Déclaration des Pratiques de Certification Isabel

Déclaration des Pratiques de Certification Isabel version 1.1 Publication: 30 juin 2003 Entrée en vigueur: 1 juillet 2003 Copyright Isabel 2003. Tous droits réservés. Aucune partie de ce document ne peut être reproduite, inscrite dans une base de données ou un système de stockage et consultation, publiée ou communiquée à des tiers sous aucune forme, électronique ou mécanique, y compris impression, photocopie ou microfilmage, sans l'autorisation écrite préalable d'isabel S.A./N.V.

TABLE DES MATIÈRES TABLE DES MATIÈRES 2 1. INTRODUCTION 6 1.1. Résumé 6 1.2. Identification 6 1.2.1. Nom 6 1.2.2. Object identifier 6 1.2.3. Uniform Resource Identifier 7 1.2.4. Historique des versions 7 1.3. Communauté et applicabilité 7 1.3.1. Autorités de certification 7 1.3.2. Autorités d'enregistrement 7 1.3.3. Utilisateurs 7 1.3.4. Autorités de validation 8 1.3.5. Autorité de Gestion de la Politique 8 1.3.6. Applicabilité 8 1.3.7. Coordonnées 9 2. DISPOSITIONS GÉNÉRALES 10 2.1. Obligations 10 2.1.1. Obligations de l'autorité de Certification Isabel 10 2.1.2. Obligations des RA Isabel 14 2.1.3. Obligations de l'abonné et du Titulaire de Certificat Isabel 16 2.1.4. Obligations des Parties en Confiance 19 2.1.5. Obligations du répertoire 20 2.1.6. Obligations de l'autorité de validation 20 2.1.7. Obligations de l'autorité de Gestion de la Politique 20 2.1.8. Entité juridique Isabel 20 2.1.9. Service de Révocation Isabel 21 2.2. Responsabilité 22 2.3. Responsabilité financière 23 2.3.1. Indemnisation par les Clients Isabel, Parties en Confiance et les Titulaires 23 2.3.2. Relations de fiducie 23 2.3.3. Processus administratif 23 2.4. Interprétation et mise en application 23 2.4.1. Droit applicable 23 2.4.2. Dissociabilité, subsistance, fusion, communications 24 2.4.3. Procédures de résolution des litiges 24 2.5. Redevances 24 2.6. Publication et Répertoire 24 2.6.1. Publication des informations de la CA Isabel 24 2.6.2. Fréquence de publication 25 Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 2 de 57

2.6.3. Contrôle d'accès 25 2.6.4. Répertoire 25 2.7. Audit de conformité 25 2.7.1. Fréquence des audits de conformité de l'entité 25 2.7.2. Identité/qualification des auditeurs 26 2.7.3. Relation entre l'auditeur et la partie auditée 26 2.7.4. Objets de l'audit 26 2.7.5. Mesures à prendre en cas de déficience 26 2.7.6. Communication des résultats 26 2.8. Confidentialité 26 2.8.1. Types d'informations à tenir confidentielles 26 2.8.2. Types d'informations non considérées comme confidentielles 27 2.8.3. Divulgation des informations de révocation des certificats 27 2.8.4. Communication aux agents de la fonction publique 27 2.8.5. Communication préalable au civil 27 2.8.6. Divulgation à la demande de l'abonné/titulaire 27 2.8.7. Autres circonstances de divulgation 27 2.9. Droits de propriété intellectuelle 28 3. IDENTIFICATION ET AUTHENTIFICATION 29 3.1. Enregistrement initial 29 3.1.1. Types de noms 29 3.1.2. Nécessité de noms significatifs 29 3.1.3. Règles d'interprétation des différentes formes de nom 29 3.1.4. Unicité des noms 30 3.1.5. Procédure de résolution des conflits de noms 30 3.1.6. Reconnaissance, authentification et rôle des marques de commerce 30 3.1.7. Méthode de preuve de la possession de la Clé Privée 30 3.1.8. Authentification de l'identité de l'organisation 30 3.1.9. Authentification de l'identité individuelle 31 3.2. Renouvellement 32 3.2.1. Renouvellement automatique du Certificat Isabel 32 3.2.2. Renouvellement d'une paire de clés 32 3.2.3. Renouvellement d'une Isabel Secure Signing Card 32 3.3. Récertification après Révocation 33 3.4. Demande de Révocation 33 3.4.1. Authentification par la RA Isabel 33 3.4.2. Authentification par un Service de Révocation Isabel 33 3.4.3. Authentification par le CA Isabel 34 4. IMPÉRATIFS OPÉRATIONNELS 35 4.1. Soumission d'une demande de Certificat 35 4.1.1. Soumission de demande de Certificat Isabel pour un nouveau Titulaire 35 4.1.2. Soumission de demande de Certificat Isabel pour un Titulaire existant 36 4.2. Emission de Certificat 36 4.2.1. Flux de certification centralisé 36 4.2.2. Flux de certification décentralisé 36 Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 3 de 57

4.2.3. Flux de certification manuel 37 4.3. Acceptation du Certificat 37 4.3.1. Flux de certification centralisé 37 4.3.2. Flux de certification décentralisé 38 4.3.3. Flux de certification manuel 38 4.4. Révocation de Certificat 38 4.4.1. Circonstances de la révocation 38 4.4.2. Qui peut demander la révocation? 38 4.4.3. Procédure de demande de révocation 39 4.4.4. Demande de révocation: période de grâce 39 4.4.5. Circonstances de la suspension 39 4.4.6. Fréquence de la publication de la CRL 39 4.5. Procédures d'audit de sécurité 39 4.5.1. Types d'événements enregistrés 39 4.5.2. Fréquence des journaux 39 4.5.3. Délai de conservation des journaux d'audit 40 4.5.4. Protection des journaux d'audit 40 4.5.5. Procédures de back-up des journaux d'audit 40 4.5.6. Système de collecte des journaux d'audit (interne/externe) 40 4.5.7. Notification au Titulaire à l'origine de l'événement 40 4.5.8. Evaluations de la vulnérabilité 40 4.6. Archivage des documents 40 4.6.1. Types de documents enregistrés 40 4.6.2. Délai de conservation des archives 41 4.6.3. Protection des archives 41 4.6.4. Procédures de back-up des archives 41 4.6.5. Impératifs d'horodatage des données 41 4.6.6. Système de collecte des archives (interne ou externe) 41 4.6.7. Procédures d'obtention et de vérification des informations archivées 41 4.7. Changement de clé 41 4.8. Restauration après compromission et sinistre 41 4.9. Cessation d'activités de la CA 42 5. CONTRÔLES DE SÉCURITÉ: ACCÈS PHYSIQUE, PROCÉDURES ET PERSONNEL 43 5.1. Contrôles de l'accès physique 43 5.2. Contrôles de procédure 43 5.2.1. Rôles et responsabilités de confiance 43 5.2.2. Identification et authentification pour chaque rôle 43 5.3. Contrôles en matière de personnel 43 6. CONTRÔLES DE SÉCURITÉ TECHNIQUE 44 6.1. Génération et installation de la paire de clés 44 6.1.1. Génération et remise des clés 44 6.1.2. Taille des clés 44 6.1.3. Génération des Clés 44 6.2. Protection de la Clé Privée 44 6.2.1. Normes des modules cryptographiques 44 Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 4 de 57

6.2.2. Contrôle multi-personne de la Clé Privée (n sur m) 44 6.2.3. Séquestre des Clés Privées (Key Escrow) 45 6.2.4. Back-up des Clés Privées 45 6.2.5. Archivage des Clés Privées 45 6.2.6. Installation de la Clé Privée dans un module cryptographique 45 6.2.7. Méthode d'activation de la Clé Privée 45 6.2.8. Méthode d'inactivation de la Clé Privée 45 6.2.9. Méthode de destruction de la Clé Privée 45 6.3. Autres aspects de la gestion des paires de clés 45 6.4. Données d'activation 46 6.5. Contrôles de sécurité informatique 46 6.6. Cycle de vie des contrôles techniques 46 6.7. Contrôles de sécurité du réseau 46 6.8. Contrôles techniques du module cryptographique 46 7. PROFILS DU CERTIFICAT ET DE LA CRL 47 7.1. Profil du Certificat 47 7.1.1. Numéro de version 48 7.1.2. Extensions de Certificat 48 7.1.3. Algorithme identifiants d'objet 50 7.1.4. Formes de noms 50 7.1.5. Name constraint 50 7.1.6. Identifiant d'objet - politique de certificat 50 7.1.7. Utilisation de l'extension Policy Constraint 50 7.1.8. Syntaxe et sémantique des qualificateurs de politique 50 7.1.9. Sémantique de traitement de l'extension critique CP 50 7.2. Profils des listes CRL/ARL 51 7.2.1. Numéro de version 51 7.2.2. CRL/ARL et extensions des entrées CRL/ARL 51 8. ADMINISTRATION DES SPÉCIFICATIONS 52 8.1. Procédures de changement des spécifications 52 8.2. Politiques de publication et communication 52 8.3. Procédure d'approbation de la CPS 52 9. ANNEXES 53 9.1. Annexe A Définitions 53 9.1.1. Sigles 53 9.1.2. Lexique 54 9.2. Annexe B Références 57 Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 5 de 57

1. INTRODUCTION La confiance que l'on accorde à un certificat digital dépendent des règles suivies pour l'émission et la gestion de ce certificat. Ces règles sont formalisées dans des documents de politique: la Politique de Certification (CP - Certificate Policy) et la Déclaration des Pratiques de Certification (CPS - Certification Practice Statement). La norme ITU-T X.509 qualifie la CP d' ensemble de règles référencé qui définit la possibilité d'utiliser un certificat dans une communauté et/ou catégorie d'applications donnée, avec des impératifs de sécurité communs. Les directives du barreau américain (American Bar Association Guidelines) définissent la CPS comme "l'exposé des pratiques que la CA applique dans la délivrance des certificats." 1.1. RÉSUMÉ La présente CPS Isabel énonce les obligations, pratiques et procédures que l'autorité de Certification (CA) Isabel, les Autorités d'enregistrement (RA), les Clients Isabel, les Titulaires de Certificat Isabel et les Parties en Confiance du Certificat Isabel s'engagent à respecter dans le cadre de l'application, de la délivrance, de l'acceptation, de l'utilisation et de la révocation des Certificats Isabel. Un Certificat Isabel est un certificat émis par une CA Isabel. La présente CPS Isabel repose sur le texte Internet X.509 Public Key Infrastructure CP and CPS Framework March 1999 de l'internet Engineering Task Force (IETF) RFC 2527, qui fournit un cadre standard et internationalement reconnu aux Politiques de Certification et Déclarations de Pratiques de Certification. La présente CPS est structurée de telle façon que le document puisse faire référence à plus d'une CP. Chaque CP peut comporter des exigences plus particulières concernant le Certificat qu'elle régit. En tant que document plus spécifique, la CP applicable prime sur la présente CPS. La CP applicable, associée à la présente CPS, sera utilisée par la Partie en Confiance du Certificat Isabel pour déterminer dans quelle mesure le Certificat Isabel représente une assurance et mérite sa confiance. Cette CPS et toutes les CPs liées seront également régies par des contrats entre une CA Isabel et les Clients Isabel. Toute CP ou CPS primera sur le contrat conclu entre la CA Isabel et le Client Isabel, sauf si agréé autrement. Les références à la présente CPS revêtiront la forme : Isabel CPS v. [numéro de version], point [numéro de point]. 1.2. IDENTIFICATION 1.2.1. NOM La présente CPS porte le nom de Déclaration des Pratiques de Certification Isabel. 1.2.2. OBJECT IDENTIFIER L'Object Identifier correspondant à la Déclaration des Pratiques de Certification Isabel est le 2.16.56.1.9.3. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 6 de 57

1.2.3. UNIFORM RESOURCE IDENTIFIER La CPS Isabel sera publiquement accessible sur le site web Isabel, dont l'url est: http://www.isabel.be/pki/policies/standard.htm 1.2.4. HISTORIQUE DES VERSIONS L Historique des versions du document se trouve dans le document Isabel CPS CP versions qui est publiquement disponible à l URL suivant: http://www.isabel.be/pki/policies/standard.htm 1.3. COMMUNAUTÉ ET APPLICABILITÉ 1.3.1. AUTORITÉS DE CERTIFICATION Cette CPS a pour but d'exposer les pratiques que l'autorité de Certification Isabel (CA Isabel) utilise au sein de la l'infrastructure à Clé Publique Isabel (Public Key Infrastructure - "PKI Isabel") pour délivrer et gérer les Certificats Isabel. Leur champ d'application est décrit dans la CP pertinente. Selon la norme ITU-T X.509, une CA est une autorité à qui un ou plusieurs utilisateurs fait/font confiance pour créer et attribuer des certificats; la CA peut aussi créer leur paire de clés. Une CA Isabel qui émet des certificats en conformité avec la présente CPS respectera cette CPS, ainsi que les CP applicables. Dans l'infrastructure à Clé Publique (PKI) Isabel, l'autorité de Certification Isabel peut accepter des Demandes de Certificat Isabel pour des Titulaires de Certificat Isabel dont l'identité aura été authentifiée par une Autorité d'enregistrement (RA - Registration Authority) Isabel. Une fois la demande de Certificat vérifiée, la CA Isabel délivre un Certificat Isabel qui associe légalement l'identité du Titulaire de Certificat Isabel à sa Clé Publique/privée. Seule l'autorité de Certification autorisée par Isabel est habilitée à délivrer des Certificats Isabel. Isabel publie une liste des Autorités de Certification agréées sur son site web à l'adresse http://www.isabel.be. 1.3.2. AUTORITÉS D'ENREGISTREMENT Selon la norme RFC 2527, une autorité d'enregistrement (RA) est une entité chargée d'identifier et d'authentifier les Titulaires de Certificats, mais qui ne signe ni n'émet pas de certificats. Dans l'infrastructure à Clé Publique Isabel, les RA opérant sous le contrôle et sous l'autorité d'une CA Isabel acceptent les Demandes de Certificats Isabel émanant d Abonnés Isabel. Les RA doivent authentifier l'identité du Titulaire de Certificat Isabel et vérifier l'information contenue dans la Demande de Certificat Isabel conformément à cette CPS, aux CP applicables et à leurs procédures internes. Si l'information vérifiée est correcte, la RA Isabel envoie une demande de Certificat Isabel à la CA Isabel compétente; celle-ci délivrera le Certificat Isabel au Titulaire de Certificat Isabel. Seules les Autorités d'enregistrement agréées par Isabel ont le droit de soumettre des Demandes de Certificat à une CA Isabel en vue de l'émission de Certificats Isabel. Isabel publie une liste des Autorités d'enregistrement agréées sur son site web http://www.isabel.be. 1.3.3. UTILISATEURS Dans le cadre de la présente CPS Isabel et conformément à la CP applicable, les utilisateurs de l'infrastructure à Clé Publique Isabel (PKI Isabel) sont : Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 7 de 57

1. l Abonné du Certificat Isabel 2. le Titulaire de Certificat Isabel 3. la Partie en Confiance du Certificat Isabel La rubrique Subject du Certificat Isabel sert à désigner par son nom ou identifier autrement le Titulaire du Certificat Isabel à l'aide du: 1. Nom et prénom pour un Titulaire 'Personne physique'. 2. Nom de fonction pour un Titulaire 'Fonction'. 3. Nom de l'application pour un Titulaire 'Application'. Dans le cadre de la présente CPS Isabel : 1. un entité finale ne peut pas être une CA ou une RA de Clé Publique de la PKI Isabel, 2. une signature d un Titulaire Fonction est une signature technique, elle ne peut être utilisée que pour des raisons d intégrité, pas pour des autorisations de transactions. 1.3.4. AUTORITÉS DE VALIDATION Dans l'infrastructure à Clé Publique Isabel, une Autorité de Validation Isabel offre à toute Partie en Confiance la possibilité d'obtenir des informations sur le statut de révocation d'un Certificat Isabel. Les Listes de Certificats Révoqués (CRL) contenant les numéros de série des Certificats Isabel révoqués aussi bien que les Certificats Isabel révoqués sont publiées dans le Directory Isabel. Le serveur On-line Certificate Status Protocol (OCSP) communique le statut de révocation des Certificats Isabel en temps réel. Un site web permettant de vérifier le statut de révocation de certificats individuels (présence dans la liste de révocation ou non) est disponible. 1.3.5. AUTORITÉ DE GESTION DE LA POLITIQUE L'Autorité chargée de la Gestion de la Politique est l'entité qui est chargée de : 1. Spécification, validation et publication des CPs Isabel et de ses révisions. 2. Spécification, validation et publication de la présente CPS Isabel et de ses révisions. 3. Détermination de l'adéquation et de l'implémentation correcte de la CPS et des CP Isabel. 4. Définition des impératifs et processus de révision concernant l'implémentation des CP et de la CPS Isabel. L'Autorité de Gestion de la Politique pour la présente CPS est l'isabel Security Manager. 1.3.6. APPLICABILITÉ Les Certificats Isabel émis conformément à la présente CPS ne peuvent être utilisés que par des Parties en Confiance qui sont liées à un Client Isabel et aux fins suivantes: vérification de signature électronique, non-répudiation, clés de chiffrement et données de chiffrement. Les Certificats Isabel ne peuvent être utilisés par les Parties en Confiance qui ne sont pas liées à un Client. Si un Titulaire de Certificat Isabel veut voir des limitations (financières ou autres) appliquées aux transactions authentifiées par le Certificat Isabel, il doit disposer d'une convention signée à cet effet par chacune des Parties en Confiance. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 8 de 57

