VIALINK EU QUALIFIED CA - Politique et pratiques de certification
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Politique et pratiques de certification
VIALINK EU QUALIFIED CA
VIALINK EU QUALIFIED CA
Politique et pratiques de certification
Version : 1.3
Date de création : 24 Octobre 2019
Dernière mise à jour : 15 Janvier 2021
État du document : Officiel
Diffusion du document : Public
Vialink
www.vialink.fr
18 Quai de la Rapée, 75012 Paris
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 1 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
Liste de diffusion
Personnes Société Commentaire
Public / /
Suivi des modifications
Version Auteur Contributeur (s) Modification(s) Date
1.0 Comité e-Confiance Direction Générale Création du document. 07/05/2020
Comité e-Confiance Mise à jour suite à l’audit de
1.1 Direction Générale 16/06/2020
qualification 2020.
1.2 Comité e-Confiance Direction Générale Mise à jour suite à l’audit de 24/06/2020
qualification 2020.
1.3 Comité e-Confiance Direction Générale Ajout du profil QCP-n. 15/01/2021
Documents référencés
Référence Version Titre du document
Règlement (UE) No 910/2014 du Parlement européen et du Conseil du 23 juillet
2014 sur l'identification électronique et les services de confiance pour les
[1] 23/07/2014
transactions électroniques au sein du marché intérieur et abrogeant la directive
1999/93/CE, dit « Règlement eIDAS ».
RFC3161 : Internet X.509 Public Key Infrastructure - Time-Stamp Protocol (TSP)
[2] Février 2019
https://www.ietf.org/rfc/rfc3161.txt
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 2 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
SOMMAIRE
1 INTRODUCTION .................................................................................................................................................. 5
1.1 PRESENTATION GENERALE ........................................................................................................................................ 5
1.2 IDENTIFICATION DU DOCUMENT ................................................................................................................................ 5
1.3 PRESENTATION DU SERVICE ET ENTITES INTERVENANT DANS L’IGC ................................................................................... 6
1.4 USAGE DES CERTIFICATS ......................................................................................................................................... 10
1.5 GESTION DE LA PC................................................................................................................................................ 11
2 RESPONSABILITE CONCERNANT LA MISE A DISPOSITION DES INFORMATIONS DEVANT ETRE PUBLIEES .......... 13
2.1 ENTITES CHARGEES DE LA MISE A DISPOSITION DES INFORMATIONS ................................................................................. 13
2.2 INFORMATIONS PUBLIEES ....................................................................................................................................... 13
2.3 FREQUENCE DE DIFFUSION ..................................................................................................................................... 14
2.4 CONTROLE D'ACCES .............................................................................................................................................. 14
2.5 DEPOT DES DOCUMENTS ........................................................................................................................................ 14
3 IDENTIFICATION ET AUTHENTIFICATION .......................................................................................................... 15
3.1 NOMMAGE ......................................................................................................................................................... 15
3.2 VALIDATION INITIALE DE L’IDENTITE.......................................................................................................................... 17
3.3 IDENTIFICATION ET VALIDATION D’UNE DEMANDE DE RENOUVELLEMENT ......................................................................... 18
3.4 IDENTIFICATION ET VALIDATION D’UNE DEMANDE DE REVOCATION ................................................................................. 18
4 EXIGENCES OPERATIONNELLES SUR LE CYCLE DE VIE DES CERTIFICATS ............................................................ 19
4.1 DEMANDE DE CERTIFICAT ....................................................................................................................................... 19
4.2 TRAITEMENT D'UNE DEMANDE DE CERTIFICAT ............................................................................................................ 21
4.3 DELIVRANCE DU CERTIFICAT .................................................................................................................................... 22
4.4 ACCEPTATION DU CERTIFICAT .................................................................................................................................. 22
4.5 USAGES DE LA BI-CLE ET DU CERTIFICAT ..................................................................................................................... 23
4.6 RENOUVELLEMENT D'UN CERTIFICAT ........................................................................................................................ 23
4.7 DELIVRANCE D'UN NOUVEAU CERTIFICAT SUITE A CHANGEMENT DE LA BI-CLE ................................................................... 23
4.8 MODIFICATION DU CERTIFICAT ................................................................................................................................ 24
4.9 REVOCATION ET SUSPENSION DES CERTIFICATS ........................................................................................................... 24
4.10 FONCTION D'INFORMATION SUR L'ETAT DES CERTIFICATS .............................................................................................. 28
4.11 FIN DE LA RELATION ENTRE LE PORTEUR ET L'AC ......................................................................................................... 28
5 MESURES DE SECURITE NON TECHNIQUES ....................................................................................................... 29
5.1 MESURES DE SECURITE PHYSIQUE ............................................................................................................................ 29
5.2 MESURES DE SECURITE PROCEDURALES ..................................................................................................................... 30
5.3 MESURES DE SECURITE VIS-A-VIS DU PERSONNEL ........................................................................................................ 32
5.4 PROCEDURES DE CONSTITUTION DES DONNEES D’AUDIT ............................................................................................... 33
5.5 ARCHIVAGE DES DONNEES ...................................................................................................................................... 36
5.6 CHANGEMENT DE CLE D'AC .................................................................................................................................... 38
5.7 REPRISE SUITE A COMPROMISSION ET SINISTRE ........................................................................................................... 38
