VIALINK EU QUALIFIED CA - Politique et pratiques de certification

 
CONTINUER À LIRE
VIALINK EU QUALIFIED CA - Politique et pratiques de certification
Politique et pratiques de certification
                                                       VIALINK EU QUALIFIED CA

VIALINK EU QUALIFIED CA
Politique et pratiques de certification

Version : 1.4
Date de création : 24 Octobre 2019
Dernière mise à jour : 23 Février 2022
État du document : Officiel
Diffusion du document : Public

                                                                                                                               Vialink
                                                                                                                         www.vialink.fr

                                                    Opérateur de services de confiance
       ________________________________________________________________________________________________________
             Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 1 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

Liste de diffusion
Personnes                                  Société                                    Commentaire

Public                                     /                                          /

Suivi des modifications
Version       Auteur                       Contributeur (s)                 Modification(s)                             Date

1.0           Comité e-Confiance           Direction Générale               Création du document.                       07/05/2020

              Comité e-Confiance                                            Mise à jour suite à l’audit de
1.1                                        Direction Générale                                                           16/06/2020
                                                                            qualification 2020.
1.2           Comité e-Confiance           Direction Générale               Mise à jour suite à l’audit de              24/06/2020
                                                                            qualification 2020.

1.3           Comité e-Confiance           Direction Générale               Ajout du profil QCP-n.                      15/01/2021
1.4           Comité e-Confiance           Direction Générale               Ajout des précisions sur l’OCSP.            23/02/2022
                                                                            Mise à jour et revue 2022.

Documents référencés
Référence       Version                Titre du document

                                       Règlement (UE) No 910/2014 du Parlement européen et du Conseil du 23 juillet
                                       2014 sur l'identification électronique et les services de confiance pour les
[1]             23/07/2014
                                       transactions électroniques au sein du marché intérieur et abrogeant la directive
                                       1999/93/CE, dit « Règlement eIDAS ».
                                       RFC6960 : Internet X.509 Internet Public Key Infrastructure - Online Certificate
[2]             Juin 2013              Status Protocol - OCSP
                                       https://tools.ietf.org/pdf/rfc6960.pdf

                                       RFC3161 : Internet X.509 Public Key Infrastructure - Time-Stamp Protocol (TSP)
[3]             Février 2019
                                       https://www.ietf.org/rfc/rfc3161.txt

                                                   Opérateur de services de confiance
      ________________________________________________________________________________________________________
            Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                              Page 2 / 76
Politique et pratiques de certification
                                                                       VIALINK EU QUALIFIED CA

                                                                         SOMMAIRE
1     INTRODUCTION .................................................................................................................................................. 5
    1.1       PRESENTATION GENERALE ........................................................................................................................................ 5
    1.2       IDENTIFICATION DU DOCUMENT ................................................................................................................................ 5
    1.3       PRESENTATION DU SERVICE ET ENTITES INTERVENANT DANS L’IGC ................................................................................... 6
    1.4       USAGE DES CERTIFICATS ......................................................................................................................................... 10
    1.5       GESTION DE LA PC................................................................................................................................................ 11
2     RESPONSABILITE CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS DEVANT ETRE PUBLIEES .......... 14
    2.1       ENTITES CHARGEES DE LA MISE A DISPOSITION DES INFORMATIONS ................................................................................. 14
    2.2       INFORMATIONS PUBLIEES ....................................................................................................................................... 14
    2.3       FREQUENCE DE DIFFUSION ..................................................................................................................................... 15
    2.4       CONTROLE D'ACCES .............................................................................................................................................. 15
    2.5       DEPOT DES DOCUMENTS ........................................................................................................................................ 15
3     IDENTIFICATION ET AUTHENTIFICATION .......................................................................................................... 16
    3.1       NOMMAGE ......................................................................................................................................................... 16
    3.2       VALIDATION INITIALE DE L’IDENTITE.......................................................................................................................... 18
    3.3       IDENTIFICATION ET VALIDATION D’UNE DEMANDE DE RENOUVELLEMENT ......................................................................... 19
    3.4       IDENTIFICATION ET VALIDATION D’UNE DEMANDE DE REVOCATION ................................................................................. 19
4     EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS ............................................................ 21
    4.1       DEMANDE DE CERTIFICAT ....................................................................................................................................... 21
    4.2       TRAITEMENT D'UNE DEMANDE DE CERTIFICAT ............................................................................................................ 24
    4.3       DELIVRANCE DU CERTIFICAT .................................................................................................................................... 24
    4.4       ACCEPTATION DU CERTIFICAT .................................................................................................................................. 25
    4.5       USAGES DE LA BI-CLE ET DU CERTIFICAT ..................................................................................................................... 25
    4.6       RENOUVELLEMENT D'UN CERTIFICAT ........................................................................................................................ 26
    4.7       DELIVRANCE D'UN NOUVEAU CERTIFICAT SUITE A CHANGEMENT DE LA BI-CLE ................................................................... 26
    4.8       MODIFICATION DU CERTIFICAT ................................................................................................................................ 26
    4.9       REVOCATION ET SUSPENSION DES CERTIFICATS ........................................................................................................... 26
    4.10      FONCTION D'INFORMATION SUR L'ETAT DES CERTIFICATS .............................................................................................. 30
    4.11      FIN DE LA RELATION ENTRE LE PORTEUR ET L'AC ......................................................................................................... 30
5     MESURES DE SECURITE NON TECHNIQUES ....................................................................................................... 31
    5.1       MESURES DE SECURITE PHYSIQUE ............................................................................................................................ 31
    5.2       MESURES DE SECURITE PROCEDURALES ..................................................................................................................... 32
    5.3       MESURES DE SECURITE VIS-A-VIS DU PERSONNEL ........................................................................................................ 34
    5.4       PROCEDURES DE CONSTITUTION DES DONNEES D’AUDIT ............................................................................................... 35
    5.5       ARCHIVAGE DES DONNEES ...................................................................................................................................... 38
    5.6       CHANGEMENT DE CLE D'AC .................................................................................................................................... 40
    5.7       REPRISE SUITE A COMPROMISSION ET SINISTRE ........................................................................................................... 40
    5.8       FIN DE VIE DE L'IGC .............................................................................................................................................. 41
6     MESURES DE SECURITE TECHNIQUES ............................................................................................................... 43
    6.1       GENERATION DES BI-CLES DU PORTEUR ET INSTALLATION .............................................................................................. 43
    6.2       MESURES DE SECURITE POUR LA PROTECTION DES CLES PRIVEES ET POUR LES MODULES CRYPTOGRAPHIQUES .......................... 45
    6.3       AUTRES ASPECTS DE LA GESTION DES BI-CLES.............................................................................................................. 47
    6.4       DONNEES D’ACTIVATION ........................................................................................................................................ 48
    6.5       MESURES DE SECURITE DES SYSTEMES INFORMATIQUES ............................................................................................... 48
    6.6       MESURES DE SECURITE DES SYSTEMES DURANT LEUR CYCLE DE VIE.................................................................................. 49
    6.7       MESURES DE SECURITE RESEAU ............................................................................................................................... 51

