Sécurisation des échanges

» Principes généraux
» Liberté de choix des PS et des AMC
» Processus de facturation visiodroits
» Cinématique des échanges Visiodroits
» Cinématique des échanges d'administration
» Fonctionnements spécifiques
» Sécurisation des échanges


Généralités

Le niveau de sécurité à apporter dans les échanges est fonction du niveau de service :

  • Un socle commun de sécurité est apporté pour l'ensemble des échanges pour les deux niveaux de service
  • Une sécurité accrue est apportée dans la cadre du service de valorisation en ligne des prestations spécifiques.

Socle commun de sécurité

• Identification de l'émetteur de la demande

Des dispositifs d'identification de l'émetteur de la demande peuvent être mis en œuvre afin de limiter le risque d'utilisation frauduleuse du service.

• Confidentialité des données échangées

Les échanges sont véhiculés sur http version HTTP/1.1 ou versions ultérieures ; leur acheminement est assuré via le réseau public Internet, en mode HTTPS.
La sécurité des échanges entre les acteurs (Professionnel de Santé, organisme AMC, éventuellement opérateur de Tiers Payant et OCT) est garantie par l'établissement d'une liaison sécurisée TLS (Transport Layer Security) ; chacun des messages présentés dans cette norme est donc encapsulé dans une liaison chiffrée, et sécurisée par un mécanisme de chiffrement.

• Authentification des destinataires (OCT, opérateurs de tiers payant, AMC)

L'authentification du destinataire (OCT, opérateur de tiers payant et AMC) est assurée par le protocole https et son certificat dans le socle de base.

• Intégrité des données échangées

L'intégrité des messages SOAP (minimum version 1.2 et autant que possible à la dernière version) échangés est assurée par le protocole TLS et versions ultérieures, qui garantit que le message envoyé ou reçu n'a subi aucune modification au cours de son transfert (les informations ne peuvent être ni modifiées, ni corrompues durant leur transfert, que ce soit délibérément ou autrement, sans être détectées).

Sécurité pour le service de valorisation en ligne des prestations

• Authentification du professionnel de santé

Le certificat client utilisé est celui délivré par le GIP-CPS à chaque Professionnel de Santé ; il est unique pour chaque carte CPS et offre donc une solution d'authentification forte.

Ce certificat est utilisé pour initier la connexion vers le destinataire final de l'échange via l'OCT et l'opérateur de tiers-payant éventuellement. Un accès au lecteur de carte CPS est nécessaire pour la création de cette connexion :

  • La validité du certificat client est contrôlée par le destinataire en utilisant le certificat racine de l'ASIP Santé
  • Le contrôle de non-révocation de la carte CPS correspondante est également réalisé à partir du fichier CRL publié par l'ASIP Santé.

La mise en place de cette connexion étant un processus couteux en temps de réponse (utilisation du lecteur de carte), l'objectif est de réutiliser cette connexion le plus longtemps possible afin d'éviter la réinitialisation du canal TLS.

• Authentification serveur

Le certificat serveur est délivré par une autorité de certification du monde internet et est utilisé pour l'authentification de l'OCT et de l'opérateur de tiers-payant.

La chaîne de certification de l'autorité de certification est à stocker dans le magasin de certificats de l'OCT ; il permet au destinataire de s'assurer que le serveur invoqué est bien celui demandé.

• Confidentialité des données échangées

Les informations échangées sont de deux types :

  • Les premières, concernant l'identifiant du patient et l'étendue de ses droits, sont considérées comme non sensibles
  • Les secondes, touchant le détail de chacune des délivrances effectuées et circonscrites aux prestations spécifiques identifiées lors du premier échange, peuvent potentiellement correspondre à des données affinées ; elles sont traitées, selon les recommandations du rapport Babusiaux, dans le respect de l'anonymat du patient, et sont donc acheminées indépendamment de celles permettant d'identifier ce dernier. Le sujet de l'accord express du patient est hors du champ des préoccupations de cette norme.

Pour assurer à ce dispositif un haut niveau de sécurité, chacun des échanges décrit dans cette norme ne comporte des informations que d'un seul type ; ainsi :

  • Les données d'identification patient sont contenues dans le seul échange " Demande / Fournit les droits " ; la réponse produite permet de délivrer un numéro de dossier indispensable pour solliciter un service de tarification " DLD - Tar "
  • Les données affinées, reflet de la délivrance de l'officine sur le périmètre des prestations spécifiques, sont échangées sans identifiant du patient, et avec le seul numéro de dossier produit en fin de l'échange " Fournit les droits "
  • L'appariement des données d'identification du patient et de ses garanties avec celles reflet des produits délivrés ne peut être assuré que par un tiers de confiance.

Les données sensibles des échanges liés à la tarification pourront être chiffrées sur le poste de l'officine. Dans cette hypothèse, le chiffrement des données affinées sera réalisé via la clé publique associée au tiers de confiance ; cette dernière pourra seule assurer leur déchiffrement via sa clé privée.