VIALINK EU QUALIFIED CA - Politique et pratiques de certification
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Politique et pratiques de certification VIALINK EU QUALIFIED CA VIALINK EU QUALIFIED CA Politique et pratiques de certification Version : 1.4 Date de création : 24 Octobre 2019 Dernière mise à jour : 23 Février 2022 État du document : Officiel Diffusion du document : Public Vialink www.vialink.fr Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 1 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA Liste de diffusion Personnes Société Commentaire Public / / Suivi des modifications Version Auteur Contributeur (s) Modification(s) Date 1.0 Comité e-Confiance Direction Générale Création du document. 07/05/2020 Comité e-Confiance Mise à jour suite à l’audit de 1.1 Direction Générale 16/06/2020 qualification 2020. 1.2 Comité e-Confiance Direction Générale Mise à jour suite à l’audit de 24/06/2020 qualification 2020. 1.3 Comité e-Confiance Direction Générale Ajout du profil QCP-n. 15/01/2021 1.4 Comité e-Confiance Direction Générale Ajout des précisions sur l’OCSP. 23/02/2022 Mise à jour et revue 2022. Documents référencés Référence Version Titre du document Règlement (UE) No 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les [1] 23/07/2014 transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, dit « Règlement eIDAS ». RFC6960 : Internet X.509 Internet Public Key Infrastructure - Online Certificate [2] Juin 2013 Status Protocol - OCSP https://tools.ietf.org/pdf/rfc6960.pdf RFC3161 : Internet X.509 Public Key Infrastructure - Time-Stamp Protocol (TSP) [3] Février 2019 https://www.ietf.org/rfc/rfc3161.txt Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 2 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA SOMMAIRE 1 INTRODUCTION .................................................................................................................................................. 5 1.1 PRESENTATION GENERALE ........................................................................................................................................ 5 1.2 IDENTIFICATION DU DOCUMENT ................................................................................................................................ 5 1.3 PRESENTATION DU SERVICE ET ENTITES INTERVENANT DANS L’IGC ................................................................................... 6 1.4 USAGE DES CERTIFICATS ......................................................................................................................................... 10 1.5 GESTION DE LA PC................................................................................................................................................ 11 2 RESPONSABILITE CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS DEVANT ETRE PUBLIEES .......... 14 2.1 ENTITES CHARGEES DE LA MISE A DISPOSITION DES INFORMATIONS ................................................................................. 14 2.2 INFORMATIONS PUBLIEES ....................................................................................................................................... 14 2.3 FREQUENCE DE DIFFUSION ..................................................................................................................................... 15 2.4 CONTROLE D'ACCES .............................................................................................................................................. 15 2.5 DEPOT DES DOCUMENTS ........................................................................................................................................ 15 3 IDENTIFICATION ET AUTHENTIFICATION .......................................................................................................... 16 3.1 NOMMAGE ......................................................................................................................................................... 16 3.2 VALIDATION INITIALE DE L’IDENTITE.......................................................................................................................... 18 3.3 IDENTIFICATION ET VALIDATION D’UNE DEMANDE DE RENOUVELLEMENT ......................................................................... 19 3.4 IDENTIFICATION ET VALIDATION D’UNE DEMANDE DE REVOCATION ................................................................................. 19 4 EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS ............................................................ 21 4.1 DEMANDE DE CERTIFICAT ....................................................................................................................................... 21 4.2 TRAITEMENT D'UNE DEMANDE DE CERTIFICAT ............................................................................................................ 24 4.3 DELIVRANCE DU CERTIFICAT .................................................................................................................................... 24 4.4 ACCEPTATION DU CERTIFICAT .................................................................................................................................. 25 4.5 USAGES DE LA BI-CLE ET DU CERTIFICAT ..................................................................................................................... 25 4.6 RENOUVELLEMENT D'UN CERTIFICAT ........................................................................................................................ 