Introduction au référentiel
Un référentiel est un ensemble structuré de normes, exigences et bonnes pratiques qui guide les acteurs dans la mise en œuvre d’un service ou d'une technologie. Dans le cadre de Pro Santé Connect, le référentiel a pour objectif de garantir la sécurité, l’interopérabilité et la conformité des services numériques connectés à PSC, afin d’assurer une gestion fiable des identités des professionnels de santé. Ce référentiel définit les exigences techniques, les processus et les critères à respecter pour être habilité à utiliser PSC et pour garantir une communication sécurisée avec l’ensemble des acteurs du système de santé.
Le référentiel PSC se divise en deux grandes catégories d’espace :
- L’Espace Communautaire (Communauté PSC) : Cet espace regroupe l’ensemble des fournisseurs de services qui utilisent Pro Santé Connect pour l’authentification des utilisateurs. Les exigences du référentiel Communauté PSC couvrent les aspects liés à l’authentification, à la gestion des utilisateurs, et à la sécurité des échanges d'informations.
- L’Espace de Confiance (Extension Espace de Confiance PSC) : Ce périmètre étend les exigences du référentiel à ceux qui partagent des données sensibles au sein de l’écosystème de santé via les API Pro Santé Connectées. L’Espace de Confiance garantit des niveaux supplémentaires de sécurité et de conformité pour les services qui traitent des données à caractère personnel dans un cadre de confiance mutuelle.
Historique des versions
| Version | Statut | Evolutions | Date d'application |
|---|---|---|---|
| 2.0 | En cours d'application |
| A venir |
| 1.8.4 | Publiée |
| 4 avril 2022 |
| 1.8 | Publiée | 16 juin 2021 |
Définitions des acteurs et des rôles
Par API Pro Santé Connectée est désignée une interface de programmation d'application, fournie par un Fournisseur de Données au sens de l’Espace De Confiance PSC (EDC), qui se réfère au Cadre d’Interopérabilité des Systèmes d’Information de Santé (CI-SIS) Volet Transport et qui doit être conforme aux spécifications de PSC.
Par Communauté Pro Santé Connect (Communauté PSC) est désignée l’ensemble des Fournisseurs de Services qui utilisent Pro Santé Connect pour l’authentification de leurs Utilisateurs.
Par Éditeur de Logiciel Proxy e-Santé est désignée toute personne morale immatriculée dans l’Union européenne, qui conçoit, développe, distribue et assure le support et la maintenance d’un logiciel proxy de l’Espace de Confiance PSC, constitué uniquement du serveur intermédiaire Proxy e-Santé, destiné à être utilisé par un OpS Proxy.
Par Éditeur de Logiciel Utilisateur est désignée toute personne morale immatriculée dans l’Union européenne, fournissant à des Fournisseurs de Service, via un mécanisme impliquant PSC, des données ou services supplémentaires à celles du jeton d’authentification au standard OAuth 2.0 fourni par PSC, conformément aux Conditions Générales d’Utilisation PSC.
Par Fournisseur de Service (FS) est désignée toute personne morale immatriculée dans l’Union européenne, fournissant un Service Numérique et habilitée à utiliser PSC conformément aux Conditions Générales d’Utilisation PSC. Selon les sections du référentiel, la notion de Fournisseur de Service est déclinée en Fournisseur de Données, Opérateur de Service Utilisateur, Éditeur de Logiciel Utilisateur, Opérateur de Service Proxy e-Santé ou Éditeur de Logiciel Proxy e-Santé.
Par Fournisseur de Données (FD) est désignée toute personne morale immatriculée dans l’Union européenne, fournissant à des Fournisseurs de Service, via un mécanisme impliquant PSC, des données ou services supplémentaires à celles du jeton d’authentification au standard OAuth 2.0 fourni par PSC, conformément aux Conditions Générales d’Utilisation PSC.
Par Opérateur de Service Proxy e-Santé (OpS Proxy) est désignée toute personne morale immatriculé dans l’Union européenne, fournissant en production un Service Numérique constitué uniquement du serveur intermédiaire Proxy e-Santé, à destination de l’OpS Utilisateur.
