latest
Elektronische Gesundheitskarte und Telematikinfrastruktur
Spezifikation
Fachmodul NFDM
Version | 1.6.3 |
Revision | 983072 |
Stand | 05.07.2024 |
Status | freigegeben |
Klassifizierung | öffentlich |
Referenzierung | gemSpec_FM_NFDM |
Dokumentinformationen
Änderungen zur Vorversion
Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.
Dokumentenhistorie
Version |
Stand |
Kap./ Seite |
Grund der Änderung, besondere Hinweise |
Bearbeitung |
---|---|---|---|---|
1.1.0 |
04.10.2017 |
freigegeben |
gematik |
|
1.2.0 |
18.12.2017 |
Entfernung LE-AdV, Einarbeitung freigegebener Änderungen |
gematik |
|
1.3.0 |
14.05.2018 |
Einarbeitung P15.2 und P15.4 |
gematik |
|
1.4.0 |
26.10.2018 |
Einarbeitung P15.9 |
gematik | |
1.5.0 | 08.04.2019 |
Einarbeitung Änderungsliste P18.1 |
gematik |
|
1.6.0 | 08.06.2019 | Einarbeitung P19.1 | gematik | |
1.6.1 | 19.02.2021 | Einarbeitung Änderungsliste P22.5 | gematik | |
1.6.2 | 30.06.2021 | Einarbeitung Konn_Maintenance_21.3 | gematik | |
1.6.3 | 05.07.2024 | Einarbeitung Konn_24.1 | gematik |
Inhaltsverzeichnis
1 Einordnung des Dokumentes
1.1 Zielsetzung
Die vorliegende Spezifikation definiert die spezifischen Anforderungen für den Produkttyp „Fachmodul NFDM“.
Das Fachmodul NFDM ist diejenige Komponente der Fachanwendung NFDM, welche alle Anwendungsfälle der Fachanwendung NFDM umsetzt, die über das Primärsystem angestoßen werden. Der Funktionsumfang wird definiert durch die Leistungsmerkmale NFDM-L_1 („Basisfunktionalität NFDM (Notfalldatensatz)“) und NFDM-L_2 („Persönliche Erklärungen NFDM“) der Fachanwendung NFDM. Diese wurden in [gemLH_NFDM] und in [gemSysL_NFDM] definiert und stellen dem Primärsystem eine Grundfunktionalität zur Verwaltung von Notfalldatensätzen (NFD) und Datensätzen für persönliche Erklärungen (DPE) zur Verfügung.
1.2 Zielgruppe
Das Dokument richtet sich an Hersteller des Produkttyps „Fachmodul NFDM“ sowie Hersteller und Anbieter von Produkttypen, die hierzu eine Schnittstelle besitzen.
1.3 Geltungsbereich
Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungs- oder Abnahmeverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z. B. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben.
Schutzrechts-/Patentrechtshinweis
Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.
1.4 Abgrenzungen
Spezifiziert werden in dem Dokument die von dem Fachmodul NFDM bereitgestellten (angebotenen) Schnittstellen. Benutzte Schnittstellen werden hingegen in der Spezifikation derjenigen Komponente beschrieben, die diese Schnittstelle bereitstellt. Auf die entsprechenden Dokumente wird referenziert (siehe auch Kapitel 9.5).
Die vollständige Anforderungslage für das Fachmodul NFDM ergibt sich aus weiteren Konzept- und Spezifikationsdokumenten, diese sind in dem Produkttypsteckbrief des Konnektors verzeichnet, da das Fachmodul integraler Bestandteil des Konnektors ist.
Das hier spezifizierte Fachmodul NFDM ist nicht für den Einsatz in mobilen Kartenterminals vorgesehen.
1.5 Methodik
Anforderungen als Ausdruck normativer Festlegungen werden durch eine eindeutige ID in eckigen Klammern sowie die dem RFC 2119 [RFC2119] entsprechenden, in Großbuchstaben geschriebenen deutschen Schlüsselworte MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN gekennzeichnet.
Sie werden im Dokument wie folgt dargestellt:
<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]
Dabei umfasst die Anforderung sämtliche innerhalb der Afo-ID und der Textmarke angeführten Inhalte.
Hinweise zur Nomenklatur:
- Schnittstellen-, Operations-, Parameter- und Dateinamen sowie Bezeichner für Objekte auf der elektronischen Gesundheitskarte (eGK), Namen der referenzierten Technischen Use Cases (TUCs) des Konnektors und Extensible-Markup-Language(XML)-Elemente oder -Attribute werden in diesem Dokument in nicht-proportionaler Schriftart gesetzt.
- Hexadezimale Zahlen und Oktett-Strings werden in Hochkommata eingeschlossen (z. B. ´2F 03´).
Bezeichner für Objekte der eGK:
Da der Name der in [gemSpec_eGK_ObjSys] definierten Objekte der eGK nur dazu dient, das Objekt innerhalb der Spezifikation zu bezeichnen, nicht auf der Karte gespeichert ist und sich zudem die Namen für die für NFDM relevanten Objekte auf der eGK zwischen Generation 1+ (G1+) und Generation 2 (G2) unterscheiden, lassen sich die Objekte eindeutig nur über deren Attribut pwdIdentifier (für Passwortobjekte), fileIdentifier (für Elementary Files (EFs)) oder applicationIdentifier (für Dedicated Files (DFs)) referenzieren. Zudem ist der übergeordnete Ordner anzugeben, da ein File Identifier (FID) /Application Identifier (AID)/Password Identifier (PID) nur innerhalb eines Ordners eindeutig sein muss. Aus Gründen der Lesbarkeit werden in dieser Spezifikation Bezeichner eingeführt, für die in der folgenden Tabelle sowohl der Name (für eGK G1+ und eGK G2) als auch der FID/AID/PID mit dem übergeordneten Ordner angegeben sind.
