Einführung der elektronischen Gesundheitskarte Informationsbroschüre G2 Karten

Transkript

1 Einführung der elektronischen Gesundheitskarte Informationsbroschüre G2 Karten Version: Stand: Status: freigegeben Klassifizierung: öffentlich Referenzierung: [geminfo_g2_karten] Autor: Vergabeteam Seite 1 von 8

2 Dokumentinformationen Dokumentenhistorie Version Stand Kap. Grund der Änderung, besondere Hinweise Bearbeitung Freigegeben durch den Lenkungsausschuss der gematik am gematik Seite 2 von 8

3 1. Ausgangssituation und Rahmenbedingungen Zur Sicherstellung des erforderlichen Schutzes von (Sozial-)Daten und Verfahren in der Telematikinfrastruktur sind langfristig geeignete Kryptoverfahren einzusetzen. Um mit den im Gesundheitswesen eingesetzten Chipkarten (insbesondere egk, HBA und SMC) diese Anforderungen erfüllen zu können, ist eine neue Generation von Chipkarten ( G2 ) und damit korrespondierender Zertifikatsinfrastrukturen durch die gematik bereitzustellen. In Generation 2 basieren alle im Gesundheitswesen eingesetzten Karten auf einer gemeinsamen Betriebssystemplattform. Die in den Losen 1 und 2 ausgeschriebene Entwicklung und Bereitstellung von Kartenbetriebssystemen (COS) stellt sicher, dass alle bekannten Kartentypen (egk, HBA, SMC-B, gsmc-k und gsmc-kt) auf der Basis der ausgeschriebenen COS konfiguriert und personalisiert werden können und für die Erprobung Online-Rollout (Stufe 1) sowie den Produktivbetrieb zur Verfügung stehen. 2. Ausschreibungsgegenstand Insoweit führt die gematik als Auftraggeber und verantwortliche Vergabestelle das vorliegende Vergabeverfahren durch. Diese Ausschreibung für die G2 Karten wird in verschiedene Lose unterteilt. Die Beauftragung erfolgt auf Basis einer Rahmenvereinbarung. 2.1 Lose 1 & 2 Auf die Lose 1 und 2 entfällt die Entwicklung eines Kartenbetriebssystems (Card Operating System COS). Bestandteil der Lose 1 und 2 ist jeweils auch die Konfiguration und die Herstellung geeigneter Objektsysteme, für die der COS-Entwickler die Verantwortung trägt. Die zur Angebotsabgabe aufgeforderten Bewerber (Bieter) haben jeweils zwei Hauptangebote unter Einbeziehung von zwei von einander verschiedenen Prozessorchipherstellern abzugeben. Bewirbt sich ein Unternehmen sowohl auf Los 1 als auch auf Los 2, so kann der Zuschlag auf nur ein Los erfolgen (Zuschlagslimitierung). Die Bewerber können sich auf beide Lose oder nur auf ein Los bewerben. In jedem Fall erhält das wirtschaftlichste Angebot den Zuschlag auf ein Los (Los 1) und das nächstbestplatzierte Angebot eines anderen Bieters den Zuschlag auf das andere Los (Los 2), wenn der Prozessorchiphersteller nicht mit dem des Erstplatzierten identisch ist. In diesem Fall erhält das Angebot den Zuschlag auf Los 2, welches gleichzeitig ein nicht mit dem Erstplatzierten identischen Prozessorchiphersteller enthält und dabei das dann wirtschaftlichste Angebot ist. i. Entwicklung Kartenbetriebssystem Ein einheitliches COS ist Grundlage für alle in der Telematikinfrastruktur eingesetzten Chipkarten. Auf der Grundlage einer vom Auftraggeber zusammen mit den Vergabeunterlagen bereitgestellten Spezifikation ist auf jeweils einem Prozessorchip ein anforderungskonformes Betriebssystem in einer Maximalausprägung zu entwickeln. Wesentliche Eigenschaften der Maximalausprägung des COS sind die verpflichtende Unterstützung von kontaktbehafteter und kontaktloser Schnittstelle, von mind. 4 logischen Kanälen sowie der sog. Kryptobox. Die USB-Protokollschnittstelle kann optional, muss Seite 3 von 8