Par Opérateur de Service Utilisateur (OpS Utilisateur) est désignée toute personne morale immatriculée dans l’Union européenne, fournissant un Service Numérique dans un environnement de production à des Utilisateurs et habilitée à utiliser PSC conformément aux Conditions Générales d’Utilisation PSC.
Par Proxy référence est faite à la définition du CI-SIS Volet Transport. Les composants nommés « proxy » dans le présent référentiel sont des intermédiaires fonctionnels et techniques permettant le dialogue entre les services numériques et les API Pro Santé Connectées en garantissant par leur rôle, un niveau de sécurité conforme à la PGSSI-S dans le cadre de l’utilisation de Pro Santé Connect. Ils peuvent être intégrés aux serveurs applicatifs, être mutualisés et/ou externalisés entre plusieurs applicatifs voire plusieurs éditeurs.
Par Proxy e-Santé est désigné tout service de type Proxy ayant adhéré au niveau Pro Santé Connect – Extension Espace de Confiance. Ce serveur intermédiaire, ne disposant pas d’interface Utilisateur, est destiné à sécuriser les échanges de données entre l’OpS Utilisateur, ayant permis l’authentification de l’Utilisateur par PSC et l’API Pro Santé Connectée.
Par Proxy PSC est désigné tout Proxy ayant adhéré uniquement au niveau Communauté Pro Santé Connect. Un Proxy PSC n’est pas habilité à fournir des jetons PSC à un composant de l'EDC contrairement à un Proxy e-Santé.
Par Service Numérique est désigné un service proposé par un Opérateur de Service Utilisateur et nécessitant l’authentification en ligne des Utilisateurs.
Par Utilisateur est désigné un professionnel des secteurs sanitaire, médico-social et social enregistré au répertoire santé qui s’authentifie avec Pro Santé Connect pour accéder au(x) Service(s) Numérique(s).
REFERENTIEL COMMUNAUTE PSC
Eligibilité à PSC et procédure de candidature
| EXI PSC 01 | Le Fournisseur de Service DOIT être une personne morale (entreprise, association, groupement d’intérêt économique, etc.) de droit privé ou public, immatriculée dans l’Union Européenne |
|---|---|
| EXI PSC 02 | Le Fournisseur de Service DOIT s'engager à ne pas prononcer des propos ou proposer des contenus contrevenant aux droits d'autrui ou à caractère diffamatoire, injurieux, obscène, offensant, violent ou incitant à la violence, politique, raciste ou xénophobe et de manière générale tous propos ou contenus contraires à l'objet du service, aux lois et règlements en vigueur, aux droits des personnes ou aux bonnes mœurs |
| EXI PSC 03 | Le service DOIT être proposé en langue française |
| EXI PSC 04 | Le service DOIT proposer à des utilisateurs professionnels intervenant dans les secteurs sanitaire, médico-social et social, des fonctionnalités qui nécessitent leur identification électronique |
| EXI PSC 05 | Le Fournisseur de Service DOIT respecter la loi du 6 janvier 1978, dite « Informatique et Libertés », ainsi que le Règlement Général sur la Protection des Données (RGPD) en particulier en ce qui concerne l’information des utilisateurs |
| EXI PSC 06 | Le service DOIT, lorsqu’il traite de données de santé, assurer leur confidentialité et leur intégrité, tout en assurant leur hébergement par un hébergeur agréé ou certifié HDS |
| EXI PSC 07 | Le Fournisseur de Service DOIT prévenir l’ANS dans le cas où le service ne serait plus conforme à une des exigences du présent Référentiel et/ou en cas de changement dans les informations qui ont été déclarées lors de la candidature au raccordement à Pro Santé Connect |