Objekt
|
G 2.0
|
G 2.1
|
|
---|---|---|---|
Bezeichner
|
FID o. AID o. PID
|
Bezeichner des überg. DF
|
Bezeichner des überg. DF
|
MF
|
´D276 0001 4480 00´
|
|
|
DF.ESIGN
|
´A000000167 455349474E´
|
MF
|
MF
|
EF.Version2
|
´2F 10´
|
MF
|
MF
|
EF.C.CH.AUT.R2048/ E256
|
´C5 00´/ ´C5 04´
|
DF.ESIGN
|
DF.ESIGN
|
DF.HCA
|
´D276000001 02´
|
MF
|
MF
|
EF.Logging
|
´D0 06´
|
DF.HCA
|
DF.HCA
|
DF.NFD
|
´D276 0001 4407´
|
DF.HCA
|
DF.HCA
|
EF.NFD
|
´D0 10´
|
DF.NFD
|
DF.NFD
|
EF.StatusNFD
|
´D0 0E´
|
DF.NFD
|
DF.NFD
|
DF.DPE
|
´D276 0001 4408´
|
DF.HCA
|
DF.HCA
|
EF.DPE
|
´D0 1B´
|
DF.DPE
|
DF.DPE
|
EF.StatusDPE
|
´D0 18´
|
DF.DPE
|
DF.DPE
|
PIN.CH
|
´01´
|
MF
|
MF
|
MRPIN.NFD
|
´03´
|
DF.NFD
|
MF
|
MRPIN.NFD_READ
|
´07´
|
DF.NFD
|
MF
|
MRPIN.DPE
|
´04´
|
DF.DPE
|
MF
|
MRPIN.DPE_READ
|
´08´
|
DF.DPE
|
nicht vorhanden
|
Legende zu den Berechtigungstabellen:
j bzw. n = Bedingung für die Berechtigungsregel erfüllt bzw. nicht erfüllt - = Bedingung irrelevant für die Berechtigungsregel x = autorisiert zur Ausführung der Operation nach vorausgegangener erfolgreicher gegenseitiger Card-to-Card(C2C)-Authentisierung der beteiligten Karten $PIN(x) = autorisiert zur Ausführung der Operation nach Verifikation der durch „$PIN“ bezeichneten Personal Identification Number (PIN) der eGK --- = keine Berechtigung zur Ausführung der Operation [FM] = Berechtigung wird nicht vom Betriebssystem der eGK, sondern vom Fachmodul NFDM durchgesetzt Die Bedingung „MRPIN.NFD aktiviert“ bzw. „MRPIN.DPE aktiviert“ bedeutet, dass das Attribut flagEnabled des jeweiligen Multireferenz-Passwortobjekts der eGK den Wert true hat (TUC_KON_022 „Liefere PIN-Status“ liefert nicht DISABLED als pinStatus). Die Spaltenüberschriften R1, R2, R3, R4 bezeichnen nummerierte Regeln der Berechtigungstabelle als Entscheidungstabelle. |
---|
2 Systemüberblick
Das Fachmodul NFDM ist ein Produkttyp der Fachanwendung NFDM. Die Systemzerlegung der Fachanwendung NFDM in Komponenten und Produkttypen sowie deren Verteilung auf Produkttypen der Telematikinfrastruktur (TI) ist in [gemSysL_NFDM#2.1] definiert.
Das Fachmodul NFDM nutzt die angebotenen Basisdienste (Funktionsmerkmale) des Konnektors, wobei das Fachmodul NFDM integraler Bestandteil des Konnektors (Konnektor als Monolith) ist, d. h. die Spezifikationen des Konnektors (als Plattformkomponente) und des Fachmoduls NFDM sind zwar getrennt, werden aber von einem Hersteller in einer Gesamtkomponente umgesetzt. Die inneren (rein logischen) Schnittstellen zwischen Fachmodul und Konnektor sind von außen nicht erkennbar. Die folgende Abbildung zeigt die vom Fachmodul genutzten Basisdienste (Funktionsmerkmale) des Konnektors und ordnet – wenn vorhanden – die logischen Schnittstellennamen zu.
Das Fachmodul NFDM stellt seine Anwendungsfälle über folgende Schnittstellen dem Primärsystem zur Verfügung:
- I_NFD_Management für das Leistungsmerkmal NFDM-L_1
- I_DPE_Management für das Leistungsmerkmal NFDM-L_2.
Die Operationen der beiden Schnittstellen bilden die Anwendungsfälle der beiden Leistungsmerkmale gemäß folgender Tabelle ab.
