Politique de signature électronique

Transcription

1 Politique de signature électronique Service Trace One 22/03/2010 Trace One

2 SOMMAIRE 1 OBJET DU DOCUMENT LEXIQUE DOCUMENTS DE REFERENCE POLITIQUE DE SIGNATURE ELECTRONIQUE CHAMP D APPLICATION IDENTIFICATION OID DATE DE PUBLICATION PUBLICATION DU DOCUMENT ENTREE EN VIGUEUR D UNE NOUVELLE VERSION GESTION DU DOCUMENT ACTEURS TRACE ONE LA PLATE-FORME TRACE ONE ADHERENTS CORRESPONDANT TRACE ONE UTILISATEURS LES OBLIGATIONS DES UTILISATEURS ENVIRONNEMENT DES UTILISATEURS CHOIX DES REPRESENTANTS DE L ADHERENT TYPE DE CERTIFICAT UTILISE AUTRES OBLIGATIONS LES OBLIGATIONS DE TRACE ONE OUTIL DE SIGNATURE DONNEES DE VERIFICATION PROTECTION DES MOYENS JOURNALISATION REPRISE EN CAS D INTERRUPTION DE SERVICE ASSISTANCE AUX UTILISATEURS SIGNATURE ELECTRONIQUE ET VALIDATION DONNEES SIGNEES CARACTERISTIQUES DE LA SIGNATURE

3 4.2.1 TYPE DE SIGNATURE NORME DE SIGNATURE ALGORITHMES UTILISABLES POUR LA SIGNATURE ALGORITHME D EMPREINTE ALGORITHME DE CHIFFREMENT TAILLE DES CLES CANONICALISATION CONDITIONS POUR DECLARER VALIDE LE FICHIER SIGNE VERIFICATION DE LA SIGNATURE ACCES A LA PLATE-FORME TRACE ONE OUVERTURE DU SERVICE AUTHENTIFICATION POLITIQUE DE CONFIDENTIALITE CLASSIFICATION DES INFORMATIONS COMMUNICATION DES INFORMATIONS A DES TIERS DISPOSITIONS JURIDIQUES DROIT APPLICABLE DONNEES NOMINATIVES

4 1 Objet du Document La signature électronique apposée sur un ensemble de données permet de garantir l intégrité des données transmises et l authenticité de leur émetteur. Une politique de signature est un document décrivant les conditions de recevabilité d un fichier sur lequel sont apposées une ou plusieurs signatures électroniques dans le cadre d échanges électroniques prédéfinis. Le présent document, Politique de Signature du Service Trace One, décrit ces conditions dans le cadre des échanges électroniques entre les Utilisateurs du Service et la plate-forme Trace One. Ce document est destiné aux Utilisateurs du Service Trace One et à toute personne ou organisation ayant besoin de connaître le régime sous lequel la signature a été constituée. 1.1 Lexique Adhérent : personne morale identifiée sur le ou les Bons de Commande, représentée par une personne physique dûment habilitée à signer le Contrat électronique et le cas échéant, à déléguer la Signature électronique. Application : la version la plus récente de la solution logicielle, en langue française ou en langue anglaise, espagnole ou autre, en fonction de la disponibilité, définie dans le Bon de Commande, hébergée sur le Serveur, accessible et utilisable exclusivement en mode locatif à travers le réseau Internet, dans le cadre des Services Applicatifs, la Documentation, ainsi que toutes les mises à jour mises à disposition de l Adhérent pendant la durée du contrat établi entre Trace One et ses Adhérents. Bon de Commande : le bon de commande désigne et identifie l Adhérent, en tant qu entité contractante, les Services Applicatifs et éventuels services optionnels souscrits par ce dernier, le Périmètre et les conditions tarifaires applicables à chaque Bon de Commande ; étant entendu que chaque Bon de Commande doit faire expressément référence aux Conditions Générales Services Applicatifs Trace One et pour être valable, être dûment complété et signé par les deux (2) Parties. 4

