Énoncé de politique du prestataire de services de répertoire du secteur de la santé pendant la phase expérimentale Date : 1 er juillet 2009 Version : 1.1
Table des matières 1. Introduction... 4 1.1 Mise en contexte... 4 1.2 Objet... 4 1.3 Acronymes... 4 1.4 Définitions... 4 1.4.1 Certificat... 4 1.4.2 Dispositif... 4 1.4.3 Personne qui agit en se fondant sur un certificat... 4 2. Dispositions générales... 5 2.1 Rôles et responsabilités... 5 2.1.1 Ministre de la Santé et des Services sociaux... 5 2.1.2 Prestataire de services de certification (PSC)... 5 2.1.3 Prestataire de services de répertoire (PSR)... 6 2.1.4 Titulaire de certificat... 7 2.1.5 Personne qui agit en se fondant sur un certificat... 7 3. Description des services de répertoire... 8 3.1 Contenu du répertoire... 8 3.2 Informations dont l exactitude est confirmée... 8 3.3 Garanties offertes... 8 3.4 Utilisation des services de répertoire... 8 3.5 La périodicité de la révision de l'information et procédure de mise à jour... 8 3.6 Personne pouvant inscrire l information au répertoire... 8 3.7 Limites d utilisation d une inscription contenue au répertoire... 8 3.8 Information additionnelle... 8 3.9 Politique de confidentialité... 9 3.10 Traitement des plaintes... 9 3.11 Cessation des activités... 9 3.12 Administration de l énoncé de politique... 9 3.12.1 Publication de l énoncé de politique du PSR... 9 3.12.2 Procédure de modification de l énoncé de politique du PSR et approbation... 9 Page 2 sur 11
3.13 Mesures et contrôles de sécurité pour les services de répertoire... 9 ANNEXE 1... 10 Mesures et contrôles de sécurité pour les services de répertoire... 10 Exigences quant aux locaux... 10 Exigences quant aux obligations de gestion des accès... 10 Mesures de sécurité administratives pour le PSR et son personnel... 11 Séparation des tâches... 11 Ressources du PSR... 11 Sanctions... 11 Cloisonnement des journaux et des archives... 11 Conservation et archivage... 11 Page 3 sur 11
1. Introduction 1.1 Mise en contexte Les conditions de mise en œuvre de la deuxième phase du projet expérimental du Dossier de santé du Québec (conditions de mise en œuvre), par le ministre de la Santé et des Services sociaux (ministre), introduisent la mise en place de services de répertoire permettant notamment de confirmer la validité d'un certificat délivré par le prestataire de services de certification dans le secteur de la santé. La Régie de l assurance maladie du Québec (Régie) est identifiée, à l article 64 des conditions de mise en œuvre, comme prestataire de services de répertoire (PSR) et, à ce titre, elle doit publier un énoncé de politique. 1.2 Objet Le présent énoncé de politique vise notamment à: o permettre à une personne qui veut agir en se fondant sur un certificat de prendre connaissance des niveaux de qualité et de confiance rattachés aux services de répertoire; o indiquer les principales responsabilités et obligations auxquelles sont astreints les intervenants impliqués dans la prestation des services de répertoire. 1.3 Acronymes GRTC : Gestionnaire du registre des titulaires de certificats MSSS : Ministère de la santé et des services sociaux PSC : Prestataire de services de certification PSR : Prestataire de services de répertoire 1.4 Définitions 1.4.1 Certificat Un certificat est un ensemble de données dont le contenu minimal est défini à l article 48 de la Loi concernant le cadre juridique des technologies de l information (L.R.Q. c. C-1.1). Le certificat est signé à l aide de la clé privée du PSC et sert à établir un ou plusieurs faits, notamment confirmer l identité d une personne. 1.4.2 Dispositif Un dispositif est un support matériel qui sert à entreposer un certificat délivré à une personne, lorsque le niveau de confiance le requiert, et qui doit répondre aux normes concernant les dispositifs cryptographiques utilisés dans le cadre des services de certification du secteur de la santé pendant la phase expérimentale. 1.4.3 Personne qui agit en se fondant sur un certificat Toute personne, physique ou morale, qui fait confiance à un certificat ou à une signature associée à un certificat qui lui est présenté et sur la base duquel elle communique ou reçoit communication d un renseignement ou d une information dans le cadre du projet expérimental. Page 4 de 11
