Règlement pour les fournisseurs de SuisseID

Transcription

1 Règlement pour les fournisseurs de SuisseID Version 1.0c du 4 novembre 2010

2 Règlement pour fournisseurs de SuisselD Nom Numéro de standard Catégorie Degré de maturité Règlement pour les fournisseurs de SuisseID (gouvernance SuisseID) ouvert Version 1.0 Statut en vigueur interne à l association Approuvé le Date d émission Langue français Editeur / distribution Association «Trägerschaft SuisseID» c/o Secrétariat d'etat à l'économie SECO Mesures cyberadministratives pour les PME, Belpstrasse 18 CH-3003 Berne Objectif du document Le présent document définit et explique, en complément du document «SuisseID Specification», les caractéristiques non-techniques les plus importantes de la SuisseID et fixe les conditions-cadres organisationnelles et juridiques. Il fixe en particulier les exigences et les conditions que doivent respecter les organisations qui proposent la SuisseID et qui désirent adhérer à l'association «Trägerschaft SuisseID». Le présent règlement est conçu comme un instrument d autorégulation d un groupe de fournisseurs de produits de même nature. Ce règlement ou des parties de celui-ci ne peuvent en aucun cas fonder des prétentions de tiers envers un fournisseur. page 2 de 10

3 Règlement pour founisseurs de SuisselD Table des matières 1 Introduction La SuisseID Documents au sujet de la SuisseID Eléments constitutifs du produit SuisseID Support de certificat avec certificat de signature Certificat d'authentification standardisé (IAC) Numéro SuisseID Identity-Provider-Service (IdP) Support Exigences posées aux produits SuisseID Exigences posées aux fournisseurs de SuisseID Certificat de signature qualifié (QC) Certificat d authentification (IAC) SuisseID-Identity-Provider-Service (IdP) Groupage avec d autres produits Responsabilité des CSP Principes Modèles d endossement de responsabilité... 8 Annexe A - Références & bibliographie... 9 Annexe B - Abréviations... 9 Annexe C - Glossaire page 3 de 10

4 Règlement pour fournisseurs de SuisselD 1 Introduction 1.1 La SuisseID Le nom SuisseID définit un produit de certification standardisé qui peut être proposé par des fournisseurs reconnus de certificats de signature conformes à la SCSE [1]. La définition du produit SuisseID consiste en un standard commun à tous les fournisseurs (autorégulation) qui a été mis sur pied sous la direction du SECO dans le cadre du troisième paquet de mesures de stabilisation conjoncturelles [4] et qui est soutenu dans ce cadre par la Confédération. Les produits conformes à la SuisseID complètent les cartes ainsi que les appareils avec un certificat de signature selon la SCSE disponibles jusqu ici par un certificat d authentification supplémentaire standardisé, un numéro de SuisseID clair et un service de preuve des qualités d identification (Identity Provider Service). Grâce à cela, les prestataires de services publics et privés (Service Provider) peuvent authentifier leurs usagers avec sûreté. Les utilisateurs peuvent pour leur part s identifier avec sûreté et prouver leur identité grâce à la SuisseID pour une très large palette d'applications étatiques et privées. La spécification de la SuisseID se base principalement sur les règles de la SCSE [1] [2] [3] ; les exigences supplémentaires portent avant tout sur a) le certificat d authentification (IAC) et la façon dont celui-ci se présente par rapport à une application ; b) le Identity Provider Service (IdP) et ses interfaces, qui permettent à un titulaire de certificat de demander un paquet de données qui confirme les données d'identification personnelles saisies au moment de l enregistrement. Plusieurs caractéristiques des produits avec certificats ne sont pas explicitement réglées par la SuisseID. C est ainsi que la spécification de la SuisseID ne fournit pas d indications quant à la forme du jeton, de la puce ou de l installation sur le PC du client. Une SuisseID peut également être proposée groupée avec d autres produits dans un paquet («bundling»). 1.2 Documents au sujet de la SuisseID Les documents suivants existent dans le contexte de la SuisseID : a) les statuts de l association «Trägerschaft SuisseID» ; b) les spécifications techniques de la SuisseID sous le nom de «SuisseID Specification - Digital Certificates and Core Infrastructure Services» avec les exigences techniques pour l ensemble du système ; c) le présent «Règlement pour les fournisseurs de SuisseID» ; d) un contrat de licence avec des annexes entre la Confédération suisse, représentée par le Secrétariat d'etat à l'économie (SECO), en tant que titulaire de la marque SuisseID, et chacun des fournisseurs de SuisseID, en tant qu'utilisateur de la marque. e) les conditions générales et les autres documents contractuels du fournisseur de SuisseID, qui doivent contenir certaines dispositions en matière de responsabilité civile définies dans le règlement. page 4 de 10

