Innledning
Nedenfor følger alle identifiserte sikkerhetskrav for e-reseptløsningen. Kravene dekker både funksjonelle og ikke-funksjonelle aspekter av informasjonssikkerheten, og utgjør det normative grunnlaget for sikkerhet i utvikling, drift og forvaltning av e-resept.
- De funksjonelle sikkerhetskravene beskriver konkrete mekanismer, prosesser og kontroller som skal være implementert for å ivareta konfidensialitet, integritet, tilgjengelighet og sporbarhet.
- De ikke-funksjonelle sikkerhetskravene angir kvalitets- og styringsmessige egenskaper som systemet, prosessene og aktørene skal oppfylle — herunder krav til robusthet, etterlevelse, vedlikehold, logging, revisjon, dokumentasjon og organisatoriske tiltak.
Kravene er formulert slik at de kan verifiseres, etterprøves og spores til både arkitektur og implementasjon.
Forklaring til tabellene
Implisitte / Eksplisitte sikkerhetskrav:
- Eksplisitte sikkerhetskrav: krav som er tydelig definert, skrevet ned og formalisert. De er direkte uttalt og dokumentert i kontrakter, lovverk, eller kravspesifikasjoner.
- Implisitte sikkerhetskrav: krav som ikke er skrevet ned i detalj, men som likevel er forventet eller nødvendig for at systemet skal anses som sikkert og robust. De stammer ofte fra beste praksis og generell akseptabel risiko.
Funksjonelle / Ikke-funksjonelle sikkerhetskrav:
- Funksjonelle sikkerhetskrav (Sikkerhetsfunksjoner): beskriver konkrete mekanismer, prosesser og kontroller som skal være implementert for å ivareta konfidensialitet, integritet, tilgjengelighet, autorisasjon og sporbarhet.
- .Ikke-funksjonelle sikkerhetskrav (Sikkerhetsattributter): angir kvalitets- og styringsmessige egenskaper som systemet, prosessene og aktørene skal oppfylle — herunder krav til robusthet, etterlevelse, vedlikehold, logging, revisjon, dokumentasjon og organisatoriske tiltak.
Forkortelser for understøttende sikkerhetsaspekter (KITAS):
- K: Konfidensialitet - å sikre at informasjon kun er tilgjengelig for de som er autorisert til å se den. Dette betyr å beskytte sensitiv data mot uautorisert innsyn, enten det er under lagring, behandling eller overføring.
- I: Integritet - å sikre at informasjonen er korrekt, fullstendig og uendret – altså at den ikke har blitt manipulert av uautoriserte parter eller systemfeil. Det handler om tillit til dataens pålitelighet.
- T: Tilgjengelighet - å sikre at autoriserte brukere har tilgang til informasjon og systemer når de trenger det. Dette betyr at systemene må fungere som forventet og være motstandsdyktige mot avbrudd.
- A: Autorisasjon - prosessen som bestemmer hva en autentisert bruker har lov til å gjøre (hvilke ressurser de kan få tilgang til, og hvilke operasjoner de kan utføre) i et system. Det kommer etter autentisering (bekreftelse av identitet).
- S: Sporbarhet - å kunne identifisere hvem som har gjort hva, når og hvor i et system. Dette er avgjørende for feilsøking, sikkerhetsanalyse og etterlevelse av regelverk.
Sikkerhetskrav i e-resept
Nedenfor følger en systematisk sammenstilling av alle identifiserte sikkerhetskrav fra e-resept-dokumentasjonen på Atlassian-wikien, med hovedvekt på Sikkerhetsarkitektur og tilhørende underdokumenter.
Kravene er gruppert etter ni hovedkategorier som dekker de sentrale områdene innen informasjonssikkerhet: autentisering, autorisasjon, konfidensialitet, integritet, sporbarhet, tilgjengelighet, nettverkssikkerhet, bruk av WS-Security og øvrige organisatoriske krav.
Hvert krav er angitt med en kort tittel, aktør (hvem det gjelder for), en presis beskrivelse av kravets innhold og attributtene til kravet.