2. Dispositions générales 2.1 Rôles et responsabilités 2.1.1 Ministre de la Santé et des Services sociaux Le ministre assure l encadrement des services de certification et de répertoire requis pour la mise en œuvre du projet expérimental du Dossier de santé du Québec (Dossier de santé), dont les conditions de sa mise en œuvre ont été décrétées par le gouvernement le 23 avril 2008, et celles de sa deuxième phase, le 18 juin 2009. À ce titre, le ministre est notamment responsable : - d approuver toute entente prise par le PSC ou le PSR avec un tiers concernant la prestation de services de certification ou de services de répertoire offerts dans le secteur de la santé; - de nommer les AVI conformément à la Directive ministérielle sur les règles et modalités de gestion relatives aux services de certification et aux services de répertoire offerts dans le secteur de la santé pendant la phase expérimentale; - d assurer la coordination des actions posées par les différents acteurs impliqués dans la prestation des services de certification et de répertoire; - de s assurer que le PSC et le PSR respectent les exigences des conditions de mise en oeuvre, du présent énoncé et de toute autre règle ou modalité de gestion, notamment en ce qui concerne la gestion de la sécurité de l information. 2.1.2 Prestataire de services de certification (PSC) La Régie agit à titre de PSC. Celui-ci est chargé d administrer et d opérer des services de certification permettant la délivrance et la gestion des certificats requis pour la mise en œuvre du projet expérimental. Le PSC est responsable de l ensemble des aspects administratifs et technologiques associés à la délivrance des clés et des certificats, ainsi qu aux opérations subséquentes reliées à leur cycle de vie, à l exception de la vérification de l identité laquelle relève des agents de vérification de l identité (AVI). Le PSC est notamment responsable : - de délivrer et de gérer les certificats conformément aux conditions de mise en oeuvre et aux meilleures pratiques dans le domaine, notamment en s assurant que les vérifications nécessaires sont effectuées avant de confirmer les éléments contenus aux certificats; - de prendre un énoncé de politique en vertu de l article 52 des conditions de mise en œuvre et de le publier sur le site Internet du ministère de la Santé et des Services sociaux (MSSS) ; - de recueillir et de consigner dans le registre des titulaires de certificat (RTC), les renseignements relatifs à ces titulaires, conformément à l article 62 des conditions de mise en œuvre; - d effectuer les vérifications nécessaires pour confirmer l inscription d un utilisateur au registre des intervenants; - d effectuer les vérifications nécessaires pour confirmer le statut professionnel d une personne; - d inscrire, lors du processus de délivrance d un certificat, les renseignements nécessaires au RTC; Page 5 de 11
- de corriger, lorsque nécessaire, les renseignements des titulaires consignés au RTC; - de communiquer ces renseignements dans les limites prévues aux conditions de mise en œuvre; - de produire et transmettre au PSR l information sur les certificats annulés; - de soumettre au ministre, pour approbation, toute entente avec un tiers concernant la prestation de services de certification; - de voir à l évolution des services de certification pour répondre aux besoins du secteur de la santé; - d assurer l arrimage avec tous les partenaires impliqués dans la prestation des services de certification; - de rendre compte de ses activités au ministre par la production d un rapport de gestion; - de mettre en œuvre des moyens adéquats et conformes aux conditions de mise en oeuvre et aux meilleures pratiques pour assurer la sécurité des clés et des certificats, ainsi que la protection des renseignements consignés au RTC; - de collaborer aux vérifications demandées par le sous-ministre adjoint aux technologies de l information au MSSS, ainsi qu à l évaluation du projet expérimental prévue à l article 120 des conditions de mise en oeuvre, conformément à l article 3 de ces conditions. 