5 Règlement pour founisseurs de SuisselD 2 Eléments constitutifs du produit SuisseID Une SuisseID est constituée des produits et des prestations de services suivants : un support de certificat avec un certificat de signature selon la SCSE (QC) ; plus un certificat d authentification standardisé (IAC) ; l'un et l'autre avec un numéro SuisseID clair, ainsi que ; le SuisseID Identity Provider Service (IdP). 2.1 Support de certificat avec certificat de signature Les supports de certificat conformes à la SuisseID contiennent également toujours un certificat de signature SCSE ; deux raisons importantes plaident pour cela : l utilisateur ne comprendrait d une part pas que s il achète un produit certifié avec l appui de l Etat, il ne puisse pas l utiliser pour interagir de manière valable avec les autorités par voie électronique. Il n aurait d autre part pas non plus été du tout possible d offrir une sécurité complète, solide et vérifiée pour le lancement de la SuisseID fixé à si brève échéance. Cela signifie que dans la mesure où ils sont applicables, les processus prescrits par la SCSE pour le certificat de signature (QC) s appliquent également pour le certificat d'authentification (IAC). Même si la sécurité et la qualité SCSE ne couvrent pas intégralement tous les aspects de la SuisseID, tout le produit repose néanmoins sur des processus précisément définis et vérifiés d une entreprise certifiée. La SuisseID hérite de cette façon de la sécurité et de la confiance des supports de certificat conformes à la SCSE existants. 2.2 Certificat d'authentification standardisé (IAC) La plupart des supports de certificat conformes à la SCSE recevaient déjà un certificat avancé à des fins d authentification et/ou pour d autres buts. Ces autres certificats n ont jusqu'à présent pas été standardisés, ce qui fait qu il existe, le plus souvent sans nécessité, des différences considérables entre les différentes implémentations. La SuisseID remédie à ce défaut en spécifiant de manière détaillée le certificat d'authentification. 2.3 Numéro SuisseID Chaque SuisseID reçoit dans les deux certificats un numéro SuisseID clair et non parlant qui peut être maintenu en cas de prolongation du certificat. Cela permet des processus simplifiés entre le titulaire du certificat et l application à l échéance du certificat. Une personne peut acquérir plusieurs SuisseID, à choix avec le même numéro SuisseID ou avec un autre numéro SuisseID. Voilà qui offre à l utilisateur une grande flexibilité ainsi qu une sécurité et une discrétion supplémentaires dans l utilisation de sa SuisseID tout en sauvegardant au mieux les intérêts de la protection des données. 2.4 Identity-Provider-Service (IdP) Pour différentes raisons (protection de la personnalité et autres), les deux certificats SuisseID ne contiennent que très peu d'attributs d'identification. Pour des applications dans le cadre d une relation existante (par exemple du e-banking) ou lorsqu un processus d'enregistrement vaut la peine (par exemple un portail de cyberadministration), cela est suffisant. Si une application a besoin de caractéristiques d identifications supplémentaires dès le premier contact, elle peut les demander à l utilisateur lors du processus d authentification par le biais d un dialogue standardisé. Dans ce cas, le titulaire du certificat s authentifie auprès du SuisseID-Identity Provider Server (IdP), qui lui indique les attributs réclamés Association par Trägerschaft l application SuisseID page 5 de 10

6 Règlement pour fournisseurs de SuisselD pour vérification. Si le titulaire du certificat donne son accord à leur fourniture, ces attributs sont signés par l IdP et transmis à l application. Dans le SuisseID-IdP qui fait obligatoirement partie de SuisseID, les données de la pièce d identité utilisée pour l enregistrement sont stockées sans photo ni signature. Les détails sont définis dans les spécifications techniques de la SuisseID. Le fournisseur concerné de services de certification saisit les attributs nécessaires pour le SuisseID-Identity Provider Service lors de l enregistrement et les sauvegarde dans l IdP. Les spécifications techniques de la SuisseID décrivent comment un utilisateur, respectivement une application peuvent demander des données d identification spécifiques, comment l'utilisateur les libère et comment elles sont livrées à l application. 2.5 Support Les CSP fournissent à leurs clients le support pour les prestations de services de certificat. page 6 de 10

