latest






Elektronische Gesundheitskarte und Telematikinfrastruktur





Spezifikation
Mobiles Kartenterminal
(inkl. Mini-AK und Mini-PS)


    
Version 2.15.0
Revision 974369
Stand 24.02.2022
Status freigegeben
Klassifizierung öffentlich
Referenzierung gemSpec_MobKT


Dokumentinformationen

Änderungen zur Vorversion

Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen.

Dokumentenhistorie

Version
Stand
Kap./ Seite
Grund der Änderung, besondere Hinweise
Bearbeitung
1.0.0
13.11.08

freigegeben
Die vorliegende Version setzt auf dieser Version, die Historie wurde gekürzt und kann ggf. in Version 1.0.0 nachgelesen werden.
gematik
1.0.11
13.08.12

grundlegend überarbeitet für den Online-Rollout (Stufe 1), zusätzlich formale Überarbeitung
P77
1.0.12
21.08.12

zur Abstimmung freigegeben
PL P77
2.0.0
15.10.12

Einarbeitung Gesellschafterkommentare
P77
2.1.0
12.11.12

Einarbeitung Kommentare aus der übergreifenden Konsistenzprüfung
P77
2.2.0
29.05.13

Einarbeitung Gesellschafterkommentare, Bieterfragen und interner Kommentare
P 77
2.3.0
06.06.13

freigegeben
gematik
2.4.0
15.08.13

Einarbeitung lt. Änderungsliste vom 08.08.13
P 77
2.5.0
21.02.14

Losübergreifende Synchronisation
P77
2.6.0
17.06.14

Streichung der Maßangaben in [TIP1-A_3702], konfigurierbares Druckmodul [TIP-A_4415], Anpassung Begriff „Verbindung“ [TIP-A_3754], Ergänzung Ausnahmeregelung für TOE Reset Pin [TIP1-A_3766] gemäß P11-Änderungsliste
P77
2.7.0
26.08.14

Anpassungen zu Cross-CV-Zertifikaten in #5.2.2.5, #7.4.3 und #10.1.7 gemäß P12-Änderungsliste (C_4560)
gematik
2.8.0
24.08.16

Anpassungen zum Online-Produktivbetrieb (Stufe 1)
gematik
2.9.0
28.10.16

Anpassungen gemäß Änderungsliste (Ergänzung TIP1-A_6706)
gematik
2.10.0 21.04.17 11.1.4 3.3.4
Anpassungen gemäß Änderungsliste
gematik
2.10.1
18.05.17

Redaktionelle Anpassungen (Lesbarkeit Abb)
gematik
2.11.0 14.05.18
Anpassungen gemäß Änderungsliste P 15.2 und P 15.4
gematik
2.11.1 05.06.18
Aktualisierung Angaben Deckblatt
gematik
2.12.0 15.05.19
Einarbeitung P18.1
gematik
2.13.0 02.10.19 Einarbeitung P20.1 (Unterstützung für G1+ eGK angepasst) gematik
2.14.0 22.06.20 Anpassungen lt. Änderungsliste P21.3  gematik
2.15.0 24.02.22 Anpassungen gemäß Smartcards_Maintenance_22.1 gematik

Inhaltsverzeichnis

1 Einordnung des Dokumentes

1.1 Zielsetzung

Dieses Dokument spezifiziert das Mobile Kartenterminal inklusive der Schnittstelle zum Primärsystem zur Übertragung zwischengespeicherter Daten. In diesem Dokument wird die Einboxlösung, bei der die drei Komponenten Mini-AK, Mini-PS und Kartenterminal-Modul zusammen in einem Gerät umgesetzt sind, spezifiziert. Das Gesamtsystem ist konzipiert für den Einsatz außerhalb der Arztpraxis, z. B. bei Hausbesuchen, um abrechnungsrelevante Versichertenstammdaten (VSD) von einer Krankenversicherungskarte (KVK) oder einer elektronischen Gesundheitskarte (eGK) zu lesen und diese für Abrechnungszwecke an das Primärsystem (PS) des Leistungserbringers zu übertragen.

1.2 Zielgruppe

Das Dokument richtet sich an Hersteller von Mobilen Kartenterminals sowie Hersteller und Anbieter von Primärsystemen.

Es enthält zudem Informationen für die Leistungserbringer.

1.3 Geltungsbereich

Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des Deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung im Zulassungsverfahren wird durch die gematik GmbH in gesonderten Dokumenten (z.B. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben.

