gemProdT_eRp_AdV_PTV_1.2.0-0_V1.0.0
Releases:
Elektronische Gesundheitskarte und Telematikinfrastruktur
Produkttypsteckbrief
Prüfvorschrift
E-Rezept-Anwendungen des Versicherten
| Produkttyp Version | 1.2.0-0 |
| Produkttyp Status | freigegeben |
| Version | 1.0.0 |
| Revision | 548770 |
| Stand | 07.12.2022 |
| Status | freigegeben |
| Klassifizierung | öffentlich |
| Referenzierung | gemProdT_eRp_AdV_PTV_1.2.0-0 |
Historie Produkttypversion und Produkttypsteckbrief
Historie Produkttypversion
Die Produkttypversion ändert sich, wenn sich die normativen Festlegungen für den Produkttyp ändern und die Umsetzung durch Produktentwicklungen ebenfalls betroffen ist.
| Produkttypversion | Beschreibung der Änderung | Referenz |
|---|---|---|
| 1.0.0-0 | Initiale Version auf Dokumentenebene | gemProdT_eRp_AdV_PTV1.0.0-0 |
| 1.1.0-0 | Anpassung auf Releasestand E-Rezept 1.2.0 | gemProdT_eRp_AdV_PTV1.1.0-0 |
| 1.2.0-0 | Anpassung auf Releasestand E-Rezept 1.3.0 | gemProdT_eRp_AdV_PTV1.2.0-0 |
Historie Produkttypsteckbrief
Die Dokumentenversion des Produkttypsteckbriefs ändert sich mit jeder inhaltlichen oder redaktionellen Änderung des Produkttypsteckbriefs und seinen referenzierten Dokumenten. Redaktionelle Änderungen haben keine Auswirkung auf die Produkttypversion.
| Version | Stand | Kap. | Grund der Änderung, besondere Hinweise | Bearbeiter |
|---|---|---|---|---|
| 1.0.0 | 07.12.2022 | freigegeben | gematik |
Inhaltsverzeichnis
1 Einführung
1.1 Zielsetzung und Einordnung des Dokumentes
Dieser Produkttypsteckbrief verzeichnet verbindlich die normativen Festlegungen der gematik an Herstellung und Betrieb von Produkten des Produkttyps oder verweist auf Dokumente, in denen verbindliche normative Festlegungen mit ggf. anderer Notation zu finden sind. Die normativen Festlegungen bilden die Grundlage für die Erteilung von Zulassungen, Zertifizierungen bzw. Bestätigungen durch die gematik. (Wenn im weiteren Dokument vereinfachend der Begriff „Zulassung“ verwendet wird, so ist dies der besseren Lesbarkeit geschuldet und umfasst übergreifend neben dem Verfahren der Zulassung auch Zertifizierungen und Bestätigungen der gematik-Zulassungsstelle.)
Die normativen Festlegungen werden über ihren Identifier, ihren Titel sowie die Dokumentenquelle referenziert. Die normativen Festlegungen mit ihrem vollständigen, normativen Inhalt sind dem jeweils referenzierten Dokument zu entnehmen.
1.2 Zielgruppe
Der Produkttypsteckbrief richtet sich an Hersteller eines E-Rezept-Anwendungen des Versicherten sowie Hersteller und Anbieter von Produkttypen, die hierzu eine Schnittstelle besitzen.
Das Dokument ist außerdem zu verwenden von:
- der gematik im Rahmen des Zulassungsverfahrens
- dem Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Auditoren
Bei zentralen Diensten der TI-Plattform und fachanwendungsspezifischen Diensten beziehen sich normative Festlegungen, die sowohl an Anbieter als auch Hersteller gerichtet sind, jeweils auf den Anbieter als Zulassungsnehmer, bei dezentralen Produkten auf den Hersteller.
1.3 Geltungsbereich
Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z. B. gemPTV_ATV_Festlegungen, Leistungsbeschreibung) festgelegt und bekannt gegeben.
1.4 Abgrenzung des Dokumentes
Dieses Dokument macht keine Aussagen zur Aufteilung der Produktentwicklung bzw. Produktherstellung auf verschiedene Hersteller und Anbieter.
Dokumente zu den Zulassungsverfahren für den Produkttyp sind nicht aufgeführt. Die geltenden Verfahren und Regelungen zur Beantragung und Durchführung von Zulassungsverfahren können dem Fachportal der gematik (https://fachportal.gematik.de/downloadcenter/zulassungs-bestaetigungsantraege-verfahrensbeschreibungen) entnommen werden.
1.5 Methodik
Die im Dokument verzeichneten normativen Festlegungen werden tabellarisch dargestellt. Die Tabellenspalten haben die folgende Bedeutung:
ID: Identifiziert die normative Festlegung eindeutig im Gesamtbestand aller Festlegungen der gematik.
Bezeichnung: Gibt den Titel einer normativen Festlegung informativ wieder, um die thematische Einordnung zu erleichtern. Der vollständige Inhalt der normativen Festlegung ist dem Dokument zu entnehmen, auf das die Quellenangabe verweist.
Quelle (Referenz): Verweist auf das Dokument, das die normative Festlegung definiert.
2 Dokumente
Die nachfolgenden Dokumente enthalten alle für den Produkttyp normativen Festlegungen.