                                                        Opérateur de services de confiance
           ________________________________________________________________________________________________________
                 Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                                                 Page 3 / 76
Politique et pratiques de certification
                                                                         VIALINK EU QUALIFIED CA

     6.8       HORODATAGE / SYSTEME DE DATATION .................................................................................................................... 52
7      PROFILS DES CERTIFICATS ET DES LCR............................................................................................................... 53
     7.1       PROFIL DES CERTIFICATS......................................................................................................................................... 53
     7.2       PROFIL DES LCR ................................................................................................................................................... 53
8      AUDIT DE CONFORMITE ET AUTRES EVALUATIONS .......................................................................................... 54
     8.1       FREQUENCES ET / OU CIRCONSTANCES DES EVALUATIONS ............................................................................................. 54
     8.2       IDENTITES / QUALIFICATIONS DES EVALUATEURS ......................................................................................................... 54
     8.3       RELATIONS ENTRE EVALUATEURS ET ENTITES EVALUEES ................................................................................................ 54
     8.4       SUJETS COUVERTS PAR LES EVALUATIONS .................................................................................................................. 54
     8.5       ACTIONS PRISES SUITE AUX CONCLUSIONS DES EVALUATIONS ......................................................................................... 54
     8.6       COMMUNICATION DES RESULTATS ........................................................................................................................... 55
9      AUTRES PROBLEMATIQUES METIERS ET LEGALES ............................................................................................ 56
     9.1       TARIFS ............................................................................................................................................................... 56
     9.2       RESPONSABILITE FINANCIERE .................................................................................................................................. 56
     9.3       CONFIDENTIALITE DES DONNEES PROFESSIONNELLES.................................................................................................... 56
     9.4       PROTECTION DES DONNEES PERSONNELLES ................................................................................................................ 57
     9.5       DROITS DE PROPRIETE INTELLECTUELLE ..................................................................................................................... 58
     9.6       INTERPRETATIONS CONTRACTUELLES ET GARANTIES ..................................................................................................... 58
     9.7       LIMITE DE GARANTIE ............................................................................................................................................. 60
     9.8       LIMITE DE RESPONSABILITE ..................................................................................................................................... 60
     9.9       INDEMNITES ........................................................................................................................................................ 61
     9.10      DUREE ET FIN ANTICIPEE DE LA PC ........................................................................................................................... 61
     9.11      NOTIFICATIONS INDIVIDUELLES ET COMMUNICATIONS ENTRE LES PARTICIPANTS ................................................................ 61
     9.12      PERMANENCE DE LA PC ......................................................................................................................................... 61
     9.13      RESPECT ET INTERPRETATION DES DISPOSITIONS JURIDIQUES ......................................................................................... 62
10     ANNEXE 1 : EXIGENCES DE SECURITE DU MODULE CRYPTOGRAPHIQUE DE L'AC .............................................. 64
     10.1      EXIGENCES SUR LES OBJECTIFS DE SECURITE................................................................................................................ 64
     10.2      EXIGENCES SUR LA CERTIFICATION ............................................................................................................................ 64
11     ANNEXE 2 : LISTE DES SIGLES ET ABREVIATIONS UTILISES ................................................................................ 65
12     ANNEXE 3 : DEFINITIONS DES TERMES UTILISES DANS LA PC ............................................................................ 66
13     ANNEXE 4 : PROFIL DES CERTIFICATS ................................................................................................................ 69
     13.1      CERTIFICAT DE L’AC RACINE « VIALINK EU ROOT CA » ........................................................................................... 69
     13.2      CERTIFICAT DE L’AC « VIALINK EU QUALIFIED CA » .............................................................................................. 70
     13.3      CERTIFICATS DE SIGNATURE QUALIFIE (QCP-N) .......................................................................................................... 71
     13.4      CERTIFICATS CACHET QUALIFIE (QCP-L) ................................................................................................................... 72
     13.5      CERTIFICATS CACHET QUALIFIE QSCD (QCP-L-QSCD) .................................................................................................. 73
     13.6      CERTIFICATS OCSP ............................................................................................................................................... 74
14     ANNEXE 5 : FORMAT DES LCR ........................................................................................................................... 76