Schutzrechts-/Patentrechtshinweis

Die nachfolgende Spezifikation ist von der gematik allein unter technischen Gesichtspunkten erstellt worden. Im Einzelfall kann nicht ausgeschlossen werden, dass die Implementierung der Spezifikation in technische Schutzrechte Dritter eingreift. Es ist allein Sache des Anbieters oder Herstellers, durch geeignete Maßnahmen dafür Sorge zu tragen, dass von ihm aufgrund der Spezifikation angebotene Produkte und/oder Leistungen nicht gegen Schutzrechte Dritter verstoßen und sich ggf. die erforderlichen Erlaubnisse/Lizenzen von den betroffenen Schutzrechtsinhabern einzuholen. Die gematik GmbH übernimmt insofern keinerlei Gewährleistungen.

1.4 Abgrenzung des Dokumentes

In diesem Dokument werden spezifische Anforderungen an Mobile Kartenterminals erhoben. Anforderungen, die neben dem mobilen Kartenterminal auch durch andere Produkttypen umgesetzt werden müssen, werden in übergreifenden Spezifikationen spezifiziert.

Festlegungen, welche im Schutzprofil (Protection Profile) des Mobilen Kartenterminals gemäß Common Criteria getroffen werden, werden hier nur angeführt, soweit es für das Verständnis erforderlich ist.

1.5 Methodik

1.5.1 Designansatz

Dieses Dokument spezifiziert die Komponente als Black Box, d. h. es beschreibt normativ die Außenschnittstellen (System- und Benutzerschnittstellen) und das äußere Verhalten der Komponente. Die innere Struktur wird durch dieses Dokument nicht geregelt. Um die komplexen Verhaltensmuster an den äußeren Schnittstellen besser beschreiben zu können, verwendet dieses Dokument eine modellhafte Beschreibung des inneren Verhaltens so weit, wie es für die verständliche Festlegung des Außenverhaltens erforderlich bzw. hilfreich ist.

Die Modellierung des inneren Verhaltens und der inneren Struktur dient auch als Hinweis auf Aspekte, deren Berücksichtigung bei der Sicherheitsevaluierung notwendig oder ratsam ist, um die Sicherheitsziele der Schutzprofile zu erfüllen. Die innere Struktur der realen Komponente bleibt jedoch vollständig eine herstellerseitige Definition, deren Schutzprofilkonformität allein der Hersteller im Rahmen seiner Komponentenevaluierung nachzuweisen hat (siehe auch Kapitel 2.1.2.1 Nachgewiesene Sicherheit).

1.5.2 Diagramme

Die Darstellung der Spezifikationen von Komponenten erfolgt auf der Grundlage einer durchgängigen Use-Case-Modellierung als

  • technische Use Cases (eingebundene Grafik sowie tabellarische Darstellung mit Vor- und Nachbedingungen),
  • Sequenz- und Aktivitätsdiagramme,
  • Klassendiagramme sowie
  • XML-Strukturen und Schnittstellenbeschreibungen.

1.5.3 Anforderungen

Anforderungen als Ausdruck normativer Festlegungen werden durch eine eindeutige ID sowie die dem RFC 2119 [RFC2119] entsprechenden, in Großbuchstaben geschriebenen deutschen Schlüsselworte MUSS, DARF NICHT, SOLL, SOLL NICHT, KANN gekennzeichnet.

Sie werden im Dokument wie folgt dargestellt:

<AFO-ID> - <Titel der Afo>
Text / Beschreibung
[<=]

1.5.4 Rolle Administrator

In dieser Spezifikation wird der Begriff „Administrator“ verwendet. Hierunter ist keine Berufsbezeichnung zu verstehen, sondern die Rolle Administrator, welche zur Verwaltung der Komponente besondere Rechte und Aufgaben hat. Darüber, welche Person diese Rolle ausfüllt, werden keine Vorgaben gemacht.

1.5.5 Hinweis auf offene Punkte

Auf offene Punkte wird durch einen Text in nachfolgendem Format hingewiesen:

Beispiel Formatierung offener Punkte

2 Systemüberblick

2.1 Grundlagen

2.1.1 Einsatz des Mobilen Kartenterminals

Das Mobile Kartenterminal kommt hauptsächlich außerhalb der Arztpraxis, z. B. bei Hausbesuchen oder Behandlungen in Heimen und bei Notdiensten zum Einsatz. Es soll dem Leistungserbringer ermöglichen, außerhalb seiner Praxis die Versichertenstammdaten seiner Patienten zu Abrechnungszwecken zu erfassen sowie anzuzeigen.

