IDP Regelung

Identifizierungs- und Authentifizierungsregelung für den Zugang zur Plattform Abilis für die Benutzer

1. Ziel der Regelung

Die vorliegende Regelung beinhaltet die Nutzungsbedingungen der sicheren Identifikatoren, die der Gesundheitsfachperson, ihren Hilfskräften sowie den Patienten den Zugang ermöglichen zur Gesundheitsplattform Abilis, die von Ofac betrieben wird sowie zur Stammgemeinschaft Abilis (SG Abilis), die von Abilis, der nationalen interprofessionellen Stammgemeinschaft der Medikation AG (Abilis AG) betrieben wird, via die Anwendung Identity Provider trustID der Elca Informatik AG. Die sicheren Identifikatoren unterliegen dem Service Level Agreement des Identity Provider trustID Elca Informatik AG und Ofac übernimmt keine Garantie.
Im Übrigen gelten die im Bundesgesetz über das elektronische Patientendossier und in dessen aktuellen und zukünftigen Ausführungsverordnungen vorgesehenen Regeln, insbesondere jene des Anhangs 8 der Verordnung des EDI vom 22. März 2017 sowie alle anderen Bestimmungen, die diese ersetzen.

2. Sensibilisierung der Benutzer für die Sicherheit

2.1.    Allgemeines

Alle Benutzer müssen ihre Verantwortung bezüglich Informationssicherheit kennen und sich der Bedrohungen in Sachen Informationssicherheit bewusst sein.

Die Benutzer sorgen dafür, dass die Daten zur Identifizierung und Authentifizierung vertraulich bleiben, nicht an Dritte weitergegeben werden und weder in Papierform, noch in einer nicht gesicherten Datei oder einem mobilen Endgerät aufbewahrt werden, ausser sie werden gemäss einem anerkannten Verfahren gespeichert.

2.2.    Passwörter

Die Benutzer verwenden komplexe Passwörter, um das Risiko böswilliger Zugriffe auf ihren Computer, auf ihre E-Mail-Adresse, auf die sozialen Netzwerke, auf ihre Bankkonten sowie auf trustID zu reduzieren. Das Passwort muss aus mindestens 8 Zeichen bestehen und die Benutzer wählen eine Mischung aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen (jeweils mindestens eines);
Die Benutzer wählen nicht ihren Benutzernamen als Passwort;
Die Benutzer verwenden niemals zweimal dasselbe Passwort;
Die Benutzer wählen ein unpersönliches Passwort (ohne Bezug auf persönliche Informationen, z. B. Namen, Haustiere, Geburtsdatum);
Die Benutzer vermeiden bekannte Namen oder Wörter aus dem Wörterbuch;
Die Benutzer geben ihr Passwort niemals weiter;
Die Benutzer geben ihr Passwort ausschliesslich auf vertrauenswürdigen Geräten ein;       
Die Benutzer dürfen ein Passwort, das sie bereits für einen anderen Dienst im Internet gewählt haben, nicht erneut verwenden.

2.3.    Anfrage des Passworts

Ofac und die Gesundheitsfachpersonen stellen Fragen in Bezug auf das Passwort der Benutzer niemals per E-Mail oder Telefon und übermitteln auch keine entsprechenden Informationen über diese Kanäle.
Die Benutzer geben ihre Sicherheitsinformationen niemals an Dritte weiter.
Wenn die Benutzer verdächtige E-Mails oder Anrufe erhalten, in denen sie aufgefordert werden, ihr Passwort per E-Mail, Fax, Telefon u. a. zu übermitteln, kontaktieren sie unverzüglich den Support.

2.4.    Websites

Wenn die Benutzer via Internet auf das Webportal Abilis zugreifen, vergewissern sie sich, dass sie sich am Ende der Sitzung abmelden.
Um sicherzustellen, dass die Internetseite gesichert ist, kontrollieren die Benutzer die URL, die Anzeige des https:// sowie des Schloss-Symbols in der Adresszeile. Dadurch ist gewährleistet, dass sie auf der gewünschten Internetseite sind, wenn sie sich verbinden.

