gemRL_QES_NFDM_V1.4.1

PDF HTML Excel XML
 gemRL_QES_NFDM_V1.4.1




Elektronische Gesundheitskarte und Telematikinfrastruktur





Signaturrichtlinie QES

Notfalldaten-Management (NFDM) 



    

     

      Version
      1.4.1
     

     

      Revision
      548770
     

     

      Stand
      02.03.2020
     

     

      Status
      freigegeben
     

     

      Klassifizierung
      öffentlich
     

     

      Referenzierung
      gemRL_QES_NFDM

Dokumentinformationen

Änderungen zur Vorversion

Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.

Dokumentenhistorie

Version
 Stand
 Kap./ Seite
 Grund der Änderung, besondere Hinweise
 Bearbeitung
1.1.0
 02.08.17
 freigegeben
 gematik
1.2.0
 26.10.18
 Einarbeitung P15.9
 gematik
1.3.0
 15.05.19
 Einarbeitung P18.1, Disclaimer entfernt, VDG ist bereits in Kraft
 gematik
1.4.0 28.06.19 Einarbeitung Änderungsliste P19.1
 gematik
Einarbeitung Änderungsliste P20.4 gematik
1.4.1 02.03.20 freigegeben
 gematik

Inhaltsverzeichnis

1 Einordnung des Dokuments

1.1 Zielsetzung

Die vorliegende Signaturrichtlinie definiert normative Regeln zur Signaturerstellung und Signaturprüfung für Notfalldatensätze. Zudem werden Parameter festgelegt, die für die Signaturerstellung bzw. für die Signaturprüfung notwendig sind, insoweit diese Festlegungen nicht schon in der Konnektorspezifikation oder in XML-Schema-Dateien des Notfalldaten-Managements (NFDM) getroffen werden.

1.2 Zielgruppe

Das Dokument ist für die Anbieter und Hersteller des Konnektors des Vorhabens „Online-Rollout (Stufe 2)“ relevant.

1.3 Geltungsbereich

Die durch die Signaturrichtlinie getroffenen Festlegungen werden durch Referenzierung aus normativen Anforderungen (des Konnektors) normativ. Auf diesem Weg entstehen Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens für den Online-Rollout (Stufe 2). Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungs- oder Abnahmeverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z.B. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben.

Wichtiger Schutzrechts-/Patentrechtshinweis

Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.

1.4 Abgrenzungen

Nicht Bestandteil des vorliegenden Dokumentes sind die Festlegungen zum Erstellen und Überprüfen von qualifizierten elektronischen Signaturen auf NFD, die bereits in der Konnektor-Spezifikation getroffen werden.

1.5 Methodik

Dieses Dokument enthält keine Anforderungen. Normativ wird sein Inhalt durch Referenzierung aus Anforderungen des Konnektors.

Hinweise zur Nomenklatur:

Schnittstellen-, Operations-, Parameter- und Dateinamen, Extensible-Markup-Language(XML)-Elemente oder -Attribute, Namen der referenzierten Technischen Use Cases (TUCs) des Konnektors sowie Bezeichner von Signaturrichtlinien, Dokumentenformaten, XML-Namensräumen und Uniform Resource Identifier (URI) werden in diesem Dokument in nicht-proportionaler Schriftart gesetzt.

2 Überblick

Der Konnektor ermöglicht die Erstellung und Prüfung qualifizierter elektronischer Signaturen (QES).

[gemSpec_Kon] beschreibt die Anforderungen der Signaturerstellung und -Prüfung auf dem Konnektor abschließend und legt dabei fest, dass bestimmte Dokumentenformate sicher gemäß speziell für diese Dokumentenformate festgeschriebener Signaturrichtlinien verarbeitet werden.

Das Dokumentenformat, dessen Signaturerstellung und -prüfung durch diese Signaturrichtlinie festgelegt wird, ist das XML-Dokumentenformat des Notfalldatensatzes, welches in [gemSpec_InfoNFDM#3.3] spezifiziert wird. Es wird hier mit dem Bezeichner: DF_NFDM_NOTFALLDATEN referenziert. Die zugehörige Signaturrichtlinie wird im folgenden Kapitel definiert und ist unter dem Bezeichner SR_DF_NFDM_NOTFALLDATEN referenzierbar. Über diese Referenz wird sie in Anforderungen in [gemSpec_FM_NFDM] normativ verankert.

Die Signaturrichtlinie SR_DF_NFDM_NOTFALLDATEN führt aus, unter welchen Eingangsbedingungen der Konnektor eine QES für einen Notfalldatensatz erzeugt, sicher anzeigt und prüft. Dabei werden fachanwendungsspezifische Anforderungen des NFDM gezielt für Notfalldatensätze in der SAK umgesetzt.

Die Festlegungen der Signaturrichtlinie SR_DF_NFDM_NOTFALLDATEN zum Aufruf der Operationen SignDocument und VerifyDocument sind von aufrufenden Systemen zusätzlich zu den allgemeinen Festlegungen der Schnittstellen in [gemSpec_Kon] zu beachten.