Tabellene danner til sammen et komplett referansegrunnlag for videre kravsporing, samsvarsvurdering og implementasjonskontroll mot både tekniske og organisatoriske sikkerhetskrav i e-resept-løsningen.
A - Autentisering (identitetskontroll)
Autentisering i e-resept benytter PKI (personlige og virksomhetssertifikater), HelseID og ID-porten (for nettapotek). Den arkitektoniske tilnærmingen krever at autentiseringen flyttes fra transportlaget (WS-Security) og inn i tjenesten for å sikre kryptografisk verifiserbar identitet.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) |
Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| A-101 | Personlig signatur/HelseID for resept | Rekvirent | En elektronisk resept skal autentiseres med elektronisk signatur fra rekvirenten. Rekvirenten skal signere meldingen med sitt personlige elektroniske sertifikat (nivå "Person-Høyt"), eller alternativt via identitetsbevis fra et godkjent system (HelseID) kombinert med virksomhetssertifikat. Dette knytter meldingen sikkert til avsenderens identitet. | Eksplisitt | Funksjonell | I, A, S | |
| A-102 | HelseID Token for rekvirent | Rekvirent | Dersom rekvirenten benytter HelseID-løsningen, skal et HelseID access token benyttes som identitetsbevis i reseptmeldingen. Tokenet skal inneholde rekvirentens fødselsnummer (pid), sikkerhetsnivå 4 og høy assuransescore. | Eksplisitt | Funksjonell | A, S | |
| A-103 | Validering mot HPR | RF | Fødselsnummeret som hentes fra rekvirentens sertifikat/token skal kontrolleres mot HPR-registeret, og HPR-nummeret i reseptmeldingen skal samsvare med HPR-nummeret i HPR. | Eksplisitt | Funksjonell | A, S | |
| A-104 | Autentisering av nettkunde (ID-porten) | Nettkunde, Nettutleverer | En nettkunde (pasient) som bestiller reseptvarer via nettapotek, må autentisere seg gjennom ID-porten på høyeste sikkerhetsnivå (nivå 4) (elD nivå høyt / idporten-loa-high). | Eksplisitt | Funksjonell | A, K | |
| A-105 | Validering av ID-porten OIDC token | RF | Reseptformidleren skal verifisere kundens autentisering ved å validere det medfølgende ID-porten OIDC-tokenet (sjekke iss, exp, signatur og aud/Reseptformidleren). | Eksplisitt | Funksjonell | I, A | |
| A-106 | Bevisst signeringshandling | Rekvirent | Elektronisk signering av resept skal være en bevisst handling fra rekvirenten. Løsningen skal utformes slik at brukeren forstår hva som signeres og aktivt bekrefter signeringen. | Eksplisitt | Funksjonell | I, S | |
| A-107 | Forsterket brukerverifisering ved HelseID | Rekvirent (EPJ) | Når rekvirenten signerer via HelseID (uten personlig smartkort-PIN), anbefales PIN-kode eller tilsvarende mekanisme for kritiske meldinger (M1, M5, M25.1, M27.1). | Implisitt | Ikke-funksjonell | A, I | |
| A-108 | Implementering av Oauth2/OIDC | Nettkunde, Nettutleverer | Systemet skal benytte OAuth 2.0 / OpenID Connect som autentiseringsmekanisme ved pålogging, og implementasjonen skal følge ID-portens tekniske dokumentasjon. | Eksplisitt | Funksjonell | A, K | |
| A-109 | Global utlogging fra nettapotek | Nettutleverer | Ved utlogging fra nettapotekets eller nettbandasjistens løsning skal kunden samtidig logges ut fra ID-porten (global utlogging), slik at en aktiv ID-porten-økt avsluttes. | Eksplisitt | Funksjonell | K, A | |
| A-110 | Autentisering utenfor WS-Security | Alle | Tjenesten skal ikke benytte autentisering på WS-Security-laget (ingen brukernavn/passord, X.509-sertifikatautentisering på transportnivå eller SAML-autentisering). Autentisering skal utføres inne i tjenesten ved at meldingen signeres med et personlig sertifikat, som benyttes til å bekrefte avsenders identitet. | Eksplisitt | Funksjonell | A, I |