1.3.7. COORDONNÉES 1.3.7.1. ORGANISATION DE L'ADMINISTRATION DES SPÉCIFICATIONS Le Security Manager d'isabel remplit la fonction d'autorité de Gestion de la Politique pour les besoins de la présente CPS Isabel. Il est responsable de tous les aspects de la présente CPS Isabel, y compris spécification, validation, enregistrement, publication, maintenance et interprétation. 1.3.7.2. PERSONNE DE CONTACT DE L'AUTORITÉ DE GESTION DE LA POLITIQUE Tous les commentaires et questions concernant la présente CPS Isabel seront adressés aux représentant de l'autorité de Gestion de la Politique: Isabel SA/NV Isabel Security Manager Bd de l Impératrice / Keizerinlaan 13-15 B-1000 Bruxelles Belgique Tél.: +32 (0)2/545.17.11 Fax: +32 (0) 2/545.17.19 E-mail: policyauthority@isabel.be Web: www.isabel.be 1.3.7.3. PERSONNE DÉTERMINANT L'ADEQUATION DE LA CPS A LA POLITIQUE DE CERTIFICATION L'Isabel Security Manager détermine l'adéquation de la CPS Isabel aux CP Isabel. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 9 de 57

2. DISPOSITIONS GÉNÉRALES 2.1. OBLIGATIONS Ce chapitre décrit les obligations des entités qui, au sein de la PKI Isabel, participent au processus de demande, émission, acceptation, utilisation, publication et révocation des Certificats Isabel. Les Parties en Confiance du Certificat Isabel doivent comprendre les dispositions stipulées dans ce chapitre avant d'utiliser un Certificat Isabel. Ces entités sont: 1. Le CA Isabel 2. Les RA Isabel 3. Les Abonnés et Titulaires de Certificats Isabel 4. Les Parties en Confiance du Certificat Isabel 5. Le Répertoire Isabel 6. L'Autorité de gestion de la Politique de Certification Isabel 7. L'entité juridique Isabel 8. Service de Révocation Isabel En acceptant un Certificat émis par Isabel, le Titulaire de Certificat Isabel accepte les obligations et déclarations décrites ci-après. En utilisant un Certificat Isabel, une Partie en Confiance du Certificat Isabel accepte les obligations et les déclarations telles que décrites ci-après. 2.1.1. OBLIGATIONS DE L'AUTORITÉ DE CERTIFICATION ISABEL Toute CA au sein de l'infrastructure à Clé Publique Isabel est tenue de respecter les obligations suivantes: 2.1.1.1. CONFORMITÉ AUX NORMES La CA Isabel qui délivre des Certificats Isabel est tenue de s'assurer qu'elle applique et respecte toutes les spécifications décrites en détail dans la présente CPS Isabel et dans la CP Isabel applicable. 2.1.1.2. EXACTITUDE DES DÉCLARATIONS La CA Isabel qui publie dans le Répertoire Isabel un Certificat Isabel faisant référence à la présente CPS garantit à toutes les personnes et entités qui se fieront raisonnablement à l'information contenue dans le Certificat Isabel qu'elle a délivré le Certificat Isabel au Titulaire de Certificat Isabel désigné conformément aux dispositions de la CPS Isabel et de la présente CP Isabel. Elle garantit en outre que le Titulaire de Certificat Isabel a accepté son Certificat Isabel compte tenu des restrictions stipulées à l'article 4.3 Acceptation du Certificat. 2.1.1.3. TRAITEMENT DES DEMANDES DE CERTIFICATS La CA Isabel est tenue de traiter en temps voulu et en toute sécurité les Demandes de Certificats Isabel émises par les RA Isabel qui sont sous son contrôle. La CA Isabel n'utilisera que les RA Isabel officiellement agréées par la CA Isabel. En ce qui concerne le traitement des Demandes de Certificats Isabel, la CA Isabel est tenue de respecter les dispositions stipulées aux articles: Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 10 de 57

1. Articles 3.1 Enregistrement initial, 3.2 Renouvellement et 4.1 Soumission d'une demande de Certificat de la présente CPS. 2. Toute CP applicable. La CA rejettera toute Demande de Certificat non conforme à l'ensemble des dispositions stipulées dans cette CPS et/ou de toute CP applicable. 2.1.1.4. CRÉATION DE LA PAIRE DE CLÉS À L'INTENTION DU TITULAIRE DE CERTIFICAT ISABEL Au cas où la CA Isabel génère la paire de clés au nom du Titulaire de Certificat Isabel, la CA Isabel doit se conformer à toutes les dispositions stipulées : 1. à l article 6.1 Génération et installation de la paire de clés de la présente CPS Isabel. 2. Toute CP applicable. 2.1.1.5. OBTENTION DE L'ATTESTATION DE PROPRIÉTÉ DE LA CLÉ PRIVÉE Si la paire de clés a été générée par le Titulaire de Certificat Isabel, la CA Isabel doit valider la connexion entre une paire de clés publique/privée et l'identité du Titulaire, et doit obtenir l'attestation de propriété, par le Titulaire, de la Clé Privée associée à la Clé Publique à certifier. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées : Dans le cadre de cette obligation, la CA Isabel doit appliquer les dispositions suivantes: 1. à l article 3.1.7 Méthode de preuve de la possession de la Clé Privée de la présente CPS Isabel. 2. Toute CP applicable. 2.1.1.6. GARANTIE DE L'UNICITÉ D'UNE PAIRE DE CLES DANS LA PKI ISABEL La CA Isabel doit garantir le caractère unique d'une paire de clés au sein de la PKI Isabel, que cette paire de clés ait été générée par le Titulaire de Certificat Isabel ou par une CA Isabel au nom du titulaire. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées :Dans le cadre de cette obligation, la CA Isabel doit appliquer les dispositions suivantes: 1. à l article 6.1 Génération et installation de la paire de clés de la présente CPS Isabel. 2. Toute CP applicable. 2.1.1.7. DÉLIVRANCE D'UN CERTIFICAT ISABEL La CA Isabel au sein de la PKI Isabel est obligée de délivrer des Certificats Isabel conformément : 1. à l'article 4.2 Emission de Certificat de la présente CPS Isabel. 2. Toute CP applicable. 2.1.1.8. NOTIFICATION DE L'ÉMISSION DU CERTIFICAT La CA Isabel garantit que le Titulaire de Certificat Isabel est informé de la délivrance de son Certificat Isabel conformément : 1. à l article 2.6.1 Publication des informations de la CA Isabel de la présente CPS Isabel. 2. Toute CP applicable. 2.1.1.9. OBTENTION DE L'ACCEPTATION DU CERTIFICAT ISABEL PAR SON TITULAIRE La CA Isabel obtiendra l'acceptation du Certificat Isabel par le Titulaire de ce Certificat. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées : 1. à l article 4.3 Acceptation du Certificat de la présente CPS Isabel 2. Toute CP applicable. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 11 de 57

L'acceptation peut revêtir les formes suivantes: (1) par notification explicite de l'acceptation, ou (2) du fait que le Titulaire utilise le Certificat, ou (3) au terme du 10 ème jour suivant la publication dans le Répertoire en l'absence de toute notification ou remarque de la part du Titulaire. 2.1.1.10. PUBLICATION DU CERTIFICAT ISABEL DANS UN RÉPERTOIRE ISABEL La CA Isabel publiera tout Certificat Isabel délivré après acceptation (voir article 2.1.1.9 pour les conditions d'acceptation) par le Titulaire de Certificat Isabel. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées : 1. à l article 2.6 Publication et Répertoire de la présente CPS Isabel. 2. Toute CP applicable. 2.1.1.11. TRAITEMENT DES DEMANDES DE RÉVOCATION DE CERTIFICAT La CA Isabel traitera dès que possible et en toute sécurité les demandes de révocation de Certificats Isabel adressées par les RA Isabel qui sont sous son contrôle. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées : 1. aux articles 3.4 Demande de Révocation et 4.4 Révocation de Certificat de la présente CPS Isabel. 2. Toute CP applicable. 2.1.1.12. PUBLICATION DE L'INFORMATION RELATIVE AUX REVOCATIONS DE CERTIFICATS ISABEL DANS UN RÉPERTOIRE ISABEL La CA Isabel publiera l'information relative aux révocations de Certificats Isabel dans un Répertoire Isabel, sous la forme suivante: 1. le Certificat Isabel, mis à jour à l'aide d'un indicateur de révocation. 2. une mise à jour de la Liste des Certificats Révoqués (CRL). Le Certificat Isabel et la Liste des Certificats Révoqués actualisée seront publiés dès que possible après révocation du Certificat Isabel. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées : 1. Article 2.6 Publication et Répertoire de la présente CPS Isabel. 2. Toute CP applicable. Ce mécanisme permettra aux Parties en Confiance d'un Certificat Isabel d'obtenir à temps des informations sans équivoque sur le statut de révocation de tout Certificat Isabel émis par une CA Isabel. 2.1.1.13. NOTIFICATION DE RÉVOCATION D'UN CERTIFICAT La CA Isabel s'assure que l'entité (Titulaire du Certificat Isabel ou personne physique habilitée par le Client Isabel) qui demande la révocation d'un Certificat Isabel à une RA Isabel et toutes les autres parties qui font raisonnablement confiance à ce Certificat Isabel sont averties de la révocation du Certificat Isabel conformément à: 1. Article 4.4.6 - Fréquence de la publication de la CRL de la présente CPS Isabel. 2. Toute CP applicable. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 12 de 57

2.1.1.14. COMMUNICATION AU TITULAIRE ET AUX PARTIES EN CONFIANCE DES INFORMATIONS NÉCESSAIRES POUR UTILISER CORRECTEMENT ET EN TOUTE SÉCURITÉ LES SERVICES PKI ISABEL 1. La CA Isabel garantit que ses Titulaires, Abonnés et Parties en Confiances de Certificat Isabel sont informés de leurs obligations conformément aux dispositions stipulées aux articles 2.1.3 Obligations de l'abonné et du Titulaire de Certificat Isabel et 2.1.4 Obligations des Parties en Confiance de la présente CPS Isabel. 2. La CA Isabel communique au Titulaire de Certificat Isabel les exigences à satisfaire en matière de protection de la Clé Privée telles que stipulées à l'article 6.2 Protection de la Clé Privée de la présente CPS Isabel. 3. La CA Isabel communique aux Titulaires, Abonnés et Parties en Confiance de Certificat Isabel les garanties exactes offertes par les services PKI Isabel, ainsi que leurs limitations, conformément aux dispositions stipulées à l'article 2.2 Responsabilité de la CP Isabel applicable. La publication de la présente CPS Isabel et les CPs Isabel à l'intention des Titulaires de Certificat Isabel et des Parties En Confiance doit être considérée comme une notification en ce sens. 2.1.1.15. PROTECTION DE LA CLÉ PRIVÉE DE LA CA ISABEL La CA Isabel protège sa Clé Privée conformément aux dispositions stipulées à l'article 6.2 Protection de la Clé Privée de la présente CPS Isabel. 2.1.1.16. RESTRICTION DE L'UTILISATION DE LA CLE PRIVÉE DE LA CA ÉMETTRICE Une CA Isabel veille à ce que sa Clé Privée ne soit pas utilisée à des fins non autorisées et/ou inadéquates. La clé de signature privée d'une CA Isabel s'utilise en particulier pour: 1. Délivrer des Certificats Isabel aux Titulaires 2. Emettre des informations sur le statut de révocation d'un Certificat Isabel, et 3. Les autres informations concernant la délivrance de Certificats Isabel dans le cadre de la présente CPS Isabel et des CPs Isabel ne seront utilisées à aucune autre fin. La CA Isabel n'utilisera sa Clé Privée que pour les besoins liés à sa fonction de CA. 2.1.1.17. MOYENS DE SIGNATURE ÉLECTRONIQUE REMIS AU TITULAIRE DE CERTIFICAT ISABEL La CA Isabel fournit au Titulaire de Certificat Isabel les moyens suivants pour générer une signature électronique: 1. Un Certificat Isabel certifiant la Clé Publique associée à la Clé Privée du Titulaire. 2. Facultativement, le logiciel pour générer une signature électronique. 3. Facultativement, une Secure Signing Card Isabel ou un TRD (Tamper Resistant Device) pour permettre au Titulaire de protéger sa Clé Privée et de générer des signatures électroniques avec sa Clé Privée. 4. Facultativement, une paire de clés (valable uniquement pour le Flux de certification centralisé voir article 4.2.1 de la présente CPS Isabel). 5. Facultativement, un code PIN (valable uniquement pour le Flux de certification centralisé voir article 4.2.1de la présente CPS Isabel). 2.1.1.18. INDEMNISATION DES PARTIES EN CAS DE DOMMAGES ET SANCTIONS La CA Isabel indemnisera les parties pour tous dommages occasionnés par le non-respect de ses obligations conformément aux dispositions stipulées à l'article 2.2 Responsabilité de la CP Isabel applicable. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 13 de 57

2.1.1.19. ARCHIVAGE DES ENREGISTREMENTS RELATIF A SON FONCTIONNEMENT Une CA Isabel archive les enregistrements relatifs à son fonctionnement. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées à l'article 4.6 Archivage des documents de la présente CPS Isabel. 2.1.1.20. PUBLICATION DE LA DÉCLARATION DES PRATIQUES DE CERTIFICATION (CPS) La CA Isabel publie la Déclaration des Pratiques de certification. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées à l'article 2.6 Publication et Répertoire de la présente CPS Isabel. 2.1.1.21. PUBLICATION DES INFORMATIONS DE RÉVOCATION DES CERTIFICATS DE LA CA DANS UN RÉPERTOIRE ISABEL La CA Isabel publie dans un Répertoire Isabel les informations de la CA Isabel relatives aux révocations de Certificats sous la forme de Listes de Révocation des Certificats des Autorités - ARL (Certificats auto-signés et à signatures croisées). 2.1.1.22. PROTECTION DE LA VIE PRIVEE La CA Isabel collecte et traite les données personnelles nécessaires à l'exécution des services de certification en conformité avec la loi belge sur la protection de la vie privée (loi du 8 décembre 1992). Ces données sont traitées en vue de la gestion des services de certification, y compris la gestion de la clientèle. Les données personnelles des Titulaires de Certificat Isabel sont conservées sur les serveurs d'isabel S.A./N.V. Le Titulaire de Certificat Isabel a le droit de consulter ses données et de les corriger selon les nécessités. La demande peut être soumise par écrit, par courrier ordinaire adressé à : Isabel SA/NV Customer Care Operations Bd de l Impératrice / Keizerinlaan 13-15 B-1000 Bruxelles Belgique Le Titulaire de Certificat Isabel a le droit de s'opposer explicitement à l'utilisation de ses données à des fins de marketing, par lettre adressée au département ci-dessus. 2.1.2. OBLIGATIONS DES RA ISABEL En général, la RA Isabel respectera les droits et obligations figurant dans cette CPS et toute CP applicable. Au sein de Clé Publique la PKI Isabel, toute RA est tenue de respecter les obligations spécifiques suivantes: 2.1.2.1. TRAITEMENT DES DEMANDES DE CERTIFICAT La RA Isabel traite en temps voulu et en toute sécurité les Soumissions de demandes de Certificats Isabel soumises par les Abonnés du Certificat Isabel. La RA Isabel veille à ce que les Abonnés acceptent aux conditions contractuelles applicables; la RA Isabel vérifie si toutes les informations requises figurent bien dans les demandes de Certificat Isabel et si ces demandes sont correctes et valables. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 14 de 57