| EXI PSC 44 | Le Fournisseur de Service DOIT s’appuyer sur les versions en vigueur de moins de trois (3) ans ou sur la dernière version publiée de chaque document et standard mentionné dans ce référentiel. |
En savoir plus sur le parcours de raccordement
Modalités de raccordement technique
| EXI PSC 08 | Le Fournisseur de Service DOIT être client OpenID Connect |
|---|---|
| RECO PSC 38 | Le Fournisseur de Service DEVRAIT utiliser une implémentation parmi celles qui sont certifiées par la fondation OpenID Connect. |
| EXI PSC 09 | Le Fournisseur de Service DOIT respecter les flux standards OpenID |
| EXI PSC 10 | Le Fournisseur de Service DOIT utiliser les flux OpenID définis par Pro Santé Connect |
| EXI PSC 11 | Le Fournisseur de Service DOIT rafraîchir périodiquement les informations d’authentification auprès de Pro Santé Connect uniquement lorsque l’utilisateur utilise activement son service |
Bac à sable
| EXI PSC 12 | Le Fournisseur de Service DOIT avoir testé avec succès son service avec les endpoints de Pro Santé Connect Bac à Sable, préalablement à toute connexion à la production |
|---|---|
| EXI PSC 13 | Le Fournisseur de Service DOIT donner accès à l’ANS à son service de test |
| EXI PSC 37 | Le Fournisseur de Service DOIT uniquement utiliser des jeux de données de test, en opposition avec des données réelles, dans le cadre de ses travaux sur un environnement de test. |
Production
| EXI PSC 14 | Le Fournisseur de Service DOIT contacter les endpoints de Pro Santé Connect Production |
|---|
En savoir plus sur les endpoints de Pro Santé Connect
Paramétrage des requêtes
| EXI PSC 15 | Le Fournisseur de Service DOIT paramétrer ses requêtes de token (token ID, token d’accès, token UserInfo) suivant le standard OpenID |
|---|---|
| EXI PSC 16 | Le Fournisseur de Service DOIT utiliser le paramètre acr_values lors de la demande d'authentification avec la valeur «eidas1» |
| EXI PSC 17 | Le Fournisseur de Service DOIT paramétrer ses requêtes d'autorisation avec les scopes “openid” et “scope_all" |
En savoir plus sur le détail des flux
Utilisation des données du jeton
| EXI PSC 18 | Le Fournisseur de Service DOIT utiliser le champ SubjectNameID pour récupérer l'identifiant unique de l'identité, et référencer cet identifiant dans sa traçabilité interne |
|---|---|
| RECO PSC 39 | Le Fournisseur de Service DEVRAIT mettre en place un contrôle d’accès sur des attributs de l’identification électronique (profession, secteur d’activité, etc.) issus du jeton Pro Santé Connect |
| RECO PSC 40 | Le Fournisseur de Service DEVRAIT mettre en place un mécanisme de blocage des utilisateurs malveillants. |
| EXI PSC 34 | Lorsque le Fournisseur de Service reçoit un jeton Pro Santé Connect dont il n'est pas à l'origine de la demande d'authentification, il DOIT en vérifier la validité par un appel au endpoint d’introspection dès sa réception. |
En savoir plus sur le UserInfo
Gestion et fusion des comptes avec d'autres systèmes d'authentification électronique
| RECO PSC 41 | Le Fournisseur de Service DEVRAIT utiliser d’autres systèmes d’identification électronique que Pro Santé Connect, notamment pour permettre à des utilisateurs non encore enregistrés au Répertoire Partagé des Professionnels de Santé (RPPS) d’accéder au service, et/ou de pallier des indisponibilités de Pro Santé Connect ou de connexion réseau. |
|---|---|
| EXI PSC 19 | Le Fournisseur de Service DOIT alors fusionner ses comptes autour de l’identifiant pivot RPPS, afin de permettre à ses utilisateurs de ne garder qu’un seul compte dans l’outil, quel que soit leur modalité de connexion |