                                                         Opérateur de services de confiance
            ________________________________________________________________________________________________________
                  Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                                                   Page 4 / 76
Politique et pratiques de certification
                                                        VIALINK EU QUALIFIED CA

1 Introduction
Vialink a mis en place une offre de certification pour la sécurisation des transactions sur Internet. Dans ce
contexte, Vialink a pour but d'authentifier les participants et de garantir la non-répudiation des transactions.
Les certificats, émis par l’AC VIALINK EU QUALIFIED CA, sont attribués
      -   à des personnes physiques afin de permettre à ces personnes de signer des documents.
      -   à des personnes morales clientes de Vialink afin de permettre à ces personnes de sceller
          électroniquement des documents à l’aide d’un certificat qualifié de cachet.

1.1 Présentation générale
Le présent document constitue la Politique de Certification (PC) et la Déclaration des Pratiques de
Certification (DPC) de à l'AC VIALINK EU QUALIFIED CA. Il décrit les exigences auxquelles l'ICP doit se
conformer pour l'enregistrement et la validation des demandes de certificats, et pour la gestion des
certificats, ainsi que les moyens publics et pratiques mis en œuvre pour répondre à ces exigences.
Cette PC vise la conformité aux niveaux QCP-n, QCP-l et QCP-l-qscd de la norme ETSI EN 319411-2,
notamment en vue de produire des signatures et des cachets avancés avec certificat qualifié et des cachets
qualifiés au sens du Règlement européen eIDAS 910/2014[1].

Historique de Politique de Certification
Version                    Date                    Principaux points de modification
1.0                        07/05/2020               Création du document.
1.1                        16/06/2020               Mise à jour pour l’audit de qualification 2020.
1.2                        24/06/2020               Mise à jour après l’audit de qualification 2020.
1.3                        15/01/2021               Ajout du profil QCP-n
1.4                        23/02/2022              Ajout des précisions sur l’OCSP, Mise à jour et revue 2022
Date d’entrée en vigueur de Politique de Certification
22 Mars 2022

1.2 Identification du document
Ce document est identifié par le numéro d’OID indiqué ci-dessous pour l’usage considéré :
 Usage du certificat                          OID de la PC                           Norme ETSI respectée                 Désignation

                                                       Opérateur de services de confiance
          ________________________________________________________________________________________________________
                Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                                 Page 5 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

 Certificat qualifié de signature           1.2.250.1.198.3.1.2.12.0.1 ETSI EN 319 411-2 QCP-n                          Signature
 (personne physique)                                                               OID 0.4.0.194112.1.0                 avancée            avec
                                                                                                                        certificat qualifié
 Certificat qualifié de cachet              1.2.250.1.198.3.4.1.9.0.1              ETSI EN 319 411-2 QCP-l              Cachet           avancé
 (personne morale)                                                                 OID 0.4.0.194112.1.1                 avec           certificat
                                                                                                                        qualifié
 Certificat qualifié de cachet              1.2.250.1.198.3.4.1.13.0.1 ETSI EN 319 411-2 QCP-l- Cachet qualifié
 (personne morale) sur QSCD                                                        qscd
                                                                                   OID 0.4.0.194112.1.3

1.3 Présentation du service et entités intervenant dans l’IGC
Les échanges d'information entre entreprises requièrent des exigences de confiance propres aux systèmes
de communication ouverts : authentification des interlocuteurs, contrôle d'intégrité des informations
échangées, non-répudiation des documents conservés, confidentialité des échanges.
Toutes ces fonctions de confiance peuvent être assurées par des outils cryptographiques reposant sur des
processus de signature et de chiffrement standard. Ces mécanismes peuvent reposer sur des Infrastructures
à Clés Publiques (ci-après appelées ICP, ou PKI pour Public Key Infrastructure) utilisant des certificats
numériques comme cartes d'identité numériques.
L'infrastructure à Clés Publiques repose sur les acteurs suivants.

        Autorité de Certification (AC)
L'Autorité de Certification (AC), définit la Politique de Certification (PC) et la fait appliquer, garantissant ainsi
un certain niveau de confiance aux utilisateurs.
VIALINK est la société portant l'Autorité de Certification VIALINK EU QUALIFIED CA.
Pour les certificats signés en son nom, l’AC assure les fonctions suivantes :
       Fonctions d’enregistrement et de renouvellement ;
       Fonction de génération des certificats ;
       Fonction de publication des conditions générales d’utilisation, de la PC et des certificats d’AC;
       Fonction de gestion des révocations ;
       Fonction d’information sur l’état des certificats.
L’AC assure ces fonctions directement ou en les sous-traitant, tout ou partie. Dans tous les cas, l’AC en garde
la responsabilité.