2.5.    Haftung

Die Benutzer sind verantwortlich für die Geräte (Mobiltelefon, persönlicher Computer, ...), die für den Zugang zur Plattform Abilis über trustID verwendet werden.
Wenn das Mobiltelefon der Benutzer falsch konfiguriert ist, könnte der Sicherheitsgrad des Dienstes beeinträchtigt sein. Ofac kann nicht für die Konfiguration der persönlichen Geräte der Benutzer verantwortlich gemacht werden.
Die Benutzer achten ebenfalls auf sämtliche Apps, die auf ihrem Mobiltelefon und Computer installiert sind.
Die Benutzer installieren ein Antivirusprogramm sowie eine Firewall und aktualisieren diese regelmässig, um einen Befall der Geräte durch Computerviren sowie gefährliche Verbindungen zu verhindern.
Ofac kann auf keinen Fall dafür verantwortlich gemacht werden, wenn der Zugang zur Plattform Abilis nicht möglich ist. Im Allgemeinen ist die Verantwortlichkeit von Ofac nur dann gegeben, wenn eine arglistige Täuschung oder grobe Fahrlässigkeit vorliegt.

2.6.    Gemeinsinn

Die Benutzer setzen ihren gesunden Menschenverstand ein und nehmen eine kritische Haltung ein, um Betrugsversuche oder Hackerangriffe aufzudecken:

  • Sie lassen besondere Aufmerksamkeit walten, sobald etwas aus dem üblichen Rahmen fällt;

  • Sie sind misstrauisch gegenüber E-Mails, deren Absender unbekannt ist. E-Mails werden oft von böswilligen Menschen eingesetzt, um Computer mit Viren zu infizieren. Sie klicken weder auf Links noch öffnen sie in solchen E-Mails angehängte Dateien;

  • Sie antworten nicht auf Spam-E-Mails (unerwünschte Werbe-E‑Mails): Eine Antwort weist den Absender darauf hin, dass die E‑Mail-Adresse existiert, und hat die Sendung weiterer Spam-E‑Mails zur Folge;

  • Sie sind vorsichtig beim Öffnen von Anhängen in E‑Mails von Bekannten: Es ist möglich, dass deren Mailbox gehackt wurde;

  • Sie sind misstrauisch gegenüber Gewinnmitteilungen im Internet: Wenn sie beispielsweise einen Wettbewerb angeblich gewonnen haben, an dem sie gar nicht mitgemacht haben, kann dies auf einen Hackerangriff hinweisen;

  • Sie vergessen nicht, dass das Privatleben privat bleiben soll: Man soll im Internet weder alles sagen noch alles zeigen. Sobald die Daten im Internet sind, müssen sich die Benutzer bewusst sein, dass sie die Kontrolle darüber verlieren. Sobald die Daten im Internet sind, kann auf die eine oder andere Weise darauf zugegriffen werden.

  • Sie lassen besondere Aufmerksamkeit walten, sobald etwas aus dem üblichen Rahmen fällt;

  • Sie sind misstrauisch gegenüber E-Mails, deren Absender unbekannt ist. E-Mails werden oft von böswilligen Menschen eingesetzt, um Computer mit Viren zu infizieren. Sie klicken weder auf Links noch öffnen sie in solchen E-Mails angehängte Dateien;

  • Sie antworten nicht auf Spam-E-Mails (unerwünschte Werbe-E‑Mails): Eine Antwort weist den Absender darauf hin, dass die E‑Mail-Adresse existiert, und hat die Sendung weiterer Spam-E‑Mails zur Folge;

  • Sie sind vorsichtig beim Öffnen von Anhängen in E‑Mails von Bekannten: Es ist möglich, dass deren Mailbox gehackt wurde;

  • Sie sind misstrauisch gegenüber Gewinnmitteilungen im Internet: Wenn sie beispielsweise einen Wettbewerb angeblich gewonnen haben, an dem sie gar nicht mitgemacht haben, kann dies auf einen Hackerangriff hinweisen;

  • Sie vergessen nicht, dass das Privatleben privat bleiben soll: Man soll im Internet weder alles sagen noch alles zeigen. Sobald die Daten im Internet sind, müssen sich die Benutzer bewusst sein, dass sie die Kontrolle darüber verlieren. Sobald die Daten im Internet sind, kann auf die eine oder andere Weise darauf zugegriffen werden.

