cdaefa Diskussion:EFA Sicherheitsanforderungen: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „== Eierf.01 == ;Author :sh ;Existing :bereitstellung ;Proposed :Bereitstellung == Eierf.01 == ;Author :sh ;Existing :bennennen ;Propo…“) |
K (Aktuelle Fassung der Kommentar-Tabelle eingefügt.) |
||
Zeile 1: | Zeile 1: | ||
− | == | + | = Kommentierung = |
− | + | {|class="wikitable" style="text-align: left; cellpadding: 10;" | |
− | + | !Author | |
− | + | !Status | |
− | + | !Section | |
− | + | !Existing | |
− | + | !Proposed | |
− | + | !Comment | |
− | + | !Comment Editor | |
− | + | !Discussion | |
− | ; | + | |- style="vertical-align:top;" |
− | : | + | |style="background-color: white;"|gematik |
− | ; | + | |style="background-color: #89C35C;"|included |
− | : | + | |style="background-color: white;"|Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern |
− | ; | + | |style="background-color: white;"|Stabilität des Vertrauensverhältnis zum ausstellenden Dienst |
− | : | + | |style="background-color: white;"| |
− | + | |style="background-color: white;"|Was bedeutet hier konkret Stabilität? | |
− | + | |style="background-color: white;"|Gemeint ist das Vorhandensein des Vertrauensverhältnisses zum ausstellenden Dienst. Technisch bedeutet das: Das Zertifikat des Dienstes muss valide und nicht zurückgezogen sein, der Zertifikataussteller muss vertrauenswürdig sein. | |
− | ; | + | |style="background-color: white;"| |
− | : | + | |- style="vertical-align:top;" |
− | ; | + | |style="background-color: white;"|sh |
− | : | + | |style="background-color: #89C35C;"|included |
− | ; | + | |style="background-color: white;"|Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern |
− | + | |style="background-color: white;"|bereitstellung | |
− | = | + | |style="background-color: white;"|Bereitstellung |
− | + | |style="background-color: white;"| | |
− | + | |style="background-color: white;"| | |
− | : | + | |style="background-color: white;"| |
− | ; | + | |- style="vertical-align:top;" |
− | : | + | |style="background-color: white;"|sh |
− | + | |style="background-color: #89C35C;"|included | |
− | + | |style="background-color: white;"|Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern | |
− | + | |style="background-color: white;"|bennennen | |
− | + | |style="background-color: white;"|benennen | |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | ; | + | |style="background-color: white;"| |
− | : | + | |- style="vertical-align:top;" |
− | ; | + | |style="background-color: white;"|sh |
− | : | + | |style="background-color: #89C35C;"|included |
− | ; | + | |style="background-color: white;"|Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern |
− | : | + | |style="background-color: white;"|identifikation |
− | == | + | |style="background-color: white;"|Identifikation |
− | + | |style="background-color: white;"| | |
− | ; | + | |style="background-color: white;"| |
− | + | |style="background-color: white;"| | |
− | ; | + | |- style="vertical-align:top;" |
− | : | + | |style="background-color: white;"|sh |
− | = | + | |style="background-color: #89C35C;"|included |
− | + | |style="background-color: white;"|Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern | |
− | ; | + | |style="background-color: white;"|Athentisierung |
− | : | + | |style="background-color: white;"|Authentisierung |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | ; | + | |style="background-color: white;"| |
− | + | |- style="vertical-align:top;" | |
− | = | + | |style="background-color: white;"|ti |
− | + | |style="background-color: #89C35C;"|included | |
− | ; | + | |style="background-color: white;"|Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern |
− | :sh | + | |style="background-color: white;"| |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"|Ich würde empfehlen das Thema Haftung hier nicht zu erwähnen. Die Haftungsregelung zwischen Identity Provider und EFA Provider sind ein eigenes Thema, das an dieser Stelle nicht ausgiebig behandelt werden kann. Ich würde daher nur vom "ausstellendem Dienst" sprechen, nicht vom "ausstellenden (und haftenden)". (ti, 29.05.2013) |
