Introduction au référentiel
Vous êtes un fournisseur de service (FS) ou un fournisseur de données (FD) souhaitant implémenter Pro Santé Connect (PSC) ?
Retrouvez l'ensemble des exigences et recommandations à respecter décrites dans le référentiel PSC.
Accès en 1 clic
- Historique des versions
- Fournisseur de service et fournisseur de données
- Eligibilité à PSC et procédure de candidature
- Modalités de raccordement technique
- Bac à sable
- Production
- Paramétrage des requêtes
- Utilisation des données du jeton
- Gestion et fusion des comptes avec d'autres systèmes d'authentification électronique
- Déconnexion
- Sécurité
- Identité visuelle
- Portée des exigences du référentiel
Historique des versions
Version | Statut | Evolutions | Date d'application |
---|---|---|---|
1.8.4 | Publiée |
| 4 avril 2022 |
1.8 | Publiée | 16 juin 2021 |
Fournisseur de service et fournisseur de données
Par Fournisseur de Service (FS) est désigné toute personne morale immatriculée dans l'Union Européenne, fournissant un service numérique à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, et habilitée à utiliser Pro Santé Connect conformément aux CGU.
Par Fournisseur de Données (FD) est désignée toute personne morale immatriculée dans l'Union Européenne, fournissant à des FS, via un mécanisme impliquant Pro Santé Connect, des données supplémentaires à celles du jeton Pro Santé Connect, relatives à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, et habilitée à utiliser Pro Santé Connect conformément aux CGU.
Eligibilité à PSC et procédure de candidature
EXI PSC 01 | Le Fournisseur de Service DOIT être une personne morale (entreprise, association, groupement d’intérêt économique, etc.) de droit privé ou public, immatriculée dans l’Union Européenne |
---|---|
EXI PSC 02 | Le Fournisseur de Service DOIT s'engager à ne pas prononcer des propos ou proposer des contenus contrevenant aux droits d'autrui ou à caractère diffamatoire, injurieux, obscène, offensant, violent ou incitant à la violence, politique, raciste ou xénophobe et de manière générale tous propos ou contenus contraires à l'objet du service, aux lois et règlements en vigueur, aux droits des personnes ou aux bonnes mœurs |
EXI PSC 03 | Le service DOIT être proposé en langue française |
EXI PSC 04 | Le service DOIT proposer à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, des fonctionnalités qui nécessitent leur identification électronique |
EXI PSC 05 | Le Fournisseur de Service DOIT respecter la loi du 6 janvier 1978, dite « Informatique et Libertés », ainsi que le Règlement Général sur la Protection des Données (RGPD) en particulier en ce qui concerne l’information des utilisateurs |
EXI PSC 06 | Le service DOIT, lorsqu’il traite de données de santé, assurer leur confidentialité et leur intégrité, tout en assurant leur hébergement par un hébergeur agréé ou certifié HDS |
EXI PSC 07 | Le Fournisseur de Service DOIT prévenir l’ANS dans le cas où le service ne serait plus conforme à une des exigences du présent Référentiel et/ou en cas de changement dans les informations qui ont été déclarées lors de la candidature au raccordement à Pro Santé Connect |
En savoir plus sur le parcours de raccordement
Modalités de raccordement technique
EXI PSC 08 | Le Fournisseur de Service DOIT être client OpenID Connect |
---|---|
RECO PSC 01 | Le Fournisseur de Service DEVRAIT utiliser une implémentation parmi celles qui sont certifiées par la fondation OpenID Connect |
