-
Notifications
You must be signed in to change notification settings - Fork 181
/
hds-v2023-a.yaml
617 lines (617 loc) · 32.5 KB
/
hds-v2023-a.yaml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
urn: urn:intuitem:risk:library:hds-v2023-a
locale: fr
ref_id: HDS-v2023-A
name: HDS v2023-A
description: "R\xE9f\xE9rentiel de certification H\xE9bergeur de donn\xE9es de sant\xE9\
\ (HDS) - Exigences"
copyright: "Loi fran\xE7aise et europ\xE9enne"
version: '1'
provider: "Agence du Num\xE9rique en Sant\xE9"
packager: intuitem
objects:
framework:
urn: urn:intuitem:risk:framework:hds-v2023-a
ref_id: HDS-v2023-A
name: HDS v2023-A
description: "R\xE9f\xE9rentiel de certification H\xE9bergeur de donn\xE9es de\
\ sant\xE9 (HDS) - Exigences"
requirement_nodes:
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-01]
assessable: false
depth: 1
ref_id: '[EXI 01]'
description: "La certification d\u2019un H\xE9bergeur n\xE9cessite :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node3
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-01]
description: "Qu\u2019il ait mis en \u0153uvre un Syst\xE8me de Management de\
\ la S\xE9curit\xE9 de l\u2019Information (SMSI) certifi\xE9 selon la norme\
\ ISO 27001, compl\xE9t\xE9e des exigences d\xE9finies au chapitre 5 (exigences\
\ 02 \xE0 16) ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node5
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-01]
description: "Que le domaine d\u2019application de ce SMSI couvre l\u2019ensemble\
\ des activit\xE9s d\u2019h\xE9bergement de donn\xE9es de sant\xE9 de l\u2019\
H\xE9bergeur ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node7
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-01]
description: "Que les contrats conclus avec ses clients r\xE9pondent aux exigences\
\ d\xE9finies au chapitre 6 (exigences 17 \xE0 27) ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node9
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-01]
description: "Qu\u2019il respecte les exigences relatives \xE0 la souverainet\xE9\
\ d\xE9finies au chapitre 7 (exigences 28 \xE0 31) ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node11
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-01]
description: "Qu\u2019il communique \xE0 ses clients la pr\xE9sentation des\
\ garanties formalis\xE9e conform\xE9ment au chapitre 8."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-02]
assessable: true
depth: 1
ref_id: '[EXI 02]'
description: "Dans la d\xE9termination de ses enjeux externes et internes, l\u2019\
H\xE9bergeur doit prendre en compte le fait que sa mission lui impose la protection\
\ des DSCP qui lui sont confi\xE9es par ses clients."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-03]
assessable: true
depth: 1
ref_id: '[EXI 03]'
description: "Dans la d\xE9termination des exigences des parties int\xE9ress\xE9\
es, l\u2019H\xE9bergeur doit prendre en compte le cadre juridique applicable\
\ en mati\xE8re de protection des DSCP."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-04]
assessable: true
depth: 1
ref_id: '[EXI 04]'
description: "Le domaine d\u2019application du SMSI doit comprendre l\u2019\
ensemble des traitements de DSCP assur\xE9s par l\u2019H\xE9bergeur. Il doit\
\ couvrir tous les moyens et processus de traitement des DSCP, notamment les\
\ sauvegardes et les transferts de supports mat\xE9riels de l\u2019information."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
assessable: false
depth: 1
ref_id: '[EXI 05]'
description: "Lors de l\u2019appr\xE9ciation des risques, l\u2019H\xE9bergeur\
\ doit a minima envisager les \xE9v\xE9nements suivants :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node16
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
description: "A. D\xE9faillance des supports mat\xE9riels de l\u2019information\
\ due \xE0 des menaces physiques et environnementales."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node17
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
description: "B. Perte de contr\xF4le de supports mat\xE9riels de l\u2019information,\