− | ; | + | |style="background-color: white;"|OK, insbesondere da ja auch der Besitzer der zur Authentisierung genutzten Objekte in bestimmten Fällen haftet (und die Spannbreite hier recht groß sein kann, wenn man sich hier auf der einen Seite die Gepflogeheiten im Onine-Banking und auf der anderen Seite die weitgehende Haftung des Bürgers bei der schweizerischen SuisseID anschaut). |
− | : | + | |style="background-color: white;"| |
− | = | + | |- style="vertical-align:top;" |
− | + | |style="background-color: white;"|gematik | |
− | ; | + | |style="background-color: #89C35C;"|included |
− | : | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern |
− | ; | + | |style="background-color: white;"|Unvollständige oder fehlende Informationen über qualifizierte Rolle und/oder Zugriffskontext SOLLTEN eine eventuelle Datenanfrage unterbinden. |
− | + | |style="background-color: white;"| | |
− | ; | + | |style="background-color: white;"|Wer soll was und wie unterbinden? |
− | : | + | |style="background-color: white;"|Die dem Fachdienstes vorgelagerte Komponente zur Sicherheitsprüfung (Policy Enforcement Point) darf nicht solche Datenanfragen verarbeiten. Stattdessen muss schon bei der Sicherheitsprüfung der Vorgang abgebrochen und eine Fehlernachricht an den Aufrufer übermittelt werden. Da dies aber durch die Verzahnung der Anwendungs- und Sicherheitsdienste implizit gewährleistet ist, kann der Satz entfallen. |
− | = | + | |style="background-color: white;"| |
− | + | |- style="vertical-align:top;" | |
− | ; | + | |style="background-color: white;"|sh |
− | : | + | |style="background-color: #89C35C;"|included |
− | ; | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern |
− | : | + | |style="background-color: white;"|berechtig |
− | ; | + | |style="background-color: white;"|berechtigt |
− | : | + | |style="background-color: white;"| |
− | = | + | |style="background-color: white;"| |
− | + | |style="background-color: white;"| | |
− | + | |- style="vertical-align:top;" | |
− | : | + | |style="background-color: white;"|sh |
− | ; | + | |style="background-color: #89C35C;"|included |
− | : | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern |
− | ; | + | |style="background-color: white;"|Patienteinwilligung |
− | : | + | |style="background-color: white;"|Patienteneinwilligung |
− | = | + | |style="background-color: white;"| |
− | + | |style="background-color: white;"| | |
− | ; | + | |style="background-color: white;"| |
− | : | + | |- style="vertical-align:top;" |
− | ; | + | |style="background-color: white;"|sh |
− | : | + | |style="background-color: #89C35C;"|included |
− | ; | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern |
− | : | + | |style="background-color: white;"|muster |
− | == Eierf. | + | |style="background-color: white;"|Muster |
− | + | |style="background-color: white;"| | |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | ; | + | |- style="vertical-align:top;" |
− | : | + | |style="background-color: white;"|sh |
− | ; | + | |style="background-color: #89C35C;"|included |
− | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern | |
− | + | |style="background-color: white;"|legetime | |
− | + | |style="background-color: white;"|legitime | |
− | + | |style="background-color: white;"| | |
− | + | |style="background-color: white;"| | |
− | + | |style="background-color: white;"| | |
− | + | |- style="vertical-align:top;" | |
− | + | |style="background-color: white;"|sh | |
− | + | |style="background-color: #89C35C;"|included | |
− | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern | |
− | + | |style="background-color: white;"|fallbezogen und und zum Ziel | |
− | + | |style="background-color: white;"|fallbezogen und zum Ziel | |
− | + | |style="background-color: white;"| | |
− | + | |style="background-color: white;"| | |
− | : | + | |style="background-color: white;"| |
− | ; | + | |- style="vertical-align:top;" |
− | + | |style="background-color: white;"|sh | |
− | + | |style="background-color: #89C35C;"|included | |
− | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern | |
− | ; | + | |style="background-color: white;"|qualifizierter |
− | : | + | |style="background-color: white;"|qualifizierten |
− | ; | + | |style="background-color: white;"| |
