SRQ - Specification Related Question

Ähnliche Dokumente
SRQ - Specification Related Question

SRQ - Specification Related Question

SRQ - Specification Related Question

Vertretungsberechtigung/-en und Unterschriftenproben

Konformitätsbestätigung für die Umsetzung von Sicherheitskonzepten

Elektronischer Arztausweis Wichtige Hinweise zum Antragsverfahren

Antrag zur Aufrechterhaltung (Verlängerung) der Qualifikation für zertifizierte Prozess-Auditoren VDA 6.3

Erklärung zum Zertifizierungsbetrieb der HAW-Landshut-Basic-CA in der DFN-PKI. - Sicherheitsniveau: Basic -

PKI für X.509-Zertifikate. Registrierung eines Trust Service Provider (TSP)

Vollmacht zur Nutzung des e-bankings für Firmenkunden

Antrag auf Zertifizierung als Auditor zur Durchführung von Audits nach DS-BvD-GDD-01

Verfahren zur Mitteilung über die Mobilität von Studenten Hinweise für Ausbildungseinrichtungen

Antrag zur Erstellung eines GWH-/GWA-/EMT-Zertifikats von der Atos Smart Grid CA (Sub-CA) unterhalb der Smart Metering SM-PKI

Antrag auf Rezertifizierung

Informationsblatt zum Fachverfahren Bankenabgabe. Version Einleitung Registrierungsprozess und notwendige Unterlagen...

Neues Login-Verfahren für den Zugriff auf das Produkteregister Chemikalien. Adresse:

Unstimmigkeitsmeldung. Bedienungsanleitung für Melder

AUFNAHMEORDNUNG. Verband der Konferenzdolmetscher (VKD) im BDÜ e.v.

Zulassung zentrale Produkte der Telematikinfrastruktur hier: OCSP-Proxy

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens

Erklärung zum Zertifizierungsbetrieb der DBTG-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Antrag auf Erteilung einer Erlaubnis nach 34d Abs. 1 GewO und Antrag auf Eintragung in das Vermittlerregister nach 10, 11a GewO

Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Zulassung zentrale Produkte der Telematikinfrastruktur hier: Verzeichnisdienst

Informationen zu Signaturkarten des ZDA Deutschen Telekom AG

Kommunales Gebietsrechenzentrum Hessen

Zulassungsverfahren der gematik. Fragen und Antworten

Stellungnahme der Bundesärztekammer

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens

Prüfung elektronisch signierter PDF-Rechnungen mit dem Adobe Reader

Beantragung einer Signaturkarte über Ihren ZEDAL Account

Erklärung zum Zertifizierungsbetrieb der FHDO-Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Bestätigung Betriebliche Eignung Fachdienste VSDM / TSP X.509 nonqes egk für Betreiber

Vereinbarung über die Nutzung des e-bankings für Firmenkunden

Ausfüllhilfe: Innovation Solarthermie - Prozesswärmeerzeugung

Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur und anderer Anwendungen digitaler Zertifikate

Rechtsanwaltskammer Stuttgart Zulassungsabteilung Königstraße Stuttgart

Bestellung a.sign premium

Hinweis: Reisepässe werden zentral von der Bundesdruckerei in Berlin hergestellt. Vorläufige Reisepässe werden von der Passbehörde hergestellt.

2. Angaben zum Firmeninhaber bzw. zum verantwortlichen Geschäftsführer / Gesellschafter. Telefon Nr.:

Identifizierung juristischer Personen/ Personengesellschaften nach dem geldwäschegesetz (GWG)

Kassenärztliche Vereinigung Hamburg Arztregister Postfach Hamburg

eanv elektronisches Abfallnachweisverfahren

Fremdsprache(n), die der Konferenzdolmetscher passiv. beherrscht und aus der und in die er regelmäßig konsekutiv und simultan dolmetscht.

