Banque Nationale de Belgique Certificate Practice Statement For External Counterparties 1 NBBCertificatePracticeStatement External Counterparties 2.0 13 JUILLET 2007 Remarque: l'utilisation d'un certificat délivré par la Banque Nationale de Belgique (BNB) IMPLIQUE l'acceptation par son utilisateur de la présente Certificate Policy Statement (CPS) et des procédures, obligations et responsabilités y afférentes. HISTORIQUE DU DOCUMENT Numéro de Date Auteur Modifications du contenu révision 0 21.10.2002 L. CERTYN Version initiale Version 1.0 1 15.10.2003 L. CERTYN Reformulation du 4.2.2 Version 1.1 2 13.07.2007 L. CERTYN Version 2.0 Cette version s applique aux certificats délivrés à partir de 13.07.2007 par l AC avec les caractéristiques suivantes : CA DN : CN = National Bank of Belgium - Production CA O = National Bank of Belgium C = BE Web fingerprint de l'ac qui signe ces certificats : 5e:96:2d:5e:37:2d:a3:83:a8:c3:0e:00:8c:aa:02:2e:cc:b9:2e:0e 1 La présente Certificate Practice Statement suit la structure proposée dans le RFC (Request For Comment) 2527 (Version mars 1999). BNB - Data Security Management Page 1/11 Last Saved: 13.07.2007
TABLE DES MATIERES Historique du document...1 AVANT-PROPOS...5 1. INTRODUCTION... 5 1.1. Aperçu...5 1.2. Identification...5 1.3. Groupe cible et utilisation...5 1.3.1. Groupe cible...5 1.3.2. Utilisation...5 1.4. contact Information relative a la CPS...6 2. DISPOSITIONS GENERALES... 7 2.1. Obligations...7 2.1.1. Obligations de l'ac...7 2.1.2. Obligations de l'ae...7 2.1.3. Obligations des titulaires de certificat...7 2.1.4. Obligation de vérification de la validité d'un certificat...7 2.1.5. Protection des données non publiques...7 2.2. Responsabilité...7 2.3. Responsabilité financière...7 2.4. Interprétation et exécution...7 2.4.1. Dispositions legales...7 2.4.2. Litiges...7 2.5. Tarifs...7 2.6. Publication de données...7 2.7. Audit...7 2.8. Confidentialite...7 BNB - Data Security Management Page 2/11 Last Saved: 13.07.2007
3. IDENTIFICATION ET CONTROLE D'IDENTITE... 7 3.1. Enregistrement initial...7 3.1.1. Détermination du nom...7 3.1.2. Utilisation de noms significatifs...8 3.1.3. Règles pour l'interprétation des noms...8 3.1.4. Unicité d'un nom...8 3.1.5. Litiges concernant la détermination d'un nom...8 3.1.6. Marques commerciales...8 3.1.7. Détention de clé privée du titulaire de certificat...8 3.1.8. Authentification de l'entreprise du titulaire de certificat...8 3.1.9. Authentification de l'identité du titulaire de certificat...8 3.2. Modification routinière des clés...8 3.3. Renouvellement des clés après révocation...8 3.4. Demande de révocation...9 4. EXIGENCES OPERATIONNELLES... 9 4.1. Demande de certificat...9 4.2. Emission de certificat...9 4.2.1. Demande initiale...9 4.2.2. Procedure a suivre si l'on dispose deja d'un certificat...9 4.3. Acceptation de certificat...10 4.4. Révocation de certificat...10 4.5. Procédures d'audit...10 4.6. Archivage...10 4.7. Renouvellement des clés (Key Renewal)...10 4.8. Compromission et procédures d'urgence...10 5. CONTROLES DE SECURITE PHYSIQUE, DE PROCEDURE ET DU PERSONNEL... 10 5.1. Contrôles de sécurité physique...10 BNB - Data Security Management Page 3/11 Last Saved: 13.07.2007
5.2. Procédures...10 5.3. Personnel...11 6. CONTROLES DE SECURITE TECHNIQUE... 11 7. PROFILS CERTIFICAT ET CRL... 11 8. ADMINISTRATION CPS... 11 BNB - Data Security Management Page 4/11 Last Saved: 13.07.2007
AVANT-PROPOS La présente Certificate Practice Statement (CPS) est une extension de la Certificate Policy (CP) NBBCertificatePolicy 2.0 et est plus spécifiquement destinée à l'utilisation de certificats par les correspondants extérieurs, ci-après dénommés contreparties BNB. La structure de la CPS est identique à celle de la CP; au besoin, des explications complémentaires sont insérées dans les paragraphes. Si les dispositions de la CP s'appliquent également mutatis mutandis à la CPS, seul l'intitulé du paragraphe est repris. 1. INTRODUCTION 1.1. APERÇU 1.2. IDENTIFICATION Nom de la Certificate Practice Statement : NBBCertificatePracticeStatement External Counterparties 2.0 Nom de la Certificate Policy : NBBCertificatePolicy 2.0 Object identifier : non applicable. 1.3. GROUPE CIBLE ET UTILISATION 1.3.1. GROUPE CIBLE Dans le cadre des applications BNB qui requièrent une identification et une authentification fiables et complètes de la contrepartie, des certificats BNB sont délivrés aux personnes morales en général (certificats de groupe) ou aux serveurs d'applications dans le cadre du B2B (Business to Business). 1.3.2. UTILISATION BNB - Data Security Management Page 5/11 Last Saved: 13.07.2007