Tabelle 1: Dokumente mit normativen Festlegungen
| Dokumentenkürzel | Bezeichnung des Dokumentes | Version |
|---|---|---|
| gemKPT_Test | Testkonzept der TI | 2.8.5 |
| gemSpec_DM_eRp | Datenmodell E-Rezept | 1.5.0 |
| gemSpec_DS_Hersteller | Spezifikation Datenschutz- und Sicherheitsanforderungen der TI an Hersteller | 1.3.0 |
| gemSpec_eRp_AdV | Spezifikation E-Rezept-Anwendungen des Versicherten | 1.1.0 |
| gemSpec_eRp_FdV | Spezifikation E-Rezept-Frontend des Versicherten | 1.5.0 |
| gemSpec_IDP_Frontend | Spezifikation Identity Provider - Frontend | 1.3.0 |
| gemSpec_Krypt | Übergreifende Spezifikation Verwendung kryptographischer Algorithmen in der Telematikinfrastruktur | 2.24.0 |
| gemSpec_OM | Übergreifende Spezifikation Operations und Maintenance | 1.14.0 |
| gemSpec_PKI | Übergreifende Spezifikation – Spezifikation PKI | 2.14.0 |
Weiterhin sind die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte normativ und gelten mit.
Tabelle 2: Mitgeltende Dokumente und Web-Inhalte
| Quelle |
Herausgeber: Bezeichnung / URL |
Version Branch / Tag |
|---|---|---|
**) vorherige Registrierung notwendig
Die in folgender Tabelle aufgeführten Dokumente und Web-Inhalte sind informative Beistellungen und sind nicht Gegenstand der Bestätigung / Zulassung.
Tabelle 3: Informative Dokumente und Web-Inhalte
| Quelle | Herausgeber: Bezeichnung / URL | Version Branch / Tag |
|---|---|---|
| [ERP-API] | Beschreibung der Nutzung der Schnittstellen rund um das E-Rezept https://github.com/gematik/api-erp | |
| [gemRL_PruefSichEig_DS] | gematik: Richtlinie zur Prüfung der Sicherheitseignung | |
Hinweis:
- Ist kein Herausgeber angegeben, wird angenommen, dass die gematik für Herausgabe und Veröffentlichung der Quelle verantwortlich ist.
- Ist keine Version angegeben, bezieht sich die Quellenangabe auf die aktuellste Version.
- Bei Quellen aus gitHub werden als Version Branch und / oder Tag verwendet.
3 Normative Festlegungen
Die folgenden Abschnitte verzeichnen alle für den Produkttypen normativen Festlegungen, die für die Herstellung und den Betrieb von Produkten des Produkttyps notwendig sind. Die Festlegungen sind gruppiert nach der Art der Nachweisführung ihrer Erfüllung als Grundlage der Zulassung, Zertifizierung bzw. Bestätigung.
3.1 Festlegungen zur funktionalen Eignung
3.1.1 Produkttest/Produktübergreifender Test
In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Festlegungen an den technischen Teil des Produkttyps verzeichnet, deren Umsetzung im Zuge von Zulassungstests durch die gematik geprüft wird.
Tabelle 4: Festlegungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| A_19218 | Prüfung E-Rezept-ID | gemSpec_DM_eRp |
| A_22216 | FHIR-Ressourcen Versionsangabe | gemSpec_DM_eRp |
| A_19937 | Fehlermeldungen des Token-Endpunktes Anzeige | gemSpec_IDP_Frontend |
| A_19938-01 | Annahme des ID_TOKEN | gemSpec_IDP_Frontend |
| A_20079 | Ausfall der Fehlermeldung des Token-Endpunktes | gemSpec_IDP_Frontend |
| A_20085 | Fehlermeldungen des Anwendungsfrontends | gemSpec_IDP_Frontend |
| A_20283-01 | Annahme des "ACCESS_TOKEN" | gemSpec_IDP_Frontend |
| A_20309 | Bildung von "CODE_VERIFIER" und "CODE_CHALLENGE" | gemSpec_IDP_Frontend |
| A_20483 | Formulierung und Inhalte der Anfrage zum "AUTHORIZATION_CODE" für einen "ACCESS_TOKEN" | gemSpec_IDP_Frontend |
| A_20512 | Regelmäßiges Einlesen des Discovery Document | gemSpec_IDP_Frontend |
| A_20529-01 | Senden von "AUTHORIZATION_CODE" und "KEY_VERIFIER" an den Token-Endpunkt | gemSpec_IDP_Frontend |
| A_20602 | Einreichen des "ACCESS_TOKEN" beim Fachdienst | gemSpec_IDP_Frontend |
