Besoin d’aide ? Toutes les réponses et ressources utiles pour les ENS

Recherche d'antériorité : avant de créer une identité dans le logiciel, le professionnel vérifie qu'elle n'existe pas déjà. Il s’agit d’un moyen de vérifier que l'identité est présente ou non dans la solution.

Vous devez intégrer le téléservice INSi : il vous permet d’obtenir ou de vérifier l’INS grâce aux bases de référence de l’Etat-Civil.
La documentation technique et fonctionnelle est disponible sur l'Espace Industriels du GIE SESAM-Vitale.

Pour vous assurer que votre logiciel est conforme au guide d’implémentation de l’INS, un guichet unique est à votre disposition sur le site du GIE SESAM-Vitale : une équipe dédiée vous assistera lors du développement de vos solutions.

Deux enjeux majeurs sont associés à la mise en œuvre de l’IGC-Santé :  

• assurer la sécurité des clés privées et des certificats émis par l’ANS : il faut veiller à limiter l’accès à ces clés privées et qu’elles ne puissent pas être dupliquées ni installées sur plusieurs équipements ;
• assurer la continuité de service : de nombreuses applications de santé utilisaient les certificats émis par les deux anciennes IGC-CPS, qui ne sont plus actives depuis Janvier 2021. Elles doivent prendre en compte les nouveaux certificats émis par l’IGC-Santé.

En plus, les certificats émis par l’IGC-Santé respectent les règles habituelles de sécurité (analyse de risque, politique de sécurité), les "Politiques de Certification", et ils sont conformes aux référentiels de la PGSSI-S.

L'Infrastructure de Gestion des Clés cryptographiques (IGC) opérée par l'ANS (IGC-Santé) délivre des certificats conformes au référentiel d'identification à la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S) pour l’accès aux services du numérique en santé (article L1470-1 et suivants du Code de la Santé Publique).

Les certificats émis par l'ANS permettent d'identifier les acteurs du secteur, personnes physiques et organisations. Ils attestent aussi de la qualité des pratiques de gestion des clés publiques mises en œuvre par ces autorités. Ils peuvent être révoqués en cas de défaillance.

L’ANS propose 4 offres de certificats logiciels : 

• certificat de personne morale Organisation ;
• certificat de personne morale Serveur ;
• certificat de personne physique Professionnel ;
• certificat de personne physique Professionnel de Santé .

Oui, le versement de l'avance DRIMBox est conditionné par l'enregistrement préalable d'une commande RIS comme précisé dans l'appel à financement DRIMBox.

Il reste cependant possible de signer une commande DRIMBox sans commande RIS.

La version v15 apporte des clarifications et un point de contrôle en moins qui est la vérification antivirus lors de upload de fichier. Selon le cas il est possible :

• soit l'ENS a déjà réalisé le test d’intrusion sur la base d’une version plus ancienne du formulaire alors l'ENS peut poursuivre sur cette base ; il n'est donc pas nécessaire de relancer un audit complet sur le nouveau formulaire. Si l'ENS a une non conformité sur le point de contrôle qui a été retiré de la nouvelle version du formulaire test d'intrusion v15, ce point n'est pas considéré comme bloquant.
• soit l' ENS n'a pas encore réalisé le test d’intrusion et il faut alors obligatoirement partir sur la nouvelle version du formulaire v15.

Pour les sociétés de Téléconsultation proposant des mises en relation avec un médecin sans rendez-vous, le principe de la territorialité s’applique selon les scénarios établis par le référentiel. 

Pour les sociétés de Téléconsultation proposant des mises en relation avec un médecin avec rendez-vous, le principe de territorialité s’applique également selon les scénarios établis par le référentiel. 

Pour le cas où la société de téléconsultation propose les 2 cas d’usage de mise en relation avec un médecin avec et sans rendez-vous, et dans le cas spécifique où le « sans rendez-vous » n’est proposé au patient qu’après lui avoir proposé des rendez-vous, alors il est possible que seuls les scénarios de prise de rendez-vous soient conformes au principe de territorialité. En effet, dans ce cas particulier, un médecin du territoire aura été proposé au patient suivant l’algorithme proposé dans l’exigence ETHT.02. 

A noter que, dans tous les cas, si le patient décide de ne pas saisir sa localité (ayant comme conséquence le non applicabilité du principe de territorialité), il doit avoir été préalablement informé des conséquences sur la prise en charge de l’acte via l’affichage du message d’information (ETHT.01).