26 4.7 DELIVRANCE D'UN NOUVEAU CERTIFICAT SUITE A CHANGEMENT DE LA BI-CLE ................................................................... 26 4.8 MODIFICATION DU CERTIFICAT ................................................................................................................................ 26 4.9 REVOCATION ET SUSPENSION DES CERTIFICATS ........................................................................................................... 26 4.10 FONCTION D'INFORMATION SUR L'ETAT DES CERTIFICATS .............................................................................................. 30 4.11 FIN DE LA RELATION ENTRE LE PORTEUR ET L'AC ......................................................................................................... 30 5 MESURES DE SECURITE NON TECHNIQUES ....................................................................................................... 31 5.1 MESURES DE SECURITE PHYSIQUE ............................................................................................................................ 31 5.2 MESURES DE SECURITE PROCEDURALES ..................................................................................................................... 32 5.3 MESURES DE SECURITE VIS-A-VIS DU PERSONNEL ........................................................................................................ 34 5.4 PROCEDURES DE CONSTITUTION DES DONNEES D’AUDIT ............................................................................................... 35 5.5 ARCHIVAGE DES DONNEES ...................................................................................................................................... 38 5.6 CHANGEMENT DE CLE D'AC .................................................................................................................................... 40 5.7 REPRISE SUITE A COMPROMISSION ET SINISTRE ........................................................................................................... 40 5.8 FIN DE VIE DE L'IGC .............................................................................................................................................. 41 6 MESURES DE SECURITE TECHNIQUES ............................................................................................................... 43 6.1 GENERATION DES BI-CLES DU PORTEUR ET INSTALLATION .............................................................................................. 43 6.2 MESURES DE SECURITE POUR LA PROTECTION DES CLES PRIVEES ET POUR LES MODULES CRYPTOGRAPHIQUES .......................... 45 6.3 AUTRES ASPECTS DE LA GESTION DES BI-CLES.............................................................................................................. 47 6.4 DONNEES D’ACTIVATION ........................................................................................................................................ 48 6.5 MESURES DE SECURITE DES SYSTEMES INFORMATIQUES ............................................................................................... 48 6.6 MESURES DE SECURITE DES SYSTEMES DURANT LEUR CYCLE DE VIE.................................................................................. 49 6.7 MESURES DE SECURITE RESEAU ............................................................................................................................... 51 Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 3 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA 6.8 HORODATAGE / SYSTEME DE DATATION .................................................................................................................... 52 7 PROFILS DES CERTIFICATS ET DES LCR............................................................................................................... 53 7.1 PROFIL DES CERTIFICATS......................................................................................................................................... 53 7.2 PROFIL DES LCR ................................................................................................................................................... 53 8 AUDIT DE CONFORMITE ET AUTRES EVALUATIONS .......................................................................................... 54 8.1 FREQUENCES ET / OU CIRCONSTANCES DES EVALUATIONS ............................................................................................. 54 8.2 IDENTITES / QUALIFICATIONS DES EVALUATEURS ......................................................................................................... 54 8.3 RELATIONS ENTRE EVALUATEURS ET ENTITES EVALUEES ................................................................................................ 54 8.4 SUJETS COUVERTS PAR LES EVALUATIONS .................................................................................................................. 54 8.5 ACTIONS PRISES SUITE AUX CONCLUSIONS DES EVALUATIONS ......................................................................................... 54 8.6 COMMUNICATION DES RESULTATS ........................................................................................................................... 55 9 AUTRES PROBLEMATIQUES METIERS ET LEGALES ............................................................................................ 56 9.1 TARIFS ............................................................................................................................................................... 