Besoin d’aide ? Toutes les réponses et ressources utiles pour les ENS

Les contrôles ne sont pas à effectuer par la PFI.
Les logiciels DPI ou RIS doivent comparer l’ensemble des traits d’identités (nom de naissance, 1er prénom de naissance, date de naissance, sexe, code INSEE du lieu de naissance, (liste des prénoms, matricule INS et OID si identité au statut qualifié présente)) du document reçu avec les traits des patients de sa base de données. 

Le code d'erreur 905 doit être envoyé (Cf : https://interop.esante.gouv.fr/ig/hl7v2/trans-cda-r2/error-codes.html)

Ce n'est pas exigé dans les fonctionnalités Ségur : c'est au SGL du laboratoire producteur du CR de réaliser cet envoi. Un établissement de santé reste cependant libre d'organiser les flux internes à son SIH selon sa stratégie. 

Le Code officiel géographique (COG) utilisé est bien issu des fichiers officiels INSEE. Certains cas de tests incluent des communes supprimées pour illustrer des cas réels d’historique administratif. 

Si l’éditeur constitue une base locale des COG, il doit impérativement l’alimenter et la maintenir à jour à partir de l’ensemble des fichiers disponibles sur le site de l’INSEE (communes actuelles, événements, COG complet).

L'export des données doit être réalisé sous un format standard, structuré et/ou non structuré, au choix de l’éditeur (ex : HL7 CDA, HL7 FHIR, PDF, DOC, DOCX, XML, etc.), avec une documentation détaillant la procédure à réaliser. La profondeur de l’historique doit être paramétrable dans la procédure. Le format des fichiers mis à disposition doit être lisible, exhaustif, exploitable, et documenté par l’éditeur.

Nous vous invitons à vous référer au DSR de votre couloir au chapitre 3.2.

Oui, l'appel contextuel via PSC du web PS DMP doit obligatoirement être implémenté dans le cadre de la vague 2.

Non, cela n'est pas interdit. Toutefois dans le cadre des échanges automatisés décrits dans les exigences, seuls sont concernés les CDA.

Le test d’intrusion est applicable pour toutes les solutions passant le référencement Ségur V2 : 
- pour les éditeurs soumis à l'homologation Espace de Confiance ProSantéConnect, dans le cadre de l'exigence SC.PSC.14 ;
- pour le profil AHI du couloir médico-social, dans le cadre de l'exigence SC.SSI/GEN.18.
Cette exigence stipule que le système doit faire l’objet d’un test d’intrusion réalisé par un prestataire d’audit (PASSI) à la charge de l’éditeur (audit PASSI non exigé). Le prestataire d'audit remplit un formulaire confirmant la conformité du système aux critères de sécurité requis. Ce formulaire est une preuve essentielle à fournir et doit démontrer l'éligibilité du système au référencement. De plus, il doit être daté de moins d'un an et être signé électroniquement par le prestataire ayant réalisé l'audit.

Le scénario SSI/IAM.92.01 relatif aux preuves de conformité sur la gestion des mots de passe a fait l'objet d'une évolution.

Afin d’harmoniser les exigences sur l’ensemble des couloirs, le scénario modifié s’applique désormais à tous les éditeurs qui candidatent sur les guichets RIS et DRIMBox.

Qu’est-ce qui change concrètement ?

Le scénario précédent pour RIS et DRIMbox prévoyait un blocage du compte après 5 échecs de changement de mot de passe.
Désormais, conformément au scénario harmonisé, il faut :

• Réaliser une tentative de connexion erronée répétée,
• Mettre en évidence le blocage du compte après un nombre d’échecs consécutifs au plus égal à 10 (et non plus après 5 échecs de changement de mot de passe).

Le scénario attendu est le suivant : Scénario de conformité : SSI/IAM.92.01

Vérifier la mise en place d'une politique de mots de passe robuste pour les comptes à privilèges
 

Etapes du scénario :

1. Se connecter avec un compte à privilège dont la durée de validité a été dépassée
2. Mettre en évidence que le système impose à l'utilisateur un changement de son mot de passe
3. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe ne respectant pas la limite de 15 caractères
4. Mettre en évidence le refus du changement de mot de passe
5. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe ne respectant pas la présence d'une majuscule
6. Mettre en évidence le refus du changement de mot de passe
7. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe ne respectant pas la présence d'un chiffre
8. Mettre en évidence le refus du changement de mot de passe
9. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe ne respectant pas la présence d'un caractère spécial
10. Mettre en évidence le refus du changement de mot de passe
11. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe précédemment utilisé
12. Mettre en évidence le refus du changement de mot de passe
13. Effectuer une tentative de changement de mot de passe à l'aide d'un mot de passe satisfaisant l'ensemble des critères
14. Mettre en évidence la réussite du changement de mot de passe
15. Effectuer une tentative de connexion au compte à l'aide d'un mot de passe erroné et répéter l'opération
16. Mettre en évidence le blocage du compte après un nombre défini d'échecs de connexion consécutifs au plus égal à 10
     

Notez que le scénario s’applique immédiatement pour tous les futurs dépôts. Le mécanisme de preuve reste inchangé (Capture vidéo montrant le bon déroulé du scénario de conformité).

Que dois-je faire si mes preuves sont déjà réalisées ou en cours de réalisation ?

• Si vos preuves n’ont pas encore été déposées, appliquez directement le scénario harmonisé.
• Si vos preuves ont déjà été déposées selon l’ancienne version, préparez une mise à jour conforme au nouveau scénario pour répondre aux demandes de modification.

Pour toute question, nous vous invitons à contacter le support Industriels Ségur : Formulaire de contact

Le test doit être daté de moins d'un an.