5 Contrat : par ordre de priorité décroissant - le précédent primant sur le suivant en cas de contradiction - l ensemble des documents ci-après fourni à l Adhérent sous forme d un dossier - préalablement à la conclusion du Contrat, dont il a pris connaissance et accepte l intégralité des termes, par sa signature portée sur le(s) Bon(s) de Commande : le(s) Bon(s) de Commande et ses éventuelles annexes dont : la fiche descriptive des Utilisateurs, en cas d ajout et/ou de modification des Utilisateurs. les Conditions Générales et leurs annexes : la Charte des échanges électroniques ; la définition de la Configuration; la fiche de désignation du Correspondant Trace One, la fiche descriptive des Utilisateurs. Le Contrat est établi et signé entre Trace One et l Adhérent aux fins de donner à ce dernier un droit d accès et d utilisation des Services Applicatifs. Contrat électronique : terme générique désignant un cahier des charges, des spécifications ou des contrats commerciaux échangés entre les Utilisateurs du service Trace One. Ces Contrats électroniques sont destinés à être signés et conservés sur la plate-forme Trace One. À ne pas confondre avec les «Contrats» tels que définis dans les Conditions Générales Services Applicatifs Trace One. Correspondant Trace One : personne physique «de confiance» habilitée par l Adhérent et missionnée par ce dernier pour assurer la relation avec Trace One, notamment dans la vérification de l identité des demandeurs de Certificats Électroniques, leur appartenance à l entreprise Adhérente et l assistance aux Utilisateurs dans le cadre de la Politique de Certification. Données de Connexion : les identifiant et mot de passe correspondants à chaque Utilisateur, et le cas échéant le système cryptographique (lecteur, carte à puce ou tout autre système similaire) remis par Trace One à l Adhérent, dont Trace One est propriétaire. Plate-forme Trace One : synonyme de Serveur. 5

6 Serveur : l ensemble des équipements informatiques (matériels et logiciels) sur lesquels l Application est installée, appartenant à Trace One ou dont Trace One a la jouissance des droits nécessaires à l exécution du Contrat ; le Serveur étant situé dans les lieux géographiques du choix de Trace One et connecté aux réseaux le reliant à Internet. Services Applicatifs : l accès et le droit personnels, non transférables et non-exclusifs d utilisation de l Application, son hébergement, sa maintenance selon les termes du Contrat établi entre Trace One et les Adhérents. Utilisateur : tout préposé ou prestataire autorisés de l Adhérent, dont le nombre et l identité sont définis le cas échéant dans le Contrat (établi entre Trace One et les Adhérents) et la fiche descriptive des Utilisateurs, dûment habilités à accéder aux Services Applicatifs et, pour certains d entre eux, à signer électroniquement des documents dans l Application. Les Utilisateurs sont donc, techniquement, le cas échéant, les signataires. 1.2 Documents de référence Conditions Générales Services Applicatifs Trace One Portail Qualité Politique de Certification Abonnés (OID : ) 2 Politique de signature électronique 2.1 Champ d application La présente politique de signature s applique : aux cahiers des charges (et/ou spécifications) échangés entre les Adhérents (distributeurs et fournisseurs), via l utilisation du Service Trace One ; aux contrats commerciaux échangés entre les Adhérents (distributeurs et fournisseurs), via l utilisation du Service Trace One ; ci-après dénommés les «Contrats électroniques». Afin que ces Contrats électroniques aient une valeur juridique, ils doivent faire l objet d une signature électronique des deux parties. Ces Contrats électroniques font l objet d une signature apposée sur l intégralité des données contenues dans un cahier des charges ou dans un contrat commercial. 6

7 Cette signature doit être apposée par une personne habilitée à engager son établissement auprès de l autre partie signataire pour l ensemble de données transmises, via le Service Trace One. 2.2 Identification OID La présente politique de signature est identifiée par l OID (Object IDentifier) : Cette référence doit figurer dans les données signées conformément au paragraphe «Norme de signature» de ce document afin d attester du régime sous lequel le signataire adresse sa remise Date de publication La présente politique a été publiée le 22 mars Publication du document La présente politique de signature électronique est consultable à l adresse suivante : La publication d une nouvelle version de la politique de signature consiste à : 1. Mettre en ligne les éléments suivants : La politique de signature au format PDF L identifiant de la politique de signature (OID) La date et l heure d entrée en vigueur de la politique de signature 2. Archiver la version précédente après apposition de la mention «obsolète» sur chaque page. 7