Um Zugriff auf die geschützten Daten (geschützte VSD) einer eGK zu erlangen, muss diese mittels eines HBAs oder einer SMC-B (im Folgenden als „berechtigte Karten“ bezeichnet) freigeschaltet werden. Für den Zugriff auf die Daten einer KVK bzw. auf die ungeschützten VSD der eGK ist keine Freischaltung erforderlich. Während der Datenerfassung wird der Erfassungszeitpunkt protokolliert. Ein zwischengespeicherter Datensatz besteht aus den gelesenen VSD, dem zugehörigen Erfassungszeitpunkt sowie der Zulassungsnummer des Mobilen Kartenterminals. Auf Benutzerwunsch können VSD einer gesteckten Karte sowie zwischengespeicherte VSD am Mini-PS zur Anzeige gebracht werden. Schreibender Zugriff auf gesteckte Karten ist nur zum Zwecke der Protokollierung auf den Logging-Container der eGK zulässig. Weitere schreibende Zugriffe sind nicht erlaubt. Da die zwischengespeicherten Daten einen hohen Schutzbedarf besitzen und zu Abrechnungszwecken genutzt werden, müssen sie vor Zugriff durch Unbefugte, Manipulation und Missbrauch geschützt werden.

Um die zwischengespeicherten Daten für die Abrechnung mit den Krankenkassen zu nutzen, kann der Arzt sie auf sein Primärsystem (Praxisverwaltungssystem (PVS) bzw. Krankenhausinformationssystem (KIS)) übertragen (im Folgenden wird für beide nur noch der Begriff Primärsystem verwendet). Die Übertragung erfolgt über die so genannte Host-Schnittstelle, welche das CT-API-Protokoll [CT-API] zur Übertragung nutzt. Zwischengespeicherte Daten können auch ohne vorherige Übertragung an das Primärsystem gelöscht werden. Optional können die zwischengespeicherten VSD auch über einen integrierten oder extern angeschlossenen Drucker ausgedruckt werden.

Hersteller seien darauf hingewiesen, dass die mobilen Komponenten auch in Einsatzumgebungen verwendet werden können, die einem erhöhten Übertragungsrisiko für Infektionen, z. B. durch häufigen Hand- und Hautkontakt, ausgesetzt sind. Die regelmäßige Desinfektion der eingesetzten Geräte beim Leistungserbringer, dazu gehören auch die mobilen Komponenten, ist eine Maßnahme zur Verminderung des Übertragungsrisikos und zur Einhaltung entsprechender Vorgaben, z. B. denen des Arbeitsschutzgesetzes. Weiterführende Informationen sind unter anderem den folgenden Dokumenten zu entnehmen:

  • Anforderungen an die Hygiene bei der Reinigung und Desinfektion von Flächen des Robert-Koch-Institutes [RKI],
  • Technischen Regeln für Biologische Arbeitsstoffe im Gesundheitswesen und in der Wohlfahrtspflege [TRBA 250]
  • Hygieneleitfaden des Deutschen Arbeitskreises für Hygiene in der Zahnmedizin [DAHZ].

2.1.2 Sicherheit

Um Zugriff auf die geschützten Daten einer eGK zu erlangen, ist eine Freischaltung der eGK mittels einer berechtigten Karte erforderlich. Die Freischaltung erfolgt im Hintergrund mittels Card-to-Card-Authentisierung (C2C) zwischen berechtigter Karte und eGK. Die Ablaufsteuerung der C2C-Authentisierung übernimmt der Mini-AK.

Damit die berechtigte Karte eine eGK freischalten kann, muss die berechtigte Karte mittels PIN-Eingabe freigeschaltet werden. Hierfür muss das Mobile Kartenterminal über ein Display und ein PIN Pad verfügen. Die PIN-Eingabe muss direkt am Mobilen Kartenterminal erfolgen.

Das Mobile Kartenterminal stellt sicher, dass ein Abhören, Zwischenspeichern oder Manipulieren der PIN nicht möglich ist. Die PIN wird ausschließlich an die berechtigte Karte gesendet und verlässt das Mobile Kartenterminal nicht über andere Schnittstellen. Der Benutzer muss überprüfen können, ob die eingesetzten Komponenten Mobiles Kartenterminal, Mini-AK und Mini-PS, zugelassen, vertrauenswürdig, authentisch und integer sind. Manipulationen an den Komponenten müssen mit hoher Wahrscheinlichkeit vom Benutzer erkennbar sein. Die Dauer der Freischaltung einer berechtigten Karte ist zeitlich begrenzt. VSD werden für die Zwischenspeicherung mit einer berechtigten Karte verschlüsselt. Das Mobile Kartenterminal stellt sicher, dass vertrauliche Daten (personenbezogene Daten, medizinische Daten etc.) nicht unberechtigt ausgelesen oder verändert werden können.