− | :gematik | + | |style="background-color: white;"| |
− | ; | + | |style="background-color: white;"| |
− | :Unvollständige oder fehlende Informationen über qualifizierte Rolle und/oder Zugriffskontext SOLLTEN eine eventuelle Datenanfrage unterbinden. | + | |- style="vertical-align:top;" |
− | ; | + | |style="background-color: white;"|sh |
− | : | + | |style="background-color: #89C35C;"|included |
− | == | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern |
− | + | |style="background-color: white;"|obiegt | |
− | ; | + | |style="background-color: white;"|obliegt |
− | + | |style="background-color: white;"| | |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | ; | + | |- style="vertical-align:top;" |
− | : | + | |style="background-color: white;"|sh |
− | = | + | |style="background-color: #89C35C;"|included |
− | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern | |
− | ; | + | |style="background-color: white;"|Sichehreitsrichtlinie |
− | : | + | |style="background-color: white;"|Sicherheitsrichtlinie |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | ; | + | |style="background-color: white;"| |
− | : | + | |- style="vertical-align:top;" |
− | = | + | |style="background-color: white;"|sh |
− | + | |style="background-color: #89C35C;"|included | |
− | ; | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern |
− | : | + | |style="background-color: white;"|datenverarebitende |
− | ; | + | |style="background-color: white;"|datenverarbeitende |
− | : | + | |style="background-color: white;"| |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | = | + | |- style="vertical-align:top;" |
− | + | |style="background-color: white;"|ti | |
− | ; | + | |style="background-color: #89C35C;"|included |
− | : | + | |style="background-color: white;"|Eierf.02 : Autorisierung von EFA-Teilnehmern |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | ; | + | |style="background-color: white;"|Falls deny-biased im Sinne von XACML (d.h. ein "deny-biased PEP") gemeint ist, ist die Definition nicht korrekt. Jeder PEP führt bei eventuellen Negativindikatoren zu einer Negativentscheidung (nicht zum Abbruch der Entscheidungsfindung!). Nur ein "deny-biased PEP" führt auch ohne Negativindikatoren, sondern einzig durch das Ausbleiben von "Positivindikatoren" zu einer Negativentscheidung. Wenn es hier um die Kombination unterschiedlicher Regeln geht, sprechen wir eher von einem "deny-override". Ggf. wären hier ein paar Beispiele für Negativindikatoren sinnvoll, um den Text verständlicher zu machen. (ti, 29.05.2013) |
− | : | + | |style="background-color: white;"|Satz wurde eim Sinne des Kommentars klargestellt. |
− | = | + | |style="background-color: white;"| |
− | + | |- style="vertical-align:top;" | |
− | ; | + | |style="background-color: white;"|gematik |
− | : | + | |style="background-color: #89C35C;"|included |
− | ; | + | |style="background-color: white;"|Eierf.03 : Vertraulichkeit |
− | : | + | |style="background-color: white;"|Eventuelle Metadaten sind idealerweise semantikfrei zu gestalten |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"|Inhalte / Werte so ablegen, dass keine Rückschlüsse …,. Ist das damit gemeint? |
− | = | + | |style="background-color: white;"|Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen. |
− | + | |style="background-color: white;"| | |
− | ; | + | |- style="vertical-align:top;" |
− | : | + | |style="background-color: white;"|sh |
− | ; | + | |style="background-color: #89C35C;"|included |
− | : | + | |style="background-color: white;"|Eierf.03 : Vertraulichkeit |
− | ; | + | |style="background-color: white;"|korrete |
− | : | + | |style="background-color: white;"|korrekte |
− | ; | + | |style="background-color: white;"| |
− | :" | + | |style="background-color: white;"| |
− | = | + | |style="background-color: white;"| |
− | + | |- style="vertical-align:top;" | |
− | ; | + | |style="background-color: white;"|sh |
− | + | |style="background-color: #89C35C;"|included | |
− | ; | + | |style="background-color: white;"|Eierf.03 : Vertraulichkeit |
− | : | + | |style="background-color: white;"|muss |
− | == Eierf. | + | |style="background-color: white;"|müssen |
