COMMISSION de SURVEILLANCE du SECTEUR FINANCIER Luxemburg, le 4 janvier 2008 A tutes les persnnes et entreprises surveillées par la CSSF CIRCULAIRE CSSF 08/334 Cncerne : Spécificatins d'encryptin pur les déclarants Mesdames, Messieurs, Nus avns l hnneur de prter à vtre cnnaissance un certain nmbre de précisins cncernant les mdalités d encryptin applicables pur le reprting TAF/MIFID à partir du 1 er mai 2008. Le détail de ces mdalités est décrit dans le dcument «Spécificatins d'encryptin pur les déclarants» ainsi que dans le dcument «Standards techniques nuveaux reprtings» (qui en fait partie intégrante). Le certificat CSSF à utiliser sera publié en temps utile sur le site www.cssf.lu sus la rubrique «Reprting légal». Nus nus permettns d ajuter en ce qui cncerne les autres reprtings légaux à transmettre à la CSSF que nus y reviendrns le mment venu. Nus vus prins de recevir, Mesdames, Messieurs, l expressin de ns sentiments distingués. COMMISSION DE SURVEILLANCE DU SECTEUR FINANCIER Simne DELCOURT Directeur Arthur PHILIPPE Directeur Annexes
COMMISSION de SURVEILLANCE du SECTEUR FINANCIER Spécificatins d encryptin pur les déclarants V 1.00 1/8
1 Versins Date Versin Descriptin 31/12/2007 1.00 Versin finale 2/8
2 Smmaire 1 VERSIONS... 2 2 SOMMAIRE... 3 3 INTRODUCTION... 4 4 SPECIFICATIONS POUR LES DECLARANTS... 5 4.1 DISPOSITIONS ORGANISATIONNELLES CHEZ LE DÉCLARANT... 5 4.2 CERTIFICATS... 6 4.3 PROCÉDURE D ENREGISTREMENT DES CERTIFICATS... 7 4.4 ALGORITHMES D ENCRYPTAGE / SIGNATURE / COMPRESSION DES FICHIERS... 7 5 DISPOSITIONS DE TRANSITION... 8 3/8
3 Intrductin Le présent dcument entend mettre en place un cncept de sécurité dans le cadre du reprting légal au Luxemburg respectant les nrmes de cnfidentialité habituelles en recurant à un encryptage de but à but entre le côté surce d une infrmatin et le côté destinataire. Ce dcument a pur bjectif de spécifier les caractéristiques techniques et rganisatinelles à respecter par les déclarants pur instaurer l encryptage de but à but entre le déclarant et la CSSF. Vici une représentatin du cncept de but en but que le présent dcument intrduit : 4/8
4 Spécificatins pur les déclarants Ce chapitre distingue entre : Type d intervenant Déclarants Régulateurs Opérateurs de canaux de transmissin Editeurs d un lgiciel de reprting Editeurs d un lgiciel d encryptage / décryptage Caractéristiques Les entités sumises au reprting Les régulateurs définissant le reprting à transmettre et ayant déclaré leur acceptatin des spécificatins du présent dcument Sciétés ffrant un service de cllecte sécurisé avec transfert aller-retur de fichiers de reprting vers les régulateurs Sciété ffrant un util de génératin des fichiers de reprting Sciété ffrant un util d encryptage /décryptage de fichiers Il décrit les cnsignes à respecter par les déclarants lrsqu ils prduisent des fichiers de reprting à destinatin de la CSSF. Il faut nter qu il incmbe au dépsant de vérifier auprès de sn pérateur de canal de transmissin si sa slutin est bien acceptée par la CSSF. 4.1 Dispsitins rganisatinnelles chez le déclarant Les déclarants snt amenés à réaliser une séparatin stricte entre l encryptage de fichiers à rapprter et leur injectin dans le canal de transmissin. On différenciera ntamment les fnctins suivantes: 1. la génératin des fichiers à rapprter 2. l encryptage du fichier (u décryptage du fichier de retur) 3. le transfert vers la CSSF à travers le canal de transmissin Il est à veiller à une séparatin lgique entre les fnctins 2 et 3 qui se mntrera ntamment à travers le fait que l échange d un de ces mdules (ntamment par un mdule équivalent d un autre furnisseur) n a pas d impact fnctinnel direct sur les autres mdules. Il est aussi à veiller à ce que l encryptage ait lieu dans le réseau interne du déclarant. Une illustratin du cncept à réaliser est mntrée ci-dessus : 5/8