2.1.3 Prestataire de services de répertoire (PSR) La Régie agit à titre de PSR. Celui-ci est chargé d offrir des services de répertoire permettant de confirmer la validité d un certificat conformément aux exigences prévues aux conditions de mise en œuvre et aux meilleures pratiques. Le PSR est notamment responsable : - d inscrire au répertoire les numéros des certificats annulés, le nom de tout PSC dûment désigné, ainsi que tout autre renseignement prévu dans son énoncé de politique pris en vertu de l article 64 des conditions de mise en œuvre; - de publier son énoncé de politique sur le site Internet du MSSS ; - de mettre en œuvre des moyens adéquats et conformes aux meilleures pratiques pour assurer la sécurité des services de répertoire; - d assurer la conservation des listes des certificats annulés et des renseignements qui y sont associés; - d offrir un service de vérification de certains éléments relatifs aux certificats; - de soumettre au ministre, pour approbation, toute entente avec un tiers concernant la prestation de services de répertoire; - de collaborer aux vérifications demandées par le sous-ministre adjoint aux technologies de l information au MSSS, ainsi qu à l évaluation du projet expérimental prévue à l article 120 des conditions de mise en oeuvre, conformément à l article 3 de ces conditions; - de voir à l évolution des services de répertoire pour répondre aux besoins du secteur de la santé; - d assurer l arrimage avec tous les partenaires impliqués dans la prestation des services de répertoire; - de rendre compte de ses activités au ministre par la production d un rapport de gestion. Page 6 de 11
2.1.4 Titulaire de certificat Le titulaire d un certificat utilise son dispositif pour accéder, lorsque requis et selon son profil d accès, aux actifs informationnels du réseau de la santé ou de la Régie ou pour accomplir une fonction de gestion, de maintenance ou de support technique auprès des intervenants habilités au sens de l article 12 des conditions de mise en œuvre, ou encore pour réaliser un mandat de pilotage, d exploitation ou de surveillance à l égard des différentes fonctionnalités mises en place dans le cadre du projet expérimental confié par le sous-ministre adjoint aux technologies de l information au MSSS. 2.1.5 Personne qui agit en se fondant sur un certificat Celui qui veut agir en se fondant sur un certificat doit vérifier : 1 l intégrité du certificat ; 2 que sa période de validité n est pas expirée ; 3 qu il n est pas suspendu ou annulé. De plus, lorsque le certificat est utilisé pour accéder au Dossier de santé ou à un système d information de l un des domaines mis en place par les conditions de mise en œuvre, ou encore, à tout autre actif informationnel qui requiert l utilisation d un certificat, celui qui agit en se fondant sur le certificat doit s assurer que la vérification à l effet que le certificat n est pas suspendu ou annulé est effectuée auprès du prestataire de services de répertoire, que le certificat a été délivré par la Régie, à titre de prestataire de services de certification dans le secteur de la santé et qu il correspond au niveau de confiance requis. Page 7 de 11
3. Description des services de répertoire 3.1 Contenu du répertoire Le répertoire contient au moins les renseignements suivants : - le numéro de série et le statut des certificats annulés; - la date et l heure auxquelles le certificat a été annulé; - le motif d annulation du certificat; - le nom du PSC dûment désigné. 3.2 Informations dont l exactitude est confirmée Le PSR confirme l exactitude de tous les renseignements énoncés à la section 3.1 des présentes, sous réserve des responsabilités qui incombent au PSC quant à l exactitude des renseignements que ce dernier lui transmet. 3.3 Garanties offertes Le prestataire de services de répertoire garantit qu il a pris les moyens raisonnables pour s assurer que les renseignements dont il confirme l exactitude sont exacts. Toutefois, cette garantie ne s étend pas à l exactitude de tout autre renseignement pouvant être inscrit dans un répertoire. 3.4 Utilisation des services de répertoire Le PSR offre aux personnes voulant agir en se fondant sur un certificat, des services de répertoire permettant notamment de confirmer la validité d'un certificat ou d'un autre renseignement que le répertoire peut comporter. 