Anwendungsfall aus [gemSysL_NFDM] |
Operation Fachmodul |
---|---|
I_NFD_Management |
|
NFDM-UC_100 NFD auf eGK schreiben |
WriteNFD |
NFDM-UC_101 NFD von eGK lesen |
ReadNFD |
NFDM-UC_102 NFD von eGK löschen |
EraseNFD |
I_DPE_Management |
|
NFDM_UC_200 DPE auf eGK schreiben |
WriteDPE |
NFDM_UC_201 DPE von eGK lesen |
ReadDPE |
NFDM_UC_202 DPE von eGK löschen |
EraseDPE |
Das Fachmodul NFDM bietet zwei Primärsystemschnittstellen (I_NFD_Management und I_DPE_Management) als Web-Services (NFDService und DPEService) an, wie im folgenden UML-Diagramm dargestellt. (NFD steht für „Notfalldatensatz“, DPE für „Datensatz ‚Persönliche Erklärungen’“)
Jeder Service wird durch ein Web-Service-Description-Language(WSDL)-Dokument und zusätzliche Anforderungen an das Verhalten der angebotenen Web-Service-Schnittstellen in Kapitel 5.12 im Detail spezifiziert.
Logisch unterteilt sich das Fachmodul NFDM somit in die beiden Services „NFDService“ und „DPEService“.
Diese logische Unterteilung schreibt in keiner Art und Weise die spätere Implementierung durch den Hersteller vor. Der Hersteller kann seine interne Modularisierung des Fachmoduls NFDM frei wählen. Normativ wirksam ist ausschließlich das durch die Detailfestlegungen in Summe beschriebene Verhalten an der Primärsystemschnittstelle des Fachmoduls NFDM als integraler Bestandteil des Konnektors.
3 Systemkontext
3.1 Akteure und Rollen
Einzige direkt mit dem Fachmodul NFDM (als integraler Bestandteil des Konnektors) kommunizierende Akteure ist eine technische Komponenten, das Primärsystem. Das Primärsystem interagiert als Clientsystem mit dem Fachmodul NFDM, gehört aber selbst nicht zur TI. Nur im jeweiligen Kontext berechtigte Primärsysteme erhalten Zugriff auf die Funktionsmerkmale des Fachmoduls NFDM (vgl. Kapitel 5.3.1).
Fachliche Akteure (Arzt, Zahnarzt usw.) rufen mittels des Primärsystems die Operationen des Fachmoduls NFDM auf, um auf die eGK zuzugreifen. Über ihre Rolle, die technisch durch das Zugriffsprofil ihrer Smartcard repräsentiert wird, erhalten die Akteure die benötigte Berechtigung zum Zugriff (vgl. auch Kapitel 5.3.2).
3.2 Nachbarsysteme
Das Fachmodul ist integraler Bestandteil des Konnektors. Auf der logischen Ebene ist somit der Anwendungskonnektor als einbettende Komponente ein Nachbarsystem. Ein weiteres Nachbarsystem stellt das Primärsystem als Nutzer der Außenschnittstelle des Fachmoduls dar.
4 Zerlegung des Produkttyps
Eine weitere Untergliederung der Aufbaustruktur des Fachmoduls NFDM ist nicht erforderlich.
Die logische Zerlegung in Kapitel 2, Abbildung 3 ist nicht normativ und keine Vorgabe für die Implementierung durch den Hersteller. Normativ festgelegt ist lediglich das Außenverhalten des Fachmoduls NFDM.
5 Übergreifende Festlegungen
5.1 Technologien und Standards
NFDM-A_2086 - Web Services konform zu [BasicProfile1.2]
Das Fachmodul NFDM MUSS die für die Clientsystemschnittstelle definierten Web-Services konform zu [BasicProfile1.2] anbieten. Abweichend von R1012 in [BasicProfile1.2] MUSS das Fachmodul NFDM nur die Zeichenkodierung 8-Bit Universal Character Set Transformation Format (UTF-8) unterstützen. Andere Kodierungen MUSS das Fachmodul NFDM mit einem Fehler beantworten. [<=]
Diese Festlegungen gelten nur für die eigentliche Nachricht mittels Simple Object Access Protocol (SOAP). Sind in der SOAP-Nachricht base64-encodierte XML-Elemente vorhanden, so können diese XML-Elemente andere Zeichencodierungen aufweisen.
5.2 Statusrückmeldung und Fehlerbehandlung
Tritt bei der Ausführung einer Operation des Fachmoduls ein Fehler auf, der zum Abbruch der Operation führt, so wird dieser an das aufrufende Primärsystem über eine SOAP-Fault-Nachricht gemeldet.
Im Erfolgsfalle oder bei Fehlern, die nicht zum Abbruch der Operation führen, wird ein Status-Element gemäß [gemSpec_Kon#3.5.2] zurückgegeben.
Für das Fehlermanagement gelten neben den hier aufgeführten spezifischen Anforderungen für das Fachmodul NFDM die Anforderungen aus Kapitel 3 der übergreifenden Spezifikation [gemSpec_OM].
NFDM-A_2089 - Protokollierung inkl. Trace-Struktur
Das Fachmodul NFDM MUSS während der Verarbeitung auftretende Fehler inkl. der Trace-Struktur protokollieren. [<=]
NFDM-A_2090 - Transport Fehlermeldungen als gematik-SOAP-Fault
Das Fachmodul NFDM MUSS Fehlermeldungen, die im Rahmen einer über die Web-Service-Schnittstelle aufgerufenen Operation auftreten, an das Primärsystem mittels gematik-SOAP-Faults melden. [<=]
Details zu gematik-SOAP-Faults finden sich in [gemSpec_OM#3.2.3].