Trusted (Réseau interne) 1 Vérificatin des dnnées et génératin des fichiers wrk flw Semi-trusted / untrusted (DMZ et réseau externe) 3 Canal de transmissin 2 Sumissin au canal wrk flw Encryptage & Signature des fichiers Client Canal (évtl) Il va sans dire que les 3 fnctins clairement séparées peuvent ensuite être reliées par des enchaînements (wrkflws) autmatisés. Si la fnctin de génératin des fichiers se cmpse de plusieurs lgiciels (évtl de plusieurs furnisseurs), l encryptage se fera après la dernière instance ayant traité le fichier. Une large intégratin entre les fnctins 1 (génératin des fichiers à rapprter) et 2 (encryptage/décryptage du fichier) est pssible ; au cas ù un déclarant suhaite utiliser un mdule d encryptin de sn chix, l éditeur de lgiciel de reprting et l pérateur du canal de transmissin divent accepter ce chix. Il n est pas exclu qu un pérateur de canal u un éditeur de lgiciel de reprting agisse en même temps cmme furnisseur de lgiciel pur les autres fnctins mentinnées (y inclus la fnctin d encryptage / décryptage de fichiers) ; les principes du présent dcument divent cependant être respectés. 4.2 Certificats Les seuls certificats autrisés pur l encryptage de fichiers par les sins du déclarant snt les certificats SSL de l autrité de certificatin Luxtrust. Tutes les durées de validité (1 an, 3 ans, 5 ans) snt valables, les clés certifiées peuvent avir sit 1024, sit 2048 bits. La CSSF se réserve le drit d augmenter la lngueur des clés minimale en fnctin des besins de sécurité futurs. La CSSF n accepte que des certificats valides (e. a. nn expirés); à cet effet, il y aura une cmparaisn systématique de chaque certificat déclarant utilisé cntre la liste de révcatin (CRL) de Luxtrust lrs de la réceptin d un rapprt encrypté. La CSSF se réserve la pssibilité d utiliser des CRL ffline (avec dnc un petit décalage de la mise à jur des CRL). Les déclarants snt de leur côté également bligés de vérifier la validité du certificat de la CSSF avant l encryptage des dnnées et de n utiliser qu un certificat valide à cet effet. Tus les rapprts d un déclarant se signent avec le même (et dnc un seul) certificat. Le travail en interne chez le déclarant avec des cpies du certificat (utilisées p.ex. par des sus-entités du déclarant) est autrisé ; il va sans dire que l utilisatin crrecte de tutes les cpies de sn certificat est de l entière respnsabilité du déclarant. 6/8
4.3 Prcédure d enregistrement des certificats Le déclarant enverra à la CSSF : un currier électrnique à l adresse certrep@cssf.lu cntenant les infrmatins suivantes : Le canal (u les canaux) à travers le(s)quel(s) des fichiers signés avec ce certificat sernt envyés Le cde BIC pur le reprting TAF Le numér signalétique attribué par la CSSF (si applicable) Le numér du certificat (nn nécessaire si le certificat est crrectement attaché) Le nm du déclarant Nm d une persnne de cntact Prénm d une persnne de cntact Téléphne d une persnne de cntact Adresse-mail d une persnne de cntact Fichier attaché : le certificat Luxtrust utilisé pur la signature (frmats autrisés spécifiés dans le dcument «Standards techniques nuveaux reprtings») un currier fficiel dûment signé indiquant le numér du certificat avec lequel ses rapprts sernt signés Le currier électrnique sera utilisé par la CSSF pur l enregistrement des certificats déclarants, le currier fficiel impliquera la validatin (activatin) du certificat enregistré (après vérificatin du numér). En cas de changement de certificat (p.ex. à la fin de la péride de validité du certificat précédent), le déclarant effectuera la même prcédure au mins 5 jurs uvrables avant la fin de validité de l ancien certificat pur le nuveau numér de certificat. Après la cnfirmatin de l activatin du certificat à la CSSF, le nuveau certificat purra être utilisé. Le déclarant a le drit de passer par une sciété de services tierce pur générer ses rapprts et pur les envyer à la CSSF. Le certificat à enregistrer dans ce cas est celui de la sciété de services tierce. Le currier électrnique ci-dessus peut alrs se faire en blc par la sciété de services tierce pur tus ses clients ; le currier fficiel se fera de tute façn par chaque déclarant. 4.4 Algrithmes d encryptage / signature / cmpressin des fichiers Les algrithmes en questin snt définis dans le dcument externe «Standards techniques nuveaux reprtings» 7/8