\ notamment \xE0 l\u2019occasion :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node18
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node17
description: a. De copie des DSCP sur des supports portables ;
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node20
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node17
description: "b. De mat\xE9rialisation (\xE9ventuelle) sous format documents\
\ papier ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node22
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node17
description: "c. De r\xE9allocation des espaces de stockage. "
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node24
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
description: "C. D\xE9gradation, compromission ou rupture d\u2019un flux d\u2019\
information interne ou externe sous la responsabilit\xE9 de l\u2019H\xE9bergeur."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node25
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
description: "D. D\xE9faillance de la ma\xEEtrise des acc\xE8s attribu\xE9s,\
\ que ce soit aux personnels sous le contr\xF4le de l\u2019organisation ou\
\ \xE0 ceux d\xE9sign\xE9s par ses clients :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node26
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node25
description: "a. Attribution, modification et retrait des droits d\u2019acc\xE8\
s ; "
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node27
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node25
description: "b. Distribution des moyens d\u2019identification \xE9lectroniques\
\ ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node28
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node25
description: "c. Tra\xE7abilit\xE9 et imputabilit\xE9 des acc\xE8s ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node29
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node25
description: "d. Acc\xE8s occasionnels lors des audits et tests d\u2019intrusion."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node30
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
description: "E. D\xE9faillance de la ma\xEEtrise des interventions, qu\u2019\
elles soient \xE0 l\u2019initiative de l\u2019organisation ou commandit\xE9\
es par un client."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node31
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
description: "F. Usages impr\xE9vus du service, par maladresse ou malveillance."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node32
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
description: "G. D\xE9faillances mat\xE9rielles ou logicielles, avec incapacit\xE9\
\ \xE0 respecter les engagements de continuit\xE9 ou de reprise d\u2019activit\xE9\
."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node33
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-05]
description: "H. Suj\xE9tion de l\u2019H\xE9bergeur ou des \xE9ventuels sous-traitants\
\ \xE0 des l\xE9gislations extra-europ\xE9ennes pouvant entrainer une violation\
\ des DSCP."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-06]
assessable: true
depth: 1
ref_id: '[EXI 06]'
description: "En cas de recours \xE0 la sous-traitance, l\u2019H\xE9bergeur\
\ doit s\u2019assurer qu\u2019il ma\xEEtrise les changements des mesures techniques\
\ et organisationnelles de ses sous-traitants permettant de traiter les risques\
\ identifi\xE9s."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-07]
assessable: false
depth: 1
ref_id: '[EXI 07]'
description: "Afin de r\xE9duire les risques d\u2019usage impr\xE9vu du syst\xE8\
me, l\u2019H\xE9bergeur doit s\u2019assurer que :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node36
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-07]
description: "Les interfaces propos\xE9es aux clients sont disponibles au moins\
\ en langue fran\xE7aise ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node37
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-07]