2.1.2.1 Nachgewiesene Sicherheit

Die Sicherheit von dezentralen Komponenten der Telematikinfrastruktur wird durch CC-Evaluierung und Zertifizierung nachgewiesen. Für die Evaluierung des Mobilen Kartenterminals sind die im Schutzprofil (Protection Profile) [BSI-CC-PP-0052] definierten Sicherheitsziele maßgeblich. Alle Sicherheitsziele werden dort definiert, die umgesetzten Maßnahmen einer Herstellerlösung müssen mindestens diese Ziele nachweislich erfüllen.

Da die Schutzprofile mit der angeschlossenen Sicherheitsevaluierung den Kern der Sicherheitsumsetzung bilden, werden im Rahmen dieser Spezifikation Anforderungen an die Sicherheit nur so weit erfasst, wie sie Auswirkungen auf andere funktionale oder nichtfunktionale Anforderungen haben oder wie eine Umsetzung einer reinen Sicherheitsanforderung Belange der Interoperabilität berührt. Spezifikation und Schutzprofil bilden hier eine Einheit der Anforderungen an ein Mobiles Kartenterminal.

2.2 Zulassungsverfahren, Zertifikat

Für die Zulassung des Mobilen Kartenterminals sind sicherheitstechnische und funktionale Prüfungen erforderlich. Das Zulassungsverfahren unterliegt den Vorgaben und der Aufsicht der gematik. Die Erteilung einer Zulassung erfolgt durch die gematik oder von ihr bevollmächtigte Dritte.

Eine durch die gematik akkreditierte Prüfstelle konzentriert Herstellererklärungen, Nachweise und Teilzertifikate, bewertet die Eignung, erstellt einen zusammenfassenden Bericht und reicht diesen an die Zulassungsstelle weiter, welche die Vollständigkeit und die Korrektheit überprüft. Die normativen Vorgaben zur Zulassung sind im Dokument „Zulassung von dezentralen IT-Komponenten in der Telematikinfrastruktur (Mobile Kartenterminals)“ [gemZul_MobKT] beschrieben.

Im Zuge der funktionalen Zulassung wird lediglich die korrekte Funktionalität an den Geräteschnittstellen getestet (Black-Box-Test). Die Sicherheitsevaluierung bezieht sich jedoch auch auf die internen herstellerspezifischen Umsetzungen.

2.3 Komponentenmodell

Diese Spezifikation beschreibt das Mobile Kartenterminal als Einboxlösung, d. h. eine Lösung, die in einem einzigen, geschlossenen Gehäuse zusammengefasst ist.

Um das Gerät verständlicher in die Telematikinfrastruktur einordnen zu können, wird zur Beschreibung eine Modularisierung gemäß einer stationären Ausstattung eines Leistungserbringers gewählt: Konnektor, Kartenterminal und Primärsystem. Diese Modularisierung ist ein architektonischer Ansatz zur Beschreibung des Außenverhaltens des Geräts, basierend auf bekannten Strukturen. Eine reale, direkte Umsetzung in diese Module ist für das Mobile Kartenterminal als Einboxlösung nicht erforderlich.


Abbildung 1: Pic_MOKT_0042 Komponentenmodell (logische Sicht)

Im Folgenden werden die Module des Mobilen Kartenterminals im Überblick beschrieben. Details zu den einzelnen Punkten sind dem normativen Teil zu entnehmen.

2.3.1 Kartenterminal-Modul

Das Kartenterminal-Modul bildet die logische Einheit, die für die physikalische Interaktion mit den Karten sowie die Nutzerinteraktion bei Kartenoperationen (Beispiel PIN-Eingabe) zuständig ist. Gemäß dem hier vorgestellten Komponentenmodell entspricht dieses Modul dem eHealth-Kartenterminal.

2.3.2 Mini-Anwendungskonnektor

Der Mini-AK ist eine Minimalversion des Anwendungskonnektors, dessen Funktionalität auf das für das mobile Szenario Notwendige beschränkt ist. Zu seinen Aufgaben zählen:

  • die Durchsetzung der Abläufe entsprechend der Spezifikation,
  • die C2C-Authentisierung,
  • die Karten- und Kartenterminalverwaltung,
  • die Display-Ansteuerung des Kartenterminal-Moduls,
  • das Melden von Events (z. B. Karte gesteckt) an das Mini-PS,
  • das Melden von Fehlern,
  • die Ver- und Entschlüsselung,
  • die Dekomprimierung von Daten.

Es ist zu beachten, dass die im Mini-AK durchgeführte X.509-Zertifikatsprüfung aufgrund der eingeschränkten Fähigkeiten des Mobilen Kartenterminals stark von der Prüfung in anderen Telematikinfrastruktur-Komponenten abweicht. Die Zertifikatsprüfung umfasst ausschließlich die Gültigkeits- und Rollenprüfung. Eine mathematische Prüfung bzw. eine Prüfung bzgl. des Vertrauensraums findet nicht statt.