B - Autorisasjon og tilgangsstyring
Autorisasjon er styrt av HPR som autoritativ kilde, og sikrer at autentisert personell kun utfører handlinger de har legal rett til, samtidig som det regulerer innsyn i sensitive data.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) | Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| B-101 | Autoritativ kilde HPR | RF, Rekvirent | Helsepersonellregisteret (HPR) skal benyttes som autoritativ kilde for å avgjøre rekvirentens autorisasjon og rekvireringsrett i e-reseptkjeden. | Eksplisitt | Ikke-funksjonell | A | |
| B-102 | Kontroll av rekvireringsrett (RF) | RF | Reseptformidleren skal kontrollere at rekvirenten har nødvendig og gyldig autorisasjon og rekvireringsrett for det aktuelle legemidlet. Hvis HPR-opplysninger indikerer manglende rett, skal resepten avvises. | Eksplisitt | Funksjonell | A, I | |
| B-103 | Tilgangsbegrensning til opplysninger | RF | RF skal kun utlevere resept- og legemiddelopplysninger som svar på forespørsler fra definerte, autoriserte aktører: Rekvirent, Utleverer, DMP, Kjernejournal og Pasient. | Eksplisitt | Funksjonell | A, K | |
| B-104 | Lokal tilgangsstyring og brukerlogging | Utleverer, DMP | Hver aktørs fagsystem må ha tilgangskontrollrutiner som forhindrer uvedkommende tilgang, og implementere mekanismer som entydig knytter forespørselen til en innlogget bruker og logger handlingen. | Eksplisitt | Funksjonell | A, K, S | |
| B-105 | Kontroll av konsesjon (AKO/ENH) | RF, Utleverer | RF skal kontrollere at avsender (Utleverer) er et gyldig apotek (via konsesjonsnummer/AKO) eller godkjent bandasjist (via organisasjonsnummer/ENH) før melding behandles. | Eksplisitt | Funksjonell | A, S | |
| B-106 | Tilgang til "Låste" resepter | RF, Utleverer | RF skal nekte utlevering av en låst resept dersom utlevereren ikke angir pasientens korrekte referansenummer i forespørselen. | Eksplisitt | Funksjonell | A, K | |
| B-107 | Personlig signatur på resept-forespørsler | Rekvirent | Rekvirenten skal benytte personlig signatur ved alle forespørsler om utlevering av informasjon fra Reseptformidleren (Unntak: M9.21 Hent endrede multidosepasienter). | Eksplisitt | Funksjonell | A, S | |
| B-108 | Tilgang med spesifikt søkegrunnlag | Utleverer | Utlevering til utleverer skal skje etter spesifikk forespørsel på pasienten, basert på: fødselsnummer, navn/fødselsdato, referansenummer eller fonetisk søk. | Eksplisitt | Funksjonell | A, K | |
| B-109 | Tilgang for DMP | DMP | DMP skal sørge for at kun autentiserte og autoriserte brukere med tjenstlig behov får tilgang til opplysninger om unntak fra markedsføringstillatelse. | Eksplisitt | Funksjonell | A, K | |
| B-110 | Tilgang for teknisk personell | RF | Tilgang for teknisk personell skal reguleres gjennom databehandlingsavtaler. Tilgangen skal være begrenset, sporbar, tidsavgrenset, og tildelt etter prinsippet om minste privilegium. | Eksplisitt | Ikke-funksjonell | A, S |
C - Konfidensialitet og kryptering
Kravet til konfidensialitet sikres primært på meldingsnivå.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) |
Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| C-101 | Ende-til-ende kryptering av meldinger | Alle | All kommunikasjon av e-reseptmeldinger skal være ende-til-ende kryptert slik at kun tiltenkt mottaker kan lese innholdet, ved bruk av mottakerens offentlige nøkkel (virksomhetssertifikat). | Eksplisitt | Funksjonell | K, I | |
