Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Transcription

1 Politique de Signature EDF Commerce Division Entreprises et Collectivités Locales Pour la dématérialisation fiscale XML des Entreprises et Collectivités Locales Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

2 TABLE DES MATIERES 1 OBJET DU DOCUMENT 4 2 POLITIQUE DE SIGNATURE ELECTRONIQUE Champ d application Identification Publication du document Processus de mise à jour Circonstances rendant une mise à jour nécessaire Prise en compte des remarques Information des acteurs Entrée en vigueur et période de validité 6 3 ACTEURS La Division Entreprises et Collectivités Territoriales (DE/DCT) de la Direction Commerce EDF Les clients Entreprises et Collectivités Locales abonnées à la dématérialisation fiscale XML Obligations de la Division Entreprises et Collectivités Locales de la Direction Commerce EDF Type de certificat utilisé Protection du support du certificat Révocation du certificat Chaîne de certification Obligations des clients entreprise et collectivités locales abonnés à la dématérialisation fiscale Données de vérification Protection des moyens Journalisation Reprise en cas d interruption de service Assistance aux clients 9 4 SIGNATURE ÉLECTRONIQUE ET VALIDATION Données signées Caractéristiques des signatures Type de signature Norme de signature Algorithmes utilisables pour la signature Algorithme de condensation Algorithme de chiffrement 11

3 4.3.3 Canonisation Conditions pour déclarer valide le fichier signé 11 5 POLITIQUE DE CONFIDENTIALITE Classification des informations Communication des informations à des tiers 12 6 Certificat ayant signé le présent document 13

4 1 OBJET DU DOCUMENT La signature électronique apposée sur un ensemble de données permet de garantir l intégrité des données transmises et l authenticité de leur émetteur. Une politique de signature est un document décrivant les conditions de recevabilité d un fichier sur lequel sont apposées une ou plusieurs signatures électroniques dans le cadre d échanges électroniques prédéfinis. Le présent document, «Politique de Signature pour la facturation dématérialisée XML Entreprises et Collectivités Locales», décrit ces conditions dans le cadre des échanges électronique entre la Division Entreprises et Collectivités Locales de la Direction Commerce EDF et ses clients abonnés à la facturation dématérialisée XML. Ce document est destiné aux entreprises et collectivités locales abonnées à la dématérialisation fiscale (format XML) de leurs factures.

5 2 POLITIQUE DE SIGNATURE ELECTRONIQUE 2.1 Champ d application La présente politique de signature s applique au processus de dématérialisation fiscale pour les factures du domaine Entreprise et Collectivités Territoriales, dans le cadre de la facturation XML mise en place pour la Division Entreprises et Collectivités Territoriales de la Direction Commerce EDF (DE/DCT). 2.2 Identification La présente politique de signature est identifiée par l URI (Unified Resource Identifier) : Cette référence figure dans les données signées conformément au paragraphe de ce document afin d attester du régime sous lequel la signature est appliquée à la facture. 2.3 Publication du document La présente politique est publiée après approbation formelle de la DE/DCT et apposition d une signature électronique. La présente politique est consultable à l adresse suivante : Processus de mise à jour Circonstances rendant une mise à jour nécessaire La mise à jour de la présente politique de signature peut avoir pour origines, l évolution du droit, l apparition de nouvelles menaces et de nouvelles mesures de sécurité, les observations des différents acteurs, etc. La présente politique est réexaminée a minima tous les 2 ans Prise en compte des remarques Toutes les remarques, ou souhaits d évolution, sur la présente politique sont à adresser par courriel à l adresse suivante: fef-technique@edf.fr Ces remarques et souhaits d évolution sont examinés par la DE/DCT qui engage si nécessaire le processus de mise à jour de la présente politique de signature.