NFDM-A_2091 - Zurückverfolgbarkeit von Fehlerketten
Das Fachmodul NFDM MUSS sicherstellen, dass bei Fehlermeldungen, die von einer Operation der Web-Service-Schnittstelle zurückgegeben werden, die jeweilige Fehlerkette zurück verfolgbar ist. [<=]
NFDM-A_2092 - Vorgaben spezifische Fehlermeldungen
Das Fachmodul NFDM MUSS sicherstellen, dass alle spezifischen Fehlermeldungen den Vorgaben gemäß Tabelle „Tab_FM_NFDM_002 – Fehlermeldungen Fachmodul NFDM“ genügen. [<=]
5.3 Berechtigungen
5.3.1 Primärsysteme
Das Fachmodul NFDM muss sicherstellen, dass nur im jeweiligen Nutzungskontext (Mandant, Arbeitsplatz, Sitzung) berechtigte Primärsysteme zur Ausführung der Operationen des Fachmoduls autorisiert werden (s. Übergreifende Erfolgsbedingungen ÜE2 und ÜE3 in Kapitel 5.11).
Zu diesem Zweck bietet der Konnektor den Fachmodulen den internen TUC_KON_000 „Prüfe Zugriffsberechtigung“ (vgl. [gemSpec_Kon#4.1.1.4.1]).
5.3.2 Fachliche Rollen
Die fachlichen Akteure, welche die Operationen des Fachmoduls NFDM aufrufen, um auf die eGK zuzugreifen, erhalten mittels ihrer fachlichen Rolle, die technisch durch das Zugriffsprofil ihrer Smartcard repräsentiert wird, die Autorisierung zur Ausführung einer Operation.
Für die Operationen des Fachmoduls sind in Kapitel 5.12 für jede fachliche Rolle (gemäß [gemSpec_PKI#Tab_PKI_254]) die Berechtigungen tabellarisch spezifiziert und weitere Anforderungen an die Umsetzung formuliert. Andere als in den Tabellen aufgeführte fachliche Rollen haben keinerlei Berechtigungen, Operationen des Fachmoduls NFDM auszuführen.
Die Berechtigungsregeln der Tabellen spiegeln in der Regel die Zugriffsregeln wieder, die vom Betriebssystem der eGK beim Zugriff der Fachmoduloperationen auf die Dateien der eGK durchgesetzt werden. Das Fachmodul muss in diesem Falle lediglich sicherstellen, dass die Zugriffsbedingungen (C2C-Authentisierung und ggf. PIN-Eingabe) sichergestellt sind. Ausnahmen von dieser Regel sind in den Tabellen gekennzeichnet (siehe „Legende zu den Berechtigungstabellen" in Kapitel 1.5). In diesen Fällen ist das Fachmodul selbst verantwortlich für die Durchsetzung der Berechtigung und kann sie nicht an das Betriebssystem der eGK delegieren. So hat z. B. laut Zugriffsbedingung auf der eGK der Arzt nach erfolgreicher C2C-Authentisierung mit seinem Heilberufsausweis (HBA) gegenüber der eGK die Berechtigung, auf den NFD lesend ohne PIN zuzugreifen. Das Fachmodul muss jedoch zusätzlich eine PIN-Verifikation anstoßen, fallsEmergencyIndicator sowie UpdateIndicator den Wert false besitzen. Ebenso muss das Fachmodul NFDM die Rolle „Andere Heilberufe“ (umfasst z. B. Rettungsassistenten und Notfallsanitäter) außerhalb einer Notfallsituation (EmergencyIndicator ist nicht true) vom lesenden Zugriff auf die NFD ausschließen, obwohl dieser aufgrund der Zugriffsbedingungen der eGK grundsätzlich nach C2C-Authentisierung gewährt wird.
A_25869 - Fachmodul NFDM - andere Heilberufe
Das Fachmodul NFDM MUSS Zugriffe für "andere Heilberufe" für genau folgende professionOID gemäß Tab_PKI_402-* zulassen.
- Hebamme
- Physiotherapeut/-in
- Ergotherapeut/-in
- Logopäde/Logopädin
- Podologe/Podologin
- Ernährungstherapeut/-in
- Notfallsanitäter/-in
- Gesundheits- und Krankenpfleger/-in
- Gesundheits- und Kinderkrankenpfleger/-in
- Altenpfleger/-in
- Pflegefachfrauen und Pflegefachmänner
5.4 Transportsicherung
NFDM-A_2093 - Verfügbarkeit Transportsicherung
Das Fachmodul NFDM MUSS die Verschlüsselung der Kommunikation anbieten, indem es die durch den Konnektor bereitgestellte Funktionalität zur Transportsicherung an der Primärsystemschnittstelle nutzt.
[<=]Die betriebliche Steuerung erfolgt über den relevanten Konfigurationsparameter des Konnektors (ANCL_TLS_MANDANTORY). Ist dieser gesetzt, so ist für die Kommunikation zwischen Clientsystem und Konnektor (und damit auch dem Fachmodul NFDM) ein TLS-gesicherter Kanal zu verwenden (vgl. [gemSpec_Kon#3.4.1]). Die Kommunikation des Primärsystems mit dem Fachmodul NFDM sollte aus Sicherheitsgründen verschlüsselt erfolgen. Falls diese Kommunikation unverschlüsselt erfolgt, übernimmt der Leistungserbringer die Verantwortung für die Sicherstellung der vertraulichen Umgebung (vgl. auch [gemSpec_Kon#2.7]).