| RECO PSC 42 | Pour les cas où le compte utilisateur ne disposaient pas auparavant du numéro RPPS enregistré, le Fournisseur de Service DEVRAIT demander à l'utilisateur de se connecter d’abord avec Pro Santé Connect, puis avec une des autres modalités de connexion disponibles afin d’effectuer l’appariement autour de l’identifiant pivot Répertoire Partagé des Professionnels de Santé (RPPS). |
Déconnexion
| EXI PSC 20 | Le Fournisseur de Service DOIT offrir à l'utilisateur la possibilité de se déconnecter, quel que soit le moyen de connexion utilisé au préalable. S’il s’agit de Pro Santé Connect, le Fournisseur de Service doit déconnecter l’utilisateur à la fois du service et de Pro Santé Connect |
|---|---|
| RECO PSC 43 | Le Fournisseur de Service DEVRAIT déconnecter l’utilisateur du service à la fermeture du navigateur ou du client lourd, sans clôturer la session propre à Pro Santé Connect. |
| EXI PSC 32 | Le Fournisseur de Service DOIT déconnecter l’utilisateur automatiquement de son service après une période d’inactivité, sans clôturer la session propre à Pro Santé Connect |
En savoir plus sur la déconnexion
Sécurité
| EXI PSC 21 | Le Fournisseur de Service DOIT utiliser les informations de raccordement : client ID et Secret fournis par Pro Santé Connect |
|---|---|
| EXI PSC 23 | Le Fournisseur de Service DOIT proposer un unique point de contact à Pro Santé Connect |
| EXI PSC 24 | Le Fournisseur de Service DOIT communiquer avec Pro Santé Connect via une connexion sécurisée au minimum via TLS 1.2 par un certificat AUTH_CLI de l’offre ORG de l’IGC-Santé |
| EXI PSC 25 | Le Fournisseur de Service de type client lourd DOIT utiliser une autre méthode que l’intégration native d’un composant navigateur à l’intérieur de son applicatif pour le déroulé de la cinématique de connexion Pro Santé Connect |
| EXI PSC 26 | Le Fournisseur de Service de type client lourd DOIT utiliser un navigateur extérieur à son application pour la cinématique "flux code d’autorisation” de Pro Santé Connect |
| EXI PSC 27 | Le Fournisseur de Service DOIT prévenir l’ANS sous 12h en cas de détection d’un incident de sécurité et/ou impliquant une violation de données à caractère personnel |
| EXI PSC 33 | Le Fournisseur de Service DOIT se maintenir conforme aux préconisations sécuritaires du service Pro Santé Connect prononcées et signifiées par l’ANS auprès du responsable technique du Fournisseur de Service |
| EXI PSC 35 | Le Fournisseur de Service DOIT être en mesure de fournir son certificat AUTH_CLI de l’offre ORG de l’IGC-Santé à l’Agence du Numérique en Santé. |
| EXI PSC 36 | Le Fournisseur de Service DOIT conserver les informations sensibles fournies par l’Agence du Numérique en Santé au niveau d’un serveur. |
Identité visuelle
| EXI PSC 28 | Le Fournisseur de Service DOIT intégrer l'identification électronique par Pro Santé Connect au même niveau que les autres modalités d'identification électronique proposées aux utilisateurs professionnels |
|---|---|
| EXI PSC 29 | Le Fournisseur de Service DOIT utiliser l'un des éléments graphiques fournis par Pro Santé Connect pour l'intégration Pro Santé Connect conformément à la charte graphique de l'ANS |
| EXI PSC 30 | Le Fournisseur de Service DOIT respecter la charte graphique Pro Santé Connect |
| EXI PSC 31 | Le Fournisseur de Service DOIT disposer de conditions générales d’utilisation et y insérer le paragraphe type sur Pro Santé Connect que vous pouvez retrouver dans le PDF téléchargeable en début de page |
En savoir plus sur la charte graphique
Portée des exigences et recommandations du référentiel Communautaire