− | + | |style="background-color: white;"| | |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | ; | + | |- style="vertical-align:top;" |
− | : | + | |style="background-color: white;"|sh |
− | ; | + | |style="background-color: #89C35C;"|included |
− | : | + | |style="background-color: white;"|Eierf.03 : Vertraulichkeit |
− | ; | + | |style="background-color: white;"|Die zur Übertragung benötigten personenbezogenen und/oder medizinische Informationen und deren potenzielle Offenbarung außerhalb der Fallakte (wie beispielsweise durch Metadaten) sind auf das zwingend notwendige Minimum zu beschränken. Eventuelle Metadaten sind idealerweise semantikfrei zu gestalten und sollten keine Rückschlüsse auf die innerhalb der Fallakte gekapselten personenbezogenen und/oder medizinische Informationen zulassen. |
− | : | + | |style="background-color: white;"| |
− | == | + | |style="background-color: white;"|Semantikfrei? Würde ja auch den Informationstypen ausschließen, der als Metadatum am Informationsobjekt hängt. |
− | + | |style="background-color: white;"|Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen. | |
− | ; | + | |style="background-color: white;"| |
− | : | + | |- style="vertical-align:top;" |
− | ; | + | |style="background-color: white;"|sh |
− | : | + | |style="background-color: #89C35C;"|included |
− | ; | + | |style="background-color: white;"|Eierf.03 : Vertraulichkeit |
− | : | + | |style="background-color: white;"|ausgetauschet |
− | ; | + | |style="background-color: white;"|ausgetauscht |
− | : | + | |style="background-color: white;"| |
− | = | + | |style="background-color: white;"| |
− | + | |style="background-color: white;"| | |
− | ; | + | |- style="vertical-align:top;" |
− | : | + | |style="background-color: white;"|ti |
− | ; | + | |style="background-color: #89C35C;"|included |
− | : | + | |style="background-color: white;"|Eierf.03 : Vertraulichkeit |
− | ; | + | |style="background-color: white;"| |
− | : | + | |style="background-color: white;"| |
− | ; | + | |style="background-color: white;"|"außerhalb der Fallakte (wie beispielsweise durch Metadaten)" Dies würde andeuten dass die Dokumentenmetadaten in der Registry nicht als Teil der Fallakte zu verstehen sind. Dies entspricht aber nicht der vorherigen Definition einer Fallakte (z.B. beim Einstellen von Daten werden sowohl das Dokument als auch die Metadaten einer Partition zugeordnet, die Teil der Fallakte ist. Wenn es hier um eine abgestufte Handhabe von Dokumenten und deren Metadaten geht, um z.B. eine Verschlüsselung der Dokumente ohne eine Verschlüsselung der Metadaten zu begründen, verstehe ich den Beweggrund, würde aber eine andere Darstellung bevorzugen (d.h. Metadaten sind - ähnlich wie demografische Daten des Patienten - ein weniger schützenswerter Teil der Fallakte als die Dokumenteninhalte). (ti, 29.05.2013) |
− | : | + | |style="background-color: white;"|Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen. |
− | = | + | |style="background-color: white;"| |
− | + | |- style="vertical-align:top;" | |
− | ; | + | |style="background-color: white;"|gematik |
− | : | + | |style="background-color: #89C35C;"|included |
− | ; | + | |style="background-color: white;"|Eierf.03.01 : EFA Secure Channels |
− | : | + | |style="background-color: white;"|Die datenhaltende Stelle muss ... authentisieren (Mutual Node Authentication) |
− | ; | + | |style="background-color: white;"| |
− | + | |style="background-color: white;"|Auch mit mehreren Vertrauensräumen möglich? | |
− | + | |style="background-color: white;"|Ja. Secure Channels kommen jeweils zwischen Kommunikationspartnern zum Einsatz. Es wird eine Punkt-zu-Punkt, allerdings keine Ende-zu-Ende-Sicherheit gefordert. Satz klarer formuliert. | |
− | + | |style="background-color: white;"| | |
− | + | |- style="vertical-align:top;" | |
− | + | |style="background-color: white;"|gematik | |
− | + | |style="background-color: #89C35C;"|included | |
− | + | |style="background-color: white;"|Eierf.03.01 : EFA Secure Channels | |
− | + | |style="background-color: white;"|durchgängig unbelauschbar, durchgängig isoliert, davor bewahrt werden, Rückschlüsse zu ermöglichen | |
− | + | |style="background-color: white;"| | |