Der Konnektor bietet zudem im Rahmen der Transportsicherung die Möglichkeit, eine Authentifizierung des Primärsystems zu erzwingen. Standardmäßig ist der relevante Konfigurationsparameter des Konnektors (ANCL_CAUT_MANDANTORY) so gesetzt, dass Clientsysteme sich gegenüber dem Konnektor (und damit auch dem Fachmodul NFDM) authentifizieren müssen. Über den Konfigurationsparameter ANCL_CAUT_MODE kann der Authentifizierungsmodus konfiguriert werden (vgl. [gemSpec_Kon#3.4.1]).
5.5 Unterstützte Generationen der eGK
NFDM-A_2094 - Unterstützte Generationen der eGK
Das Fachmodul NFDM MUSS alle Versionen der eGK der Generationen G2 und höher unterstützen, die ihm bekannt sind. Das Fachmodul NFDM DARF NICHT die Generationen G0, G1 und G1+ unterstützen.
Falls die ermittelte Kartenversion kleiner als alle zu unterstützenden Kartenversionen ist oder die ermittelte Kartenversion nicht bekannt und kleiner als die größte zu unterstützende Kartenversion ist, MUSS das Fachmodul von einer inkompatiblen Karte ausgehen und die weitere Verarbeitung der Karte unmittelbar abbrechen.
Falls die ermittelte Kartenversion größer als alle dem Fachmodul NFDM bekannten Kartenversionen ist, MUSS das Fachmodul von einer kompatiblen Karte ausgehen und versuchen, diese zu verarbeiten. [<=]
Die zu unterstützenden Versionen der Karten ergeben sich aus den in der zu dieser Spezifikation gehörigen Dokumentenlandkarte aufgeführten zugelassenen Produkttypversionen.
A_25877 - FM_NFDM Funktion bei nicht personalisierten RSA-Zertifikaten
Das Fachmodul NFDM MUSS seine Operationen mit einer G2.1 eGK fehlerfrei ausführen, auch wenn auf dieser keine RSA-Zertifikate personalisiert sind. [<=]
5.6 Versionierung
Das Fachmodul NFDM ist integraler Bestandteil des Konnektors und Teil von dessen Firmware-Version. Bezüglich der Selbstauskunft gelten die Festlegungen in [gemSpec_Kon#TIP1-A_4812].
5.7 Protokollierung
5.7.1 Protokollierung im Fachmodul NFDM (Logging)
Das Fachmodul soll Protokolldateien im Konnektor ablegen, die eine Analyse technischer Vorgänge erlauben. Diese Protokolldateien sind dafür vorgesehen, aufgetretene Fehler zu identifizieren, die Performance zu analysieren und interne Abläufe zu beobachten. Dazu stellt der Konnektor den TUC_KON_271 „Schreibe Protokolleintrag“ des Protokollierungsdienstes zur Verfügung (siehe [gemSpec_Kon#4.1.10.4.1]).
NFDM-A_2406 - Protokollierung
Das Fachmodul NFDM MUSS Protokolleinträge mittels TUC_KON_271 „Schreibe Protokolleintrag“ in die Protokolldateien persistieren.
[<=]Um die Anforderungen an den Datenschutz zu gewährleisten, dürfen weder medizinische noch personenbezogene Daten geschrieben werden.
NFDM-A_2095 - Verbot Protokollierung medizinischer Daten
Das Fachmodul NFDM DARF NICHT medizinische Daten protokollieren. Die gesetzlich vorgeschriebene Zugriffsprotokollierung auf der eGK bleibt hiervon unberührt.
[<=]
NFDM-A_2096 - Verbot Protokollierung Schlüsselmaterial
Das Fachmodul NFDM DARF NICHT geheimes Schlüsselmaterial protokollieren.
[<=]NFDM-A_2097 - Verbot Protokollierung personenbezogener Daten
Das Fachmodul NFDM DARF NICHT personenbezogene Daten des Versicherten, protokollieren.
[<=]
Die Protokolldateien folgen einem einheitlichen Format, das vom Hersteller festgelegt und dokumentiert wird. Es muss geeignet sein, um automatische Auswertungen mit wenig Aufwand durch Dritte zu ermöglichen. Ein Vorbild ist das Weblog des Apache Webservers. Um mehrere Protokolleinträge zu korrelieren, soll bei Aufruf einer Operation, sprich Aufruf einer Schnittstelle, eine Vorgangsnummer gebildet werden. Diese Vorgangsnummer wird in allen Protokolleinträgen dieses Operationsaufrufs genutzt. Die Vorgangsnummer wird vom Konnektor pseudozufällig gebildet.
NFDM-A_2098 - Einheitliches Protokollierungsformat
Das Fachmodul NFDM MUSS Protokolleinträge in einem einheitlichen, dokumentierten Format erstellen, um eine automatisierte Auswertung zu ermöglichen.
[<=]
NFDM-A_2371 - Zusammenfassung mehrerer Protokolleinträge mittels Vorgangsnummer
Das Fachmodul NFDM MUSS sicherstellen, dass sich alle zu einem Operationsaufruf zugehörigen Protokolleinträge über eine Vorgangsnummer korrelieren lassen.
[<=]
Der Zugriff auf Protokolldateien muss auf autorisierte Personen durch angemessene technische oder organisatorische Maßnahmen eingeschränkt werden. Die Zugriffseinschränkungen werden über Mechanismen des Konnektors umgesetzt. Die Logdateien können auf ein separates Speichermedium kopiert werden (siehe [gemSpec_Kon#TIP1-A_4716]).