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 6 / 76
Politique et pratiques de certification
                                                         VIALINK EU QUALIFIED CA

Sur le plan technique, l’Autorité de Certification a déployé une hiérarchie de confiance destinée à signer les
certificats émis pour l’offre VIALINK EU QUALIFIED CA.

   Figure 1 – Hiérarchie de confiance

                                                           VIALINK EU ROOT CA

        VIALINK EU STANDARD CA                           VIALINK EU TRUSTED CA                         VIALINK EU QUALIFIED CA

                                                                                                         OID : 1.2.250.1.198.3.1.2.12.0.1
                                                                                                         OID : 1.2.250.1.198.3.4.1.9.0.1
                                                                                                         OID : 1.2.250.1.198.3.4.1.13.0.1

           Autorité d’Enregistrement (AE)
L’Autorité d’Enregistrement a en charge les fonctions suivantes conformément aux règles définies par
l'Autorité de Certification :
          L’initiation du dossier de demande ;
          La vérification des informations des demandeurs de certificat, afin de garantir la validité des
           informations contenues dans le certificat ;
          La constitution du dossier d’enregistrement et de demande suite aux vérifications ci-dessus ;
          L’archivage des dossiers d’enregistrement et de demande de certificat ;
          La vérification des demandes de révocation de certificat.
Les fonctions de vérification des informations du porteur, de constitution puis d’archivage du dossier sont
assurées directement par Vialink. La vérification des demandes de révocation sont également réalisés par
Vialink.
La vérification des informations du porteur se fait par un face-à-face physique ou toute autre méthode
reconnue équivalente au niveau national.
En synthèse, la répartition des fonctions de l’AE est la suivante pour les certificats de signature :
 Fonction                                         Entité cliente de Vialink                       Vialink
 Initiation du dossier de demande                 Par une personne habilitée par                  Non
                                                  l’entité cliente
 Vérification des informations des                La preuve de l’identité du porteur              La preuve de l’identité du porteur
 demandeurs de certificat                         s’effectue en présence physique                 s’effectue au moyen d’un justificatif
                                                  (face à face), au moyen d’un                    d’identité par toute autre méthode
                                                  justificatif d’identité                         reconnue équivalente au niveau

                                                        Opérateur de services de confiance
           ________________________________________________________________________________________________________
                 Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                                  Page 7 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

                                                                                               national à la présence physique (face à
                                                                                               face) du porteur.

 Constitution          du          dossier     Suite à toute vérification d’identité           Suite à une vérification d’identité
 d’enregistrement et de demande                réalisée par l’entité cliente (dossier          réalisée par Vialink.
                                               transmis à Vialink ensuite).
 Archivage des dossiers                        Non                                             Par l’AC Vialink.
 Vérification    des     demandes        de    Non                                             Par l’AC Vialink.
 révocation

Pour les certificats de cachet, la répartition est la suivante :
 Fonction                                      Entité cliente de Vialink                       Vialink
 Initiation du dossier de demande              Par le responsable légal de Non
                                               l’entité client ou une personne
                                               habilitée par l’entité cliente
 Vérification des informations des non                                                         Vérification en face-à-face physique
 demandeurs de certificat                                                                      par un personnel habilité de Vialink,
                                                                                               sur sollicitation du client.
                                                                                               Toute autre méthode reconnue
                                                                                               équivalente au face-à-face physique
                                                                                               au niveau national.
 Constitution          du         dossier non                                                  Suite à une vérification d’identité
 d’enregistrement et de demande                                                                réalisée par Vialink.
 Archivage des dossiers                        Non                                             Par AC Vialink.
 Vérification des demandes de Non                                                              Par AC Vialink.
 révocation

        Opérateur de Certification (OC)
L'Opérateur de Certification (OC) a pour fonction d'assurer la fourniture et la gestion du cycle de vie des
certificats. Son rôle consiste à mettre en œuvre une plate-forme opérationnelle, fonctionnelle, sécurisée,
dans le respect des exigences énoncées dans la Politique de Certification (PC) et dont les modalités sont
détaillées dans la Déclaration des Pratiques de Certification (DPC).
L’opérateur de certification assure les fonctions suivantes :
       Fonction de génération des certificats ;

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 8 / 76
Politique et pratiques de certification
                                                        VIALINK EU QUALIFIED CA

         Fonction de publication des certificats d’AC ;
         Fonction d’information sur l’état des certificats via la liste des certificats révoqués (LCR et OCSP).
Les fonctions d’opérateur de certification peuvent être sous-traitées conformément aux exigences de la
présente PC.

          Porteur de certificats
1.3.4.1     Certificats de signature
Le porteur de certificat est la personne physique identifiée dans le certificat et qui est le détenteur de la clé
privée correspondant à la clé publique de ce certificat. Le porteur est titulaire d’un ou plusieurs certificats
VIALINK EU QUALIFIED CA. Le porteur effectue lui-même la demande de certificat pour son compte et à titre
personnel, il est donc aussi l’« abonné » au sens de la norme ETSI.
Cette personne utilise la clé privée et le certificat correspondant dans le cadre de ses activités en relation
avec l'entité cliente de Vialink lui soumettant le document à signer, et avec laquelle il a un lien contractuel
ou réglementaire.
Le porteur respecte les conditions qui lui incombent définies dans cette PC.