− | + | |style="background-color: white;"|Erläuterung der Motivation, Zielgruppe? | |
− | + | |style="background-color: white;"|Motivation: Transportverschlüsselung, Zielgruppe: alle Kommunikationspartner. Satz wurde klarer formuliert. | |
− | + | |style="background-color: white;"| | |
− | + | |- style="vertical-align:top;" | |
− | + | |style="background-color: white;"|gematik | |
− | + | |style="background-color: #89C35C;"|included | |
− | + | |style="background-color: white;"|Eierf.04 : Authentizität und Integrität von EFA Daten | |
− | : | + | |style="background-color: white;"|gesicherte Informationen über Identität der datenvermittelten Stelle (beispielsweise ein Zwischenspeicher-Szenario) |
− | + | |style="background-color: white;"| | |
− | + | |style="background-color: white;"|Welche Szenarien gibt es konkret? | |
− | + | |style="background-color: white;"|XCA-Gateway im P2P-Szenario. Ausführungen wurden entsprechend konkretisiert. | |
− | + | |style="background-color: white;"| | |
− | ; | + | |- style="vertical-align:top;" |
− | + | |style="background-color: white;"|gematik | |
− | + | |style="background-color: #89C35C;"|included | |
− | + | |style="background-color: white;"|Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail | |
− | + | |style="background-color: white;"|nachträgliche lückenlose Rekonstruktion der Kommunikation und des Kontexts möglich | |
− | + | |style="background-color: white;"| | |
− | + | |style="background-color: white;"|Was bedeutet nachträglich und lückenlos im Kontext? | |
− | + | |style="background-color: white;"|Nachträglich: nach erfolgtem Zugriff auf einen Fachdienst, Lückenlos: alle Transaktionen auf der EFA-Anwendungsebene | |
− | + | |style="background-color: white;"| | |
− | + | |- style="vertical-align:top;" | |
+ | |style="background-color: white;"|gematik | ||
+ | |style="background-color: #89C35C;"|included | ||
+ | |style="background-color: white;"|Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail | ||
+ | |style="background-color: white;"|Sollten lediglich Minimalaufbewahrungsfristen gewahrt werden, so sind alle direkt Betroffenen über diesen Umstand geeignet zu unterrichten. | ||
+ | |style="background-color: white;"| | ||
+ | |style="background-color: white;"|Zu welchem Zweck? Wer ist direkt betroffen? Der Patient, die Ärzte…? | ||
+ | |style="background-color: white;"|Konkretisiert: Patienten und Ärzte sind zu unterrichten. | ||
+ | |style="background-color: white;"| | ||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|gematik | ||
+ | |style="background-color: #89C35C;"|included | ||
+ | |style="background-color: white;"|Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail | ||
+ | |style="background-color: white;"|medizinischen Daten vor Zugriffen unberechtigter Dritter zu schützen und verfügen prinzipiell über den gleichen Schutzbedarf wie die darin enthaltenen Daten | ||
+ | |style="background-color: white;"| | ||
+ | |style="background-color: white;"|Prinzipiell? | ||
+ | |style="background-color: white;"|"Prinzipiell" gestrichen | ||
+ | |style="background-color: white;"| | ||
+ | |- style="vertical-align:top;" | ||
+ | |style="background-color: white;"|gematik | ||
+ | |style="background-color: #89C35C;"|included | ||
+ | |style="background-color: white;"|Eierf.06 : Verfügbarkeit von EFA-Teilnehmern und EFA-Daten | ||
+ | |style="background-color: white;"|Eventuelle Providencefehler und/oder Unvollständigkeiten bezüglich der in der Datenübertragung kommunizierten Daten sind stets zu Nachweiszwecken unfänglich von allen beteiligten Kommunikationspartnern zu eigenständig dokumentieren. | ||
+ | |style="background-color: white;"| | ||
+ | |style="background-color: white;"|Genauer Formulieren | ||
+ | |style="background-color: white;"|Hinweis auf die zusätzlich zu protokolliernenden Informationen eingefügt. | ||
+ | |style="background-color: white;"| | ||
+ | |} |
Version vom 24. Januar 2014, 15:40 Uhr
Kommentierung
Author | Status | Section | Existing | Proposed | Comment | Comment Editor | Discussion |
---|---|---|---|---|---|---|---|