1.4. CONTACT INFORMATION RELATIVE A LA CPS Data Security Management Banque Nationale de Belgique S.A. Boulevard de Berlaimont, 14 1000 Bruxelles dsm@nbb.be Fax : +32 2 221 32 15 BNB - Data Security Management Page 6/11 Last Saved: 13.07.2007
2. DISPOSITIONS GENERALES 2.1. OBLIGATIONS 2.1.1. OBLIGATIONS DE L'AC 2.1.2. OBLIGATIONS DE L'AE 2.1.3. OBLIGATIONS DES TITULAIRES DE CERTIFICAT 2.1.4. OBLIGATION DE VERIFICATION DE LA VALIDITE D'UN CERTIFICAT 2.1.5. PROTECTION DES DONNEES NON PUBLIQUES 2.2. RESPONSABILITE 2.3. RESPONSABILITE FINANCIERE 2.4. INTERPRETATION ET EXECUTION 2.4.1. DISPOSITIONS LEGALES 2.4.2. LITIGES 2.5. TARIFS 2.6. PUBLICATION DE DONNEES 2.7. AUDIT 2.8. CONFIDENTIALITE 3. IDENTIFICATION ET CONTROLE D'IDENTITE 3.1. ENREGISTREMENT INITIAL Toute contrepartie BNB qui souhaite obtenir un certificat BNB afin d'exécuter une application BNB (ou certaines fonctions dans cette application) doit se présenter PERSONNELLEMENT auprès d'une Autorité d'enregistrement BNB. Liste des AE BNB en annexe. 3.1.1. DETERMINATION DU NOM La mention du nom dans le certificat se présente sous la forme suivante: Certificats personnels (pour une personne physique au sein de la personne morale) Ceux-ci ne sont pas distribués aux contreparties. Certificats de groupe (pour une entité spécifique au sein de la personne morale) X.509 NBB:nuin:xxx-yyyyyyyy-zz BNB - Data Security Management Page 7/11 Last Saved: 13.07.2007
xxx-yyyyyyyy-zz représente une identification unique dans l AC BNB, appelée le nuin (nbb unique identification number), afin d'obtenir une unicité cohérente. Ce nuin est composé des parties suivantes : xxx = le numéro de l'ae BNB qui exécute l'enregistrement yyyyyyyy = numéro arbitraire attribué par la BNB zz = un nombre de contrôle (modulo 97 de xxxyyyyyyyy) 3.1.2. UTILISATION DE NOMS SIGNIFICATIFS 3.1.3. REGLES POUR L'INTERPRETATION DES NOMS 3.1.4. UNICITE D'UN NOM Cf. 3.1.1., cette unicité est assurée par une identification unique. 3.1.5. LITIGES CONCERNANT LA DETERMINATION D'UN NOM 3.1.6. MARQUES COMMERCIALES 3.1.7. DETENTION DE CLE PRIVEE DU TITULAIRE DE CERTIFICAT Le processus de création des clés privées et la création du certificat seront exécutés par la contrepartie BNB au moyen d'une application browser (par exemple un applet) fourni par la BNB. Cf. 4.2. 3.1.8. AUTHENTIFICATION DE L'ENTREPRISE DU TITULAIRE DE CERTIFICAT Sera exécutée par l'ae BNB sur la base des statuts et sur la base d'autres données relatives à l'entreprise, qui sont disponibles à la BNB. 3.1.9. AUTHENTIFICATION DE L'IDENTITE DU TITULAIRE DE CERTIFICAT Cf. 3.1.1 L'adresse e-mail de la contrepartie BNB PEUT également être reprise sur le certificat. La BNB ne validera pas l'authenticite et l'utilite de cette adresse e-mail. La contrepartie BNB qui souhaite obtenir un certificat BNB doit se présenter personnellement auprès d'une AE BNB, c'est-à-dire que SEULE la personne qui figure sur le formulaire de demande peut se présenter auprès d'une AE BNB. 3.2. MODIFICATION ROUTINIERE DES CLES 3.3. RENOUVELLEMENT DES CLES APRES REVOCATION Comme dans 3.1 (enregistrement initial). BNB - Data Security Management Page 8/11 Last Saved: 13.07.2007