3.5 La périodicité de la révision de l'information et procédure de mise à jour Le PSC informe le PSR de toute annulation de certificats immédiatement après le changement de statut auprès de l autorité de certification. Sur réception des renseignements, le PSR met à jour le répertoire. Il conserve un historique des mises à jour reçues du PSC. 3.6 Personne pouvant inscrire l information au répertoire Seul le PSR peut inscrire des informations au répertoire. 3.7 Limites d utilisation d une inscription contenue au répertoire Les renseignements contenus au répertoire ne servent qu aux fins prévues par les conditions de mise en œuvre. 3.8 Information additionnelle Toute information additionnelle disponible mais non encore inscrite au répertoire peut être consultée sur le site Internet du MSSS. Page 8 de 11
3.9 Politique de confidentialité Tous les renseignements recueillis, utilisés, conservés ou communiqués par le PSR sont assujettis, selon le cas, à la Loi sur l accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., chapitre A-2.1) ou à la Loi sur la protection des renseignements personnels dans le secteur privé (L.R.Q, c. P-39.1) ainsi qu à toute autre loi spécifique pouvant s appliquer. Le PSR prend toutes les mesures qu il estime appropriées afin que l identité d un titulaire de certificat ne puisse être associée à l usage que ce titulaire fait de son certificat. 3.10 Traitement des plaintes Toute personne souhaitant déposer une plainte concernant les services de répertoire peut s adresser au PSR. La plainte est prise en charge selon les politiques internes de la Régie. La plainte doit être traitée dans les meilleurs délais et le traitement documenté. 3.11 Cessation des activités Un PSR qui cesse ses activités doit en informer le PSC au minimum 90 jours avant la date prévue de cessation. Il doit prendre les dispositions nécessaires pour transférer ses responsabilités, dossiers et données à un autre PSR dûment désigné par le gouvernement. De plus, dans l éventualité où le Dossier de santé ne serait pas déployé sur le territoire québécois, le PSR doit prendre les mesures nécessaires pour confirmer la validité d un certificat délivré au cours du projet expérimental, et ce, pour un délai de cinq ans suivant la date de fin du projet expérimental. 3.12 Administration de l énoncé de politique 3.12.1 Publication de l énoncé de politique du PSR Le PSR publie son énoncé de politique sur le site Internet du MSSS. 3.12.2 Procédure de modification de l énoncé de politique du PSR et approbation L énoncé de politique du PSR est modifié chaque fois que les circonstances l exigent. La nature des changements est documentée et soumise au PSC pour obtenir son avis. Le PSR peut consulter un comité constitué d un représentant de chacune des organisations impliquées et de toute autre personne dont l expertise et les compétences pourraient être jugées nécessaires. Par la suite, le PSR publie la nouvelle version de son énoncé. Finalement, selon la nature des modifications, le PSR peut décider d aviser les utilisateurs des modifications proposées. 3.13 Mesures et contrôles de sécurité pour les services de répertoire Les mesures et contrôles de sécurité décrits à l annexe 1 doivent être respectés pour les services de répertoire. Page 9 de 11
ANNEXE 1 Mesures et contrôles de sécurité pour les services de répertoire Exigences quant aux locaux 1 Le PSR est responsable de s assurer que l endroit où sont situés les systèmes, les applications et les logiciels nécessaires pour offrir les services de répertoire correspond à une zone de sécurité rencontrant les exigences minimales suivantes : a) Les locaux respectent les normes de construction normalement applicables; b) Les murs de la zone de sécurité doivent être renforcés allant du vrai plancher au vrai plafond ou au plafond suspendu avec système de détection d intrusion par le plafond suspendu; c) Le cas échéant, les fenêtres et les ouvertures de service de la zone de sécurité doivent être obstruées par un grillage ou par un laminé anti-intrusion, ne permettant pas de