La RA Isabel remplit correctement et en temps voulu toutes ses obligations en matière de communication et d archivage. La RA Isabel prépare l information requise par la CA Isabel et adresse une Demande de Certificat Isabel à la CA Isabel. En ce qui concerne le traitement des demandes de Certificat Isabel, la RA Isabel est contractuellement tenue envers l entité juridique Isabel de se conformer strictement aux dispositions suivantes: 1. Articles 3.1 Enregistrement initial et 4.1 Soumission d'une demande de Certificat de la présente CPS Isabel. 2. Toute CP applicable. 2.1.2.2. GÉNÉRATION DE NOMS DISTINCTIFS, UNIQUES ET SIGNIFICATIFS POUR LES TITULAIRES DE CERTIFICAT ISABEL La RA Isabel génère des noms distinctifs significatifs et uniques pour les Titulaires de Certificat Isabel au sein de la PKI Isabel. La RA Isabel respecte les dispositions suivantes: 1. Articles 3.1.2 Nécessité de noms significatifs et 3.1.4 Unicité des noms de la présente CPS Isabel. 2. Toute CP applicable. 2.1.2.3. IDENTIFICATION ET AUTHENTIFICATION DE L'ABONNE/DU TITULAIRE ET VÉRIFICATION DE SA DESIGNATION PAR UN CLIENT ISABEL La RA Isabel identifie et authentifie correctement les Abonnés du Certificat Isabel, Titulaires de Certificat Isabel et, le cas échéant, leur mandataire. Cette identification peut porter aussi bien sur des données personnelles que sur des données professionnelles. La RA Isabel est également tenue de vérifier si un Abonné de Certificat Isabel et un Titulaire de Certificat Isabel ont bien été désignés par un Client Isabel. Pour l identification et l authentification des Abonnés et Titulaires de Certificats Isabel et de leurs mandataires, la RA Isabel doit se conformer aux dispositions suivantes: 1. Chapitre 3 Identification et Authentification de la présente CPS Isabel. 2. Toute CP applicable. 2.1.2.4. TRAITEMENT DES DEMANDES DE RÉVOCATION DE CERTIFICATS La RA Isabel reçoit et traite dès que possible les demandes de révocation de Certificat Isabel et les envoie à une CA Isabel. La décision finale de révocation du Certificat Isabel appartient à la CA Isabel. Dans le traitement des demandes de révocation de Certificat Isabel, la RA Isabel se conforme aux dispositions de l'article 4.4 Révocation de Certificat de la présente CPS Isabel. 2.1.2.5. PROTECTION DE LA CLÉ PRIVÉE DE LA RA La RA Isabel protège sa Clé Privée conformément aux dispositions stipulées à l'article 6.2 Protection de la Clé Privée de la présente CPS Isabel. 2.1.2.6. RESTRICTION D UTILISATION DE LA CLE PRIVÉE DE LA RA La RA Isabel n'utilise sa Clé Privée qu'à des fins liées à sa fonction de RA. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 15 de 57

2.1.2.7. INDEMNISATION DES PARTIES EN CAS DE DOMMAGES La RA Isabel indemnise les parties pour tous dommages résultant d un manquement à ses obligations. A cet égard, la RA Isabel doit se conformer aux dispositions stipulées à l'article 2.2 - Responsabilité de la CP Isabel applicable. 2.1.2.8. ARCHIVAGE ET SÉCURITÉ La RA Isabel respecte ses obligations d'archivage de la façon la plus sûre, afin de garantir la disponibilité des documents et autres informations pouvant servir de preuve, ainsi que pour sauvegarder la confidentialité et l'intégrité de ces documents et informations. En général, elle assure la sécurité physique de l'information, en protège l'accès et forme son personnel à cet effet. 2.1.2.9. APPROBATION Chaque RA opérant sous l'autorité d'une CA Isabel dispose de l'autorisation écrite de cette CA Isabel. La CA Isabel tient la liste des RA agréées. En menant des activités de RA pour une CA Isabel, la RA Isabel certifie qu'elle a accepté cette responsabilité et est d'accord d'opérer conformément aux CP applicables et à la CPS Isabel. 2.1.3. OBLIGATIONS DE L'ABONNÉ ET DU TITULAIRE DE CERTIFICAT ISABEL Les Abonnés et Titulaires de Certificat Isabel sont généralement tenus de respecter les dispositions, conditions et procédures de cette CPS et de toute CP pertinente, qu'ils seront réputés avoir acceptées en utilisant un Certificat Isabel. Les Abonnés et Titulaires de Certificat Isabel acceptent de respecter ces obligations durant toute la durée de validité du Certificat Isabel. L'Abonné signera un contrat au moment de la délivrance du certificat ou avant. Ce contrat est régi par le droit belge. La RA Isabel en conserve un exemplaire. Les Abonnés sont liés par des droites et des engagements à Isabel, (1) directement avec Isabel ou (2) par l'intermédiaire du RA. L'Abonné du Certificat Isabel et le Titulaire du Certificat Isabel assument les obligations suivantes: 2.1.3.1. SOUMISSION D'UNE DEMANDE DE CERTIFICAT ISABEL Pour soumettre une demande de Certificat Isabel, l'abonné du Certificat Isabel est tenu de: 1. Fournir des informations correctes, exactes et complètes dans sa demande de Certificat Isabel. 2. Faire signer la demande de Certificat Isabel par le Titulaire de Certificat Isabel. 3. Signer la demande de Certificat Isabel. 4. Soumettre la demande de Certificat Isabel signée à une RA Isabel. Dans le cadre de ces obligations, l'abonné du Certificat Isabel doit appliquer les dispositions des articles 3.1 Enregistrement initial et 4.1 Soumission d'une demande de Certificat de la présente CPS Isabel. 2.1.3.2. GÉNÉRATION DE LA PAIRE DE CLÉS Si le Titulaire de Certificat Isabel génère lui-même sa paire de clés, il doit respecter les dispositions relatives aux exigences de qualité (notamment en matière de longueur de clé et d'algorithme) qui figurent à l'article 6.1 Génération et installation de la paire de clés de la présente CPS Isabel. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 16 de 57

2.1.3.3. OBTENTION DU CERTIFICAT ISABEL Après notification par la RA Isabel à laquelle la Demande de Certificat Isabel a été soumise, et après identification et authentification de l'abonné et du Titulaire par la RA Isabel, le Titulaire de Certificat Isabel doit obtenir de la CA Isabel: 1. Un Certificat Isabel certifiant la Clé Publique associée à la Clé Privée du Titulaire. 2. Facultativement, un logiciel de production de signature électronique. 3. Facultativement, une Secure Signing Card Isabel ou un TRD (Tamper Resistant Device) pour mettre en œuvre la Clé Privée du Titulaire. 4. Facultativement, une paire de clés (valable seulement pour le Flux de certification centralisé voir article 4.2.1 de la présente CPS Isabel). 5. Facultativement, un code PIN (valable seulement pour dans le Flux de certification centralisé voir article 4.2.1 de la présente CPS Isabel). 2.1.3.4. ACCEPTATION DU CERTIFICAT ISABEL A la réception de son Certificat Isabel, le Titulaire de Certificat Isabel doit vérifier son Certificat Isabel et toutes les informations qu'il contient, et avertir la CA Isabel qui a délivré le certificat qu'il accepte (ou n'accepte pas) le Certificat Isabel. L'acceptation du certificat signifie que le Titulaire reconnaît que l'information du Certificat Isabel est correcte, exacte et complète. L'acceptation du Certificat Isabel implique l'acceptation de la CPS et de la CP applicable ainsi que l'acceptation de toutes les autres notifications faites au Titulaire. L'acceptation peut revêtir les formes suivantes: (1) notification explicite de l'acceptation, ou (2) utilisation du certificat par le Titulaire, ou (3) absence de notification ou de remarques par le Titulaire après le 10 ème jour suivant la publication dans le Répertoire. Dans le cadre de cette obligation, le Titulaire de Certificat Isabel doit appliquer les dispositions de l'article 4.3 Acceptation du Certificat de la présente CPS Isabel. 2.1.3.5. OBTENTION DES INFORMATIONS NECESSAIRES POUR UTILISER CORRECTEMENT ET EN TOUTE SECURITE LES SERVICES DE LA PKI ISABEL Le Titulaire de Certificat Isabel est tenu d'obtenir de la CA Isabel qui a émis son certificat: 1. La notification des obligations qui lui impose l article 2.1.3 Obligations de l'abonné et du Titulaire de Certificat Isabel de la présente CPS Isabel. 2. La notification des règles de protection de sa Clé Privée, figurant à l'article 6.2 Protection de la Clé Privée de la présente CPS Isabel. 3. La notification des garanties précises offertes par les services PKI Isabel conformément à l'article 2.2 Responsabilité de la CP Isabel applicable. La publication de la présente CPS Isabel à l'intention des Titulaires de Certificat Isabel et des Parties en Confiance de Certificat Isabel doit être considérée comme une notification. L'utilisation du Certificat Isabel par le Titulaire implique l'acceptation de la teneur des notifications visées ci-dessus. 2.1.3.6. GARANTIE DE LA CONFIDENTIALITÉ DE LA CLÉ PRIVÉE Le Titulaire de Certificat Isabel doit protéger et garantir la détention exclusive et la confidentialité ainsi que la sécurité de sa Clé Privée, de même que la confidentialité du code PIN afin de protéger la Clé Privée contre tout usage non autorisé. D une manière générale, le Titulaire prend les mesures nécessaires pour éviter la perte, la divulgation à un tiers, la modification ou l usage non autorisé du matériel associé à la clé et de l Isabel Secure Signing Card. Toute utilisation de la Clé Privée du Titulaire est réputée être le fait du Titulaire sauf preuve suffisante du contraire. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 17 de 57

Dans le cadre de cette obligation, le Titulaire de Certificat Isabel doit se conformer aux dispositions de l'article 2.8 Confidentialité de la présente CPS Isabel. 2.1.3.7. LIMITATION DE L'UTILISATION DE LA CLÉ PRIVÉE ET DU CERTIFICAT ISABEL Le Titulaire de Certificat Isabel ne peut utiliser sa Clé Privée et le Certificat Isabel qu'aux fins autorisées, conformément aux dispositions de la CP applicable ou de tout contrat conclu ou à conclure entre Isabel et le Client Isabel. Si le Titulaire soupçonne que sa Clé Privée est compromise, il doit demander la révocation de son Certificat Isabel et cesser de générer des signatures électroniques à l'aide de sa Clé Privée. Lorsque tout les certificats associé à une Clé Publique sont révoqués ou ont expirés, la Clé Publique cesse d'être valable et le Titulaire n'est plus autorisé à utiliser la Clé Privée correspondante notamment pour la génération de signatures électroniques et le déchiffrement. 2.1.3.8. NOTIFICATION AU SERVICE DE RÉVOCATION ISABEL EN CAS DE COMPROMISSION DE LA CLE PRIVEE/DU CODE PIN PERTE DE L ISABEL SECURE SIGNING CARD Le Titulaire de Certificat Isabel ou l Abonné du Certificat Isabel doit immédiatement avertir le Service de Révocation Isabel si: 1. Il soupçonne ou sait que la Clé Privée du Titulaire est compromise, perdue ou divulguée. 2. Il soupçonne ou sait que la Secure Signing Card Isabel du Titulaire est perdue. 3. Il soupçonne ou sait que le code PIN du Titulaire est compromis, perdu ou divulgué. Le Titulaire de Certificat Isabel doit se conformer aux dispositions de l'article 4.4 Révocation de Certificat du présent CPS Isabel. Les Titulaires de Certificat Isabel de la communauté WISE sont exclus de ce service et doivent avertir leur RA Isabel, voir 2.1.3.9 Notification à la RA Isabel en cas de compromission de Clé Privée/PIN perte de l'isabel Secure Signing Card changement de statut. 2.1.3.9. NOTIFICATION À LA RA ISABEL EN CAS DE COMPROMISSION DE CLÉ PRIVÉE/PIN PERTE DE L'ISABEL SECURE SIGNING CARD CHANGEMENT DE STATUT Le Titulaire de Certificat Isabel ou l Abonné du Certificat Isabel doit immédiatement avertir sa RA si: 1. Il soupçonne ou sait que la Clé Privée du Titulaire est compromise, perdue ou divulgué. 2. Il soupçonne ou sait que la Secure Signing Card Isabel du Titulaire est perdue. 3. Il soupçonne ou sait que le code PIN du Titulaire est compromis, perdu ou divulgué. 4. Un changement quelconque affecte les informations communiquées dans la demande de Certificat Isabel du Titulaire. Dans le cadre des obligations 1 à 3 ci-dessus, le Titulaire de Certificat Isabel doit se conformer aux dispositions de l'article 4.4 Révocation de Certificat de la présente CPS Isabel. La révocation est notifiée au RA Isabel pour n importe quel cas qui n est pas couvert par le Service de Révocation. 2.1.3.10. SANCTIONS ET INDEMNISATION DES PARTIES EN CAS DE DOMMAGES Le Titulaire de Certificat Isabel et la Partie en Confiance doivent se conformer aux dispositions de l'article 2.2 Responsabilité de la CP Isabel applicable. La CA Isabel a le droit de révoquer le certificat d'un Titulaire en cas d'infraction aux obligations énoncées dans cette CPS, dans toute CP pertinente et/ou dans un contrat entre Isabel et le Titulaire. Dans un tel cas, la révocation n'exclura pas les autres sanctions ou indemnisations prévues par la loi, les dispositions contractuelles ou les politiques applicables telles que cette CPS ou toute CP applicable. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 18 de 57

2.1.3.11. UTILISATION D'UN SYSTÈME MATÉRIEL SÉCURISÉ DE CRÉATION DE SIGNATURE Le Titulaire de Certificat Isabel doit utiliser un Secure Signature Creation Device (dispositif sécurisé de création de signature) pour stocker et utiliser sa Clé Privée, à savoir : 1. une Secure Signing Card Isabel (Titulaires Personnes Physiques ou Fonction); ou 2. un TRD (Tamper Resistant Device) (Titulaires Personnes Physiques, Fonction ou Application); ou 3. un Hardware Security Module (HSM) d'un tiers (Titulaires Personnes Physiques, Fonction ou Application). 2.1.3.12. LIMITATION DE L'UTILISATION DE LA CLÉ PUBLIQUE Le Titulaire ou l'abonné du Certificat Isabel ne peut soumettre une Demande de certificat contenant la Clé Publique dans un Certificat Isabel à une CA tierce, même si le Certificat Isabel a expiré ou a été révoqué. Le Titulaire ou l'abonné du Certificat Isabel ne peut soumettre une Demande de certificat contenant la Clé Publique dans un certificat de tiers à une CA Isabel, même si le certificat du tiers a expiré ou a été révoqué. 2.1.4. OBLIGATIONS DES PARTIES EN CONFIANCE Dans l'évaluation d'un Certificat Isabel, la Partie en Confiance prendra en compte les conditions et déclarations incluses dans cette CPS et dans toute CP applicable, y compris toutes les limitations de responsabilité et garanties applicables. De plus, la Partie en Confiance doit connaître et respecter toutes les règles, réglementations et dispositions statutaires applicables à toutes les informations contenues dans le certificat. La Partie en Confiance assume les obligations spécifiques suivantes: 2.1.4.1. OBTENTION DES INFORMATIONS NÉCESSAIRES POUR UTILISER CORRECTEMENT ET EN TOUTE SÉCURITÉ LES SERVICES PKI ISABEL La Partie en Confiance est tenue d'obtenir de la CA Isabel qui a émis le Certificat Isabel auquel elle envisage de faire confiance, une notification précise des garanties, responsabilités et obligations offertes par les services PKI conformément à l'article 2.2 Responsabilité de la CP applicable. 2.1.4.2. OBTENTION ET VÉRIFICATION DU CERTIFICAT AUTO-SIGNE DE LA CA ISABEL La Partie en Confiance est tenue d'obtenir de la CA Isabel le certificat auto-signé à l'origine de la chaîne de certificats, nécessaire pour vérifier la validité d'un Certificat Isabel. Pour obtenir et vérifier la validité d'un certificat auto-signé de la CA Isabel, la Partie en Confiance doit respecter les dispositions de l'article 4.3 Acceptation du Certificat de la CPS Isabel. 2.1.4.3. VÉRIFICATION DU CONTENU ET DE LA VALIDITÉ DU CERTIFICAT ISABEL La Partie en Confiance est tenue de vérifier et d'accepter le contenu et la validité d'un Certificat Isabel avant de faire confiance au certificat. La Partie en Confiance doit vérifier les attributs suivants du Certificat Isabel: 1. L'émetteur (CA Isabel), 2. La période de validité, 3. Le statut de révocation, 4. L'utilisation et les limitations de la clé et du certificat, 5. La signature de la CA. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 19 de 57