6 2.4.3 Information des acteurs Les informations relatives à la version courante de cette politique et aux versions antérieures sont disponibles sur le site institutionnel EDF où une rubrique documentaire référence toutes les versions précédentes de ce document. La publication d une nouvelle version de la politique de signature consiste à 1) mettre en ligne les éléments suivants : la politique de signature au format PDF, L identifiant de la politique de signature, URI (Unified Resource Identifier) l empreinte de la politique de signature, l algorithme de hachage utilisé pour réaliser l empreinte de la politique de signature, la valeur de la signature apposée sur la politique de signature, l algorithme de hachage et de chiffrement utilisé pour réaliser la signature de la politique de signature, la date et l heure d entrée en vigueur de la politique de signature. 2) archiver la version précédente après apposition de la mention «obsolète» sur chaque page. 2.5 Entrée en vigueur et période de validité Cette première version de la politique de signature entre en vigueur le 1er décembre 2011 après sa mise en ligne sur le site institutionnel EDF. Une nouvelle version de la politique de signature n entre en vigueur que 30 jours ouvrés après sa mise en ligne sur le site institutionnel EDF, et reste valide jusqu à l entrée en vigueur d une nouvelle version. Le délai de 30 jours est mis à profit les clients DE/DCT abonnés à la dématérialisation fiscale XML pour prendre en compte les changements et mettre à jour, dans leur processus de validation de signature, la prise en compte de la référence à la politique courante. En cas de révocation du certificat utilisé Cf et après information des clients abonnés, une nouvelle version de la politique de signature peut entrer en vigueur sans respecter le délai de 30 jours.

7 3 ACTEURS 3.1 La Division Entreprises et Collectivités Territoriales (DE/DCT) de la Direction Commerce EDF Le rôle de la Division Entreprises et Collectivités Territoriales (DE/DCT) de la Direction Commerce EDF est de : apposer sa signature électronique sur les factures émises au format XML; s assurer que la facture signée est transmise aux clients Entreprises et Collectivités Locales abonnées à la dématérialisation fiscale XML. Pour apposer une signature électronique sur une facture, la DE/DCT dispose d un certificat de signature et d un outil de signature. Les informations de publication du certificat utilisé sont données en La DE/DCT peut déléguer tout ou partie de ces tâches à des prestataires de service en s assurant de la conformité des services rendus par ces prestataires avec la présente politique de signature. 3.2 Les clients Entreprises et Collectivités Locales abonnées à la dématérialisation fiscale XML Les clients Entreprises et Collectivités Locales abonnés à la dématérialisation fiscale XML reçoivent, par l intermédiaire de canaux à valeur ajoutée, les factures dématérialisées XML les concernant. Le rôle des clients Entreprises et Collectivités Locales concernés est de : vérifier la validité de la signature et du certificat ayant servi à sa création ; vérifier la cohérence des données de facturation transmises ; traiter les données figurant dans les factures. 3.3 Obligations de la Division Entreprises et Collectivités Locales de la Direction Commerce EDF Type de certificat utilisé La DE/DCT signe les données de facturation dématérialisées à l aide d un certificat dont les caractéristiques sont citées ci-dessous : Certificat de classe 1 Titulaire : ELECTRICITE DE FRANCE Autorité de certification émettrice : TBS INTERNET CA o o Algorithme de Signature : SHA1-RSA

8 3.3.2 Protection du support du certificat La DE/DCT prend toutes les mesures nécessaires à la protection de son certificat Révocation du certificat En cas de perte, de vol, de compromission ou de simple suspicion de compromission de sa clé privée, la DE/DCT suit le processus suivant : demande dans les plus brefs délais à l organisme émetteur de son certificat la révocation de celui-ci, obtention et mise en service d un nouveau certificat, conjointement à la mise à jour de la présente politique de sécurité, diffusion de l information aux clients entreprises et collectivités locales abonnées à la dématérialisation fiscale XML. La révocation du certificat sera publiée sur les adresses URI suivante : Chaîne de certification 1) cn=utn-userfirst-client Authentication and ,ou= USERTRUST Network,l=Salt Lake City,st=UT,c=US Chemin de certification complet 2) cn=addtrust Class 1 CA Root,c=SE,o=AddTrust AB,ou=AddTrust TTP Network 3) cn=tbs X509 CA persona,c=fr,l=caen,st=calvados,o=tbs INTERNET,ou=Terms and Conditions: TBS INTERNET CA Durée de validité des CRLs (pour chacune des AC du chemin de certification) Liste des URL de publication des CRL (pour chacune des AC du chemin de certification) 1) 4j 2) 4j 3) 1j 1) ClientAuthenticationand .crl 2) 3) Obligations des clients entreprise et collectivités locales abonnés à la dématérialisation fiscale Données de vérification Pour effectuer les vérifications, le service de validation des clients utilise les données publiques relatives au certificat du signataire, telles que les listes de révocations ou les certificats des prestataires de services de certification électronique émetteurs.

