Backchannel-verkeer

tussen Persoonsdomein en Aanbiedersdomein

Verkeer dat niet zichtbaar is voor Persoon. Het gaat hierbij om verkeer tussen servers uit verschillende domeinen, die zonder tussenkomst van een Persoon met elkaar communiceren.

Frontchannel-verkeer

tussen Persoonsdomein en Aanbiedersdomein

Al het verkeer dat zichtbaar is voor Persoon, vaak is hierbij een User-Agent betrokken.

7.

Voor authenticatie en autorisatie bij backchannel-verkeer op het MedMij-netwerk, kunnen elke PGO Node, elke ZA Node en de MedMij Stelselnode een PKIoverheid-certificaat overleggen, en wel een G1-certificaat van een PKIoverheid TSP.

• Private Root CA (per medio 2020 de standaard voor m2m)

  • Stamcertificaat

    • Staat der Nederlanden Private Root CA - G1

  • Domein Private Services, maar alleen de volgende:

    • Staat der Nederlanden Private Services CA - G1

    • KPN PKIoverheid Private Services CA - G1

    • QuoVadis PKIoverheid Private Services CA - G1

    • Digidentity BV PKIoverheid Private Services CA - G1

core.tls.314

8.

Voor authenticatie en autorisatie bij frontchannel-verkeer tussen productieomgevingen op het MedMij-netwerk, kunnen elke PGO Node, elke ZA Node en de MedMij Stelselnode een PKI-certificaat overleggen dat aan de volgende eisen voldoet:

1. De vereisten aan de certificaat leverancier voor PKI certificaten zijn:

   1. De meest up-to-date WebTrust audit is succesvol doorlopen en de certificering is geldig voor de ‘Certificatie Authority’ op iedere schakel in de keten van ondertekeningen tot en met de uitgifte processen.

2. De technische vereisten zijn:

   1. De ‘private key’ moet worden gegenereerd op het doelplatform waar het PKI certificaat wordt toegepast.

   2. Bij gebruik van publieke PKI certificaten is de toepassing van ‘Certification Authority Authorization Resource Record’ vereist.

   3. Het toepassen van DNSSEC op de gebruikte domeinen is vereist onder de voorwaarden van pas-toe-of-leg-uit. Strengere eisen kunnen worden gesteld vanuit aanvullende kaders, zoals aansluitvoorwaarden.

   4. Het gebruik van wildcard certificaten wordt niet toegestaan.

   5. Het gebruik van ‘multi-domain’-certificaten is toegestaan, onder de voorwaarde dat de eigenaar van het certificaat gelijk is aan de eigenaar van alle domeinen die opgenomen zijn in de Subject Alt Name DNS waarden van het certificaat.

3. Uitgifte:

   1. Het zekerheidsuitgifte niveau moet minimaal op het OV-niveau (Organisation Validated) of met hogere zekerheid zijn uitgegeven voor publieke PKI webserver certificaten wanneer persoonsgegevens van bijzondere aard worden verwerkt. Dit is relevant voor de aanschaf van het certificaat en dit valt achteraf te controleren op het bestaan van Policy Object Identifiers (OIDs) die markeren welk type certificaat het betreft.

   2. De uitgever van de PKI certificaten is verantwoordingsplichtig aan de AVG en/of GDPR.

4. Beheer:

   1. Veilig beheer moet zijn toegepast zoals toegelicht in ‘Factsheet Veilig beheer van digitale certificaten’.

core.tls.315