Questions fréquentes

La vérification de la complexité d’un mot de passe ne peut être constatée qu’au moment de sa création ou de sa modification.

Pour démontrer la conformité à l’exigence :

• accéder à une fonctionnalité permettant la création ou la modification d’un mot de passe ; 
• proposer des mots de passe dont l’entropie est inférieure à 27 bits et vérifier qu’ils sont refusés par le système.
  Les exemples de mot de passe faibles peuvent inclure : 
  • des mots de passe trop courts (moins de 8 caractères) ; 
  • des mots de passe constitués uniquement de chiffres ou uniquement de lettres.
• proposer un mot de passe respectant les règles de complexité (entropie supérieure à 27 bits) et vérifier qu’il est accepté par le système. 
   

IEPS 02 - Enoncé de l'exigence :

Le Système DOIT vérifier, à la création d'un compte, l'adresse de messagerie ou le numéro de téléphone du PS lorsque ces informations sont utilisées dans les mécanismes d'authentification ou de récupération de son compte.

Scénario - vérification de contrôle des coordonnées de messagerie ou téléphoniques : 

• déclarer un compte en saisissant une adresse de messagerie utilisée pour l'authentification ou la récupération du compte ; 
• vérifier que le système contrôle la validité de l'adresse de messagerie par l'envoi d'un lien unique ou d'un compte à cette adresse.

Il est nécessaire d'afficher l'adresse de messagerie aussi bien lors de la saisie à la création du compte, que lors de la réception du mail d'activation afin d'en prouver la correspondance.

De même, si le système utilise le numéro de téléphone lors du processus d'authentification ou de récupération de compte, il sera nécessaire de prouver la conformité au scénario 2 et la correspondance du numéro de téléphone saisi sur le système avec le numéro de téléphone sur lequel est reçu le code OTP.

Il correspond aux modèles publiés sur Ameli pour les prescriptions de soins infirmiers. Les éditeurs doivent s’aligner sur ces modèles (injections, pansements, etc.). Le champ permet de structurer conformément aux attendus métier.

Le LGC doit gérer les codes retour techniques du téléservice INS. En revanche, il n’existe pas de jeu de codes techniques normé pour l’Application Carte Vitale à stocker comme tel. Le LGC doit donc stocker un statut métier de qualification (l’app CV renvoie un statut « identité qualifiée » ou « identité non qualifiée »), tracer la source APCV et stocké l’horodatage et le PS.

Oui. Le caractère « systématique » est porté :

• par l’onglet liste des documents Ségur du REM,
• et indirectement par l’ensemble des exigences liées à l’alimentation automatique du DMP.

Ces exigences concourent à rendre les envois automatiques lorsque les documents existent dans le logiciel.

Le principe de compatibilité ascendante implique que le logiciel, dans sa version candidate au référencement Ségur et souhaitant bénéficier du principe d’équivalence des preuves avec une solution racine référencée (qui peut être soit exactement le même logiciel, soit le même logiciel sous un nom commercial différent, soit un logiciel dont le composant principal est identique à celui du logiciel candidat), doit respecter plusieurs règles :

• la version candidate doit être égale ou supérieure à la version de la solution racine ;
• la version candidate du logiciel doit maintenir la conformité aux exigences Ségur obtenue pour la version de la solution racine.

Par ailleurs, l’article 10 de la convention de référencement précise la responsabilité de l’éditeur de notifier l’Agence du Numérique en Santé si des modifications apportées au logiciel référencé sont susceptibles de le rendre non conforme aux exigences Ségur.

La compatibilité ascendante est également formalisée par la soumission d’une attestation sur l’honneur, fournie selon un modèle ANS disponible sur les pages des dispositifs de la vague 2. Dans cette attestation, l’éditeur déclare que la version candidate respecte les exigences Ségur obtenues lors du référencement de la solution racine

Non, il n’existe pas d’équivalence automatique des certificats CNDA. Si la solution a été déclarée dès l’origine au CNDA avec ses déclinaisons, l’homologation peut couvrir l’ensemble.
En revanche, chaque nom commercial distinct nécessite un NIL distinct, et donc une démarche CNDA propre, même si l’architecture est identique. Si l’architecture diffère, une nouvelle demande de conformité CNDA est obligatoire.

Oui. L’équivalence des preuves s’applique également aux habilitations EDC PSC, sous réserve du respect de la compatibilité ascendante, de la cohérence entre LPS, Proxy e-santé et périmètre déclaré. Les preuves déjà validées ne sont pas redemandées, sauf en cas de modification du périmètre concerné.

Dans l'exigence LGC.MDV.08, par l'étape du scénario « montrer que le système peut afficher le CR de biologie intégré », il est attendu de démontrer que le LGC est capable de :

• Afficher le PDF du compte rendu du biologie tel qu'il a été intégré dans le système
• A la demande du médecin, d'afficher également la représentation du document au format CDA R2 niveau 3 en utilisant une feuille de style permettant une lecture compréhensible par l’utilisateur.

L’affichage du CDA R2 N3 n’est donc pas nécessairement automatique, mais doit être accessible sur action explicite de l’utilisateur.
L’objectif est de vérifier que le système peut restituer le document intégré à la fois dans son format de restitution habituel (PDF) et dans son format structuré CDA R2 N3, avec un affichage lisible pour le professionnel de santé.

L'ENS doit déposer sur la plateforme Convergence au moins une fois son dossier avant le jalon de fin de dépôt du dossier administratif (Date 1). 

L’ANS procède ensuite à l’analyse de l’éligibilité de la solution logicielle de l’ENS au dispositif. Et une fois que sa solution logicielle est déclarée éligible, l’ENS procède aux dépôts des preuves. Une fois cette étape franchie ou après ce jalon (Date 1) si un dossier a bien été déposé dans les temps, l'ENS peut demander à modifier son dossier administratif afférent à son dispositif, que ce soit par exemple au niveau du Proxy ou au niveau des composants additionnels. 

L’ANS se charge de rouvrir les étapes correspondantes, soit la Candidature administrative, soit l’Eligibilité. Un point d’attention : ces changements à l’étape Candidature administrative, ou à l’étape Eligibilité ou aux deux étapes, peuvent entrainer des modifications sur les preuves à déposer ensuite.