| C-102 | Minimum krypteringsalgoritme-styrke | Alle | Meldingskryptering og nøkkelekryptering skal benytte algoritmer og parameterverdier som er definert som godkjente i tabellen "Godkjente kryptografiske algoritmer og parametere". | Eksplisitt | Ikke-funksjonell | K | |
| C-103 | Ingen transportkryptering på Helsenett | Alle | Det benyttes ikke TLS/HTTPS på transportlaget for webservice-kall over Norsk Helsenett. Konfidensialitet ivaretas utelukkende av meldingskrypteringen på applikasjonslaget (WS-Security). | Eksplisitt | Ikke-funksjonell | K, I | |
| C-104 | Kryptering av asynkrone forsendelser | Alle (ved ebXML-transport) | For asynkrone meldingsforsendelser (ebXML) skal hele forsendelsen krypteres av avsender med mottakerens virksomhetssertifikat, med nøkkelbruk Data Encipherment. | Eksplisitt | Funksjonell | K | |
| C-105 | Beskyttelse av private nøkler | Alle | Private nøkler til hvert sertifikat må holdes konfidensielle og sikres mot uautorisert tilgang. | Eksplisitt | Ikke-funksjonell | K, I | |
| C-106 | Kryptering innenfor sikker sone | Alle | Kryptering og dekryptering av e-reseptmeldinger skal utføres innenfor en sikker sone i partenes infrastruktur, avsondret fra usikre nettverkssoner. | Eksplisitt | Ikke-funksjonell | K |
D - Integritet og signering
Integritetskravene fokuserer på uavviselighet (non-repudiation) og langsiktig bevaring av signaturens gyldighet. Reseptformidleren genererer et Signaturkontrollobjekt (SKO) for å dokumentere alle sikkerhetskontroller.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) |
Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| D-101 | Personlig signatur på resepter | Rekvirent | Alle elektroniske resepter skal være digitalt signert av autorisert helsepersonell med personlig sertifikat på høyt sikkerhetsnivå (eller HelseID + virksomhetssertifikat). | Eksplisitt | Funksjonell | I, A, S | |
| D-102 | Signaturkrav per meldingstype | Rekvirent, Utleverer | Personlig signatur (rekvirent) kreves for: M1, M5, M9.5/M9.7/M9.11, M25.1, M27.1. Kun virksomhetssignatur for meldinger som ikke involverer personlig handling. | Eksplisitt | Funksjonell | I, A | |
| D-103 | Minimum Hash-algoritme | Alle | Signering skal benytte hash-algoritmer som er definert som godkjente i tabellen "Godkjente kryptografiske algoritmer og parametere" for beregning av meldingsdigest. | Eksplisitt | Ikke-funksjonell | I | |
| D-104 | Kontroll av signeringstidspunkt | RF | Reseptformidleren skal kontrollere at tidspunktet en resept er signert (forskrivningsdato) ikke avviker urimelig (innenfor ±2 timer) fra RFs mottakstidspunkt. Avvik over grensene skal avvises. | Eksplisitt | Funksjonell | I, S | |
| D-105 | Signaturkontrollobjekt (SKO) | RF, Utleverer, Helfo | RF benytter et Signaturkontrollobjekt (SKO) for å lagre nødvendige valideringsdata som dokumenterer utførte sikkerhetskontroller (signatur, sertifikat, tidsstempel, HPR-sjekk m.m.). SKO skal følge resepten i alle ledd (unntatt M9.6). | Eksplisitt | Ikke-funksjonell | I, S, T | |
| D-106 | Signering av forsendelse (transport) | Alle | Alle meldingsforsendelser skal signeres på transportnivå med avsenders virksomhetssertifikat. For ebXML (asynkron) kreves nøkkelbruk "ContentCommitment". | Eksplisitt | Funksjonell | I, A | |
| D-107 | Sertifikatvalidering/sperrelister | RF | RF skal kontrollere sertifikatets gyldighet (CRL/OCSP). RF har failsafe-mulighet til å manuelt sperre kompromitterte sertifikater/aktører i systemet ved behov. | Eksplisitt | Funksjonell | I, A, T | |
| D-108 | Bruk av FEST og strukturert data | Rekvirent, Utleverer | Alle aktører skal benytte FEST (Forskrivnings- og ekspedisjonsstøtte) som felles datagrunnlag for å sikre faglig kvalitet. | Eksplisitt | Funksjonell | I | |