5 Dispsitins de transitin Le présent alinéa s adresse aux dépsants qui utilisent actuellement un canal de transmissin qui ne répnd pas encre aux spécificatins d encryptin expliquées ci-dessus. La CSSF mettra en place dans ses systèmes internes un nuveau certificat Luxtrust. Ce certificat sera publié sur le site www.cssf.lu et sera à utiliser pur l encryptage de tus les rapprts du déclarant. Lrsqu un déclarant a mis à jur sn envirnnement sftware et intégré la fnctin d encryptage dans sn réseau interne, il demande à sn pérateur de canal la recnfiguratin de sn canal pur lui permettre de suivre les spécificatins du présent dcument. Il active également le décryptage des fichiers de retur par sn mdule de décryptage. La réutilisatin du certificat Luxtrust (qui est actuellement cnfiguré au niveau du canal) est pssible ; ce certificat peut dnc être utilisé dans le mdule d encryptin interne end-t-end s il n est plus utilisé à l intérieur du canal. 8/8
COMMISSION de SURVEILLANCE du SECTEUR FINANCIER Standards techniques nuveaux reprtings V 1.00 1/5
1 Versins Date Versin Descriptin 31/12/2007 1.00 Versin finale 2/5
2 Smmaire 1 VERSIONS... 2 2 SOMMAIRE... 3 3 STANDARDS A APPLIQUER... 4 3.1 ALGORITHMES D ENCRYPTAGE / SIGNATURE DES FICHIERS... 4 3.1.1 Cryptage / décryptage... 4 3.1.2 Structure des dnnées... 4 3.1.3 Signature électrnique... 4 3.1.4 Ordre des pératins... 4 3.1.5 Exemple... 5 3.2 COMPRESSION (GÉNÉRATION DE FICHIERS.ZIP)... 5 3.3 FORMATS DE CERTIFICATS ACCEPTÉS POUR L ENREGISTREMENT... 5 3/5
3 Standards à appliquer Le présent dcument définit les standards techniques mandatires pur les reprtings applicables. 3.1 Algrithmes d encryptage / signature des fichiers Les standards chisis snt les suivants : 3.1.1 Cryptage / décryptage Vici les spécificatins à réaliser: Algrithme de chiffrement symétrique Algrithme de chiffrement asymétrique utilisé pur chiffrer la clé de sessin Padding utilisé avec l algrithme de chiffrement symétrique Padding d'encryptin de la clé de sessin Algrithme AES 256 CBC (Rijndael) avec des clés d une lngueur de 256 bits (clé de sessin) Algrithme RSA avec au mins 1024 bits se basant sur les certificats Luxtrust PKCS#5 (Standard Blck Padding) Standard Blck Padding (aka PKCS padding) défini dans sectin [8.1] Encryptin-blck frmatting du dcument PKCS #1: RSA Encryptin Standard 3.1.2 Structure des dnnées Vici les spécificatins à réaliser: Structure des dnnées PKCS#7 versin 1.5 Ajute certificat de signature Oui, dans la structure PKCS#7 3.1.3 Signature électrnique Vici les spécificatins à réaliser: Algrithme de hashage sha 1 Algrithme d encryptin RSA Attached cntent Oui Cntre-signature Nn Signatures multiples Nn 3.1.4 Ordre des pératins Vici les spécificatins à réaliser: Ordre des pératins Encryptage avant signature 4/5
3.1.5 Exemple -----BEGIN PKCS7----- MIK0jQYJKZIhvcNAQcDIK0fjCCtHCAQAxggExMIIBLQIBADCBlTCBjzELMAkG A1UEBhMCTFUxEzARBgNVBAgTCkx1eGVtYm91cmcxGTAXBgNVBAcTEEVzY2gtc3Vy... stripped cntent... ealkklsyzck6zv3m4v24kmgdbrpkccbwysxru1vx1mnbrksue2hdacuq72u3itav mg== -----END PKCS7----- 3.2 Cmpressin (génératin de fichiers.zip) Vici les spécificatins à réaliser au cas ù le reprting en questin spécifie l utilisatin d un archive.zip pur l envi des dnnées: Algrithme de cmpressin Archives multi-vlumes (multi-part zipfile) Taille maximale d un fichier dans l archive Cdepage RFC 1951 (DEFLATE Cmpressed Data Frmat Specificatin versin 1.3) Nn 2 Giga-ctets UTF-8 3.3 Frmats de certificats acceptés pur l enregistrement Frmat Descriptin Extensin (Windws) PEM (fichier text -----BEGIN CERTIFICATE----- --- --END CERTIFICATE-----).cer DER (fichier binaire).cer u.der PKCS7 fichier binaire.p7b 5/5