15495-01 ePA-Frontend des Versicherten: Protokolldaten lokal speichern gemSpec_ePA_FdV
A_15496-01 ePA-Frontend des Versicherten: lokal gespeicherte Protokolldaten anzeigen gemSpec_ePA_FdV
A_16221-01 ePA-Frontend des Versicherten: IHE XDS-Transaktion [ITI-41] - Unterstützung MTOM/XOP gemSpec_ePA_FdV
A_16222-02 ePA-Frontend des Versicherten: IHE XDS-Transaktion [ITI-43] - MTOM unterstützen gemSpec_ePA_FdV
A_17854-01 ePA-Frontend des Versicherten: Nutzung des Anfragetyps "FindDocumentsByTitle" gemSpec_ePA_FdV
A_18044-02 ePA-Frontend des Versicherten: Testtreiber-Modul gemSpec_ePA_FdV
A_20109-05 ePA-Frontend des Versicherten: LEI - Konfiguration der Befugnisdauer gemSpec_ePA_FdV
A_21129-02 Revisionssicherer Export der Protokolle gemSpec_ePA_FdV
A_22974 ePA-Frontend des Versicherten: Keine Anzeige von Dokumenten des Ordners "technical" gemSpec_ePA_FdV
A_23145 ePA-Frontend des Versicherten: formatCode für Dokumente des Ordners "technical" gemSpec_ePA_FdV
A_23547-01 ePA-Frontend des Versicherten: Anzeige der Protokolldaten gemSpec_ePA_FdV
A_23555-02 ePA-Frontend des Versicherten: Vertretung am fremden FdV verwalten - Ablauf gemSpec_ePA_FdV
A_23875 ePA-Frontend des Versicherten: Anzeige der Widersprüche gemSpec_ePA_FdV
A_23880-01 ePA-Frontend des Versicherten: Anwendungsfall "Widerspruch für Funktionen der ePA ändern" gemSpec_ePA_FdV
A_23960 ePA-Frontend des Versicherten: LEI - Befugnis verwalten gemSpec_ePA_FdV
A_23963 ePA-Frontend des Versicherten: Befugnisse anzeigen gemSpec_ePA_FdV
A_23965 ePA-Frontend des Versicherten: LEI - Suche in Verzeichnisdienst gemSpec_ePA_FdV
A_23968 ePA-Frontend des Versicherten: Befugnisverwaltung am Aktensystem - Nutzung Schnittstelle gemSpec_ePA_FdV
A_23971 ePA-Frontend des Versicherten: Vertreter verwalten gemSpec_ePA_FdV
A_24198 ePA-Frontend des Versicherten: Aktualisierung von Metadaten gemSpec_ePA_FdV
A_24357 ePA-Frontend des Versicherten: Verbergen von Dokumenten - Schnittstelle gemSpec_ePA_FdV
A_24362 ePA-Frontend des Versicherten: Anzeige von verborgenen Dokumenten für alle Leistungserbringerinstitutionen gemSpec_ePA_FdV
A_24363-01 ePA-Frontend des Versicherten: Verbergen von Dokumenten für alle Leistungserbringerinstitutionen gemSpec_ePA_FdV
A_24364 ePA-Frontend des Versicherten: Sichtbar machen von Dokumenten für alle Leistungserbringerinstitution gemSpec_ePA_FdV
A_24399-01 ePA-Frontend des Versicherten: Befugnis signieren gemSpec_ePA_FdV
A_24410 ePA-Frontend des Versicherten: Erteilung eines Widerspruchs gegen die Nutzung der ePA durch eine spezifische LEI gemSpec_ePA_FdV
A_24411 ePA-Frontend des Versicherten: Anzeigen von Widersprüchen gegen die Nutzung der ePA durch spezifische LEIs gemSpec_ePA_FdV
A_24454-01 ePA-Frontend des Versicherten: Anzeige der für den LEI verborgenen Datenkategorien gemSpec_ePA_FdV
A_24455 ePA-Frontend des Versicherten: Anzeige der für eine befugte LEI prinzipiell geltenden Zugriffsregeln gemSpec_ePA_FdV
A_24460 ePA-Frontend des Versicherten: Löschen eines Widerspruchs gegen die Nutzung der ePA durch eine spezifische LEI gemSpec_ePA_FdV
A_24549 ePA-Frontend des Versicherten: LEI - Berücksichtigung der Legal Policy bei Erstellen einer Befugnis gemSpec_ePA_FdV
A_24588 ePA-Frontend des Versicherten: Lokalisierung eines Aktenkontos gemSpec_ePA_FdV
A_24669 ePA-Frontend des Versicherten: UX-Messdaten erfassen gemSpec_ePA_FdV
A_24670 ePA-Frontend des Versicherten: UX-Messdaten übertragen gemSpec_ePA_FdV
A_24698 ePA-Frontend des Versicherten: Protokolldaten einsehen gemSpec_ePA_FdV
A_24699 ePA-Frontend des Versicherten: Protokolldaten filtern gemSpec_ePA_FdV
A_24746 ePA-Frontend des Versicherten: Login User - Auswahl Aktensystem für Vertreter gemSpec_ePA_FdV
A_24802 ePA-Frontend des Versicherten: Anzeigename für registriertes Gerät ändern gemSpec_ePA_FdV
A_24830 ePA-Frontend des Versicherten: Senden von Authorization Request gegenüber Aktensystemen gemSpec_ePA_FdV
A_24831 ePA-Frontend des Versicherten: Weiterleitung des Auth_Code vom Authenticator-Modul zum Authorization Server gemSpec_ePA_FdV
A_24960-01 ePA-Frontend des Versicherten: Konvertieren von PDF in PDF/A gemSpec_ePA_FdV
A_25129 ePA-Frontend des Versicherten: DiGA - Befugnis verwalten gemSpec_ePA_FdV
A_25130 ePA-Frontend des Versicherten: DiGA - Suche in Verzeichnisdienst gemSpec_ePA_FdV
A_25133 ePA-Frontend des Versicherten: DiGA - Volltextsuche am VZD-FHIR-Directory gemSpec_ePA_FdV
A_25134 ePA-Frontend des Versicherten: LEI - Volltextsuche am VZD-FHIR-Directory gemSpec_ePA_FdV
A_25136 ePA-Frontend des Versicherten: LEI - Widerspruchs gegen die Nutzung der ePA durch eine spezifische LEI - Suche in Verzeichnisdienst gemSpec_ePA_FdV
A_25227 ePA-Frontend des Versicherten: Login - registriertes Gerät gemSpec_ePA_FdV
A_25234-01 ePA-Frontend des Versicherten: Anzeige der Widersprüche - Information für Nutzer gemSpec_ePA_FdV
A_25237 ePA-Frontend des Versicherten: registriertes Gerät bestätigen gemSpec_ePA_FdV
A_25241-01 ePA-Frontend des Versicherten: keine Anzeige von confidentialityCode = "CON" gemSpec_ePA_FdV
A_25245 ePA-Frontend des Versicherten: eigene Befugnis als Vertreter löschen gemSpec_ePA_FdV
A_25292 ePA-Frontend des Versicherten - Eingabe eines falschen Geräteregistrierungscodes gemSpec_ePA_FdV
A_25293 ePA-Frontend des Versicherten: Login - neues Gerät registrieren gemSpec_ePA_FdV
A_25442-01 ePA-Frontend des Versicherten: E-Mail-Verwaltung am Aktensystem - Nutzung Schnittstelle gemSpec_ePA_FdV
A_25443-01 ePA-Frontend des Versicherten: E-Mail-Adressen verwalten gemSpec_ePA_FdV
A_25457 ePA-Frontend des Versicherten: Konvertieren von PDF im Aktensystem gemSpec_ePA_FdV
A_25482 ePA-Frontend des Versicherten: LEI - Endzeitpunkt der Befugnisdauer gemSpec_ePA_FdV
A_25693 ePA-Frontend des Versicherten: Anzeige von konvertierten PDF-Dokumenten gemSpec_ePA_FdV
A_26073-01 ePA-Frontend des Versicherten: email-Adresse für Geräteregistrierungscode anzeigen gemSpec_ePA_FdV
A_26149 ePA-Frontend des Versicherten: Login - Device Attestation gemSpec_ePA_FdV
A_26270 ePA-Frontend des Versicherten: Nutzung von Prüfkarten und Prüfnutzeridentitäten gemSpec_ePA_FdV

