|
# |
Omschrijving |
Domein |
Opmerking |
|
5.010 |
Om zich te kunnen authentiseren, kunnen alle systemen betrokken bij transacties in het kader van Twiin een geldig PKI-certificaat overleggen. |
|
Een geldig PKI-certificaat is een UZI-servercertifcaat of een PKIoverheid-certficaat. |
|
5.020 |
Alle transacties in het kader van Twiin zijn beveiligd met Mutual Transport Layer Security (mTLS). |
|
|
|
5.030 |
Er wordt enkel gebruik gemaakt van TLS-versies en -algoritmen die zijn geclassificeerd als "goed" of “voldoende“ in de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), versie 2.1 van het NCSC. |
|
Een systeem biedt alleen TLS 1.3 aan als deze ook TLS 1.2 aanbiedt. Het is niet verplicht om alle algoritmen aan te bieden die in de genoemde richtlijnen als "goed" zijn geclassificeerd, maar minimaal 1. Hiermee beperk je het risico dat wanneer alleen algoritmen van niveau voldoende worden gebruikt communicatie niet meer mogelijk is als deze door het NCSC naar op een lagere classificatie krijgen. |
|
5.040 |
Transacties in het kader van Twiin worden versleuteld volgens TLS, zoals bedoeld in eis 5.020. |
|
|
|
5.050 |
Voordat daadwerkelijk transport plaats vindt, controleren de Nodes de geldigheid van elkaars certificaten door middel van CRL of OCSP. |
|
|
|
5.060 |
Systemen die de geldigheid van het UZI-servercertficaat van de andere Systemen dienen te controleren, voldoen aan de verplichting van het Certification Practice Statement (CPS) UZI-register |
|
Zie https://www.zorgcsp.nl/certification-practice-statement-cps , artikel 4.5.2 |
|
5.070 |
Systemen die de geldigheid van het PKIo-servercertficaat van de andere Systemen dienen te controleren, doen dit door middel van de meest recent gepubliceerde Certificaten Revocatie Lijst (CRL) of via het Online Certificate Status Protocol (OCSP), minimaal ieder uur. |
|
Zie https://cps.pkioverheid.nl/CPS_PA_PKIoverheid_G2_G3_Root_v4.3.pdf, paragraaf 2.2. |