Les attributs des Certificats Isabel figurent à l'article 7.1 Profil du Certificat de la présente CPS Isabel. La Partie en Confiance ne peut accorder sa confiance au Certificat Isabel quand: 1. La vérification de la signature électronique du Certificat Isabel échoue, ou la vérification du Certificat Isabel lui-même échoue, ou 2. Le Certificat Isabel a expiré, ou 3. Le Certificat Isabel a été révoqué, ou 4. Le Certificat Isabel est utilisé à des fins non-autorisées ou n'est pas utilisé conformément aux limitations. 2.1.4.4. LIMITATIONS DE L'UTILISATION DU CERTIFICAT ISABEL La Partie en Confiance ne peut faire confiance au Certificat Isabel qu'à des fins autorisées, dans le respect des limitations en termes d'utilisation fonctionnelle et de valeur, conformément aux dispositions de l'article 6.1.9 Champs d utilisations de la Clé de la CP applicable, si cet article existe. 2.1.4.5. VÉRIFICATION DES SIGNATURES La Partie en Confiance est tenue de vérifier la signature électronique à l'aide du Certificat Isabel certifiant la Clé Publique associée à la Clé Privée utilisée pour générer la signature électronique. 2.1.4.6. NON-RESPECT DES OBLIGATIONS DE LA PARTIE EN CONFIANCE La Partie en Confiance déclare avoir connaissance des dispositions de l'article 2.3.1 - Indemnisation par les Clients Isabel, Parties en Confiance et les Titulaires et de l'article 2.2 Responsabilité de la CP Isabel applicable. 2.1.5. OBLIGATIONS DU RÉPERTOIRE Voir article 2.1.8.2 - Tenue d'un répertoire électronique des certificats et des informations de révocation des certificats de la présente CPS Isabel. 2.1.6. OBLIGATIONS DE L'AUTORITÉ DE VALIDATION L Autorité de Validation est tenue de fournir une information, précise et à jour, à propos des statues des certificats émis par le CA Isabel qui est couvert par la présente CPS et par la CP Isabel applicable. 2.1.7. OBLIGATIONS DE L'AUTORITÉ DE GESTION DE LA POLITIQUE L'Autorité de Gestion de la Politique de Certification est tenue de spécifier, valider et faire appliquer la présente CPS Isabel. Elle est tenue de déterminer l'adéquation du présent CPS Isabel au CP Isabel. 2.1.8. ENTITÉ JURIDIQUE ISABEL 2.1.8.1. CONTRATS Il appartient à Isabel de dresser une ou plusieurs conventions contractuelles avec : 1. L'Abonné du Certificat Isabel, en indiquant clairement et explicitement les droits et obligations des deux parties. Ce contrat fait référence à la CP Isabel et à la CPS Isabel, en particulier au présent article. Le contrat mentionnera au minimum: Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 20 de 57

a. Que l'abonné du Certificat Isabel reconnaît l'exactitude des informations qu'il a fournies à la RA Isabel. b. Que le Titulaire du Certificat Isabel n'utilisera la paire de clés qu'aux fins prévues et dans le respect de toute autre limitation notifiée à l'abonné du Certificat Isabel par contrat ou tout autre document légal (p.ex. CP, CPS, ). c. Que le Titulaire du Certificat Isabel accepte les règles et conditions associées à l'utilisation du support servant à stocker la Clé Privée, y compris la responsabilité de la sauvegarde de la Clé Privée, du support de stockage et du code PIN. d. Que le Titulaire de Certificat Isabel accepte de signaler immédiatement la perte de sa Clé Privée et/ou de son code PIN, ainsi que tout soupçon d'infraction à la sécurité ou d'abus. e. Le système de révocation des Certificats Isabel. f. Les limitations de responsabilité d'isabel. 2. Les RA Isabel, opérant au nom de la CA Isabel, en indiquant clairement les droits et obligations des deux parties. 3. L'agent (local ou central) de la RA Isabel, opérant au nom de la RA Isabel, en indiquant clairement les droits et obligations des deux parties. Ce contrat fait partie de la convention contractuelle entre Isabel et la RA Isabel. 2.1.8.2. TENUE D'UN RÉPERTOIRE ÉLECTRONIQUE DES CERTIFICATS ET DES INFORMATIONS DE RÉVOCATION DES CERTIFICATS Isabel tient à jour et à disposition un Répertoire électronique des Certificats Isabel et des informations de révocation des Certificats Isabel. Isabel prend toutes les mesures nécessaires pour protéger ce Répertoire électronique contre toute modification illicite. Le répertoire électronique contiendra au moins: 1. Les Certificats Isabel émis par la CA Isabel conformément à la présente CPS Isabel et à la CP applicable. 2. Les Listes des Certificats Révoqués publiées conformément à la présente CPS Isabel et à la CP applicable. 3. Les Certificats auto-signés de la CA Isabel. Isabel publie en temps voulu les Certificats et les Listes des Certificats Révoqués détaillées à l'article 2.6 Publication et Répertoire de la présente CPS Isabel. Le Répertoire électronique est accessible en permanence (24 heures sur 24) pour consultation directe par voie électronique. Le Répertoire électronique n'est pas consultable par les non-clients Isabel ni leurs représentants. 2.1.9. SERVICE DE RÉVOCATION ISABEL Le Service de Révocation Isabel permet de révoquer des certificats Isabel 24/7 pour des certificats Personnes Physiques ou Fonction. Ce service est disponible pour tous les cas de perte ou de vol de la Secure Signing Card du Titulaire du certificat Isabel, ou de la compromission du PIN ou de la Clé Privée. Ce service n est pas disponible aux Clients Isabel de la communauté WISE. 2.1.9.1. TRAITEMENT DES DEMANDES DE RÉVOCATION DE CERTIFICATS Le Service de Révocation Isabel reçoit et traite dès que possible les demandes de révocation de Certificat Isabel et les envoie à une CA Isabel. La décision finale de révocation du Certificat Isabel appartient au CA Isabel. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 21 de 57

Dans le traitement des demandes de révocation de Certificat Isabel, le Service de Révocation Isabel se conforme aux dispositions de l'article 4.4 Révocation de Certificat du présent CPS Isabel 2.1.9.2. IDENTIFICATION ET AUTHENTIFICATION DE L'ABONNE/DU TITULAIRE Le Service de Révocation Isabel identifie et authentifie les Abonnés du Certificat Isabel, Titulaires de Certificat Isabel et, le cas échéant, leur mandataire, le plus correctement possible avant de révoquer le(s) certificat(s). Une identification ultérieure sera fait post factum par le RA Isabel. Cette identification peut porter aussi bien sur des données personnelles que sur des données professionnelles. 2.1.9.3. PROTECTION DE LA CLÉ PRIVÉE DU SERVICE DE RÉVOCATION Le Service de Révocation Isabel protège sa Clé Privée conformément aux dispositions stipulées à l'article 6.2 Protection de la Clé Privée de la présente CPS Isabel. 2.1.9.4. RESTRICTION D UTILISATION DE LA CLE PRIVÉE DU SERVICE DE RÉVOCATION Le Service de Révocation Isabel n'utilise sa Clé Privée qu'à des fins liées à sa fonction de Service de Révocation. 2.1.9.5. INDEMNISATION DES PARTIES EN CAS DE DOMMAGES L indemnisation de Service de Révocation Isabel se conforme aux dispositions stipulées à l'article 2.2 Responsabilité du CP Isabel applicable. 2.1.9.6. ARCHIVAGE ET SÉCURITÉ Le Service de Révocation Isabel respecte ses obligations d'archivage de la façon la plus sûre, afin de garantir la disponibilité des documents et autres informations pouvant servir de preuve, ainsi que pour sauvegarder la confidentialité et l'intégrité de ces documents et informations. En général, elle assure la sécurité physique de l'information, en protège l'accès et forme son personnel à cet effet. 2.1.9.7. APPROBATION Chaque Service de Révocation Isabel opérant sous l autorité d un CA Isabel dispose de l'autorisation écrite de ce CA Isabel. Le Service de Révocation Isabel est Card Stop. 2.1.9.8. CONTACT Le Service de Révocation Isabel est opéré par Card Stop : Card Stop Tel : +32 (0)70/344.344 Fax : +32 (0)70/344.355 2.2. RESPONSABILITÉ Les responsabilités associées aux Certificats Isabel sont exposées à l'article 2.2 Responsabilité de la CP applicable. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 22 de 57

Isabel prend toutes les mesures raisonnables possibles pour être assurée de façon à couvrir toute responsabilité encourue vis-à-vis des Parties en Confiance ou de tiers dans le cadre de la prestation des services visés par cette CPS ou une CP applicable. 2.3. RESPONSABILITÉ FINANCIÈRE 2.3.1. INDEMNISATION PAR LES CLIENTS ISABEL, PARTIES EN CONFIANCE ET LES TITULAIRES Les Clients Isabel, les Parties en Confiance qui font confiance à un Certificat Isabel et/ou les Titulaires de Certificat Isabel doivent indemniser toutes les parties (y compris la CA Isabel, les Autorités d'enregistrement et les Services de Révocation) et/ou Isabel pour tout dommage résultant du nonrespect de leurs obligations. Une Partie en Confiance qui agit de façon non-conforme aux obligations que lui impose la présente CPS ne pourra se retourner valablement contre Isabel en cas de dommage. Isabel n'est pas responsable des conséquences d'un manquement à ses obligations dans le chef d'une Partie en Confiance. 2.3.2. RELATIONS DE FIDUCIE La relation entre Isabel et les Titulaires de Certificat Isabel et entre Isabel et les Parties en Confiance de Certificat Isabel n'est pas un rapport de subordination. Ni les Titulaires de Certificat Isabel ni les Parties en Confiance n'ont le pouvoir d'imposer une quelconque obligation à Isabel, par contrat ou autrement. 2.3.3. PROCESSUS ADMINISTRATIF Les comptes et le rapport annuel d'isabel sont publiés et vérifiés chaque année conformément aux lois belges. 2.4. INTERPRÉTATION ET MISE EN APPLICATION En cas de conflit entre la présente CPS Isabel, une CP Isabel et les contrats liant Clients, Abonnés et Titulaires de Certificat Isabel: 1. Les dispositions d'une CP Isabel primeront sur les dispositions incompatibles ou contradictoires de la CPS Isabel. 2. Les dispositions d'une CP Isabel et de la CPS Isabel primeront sur le contrat et toute nouvelle convention spécifique, sauf si spécifié autrement. 2.4.1. DROIT APPLICABLE Les lois belges régissent l'applicabilité, l'interprétation et la validité de la présente CPS Isabel. Pour les Clients Isabel qui sont domiciliés ou ont leur siège registre en Pologne : même si la loi Belge est applicable, la loi Polonaise sera applicable aussi pour des provisions de droit impératif qui ne peuvent pas être déniées. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 23 de 57

2.4.2. DISSOCIABILITÉ, SUBSISTANCE, FUSION, COMMUNICATIONS Dans la mesure où un tribunal compétent ou un organe similaire juge que des conditions de ce document sont invalides, inapplicables ou illégales, ces conditions seront dissociées du reste du document, qui demeurera en vigueur. Ces conditions seront remplacées par une clause correspondant le plus étroitement possible à l'intention de la clause invalide. Dans le cas exceptionnel où les lois d'un territoire dont dépend un Abonné ou Titulaire de Certificat Isabel étranger n'autorisent pas l'inclusion de dispositions spécifiques prévues par cette CPS, ces dispositions spécifiques seront considérées comme nulles à l'égard de ce seul Abonné ou Titulaire de Certificat Isabel, comme si elles n'avaient pas été incluses, et le premier paragraphe du présent article s'appliquera. Les dispositions appelées par leur nature à subsister après la fin de la validité de cette CPS subsisteront. En cas de fusion, Isabel S.A./N.V. fera tout ce qui est en son possible pour assurer la continuité des opérations de CA dont il est question ici. Toutes les communications officielles dans le cadre de cette CPS seront faites par écrit, et envoyées par courrier recommandé ou télécopie, ou par un message e-mail portant une signature électronique avancée. 2.4.3. PROCÉDURES DE RÉSOLUTION DES LITIGES Toutes les parties prenantes de la PKI Isabel, y compris CA Isabel, RA Isabel, Clients Isabel, Abonnés, Titulaires et Parties en Confiance, s'efforceront de bonne foi de trouver une solution amiable aux revendications, litiges et discussions survenant entre elles. Si un litige ne peut recevoir de solution amiable dans un délai raisonnable, il sera toujours soumis à la décision des seuls tribunaux de Bruxelles. Les Parties peuvent toujours recourir à l'arbitrage Cepani ou SGOA ("Stichting Geschillen Oplossing Automatisering"). 2.5. REDEVANCES Les redevances dues pour les Certificats Isabel et les services connexes, ainsi que leurs modalités, sont fixées dans les accords contractuels conclus entre les Clients/Abonnés/Titulaires de Certificat Isabel et Isabel. Les remboursement ne sont possibles que moyennant convention expresse. 2.6. PUBLICATION ET RÉPERTOIRE 2.6.1. PUBLICATION DES INFORMATIONS DE LA CA ISABEL Les informations de la CA Isabel à publier sont: 1. La CP Isabel. 2. La CPS Isabel. 3. Les Certificats Isabel acceptés par le Titulaire comme contenant des informations correctes. 4. Les Listes des Certificats Isabel révoqués. 5. Le certificat auto-signé de la CA Isabel et les certificats croisés. 6. Les Listes des Certificats des Autorités révoquées (ARL). 7. Les conditions générales d'isabel applicables aux services de certification. 8. Les contrats types pour les services de certification. Ces informations seront publiées en ligne et peuvent aussi l'être sous d'autres formes. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 24 de 57

2.6.2. FRÉQUENCE DE PUBLICATION La publication des Certificats Isabel est garantie dans les 24 heures suivant leur acceptation par leur Titulaire. Normalement, les certificats Isabel sont publiés une demi-heure après leur acceptation. Les listes des Certificats Isabel révoqués (CRL) et les Listes de Révocation des Certificats des Autorités (ARL) sont normalement mises à jour une demi-heure après un changement et republiées au moins une fois toutes les 24 heures. La CPS Isabel fait l'objet d'une gestion des versions comme stipulé dans ce document. La publication de la CPS est détaillée au chapitre 8 - Administration des spécifications de la présente CPS Isabel. 2.6.3. CONTRÔLE D'ACCÈS La CA Isabel veillera à mettre en place des contrôles d'accès adéquats afin d'empêcher la création, la modification ou la suppression illicite de certificats, documents de politique, CRL et autres éléments conservés dans le Répertoire. La présente CPS Isabel est accessible en mode lecture seule par: 1. La CA Isabel 2. Les RA 3. Les Abonnés et Titulaires de Certificat Isabel 4. Les Parties en Confiance de Certificats Isabel La présente CPS Isabel est accessible en mode écriture/mise à jour par l'autorité de Gestion de la Politique, voir article 8 - Administration des spécifications. Les Certificats Isabel, les listes des Certificats Isabel révoqués (CRLs) et les Listes de Révocation des Certificats des Autorités (ARLs) sont accessibles en mode lecture exclusivement par: 1. Les RA 2. Les Abonnés et Titulaires de Certificat Isabel 3. Les Parties en Confiance de Certificats Isabel 4. Le Répertoire Isabel 5. L'Autorité de Gestion de la Politique de certification Isabel Les Certificats Isabel, les listes des Certificats Isabel révoqués et les Listes de Révocation des Autorités sont accessibles en mode écriture/mise à jour par la CA Isabel. 2.6.4. RÉPERTOIRE Les Certificats Isabel et les listes des Certificats Isabel révoqués sont publiés dans un annuaire Isabel X.500. La gestion de l'isabel X.500 est la tâche d'isabel S.A./N.V. et non de la CA Isabel. 2.7. AUDIT DE CONFORMITÉ Isabel effectuera des audits de toutes ses procédures et vérifiera leur conformité à la présente CPS Isabel. Les audits peuvent également porter sur la CA Isabel et les Autorités d'enregistrement. 2.7.1. FRÉQUENCE DES AUDITS DE CONFORMITÉ DE L'ENTITÉ La fréquence des audits est déterminée par : 1. Les politiques internes d'isabel. 2. Le cadre juridique belge applicable. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 25 de 57

3. Les autres parties mandatées pour exécuter un audit en raison de leur relation avec Isabel. 2.7.2. IDENTITÉ/QUALIFICATION DES AUDITEURS Le ou les auditeurs choisis seront des tiers indépendants, experts dans le domaine des infrastructures à Clé Publique. Le ou les auditeurs seront qualifiés conformément aux pratiques commerciales professionnelles et à la loi. Le ou les auditeurs doivent mener l'audit de la CA ou de la sécurité des systèmes informatiques en tant que tâche centrale; ils doivent posséder une connaissance approfondie des politiques PKI (CPS et CP). 2.7.3. RELATION ENTRE L'AUDITEUR ET LA PARTIE AUDITÉE Les auditeurs doivent être indépendants d'isabel et de la CA Isabel. Les auditeurs entretiendront avec Isabel un lien contractuel pour la réalisation de l'audit; sur le plan organisationnel, ils seront suffisamment séparés de la CA ou RA Isabel audité ou de tout autre élément de la PKI Isabel pour fournir une évaluation impartiale et indépendante. 2.7.4. OBJETS DE L'AUDIT Les audits porteront sur: 1. L'infrastructure de la CA Isabel. 2. La gestion de la CA Isabel. 3. Les politiques et procédures de gestion des clés de la CA Isabel. 4. Les opérations de la CA Isabel. 5. Les opérations de la RA Isabel. 6. La conformité aux politiques, CP et CPS Isabel. 7. La conformité aux réglementations belges. 2.7.5. MESURES À PRENDRE EN CAS DE DÉFICIENCE Les rapports d'audit seront évalués par Isabel. Toutes les divergences par rapport à la CP applicable et la CPS présente ou les autres irrégularités seront triées par priorité et feront l'objet de plans correctifs. Un audit ultérieur pourra être mené pour évaluer les corrections requises. 2.7.6. COMMUNICATION DES RÉSULTATS Les conclusions des audits seront exposées dans un rapport adressé au seul Isabel Security Manager. La teneur du rapport d'audit ne sera pas rendue publique, sauf si la législation nationale l'exige. Les données d'audit doivent être considérées comme strictement confidentielles dans le cadre de cette CPS. 2.8. CONFIDENTIALITÉ 2.8.1. TYPES D'INFORMATIONS À TENIR CONFIDENTIELLES Toutes les informations relatives à la demande, l'émission, l'acceptation et la révocation d'un Certificat Isabel sont considérées comme confidentielles et à accès restreint, sauf si elles figurent à l'article 2.8.2 Types d'informations non considérées comme confidentielles. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 26 de 57

