Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Ziff. 6. KmV-RL
Ziff. 6. KmV-RL, Anforderungen an Verfahren zur Authentifizierung bei Kontakten über Portale oder Anwendungen
6.1. 1 Bei Kontakten über Portale oder Anwendungen sind technische Verfahren zur Authentifizierung und Übertragung von Daten vorzusehen, mit denen ein Schutzniveau sichergestellt wird, das mindestens den für die jeweils betroffenen Daten festgelegten Schutzanforderungen entspricht. 2 Die Bewertung des Schutzniveaus von Verfahren soll sich an der TR-03107-1 des BSI bzw. vergleichbaren internationalen Standards (z. B. ISO/IEC-Reihe) orientieren.
6.2. 1 Die verwendeten Verfahren sollen Sicherheitsmaßnahmen nach dem Stand der Technik berücksichtigen. 2 Die in der TR-03107-1 des BSI bzw. vergleichbaren internationalen Standards (z. B. ISO/IEC-Reihe) definierten Maßnahmen sollen berücksichtigt werden.
6.3. Vor der Übertragung der Authentifizierungsdaten ist eine entsprechend dem Stand der Technik gesicherte Verbindung aufzubauen.
6.3.1. Den Stand der Technik stellen bei Einsatz des Protokolls von Transport Layer Security (TLS) die Vorgaben der technischen Richtlinie TR-02102-2 des Bundesamts für Sicherheit in der Informationstechnik dar.
6.4. Durch unterschiedliche Authentifizierungsverfahren erreichbare Schutzniveaus:
6.4.1. Mit einem Authentifizierungsverfahren, das nur auf einem Faktor basiert und nicht transaktionsgebunden bzw. sitzungsgebunden ist, kann nur ein normales Schutzniveau erreicht werden.
6.4.2. Für ein Schutzniveau, substantiell oder hoch, ist grundsätzlich die Verwendung von Authentifizierungsverfahren erforderlich, die auf mindestens 2 Faktoren basieren.
6.5. 1 Sofern ein dauerhafter Zugang für ein Portal oder eine Anwendung vorgesehen wird, ist eine Identifizierung des Berechtigten vor der Nutzung des Zugangs erforderlich, die das Schutzanforderungsniveau der Daten gewährleistet, auf die mit dem Zugang zugegriffen werden soll. 2 Die in der TR-03147 des BSI definierten Anforderungen sind dabei zu berücksichtigen.
6.6. Sofern eine postalische Übermittlung von Authentifizierungsinformationen und/oder -mitteln erfolgt, muss die Zustellung inhaltlich und zeitlich getrennt voneinander und von anderen Informationen an den Berechtigten erfolgen.
Kontakt zur AOK Rheinland/Hamburg
Persönlicher Ansprechpartner
Firmenkundenservice
E-Mail-Service