Antrag auf Zertifizierung

Antrag an den Landkreis Freising zum Förderprogramm für Klimaschutzprojekte von Kindern und Jugendlichen

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens

Bestätigung der Eignung und praktischen Umsetzung eines Teilsicherheitskonzeptes (Moduls)

Antrag auf Registrierung nach dem Rechtsdienstleistungsgesetz für Alterlaubnisinhaber

Anlage zum komprimierten Antrag zu AA3 -

% einer Vollzeitbeschäftigung. Die Stundenzahl im Falle einer Vollzeitbeschäftigung

Bestätigungsverfahren für weitere Anwendungen. Fragen und Antworten

In diesen Ordner lädt die antragstellende Niederlassung die folgenden Dokumente (im PDF-Format):

Personalausweis beantragen

_ Dieses Formular ist für juristische Personen z.b. AG, GmbH, e.g., UG (haftungsbeschränkt)

Die elektronische Unterschrift

Personalausweis beantragen

Erklärung zum Zertifizierungsbetrieb der TU Darmstadt Classic CA in der DFN-PKI. - Sicherheitsniveau: Classic -

Die Datenbank Spendertestung

Programmiertechnik II

Hinweis. Hinweise zur technischen Handhabung. Erläuterungen zu den einzelnen Feldern

Dienstleisterportal Niedersachsen

Vereinfachtes Verfahren ( 34f Abs. 1, 157 Abs. 2, 3 GewO) für Erlaubnisinhaber einer Erlaubnis nach 34c GewO:

Unterzeichnen einer ausgefüllten Erklärung

IT-Dienstleistungszentrum des Freistaats Bayern. Dokumentation. Signaturprüfung. Bearbeitung: Erich Lechner

Vertrauensdiensteanbieter:

Beschreibung zur Überprüfung einer digital signierten E-Rechnung

Antrag auf Zertifizierung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Wegleitung Ausweise & Schlüssel

nachfolgend sind einige Hinweise aufgeführt, die Ihnen die Antragstellung des Sachkundenachweises im Pflanzenschutz vereinfachen sollen.

Zulassung Produkte der Telematikinfrastruktur hier: Fachdienste VSDM (VSDD, CMS, UFS) für Krankenkassen

Antrag auf Zertifizierung

Ausfüllhilfe (Erläuterungen) SSE - Antrag in Bezug auf die Verwendung von besonderen Verschlüssen - Artikel 233 Absatz 4 Buchstabe c Zollkodex

Antrag auf Befreiung von der Erlaubnispflicht im Rahmen der produktakzessorischen Vermittlung nach 34d Abs. 3 GewO

Beantragung einer BNotK-Signaturkarte

Rechtsanwaltskammer München

Bestätigung des anerkannten Dachverbandes / angegliederten Teilverbandes über das Bedürfnis zum Erwerb einer Waffe ( 14 WaffG)

etva in Luxemburg koya979 fotolia.com

Verfahren zur Mitteilung über die Kurzzeitmobilität von Forschern Hinweise für Forschungseinrichtungen

Antrag auf Gewährung eines Mietzuschusses

Hier finden Sie wichtige Informationen zur Teilnahme am PKS:

Wege für die Identitätsfeststellung

Verordnung über die elektronische Übermittlung im Rahmen eines Verwaltungsverfahrens

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

ANTRAG FÜR ÜEA-Provider

Zulassung Produkte der Telematikinfrastruktur hier: TSP X.509

Informationsveranstaltung Online Formular

Merkblatt Bauen, Wohnen, Energie sparen

Antrag auf Erteilung des Siegels nach DS-BvD-GDD-01

Förderprogramm Energie Winterthur Gesuch für Förderbeitrag zur Sanierung der Gebäudehülle

Transkript:

SRQ-ID: 1202 Betrifft: Themenkreis PKI und Zertifikate Schlagwort zu Dokument / Datei (evtl. ersetzt SRQ) [gemx.509_tsp] Version 1.2.0 Bezug (Kap., Abschnitt, Tab., Abb.) 4.2.1, 5.2.1, 5.2.3, 5.2.6, 5.3.1, 5.3.3 Stichwort: Änderungen/Ergänzungen für Basis-Rollout Frage: Welche Änderungen/Ergänzungen werden für den Basis-Rollout vorgenommen? Betrifft: Gültig ab 07.4.2011 Verbindlichkeit normativ Zulassungsrelevanz Der SRQ ist für alle Zulassungen zu beachten, die nach dem 07.04.2011 beantragt werden zusätzlicher Download-Link zu Datei: Herstellerbefragung durchgeführt am Wird behoben mit Version offen voraussichtl. Zeitpunkt Anmerkungen: Dieser SRQ enthält unter anderem Maßnahmen, die sich aus dem Sicherheitsgutachten ergeben haben. Status erfasst intern abgestimmt extern abgestimmt zurückgezogen freigegeben eingearbeitet in Folgeversion gematik öffentlich Seite 1 von 5