EXI PSC 09 | Le Fournisseur de Service DOIT respecter les flux standards OpenID |
EXI PSC 10 | Le Fournisseur de Service DOIT utiliser les flux OpenID définis par Pro Santé Connect |
EXI PSC 11 | Le Fournisseur de Service DOIT rafraîchir périodiquement les informations d’authentification auprès de Pro Santé Connect uniquement lorsque l’utilisateur utilise activement son service |
Bac à sable
EXI PSC 12 | Le Fournisseur de Service DOIT avoir testé avec succès son service avec les endpoints de Pro Santé Connect Bac à Sable, préalablement à toute connexion à la production |
---|---|
EXI PSC 13 | Le Fournisseur de Service DOIT donner accès à l’ANS à son service de test |
Production
EXI PSC 14 | Le Fournisseur de Service DOIT contacter les endpoints de Pro Santé Connect Production |
---|
En savoir plus sur les endpoints de Pro Santé Connect
Paramétrage des requêtes
EXI PSC 15 | Le Fournisseur de Service DOIT paramétrer ses requêtes de token (token ID, token d’accès, token UserInfo) suivant le standard OpenID |
---|---|
EXI PSC 16 | Le Fournisseur de Service DOIT utiliser le paramètre acr_values lors de la demande d'authentification avec la valeur «eidas1» |
EXI PSC 17 | Le Fournisseur de Service DOIT paramétrer ses requêtes d'autorisation avec les scopes “openid” et “scope_all" |
En savoir plus sur le détail des flux
Utilisation des données du jeton
EXI PSC 18 | Le Fournisseur de Service DOIT utiliser le champ SubjectNameID pour récupérer l'identifiant unique de l'identité, et référencer cet identifiant dans sa traçabilité interne |
---|---|
RECO PSC 02 | Le Fournisseur de Service PEUT mettre en place un contrôle d’accès sur des attributs de l’identification électronique (profession, secteur d’activité, etc.) issus du jeton Pro Santé Connect |
RECO PSC 05 | Le Fournisseur de Service PEUT mettre en place un mécanisme de blocage des utilisateurs indélicats |
En savoir plus sur le UserInfo
Gestion et fusion des comptes avec d'autres systèmes d'authentification électronique
RECO PSC 03 | Le Fournisseur de Service PEUT utiliser d’autres systèmes d’identification électronique que Pro Santé Connect, notamment pour permettre à des utilisateurs professionnels non encore enregistrés au RPPS d’accéder au service, et/ou de palier à des indisponibilités de Pro Santé Connect ou de connexion réseau |
---|---|
EXI PSC 19 | Le Fournisseur de Service DOIT alors fusionner ses comptes autour de l’identifiant pivot RPPS, afin de permettre à ses utilisateurs de ne garder qu’un seul compte dans l’outil, quel que soit leur modalité de connexion |
RECO PSC 04 | Pour les cas où la gestion du compte utilisateur ne disposaient pas auparavant du numéro RPPS enregistré, le Fournisseur de Service PEUT demander à l'utilisateur final de se connecter avec Pro Santé Connect et une des autres modalités de connexion disponibles successivement afin d’effectuer l’appariement autour de l’identifiant pivot RPPS |
Déconnexion
EXI PSC 20 | Le Fournisseur de Service DOIT offrir à l'utilisateur la possibilité de se déconnecter, quel que soit le moyen de connexion utilisé au préalable. S’il s’agit de Pro Santé Connect, le Fournisseur de Service doit déconnecter l’utilisateur à la fois du service et de Pro Santé Connect |
---|---|
RECO PSC 06 | Le Fournisseur de Service PEUT déconnecter l’utilisateur du service à la fermeture du navigateur ou du client lourd, sans clôturer la session propre à Pro Santé Connect |