| A_20603 | Organisatorische Registrierung des Anwendungsfrontends | gemSpec_IDP_Frontend |
| A_20605 | Fehlermeldung des Token-Endpunktes Formatierung | gemSpec_IDP_Frontend |
| A_20606 | Anwendungsfrontend: Kommunikation über TLS-Verbindung | gemSpec_IDP_Frontend |
| A_20608 | Anwendungsfrontend: Unzulässige TLS-Verbindungen ablehnen | gemSpec_IDP_Frontend |
| A_20623 | Anwendungsfrontend: Prüfung der Signatur des Discovery Document | gemSpec_IDP_Frontend |
| A_20625 | Anwendungsfrontend: Prüfung der Signatur des ID_TOKEN | gemSpec_IDP_Frontend |
| A_20740 | Bekanntgabe der Redirect-URI des Anwendungsfrontend | gemSpec_IDP_Frontend |
| A_20741 | Speicherung des Downloadpunktes des Discovery Document im Anwendungsfrontend | gemSpec_IDP_Frontend |
| A_21323 | Erzeugung des "Token-Key" | gemSpec_IDP_Frontend |
| A_21324 | Erzeugen des "KEY_VERIFIER" | gemSpec_IDP_Frontend |
| A_21325 | Verschlüsselte Übertragung zum Fachdienst | gemSpec_IDP_Frontend |
| A_21326 | Löschung von ACCESS_TOKEN | gemSpec_IDP_Frontend |
| A_21327 | Löschung von ID_TOKEN | gemSpec_IDP_Frontend |
| A_21328 | Sichere Speicherung der Token | gemSpec_IDP_Frontend |
| A_17237 | Rückgabe der Selbstauskunft von Software Modulen über Benutzerschnittstelle | gemSpec_OM |
| A_17792 | Rückgabe der Selbstauskunft von Software Modulen auf Dateibasis | gemSpec_OM |
| GS-A_3702 | Inhalt der Selbstauskunft von Produkten außer Karten | gemSpec_OM |
| GS-A_5034 | Inhalte der Betriebsdokumentation der dezentralen Produkte der TI-Plattform | gemSpec_OM |
| GS-A_5038 | Festlegungen zur Vergabe einer Produktversion | gemSpec_OM |
| GS-A_4661-01 | kritische Erweiterungen in Zertifikaten | gemSpec_PKI |
| GS-A_4662 | Bedingungen für TLS-Handshake | gemSpec_PKI |
| A_19205 | E-Rezept-FdV: Nachrichten anzeigen - Nachrichten herunterladen | gemSpec_eRp_AdV |
| A_19208 | E-Rezept-FdV: Nachrichten anzeigen - Anzeigen | gemSpec_eRp_AdV |
| A_19209 | E-Rezept-FdV: Protokolldaten anzeigen | gemSpec_eRp_AdV |
| A_19210 | E-Rezept-FdV: Protokolldaten anzeigen - Protokolleinträge abrufen | gemSpec_eRp_AdV |
| A_19211 | E-Rezept-FdV: Protokolldaten anzeigen - Anzeigen | gemSpec_eRp_AdV |
| A_19215 | E-Rezept-FdV: Kommunikation über TLS-Verbindung | gemSpec_eRp_AdV |
| A_19216 | E-Rezept-FdV: Unzulässige TLS-Verbindungen ablehnen | gemSpec_eRp_AdV |
| A_19219 | E-Rezept-FdV: E-Rezepte löschen - E-Rezepte zum Löschen auswählen | gemSpec_eRp_AdV |
| A_19220 | E-Rezept-FdV: E-Rezept löschen - Bestätigung | gemSpec_eRp_AdV |
| A_19347 | E-Rezept-FdV: E-Rezept herunterladen | gemSpec_eRp_AdV |
| A_19438-01 | E-Rezept-FdV: Adressierung E-Rezept-Fachdienst | gemSpec_eRp_AdV |
| A_19479 | E-Rezept-FdV: Filterfunktion | gemSpec_eRp_AdV |
| A_19682 | E-Rezept-FdV - Kein Logging auf Geräten des Versicherten | gemSpec_eRp_AdV |
| A_19747 | E-Rezept-FdV: Endpunkt Schnittstelle E-Rezept-Fachdienst | gemSpec_eRp_AdV |
| A_20014-01 | E-Rezept-FdV: HTTP-Header user-agent | gemSpec_eRp_AdV |
| A_20035 | E-Rezept-FdV: TI-Session starten | gemSpec_eRp_AdV |
| A_20036 | E-Rezept-FdV: Anzeige der Abgabeinformationen | gemSpec_eRp_AdV |
| A_20053 | E-Rezept-FdV: FHIR-Signatur prüfen | gemSpec_eRp_AdV |
| A_20117 | E-Rezept-FdV: Authentisierung wenn kein gültiger ACCESS_CODE | gemSpec_eRp_AdV |
| A_20185 | E-Rezept-FdV - Session-Timeout | gemSpec_eRp_AdV |
| A_20575 | E-Rezept-AdV: E-Rezepte löschen | gemSpec_eRp_AdV |
| A_20576 | E-Rezept-AdV: E-Rezepte abrufen | gemSpec_eRp_AdV |
| A_20594 | E-Rezept-AdV: E-Rezepte einsehen - MedicationDispense herunterladen | gemSpec_eRp_AdV |