description: "Le support de premier niveau est au moins en langue fran\xE7aise."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-08]
assessable: true
depth: 1
ref_id: '[EXI 08]'
description: "La d\xE9claration d\u2019applicabilit\xE9 doit \xEAtre disponible\
\ en langue fran\xE7aise pour les auditeurs qui en feront la demande."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-09]
assessable: true
depth: 1
ref_id: '[EXI 09]'
description: "Les objectifs de s\xE9curit\xE9 de l\u2019information \xE9tablis\
\ par l\u2019H\xE9bergeur doivent int\xE9grer la protection des DSCP qui lui\
\ sont confi\xE9es par ses clients et comporter le respect des obligations\
\ du RGPD."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-10]
assessable: false
depth: 1
ref_id: '[EXI 10]'
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node41
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-10]
description: "Les personnels travaillant pour l\u2019H\xE9bergeur doivent \xEA\
tre sensibilis\xE9s \xE0 la criticit\xE9 en termes de disponibilit\xE9, de\
\ confidentialit\xE9 et d\u2019int\xE9grit\xE9 des DSCP h\xE9berg\xE9es."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node42
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-10]
description: "Cette exigence s\u2019applique \xE9galement au personnel des sous-traitants\
\ \xE9ventuels de l\u2019H\xE9bergeur."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-11]
assessable: false
depth: 1
ref_id: '[EXI 11]'
description: "L\u2019H\xE9bergeur doit :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node44
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-11]
description: "Maintenir une liste des points de contact pour chacun des clients.\
\ Ce point de contact doit \xEAtre en mesure de d\xE9signer \xE0 l\u2019H\xE9\
bergeur un professionnel de sant\xE9 habilit\xE9 \xE0 acc\xE9der aux DSCP\
\ lorsque cela est n\xE9cessaire."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node45
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-11]
description: "\xCAtre en capacit\xE9 de transmettre sans d\xE9lai cette liste\
\ \xE0 l\u2019autorit\xE9 comp\xE9tente sur demande, notamment en cas de suspension\
\ ou de retrait de la certification."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-12]
assessable: false
depth: 1
ref_id: '[EXI 12]'
description: "L\u2019H\xE9bergeur doit communiquer \xE0 ses clients :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node47
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-12]
description: "Une copie du certificat de conformit\xE9 HDS. Cette copie constitue\
\ une garantie pour le Client de l\u2019H\xE9bergeur du respect des exigences\
\ de conformit\xE9 ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node48
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-12]
description: "Le certificat de ses sous-traitants participant \xE0 l\u2019activit\xE9\
\ d\u2019h\xE9bergement lorsqu\u2019ils sont certifi\xE9s HDS."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-13]
assessable: true
depth: 1
ref_id: '[EXI 13]'
description: "L\u2019H\xE9bergeur doit planifier et contr\xF4ler la r\xE9partition\
\ des responsabilit\xE9s en termes de s\xE9curit\xE9 de l\u2019information\
\ entre l\u2019H\xE9bergeur et son client."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-14]
assessable: true
depth: 1
ref_id: '[EXI 14]'
description: "En cas de recours \xE0 un sous-traitant certifi\xE9 pour la r\xE9\
alisation de tout ou partie du service d\u2019h\xE9bergement, l\u2019H\xE9\
bergeur doit pr\xE9voir une proc\xE9dure permettant d\u2019encadrer le risque\
\ de perte ou de suspension de la certification du sous-traitant."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-15]
assessable: false
depth: 1
ref_id: '[EXI 15]'
description: "L\u2019H\xE9bergeur doit permettre au client d\u2019effectuer\
\ les v\xE9rifications suivantes du niveau de s\xE9curit\xE9 propos\xE9 :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node52
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-15]
description: "Si l\u2019H\xE9bergeur met \xE0 la disposition du client des ressources\