3.1.2 Herstellererklärung funktionale Eignung

In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Festlegungen an den technischen Teil des Produkttyps verzeichnet, deren durchgeführte bzw. geplante Umsetzung und Beachtung der Hersteller bzw. der Anbieter durch eine Herstellererklärung bestätigt bzw. zusagt.

Tabelle 4: Festlegungen zur funktionalen Eignung "Herstellererklärung"

ID Bezeichnung Quelle (Referenz)
A_15593 Ersatz bei defekten dezentralen Produkten gemKPT_Test
A_15594 Vorhalten testbereiter dezentraler Komponenten gemKPT_Test
A_17809-02 Bereitstellung weiterer ePA-Produkttypen für Zulassungstest gemKPT_Test
A_20065 Nutzung der Dokumententemplates der gematik gemKPT_Test
A_24726 Bereitstellung FdV der Krankenversicherungen als Remote-Test-FdV zum Zulassungstest gemKPT_Test
A_24727 Zugriff auf Remote-Test-FdV über das Internet gemKPT_Test
A_24728 Bereitstellung zusätzlicher Instanzen von Remote-Test-FdVs gemKPT_Test
A_24729 Dauerhafte Bereitstellung von Remote-Test-FdVs gemKPT_Test
A_24730 Bereitstellungsform der Remote-Test-FdVs gemKPT_Test
A_24731 Integration des Testtreibers für das Remote-Test-FdV in die Testumgebung gemKPT_Test
A_24732 Zuordnung einer Identität eines Test-Versicherten zu einem Remote-Test-FdV gemKPT_Test
A_24733 Automatisiertes Login an den TI-Modulen des Remote-Test-FdVs gemKPT_Test
A_24734 Geräteregistrierung für Remote-Test-FdVs gemKPT_Test
A_24735 Keine Fachlogik in den Testtreibern für Remote-Test-FdVs gemKPT_Test
A_24737 Anbindung von Remote-Test-FdVs an die Fachdienste der TI gemKPT_Test
A_24739 Bereitstellung von Test-FdVs als Softwarepaket ohne Testtreiber gemKPT_Test
A_24740 Bereitstellung der FdV-Software als Whitelabel-App gemKPT_Test
A_24741 Dokumentation für Whitelabel-Apps gemKPT_Test
A_24742 Bereitstellung mobiler Geräte für den Test von Whitelabel-Apps gemKPT_Test
A_24743 Erneute Bereitstellung mobiler Geräte für den Test von Whitelabel-Apps gemKPT_Test
A_24744 Kartenlesegeräte für den Test von Desktop-FdVs gemKPT_Test
A_24747 Bereitstellung weiterer Versionen von Remote-Test-FdVs gemKPT_Test
A_25145 Bereitstellung der Whitelabel-App ohne Kassen-Services gemKPT_Test
GS-A_2162 Kryptographisches Material in Entwicklungs- und Testumgebungen gemKPT_Test
TIP1-A_4191 Keine Echtdaten in RU und TU gemKPT_Test
TIP1-A_6082-01 Versionen der Referenzobjekte gemKPT_Test
TIP1-A_6088 Unterstützung bei Fehlernachstellung gemKPT_Test
TIP1-A_6518 Eigenverantwortlicher Test: TDI gemKPT_Test
TIP1-A_6519 Eigenverantwortlicher Test: Hersteller und Anbieter gemKPT_Test
TIP1-A_6523 Zulassungstest: Hersteller und Anbieter gemKPT_Test
TIP1-A_6524-01 Testdokumentation gemäß Vorlagen gemKPT_Test
TIP1-A_6526-01 Produkttypen: Bereitstellung gemKPT_Test
TIP1-A_6529 Produkttypen: Mindestumfang der Interoperabilitätsprüfung gemKPT_Test
TIP1-A_6532 Zulassung eines neuen Produkts: Aufgaben der TDI gemKPT_Test
TIP1-A_6533 Zulassung eines neuen Produkts: Aufgaben der Hersteller und Anbieter gemKPT_Test
TIP1-A_6536 Zulassung eines geänderten Produkts: Aufgaben der TDI gemKPT_Test
TIP1-A_6537 Zulassung eines geänderten Produkts: Aufgaben der Hersteller und Anbieter gemKPT_Test
TIP1-A_6772 Partnerprodukte bei Interoperabilitätstests gemKPT_Test
TIP1-A_7333 Parallelbetrieb von Release oder Produkttypversion gemKPT_Test
TIP1-A_7334 Risikoabschätzung bezüglich der Interoperabilität gemKPT_Test
TIP1-A_7335 Bereitstellung der Testdokumentation gemKPT_Test
TIP1-A_7358 Qualität des Produktmusters gemKPT_Test
A_22470-06 Definition x-Useragent gemSpec_Aktensystem_ePAfueralle
A_24676 Useragent Information in HTTP Header außerhalb des VAU-Kanals gemSpec_Aktensystem_ePAfueralle
A_24677 Useragent Information in HTTP Header innerhalb des VAU-Kanals gemSpec_Aktensystem_ePAfueralle
A_23083 Auslösung der Benutzerauthentifizierung gemSpec_IDP_Frontend
A_23084-01 Aufruf des Authenticator-Moduls gemSpec_IDP_Frontend
A_23085-01 Registrierung des Anwendungsfrontends gemSpec_IDP_Frontend
A_15549-01 ePA-VAU-Client: Kommunikation zwischen ePA-Client und ePA-VAU gemSpec_Krypt
A_15751-03 TLS-Verbindung zwischen ePA-Aktensystem und ePA-Client gemSpec_Krypt
A_15833-01 TLS-Verbindungen ePA-FdV gemSpec_Krypt