56 9.2 RESPONSABILITE FINANCIERE .................................................................................................................................. 56 9.3 CONFIDENTIALITE DES DONNEES PROFESSIONNELLES.................................................................................................... 56 9.4 PROTECTION DES DONNEES PERSONNELLES ................................................................................................................ 57 9.5 DROITS DE PROPRIETE INTELLECTUELLE ..................................................................................................................... 58 9.6 INTERPRETATIONS CONTRACTUELLES ET GARANTIES ..................................................................................................... 58 9.7 LIMITE DE GARANTIE ............................................................................................................................................. 60 9.8 LIMITE DE RESPONSABILITE ..................................................................................................................................... 60 9.9 INDEMNITES ........................................................................................................................................................ 61 9.10 DUREE ET FIN ANTICIPEE DE LA PC ........................................................................................................................... 61 9.11 NOTIFICATIONS INDIVIDUELLES ET COMMUNICATIONS ENTRE LES PARTICIPANTS ................................................................ 61 9.12 PERMANENCE DE LA PC ......................................................................................................................................... 61 9.13 RESPECT ET INTERPRETATION DES DISPOSITIONS JURIDIQUES ......................................................................................... 62 10 ANNEXE 1 : EXIGENCES DE SECURITE DU MODULE CRYPTOGRAPHIQUE DE L'AC .............................................. 64 10.1 EXIGENCES SUR LES OBJECTIFS DE SECURITE................................................................................................................ 64 10.2 EXIGENCES SUR LA CERTIFICATION ............................................................................................................................ 64 11 ANNEXE 2 : LISTE DES SIGLES ET ABREVIATIONS UTILISES ................................................................................ 65 12 ANNEXE 3 : DEFINITIONS DES TERMES UTILISES DANS LA PC ............................................................................ 66 13 ANNEXE 4 : PROFIL DES CERTIFICATS ................................................................................................................ 69 13.1 CERTIFICAT DE L’AC RACINE « VIALINK EU ROOT CA » ........................................................................................... 69 13.2 CERTIFICAT DE L’AC « VIALINK EU QUALIFIED CA » .............................................................................................. 70 13.3 CERTIFICATS DE SIGNATURE QUALIFIE (QCP-N) .......................................................................................................... 71 13.4 CERTIFICATS CACHET QUALIFIE (QCP-L) ................................................................................................................... 72 13.5 CERTIFICATS CACHET QUALIFIE QSCD (QCP-L-QSCD) .................................................................................................. 73 13.6 CERTIFICATS OCSP ............................................................................................................................................... 74 14 ANNEXE 5 : FORMAT DES LCR ........................................................................................................................... 76 Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 4 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA 1 Introduction Vialink a mis en place une offre de certification pour la sécurisation des transactions sur Internet. Dans ce contexte, Vialink a pour but d'authentifier les participants et de garantir la non-répudiation des transactions. Les certificats, émis par l’AC VIALINK EU QUALIFIED CA, sont attribués - à des personnes physiques afin de permettre à ces personnes de signer des documents. - à des personnes morales clientes de Vialink afin de permettre à ces personnes de sceller électroniquement des documents à l’aide d’un certificat qualifié de cachet. 1.1 Présentation générale Le présent document constitue la Politique de Certification (PC) et la Déclaration des Pratiques de Certification (DPC) de à l'AC VIALINK EU QUALIFIED CA. Il décrit les exigences auxquelles l'ICP doit se conformer pour l'enregistrement et la validation des demandes de certificats, et pour la gestion des certificats, ainsi que les moyens publics et pratiques mis en œuvre pour répondre à ces exigences. Cette PC vise la conformité aux niveaux QCP-n, QCP-l et QCP-l-qscd de la norme ETSI EN 319411-2, notamment en vue de produire des signatures et des cachets avancés avec certificat qualifié et des cachets qualifiés au sens du Règlement européen eIDAS 910/2014[1]. Historique de Politique de Certification Version Date Principaux points de modification 1.0 07/05/2020 Création du document. 1.1 16/06/2020 Mise à jour pour l’audit de qualification 2020. 1.2 24/06/2020 Mise à jour après l’audit de qualification 2020. 