1.3.4.2     Certificat de cachet
Le porteur de certificat est la personne morale identifiée dans le certificat. Vialink est en charge, par
délégation, de l’opération de la clé privée correspondant à la clé publique de ce certificat. Un Responsable
du Certificat Cachet Serveur (RCCS), nommé par la direction de la personne morale, effectue, pour le compte
de la personne morale, la demande de certificat. Il prend donc, au nom de la personne morale, les
engagements relatifs à l’« abonné » (« subscriber ») au sens de la norme ETSI.
La personne morale utilise la clé privée et le certificat correspondant dans le cadre de ses activités en
soumettant à Vialink les documents à sceller.
Le porteur ainsi que la personne morale respectent les conditions qui leur incombent définies dans cette PC.

          Utilisateurs de certificats
L’utilisateur de certificat est l'entité ou la personne physique qui utilise un certificat et qui s'y fie pour vérifier
un cachet électronique provenant du porteur du certificat.
Les utilisateurs de certificats doivent respecter l’usage des certificats prévu dans cette PC au §1.4, les
contraintes d’utilisation détaillées au §4.9.6 et prendre toutes autres précautions prescrites dans les
éventuels accords ou tout autre document.

                                                       Opérateur de services de confiance
          ________________________________________________________________________________________________________
                Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                                 Page 9 / 76
Politique et pratiques de certification
                                                        VIALINK EU QUALIFIED CA

          Comité e-Confiance
Il s’agit d’une instance interne à Vialink réunissant les acteurs concernés par les activités des Autorités de
Certification de Vialink.
Il est notamment à l’origine du référentiel documentaire des Autorités de Certification et du suivi de
l’amélioration continue des pratiques de certification.

1.4 Usage des certificats
          Domaines d’utilisation applicables
1.4.1.1     Bi-clés et certificats des porteurs
Certificat de signature (Personne physique) : Dans le cadre de cette PC, l’utilisation de la clé privée du
porteur et du certificat associé est strictement limitée à la signature à la volée du document proposé par
l’entité cliente de Vialink.

Certificat qualifié de cachet (Personne morale) : Dans le cadre de cette PC, l’utilisation de la clé privée du
porteur et du certificat associé est strictement limitée au cachet avancé avec certificat qualifié du document
proposé par l’entité cliente de Vialink.

Certificat qualifié de cachet sur QSCD : Dans le cadre de cette PC, l’utilisation de la clé privée du porteur et
du certificat associé est strictement limitée au cachet qualifié du document proposé par l’entité cliente de
Vialink, la clé privée est générée et utilisée dans un dispositif de création de signature qualifié QSCD (Qualified
Signature Creation Device).
De façon générale, les porteurs doivent respecter strictement ces usages autorisés des bi-clés et des
certificats. Dans le cas contraire, leur responsabilité pourrait être engagée. Les usages autorisés d’un
certificat sont explicitement mentionnés dans celui-ci par le contenu du champ keyUsage.

1.4.1.2 Bi-clés et certificats de l’IGC
Plusieurs clés sont utilisées par l’IGC :
         La clé de signature de l’AC VIALINK EU QUALIFIED CA, utilisée pour :
                     o    Signer les certificats générés par l'AC ;
                     o    Signer les informations sur l'état des certificats : Listes de certificats révoqués (LCR);

                                                       Opérateur de services de confiance
          ________________________________________________________________________________________________________
                Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                                 Page 10 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

       Les clés de signature du service OCSP de l’AC, utilisées pour :
                   o    Signer les informations sur l'état des certificats : jetons OCSP

        Domaines d’utilisation interdits
VIALINK EU QUALIFIED CA décline toute responsabilité dans l'usage que ferait un porteur de ses certificats
dans le cadre d'une application non mentionnée dans le paragraphe précédent §1.4.1.1. En particulier,
VIALINK EU QUALIFIED CA n'acceptera aucune plainte d'aucune sorte d'usagers ou d'utilisateurs, liée à des
litiges sans rapport avec les applications mentionnées dans le présent paragraphe « Usage des certificats ».
Toute utilisation du certificat VIALINK EU QUALIFIED CA non autorisée dans le paragraphe précédent est
interdite.

1.5 Gestion de la PC
Cette PC sera revue périodiquement pour :
       Assurer sa conformité aux normes de sécurité applicables (cf. Règlement européen eIDAS
        910/2014) ;
       Assurer sa conformité aux pratiques en vigueur.
La périodicité de révision de cette PC est fixée à 2 (deux) ans à minima.