Weitere Informationen erhalten die Benutzer auf der Seite von MELANI (Melde- und Analysestelle Informationssicherung: https://www.melani.admin.ch/).

3.    Login Plattform Abilis

Ein Login auf die Plattform Abilis und die SG Abilis ist nur möglich, wenn zuvor ein trustID Account erstellt wurde, gemäss dem von Ofac und trustID definierten Verfahren. Dieser Schritt dient vor allem dazu, die Identität des Benutzers nachzuweisen und höchste Sicherheit zu garantieren.

4.    Mobile Anwendungen via trustID

4.1.    Allgemeines

Die Benutzer achten darauf, mobile Apps immer von offiziellen Download-Seiten herunterzuladen, wie beispielsweise: AppStore, Google Play Store usw. Sie vergewissern sich zudem, dass die Herausgeber legitim und seriös erscheinen (E-Mail-Adresse mit Bezug auf die App, kohärente Antworten auf Fragen, verständliche Beschreibungen, regelmässige Aktualisierungen ...).
Die Benutzer aktualisieren das Mobiltelefon sowie die Apps regelmässig, um das Risiko, dass böswillige Personen Sicherheitslücken nutzen, zu minimieren. Es ist darauf hinzuweisen, dass automatische Aktualisierungen aktiviert werden können.
Es ist wichtig, das Mobiltelefon immer zu sperren, wenn es nicht verwendet wird.
Bei Verlust oder Diebstahl des Mobiltelefons kontaktieren die Benutzer den trustID-Support.
Ofac stellt den Benutzern zertifizierte trustID-Identifikatoren für eine Zwei-Faktor-Authentifizierung zur Verbindung mit der Plattform Abilis und der SG Abilis zur Verfügung.

4.2.    Installation

Die mobile App trustID ist für Android und Apple verfügbar. Sie kann über Google Play Store und Apple Store heruntergeladen werden. Die Links sind auf der Website www.abilis.ch aufgeführt.
Folgende Rechte werden von trustID während der Installation verlangt:

  • iOS: Kamera, Face ID, Benachrichtigungen
  • Android: Kamera, Flashlight, Internet

4.3.    Starke Authentifizierung

Der sichere Zugang auf bestimmte sensible Ressourcen erfordert zusätzlich zum Benutzerkonto und Passwort eine starke Authentifizierung.
Diese starke Authentifizierung kombiniert zwei Authentifizierungs­methoden, beispielsweise:

  • Was Sie kennen (Passwort)

  • Was Sie besitzen (Chipkarte, Mobiltelefon)

  • Was Sie sind (Fingerabdruck)

  • Was Sie tun können (Rechnen)

Die Benutzer verbinden sich mithilfe von zwei Authentifizierungs­methoden, wodurch der sichere Zugang zur Plattform Abilis gewährleistet ist.

4.4.    Support

Wenn die Benutzer ihren Code für die starke Authentifizierung verloren haben, müssen sie einfach das Anmeldeverfahren wiederholen. Es erscheint ein neuer Code für die starke Authentifizierung.
Wenn die Benutzer Fragen haben, wenn ungewöhnliche Mitteilungen angezeigt werden oder wenn sie auf Probleme stossen, trennen sie die Verbindung unverzüglich und kontaktieren den Support.

4.5.    Änderung/Verlust des Passworts

Wenn die Benutzer ihr Passwort ändern, die Methode der starken Authentifizierung anpassen oder ihre Mobiltelefonnummer aktualisieren wollen, können sie dafür auf ein entsprechendes Self-Service-Internetportal zugreifen.
Wenn die Benutzer ihr Passwort vergessen haben, können sie ihr Passwort mithilfe des Links „Passwort vergessen“ auf der Login-Seite zurücksetzen lassen.