Der TUC_KON_271 „Schreibe Protokolleintrag“ unterscheidet drei verschiedene Logging-Protokolle:
- Fachmodulprotokoll (eventType = „Op“): Das Fachmodulprotokoll soll die internen Ausführungsschritte enthalten, die einen Einblick in den internen Ablauf für Administratoren, Betreiber und Tester ermöglichen und die Analyse von Fehlersituationen erleichtern.
- Sicherheitsprotokoll (eventType = „Sec“): Das Sicherheitsprotokoll dient der Protokollierung von sicherheitsrelevanten Fehlern und Ereignissen.
- Performanceprotokoll (eventType = „Perf“): Das Performanceprotokoll dient dem Vergleich der tatsächlichen Ausführungszeiten des Fachmoduls NFDM und den Vorgaben aus [gemSpec_Perf].
Abhängig von der Schwere (Severity), werden die Einträge der drei Protokolle in folgende Klassen eingeteilt:
Schwere (Severity) |
Klasse (entspricht …) |
---|---|
Debug |
Debug (~ Debug-Protokoll) |
Info |
Ablauf/Ereignis (~ Ablaufprotokoll) |
Warning, Error, Fatal |
Fehler (~ Fehlerprotokoll) |
NFDM-A_2101 - Fachmodulprotokoll (Ablauf)
Das Fachmodul NFDM MUSS die internen Ausführungsschritte der Operationsaufrufe im Fachmodulprotokoll mit mindestens den folgenden Parametern erfassen:
Feld |
Beschreibung |
---|---|
eventType |
„Op“ |
Schwere |
„Info“ |
Vorgangsnummer |
Zeichenkette zur Korrelation der zugehörigen Protokolleinträge |
Zeitpunkt |
Zeitpunkt der Erstellung des Protokolleintrags |
Bezeichnung |
vollständiger Name des Ausführungsschrittes |
Beschreibung |
Details zum Ausführungsschritt inklusive Ergebnis |
Pin-Eingabe |
Beschreibung bei erfolgter PIN-Eingabe inklusive Ergebnis |
Eingangsparameter |
Werte der Eingangsparameter, falls vorhanden |
NFDM-A_2099 - Fachmodulprotokoll (Fehler)
Das Fachmodul NFDM MUSS unabhängig vom ErrorType alle lokal erkannten und Remote-Fehler der Severity „Warning“, „Error“ oder „Fatal“ im Fachmodulprotokoll mit mindestens den folgenden Parametern erfassen:
Feld |
Beschreibung |
---|---|
eventType |
„Op“ |
Schwere |
„Warning“, „Error“, „Fatal“ |
Vorgangsnummer |
Zeichenkette zur Korrelation der zugehörigen Protokolleinträge |
Zeitpunkt |
Zeitpunkt der Erstellung des Protokolleintrags |
Fehlercode |
Fehlercode des aufgetretenen Fehlers |
CardHandle |
CardHandle der betroffenen eGK |
Fehlerdetails |
Weiterführende Details zum Fehler |
[<=]
NFDM-A_2103 - Fachmodulprotokoll (Debug)
Falls nicht im Produktivbetrieb laufend, KANN das Fachmodul NFDM für Testzwecke im Fachmodulprotokoll Debug-Einträge mit mindestens den folgenden Parametern erfassen:
Feld |
Beschreibung |
---|---|
eventType |
„Op“ |
Schwere |
„Debug“ |
NFDM-A_2100 - Sicherheitsprotokoll (SecurityLog)
Das Fachmodul NFDM MUSS sicherheitsrelevante Fehler und Ereignisse über den Protokollierungsdienst des Konnektors im Sicherheitsprotokoll des Konnektors mindestens mit den folgenden Parametern erfassen:
Feld |
Beschreibung |
---|---|
eventType |
„Sec“ |
Schwere |
„Info“, „Warning“, „Error“, „Fatal“ |
Vorgangsnummer |
Zeichenkette zur Korrelation der zugehörigen Protokolleinträge |
Name der Operation |
Name der untersuchten Operation |
Bezeichnung |
Bezeichnung des sicherheitsrelevanten Fehlers oder Ereignisses |
Beschreibung |
Details des sicherheitsrelevanten Fehlers oder Ereignisses |
NFDM-A_2102 - Performanceprotokoll
Das Fachmodul NFDM MUSS alle zur Kontrolle der Performancevorgaben benötigten, mindestens aber die nachfolgenden, Parameter der Operationsaufrufe im Performanceprotokoll erfassen:
Feld |
Beschreibung |
---|---|
eventType |
„Perf“ |
Vorgangsnummer |
Zeichenkette zur Korrelation der zugehörigen Protokolleinträge |
Name der Operation |
Name der untersuchten Operation |
Startzeitpunkt |
Startzeitpunkt der Operation |
Dauer |
Dauer der Operation in ms |
Beschreibung |
Ergänzende Informationen zur gemessenen Aktion |
Hinweis: Der Parameter „Schwere“ wird für einen Eintrag im Performanceprotokoll nicht verwendet.
5.7.2 Zugriffsprotokolleinträge auf der eGK
Die Zugriffsprotokolleinträge werden mittels TUC_KON_006 „Datenzugriffsaudit eGK schreiben“ des Kartendienstes erstellt (siehe [gemSpec_Kon#4.1.5]).
NFDM-A_2135 - Zugriffsprotokollierung auf der eGK
Das Fachmodul NFDM MUSS die in Tabelle „Tab_FM_NFDM_007 – Werte der Zugriffsprotokolleinträge auf der eGK“ definierten Werte für die Informationselemente eines Zugriffsprotokolleintrags auf der eGK verwenden.