EXI PSC 37
| EXIGENCE | Applicable aux OpS Utilisateur | Applicable aux FD |
|---|---|---|
| EXI PSC 01 | Oui | Oui |
| EXI PSC 02 | Oui | Oui |
| EXI PSC 03 | Oui | Non |
| EXI PSC 04 | Oui | Oui |
| EXI PSC 05 | Oui | Oui |
| EXI PSC 06 | Oui | Oui |
| EXI PSC 07 | Oui | Oui |
| EXI PSC 08 | Oui | Oui |
| EXI PSC 09 | Oui | Oui |
| EXI PSC 10 | Oui | Oui |
| EXI PSC 11 | Oui | Non |
| EXI PSC 12 | Oui | Oui |
| EXI PSC 13 | Oui | Oui |
| EXI PSC 14 | Oui | Oui |
| EXI PSC 15 | Oui | Oui |
| EXI PSC 16 | Oui | Oui |
| EXI PSC 17 | Oui | Oui |
| EXI PSC 18 | Oui | Non |
| EXI PSC 19 | Oui | Non |
| EXI PSC 20 | Oui | Non |
| EXI PSC 21 | Oui | Oui |
| EXI PSC 23 | Oui | Oui |
| EXI PSC 24 | Oui | Oui |
| EXI PSC 25 | Oui | Oui |
| EXI PSC 26 | Oui | Oui |
| EXI PSC 27 | Oui | Oui |
| EXI PSC 28 | Oui | Non |
| EXI PSC 29 | Oui | Non |
| EXI PSC 30 | Oui | Non |
| EXI PSC 31 | Oui | Non |
| EXI PSC 32 | Oui | Non |
| EXI PSC 33 | Oui | Oui |
| EXI PSC 34 | Non | Oui |
| EXI PSC 35 | Oui | Oui |
| EXI PSC 36 | Oui | Oui |
Oui | Oui | |
| EXI PSC 44 | Oui | Oui |
| RECO PSC 38 | Oui | Oui |
| RECO PSC 39 | Oui | Oui |
| RECO PSC 40 | Oui | Oui |
| RECO PSC 41 | Oui | Non |
| RECO PSC 42 | Oui | Non |
| RECO PSC 43 | Oui | Non |
REFERENTIEL COMMUNAUTE PSC – EXTENSION ESPACE DE CONFIANCE
Eligibilité à l’Espace de Confiance
| RECO EDC PSC 132 | Le Fournisseur de Service DEVRAIT se conformer au CI-SIS volet de transport Pro Santé Connect. |
|---|---|
| EXI EDC PSC 101 | Le Fournisseur de Service DOIT respecter le référentiel Communauté Pro Santé Connect. |
Documentation et processus de conformité
| EXI EDC PSC 102 | Le Fournisseur de Service DOIT décrire dans le document de conformité, dédié et régulièrement mis à jour, les mesures qu’il met en œuvre afin de se conformer aux exigences du présent référentiel. |
|---|---|
| EXI EDC PSC 103 | Le Fournisseur de Service DOIT utiliser le modèle fourni par l’Agence du Numérique en Santé pour rédiger le document de conformité. |
| EXI EDC PSC 104 | Le Fournisseur de Service DOIT fournir l'inventaire des composants techniques, des flux applicatifs, des requêtes, des protocoles et des services nécessaires à l’utilisation du système dans une version supportée à date. |
| RECO EDC PSC 133 | Le Fournisseur de Service DEVRAIT utiliser, lorsqu'ils sont disponibles, des outils pour auditer l’ensemble des composants du système à chaque modification. |
| EXI EDC PSC 105 | Le Fournisseur de Service DOIT être en mesure de fournir à l’Agence du Numérique Santé une analyse de risques à jour. |
| EXI EDC PSC 106 | Le Fournisseur de Service DOIT appliquer des mesures issues de l’analyse de risques. |
| EXI EDC PSC 138 | Le Fournisseur de Service DOIT s’appuyer sur les versions en vigueur de moins de trois (3) ans ou sur la dernière version publiée de chaque document et standards mentionnés dans ce référentiel. |
Chiffrement et sécurisation des canaux d'échanges
| EXI EDC PSC 107 | Le Fournisseur de Service DOIT maintenir à jour les mécanismes cryptographiques utilisés et les tailles de clés correspondantes conformément aux recommandations de l'ANSSI. |
|---|---|
| EXI EDC PSC 108 | Le Fournisseur de Service DOIT appliquer la politique de gestion des clés cryptographiques de l’IGC-Santé publiée par l’Agence du Numérique en Santé. |
| EXI EDC PSC 109 | Le Fournisseur de Service DOIT mettre en place une communication chiffrée et authentifiée entre le Service Utilisateur et le Service Proxy e-Santé, adossée à l’authentification de l’utilisateur sur le Service Utilisateur et par l’authentification du Service Proxy e-Santé. |