voir les écrans d ordinateur à l intérieur du local; d) La porte de la zone de sécurité doit être munie d un verrou de sécurité; e) L accès à la zone de sécurité ne doit être possible qu à partir d une autre zone à accès contrôlé et non depuis une zone à accès public; f) La zone de sécurité doit être pourvue d un système de surveillance ou, lorsque la surveillance n est pas possible, d un système de détection d intrusion actif en l absence d une personne autorisée; g) La zone de sécurité doit être pourvue d un panneau d identification limitant l accès au personnel autorisé seulement, affiché en évidence près des portes d accès; h) la zone de sécurité doit être branchée à un bloc ou à une source d alimentation sans coupure qui assure une alimentation électrique continue conforme aux niveaux de services offerts aux détenteurs de certificat. Cette source d alimentation doit être conforme aux normes reconnues de protection contre le feu; i) Les locaux doivent être munis de dispositifs permettant le contrôle des entrées (liste de contrôle). j) la zone de sécurité doit être munie d un système de climatisation pour la régulation de la température et de l humidité. Ce système de climatisation doit être conforme aux normes reconnues de protection contre le feu. Exigences quant aux obligations de gestion des accès Le PSR doit prendre les mesures nécessaires afin notamment de : a) S assurer que l accès sur place ou à distance à ses services de répertoire est limité uniquement aux personnes dûment autorisées par lui ; b) S assurer qu un journal des accès au site d opération et aux applications des services de répertoire est tenu à jour et vérifié périodiquement ; c) S assurer que tout incident de sécurité est adressé selon une procédure formelle à la 1 Ces exigences s appliquent aussi au RTC et au GRTC, lesquels sont situés à la Régie. Page 10 de 11
direction de la Régie. Cette procédure doit prévoir également les modalités de gestion des incidents avec les différents partenaires du PSR, dont notamment le PSC; d) S assurer que les mesures administratives encadrant le gestionnaire du RTC (GRTC), lequel est situé dans les infrastructures de la Régie, permettent les contrôles d accès appropriés dans le respect de la séparation des tâches avec le PSR; e) S assurer de prendre toutes les mesures qu il estime appropriées afin que l identité d un titulaire de certificat ne puisse être associée à l usage que ce titulaire fait de son certificat. Mesures de sécurité administratives pour le PSR et son personnel Séparation des tâches En fonction des différentes activités de gestion des services de répertoire, une séparation des tâches doit être prévue afin que les différentes personnes impliquées ne puissent contourner les mesures de sécurité et porter atteinte à l intégrité des services offerts. Ressources du PSR Les personnes impliquées dans la gestion des services de répertoire doivent : a) avoir reçu la formation nécessaire pour accomplir leurs tâches. b) n effectuer aucune tâche qui risque de les placer en situation de conflit d intérêts avec les responsabilités qui leur incombent dans le cadre de leurs fonctions; c) ne pas occuper une fonction qui peuvent les amener à connaître l identité d un titulaire de certificat, notamment des fonctions associées au PSC. Sanctions Lorsque le PSR a des motifs raisonnables de douter de la fiabilité ou de la compétence de l une de ses ressources, il doit immédiatement prendre les moyens nécessaires pour lui interdire tout accès aux services de répertoire. Cloisonnement des journaux et des archives Le PSR doit prendre les mesures nécessaires afin d assurer un cloisonnement entre les journaux produits, incluant les archives de ces journaux, par les services de répertoire afin que l identité d un titulaire de certificat ne puisse être associée à l usage que ce titulaire fait de son certificat. Conservation et archivage Le PSR doit s assurer que des procédures formelles sont en place pour assurer la gestion de l'information du PSR, et ce, tout au long du cycle de vie de cette information, notamment pour la conservation, la destruction et le transfert des renseignements ou données confidentiels. Page 11 de 11