5.8 FIN DE VIE DE L'IGC .............................................................................................................................................. 39
6 MESURES DE SECURITE TECHNIQUES ............................................................................................................... 41
6.1 GENERATION DES BI-CLES DU PORTEUR ET INSTALLATION .............................................................................................. 41
6.2 MESURES DE SECURITE POUR LA PROTECTION DES CLES PRIVEES ET POUR LES MODULES CRYPTOGRAPHIQUES .......................... 43
6.3 AUTRES ASPECTS DE LA GESTION DES BI-CLES.............................................................................................................. 45
6.4 DONNEES D’ACTIVATION ........................................................................................................................................ 45
6.5 MESURES DE SECURITE DES SYSTEMES INFORMATIQUES ............................................................................................... 46
6.6 MESURES DE SECURITE DES SYSTEMES DURANT LEUR CYCLE DE VIE.................................................................................. 47
6.7 MESURES DE SECURITE RESEAU ............................................................................................................................... 48
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 3 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
6.8 HORODATAGE / SYSTEME DE DATATION .................................................................................................................... 49
7 PROFILS DES CERTIFICATS ET DES LCR............................................................................................................... 50
7.1 PROFIL DES CERTIFICATS......................................................................................................................................... 50
7.2 PROFIL DES LCR ................................................................................................................................................... 50
8 AUDIT DE CONFORMITE ET AUTRES EVALUATIONS .......................................................................................... 51
8.1 FREQUENCES ET / OU CIRCONSTANCES DES EVALUATIONS ............................................................................................. 51
8.2 IDENTITES / QUALIFICATIONS DES EVALUATEURS ......................................................................................................... 51
8.3 RELATIONS ENTRE EVALUATEURS ET ENTITES EVALUEES ................................................................................................ 51
8.4 SUJETS COUVERTS PAR LES EVALUATIONS .................................................................................................................. 51
8.5 ACTIONS PRISES SUITE AUX CONCLUSIONS DES EVALUATIONS ......................................................................................... 51
8.6 COMMUNICATION DES RESULTATS ........................................................................................................................... 52
9 AUTRES PROBLEMATIQUES METIERS ET LEGALES ............................................................................................ 53
9.1 TARIFS ............................................................................................................................................................... 53
9.2 RESPONSABILITE FINANCIERE .................................................................................................................................. 53
9.3 CONFIDENTIALITE DES DONNEES PROFESSIONNELLES.................................................................................................... 53
9.4 PROTECTION DES DONNEES PERSONNELLES ................................................................................................................ 54
9.5 DROITS DE PROPRIETE INTELLECTUELLE ..................................................................................................................... 55
9.6 INTERPRETATIONS CONTRACTUELLES ET GARANTIES ..................................................................................................... 55
9.7 LIMITE DE GARANTIE ............................................................................................................................................. 57
9.8 LIMITE DE RESPONSABILITE ..................................................................................................................................... 57
9.9 INDEMNITES ........................................................................................................................................................ 58
9.10 DUREE ET FIN ANTICIPEE DE LA PC ........................................................................................................................... 58
9.11 NOTIFICATIONS INDIVIDUELLES ET COMMUNICATIONS ENTRE LES PARTICIPANTS ................................................................ 58
9.12 PERMANENCE DE LA PC ......................................................................................................................................... 58
9.13 RESPECT ET INTERPRETATION DES DISPOSITIONS JURIDIQUES ......................................................................................... 59
10 ANNEXE 1 : EXIGENCES DE SECURITE DU MODULE CRYPTOGRAPHIQUE DE L'AC .............................................. 61
10.1 EXIGENCES SUR LES OBJECTIFS DE SECURITE................................................................................................................ 61
10.2 EXIGENCES SUR LA CERTIFICATION ............................................................................................................................ 61
11 ANNEXE 2 : LISTE DES SIGLES ET ABREVIATIONS UTILISES ................................................................................ 62
12 ANNEXE 3 : DEFINITIONS DES TERMES UTILISES DANS LA PC ............................................................................ 63
13 ANNEXE 4 : PROFIL DES CERTIFICATS ................................................................................................................ 66
13.1 CERTIFICAT DE L’AC RACINE « VIALINK EU ROOT CA » ........................................................................................... 66
13.2 CERTIFICAT DE L’AC « VIALINK EU QUALIFIED CA » .............................................................................................. 67
13.3 CERTIFICATS DE SIGNATURE QUALIFIE (QCP-N) .......................................................................................................... 68
13.4 CERTIFICATS CACHET QUALIFIE (QCP-L) ................................................................................................................... 69
13.5 CERTIFICATS CACHET QUALIFIE QSCD (QCP-L-QSCD) .................................................................................................. 70
14 ANNEXE 5 : FORMAT DES LCR ........................................................................................................................... 72
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 4 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
1 Introduction
Vialink a mis en place une offre de certification pour la sécurisation des transactions sur Internet. Dans ce
contexte, Vialink a pour but d'authentifier les participants et de garantir la non-répudiation des transactions.