| A_20595 | E-Rezept-AdV: E-Rezepte im Frontend anzeigen | gemSpec_eRp_AdV |
| A_20647 | E-Rezept-AdV: Parameter speichern und laden | gemSpec_eRp_AdV |
| A_20648 | E-Rezept-AdV: E-Rezept löschen - Löschrequest | gemSpec_eRp_AdV |
| A_20678 | E-Rezept-AdV: Konfigurationsparameter verwalten | gemSpec_eRp_AdV |
| A_21523 | E-Rezept-FdV: Nachrichten löschen - Nachrichten zum Löschen auswählen | gemSpec_eRp_AdV |
| A_21524 | E-Rezept-FdV: Nachrichten löschen - Bestätigung | gemSpec_eRp_AdV |
| A_21525 | E-Rezept-FdV: Nachrichten löschen | gemSpec_eRp_AdV |
| A_21526 | E-Rezept-FdV: Nachrichten löschen - Löschrequest | gemSpec_eRp_AdV |
| A_21527 | E-Rezept-AdV: Nachrichten empfangen | gemSpec_eRp_AdV |
| A_21554 | E-Rezept-FdV: API-KEY speichern | gemSpec_eRp_AdV |
| A_21555 | E-Rezept-FdV - Verwendung API-KEY | gemSpec_eRp_AdV |
| A_21567 | E-Rezept-FdV: HTTP-Header X-erp-user | gemSpec_eRp_AdV |
| A_21570 | E-Rezept-FdV: HTTP-Header X-erp-resource | gemSpec_eRp_AdV |
| A_20202 | E-Rezept-FdV - App-Berechtigungen | gemSpec_eRp_FdV |
| A_22167 | E-Rezept-FdV: Einwilligungsinformationen abrufen | gemSpec_eRp_FdV |
| A_22168 | E-Rezept-FdV: Einwilligungsinformation abrufen - Abfragerequest | gemSpec_eRp_FdV |
| A_22169 | E-Rezept-FdV: Einwilligung Abrechnungsinformation widerrufen - Einwilligung eingeben | gemSpec_eRp_FdV |
| A_22170 | E-Rezept-FdV: Einwilligung Abrechnungsinformation widerrufen | gemSpec_eRp_FdV |
| A_22171 | E-Rezept-FdV: Einwilligung Abrechnungsinformation widerrufen - Löschrequest | gemSpec_eRp_FdV |
| A_22172 | E-Rezept-FdV: Liste Abrechnungsinformationen abrufen | gemSpec_eRp_FdV |
| A_22173 | E-Rezept-FdV: Liste Abrechnungsinformationen abrufen - Abfragerequest | gemSpec_eRp_FdV |
| A_22174 | E-Rezept-FdV: Abrechnungsinformation abrufen | gemSpec_eRp_FdV |
| A_22175 | E-Rezept-FdV: Abrechnungsinformation abrufen - Abfragerequest einzelner Datensatz | gemSpec_eRp_FdV |
| A_22180 | E-Rezept-FdV: Abrechnungsinformation löschen - Abrechnungsinformationen zum Löschen auswählen | gemSpec_eRp_FdV |
| A_22181 | E-Rezept-FdV: Abrechnungsinformation löschen - Bestätigung | gemSpec_eRp_FdV |
| A_22182 | E-Rezept-FdV: Abrechnungsinformation löschen | gemSpec_eRp_FdV |
| A_22183 | E-Rezept-FdV: Abrechnungsinformation löschen - Löschrequest | gemSpec_eRp_FdV |
| A_22330 | E-Rezept-FdV: Einwilligung Abrechnungsinformation widerrufen - Bestätigung | gemSpec_eRp_FdV |
3.1.2 Herstellererklärung funktionale Eignung
In diesem Abschnitt sind alle funktionalen und nichtfunktionalen Festlegungen an den technischen Teil des Produkttyps verzeichnet, deren durchgeführte bzw. geplante Umsetzung und Beachtung der Hersteller bzw. der Anbieter durch eine Herstellererklärung bestätigt bzw. zusagt.
Tabelle 5: Festlegungen zur funktionalen Eignung "Herstellererklärung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| A_15593 | Ersatz bei defekten dezentralen Produkten | gemKPT_Test |
| A_15594 | Vorhalten testbereiter dezentraler Komponenten | gemKPT_Test |
| A_20061 | Beschreibung Art und Umfang der Fehlerkorrektur | gemKPT_Test |
| A_20065 | Nutzung der Dokumententemplates der gematik | gemKPT_Test |
| TIP1-A_4191 | Keine Echtdaten in RU und TU | gemKPT_Test |
| TIP1-A_4930 | Automatisierung von Tests | gemKPT_Test |
| TIP1-A_6082 | Versionen der Referenzobjekte | gemKPT_Test |
| TIP1-A_6088 | Unterstützung bei Fehlernachstellung | gemKPT_Test |
| TIP1-A_6518 | Eigenverantwortlicher Test: TDI | gemKPT_Test |
| TIP1-A_6519 | Eigenverantwortlicher Test: Hersteller und Anbieter | gemKPT_Test |
| TIP1-A_6523 | Zulassungstest: Hersteller und Anbieter | gemKPT_Test |