| D-109 | Uforanderlig Resept-ID | Rekvirent | ReseptID skal IKKE endres ved resending av melding for å opprettholde entydighet og sporbarhet i reseptflyten. | Eksplisitt | Funksjonell | I, S |
E - Sporbarhet og logging
Sporbarhet er et eksplisitt arkitekturprinsipp i e-resept, sikret gjennom logging av brukeridentitet og SKO.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) |
Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| E-101 | Sporbarhet via tre mekanismer | Alle | Sporbarhet skal sikres med en kombinasjon av tre mekanismer: Logging, Opprettelse av SKO og Lagring av dokumenter, for å muliggjøre full rekonstruksjon av hendelsesforløpet. | Eksplisitt | Ikke-funksjonell | S, I | |
| E-102 | Generell meldingslogging (Minimum) | Alle | Alle aktører skal logge alle inn- og utgående meldinger. Minimum skal Meldings-ID, Meldingspart og Tidspunkt loggføres. Loggdata skal beskyttes mot uautorisert endring. | Eksplisitt | Funksjonell | S, I | |
| E-103 | Individuell brukeridentitet i Logg | R, Utleverer (system) | Det skal loggføres hvilken individuell bruker som initierer kritiske oppslag og meldinger (M9.1, M9.3, M9.11, M10 m.fl.) for å muliggjøre ansvarssporing ved misbruk. | Eksplisitt | Funksjonell | S, A | |
| E-104 | Logging av admin/uautorisert bruk | Alle (systemeiere) | Alle autoriserte administrative operasjoner, samt forsøk på uautorisert bruk (mislykkede innloggingsforsøk/tilgangsforsøk), skal fanges opp og loggføres. | Eksplisitt | Funksjonell | S, A, I | |
| E-105 | Innsyn i logg for pasient | RF, Pasient | Pasienten skal ha mulighet til å se hvem som har gjort oppslag i vedkommendes resepter (via helsenorge.no), noe som forutsetter at nødvendig data logges ved hvert oppslag. | Eksplisitt | Funksjonell | S, K, A | |
| E-106 | Opprettelse av SKO | RF | RF skal generere et Signaturkontrollobjekt (SKO) for alle innkomne resepter, som dokumenterer utførte sikkerhetskontroller (signatur, sertifikat, HPR-sjekk m.m.) og bidrar til sporbarhet. | Eksplisitt | Funksjonell | S, I | |
| E-107 | Oppfølging av urettmessig utlevering | RF | RF skal generere en analyselogg som registrerer tilfeller der reseptopplysninger utleveres til apotek/bandasjist uten at det knyttes til en reell legemiddelutlevering, og disse hendelsene skal følges opp av dataansvarlig. | Eksplisitt | Funksjonell | S, A, I |
F - Tilgjengelighet og robusthet
Tilgjengelighet (99.99 % oppetid) er et kritisk krav, sikret gjennom redundans og robuste rutiner for håndtering av eksterne avhengigheter.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) |
Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| F-101 | Høy oppetid for RF | RF | Reseptformidleren skal drives med et oppetidskrav på 99.99 % målt på månedsbasis, drevet fullt redundant. | Eksplisitt | Ikke-funksjonell | T | |
| F-102 | Tilgjengelighet i Helsenettet | NHN | Norsk Helsenett er pålagt å operere med 99.99 % tilgjengelighet på sine sentrale løsninger. | Eksplisitt | Ikke-funksjonell | T | |
| F-103 | Presis klokkesynkronisering RF | RF | RFs systemklokke skal kontinuerlig synkroniseres slik at den aldri avviker mer enn ±1 sekund fra et autoritativt tidssignal (NTP). | Eksplisitt | Ikke-funksjonell | I, S | |
| F-104 | Synkronisering for alle aktører | Alle | For å forhindre feil, manipulasjon eller inkonsistens i tidsstempler, bør alle aktører (Rekvirenter, Utleverere, systemleverandører) synkronisere sine systemklokker mot autoritativ NTP-kilde med maks ±1 sekund avvik. | Eksplisitt | Ikke-funksjonell | I, S | |