1.3 15/01/2021 Ajout du profil QCP-n 1.4 23/02/2022 Ajout des précisions sur l’OCSP, Mise à jour et revue 2022 Date d’entrée en vigueur de Politique de Certification 22 Mars 2022 1.2 Identification du document Ce document est identifié par le numéro d’OID indiqué ci-dessous pour l’usage considéré : Usage du certificat OID de la PC Norme ETSI respectée Désignation Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 5 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA Certificat qualifié de signature 1.2.250.1.198.3.1.2.12.0.1 ETSI EN 319 411-2 QCP-n Signature (personne physique) OID 0.4.0.194112.1.0 avancée avec certificat qualifié Certificat qualifié de cachet 1.2.250.1.198.3.4.1.9.0.1 ETSI EN 319 411-2 QCP-l Cachet avancé (personne morale) OID 0.4.0.194112.1.1 avec certificat qualifié Certificat qualifié de cachet 1.2.250.1.198.3.4.1.13.0.1 ETSI EN 319 411-2 QCP-l- Cachet qualifié (personne morale) sur QSCD qscd OID 0.4.0.194112.1.3 1.3 Présentation du service et entités intervenant dans l’IGC Les échanges d'information entre entreprises requièrent des exigences de confiance propres aux systèmes de communication ouverts : authentification des interlocuteurs, contrôle d'intégrité des informations échangées, non-répudiation des documents conservés, confidentialité des échanges. Toutes ces fonctions de confiance peuvent être assurées par des outils cryptographiques reposant sur des processus de signature et de chiffrement standard. Ces mécanismes peuvent reposer sur des Infrastructures à Clés Publiques (ci-après appelées ICP, ou PKI pour Public Key Infrastructure) utilisant des certificats numériques comme cartes d'identité numériques. L'infrastructure à Clés Publiques repose sur les acteurs suivants. Autorité de Certification (AC) L'Autorité de Certification (AC), définit la Politique de Certification (PC) et la fait appliquer, garantissant ainsi un certain niveau de confiance aux utilisateurs. VIALINK est la société portant l'Autorité de Certification VIALINK EU QUALIFIED CA. Pour les certificats signés en son nom, l’AC assure les fonctions suivantes : Fonctions d’enregistrement et de renouvellement ; Fonction de génération des certificats ; Fonction de publication des conditions générales d’utilisation, de la PC et des certificats d’AC; Fonction de gestion des révocations ; Fonction d’information sur l’état des certificats. L’AC assure ces fonctions directement ou en les sous-traitant, tout ou partie. Dans tous les cas, l’AC en garde la responsabilité. Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 6 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA Sur le plan technique, l’Autorité de Certification a déployé une hiérarchie de confiance destinée à signer les certificats émis pour l’offre VIALINK EU QUALIFIED CA. Figure 1 – Hiérarchie de confiance VIALINK EU ROOT CA VIALINK EU STANDARD CA VIALINK EU TRUSTED CA VIALINK EU QUALIFIED CA OID : 1.2.250.1.198.3.1.2.12.0.1 OID : 1.2.250.1.198.3.4.1.9.0.1 OID : 1.2.250.1.198.3.4.1.13.0.1 Autorité d’Enregistrement (AE) L’Autorité d’Enregistrement a en charge les fonctions suivantes conformément aux règles définies par l'Autorité de Certification : L’initiation du dossier de demande ; La vérification des informations des demandeurs de certificat, afin de garantir la validité des informations contenues dans le certificat ; La constitution du dossier d’enregistrement et de demande suite aux vérifications ci-dessus ; L’archivage des dossiers d’enregistrement et de demande de certificat ; La vérification des demandes de révocation de certificat. Les fonctions de vérification des informations du porteur, de constitution puis d’archivage du dossier sont assurées directement par Vialink. La vérification des demandes de révocation sont également réalisés par Vialink. La vérification des informations du porteur se fait par un face-à-face physique ou toute autre méthode reconnue équivalente au niveau national. En synthèse, la répartition des fonctions de l’AE est la suivante pour les certificats de signature : Fonction Entité cliente de Vialink Vialink Initiation du dossier de demande Par une personne habilitée par Non l’entité cliente Vérification des informations des La preuve de l’identité du porteur La preuve de l’identité du porteur demandeurs de certificat s’effectue en présence physique s’effectue au moyen d’un justificatif (face à face), au moyen d’un d’identité par toute autre méthode justificatif d’identité reconnue équivalente au niveau Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 7 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA national à la présence physique (face à face) du porteur. Constitution du dossier Suite à toute vérification d’identité Suite à une vérification d’identité d’enregistrement et de demande réalisée par l’entité cliente (dossier réalisée par Vialink. transmis à Vialink ensuite). Archivage des dossiers Non Par l’AC Vialink. Vérification des demandes de Non Par l’AC Vialink. révocation Pour les certificats de cachet, la répartition est la suivante : Fonction Entité cliente de Vialink Vialink Initiation du dossier de demande Par le responsable légal de Non l’entité client ou une personne habilitée par l’entité cliente Vérification des informations des non Vérification en face-à-face physique demandeurs de certificat par un personnel habilité de Vialink, sur sollicitation du client. Toute autre méthode reconnue équivalente au face-à-face physique au niveau national. Constitution du dossier non Suite à une vérification d’identité d’enregistrement et de demande réalisée par Vialink. Archivage des dossiers Non Par AC