Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires de services de confiance qualifiés

Documents pareils
PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

MEMENTO Version

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

28/06/2013, : MPKIG034,

Autorité de Certification OTU

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Politique de Référencement Intersectorielle de Sécurité (PRIS)

AVIS D APPEL PUBLIC A LA CONCURRENCE VILLE DE FAGNIERES

Annexe 8. Documents et URL de référence

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

Institut Universitaire de Formation des Maîtres

Règlement de la Consultation

Règlement de la Consultation

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Règlement de la Consultation

PROCEDURE DE CERTIFICATION IIW MCS SELON EN ISO 3834

Les clauses «sécurité» d'un contrat SaaS

CERTIFICATION CERTIPHYTO

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Autorité de Certification OTU

ENTRETIEN DES ESPACES VERTS QUARTIER DU LEVANT (RENOUVELABLE 2 FOIS)

Règlement de la Consultation

POLITIQUE DE CERTIFICATION. Autorité de certification «CERTEUROPE ADVANCED CA V3»

Règlement de la Consultation

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

DATE D'APPLICATION Octobre 2008

Attention, la visite du site est obligatoire L absence de remise d un certificat de visite entraînera la non-conformité de l offre remise

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Politique de Certification

Politique de Certification de l'ac INFRASTRUCTURE Profil Signature de jetons d horodatage

PRESTATIONS DE NETTOYAGE DES LOCAUX, NETTOYAGE DES VITRES, FOURNITURES de PRODUITS CONSOMMABLES et ADAPTES

Marché public de services REGLEMENT DE CONSULTATION

Fourniture de repas en liaison froide pour le service de portage de RÉGLEMENT DE CONSULTATION (R.C.)

LA VERSION ELECTRONIQUE FAIT FOI

TRANSPORT EN AMBULANCE VSL - TAXI. Marché à procédure adaptée. Dossier S REGLEMENT DE LA CONSULTATION

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

Rapport de certification PP/0101

COMITE DEPARTEMENTAL DU TOURISME DES PYRENEES ORIENTALES

PASSI Un label d exigence et de confiance?

Information Security Management Lifecycle of the supplier s relation

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

Les frais d accès au réseau et de recours à la signature électronique sont à la charge de chaque candidat.

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

MARCHE PUBLIC DE FOURNITURES. «PRESTATION DE SURVEILLANCE et GARDIENNAGE DES LOCAUX D AGROCAMPUS OUEST»

Objet de la consultation

MARCHES PUBLICS DE FOURNITURES COURANTES ET SERVICES

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

POLITIQUE DE CERTIFICATION AC RACINE JUSTICE

Cahier des charges. Achat de bornes interactives pour la Maison de l Environnement de Nice

Appel à concurrence dans le cadre d une procédure adaptée N 65. Fourniture d azote liquide et de matériels de transport et de stockage d azote liquide

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

Règlement de la Consultation N MR

SERVICES TECHNIQUES CENTRE HOSPITALIER. d AURILLAC. 1er congrès de l AFGRIS

Date limite de réception des offres : Lundi 29 juin 2015 à 16H00

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

REGLEMENT DE LA CONSULTATION (R.C) MAIRIE DE FENOUILLET Département de la Haute Garonne FOURNITURES DE NETTOYAGE ET D ENTRETIEN

Introduction à l ISO/IEC 17025:2005

REGLEMENT DE LA CONSULTATION

Règlement de la consultation

REGLEMENT DE LA CONSULTATION

CONDITIONS GENERALES DE VENTE

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

MARCHÉ PRESTATIONS N P REGLEMENT DE LA CONSULTATION

VERIFICATION MAINTENANCE ET RENOUVELLEMENT DES SYSTEMES DE DETECTION INTRUSION ET TELESURVEILLANCE DES BATIMENTS COMMUNAUX

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

Ordonnance sur les services de certification électronique

Politique de Certification de l'ac "ALMERYS SIGNATURE AND AUTHENTICATION CA NC" Référentiel : Sous-Référentiel : Référence : Statut :

LOCATION ET MAINTENANCE DE PHOTOCOPIEURS AVEC FOURNITURE DE CONSOMMABLES MARCHE DE FOURNITURES & SERVICES

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

REGLEMENT DE CONSULTATION

REGLEMENT DE LA CONSULTATION ((RC) n de marché Date : Novembre 2014

Certificats Numériques Personnels RGS et/ou ETSI

La sécurité des solutions de partage Quelles solutions pour quels usages?