4 aber nicht zwingend unterstützt werden. Das Betriebssystem ist nach Common Criteria (CC) gemäß einem vom BSI zu erstellenden Protection Profile (PP) zu evaluieren. Auf der Grundlage dieses COS muss auch die qualifizierte elektronische Signatur signaturgesetzbzw. signaturverordnungskonform (SigG/SigV) zu implementieren sein. Neben dem spezifischen COS Protection Profile ist somit auch das Protection Profile zur QES (BSI- PP-0059) in seinen für Chip und COS relevanten Anteilen zu berücksichtigen. Daneben ist ein anforderungskonformes Betriebssystem in einer Basisausprägung zu entwickeln. Gegenüber der Maximalausprägung entfällt die Unterstützung der kontaktlosen Schnittstelle, die Implementierung mehrerer logischer Kanäle sowie der sog. Kryptobox. Die Basisausprägung ist nicht für die Implementierung einer qualifizierten elektronischen Signatur vorgesehen. Das Betriebssystem ist nach Common Criteria (CC) gemäß einem vom BSI zu erstellenden Protection Profile (PP) zu evaluieren. Die entwickelten Kartenbetriebssysteme müssen den Zulassungsprozess der gematik durchlaufen, hierfür sind Testlaborkarten vom Auftragnehmer bereitzustellen. Der Auftragnehmer hat darüber hinaus Serviceleistungen (Wartung/Pflege) für die zu erstellenden Kartenbetriebssysteme für 3 Jahre mit einer einseitigen Verlängerungsoption zugunsten der gematik zu erbringen. Der Auftraggeber wird Nutzungsrechte an den zu erstellenden Kartenbetriebssystemen zum Zwecke des Aufbaus und Betriebs der Telematikinfrastruktur einräumen und weitergeben. Einzelheiten werden in den Vergabeunterlagen, insbesondere dem Vertragswerk und der Leistungsbeschreibung geregelt. ii. Bereitstellung von gsmc-k und gsmc-kt Auf der Grundlage der unter i. genannten Maximalausprägung des COS sind nach den Vorgaben des Auftraggebers je Los 1 und 2 ca gerätespezifische Sicherheitsmodule für Konnektor (gsmc-k) und ca gerätespezifische Sicherheitsmodule für Kartenterminals (gsmc-kt) zu konfigurieren und an die Unternehmen, die den Zuschlag für die Lose 1 und 2 in der Ausschreibung Online Rollout Stufe 1 erhalten haben, zu liefern. Ebenso gehören zum Lieferumfang die für die Einbindung der Karten in CA-Systeme erforderlichen Softwarebibliotheken. Die Beauftragung weiterer Chipkarten bleibt vorbehalten. Die Konfiguration muss den Zulassungsprozess der gematik durchlaufen, hierzu sind Testlaborkarten vom Auftragnehmer bereitzustellen. Zur Unterstützung von Anwendungstests hat der Auftragnehmer weitere ca Musterkarten gsmc-k und weitere ca Musterkarten gsmc-kt zu einem möglichst frühen Zeitpunkt, unabhängig vom abgeschlossenen Zulassungstest der gematik, bereitzustellen. Für diese Musterkarten stellt der Auftraggeber die notwendigen Personalisierungsdaten zur Verfügung. iii. Bereitstellung von egk, HBA und SMC-B Auf der Grundlage der unter i. genannten Maximalausprägung des COS sind nach den Vorgaben des Auftraggebers je Los 1 und 2 ca HBA und ca SMC-B zu konfigurieren. Die HBA und SMC-B sind an die Unternehmen, die den Zuschlag für die Lose 3 & 4 dieses Vergabeverfahrens erhalten haben, zu liefern. Ebenso gehören zum Lieferumfang die für die Einbindung der Karten in CA-Systeme erforderlichen Softwarebibliotheken. Die Beauftragung weiterer Chipkarten bleibt vorbehalten. Die Konfigurationen müssen den Zulassungsprozess der gematik durchlaufen, hierzu sind Seite 4 von 8

