Collegamento CIP

Interfacce CIP

Le seguenti informazioni servono ai responsabili tecnici per sapere quali interfacce e requisiti di sicurezza implementare per collegare una struttura sanitaria alla CIP.

L’integrazione profonda della CIP nei sistemi interni di una struttura sanitaria, riassunti nella definizione di «sistema primario», presenta numerosi vantaggi rispetto all’utilizzo del portale d’accesso, in particolare perché permette di evitare discontinuità del supporto nonché di agevolare considerevolmente il lavoro dei professionisti della salute o persino di automatizzarlo parzialmente.

Le strutture sanitarie devono affiliarsi a una comunità o comunità di riferimento certificata. Dato che le comunità e le comunità di riferimento dispongono di interfacce tecniche alla piattaforma CIP sostanzialmente uguali per quanto riguarda il sistema primario, di seguito si parlerà sempre e solo di comunità. Queste ultime effettuano in background tutte le comunicazioni con le altre comunità o i servizi federali.

Per accedere alla CIP è necessario collegarsi a due piattaforme:

  • Identity Provider della comunità: autenticazione dei professionisti della salute e di altri utenti mediante l’autenticazione certificata a più fattori.
  • Piattaforma CIP della comunità: in base al ruolo e ai diritti d’accesso, gli utenti autenticati e autorizzati hanno accesso ai servizi e ai dati della CIP (p. es. ricerca e consultazione dei documenti dei pazienti).

L’attuazione delle interfacce CIP può avvenire anche gradualmente ed essere ampliata o intensificata con il tempo. I possibili livelli di integrazione sono descritti alla pagina «Sistemi con integrazione della CIP».

Link interno: Sistemi con integrazione della CIP

Per il collegamento alla CIP esistono cinque casi d’uso, per i quali è necessaria una dozzina di interfacce. eHealth Suisse ha riassunto le informazioni sulle interfacce ai fini di un’attuazione rapida da parte degli sviluppatori. Tra queste rientrano esempi di codifica commentati con riferimenti alle specifiche dei dettagli. eHealth Suisse e i suoi partner propongono inoltre varie prestazioni, che spaziano da offerte gratuite di test di livelli di maturità precedenti all’implementazione integrale, inclusi tutti i requisiti di sicurezza.  

Link esterno: Maggiori informazioni in merito alle interfacce su GitHub

Link interno: Offerte di test

Panoramica dei componenti e delle interfacce CIP rilevanti

Link esterno: La figura può anche essere scaricata nel formato PDF qui. (412 KB, 30/10/23)

Panoramica interfacce rilevanti
Il grafico mostra i casi d’uso richiesti (frecce tra il sistema primario e la comunità [di riferimento] o il sistema primario e il fornitore di identità) assieme ai componenti tecnici CIP.

I casi d'uso e le interfacce in dettaglio

Per consentire a un professionista della salute o al suo personale ausiliario l’accesso a una CIP, il sistema primario deve registrare il paziente all’interno della comunità.

A tal fine invia al Master Patient Index (MPI) della comunità l’ID paziente locale assieme ai dati demografici estratti dalla banca dati delle persone UPI dell’Ufficio centrale di compensazione della Confederazione.

Per sapere come ricevere i dati demografici dalla banca dati UPI si prega di contattare la propria comunità.

Una volta registrato il paziente all’interno della comunità, per accedere alla CIP il sistema primario può richiamare mediante l’ID paziente locale gli identificatori necessari per l’accesso.

1.1 Ricerca di un paziente

Se il paziente è già registrato nell'MPI della comunità, il sistema primario può cercarlo anche in base a dati demografici (p. es. cognome, nome o data di nascita), per poi per esempio registrare l’ID locale (Patient Demographics Query).

Ricerca di un paziente servendosi di dati personali di base:

Link esterno: PDQ V3

Interfacce rilevanti 1

1.2 Registrazione di un paziente

Per registrare un paziente nell'MPI della comunità, il sistema primario invia i dati personali estratti dall’UPI e l’ID paziente locale (Patient Identity Feed).

Registrazione all’interno della comunità del numero di ID paziente locale e dei dati personali di base di un paziente:

Link esterno: PIX V3 Feed

Interfacce rilevanti 2

1.3 Consultazione dell’identità di un paziente

Dopo che il paziente è stato registrato nell’MPI della comunità, il sistema primario può richiamare, in base all’ID paziente locale, gli identificatori EPR-SPID e MPI-PID per l’accesso alla CIP (PIXV3 Query).