Notice UTILISATION DE SOURCES RADIOACTIVES (domaine non médical)

Référentiel Général de Sécurité

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Règlement de la Consultation

Politique de Certification - AC SG TS 2 ETOILES Signature

ISO/CEI 27001:2005 ISMS -Information Security Management System

Travaux de nettoyage des bâtiments intercommunaux Marché public n

Marché n : 2014/ 003/0103/ /DCTSDR0086

Décrets, arrêtés, circulaires

La certification ISO 22000

ET LA DÉLIVRANCE DU CERTIFICAT

REGLEMENT DE LA CONSULTATION

REGLEMENT DE CONSULTATION

Rapport de certification PP/0002

COMITE DEPARTEMENTAL DU TOURISME DES PYRENEES ORIENTALES

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

GEFI Notice utilisateurs Modules : WEBCOR et WEBDOC

Transcription:

Premier ministre Agence nationale de la sécurité des systèmes d information Prestataires de services de confiance qualifiés Critères d évaluation de la conformité au règlement eidas Version 1.2 du 05 juillet 2017

HISTORIQUE DES VERSIONS DATE VERSION EVOLUTION DU DOCUMENT REDACTEUR 04/05/2016 1.0 Version pour application au 1 er juillet 2016. ANSSI Version pour application au 31 janvier 2017. Modifications : 03/01/2017 1.1 - Précisions relatives au maintien du statut qualifié et à l inscription dans la liste de confiance ; - Précisions relatives aux modalités de certification des équipements cryptographiques et à l emploi de la cryptographie ; - Modifications mineures et clarifications. ANSSI 05/07/2017 1.2 Version pour application au 3 août 2017. Modifications : - Prise en compte de la nouvelle version du guide d hygiène informatique ; - Prise en compte de la nouvelle version du référentiel du SOG-IS relatif à l emploi des mécanismes cryptographiques ; - Ajout de précisions sur la liste des changements importants nécessitant une notification à l ANSSI. ANSSI Les commentaires sur le présent document sont à adresser à : Agence nationale de la sécurité des systèmes d information SGDSN/ANSSI 51 boulevard de La Tour-Maubourg 75700 Paris 07 SP supervision-eidas@ssi.gouv.fr 1.2 05/07/2017 PUBLIC 2/13

SOMMAIRE I. INTRODUCTION...4 I.1. Objet... 4 I.2. Cadre juridique... 4 I.3. Mise à jour... 4 I.4. Acronymes... 4 II. EXIGENCES RELATIVES AUX PRESTATAIRES DE SERVICES DE CONFIANCE QUALIFIÉS...5 II.1. Modalités de qualification... 5 II.1.1. Processus de qualification... 5 II.1.2. Durée de validité et maintien de la qualification... 5 II.1.3. Considérations relatives à l inscription dans la liste de confiance... 5 II.2. Critères d'évaluation de la conformité... 6 II.3. Compléments à la norme [EN_ 319_401]... 7 II.3.1. Compléments relatifs à la notification des changements apportés aux services fournis... 7 II.3.2. Compléments relatifs aux systèmes fiables pour le stockage des données... 7 II.3.3. Compléments au chapitre 5 de la norme [EN_ 319_401] : «Risk Assessment»... 7 II.3.4. Compléments au chapitre 7 de la norme [EN_ 319_401] : «TSP Management and Operation»... 8 II.3.5. Compléments relatifs à la certification des modules cryptographiques... 9 II.3.6. Compléments relatifs aux algorithmes et mécanismes cryptographiques... 10 II.3.7. Langue des documents publiés par le PSCo... 10 ANNEXES... 11 I. Annexe 1 Références documentaires...11 II. Annexe 2 Couverture des exigences du règlement [eidas]...13 1. 2 05/07/2017 PUBLIC 3/13