A_17206 XML-Signaturen (ECC-Migration) gemSpec_Krypt
A_17207 Signaturen binärer Daten (ECC-Migration) gemSpec_Krypt
A_17322 TLS-Verbindungen nur zulässige Ciphersuiten und TLS-Versionen (ECC-Migration) gemSpec_Krypt
A_17360 XML-Signaturen (Dokumente) (ECC-Migration) gemSpec_Krypt
A_17775 TLS-Verbindungen Reihenfolge Ciphersuiten (ECC-Migration) gemSpec_Krypt
A_18467 TLS-Verbindungen, Version 1.3 gemSpec_Krypt
A_24425-01 VAU-Protokoll: VAU-Schlüssel für die VAU-Protokoll-Schlüsselaushandlung gemSpec_Krypt
A_24428 VAU-Protokoll: VAU-Client: Nachricht 1 gemSpec_Krypt
A_24477 VAU-Client, Nichtproduktivumgebung, Offenlegung von symmetrischen Verbindungsschlüsseln gemSpec_Krypt
A_24608 VAU-Protokoll: VAU-Instanz: Nachricht 2 gemSpec_Krypt
A_24619 VAU-Protokoll: AES/GCM-Verschlüsselung im Handshake gemSpec_Krypt
A_24622 VAU-Protokoll: VAU-Client: Erhalt von Nachricht 2 gemSpec_Krypt
A_24623 VAU-Protokoll: VAU-Client: Nachricht 3 gemSpec_Krypt
A_24624-01 VAU-Protokoll: VAU-Client: Prüfung der "signierten öffentlichen VAU-Schlüssel" gemSpec_Krypt
A_24627 VAU-Protokoll: VAU-Client: Erhalt von Nachricht 4 gemSpec_Krypt
A_24628-01 VAU-Protokoll: VAU-Client: Request erzeugen/verschlüsseln gemSpec_Krypt
A_24629 VAU-Protokoll: VAU-Client: Verschlüsselungszähler gemSpec_Krypt
A_24633 VAU-Protokoll: VAU-Client: Response entschlüsseln/auswerten gemSpec_Krypt
A_24656 ePA, Unabhängigkeit von TLS-Ebene und VAU-Protokoll-Ebene gemSpec_Krypt
A_24757 VAU-Protokoll: Nutzerpseudonym gemSpec_Krypt
A_24767 VAU-Protokoll, Fehlerverarbeitung im VAU-Client gemSpec_Krypt
A_24773 VAU-Protokoll: Clients: Neustart/Wiederholung des Verbindungsaufbaus gemSpec_Krypt
A_24913 ePA: TLS-Verbindungen, OCSP-Stapling gemSpec_Krypt
A_24958 VAU-Protokoll: VAU-Client Prüfbasis Zertifikatsprüfung gemSpec_Krypt
A_26301 ePA-Client: Zugriffscode Erzeugung gemSpec_Krypt
GS-A_4357-02 X.509-Identitäten für die Erstellung und Prüfung digitaler nicht-qualifizierter elektronischer Signaturen gemSpec_Krypt
GS-A_4359-02 X.509-Identitäten für die Durchführung einer TLS-Authentifizierung gemSpec_Krypt
GS-A_4361-02 X.509-Identitäten für die Erstellung und Prüfung digitaler Signaturen gemSpec_Krypt
GS-A_4009 Übertragungstechnologie auf OSI-Schicht LAN gemSpec_Net
GS-A_4831 Standards für IPv4 gemSpec_Net
A_17235 Versionierung von Software Modulen durch die Produktidentifikation gemSpec_OM
GS-A_3695 Grundlegender Aufbau Versionsnummern gemSpec_OM
GS-A_3696 Zeitpunkt der Erzeugung neuer Versionsnummern gemSpec_OM
GS-A_3697 Anlass der Erhöhung von Versionsnummern gemSpec_OM
GS-A_3806 Loglevel in der Referenz- und Testumgebung gemSpec_OM
GS-A_4541 Nutzung der Produkttypversion zur Kompatibilitätsprüfung gemSpec_OM
GS-A_4542 Spezifikationsgrundlage für Produkte gemSpec_OM
GS-A_4864 Logging-Vorgaben nach dem Übergang zum Produktivbetrieb gemSpec_OM
GS-A_5038 Festlegungen zur Vergabe einer Produktversion gemSpec_OM
GS-A_5039-01 Änderung der Produktversion bei Änderungen der Produkttypversion gemSpec_OM
GS-A_5040-01 Änderung der Produktversion bei Produktänderungen außerhalb von Produkttypänderungen gemSpec_OM
GS-A_5054 Versionierung von Produkten durch die Produktidentifikation erweitert um Klartextnamen gemSpec_OM
GS-A_4957-01 Beschränkungen OCSP-Request gemSpec_PKI
A_17847 Prüfung eines SGD-HSM-Zertifikats (1/2) gemSpec_SGD_ePA
A_17848 Prüfung eines SGD-HSM-Zertifikats (2/2) gemSpec_SGD_ePA
A_17892 Aufwärtskompatibilität JSON-Requests und -Responses gemSpec_SGD_ePA
A_17899 SGD-Clients, Auswertung der Kodierung des öffentlichen ECIES-Schlüssels eines SGD-HSMs gemSpec_SGD_ePA
A_17900 SGD-Clients, Kodierung des eigenen kurzlebigen ECIES-Schlüssels gemSpec_SGD_ePA
A_17901 SGD-Clients, Kodierung der Signatur des eigenen ECIES-Schlüssels gemSpec_SGD_ePA
A_17902 Kontext SGD, Chiffrat-Kodierung beim Nachrichtentransport gemSpec_SGD_ePA
A_17903 Kontext SGD, Prüfung der ephemeren ECC-Schlüssel des Senders beim ECIES-Verfahren gemSpec_SGD_ePA
A_17924-01 Anfragen an das SGD-HSM (Client) gemSpec_SGD_ePA
A_17930 interoperables Austauschformat Schlüsselableitungsfunktionalität ePA gemSpec_SGD_ePA
A_18003 SGD-Client, Prüfung der Telematik-ID bei Berechtigungsvergabe gemSpec_SGD_ePA