Les certificats, émis par l’AC VIALINK EU QUALIFIED CA, sont attribués
- à des personnes physiques afin de permettre à ces personnes de signer des documents.
- à des personnes morales clientes de Vialink afin de permettre à ces personnes de sceller
électroniquement des documents à l’aide d’un certificat qualifié de cachet.
1.1 Présentation générale
Le présent document constitue la Politique de Certification (PC) et la Déclaration des Pratiques de
Certification (DPC) de à l'AC VIALINK EU QUALIFIED CA. Il décrit les exigences auxquelles l'ICP doit se
conformer pour l'enregistrement et la validation des demandes de certificats, et pour la gestion des
certificats, ainsi que les moyens publics et pratiques mis en œuvre pour répondre à ces exigences.
Cette PC vise la conformité aux niveaux QCP-n, QCP-l et QCP-l-qscd de la norme ETSI EN 319411-2,
notamment en vue de produire des signatures et des cachets avancés avec certificat qualifié et des cachets
qualifiés au sens du Règlement européen eIDAS 910/2014[1].
Historique de Politique de Certification
Version Date Principaux points de modification
1.0 07/05/2020 Création du document.
1.1 16/06/2020 Mise à jour pour l’audit de qualification 2020.
1.2 24/06/2020 Mise à jour après l’audit de qualification 2020.
1.3 15/01/2021 Ajout du profil QCP-n
Date d’entrée en vigueur de Politique de Certification
01/03/2021
1.2 Identification du document
Ce document est identifié par le numéro d’OID indiqué ci-dessous pour l’usage considéré :
Usage du certificat OID de la PC Norme ETSI respectée Désignation
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 5 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
Certificat qualifié de signature 1.2.250.1.198.3.1.2.12.0.1 ETSI EN 319 411-2 QCP-n Signature
(personne physique) OID 0.4.0.194112.1.0 avancée avec
certificat qualifié
Certificat qualifié de cachet 1.2.250.1.198.3.4.1.9.0.1 ETSI EN 319 411-2 QCP-l Cachet avancé
(personne morale) OID 0.4.0.194112.1.1 avec certificat
qualifié
Certificat qualifié de cachet 1.2.250.1.198.3.4.1.13.0.1 ETSI EN 319 411-2 QCP-l- Cachet qualifié
(personne morale) sur QSCD qscd
OID 0.4.0.194112.1.3
1.3 Présentation du service et entités intervenant dans l’IGC
Les échanges d'information entre entreprises requièrent des exigences de confiance propres aux systèmes
de communication ouverts : authentification des interlocuteurs, contrôle d'intégrité des informations
échangées, non-répudiation des documents conservés, confidentialité des échanges.
Toutes ces fonctions de confiance peuvent être assurées par des outils cryptographiques reposant sur des
processus de signature et de chiffrement standard. Ces mécanismes peuvent reposer sur des Infrastructures
à Clés Publiques (ci-après appelées ICP, ou PKI pour Public Key Infrastructure) utilisant des certificats
numériques comme cartes d'identité numériques.
L'infrastructure à Clés Publiques repose sur les acteurs suivants.
Autorité de Certification (AC)
L'Autorité de Certification (AC), définit la Politique de Certification (PC) et la fait appliquer, garantissant ainsi
un certain niveau de confiance aux utilisateurs.
VIALINK est la société portant l'Autorité de Certification VIALINK EU QUALIFIED CA.
Pour les certificats signés en son nom, l’AC assure les fonctions suivantes :
Fonctions d’enregistrement et de renouvellement ;
Fonction de génération des certificats ;
Fonction de publication des conditions générales d’utilisation, de la PC et des certificats d’AC;
Fonction de gestion des révocations ;
Fonction d’information sur l’état des certificats.