        Modification de la PC
L’AC contrôle que tout projet de modification de sa PC reste conforme aux exigences de la norme ETSI EN
319411-2 (niveau QCP-l et QCP-l-qscd) et du Règlement européen eIDAS 910/2014.
En cas de projet de modification des spécifications, les cas suivants sont envisageables par l'AC VIALINK EU
QUALIFIED CA :
       S’il s'agit de changements typographiques, cela ne donne pas lieu à notification et à modification de
        l'OID de la PC/DPC ou de l'URL ;
       S’il s'agit de changements quant au niveau de la qualité et de la sécurité des fonctions de l'AC et de
        l'AE vis-à-vis des certificats référencés, mais sans pour autant perdre la conformité d'un certificat
        avec la PC qu'il supporte, cela donne lieu à une période de notification d'un mois avant le début des
        changements sans que soit modifiée l'OID de la PC/DPC ou de l'URL ;

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 11 / 76
Politique et pratiques de certification
                                                        VIALINK EU QUALIFIED CA

         S’il s'agit de changements entraînant la perte de la conformité d'un certificat avec la PC qu'il
          supporte, cela implique la modification de l'OID de la PC/DPC. Les spécifications modifiées sont
          publiées sur le site Internet de l'AC et la notification est effectuée un mois avant de devenir effective.
          Par ailleurs, l'AC avertit les utilisateurs de certificats, ayant établi des relations contractuelles avec
          elle, des modifications.
         Si VIALINK estime qu'une modification de la PC modifie le niveau de confiance assuré par les exigences
          de la PC ou par le contenu de la DPC, elle peut instituer une nouvelle politique avec un nouvel
          identifiant d'objet (OID).

          Coordonnées des entités responsables de la présente PC
1.5.2.1     Organisme responsable
La société VIALINK est responsable de cette PC.

1.5.2.2     Vialink
18 quai de la Rapée
75012 PARIS
France
Service Clients :
Téléphone : +33 (0)1.40.02.91.12
Fax : 01 48.77.78.12
Email : support@vialink.fr

1.5.2.3     Personne physique responsable
M. Philippe SANCHIS
Directeur Général
Vialink
18 quai de la Rapée
75012 PARIS
France

          Contrôle de conformité à la PC
L'Autorité de Certification VIALINK EU QUALIFIED CA a la responsabilité du bon fonctionnement des
composantes de l'IGC, conformément aux dispositions énoncées dans le présent document. L'AC effectuera

                                                       Opérateur de services de confiance
          ________________________________________________________________________________________________________
                Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                                 Page 12 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

donc en ce sens des contrôles réguliers de conformité et de bon fonctionnement des composantes de cette
IGC (cf. chapitre 8).

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 13 / 76
Politique et pratiques de certification
                                                     VIALINK EU QUALIFIED CA

2 Responsabilité concernant la mise à disposition des informations
    devant être publiées
2.1 Entités chargées de la mise à disposition des informations
L'AC VIALINK EU QUALIFIED CA diffuse les informations mentionnées au paragraphe suivant via son site
Internet www.vialink.fr ou directement sur https://app.vialink.fr/tsp.

2.2 Informations publiées
    La présente politique https://app.vialink.fr/tsp
    de certification (PC)
    Les             versions https://app.vialink.fr/tsp
    précédentes de la PC
    Les       Listes       de http://crl.vialink.fr/vialink/crl-vialink-eu-qualified-ca.crl
    Certificats Révoqués
    (LCR)
    Le certificat d’AC            https://www.vialink.fr/tsp/crt/vialink-eu-qualified-ca.crt
    Les          conditions https://app.vialink.fr/tsp
    générales du contrat
    d’utilisation          du
    service

Les informations pertinentes de la politique de sécurité de l’AC sont reprises dans le présent document.
La communication des changements aux parties prenantes s’effectue à travers la publication du présent
document sur le site internet ci-dessus.
L’AC utilisera le même moyen (site internet) pour communiquer aux porteurs et à toutes les parties
concernées toute insuffisance détectée des algorithmes cryptographiques ou tout autre paramètre utilisé
dans la fourniture de ses services. L’AC peut également envisager des moyens supplémentaires pour
communiquer ces insuffisances (envoi de mail par exemple).

                                                    Opérateur de services de confiance
       ________________________________________________________________________________________________________
             Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                              Page 14 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

2.3 Fréquence de diffusion
       La Politique de Certification (PC) est mise à jour sur le site après chaque modification. La nouvelle
        version est communiquée au porteur lors d’une demande de renouvellement de clé et doit faire
        l’objet d’un nouvel accord.
       La fréquence de publication des Listes de Certificats Révoqués (LCR) est précisée au § 4.9.7.
       Le certificat de l’AC est publié initialement et à chaque renouvellement, avant toute émission de
        certificat porteur.
       La liste de certificats d’AC révoqués (LAR) est publiée initialement et à chaque renouvellement, et en
        tout état de cause avant sa fin de validité.
       La fonction de publication (information sur l'état des certificats, publication des documents de l’AC)
        est disponible 24h/24 7j/7. Cette fonction a une durée maximale d'indisponibilité par interruption
        de service (panne ou maintenance) de 2h et une durée maximale totale d'indisponibilité par mois de
        24h.

2.4 Contrôle d'accès
L'ensemble des informations publiées à destination des utilisateurs de certificats est libre d'accès en lecture.
L'accès en modification aux systèmes de publication (ajout, suppression, modification des informations
publiées) est strictement limité aux fonctions internes habilitées de l'IGC, au travers d'un contrôle d'accès
fort.

2.5 Dépôt des documents
Les documents mentionnés au paragraphe §2.2 sont publiés via le site Internet de l'AC.
L'ensemble des documents nécessaires au fonctionnement de l'AC est conservé par l'AC, dans leur dernière
version, en un lieu centralisé et protégé.