A_18006 SGD-Client, KVNR gemSpec_SGD_ePA
A_18024 SGD-Client, Prüfung SGD-HSM-ECIES-Schlüssel gemSpec_SGD_ePA
A_18025-01 SGD-Client, Anfrage GetAuthenticationToken gemSpec_SGD_ePA
A_18028 SGD-Client, Auswertung der Anfrage GetAuthenticationToken gemSpec_SGD_ePA
A_18029 SGD-Client, Anfrage KeyDerivation gemSpec_SGD_ePA
A_18031-01 SGD-Client, Auswertung der Anfrage KeyDerivation (1/2) gemSpec_SGD_ePA
A_18032 SGD-Client, kurzlebigen ECIES-Client-Schlüsselpaar gemSpec_SGD_ePA
A_18249 Groß- und Kleinschreibung von Daten in Hexadezimalform gemSpec_SGD_ePA
A_18250 keine führenden Nullen bei Punktkoordinaten gemSpec_SGD_ePA
A_18988 SGD-Client, Neustart des Protokolldurchlaufs gemSpec_SGD_ePA
A_20977 SGD-Client, Auswertung der Anfrage KeyDerivation (2/2) gemSpec_SGD_ePA
A_22494 SGD-Client, HTTP-Variable SGD-Userpseudonym gemSpec_SGD_ePA
A_22497 SGD-Client, Mehrfachableitung (kurzlebiges ECIES-Client-Schlüsselpaar) gemSpec_SGD_ePA
A_23617 ePA-FdV, SGD-Client, Mehrfachableitung gemSpec_SGD_ePA
AF_10219 Versicherter sucht Einträge im FHIR-Directory gemSpec_VZD_FHIR_Directory
A_15253-01 ePA-Frontend des Versicherten: Schutz Session-Daten gemSpec_ePA_FdV
A_15268-01 ePA-Frontend des Versicherten: Konformität zu WS-I Basic Profil 2.0 gemSpec_ePA_FdV
A_15269-02 ePA-Frontend des Versicherten: Verwendung von WS-Trust 1.3 gemSpec_ePA_FdV
A_15284 ePA-Frontend des Versicherten: Anzeige von Dokumenten gemSpec_ePA_FdV
A_15285 ePA-Frontend des Versicherten: Anzeige strukturierter Dokumente gemSpec_ePA_FdV
A_15286 ePA-Frontend des Versicherten: Auswahl von Dokumenten gemSpec_ePA_FdV
A_15291 ePA-Frontend des Versicherten: Schlüsselwerte aus Value Sets decodieren gemSpec_ePA_FdV
A_15293 ePA-Frontend des Versicherten: Konfigurationsparameter verwalten gemSpec_ePA_FdV
A_15307-01 ePA-Frontend des Versicherten: Abbruch bei Fehler im Anwendungsfall gemSpec_ePA_FdV
A_15308 ePA-Frontend des Versicherten: Anzeige von Handlungsmöglichkeiten im Fehlerfall gemSpec_ePA_FdV
A_15350 ePA-Frontend des Versicherten: Login - Benachrichtigungen anzeigen optional gemSpec_ePA_FdV
A_15353-01 ePA-Frontend des Versicherten: Login - Benachrichtigungen-Anzeige gemSpec_ePA_FdV
A_15354-02 ePA-Frontend des Versicherten: Konfiguration letzte Anmeldung gemSpec_ePA_FdV
A_15400-01 ePA-Frontend des Versicherten: PDF mit Information für Vertretung gemSpec_ePA_FdV
A_15406 ePA-Frontend des Versicherten: Liste "ich bin Vertreter für" anzeigen gemSpec_ePA_FdV
A_15462 ePA-Frontend des Versicherten: Dokumente einstellen - Eingabe der Metadaten zu Dokumenten gemSpec_ePA_FdV
A_15469 ePA-Frontend des Versicherten: Suchparameter für Dokumente gemSpec_ePA_FdV
A_15472 ePA-Frontend des Versicherten: Ergebnisliste Dokumente anzeigen gemSpec_ePA_FdV
A_15474 ePA-Frontend des Versicherten: Suche verfeinern gemSpec_ePA_FdV
A_15475-01 ePA-Frontend des Versicherten: Dokumente einer Suchanfrage verarbeiten gemSpec_ePA_FdV
A_15478 ePA-Frontend des Versicherten: Dokument lokal speichern gemSpec_ePA_FdV
A_15479 ePA-Frontend des Versicherten: Dokument mit Standardprogramm anzeigen gemSpec_ePA_FdV
A_15480-01 ePA-Frontend des Versicherten: Dokumente zum Löschen markieren gemSpec_ePA_FdV
A_15482 ePA-Frontend des Versicherten: Dokumente löschen - Bestätigung gemSpec_ePA_FdV
A_17226 ePA-Frontend des Versicherten: Anzeige Metadaten von Dokumenten gemSpec_ePA_FdV
A_18171 ePA-Frontend des Versicherten: Keine Fachlogik in Testtreiber-Modul gemSpec_ePA_FdV
A_18257 ePA-Frontend des Versicherten: Dokumentengrösse an Aussenschnittstellen gemSpec_ePA_FdV
A_19685-01 ePA-Frontend des Versicherten: Anzeige der zugehörigen Datenkategorie gemSpec_ePA_FdV
A_19690 ePA-Frontend des Versicherten: Optische Kennzeichnung der Datenkategorien gemSpec_ePA_FdV
A_19897-01 ePA-Frontend des Versicherten: Anzeige von Sammlungsinstanzen vom Typ "mixed" und "uniform" gemSpec_ePA_FdV
A_19961-02 ePA-Frontend des Versicherten: Löschen einer Sammlungsinstanz gemSpec_ePA_FdV
A_20092 ePA-Frontend des Versicherten: Intuitive Bedienung gemSpec_ePA_FdV
A_20094 ePA Frontend des Versicherten: Bereitstellung Sprachen gemSpec_ePA_FdV
A_20095-02 ePA-Frontend des Versicherten: Abbruch Anwendungsfälle gemSpec_ePA_FdV
