Gäller för Release 16.1Säkerhetskrav på extern part som ansluter till E-hälsomyndighetens tjänster
Dokumentet beskriver E-hälsomyndighetens säkerhetskrav på aktörer som ansluter sig till E-hälsomyndighetens tjänstegränssnitt.
1. Inledning
Detta dokument beskriver E-hälsomyndighetens säkerhetskrav på aktörer som ansluter sig till E-hälsomyndighetens tjänstegränssnitt.
2. Allmän information
E-hälsomyndigheten har för avsikt att anpassa sin säkerhetsarkitektur och därmed åtkomst till erbjudna tjänster i enlighet med de krav och regler som E-legitimationsnämnden specificerar inom ramen för Infrastrukturen för Svensk e-legitimation.
Struktur och innehåll som säkerhetsheadern måste ha för att ett anrop ska kunna accepteras av de tjänster som tillhandahålls av E-hälsomyndigheten specificeras i bilagan Säkerhetsheader.
Säkerhetskrav för mobila lösningar specificeras i bilagan Säkerhetskrav på extern part för enskild individs direktåtkomst till E-hälsomyndighetens register.
3. Regulatoriska krav
Krav S1: Aktör som ansluter till och utnyttjar E-hälsomyndighetens tjänster ska känna till och leva upp till gällande regulatoriska krav som tjänsterna omfattas av. Aktören ska ha nödvändiga processer, metoder och verktyg på plats som garanterar detta.
Exempel på lagar som gäller för E-hälsomyndigheten och de register och tjänster som tillhandahålls:
- Lag (1996:1156) om receptregister
- Lag (2005:258) om läkemedelsförteckning
- Dataskyddsförordningen
(General Data Protection Regulations)
- Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning
Notera: För apoteks- och vårdaktörer gäller även andra lagar, till exempel apoteksdatalagen och patientdatalagen
Krav S2: Aktörer som ansluter till och använder E-hälsomyndighetens tjänster ska följa relevanta tillsynsmyndigheters råd och föreskrifter.
4. Säkerhetskrav
4.1 Anslutning via tjänstegränssnitt
Krav S3: Aktörerna skall ansluta sig till E-hälsomyndighetens tjänster via de tjänstegränssnitt som E-hälsomyndigheten tillhandahåller och enligt de gällande regler som E-hälsomyndigheten specificerar.
4.2 Skydd mot skadlig kod
Krav S4: Aktören ska se till att endast datatrafik ämnad för E-hälsomyndigheten (behörig datatrafik) kommuniceras över Sjunet, Internet eller annan Partnerförbindelse till E-hälsomyndighetens system. Aktören ska se till att skydd mot skadligt intrång och skadlig kod är implementerat.
4.3 Autentisering och auktorisation
Aktören ska säkerställa att medarbetare är både identifierade och har korrekt behörighet vid utnyttjande av E-hälsomyndighetens tjänster.
Krav S5: Minst tvåfaktorsautentisering ska användas vid åtkomst till känslig information, till exempel personuppgifter*.
Krav S6: Endast unika och personliga användaridentiteter får användas.
Det inte är tillåtet att en person loggar in med exempelvis olika gruppkonton eller andra gemensamma roller/identiteter.
*Information: Grunden för vilken autentiseringsmetod som tillämpas när en användare legitimerar sig är den tillitsnivå som tjänsten kräver. För åtkomst till information där det går att se substansiella konsekvenser vid en felaktig identifiering, till exempel i fallet med åtkomst till personuppgifter, har E-hälsomyndigheten för avsikt att anpassa sig till kraven för tillitsnivå 3 (AL3). Se vidare kommande standard ISO 29115 samt Kantara IAF "Initiative Identity Assurance Framework"
4.4 Spårbarhet
Krav S7: Ska implementeras i enlighet med lagkrav på loggning för stickprovskontroll.
I händelse misstanke om obehörig åtkomst, till exempel vid en incident eller i samband med E-hälsomyndighetens stickprovskontroll, ska aktör kunna avgöra om åtkomsten varit befogad eller ej.
4.5 Kryptering av informationsväxling
Krav S8: Information med känsligt innehåll (exempelvis personuppgifter) som via någon form av elektroniskt medium kommuniceras med E-hälsomyndigheten, ska krypteras, antingen symmetriskt eller asymmetriskt.
Val och införande av krypteringsmetod ska ske i samråd med E-hälsomyndigheten.
Rekommendation:
Symmetrisk kryptering: Minst 128 bitars nyckelängd.
Asymmetrisk kryptering: Minst 2048 bitars nyckellängd.
Versionshistorik
1.0 |
- |
- |
2.0 |
2009-09-30 |
Uppdaterad |
3.0 |
2011-03-08 |
Granskad av Manne Andersson , Gunnel Bridell, Maria Wettermark och ext-Patrik Thörnblad och ext- Conny Balazs |
4.0 |
2013-09-27 |
Kapitel 2, lagt till hänvisningar till bilaga Säkerhetsheader och bilaga Säkerhetskrav på extern part för enskild individs direktåtkomst till Apotekens Service AB:s register.
S2, generaliserat formuleringen i kravet. |
5.0 |
2014-02-20 |
Anpassning till eHälsomyndigheten. Dokumentet ersätter Säkerhetskrav på extern part som ansluter till Apotekens Service AB:s IT-tjänster 4.0. |
| 6.0 |
2017-10-12 |
Uppdaterat S5 till gällande bestämmelser |
| 7.0 |
2017-10-19 |
Redigerat krav S5 |
| 8.0 |
|
S1. Personuppgiftslagen har ersatts av GDPR och kompletterande bestämmelser |
| 9.0 |
2019-06-28 |
Kap 4.5 Rättelse av nyckellängder |