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 15 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

3 Identification et authentification
3.1 Nommage
        Conventions de noms
Certificats de personnes physiques : Le porteur est identifié dans le champ "Objet" ("Subject" en anglais) du
certificat émis par VIALINK EU QUALIFIED CA, par les champs suivants, conformément à la norme ETSI EN 319
412 :
       serialNumber, contient un numéro de série unique associé au porteur, issu de l’empreinte SHA-2 du
        numéro de série de la pièce d’identité du porteur.
       CN (commonName). Cette mention est obligatoire. Il est constitué du prénom usuel et du nom
        patronymique. Ce nom est celui du porteur tel qu'il figure dans ses documents d’identité.
       SN (surname). Il est constitué du nom patronymique du porteur tel qu'il figure dans ses documents
        d’identité.
       GN (givenName). Il est constitué du prénom usuel du porteur tel qu'il figure dans ses documents
        d’identité.
       C (countryName), contenant la chaîne « FR » ou le code du Pays de la pièce d’identité du porteur.

Certificats de personnes morales : Le porteur est identifié dans le champ "Objet" ("Subject" en anglais) du
certificat émis par VIALINK EU QUALIFIED CA, par les champs suivants, conformément à la norme ETSI EN 319
412 :
       serialNumber, contient un numéro de série unique associé au porteur, issu de l’empreinte SHA-2 du
        SIREN de la société.
       CN (commonName). Cette mention est obligatoire. Il contient le nom du service de cachet choisi par
        la personne morale.
       O (Organisation). Cette mention est obligatoire. Il contient le nom de l’organisation tel qu’inscrit sur
        le KBIS de la société.
       OI (OrganisationIdentifier). Cette mention est obligatoire. Il contient les caractères « NTRFR » suivi
        du numéro de SIREN de la société.
       C (countryName), contenant la chaîne « FR ».

Certificats de test : Lorsque l’AC VIALINK EU QUALIFIED CA émet des certificats à des fins de test, ceux-ci sont
clairement identifiés par le préfixe « TEST » placé devant

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 16 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

    -   le prénom, et donc en début des champs CN et GN, dans le cas d’un certificat de personne
        physique ;
    -   le nom du service (champ CN) et le nom de l’organisation (champ O) dans le cas d’un certificat de
        personne morale.

Les certificats de test peuvent être demandés par mail ou par téléphone (voir la section 1.5.2.2).

        Utilisation de noms explicites
Les informations portées dans le champ "Objet" du certificat VIALINK EU QUALIFIED CA sont explicites
("Distinguished Name" en anglais).

        Anonymisation ou pseudonymisation des porteurs
Les certificats objets de la présente PC ne peuvent en aucun cas être anonymes ou pseudonymes.

        Règles d'interprétation des différentes formes de noms
Aucune interprétation particulière n'est à faire des informations portées dans le champ "Objet" des certificats
VIALINK EU QUALIFIED CA.
Ces informations sont établies par l'AE de VIALINK EU QUALIFIED CA selon les règles suivantes :
   Tous les caractères sont au format UTF-8 mis à part les champs serialNumber et CountryName qui sont
    en PrintableString.

        Unicité des noms
Le DN du porteur d’un certificat identifie de façon unique ce porteur (même par rapport à des homonymes)
grâce au champ serialNumber basé sur le numéro de série du SIREN.

        Procédure de résolution de litige sur déclaration de nom
L'AC s'engage quant à l'unicité des noms de ses utilisateurs, et quant à la résolution des litiges portant sur la
revendication d'utilisation d'un nom.

        Reconnaissance, authentification et rôle des noms de marques
Sans objet pour les certificats de personnes physiques (les noms de marque ne figurent pas au sein des
certificats VIALINK EU QUALIFIED CA).

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 17 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

Pour les certificats de personnes morales, le contenu du champs CN est libre et sous la responsabilité du
demandeur qui devra s’assurer que son contenu respecte le code de la propriété intellectuelle. Vialink ne
réalise pas de vérification de propriété intellectuelle cependant, Vialink s’autorise à refuser tout CN qui
comporterait une infraction évidente de la propriété intellectuelle d’autrui ou qui s’avérerait trompeur pour
les utilisateurs.

3.2 Validation initiale de l’identité
         Méthode pour prouver la possession de la clé privée
Voir § 6.1.

         Validation de l’identité d’un organisme
La validation de l’identité de l’organisme est réalisée lors de la procédure de vérification de l’identité du
Responsable du Certificat Cachet Serveur (RCCS) comme suit :
    -    Le nom (Raison sociale) et le numéro d’identification de l’organisme (SIREN) doit être justifié par un
         document officiel en cours de validité (typiquement un extrait de KBIS pour une entreprise) ;
    -    L’identité du RCCS est vérifiée par l’AE vis à vis des éléments de vérification d’identité listés en 3.2.3 ;
    -    Dans le cas où le RCCS n’est pas un Responsable Légal (RL),
              o     L’autorité du RCCS sera vérifiée au travers d’un mandat l’autorisant à effectuer la demande
                    de certificat au nom de l’organisme. Ce mandat devra l’identifier formellement et être signé
                    par le Responsable Légal de la société (personne figurant sur le KBIS). Le mandat doit être
                    accompagné de la pièce d’identité du RL.
              o     L’identité du Responsable Légal est vérifiée par l’AE vis à vis des éléments de vérification
                    d’identité listés en 3.2.3.