A_20096 ePA-Frontend des Versicherten: Arten der Verwaltung gemSpec_ePA_FdV
A_20097 ePA-Frontend des Versicherten: Bezeichnung der Anwendungsfälle gemSpec_ePA_FdV
A_20098 ePA-Frontend des Versicherten: Navigierbarkeit bereitgestellter Inhalte gemSpec_ePA_FdV
A_20099-01 ePA-Frontend des Versicherten: Nutzung Gerätefunktionalitäten gemSpec_ePA_FdV
A_20100 ePA-Frontend des Versicherten: Nutzung Schnittstellen Bedienungsmöglichkeiten des Betriebssystems gemSpec_ePA_FdV
A_20101 ePA-Frontend des Versicherten: Nutzung Bedienhilfen des Betriebssystems gemSpec_ePA_FdV
A_20102 ePA-Frontend des Versicherten: Kontrastverhältnis gemSpec_ePA_FdV
A_20103 ePA-Frontend des Versicherten: Hinweise gemSpec_ePA_FdV
A_20722-01 ePA-Frontend des Versicherten: Dokumente löschen – Hinweis auf mögliche versorgungsrelevante Folgen gemSpec_ePA_FdV
A_21134-01 ePA-Frontend des Versicherten: Unscharfe Ergebnisse in Ergebnisliste kennzeichnen gemSpec_ePA_FdV
A_21235 ePA-Frontend des Versicherten: Versicherten über Konsequenzen der Datenfreigabe informieren gemSpec_ePA_FdV
A_21342 ePA-FdV für Desktop-Plattformen: Anzeige eines Hinweistextes zum Betrieb auf Hardware, die nicht unter der Kontrolle des Versicherten steht gemSpec_ePA_FdV
A_21350 ePA-FdV für Desktop-Plattformen: Informieren des Versicherten über sichere Bezugsquellen für die Verteilung des FdV gemSpec_ePA_FdV
A_21351 ePA-FdV für Desktop-Plattformen: Sicherstellung der Authentifizierung der Bezugsquelle bei Erstbezug gemSpec_ePA_FdV
A_21352 ePA-FdV für Desktop-Plattformen: Technische Authentifizierung der Update-Bezugsquellen für die sichere Verteilung der ePA-FdV-Anwendung gemSpec_ePA_FdV
A_21358 ePA-FdV für Desktop-Plattformen: Mehrbenutzerfähigkeit des Desktop-Clients gemSpec_ePA_FdV
A_21473 Zugriff auf das Nationale Gesundheitsportal aus dem ePA-FdV gemSpec_ePA_FdV
A_21474 Verknüpfen von Daten aus der ePA mit Informationen des Nationalen Gesundheitsportals gemSpec_ePA_FdV
A_21483 ePA-Frontend des Versicherten: Dokumente einstellen - Kein Einstellen von Ordnern gemSpec_ePA_FdV
A_23209 Konfiguration SSO durch den Nutzer gemSpec_ePA_FdV
A_23620-01 ePA-Frontend des Versicherten: Information des Versicherten bei fehlerhaften medizinischen Dokumenten gemSpec_ePA_FdV
A_23972-01 ePA-Frontend des Versicherten: Ergebnisliste Befugnisse Felder gemSpec_ePA_FdV
A_24353 ePA-Frontend des Versicherten: Dokumente löschen – Hinweis auf löschen gemSpec_ePA_FdV
A_24387-01 ePA-Frontend des Versicherten: LEI - Search Operation am VZD-FHIR-Directory gemSpec_ePA_FdV
A_24402 ePA-Frontend des Versicherten: verständliche Fehlermeldung gemSpec_ePA_FdV
A_24426 ePA-Frontend des Versicherten: Drucken und Speichern von Verwaltungs- und Inhaltsdaten gemSpec_ePA_FdV
A_24458 ePA-Frontend des Versicherten: Verbergen einer Sammlung vom Typ "mixed" oder "uniform" gemSpec_ePA_FdV
A_24678 ePA-Frontend des Versicherten: gemSpec_ePA_FdV
A_24706 ePA-Frontend des Versicherten: Dokumente suchen gemSpec_ePA_FdV
A_24707 ePA-Frontend des Versicherten: Dokumente einstellen gemSpec_ePA_FdV
A_24708 ePA-Frontend des Versicherten: Dokumente herunterladen gemSpec_ePA_FdV
A_24709 ePA-Frontend des Versicherten: Dokumente löschen gemSpec_ePA_FdV
A_24829 ePA-Frontend des Versicherten: Kenntnis über issuer ID des zugehörigen sektoralen IDP gemSpec_ePA_FdV
A_24924 ePA-Frontend des Versicherten: Geräteinformationen anzeigen gemSpec_ePA_FdV
A_24947 ePA-Frontend des Versicherten: Medikationsliste (FHIR-Schnittstelle) anzeigen gemSpec_ePA_FdV
A_24949 ePA-Frontend des Versicherten: Medikationsliste (durch das Aktensystem gerendert) anzeigen gemSpec_ePA_FdV
A_25131 ePA-Frontend des Versicherten: DiGA - Search Operation am VZD-FHIR-Directory gemSpec_ePA_FdV
A_25132 ePA-Frontend des Versicherten: Berücksichtigung der Legal Policy bei der Aktualisierung von Metadaten gemSpec_ePA_FdV
A_25144 ePA-Frontend des Versicherten: Verbergen von Dokumenten – Hinweis auf mögliche versorgungsrelevante Folgen gemSpec_ePA_FdV
A_25174 ePA-Frontend des Versicherten: Medikationsliste anzeigen bei Widerspruch gemSpec_ePA_FdV
A_25177 ePA-Frontend des Versicherten: Authentisierung am FHIR VZD gemSpec_ePA_FdV