L’AC assure ces fonctions directement ou en les sous-traitant, tout ou partie. Dans tous les cas, l’AC en garde
la responsabilité.
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 6 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
Sur le plan technique, l’Autorité de Certification a déployé une hiérarchie de confiance destinée à signer les
certificats émis pour l’offre VIALINK EU QUALIFIED CA.
Figure 1 – Hiérarchie de confiance
VIALINK EU ROOT CA
VIALINK EU STANDARD CA VIALINK EU TRUSTED CA VIALINK EU QUALIFIED CA
OID : 1.2.250.1.198.3.1.2.12.0.1
OID : 1.2.250.1.198.3.4.1.9.0.1
OID : 1.2.250.1.198.3.4.1.13.0.1
Autorité d’Enregistrement (AE)
L’Autorité d’Enregistrement a en charge les fonctions suivantes conformément aux règles définies par
l'Autorité de Certification :
L’initiation du dossier de demande ;
La vérification des informations des demandeurs de certificat, afin de garantir la validité des
informations contenues dans le certificat ;
La constitution du dossier d’enregistrement et de demande suite aux vérifications ci-dessus ;
L’archivage des dossiers d’enregistrement et de demande de certificat ;
La vérification des demandes de révocation de certificat.
Les fonctions de vérification des informations du porteur, de constitution puis d’archivage du dossier sont
assurées directement par Vialink. La vérification des demandes de révocation sont également réalisés par
Vialink.
La vérification des informations du porteur se fait par un face-à-face physique.
En synthèse, la répartition des fonctions de l’AE est la suivante pour les certificats de signature :
Fonction Entité cliente de Vialink Vialink
Initiation du dossier de demande Par une personne habilitée par Non
l’entité cliente
Vérification des informations des La preuve de l’identité du porteur Non
demandeurs de certificat s’effectue en présence physique
(face à face) au moyen d’un
justificatif d’identité.
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 7 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
Constitution du dossier Suite à toute vérification d’identité Suite à une vérification d’identité
d’enregistrement et de demande réalisée par l’entité cliente (dossier réalisée par Vialink.
transmis à Vialink ensuite).
Archivage des dossiers Non Par l’AC Vialink.
Vérification des demandes de Non Par l’AC Vialink.
révocation
Pour les certificats de cachet, la répartition est la suivante :
Fonction Entité cliente de Vialink Vialink
Initiation du dossier de demande Par le responsable légal de Non
l’entité client ou une personne
habilitée par l’entité cliente
Vérification des informations des non Vérification en face-à-face par un
demandeurs de certificat personnel habilité de Vialink, sur
sollicitation du client.
Constitution du dossier non Suite à une vérification d’identité
d’enregistrement et de demande réalisée par Vialink.
Archivage des dossiers Non Par AC Vialink.
Vérification des demandes de Non Par AC Vialink.
révocation
Opérateur de Certification (OC)
L'Opérateur de Certification (OC) a pour fonction d'assurer la fourniture et la gestion du cycle de vie des
certificats. Son rôle consiste à mettre en œuvre une plate-forme opérationnelle, fonctionnelle, sécurisée,
dans le respect des exigences énoncées dans la Politique de Certification (PC) et dont les modalités sont
détaillées dans la Déclaration des Pratiques de Certification (DPC).
L’opérateur de certification assure les fonctions suivantes :
Fonction de génération des certificats ;
Fonction de publication des certificats d’AC ;
Fonction d’information sur l’état des certificats via la liste des certificats révoqués (LCR).
Les fonctions d’opérateur de certification peuvent être sous-traitées conformément aux exigences de la
présente PC.
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 8 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
Porteur de certificats
1.3.4.1 Certificats de signature
Le porteur de certificat est la personne physique identifiée dans le certificat et qui est le détenteur de la clé
privée correspondant à la clé publique de ce certificat. Le porteur est titulaire d’un ou plusieurs certificats
VIALINK EU QUALIFIED CA. Le porteur effectue lui-même la demande de certificat pour son compte et à titre
personnel, il est donc aussi l’« abonné » au sens de la norme ETSI.
Cette personne utilise la clé privée et le certificat correspondant dans le cadre de ses activités en relation
avec l'entité cliente de Vialink lui soumettant le document à signer, et avec laquelle il a un lien contractuel
ou réglementaire.
Le porteur respecte les conditions qui lui incombent définies dans cette PC.
1.3.4.2 Certificat de cachet
Le porteur de certificat est la personne morale identifiée dans le certificat. Vialink est en charge, par
délégation, de l’opération de la clé privée correspondant à la clé publique de ce certificat. Un Responsable
du Certificat Cachet Serveur (RCCS), nommé par la direction de la personne morale, effectue, pour le compte
de la personne morale, la demande de certificat. Il prend donc, au nom de la personne morale, les
engagements relatifs à l’« abonné » (« subscriber ») au sens de la norme ETSI.