Vialink. Vérification des demandes de Non Par AC Vialink. révocation Opérateur de Certification (OC) L'Opérateur de Certification (OC) a pour fonction d'assurer la fourniture et la gestion du cycle de vie des certificats. Son rôle consiste à mettre en œuvre une plate-forme opérationnelle, fonctionnelle, sécurisée, dans le respect des exigences énoncées dans la Politique de Certification (PC) et dont les modalités sont détaillées dans la Déclaration des Pratiques de Certification (DPC). L’opérateur de certification assure les fonctions suivantes : Fonction de génération des certificats ; Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 8 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA Fonction de publication des certificats d’AC ; Fonction d’information sur l’état des certificats via la liste des certificats révoqués (LCR et OCSP). Les fonctions d’opérateur de certification peuvent être sous-traitées conformément aux exigences de la présente PC. Porteur de certificats 1.3.4.1 Certificats de signature Le porteur de certificat est la personne physique identifiée dans le certificat et qui est le détenteur de la clé privée correspondant à la clé publique de ce certificat. Le porteur est titulaire d’un ou plusieurs certificats VIALINK EU QUALIFIED CA. Le porteur effectue lui-même la demande de certificat pour son compte et à titre personnel, il est donc aussi l’« abonné » au sens de la norme ETSI. Cette personne utilise la clé privée et le certificat correspondant dans le cadre de ses activités en relation avec l'entité cliente de Vialink lui soumettant le document à signer, et avec laquelle il a un lien contractuel ou réglementaire. Le porteur respecte les conditions qui lui incombent définies dans cette PC. 1.3.4.2 Certificat de cachet Le porteur de certificat est la personne morale identifiée dans le certificat. Vialink est en charge, par délégation, de l’opération de la clé privée correspondant à la clé publique de ce certificat. Un Responsable du Certificat Cachet Serveur (RCCS), nommé par la direction de la personne morale, effectue, pour le compte de la personne morale, la demande de certificat. Il prend donc, au nom de la personne morale, les engagements relatifs à l’« abonné » (« subscriber ») au sens de la norme ETSI. La personne morale utilise la clé privée et le certificat correspondant dans le cadre de ses activités en soumettant à Vialink les documents à sceller. Le porteur ainsi que la personne morale respectent les conditions qui leur incombent définies dans cette PC. Utilisateurs de certificats L’utilisateur de certificat est l'entité ou la personne physique qui utilise un certificat et qui s'y fie pour vérifier un cachet électronique provenant du porteur du certificat. Les utilisateurs de certificats doivent respecter l’usage des certificats prévu dans cette PC au §1.4, les contraintes d’utilisation détaillées au §4.9.6 et prendre toutes autres précautions prescrites dans les éventuels accords ou tout autre document. Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 9 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA Comité e-Confiance Il s’agit d’une instance interne à Vialink réunissant les acteurs concernés par les activités des Autorités de Certification de Vialink. Il est notamment à l’origine du référentiel documentaire des Autorités de Certification et du suivi de l’amélioration continue des pratiques de certification. 1.4 Usage des certificats Domaines d’utilisation applicables 1.4.1.1 Bi-clés et certificats des porteurs Certificat de signature (Personne physique) : Dans le cadre de cette PC, l’utilisation de la clé privée du porteur et du certificat associé est strictement limitée à la signature à la volée du document proposé par l’entité cliente de Vialink. Certificat qualifié de cachet (Personne morale) : Dans le cadre de cette PC, l’utilisation de la clé privée du porteur et du certificat associé est strictement limitée au cachet avancé avec certificat qualifié du document proposé par l’entité cliente de Vialink. Certificat qualifié de cachet sur QSCD : Dans le cadre de cette PC, l’utilisation de la clé privée du porteur et du certificat associé est strictement limitée au cachet qualifié du document proposé par l’entité cliente de Vialink, la clé privée est générée et utilisée dans un dispositif de création de signature qualifié QSCD (Qualified Signature Creation Device). De façon générale, les porteurs doivent respecter strictement ces usages autorisés des bi-clés et des certificats. Dans le cas contraire, leur responsabilité pourrait être engagée. Les usages autorisés d’un certificat sont explicitement mentionnés dans celui-ci par le contenu du champ keyUsage. 1.4.1.2 Bi-clés et certificats de l’IGC Plusieurs clés sont utilisées par l’IGC : La clé de signature de l’AC VIALINK EU QUALIFIED CA, utilisée pour : o Signer les certificats générés par l'AC ; o Signer les informations sur l'état des certificats : Listes de certificats révoqués (LCR); Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 10 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA Les clés de signature du service OCSP de l’AC, utilisées pour : o Signer les informations sur l'état des certificats : jetons OCSP Domaines d’utilisation interdits VIALINK EU QUALIFIED CA décline toute responsabilité dans l'usage que ferait un porteur de ses certificats dans le cadre d'une application non mentionnée dans le paragraphe précédent §1.4.1.1. En particulier, VIALINK EU QUALIFIED CA n'acceptera aucune plainte d'aucune sorte d'usagers ou d'utilisateurs, liée à des litiges sans rapport avec les applications mentionnées dans le présent paragraphe « Usage des certificats ». Toute utilisation du certificat VIALINK EU QUALIFIED CA non autorisée dans le paragraphe précédent est interdite. 