| TIP1-A_6524-01 | Testdokumentation gemäß Vorlagen | gemKPT_Test |
| TIP1-A_6526 | Produkttypen: Bereitstellung | gemKPT_Test |
| TIP1-A_6529 | Produkttypen: Mindestumfang der Interoperabilitätsprüfung | gemKPT_Test |
| TIP1-A_6532 | Zulassung eines neuen Produkts: Aufgaben der TDI | gemKPT_Test |
| TIP1-A_6533 | Zulassung eines neuen Produkts: Aufgaben der Hersteller und Anbieter | gemKPT_Test |
| TIP1-A_6536 | Zulassung eines geänderten Produkts: Aufgaben der TDI | gemKPT_Test |
| TIP1-A_6537 | Zulassung eines geänderten Produkts: Aufgaben der Hersteller und Anbieter | gemKPT_Test |
| TIP1-A_6772 | Partnerprodukte bei Interoperabilitätstests | gemKPT_Test |
| TIP1-A_7333 | Parallelbetrieb von Release oder Produkttypversion | gemKPT_Test |
| TIP1-A_7334 | Risikoabschätzung bezüglich der Interoperabilität | gemKPT_Test |
| TIP1-A_7335 | Bereitstellung der Testdokumentation | gemKPT_Test |
| TIP1-A_7358 | Qualität des Produktmusters | gemKPT_Test |
| A_19295-01 | FHIR-Ressource Task | gemSpec_DM_eRp |
| A_19297-01 | FHIR-Ressource MedicationDispense | gemSpec_DM_eRp |
| A_19298-01 | FHIR-Ressource AuditEvent | gemSpec_DM_eRp |
| A_19299-02 | FHIR-Ressource Communication | gemSpec_DM_eRp |
| A_19300-01 | FHIR-Ressource Bundle Quittung | gemSpec_DM_eRp |
| A_19324-01 | FHIR CodeSystem FLOWTYPE | gemSpec_DM_eRp |
| A_20213-01 | FHIR-Ressource Bundle Verordnungsdatensatz | gemSpec_DM_eRp |
| A_20745-01 | FHIR-Ressource Device | gemSpec_DM_eRp |
| A_22204 | FHIR-Ressource PKV-Abgabedatensatz | gemSpec_DM_eRp |
| A_22205-01 | FHIR-Ressource ChargeItem | gemSpec_DM_eRp |
| A_22206-01 | FHIR-Ressource Consent | gemSpec_DM_eRp |
| A_22483 | Version FHIR-Package de.gematik.erezept-workflow | gemSpec_DM_eRp |
| A_22920 | Kodierung fullURL | gemSpec_DM_eRp |
| A_22963 | Version FHIR-Package de.gematik.erezept-patientenrechnung | gemSpec_DM_eRp |
| A_21332 | E-Rezept: TLS-Vorgaben | gemSpec_Krypt |
| GS-A_3695 | Grundlegender Aufbau Versionsnummern | gemSpec_OM |
| GS-A_3696 | Zeitpunkt der Erzeugung neuer Versionsnummern | gemSpec_OM |
| GS-A_3697 | Anlass der Erhöhung von Versionsnummern | gemSpec_OM |
| GS-A_3806 | Loglevel in der Referenz- und Testumgebung | gemSpec_OM |
| GS-A_4541 | Nutzung der Produkttypversion zur Kompatibilitätsprüfung | gemSpec_OM |
| GS-A_4542 | Spezifikationsgrundlage für Produkte | gemSpec_OM |
| GS-A_4864 | Logging-Vorgaben nach dem Übergang zum Produktivbetrieb | gemSpec_OM |
| GS-A_5038 | Festlegungen zur Vergabe einer Produktversion | gemSpec_OM |
| GS-A_5039 | Änderung der Produktversion bei Änderungen der Produkttypversion | gemSpec_OM |
| GS-A_5040 | Änderung der Produktversion bei Produktänderungen außerhalb von Produkttypänderungen | gemSpec_OM |
| GS-A_5054 | Versionierung von Produkten durch die Produktidentifikation erweitert um Klartextnamen | gemSpec_OM |
| A_19481 | E-Rezept-FdV: Löschen der App-Session-Daten | gemSpec_eRp_AdV |
| A_19482 | E-Rezept-FdV: Beenden der TI-Session | gemSpec_eRp_AdV |
| A_19560 | E-Rezept-FdV: Abbrechen des Anwendungsfalls | gemSpec_eRp_AdV |
| A_19561 | E-Rezept-FdV: Anzeige von Handlungsmöglichkeiten im Fehlerfall | gemSpec_eRp_AdV |
| A_21724 | E-Rezept-FdV: Hinweis auf Workflow-Besonderheit | gemSpec_eRp_FdV |
3.2 Festlegungen zur sicherheitstechnischen Eignung
3.2.1 Herstellererklärung sicherheitstechnische Eignung
Sofern in diesem Abschnitt Festlegungen verzeichnet sind, muss der Hersteller bzw. der Anbieter deren Umsetzung und Beachtung zum Nachweis der sicherheitstechnischen Eignung durch eine Herstellererklärung bestätigen bzw. zusagen.