\ qui lui sont sp\xE9cifiques, le client peut r\xE9aliser ou mandater des\
\ audits de s\xE9curit\xE9 technique sur ces seules ressources sp\xE9cifiques.\
\ L\u2019organisation assiste le client ou son intervenant mandat\xE9 dans\
\ le maintien de la s\xE9curit\xE9 de l\u2019information durant ces audits\
\ ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node53
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-15]
description: "Sur demande du client, l\u2019H\xE9bergeur doit lui communiquer\
\ la synth\xE8se manag\xE9riale d\u2019un rapport d\u2019audit technique portant\
\ sur les ressources mutualis\xE9es dans le cadre du service. Cet audit doit\
\ \xEAtre r\xE9alis\xE9 par un auditeur ind\xE9pendant et dater de moins de\
\ trois ans ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node54
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-15]
description: "L\u2019H\xE9bergeur doit permettre au client de consulter les\
\ traces d\u2019acc\xE8s aux DSCP port\xE9es par des ressources sp\xE9cifiques\
\ ou auxdites ressources par les personnels sous son contr\xF4le ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node55
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-15]
description: "L\u2019H\xE9bergeur doit d\xE9finir les modalit\xE9s permettant\
\ \xE0 son client de consulter son dernier rapport d\u2019audit de certification\
\ HDS."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-16]
assessable: false
depth: 1
ref_id: '[EXI 16]'
description: "Les audits internes effectu\xE9s par l\u2019H\xE9bergeur doivent\
\ comprendre a minima :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node57
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-16]
description: "Un audit permettant de d\xE9terminer si le SMSI est conforme aux\
\ exigences du pr\xE9sent r\xE9f\xE9rentiel et est efficacement mis en \u0153\
uvre et maintenu ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node58
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-16]
description: "Un audit des traces des acc\xE8s par les personnes op\xE9rant\
\ pour le compte de l\u2019organisation aux DSCP ou aux syst\xE8mes utilis\xE9\
s pour leur traitement."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-17]
assessable: true
depth: 1
ref_id: '[EXI 17]'
description: "Conform\xE9ment au 1\xB0 de l\u2019article R.1111-11 du CSP, le\
\ contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son Client\
\ doit comporter une clause mentionnant l\u2019indication du p\xE9rim\xE8\
tre du certificat de conformit\xE9 obtenu par l\u2019H\xE9bergeur, ainsi que\
\ ses dates de d\xE9livrance et de renouvellement."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-18]
assessable: true
depth: 1
ref_id: '[EXI 18]'
description: "Conform\xE9ment au 2\xB0 de l\u2019article R.1111-11 du CSP, le\
\ contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son Client\
\ doit comporter une clause relative \xE0 la description des prestations r\xE9\
alis\xE9es, comprenant le contenu des services et r\xE9sultats attendus notamment\
\ aux fins de garantir la disponibilit\xE9, l'int\xE9grit\xE9, la confidentialit\xE9\
\ et l'auditabilit\xE9 des donn\xE9es h\xE9berg\xE9es."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-19]
assessable: true
depth: 1
ref_id: '[EXI 19]'
description: "Conform\xE9ment au 4\xB0 de l\u2019article R.1111-11 du CSP, le\
\ contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son Client\
\ doit comporter une clause relative aux mesures mises en \u0153uvre pour\
\ garantir le respect des droits des personnes concern\xE9es par les donn\xE9\
es de sant\xE9. Cette clause doit notamment comporter les mentions suivantes\
\ : les modalit\xE9s d\u2019exercice des droits d\u2019acc\xE8s, de rectification,\
\ de limitation, d\u2019opposition, d\u2019effacement et de portabilit\xE9\
\ des donn\xE9es (lorsqu\u2019ils sont applicables), les modalit\xE9s de signalement\
\ au responsable de traitement d\u2019une violation des donn\xE9es \xE0 caract\xE8\
