FAQ de l'offre : Ségur du numérique en santé

Dans ce cas, chaque Composant Principal LPS doit être homologué au CNDA et habilité EDC PSC. Le Proxy e-Santé doit seulement être habilité EDC PSC, mais pas homologué CNDA.

Attention, si des Composants Additionnels Non Autonomes sont intégrés au Proxy e-Santé, ceux-ci devront être homologués au CNDA.

Lorsqu’un Proxy e-Santé prend en charge des requêtes métier, il est considéré comme un proxy intégrant un Composant Additionnel Non Autonome (EAI).

Dans ce cas, ce Composant Additionnel Non Autonome intégré dans le Proxy e-Santé et assurant la gestion des flux DMP doit être homologué au CNDA.

A ce jour, l'Outil De Conformité du Proxy e-Santé de l'EDC PSC n'accepte que les flux CIBA.​

Il existe aussi une collection POSTMAN pour tester la conformité du Proxy e-Santé à l'EDC PSC mais celle-ci a été implémentée pour les flux CIBA.

L'évolution de cette collection POSTMAN pour tester le flux authentification Code Flow n'est pas disponible pour le moment.​​

Oui, il est possible de modifier sa déclaration. Il est recommandé de faire ses arbitrages avant le dépôt des preuves car celles-ci pourraient être à requalifier.

Un Editeur de Logiciel Utilisateur (ELU) devra déclarer plusieurs dossiers s'il s'interface avec plusieurs Proxy e-Santé : 1 dossier par Proxy e-Santé.

Non. L’EAI tiers peut être intégré de deux manières :​

• Côté LPS (Composant Principal) : dans ce cas, il est intégré au logiciel utilisateur et l’ensemble doit être homologué par le CNDA.​
• Côté Proxy e-Santé : dans ce cas, l’EAI, intégré au Proxy e-Santé, sera homologué au CNDA. Le Proxy e-Santé en tant que tel n’a pas à être homologué au CNDA.  

Dans les deux cas, l’EAI doit être homologué par le CNDA, que ce soit intégré au LPS ou au Proxy e-Santé. 

Si une Solution Logicielle fait appel à plusieurs téléservices, elle doit avoir une architecture conforme pour être habilitée EDC PSC, c’est à dire disposer au minimum d’un Composant Principal LPS et d’un Proxy e-Santé.

Chaque composant doit être déclaré et suivi séparément pour son habilitation EDC PSC. 

L’éditeur de chaque composant doit assurer la conformité et la sécurité de son composant ainsi que des composants intégré ou interfacé avec lui, selon les exigences CNDA et PSC.​

Le Proxy e-Santé est utilisé pour sécuriser et standardiser les échanges entre le logiciel métier (Composant Principal LPS) et les API Pro Santé Connectées (DMP, INSi, Ordonnance Numérique, etc.).

Il gère les mécanismes d’authentification et de sécurité (mTLS, OAuth2, OpenID), facilite l’intégration technique, et permet de mutualiser certains développements.

Même si cela ajoute de la complexité, le Proxy e-Santé est obligatoire pour répondre aux exigences réglementaires et garantir la conformité des accès.​

• L'Éditeur de Logiciel Utilisateur développe le Composant Principal (LPS) et notamment son Interface Homme Machine (IHM) qui sera utilisée par le professionnel de santé. Le LPS gérera des règles métiers.​
• L'Editeur de Logiciel Proxy e-Santé édite le Proxy e-Santé qui est une brique technique assurant les liens techniques et de sécurité entre le LPS et les APIs des services socles, comme le DMP. Le Proxy e-Santé peut aussi gérer la création et le formatage de certaines requêtes métiers.

La définition du périmètre des tests d’intrusion relève de la responsabilité de l’éditeur, en fonction des cas d’usage et de l’architecture de la solution. Le processus générique est le suivant :

1. L'éditeur prend connaissance du périmètre du REM et candidate pour une solution dont il donne le nom et la version.
    
2. L’éditeur a la responsabilité de présenter à l’auditeur le périmètre concerné par le test d’intrusion, en s’appuyant sur sa connaissance de la solution et en se portant garant de la justification apportée.
    
3. L'auditeur doit mentionner dans le rapport de pentest le nom/version de l'application concernée.
    
4. Le guichet conformité vérifie que le nom et la version de l’application concernée correspondent à ceux déclarés par l'éditeur, et que le rapport est conforme aux exigences.