8 2.4 Entrée en vigueur d une nouvelle version Une nouvelle version de la politique de signature entre en vigueur dès sa mise en ligne à l URL identifiée et reste valide jusqu à l entrée en vigueur d une nouvelle version. Les Utilisateurs concernés par la politique de signature sont avisés par Trace One de la publication d une nouvelle version par le biais d une annonce sur le site de Trace One et disposent de l accès aux documents en ligne. 2.5 Gestion du document La mise à jour de la présente politique peut avoir pour origine l évolution du cadre réglementaire, l apparition de nouvelles menaces et de nouvelles mesures de sécurité, les observations des différents acteurs, les évolutions techniques et les demandes des Utilisateurs de la Plate-forme Trace One. Toutes les remarques ou souhaits d évolution sur la présente politique sont à adresser par courriel à l adresse suivante : supportpse@traceone.fr L OID de la politique de signature apparaissant dans les propriétés de la signature, toute évolution majeure de la politique se traduira par un changement d OID afin de permettre aux Utilisateurs de pouvoir déterminer sans ambiguïté à quelle politique se réfère un certificat donné. 3 Acteurs 3.1 Trace One Le rôle de Trace One est de : Gérer la présente politique de signature 3.2 La plate-forme Trace One Le rôle de la plate-forme Trace One est de : Mettre les Contrats électroniques à disposition des Utilisateurs, avant et après signature 8

9 Gérer le processus de signature des Contrats électroniques par les deux parties et assurer leur cohérence tout au long des traitements. La plate-forme Trace One peut déléguer tout ou partie de ces tâches à des prestataires de service en s assurant de la conformité des services rendus par ces prestataires avec la présente politique de signature. 3.3 Adhérents Le rôle des Adhérents est de : Désigner un Correspondant Trace One Les obligations des Adhérents sont décrites dans les Conditions Générales Services Applicatifs Trace One. 3.4 Correspondant Trace One Le rôle des Correspondants Trace One est de : Déclarer à Trace One les habilitations des Utilisateurs Signaler à Trace One dans les plus brefs délais toute perte ou vol du mot de passe ou de l identifiant d un Utilisateur Les obligations des Correspondants Trace One sont décrites en détail dans les Conditions Générales Services Applicatifs Trace One. 3.5 Utilisateurs Le rôle des Utilisateurs est de : Apposer leur signature électronique sur un Contrat électronique ; S assurer que le Contrat électronique signé est transmis à la Plate-forme Trace One. Pour apposer une signature électronique sur ce Contrat électronique, les Utilisateurs doivent disposer d un certificat de signature et de la Plate-forme Trace One. La qualité d un Utilisateur ne figurant pas dans son certificat, seuls les Utilisateurs préalablement enregistrés auprès de la Plate-forme Trace One avec une habilitation à engager commercialement leur entreprise (voir la «fiche de demande de certificat» dans Politique de Certification Abonnés) sont autorisés à apposer une signature sur un Contrat électronique. 9