5 Testlaborkarten vom Auftragnehmer bereitzustellen. Die Konfiguration des HBA muss darüber hinaus eine Bestätigung nach Signaturgesetz/Signaturverordnung haben. Zur Unterstützung von Anwendungstests hat der Auftragnehmer weitere jeweils ca Musterkarten der Typen HBA und SMC-B und weitere ca. 750 egk unter Verwendung der unter i. genannten Maximalausprägung des COS sowie weitere ca. 750 egk unter Verwendung der unter i. genannten Basisausprägung des COS zu einem möglichst frühen Zeitpunkt, unabhängig vom abgeschlossenen Zulassungstest der gematik, bereitzustellen. Für diese Musterkarten stellt der Auftraggeber die notwendigen Personalisierungsdaten zur Verfügung. 2.2 Lose 3 & 4 Auf die Lose 3 und 4 entfällt jeweils die Bereitstellung von PKI-Produkten und -Dienstleistungen für den Test- und Wirkbetrieb sowie die Personalisierung von HBA und SMC-B sowie die Bereitstellung von Zertifikaten für funktional gleichwertige HSM-B für die Erprobung im Online-Rollout (Stufe 1). Bewirbt sich ein Unternehmen sowohl auf Los 3 also auch auf Los 4, so kann der Zuschlag auf nur ein Los erfolgen (Zuschlagslimitierung). Die Bewerber können sich auf beide Lose oder nur auf ein Los bewerben. In jedem Fall erhält das wirtschaftlichste Angebot den Zuschlag auf Los 3 und das nächstbestplatzierte Angebot eines anderen Bieters den Zuschlag auf Los 4. i. X.509 Es ist in der Test- und in der Produktivumgebung je eine Instanz für einen Trust Service Provider (TSP) für die Herausgabe und Bereitstellung von Zertifikaten der Kartentypen HBA (QES und nonqes) und SMC-B an die Akteure des deutschen Gesundheitswesens nach den Vorgaben des Auftraggebers vom Auftragnehmer bereitzustellen. Es wird darauf hingewiesen, dass für den auf die Erprobungsphase Online-Rollout (Stufe 1) folgenden Produktivbetrieb eine weitere Zulassung der jeweils zuständigen Sektoren erforderlich sein wird. Für den Kartentyp egk ist in der Testumgebung eine Instanz für einen Trust Service Provider (TSP) für die Herausgabe und Bereitstellung von Zertifikaten nach den Vorgaben des Auftraggebers vom Auftragnehmer bereitzustellen. Die Aufgaben des TSP umfassen insbesondere auch die Bereitstellung und den Betrieb von OCSP-Respondern incl. der notwendigen Netzwerkanbindungen. Die Vorgaben des Signaturgesetzes und der Signaturverordnung sind für den Bereich der qualifizierten Signaturzertifikate vom Auftragnehmer zu beachten. Zur Unterstützung der Beantragung und des Herausgabeprozesses von HBA und SMC-B ist nach den Vorgaben des Auftraggebers eine Schnittstelle bereitzustellen, die die Anforderungen der Sektoren berücksichtigt. Aufbau und Betrieb der dafür notwendigen Serverkomponenten in der Test- und in der Produktivumgebung sind vom Auftragnehmer zu übernehmen. Optional ist vom Auftragnehmer nach den Vorgaben des Auftraggebers in der Test- und in der Produktivumgebung je eine Instanz einer X.509-Root für die nonqes-zertifikate der in diesem Dokument genannten Kartentypen bereitzustellen. ii. Personalisierung von HBA Auf der Grundlage der in Los 1 und 2 konfigurierten HBA, der im Los 5 bereitgestellten CVC-PKI und der in den Ziffer i. der Lose 3 und 4 aufgebauten PKI sind jeweils ca Seite 5 von 8