La personne morale utilise la clé privée et le certificat correspondant dans le cadre de ses activités en
soumettant à Vialink les documents à sceller.
Le porteur ainsi que la personne morale respectent les conditions qui leur incombent définies dans cette PC.
Utilisateurs de certificats
L’utilisateur de certificat est l'entité ou la personne physique qui utilise un certificat et qui s'y fie pour vérifier
un cachet électronique provenant du porteur du certificat.
Les utilisateurs de certificats doivent respecter l’usage des certificats prévu dans cette PC au §1.4, les
contraintes d’utilisation détaillées au §4.9.6 et prendre toutes autres précautions prescrites dans les
éventuels accords ou tout autre document.
Comité e-Confiance
Il s’agit d’une instance interne à Vialink réunissant les acteurs concernés par les activités des Autorités de
Certification de Vialink.
Il est notamment à l’origine du référentiel documentaire des Autorités de Certification et du suivi de
l’amélioration continue des pratiques de certification.
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 9 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
1.4 Usage des certificats
Domaines d’utilisation applicables
1.4.1.1 Bi-clés et certificats des porteurs
Certificat de signature (Personne physique) : Dans le cadre de cette PC, l’utilisation de la clé privée du
porteur et du certificat associé est strictement limitée à la signature à la volée du document proposé par
l’entité cliente de Vialink.
Certificat qualifié de cachet (Personne morale) : Dans le cadre de cette PC, l’utilisation de la clé privée du
porteur et du certificat associé est strictement limitée au cachet avancé avec certificat qualifié du document
proposé par l’entité cliente de Vialink.
Certificat qualifié de cachet sur QSCD : Dans le cadre de cette PC, l’utilisation de la clé privée du porteur et
du certificat associé est strictement limitée au cachet qualifié du document proposé par l’entité cliente de
Vialink, la clé privée est générée et utilisée dans un dispositif de création de signature qualifié QSCD (Qualified
Signature Creation Device).
De façon générale, les porteurs doivent respecter strictement ces usages autorisés des bi-clés et des
certificats. Dans le cas contraire, leur responsabilité pourrait être engagée. Les usages autorisés d’un
certificat sont explicitement mentionnés dans celui-ci par le contenu du champ keyUsage.
1.4.1.2 Bi-clés et certificats de l’IGC
Plusieurs clés sont utilisées par l’IGC :
La clé de signature de l’AC VIALINK EU QUALIFIED CA, utilisée pour :
o Signer les certificats générés par l'AC ;
o Signer les informations sur l'état des certificats : Listes de certificats révoqués (LCR);
Domaines d’utilisation interdits
VIALINK EU QUALIFIED CA décline toute responsabilité dans l'usage que ferait un porteur de ses certificats
dans le cadre d'une application non mentionnée dans le paragraphe précédent §1.4.1.1. En particulier,
VIALINK EU QUALIFIED CA n'acceptera aucune plainte d'aucune sorte d'usagers ou d'utilisateurs, liée à des
litiges sans rapport avec les applications mentionnées dans le présent paragraphe « Usage des certificats ».
Toute utilisation du certificat VIALINK EU QUALIFIED CA non autorisée dans le paragraphe précédent est
interdite.
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 10 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
1.5 Gestion de la PC
Cette PC sera revue périodiquement pour :
Assurer sa conformité aux normes de sécurité applicables (cf. Règlement européen eIDAS
910/2014) ;
Assurer sa conformité aux pratiques en vigueur.
La périodicité de révision de cette PC est fixée à 2 (deux) ans à minima.
Modification de la PC
L’AC contrôle que tout projet de modification de sa PC reste conforme aux exigences de la norme ETSI EN
319411-2 (niveau QCP-l et QCP-l-qscd) et du Règlement européen eIDAS 910/2014.
En cas de projet de modification des spécifications, les cas suivants sont envisageables par l'AC VIALINK EU
QUALIFIED CA :
S’il s'agit de changements typographiques, cela ne donne pas lieu à notification et à modification de
l'OID de la PC/DPC ou de l'URL ;
S’il s'agit de changements quant au niveau de la qualité et de la sécurité des fonctions de l'AC et de
l'AE vis-à-vis des certificats référencés, mais sans pour autant perdre la conformité d'un certificat
avec la PC qu'il supporte, cela donne lieu à une période de notification d'un mois avant le début des
changements sans que soit modifiée l'OID de la PC/DPC ou de l'URL ;
S’il s'agit de changements entraînant la perte de la conformité d'un certificat avec la PC qu'il
supporte, cela implique la modification de l'OID de la PC/DPC. Les spécifications modifiées sont
publiées sur le site Internet de l'AC et la notification est effectuée un mois avant de devenir effective.