re personnel, les modalit\xE9s de conduite des audits par le d\xE9l\xE9gu\xE9\
\ \xE0 la protection des donn\xE9es."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-20]
assessable: true
depth: 1
ref_id: '[EXI 20]'
description: "Conform\xE9ment au 5\xB0 de l\u2019article R.1111-11 du CSP, le\
\ contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son Client\
\ doit comporter une clause mentionnant le r\xE9f\xE9rent contractuel du client\
\ de l'H\xE9bergeur \xE0 contacter pour le traitement des incidents ayant\
\ un impact sur les donn\xE9es de sant\xE9 h\xE9berg\xE9es."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-21]
assessable: true
depth: 1
ref_id: '[EXI 21]'
description: "Conform\xE9ment au 6\xB0 de l\u2019article R.1111-11 du CSP, le\
\ contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son Client\
\ doit comporter une clause pr\xE9cisant les indicateurs de qualit\xE9 et\
\ de performance permettant la v\xE9rification du niveau de service annonc\xE9\
, le niveau garanti, la p\xE9riodicit\xE9 de leur mesure, ainsi que l'existence\
\ ou l'absence de p\xE9nalit\xE9s applicables au non-respect de ceux-ci."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-22]
assessable: true
depth: 1
ref_id: '[EXI 22]'
description: "Conform\xE9ment au 7\xB0 de l\u2019article R. 1111-11 du CSP,\
\ le contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son\
\ Client doit pr\xE9voir une information sur les conditions de recours \xE0\
\ d'\xE9ventuels prestataires techniques externes et les engagements de l'H\xE9\
bergeur pour que ce recours assure un niveau de protection \xE9quivalent de\
\ garantie au regard des obligations pesant sur l'H\xE9bergeur, dans le respect\
\ de l\u2019article 28.4 du RGPD."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-23]
assessable: true
depth: 1
ref_id: '[EXI 23]'
description: "Conform\xE9ment au 8\xB0 de l\u2019article R.1111-11 du CSP, le\
\ contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son Client\
\ doit d\xE9crire les modalit\xE9s retenues pour encadrer les acc\xE8s aux\
\ donn\xE9es de sant\xE9 \xE0 caract\xE8re personnel h\xE9berg\xE9es."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-24]
assessable: false
depth: 1
ref_id: '[EXI 24]'
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node67
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-24]
description: "Conform\xE9ment au 9\xB0 de l\u2019article R. 1111-11 du CSP,\
\ le contrat d\u2019h\xE9bergement doit pr\xE9ciser les obligations de l\u2019\
H\xE9bergeur \xE0 l\u2019\xE9gard de son Client en cas de modifications ou\
\ d'\xE9volutions techniques introduites par lui ou impos\xE9es par le cadre\
\ l\xE9gal applicable. "
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node68
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-24]
description: "Le contrat d\u2019h\xE9bergement doit en outre pr\xE9voir l\u2019\
accord pr\xE9alable du Client dans le cas o\xF9 ces modifications ou \xE9\
volutions introduites par l\u2019H\xE9bergeur ne respectent pas :\n- Les niveaux\
\ de service tels que requis au chapitre 6.5.\n- Les garanties d\xE9finies\
\ aux chapitres 6.2 et 6.9."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-25]
assessable: true
depth: 1
ref_id: '[EXI 25]'
description: "Conform\xE9ment au 10\xB0 de l\u2019article R.1111-11 du CSP,\
\ le contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son\
\ Client doit pr\xE9voir une information sur les garanties et les proc\xE9\
dures mises en place par l\u2019H\xE9bergeur permettant de couvrir toute d\xE9\
faillance \xE9ventuelle de sa part."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-26]
assessable: true
depth: 1
ref_id: '[EXI 26]'
description: "Conform\xE9ment au 11\xB0 de l\u2019article R.1111-11 du CSP,\
\ le contrat d\u2019h\xE9bergement conclu entre l\u2019H\xE9bergeur et son\
\ Client doit rappeler l'interdiction pour l'H\xE9bergeur d'utiliser les donn\xE9\
es de sant\xE9 h\xE9berg\xE9es \xE0 d'autres fins que l'ex\xE9cution de l'activit\xE9\
\ d'h\xE9bergement de donn\xE9es de sant\xE9."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-27]