gematik | included | Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern | Stabilität des Vertrauensverhältnis zum ausstellenden Dienst | Was bedeutet hier konkret Stabilität? | Gemeint ist das Vorhandensein des Vertrauensverhältnisses zum ausstellenden Dienst. Technisch bedeutet das: Das Zertifikat des Dienstes muss valide und nicht zurückgezogen sein, der Zertifikataussteller muss vertrauenswürdig sein. | ||
sh | included | Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern | bereitstellung | Bereitstellung | |||
sh | included | Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern | bennennen | benennen | |||
sh | included | Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern | identifikation | Identifikation | |||
sh | included | Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern | Athentisierung | Authentisierung | |||
ti | included | Eierf.01 : Identifizierung und Authentifizierung von EFA-Teilnehmern | Ich würde empfehlen das Thema Haftung hier nicht zu erwähnen. Die Haftungsregelung zwischen Identity Provider und EFA Provider sind ein eigenes Thema, das an dieser Stelle nicht ausgiebig behandelt werden kann. Ich würde daher nur vom "ausstellendem Dienst" sprechen, nicht vom "ausstellenden (und haftenden)". (ti, 29.05.2013) | OK, insbesondere da ja auch der Besitzer der zur Authentisierung genutzten Objekte in bestimmten Fällen haftet (und die Spannbreite hier recht groß sein kann, wenn man sich hier auf der einen Seite die Gepflogeheiten im Onine-Banking und auf der anderen Seite die weitgehende Haftung des Bürgers bei der schweizerischen SuisseID anschaut). | |||
gematik | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | Unvollständige oder fehlende Informationen über qualifizierte Rolle und/oder Zugriffskontext SOLLTEN eine eventuelle Datenanfrage unterbinden. | Wer soll was und wie unterbinden? | Die dem Fachdienstes vorgelagerte Komponente zur Sicherheitsprüfung (Policy Enforcement Point) darf nicht solche Datenanfragen verarbeiten. Stattdessen muss schon bei der Sicherheitsprüfung der Vorgang abgebrochen und eine Fehlernachricht an den Aufrufer übermittelt werden. Da dies aber durch die Verzahnung der Anwendungs- und Sicherheitsdienste implizit gewährleistet ist, kann der Satz entfallen. | ||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | berechtig | berechtigt | |||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | Patienteinwilligung | Patienteneinwilligung | |||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | muster | Muster | |||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | legetime | legitime | |||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | fallbezogen und und zum Ziel | fallbezogen und zum Ziel | |||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | qualifizierter | qualifizierten | |||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | obiegt | obliegt | |||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | Sichehreitsrichtlinie | Sicherheitsrichtlinie | |||
sh | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | datenverarebitende | datenverarbeitende | |||
ti | included | Eierf.02 : Autorisierung von EFA-Teilnehmern | Falls deny-biased im Sinne von XACML (d.h. ein "deny-biased PEP") gemeint ist, ist die Definition nicht korrekt. Jeder PEP führt bei eventuellen Negativindikatoren zu einer Negativentscheidung (nicht zum Abbruch der Entscheidungsfindung!). Nur ein "deny-biased PEP" führt auch ohne Negativindikatoren, sondern einzig durch das Ausbleiben von "Positivindikatoren" zu einer Negativentscheidung. Wenn es hier um die Kombination unterschiedlicher Regeln geht, sprechen wir eher von einem "deny-override". Ggf. wären hier ein paar Beispiele für Negativindikatoren sinnvoll, um den Text verständlicher zu machen. (ti, 29.05.2013) | Satz wurde eim Sinne des Kommentars klargestellt. | |||
gematik | included | Eierf.03 : Vertraulichkeit | Eventuelle Metadaten sind idealerweise semantikfrei zu gestalten | Inhalte / Werte so ablegen, dass keine Rückschlüsse …,. Ist das damit gemeint? | Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen. | ||
sh | included | Eierf.03 : Vertraulichkeit | korrete | korrekte | |||
sh | included | Eierf.03 : Vertraulichkeit | muss | müssen | |||