Operation |
Data Type |
Type of Access |
Timestamp, Actor-ID, Actor-Name |
|
---|---|---|---|---|
ReadNFD |
2 |
N |
Lesen im Notfall |
gemäß Tabelle „Tab_Karten _Fach_TIP_010 _Struktur“ in [gemSpec_Karten_Fach _TIP#4.1] |
A |
Lesen zum Zwecke der Aktualisierung |
|||
Lesen außerhalb des Notfalls und der Aktualisierung... |
||||
R |
...bei aktivierter MRPIN.NFD |
|||
r |
bei nicht aktivierter MRPIN.NFD |
|||
WriteNFD |
2 |
W |
||
EraseNFD |
2 |
E |
||
ReadDPE |
3 |
N |
Lesen im Notfall |
|
A |
Lesen zum Zwecke der Aktualisierung |
|||
Lesen außerhalb des Notfalls und der Aktualisierung... |
||||
R |
...bei aktivierter MRPIN.DPE |
|||
r |
bei nicht aktivierter MRPIN.DPE |
|||
WriteDPE |
3 |
W |
||
EraseDPE |
3 |
E |
5.8 Konfiguration und Datenspeicherung
NFDM-A_2104 - Übergreifende Konfigurationsparameter
Das Fachmodul NFDM MUSS die in Tabelle „Tab_FM_NFDM_001 – Übergreifende Konfigurationsparameter“ genannten Parameter dem Administrator über die Managementschnittstelle des Konnektors zur Konfiguration anbieten.
ReferenzID |
Belegung |
Bedeutung |
---|---|---|
FM_NFDM_LOG_LEVEL |
Debug, Info, Warning, Error, Fatal |
Gibt die Mindestschwere zu protokollierender Einträge im Fehlerprotokoll an. |
FM_NFDM_LOG_DAYS |
X Tage |
Anzahl an Tagen, wie lange Protokolleinträge gespeichert werden müssen; Protokolleinträge dürfen nicht länger gespeichert werden |
FM_NFDM_LOG_PERF |
Boolean |
Gibt an, ob das Performance-Protokoll für das Fachmodul NFDM geführt werden soll. |
Die Administration der Konfigurationsparameter erfolgt über die Managementschnittstelle des Konnektors (vgl. [gemSpec_Kon#4.3.4]).
NFDM-A_2105 - Verbot der persistenten Speicherung medizinischer Daten
Das Fachmodul NFDM DARF NICHT medizinische Daten des Versicherten persistent speichern.
[<=]5.9 Verwendung des Dienstverzeichnisdienstes
NFDM-A_2106 - Service-Informationen für Dienstverzeichnisdienste
Das Fachmodul NFDM MUSS die Service-Informationen seiner Services (NFDService und DPEService) während der Bootup-Phase des Konnektors in den Dienstverzeichnisdienst des Konnektors gemäß dem XML-Schema [ServiceInformation.xsd] mit den in Tabelle „Tab_FM_NFDM_003 – Service-Informationen NFDM-Service“ definierten Werten für die Elemente und Attribute des XML-Schemas einbringen.
Element/Attribut |
NFDService |
DPEService |
---|---|---|
ServiceInformation/Service /@Name |
NFDService | DPEService |
ServiceInformation/Service /Abstract |
NFD auf eGK verwalten | DPE auf eGK verwalten |
ServiceInformation/Service/Versions /Version/@TargetNamespace |
aktueller Namensraumbezeichner aus Tabelle „Tab_FM_NFDM_049 – WSDL-Schnittstellenbeschreibung NFDService | aktueller Namensraumbezeichner aus Tabelle „Tab_FM_NFDM_034 – WSDL-Schnittstellenbeschreibung DPEService“ |
ServiceInformation/Service/Versions /Version/@Version |
aktuelle Versionsnummer aus Tabelle „Tab_FM_NFDM_049 – WSDL-Schnittstellenbeschreibung NFDService“ |
aktuelle Versionsnummer aus Tabelle „Tab_FM_NFDM_034 – WSDL-Schnittstellenbeschreibung DPEService“ |
ServiceInformation/Service/Versions /Version/Abstract |
Initiale Version | Initiale Version |
ServiceInformation/Service/Versions /Version/Endpoint/@Location |
Absoluter URL des über Hypertext Transfer Protocol (HTTP) erreichbaren Dienstes | Absoluter URL des über HTTP erreichbaren Dienstes |
ServiceInformation/Service/Versions /Version/EndpointTLS/@Location |
Absoluter URL des über HTTP Secure (HTTPS) erreichbaren Dienstes | Absoluter URL des über HTTPS erreichbaren Dienstes |
ServiceInformation/Service/Versions /Version/WSDL/@Location |
(optional) Absoluter URL der WSDL-Beschreibung | (optional) Absoluter URL der WSDL-Beschreibung |
[<=]
5.10 Meldungen am Kartenterminal
NFDM-A_2107 - Meldungen am Kartenterminal
Alle Operationen des Fachmoduls NFDM MÜSSEN Verlaufsmeldungen mindestens beim Start der Verarbeitung, vor und nach Kartenzugriffen auf die fachlichen eGK-Objekte und vor dem Ende der Verarbeitung an das Kartenterminal senden, in dem die eGK gesteckt ist.