3.2 Festlegungen zur sicherheitstechnischen Eignung

3.2.1 CC-Evaluierung oder Produktgutachten

Der Produkttyp erfordert entweder eine Zertifizierung nach Common Criteria (CC) auf der Grundlage des Security Targets (ST) des Herstellers oder ein Produktgutachten.

Der Nachweis der im Folgenden aufgeführten Festlegungen erfolgt bei der CC-Zertifizierung implizit durch die Vorlage des IT-Sicherheitszertifikats und bei dem Produktgutachten durch die Vorlage des Produktgutachens bei der gematik.

Tabelle 5: Festlegungen zur sicherheitstechnischen Eignung "CC-Evaluierung" oder Produktgutachten

ID Bezeichnung Quelle (Referenz)
A_22684-01 Validierungsaktenkonten im Store-Review der FdVs gemSpec_Aktensystem_ePAfueralle
A_24756 Unterstützung eines SSO innerhalb eines Anwendungskontextes gemSpec_IDP_Frontend
A_24916 Annahme eines Authorization Code gemSpec_IDP_Frontend
A_15549-01 ePA-VAU-Client: Kommunikation zwischen ePA-Client und ePA-VAU gemSpec_Krypt
A_15751-03 TLS-Verbindung zwischen ePA-Aktensystem und ePA-Client gemSpec_Krypt
A_15833-01 TLS-Verbindungen ePA-FdV gemSpec_Krypt
A_17206 XML-Signaturen (ECC-Migration) gemSpec_Krypt
A_17207 Signaturen binärer Daten (ECC-Migration) gemSpec_Krypt
A_17360 XML-Signaturen (Dokumente) (ECC-Migration) gemSpec_Krypt
A_21269-01 ePA-Client: TLS-Session-Resumption gemSpec_Krypt
A_24428 VAU-Protokoll: VAU-Client: Nachricht 1 gemSpec_Krypt
A_24477 VAU-Client, Nichtproduktivumgebung, Offenlegung von symmetrischen Verbindungsschlüsseln gemSpec_Krypt
A_24619 VAU-Protokoll: AES/GCM-Verschlüsselung im Handshake gemSpec_Krypt
A_24622 VAU-Protokoll: VAU-Client: Erhalt von Nachricht 2 gemSpec_Krypt
A_24623 VAU-Protokoll: VAU-Client: Nachricht 3 gemSpec_Krypt
A_24624-01 VAU-Protokoll: VAU-Client: Prüfung der "signierten öffentlichen VAU-Schlüssel" gemSpec_Krypt
A_24627 VAU-Protokoll: VAU-Client: Erhalt von Nachricht 4 gemSpec_Krypt
A_24628-01 VAU-Protokoll: VAU-Client: Request erzeugen/verschlüsseln gemSpec_Krypt
A_24629 VAU-Protokoll: VAU-Client: Verschlüsselungszähler gemSpec_Krypt
A_24633 VAU-Protokoll: VAU-Client: Response entschlüsseln/auswerten gemSpec_Krypt
A_24767 VAU-Protokoll, Fehlerverarbeitung im VAU-Client gemSpec_Krypt
A_24773 VAU-Protokoll: Clients: Neustart/Wiederholung des Verbindungsaufbaus gemSpec_Krypt
A_24958 VAU-Protokoll: VAU-Client Prüfbasis Zertifikatsprüfung gemSpec_Krypt
A_26301 ePA-Client: Zugriffscode Erzeugung gemSpec_Krypt
GS-A_4357-02 X.509-Identitäten für die Erstellung und Prüfung digitaler nicht-qualifizierter elektronischer Signaturen gemSpec_Krypt
GS-A_4359-02 X.509-Identitäten für die Durchführung einer TLS-Authentifizierung gemSpec_Krypt
GS-A_4361-02 X.509-Identitäten für die Erstellung und Prüfung digitaler Signaturen gemSpec_Krypt
GS-A_4367 Zufallszahlengenerator gemSpec_Krypt
GS-A_4368 Schlüsselerzeugung gemSpec_Krypt
GS-A_4371-02 XML-Signaturen für nicht-qualifizierte Signaturen gemSpec_Krypt
GS-A_4373 XML-Verschlüsselung - symmetrisch gemSpec_Krypt
GS-A_4393 Algorithmus bei der Erstellung von Hashwerten von Zertifikaten oder öffentlichen Schlüsseln gemSpec_Krypt
GS-A_5016 Symmetrische Verschlüsselung binärer Daten gemSpec_Krypt
GS-A_5091 Verwendung von RSASSA-PSS bei XMLDSig-Signaturen gemSpec_Krypt
A_23225 lokales Caching von Sperrinformationen und Toleranzzeiten gemSpec_PKI
A_17847 Prüfung eines SGD-HSM-Zertifikats (1/2) gemSpec_SGD_ePA
A_17848 Prüfung eines SGD-HSM-Zertifikats (2/2) gemSpec_SGD_ePA
A_17892 Aufwärtskompatibilität JSON-Requests und -Responses gemSpec_SGD_ePA
A_17899 SGD-Clients, Auswertung der Kodierung des öffentlichen ECIES-Schlüssels eines SGD-HSMs gemSpec_SGD_ePA
A_17900 SGD-Clients, Kodierung des eigenen kurzlebigen ECIES-Schlüssels gemSpec_SGD_ePA
A_17901 SGD-Clients, Kodierung der Signatur des eigenen ECIES-Schlüssels gemSpec_SGD_ePA
A_17902 Kontext SGD, Chiffrat-Kodierung beim Nachrichtentransport gemSpec_SGD_ePA
A_17903 Kontext SGD, Prüfung der ephemeren ECC-Schlüssel des Senders beim ECIES-Verfahren gemSpec_SGD_ePA
A_17924-01 Anfragen an das SGD-HSM (Client) gemSpec_SGD_ePA
A_17930 interoperables Austauschformat Schlüsselableitungsfunktionalität ePA gemSpec_SGD_ePA
A_18003 SGD-Client, Prüfung der Telematik-ID bei Berechtigungsvergabe gemSpec_SGD_ePA
A_18006 SGD-Client, KVNR gemSpec_SGD_ePA
A_18024 SGD-Client, Prüfung SGD-HSM-ECIES-Schlüssel gemSpec_SGD_ePA
A_18025-01 SGD-Client, Anfrage GetAuthenticationToken gemSpec_SGD_ePA
A_18028 SGD-Client, Auswertung der Anfrage GetAuthenticationToken gemSpec_SGD_ePA
A_18029 SGD-Client, Anfrage KeyDerivation gemSpec_SGD_ePA
A_18031-01 SGD-Client, Auswertung der Anfrage KeyDerivation (1/2) gemSpec_SGD_ePA
A_18032 SGD-Client, kurzlebigen ECIES-Client-Schlüsselpaar gemSpec_SGD_ePA
A_20977 SGD-Client, Auswertung der Anfrage KeyDerivation (2/2) gemSpec_SGD_ePA
A_22497 SGD-Client, Mehrfachableitung (kurzlebiges ECIES-Client-Schlüsselpaar) gemSpec_SGD_ePA
A_23617 ePA-FdV, SGD-Client, Mehrfachableitung gemSpec_SGD_ePA
A_15252-02 ePA-Frontend des Versicherten: Schlüsselmaterial nicht persistent speichern gemSpec_ePA_FdV
A_15253-01 ePA-Frontend des Versicherten: Schutz Session-Daten gemSpec_ePA_FdV
A_15254-01 ePA-Frontend des Versicherten: Session-Daten nicht persistent speichern gemSpec_ePA_FdV