Par ailleurs, l'AC avertit les utilisateurs de certificats, ayant établi des relations contractuelles avec
elle, des modifications.
Si VIALINK estime qu'une modification de la PC modifie le niveau de confiance assuré par les exigences
de la PC ou par le contenu de la DPC, elle peut instituer une nouvelle politique avec un nouvel
identifiant d'objet (OID).
Coordonnées des entités responsables de la présente PC
1.5.2.1 Organisme responsable
La société VIALINK est responsable de cette PC.
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 11 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
1.5.2.2 Vialink
18 quai de la Rapée
75012 PARIS
France
Service Clients :
Téléphone : +33 (0)1.40.02.91.12
Fax : 01 48.77.78.12
Email : support@vialink.fr
1.5.2.3 Personne physique responsable
M. Philippe SANCHIS
Directeur Général
Vialink
18 quai de la Rapée
75012 PARIS
France
Contrôle de conformité à la PC
L'Autorité de Certification VIALINK EU QUALIFIED CA a la responsabilité du bon fonctionnement des
composantes de l'IGC, conformément aux dispositions énoncées dans le présent document. L'AC effectuera
donc en ce sens des contrôles réguliers de conformité et de bon fonctionnement des composantes de cette
IGC (cf. chapitre 8).
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 12 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
2 Responsabilité concernant la mise à disposition des informations
devant être publiées
2.1 Entités chargées de la mise à disposition des informations
L'AC VIALINK EU QUALIFIED CA diffuse les informations mentionnées au paragraphe suivant via son site
Internet www.vialink.fr ou directement sur https://app.vialink.fr/tsp.
2.2 Informations publiées
La présente politique https://app.vialink.fr/tsp
de certification (PC)
Les versions https://app.vialink.fr/tsp
précédentes de la PC
Les Listes de http://crl.vialink.fr/vialink/crl-vialink-eu-qualified-ca.crl
Certificats Révoqués
(LCR)
Le certificat d’AC https://www.vialink.fr/tsp/crt/vialink-eu-qualified-ca.crt
Les conditions https://app.vialink.fr/tsp
générales du contrat
d’utilisation du
service
Les informations pertinentes de la politique de sécurité de l’AC sont reprises dans le présent document.
La communication des changements aux parties prenantes s’effectue à travers la publication du présent
document sur le site internet ci-dessus.
L’AC utilisera le même moyen (site internet) pour communiquer aux porteurs et à toutes les parties
concernées toute insuffisance détectée des algorithmes cryptographiques ou tout autre paramètre utilisé
dans la fourniture de ses services. L’AC peut également envisager des moyens supplémentaires pour
communiquer ces insuffisances (envoi de mail par exemple).
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 13 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
2.3 Fréquence de diffusion
La Politique de Certification (PC) est mise à jour sur le site après chaque modification. La nouvelle
version est communiquée au porteur lors d’une demande de renouvellement de clé et doit faire
l’objet d’un nouvel accord.
La fréquence de publication des Listes de Certificats Révoqués (LCR) est précisée au § 4.9.7.
Le certificat de l’AC est publié initialement et à chaque renouvellement, avant toute émission de
certificat porteur.
La liste de certificats d’AC révoqués (LAR) est publiée initialement et à chaque renouvellement, et en
tout état de cause avant sa fin de validité.
La fonction de publication (information sur l'état des certificats, publication des documents de l’AC)
est disponible 24h/24 7j/7. Cette fonction a une durée maximale d'indisponibilité par interruption
de service (panne ou maintenance) de 2h et une durée maximale totale d'indisponibilité par mois de
24h.
2.4 Contrôle d'accès
L'ensemble des informations publiées à destination des utilisateurs de certificats est libre d'accès en lecture.
L'accès en modification aux systèmes de publication (ajout, suppression, modification des informations
publiées) est strictement limité aux fonctions internes habilitées de l'IGC, au travers d'un contrôle d'accès
fort.
2.5 Dépôt des documents
Les documents mentionnés au paragraphe §2.2 sont publiés via le site Internet de l'AC.
L'ensemble des documents nécessaires au fonctionnement de l'AC est conservé par l'AC, dans leur dernière
version, en un lieu centralisé et protégé.
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 14 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
3 Identification et authentification
3.1 Nommage
Conventions de noms
Certificats de personnes physiques : Le porteur est identifié dans le champ "Objet" ("Subject" en anglais) du
certificat émis par VIALINK EU QUALIFIED CA, par les champs suivants, conformément à la norme ETSI EN 319
412 :
serialNumber, contient un numéro de série unique associé au porteur, issu de l’empreinte SHA-2 du
numéro de série de la pièce d’identité du porteur.