         Validation de l’identité d’un individu
La validation de l’identité des individus est du ressort de l'AE.
L’individu fournit au minimum les informations suivantes à l’AE :
        Son nom et son prénom tels qu’ils apparaissent sur ses documents d’identité ;
        Une adresse courriel à laquelle l’AC peut le joindre ;
        Une pièce d’identité valide.
Pour les certificats de personnes physique,
        Un numéro de téléphone mobile ;

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 18 / 76
Politique et pratiques de certification
                                                      VIALINK EU QUALIFIED CA

L’AE valide l’exactitude de l’identité de la personne (nom, prénom) par l’examen de la pièce d’identité
présentée. Les pièces d’identité acceptées sont les titres authentiques et dans leur période de validité parmi :
        Carte nationale d’identité ;
        Passeport ;
        Titre de séjour ;

Pour les certificats de personne physique,
L’AC valide par ailleurs que le porteur a bien accès au numéro de téléphone par un challenge envoyé par
SMS.
La preuve de l’identité d’un individu (porteur, RCCS, RL) s’effectue en présence physique (face à face) au
moyen d’un justificatif d’identité ou toute autre méthode reconnue équivalente au niveau national.
La réalisation du « face à face physique : contrôle de cohérence entre la photo de la pièce d’identité et le
visage de la personne présente physiquement » et le contrôle de la pièce d’identité sont deux actions
distincts qui peuvent être réalisées par des composantes différentes de l’AE.

         Validation de l’autorité du demandeur
Sans objet pour les personnes physiques, le porteur est une personne physique agissant en son nom propre
et demandant un certificat pour elle-même.
Pour les personnes morale, cela est vérifié au travers de la procédure d’enregistrement du demandeur de
certificat (voir 3.2.2).

         Certification croisée d’AC
L’AC VIALINK EU QUALIFIED CA n’a aucun accord de reconnaissance avec une autre AC.

3.3 Identification et validation d’une demande de renouvellement
Les demandes de renouvellement sont traitées comme des demandes initiales.

3.4 Identification et validation d’une demande de révocation
Pour les certificats de personne physique, lorsque le porteur demande la révocation de son certificat, il saisit
son nom, son prénom et l’adresse mail renseignée à la demande du certificat. L’AC l’authentifie par l’envoi
d’un lien unique sur cette adresse.

                                                     Opérateur de services de confiance
        ________________________________________________________________________________________________________
              Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                               Page 19 / 76
Politique et pratiques de certification
                                                     VIALINK EU QUALIFIED CA

Pour les certificats de personne morale, le RCCS utilisera la même procédure pour réaliser la révocation. Le
responsable légal peut également demander la révocation à distance, en justifiant de son identité et de son
statut de représentant légal.

                                                    Opérateur de services de confiance
       ________________________________________________________________________________________________________
             Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                              Page 20 / 76
Politique et pratiques de certification
                                                          VIALINK EU QUALIFIED CA

4 Exigences opérationnelles sur le cycle de vie des certificats
4.1 Demande de certificat
            Origine d'une demande de certificat
Pour les certificats de personnes physiques, la demande et la délivrance du certificat sont effectuées dans
le cadre d’une transaction commerciale ou administrative (p. ex., signature de contrat) initiée dans une entité
cliente de Vialink.
Un collaborateur de cette entité, dûment authentifié sur le système de signature, saisit au minimum :
           Le nom et le prénom du signataire, qui sera le demandeur du certificat ;
           Un numéro de téléphone mobile du signataire ;
           L’adresse courriel du signataire ;
           Le numéro du titre d’identité présenté par le signataire si le client est responsable de
            l’authentification du porteur (Autorité d’Enregistrement).
Le collaborateur associe le document à signer à ces informations et lance le processus de signature.
Pour les certificats de personnes morales, la demande est réalisée par le RCCS dans le cadre d’un contrat
entre son entité et Vialink.

            Processus et responsabilités pour l'établissement d'une demande de certificat
 A. Validation de l’identité du porteur :

Deux processus de validation de l'identité du porteur sont possibles:
Validation de l’identité par le client de Vialink :
Dans ce cas, le client de Vialink est une Autorité d’Enregistrement (AE), il contrôle uniquement des pièces
d’identité françaises, l’opérateur AE est le collaborateur du client de Vialink ayant initié le processus de
signature. Ce collaborateur du client de Vialink est responsable de la vérification de l’identité du demandeur
et de la constitution du dossier d’enregistrement comme suit :
  i.       Le demandeur remet à l’AE une copie lisible de sa pièce d’identité ;
 ii.       L’AE valide l’authenticité et la validité de la pièce et l’exactitude des informations (nom, prénom)
           saisies au début du processus ;
iii.       L’AE ajout la pièce d’identité du demandeur au dossier d’enregistrement, en certifiant sa validité et
           son exactitude par rapport à la demande. Selon l’accord existant entre l’entité cliente et l’AC, soit le

                                                         Opérateur de services de confiance
            ________________________________________________________________________________________________________
                  Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.

                                                                   Page 21 / 76
Vous pouvez aussi lire