I. Introduction I.1. Objet Dans le cadre du règlement [eidas], l ANSSI, désignée comme organe de contrôle par la note des autorités françaises [NOTIFICATION], a la charge de contrôler le respect des exigences du règlement par les prestataires de service de confiance qualifiés et les services de confiance qualifiés qu ils fournissent. La présente note décrit les exigences générales relatives à la qualification selon le règlement [eidas] de l ensemble des prestataires de services de confiance, indépendamment de la nature des services de confiance qualifiés qu ils fournissent. Ces exigences générales sont complétées par les exigences spécifiques applicables à chaque type de service de confiance qualifié, faisant l objet des documents distincts [eidas_deliv_cert], [eidas_horo], [eidas_val_sign], [eidas_cons_sign] et [eidas_envoi_reco]. Note : Dans le cas où le service de confiance bénéficie des modalités de transition de la qualification selon le [RGS] vers la qualification selon le règlement [eidas], telles que précisées dans les notes [PSCE_RGS_eIDAS] et [PSHE_RGS_eIDAS], le présent document n est pas applicable. I.2. Cadre juridique Les prestataires de services de confiance qualifiés, respectant les exigences spécifiées au chapitre II du présent document ainsi que les exigences spécifiques à chaque service de confiance qualifié qu ils fournissent, bénéficient des effets juridiques prévus par le règlement [eidas] pour les services de confiance qualifiés. Ces effets juridiques sont précisés dans les référentiels d exigences spécifiques applicables à chacun des services de confiance qualifiés. I.3. Mise à jour L opportunité de la mise à jour de ce document est évaluée par l ANSSI et peut notamment être le fait d une évolution du cadre réglementaire ou normatif lié au règlement [eidas] ou d une évolution de l état de l art. L ANSSI précise la date d effet de chaque mise à jour et les modalités de transition le cas échéant. I.4. Acronymes Les acronymes utilisés dans le présent document sont les suivants : ANSSI CCRA CESTI OID PSCo SOG-IS Agence Nationale de la Sécurité des Systèmes d Information. Common Criteria Recognition Agreement. Centre d Evaluation de la Sécurité des Technologies de l Information. Object IDentifier. Prestataire de Services de Confiance. Senior Officials Group Information systems Security. 1. 2 05/07/2017 PUBLIC 4/13

II. II.1. Exigences relatives aux prestataires de services de confiance qualifiés Modalités de qualification II.1.1. Processus de qualification L ANSSI prend une décision de qualification d un prestataire de services de confiance sur la base d un rapport d évaluation de la conformité élaboré par un organisme d évaluation de la conformité répondant aux critères définis dans la note [CRITERES_OEC]. Ce rapport d évaluation doit permettre de vérifier le respect de l ensemble des exigences applicables au prestataire de service de confiance telles que spécifiées dans la présente note, ainsi que des exigences applicables au service de confiance faisant l objet de la demande de qualification. Le processus de qualification est décrit dans le document [QUALIF_SERV]. II.1.2. Durée de validité et maintien de la qualification La qualification du prestataire de services de confiance est délivrée pour une durée maximale de deux ans, conformément à l article 20 du règlement [eidas]. Pour permettre un maintien ininterrompu du statut qualifié d un service de confiance, un rapport d évaluation de la conformité établi par un organisme répondant aux critères de [CRITERES_OEC] doit être transmis à l ANSSI trois mois au moins avant l expiration de la qualification. II.1.3. Considérations relatives à l inscription dans la liste de confiance L identification d un service de confiance qualifié dans la liste de confiance doit respecter les exigences définies dans la clause 5.5.3 du standard [TS_119_612]. En particulier, il est attendu que la valeur de l attribut «Organization», figurant dans le certificat électronique identifiant le service de confiance qualifié, corresponde au nom du prestataire de services de confiance qualifié tel qu indiqué dans le champ «TSP Name» de la liste de confiance. Les référentiels d exigences publiés par l ANSSI précisent, pour chaque service de confiance qualifié selon le règlement, les moyens autorisés d identification du service pour son inscription dans la liste de confiance. Note : Le périmètre de l évaluation de la conformité doit être cohérent avec le niveau de précision de l identifiant retenu pour le service de confiance qualifié dans la liste de confiance qualifié. L inscription, dans la liste de confiance, d un nouvel élément d identification pour un service déjà qualifié (par exemple, l ajout d un nouveau certificat électronique d unité d horodatage ou d autorité de certification, ou d un nouvel OID de politique de certification) doit faire l objet d une demande à l ANSSI suivant les modalités de contact définies dans [QUALIF_SERV]. Il est recommandé de prévoir un délai minimal de trois mois avant mise en service de ces nouveaux éléments, permettant l instruction de la demande par l ANSSI. 1. 2 05/07/2017 PUBLIC 5/13

