Votre question concerne quel type d'offre ?
Votre question concerne quel couloir Ségur ?
Votre question concerne quel dispositif Ségur ?
Votre question concerne quel produit ou service produit?
Votre question concerne quelle thématique ?
La période de contrôle dure à minima deux mois. Lorsque les résultats des contrôles vous sont envoyés, nous vous indiquerons l'étape de contrôle où nous nous situons et les délais pour fournir les éléments justificatifs.
Cette réponse vous a-t-elle été utile ?
La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :
- soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
- soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.
Cette réponse vous a-t-elle été utile ?
Pour les sociétés de Téléconsultation proposant des mises en relation avec un médecin sans rendez-vous, le principe de la territorialité s’applique selon les scénarios établis par le référentiel.
Pour les sociétés de Téléconsultation proposant des mises en relation avec un médecin avec rendez-vous, le principe de territorialité s’applique également selon les scénarios établis par le référentiel.
Pour le cas où la société de téléconsultation propose les 2 cas d’usage de mise en relation avec un médecin avec et sans rendez-vous, et dans le cas spécifique où le « sans rendez-vous » n’est proposé au patient qu’après lui avoir proposé des rendez-vous, alors il est possible que seuls les scénarios de prise de rendez-vous soient conformes au principe de territorialité. En effet, dans ce cas particulier, un médecin du territoire aura été proposé au patient suivant l’algorithme proposé dans l’exigence ETHT.02.
A noter que, dans tous les cas, si le patient décide de ne pas saisir sa localité (ayant comme conséquence le non applicabilité du principe de territorialité), il doit avoir été préalablement informé des conséquences sur la prise en charge de l’acte via l’affichage du message d’information (ETHT.01).
Cette réponse vous a-t-elle été utile ?
Le parcours téléphonique ne rentre pas dans le périmètre du référentiel d’interopérabilité, de sécurité et d’éthique des SI de téléconsultation.
Néanmoins, si le parcours téléphonique peut se transformer en téléconsultation avec flux vidéo et audio (par exemple, envoi d’un lien de connexion à l’issu de l’échange téléphonique), alors le système d’information incluant le parcours téléphonique doit respecter le principe de territorialité suivant :
- ETHT 01 : en rappelant le principe de territorialité à l'usager en informant les messages de territorialité :
"Votre localisation vous est demandée afin de vous mettre prioritairement en relation avec un médecin proche de chez vous. Cette proximité doit permettre d’optimiser la qualité de votre prise en charge. Dans tous les cas, le médecin évaluera et facilitera le renvoi vers une consultation en présentiel si votre état de santé le nécessite. Pour en savoir plus sur les conditions de prise en charge des téléconsultations l’Assurance Maladie : https://www.ameli.fr/assure/remboursements/rembourse/consultations-telemedecine/telemedecine/teleconsultation". - ETHT 02 : le patient doit pouvoir renseigner sa localisation afin que le principe de territorialité s’applique, comme énoncé dans l’ETHT.02.
Cette réponse vous a-t-elle été utile ?
Il est nécessaire de :
- préciser les standards d'authentification sécurisés utilisés pour l'authentification des utilisateurs (exemple : OAuth2, SAML etc.…) ;
- préciser les mécanismes mis en place pour authentifier les parties communicantes (exemple : certificats numériques x.509) ;
- préciser les noms et les versions des protocoles de communication utilisés pour la transmission des flux vidéo (webRTC, RTP etc.…) et les mécanismes de protection de ces protocoles le cas échéant ;
- préciser les mécanismes mis en place pour assurer l'intégrité des données transmises (algorithmes SHA-256, HMAC etc.…) ;
- éventuellement, fournir un schéma d'architecture montrant comment les flux vidéo sont protégés de bout en bout, pour appuyer les éléments précédents ;
- préciser les protocoles ne pouvant être chiffrés, le cas échéant.
Cette réponse vous a-t-elle été utile ?
Ces preuves avaient été mises en place dans le cadre d'une certification pour le 31/12/2023. Elles n'ont plus lieu d'être. Pour rappel, pour être conforme aux exigences pentest, il faut :
- qu’il n’y ait plus aucune non-conformité pour les points de contrôle de gravité haute,
- qu’il y ait moins de 10 non-conformités pour les points de contrôle de gravité moyenne.
Dans ce cas, pas besoin de lettre d'engagement à effectuer les démarches correctives.
Cette réponse vous a-t-elle été utile ?
Vous ne trouvez pas la réponse à votre question ?
Posez nous votre question !
Besoin d'une mise en relation avec nos experts dédiés ?