3 Signaturrichtlinie SR_DF_NFDM_NOTFALLDATEN

Die Signaturrichtlinie SR_DF_NFDM_NOTFALLDATEN zum Dokumentenformat DF_NFDM_NOTFALLDATEN wird im Folgenden definiert.

3.1 Gültigkeitsbereich

Die Signaturrichtline SR_DF_NFDM_NOTFALLDATEN wird für Aufrufe der Operation SignDocument bei den in Tabelle 1 angegebenen Parametern im Kontext einer QES-Signatur wirksam. Für VerifyDocument oder beim Aufruf von TUC_KON_151 „QES Dokumentensignatur prüfen“ wird sie wirksam, wenn in der Signatur die in Tabelle 1 angegebene URI eingebettet ist. Die Signaturrichtlinie erlaubt eine detached XAdES-Signatur, die innerhalb des Dokuments eingebettet ist.

Tabelle 1: TAB_01_SR_DF_NFDM_NOTFALLDATEN - Elemente zur Steuerung der Signaturrichtline

XML-Element oder XML-Attribut
 URI Signaturrichtlinie
für SignDocument:
/SIG:SignDocument/SIG:SignRequest/SIG:OptionalInputs/ sp:GenerateUnderSignaturePolicy/sp:SignaturePolicyIdentifier

für VerifyDocument:
ds:Signature/ds:Object/xades:QualifyingProperties/ xades:SignedProperties/xades:SignedSignatureProperties/xades:SignaturePolicyIdentifier/ xades:SignaturePolicyId/xades:SigPolicyId/xades:Identifier
 urn:gematik:fa:sak:nfdm:r1:v1

3.2 Typkonformität

Das Dokument muss XML-Schema-valide zum Schema in Tabelle 2 sein.

Tabelle 2: TAB_02_SR_DF_NFDM_NOTFALLDATEN – XML-Schemata

Datei (Pfad und Name)
 targetNamespace
/fa/nfds/NFD_Document_v1_4.xsd
 http://ws.gematik.de/fa/nfds/NFD_Document/v1.4

Bei der verifikation wird der Typ identifiziert durch SigPolicyID/Identifyer = "urn:gematik:fa:sak:nfdm:r1:v1" in der Signatur

Die erlaubten Root-Elemente des Dokuments sind durch Tabelle 3 definiert.

Tabelle 3: TAB_03_SR_DF_NFDM_NOTFALLDATEN – Erlaubte Root-Elemente

URI Signaturrichtlinie
 Namespace
 Element
urn:gematik:fa:sak:nfdm:r1:v1
 http://ws.gematik.de/fa/nfds/NFD_Document/v1.4
 NFD_Document

Im Rahmen der Typenkonformität ist darüber hinaus zu prüfen, dass

  • der signierte Notfalldatensatz genau eine Signatur enthält,
  • die Signatur das Element NFD:Notfalldaten referenziert.

3.3 Profilierung der Schnittstelle SignDocument

Der Konnektor muss bei Aufrufen der Operation SignDocument eine Parameterprüfung durchführen, in der die Konformität der Parameter gemäß Tabelle 4 geprüft wird. Bei der Prüfung wird auf abweichende Werte sowie auf fehlende Elemente mit einem Fehler reagiert. Im Schnittstellenaufruf vorhandene optionale Elemente, die nicht in der Tabelle aufgeführt sind, werden ignoriert, d. h., bei der Bearbeitung des Aufrufs so behandelt, als ob sie im Aufruf nicht gesetzt wären.

Tabelle 4: TAB_06_SR_DF_NFDM_NOTFALLDATEN – Constraints SignDocument

XML-Element oder –Attribut
(XPath)
 Wert
 Kardinalität
/SIG:SignDocument/SIG:Crypt(Relevant ab PTV4)
 Keine Einschränkung
0
/SIG:SignDocument/SIG:SignRequest
/SIG:Document/@ID
 Platzhalter für Dokumentbezeichner NFD_DOC_ID
1
/SIG:SignDocument/SIG:SignRequest
/SIG:Document/@RefURI
 Der Wert muss übereinstimmen mit dem Wert des Attributes ID des Elementes NFD:Notfalldaten
1
/SIG:SignDocument/SIG:SignRequest/SIG:Document/@ShortText
 keine Einschränkung
 1
/SIG:SignDocument/SIG:SignRequest/SIG:Document/dss:Base64XML
 keine Einschränkung
 1
/SIG:SignDocument/SIG:SignRequest/SIG:OptionalInputs
 1
/SIG:SignDocument/SIG:SignRequest/SIG:OptionalInputs/SIG:SignatureType
 "urn:ietf:rfc:3275"
 1
/SIG:SignDocument/SIG:SignRequest/SIG:OptionalInputs/dss:SignaturePlacement
 1
/SIG:SignDocument/SIG:SignRequest/SIG:OptionalInputs/dss:SignaturePlacement
/@WhichDocument
 NFD_DOC_ID
 1
/SIG:SignDocument/SIG:SignRequest/SIG:OptionalInputs/dss:SignaturePlacement
/@CreateEnvelopedSignature
 false
 1
/SIG:SignDocument/SIG:SignRequest/SIG:OptionalInputs/dss:SignaturePlacement
/XPathFirstChildOf
 "/*[local-name()='NFD_Document']/*[local-name()='SignatureArzt']"
 1
/SIG:SignDocument/SIG:SignRequest/SIG:OptionalInputs/ sp:GenerateUnderSignaturePolicy/sp:SignaturePolicyIdentifier
 "urn:gematik:fa:sak:nfdm:r1:v1"
 1
/SIG:SignDocument/SIG:SignRequest/SIG:IncludeRevocationInfo
 true
1
/SIG:SignDocument/SIG:TvMode
 keine Einschränkung
Der Parameter wird im Konnektor nicht ausgewertet.
 1
/SIG:SignDocument/SIG:JobNumber
 Keine Einschränkung
 1