Tabelle 6: Festlegungen zur sicherheitstechnischen Eignung "Herstellererklärung"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| A_17178 | Produktentwicklung: Basisschutz gegen OWASP Top 10 Risiken | gemSpec_DS_Hersteller |
| A_17179 | Auslieferung aktueller zusätzlicher Softwarekomponenten | gemSpec_DS_Hersteller |
| A_19163 | Rechte der gematik zur sicherheitstechnischen Prüfung des Produktes | gemSpec_DS_Hersteller |
| A_19164 | Mitwirkungspflicht bei Sicherheitsprüfung | gemSpec_DS_Hersteller |
| A_19165 | Auditrechte der gematik zur Prüfung der Herstellerbestätigung | gemSpec_DS_Hersteller |
| GS-A_2330-02 | Hersteller: Schwachstellen-Management | gemSpec_DS_Hersteller |
| GS-A_2350-01 | Produktunterstützung der Hersteller | gemSpec_DS_Hersteller |
| GS-A_2354-01 | Produktunterstützung mit geeigneten Sicherheitstechnologien | gemSpec_DS_Hersteller |
| GS-A_2525-01 | Hersteller: Schließen von Schwachstellen | gemSpec_DS_Hersteller |
| GS-A_4944-01 | Produktentwicklung: Behebung von Sicherheitsmängeln | gemSpec_DS_Hersteller |
| GS-A_4945-01 | Produktentwicklung: Qualitätssicherung | gemSpec_DS_Hersteller |
| GS-A_4946-01 | Produktentwicklung: sichere Programmierung | gemSpec_DS_Hersteller |
| GS-A_4947-01 | Produktentwicklung: Schutz der Vertraulichkeit und Integrität | gemSpec_DS_Hersteller |
| A_19176 | E-Rezept-FdV – Nutzungshinweise | gemSpec_eRp_AdV |
| A_21359 | E-Rezept-AdV – Vertrauenswürdige Bezugsquellen | gemSpec_eRp_AdV |
| A_21364 | E-Rezept-AdV – Information über Bezugsquellen | gemSpec_eRp_AdV |
| A_21365 | E-Rezept-AdV – Authentifizierung der- Bezugsquelle bei Erstbezug | gemSpec_eRp_AdV |
3.2.2 Sicherheitsgutachten
Die in diesem Abschnitt verzeichneten Festlegungen sind Gegenstand der Prüfung der Sicherheitseignung gemäß [gemRL_PruefSichEig_DS]. Das entsprechende Sicherheitsgutachten ist der gematik vorzulegen.
Tabelle 7: Festlegungen zur sicherheitstechnischen Eignung "Sicherheitsgutachten"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| A_19147 | Sicherheitstestplan | gemSpec_DS_Hersteller |
| A_19148 | Sicherheits- und Datenschutzkonzept | gemSpec_DS_Hersteller |
| A_19150 | Umsetzung Sicherheitstestplan | gemSpec_DS_Hersteller |
| A_19151 | Implementierungsspezifische Sicherheitsanforderungen | gemSpec_DS_Hersteller |
| A_19152 | Verwendung eines sicheren Produktlebenszyklus | gemSpec_DS_Hersteller |
| A_19153 | Sicherheitsrelevanter Softwarearchitektur-Review | gemSpec_DS_Hersteller |
| A_19154 | Durchführung einer Bedrohungsanalyse | gemSpec_DS_Hersteller |
| A_19155 | Durchführung sicherheitsrelevanter Quellcode-Reviews | gemSpec_DS_Hersteller |
| A_19156 | Durchführung automatisierter Sicherheitstests | gemSpec_DS_Hersteller |
| A_19157 | Dokumentierter Plan zur Sicherheitsschulung für Entwickler | gemSpec_DS_Hersteller |
| A_19158 | Sicherheitsschulung für Entwickler | gemSpec_DS_Hersteller |
| A_19159 | Dokumentation des sicheren Produktlebenszyklus | gemSpec_DS_Hersteller |
| A_19160 | Änderungs- und Konfigurationsmanagementprozess | gemSpec_DS_Hersteller |
| A_19161 | Verifizierung der Einhaltung sicherheitstechnische Eignung durch Datenschutzbeauftragten | gemSpec_DS_Hersteller |
| A_19162 | Informationspflicht bei Veröffentlichung neue Produktversion | gemSpec_DS_Hersteller |
3.2.3 Produktgutachten
Die in diesem Abschnitt verzeichneten Festlegungen sind Gegenstand der Prüfung der Sicherheitseignung gemäß [gemRL_PruefSichEig_DS]. Das entsprechende Produktgutachten ist der gematik vorzulegen.