10 3.6 Les obligations des Utilisateurs Environnement des Utilisateurs L opération de création de signature doit être réalisée sur un poste client propre à l Utilisateur. L Utilisateur doit s assurer que son poste de travail est protégé contre l utilisation frauduleuse de son identité et de l outil de signature dans le cadre des applications dont la présente politique de signature fait objet Choix des représentants de l Adhérent Pour chaque Adhérent, un responsable établit et transmet à Trace One, la liste des personnes habilitées à signer les Contrats électroniques sous Trace One Spécifications Type de certificat utilisé L Utilisateur doit utiliser un certificat de signature reconnu par la politique de signature Trace One Autres obligations L Utilisateur doit respecter les obligations décrites dans les Conditions Générales Services Applicatifs Trace One et dans la Politique de Certification associée au Certificat qui lui a été remis. 3.7 Les obligations de Trace One Trace One s engage à prendre toutes les mesures nécessaires pour se mettre en conformité avec les exigences de la présente politique de signature. En cas de mise à jour de la politique, Trace One évaluera l impact de cette mise à jour sur ses pratiques et mettra en place, le cas échéant, de nouvelles procédures pour maintenir leur conformité avec la nouvelle politique Outil de signature L outil de signature mis à la disposition des Utilisateurs est AdSignerXML, version Données de vérification Pour effectuer la vérification d une signature apposée sur un Contrat électronique, il est nécessaire de s appuyer sur les données transmises par les Adhérents concernant les habilitations de leurs représentants, ainsi que des données publiques relatives aux certificats 10

11 des Utilisateurs, telles que les listes de révocations ou les certificats des prestataires de services de certification électronique émetteurs. Selon les familles de certificat, un délai variable s applique entre le moment où est demandée la révocation d un certificat et le moment où la liste des certificats révoqués est mise à disposition du public. Trace One ne saurait être tenu responsable des conséquences d une validation de signature effectuée pendant ce délai de latence. De même, Trace One ne saurait être tenu responsable des conséquences d un Contrat électronique signé par un Utilisateur entre le moment où l Adhérent lui a retiré son habilitation et celui où son Correspondant en a informé Trace One Protection des moyens Trace One s assure de la mise en œuvre des moyens nécessaires à la protection des équipements de la Plate-forme Trace One. Les mesures prises concernent à la fois : la protection des accès physiques et logiques aux équipements aux seules personnes habilitées; la disponibilité du service ; la surveillance et le suivi du service Journalisation Trace One s assure de la conservation des traces relatives : à la circulation des échanges au sein des réseaux et des équipements informatiques ; au traitement des données échangées. Trace One s assure que les preuves de traitement relatives à la vérification des signatures électroniques sont conservées pendant 10 ans Reprise en cas d interruption de service Trace One s assure de la mise en œuvre des moyens nécessaires à la reprise d activité en cas d interruption de service d un des composants nécessaire aux tâches dont il a la responsabilité. 11

12 Il s assure en particulier que ces moyens font l objet de tests à intervalles réguliers Assistance aux Utilisateurs Les Utilisateurs peuvent s adresser par courriel aux interlocuteurs Trace One pour toute information complémentaire ou pour signaler tout dysfonctionnement à l adresse suivante : hotline@traceone.fr 4 Signature électronique et validation 4.1 Données signées Au sein d un fichier signé, les données signées sont composées des éléments suivants : l intégralité des données constituant le Contrat électronique les propriétés de signature telles que définies aux paragraphes du présent document. Ces deux éléments doivent figurer dans des balises «Object» distinctes, la première balise «Object» contenant les données relatives aux Contrats électroniques. Chaque fichier ne devant être signé que par un unique représentant de l Adhérent, les fichiers ne doivent contenir que les données pour lesquelles l Utilisateur est habilité à engager son établissement. 4.2 Caractéristiques de la signature Type de signature Les signatures électroniques apposées par les Utilisateurs sont de type enveloppant Norme de signature Les signatures doivent respecter la norme XAdES (ETSI TS ) en version Le format XAdES étant un format XML, le jeu de caractères imposé est UTF-8. 12

13 Conformément à la norme XAdES, les propriétés signées (SignedProperties/SignedSignatureProperties) doivent contenir les éléments suivants : le certificat de l Utilisateur (SigningCertificate) la date et l heure de signature (SigningTime) la référence au présent document (SigningPolicyIdentifier / SigPolicyIdType) OID de la présente politique de signature (SigPolicyId) Valeur de condensé de la politique de signature calculée et algorithme de condensation utilisé (SigPolicyHash) Une fois signé, le fichier ne doit plus faire l objet d aucun transcodage, et doit transiter dans le système d information de Trace One sous la forme d un flux binaire, avant d emprunter les canaux habituels de transmission entre les Utilisateurs et la plate-forme Trace One. 4.3 Algorithmes utilisables pour la signature Algorithme d empreinte Les algorithmes d empreinte à utiliser sont SHA-1 ou SHA Algorithme de chiffrement L algorithme de chiffrement à utiliser est RSA Taille des clés La taille des clés utilisées pour la signature RSA doit être au minimum de 1024 bits Canonicalisation L algorithme de mise en forme canonique exclusive identifié par l'uri est préconisé comme algorithme de canonicalisation. 13