3.4 Profilierung der Schnittstelle VerifyDocument

Der Konnektor muss bei Aufrufen der Operation VerifyDocument eine Parameterprüfung durchführen, in der die Konformität der Parameter gemäß Tabelle 5 geprüft wird. Bei der Prüfung wird auf abweichende Werte sowie auf fehlende Elemente mit einem Fehler reagiert. Im Schnittstellenaufruf vorhandene optionale Elemente, die nicht in der Tabelle aufgeführt sind, werden ignoriert d. h. bei der Bearbeitung des Aufrufs so behandelt, als ob sie im Aufruf nicht gesetzt wären.

Tabelle 5: TAB_07_SR_DF_NFDM_NOTFALLDATEN – Constraints VerifyDocument

XML-Element oder –Attribut
(XPath)
 Wert
 Kardinalität
/SIG:VerifyDocument/SIG:Document
 1
/SIG:VerifyDocument/SIG:Document
/@ID
 Platzhalter für Dokumentbezeichner NFD_DOC_ID
 1
/SIG:VerifyDocument/SIG:Document/CONN:Base64XML
 keine Einschränkung
 1
/SIG:VerifyDocument/SIG:Document/@ShortText
 keine Einschränkung
 1
/SIG:VerifyDocument/dss:SignatureObject/ds:SignaturePtr
 1
/SIG:VerifyDocument/dss:SignatureObject/ds:SignaturePtr/@WhichDocument
 NFD_DOC_ID
 1
/SIG:VerifyDocument/dss:SignatureObject/ds:SignaturePtr/@XPath
 "/*[local-name()='NFD_Document']/*[local-name()='SignatureArzt']/*[local-name()='Signature']"
 1
/SIG:VerifyDocument/SIG:OptionalInputs/vr:ReturnVerificationReport
 keine Einschränkung
 0-1
/SIG:VerifyDocument/SIG:OptionalInputs/SIG:UseVerificationTime
 keine Einschränkung
 0-1
/SIG:VerifyDocument/SIG:TvMode
 keine Einschränkung
Der Parameter wird im Konnektor nicht ausgewertet.
 1

4 Anhang A – Verzeichnisse

4.1 Abkürzungen

Kürzel Erläuterung
NFD Notfalldatensatz
NFDM Notfalldaten-Management
QES Qualifizierte elektronische Signatur
SAK Signaturanwendungskomponente
TUC Technischer Use Case
URI Uniform Resource Identifier
XML Extensible Markup Language

4.2 Glossar

Das Glossar wird als eigenständiges Dokument [gemGlossar] zur Verfügung gestellt.

4.3 Tabellenverzeichnis

4.4 Referenzierte Dokumente

4.4.1 Dokumente der gematik

Die nachfolgende Tabelle enthält die Bezeichnung der in dem vorliegenden Dokument referenzierten Dokumente der gematik zur Telematikinfrastruktur. Der mit der vorliegenden Version korrelierende Entwicklungsstand dieser Konzepte und Spezifikationen wird pro Release in einer Dokumentenlandkarte definiert, Version und Stand der referenzierten Dokumente sind daher in der nachfolgenden Tabelle nicht aufgeführt. Deren zu diesem Dokument passende jeweils gültige Versionsnummer sind in der aktuellsten, von der gematik veröffentlichten Dokumentenlandkarte enthalten, in der die vorliegende Version aufgeführt wird.

[Quelle] Herausgeber: Titel
[gemGlossar] gematik: Glossar der Telematikinfrastruktur
[gemSpec_InfoNFDM] gematik: Informationsmodell Notfalldaten-Management (NFDM)
[gemSpec_Kon] gematik: Spezifikation Konnektor
[gemSpec_FM_NFDM] gematik: Spezifikation Fachmodul NFDM