Ces informations peuvent faire partie d'un accord bilatéral entre Isabel et un tiers; elles peuvent avoir été révélées dans le cadre d'un accord de non-divulgation. Les informations suivantes sont limitées aux Abonnés du Certificat Isabel, aux Titulaires et aux Parties en Confiance: 1. Les Certificats Isabel et les informations qu'ils contiennent. 2. Les listes des Certificats Isabel révoqués (CRL) 3. Les certificats auto-signés et les certificats croisés de la CA Isabel. 4. Les Listes des Certificats des Autorités Révoquées (ARL). 2.8.2. TYPES D'INFORMATIONS NON CONSIDÉRÉES COMME CONFIDENTIELLES Les informations suivantes sont du domaine public et ne font donc l'objet d'aucune obligation de confidentialité: 1. La présente CPS Isabel. 2. La CP Isabel. La présente CPS Isabel n'étant pas classée comme document confidentiel, elle ne contient pas d'informations confidentielles. 2.8.3. DIVULGATION DES INFORMATIONS DE RÉVOCATION DES CERTIFICATS Les motifs de révocation d'un certificat sont formalisés dans la norme ITU-T X.509, sous le champ d'extension Reason Code de la CRL. Le Titulaire de Certificat Isabel ou la personne habilitée par le Client Isabel qui a demandé la révocation du certificat du Titulaire sera avertie de la révocation du Certificat Isabel. Aucune information de révocation autre que celle figurant dans le champ du Reason Code ne doit être communiquée aux Parties en Confiance. Les détails relatifs au champ d'extension Reason Code de la CRL figurent à l'article 7.2.2 - CRL/ARL et extensions des entrées CRL/ARL de la présente CPS Isabel. 2.8.4. COMMUNICATION AUX AGENTS DE LA FONCTION PUBLIQUE La CA Isabel et les RA Isabel sont autorisées à divulguer des informations confidentielles en vertu d'un ordre dûment signé par un juge ou un responsable de la fonction publique dans le cadre d'une enquête criminelle ou si la loi l'exige pour une autre raison. 2.8.5. COMMUNICATION PRÉALABLE AU CIVIL Aucune stipulation. 2.8.6. DIVULGATION À LA DEMANDE DE L'ABONNÉ/TITULAIRE Les CA Isabel et RA sont autorisées à divulguer des informations confidentielles relatives à un Abonné/Titulaire de Certificat Isabel à la demande ou avec l'accord de l'abonné/titulaire de Certificat Isabel. 2.8.7. AUTRES CIRCONSTANCES DE DIVULGATION Aucune stipulation. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 27 de 57

2.9. DROITS DE PROPRIÉTÉ INTELLECTUELLE Toutes les informations contenues dans ce document sont soumises aux droits de propriété intellectuelle d'isabel. Il en va de même de toute information publiée par Isabel, dans un cadre public ou privé. Ces droits survivent à la fin de toute relation contractuelle pouvant exister avec Isabel. Les Certificats et moyens d'accès ou de signature, y compris la Clé Publique, sont la propriété exclusive d'isabel. Toute utilisation des certificats et des moyens d'accès ou de signature sortant des fonctionnalités convenues du système Isabel doit être formulée dans un contrat avec Isabel. Lorsqu'un certificat a expiré ou a été révoqué, le Titulaire, Abonné ou Client ne peut, après l'expiration ou la révocation, utiliser les données relatives à la signature correspondante pour signer ou faire certifier ces données par un autre prestataire de services de certification. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 28 de 57

3. IDENTIFICATION ET AUTHENTIFICATION 3.1. ENREGISTREMENT INITIAL Cette section décrit les dispositions d'identification et d'authentification prévues dans le cadre de l'enregistrement initial d'un Titulaire de Certificat Isabel. La présente CPS distingue 3 types de Titulaires de Certificat Isabel: 1. Titulaire Personne Physique 2. Titulaire Fonction 3. Titulaire Application Une personne physique représente un Titulaire de Certificat Isabel: 1. Dans le cas d'un Titulaire Personne Physique, le Titulaire est représenté par la personne physique identifiée dans le certificat. 2. Dans le cas d'un Titulaire Fonction, le Titulaire est représenté par une personne physique habilitée à représenter la fonction identifiée dans le certificat (représentant de fonction). 3. Dans le cas d'un Titulaire Application, le Titulaire est représenté par une ou plusieurs personnes habilitées à représenter l'application identifiée dans le certificat. 3.1.1. TYPES DE NOMS La CA Isabel doit utiliser le format X.500 Distinguished Name (noms distinctifs) dans les champs Subject (Nom du Titulaire) et Issuer (Nom de l'emetteur) du Certificat Isabel. 3.1.2. NÉCESSITÉ DE NOMS SIGNIFICATIFS La RA Isabel doit garantir le caractère significatif des informations de Nom Distinctif introduites dans le champ 'Titulaire' d'un Certificat Isabel, à l'intérieur de l'espace X.500 attribué à Isabel. Le champ Common Name qui fait partie du Distinguished Name X.500 du Titulaire de Certificat Isabel est représenté par: 1. Le nom et le prénom du Titulaire pour les Titulaires Personnes Physiques 2. Le nom de la fonction pour les Titulaires Fonction 3. Le nom de l'application pour les Titulaires Application. Si une organisation est mentionnée, le nom doit être conforme à la dénomination officielle "legal name" de l'organisation, déposé conformément aux lois et réglementations en vigueur. 3.1.3. RÈGLES D'INTERPRÉTATION DES DIFFÉRENTES FORMES DE NOM Comme il est expliqué à l'article 3.1.1 de la présente CPS Isabel, seuls les noms de la forme Distinguished Name X.500 seront utilisés. Le nom distinctif d'un Titulaire de Certificat Isabel doit posséder les attributs suivants: CN= 1. nom et prénom du Titulaire (Titulaire Personne Physique) ou 2. nom de la fonction (Titulaire Fonction) ou 3. Nom de l'application (Titulaire Application) O= nom de l'organisation du Titulaire L=ISABEL C=BE Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 29 de 57

Les attributs OU et GN peuvent aussi être présents. 3.1.4. UNICITÉ DES NOMS La RA Isabel doit garantir l'unicité du Distinguished Names dans le champ Subject d'un Certificat Isabel, à l'intérieur du Namespace X.500 attribué à Isabel. L'unicité des noms des Titulaires de Certificat Isabel est obtenue grâce aux outils utilisés par les agents des RA pour éviter l'encodage d'un même nom/prénom ou nom de fonction pour deux Titulaires de Certificat Isabel différents dans la même organisation. Si un Titulaire de Certificat Isabel porte le même nom/prénom ou nom de fonction qu'un autre Titulaire de Certificat Isabel dans la même organisation, il appartient à l'agent de la RA Isabel d'ajouter des lettres ou des chiffres à la fin du nom/prénom ou du nom de fonction du Titulaire de Certificat Isabel lors de l'encodage des informations du Titulaire de Certificat Isabel. 3.1.5. PROCÉDURE DE RÉSOLUTION DES CONFLITS DE NOMS Les CA Isabel sont habilitées à résoudre tout litige relatif aux Noms Distinctifs utilisés dans le champ Subject des Certificats Isabel à l'intérieur du ou des Namespaces X.500 attribués à Isabel. 3.1.6. RECONNAISSANCE, AUTHENTIFICATION ET RÔLE DES MARQUES DE COMMERCE Les RA ne peuvent pas vérifier ni garantir que les marques de commerce ou de service et toutes les autres marques protégées mentionnées dans les Certificats Isabel sont utilisables légitimement sans enfreindre un droit de propriété intellectuelle. Ni la RA ni aucune CA de la PKI Isabel ne sont tenues de mener l'enquête quant à une possible infraction en la matière. Néanmoins, si une RA soupçonne une quelconque violation d'un droit de propriété intellectuelle, elle a le droit de suspendre et/ou de mettre fin à la procédure d'enregistrement et de vérifier sommairement si un droit de propriété intellectuelle est en cause. La RA Isabel a le droit de demander la production de tous les documents légaux prouvant la possession ou l'utilisation légitime du droit en question. 3.1.7. MÉTHODE DE PREUVE DE LA POSSESSION DE LA CLÉ PRIVÉE Si la paire de clés a été générée par le Titulaire de Certificat Isabel, la CA Isabel doit obtenir la preuve que le Titulaire de Certificat Isabel possède la Clé Privée liée à la Clé Publique à certifier. Cette exigence est remplie par la signature de la Demande de Certificat Isabel à l'aide de la Clé Privée générée par le Titulaire et par la vérification de cette signature par la CA Isabel à l'aide de la Clé Publique du Titulaire à certifier, Clé Publique liée à la Clé Privée utilisée pour signer la Demande de Certificat Isabel. 3.1.8. AUTHENTIFICATION DE L'IDENTITÉ DE L'ORGANISATION La RA Isabel est tenue d'authentifier l'identité d'un candidat Client avant que les Abonnés de ce Client Isabel soient autorisés à demander des Certificats Isabel. L'authentification de l'identité d'un candidat Client est réalisée dans le cadre du processus d'abonnement qui régit la signature d'un contrat de services/produits Isabel entre le Client Isabel et Isabel. Les pièces d'authentification suivantes doivent être soumises à la RA Isabel par le candidat Client dans le cadre du processus d'abonnement: Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 30 de 57

1. Un contrat de services/produits Isabel dûment complété, spécifiant les droits et obligations liés aux services de certification, signé par le représentant légal (ou un délégué autorisé) du candidat Client et contresigné par un représentant d'isabel. 2. Une copie signée de la carte d'identité, du passeport ou d'un document officiel équivalent du représentant légal du candidat Client (et du délégué autorisé le cas échéant). 3. Une copie des statuts applicables du candidat Client. 4. Un document officiel prouvant que le représentant légal et, le cas échéant, le délégué autorisé ont le pouvoir de signer (p.ex. extrait du Moniteur Belge ou procès-verbal d'une réunion du Conseil d'administration). Si le processus d'abonnement est lancé par un mandataire via une procuration, les documents suivants doivent également être produits avec les pièces ci-dessus: 1. Une procuration signée par un représentant légal ou autorisé par décision d'un organe de direction du candidat Client permettant au mandataire de représenter le candidat Client à ce stade. 2. Une copie signée de la carte d'identité, du passeport ou d'un document officiel équivalent du mandataire. 3. Une copie signée de la carte d'identité d'un représentant légal du candidat Client. Une fois le contrat de services/produits Isabel signé par le candidat Client et Isabel, le candidat Client devient un Client Isabel, également appelé Abonné Isabel. 3.1.9. AUTHENTIFICATION DE L'IDENTITÉ INDIVIDUELLE L'authentification de l'identité individuelle est réalisée dans le cadre du processus de certification Isabel. Le flux de certification Isabel compte deux stades, auxquels ont lieu l'identification et l'authentification de l'abonné/titulaire de Certificat Isabel ou de leur mandataire autorisé. Les flux de certification Isabel sont résumés aux articles 4.1 Soumission d'une demande de Certificat, 4.2 Emission de Certificat et 4.3 Acceptation du Certificat du présent document. 3.1.9.1. PREMIER STADE DE L'AUTHENTIFICATION A ce stade, l'abonné du Certificat Isabel demande un Certificat Isabel à une RA Isabel. L'Abonné du Certificat Isabel est authentifié par la RA Isabel sur la base d'une comparution en personne ou par tout autre moyen d'identification valable. L'Abonné du Certificat Isabel doit soumettre à la RA Isabel les pièces d'authentification suivantes: 1. Une Soumission de demande de Certificat Isabel dûment complétée, signée par l'abonné du Certificat Isabel et par la personne physique qui représente le Titulaire du Certificat Isabel: a. Dans le cas d'un Titulaire Personne Physique, le Titulaire est représenté par la personne physique identifiée dans le certificat. b. Dans le cas d'un Titulaire Fonction, le Titulaire est représenté par une personne physique habilitée à représenter la fonction identifiée dans le certificat (représentant de fonction). c. Dans le cas d'un Titulaire Application, le Titulaire est représenté par une personne physique habilitée à représenter l'application identifiée dans le certificat. d. Tous deux adhèrent à toutes les procédures, déclarations et politiques liées aux Certificats Isabel. 2. Une copie signée et présentation de la carte d'identité, du passeport ou du document officiel équivalent original de l'abonné du Certificat Isabel et de la personne physique représentant le Titulaire de Certificat Isabel. 3. Un document officiel établissant que le Titulaire qui demande un Certificat Isabel est professionnellement lié ou fait partie d'un Client Isabel particulier (p.ex. extrait du Registre de Commerce ou tout autre document officiel équivalent). Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 31 de 57

De plus, pour les Abonnés/Titulaires de Certificat Isabel étrangers, une authentification préliminaire de ces documents par un notaire ou un autre agent d'autorité comparable dans la juridiction de l'abonné/titulaire, peut être requise, de même que les traductions officielles (en anglais) des documents rédigés dans la langue locale. Dans les cas où le processus de certification est entamé par un mandataire détenant une procuration, les documents suivants sont également requis: 1. Procuration signée par le représentant légal du Client Isabel, autorisant le mandataire à représenter le Client Isabel à ce stade. 2. Une copie signée et présentation de la carte d'identité, du passeport ou du document officiel équivalent original du mandataire. 3.1.9.2. DEUXIÈME STADE DE L'AUTHENTIFICATION Au deuxième stade de l'authentification, la personne physique qui représente le Titulaire de Certificat Isabel ou son mandataire est authentifiée sur la base d'une comparution en personne ou par tout autre moyen d'identification valable. La personne physique qui représente le Titulaire de Certificat Isabel ou son mandataire autorisé doit soumettre à la RA Isabel les pièces d'authentification suivantes: copie signée et présentation de la carte d'identité, du passeport ou du document officiel équivalent original de la personne physique représentant le Titulaire de Certificat Isabel. Si un mandataire agit au nom de la personne physique qui représente le Titulaire, les pièces suivantes sont également requises: 1. Procuration signée par la personne physique représentant le Titulaire de Certificat Isabel, autorisant le mandataire à représenter cette personne. 2. Une copie signée et présentation de la carte d'identité, du passeport ou du document officiel équivalent original du mandataire. 3.2. RENOUVELLEMENT Cette section décrit les mesures d'identification et d'authentification dans le cadre du renouvellement d'un Certificat Isabel pour un Titulaire déjà enregistré. 3.2.1. RENOUVELLEMENT AUTOMATIQUE DU CERTIFICAT ISABEL Un Certificat Isabel non révoqué est renouvelé automatiquement par la CA Isabel émettrice à l'approche de la fin de la validité du certificat. La même Clé Publique est recertifiée dans le cadre du processus de Renouvellement de Certificat Isabel. La CA Isabel authentifie ses propres demandes de renouvellement de certificat. 3.2.2. RENOUVELLEMENT D'UNE PAIRE DE CLÉS Un Titulaire de Certificat Isabel dont la paire de clés a été générée localement par un outil Isabel sur le poste de travail du Titulaire ou au niveau central par une CA Isabel a la possibilité de renouveler sa paire de clés localement à l'aide d'un outil Isabel à condition qu'il possède une Isabel Secure Signing Card opérationnelle. 3.2.3. RENOUVELLEMENT D'UNE ISABEL SECURE SIGNING CARD Si le Titulaire de Certificat Isabel se trouve dans une situation où il n'est plus en mesure d'utiliser son Isabel Secure Signing Card et a besoin d'une nouvelle carte à puce, l'abonné du Certificat Isabel doit envoyer une commande dûment complétée et signée à la RA Isabel, par télécopie ou par la poste. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 32 de 57

La RA Isabel authentifie le formulaire de commande, révoque le certificat associé à l'isabel Secure Signing Card à renouveler et relance le flux de certification pour le Titulaire. 3.3. RÉCERTIFICATION APRÈS RÉVOCATION Le Titulaire de Certificat Isabel dont le certificat a été révoqué et qui souhaite un nouveau Certificat Isabel doit repasser par tout le processus de certification Isabel et être authentifié conformément aux dispositions de l'article 3.1.9 Authentification de l'identité individuelle. 3.4. DEMANDE DE RÉVOCATION Cet article décrit les mesures d'identification et d'authentification dans le cadre de la révocation d'un Certificat Isabel. Isabel offre à ces clients deux façons pour demander la révocation de son Certificat Isabel : 1. un service de révocation opéré par les RA Isabel, 2. un service de révocation opéré par un Service de Révocation Isabel. 3.4.1. AUTHENTIFICATION PAR LA RA ISABEL Le Titulaire ou le représentant autorisé du Client Isabel du Titulaire doit produire les pièces d'authentification suivantes à la RA Isabel en vue de la révocation du Certificat Isabel du Titulaire: formulaire de révocation de Certificat Isabel dûment complété, sur papier, envoyé par télécopie ou par la poste, avec la signature manuscrite du Titulaire de Certificat Isabel ou du représentant autorisé du Client Isabel. La RA Isabel authentifie la demande de révocation envoyée par le Titulaire ou le représentant autorisé sur la base de la signature manuscrite apposée sur la demande de révocation. Lorsque la demande de révocation est authentifiée par un agent de la RA Isabel, l'agent de la RA Isabel utilise un outil Isabel pour générer une demande de révocation électronique, la signer avec sa Clé Privée et l'envoyer à la CA Isabel concernée. 3.4.2. AUTHENTIFICATION PAR UN SERVICE DE RÉVOCATION ISABEL Isabel a un Service de Révocation qui est disponible aux clients 24 heures sur 24, 7 jours sur 7. Ce service est opéré par Card Stop. Le service garanti que la révocation sera initiée endéans l heure qui suit la demande du client. Le Service de Révocation n est pas disponible aux clients de la communauté WISE. Le Service de Révocation consiste de deux phases : 1. Une phase de révocation 2. Une phase de confirmation 3.4.2.1. LA PHASE DE RÉVOCATION : AUTHENTIFICATION ET IDENTIFICATION Pendant cette phase, le Service de Révocation: 1. fait l authentification de l appelant, 2. fait l identification du/des certificat(s) qui doivent être révoqué(s), et 3. exécute la révocation en cas de identification et authentification correcte, ou 4. n exécute pas la révocation en cas où il y a de l identification et/ou de l authentification insuffisantes. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 33 de 57

