Comment référencer les documents des preuves PSC?

Il ne faut jamais citer un document de manière globale. Chaque référence doit être précise. Vous devez systématiquement indiquer le titre du document, le numéro de version, ainsi que le chapitre, la section ou le numéro de page exact traitant de l'exigence. Un référencement imprécis (ex: citer une PSSI de 50 pages sans préciser le paragraphe) entraîne systématiquement un refus de la preuve.

Comment traiter l’exigence EDC PSC 129 sur le Plan d'Assurance Sécurité (PAS) ?

Si vous possédez un PAS, faites une référence précise aux chapitres concernés pour chaque point décrit. Si le PAS répond intégralement à l'exigence, la simple référence dans le template suffit.

Quelle attention porter aux versions et aux références des documents ?

Soyez extrêmement vigilants sur les versions des documents cités. Lorsque vous référencez un document, indiquez systématiquement les chapitres précis. Ne citez jamais un document de manière globale.

Précision sur l’exigence EDC PSC 109 (Contrôle 1) : Vérification du certificat serveur

Le logiciel client doit impérativement vérifier la validité du certificat SSL du Proxy (expiration, révocation, autorité de certification).

Faut-il référencer l’ensemble des documents dans le cadre des preuves EDC PSC ?

Oui. Le référencement doit être exhaustif. Vous devez impérativement préciser le nom du document, sa version, ainsi que les chapitres et sections.

Les traces font-elles parties des preuves dans le cadre de l'EDC PSC?

Non. Les traces brutes ne sont pas considérées comme des preuves suffisantes en soi ; elles doivent illustrer une démonstration documentée.

Peut-on fournir du code comme preuve EDC PSC ?

Non. Nous ne relisons jamais le code comme preuve. Un extrait de code n’est pas considéré comme une preuve de conformité. La preuve doit être apportée via : • le document de conformité, • les schémas, • la configuration, • les traces, • les flux, • les résultats de tests.

Un proxy eSanté doit-il intégrer systématiquement un appel au endpoint d’introspection à la réception d’un jeton ?

Dans le cas où votre proxy utilise un jeton dont il n'est pas à l'origine, par exemple : reçu par un autre proxy de l'EDC PSC, vous vous apprêtez à utiliser un jeton PSC alors que vous n'êtes pas à l’origine de l’authentification dont il est issu. Par conséquent : • une introspection du jeton PSC par le proxy est obligatoire, • une traçabilité dédiée par le proxy doit être réalisée, • et l’usage par le proxy doit être correct vis à vis des rôles FS / Proxy dans l’Espace de Confiance.

Faut-il lister les RFC dans la documentation EDC PSC ?

Oui. Vous listez toutes les RFC utilisées, en les associant à : • leur périmètre, • le composant ou le service qui les met en œuvre, • et l’usage effectif dans le produit.

Quels flux réseaux faut-il détailler dans les preuves EDC PSC ?

Vous devez détailler tous les flux, y compris internes et systèmes, par type : • SSH • LDAP • SMB • HTTP / HTTPS • Administration • Mise à jour • Méta-services internes Chaque flux doit être associé au composant qui le consomme