9 Selon les familles de certificat, un délai variable s applique entre le moment où est demandée la révocation du certificat et le moment où la liste des certificats révoqués est mise à disposition du public. La DE/DCT ne saurait être tenue responsable des conséquences d une validation de signature effectuée pendant ce délai de latence Protection des moyens Les clients entreprises et collectivités locales s assurent de la mise en œuvre des moyens nécessaires à la protection des équipements fournissant les services de validation. Les mesures prises concernent à la fois : la protection des accès physiques et logiques aux équipements aux seules personnes habilitées; la disponibilité du service ; la surveillance et le suivi du service Journalisation Les clients entreprises et collectivités locales s assurent de la conservation des traces relatives : - à la circulation des échanges au sein des réseaux et des équipements informatiques ; - au traitement des données échangées. Les clients entreprises et collectivités locales s assurent que les preuves de traitement relatives à la vérification des signatures électroniques sont conservées pendant 10 ans Reprise en cas d interruption de service Les clients entreprises et collectivités locales s assurent de la mise en œuvre des moyens nécessaires à la reprise d activité en cas d interruption de service d un des composants nécessaire aux tâches dont ils ont la responsabilité. Ils s assurent en particulier que ces moyens font l objet de tests à intervalles réguliers Assistance aux clients Les questions ou problèmes doivent être transmis par courriel à l adresse : fef-technique@edf.fr

10 4 SIGNATURE ÉLECTRONIQUE ET VALIDATION 4.1 Données signées Au sein d un fichier signé, les données signées sont composées des éléments suivants : l intégralité des données constituant la facture dématérialisée, au format XML UBL- Invoice 2.0 ; les propriétés de signature telles que définies aux paragraphes du présent document. 4.2 Caractéristiques des signatures Le format de signature suit la norme XAdES (ETSI TS ), et inclus les attributs de la forme EPES Type de signature Les signatures électroniques apposées sont de type enveloppé Norme de signature Les signatures respectent la norme XAdES (ETSI TS ) en version v1.1.1, disponible depuis l adresse Le format XAdES étant un format XML, le jeu de caractères imposé est UTF-8. Conformément à la norme XadES, et conformément aux attributs de la forme EPES, les propriétés signées (SignedProperties / SignedSignatureProperties) contiennent les éléments suivants : le certificat du signataire (SigningCertificate) la date et l heure de signature (SigningTime) la référence au présent document (SigningPolicyIdentifier / SigPolicyIdType) o o URI de la présente politique de signature (SigPolicyId) Valeur de condensé de la politique de signature calculé et algorithme de condensation utilisé (SigPolicyHash). Une fois signé, le fichier ne fait plus l objet d aucun transcodage, et transite dans le système d information de l entreprise sous la forme d un flux binaire, avant d emprunter les canaux habituels de transmission entre l entreprise et les clients. 4.3 Algorithmes utilisables pour la signature Algorithme de condensation Les algorithmes de condensation à utiliser sont SHA-1.

11 4.3.2 Algorithme de chiffrement L algorithme de chiffrement à utiliser est RSA Canonisation L algorithme de forme canonique REC-xml-c14n identifié par l'uri est utilisé comme algorithme de mise en forme canonique pour les données signées de l intégralité du fichier XML facture. 4.4 Conditions pour déclarer valide le fichier signé Un fichier signé peut être considéré comme valide par tout client à compter de la vérification positive de la signature électronique du signataire. La vérification de la signature porte sur : la vérification du respect de la norme de signature ; la vérification de l appartenance du certificat du signataire à la famille de certificat déclarée par EDF ; la vérification du certificat du signataire et de tous les certificats de la chaîne de certification : o validité temporelle, o statut, o signature cryptographique ; la vérification de l intégrité des données transmises par calcul de l empreinte et comparaison avec l empreinte reçue ; la vérification de la signature électronique apposée sur le fichier en utilisant la clé publique du signataire contenue dans le certificat transmis ; la vérification de l identifiant de la politique de signature référencée.

12 5 POLITIQUE DE CONFIDENTIALITE 5.1 Classification des informations Les informations suivantes sont considérées comme confidentielles : les journaux du service de validation, les procédures internes du service de validation, les rapports de contrôle de conformité et les plans d action référents. 5.2 Communication des informations à des tiers On entend par tiers, tout organisme n étant pas dans la chaîne de traitement des factures dématérialisées XML émises par EDF Commerce. La diffusion des informations à un tiers ne peut intervenir qu après acceptation de EDF Commerce.

13 6 Certificat ayant signé le présent document Le certificat ayant servi à signer le présent document est le certificat utilisé pour la transmission des données de dématérialisation fiscale, décrit au paragraphe