6 HBA für die Erprobung im Online-Rollout (Stufe 1) zu personalisieren. Die betroffenen Heilberufler (Ärzte, Psychotherapeuten und Zahnärzte) werden vom Auftraggeber benannt. Der HBA ist Träger eines qualifizierten elektronischen Signaturzertifikates, hierzu sind die Vorgaben des Signaturgesetzes und der Signaturverordnung vom Auftragnehmer zu beachten. HBA dürfen nur an Heilberufler ausgegeben werden, es sind die sektorspezifischen Ausgaberegeln zu beachten. Im Vorfeld der Personalisierung muss der Auftragnehmer für den jeweiligen Heilberufler u.a. die Bestätigung des Status durch die zuständige Berufskammer einholen. iii. Personalisierung von SMC-B Auf der Grundlage der in Los 1 und Los 2 konfigurierten SMC-B, der im Los 5 bereitgestellten CVC-PKI und der in den Ziffer i. der Lose 3 und 4 aufgebauten PKI sind jeweils ca SMC-B für die Erprobung im Online-Rollout (Stufe 1) zu personalisieren. Die betroffenen Krankenhäuser, Vertragsärzte, Vertragspsychotherapeuten und Vertragszahnärzte werden vom Auftraggeber benannt. SMC-B dürfen nur an Berechtigte ausgegeben werden, es sind die sektorspezifischen Ausgaberegeln zu beachten. Im Vorfeld der Personalisierung muss u.a. die Bestätigung des Status durch die zuständige Institution (DKTIG für Krankenhäuser, Kassenärztliche Vereinigung bzw. KV Telematik ARGE, Kassenzahnärztliche Vereinigung) vom Auftragnehmer eingeholt werden. Für die Einbringung in HSM-B sind vom Auftragnehmer nach den Vorgaben des Auftraggebers Zertifikate zu erstellen und zu liefern. Weiterhin sind ca. 50 SMC-B als Verifikationskarten-KTR (RSA-CV-Profil 8 bzw. entsprechende Flagliste für ECC-CV) für Kostenträger nach den Vorgaben des Auftraggebers zu personalisieren. Verifikationskarten unterscheiden sich von SMC-B durch das Fehlen von X.509-Zertifikaten, es erfolgt keine Zuordnung zu einer Person. Die Empfänger der Verifikationskarte-KTR werden durch den GKV-Spitzenverband benannt und dem Personalisierer mitgeteilt. Der Ausgabeprozess ist mit dem GKV-Spitzenverband unter Berücksichtigung der bestehenden Sicherheitsrichtlinie für Verifikationskarten-KTR abzustimmen. 2.3 Los 5 - Bereitstellung von PKI-Dienstleistungen (CVC-Root) In Los 5 wird die Bereitstellung von CVC-Produkten und -Dienstleistungen für den Testund Wirkbetrieb ausgeschrieben. Es ist je eine Instanz einer CVC-Root in der Test- und in der Produktivumgebung nach den Vorgaben des Auftraggebers vom Auftragnehmer bereitzustellen. Die Root muss ELC-Kryptographie mit Schlüssellängen von 256, 384 und 512 Bit unterstützen. Weiterhin stellt der Auftragnehmer nach den Vorgaben des Auftraggebers zwei CVC-CA (eine für CV-Zertifikate der egk und eine für CV-Zertifikate aller anderen Kartentypen) der zweiten Ebene jeweils in der Test- und in der Produktivumgebung bereit. Die auszustellenden produktiven EE-CVC sind an die Unternehmen, die den Zuschlag für die Lose 3 & 4 dieses Vergabeverfahrens erhalten haben, zu liefern. Seite 6 von 8

7 Anhang - Glossar Erläuterungen der Fachbegriffe zur TI sind zu finden im Glossar der gematik, veröffentlicht unter Hinweise auf die Testregionen finden sich unter Nachfolgend werden die im Dokument verwendeten Abkürzungen sowie einige, für das Verständnis wesentliche, weitere Begriffe erläutert: Begriff BSI CC CVC DKG DKTIG egk Erprobung / Erprobungsphase GKV GKV-SV HBA HSM KBV KV KZBV KZV OCSP Pilot / Pilotbetrieb Erläuterung Bundesamt für Sicherheit in der Informationstechnik Common Criteria Card Verifiable Certificate Deutsche Krankenhausgesellschaft Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH Elektronische Gesundheitskarte Die Erprobungsphase ist ein Teil der Einführungsphase der Telematikinfrastruktur und bietet eine vorgezogene Erprobung des Wirkbetriebs mit eingeschränkter Teilnehmerzahl und unter Verwendung von Echtdaten. Ziel dieser Phase ist die Prüfung der Betriebseignung unter realen Bedingungen, so dass gravierende Betriebsprobleme bereits vor der Aufnahme des Wirkbetriebs entdeckt und behoben werden können. Die Erprobungsphase erfolgt in der Wirkbetriebsumgebung und sieht echte Smartcards (z.b. egk/hba) und Versicherte vor, die nicht als Testteilnehmer zu bezeichnen sind. (siehe auch Pilot(Pilotbetrieb) Gesetzliche Krankenversicherung Spitzenverband der Gesetzlichen Krankenversicherungen und Pflegekassen Heilberufsausweis Hardware-Sicherheits-Modul Kassenärztliche Bundesvereinigung Kassenärztliche Vereinigung Kassenzahnärztliche Bundesvereinigung Kassenzahnärztliche Vereinigung Online Certificate Status Protocol Der Pilotbetrieb ist Teil der Erprobungsphase, in dem für eine größere Anzahl von Anwendern neue Funktionen bereit gestellt werden, die sie im gewohnten Umfeld und ohne besondere Vorkenntnisse in Anspruch nehmen. Ziel des Pilotbetriebs ist die Untersuchung des Betriebsverhaltens (z.b. Wartung) und Lastverhaltens (z.b. Antwortzeitverhalten und Stabilität) der neuen Funktionen und der damit verbundenen Infrastruktur. Voraussetzung für den Pilotbetrieb sind stabile Entwicklungen und Umsetzungen, deren Reife in Tests zuvor nachgewiesen werden konnten. Seite 7 von 8