CN (commonName). Cette mention est obligatoire. Il est constitué du prénom usuel et du nom
patronymique. Ce nom est celui du porteur tel qu'il figure dans ses documents d’identité.
SN (surname). Il est constitué du nom patronymique du porteur tel qu'il figure dans ses documents
d’identité.
GN (givenName). Il est constitué du prénom usuel du porteur tel qu'il figure dans ses documents
d’identité.
C (countryName), contenant la chaîne « FR » ou le code du Pays de la pièce d’identité du porteur.
Certificats de personnes morales : Le porteur est identifié dans le champ "Objet" ("Subject" en anglais) du
certificat émis par VIALINK EU QUALIFIED CA, par les champs suivants, conformément à la norme ETSI EN 319
412 :
serialNumber, contient un numéro de série unique associé au porteur, issu de l’empreinte SHA-2 du
SIREN de la société.
CN (commonName). Cette mention est obligatoire. Il contient le nom du service de cachet choisi par
la personne morale.
O (Organisation). Cette mention est obligatoire. Il contient le nom de l’organisation tel qu’inscrit sur
le KBIS de la société.
OI (OrganisationIdentifier). Cette mention est obligatoire. Il contient les caractères « NTRFR » suivi
du numéro de SIREN de la société.
C (countryName), contenant la chaîne « FR ».
Certificats de test : Lorsque l’AC VIALINK EU QUALIFIED CA émet des certificats à des fins de test, ceux-ci sont
clairement identifiés par le préfixe « TEST » placé devant
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 15 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
- le prénom, et donc en début des champs CN et GN, dans le cas d’un certificat de personne
physique ;
- le nom du service (champ CN) et le nom de l’organisation (champ O) dans le cas d’un certificat de
personne morale.
Les certificats de test peuvent être demandés par mail ou par téléphone (voir la section 1.5.2.2).
Utilisation de noms explicites
Les informations portées dans le champ "Objet" du certificat VIALINK EU QUALIFIED CA sont explicites
("Distinguished Name" en anglais).
Anonymisation ou pseudonymisation des porteurs
Les certificats objets de la présente PC ne peuvent en aucun cas être anonymes ou pseudonymes.
Règles d'interprétation des différentes formes de noms
Aucune interprétation particulière n'est à faire des informations portées dans le champ "Objet" des certificats
VIALINK EU QUALIFIED CA.
Ces informations sont établies par l'AE de VIALINK EU QUALIFIED CA selon les règles suivantes :
Tous les caractères sont au format UTF-8 mis à part les champs serialNumber et CountryName qui sont
en PrintableString.
Unicité des noms
Le DN du porteur d’un certificat identifie de façon unique ce porteur (même par rapport à des homonymes)
grâce au champ serialNumber basé sur le numéro de série du SIREN.
Procédure de résolution de litige sur déclaration de nom
L'AC s'engage quant à l'unicité des noms de ses utilisateurs, et quant à la résolution des litiges portant sur la
revendication d'utilisation d'un nom.
Reconnaissance, authentification et rôle des noms de marques
Sans objet pour les certificats de personnes physiques (les noms de marque ne figurent pas au sein des
certificats VIALINK EU QUALIFIED CA).
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 16 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
Pour les certificats de personnes morales, le contenu du champs CN est libre et sous la responsabilité du
demandeur qui devra s’assurer que son contenu respecte le code de la propriété intellectuelle. Vialink ne
réalise pas de vérification de propriété intellectuelle cependant, Vialink s’autorise à refuser tout CN qui
comporterait une infraction évidente de la propriété intellectuelle d’autrui ou qui s’avérerait trompeur pour
les utilisateurs.
3.2 Validation initiale de l’identité
Méthode pour prouver la possession de la clé privée
Voir § 6.1.
Validation de l’identité d’un organisme
La validation de l’identité de l’organisme est réalisée lors de la procédure de vérification de l’identité du
Responsable du Certificat Cachet Serveur (RCCS) comme suit :
- Le nom (Raison sociale) et le numéro d’identification de l’organisme (SIREN) doit être justifié par un
document officiel en cours de validité (typiquement un extrait de KBIS pour une entreprise) ;
- L’identité du RCCS est vérifiée par l’AE vis à vis des éléments de vérification d’identité listés en 3.2.3 ;
- Dans le cas où le RCCS n’est pas un Responsable Légal (RL),
o L’autorité du RCCS sera vérifiée au travers d’un mandat l’autorisant à effectuer la demande
de certificat au nom de l’organisme. Ce mandat devra l’identifier formellement et être signé
par le Responsable Légal de la société (personne figurant sur le KBIS). Le mandat doit être
accompagné de la pièce d’identité du RL.
o L’identité du Responsable Légal est vérifiée par l’AE vis à vis des éléments de vérification
d’identité listés en 3.2.3.