sh | included | Eierf.03 : Vertraulichkeit | Die zur Übertragung benötigten personenbezogenen und/oder medizinische Informationen und deren potenzielle Offenbarung außerhalb der Fallakte (wie beispielsweise durch Metadaten) sind auf das zwingend notwendige Minimum zu beschränken. Eventuelle Metadaten sind idealerweise semantikfrei zu gestalten und sollten keine Rückschlüsse auf die innerhalb der Fallakte gekapselten personenbezogenen und/oder medizinische Informationen zulassen. | Semantikfrei? Würde ja auch den Informationstypen ausschließen, der als Metadatum am Informationsobjekt hängt. | Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen. | ||
sh | included | Eierf.03 : Vertraulichkeit | ausgetauschet | ausgetauscht | |||
ti | included | Eierf.03 : Vertraulichkeit | "außerhalb der Fallakte (wie beispielsweise durch Metadaten)" Dies würde andeuten dass die Dokumentenmetadaten in der Registry nicht als Teil der Fallakte zu verstehen sind. Dies entspricht aber nicht der vorherigen Definition einer Fallakte (z.B. beim Einstellen von Daten werden sowohl das Dokument als auch die Metadaten einer Partition zugeordnet, die Teil der Fallakte ist. Wenn es hier um eine abgestufte Handhabe von Dokumenten und deren Metadaten geht, um z.B. eine Verschlüsselung der Dokumente ohne eine Verschlüsselung der Metadaten zu begründen, verstehe ich den Beweggrund, würde aber eine andere Darstellung bevorzugen (d.h. Metadaten sind - ähnlich wie demografische Daten des Patienten - ein weniger schützenswerter Teil der Fallakte als die Dokumenteninhalte). (ti, 29.05.2013) | Satz wurde umformuliert, um deutlich zu machen, dass es hier lediglich darum geht, dass in Bezug zu einem identifizierbaren Patienten stehende Metadaten keine für Unberechtigte zugänglichen medizinischen oder sozialen Informationen enthalten sollen. | |||
gematik | included | Eierf.03.01 : EFA Secure Channels | Die datenhaltende Stelle muss ... authentisieren (Mutual Node Authentication) | Auch mit mehreren Vertrauensräumen möglich? | Ja. Secure Channels kommen jeweils zwischen Kommunikationspartnern zum Einsatz. Es wird eine Punkt-zu-Punkt, allerdings keine Ende-zu-Ende-Sicherheit gefordert. Satz klarer formuliert. | ||
gematik | included | Eierf.03.01 : EFA Secure Channels | durchgängig unbelauschbar, durchgängig isoliert, davor bewahrt werden, Rückschlüsse zu ermöglichen | Erläuterung der Motivation, Zielgruppe? | Motivation: Transportverschlüsselung, Zielgruppe: alle Kommunikationspartner. Satz wurde klarer formuliert. | ||
gematik | included | Eierf.04 : Authentizität und Integrität von EFA Daten | gesicherte Informationen über Identität der datenvermittelten Stelle (beispielsweise ein Zwischenspeicher-Szenario) | Welche Szenarien gibt es konkret? | XCA-Gateway im P2P-Szenario. Ausführungen wurden entsprechend konkretisiert. | ||
gematik | included | Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail | nachträgliche lückenlose Rekonstruktion der Kommunikation und des Kontexts möglich | Was bedeutet nachträglich und lückenlos im Kontext? | Nachträglich: nach erfolgtem Zugriff auf einen Fachdienst, Lückenlos: alle Transaktionen auf der EFA-Anwendungsebene | ||
gematik | included | Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail | Sollten lediglich Minimalaufbewahrungsfristen gewahrt werden, so sind alle direkt Betroffenen über diesen Umstand geeignet zu unterrichten. | Zu welchem Zweck? Wer ist direkt betroffen? Der Patient, die Ärzte…? | Konkretisiert: Patienten und Ärzte sind zu unterrichten. | ||
gematik | included | Eierf.05 : Nicht-Abstreitbarkeit, Dokumentation und Audit-Trail | medizinischen Daten vor Zugriffen unberechtigter Dritter zu schützen und verfügen prinzipiell über den gleichen Schutzbedarf wie die darin enthaltenen Daten | Prinzipiell? | "Prinzipiell" gestrichen | ||
gematik | included | Eierf.06 : Verfügbarkeit von EFA-Teilnehmern und EFA-Daten | Eventuelle Providencefehler und/oder Unvollständigkeiten bezüglich der in der Datenübertragung kommunizierten Daten sind stets zu Nachweiszwecken unfänglich von allen beteiligten Kommunikationspartnern zu eigenständig dokumentieren. | Genauer Formulieren | Hinweis auf die zusätzlich zu protokolliernenden Informationen eingefügt. |