8 Begriff PKI PP Produktivbetrieb / Produktivphase QES SGB SigG SigV SMC-B gsmc-k gsmc-kt Testbetrieb TestV TI TSP Wirkbetrieb Erläuterung Der Pilotbetrieb legt den Schwerpunkt nicht auf die Fehlerermittlung, wie z.b. im Feldtest noch teilweise vorgesehen, sondern soll Erkenntnisse zur Stabilität und Betreibbarkeit unter realen Bedingungen liefern. Trotzdem können Erkenntnisse aus der Pilotbetriebsphase dazu führen, dass Anpassungen an Komponenten, Diensten und Anwendungen notwendig sind. Public Key Infrastruktur - zentrales Verzeichnis für die öffentlichen Schlüssel in asymmetrischen Verschlüsselungsverfahren Protection Profile Die Produktivphase der TI ist die finale Phase des Wirkbetriebs, in der allen Anwendern die geplanten Anwendungen zur Verfügung gestellt werden und für die der vollständige uneingeschränkte Betrieb vorgesehen ist. Alle Komponenten und Dienste der TI und Fachanwendungen müssen in der Produktivphase vollständig zugelassen sein. Qualifizierte elektronische Signatur gemäß Signaturgesetz Sozialgesetzbuch Signaturgesetz Signaturverordnung Security Module Card, Typ B - Authentifizierungskarte für Institutionen im Gesundheitswesen mit Signaturschlüsseln Security Module Card (Konnektor) Security Module Card (Kartenterminal) Testbetrieb ist eine frühe Stufe im Lebenszyklus von Diensten und Services der Gesundheitstelematik vor dem Wirkbetrieb und dient der Erprobung der Implementation. Verordnung über Testmaßnahmen für die Einführung der elektronischen Gesundheitskarte in der Fassung der Bekanntmachung vom (BGBl. I S. 3162), zuletzt geändert durch Art. 1 Dritte ÄndVO vom (BGBl. I S. 39), wird alternativ auch kurz als RVO bezeichnet. Telematikinfrastruktur Die Telematikinfrastruktur ist die bevorzugte Informations-, Kommunikationsund Sicherheitsinfrastruktur des deutschen Gesundheitswesens mit allen technischen und organisatorischen Anteilen. Die Telematikinfrastruktur vernetzt alle Akteure und Institutionen des Gesundheitswesens miteinander und ermöglicht dadurch einen organisationsübergreifenden Datenaustausch innerhalb des Gesundheitswesens. Die Telematikinfrastruktur unterstützt die Anwendungen der Versicherten gemäß 291a SGB V und bildet darüber hinaus die Plattform für weitere interoperable und kompatible IT- Anwendungen im deutschen Gesundheitswesen. Die TI enthält die Komponenten und Dienste der TI-Plattform, die Fachdienste und die Fachmodule. Organisation, welche einen oder mehrere (elektronische) Trust Services anbietet Der Wirkbetrieb ist die reguläre Betriebsphase, in der für Anwender die geplanten Funktionen zur Verfügung gestellt werden und der Einsatz von Echtdaten erfolgt. Voraussetzung für den Wirkbetrieb ist der Abschluss von Testmaßnahmen, in dem ein geeigneter Reifegrad der Komponenten, Dienste und Anwendungen nachgewiesen werden konnte. Seite 8 von 8