[<=]
NFDM-A_2108 - Terminalanzeigen für PIN-Eingabe
Das Fachmodul NFDM MUSS im Rahmen der PIN-Eingaben am Kartenterminal bei Operationen des Fachmoduls die in Tabelle „Tab_FM_NFDM_036 – Anwendungs-Parameter für PIN-Eingabe“ definierten Werte als Parameter für die PIN-Verifizierung gemäß [gemSpec_Kon#TUC_KON_012] verwenden.
Operation | Parameter actionName |
---|---|
ReadNFD |
Notfalldaten•0x0Blesen |
WriteNFD |
Notfalldaten•0x0Bschreiben |
EraseNFD |
Notfalldaten•0x0Blöschen |
ReadDPE |
Pers.•0x0BErklärungen•0x0Blesen |
WriteDPE |
Pers.•0x0BErklärungen•0x0Bschreiben |
EraseDPE |
Pers.•0x0BErklärungen•0x0Blöschen |
Zeichensatz gemäß ISO 646DE/DIN 66003-Codierung. Max. 32 Zeichen für actionName Leerzeichen werden als „•“ dargestellt. Die Zeilenumbrüche in der Spalte „ Parameter actionName“ sind editorisch bedingt. |
[<=]
Aus Verwendung der o. g. Parameter resultieren folgende Terminal-Anzeigen.
Operation |
Terminalanzeige in LE-Umgebung |
---|---|
ReadNFD |
PIN•0x0Bfür•0x0BNotfalldaten•0x0Blesen 0x0FPIN.eGK: |
WriteNFD |
PIN•0x0Bfür•0x0BNotfalldaten•0x0Bschreiben 0x0FPIN.eGK: |
EraseNFD |
PIN•0x0Bfür•0x0BNotfalldaten•0x0Blöschen 0x0FPIN.eGK: |
ReadDPE |
PIN•0x0Bfür•0x0BPers.•0x0BErklärungen•0x0Blesen 0x0FPIN.eGK: |
WriteDPE |
PIN•0x0Bfür•0x0BPers.•0x0BErklärungen•0x0Bschreiben 0x0FPIN.eGK: |
EraseDPE |
PIN•0x0Bfür•0x0BPers.•0x0BErklärungen•0x0Blöschen 0x0FPIN.eGK: |
0x0B und 0x0F (Sollbruchstellen bzw. Trennung zwischen Nachricht und PIN-Prompt) sind Trennzeichen gemäß [SICCT#5.6.1]. Zeichensatz gemäß ISO 646DE/DIN 66003-Codierung. Max. 48 Zeichen Text + 10 Zeichen PIN-Prompt bei Input Max. 48 Zeichen bei Output Leerzeichen werden als „•“ dargestellt. Die Zeilenumbrüche in der Spalte „Terminalanzeige“ sind editorisch bedingt. |
5.11 Übergreifende Erfolgs- und Nachbedingungen
Erfolgsbedingungen sind Bedingungen, die erfüllt sein müssen, damit eine Operation der NFDM-Services erfolgreich durchlaufen werden kann. Jede der Bedingungen wird von den Operationen im Rahmen der Verarbeitung überprüft. Der in [gemSysL_NFDM] im Rahmen der Anwendungsfallbeschreibungen genutzte Begriff „Vorbedingung“ wird nicht verwendet, da Vorbedingungen üblicherweise so definiert werden, dass sie erfüllt sein müssen, bevor die Operation aufgerufen werden kann.
Folgende übergreifende Erfolgsbedingungen gelten für alle Operationen der in Kapitel 6.1 und 6.2 definierten Services.
Bedingung |
|
---|---|
ÜE1 |
Die übergebenen Werte der Parameter sind gültig gemäß dem XML-Schema für den jeweiligen Service und den zusätzlichen Konsistenzregeln der jeweiligen Operation. |
ÜE2 |
Das aufrufende Primärsystem bzw. Fachmodul ist im angegebenen Nutzungskontext (Mandant, Arbeitsplatz, Sitzung) berechtigt (autorisiert), auf die lokal gesteckte eGK zuzugreifen. |
ÜE3 |
Das aufrufende Primärsystem bzw. Fachmodul ist im angegebenen Nutzungskontext (Mandant, Arbeitsplatz, User-Id (für HBA)) berechtigt (autorisiert), auf den HBA bzw. die Secure Module Card B (SMC-B) zuzugreifen. |
ÜE4 |
Die Gesundheitsanwendung der eGK (DF.HCA) ist nicht gesperrt (= ist nicht deaktiviert). |
ÜE5 |
Die beteiligte eGK hat keine ältere Versionsnummer als die der Generation 2. |
ÜE6 |
Die durch das Zugriffsprofil der beteiligten LE-Karte (HBA bzw. SMC-B) repräsentierte fachliche Rolle ist berechtigt zur Ausführung der Operation. |
ÜE7 |
Die beteiligte Leistungserbringer(LE)-Karte (HBA bzw. SMC-B) ist freigeschaltet. |
ÜE8 |
Die beteiligten Smartcards sind echt. |
Hier und im Folgenden ist mit SMC-B auch die Hardware-Security-Module(HSM)-Variante der Institutionenkarte Typ B gemeint, die hier als virtuelle Karte in einem virtuellen Kartenterminal verstanden wird.
Das folgende Aktivitätsdiagramm modelliert den Ablauf einer Prüfung der übergreifenden Erfolgsbedingung und wird in den Aktivitätsdiagrammen für die Abläufe der Operationen referenziert.