Validation de l’identité d’un individu
La validation de l’identité des individus est du ressort de l'AE.
L’individu fournit au minimum les informations suivantes à l’AE :
Son nom et son prénom tels qu’ils apparaissent sur ses documents d’identité ;
Une adresse courriel à laquelle l’AC peut le joindre ;
Une pièce d’identité valide.
Pour les certificats de personnes physique,
Un numéro de téléphone mobile ;
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 17 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
L’AE valide l’exactitude de l’identité de la personne (nom, prénom) par l’examen de la pièce d’identité
présentée (ou de sa copie s’il n’y a pas de face à face). Les pièces d’identité acceptées sont les titres
authentiques et dans leur période de validité parmi :
Carte nationale d’identité ;
Passeport ;
Titre de séjour ;
Pour les certificats de personne physique,
L’AC valide par ailleurs que le porteur a bien accès au numéro de téléphone par un challenge envoyé par
SMS.
La preuve de l’identité d’un individu (porteur, RCCS, RL) s’effectue en présence physique (face à face) au
moyen d’un justificatif d’identité.
Validation de l’autorité du demandeur
Sans objet pour les personnes physiques, le porteur est une personne physique agissant en son nom propre
et demandant un certificat pour elle-même.
Pour les personnes morale, cela est vérifié au travers de la procédure d’enregistrement du demandeur de
certificat (voir 3.2.2).
Certification croisée d’AC
L’AC VIALINK EU QUALIFIED CA n’a aucun accord de reconnaissance avec une autre AC.
3.3 Identification et validation d’une demande de renouvellement
Les demandes de renouvellement sont traitées comme des demandes initiales.
3.4 Identification et validation d’une demande de révocation
Pour les certificats de personne physique, lorsque le porteur demande la révocation de son certificat, il saisit
son nom, son prénom et l’adresse mail renseignée à la demande du certificat. L’AC l’authentifie par l’envoi
d’un lien unique sur cette adresse.
Pour les certificats de personne morale, le RCCS utilisera la même procédure pour réaliser la révocation. Le
responsable légal peut également demander la révocation à distance, en justifiant de son identité et de son
statut de représentant légal.
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 18 / 72Politique et pratiques de certification
VIALINK EU QUALIFIED CA
4 Exigences opérationnelles sur le cycle de vie des certificats
4.1 Demande de certificat
Origine d'une demande de certificat
Pour les certificats de personnes physiques, la demande et la délivrance du certificat sont effectuées dans
le cadre d’une transaction commerciale ou administrative (p. ex., signature de contrat) initiée dans une entité
cliente de Vialink.
Un collaborateur de cette entité, dûment authentifié sur le système de signature, saisit au minimum :
Le nom et le prénom du signataire, qui sera le demandeur du certificat ;
Un numéro de téléphone mobile du signataire ;
L’adresse courriel du signataire ;
Le numéro du titre d’identité présenté par le signataire si le client est responsable de
l’authentification du porteur (Autorité d’Enregistrement).
Le collaborateur associe le document à signer à ces informations et lance le processus de signature.
Pour les certificats de personnes morales, la demande est réalisée par le RCCS dans le cadre d’un contrat
entre son entité et Vialink.
Processus et responsabilités pour l'établissement d'une demande de certificat
A. Validation de l’identité du porteur :
Deux processus de validation de l'identité du porteur sont possibles:
1. Validation de l’identité par le client de Vialink :
Dans ce cas, le client de Vialink est une Autorité d’Enregistrement (AE), il contrôle uniquement des pièces
d’identité françaises, l’opérateur AE est le collaborateur du client de Vialink ayant initié le processus de
signature. Ce collaborateur du client de Vialink est responsable de la vérification de l’identité du demandeur
et de la constitution du dossier d’enregistrement comme suit :
i. Le demandeur remet à l’AE une copie lisible de sa pièce d’identité ;
ii. L’AE valide l’authenticité et la validité de la pièce et l’exactitude des informations (nom, prénom)
saisies au début du processus ;
iii. L’AE ajout la pièce d’identité du demandeur au dossier d’enregistrement, en certifiant sa validité et
son exactitude par rapport à la demande. Selon l’accord existant entre l’entité cliente et l’AC, soit le
Opérateur de services de confiance
________________________________________________________________________________________________________
Ce document est la propriété de Vialink, sa diffusion ou sa copie est interdite sans l’audorisation écrite de Vialink.
Page 19 / 72Vous pouvez aussi lire