Le Service de Révocation identifiera les certificats qui doivent être révoqués, basé sur un nombre de questions d identification posées à l appelant. L information suivante est demandée : 1. CardID de la Secure Signing Card sur laquelle se trouve la Clé Privée de la Clé Publique dont le certificat doit être révoqué, et 2. UserID du Titulaire du Certificat dont les certificats doivent être révoqués, et 3. SubscriptionID de l abonnement de l utilisateur, et le nom du Titulaire du Certificat, et 4. nom de l abonnement auquel le Titulaire du Certificat appartient. La révocation est faite sur base du «meilleur effort», ceci dans le cas où l appelant fournit suffisamment d information pour être authentifié et pour identifier le(s) certificat(s) à révoquer. 3.4.2.2. LA PHASE DE CONFIRMATION Le jour ouvrable après le jour de l exécution de la révocation, une procédure de confirmation est démarrée. Le responsable du certificat est contacté pour confirmer la révocation par fax. Le fax envoyé par le responsable du certificat est vérifié; une vérification positive finalise la révocation, et si nécessaire déclenche l envoie d une nouvelle Isabel Secure Signing Card. En cas où la révocation n est pas confirmée par le responsable du certificat, p.e. le certificat révoqué était révoqué illégalement, la réactivation du certificat peut être demandée. 3.4.2.3. REVOCATIONS INEXÉCUTÉES En cas où la révocation ne pourrait pas être exécutée pour n importe quelle raison, une investigation aura lieu le jour ouvrable suivant la révocation. 3.4.3. AUTHENTIFICATION PAR LE CA ISABEL La CA Isabel authentifie une demande de révocation sur la base d'une signature électronique générée avec la Clé Privée de la RA Isabel ou du Service de Révocation et vérifiée à l'aide du certificat de l'agent de la RA Isabel ou du Service de Révocation. Quand la révocation est authentifiée par une CA Isabel, la CA Isabel révoque le Certificat Isabel et publie le Certificat Isabel révoqué dans le répertoire Isabel, avec une Liste des Certificats Révoqués actualisée. La Liste des Certificats Révoqués (CRL) est signée par la CA Isabel pour garantir son intégrité. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 34 de 57

4. IMPÉRATIFS OPÉRATIONNELS La présente CPS Isabel définit 3 flux de certification qui couvrent la demande, l'émission et l'acceptation des Certificats Isabel: 1. Le Flux de certification centralisé, où la CA Isabel centralise la génération de la paire de clés du Titulaire Personne Physique ou Fonction. 2. Le Flux de certification décentralisé, où la paire de clés du Titulaire Personne Physique ou Fonction est générée par la personne physique représentant le Titulaire, sur son poste de travail. 3. Le Flux de certification manuel, où la paire de clés du Titulaire Personne Physique, Fonction ou Application est générée par la personne physique qui représente le Titulaire et chargée dans un TRD (Tamper Resistant Device) Isabel ou un module de sécurité matériel (HSM) d'un tiers. Les 3 premiers sections du présent chapitre décrivent la demande, l'émission et l'acceptation de Certificats Isabel dans le cadre des flux de certification ci-dessus. La quatrième section décrit le processus de révocation de Certificat Isabel. Les 4 dernières sections de ce chapitre donnent un aperçu général des pratiques liées : 1. Aux procédures d'audit de sécurité 2. A l'archivage des documents 3. Au changement de clé et 4. A la restauration après compromission ou sinistre Les documents [6] à [9] comportent davantage de détails à propos de ces contrôles. Ces documents ne sont pas généralement accessibles au public mais peuvent être consultés sur demande motivée avec l'accord de l'isabel Security Manager. Les informations et pratiques détaillées ne figurent pas dans cette CPS Isabel, qui n'est pas soumise à des restrictions de confidentialité. 4.1. SOUMISSION D'UNE DEMANDE DE CERTIFICAT Dans le processus de Soumission d'une demande de Certificat Isabel, le Titulaire de Certificat Isabel respectera les conditions et obligations de la CP applicable et de tout contrat applicable. Durant la Soumission de la demande, le processus d'identification et d'authentification du chapitre 3 ci-dessus sera appliqué. La Soumission d'une demande de Certificat Isabel peut inclure ou non la création d'une paire de clés par la CA Isabel ou d'un agent Isabel, et peut inclure ou non la délivrance d'une Isabel Secure Signing Card par la CA Isabel. La Soumission d'une demande de Certificat Isabel entraîne l'émission d'un Certificat Isabel ainsi que la publication du Certificat Isabel dans le répertoire Isabel. Le processus de soumission de demande de Certificat Isabel ne dépend pas du flux de certification choisi. La soumission d'une demande de Certificat Isabel peut être entamée dans 2 contextes différents: 4.1.1. SOUMISSION DE DEMANDE DE CERTIFICAT ISABEL POUR UN NOUVEAU TITULAIRE L'Abonné du Certificat Isabel demande un Certificat Isabel pour un nouveau Titulaire Personne Physique, Fonction ou Application. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 35 de 57

Si l'abonné Isabel appartient à un Client Isabel candidat, un représentant autorisé du Client Isabel candidat doit produire à la RA Isabel les pièces d'authentification décrites à l'article 3.1.8 Authentification de l'identité de l'organisation de la présente CPS Isabel, après identification et authentification du représentant autorisé. L'Abonné du Certificat Isabel qui demande un Certificat Isabel au nom d'un nouveau Titulaire Personne Physique, Fonction ou Application doit présenter à la RA Isabel les pièces d'authentification décrites à l'article 3.1.9.1 Premier stade de l'authentification de la présente CPS Isabel, après identification et authentification par comparution en personne ou tout autre moyen d'identification valable. 4.1.2. SOUMISSION DE DEMANDE DE CERTIFICAT ISABEL POUR UN TITULAIRE EXISTANT Un Abonné de Certificat Isabel demande un Certificat Isabel au nom d'un Titulaire Personne Physique, Fonction ou Application existant. L'Abonné du Certificat Isabel doit produire à la RA Isabel les pièces d'authentification décrites à l'article 3.2.3 Renouvellement d'une Isabel Secure Signing Card de la présente CPS Isabel. 4.2. EMISSION DE CERTIFICAT L'émission d'un Certificat Isabel dépend du flux de certification choisi. 4.2.1. FLUX DE CERTIFICATION CENTRALISÉ Le Flux de certification centralisé s'applique aux Titulaires Personnes Physiques et Fonction. 1. Après vérification des documents de demande décrits à l article 4.1 Soumission d'une demande de Certificat un agent de la RA Isabel lance le flux de certification centralisé pour le Titulaire. 2. Le système de la CA Isabel procède à la génération centralisée de la paire de clés du Titulaire, du Certificat Isabel du Titulaire et du code PIN du Titulaire; il personnalise la Secure Signing Card Isabel en chargeant la paire de clés du Titulaire, son code PIN et la Clé Publique de la CA Isabel dans la puce de la Secure Signing Card Isabel. 3. La CA Isabel envoie l'enveloppe de la Secure Signing Card Isabel à la RA Isabel, la RA se chargeant de sa distribution au Titulaire identifié. 4. La CA Isabel envoie le code PIN initial du Titulaire dans une enveloppe sécurisée à l'adresse professionnelle de la personne physique qui représente le Titulaire de Certificat Isabel. Cette enveloppe PIN invite aussi la personne physique qui représente le Titulaire à retirer son Secure Signing Card Isabel auprès de la RA Isabel. 5. La personne physique qui représente le Titulaire de Certificat Isabel ou son mandataire retire son Isabel Secure Signing Card auprès de la RA Isabel. Le Titulaire de Certificat Isabel ou son mandataire doit remettre à l'agent de la RA Isabel les pièces d'authentification décrites à l'article 3.1.9.2 Deuxième stade de l'authentification de la présente CPS Isabel. 4.2.2. FLUX DE CERTIFICATION DÉCENTRALISÉ Le Flux de certification décentralisé s'applique aux Titulaires Personnes Physiques ou Fonction. Avant que le Flux de certification décentralisé ne démarre, la Secure Signing Card Isabel vierge aura été remise au Titulaire de Certificat Isabel. 1. Après vérification des documents de demande décrits à l'article 4.1 Soumission d'une demande de Certificat, l'agent de la RA Isabel lance le flux de certification décentralisé pour le Titulaire. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 36 de 57

2. La personne physique qui représente le Titulaire utilise un outil Isabel pour générer sa paire de clés sur son poste de travail. L'outil Isabel charge la paire de clés du Titulaire dans la Secure Signing Card Isabel du Titulaire. 3. Le Titulaire de Certificat Isabel utilise un outil Isabel pour transmettre en toute sécurité la Clé Publique du Titulaire au système de la CA Isabel et retirer en toute sécurité la Clé Publique de la CA Isabel du système de la CA Isabel. L'outil Isabel charge la Clé Publique de la CA Isabel dans la Secure Signing Card Isabel du Titulaire. 4. La RA Isabel invite la personne physique qui représente le Titulaire de Certificat Isabel à retirer le document contenant 2 codes d'activation secrets. La personne physique qui représente le Titulaire de certificat ou son mandataire doit remettre à la RA Isabel les pièces d'authentification décrites à l'article 3.1.9.2 Deuxième stade de l'authentification de la présente CPS Isabel. 5. Le Titulaire de Certificat Isabel utilise un outil Isabel pour authentifier à l'aide des 2 codes d'activation secrets et confirmer sa demande au système de la CA Isabel. Après vérification, le système de la CA Isabel génère le Certificat Isabel du Titulaire et le publie dans le Directory Isabel. 4.2.3. FLUX DE CERTIFICATION MANUEL Le Flux de certification manuel s'applique aux Titulaires Personnes Physiques, Fonction et Application. 1. Après vérification des documents de demande décrits à l'article 4.1 Soumission d'une demande de Certificat, l'agent de la RA Isabel lance le flux de certification manuel pour le Titulaire. 2. La personne physique qui représente le Titulaire utilise un outil Isabel ou de tiers pour générer la paire de clés du Titulaire, obtient en toute sécurité la Clé Publique de la CA Isabel, charge la paire de clés du Titulaire et la Clé Publique de la CA Isabel dans un TRD (Tamper Resistant Device) Isabel ou un module de sécurité matériel d'une tiers et crée une disquette contenant la demande de certificat pour la Clé Publique du Titulaire. 3. La personne physique qui représente le Titulaire apporte la disquette contenant la demande de certificat dans les locaux de la CA Isabel. Après authentification par comparution en personne de la personne physique représentant le Titulaire par l'agent de la RA également présent dans les locaux de la CA Isabel, la CA Isabel génère le Certificat Isabel du Titulaire et le publie dans le Directory Isabel. La personne physique qui représente le Titulaire de certificat ou son mandataire doit remettre à la CA Isabel les pièces d'authentification décrites à l'article 3.1.9.2 Deuxième stade de l'authentification de la présente CPS Isabel. 4.3. ACCEPTATION DU CERTIFICAT L'acceptation du Certificat Isabel par le Titulaire dépend du flux de certification choisi; voir ci-dessous. Chaque flux garantit que le Titulaire recevra la Clé Publique de la CA Isabel et le certificat. 4.3.1. FLUX DE CERTIFICATION CENTRALISÉ Dans le Flux de certification centralisé, l'acceptation du Certificat Isabel par le Titulaire de Certificat Isabel est signifiée par notification explicite de l'acceptation du Titulaire de Certificat Isabel: La personne physique qui représente le Titulaire de Certificat Isabel accède au système de la CA Isabel et s authentifie à l aide d une signature calculée sur base de sa Clé Privée, stockée dans sa Secure Signing Card Isabel. Le système de la CA Isabel affiche le Certificat Isabel à l'intention de son Titulaire et invite celui-ci à accepter son Certificat Isabel. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 37 de 57

Lorsque le Titulaire de Certificat Isabel a accepté son Certificat Isabel, le certificat du Titulaire est transmis à son poste de travail, et la CA Isabel publie le Certificat Isabel du Titulaire dans le Directory Isabel. 4.3.2. FLUX DE CERTIFICATION DÉCENTRALISÉ Lorsque la CA Isabel a reçu confirmation de la demande de certificat du Titulaire, authentifiée par les 2 codes d'activation secrets, elle publie le Certificat Isabel du Titulaire dans le Directory Isabel, et le Titulaire du Certificat Isabel télécharge son Certificat Isabel de le Directory Isabel à l'aide d'un outil Isabel. Dans le Flux de certification décentralisé, l'acceptation du Certificat Isabel est signifiée par l'utilisation du certificat par le Titulaire ou par l'absence de remarques du Titulaire après le 10 ème jour suivant la publication dans le Directory Isabel. 4.3.3. FLUX DE CERTIFICATION MANUEL Dans le Flux de certification manuel, l'acceptation du Certificat Isabel par le Titulaire de Certificat Isabel est fait au moment de la certification où le représentant autorisé signe un document qui contient l impression du contenu du certificat du Titulaire. Après signature, le Certificat sera publié dans le Directory Isabel. 4.4. RÉVOCATION DE CERTIFICAT La révocation d'un Certificat Isabel est définitive et irréversible. 4.4.1. CIRCONSTANCES DE LA RÉVOCATION La révocation du certificat d'un Titulaire Personne Physique, Fonction ou Application est toujours subordonnée à la décision finale d'une RA Isabel ou d un Service de Révocation. Le certificat d'un Titulaire Isabel doit être révoqué quand: 1. La Clé Privée du Titulaire est compromise ou sa confidentialité n'est plus garantie. 2. L'information certifiée n'est pas applicable ou valide. 3. La Clé Privée du Titulaire a été remplacée. 4. Le Titulaire a cessé de faire partie du Client Isabel ou le Client Isabel a cessé ses activités. 5. Le Certificat Isabel a été délivré sur la base d'informations incorrectes ou fausses. 6. Autres raisons: p.ex. le Titulaire a invalidé sa Secure Signing Card Isabel en introduisant successivement plus de 5 codes PIN erronés. 4.4.2. QUI PEUT DEMANDER LA RÉVOCATION? La révocation du certificat d'un Titulaire Personne Physique, Fonction ou Application peut être demandée par: 1. La personne physique identifiée dans le certificat d'un Titulaire Personne Physique. 2. La personne physique qui représente un Titulaire Fonction ou Application. 3. Toute personne physique habilitée par un Client Isabel à demander la révocation des certificats du Titulaire. 4. Toute RA Isabel. 5. La CA Isabel qui a émis le certificat. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 38 de 57

4.4.3. PROCÉDURE DE DEMANDE DE RÉVOCATION La procédure de demande de révocation est décrite aux articles 3.4.1 - Authentification par la RA Isabel, 3.4.2 - Authentification par un Service de Révocation Isabel et 3.4.3 - Authentification par le CA Isabel du présent document. 4.4.4. DEMANDE DE RÉVOCATION: PÉRIODE DE GRÂCE Aucune période de grâce n'est autorisée. 4.4.5. CIRCONSTANCES DE LA SUSPENSION La PKI Isabel ne supporte pas la suspension. 4.4.6. FRÉQUENCE DE LA PUBLICATION DE LA CRL La fréquence de la publication de la CRL est définie à l'article 2.1.1.12 - Publication de l'information relative aux revocations de Certificats Isabel dans un répertoire Isabel. 4.5. PROCÉDURES D'AUDIT DE SÉCURITÉ 4.5.1. TYPES D'ÉVÉNEMENTS ENREGISTRÉS La CA Isabel et les RA Isabel consignent dans des journaux d'audit tous les événements relatifs à un Certificat Isabel. Ces événements sont conservés pendant une période adéquate, en particulier pour servir de preuve de la certification ou de la révocation dans les actions en justice. Voir aussi sous [2] les réglementations nationales belges en la matière. Les événements significatifs (qui concernent l environnement de la CA Isabel, la gestion des clés et la gestion des certificats) sont également consignés, en particulier: 1. Tous les événements concernant le cycle de vie des clés de la CA. 2. Tous les événements concernant le cycle de vie des Certificats Isabel. 3. Tous les événements concernant la préparation des outils sécurisée de création de signature Isabel. 4. Tous les rapports et demandes concernant la révocation et ses suites. La CA Isabel consigne tous les événements, y compris les demandes de certificat, recertification et renouvellement de certificats, en particulier: 1. Le ou les documents présentés par l'abonné du Certificat Isabel à la RA Isabel ou à la CA Isabel. 2. L'endroit de stockage des copies des documents d'identification, y compris la Soumission de la demande de Certificat Isabel signée. 3. Tout choix spécifique dans la soumission de la demande de l'abonné. 4. Identité du Client Isabel qui accepte la soumission de la demande de Certificat Isabel. 5. Méthode utilisée pour valider les documents d'identification, le cas échéant. 6. Nom de la CA destinataire et/ou de la RA émettrice, le cas échéant. Les détails des événements et données à consigner sont documentés sous [6]. 4.5.2. FRÉQUENCE DES JOURNAUX Le personnel autorisé de la CA Isabel examine régulièrement les journaux d'audit, au moins une fois par semaine. Les détails de la fréquence de l'examen des journaux d'audit sont documentés sous [6]. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 39 de 57