A_15255-01 ePA-Frontend des Versicherten: Schutzmaßnahmen gegen die OWASP-Mobile-Top-10-Risiken gemSpec_ePA_FdV
A_15256-02 ePA-Frontend des Versicherten: Verbot von Werbe-Tracking gemSpec_ePA_FdV
A_15305-03 ePA-Frontend des Versicherten: Geräteinformationen speichern gemSpec_ePA_FdV
A_15358-02 ePA-Frontend des Versicherten: Logout - Session-Daten löschen gemSpec_ePA_FdV
A_15872-01 ePA-Frontend des Versicherten: verpflichtende Zertifikatsprüfung gemSpec_ePA_FdV
A_15887-03 ePA-Frontend des Versicherten: Prüfung Internet-Zertifikate gemSpec_ePA_FdV
A_16439 ePA-Frontend des Versicherten: Weiterleiten von Daten - Zustimmung gemSpec_ePA_FdV
A_16440 ePA-Frontend des Versicherten: Weiterleiten von Daten - Information gemSpec_ePA_FdV
A_16441 ePA-Frontend des Versicherten: Weiterleiten von Daten - Nachvollziehbarkeit gemSpec_ePA_FdV
A_16973-01 ePA-Frontend des Versicherten: lokale Ausführung gemSpec_ePA_FdV
A_17660 ePA-Frontend des Versicherten: Schutzmaßnahmen gegen Schadsoftware aus Dokumenten gemSpec_ePA_FdV
A_18401 ePA-Frontend des Versicherten: Verarbeiten von ePA-Daten in zusätzlichen Funktionalitäten - Zustimmung gemSpec_ePA_FdV
A_18402 ePA-Frontend des Versicherten: Verarbeiten von ePA-Daten in zusätzlichen Funktionalitäten - Opt-In gemSpec_ePA_FdV
A_18767 Tracking-Funktionen – Keine Weitergabe von Sicherheitsmerkmalen gemSpec_ePA_FdV
A_18768 Tracking-Funktionen – Verarbeitung und Auswertung der Tracking-Daten gemSpec_ePA_FdV
A_18769 Tracking-Funktionen – Keine direkt identifizierenden personenbezogenen Daten gemSpec_ePA_FdV
A_18770 Tracking-Funktionen – Ohne Einwilligung des Nutzers gemSpec_ePA_FdV
A_18771 Tracking-Funktionen – Generierung von Nutzersession basierte Trackingmerkmale gemSpec_ePA_FdV
A_18772 Tracking-Funktionen - Opt-in gemSpec_ePA_FdV
A_18773 Tracking-Funktionen – Kopplungsverbot gemSpec_ePA_FdV
A_18774-01 Tracking-Funktionen - Einwilligungsinformation des Nutzers gemSpec_ePA_FdV
A_18775 Tracking-Funktionen – Aktivierung erst nach Lesebestätigung der Einwilligungsinformationen gemSpec_ePA_FdV
A_18776 Tracking-Funktionen – Deaktivierung ist jederzeit möglich gemSpec_ePA_FdV
A_18777-01 Tracking-Funktionen – Neue Generierung der Pseudonyme ist jederzeit möglich gemSpec_ePA_FdV
A_18778 Tracking-Funktionen – Verbot von mehrmaligen Einwilligungsabfragen gemSpec_ePA_FdV
A_19061 Tracking-Funktionen – Nutzer Informieren gemSpec_ePA_FdV
A_20721 Weiterleiten von Daten an Krankenkassen erst nach Einwilligung gemSpec_ePA_FdV
A_20746 ePA-Frontend des Versicherten: Authentifizierung des Nutzers am ePA-FdV gemSpec_ePA_FdV
A_21128 Hinweis im FdV zur selbstständigen Sicherung der Protokolle bei Schließen der Akte gemSpec_ePA_FdV
A_21129-02 Revisionssicherer Export der Protokolle gemSpec_ePA_FdV
A_21301 ePA-FdV für Desktop-Plattformen: Kein Ausführen von aktiven Inhalten bei der Anzeige gemSpec_ePA_FdV
A_21343-01 ePA-Frontend des Versicherten: Ausführen von begutachtetem Code gemSpec_ePA_FdV
A_21344-01 ePA-Frontend des Versicherten: Code von Drittanbietern aus vertrauenswürdigen Quellen gemSpec_ePA_FdV
A_21351 ePA-FdV für Desktop-Plattformen: Sicherstellung der Authentifizierung der Bezugsquelle bei Erstbezug gemSpec_ePA_FdV
A_21352 ePA-FdV für Desktop-Plattformen: Technische Authentifizierung der Update-Bezugsquellen für die sichere Verteilung der ePA-FdV-Anwendung gemSpec_ePA_FdV
A_21355 ePA-Frontend des Versicherten: Zugriff auf den Geräteidentifikator durch Zusatzfunktionen gemSpec_ePA_FdV
A_21356 ePA-Frontend des Versicherten: Speicherung des Geräteidentifikators gemSpec_ePA_FdV
A_21357 ePA-Frontend des Versicherten: Zugriff auf den Geräteidentifikator gemSpec_ePA_FdV
A_21475 Zugriff auf das Nationale Gesundheitsportal nur nach Zustimmung des Versicherten (Opt-in) gemSpec_ePA_FdV
A_21476 Informationen zum Datenschutz bei Nutzung des Nationalen Gesundheitsportals gemSpec_ePA_FdV
A_21477 Sichere Verbindung zum Nationalen Gesundheitsportal gemSpec_ePA_FdV
A_21700 Verbot der Übermittelung persönlicher Daten an das Nationale Gesundheitsportal gemSpec_ePA_FdV
A_23870 ePA-FdV: Information des Nutzers über die Auswirkungen bei Änderungen von Widersprüchen gemSpec_ePA_FdV
A_24056-01 ePA-FdV: Information des Nutzers über Möglichkeit des Widerspruchs in Funktionen der ePA gemSpec_ePA_FdV
A_24405-01 ePA-Frontend des Versicherten: Vertretung am fremden FdV verwalten - Authentisierung gemSpec_ePA_FdV
A_24557 Frontend des Versicherten: Kommunikation mit der Vertrauenwürdigen Ausführungsumgebung (VAU) gemSpec_ePA_FdV
A_24759 ePA-Frontend des Versicherten: Logout User gemSpec_ePA_FdV
A_24792 ePA-Frontend des Versicherten: registrierte Geräte anzeigen gemSpec_ePA_FdV
A_24803 ePA-Frontend des Versicherten: registriertes Gerät löschen gemSpec_ePA_FdV
A_24969 ePA-Frontend des Versicherten: Akten- und Kontextschlüssel an ePA-Aktensystem übertragen gemSpec_ePA_FdV
A_25047 ePA-Frontend des Versicherten: Default-Einstellung kein SSO gemSpec_ePA_FdV
A_25048 ePA-Frontend des Versicherten: Information des Nutzers über SSO gemSpec_ePA_FdV
A_26280 ePA-Frontend des Versicherten: Keine Übermittlung von Informationen des Befugten an den Signaturdienst gemSpec_ePA_FdV
A_26380 ePA-Frontend des Versicherten: Verbergen von Dokumenten durch ConfidentialityCode "CON" gemSpec_ePA_FdV