1.5 Gestion de la PC Cette PC sera revue périodiquement pour : Assurer sa conformité aux normes de sécurité applicables (cf. Règlement européen eIDAS 910/2014) ; Assurer sa conformité aux pratiques en vigueur. La périodicité de révision de cette PC est fixée à 2 (deux) ans à minima. Modification de la PC L’AC contrôle que tout projet de modification de sa PC reste conforme aux exigences de la norme ETSI EN 319411-2 (niveau QCP-l et QCP-l-qscd) et du Règlement européen eIDAS 910/2014. En cas de projet de modification des spécifications, les cas suivants sont envisageables par l'AC VIALINK EU QUALIFIED CA : S’il s'agit de changements typographiques, cela ne donne pas lieu à notification et à modification de l'OID de la PC/DPC ou de l'URL ; S’il s'agit de changements quant au niveau de la qualité et de la sécurité des fonctions de l'AC et de l'AE vis-à-vis des certificats référencés, mais sans pour autant perdre la conformité d'un certificat avec la PC qu'il supporte, cela donne lieu à une période de notification d'un mois avant le début des changements sans que soit modifiée l'OID de la PC/DPC ou de l'URL ; Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 11 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA S’il s'agit de changements entraînant la perte de la conformité d'un certificat avec la PC qu'il supporte, cela implique la modification de l'OID de la PC/DPC. Les spécifications modifiées sont publiées sur le site Internet de l'AC et la notification est effectuée un mois avant de devenir effective. Par ailleurs, l'AC avertit les utilisateurs de certificats, ayant établi des relations contractuelles avec elle, des modifications. Si VIALINK estime qu'une modification de la PC modifie le niveau de confiance assuré par les exigences de la PC ou par le contenu de la DPC, elle peut instituer une nouvelle politique avec un nouvel identifiant d'objet (OID). Coordonnées des entités responsables de la présente PC 1.5.2.1 Organisme responsable La société VIALINK est responsable de cette PC. 1.5.2.2 Vialink 18 quai de la Rapée 75012 PARIS France Service Clients : Téléphone : +33 (0)1.40.02.91.12 Fax : 01 48.77.78.12 Email : support@vialink.fr 1.5.2.3 Personne physique responsable M. Philippe SANCHIS Directeur Général Vialink 18 quai de la Rapée 75012 PARIS France Contrôle de conformité à la PC L'Autorité de Certification VIALINK EU QUALIFIED CA a la responsabilité du bon fonctionnement des composantes de l'IGC, conformément aux dispositions énoncées dans le présent document. L'AC effectuera Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 12 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA donc en ce sens des contrôles réguliers de conformité et de bon fonctionnement des composantes de cette IGC (cf. chapitre 8). Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 13 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA 2 Responsabilité concernant la mise à disposition des informations devant être publiées 2.1 Entités chargées de la mise à disposition des informations L'AC VIALINK EU QUALIFIED CA diffuse les informations mentionnées au paragraphe suivant via son site Internet www.vialink.fr ou directement sur https://app.vialink.fr/tsp. 2.2 Informations publiées La présente politique https://app.vialink.fr/tsp de certification (PC) Les versions https://app.vialink.fr/tsp précédentes de la PC Les Listes de http://crl.vialink.fr/vialink/crl-vialink-eu-qualified-ca.crl Certificats Révoqués (LCR) Le certificat d’AC https://www.vialink.fr/tsp/crt/vialink-eu-qualified-ca.crt Les conditions https://app.vialink.fr/tsp générales du contrat d’utilisation du service Les informations pertinentes de la politique de sécurité de l’AC sont reprises dans le présent document. La communication des changements aux parties prenantes s’effectue à travers la publication du présent document sur le site internet ci-dessus. L’AC utilisera le même moyen (site internet) pour communiquer aux porteurs et à toutes les parties concernées toute insuffisance détectée des algorithmes cryptographiques ou tout autre paramètre utilisé dans la fourniture de ses services. L’AC peut également envisager des moyens supplémentaires pour communiquer ces insuffisances (envoi de mail par exemple). Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 14 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA 2.3 Fréquence de diffusion La Politique de Certification (PC) est mise à jour sur le site après chaque modification. La nouvelle version est communiquée au porteur lors d’une demande de renouvellement de clé et doit faire l’objet d’un nouvel accord. La fréquence de publication des Listes de Certificats Révoqués (LCR) est précisée au § 4.9.7. Le certificat de l’AC est publié initialement et à chaque renouvellement, avant toute émission de certificat porteur. La liste de certificats d’AC révoqués (LAR) est publiée initialement et à chaque renouvellement, et en tout état de cause avant sa fin de validité. La fonction de publication (information sur l'état des certificats, publication des documents de l’AC) est disponible 24h/24 7j/7. Cette fonction a une durée maximale d'indisponibilité par interruption de service (panne ou maintenance) de 2h et une durée maximale totale d'indisponibilité par mois de 24h. 2.4 Contrôle d'accès L'ensemble des informations publiées à destination des utilisateurs de certificats est libre d'accès en lecture. L'accès en modification aux systèmes de publication (ajout, suppression, modification des informations publiées) est strictement limité aux fonctions internes habilitées de l'IGC, au travers d'un contrôle d'accès fort. 2.5 Dépôt des documents Les documents mentionnés au paragraphe §2.2 sont publiés via le site Internet de l'AC. L'ensemble des documents nécessaires au fonctionnement de l'AC est conservé par l'AC, dans leur dernière version, en un lieu centralisé et protégé. Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 15 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA 3 Identification et authentification 3.1 Nommage Conventions de noms Certificats de personnes physiques : Le porteur est identifié dans le champ "Objet" ("Subject" en anglais) du certificat émis par VIALINK EU QUALIFIED CA, par les champs suivants, conformément à la norme ETSI EN 319 412 : serialNumber, contient un numéro de série unique associé au porteur, issu de l’empreinte SHA-2 du numéro de série de la pièce d’identité du porteur. CN (commonName). Cette mention est obligatoire. Il est constitué du prénom usuel et du nom patronymique. Ce nom est celui du porteur tel qu'il figure dans ses documents d’identité. SN (surname). Il est constitué du nom patronymique du porteur tel qu'il figure dans ses documents d’identité. GN (givenName). Il est constitué du prénom usuel du porteur tel qu'il figure dans ses documents d’identité. C (countryName), contenant la chaîne « FR » ou le code du Pays de la pièce d’identité du porteur. Certificats de personnes morales : Le porteur est identifié dans le champ "Objet" ("Subject" en anglais) du certificat émis par VIALINK EU QUALIFIED CA, par les champs suivants, conformément à la norme ETSI EN 319 412 : serialNumber, contient un numéro de série unique associé au porteur, issu de l’empreinte SHA-2 du SIREN de la société. CN (commonName). Cette mention est obligatoire. Il contient le nom du service de cachet choisi par la personne morale. O (Organisation). Cette mention est obligatoire. Il contient le nom de l’organisation tel qu’inscrit sur le KBIS de la société. OI (OrganisationIdentifier). Cette mention est obligatoire. Il contient les caractères « NTRFR » suivi du numéro de SIREN de la société. C (countryName), contenant la chaîne « FR ». Certificats de test : Lorsque l’AC VIALINK EU QUALIFIED CA émet des certificats à des fins de test, ceux-ci sont clairement identifiés par le préfixe « TEST » placé devant Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 16 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA - le prénom, et donc en début des champs CN et GN, dans le cas d’un certificat de personne physique ; - le nom du service (champ CN) et le nom de l’organisation (champ O) dans le cas d’un certificat de personne morale. Les certificats de test peuvent être demandés par mail ou par téléphone (voir la section 1.5.2.2). Utilisation de noms explicites Les informations portées dans le champ "Objet" du certificat VIALINK EU QUALIFIED CA sont explicites ("Distinguished Name" en anglais). Anonymisation ou pseudonymisation des porteurs Les certificats objets de la présente PC ne peuvent en aucun cas être anonymes ou pseudonymes. Règles d'interprétation des différentes formes de noms Aucune interprétation particulière n'est à faire des informations portées dans le champ "Objet" des certificats VIALINK EU QUALIFIED CA. Ces informations sont établies par l'AE de VIALINK EU QUALIFIED CA selon les règles suivantes : Tous les caractères sont au format UTF-8 mis à part les champs serialNumber et CountryName qui sont en PrintableString. Unicité des noms Le DN du porteur d’un certificat identifie de façon unique ce porteur (même par rapport à des homonymes) grâce au champ serialNumber basé sur le numéro de série du SIREN. Procédure de résolution de litige sur déclaration de nom L'AC s'engage quant à l'unicité des noms de ses utilisateurs, et quant à la résolution des litiges portant sur la revendication d'utilisation d'un nom. Reconnaissance, authentification et rôle des noms de marques Sans objet pour les certificats de personnes physiques (les noms de marque ne figurent pas au sein des certificats VIALINK EU QUALIFIED CA). Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 17 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA Pour les certificats de personnes morales, le contenu du champs CN est libre et sous la responsabilité du demandeur qui devra s’assurer que son contenu respecte le code de la propriété intellectuelle. Vialink ne réalise pas de vérification de propriété intellectuelle cependant, Vialink s’autorise à refuser tout CN qui comporterait une infraction évidente de la propriété intellectuelle d’autrui ou qui s’avérerait trompeur pour les utilisateurs. 