4.5.3. DÉLAI DE CONSERVATION DES JOURNAUX D'AUDIT Le délai de conservation des journaux d'audit est défini à l'article 4.6.2 Délai de conservation des archives. 4.5.4. PROTECTION DES JOURNAUX D'AUDIT La confidentialité et l'intégrité des événements courants et archivés concernant les Certificats Isabel est garantie grâce à des mécanismes de contrôle qui limitent le traitement et l'accès des journaux d'audit au seul personnel autorisé d'isabel. Les journaux d'audit comportent un horodatage digital. Pour prévenir les modifications, les journaux d'audit sont conservés en plusieurs exemplaires. 4.5.5. PROCÉDURES DE BACK-UP DES JOURNAUX D'AUDIT Isabel veille à effectuer régulièrement des copies de sauvegarde des journaux d'audit. Le cycle des back-ups comprend des copies quotidiennes, hebdomadaires, mensuelles et annuelles, avec stockage des copies sur site et hors site. 4.5.6. SYSTÈME DE COLLECTE DES JOURNAUX D'AUDIT (INTERNE/EXTERNE) Le système de collecte des journaux d'audit est interne au système de la CA Isabel. 4.5.7. NOTIFICATION AU TITULAIRE À L'ORIGINE DE L'ÉVÉNEMENT Isabel n'est pas tenue d'avertir la personne, le système ou l'application qui a causé l'événement consigné dans le système de journaux d'audit d'isabel. 4.5.8. EVALUATIONS DE LA VULNÉRABILITÉ Les audits de sécurité portent régulièrement sur les systèmes et procédures des RA et CA Isabel, conformément aux politiques de sécurité d'isabel, décrites sous [10] et [11]. Voir aussi l article 2.7 Audit de conformité de la présente CPS Isabel. 4.6. ARCHIVAGE DES DOCUMENTS 4.6.1. TYPES DE DOCUMENTS ENREGISTRÉS Les éléments suivants sont enregistrés: 1. Certificats Isabel 2. Listes des Certificats Isabel révoqués (CRLs) 3. Politiques de Certificat Isabel (CPs) 4. CPS Isabel 5. Tous les événements et demandes conduisant à des changements dans les Certificats Isabel et les listes des Certificats Isabel révoqués Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 40 de 57

4.6.2. DÉLAI DE CONSERVATION DES ARCHIVES Toutes les informations relatives aux Certificats Isabel sont archivées pendant au moins 10 ans. 4.6.3. PROTECTION DES ARCHIVES Les archives électroniques et sur papier sont protégées par des mécanismes de contrôle d'accès physique et logique afin de prévenir les tentatives d'intrusion. Les archives sont protégées des risques ambiants tels que température, incendie, inondation, humidité et magnétisme. 4.6.4. PROCÉDURES DE BACK-UP DES ARCHIVES Les archives sont conservées en plusieurs exemplaires pour garantir leur disponibilité. Les archives sont régulièrement réinscrites sur des supports à la pointe de la technologie pour garantir le délai de conservation et éviter les supports périmés. 4.6.5. IMPÉRATIFS D'HORODATAGE DES DONNÉES Les informations archivées sont signées numériquement et horodatées. 4.6.6. SYSTÈME DE COLLECTE DES ARCHIVES (INTERNE OU EXTERNE) Le système de collecte des archives est interne au système de la CA Isabel. 4.6.7. PROCÉDURES D'OBTENTION ET DE VÉRIFICATION DES INFORMATIONS ARCHIVÉES Le Titulaire de Certificat Isabel aura accès aux informations archivées le concernant, sans compromettre les obligations générales de confidentialité des CA et RA Isabel. Toutes les demandes d'obtention d'informations archivées doivent être adressées par écrit au Security Manager Isabel. Les informations archivées doivent être vérifiées régulièrement pour garantir leur disponibilité durant le délai de conservation visé à l'article 4.6.2 Délai de conservation des archives du présent document. 4.7. CHANGEMENT DE CLÉ Une CA Isabel veille à ce que ses clés de signature privées ne soient pas utilisées au-delà de leur cycle de vie. Quand la Clé Privée d'une CA Isabel arrive en fin de vie, son certificat est révoqué. La génération et le remplacement de la paire de clés de la CA Isabel sont considérés comme confidentiels. 4.8. RESTAURATION APRÈS COMPROMISSION ET SINISTRE La CA Isabel a mis en place des politiques et procédures qui permettront de rétablir les opérations dès que possibles en cas d'accident, y compris la compromission de la clé de signature privée de la CA. Elles sont décrites sous [10], [11], [12] et [13]. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 41 de 57

4.9. CESSATION D'ACTIVITÉS DE LA CA Lorsqu'une CA Isabel cesse ses activités, Isabel agit conformément à la législation belge (voir [2]). Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 42 de 57

5. CONTRÔLES DE SÉCURITÉ: ACCÈS PHYSIQUE, PROCÉDURES ET PERSONNEL 5.1. CONTRÔLES DE L'ACCÈS PHYSIQUE La CA Isabel a mis en place des politiques et procédures, décrites sous [10] et [12], qui contrôlent l'accès physique aux services critiques et minimisent les risques physiques qui pèsent sur ses actifs. 5.2. CONTRÔLES DE PROCÉDURE 5.2.1. RÔLES ET RESPONSABILITÉS DE CONFIANCE La CA Isabel veille à ce que les rôles définis aux articles suivants soient remplis par des personnes de confiance. 5.2.1.1. OPÉRATEUR CA Ces personnes interviennent comme opérateurs sur le système de la CA Isabel en utilisant le poste de travail CA sous double contrôle. Il y a deux pools d'opérateurs CA. 5.2.1.2. ADMINISTRATEUR DE SYSTÈME CA Ces personnes assurent l'administration du système de la CA Isabel via la console sous double contrôle. 5.2.1.3. RESPONSABLE DE LA SÉCURITÉ CA Ces personnes mettent en œuvre les politiques de la CA, assurent la conformité à la CP et à la CPS Isabel, et vérifient les journaux d'audit. 5.2.2. IDENTIFICATION ET AUTHENTIFICATION POUR CHAQUE RÔLE Les représentants de tous les rôles sont authentifiés par une signature électronique générée avec leur Clé Privée, stockée dans une Secure Signing Card Isabel. 5.3. CONTRÔLES EN MATIÈRE DE PERSONNEL Isabel veille à ce que le personnel et les pratiques d'engagement soutiennent et améliorent la confiance que suscitent ses opérations, en appliquant les politiques de personnel décrites sous [13]. Ces politiques de personnel comprennent une convention spécifique de non-divulgation. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 43 de 57

6. CONTRÔLES DE SÉCURITÉ TECHNIQUE 6.1. GÉNÉRATION ET INSTALLATION DE LA PAIRE DE CLÉS 6.1.1. GÉNÉRATION ET REMISE DES CLÉS La paire de clés du Titulaire est générée au niveau central par la CA Isabel ou localement par le Titulaire lui-même. Les flux de certification Isabel (voir Chapitre 4 Impératifs Opérationnels ) garantissent dans les deux cas que la Clé Privée du Titulaire et la Clé Publique de la CA Isabel sont remises au Titulaire en toute sécurité et que la Clé Publique du Titulaire est remise en toute sécurité à la CA Isabel. 6.1.2. TAILLE DES CLÉS La taille de la Clé Publique RSA (modulo n), certifiée par un Certificat Isabel, n'est pas inférieure à 512 bits. La taille de la clé publique RSA (modulo n), certifiée par un certificat Isabel associé à une Secure Signing Card Isabel, n'est pas inférieure à 1024 bits. La taille des clés de la CA Isabel est de 2048 bits. 6.1.3. GÉNÉRATION DES CLÉS Le processus de génération des clés Isabel constitue une information appartenant à Isabel. La qualité du processus de génération a fait l'objet d'un audit. La qualité des paramètres du processus de génération est surveillée continuellement. 6.2. PROTECTION DE LA CLÉ PRIVÉE 6.2.1. NORMES DES MODULES CRYPTOGRAPHIQUES Aux termes de la présente CPS Isabel, la Clé Privée du Titulaire de Certificat Isabel doit être stockée dans une Secure Signing Card Isabel, dans un TRD (Tamper Resistant Device) Isabel ou dans un module de sécurité matériel (HSM) d'un tiers agréé par Isabel. Les modules de sécurité matériel (HSM Hardware Security Module) de tiers doivent être conformes à la norme FIPS PUB 140-1 Level 3 ou supérieure. 6.2.2. CONTRÔLE MULTI-PERSONNE DE LA CLÉ PRIVÉE (N SUR M) Cet article s'applique aux Clés Privées de la CA Isabel et aux éventuels Titulaires "Application". Les Clés Privées de la CA sont sous triple contrôle. Les Clés Privées des Titulaires "Application" sont sous contrôle unique ou multiple, selon les politiques de sécurité du Client. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 44 de 57

6.2.3. SÉQUESTRE DES CLÉS PRIVÉES (KEY ESCROW) Les Clés Privées Isabel ne font pas l objet de procédures de séquestre. 6.2.4. BACK-UP DES CLÉS PRIVÉES La Clé Privée du Titulaire de Certificat Isabel ne fait pas l'objet d'un back-up, sauf pour les Titulaires dont la Clé Privée est conservée dans un TRD (Tamper Resistant Device) Isabel. Les Clés Privées stockées dans un TRD sont conservées sur plusieurs jeux de cartes à puces TRD. 6.2.5. ARCHIVAGE DES CLÉS PRIVÉES Les Clés Privées Isabel ne sont pas archivées. 6.2.6. INSTALLATION DE LA CLÉ PRIVÉE DANS UN MODULE CRYPTOGRAPHIQUE Chaque Clé Privée est inscrite dans le module cryptographique suivant une méthode sécurisée. Les détails sont considérés comme confidentiels. 6.2.7. MÉTHODE D'ACTIVATION DE LA CLÉ PRIVÉE La Clé Privée est protégée par un code PIN ou un mot de passe. Les détails sont considérés comme confidentiels. 6.2.8. MÉTHODE D'INACTIVATION DE LA CLÉ PRIVÉE La Clé Privée est inactivée quand la Secure Signing Card Isabel est retirée du lecteur de carte ou quand le TRD (Tamper Resistant Device) Isabel est mis hors tension. En ce qui concerne les modules de sécurité matériels (HSM) de tiers, consultez les spécifications des fabricants. 6.2.9. MÉTHODE DE DESTRUCTION DE LA CLÉ PRIVÉE La Clé Privée est détruite quand l'isabel Secure Signing Card est détruite. Si la Clé Privée est stockée dans un TRD (Tamper Resistant Device) Isabel, elle est détruite quand le TRD Isabel est mis hors tension ET que toutes les cartes à puce TRD contenant la Clé Privée sont détruites. En ce qui concerne les modules de sécurité matériels (HSM) de tiers, consultez les spécifications des fabricants. 6.3. AUTRES ASPECTS DE LA GESTION DES PAIRES DE CLÉS Les Certificats Isabel et la Clé Publique qu'ils certifient sont archivés pendant 10 ans au moins. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 45 de 57

6.4. DONNÉES D'ACTIVATION La génération des données d'activation du Titulaire est effectuée de façon centrale par la CA Isabel ou localement par le Titulaire lui-même. Les flux de certification Isabel (voir chapitre 4 Impératifs Opérationnels ) garantissent que dans les deux cas, les données d'activation du Titulaire lui sont remises en toute sécurité. Après remise, il appartient au Titulaire de garantir la confidentialité de ses données d'activation. Isabel ne prend pas de back-up des données d'activation du Titulaire, ne les dépose pas chez un tiers et ne les archive pas. 6.5. CONTRÔLES DE SÉCURITÉ INFORMATIQUE La CA Isabel a mis en place des mécanismes logiques de contrôle d'accès aux niveaux système d'exploitation, middelware et application sur les systèmes de CA, ainsi que des politiques et procédures garantissant que l'accès aux systèmes CA est limité aux personnes autorisées, comme expliqué sous [10], [11] et [13]. 6.6. CYCLE DE VIE DES CONTRÔLES TECHNIQUES Le cycle de vie des contrôles techniques sont mis en œuvre conformément aux politiques de sécurité d'isabel, décrites sous [10] et [11]. 6.7. CONTRÔLES DE SÉCURITÉ DU RÉSEAU Les contrôles de sécurité du réseau sont mis en œuvre conformément aux politiques de sécurité d'isabel, décrites sous [10] et [11]. 6.8. CONTRÔLES TECHNIQUES DU MODULE CRYPTOGRAPHIQUE Voir article 6.2.1 Normes des modules cryptographiques du présent document. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 46 de 57

7. PROFILS DU CERTIFICAT ET DE LA CRL 7.1. PROFIL DU CERTIFICAT Reportez-vous également à la CP Isabel applicable. Le profil d'un Certificat Isabel délivré à un Titulaire Personne Physique ou Fonction est le suivant: Champ du certificat version SerialNumber signature issuer validity subject (utilisateurs normaux personnes physiques) subject (utilisateurs normaux personnes physiques) subjectpublickeyinfo Valeur ou format de valeur INTEGER {V3(2)} (Note: la valeur entière 2 correspond aux certificats v3) INTEGER {0..MAX} Le nombre revêt la forme yyyydddnnnnn, où yyyy est l'année de production du certificat ddd est le numéro du jour dans l'année nnnnn est un numéro consécutif pour cette journée AlgorithIdentifier sha-1withrsaencryption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 5} CN=Isabel Certification Authority; O=CA; L=ISABEL; C=BE notbefore=utctime notafter=utctime CN=Nom Prénom; O=nom organisation; L=ISABEL; C=BE Les champs OU et/ou GN peuvent aussi être présents. CN=Function Name; O=Organisation name; L=ISABEL; C=BE Les champs OU et/ou GN peuvent aussi être présents. AlgorithmIdentifier rsaencryption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) 1} Le profil d'un Certificat Isabel délivré à un Titulaire Application ou Fonction est le suivant: Champ du certificat version SerialNumber signature Valeur ou format de valeur INTEGER {V3(2)} (Note: la valeur entière 2 correspond aux certificats v3) INTEGER {0..MAX} Le nombre revêt la forme yyyydddnnnnn, où yyyy est l'année de production du certificat ddd est le numéro du jour dans l'année nnnnn est un numéro consécutif pour cette journée AlgorithIdentifier sha-1withrsaencryption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 5} Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 47 de 57

Champ du certificat issuer validity subject (utilisateurs normaux Applications) subjectpublickeyinfo Valeur ou format de valeur CN=Isabel Certification Authority; O=CA; L=ISABEL; C=BE notbefore=utctime notafter=utctime CN=nom application; O=nom organisation; L=ISABEL; C=BE Un champ OU peut aussi être présent. AlgorithmIdentifier rsaencryption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) 1} 7.1.1. NUMÉRO DE VERSION Tous les Certificats Isabel délivrés par une CA Isabel doivent être conformes ITU-T X.509 v3. Voir réf. [3] à l'article 9.2 Annexe B Références de la présente CPS. 7.1.2. EXTENSIONS DE CERTIFICAT Les extensions définies pour les certificats X.509v3 permettent d'associer des attributs supplémentaires à des utilisateurs ou Clés Publiques et de gérer la hiérarchie des certificats. Le champ en question ne peut être présent qu'à partir de la version numéro 3. Il contient une ou plusieurs extensions de certificat. L'application DOIT refuser le certificat si elle rencontre une extension critique qu'elle ne reconnaît pas, mais une extension non critique peut être ignorée si elle n'est pas reconnue. Voici la liste des extensions de certificat standard (définies dans ITU-T X.509) utilisées dans les Certificats Isabel émis par une CA Isabel, avec une description de leur usage et l'indication de leur caractère critique (C) ou non-critique (NC). Pour une description plus complète des extensions de certificat, voyez ITU-T X.509v3. Le tableau suivant résume les extensions OBLIGATOIRES et leur valeur dans un Certificat Isabel délivré à une personne physique ou à une fonction: Champ d'extension du certificat Caractère critique Valeur ou format de valeur authoritykeyidentifier NC Ce champ identifie la Clé Publique de la CA à utiliser pour vérifier la signature apposée sur les certificats. subjectpublickeyinfo OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) allocation per country (16) Belgium(56) Isabel(1) 8} NC/C OCTET STRING ::= {4341 3032} ( CA02 ) Ce champ est une extension appartenant à Isabel. Réservé à l'usage interne Ce champ est critique pour les certificats révoqués. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 48 de 57

