Certification Practice Statement

Certificaateisen
Operationele eisen certificaatlevenscyclus

Certification Practice Statement

Certificaateisen
Operationele eisen certificaatlevenscyclus

Het CPS van ChipSoft Zorgplatform beschrijft hoe er invulling wordt gegeven aan de dienstverlening. Het CPS beschrijft processen, procedures en beheermaatregelen voor het aanvragen, produceren, verstrekken, intrekken en beheren van de certificaten.

Zorgplatform maakt gebruik van public key cryptografie ten behoeve van:

  • Encryptie van verkeer via TLS.
  • Authenticatie van servers en clients (nodes) via TLS (tweezijdig TLS of tweezijdig SSL genoemd).
  • Signing van security tokens (en security token requests) zodat de herkomst van het token (of het request) kan worden gevalideerd en kan worden vastgesteld dat het token niet is aangepast.

In onderstaande paragrafen worden de certificaateisen en de operationele eisen van de certificaatlevenscyclus beschreven.

Certificaateisen

Encryption certificate
TLS Client authentication Certificate
Digital Signing Certificate
Zorgplatform Server Certificate

Certificaateisen

Encryption certificate
TLS Client authentication Certificate
Digital Signing Certificate
Zorgplatform Server Certificate
Encryption certificate

Security tokens worden versleuteld door Zorgplatform op basis van het encryptie certificaat van de partnerapplicatie. Voor de productie- en acceptatie omgevingen dienen separate certificaten te worden aangevraagd.

Aan de certificaten worden de volgende eisen gesteld:

  • Keylength: 2048 bit
  • Key Usage: Data encipherment
  • Geldigheid: 13 maanden
  • Uitsluitend uitgegeven door een officiële CA
  • De naamgeving voldoet aan onderstaande ChipSoft conventie

De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies: -Voor productie: crypto-zorgplatform.[naam applicatie].nl -Voor acceptatie: acceptatie-crypto-zorgplatform.[naam applicatie].nl

TLS Client authentication Certificate

HTTPS-verkeer met Zorgplatform vindt plaats op basis van 2-way TLS en vereist dus een valide TLS client authentication certificaat. Voor de productie- en acceptatie omgevingen dienen separate certificaten te worden aangevraagd.

Aan de certificaten worden de volgende eisen gesteld:

  • Keylength: 2048 bit
  • Extended Key Usage: Client authentication
  • Geldigheid: 13 maanden
  • Uitsluitend uitgegeven door een officiële CA
  • De naamgeving voldoet aan onderstaande ChipSoft conventie

De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies:

  • Voor productie: tls-zorgplatform.[naam applicatie].nl
  • Voor acceptatie: acceptatie-tls-zorgplatform.[naam applicatie].nl
Digital Signing Certificate

Naast het TLS-certificaat is een signing-certificaat (DSC) benodigd voor iedere op Zorgplatform aangesloten omgeving. Dit certificaat wordt gebruikt om token-requests naar de Zorgplatform STS digitaal te ondertekenen. Zorgplatform kan zodoende de herkomst van het request valideren door:

  • De digital signature te valideren
  • De partij die de signature heeft geplaatst te vergelijken met de partij die de TLS verbinding heeft opgezet

Aan de certificaten worden de volgende eisen gesteld:

  • Keylength: 2048 bit
  • Key Usage: Digital signature
  • Geldigheid: 13 maanden
  • Uitsluitend uitgegeven door een officiële CA
  • De naamgeving voldoet aan onderstaande ChipSoft conventie

De naamgeving (CN in Subject) van de certificaten dient te voldoen aan de volgende conventies:

  • Voor productie: sign-zorgplatform.[naam applicatie].nl
  • Voor acceptatie: acceptatie-sign-zorgplatform.[naam applicatie].nl
Zorgplatform Server Certificate

Het Zorgplatform Server Certificate is een zogenaamd wildcard certificate en wordt gebruikt:

  • Bij het opzetten van de TLS verbinding met aangesloten zorgapplicaties.
  • Bij het digitaal ondertekenen van door de Zorgplatform STS uitgegeven security tokens.