EXI PSC 32 | Le Fournisseur de Service DOIT déconnecter l’utilisateur automatiquement de son service après une période d’inactivité, sans clôturer la session propre à Pro Santé Connect |
En savoir plus sur la déconnexion
Sécurité
EXI PSC 21 | Le Fournisseur de Service DOIT utiliser les informations de raccordement : client ID et Secret fournis par Pro Santé Connect |
---|---|
EXI PSC 22 | Le Fournisseur de Service DOIT conserver le client ID et le Secret au niveau d’un serveur |
EXI PSC 23 | Le Fournisseur de Service DOIT proposer un unique point de contact à Pro Santé Connect |
EXI PSC 24 | Le Fournisseur de Service DOIT communiquer avec Pro Santé Connect via une connexion sécurisée au minimum via TLS 1.2 par un certificat AUTH_CLI de l’offre ORG de l’IGC-Santé |
EXI PSC 25 | Le Fournisseur de Service de type client lourd DOIT utiliser une autre méthode que l’intégration native d’un composant navigateur à l’intérieur de son applicatif pour le déroulé de la cinématique de connexion Pro Santé Connect |
EXI PSC 26 | Le Fournisseur de Service de type client lourd DOIT utiliser un navigateur extérieur à son application pour la cinématique "flux code d’autorisation” de Pro Santé Connect |
EXI PSC 33 | Le Fournisseur de Service DOIT se maintenir conforme aux préconisations sécuritaires du service Pro Santé Connect prononcées et signifiées par l’ANS auprès du responsable technique du Fournisseur de Service |
EXI PSC 27 | Le Fournisseur de Service DOIT prévenir l’ANS sous 12h en cas de détection d’un incident de sécurité et/ou impliquant une violation de données à caractère personnel |
Identité visuelle
EXI PSC 28 | Le Fournisseur de Service DOIT intégrer l'identification électronique par Pro Santé Connect au même niveau que les autres modalités d'identification électronique proposées aux utilisateurs professionnels |
---|---|
EXI PSC 29 | Le Fournisseur de Service DOIT utiliser l'un des éléments graphiques fournis par Pro Santé Connect pour l'intégration Pro Santé Connect conformément à la charte graphique de l'ANS |
EXI PSC 30 | Le Fournisseur de Service DOIT respecter la charte graphique Pro Santé Connect |
EXI PSC 31 | Le Fournisseur de Service DOIT disposer de conditions générales d’utilisation et y insérer le paragraphe type sur Pro Santé Connect que vous pouvez retrouver dans le PDF téléchargeable en début de page |
En savoir plus sur la charte graphique
Portée des exigences du référentiel
EXIGENCE | Applicable aux FS | Applicable aux FD |
---|---|---|
EXI PSC 01 | Oui | Oui |
EXI PSC 02 | Oui | Oui |
EXI PSC 03 | Oui | Non |
EXI PSC 04 | Oui | Oui |
EXI PSC 05 | Oui | Oui |
EXI PSC 06 | Oui | Oui |
EXI PSC 07 | Oui | Oui |
EXI PSC 08 | Oui | Oui |
EXI PSC 09 | Oui | Oui |
EXI PSC 10 | Oui | Oui |
EXI PSC 11 | Oui | Non |
EXI PSC 12 | Oui | Oui |
EXI PSC 13 | Oui | Oui |
EXI PSC 14 | Oui | Oui |
EXI PSC 15 | Oui | Oui |
EXI PSC 16 | Oui | Oui |
EXI PSC 17 | Oui | Oui |
EXI PSC 18 | Oui | Non |
EXI PSC 19 | Oui | Non |
EXI PSC 20 | Oui | Non |
EXI PSC 21 | Oui | Oui |
EXI PSC 22 | Oui | Oui |
EXI PSC 23 | Oui | Oui |
EXI PSC 24 | Oui | Oui |
EXI PSC 25 | Oui | Oui |
EXI PSC 26 | Oui | Oui |
EXI PSC 27 | Oui | Oui |
EXI PSC 28 | Oui | Non |
EXI PSC 29 | Oui | Non |
EXI PSC 30 | Oui | Non |
EXI PSC 31 | Oui | Non |
EXI PSC 32 | Oui | Non |
EXI PSC 33 | Oui | Oui |
RECO PSC 01 | Oui | Oui |
RECO PSC 02 | Oui | Oui |
RECO PSC 03 | Oui | Non |
RECO PSC 04 | Oui | Non |
RECO PSC 05 | Oui | Oui |
RECO PSC 06 | Oui | Non |