14 4.4 Conditions pour déclarer valide le fichier signé Un fichier signé est considéré comme valide par la Plate-forme Trace One lorsque la condition suivante est remplie : Vérification positive de la signature électronique de l Utilisateur Vérification de la signature La vérification de la signature porte sur : a. la vérification du respect de la norme de signature b. la vérification du format de la signature vis-à-vis des exigences de la présente politique (sections 4.2 et 4.3) c. la vérification de l appartenance du certificat de l Utilisateur à une famille de certificat reconnue par la plate-forme Trace One; d. la vérification du certificat de l Utilisateur et de tous les certificats de la chaîne de certification : validité temporelle, statut, signature cryptographique ; La vérification de la validité d un certificat est décrite formellement dans la norme RFC e. la vérification de l intégrité des données transmises par calcul de l empreinte et comparaison avec l empreinte reçue f. la vérification de la signature électronique apposée sur le fichier en utilisant la clé publique de l Utilisateur contenue dans le certificat transmis g. la vérification de l identifiant de la politique de signature référencée 5 Accès à la plate-forme Trace One 5.1 Ouverture du service Voir Conditions Générales Services Applicatifs Trace One, section 3. 14

15 5.2 Authentification L identification est réalisée au moyen des Données de Connexion personnelles à chaque Utilisateur. Le code et l identifiant sont placés sous la garde et la responsabilité de l Utilisateur. Il appartient à ce dernier de prendre toutes dispositions utiles afin d en contrôler ou d en interdire l accès et l utilisation. Toute connexion aux Services Applicatifs effectuée avec ces dispositifs d identification et de sécurité est réputée être faite par l Adhérent lui-même ou l un de ses préposés dûment habilité. 6 Politique de confidentialité 6.1 Classification des informations Les informations suivantes sont considérées comme confidentielles : Les informations identifiées dans la section 8 des Conditions Générales Services Applicatifs Trace One 6.2 Communication des informations à des tiers On entend par tiers, tout organisme n étant pas dans la chaîne de traitement des informations de la Plate-forme Trace One. La diffusion des informations à un tiers ne peut intervenir qu après acceptation de Trace One. 7 Dispositions juridiques 7.1 Droit applicable Le présent document est régi par la loi française. À défaut d accord amiable, le Tribunal de commerce de Paris sera seul compétent, nonobstant pluralité de défendeurs ou d appel en garantie. 7.2 Données nominatives En conformité avec les dispositions de la loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés, le traitement automatisé des données nominatives réalisé à partir de la plate forme Trace One, dans le cadre de la mise en place de Services Applicatifs et de la 15

16 gestion et du suivi des habilitations dans l application a fait l objet d une déclaration auprès de la Commission nationale de l informatique et des libertés (CNIL). Conformément à l article 32 de la loi n du 6 janvier 1978, l Utilisateur d un Contrat électronique sur la plate-forme Trace One est informé que les données à caractère personnel qu il communique sont utilisées par la plate-forme pour la gestion et le suivi des habilitations dans l'application. Conformément aux articles 39 et suivants de la loi n du 6 janvier 1978, l utilisateur est informé qu il dispose d un droit d accès, de rectification et d opposition, pour des motifs légitimes, portant sur les données le concernant. À ces fins, il peut adresser une demande écrite signée et accompagnée de la photocopie d'un document officiel d'identité portant la signature du titulaire (carte nationale d'identité ou passeport, même périmés, carte professionnelle délivrée par l État, carte d'identité militaire, permis de chasse, permis de conduire, carte de séjour...) à l adresse suivante : Trace One 47 rue Monceau Paris 16