Antwort: Es wurden folgenden Änderungen/Ergänzungen vorgenommen: Anforderungen zur Umsetzung des 4-Augen-Prinzips für die Übergabe der Zertifikate des TSP an den TSL-SP zur Aufnahme in die TSL wurden aufgenommen (Kap. 4.2.1) Anforderungen zur Identifizierung des Antragstellers einer PKI-Registrierung (TSL-TSP) wurden aufgenommen. (Kap. 5.2.1, 5.2.3, 5.2.6, 5.3.1, 5.3.3) 4.2.1 gematik Die gematik ist verantwortlich für die Gestaltung der PKI der X.509-Zertifikate. Sie übernimmt unter anderem die folgenden Aufgaben: Beauftragung und Kontrolle des gematik-tsl-service-provider, Registrierung eines TSP [gemtsl_sp_cp], ggf. Widerruf der Registrierung eines TSP [gemtsl_sp_cp], bei Bedarf Kontrolle eines TSP [gemtsl_sp_cp], Vorgabe der Algorithmen und Schlüssellängen für das Generieren der X.509- Zertifikate [gemx.509_egk], [gemx.509_smcb], Entscheidung über Generationswechsel beim gematik-tsl-sp [gemtsl_sp_cp] und gematik-test-tsl. Die gematik MUSS sicherstellen, dass nach der Registrierung eines TSPs das 4-Augen- Prinzip bei der Übergabe von Zertifikaten des TSP umgesetzt wird. 5.2 Verfahren für einen Produktiv-TSP 5.2.1 Antrag auf Registrierung Das Sicherheitsgutachten muss bestätigen, dass der TSP die Mindestanforderungen aus [gemtsl_sp_cp] erfüllt und dies in einem Sicherheitskonzept ausreichend beschrieben hat. Das Sicherheitsgutachten muss von einem durch die gematik anerkannten Gutachter stammen (Liste der Gutachter ist auf den Seiten der gematik veröffentlicht). Bei gematik öffentlich Seite 2 von 5

akkreditierten CAs bestätigt die Selbsterklärung, dass der Betrieb des TSP unter denselben Sicherheitsbedingungen erfolgt. Registerauszug unterschrieben Es muss überprüft werden, ob die unterzeichnende Person gemäß Handelsregisterauszug eine Zeichnungsbefugnis für das entsprechende Unternehmen besitzt. Falls Nein, darf der Antrag nicht weiter bearbeitet werden und das ISMS der gematik muss über den Vorfall informiert werden. Um sicher zu stellen, dass es sich beim unterzeichnenden Antragssteller auch wirklich um die behauptete Person handelt, MUSS diese sicher identifiziert werden. Zudem muss sichergestellt werden, dass die Integrität und Authentizität des Antrags nicht verletzt wurde, also auch genau der Antrag bearbeitet wird, den der Antragsteller intendiert hat. Die Registrierungsstelle der gematik MUSS für die sichere Identifizierung des zeichnungsberechtigten Antragsstellers mindestens eines der folgenden, grundsätzlich geeigneten, Verfahren einsetzen: 1. Persönliche Übergabe Hierbei erfolgt die persönliche Übergabe des Antrags durch den Antragsteller an die zuständigen Mitarbeiter in der gematik und die Identifikation per Personalausweis oder Reisepass durch die Mitarbeiter der gematik. Der zuständige Mitarbeiter der gematik muss die Unterschrift des Antrags mit der Unterschriftenprobe auf dem präsentierten Ausweisdokument vergleichen. Die festgestellte Identität wird anschließend mit den Angaben im Handelsregisterauszug verglichen und damit überprüft ob die identifizierte Person zeichnungsbefugt ist. 2. Nutzung des Postident-Verfahrens Hierbei übersendet der Antragsteller den Antrag und die notwendigen Unterlagen im Rahmen des Postident-Verfahrens an die Registrierungsstelle der gematik. Er muss sicherstellen, dass die Integrität der übergebenen Dokumente bis zum Zeitpunkt der Übergabe an die Postident durchführenden Stelle sicher gestellt ist. Bei der Übergabe wird von der Postident durchführenden Stelle die Identität des Antragstellers per Personalausweis oder Reisepass festgestellt und die abgegebenen, in einem Umschlag verschlossenen Unterlagen werden mit dieser Identität (inkl. einer Unterschriftenprobe) verbunden. Die Unterschrift auf den Antragsunterlagen muss nach Eingang in der Registrierungsstelle von den Mitarbeitern der gematik mit der Unterschriftenprobe aus dem Postident-Verfahren überprüft werden. Die Angaben zur Identität des Antragsstellers aus dem Postident-Verfahren werden mit den Angaben im Handelsregisterauszug verglichen und überprüft, ob die entsprechende Person zeichnungsbefugt ist. 3. Nutzung qualifizierter elektronischer Signaturen Hier wird der Antrag per qualifizierter elektronischer Signatur vom Antragsteller unterschrieben. Die Signatur des Antrags muss von den Mitarbeitern der gematik überprüft werden. So wird die Integrität und die Authentizität (bez. der Antragstellenden Person) des Antrags sichergestellt. Die Mitarbeiter der gematik müssen anhand der im qualifizierten Zertifikat enthaltenden Angaben überprüfen, ob es sich bei der mit dem Zertifikat verbundenen natürlichen Person um dieselbe Person handelt, die im Handelsregisterauszug als zeichnungsberechtigte Person aufgeführt ist. Weitere Hinweise zur Verwendung erhalten Sie auf der Homepage der gematik (www.gematik.de) unter der Rubrik Zertifikatsherausgeber. gematik öffentlich Seite 3 von 5