Tabelle 8: Festlegungen zur sicherheitstechnischen Eignung "Produktgutachten"
| ID | Bezeichnung | Quelle (Referenz) |
|---|---|---|
| A_19937 | Fehlermeldungen des Token-Endpunktes Anzeige | gemSpec_IDP_Frontend |
| A_19938-01 | Annahme des ID_TOKEN | gemSpec_IDP_Frontend |
| A_20079 | Ausfall der Fehlermeldung des Token-Endpunktes | gemSpec_IDP_Frontend |
| A_20085 | Fehlermeldungen des Anwendungsfrontends | gemSpec_IDP_Frontend |
| A_20283-01 | Annahme des "ACCESS_TOKEN" | gemSpec_IDP_Frontend |
| A_20309 | Bildung von "CODE_VERIFIER" und "CODE_CHALLENGE" | gemSpec_IDP_Frontend |
| A_20483 | Formulierung und Inhalte der Anfrage zum "AUTHORIZATION_CODE" für einen "ACCESS_TOKEN" | gemSpec_IDP_Frontend |
| A_20512 | Regelmäßiges Einlesen des Discovery Document | gemSpec_IDP_Frontend |
| A_20529-01 | Senden von "AUTHORIZATION_CODE" und "KEY_VERIFIER" an den Token-Endpunkt | gemSpec_IDP_Frontend |
| A_20602 | Einreichen des "ACCESS_TOKEN" beim Fachdienst | gemSpec_IDP_Frontend |
| A_20603 | Organisatorische Registrierung des Anwendungsfrontends | gemSpec_IDP_Frontend |
| A_20605 | Fehlermeldung des Token-Endpunktes Formatierung | gemSpec_IDP_Frontend |
| A_20606 | Anwendungsfrontend: Kommunikation über TLS-Verbindung | gemSpec_IDP_Frontend |
| A_20608 | Anwendungsfrontend: Unzulässige TLS-Verbindungen ablehnen | gemSpec_IDP_Frontend |
| A_20623 | Anwendungsfrontend: Prüfung der Signatur des Discovery Document | gemSpec_IDP_Frontend |
| A_20625 | Anwendungsfrontend: Prüfung der Signatur des ID_TOKEN | gemSpec_IDP_Frontend |
| A_20740 | Bekanntgabe der Redirect-URI des Anwendungsfrontend | gemSpec_IDP_Frontend |
| A_20741 | Speicherung des Downloadpunktes des Discovery Document im Anwendungsfrontend | gemSpec_IDP_Frontend |
| A_21323 | Erzeugung des "Token-Key" | gemSpec_IDP_Frontend |
| A_21324 | Erzeugen des "KEY_VERIFIER" | gemSpec_IDP_Frontend |
| A_21325 | Verschlüsselte Übertragung zum Fachdienst | gemSpec_IDP_Frontend |
| A_21326 | Löschung von ACCESS_TOKEN | gemSpec_IDP_Frontend |
| A_21327 | Löschung von ID_TOKEN | gemSpec_IDP_Frontend |
| A_21328 | Sichere Speicherung der Token | gemSpec_IDP_Frontend |
| A_17124-01 | TLS-Verbindungen (ECC-Migration) | gemSpec_Krypt |
| A_17205 | Signatur der TSL: Signieren und Prüfen (ECC-Migration) | gemSpec_Krypt |
| A_17207 | Signaturen binärer Daten (ECC-Migration) | gemSpec_Krypt |
| A_17322 | TLS-Verbindungen nur zulässige Ciphersuiten und TLS-Versionen (ECC-Migration) | gemSpec_Krypt |
| A_17359 | Signaturen binärer Daten (Dokumente) (ECC-Migration) | gemSpec_Krypt |
| A_17775 | TLS-Verbindungen Reihenfolge Ciphersuiten (ECC-Migration) | gemSpec_Krypt |
| A_18464 | TLS-Verbindungen, nicht Version 1.1 | gemSpec_Krypt |
| A_18467 | TLS-Verbindungen, Version 1.3 | gemSpec_Krypt |
| A_20161-01 | E-Rezept-Client, Request-Erstellung | gemSpec_Krypt |
| A_20174 | E-Rezept-Client, Response-Auswertung | gemSpec_Krypt |
| A_20175 | E-Rezept-Client, Speicherung Nutzerpseudonym | gemSpec_Krypt |
| A_21275-01 | TLS-Verbindungen, zulässige Hashfunktionen bei Signaturen im TLS-Handshake | gemSpec_Krypt |
| A_21332 | E-Rezept: TLS-Vorgaben | gemSpec_Krypt |
| GS-A_4357-01 | X.509-Identitäten für die Erstellung und Prüfung digitaler nicht-qualifizierter elektronischer Signaturen | gemSpec_Krypt |
| GS-A_4361 | X.509-Identitäten für die Erstellung und Prüfung digitaler Signaturen | gemSpec_Krypt |
| GS-A_4367 | Zufallszahlengenerator | gemSpec_Krypt |
| GS-A_4368 | Schlüsselerzeugung | gemSpec_Krypt |
| GS-A_4385 | TLS-Verbindungen, Version 1.2 | gemSpec_Krypt |
| GS-A_4387 | TLS-Verbindungen, nicht Version 1.0 | gemSpec_Krypt |
| GS-A_5035 | Nichtverwendung des SSL-Protokolls | gemSpec_Krypt |
| GS-A_5322 | Weitere Vorgaben für TLS-Verbindungen | gemSpec_Krypt |
| GS-A_5526 | TLS-Renegotiation-Indication-Extension | gemSpec_Krypt |
| GS-A_5542 | TLS-Verbindungen (fatal Alert bei Abbrüchen) | gemSpec_Krypt |
| A_19179 | E-Rezept-FdV – Qualität verwendeter Schlüssel | gemSpec_eRp_AdV |
| A_19181-01 | E-Rezept-FdV – Privacy bei default | gemSpec_eRp_AdV |
| A_19182 | E-Rezept-FdV – Sicherheitsrisiken von Software-Bibliotheken minimieren | gemSpec_eRp_AdV |
| A_19186 | E-Rezept-FdV – Sichere Speicherung lokaler Daten | gemSpec_eRp_AdV |
| A_19187 | E-Rezept-FdV – Authentisierung vor Zugang zum Dienst | gemSpec_eRp_AdV |
| A_19188 | E-Rezept-FdV - Sichere Deinstallation | gemSpec_eRp_AdV |
| A_19215 | E-Rezept-FdV: Kommunikation über TLS-Verbindung | gemSpec_eRp_AdV |
| A_19480 | E-Rezept-FdV – Schutz der Session-Daten | gemSpec_eRp_AdV |
| A_19739 | E-Rezept FdV: verpflichtende Zertifikatsprüfung | gemSpec_eRp_AdV |
| A_19979 | E-Rezept-FdV – Kein Zugriff von Diensten Dritter auf personenbezogene medizinische Daten | gemSpec_eRp_AdV |
| A_19980 | E-Rezept-FdV – Information über Datenweitergabe an Dienste Dritter | gemSpec_eRp_AdV |
| A_19981 | E-Rezept-FdV – Zustimmung über Datenweitergabe an Dienste Dritter | gemSpec_eRp_AdV |
| A_19982 | E-Rezept-FdV – Rücknahme der Zustimmung über Datenweitergabe an Dienste Dritter | gemSpec_eRp_AdV |
| A_19983 | E-Rezept-FdV – Keine Nutzung von Diensten Dritter mit bekannten Schwachstellen | gemSpec_eRp_AdV |
| A_19984 | E-Rezept-FdV – Validierung eingehender Daten von Diensten Dritter | gemSpec_eRp_AdV |
| A_20033 | E-Rezept-FdV: Prüfung Internet-Zertifikate | gemSpec_eRp_AdV |
| A_20167 | E-Rezept-FdV: Authentisierung - Rolle Authenticator-Modul und Anwendungsfrontend | gemSpec_eRp_AdV |
| A_20184 | E-Rezept-FdV - Speicherung der Session-Daten | gemSpec_eRp_AdV |
| A_20186 | E-Rezept-FdV - Session-Daten löschen | gemSpec_eRp_AdV |
| A_20206-01 | E-Rezept-FdV: Kommunikation über TLS-Verbindung mit Diensten Dritter | gemSpec_eRp_AdV |
| A_21366 | E-Rezept-AdV – Technische Authentifizierung der Update-Bezugsquellen | gemSpec_eRp_AdV |
| A_21367 | E-Rezept-AdV - lokale Datenverarbeitung | gemSpec_eRp_AdV |
| A_21368 | E-Rezept-AdV – Ausführung nur von zugelassenen Code | gemSpec_eRp_AdV |
| A_21369 | E-Rezept-AdV – Berücksichtigung OWASP ASVS | gemSpec_eRp_AdV |
| A_19086 | E-Rezept-FdV: Verbot von Werbe-Tracking | gemSpec_eRp_FdV |
| A_19087 | E-Rezept-FdV: Erlaubnis von Usability-Tracking sowie Crash-Reporting | gemSpec_eRp_FdV |
| A_19088 | E-Rezept-FdV: Informierte Einwilligung | gemSpec_eRp_FdV |
| A_19089 | E-Rezept-FdV: Informationen zur Einwilligung | gemSpec_eRp_FdV |
| A_19090 | E-Rezept-FdV: Aktivierung erst nach Lesebestätigung der Einwilligungsinformationen | gemSpec_eRp_FdV |
| A_19091 | E-Rezept-FdV: Verbot von mehrmaligen Einwilligungsabfragen | gemSpec_eRp_FdV |
| A_19092 | E-Rezept-FdV: Kopplungsverbot | gemSpec_eRp_FdV |
| A_19093 | E-Rezept-FdV: Keine direkt identifizierenden personenbezogenen Daten | gemSpec_eRp_FdV |
| A_19094 | E-Rezept-FdV: Keine Weitergabe von Sicherheitsmerkmalen | gemSpec_eRp_FdV |
| A_19096 | E-Rezept-FdV: Neue Generierung der Pseudonyme | gemSpec_eRp_FdV |
| A_19097 | E-Rezept-FdV: Deaktivierung zu jeder Zeit | gemSpec_eRp_FdV |
| A_19177 | E-Rezept-FdV – Anzeige von Protokolldaten | gemSpec_eRp_FdV |
| A_19178 | E-Rezept-FdV – Schutzmaßnahmen gegen die OWASP-Mobile-Top-10-Risiken | gemSpec_eRp_FdV |
| A_20187 | E-Rezept-FdV: Einwilligung Tracking widerrufen | gemSpec_eRp_FdV |
| A_20206 | E-Rezept-FdV: Kommunikation über TLS-Verbindung mit Diensten Dritter | gemSpec_eRp_FdV |
4 Anhang – Verzeichnisse
4.1 Abkürzungen
| Kürzel | Erläuterung |
|---|---|
| ID | Identifikation |
4.2 Tabellenverzeichnis
- Tabelle 1: Dokumente mit normativen Festlegungen
- Tabelle 2: Mitgeltende Dokumente und Web-Inhalte
- Tabelle 3: Informative Dokumente und Web-Inhalte
- Tabelle 4: Festlegungen zur funktionalen Eignung "Produkttest/Produktübergreifender Test"
- Tabelle 5: Festlegungen zur funktionalen Eignung "Herstellererklärung"
- Tabelle 6: Festlegungen zur sicherheitstechnischen Eignung "Herstellererklärung"
- Tabelle 7: Festlegungen zur sicherheitstechnischen Eignung "Sicherheitsgutachten"
- Tabelle 8: Festlegungen zur sicherheitstechnischen Eignung "Produktgutachten"