Nota: per motivi legali, l’EPR-SPID non può essere salvato durevolmente nel sistema primario e deve quindi essere richiesto ogni volta.

Richiamo di numeri di ID paziente per lʼaccesso alla CIP (ossia MPI-PID e EPR-SPID):

Link esterno: PIX V3 Query

Interfacce rilevanti 3

Il professionista della salute o il suo personale ausiliario si autentica mediante l’identità elettronica, attraverso il sistema primario, presso il proprio fornitore di identità. Quest’ultimo conferma alla comunità che si tratta effettivamente della persona giusta e crea una Identity Provider User Session.

A tal fine sono necessarie tre interfacce: l’autenticazione dell’utente (Authenticate User), il rinnovo di una Identity Provider User Session scaduta, ma rinnovabile (IdP Renew) nonché il logout (SSO Logout).

Autentificazione di utenti:

Link esterno: Authenticate User

Rinnovo dellʼasserzione per lʼIdentity Provider:

Link esterno: IdP Renew

Logout di un utente autenticato:

Link esterno: SSO Logout

Interfacce rilevanti 4

Nel contesto della CIP è prescritto l’uso di SAML 2 Artifact Binding attraverso HTTP con un XML SOAP Webservice Backchannel. L’autenticazione avviene in due fasi: nella prima sono trasmessi via HTTP solo token astratti, mentre i dati sull’utente (claim) sono richiamati soltanto nella seconda fase attraverso una chiamata Webservice protetta.

Interfacce rilevanti 5

Una volta autenticatosi presso il fornitore di identità, il professionista della salute o l’assistente indica il contesto dell’accesso alla CIP, per esempio il proprio ruolo utente o il grado di riservatezza per la consultazione dei documenti. Questi dati sono inviati al X-Assertion Provider (Get X-User Assertion). Quale risposta, il professionista della salute ottiene una SAML 2.0 User Assertion, che conferma i dati immessi.

Per tutte le interfacce, protette anche attraverso la gestione dei diritti d'accesso (soprattutto per quanto riguarda la gestione dei documenti), assieme al messaggio tecnico occorre inviare anche questa SAML 2.0 Assertion (Provide X-User Assertion).

Richiesta di asserzione SAML 2.0 per il rilascio dellʼautorizzazione:

Link esterno: Get X-User Assertion

Utilizzo dellʼasserzione SAML 2.0 per l’autorizzazione di transazioni:

Link esterno: Provide X-User Assertion

Interfacce rilevanti 6

Qui di seguito sono illustrati i casi d’uso per l’immissione, la ricerca e la consultazione nonché l’aggiornamento di documenti e metadati nella CIP.

4.1 Immissione di documenti

Il sistema primario registra e memorizza documenti nella propria comunità (Provide and Register Document Set). A tal fine immette uno o più documenti con i relativi metadati (autore, specialità dell’autore, classe di documento ecc.). Il Document Repository riceve la richiesta, registra l'ID del documento e i metadati nel Document Registry centrale e carica il documento al suo interno.

Richiamo e visualizzazione di metadati di documenti:

Link esterno: Registry Stored Query

Interfacce rilevanti 7

4.2 Ricerca e consultazione di documenti

Normalmente, la consultazione dei documenti avviene in due fasi. Nella prima il sistema primario richiama i metadati di tutti i documenti di un paziente, se del caso filtrati in base a determinati metadati. A tal fine il sistema primario esegue una ricerca e mostra all’utente l’elenco dei risultati (Registry Stored Query). Nella seconda fase, il sistema primario richiama uno o più documenti selezionati e visualizza i contenuti nelle interfacce utente o li memorizza nel sistema primario (Retrieve Document Set).

Richiamo di documenti:

Link esterno: Retrieve Document Set

Predisposizione di documenti nella CIP:

Link esterno: Provide and Register Document Set

Interfacce rilevanti 8

Per comunicare in modo sicuro, il sistema primario utilizza TLS. Si autentifica mediante il proprio certificato client (mutua autentificazione).

Per ogni comunicazione il sistema primario configura un audit log e lo trasmette alla comunità servendosi di Record Audit Event. Per il formato, è definito uno speciale schema XML. Informazioni dettagliate sugli audit sono disponibili nelle interfacce su GitHub.

Link esterno: Record Audit Event