| EXI EDC PSC 110 | Le Fournisseur de Service DOIT mettre en place une communication chiffrée et sécurisée par authentification mutuelle de type TLS 1.2 minimum par un certificat électronique AUTH_CLI de l’offre ORG de l’IGC-Santé entre Services Proxy e-santé et API Pro Santé Connectée. |
| EXI EDC PSC 111 | Le Fournisseur de Service DOIT garantir que le client ID, déclaré dans le Distinguished Name du certificat, qu’il présente aux autres acteurs de l’Espace de Confiance fait référence à un unique Fournisseur de Service, directement en contact avec l'utilisateur authentifié. |
| EXI EDC PSC 112 | Le Fournisseur de Service DOIT vérifier la validité d'un certificat avant l'établissement de tout canal sécurisé sur la base de ce dernier. |
| EXI EDC PSC 113 | Le Fournisseur de Service DOIT garantir l’association, la protection et la continuité des flux HTTP entre les points de terminaison TLS. |
Gestion des identifiants de corrélation
| EXI EDC PSC 114 | Le Fournisseur de Service DOIT définir un identifiant de corrélation utilisateur partagé avec les autres composants de l’Espace de Confiance à la suite de l’authentification de l’utilisateur. |
|---|---|
| EXI EDC PSC 115 | Le Fournisseur de Service DOIT s’assurer que les identifiants de corrélation sont masqués à l’utilisateur. |
Gestion des informations de raccordement
| EXI EDC PSC 117 | Le Fournisseur de Service DOIT s’assurer qu’aucune information de raccordement ne soit présente dans le code source. |
|---|---|
| EXI EDC PSC 118 | Le Fournisseur de Service DOIT s’assurer que les informations de raccordement persistantes soient stockées de façon sécurisée et jamais conservées au-delà de leur durée de validité. |
| EXI EDC PSC 119 | Le Fournisseur de Service DOIT s’assurer que les informations de raccordement éphémères ne soient stockées qu’en mémoire volatile et jamais conservées au-delà de leur durée de validité. |
| RECO EDC PSC 134 | Le Fournisseur de Service DEVRAIT interdire l’envoi de jetons Pro Santé Connect jusqu’à un client lourd. |
| EXI EDC PSC 120 | Le Fournisseur de Service DOIT garantir que les jetons Pro Santé Connect initiés dans le cadre de l’Espace de Confiance ne sont échangés qu’avec d’autres acteurs de l’Espace de Confiance. |
Surveillance et gestion des alertes
| EXI EDC PSC 121 | Le Fournisseur de Service DOIT uniquement autoriser les flux applicatifs nécessaires à l’utilisation du système en intégrant des dispositifs de filtrage, de rupture de protocole et de détection d’intrusion couvrant l’intégralité du système afin de limiter ces flux. |
|---|---|
| EXI EDC PSC 122 | Le Fournisseur de Service DOIT interrompre toute requête non conforme au fonctionnement prévu par le service en déclenchant une alerte. |
| EXI EDC PSC 123 | Le Fournisseur de Service DOIT mettre en œuvre une procédure de traitement des alertes qui est décrite dans un document dédié et régulièrement mis à jour. |
Mise en place d’une politique de gestion de traçabilité
| EXI EDC PSC 124 | Le Fournisseur de Service DOIT mettre en œuvre une politique de traçabilité qui est décrite dans un document dédié et régulièrement mis à jour. |
|---|---|
| EXI EDC PSC 125 | Le Fournisseur de Service DOIT inclure au minimum dans ses traces la date, l’heure, l’IP, le port, l’ID de session et le paramètre SID. |
| RECO EDC PSC 135 | Le Fournisseur de Service DEVRAIT inclure dans ses traces l’action réalisée par l’utilisateur, le résultat, la sensibilité de l’action et des données manipulées définies par leur importance métier. |