| F-105 | Robusthet: Caching av CA-data | RF | Akseptert at resultat av OCSP-oppslag kan caches i RF i inntil 24 timer. Gammel CRL kan brukes i maksimalt 12 timer etter at ny CRL skulle vært mottatt. | Eksplisitt | Funksjonell | T, I | |
| F-106 | Testregime og godkjenning | Alle | Før et fagsystem kan tas i bruk i produksjonsmiljøet, må det gjennomgå e-reseptkjedens testregime og formell godkjenning fra NHN. | Eksplisitt | Ikke-funksjonell | T, I | |
| F-107 | Robusthet mot avhengige systemer | RF | Tilsvarende krav om redundans og robuste rutiner (som ved CA-nedetid) skal gjelde for integrasjoner mot alle avhengige eksterne systemer (f.eks. NAV). | Eksplisitt | Ikke-funksjonell | T |
G - Nettverkssikkerhet og kommunikasjon
Nettverkssikkerheten er sterkt basert på bruk av det lukkede Norsk Helsenett, med krav til DNS-basert adressering og segregering av endepunkter.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) |
Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| G-101 | Lukket nettverk for Produksjon | Rekvirent, Utleverer, RF | Produksjonsmiljøet for Reseptformidleren skal kun være tilgjengelig over Norsk Helsenett (NHN). Det er ikke tillatt med direkte kommunikasjon over Internett mot RF. | Eksplisitt | Ikke-funksjonell | K, T | |
| G-102 | Ikke-kryptert transport på lukket nett | Alle | Webservice-kall kjøres over Helsenettet uten TLS (HTTP), da sikkerheten ivaretas av meldingskrypteringen og nettverket er betrodd. | Eksplisitt | Ikke-funksjonell | K, I | |
| G-103 | Soneinndeling Nettutleverer | Nettutleverer | Nettutleverers løsning skal ha en tydelig delt løsning (portal/ekstern sone, system/sikker sone). Portalen skal ikke kommunisere direkte med Reseptformidleren. | Eksplisitt | Ikke-funksjonell | K, A | |
| G-104 | Adressetjenester i NHN | Alle | Alle aktører skal via Norsk Helsenett ha tilgang til nødvendige katalogtjenester for adressering og sertifikathåndtering (AR, CRL, HPR). | Eksplisitt | Funksjonell | T, I, A | |
| G-105 | Tilgang til Testmiljø over Internett | Alle | Testmiljøene kan gjøres tilgjengelige over Internett, men asynkron meldingshåndtering skal ikke være tilgjengelig. Testmiljøer skal være isolert fra produksjon. | Eksplisitt | Ikke-funksjonell | K, T | |
| G-106 | Brannmur-åpninger | Alle | Kommunikasjon med RF er avhengig av eksplisitt definerte brannmuråpninger. Trafikk til Helsenettpublisering skal begrenses til 83.118.132.0/22. | Eksplisitt | Funksjonell | K, A | |
| G-107 | DNS og adressering | Alle | Kommunikasjon mot RF skal alltid skje basert på DNS-navn (ikke statiske IP-adresser). Offentlige sertifikater for RF skal hentes fra autoriserte kilder (Adresseregisteret/Buypass). | Eksplisitt | Ikke-funksjonell | T, I | |
| G-108 | Segregering av endepunkter | RF | RF skal tilby dedikerte tjenesteendepunkter for hver aktørtype, og tilgangskontroll skal sikre at aktører ikke kan sende eller motta meldinger via endepunkter som tilhører andre aktørtyper. | Eksplisitt | Funksjonell | A, K, I |
H - Bruk av WS-Security
WS-Security er den tekniske standarden for meldingssikkerhet, selv om nyere standarder som JWE/JWS åpnes for i nye integrasjoner.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) |
Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| H-101 | Generelt krav til WS-Security | Alle | E-resept benytter WS-Security for ende-til-ende meldingssikkerhet. Det benyttes samme sikkerhetskonfigurasjon på portnivå for rekvirent og utleverer, og konfigurasjonen differensieres ikke på metodenivå. | Eksplisitt | Funksjonell | K, I | |