assessable: true
depth: 1
ref_id: '[EXI 27]'
description: "Conform\xE9ment aux 12\xB0 \xE0 14\xB0 de l\u2019article R.1111-11\
\ du CSP, une clause relative \xE0 la r\xE9versibilit\xE9 doit en pr\xE9senter\
\ les modalit\xE9s \xE0 la fin de la prestation ou en cas d'arr\xEAt anticip\xE9\
\ de la prestation quel qu\u2019en soit le motif, avec a minima :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node72
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-27]
description: "L\u2019engagement de restitution de la totalit\xE9 des informations\
\ confi\xE9es au titre de la prestation ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node73
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-27]
description: "L\u2019engagement de destruction de toute copie de ces informations\
\ \xE0 l\u2019issue de la restitution\_;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node74
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-27]
description: "Les modalit\xE9s de calcul des co\xFBts et d\xE9lais pour la restitution\
\ des copies ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node75
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-27]
description: "Les formats de restitution, lisibles et exploitables \xE0 des\
\ fins de portabilit\xE9 des donn\xE9es de sant\xE9, et le cas \xE9ch\xE9\
ant les modalit\xE9s permettant le d\xE9placement des machines virtuelles/conteneurs."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-28]
assessable: true
depth: 1
ref_id: '[EXI 28]'
description: "Quelle que soit l\u2019activit\xE9 d\u2019h\xE9bergement de DSCP\
\ propos\xE9e au Client par l\u2019H\xE9bergeur ou l\u2019un de ses sous-traitants,\
\ et d\xE8s lors que celle-ci implique un stockage de DSCP, alors l\u2019\
H\xE9bergeur ou ses sous-traitants doivent stocker ces DSCP exclusivement\
\ au sein de l\u2019Espace Economique Europ\xE9en (EEE), sans pr\xE9judice\
\ des cas d\u2019acc\xE8s \xE0 distance vis\xE9e \xE0 l\u2019exigence n\xB0\
29. L\u2019H\xE9bergeur documente et communique au Client la localisation\
\ de ce stockage."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-29]
assessable: false
depth: 1
ref_id: '[EXI 29]'
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node78
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-29]
description: "Lorsque la prestation propos\xE9e par l\u2019H\xE9bergeur ou l\u2019\
un de ses sous-traitants implique un acc\xE8s \xE0 distance depuis un pays\
\ qui ne fait pas partie de l\u2019Espace Economique Europ\xE9en (EEE), cet\
\ acc\xE8s doit \xEAtre fond\xE9 sur une d\xE9cision d\u2019ad\xE9quation\
\ de la Commission adopt\xE9e vertu de l\u2019article 45 du RGPD[1] ou, \xE0\
\ d\xE9faut, sur l\u2019une des garanties appropri\xE9es pr\xE9vues \xE0 l\u2019\
article 46 du r\xE8glement."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node79
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-29]
description: "Dans ce dernier cas, l\u2019h\xE9bergeur informe son client de\
\ l\u2019absence de d\xE9cision d\u2019ad\xE9quation, d\u2019une part, et\
\ des garanties appropri\xE9es au sens de l\u2019article 46 du RGPD mises\
\ en place pour encadrer cet acc\xE8s \xE0 distance, d\u2019autre part."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node80
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-29]
description: "L\u2019h\xE9bergeur indique au client et documente les garanties\
\ appropri\xE9es mises en place, ainsi que le cas \xE9ch\xE9ant, tout autre\
\ mesure permettant d\u2019assurer un niveau de protection des donn\xE9es\
\ \xE9quivalent \xE0 celui garanti par le droit de l\u2019Union Europ\xE9\
enne."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-30]
assessable: true
depth: 1
ref_id: '[EXI 30]'
description: "Lorsque l\u2019H\xE9bergeur, ou l\u2019un de ses sous-traitants\
\ intervenant dans la prestation d\u2019h\xE9bergement, est soumis \xE0 la\
\ l\xE9gislation d\u2019un pays tiers n\u2019assurant pas un niveau de protection\
\ ad\xE9quat au sens de l\u2019article 45 du RGPD, l\u2019H\xE9bergeur doit\
