Votre question concerne quel type d'offre ?
Votre question concerne quel couloir Ségur ?
Votre question concerne quel dispositif Ségur ?
Votre question concerne quel produit ou service produit?
Votre question concerne quelle thématique ?
L'ensemble des preuves à soumettre pour démontrer la conformité à la section MSS doit impérativement provenir de la solution candidate elle-même. Exception faite des preuves MSS.02, MSS.17 & MSS.27 : les lignes de codes peuvent être reprises de l'éditeur de la solution tierce. Les identifiants des traces et des logs (…) produits lors de la validation de la conformité au référentiel socle MSSanté #2 doivent être ceux de la solution candidate au référencement TLC.
Cette réponse vous a-t-elle été utile ?
L’exigence MSS.02 est la suivante : "Le client de messageries MSSanté du Système DOIT vérifier que le certificat présenté par l’opérateur MSSanté n’est pas expiré, "conformément au référentiel socle MSSanté #2 (Clients de Messageries Sécurisées de Santé) [MSS1]."
Pour répondre à l’exigence MSS.02, le candidat peut transmettre l’identifiant d’exécution du cas de test réalisé dans le cadre de l’exigence MSS.10.
Cette réponse vous a-t-elle été utile ?
La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :
- soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
- soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.
Cette réponse vous a-t-elle été utile ?
Il est nécessaire de :
- préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ;
- préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ;
- préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ;
- préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ;
- éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ;
- préciser les protocoles ne pouvant être chiffrés, le cas échéant.
Cette réponse vous a-t-elle été utile ?
Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :
- qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
- qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne.
Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.
Cette réponse vous a-t-elle été utile ?
Le référentiel d’imputabilité définit les moyens utilisables pour :
- assurer la traçabilité des actions réalisées vis-à-vis d’un SI de santé ;
- garantir la valeur des traces enregistrées ;
- contrôler l’usage fait de ce SI de santé.
Cette réponse vous a-t-elle été utile ?
Les traces fonctionnelles rendent compte des actions métier de tous les utilisateurs au sein du produit.
Le contenu de ces traces est propre à chaque application et doit rendre compte de façon explicite de l’action fonctionnelle métier réalisée.
Ces traces sont générées par le produit à l’occasion d’événements significatifs comme :
- la connexion à l’application ;
- le dépôt d’un document dématérialisé ;
- l’envoi d’un message électronique ;
- la diffusion d'une identité validée ;
- la création d'une note de visite ;
- la consultation des bonnes pratiques sur la prise en charge d'un patient polypathologique.
Cette réponse vous a-t-elle été utile ?
La PGSSI-S est un ensemble de référentiels d’exigences et de guides de bonnes pratiques qui constitue un cadre commun de sécurité des SI du secteur de la santé.
L’espace « Politique générale de sécurité des systèmes d’information de santé » sur le site de l’ANS présente de façon détaillée l’ensemble du corpus.
Cette réponse vous a-t-elle été utile ?
Le référentiel de force probante des documents de santé vise à décrire les moyens nécessaires à assurer la valeur probante des documents de santé.
Pour tous les produits qui produisent ou modifient des documents de santé il est nécessaire de se référer à ce référentiel.
Cette réponse vous a-t-elle été utile ?
Vous ne trouvez pas la réponse à votre question ?
Posez nous votre question !
Besoin d'une mise en relation avec nos experts dédiés ?