3.2.2 Herstellererklärung sicherheitstechnische Eignung

Sofern in diesem Abschnitt Festlegungen verzeichnet sind, muss der Hersteller bzw. der Anbieter deren Umsetzung und Beachtung zum Nachweis der sicherheitstechnischen Eignung durch eine Herstellererklärung bestätigen bzw. zusagen.

Tabelle 6: Festlegungen zur sicherheitstechnischen Eignung "Herstellererklärung"

ID Bezeichnung Quelle (Referenz)
A_24738 Keine Testtreiber-Module in den produktiven FdVs gemKPT_Test
A_17178 Produktentwicklung: Basisschutz gegen OWASP Top 10 Risiken gemSpec_DS_Hersteller
A_17179 Auslieferung aktueller zusätzlicher Softwarekomponenten gemSpec_DS_Hersteller
A_19163 Rechte der gematik zur sicherheitstechnischen Prüfung des Produktes gemSpec_DS_Hersteller
A_19164 Mitwirkungspflicht bei Sicherheitsprüfung gemSpec_DS_Hersteller
A_19165 Auditrechte der gematik zur Prüfung der Herstellerbestätigung gemSpec_DS_Hersteller
A_23445 Beteiligung der Hersteller am Coordinated Vulnerability Disclosure Programm gemSpec_DS_Hersteller
GS-A_2330-02 Hersteller: Schwachstellen-Management gemSpec_DS_Hersteller
GS-A_2350-01 Produktunterstützung der Hersteller gemSpec_DS_Hersteller
GS-A_2354-01 Produktunterstützung mit geeigneten Sicherheitstechnologien gemSpec_DS_Hersteller
GS-A_2525-01 Hersteller: Schließen von Schwachstellen gemSpec_DS_Hersteller
GS-A_4944-01 Produktentwicklung: Behebung von Sicherheitsmängeln gemSpec_DS_Hersteller
GS-A_4945-01 Produktentwicklung: Qualitätssicherung gemSpec_DS_Hersteller
GS-A_4946-01 Produktentwicklung: sichere Programmierung gemSpec_DS_Hersteller
GS-A_4947-01 Produktentwicklung: Schutz der Vertraulichkeit und Integrität gemSpec_DS_Hersteller
GS-A_4357-02 X.509-Identitäten für die Erstellung und Prüfung digitaler nicht-qualifizierter elektronischer Signaturen gemSpec_Krypt
A_15251-01 ePA-Frontend des Versicherten: Anforderungen an Ausführungsumgebung gemSpec_ePA_FdV
A_16438 ePA-Frontend des Versicherten: Unterscheidbarkeit zusätzlicher Funktionalitäten gemSpec_ePA_FdV
A_17723 ePA-Frontend des Versicherten: Über mögliche Schadsoftware informieren gemSpec_ePA_FdV
A_18071 ePA-Frontend des Versicherten: Beschränkung Einsatz Testtreiber-Modul gemSpec_ePA_FdV
A_19110 ePA-Frontend des Versicherten: – Unterbindung bei einer erheblichen Störung gemSpec_ePA_FdV
A_19143 ePA-Frontend des Versicherten: Mitwirkungspflicht bei der CC-Zertifizierung gemSpec_ePA_FdV
A_19144 ePA-Frontend des Versicherten: Dokumentationspflicht bei der CC-Zertifizierung gemSpec_ePA_FdV
A_25267 ePA-Frontend des Versicherten: Verbot der Profilbildung gemSpec_ePA_FdV
A_25721 ePA-Frontend des Versicherten: Hinweis auf Benachrichtigungsmail gemSpec_ePA_FdV

3.2.3 Sicherheitsgutachten

Die in diesem Abschnitt verzeichneten Festlegungen sind Gegenstand der Prüfung der Sicherheitseignung gemäß [gemRL_PruefSichEig_DS]. Das entsprechende Sicherheitsgutachten ist der gematik vorzulegen.

Tabelle 7: Festlegungen zur sicherheitstechnischen Eignung "Sicherheitsgutachten"

ID Bezeichnung Quelle (Referenz)
A_19147 Sicherheitstestplan gemSpec_DS_Hersteller
A_19148 Sicherheits- und Datenschutzkonzept gemSpec_DS_Hersteller
A_19150 Umsetzung Sicherheitstestplan gemSpec_DS_Hersteller
A_19151 Implementierungsspezifische Sicherheitsanforderungen gemSpec_DS_Hersteller
A_19152 Verwendung eines sicheren Produktlebenszyklus gemSpec_DS_Hersteller
A_19153 Sicherheitsrelevanter Softwarearchitektur-Review gemSpec_DS_Hersteller
A_19154 Durchführung einer Bedrohungsanalyse gemSpec_DS_Hersteller
A_19155 Durchführung sicherheitsrelevanter Quellcode-Reviews gemSpec_DS_Hersteller
A_19156 Durchführung automatisierter Sicherheitstests gemSpec_DS_Hersteller
A_19157 Dokumentierter Plan zur Sicherheitsschulung für Entwickler gemSpec_DS_Hersteller
A_19158 Sicherheitsschulung für Entwickler gemSpec_DS_Hersteller
A_19159 Dokumentation des sicheren Produktlebenszyklus gemSpec_DS_Hersteller
A_19160 Änderungs- und Konfigurationsmanagementprozess gemSpec_DS_Hersteller
A_19162 Informationspflicht bei Veröffentlichung neue Produktversion gemSpec_DS_Hersteller

4 Produkttypspezifische Merkmale

Es liegen keine optionalen Ausprägungen des Produkttyps vor. 

5 Anhang – Verzeichnisse

5.1 Abkürzungen

Kürzel Erläuterung
ID Identifikation
CC Common Criteria
ST Security Target

5.2 Tabellenverzeichnis