2.3.3 Mini-Primärsystem

Das Mini-PS ist eine Minimalversion eines Primärsystems. Aus logischer Sicht liest das Mini-PS analog zum stationären Primärsystem (PS) Daten aus. Daher ist das Mini-PS aus logischer Sicht auch der Speicherort der zwischenzuspeichernden Daten und somit für den Schutz und die Übertragung der Daten an das Primärsystem zuständig. Neben dem Zwischenspeichern und Übertragen von Daten ist die Hauptaufgabe des Mini-PS die Benutzerinteraktion. Ereignisse werden an das Mini-PS gemeldet, welches in weiterer Folge den Anwender über das Ereignis informiert. Es bietet eine Benutzerschnittstelle zur Interaktion. Abläufe wie z. B. „VSD lesen“ werden über das Mini-PS gestartet.

2.3.4 Management-Modul

Um das Mobile Kartenterminal konfigurieren zu können, ist ein Management-Modul erforderlich. Über dieses können alle Aspekte, auf die ein Administrator oder ein normaler Anwender Einfluss nehmen können muss, erreicht werden. Beispiele hierfür sind das Einspielen einer neuen Firmware und das Einstellen der Systemzeit.

2.3.5 Systemuhr

Das Mobile Kartenterminal muss für die Protokollierung von Zugriffen über eine eigene Systemuhr verfügen.

2.3.6 Erweitertes Display

Im Gegensatz zu einem stationären eHealth-Kartenterminal, welches ein Display vorrangig zur Benutzerführung während der PIN-Eingabe benötigt, müssen an dem Mobilen Kartenterminal umfangreichere Daten angezeigt werden können. Es wird daher ein entsprechend dimensioniertes Grafikdisplay benötigt, für welches zur Abgrenzung der Begriff des „erweiterten Displays“ eingeführt wird.

2.3.7 Drucker

Um VSD einer Karte oder zwischengespeicherte VSD auszudrucken, wird ein Drucker benötigt. Dieser ist in allen Fällen optional.

2.3.8 Ansteuerung externer Komponenten

Die technische Ausprägung der Schnittstelle, über die eine externe Komponente an das Mobile Kartenterminal angebunden wird, ist herstellerspezifisch. Geräte verschiedener Hersteller müssen nicht interoperabel sein. Unter externen Komponenten sind Peripheriegeräte des Mobilen Kartenterminals zu verstehen, wie z. B. ein Drucker oder gegebenenfalls das externe erweiterte Display.

2.3.9 Technische Ausprägungen

2.3.9.1 Einboxlösung

Diese Spezifikation definiert ausschließlich die Anforderungen an eine Einboxlösung, in der die in den Kapiteln 2.3.1 bis 2.3.3 (Mini-AK, Kartenterminal-Modul und Mini-PS) beschriebenen Module eine physikalische Einheit bilden (d. h. sie sind von einem gemeinsamen Gehäuse umgeben).

2.3.9.2 Mehrkomponenten-Lösung

Bei einer Mehrkomponentenlösung bilden die Komponenten keine physikalische Einheit, sondern sind auf getrennten Geräten umgesetzt. Dies bedeutet, dass die Komponenten über externe Schnittstellen miteinander verbunden werden müssen.

2.4 Einbettung in das Anwendungsumfeld

Es ergeben sich folgende Schnittstellen des Mobilen Kartenterminals mit seinem Umfeld:

  • Kartenschnittstellen in Form von ID-1-Kontaktiereinheiten, die sich zur Aufnahme von KVKs, eGKs und HBAs eignen. Um den HBA und die Karte des Versicherten (KVK oder eGK) gleichzeitig stecken zu können, verfügt das Mobile Kartenterminal über mindestens 2 ID-1-Kontaktiereinheiten. Das Kartenterminal soll auch Plugin-Karten im ID-000-Format aufnehmen. Plugin-Karten können auch mittels Adapter in einen ID-1-Slot eingebracht werden.
  • Das Userinterface bildet eine weitere Schnittstelle. Es ist hauptsächlich auf den Leistungserbringer ausgerichtet, da der Versicherte, abgesehen vom Stecken und Ziehen seiner eGK, nicht in Anwendungsfälle des Mobilen Kartenterminals involviert ist. Das Userinterface bietet die Möglichkeit, Vorgänge zu starten und zu steuern, sich über Fehlerzustände und Ereignisse zu informieren sowie Konfigurationseinstellungen vorzunehmen. PINs werden direkt am PIN Pad des Mobilen Kartenterminals eingegeben.
  • Die Host-Schnittstelle dient zur Übertragung der im Mini-PS zwischengespeicherten Daten an das stationäre Primärsystem, wobei die zwischengespeicherten Daten unverändert an das stationäre PS übertragen werden. Es kommt das CT-API-Protokoll [CT-API] zum Einsatz sowie das in Kapitel 11 beschriebene Übertragungsprotokoll an der Host-Schnittstelle zur Übertragung zwischen Mobilem Kartenterminal und Primärsystem. Eine Übertragung der Daten ist erst nach erfolgreicher Authentifizierung des Arztes möglich. Daten dürfen auch mittelbar über eine Dockingstation an das PS übertragen werden. Die Anforderungen an die Host-Schnittstelle müssen in diesem Fall von der Dockingstation umgesetzt werden.