II.2. Critères d'évaluation de la conformité L évaluation doit permettre de démontrer le respect des exigences du règlement [eidas] applicables à l ensemble des prestataires de services de confiance qualifiés, spécifiées dans les articles suivants : 5(1) Protection et traitement des données à caractère personnel ; 13(2) Limitation de responsabilités ; 15 Accessibilité ; 19(1) Gestion des risques ; 19(2) Notification des incidents ; 24(2).a Information de l organe de contrôle relative aux modifications des services ; o b Expertise, fiabilité, expérience et qualification des personnels et sous-traitants ; o c Maintien de ressources financières suffisantes et/ou assurance responsabilité ; o d Information des conditions et limites d utilisation des services ; o e Utilisation de produits et systèmes fiables, sécurité et fiabilité des processus ; o f Utilisation de systèmes fiables pour le stockage des données ; o g Mesures contre la falsification et le vol des données ; o j Traitement licite des données à caractère personnel. Le respect de la norme [EN_ 319_401] et des compléments précisés dans le chapitre II.3 du présent document permet d apporter une présomption de conformité à ces exigences. Note : L article 24(2).e fait également l objet de précisions dans les référentiels d exigences spécifiques applicables à chaque service de confiance. La conformité aux articles 24(2).h et 24(2).i n est pas abordée dans le présent document. Elle est traitée dans les référentiels d exigences spécifiques applicables à chaque service de confiance. 1. 2 05/07/2017 PUBLIC 6/13

II.3. II.3.1. Compléments à la norme [EN_ 319_401] Compléments relatifs à la notification des changements apportés aux services fournis En cas de modification importante dans la fourniture de ses services de confiance qualifiés, le PSCo doit informer l ANSSI selon les modalités décrites dans le document [QUALIF_SERV]. Ces modifications importantes comprennent notamment, sans s y limiter : - les changements induits par une modification de la politique de service ou des conditions générales d utilisation associées ; - les changements de sous-traitants ; - les modifications des conditions d hébergement ; - les changements de matériels cryptographiques ; - les modifications d architecture technique ; - les changements de procédures d enregistrement et d identification ; - les changements dans la gouvernance du PSCo. Les modifications entrainant des changements dans la liste de confiance publiée par l ANSSI doivent être notifiées dans les meilleurs délais. Le PSCo doit adresser à l ANSSI une synthèse de l ensemble des modifications apportées à la fourniture de ses services de confiance qualifiés, impactant les constats présentés dans le rapport d évaluation de la conformité, à une fréquence annuelle. II.3.2. Compléments relatifs aux systèmes fiables pour le stockage des données Le PSCo doit utiliser des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière à ce que : les données ne soient publiquement disponibles pour des traitements qu après avoir obtenu le consentement de la personne concernée par ces données ; seules des personnes autorisées puissent introduire et modifier les données conservées ; l authenticité de ces données puisse être vérifiée. II.3.3. Compléments au chapitre 5 de la norme [EN_ 319_401] : «Risk Assessment» Le PSCo doit effectuer une analyse de risques sur le système d information utilisé pour mettre en œuvre le service de confiance et procéder à son homologation conformément au guide [HOMOLOGATION]. Cette homologation est réalisée préalablement à la fourniture du service de confiance qualifié puis révisée au moins tous les deux ans. Le PSCo doit évaluer l opportunité de mettre à jour l analyse de risques tous les ans. Le PSCo doit mettre à jour l analyse de risques à chaque modification ayant un impact important sur le service de confiance fourni, notamment en cas de modification des politiques ou pratiques relatives à la fourniture du service. L analyse de risque et la décision d homologation doivent être jointes au rapport d évaluation de la conformité transmis lors de la demande de qualification. 1. 2 05/07/2017 PUBLIC 7/13

