CDC 1.4 page 725 :
Afin de renforcer la confidentialité des données figurant dans les factures électroniques nécessaires au remboursement des prestations, les Professionnels de Santés peuvent télé-transmettre des flux chiffrés selon le standard S/MIME aux organismes d’assurances maladies.
CDC 1.4 page 727 : Les réseaux s’appuient sur les standards Internet décrits dans des "Request For Comments".
Le chiffrement des messages SMTP est conforme aux RFC 2630 (CMS) et 2633 (S/MIME V3).
Les certificats de clé publique des organismes destinataires sont conformes au RFC 2459 (X509 V3).
A ce titre, le poste de travail du Professionnel de Santé devra être conforme notamment avec les standards TCP/IP, ESMTP, MIME, POP3 et S/MIME.
Le mécanisme d’avis de non remise est conforme aux RFC 1891, 1893 et 1894.
Cette spécification technique est basée sur les travaux de l’IETF relatifs au transport par messagerie des flux EDI (cf. RFC 1767).
CDC 1.4 page 728 : Il est recommandé d’utiliser des outils homologués par le GIP CPS pour le chiffrement des messages SMTP au standard S/MIME.
CDC 1.4 page 59 : Chiffrement des données sensibles de la facture
SESAM-Vitale permet de chiffrer les données sensibles des factures lorsqu’elles sont véhiculées dans un flux électronique.
Conformément aux actuelles dispositions réglementaires et législatives , il est rappelé que les Organismes Complémentaires ne doivent pas avoir connaissance des informations relatives au codage (codes affinés, modificateurs signifiants pour la CCAM,...).
CDC 1.4 page 60 : En vue de renforcer la confidentialité des échanges,
il est recommandé la mise en place du chiffrement dit de transport, au sens où l’ensemble du message SMTP contenant des factures est chiffré.
L’évolution de la réglementation pourrait rendre cette fonctionnalité obligatoire. Les flux retours des organismes d’Assurance Maladie ne sont pas chiffrés.
CDC 1.4 page 135 : Le progiciel peut implémenter une solution de chiffrement des messages homologuée par le GIP-CPS pour l’envoi des factures électroniques.
Les retours reçus par le poste de travail du Professionnel de Santé ne sont pas chiffrés. Les certificats des boîtes aux lettres des organismes destinataires sont stockés sur le poste de travail du Professionnel de Santé et doivent pouvoir être mis à jour dans leur annuaire des certificats.
CDC 1.4 page 215 : Compatibilité Poste de Travail 1.40 et lecteur 1.31 en cabinet
le chiffrement et la sécurisation de la DRE
Quelle que soit la version de lecteur (1.31 ou 1.40), le progiciel doit autoriser l’élaboration d’une FSE et/ou d’une DRE avec l’un des modes de sécurisation des flux. Par contre, la sécurisation étant assurée par le lecteur, le résultat est différent selon la version du lecteur :
avec un lecteur 1.40, la FSE et la DRE sont sécurisées.
avec un lecteur 1.31, seule la FSE est sécurisée. Le progiciel est averti par une alerte en retour de la fonction « Formater Facture » que la DRE élaborée n’est pas sécurisée et est néanmoins recevable par les AMC.
le chiffrement de certaines données confidentielles dans la FSE
Le progiciel doit appeler la fonction de lecture de configuration pour connaître la version du logiciel lecteur. Si le lecteur est en version 1.31, le progiciel avertit le PS que des données confidentielles ne sont pas chiffrées dans la FSE.
CHIFFREMENT DE TRANSPORT
CDC 1.4 page 730
Le chiffrement de transport devant être utilisé possède les caractéristiques suivantes :
Le chiffrement des messages s’effectue en utilisant l’algorithme 3-DES en mode CBC (clé de session de 128 bits) ;
la clé de session est chiffrée avec la clé publique RSA du destinataire du message (clé publique de 1024 bits) ;
les clés publiques sont certifiées, les certificats sont au format X509 V3.
Chaque message est chiffré à l’aide de la clé publique de l’organisme d’assurance maladie auquel le Professionnel de Santé transmet le flux. Cette clé publique est certifiée par l’autorité de certification G.I.P. « CPS ».
A une clé publique est donc associé un certificat, qui atteste que la clé publique est bien liée à un organisme d’assurance maladie. En effet, il permet la vérification de la propriété d’une clé publique pour prévenir la contrefaçon des clés.
Les certificats des BALs des organismes d’assurances maladies sont disponibles dans l’annuaire LDAP X500 du G.I.P. « CPS ».
Une connexion à l’annuaire est nécessaire pour récupérer un nouveau certificat et l’intégrer dans l’annuaire local sur l’équipement informatique du Professionnel de santé. Les outils homologués par le GIP CPS permettent la connexion à cet annuaire. La récupération d’un certificat est nécessaire dans les cas suivants :
le Professionnel de Santé met en place la solution de chiffrement de transport des flux,
environ 15 jours avant la date de fin de validité du certificat (certificat est périmé),
le certificat est révoqué (en cas de clé privée dévoilée).
La liste de révocation des certificats est disponible dans l’annuaire du G.I.P. « CPS » : ldap ://annuaire.gip-cps.fr/o=gip-cps,c=fr
Le progiciel du Professionnel de Santé vérifie que le certificat n’est pas dans la liste de révocation avant de chiffrer les flux.
Pour trouver un certificat d’un organisme d’assurance maladie dans l’annuaire du G.I.P. « CPS », il suffit d’indiquer l’adresse e-mail de l’organisme d’assurance maladie.
Chaque certificat contient notamment l’adresse e-mail de l’organisme d’assurance maladie qui le détient (champ Subject). Le G.I.P. « CPS », en tant qu’autorité de certification s’assure qu’elle ne délivre pas deux certificats contenant le même nom à deux organismes d’assurances maladies différents.
Les vérifications à effectuer par le progiciel du Professionnel de Santé sur un certificat sont les suivantes :
certificat signé par l’autorité de certification habilitée (c’est à - période de validité du certificat correcte (incluant la date du jour) ;
certificat non révoqué (certificat non présent dans la liste de révocation des certificats) ;
Il est recommandé que le professionnel de santé puisse s’assurer de la mise à jour régulière de la liste de révocation auprès du GIP CPS.
L’extension « SubjectAltName » contient l’adresse e-mail de l’organisme d’assurance maladie.
Plan du site