3.2 Validation initiale de l’identité Méthode pour prouver la possession de la clé privée Voir § 6.1. Validation de l’identité d’un organisme La validation de l’identité de l’organisme est réalisée lors de la procédure de vérification de l’identité du Responsable du Certificat Cachet Serveur (RCCS) comme suit : - Le nom (Raison sociale) et le numéro d’identification de l’organisme (SIREN) doit être justifié par un document officiel en cours de validité (typiquement un extrait de KBIS pour une entreprise) ; - L’identité du RCCS est vérifiée par l’AE vis à vis des éléments de vérification d’identité listés en 3.2.3 ; - Dans le cas où le RCCS n’est pas un Responsable Légal (RL), o L’autorité du RCCS sera vérifiée au travers d’un mandat l’autorisant à effectuer la demande de certificat au nom de l’organisme. Ce mandat devra l’identifier formellement et être signé par le Responsable Légal de la société (personne figurant sur le KBIS). Le mandat doit être accompagné de la pièce d’identité du RL. o L’identité du Responsable Légal est vérifiée par l’AE vis à vis des éléments de vérification d’identité listés en 3.2.3. Validation de l’identité d’un individu La validation de l’identité des individus est du ressort de l'AE. L’individu fournit au minimum les informations suivantes à l’AE : Son nom et son prénom tels qu’ils apparaissent sur ses documents d’identité ; Une adresse courriel à laquelle l’AC peut le joindre ; Une pièce d’identité valide. Pour les certificats de personnes physique, Un numéro de téléphone mobile ; Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 18 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA L’AE valide l’exactitude de l’identité de la personne (nom, prénom) par l’examen de la pièce d’identité présentée. Les pièces d’identité acceptées sont les titres authentiques et dans leur période de validité parmi : Carte nationale d’identité ; Passeport ; Titre de séjour ; Pour les certificats de personne physique, L’AC valide par ailleurs que le porteur a bien accès au numéro de téléphone par un challenge envoyé par SMS. La preuve de l’identité d’un individu (porteur, RCCS, RL) s’effectue en présence physique (face à face) au moyen d’un justificatif d’identité ou toute autre méthode reconnue équivalente au niveau national. La réalisation du « face à face physique : contrôle de cohérence entre la photo de la pièce d’identité et le visage de la personne présente physiquement » et le contrôle de la pièce d’identité sont deux actions distincts qui peuvent être réalisées par des composantes différentes de l’AE. Validation de l’autorité du demandeur Sans objet pour les personnes physiques, le porteur est une personne physique agissant en son nom propre et demandant un certificat pour elle-même. Pour les personnes morale, cela est vérifié au travers de la procédure d’enregistrement du demandeur de certificat (voir 3.2.2). Certification croisée d’AC L’AC VIALINK EU QUALIFIED CA n’a aucun accord de reconnaissance avec une autre AC. 3.3 Identification et validation d’une demande de renouvellement Les demandes de renouvellement sont traitées comme des demandes initiales. 3.4 Identification et validation d’une demande de révocation Pour les certificats de personne physique, lorsque le porteur demande la révocation de son certificat, il saisit son nom, son prénom et l’adresse mail renseignée à la demande du certificat. L’AC l’authentifie par l’envoi d’un lien unique sur cette adresse. Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 19 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA Pour les certificats de personne morale, le RCCS utilisera la même procédure pour réaliser la révocation. Le responsable légal peut également demander la révocation à distance, en justifiant de son identité et de son statut de représentant légal. Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 20 / 76
Politique et pratiques de certification VIALINK EU QUALIFIED CA 4 Exigences opérationnelles sur le cycle de vie des certificats 4.1 Demande de certificat Origine d'une demande de certificat Pour les certificats de personnes physiques, la demande et la délivrance du certificat sont effectuées dans le cadre d’une transaction commerciale ou administrative (p. ex., signature de contrat) initiée dans une entité cliente de Vialink. Un collaborateur de cette entité, dûment authentifié sur le système de signature, saisit au minimum : Le nom et le prénom du signataire, qui sera le demandeur du certificat ; Un numéro de téléphone mobile du signataire ; L’adresse courriel du signataire ; Le numéro du titre d’identité présenté par le signataire si le client est responsable de l’authentification du porteur (Autorité d’Enregistrement). Le collaborateur associe le document à signer à ces informations et lance le processus de signature. Pour les certificats de personnes morales, la demande est réalisée par le RCCS dans le cadre d’un contrat entre son entité et Vialink. Processus et responsabilités pour l'établissement d'une demande de certificat A. Validation de l’identité du porteur : Deux processus de validation de l'identité du porteur sont possibles: Validation de l’identité par le client de Vialink : Dans ce cas, le client de Vialink est une Autorité d’Enregistrement (AE), il contrôle uniquement des pièces d’identité françaises, l’opérateur AE est le collaborateur du client de Vialink ayant initié le processus de signature. Ce collaborateur du client de Vialink est responsable de la vérification de l’identité du demandeur et de la constitution du dossier d’enregistrement comme suit : i. Le demandeur remet à l’AE une copie lisible de sa pièce d’identité ; ii. L’AE valide l’authenticité et la validité de la pièce et l’exactitude des informations (nom, prénom) saisies au début du processus ; iii. L’AE ajout la pièce d’identité du demandeur au dossier d’enregistrement, en certifiant sa validité et son exactitude par rapport à la demande. Selon l’accord existant entre l’entité cliente et l’AC, soit le Opérateur de services de confiance ________________________________________________________________________________________________________ Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink. Page 21 / 76
Vous pouvez aussi lire