II.3.4. Compléments au chapitre 7 de la norme [EN_ 319_401] : «TSP Management and Operation» 7.2.i : «Human resources» Le PSCo doit mettre en œuvre tous les moyens légaux dont il peut disposer pour s'assurer de l'honnêteté de ses personnels. Ces personnels ne doivent notamment pas avoir de condamnation de justice en contradiction avec leurs attributions. A ce titre, l employeur peut demander à ses personnels la communication d une copie du bulletin n 3 de leur casier judiciaire. L employeur peut décider en cas de refus de communiquer cette copie ou en cas de présence de condamnation de justice incompatible avec les attributions de la personne, de lui retirer ces attributions. Ces vérifications doivent être menées préalablement à l'affectation à un rôle de confiance et revues régulièrement (au minimum tous les 3 ans). 7.4 : «Access control» Le PSCo doit appliquer l ensemble des règles définies dans le guide d hygiène informatique [GH] publié par l ANSSI, pour le niveau «standard». Il est recommandé d appliquer les mesures de niveau «renforcé». 7.9 : «Incident management» Le PSCo doit notifier à l ANSSI dans un délai maximal de 24 heures après en avoir eu connaissance toute atteinte à la sécurité ou toute perte d intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées. Cette notification est réalisée au moyen du formulaire mis en ligne sur le site de l ANSSI, selon les modalités définies dans [QUALIF_SERV]. 1. 2 05/07/2017 PUBLIC 8/13

II.3.5. Compléments relatifs à la certification des modules cryptographiques Les fonctions cryptographiques sensibles 1 doivent être mises en œuvre dans des modules cryptographiques répondant aux critères définis dans le tableau ci-dessous 2 : Labellisation Schéma Référentiel Commentaire / modalités Certification Critères Communs 3 Certification Critères Communs 3 Certification Critères Communs 3 Certification Critères Communs 3 ANSSI Profils de protection reconnus par l ANSSI, référencés sur le site www.ssi.gouv.fr SOG-IS Profils de protection HSM 4 recommandés sur le site www.sogis.org SOG-IS CCRA Cible de sécurité vérifiée par l ANSSI comme étant comparable en terme d assurance avec les profils de protection reconnus par l ANSSI et conforme aux exigences du règlement. Cible de sécurité vérifiée par l ANSSI comme étant comparable en terme d assurance avec les profils de protection reconnus par l ANSSI et conforme aux exigences du règlement. Présomption de conformité à l exigence d utilisation de produits fiables Présomption de conformité à l exigence d utilisation de produits fiables Présomption de conformité à l exigence d utilisation de produits fiables L ANSSI demande à ce que les travaux correspondant aux augmentations non reconnues dans le cadre du CCRA soient réalisés dans un schéma du SOG-IS (avec fourniture du rapport technique d évaluation au CESTI en charge de l évaluation et au centre de certification). Autre Le demandeur doit fournir un argumentaire visant à démontrer à l ANSSI que sa méthode d évaluation, le laboratoire utilisé, le référentiel d évaluation, etc. sont de même niveau qu une certification Critères Communs réalisées dans le cadre du SOG-IS selon l un des profils de protection reconnus par l ANSSI. Le rapport d évaluation doit être fourni à l ANSSI pour analyse. L ANSSI se réserve le droit de demander des analyses complémentaires aux frais du demandeur dans un laboratoire agréé et reconnu compétent pour ce type de produit au sein du SOG-IS. 1 Les référentiels d exigences applicables à chaque type de service de confiance qualifié précisent les fonctions cryptographiques sensibles concernées selon le cas. 2 Dans le cas particulier des fonctions de signature électronique qualifiée ou de cachet électronique qualifié, le dispositif de création de signature ou de cachet électronique qualifié utilisé doit être certifié conformément à l article 30 du règlement [eidas]. 3 La certification selon les Critères Communs doit avoir une ancienneté inférieure à 10 ans. 4 L ANSSI vérifiera que le profil de protection est bien approprié pour le cas d usage prévu du module cryptographique au sein de l environnement du PSCo. 1. 2 05/07/2017 PUBLIC 9/13

II.3.6. Compléments relatifs aux algorithmes et mécanismes cryptographiques Les algorithmes et mécanismes cryptographiques mis en œuvre doivent être conformes aux spécifications du document [SOGIS-CRYPTO]. Pour les modules cryptographiques employés par le PSCo, certifiés conformément aux dispositions du chapitre II.3.5 du présent document, la vérification de la conformité à cette exigence nécessite, dans le cadre de leur certification : - une analyse théorique des mécanismes cryptographiques mis en œuvre ; et - une expertise de l implémentation de ces mécanismes dans le module cryptographique. II.3.7. Langue des documents publiés par le PSCo Les documents publiés par le prestataire de services de confiance à destination du public (conditions générales d utilisation et politiques relatives à la fourniture des services) doivent être rédigés en langue française. En complément, il est recommandé qu une version rédigée en langue anglaise de ces documents soit mise à disposition du public. 1. 2 05/07/2017 PUBLIC 10/13