2.5 Standards und Normen

Die Spezifikation basiert auf der Normenreihe ISO/IEC 7816 für die Chipkartenansteuerung und Chipkartenkommunikation [ISO7816-2], [ISO7816-3] sowie [ISO7816-10], [ISO7816-12].

3 Allgemeine Anforderungen

Dieses Kapitel definiert Anforderungen, die für das Mobile Kartenterminal als Ganzes sowie für alle in dieser Spezifikation spezifizierten Module (Kartenterminal-Modul, Mini-Anwendungskonnektor, Mini-Primärsystem etc.) verbindlich sind. Dies umfasst sowohl die funktionalen und nicht-funktionalen Anforderungen als auch die Sicherheitsanforderungen.

TIP1-A_3738 - Definition Einboxlösung

Der Hersteller des Mobilen Kartenterminals MUSS bei einer Einboxlösung des Mobilen Kartenterminals das Kartenterminal-Modul, den Mini-AK und das Mini-PS innerhalb desselben Gehäuses realisieren, um diese als physikalische Einheit abzubilden.

[<=]

Das erweiterte Display kann extern realisiert werden.

Dies bedeutet auch, dass Anforderungen, die an mehrere Komponenten gestellt werden, im Rahmen einer Einboxlösung einmalig umgesetzt werden können, wobei diese einmalige Umsetzung durch alle Komponenten genutzt werden kann (z. B. Systemuhr, Managementschnittstelle, Firmware Update, Fehleranzeige, Stromquelle, Prüfzeichen, ...).

3.1 Logische und Funktionale Trennung

Damit es nach einer erfolgreichen Evaluierung eines Mobilen Kartenterminals auch weiterhin möglich bleibt, Software oder Daten, die keinen direkten Einfluss auf Sicherheitsfunktionen des Evaluierungsgegenstands (EVG) aufweisen, ohne eine Re-Evaluierung definiert auszutauschen, hinzuzufügen oder zu erweitern, ist eine Separation der Komponenten des EVG anzuraten.

Implementiert der Hersteller keine bzw. nicht ausreichende Separationsmechanismen, so ist bei bestimmten Update-Arten von einer aufwändigen Re-Evaluierung des entsprechenden EVGs auszugehen. Die Separation dient also der Trennung zwischen ausführbarem Code des EVG, welcher Sicherheitsfunktionen umsetzt, und zusätzlichem ausführbarem Code auf dem Mobilen Kartenterminal, welcher keine Sicherheitsfunktionen umsetzt.

Die Wahl der Separationsmechanismen steht dem Hersteller frei und muss in den Sicherheitsvorgaben für den EVG beschrieben und als solcher evaluiert werden. Aus diesen Sicherheitsvorgaben ergibt sich auch, welche Update-Arten bei welchen Separationsmechanismen eine Re-Evaluierung des EVG erfordern und wie aufwändig diese Re-Evaluierung ausfällt.

Die funktionale und logische Trennung bezieht sich daher nicht auf die physische Ausprägung (d. h. sie schließt keine gemeinsame Nutzung von Hardwarekomponenten, Klassen oder Bibliotheken aus).

3.2 Integration in die Telematikinfrastruktur

Es ist keine Online-Anbindung bzw. keine Anbindung an einen stationären Konnektor vorgesehen.

3.3 Physikalische Anforderungen

3.3.1 EMV-Prüfung

Seit 01.01.1996 ist die EU-Richtlinie EMV (89/336/EWG) auf elektrische und elektronische Produkte anzuwenden, welche durch die Richtlinie (2004/108/EG) ersetzt wurde.

TIP1-A_5014 - EMV-Prüfung

Das mobile Kartenterminal MUSS die Anforderungen der gültigen EU-Richtlinie über die elektromagnetische Verträglichkeit erfüllen.