7 Règlement pour founisseurs de SuisselD 3 Exigences posées aux produits SuisseID 3.1 Exigences posées aux fournisseurs de SuisseID Les SuisseID ne peuvent être produites et distribuées que par des prestataires de services de certification (CSP) reconnus au sens de la SCSE qui se soumettent par ailleurs au présent règlement et aux spécifications techniques. 3.2 Certificat de signature qualifié (QC) Toutes les dispositions pertinentes de la SCSE et de ses prescriptions d exécution s appliquent intégralement au certificat de signature lié à la SuisseID, tout comme, également, les dispositions contenues dans le document intitulé SuisseID Specification - Digital Certificates and Core Infrastructure Services. 3.3 Certificat d authentification (IAC) Le CSP s engage en matière de certificat d authentification à respecter les mêmes devoirs de diligence que ceux qui sont imposés par la loi pour les certificats de signature qualifiés ainsi que, en plus, les dispositions du document intitulé SuisseID Specification - Digital Certificates and Core Infrastructure Services. Il répond vis-à-vis du titulaire et des tierces personnes qui se fient à un certificat valable des dommages que ceux-ci subissent parce qu il n a pas respecté ces devoirs. 3.4 SuisseID-Identity-Provider-Service (IdP) L utilisation du SuisseID-Identity-Provider-Service est gratuite pour les titulaires d une SuisseID (comprise dans le prix de base de la SuisseID). Le CSP est responsable de ce que - les données du titulaire d une SuisseID soient disponibles sur le SuisseID-IdP au plus tard au moment de la mise en service de la SuisseID correspondante et que - le contenu des attestations de l IdP concordent avec les données saisies pour l enregistrement du titulaire de la SuisseID. Le SuisseID-Identity-Provider-Services doit être exploité de telle sorte que - les données du titulaire d une SuisseID soient protégées contre un accès non autorisé et - que les attestations soient toujours délivrées au titulaire de la SuisseID correspondante que contre une forte authentification. Le trafic sur un serveur IdP ne peut être protocolé que dans la mesure où cela est indispensable à la sécurité de son exploitation et à une gouvernance nécessaire. Les protocoles ne peuvent être examinés qu en cas d'incident et uniquement afin de résoudre ledit incident. En l absence d incident, les données sont effacées après 24 heures. En cas d incident, les données nécessaires pour résoudre l incident seront effacées 24 heures après la résolution de l incident. 3.5 Groupage avec d autres produits Il est possible de grouper la SuisseID avec d autres produits, par exemple avec d autres types de certificats ou avec des supports particuliers. Dans un tel cas, le fournisseur indique de manière explicite et compréhensible quels éléments appartiennent à la SuisseID et lesquels non. page 7 de 10

8 Règlement pour fournisseurs de SuisselD 4 Responsabilité des CSP 4.1 Principes Les CSP sont responsables envers les tiers qui se fient aux certificats, que ce soit en tant que fournisseurs d'application ou de destinataires d un message signé, - s il existe un certificat de signature conformément aux dispositions de la SCSE ; - s il existe un certificat d'authentification et des prestations de services de l IdP au sens des dispositions du présent règlement. 4.2 Modèles d endossement de responsabilité Chaque CSP reprendra les dispositions suivantes en matière de responsabilité dans les documents contractuels utilisés : Responsabilité pour les certificats d authentification SuisseID En ce qui concerne le certificat d authentification lié à la SuisseID, <l entreprise> s engage à respecter les mêmes devoirs de diligence que ceux que la loi lui impose pour les certificats de signature qualifiés. <l entreprise> répond vis-à-vis du titulaire et des tierces personnes qui se fient à un certificat valable des dommages que ceux-ci subissent parce qu elle n a pas respecté ces devoirs. Sa responsabilité est limitée à CHF par sinistre. Responsabilité pour les prestations du SuisselD-ldentity-Provider-Service (ldp) <L entreprise> garantit que les données contenues dans les attestations fournies par l IdP concordent avec les données saisies lors de l enregistrement du titulaire du certificat sur la base du document d identité présenté à cette occasion. <L entreprise> garantit au titulaire du certificat que ces attestations ne sont délivrées qu'aux titulaires du certificat d'authentification correspondant qui se sont identifiés avec une forte authentification. En ce qui concerne les prestations du SuisseID-IdP, <l entreprise> s engage à respecter les mêmes devoirs de diligence que ceux qui lui sont imposés par la loi pour l exploitation de services d annuaire pour les certificats qualifiés. <L entreprise> répond vis-à-vis du titulaire et des tierces personnes qui se fient à une attestation IdP signée par elle des dommages que ceux-ci subissent parce qu elle n a pas respecté ces devoirs. Sa responsabilité est limitée à CHF par sinistre. page 8 de 10