Champ d'extension du certificat Caractère critique Valeur ou format de valeur SerialNumber (OID 2.5.4.5) NC Ce champ contient l'identifiant de l'isabel Secure Signing Card (CardID). Cette extension n'a une valeur que si l'isabel Secure Signing Card a été personnalisée via le flux de certification centralisé. KeyUsage NC Ce champ énumère les usages autorisés de la clé. BIT STRING ::= {digitalsignature(0), nonrepudiation(1), keyencipherment(2), dataencipherment(3)} CertificatePolicies NC Ce champ contient une série d'un ou plusieurs termes d'information de politique, chacun se composant d'un identifiant d'objet (OID) et de qualificateurs facultatifs. Ces termes d'information de politique indiquent la politique dans le cadre de laquelle le Certificat est émis et les usages autorisés du Certificat. Sa valeur est {joint-iso-ccitt(2) allocation per country (16) Belgium (56) Isabel (1) certification-policies(9) standard(2)} Le champ contient aussi un attribut qui est un URI vers la version complète de la CP: http://www.isabel.be/pki/policies/standard.htm ExtKeyUsage NC Ce champ indique d'autres usages acceptables de la clé. Il énumère les OIDs. KeyPurposeID ::= {id-kp-clientauth, id-kp-emailprotection} AuthorityInfoAccess NC Ce champ renvoie à un service en ligne de statut de révocation des certificats. Sa valeur est: https://ocsp1.isabel.be/ Le tableau suivant résume les extensions OBLIGATOIRES et leur valeur dans un Certificat Isabel délivré à une application: Champ d'extension du certificat Caractère critique Valeur ou format de valeur authoritykeyidentifier NC Ce champ identifie la Clé Publique de la CA à utiliser pour vérifier la signature apposée sur les certificats. subjectpublickeyinfo OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) allocation per country (16) Belgium(56) Isabel(1) 8} NC/C OCTET STRING ::= {4341 3032} ( CA02 ) Ce champ est une extension appartenant à Isabel. Réservé à l'usage interne Ce champ est critique pour les certificats révoqués. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 49 de 57

7.1.3. ALGORITHME IDENTIFIANTS D'OBJET sha-1withrsaencryption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 5} rsaencryption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) 1} 7.1.4. FORMES DE NOMS Entité Titulaire de Certificat Isabel (personne physiques) Titulaire de Certificat Isabel (Fonction) Titulaire de Certificat Isabel (Application) CA Isabel Forme de nom CN=Nom Prénom; O=nom organisation; L=ISABEL; C=BE Les champs OU et/ou GN peuvent aussi être présents. CN=nom fonction; O=nom organisation; L=ISABEL; C=BE Les champs OU et/ou GN peuvent aussi être présents. CN=nom application; O=nom organisation; L=ISABEL; C=BE Un champ OU peut aussi être présent. CN=Isabel Certification Authority; O=CA; L=ISABEL; C=BE L adresse e-mail, ni les noms qu elle contient, dans le Certificat ne peut pas être considéré comme un élément d identification sur quel base le Certificate a été émis. 7.1.5. NAME CONSTRAINT L'extension Name Constraint n'est pas utilisée dans le Certificat Isabel. 7.1.6. IDENTIFIANT D'OBJET - POLITIQUE DE CERTIFICAT Voir Article 1.2 Identification de la présente CPS Isabel. 7.1.7. UTILISATION DE L'EXTENSION POLICY CONSTRAINT L'extension Policy Constraint n'est pas utilisée dans le Certificat Isabel. 7.1.8. SYNTAXE ET SÉMANTIQUE DES QUALIFICATEURS DE POLITIQUE Un qualificateur de politique est défini pour la Politique de Certification (CP) indiquée dans l'extension Politiques de Certificat. Ce qualificateur est un URI vers la version complète de la CPS: http://www.isabel.be/pki/policies/standard.htm pour la CPS Isabel. 7.1.9. SÉMANTIQUE DE TRAITEMENT DE L'EXTENSION CRITIQUE CP L'extension politiques de Certificat est marquée comme non-critique, voir 7.1.2. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 50 de 57

7.2. PROFILS DES LISTES CRL/ARL Voici le profil d'une Liste des Certificats Révoqués (CRL) et d'une Liste de révocation des certificats des autorités (ARL) produites par une CA Isabel: Champ du Certificat version Signature Issuer ThisUpdate NextUpdate RevokedCertificates Valeur ou format de valeur INTEGER {V2(1)} (Note: la valeur entière 1 correspond aux CRL v2) AlgorithIdentifier sha-1withrsaencryyption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 5} CN=Isabel Certification Authority; O=CA; L=ISABEL; C=BE UTCTime: Indique l'heure à laquelle la CRL a été produite. UTCTime: Indique quand la prochaine CRL sera produite (au plus tard). La liste des certificats révoqués (certificats de Titulaire pour CRL et certificats de CA pour ARL). 7.2.1. NUMÉRO DE VERSION Toutes les CRL et ARL Isabel doivent être conformes ITU-T X.509 v2. 7.2.2. CRL/ARL ET EXTENSIONS DES ENTRÉES CRL/ARL Les extensions des CRL/ARL sont les suivantes: Champ d'extension CRL Caractère critique Valeur ou format de valeur authoritykeyidentifier NC Ce champ identifie la Clé Publique de la CA à utiliser pour vérifier la signature apposée sur les certificats. OCTET STRING ::= {4341 3032} ( CA02 ) CrlNumber NC INTEGER. Le numéro de la CRL/ARL. Les entrées de la CRL peuvent aussi comporter des extensions. Voici les extensions utilisées dans les entrées des CRL/ARL Isabel: Champ d'extension des entrées de la CRL Caractère critique Valeur ou format de valeur ReasonCode NC Cette extension spécifie le motif de la révocation. Valeurs possibles: CRLReason ::= ENUMERATED { unspecified (0), keycompromise (1), cacompromise (2), affiliationchanged (3), superseded (4), cessationofoperations (5)} Autres valeurs permises mais non utilisées. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 51 de 57

8. ADMINISTRATION DES SPÉCIFICATIONS 8.1. PROCÉDURES DE CHANGEMENT DES SPÉCIFICATIONS Commentaires, questions et demandes de changement à la présente CPS Isabel peuvent être adressés à l'autorité de Gestion de la Politique, visée à l'article 1.3.7 Coordonnées de la présente CPS Isabel. Isabel peut amender la présente CPS à tout moment. 8.2. POLITIQUES DE PUBLICATION ET COMMUNICATION La présente CPS Isabel est sous le contrôle direct de l'autorité de Gestion de la Politique et du General Manager d'isabel. La haute direction d'isabel s'engage à veiller à la bonne mise en œuvre des pratiques de la présente CPS Isabel et des Politiques de Certificat applicables. L'Autorité de Gestion de la Politique revoit régulièrement la présente CPS Isabel afin de prendre en compte les changements de circonstances, de législation, de technologie et de risques pesant sur la sécurité. L'Autorité de Gestion de la Politique formulera des recommandations de changement à la présente CPS Isabel; ces recommandations feront l'objet d'une concertation au sein d'isabel et seront soumises à l'approbation du General Manager avant d'entrer en vigueur. La présente CPS Isabel et ses futures versions sont publiées sur l'uri suivant: http://www.isabel.be/pki/policies/. La date de publication, la date d'entrée en vigueur et le numéro de version figureront sur la page de garde de la CPS. La version publiée sur cet URL est la seule version valable durant la période de publication. Les communications relatives à la présente CPS Isabel seront également publiées sur l'uri ci-dessus. La poursuite de l'utilisation d'un Certificat Isabel après publication d'une nouvelle version de la CPS implique l'acceptation de la nouvelle version par le Titulaire. La dernière version de la présente CPS sera disponible en ligne. Les versions plus anciennes sont archivées par Isabel. 8.3. PROCÉDURE D'APPROBATION DE LA CPS Les changements au présent document sont soumis à l'approbation de l'autorité de Gestion de la Politique pour la présente CPS Isabel et du General Manager d'isabel. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 52 de 57

9. ANNEXES 9.1. ANNEXE A DÉFINITIONS 9.1.1. SIGLES Sigle ARL CA CBF CP CPS CRL HSM OCSP OID PIN PKI RA SSCD TRD URI URL WISE Description Authority Revocation List (Liste de révocation des certificats des autorités) Certification Authority (autorité de certification) Commission Bancaire et Financière (Commissie voor het Bank- en Financiewezen) Certificate Policy (Politique de Certification) Certification Practice Statement (Déclaration des Pratiques de Certification) Certificate Revocation List (liste des certificats révoqués) Hardware Security Module (module de sécurité matériel) On-line Certificate Status Protocol (Protocole de Statut des Certificats En Ligne) Object IDentifier (identifiant d'objet) Personal Identification Number (numéro d'identification personnel) Public Key Infrastructure (infrastructure à Clé Publique) Registration Authority (autorité d'enregistrement) Secure Signature Creation Device (système sécurisé de création de signature) Tamper Resistant Device (HSM Isabel) Uniform Resource Identifier (identifiant uniforme de ressource) Uniform Resource Locator Worldwide Internet Services for Enterprises in corporate e-banking Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 53 de 57

9.1.2. LEXIQUE Terme Abonné Abonné du Certificat Isabel Agent Isabel Application Authentification Autorité d'enregistrement Autorité d'enregistrement Isabel Autorité de Certification Autorité de Certification Isabel Autorité de Gestion de la Politique Autorité de Validation Isabel Certificat à signature Croisée de l Autorité de Certification Certificat auto-signé Description Voire Abonné du Certificat Isabel. Personne physique habilitée par un Client Isabel pour demander un Certificat Isabel au nom d'un ou plusieurs Titulaires personnes physiques, fonctions ou applications. Un Titulaire Personne Physique peut être un Abonné de Certificat Isabel agissant en son nom propre. Membre du personnel d'isabel ou membre du personnel d'une société liée à Isabel par un contrat de service. Dans le contexte actuel, c est l Application qui est le Titulaire du Certificat. Telle Application est un logiciel qui publie de l information signée basée sur un processus automatisé (n importe quand) et ne permet pas d interaction humaine pour la génération de signature. Exemples de tels Applications sont des sites web qui font des propositions signées à leurs clients, ou des messages signés pour des campagnes marketing ou vente. Processus de vérification de l'identité sur la base de la détention de pièces justificatives. Entité responsable de l'identification et de l'authentification des Titulaires de Certificats, mais qui ne signe pas et ne délivre pas de certificat. La RA peut prêter son concours au processus de demande et/ou de révocation de Certificat, comme exposé dans la CP applicable ou la présente CPS. RA opérant sous l'autorité et le contrôle d'une CA Isabel. Autorité à laquelle les utilisateurs font confiance pour émettre et gérer les certificats et les listes de révocation. La CA peut aussi créer la paire de clés de l'utilisateur. CA gérée par Isabel. Isabel CA est aussi référé comme l organisation technique autour de l Autorité de Certification qui est opéré par la société Isabel NV/SA. Entité chargée de spécifier et valider les CP et de déterminer l'adéquation des Déclarations de Pratiques de Certification à ces Politiques de Certification. Autorité donnant aux Parties en Confiance de Certificats Isabel un moyen d'obtenir les informations de révocation des Certificats Isabel. C est un Certificat signé par l Autorité de Certification qui contient une autre Clé Publique de l Autorité de Certification. L Autorité de Certification Isabel utilise plusieurs clés publiques. Certificat signé avec la Clé Privée pour laquelle la Clé Publique se trouve dans ce Certificat. Typiquement utilisé pour les Certificats root du l Autorité de Certification, ou la Clé Publique root se trouve dans le Certificat signé avec la Clé Privée correspondante. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 54 de 57

Terme Certificat digital Certificat Isabel Client Isabel Clé Privée Clé Publique Communauté WISE Déclaration des Pratiques de Certification Infrastructure à Clé Publique Liste des Certificats Révoqués Liste de révocation des Certificats des Autorités Module de sécurité matériel Numéro d'identification Personnel Partie en Confiance Partie en Confiance du Certificat Isabel Politique de Certification Secure Signing Card Isabel Tamper Resistant Device Isabel Description Ensemble de données électroniques établissant le lien entre la clé publique d'un Titulaire et son identité indues infalsifiables par une signature électronique apposée par la CA à l'aide de sa clé privée. Certificat digital émis par une CA Isabel. Une entité qui a signé un contrat avec Isabel en vue de bénéficier des services et/ou produits d'isabel. La partie d'une paire de clés publique-privée devant être conservée secrète et accessible au seul Titulaire. La partie d'une paire de clés publique-privée qui peut être connue publiquement ou distribuée sans compromettre la sécurité du système cryptographique. Titulaires de certificats qui ont été enregistrés par un RA Isabel pour l usage de WISE. Enoncé des procédures et pratiques appliquées par une Autorité de Certification pour émettre et gérer des certificats. Ensemble des matériels, logiciels, personnes, processus et politiques, dédiés à la gestion de clés et de certificats utilisés par des services de sécurité basés sur la cryptographie à clé publique. Liste des numéros de Certificats ayant fait l objet d une révocation portant la signature électronique de la CA émettrice. Liste de numéros de certificats appartenant aux Autorités de Certification et ayant fait l objet d une révocation Module cryptographique matériel sécurisé servant à générer et stocker les Clés Privées et à générer les signatures électroniques. Code secret (PIN) servant à empêcher les accès non-autorisés à une Clé Privée. Voire Partie en Confiance Isabel. La Partie en Confiance du Certificat Isabel est une personne physique ou une application qui est ou appartient à un Client Isabel et qui fait confiance à l'information contenue dans un Certificat Isabel et/ou aux signatures électroniques vérifiées à l'aide du Certificat et/ou à toute autre information publiée par une CA Isabel qui délivre des Certificats Isabel. Ensemble de règles définissant les exigences auxquelles les différentes parties se conforment et indiquant l'applicabilité d'un certificat à une communauté, classe ou application donnée, avec des impératifs de sécurité communs. Carte à puce renfermant la Clé Privée d'un Abonné/Titulaire de Certificat Isabel et utilisée par l'abonné/titulaire pour créer une signature électronique. La signature électronique est créée à l'intérieur de l'isabel Secure Signing Card. Un HSM Isabel, module de sécurité matériel renfermant la Clé Privée d'un Titulaire de Certificat Isabel et utilisé par ce Titulaire pour créer une signature électronique. La signature électronique est créée à l'intérieur du TRD Isabel. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 55 de 57

Terme Titulaire Titulaire de Certificat Isabel Utilisateur Isabel Description Voire Titulaire de Certificat Isabel. Personne physique, application ou fonction (p.ex. comptable ) identifiée dans le Certificat comme porteur de la Clé Privée liée à la Clé Publique figurant dans le Certificat. Le Titulaire de Certificat Isabel s'est vu émettre un Certificat Isabel dans le cadre de ses activités professionnelles et décrypte ou/et signe à l'aide de la Clé Privée associée au Certificat Isabel au nom du client Isabel à qui il appartient. Une ou plusieurs personnes physiques représentent un Titulaire de Certificat Isabel: 1. Dans le cas d'un Titulaire Personne Physique, le Titulaire est représenté par la personne physique identifiée dans le Certificat. 2. Dans le cas d'un Titulaire Fonction, le Titulaire est représenté par une personne physique habilitée à représenter la fonction identifiée dans le Certificat (représentant fonction). 3. Dans le cas d'un Titulaire Application, le Titulaire est représenté par une ou plusieurs personnes physiques habilitées à représenter l'application identifiée dans le Certificat. Personne physique qui utilise les produits/services Isabel dans le cadre d'un contrat liant le Client Isabel auquel l'utilisateur appartient et Isabel. Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 56 de 57

9.2. ANNEXE B RÉFÉRENCES Titre Propriétaire Date [1] Directive 1999/93/EC du Parlement Européen et du Conseil du 13 décembre 1999 sur un cadre communautaire de signatures électroniques [2] Loi fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification Parlement Européen et Conseil Européen 13 Décembre 1999 Parlement belge 9 Juillet 2001 [3] ITU-T Recommendation X.509 ITU-T Juin 1997 [4] RFC 2527: Internet X.509 Public Key Infrastructure CP and certification Practices Framework [5] Banking Public Key Infrastructure Policy and Practices framework ISO/TC68/SC2/WG8 N 001 [6] * CA Isabel Technical Manual Isabel [7] * CA Isabel Initialisation Isabel Internet Engineering Task Force (IETF) International Standards Organisation Mars 1999 22 Octobre 2002 [8] * Isabel Key Management Isabel Janvier 1996 [9] * Isabel Key Management Banks viewpoint Isabel Février 1996 [10] * Isabel Corporate Security Policy Isabel Juillet 2001 [11] * Isabel Information Security Manual Isabel Janvier 2002 [12] * Isabel Physical Security Manual Isabel Janvier 2002 [13] * Isabel Personnel Security Manual Isabel Novembre 2001 [14] FIPS PUB 140-1 NIST Janvier 1994 [15] Isabel CPS-CP versions Isabel * Ce document est classé Confidentiel Isabel Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 57 de 57