\ indiquer dans le contrat qui le lie \xE0 son client et porter \xE0 la connaissance\
\ de l\u2019organisme certificateur :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node82
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-30]
description: "- La liste des r\xE9glementations extra-europ\xE9ennes en vertu\
\ desquelles l\u2019H\xE9bergeur, ou l\u2019un de ses soustraitants intervenant\
\ dans la prestation d\u2019h\xE9bergement, serait tenu de permettre un acc\xE8\
s non autoris\xE9 par le droit de l\u2019Union aux DSCP, au sens de l\u2019\
article 48 du RGPD ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node83
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-30]
description: "- Les mesures mises en \u0153uvre par l\u2019H\xE9bergeur pour\
\ att\xE9nuer les risques d\u2019acc\xE8s non autoris\xE9 aux DSCP induits\
\ par ces r\xE9glementations extra-europ\xE9ennes ;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node84
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-30]
description: "- La description des risques r\xE9siduels d\u2019acc\xE8s non\
\ autoris\xE9s aux DSCP via des r\xE9glementations extraeurop\xE9ennes qui\
\ demeureraient malgr\xE9 ces mesures"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-31]
assessable: false
depth: 1
ref_id: '[EXI 31]'
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node86
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-31]
description: "L\u2019H\xE9bergeur doit rendre publique et mettre \xE0 jour la\
\ cartographie des transferts des DSCP vers un pays n'appartenant pas \xE0\
\ l\u2019Espace Economique Europ\xE9en y compris les acc\xE8s distants \xE9\
ventuels mentionn\xE9s \xE0 l\u2019exigence n\xB0 29 ainsi que la description\
\ des risques d\u2019acc\xE8s non autoris\xE9 vis\xE9s par l\u2019exigence\
\ n\xB0 30. Les modalit\xE9s d\u2019information du public doivent prendre\
\ la forme suivante :"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node87
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node86
description: "- Dans le cas o\xF9 l\u2019activit\xE9 certifi\xE9e b\xE9n\xE9\
ficie d\u2019une qualification SecNumCloud (version 3.2), l'H\xE9bergeur doit\
\ communiquer l\u2019information suivante : \xAB aucun risque d\u2019acc\xE8\
s impos\xE9 par la l\xE9gislation d\u2019un pays tiers en violation du droit\
\ de l\u2019Union \xBB"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node88
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node86
description: "- Dans le cas o\xF9 l\u2019activit\xE9 certifi\xE9e ne b\xE9n\xE9\
ficie pas d\u2019une qualification SecNumCloud (version 3.2) et ne comporte\
\ pas de transfert de DSCP vers un pays n'appartenant pas \xE0 l\u2019Espace\
\ Economique Europ\xE9en, l'H\xE9bergeur doit communiquer l\u2019information\
\ suivante : \xAB aucun transfert de donn\xE9es de sant\xE9 \xE0 caract\xE8\
re personnel vers un pays tiers \xE0 l\u2019espace \xE9conomique europ\xE9\
en \xBB;"
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node89
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:node86
description: "- Dans le cas o\xF9 l\u2019activit\xE9 certifi\xE9e ne b\xE9n\xE9\
ficie pas d\u2019une qualification SecNumCloud (version 3.2) et comporte un\
\ ou plusieurs transferts de DSCP vers un pays n'appartenant pas \xE0 l\u2019\
Espace Economique Europ\xE9en ou un risque d\u2019acc\xE8s non autoris\xE9\
\ vis\xE9 par l\u2019exigence n\xB030, l'H\xE9bergeur doit communiquer les\
\ informations figurant dans le tableau fourni au chapitre 8."
- urn: urn:intuitem:risk:req_node:hds-v2023-a:node90
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:hds-v2023-a:[exi-31]
description: "L'H\xE9bergeur doit mettre ces informations \xE0 la disposition\
\ du public de mani\xE8re lisible sur une page d\xE9di\xE9e d\u2019un site\
\ internet accessible et communiquer l\u2019URL de la page \xE0 l\u2019organisme\
\ certificateur. Cette URL a vocation \xE0 \xEAtre publi\xE9e dans la liste\
\ des h\xE9bergeurs certifi\xE9s sur le site de l\u2019ANS."