| H-102 | Ingen separat Autentiserings-Token | Alle | Webservice-kallene benytter ikke dedikerte WS-Security tokens for autentisering. Autentisering skjer inne i tjenesten basert på det vedlagte sertifikatet brukt til signering av meldingen. | Eksplisitt | Ikke-funksjonell | A, I | |
| H-103 | Meldingssignering | Alle | Alle utgående meldinger skal digitalt signeres i SOAP-header ved bruk av WS-Security, med signeringsalgoritme definert som godkjent i tabellen "Godkjente kryptografiske algoritmer og parametere". | Eksplisitt | Funksjonell | I, A | |
| H-104 | Meldingskryptering | Alle | Innkommende forespørsler til RF skal krypteres med RFs offentlige nøkkel ved bruk av algoritmer og parametere definert som godkjente i tabellen "Godkjente kryptografiske algoritmer og parametere". RF skal på tilsvarende måte kryptere svarmeldinger med klientens nøkkel ved bruk av godkjente kryptografiske algoritmer. |
Eksplisitt | Funksjonell | K | |
| H-105 | Sertifikatbruk Synkrone vs. Asynkrone | Alle | For asynkrone meldinger benyttes separate sertifikater for signering (ContentCommitment) og kryptering (DataEncipherment). For synkrone kall brukes typisk ett og samme virksomhetssertifikat. | Eksplisitt | Ikke-funksjonell | K, I | |
| H-106 | Støtte for JWE/JWS | Alle (nye integrasjoner) | For nye integrasjoner og der det er teknologisk hensiktsmessig, kan Json Web Encryption (JWE) og Json Web Signature (JWS) benyttes som erstatning for WS-Security. | Eksplisitt | Ikke-funksjonell | K, I |
I - Annet (Organisatoriske krav m.m.)
Denne kategorien omfatter compliance, datastyring og forvaltningskrav som er kritiske for det juridiske samsvaret i løsningen.
| Krav# | Kravtittel | Aktør | Kravtekst | Implisitt/ Eksplisitt |
Type (F/IF) |
Understøtter (K/I/T/A/S) |
Kommentarer |
|---|---|---|---|---|---|---|---|
| I-101 | Etterlevelse av Normen og lovverk | Alle | Alle aktører som deltar i e-reseptkjeden skal etterleve Norm for informasjonssikkerhet i helse- og omsorgssektoren, samt gjeldende personvernlovgivning (GDPR). | Eksplisitt | Ikke-funksjonell | K, I, T | |
| I-102 | Bruk av FEST (felles datakvalitet) | Rekvirent, Utleverer | Alle aktører skal benytte FEST (Forskrivnings- og ekspedisjonsstøtte) som felles datagrunnlag for legemiddelinformasjon. | Eksplisitt | Funksjonell | I | |
| I-103 | Bruksvilkår og oppdatering | Rekvirent, Utleverer (Virksomhet) | Virksomheter plikter å benytte et fagsystem som oppfyller de til enhver tid gjeldende tekniske og funksjonelle kravene for e-resept, og holde sine systemer oppdatert. | Eksplisitt | Ikke-funksjonell | T, I | |
| I-104 | Dokumentasjonsplikt og arkivering | Alle | Alle parter har ansvar for å overholde lover og forskrifter om dokumentasjonsplikt og arkivering (f.eks. Helsepersonelloven, Pasientjournalloven) og lagre loggdata i henhold til kravene. | Eksplisitt | Ikke-funksjonell | S, I, K | |
| I-105 | Godkjenningsprosess før produksjon | Alle (nye integrasjoner) | Før en ny aktør får tilgang til produksjonsmiljøet, skal aktøren gjennom en formell godkjenningsprosess administrert av Norsk Helsenett. | Eksplisitt | Ikke-funksjonell | T, I | |
| I-106 | Endringshåndtering av krav | Alle | Kravene for e-reseptløsningen revideres jevnlig. Leverandører skal overvåke oppdateringer og sikre implementering av nye eller reviderte krav innen fastsatte frister. | Eksplisitt | Ikke-funksjonell | I, T |
Tabell - Godkjente kryptografiske algoritmer og parametere
Tabellen nedenfor oppsummerer all bruk av kryptografiske algoritmer i e-reseptsystemet, basert på dokumentasjonen. Tabellen inkluderer formål (f.eks. kryptering, signering, nøkkelutveksling), hvilke algoritmer som kreves eller aksepteres, og eventuelle tekniske krav.