9 Règlement pour founisseurs de SuisselD Annexe A - Références & bibliographie [1] RS , SCSE, loi fédérale du 19 décembre 2003 sur les services de certification dans le domaine de la signature électronique [2] RS , OSCSE, ordonnance du 3 décembre 2004 sur les services de certification dans le domaine de la signature électronique [3] RS PTA-OSCSE, ordonnance de l OFCOM du 6 décembre 2004 sur les services de certification dans le domaine de la signature électronique, édition 3 du 13 novembre 2006 [4] RS , loi fédérale du 25 septembre 2009 sur des mesures de stabilisation conjoncturelle temporaires dans les domaines du marché du travail, des technologies de l information et de la communication et du pouvoir d achat Annexe B - Abréviations CSP IAC IdP QC SECO RS PTA SCSE Certification Service Provider Identity & Authentication Certificate Identity Provider Qualified Certificate Secrétariat d'etat à l'économie Recueil systématique ( Prescriptions techniques et administratives Loi fédérale sur les services de certification dans le domaine de la signature électronique page 9 de 10

10 Règlement pour fournisseurs de SuisselD Annexe C - Glossaire Authentification (1) - vérification de l identité par un fournisseur de service (service provider). Authentification (2) - processus de preuve de sa propre identité. Certificat d'authentification - Certificat numérique utilisé à des fins d'authentification. Identity & Authentication Certificate (IAC) - Certificat avancé, non qualifié, utilisé à des fins d identification et d authentification (identification & authentication certificate) qui est émis conformément aux dispositions techniques et administratives du chapitre 4. Un certificat IAC SuisseID est toujours émis avec un QC SuisseID au sein d un jeu de certificats SuisseID. Identity Provider (IdP) - Service qui authentifie le titulaire du certificat conformément aux spécifications du présent document et qui est émet un paquet de données standardisé SAML 2.0 confirmant cette authentification. Qualified Certificate (QC) - Certificat qualifié (qualified certificate) qui est émis conformément aux dispositions du chapitre 4 relatives aux dispositions techniques et administratives. Un QC SuisseID est toujours émis avec un certificat IAC SuisseID au sein d un jeu de certificats SuisseID. Fournisseur de services (service provider) - fournisseur d un service en ligne. Signature - Paquet de données qui fait partie d un document ou d un message. Les principales caractéristiques sont la garantie de a) l intégrité et b) de la provenance (origine). Une signature peut être utilisée comme signature électronique au sens juridique si les dispositions pertinentes de la loi sur la signature électronique (SCSE) [1] sont respectées. Certificat de signature - Certificat électronique utilisé en matière de signature électronique. IAC SuisseID - Voir Identity & Authentication Certificate. Numéro SuisseID - Numéro clair et non parlant attribué par le CSP qui est assigné à un titulaire de certificat. QC SuisseID - Voir Qualified Certificate. Certificat SuisseID - QC SuisseID ou IAC SuisseID. Titulaire du certificat - Personne physique pour laquelle un certificat conforme à SuisseID est émis et qui est en possession du produit correspondant (support du certificat SuisseID), et donc de la clé secrète. Les certificats SuisseID sont exclusivement attribués à des personnes physiques. Le titulaire du certificat peut utiliser un ou plusieurs certificats SuisseID d un ou de plusieurs CSP. page 10 de 10