[<=]

In Deutschland ist die EU-Richtlinie EMV umgesetzt durch das EMVG (Gesetz über die elektromagnetische Verträglichkeit von Geräten). Die CE-Kennzeichnung erfordert die Einhaltung des EMVG.

Der Nachweis der Einhaltung der Schutzanforderung erfordert die Prüfung durch ein akkreditiertes Prüflabor. Die Ergebnisse sind durch geeignete Prüfprotokolle nachzuweisen.

3.3.2 Vibrationstest

TIP1-A_4947 - Vibrationstests I

Jede physische Komponente des Mobilen Kartenterminals MUSS den folgenden Normen entsprechen:

  • Schwingen DIN EN 60068 T2-6/6.90
  • Vibration DIN EN 60068 T2-27/8.29
  • Dauerschock DIN EN 60068 T2-29/8.29
[<=]

TIP1-A_5373 - Vibrationstests II, Falltest

Jede physische Komponente des Mobilen Kartenterminals SOLL der folgenden Norm entsprechen:

  • Falltest DIN EN 60068-2-32
[<=]

Nur bei Geräten, die auf Basis eines migrationsfähigen mobilen Kartenterminals der Ausbaustufe 1 zugelassen werden, kann auf eine Umsetzung verzichtet werden.

3.3.3 Klima

TIP1-A_3805 - Umweltanforderungen für den Einsatz in mobilen Szenarien bei Lagerung

Jede physische Komponente des Mobilen Kartenterminals DARF durch eine Lagertemperatur von -20°C bis 60°C und einer relativen Luftfeuchtigkeit von 5% bis 95% NICHT defekt werden.

[<=]

TIP1-A_3712 - Umweltanforderungen für den Einsatz in mobilen Szenarien

Das Mobile Kartenterminal MUSS mindestens im Bereich der Raumtemperatur von 0°C bis 40°C funktionieren.

[<=]

Geprüft wird nach der Normenreihe DIN IEC 68.

3.3.4 Stromversorgung

TIP1-A_3802 - Mobile Szenarien: Interne Stromquelle

Das Mobile Kartenterminal MUSS über eine interne Stromquelle verfügen, die austauschbar oder wiederaufladbar sein MUSS.

[<=]

Das Mobile Kartenterminal kann zusätzlich den Betrieb über eine externe Stromquelle unterstützen.

TIP1-A_7033 - Austauschbare Pufferbatterien

Verbaut der Hersteller des mobilen Kartenterminals nicht wiederaufladebare Batterien im Mobilen Kartenterminal, so SOLL das Mobile Kartenterminal deren Austauschbarkeit durch den Benutzer ermöglichen.

Hierzu zählen auch interne Stromquellen wie Pufferbatterien gemäß [TIP1-A_4412] oder [TIP1-A_3709].

[<=]

Nur bei Geräten, die auf Basis eines migrationsfähigen mobilen Kartenterminals der Ausbaustufe 1 zugelassen werden, kann auf eine Umsetzung verzichtet werden.

TIP1-A_7034 - Stromloser Zustand – Verlust der Uhrzeit und Übertragung von Daten

Hat das Mobile Kartenterminal durch einen stromlosen Zustand beim Wechsel der Pufferbatterie gemäß [TIP1-A_7033] die eingestellte Uhrzeit verloren und sind im Zwischenspeicher des Mobilen Kartenterminals VSD gemäß [VSDM-A_2876] gespeichert, MUSS das mobile Kartenterminal ausschließlich die Übertragung der VSD über die Hostschnittstelle oder das Löschen der im Zwischenspeicher gespeicherten VSD erlauben. Unabhängig davon MUSS das Mobile Kartenterminal einen Werksreset ermöglichen. Das mobile Kartenterminal MUSS den Benutzer auf diesen Umstand hinweisen.

[<=]

TIP1-A_7035 - Stromloser Zustand – Einstellen der Uhrzeit

Hat das mobile Kartenterminal durch einen stromlosen Zustand beim Wechsel der Pufferbatterie gemäß [TIP1-A_7033] die eingestellte Uhrzeit verloren und sind im Zwischenspeicher des Mobilen Kartenterminals keine VSD gespeichert, MUSS das Mobile Kartenterminal das Lesen von Daten einer eGK verhindern bis die Uhrzeit durch den Administrator eingestellt wurde. Das mobile Kartenterminal MUSS den Benutzer auf diesen Umstand hinweisen.

[<=]

TIP1-A_3847 - Mobile Szenarien: Betriebsdauer mittels interner Stromquelle

Das Mobile Kartenterminal SOLL mit seiner internen Stromquelle den Betrieb mindestens 6h aufrecht erhalten können.

