Opzetten beveiligde verbinding met de ZIM

Eis:
Het GBx dient voor het landelijk uitwisselen van patiëntgegevens een TLS-sessie met de ZIM met de volgende kenmerken op te zetten:

1. tweezijdige authenticatie met behulp van het servercertificaat van de ZIM en
   
   

• (indien tokenauthenticatie) het servercertificaat van het GBx voor vertrouwensniveau midden

• het servercertificaat van het GBx voor vertrouwensniveau laag {GBK} en midden
   tijdelijke sleutels die elke 5 minuten ververst worden door middel van TLS Secure Renegotiation;
   gebruikmakend van Cipher Suites die door het NCSC minimaal worden gekenmerkt als goed;
   gebruikmakend van de sterkste cipher suite die gedeeld wordt met de ZIM;
   gebruikmakend van de hoogste toegestane TLS-versie die door beide partijen wordt ondersteunt;
   een ongebruikte TLS-sessie van maximaal 15 minuten.
   
  Toelichting bij eis:
  Dit is nodig opdat een GBx een voldoende hoog beveiligingsniveau kan afdwingen bij het opzetten van een TLS-sessie met de ZIM.
  Dit betekent voor de organisatie dat hij of zijn XIS-leverancier de bovenstaande parameters moet instellen in de TLS-library in de betrokken applicatie(s) en/of de eventuele communicatieserver. Het GBx is niet in staat te controleren of de ZIM daadwerkelijk het (server)certificaat van de GBx opvraagt, maar mag er impliciet van uitgaan dat dit gebeurt en dat de ZIM het certificaat ook controleert. Hiermee wordt tweezijdige authenticatie bewerkstelligd.