| EXI EDC PSC 126 | Le Fournisseur de Service DOIT pouvoir fournir à l'Agence du Numérique en Santé les données de journalisation, pour une durée d’au moins un an, d’authentification et d’octroi d’accès aux ressources protégées par Pro Santé Connect. |
Bonnes pratiques de développement logiciel sécurisés
| RECO EDC PSC 136 | Le Fournisseur de Service DEVRAIT se conformer à la publication "OWASP Top 10" et à la publication "FAPI 2.0 Security Profile" publiée par l'OpenID Foundation (OIDF) à chaque fois qu'il est concerné. |
|---|---|
| EXI EDC PSC 127 | Le Fournisseur de Service DOIT documenter toutes les mesures prises pour se conformer à la publication "OWASP Top 10” à chaque fois qu'il est concerné. |
Contractualisation avec l’ensemble de la chaîne des éditeurs
| EXI EDC PSC 128 | Le Fournisseur de Service DOIT inclure dans ses contrats avec ses sous-traitants impactant le service, une clause d’engagement de respect des versions actuelles du Référentiel Communauté Pro Santé Connect – Extension Espace de Confiance et des Conditions Générales d’Utilisation Pro Santé Connect. |
|---|
Sécurité du système
| EXI EDC PSC 129 | Le Fournisseur de Service DOIT maintenir à jour un plan d’assurance sécurité. |
|---|---|
| EXI EDC PSC 130 | Le Fournisseur de Service DOIT appliquer le plan d’assurance sécurité. |
| EXI EDC PSC 131 | Le Fournisseur de Service DOIT faire réaliser par un auditeur d’un organisme qualifié PASSI, à intervalles réguliers, le test d’intrusion défini par l’Agence du Numérique en Santé. |
| RECO EDC PSC 137 | Le Fournisseur de Service DEVRAIT tester régulièrement un Plan de Continuité d’Activité et le maintenir à jour. |
Portée des exigences et recommandations du référentiel Espace De Confiance
EXIGENCE | Applicable aux Opérateur de Service Utilisateur | Applicable aux Éditeur de Logiciel Utilisateur | Applicable aux Opérateur de Service Proxy e-Santé | Applicable aux Éditeur de Logiciel Proxy e-Santé |
|---|---|---|---|---|
EXI EDC PSC 101 | Oui | Oui | Oui | Oui |
EXI EDC PSC 102 | Oui | Oui | Oui | Oui |
EXI EDC PSC 103 | Oui | Oui | Oui | Oui |
EXI EDC PSC 104 | Oui | Oui | Non | Oui |
EXI EDC PSC 105 | Non | Non | Non | Oui |
EXI EDC PSC 106 | Non | Non | Oui | Non |
EXI EDC PSC 107 | Oui | Non | Oui | Non |
EXI EDC PSC 108 | Oui | Non | Oui | Non |
EXI EDC PSC 109 | Non | Oui | Oui | Oui |
EXI EDC PSC 110 | Non | Non | Oui | Non |
EXI EDC PSC 111 | Non | Non | Oui | Oui |
EXI EDC PSC 112 | Oui | Non | Oui | Non |
EXI EDC PSC 113 | Oui | Non | Oui | Non |
EXI EDC PSC 114 | Non | Oui | Non | Oui |
EXI EDC PSC 115 | Non | Oui | Non | Oui |
EXI EDC PSC 116 | Non | Oui | Non | Non |
EXI EDC PSC 117 | Non | OUi | Non | Oui |
EXI EDC PSC 118 | Oui | Non | Oui | Non |
EXI EDC PSC 119 | Non | Oui | Non | Oui |
EXI EDC PSC 120 | Oui | Non | OUi | Non |
EXI EDC PSC 121 | Non | Non | Oui | Non |
EXI EDC PSC 122 | Non | Non | Non | Oui |
EXI EDC PSC 123 | Non | Non | Oui | Non |
EXI EDC PSC 124 | Non | Non | Oui | Non |
EXI EDC PSC 125 | Non | Non | Non | Oui |
EXI EDC PSC 126 | Non | Non | Oui | Non |
EXI EDC PSC 127 | Oui | Oui | Oui | Oui |
EXI EDC PSC 128 | Oui | Non | Oui | Non |
EXI EDC PSC 129 | Non | Oui | Non | Oui |
EXI EDC PSC 130 | Oui | NOn | Oui | Non |
EXI EDC PSC 131 | Non | Oui | Non | Oui |
EXI EDC PSC 138 | Oui | Oui | Oui | Oui |
RECO EDC PSC 132 | Non | Non | Oui | Oui |
RECO EDC PSC 133 | Non | Oui | Non | Oui |
RECO EDC PSC 134 | Oui | Non | Oui | Non |
RECO EDC PSC 135 | Non | Non | Non | Oui |
RECO EDC PSC 136 | Oui | Oui | Oui | Oui |
RECO EDC PSC 137 | Oui | Non | Oui | Non |