[<=]

TIP1-A_3803 - Mindestdauer der Standbyzeit für Mobile Kartenterminals

Das Mobile Kartenterminal SOLL eine Standbyzeit von mindestens 300h sicherstellen.

[<=]

3.3.5 Transportierbarkeit

TIP1-A_3713 - Transportierbarkeit für den Einsatz in mobilen Szenarien

Das Mobile Kartenterminal MUSS in jeder Ausprägung weniger als 0,7 Kilo wiegen und ein Volumen kleiner als 1 dm3 aufweisen.

[<=]

3.3.6 Schnittstelle zum Primärsystem

TIP1-A_3689 - Lokaler Anschluss zur Übertragung an das HOST-System

Das Mobile Kartenterminal MUSS über mindestens einen lokalen Anschluss zur Übertragung der zwischengespeicherten Daten an das Primärsystem verfügen.

[<=]

TIP1-A_3690 - mobile Szenarien: Datenübertragung an das Primärsystem mittels Dockingstation

Die Dockingstation des Mobilen Kartenterminals MUSS, wenn das Mobile Kartenterminal diese zur Übertragung der zwischengespeicherten Daten benötigt, über einen lokalen Anschluss an das Primärsystem verfügen.

[<=]

3.3.7 Gehäuse

3.3.7.1 Versiegelung

Aufgrund des hohen Schutzbedarfs der verarbeiteten Daten und der hohen Anforderungen an die zuverlässige Durchführung der Abläufe müssen entsprechend wirkungsvolle Mechanismen zum Schutz der Integrität des Mobilen Kartenterminals angewendet werden. Die entsprechenden Anforderungen an das Gehäuse und dessen Versiegelung sind dem PP [BSI-CC-PP-0052] zu entnehmen.

3.3.7.2 Prüfzeichen

Die Berechtigung zur Nutzung des Prüfzeichens durch den Hersteller erfolgt mit der Zulassung der Geräte durch die gematik. Im Rahmen des Zulassungsverfahrens werden dem Hersteller alle Versionen des gematik-Prüfzeichens als Bilddateien in geeigneter Auflösung zur Verfügung gestellt.

Das Prüfzeichen bietet einen Wiedererkennungswert für zugelassene Mobile Kartenterminals, es sind keine Sicherheitsfunktionen damit verbunden.

TIP1-A_4406 - Spezifizierung gematik-Prüfzeichen

Das Mobile Kartenterminal MUSS auf dem Gehäuse über ein gematik-Prüfzeichen verfügen, welches nicht unbeschadet ablösbar sein darf.

[<=]

TIP1-A_4407 - Anbringung gematik-Prüfzeichen

Der Hersteller des Mobilen Kartenterminals MUSS das gematik-Prüfzeichen an einer während der PIN-Eingabe für den Benutzer gut sichtbaren Stelle am mobilen Kartenterminal aufbringen.

[<=]

TIP1-A_4408-01 - Optische Gestaltung des Prüfzeichens

Der Hersteller des mobilen eHealth-Kartenterminals MUSS eine der abgebildeten Varianten als Prüfzeichen verwenden und sicherstellen, dass die optische Gestaltung des Prüfzeichens den folgenden Vorgaben entspricht:

  • Die Mindesthöhe des Prüfzeichens (exklusiv Schutzbereich) beträgt 10 mm.
  • Das Seitenverhältnis des Prüfzeichens ist Breite/Höhe = 2,7/1.
  • Die Farbgebung des Prüfzeichens ist einfarbig auf transparentem oder kontrastfarbigem Grund.
  • Der einfarbige Schriftzug muss in einer der folgenden Farben ausgeführt sein:
    • schwarz (RGB: 0, 0, 0)
    • dunkelblau (RGB: 0, 14, 82)
    • weiß (RGB: 255, 255, 255)
  • Der Hintergrund muss transparent oder mit einer Kontrastfarbe versehen sein:
    • weiß (RGB: 255, 255, 255) für schwarzen und blauen Schriftzug
    • schwarz (RGB: 0, 0, 0) für weißen Schriftzug
    • dunkelblau (RGB; 0, 14, 82) für weißen Schriftzug
  • An allen vier Seiten des Prüfzeichens ist ein Schutzbereich vorzusehen. Dieser Bereich ist grundsätzlich frei zu halten von Objekten oder Beschriftungen.
  • Der Schutzbereich wird durch die Größe des Prüfzeichens definiert und entspricht umlaufend der Höhe des Buchstaben "Z" im Schriftzug "Zugelassen".
  • Das Prüfzeichen muss bei vorgesehener Verwendung des mobilen Kartenterminals durch einen Benutzer waagerecht orientiert sein.