Het certificaat wordt aangeleverd door ChipSoft in een .cer formaat (2048 bits SHA256).

Aan het Zorgplatform server certificate worden de volgende eisen gesteld:

  • Keylength: 2048 bits
  • Encryption: SHA256 with RSA Encryption
  • Extended Key Usage: Server Authentication en Client Authentication
  • Geldigheid: 2 jaar
  • Uitgegeven door een officiële CA (godaddy.com)
  • Validation: Organisation validation.
  • Gevalideerde organisatie: ChipSoft Ziekenhuis Informatiesystemen B.V.

Operationele eisen certificaatlevenscyclus

Aanvraag van certificaten
Aanmelding van certificaten van aangesloten partij
Routinematige vernieuwing van certificaten van aangesloten partij
Vernieuwing van certificaten na intrekking van certificaten van aangesloten partij
Routinematige vernieuwing van Zorgplatform server certificaat
Vernieuwing van certificaten na intrekking van Zorgplatform server certificaat

Operationele eisen certificaatlevenscyclus

Aanvraag van certificaten
Aanmelding van certificaten van aangesloten partij
Routinematige vernieuwing van certificaten van aangesloten partij
Vernieuwing van certificaten na intrekking van certificaten van aangesloten partij
Routinematige vernieuwing van Zorgplatform server certificaat
Vernieuwing van certificaten na intrekking van Zorgplatform server certificaat
Aanvraag van certificaten

Door iedere aangesloten zorgaanbieder dienen, per omgeving, een drietal beveiligingscertificaten te worden aangevraagd. In alle gevallen dienen de certificaten te worden uitgegeven door een officiële CA:

  • Een TLS client certificate
  • Een Digital Signing certificate
  • Encryption certificate

Deze certificaten dienen te voldoen aan de certificaat eisen.

Aanmelding van certificaten van aangesloten partij

Nadat de certificaten zijn aangevraagd en door de CA zijn geproduceerd dienen de certificaten initieel te worden aangeleverd aan ChipSoft. De certificaten dienen voor de afgesproken datum in .cer formaat, zonder private key, te worden gemaild naar Zorgplatform_aansluitingen@chipsoft.nl. Nadat de certificaten en overige voorbereidingen worden aangeleverd, wordt de inrichting hiervan ingepland.

Routinematige vernieuwing van certificaten van aangesloten partij

Bij een routinematige vervanging van de een van de certificaten geldt dezelfde procedure als bij de initiële aanmelding. Van de digitale zorg applicatie wordt verwacht dat het nieuwe certificaat 30 dagen voor het vervallen van het oude certificaat wordt aangemeld en aangeleverd per mail aan ChipSoft. Het nieuw aangemelde certificaat zal binnen 7 dagen na aanmelding worden doorgevoerd, waarna het nieuwe certificaat kan worden gebruikt door de de aangesloten partij.

Vernieuwing van certificaten na intrekking van certificaten van aangesloten partij

In het geval een certificaat van een aangesloten partij wordt ingetrokken, dient dit direct te worden doorgegeven aan ChipSoft samen met het nieuw uitgegeven certificaat.

Routinematige vernieuwing van Zorgplatform server certificaat

Bij de uitvoering van een vernieuwing van het Zorgplatform server certificaat zal er altijd een nieuw sleutelpaar worden gegenereerd. 30 dagen voor de vervaldatum van het certificaat zal het nieuwe certificaat beschikbaar worden gesteld via ChipSoft.

Vernieuwing van certificaten na intrekking van Zorgplatform server certificaat

Bij de uitvoering van een vernieuwing van het Zorgplatform server certificaat zal er altijd een nieuw sleutelpaar worden gegenereerd. Het nieuwe certificaat zal direct na het vernieuwen worden doorgevoerd. De aangesloten partijen worden via email op de hoogte gesteld en het nieuwe certificaat zal beschikbaar worden gesteld via de ChipSoft support site.