| Formål | Kryptoalgoritme(r) | Krav / Akseptert bruk |
|---|---|---|
| Symmetrisk kryptering | AES-256 Rekvirent1, Rekvirent2, utleverer: (AES-256-GCM & AES-256-CBC) Asynk/ebxml utgående: 3DES-CBC |
Kryptering skal minst benytte AES-256, men partene må være i stand til å håndtere meldinger med nyere og sterke algoritmer. Bestilling av reseptbelagte varer på Internett: Kryptering skal minst benytte RSA-OAEP eller RSA-OAEP-MGF1P og AES-256. Det kreves at meldingene (Message Body) er kryptert med RF sitt offentlige sertifikat, algoritmene som aksepteres er: AES-256. På responsen krypteres meldingen med sertifikatet som er lagt med requesten, algoritmen som blir brukt er AES-256. Denne algoritmen er også den prefererte algoritme for kryptering av inngående meldinger. |
| Asymmetrisk kryptering | RSAES-OAEP | Alle ebXML-meldinger krypteres med bruk av offentlig nøkkel til mottaker. Det er virksomhetssertifikatet som benyttes til dette og sertifikatet følger med i ebXML-konvolutten. Selve payloaden som inneholder hodemelding og fagmelding er kryptert og signert med virksomhetssertifikatet. |
| Digital signering | RSA-SHA256, SHA-256 Rekvirent1, Rekvirent2, Utleverer: (RSA-SHA256, RSA-SHA384, RSA-SH512) |
Signering skal minst benytte SHA256 som hash-algoritme. Det kreves at meldingene (Message Body) er signert med virksomhetens sertifikat, algoritmene som aksepteres er: RSA-SHA256. På responsen signeres meldingen med Reseptformidlerens private nøkkel, algoritmen som blir brukt er RSA-SHA256. Denne algoritmen er også den prefererte algoritme for virksomhets signering av inngående meldinger. |
| Signering av personlige resepter | RSA-SHA256, SHA-256 | Rekvirentens personlige signatur skal bruke RSA-SHA256 eller tilsvarende; alternativt med identitetsbevis hvis godkjent. |
| Kryptering av Web Services-meldinger (WS-Security) | AES-256, RSA-OAEP | AES-256 for innholdskryptering; RSA-OAEP for nøkkelinnpakking. Gjelder for meldinger til/fra Reseptformidleren. |
| Signering av Web Services-meldinger (WS-Security) | RSA-SHA256 | Alle meldinger skal signeres med virksomhetssertifikat. SHA-256 brukes som hash-funksjon. |
| Signaturkontroll (SKO) | SHA-256 | Kontrollobjekt verifiserer signaturer, som må være på minst SHA-256-nivå. |
| Sertifikatvalidering (CRL/OCSP) | Ikke eksplisitt oppgitt alg. | Validering skjer via CRL og OCSP. Algoritmene følger Buypass CA-standarder (typisk RSA + SHA-256). |
| Nøkkelutveksling (ebXML) | RSAES-OAEP | Kryptering av ebXML-meldinger krever RSA-OAEP for sikker nøkkeltransport. |
| Transportkryptering (TLS/HTTPS) | Ikke brukt i produksjon | Reseptformidleren bruker ikke TLS/HTTPS over Helsenett; meldingssikkerhet ivaretas på applikasjonsnivå med WS-Security og XML-kryptering/signering. |
| Tidsstempling / integritet (klokkesynkronisering) | SHA-256 (implisitt ved signatur) | Tidspunkt for signering verifiseres; meldinger må være tidsstemplet innen ±2 timer. Signert tidspunkt sjekkes mot mottakstid. |