Annexes I. Annexe 1 Références documentaires Renvoi [CRITERES_OEC] [eidas] [eidas_deliv_cert] [eidas_horo] [eidas_val_sign] [eidas_cons_sign] [eidas_envoi_reco] [GH] [HOMOLOGATION] [NOTIFICATION] [PSCE_RGS_EIDAS] Document Organismes d évaluation de la conformité Critères de reconnaissance au titre du règlement eidas, version en vigueur. Règlement n 910/2014 du 23 juillet 2014 sur l identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n 1999/93/CE. Disponible sur http://www.europa.eu Services de délivrance de certificats qualifiés de signature électronique, de cachet électronique et d authentification de site internet - Critères d évaluation de la conformité au règlement eidas, version en vigueur. Services d horodatage électronique qualifiés - Critères d évaluation de la conformité au règlement eidas, version en vigueur. Services de validation qualifiés des signatures électronique qualifiées et des cachets électroniques qualifiés - Critères d évaluation de la conformité au règlement eidas, version en vigueur. Services de conservation qualifiés des signatures électronique qualifiées et des cachets électroniques qualifiés - Critères d évaluation de la conformité au règlement eidas, version en vigueur. Services d envoi recommandé électronique qualifiés - Critères d évaluation de la conformité au règlement eidas, version en vigueur. ETSI EN 319 401 V2.1.1 (2016-02) Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers. Guide d hygiène informatique. L homologation de sécurité en neuf étapes simples, version en vigueur. Note des autorités française du 17 février 2015 à la Commission, désignant l ANSSI comme organe de contrôle au titre du règlement eidas. Services de délivrance de certificats qualifiés de signature électronique, de cachet électronique et d authentification de site internet - Modalités de qualification selon le règlement eidas des services qualifiés selon le RGS, version en vigueur. 1. 2 05/07/2017 PUBLIC 11/13

Renvoi [PSHE_RGS_EIDAS] [QUALIF_SERV] [SOGIS-CRYPTO] [TS_119_612] Document Services d horodatage électronique qualifiés Modalités de qualification selon le règlement eidas des services qualifiés selon le RGS, version en vigueur. Processus de qualification d un service, version en vigueur. SOG-IS Crypto Evaluation Scheme - Agreed Cryptographic Mechanisms - Version en vigueur. Disponible sur http://sogis.org ETSI TS 119 612 v2.1.1 (2015-07): Electronic Signatures and Infrastructures (ESI); Trusted Lists. 1. 2 05/07/2017 PUBLIC 12/13

II. Annexe 2 Couverture des exigences du règlement [eidas] Article Exigence du règlement eidas Clauses applicables des normes européennes 5(1) Protection et traitement des données à caractère personnel Clause 7.13 13(2) Limitation de responsabilités Clause 6.2 15 Accessibilité Clause 7.13 19(1) Gestion des risques Clauses 5, 6.3, et 7.1 à 7.8 Chapitres applicables du présent document Pas de complément à la norme Pas de complément à la norme Chapitre II.3.7 Chapitres II.3.3 et II.3.4 19(2) Notification des incidents Clause 7.9 24(2).a Information de l organe de contrôle relative aux Clause 7.12 modifications des services 24(2).b 24(2).c 24(2).d 24(2).e 24(2).f 24(2).g 24(2).j Expertise, fiabilité, expérience et qualification des personnels et sous-traitants Maintien de ressources financières suffisantes et/ou assurance responsabilité Information des conditions et limites d utilisation des services Utilisation de systèmes et produits fiables Utilisation de systèmes fiables pour le stockage des données Mesures contre la falsification et le vol des données Traitement licite des données à caractère personnel Clause 7. 2 Clause 7. 1.1 Clause 6.2 Clause 7.7 Non couvert Clauses 7.6 et 7.7 Clause 7.13 Chapitre II.3.4 Chapitre II.3.1 Chapitre II.3.4 Pas de complément à la norme Pas de complément à la norme Chapitres II.3.5 et II.3.6 Chapitres II.3.2 et II.3.4 Pas de complément à la norme Pas de complément à la norme 1. 2 05/07/2017 PUBLIC 13/13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back