3.4. DEMANDE DE REVOCATION La contrepartie BNB, qui est Titulaire de certificat, peut introduire une demande de révocation auprès de l'ae BNB où l'enregistrement initial a été exécuté. Les motifs de révocation d'un certificat sont: Il n'est plus nécessaire que la contrepartie BNB dispose d'un certificat BNB parce qu'elle n'exécutera plus d'applications BNB. Faillite ou cessation de la contrepartie BNB. Dans ce cas, l'ae BNB révoquera le certificat de manière irrévocable (sans même avertir la contrepartie BNB). 4. EXIGENCES OPERATIONNELLES 4.1. DEMANDE DE CERTIFICAT La demande d'un Certificat a, en fait, lieu implicitement lorsqu'une contrepartie BNB introduit la demande auprès d'une AE BNB pour exécuter une application BNB. Des formulaires de demande peuvent être obtenus auprès des AE BNB ou, éventuellement, sur le site web de l application BNB concernée. L'AE BNB invitera ensuite le Demandeur de certificat pour une identification PHYSIQUE de la contrepartie BNB et pour la remise du Mot de passe et du Code d'activation qui doivent permettre à la contrepartie BNB de créer le certificat. 4.2. EMISSION DE CERTIFICAT 4.2.1. DEMANDE INITIALE Le demandeur recevra un "Mot de passe" et un "Code d'activation" auprès de l'ae BNB. Le Certificat peut être généré à l'aide de ces deux codes. CES DEUX CODES SONT CONFIDENTIELS! L'utilisateur est prié de modifier son mot de passe à la première connexion. Le nouveau mot de passe et le code d'activation doivent absolument être conservés en lieu sûr. Méthode à suivre : voir document "NBB Operational Certificate Procedures French" (demande initiale) 4.2.2. PROCEDURE A SUIVRE SI L'ON DISPOSE DEJA D'UN CERTIFICAT Le demandeur utilise à cette fin le mot de passe modifié (cfr 4.2.1) et le "code d'activation" reçu de l'ae BNB. A l'aide de ces deux éléments, il peut générer un NOUVEAU certificat et les clés y associées. BNB - Data Security Management Page 9/11 Last Saved: 13.07.2007
Les raisons pour ce renouvellement sont : le magasin de certificats (keystore) ou le fichier (au format PKCS#12) qui contient le certificat et les clés secrètes est, pour l'une ou l'autre raison, illisible ou disparu. ou le mot de passe qui protège le magasin de certificats (keystore) ou le fichier est oublié, ou le mot de passe est connu par d'autres personnes que la contrepartie BNB. Nous pensons ici plus précisément aux certificats de groupe qui font que les membres du personnel, qui quittent la personne juridique, ont connaissance du mot de passe qui protège le fichier avec le certificat et les clés. Méthode à suivre : voir document "NBB Operational Certificate Procedures French" (Procédure a suivre si l'on dispose déjà d'un certificat) 4.3. ACCEPTATION DE CERTIFICAT Par l'utilisation d'un Certificat délivré par la BNB, la contrepartie BNB accepte la présente Certificate Policy Statement. 4.4. REVOCATION DE CERTIFICAT Les conditions de révocation d'un certificat sont mentionnées au point 3.4. A cette fin, l'utilisateur doit avertir l'autorité d'enregistrement BNB. L'AE BNB a en outre toujours le droit de révoquer chaque certificat de contrepartie BNB émis. Tous les certificats révoqués dont la date de validité n est pas encore échue sont repris dans la CRL. 4.5. PROCEDURES D'AUDIT 4.6. ARCHIVAGE 4.7. RENOUVELLEMENT DES CLES (KEY RENEWAL) Les certificats et les paires de clés doivent être renouvelées manuellement par le Titulaire, après avertissement par l AE. Cet avertissement aura lieu entre 1 et 3 mois avant l échéance du certificat. 4.8. COMPROMISSION ET PROCEDURES D'URGENCE 5. CONTROLES DE SECURITE PHYSIQUE, DE PROCEDURE ET DU PERSONNEL 5.1. CONTROLES DE SECURITE PHYSIQUE 5.2. PROCEDURES BNB - Data Security Management Page 10/11 Last Saved: 13.07.2007
5.3. PERSONNEL 6. CONTROLES DE SECURITE TECHNIQUE 7. PROFILS DE CERTIFICAT ET CRL Le certificat contiendra les renseignements suivants: Le texte fixe X509 NBB:nuin: xxx-yyyyyyyy-zz, comme expliqué en 3.1.1 La clé publique du Titulaire de Certificat Utilisation du certificat Authentification Signature numérique Encryption La CRL n est PAS consultable par les contreparties BNB. La CRL est au format CRLv2. 8. ADMINISTRATION DE LA CPS La BNB peut modifier unilatéralement la présente CPS. Les modifications peuvent soit être communiquées par courrier ordinaire avec demande de renvoi de la CPS signée pour accord, soit être annoncées lors d une demande de renouvellement de certificat dans l application avec obligation pour obtenir celui-ci de reconnaître sur un écran avoir lu et accepté la nouvelle version de la CPS. Cette acceptation électronique équivaut à une acceptation d une version papier par signature manuscrite. Les modifications à la présente CPS sont mentionnées au début, sous "Historique du Document", avec la date et l'objet. BNB - Data Security Management Page 11/11 Last Saved: 13.07.2007