5.2.3 Änderung einer Registrierung Liegen Änderungen vor, die für das Sicherheitskonzept relevant sind, muss der Änderungsmitteilung ein neues Sicherheitsgutachten beigefügt werden. Dieses Sicherheitsgutachten muss bestätigen, dass die Mindestanforderungen aus [gemtsl_sp_cp] auch nach den Änderungen erfüllt werden. Ggf. können die Änderungen zu einem Widerruf der Registrierung führen (siehe 5.2.4). Für die Identifizierung des Antragstellers gelten die gleichen Vorgaben wie bei der erstmaligen Registrierung (siehe Abschnitt 5.2.1). 5.2.6 Verlängerungsantrag Der TSL-Service-Provider generiert jedes Jahr eine komplett neue Version der Trustservice Status List. Dazu erhält er von der gematik die Registrierungsanträge (Folgeanträge) der TSPs. Im laufenden Jahr werden bei Registrierungsanträgen neue TSP-Einträge generiert und der vorhandenen Version der TSL hinzugefügt. Die Gültigkeit der Erstregistrierung gilt für das Jahr der Registrierung und das Folgejahr. Danach muss spätestens 3 Monate vor Ablauf der registrierte TSP einen Verlängerungsantrag (siehe Vorgaben Formulare) stellen. Die Gültigkeitsdauer der Registrierung eines TSPs beträgt 2 Jahre. Spätestens 3 Monate vor Ablauf muss der registrierte TSP einen Verlängerungsantrag stellen. Dieser bestätigt, dass der Betrieb weiterhin gemäß der bei der erstmaligen Registrierung nachgewiesenen Sicherheitsbedingungen geführt wird. Das Formular muss vollständig ausgefüllt werden. Alle Formulare des Antrages auf Verlängerung einer Registrierung und die beigefügten Unterlagen MÜSSEN rechtsverbindlich unterschrieben Der Antrag auf Verlängerung der Registrierung eines TSPs KANN (abweichend zum Vorgehen der erstmaligen Registrierung) von dem benannten Leiter TSP gestellt werden. Für die Identifizierung des Antragstellers gelten dieselben Vorgaben wie bei der erstmaligen Registrierung (siehe Abschnitt 5.2.1). gematik öffentlich Seite 4 von 5

Unter diesen Voraussetzungen kann das Schlüsselpaar des TSP im Kontext Einführung der Gesundheitskarte weiter verwendet werden. 5.3 Verfahren für einen Test-TSP 5.3.1 Antrag auf Registrierung Die Kopie des Registerauszugs muss von dem aktuellen Eintrag des Betreibers in dem zuständigen Register (Handelsregister, Vereinsregister, etc.) stammen. Aus diesem müssen die folgenden Informationen hervorgehen: Hauptsitz des Betreibers (Einschränkungen siehe 5.1.1), Gesellschafter des Betreibers, zeichnungsberechtigte Personen. Für die Identifizierung des Antragstellers gelten die gleichen Vorgaben wie bei Registrierung eines Produktiv-TSP (siehe Abschnitt 5.2.1). 5.3.3 Änderung einer Registrierung Die Änderungen sind durch entsprechende Nachweise, z. B. neuer Registerauszug, nachzuweisen. Ggf. können die Änderungen zu einem Widerruf der Registrierung führen (siehe 5.3.4). Für die Identifizierung des Antragstellers gelten die gleichen Vorgaben wie bei Registrierung eines Produktiv-TSP (siehe Abschnitt 5.2.1). gematik öffentlich Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback