OpenTrust DMS RGS PS Formulaires 1.0s

Politiq
que de
e Sign
nature
PS po
our la gestio
g
on des certifficats RGS
Emman
nuel Mo
ontacute
elli
02/09/2011
OpenTrrust_DM
MS_RGS
S_PS_F
Formula
aires_v1
1.0
PS POUR LA GESTION DES CERTIFICATS RGS

Version du document :
Statut du document :
40
Nombre total
de pages :
Version finale
1.0
Projet
Emmanuel Montacutelli
Rdacteur du
document :
Liste de diffusion :
OpenTrust
Externe
Public,
certificats
Interne OpenTrust
Porteurs
de
Tous les personnels
Historique du document :
Date
Version
Rdacteur
Commentaires
Vrifi par
02/09/2011
Passage en v1.0
JYF
1.0
EM
OpenTrust. Tous droits rservs.
Rf : OpenTrust_DMS_RGS_PS_Formulaires_v1.0
-2-
www.opentrust.com
SOMMAIRE
AVERTISSEMENT
INTRODUCTION
1.1
Prsentation gnrale ......................................................................................................................... 8
1.2
Communaut dutilisateur du service de signature ............................................................................. 8
1.2.1
LAutorit de Signature (AS) .......................................................................................................... 9
1.2.2
LAE KWA ...................................................................................................................................... 9
1.2.3
Utilisateur ....................................................................................................................................... 9
1.2.4
Le vrificateur................................................................................................................................. 9
1.3
Utilisation de la politique de signature .............................................................................................. 10
1.4
Identification du document ................................................................................................................ 10
1.5
Gestion de la PS et des pratiques associes ................................................................................... 10
1.5.1
Elaboration de la PS et des pratiques associes ........................................................................ 10
1.5.2
Dlai de pravis ........................................................................................................................... 10
1.5.3
Forme de diffusion des avis ......................................................................................................... 10
1.5.4
Point de contact ........................................................................................................................... 10
1.6
Dfinitions.......................................................................................................................................... 11
1.7
Acronymes ........................................................................................................................................ 17
18
DISPOSITIONS REGLEMENTAIRES ET LEGALES

2.1
Obligations ........................................................................................................................................ 18
2.1.1
Obligations de lAutorit de Signature ......................................................................................... 18
2.1.2
Obligation de lAE KWA ............................................................................................................... 18
2.1.3
Obligation de lUtilisateur ............................................................................................................. 19
2.1.4
Obligations du Vrificateur ........................................................................................................... 19
2.2
Conformit avec les exigences lgales............................................................................................. 19
2.2.1
Exonration des droits ................................................................................................................. 19
2.2.2
Loi applicable ............................................................................................................................... 19
2.2.3
Rglement des litiges ................................................................................................................... 20
2.2.4
Droits de proprit intellectuelle................................................................................................... 20
2.2.5
Protection des donnes caractre personnel ........................................................................... 20
2.2.6
Effets de la rsiliation et survie .................................................................................................... 21
2.3
Garantie et limite de responsabilit ................................................................................................... 21
-3-
www.opentrust.com
2.4
3
3.1
Type de document mtier ligible la signature .............................................................................. 23
3.2
Logiciel pour llaboration et linterprtation du document mtier..................................................... 23
3.3
Format du document mtier .............................................................................................................. 23
3.4
Politique de scurit pour llaboration du document mtier ............................................................ 23

24
SIGNATURE DU DOCUMENT METIER PAR LUTILISATEUR
Remplissage des documents mtiers ............................................................................................... 24
4.1.1
Remplissage des documents mtiers : Utilisateurs ..................................................................... 24
4.1.2
Visualisation du document mtier ................................................................................................ 24
4.2
Signature du document mtier par lUtilisateur ................................................................................. 24
4.3
Horodatage ....................................................................................................................................... 25
4.4
Etat de validit des certificats ........................................................................................................... 26

26
IDENTIFICATION ET AUTHENTIFICATION
5.1
Identits utilises pour les documents mtiers et fichiers de preuves signs .................................. 26
5.2
Authentification et identification de lUtilisateur ................................................................................. 26
5.2.1
Identit KWA porte dans le certificat KWA ................................................................................ 26
5.2.2
Vrification et validation de lidentit KWA de lUtilisateur ........................................................... 26

27
STOCKAGE ET MISE A DISPOSITION DU DOCUMENT SIGNE

6.1
Conservation et archivage du document mtier sign...................................................................... 27
6.2
Mise disposition du document sign par lAS ................................................................................ 27

28
VALIDATION ET UTILISATION DE DOCUMENT SIGNE

7.1
Validation des signatures AS et Utilisateur ....................................................................................... 28
7.2
Utilisation dun document sign ........................................................................................................ 29
7.2.1
Pendant la priode de validit des certificats .............................................................................. 29
7.2.2
Aprs la priode de validit dun ou des certificats...................................................................... 29
7.3
Vrification des identits ................................................................................................................... 30
7.3.1
8
23
ELABORATION DU DOCUMENTMETIER (FORMULAIRES)
4.1
Publication dinformation ................................................................................................................... 21
Document mtier sign ................................................................................................................ 30
EXIGENCES
PHYSIQUES
ET
ENVIRONNEMENTALES,
PROCEDURALES
ET
33
ORGANISATIONNELLES
8.1
Exigences physiques et environnementales ..................................................................................... 33
8.2
Exigences procdurales .................................................................................................................... 33
-4-
www.opentrust.com
8.2.1
Manipulation et scurit des supports ......................................................................................... 34
8.2.2
Planification de Systme.............................................................................................................. 34
8.2.3
Rapport d'incident et rponse ...................................................................................................... 34
8.2.4
Procdures de fonctionnement et responsabilits ....................................................................... 34
8.2.5
Gestion d'Accs au Systme ....................................................................................................... 34
8.2.6
Dploiement et Maintenance ....................................................................................................... 35
8.3
Exigences organisationnelles............................................................................................................ 35
8.4
Journalisation et archivage ............................................................................................................... 36
8.4.1
Evnements lis la mise en uvre dune plate-forme ............................................................. 36
8.4.2
Evnements lis la gestion des cls de la plate-forme de signature de lAS ........................... 36
8.4.3
Dure de conservation ................................................................................................................. 36
8.4.4
Archivage ..................................................................................................................................... 36
8.5
Compromission et plan de continuit ................................................................................................ 36
8.6
Fin d'activit ...................................................................................................................................... 37
8.6.1
9
Transfert dactivit ........................................................................................................................ 37
EXIGENCES DE SECURITE SUR LES CLES DE SIGNATURE DES UTILISATEURS
37
9.1
Gnration des bis-cls de signature de lUtilisateur ........................................................................ 37
9.2
Certification des bi-cls de lUtilisateur ............................................................................................. 37
9.3
Gestion de la dure de vie descls prives et du certificat de lUtilisateur ...................................... 37
9.4
Protection des cls prives de lUtilisateur ....................................................................................... 37
9.5
Exigences de sauvegarde des cls de lUtilisateur ........................................................................... 38
9.6
Destruction de cls de lUtilisateur .................................................................................................... 38
9.7
Algorithmes utiliss ........................................................................................................................... 38
10 MECANISMES DE SECURITE DES SYSTEMES INFORMATIQUES
38
10.1
Exigences techniques de scurit des ressources informatiques .................................................... 38
10.2
Mcanismes de scurit du rseau .................................................................................................. 38
11 CONTROLES DE CONFORMITE ET AUTRES EVALUATIONS
38
11.1
Frquence et motifs des audits ......................................................................................................... 38
11.2
Identit / Qualification des auditeurs ................................................................................................. 39
11.3
Lien entre l'auditeur et l'entit contrle ........................................................................................... 39
11.4
Points couverts par l'valuation ........................................................................................................ 39
11.5
Mesures prises en cas de non-conformit ........................................................................................ 39
11.6
Communication des rsultats ............................................................................................................ 39
-5-
www.opentrust.com
12 ANNEXE 1 : DOCUMENTS CITES EN REFERENCE
39
12.1
Rglementation ................................................................................................................................. 39
12.2
Documents techniques...................................................................................................................... 40
-6-
www.opentrust.com
AVERTISSEMENT
La prsente politique de signature est une uvre protge par les dispositions du Code de la Proprit
Intellectuelle du 1er juillet 1992, notamment par celles relatives la proprit littraire et artistique et aux
droits dauteur, ainsi que par toutes les conventions internationales applicables. Ces droits sont la proprit
exclusive de KEYNECTIS.
La reproduction, la reprsentation (hormis la diffusion), intgrale ou partielle, par quelque moyen que ce soit
(notamment, lectronique, mcanique, optique, photocopie, enregistrement informatique), non autorise
pralablement de manire expresse par KEYNECTIS ou ses ayants droit, sont strictement interdites.
Le Code de la Proprit Intellectuelle nautorise, aux termes de lArticle L.122-5, dune part, que les copies
ou reproductions strictement rserves lusage priv du copiste et non destins une utilisation
collective et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration,
toute reprsentation ou reproduction intgrale ou partielle faite sans le consentement de lauteur ou de ses
ayants droit ou ayants cause est illicite (Article L.122-4 du Code de la Proprit Intellectuelle).
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon
sanctionne notamment par les Articles L. 335-2 et suivants du Code de la Proprit Intellectuelle.
-7-
www.opentrust.com
INTRODUCTION
1.1
Prsentation gnrale
LAutorit de Signature (ci-aprs dnomme AS ) permet de signer lectroniquement des Formulaires

dans le cadre de la gestion du cycle de vie de certificat RGS mis par des AC qualifie RGS de
KEYNECTIS.
LAS met en uvre les services suivants :
-
La Signature lectronique de documents mtier par un Utilisateur ;
Lhorodatage et la validation OCSP des documents mtiers signs.
Dans le cadre de la PS, KEYNECTIS permet aux Utilisateurs de signer lectroniquement des documents
mtiers, de les transmettre par Internet et de les conserver en leur confrant la mme valeur lgale quun
crit sur support papier, en conformit avec les dispositions des articles 1316-1 et de la premire phrase du
second alina de larticle 1316-4 du Code civil.
Le prsent document constitue la Politique de Signature (ci-aprs dnomme PS ) de lAS pour le service
de signature dcrit ci-avant.
La prsente Politique de Signature de lAS, lensemble des politique de certification et la Pratique de
signature forme lensemble des documents qui permettent de garantir la valeur probante des documents
signs. Si une des parties de la communaut dutilisateur, comme dfinit ci-aprs, ne respecte pas les rgles
qui lui incombent et dfinies par ces documents, alors le document sign pourra perdre sa valeur juridique.
Le prsent document dfinit :
-
Les rgles applicables aux documents faire signer ;

Les rgles applicables la gnration de signatures lectroniques de documents au format
lectronique ;
Les rgles qu'il est ncessaire d'appliquer lors de la vrification des signatures apposes sur les
documents signs ;
Les rgles applicables pour la mise disposition des documents signs lUtilisateur et leur
conservation ;
Les engagements et les limites de responsabilit des acteurs dans le cadre de llaboration, signature
et la validation de signature ;
Les Autorits de certification et les types de certificats de signature autoriss pour la signature et la
validation de signature de document.
Les pratiques de signature exposent les mcanismes mis en uvre pour atteindre les rgles de scurit de
la prsente PS, en particulier les processus que la plate-forme de confiance de lAS emploiera pour mettre
en uvre la cinmatique signature des documents.
En raison de la confidentialit dune partie de leur contenu, les pratiques sont des documents diffusion
restreinte, ils ne sont disponibles la consultation qu'aux personnes habilites en prendre connaissance.
Toute demande de consultation devra tre adresse lAS.
1.2
Communaut dutilisateur du service de signature
La communaut dutilisateurs de la politique de signature est constitue des entits suivantes :

-
LAS ;
LAE KWA ;
LUtilisateur ;
Le Vrificateur.
-8-
www.opentrust.com
1.2.1
LAutorit de Signature (AS)
Dsigne lentit qui a en charge l'application de la prsente Politique de signature (PS). LAS fait apposer les
signatures lectroniques par des Utilisateurs (Porteur et Mandataire de Certification et/ou Reprsentant
habilit dEntit Lgale) sur des Formulaires via le Portail web de signature de KEYNECTIS. KEYNECTIS
est AS.
LAS dfinit un niveau de scurit concernant les certificats KWA utiliser pour signer et identifie et/ou
autorise des AC qui dlivrent et grent des certificats conformment au niveau de scurit requis.
LAS a galement la charge de :
-
La scurit du processus de llaboration des documents mtiers signer ;
La conservation des documents signs ;
La mise en uvre du portail de signature sur lequel sauthentifie lUtilisateur ;
Le suivi juridique avec lAE KWA ;
La dfinition des identits utiliser dans les certificats KWA et les documents mtiers signs ;
Les types de documents mtiers autoriss ;
La dfinition des protocoles de consentements ;
La dfinition, la validation et le contrle de la politique de signature et des pratiques associes.
1.2.2
LAE KWA
Dsigne lune des composantes de lIGC (ou ICP), approuve par lAC KWA pour enregistrer les demandes
dmission de Certificats et de rvocation de Certificats, les valider ou les rejeter et grer lidentification et
lauthentification de lUtilisateur.
LAutorit dEnregistrement pour les Certificats KWA est soit lAED ayant signe un contrat dAED avec
KEYNECTIS dans le cadre des certificats RGS mis et gres par une AC de KEYNECTIS soit KEYNECTIS
en tant quAE dans le cadre des certificats RGS mis et grs par une AC de KEYNECTIS.
1.2.3
Utilisateur
Dsigne la personne physique, identifie dans le Certificat KWA, ayant conclue une transaction lectronique
et auquel est associ un numro unique de transaction (TransNUM) indiqu dans le Certificat KWA.
Lidentit KWA de lUtilisateur est reconnue et valide par lAE KWA.
Les Utilisateurs remplissent les documents mtiers (Formulaires) et les signent sur le Portail de signature de
lAS.
1.2.4
Le vrificateur
Le vrificateur est une personne physique qui a la responsabilit du processus de vrification automatique
ou manuelle. Processus dont le rle est de valider, pour le compte d'une personne morale ou un particulier,
la ou les signature(s) lectronique(s) dun Document mtier sign conformment la prsente PS ou dun
Fichier de preuve. Selon le rsultat de lopration de validation, le processus de vrification automatique
pourra dcider de l'utilisation ou non du document.
Le processus de vrification automatique procde la validation de la signature lectronique selon
l'ensemble des modalits de validations prvues dans la prsente politique de signature.
-9-
www.opentrust.com
1.3
Utilisation de la politique de signature
Ce service de signature permet de signer seulement les documents mtiers de types Formulaires utiliss
dans le cadre du cycle de vie des certificats mis par une AC RGS de KEYNECTIS.
Ces signatures permettent de confrer une valeur probante aux Formulaires signs par lUtilisateur. Il est
rappel que la valeur juridique de la signature dpend directement des procdures denregistrement
(identification) et dauthentification de lUtilisateur mises en uvre par lAE KWA.
De mme, la politique de signature est complte par les CGU figurant dans les Formulaires.
Suite la signature dun Formulaire par lUtilisateur, KEYNECTIS cre un fichier de preuve qui est stock
chez KEYNECTIS. Le Formulaire sign est toujours remis lAE KWA et lUtilisateur peut le tlcharger sur
le portail de signature une fois sign.
Les signatures de lAS et de lUtilisateur sont directement interprtables avec un logiciel de type Adobe
Reader car les signatures sont directement embarques avec le document.
1.4
Identification du document
La prsente PS est dnomme : Politique de Signature Formulaires RGS .
1.5
Gestion de la PS et des pratiques associes
1.5.1
Elaboration de la PS et des pratiques associes
La politique de signature et les pratiques associes sont rdiges et/ou approuves par lAS.
Les pratiques qui supportent la prsente PS sont approuves par lAS laquelle toute demande de
renseignements est adresser. LAS dispose dun comit, qui a entre autres la responsabilit de veiller la
conformit des pratiques avec la prsente politique de signature.
1.5.2
Dlai de pravis
LAS informera les AE KWA et les Utilisateurs qui utilisent le Service de signature en respectant un pravis
de trente (30) jours calendaires avant de procder tout changement de la prsente politique, susceptible
de produire un effet majeur sur lesdits AE KWA et les Utilisateurs. Le dlai de 30 jours pourra tre plus court
en cas de contraintes rglementaires de place, ou des autorits de tutelle.
LAS informera les AE KWA et les Utilisateurs qui utilisent le Service de signature en respectant un pravis
de quinze (15) jours calendaires avant de procder tout changement de la prsente politique, susceptible
de produire un effet mineur sur lesdits AE KWA et les Utilisateurs.
LAS peut modifier la prsente politique sans pravis lorsque, selon lvaluation du responsable de la
politique de signature, ces modifications nont aucun impact sur lAE KWA et les Utilisateurs. Toutefois lAS
de signature informera les AE KWA de la nature de la modification.
1.5.3
Forme de diffusion des avis
Dans les cas de modification soumise pravis, lAS avise les AE KWA et les Utilisateurs qui utilisent le
Service de signature des modifications apportes la prsente PS, par tous moyens sa convenance dont
notamment le site Internet de publication de la PS et la messagerie lectronique, selon la porte des
modifications.
1.5.4
Point de contact
Toute demande relative la prsente PS doit tre adresse :

-
KEYNECTIS ;
Contact : Directeur des Services ;
11-13 rue Ren Jacques - 92131 Issy-les-Moulineaux Cedex ;
Tl : +33 (0)1 55 64 22 00 ;
Fax : +33 (0)1 55 64 22 01 ;
- 10 -
www.opentrust.com
info@keynectis.com.
Toute demande de consultation des pratiques associes la prsente politique de signature devra tre
motive. Cette demande est instruite en tenant compte des lments de motivation de la demande, la
transmission ventuelle aura lieu conformment aux rgles de protection de l'information appliques par
lAS.
1.6
Dfinitions
Authentification : Conformment au document de lANSSI (Authentification, Rgles et recommandations

concernant les mcanismes dauthentification de niveau de robustesse standard ou renforc, version 1.0 du
13 janvier 2010, lauthentification est dfinie de la manire suivante : Lauthentification a pour but de
vrifier lidentit dont une entit (personne ou machine) se rclame. Gnralement, lauthentification est
prcde dune identification qui permet cette entit de se faire reconnatre du systme par un lment
dont on la dot. En rsum, sidentifier cest communiquer une identit pralablement enregistre,
sauthentifier cest apporter la preuve de cette identit .
Authentification : pour lmission de certificat KWA, cest une opration organisationnelle ralise par lAE
de lAC KWA qui consiste vrifier lidentit qui est porte le certificat KWA. Pour lutilisation dun certificat,
cest une opration technique qui consiste valider un certificat. Pour la mise en uvre du protocole de
consentement cest lopration qui consiste vrifier lidentit de lUtilisateur et sassurer quil est autoris
signer un document grce lauthentification ralise par lapplication utilisatrice.
Autorit de Certification (AC) : Autorit de confiance qui met et gre des certificats lectroniques et des
LCR. Il est noter que dans le cadre de la politique de signature, plusieurs autorits de certification sont
utilises pour grer les certificats de lAH, de lAS, des systmes dtat de certificats (OCSP) et des
signataires.
Autorit de Certification KWA (AC KWA) : Autorit de confiance qui met et gre des certificats KWA.
KEYNECTIS est lAC KWA.
Autorit dEnregistrement KWA (ou AE KWA) : Cf. 1.2.2.
Autorit dEnregistrement Dlgue (AED) : dsigne toute personne morale, concluant un Contrat avec
KEYNECTIS, aux termes duquel elle agit lgard des Utilisateurs pour le compte de lAutorit
dEnregistrement de KEYNECTIS dune AC RGS de KEYNECTIS. LAED est lintermdiaire entre lAE et les
Utilisateurs.
Autorit d'horodatage (AH) : dsigne une entit qui a en charge l'application d'au moins une politique
d'horodatage en s'appuyant sur une ou plusieurs Units d'Horodatage. LAH dlivre des contremarques de
temps avec une prcision donne et partir de sources de temps choisies.
Autorit de Signature (AS) : Cf. 1.2.1.
Bi-cl : dsigne un couple compos dune cl prive (devant tre conserve secrte) et dune cl publique,
ncessaire la mise en uvre dune prestation de cryptologie base sur des algorithmes asymtriques.
Plusieurs bi-cls interviennent dans lIGC :
-
La bi-cl de signature et/ou dauthentification dont la cl prive est utilise des fins de signature et/ou
dauthentification et la cl publique des fins de vrification ;
La bi-cl de confidentialit, dont la cl prive est utilise par une application des fins de dchiffrement de
donnes ou informations et la cl publique des fins de chiffrement de ces mmes informations.
Calcul dempreinte numrique : dsigne le processus algorithmique qui consiste obtenir une empreinte
numrique partir dune donne lectronique.
Centre de production : dsigne l'environnement physique et informatique (logiciels et matriels) scuris
de KEYNECTIS pour la mise en uvre du portail de signature. Le centre de production est en charge des
- 11 -
www.opentrust.com
oprations techniques, en particulier cryptographiques, ncessaires entre autre au processus de signature et

de gestion des documents mtiers, conformment la prsente politique de signature et aux pratiques de
signature dfinies par l'AS.
Certificat : fichier contenant la cl publique d'une entit, ainsi que d'autres informations, rendu impossible
contrefaire grce la signature par la cl prive de l'autorit de certification qui l'a mis [ISO/IEC 9594-8;
ITU-T X.509].
Certificat d'AC : certificat pour une AC fille mis par une AC racine.
Certificat dAC auto sign : certificat d'AC sign par la cl prive de cette mme AC (certificat dune ACR).
Certificat(s) KWA: dsigne(nt) les Certificats gnrs la vole par lAC de KEYNECTIS pour le compte
dUtilisateurs (Porteur et Mandataire de Certification et/ou Reprsentant habilit dEntit Lgale) qui
sauthentifient suivant un login/mot de passe fourni par lAE KWA et un Protocole de consentement, et dont
la cl prive associe est utilise pour la signature lectronique de Formulaires via le Portail web de
signature. Chaque Certificat KWA contient des informations telles que le nom et prnom de lUtilisateur, ainsi
que le nom de lEntit Lgale laquelle lUtilisateur est rattach.
Champ de signature : dsigne une zone particulire dans un document (e.g au format PDF) dans laquelle
pourront tre positionns les lments visuels constituant la reprsentation de la signature lectronique dans
le document.
Chemin de certification (ou chane de confiance, ou chane de certification): chane constitue de multiples
certificats ncessaires pour valider un certificat. Il est noter que dans le cadre de la politique de signature il
y a plusieurs chemins de confiance prendre en compte qui sont les chemins de certification qui servent
pour la validation des signatures, des contremarques de temps et des systmes dtat de certificats (OCSP)
apposs sur les Formualires.
Cl prive : cl de la bi-cl asymtrique d'une entit qui doit tre uniquement utilise par cette entit
[ISO/IEC 9798-1].
Cl publique : cl de la bi-cl asymtrique d'une entit qui peut tre rendue publique. [ISO/IEC 9798-1].
Conditions Gnrales dUtilisation (ou CGU) : dsignent les conditions juridiques dictes par
KEYNECTIS, relatives lutilisation des Certificats RGS par les Utilisateurs, et les obligations et
responsabilits des Utilisateurs. Ces CGU sont intgres aux Formulaires. La signature desdits Formulaires
vaut acceptation sans rserve par les Utilisateurs des CGU et de la Politique de Signature.
Contremarque de temps : dsigne la donne qui lie une empreinte numrique, par exemple lempreinte
numrique dun document, une date et une heure dUH. Cette contremarque de temps est signe
lectroniquement par une unit dhorodatage (UH). Une contremarque de temps permet dtablir la preuve
que lempreinte numrique existe la date et lheure qui y figurent.
Digital Signature (DIGSIG) : dsigne labrviation de Digital Signature pour un module particulier du logiciel
Adobe Live Cycle.
Demande de Certificats : dsigne toute demande dmission ou de renouvellement de Certificats effectue
et signe par le Porteur, signe par le Reprsentant Habilit de lEntit lgale du Porteur ou le cas chant
son Mandataire de certification, puis vrifie et contresigne par lAE KWA, avant dtre transmise auprs de
lAE de KEYNECTIS pour validation ou rejet.
Document lectronique : dsigne un ensemble de donnes structures (contenu du document plus les
mta-donnes associes) pouvant faire l'objet de traitement informatique par les applications informatiques.
Document lectronique mtier : dsigne un document lectronique sous un format PDF cre par
KEYNECTIS, complt par lUtilisateur et qui sera sign par lUtilisateur. Dans le cadre de la prsente PS,
les Documents mtiers sont des Formulaires.
- 12 -
www.opentrust.com
Document lectronique mtier sign : document sign lectroniquement laide des logiciels du portail de
signature de KEYNECTIS.
Donnes dauthentification : dsigne des donnes secrtes qui permettent lUtilisateur de sauthentifier
auprs du Portail de Signature et dtre li lidentit KWA qui lui est propre. Ces donnes associes un
Utilisateur lui permette de mettre en uvre sa cl prive KWA. Dans le cadre de la prsente Politique de
Signature la donne dauthentification KWA est un mot de passe temporaire li un seul et unique
Utilisateur.
Elments visuels de la signature : dsigne lensemble des informations sous format lectronique (texte,
fichier PDF, images) qui peuvent tre combines de faon tablir une reprsentation visuelle de la
signature lectronique dans le document sign. Ces lments visuels seront intgrs dans le champ de
signature suivant la configuration et les lments prdtermins par le client partir de la configuration de
base propose avec les outils de la socit Adobe Inc.
Empreinte numrique (ou Hash, condensa ou empreinte lectronique) : dsigne le rsultat, dune
fonction de hachage sens unique, cest--dire dune fonction calculant la rduction dun message de telle
sorte quune modification mme infime du message entrane la modification du rsultat obtenu et permet
donc de dtecter que le message a t modifi.
Entit Lgale : dsigne la personne morale indique dans la Demande de Certificat, dont lUtilisateur est
salari, et au nom de laquelle lUtilisateur utilise les Certificats lectronique RGS au moyen de son Identit
professionnelle K.Sign. Le Reprsentant Habilit de lEntit lgale devra signer le Formulaire de demande
de Certificats. Il peut nanmoins recourir un Mandataire de certification tant pour la phase de demande de
Certificat que pour la phase de remise des Supports.
Feuille de style : dsigne le fichier ou la partie de document web dcrivant la manire dafficher des
lments HTML individuels dans un navigateur web.
Fichier de preuve : dsigne lensemble des lments cres lors de la signature dun Formulaire par un
Utilisateur permettant dassurer la validit de lacte sign. Le Fichier de preuve est sign lectroniquement
par KEYNECTIS et non modifiable permettant ainsi dassurer la traabilit et la preuve de la ralisation de la
signature conclue en ligne et ce conformment aux procdures dcrites dans la prsente PS. LUtilisateur
naccdera pas directement aux Fichiers de preuve stocks par KEYNECTIS. Laccs au fichier de preuve
est nanmoins possible en cas de litige.
Format de document : dsigne le type de codage algorithmique utilis pour crer, modifier et visualiser un
document lectronique. Les documents mtiers signs sont au format PDF.
Format de document sign : dsigne le type de codage algorithmique utilis pour crer, modifier et
visualiser un document lectronique sign et le type de signature (PDF). Un document lectronique sign est
constitu par :
-
Les mtas-donnes ;
Le document lectronique ;
Lidentit lectronique du signataire et/ou lidentit de la personne morale du Client (en fonction de
lapplication utilisatrice) ;
La (ou les) valeur(s) de (ou des) signature(s) lectronique(s) appos(es) du document (incluant les
mtas-donnes) ;
Une contremarque de temps ;
Une validation OCSP pour chaque signature lectronique appose.
Formulaire(s) : dsigne(nt) le ou lensemble des formulaires (demande de certificat RGS sans MC,
demande de certificat RGS avec un MC, demande de cration dun MC, demande de rvocation, fabrication
de support suite la perte du Support et fabrication du support suite la perte du code PIN) sign(s)
lectroniquement par lAC de KEYNECTIS.
- 13 -
www.opentrust.com
Identification : processus qui consiste rcuprer un ensemble dinformations (adresse IP, non et prnom,
pseudonyme, donne biomtrique, courrier lectronique, ), aussi appels donnes didentification, partir
de lidentit avre et vrifiable de lUtilisateur afin de pouvoir dfinir une identit qui sera attribue
lUtilisateur de manire non ambigu et univoque et qui sera porte dans le document sign.
Identit-KWA Utilisateur : ensemble dinformation (nom(s) et prnom(s)) qui caractrise lUtilisateur en tant
quindividu de tel sorte quil puisse tre reconnu comme tel et quil puisse le prouver sans nulle confusion
laide dune pice didentit officielle (passeport ou carte nationale didentit).
IGC (Infrastructure de Gestion de Cls) : Une infrastructure de gestion de cls est l'ensemble des
ressources mises en uvre pour scuriser les couples de cls par la gnration et la gestion complte de
certificats de cls publiques.
Liste de certificats rvoqus (LCR) : liste signe numriquement par une AC et qui contient des identits
de certificats qui ne sont plus valides et non expirs. La liste contient l'identit de la LCR d'AC, la date de
publication, la date de publication de la prochaine LCR et les numros de srie des certificats rvoqus.
Mandataire de Certification (MC) : Un Mandataire de Certification est une personne physique mandate
par le Reprsentant Habilit de lEntit lgale du Porteur, pour agir au nom et pour le compte de cette
dernire lors des demandes de certificats auprs de lAE KWA, et de la remise des Supports de bi-cls aux
Porteurs.
Mtadonne : ensemble dinformations qui caractrise le document au regard du format de document
utilis.
PDF (Portable Document Format) : dsigne un format de fichier informatique cre par Adobe Systems et
dont la spcificit est de prserver la mise en forme (polices d'critures, images, objets graphiques...) telle
que dfinie par son auteur, et ce quelles que soient l'application et la plate-forme utilises pour lire ledit
fichier PDF.
Politique de Certification (PC) : dsigne lensemble des rgles, des engagements noncs et publis par
lAC dcrivant les caractristiques gnrales des services de certification et des certificats quelle dlivre.
Politique d'horodatage (PH) : dsigne lensemble de rgles, identifi par un nom (OID), dfinissant les
exigences auxquelles une AH se conforme dans la mise en place et la fourniture de ses prestations et
indiquant l'applicabilit d'une contremarque de temps une communaut particulire et/ou une classe
d'application avec des exigences de scurit communes. Une PH peut le cas chant, identifier les
obligations et exigences portant sur les autres intervenants, notamment les clients et les utilisateurs de
contremarques de temps.
Politique de Signature (PS) : dsigne un ensemble de rgles tablies par Keynectis pour la cration ou la
validation dune signature lectronique via le Portail web de signature (http://www.keynectis.com/PC) sous
lesquelles une signature lectronique peut tre dtermine comme valide. Une politique de signature
comprend notamment les lments suivants : (i) lidentification dun ou plusieurs points de confiance et des
rgles permettant de construire un chemin de certification entre le certificat du signataire et lun de ces points
de confiance ; (ii) les moyens mettre en uvre pour obtenir une rfrence de temps destine positionner
dans le temps la signature numrique du signataire et les donnes de validation; (iii) les moyens utiliser
pour vrifier le statut de rvocation de chaque certificat du chemin de certification par rapport cette
rfrence de temps ; (iv) les caractristiques que doit comporter le Certificat du signataire ; (v) lensemble
des donnes de validation que le signataire doit fournir ; (vi) les algorithmes cryptographiques (signature et
hachage) utiliser dans le cadre de la vrification de la signature numrique du document et des donnes
de validation.
Politique de validation de signature : sous-ensemble de la politique de signature qui fixe les exigences
techniques applicables au signataire et au vrificateur de la signature afin de pouvoir procder la validation
de cette signature.
- 14 -
www.opentrust.com
Portail web de signature : Portail web de signature : dsigne linterface web par laquelle le Porteur, le MC
et/ou le Reprsentant Habilit de lEntit Lgale du Porteur accdent, en sauthentifiant laide dun login et
dun mot de passe, pour signer lectroniquement des Formulaires ncessaires lobtention de certificat
K.Sign RGS, au moyen dune cl prive associe un Certificat KWA ddi et dlivr suite la saisie par
lUtilisateur dun mot de passe quil a pralablement reu par sms ou courrier lectronique. Le Portail de
signature envoie, par courrier lectronique, le Formulaire sign lAE KWA pour vrification.
Le Portail web de signature permet de signer lectroniquement des Formulaires et de les conserver en leur
confrant la mme valeur lgale quun crit sur support papier, en conformit avec les dispositions des
articles 1316-1 et de la premire phrase du second alina de larticle 1316-4 du Code civil.
Il est prcis que le Portail web de signature ne permet de signer lectroniquement que des Formulaires
signs par Keynectis. Tout autre document sera rejet et ne sera pas sign.
Porteur : dsigne la personne physique titulaire dun Certificat RGS dlivr par une AC RGS de
KEYNECTIS agissant, soit pour le compte dentreprises ou dadministrations avec une identit
professionnelle K.Sign, soit titre personnel avec une identit personnelle K.Sign.
Lidentification et lauthentification dun Porteur au moment de lmission de la demande et de la remise en
face--face relvent de la responsabilit de lAE KWA. Le Porteur sengage respecter les Conditions
Gnrales dUtilisation (CGU) et ses obligations vis--vis de lAE KWA telles que dfinies dans les Politiques
de Certification de lAC RGS de KEYNECTIS.
Pratiques de signature : dans la suite de ce document, le terme pratiques dsigne les procdures
(organisation, procdures oprationnelles, moyens techniques et humains) que l'AS et ses composantes
appliquent dans le cadre de la fourniture des services de signature et en conformit avec la ou les politiques
de signature qu'elle s'est engage respecter.
Protocole de consentement : dsigne une rubrique du Formulaire de demande de certificat par laquelle le
Porteur atteste sur lhonneur de lexactitude et la vracit des informations quil a fournies, de son
engagement de signature, et de lacceptation sans rserve des CGU de Keynectis. Un protocole de
consentement prcise en outre lensemble des rgles savoir (i) la dfinition des actions raliser par le
Porteur pour signer le document quil dpose lui-mme sur le Portail web de signature (saisie dun mot de
passe reu par SMS ou par courrier lectronique), (ii) les modalits de cration de lidentit (Nom, Prnom et
nom de lEntit Lgale dappartenance) de la personne.
Reprsentant Habilit : dsigne toute personne physique disposant des pouvoirs de reprsenter une
socit de par la loi. Dans le cadre du prsent contrat, une telle personne aura la facult de procder des
demandes dmission, de renouvellement et de rvocation de Certificat auprs de lAE KWA au bnfice des
Porteurs quelle aura expressment et personnellement, ou via un MC, dsigns.
Ressource cryptographique matrielle : dsigne le module de scurit matriel qui est ddi la mise en
uvre des fonctions de signature de la plate-forme de confiance, notamment la gnration, la conservation
et la mise en uvre des bi-cls KWA de signature ainsi que la gnration des signatures des Documents
mtiers.
Signataire : dsigne celui qui dtient et met en uvre le moyen de cration de signature lectronique et la
cl prive de signature associe au certificat ncessaire la validation de la signature.
La socit KEYNECTIS est signataire :
-
Au nom de KEYNECTIS : pour la signature des Formulaires ;
Au nom de lUtilisateur : pour la signature des Formulaires avec la cl prive du certificat KWA et
suivant le protocole de consentement dfinit par lAS ;
Au nom de KEYNECTIS : pour la signature du fichier de preuve labor par KEYNECTIS.
- 15 -
www.opentrust.com
Signature lectronique : dsigne, aux termes de larticle 1316-4 du Code civil, lusage dun procd fiable
didentification garantissant son lien avec lacte auquel elle sattache et a pour objet didentifier la personne
physique ou morale qui lappose et de manifester le consentement de la personne morale aux obligations
qui dcoulent du document sign. Techniquement, le terme signature lectronique reprsente la valeur de
lopration de mathmatique effectue sur lempreinte dun document (incluant les mtas-donnes) laide
dune cl prive.
Signature (Adobe) : dsigne un type de Signature lectronique embarque appose au document PDF.
Pour le cas o le document doit tre sign par plusieurs personnes, la premire signature est une signature
de certification (voir dfinition ci-aprs).
Signature de certification (Adobe) : dsigne un type de Signature lectronique embarque permettant de
verrouiller et/ou de contrler les modifications autorises un document PDF de type formulaire et
permettant dapposer dautres signatures, dites Signature dapprobation, dans le document PDF.
Signature lectronique embarque : dsigne un service ayant pour objet dintgrer dans un document
sous format PDF, la signature lectronique de lUtilisateur, et le cas chant du Client. Ce service de
signature embarque utilise le logiciel Adobe LiveCycle Digital Signature ou le logiciel Certify.Center
hberg chez KEYNECTIS et sappuie sur un certificat CDS et les services OCSP et horodatage pour signer
les documents de format PDF. Cette fonctionnalit additionnelle confre ainsi au document PDF le rle dun
original lectronique (sign par les parties lacte) contenant lensemble des informations de signature
(horodatage, identit du signataire et information de contrle de validit des certificats mis en uvre). Le
document PDF devient alors autoportant, de sorte quil peut tre conserv indpendamment par chaque
partie lacte, et quil peut tre visualis et vrifi instantanment par toutes les parties au moyen du logiciel
Adobe Reader ( partir de sa version 7) sur toutes les plateformes supportant ce logiciel (Mac, Linux,
Windows). Dans ce cas, les Certificats de signature utiliss sont mis par lAutorit de certification de
KEYNECTIS ayant t rfrence par ADOBE dans le cadre du programme CDS .
Signature lectronique valide : une signature lectronique qui satisfait aux oprations de vrification
dfinies dans une Politique de Signature.
Systme dtat de certificats (OCSP) : Cette fonction fournit des informations signes sur l'tat dun
certificat (rvoqus ou valide).
Transaction lectronique : dsigne lopration de signature dun Formulaire ralise par un Utilisateur au
cours duquel un document mtier est sign.
TransNUM : dsigne un numro de rfrence unique, compos de 64 caractres, gnr par le Portail de
signature permettant didentifier une transaction lectronique lie un Formulaire sur lequel est appose
une Signature lectronique par lUtilisateur pralablement authentifi par le portail de signature.
Utilisateur : CF. 1.2.3.
Validation de certificat : opration de contrle permettant davoir lassurance que les informations
contenues dans le certificat ont t vrifies par une ou des autorits de confiance et sont toujours valides.
La validation dun certificat inclut entre autres la vrification de sa priode de validit, de son tat (rvoqu
ou non), de lidentit des AC de la chaine de certification, ainsi que la vrification complte de la signature
lectronique de lensemble des AC du chemin de certification.
Validation de contremarque de temps : dsigne laction de lutilisateur de contremarque de temps qui
consiste vrifier que la contremarque est valide. La vrification dune signature lectronique de
contremarque de temps consiste en les oprations suivantes :
-
Vrification de la signature de la contremarque de temps ;

Vrification et extraction de la date et de lheure contenues dans la contremarque de temps ;
Identification et extraction du certificat de lUnit dHorodatage ayant mis la contremarque de temps ;
- 16 -
www.opentrust.com
Vrification que la date laquelle la contremarque de temps a t mise est comprise dans la priode
de validit du certificat de lUnit dHorodatage ayant mis la contremarque de temps ;
Vrification de ltat de validit du certificat de lUnit dHorodatage ayant mis la contremarque de
temps au moment de la gnration de la contremarque de temps ;
Vrification que la date indique par lAH dans la contremarque de temps est antrieure la rvocation
ventuelle du certificat dUnit dHorodatage ayant mis la contremarque de temps.
Si lensemble de ces oprations est positif, alors la contremarque de temps est considre comme valide.
Validation didentit : consiste vrifier que :
-
Lidentit porte dans le document lectronique sign correspond lidentit porte dans le certificat
lectronique utilis pour la vrification de signature du document ;
Que le certificat est sign par une AC reconnue et identifie par lAS dans la politique de signature pour
le type de document lectronique sur lequel portent la signature et la vrification.
Validation de signature dun document sign : dsigne lensemble des oprations de vrification
suivantes effectues par le vrificateur de la signature :
-
Validation didentit ;
Validation de certificat ;
Validation de contremarques de temps ;
Vrification de signature lectronique du document.
Ces oprations, si elles sont toutes valides, permettent au vrificateur dattester que le document
lectronique a t sign par le signataire et/ou lentit morale du Client souhait.
Vrificateur : Se reporter au 1.2.4.
Vrification de signature lectronique dun document sign : opration qui consiste vrifier que le
calcul dempreinte effectu par le processus de vrification automatique (sous la responsabilit du
vrificateur) sur le document (incluant les mtas-donnes) correspond bien lempreinte obtenue laide de
la cl publique contenue dans un certificat lectronique et de la valeur de la signature lectronique du
document.
1.7
Acronymes
Pour le prsent document, les acronymes suivants s'appliquent :

AC
Autorit de Certification
AE
Autorit dEnregistrement
AED
Autorit dEnregistrement Dlgue
AGP
Autorit de Gestion de Preuves
AH
Autorit dhorodatage
ANSSI
Agence Nationale de la Scurit des Systmes dInformation
AS
Autorit de signature
ETSI
European Telecommunications Standards Institute
LCR
Liste des Certificats Rvoqus
- 17 -
www.opentrust.com
OCSP
Online Certificate Service Protocol
OID
Object Identifier
PC
Politique de Certification
PH
Politique dHorodatage
PS
Politique de signature
DISPOSITIONS REGLEMENTAIRES ET LEGALES
2.1
Obligations
2.1.1
Obligations de lAutorit de Signature
Dans le cadre de la prsente Politique de signature, lAS :

-
2.1.2
Doit mettre jour et publier la prsente Politique de signature et les Pratiques de signature ;
Publie lensemble des chemins de certification de rfrences utiliser pour valider les diffrentes
signatures dun Document mtier ;
Dfinit le contenu attendu des certificats pour lensemble des identits utilises dans les Documents
mtiers signs ;
Archive les versions successives de la Politique de signature et des Pratiques de signature ;
Respecte et se conforme aux rgles dfinies dans la prsente Politique de signature et les Pratiques de
signature ;
Garantit la conformit des rgles et des procdures dcrites dans la Pratique de signature avec la
prsente Politique de signature ;
Respecte la politique dhorodatage de lAH ;
Respecte lensemble des Politiques de certification des AC, en tant que Vrificateur de certificat et/ou
Porteur, qui a dlivr le certificat utilis pour les Documents mtiers signs et les Fichiers de preuves ;
Met en uvre le Portail de signature et fait signer le Document mtier fourni par lUtilisateur suivant le
protocole de consentement choisit par lAS ;
Cre le Fichier de preuve associ la transaction russie ;
Archive le fichier de preuve durant toute la priode prvue ;
Maintient le logiciel de lecture et de vrification des Fichiers de preuves pendant 5 ans ;
Restitue le Fichier de preuve sur demande.
Identifie et autorise les types de Documents mtiers quil est possible de faire signer par lUtilisateur ;
Authentifie et autorise les personnes et machines qui vont crer des documents faire signer ;
Permet lUtilisateur de visualiser sur le Portail de signature le document quil lui propose de signer ;
Rend disponible auprs de lUtilisateur et du Vrificateur de manire explicite les diffrentes tapes
suivre pour signer et valider un Document mtier ;
Met disposition de lUtilisateur et du Vrificateur lensemble des rfrences des logiciels utiliser pour
visualiser les documents, vrifier les signatures des documents ainsi que les conditions de conservation
des documents mis en uvre ;
Met disposition de lUtilisateur et de lAE KWA le document sign ;
Protge les donnes personnelles des Utilisateurs.
Obligation de lAE KWA
Dans le cadre de la prsente Politique de signature, les obligations dcrites ci-aprs sappliquent lAED
seulement quand une AED est utilise par lAE dune AC RGS et lAE dune AC RGS seulement quand
cette AE nutilise pas dAED pour grer des certificats au profit dUtilisateur.
Dans le cadre de la prsente Politique de signature, les obligations sont les suivantes :
-
Authentifie et identifie les Utilisateurs selon les procdures dfinies par lAC RGS de KEYNECTIS ;
Rend disponible les types de Documents mtiers quil est possible de faire signer par un Utilisateurs ;
- 18 -
www.opentrust.com
2.1.3
Protge en confidentialit et en intgrit les informations dauthentification KWA quelle dtient, et

quelle fournit aux Utilisateurs, et qui servent pour lauthentification auprs du Portail de signature ;
Informe sans dlai lAS en cas de compromission de ses donnes dauthentification utilises pour
lauthentification auprs du Portail de signature ;
Respecte et se conforme aux rgles dfinies dans la prsente PS et le cas chant quand lAE KWA
est une AED aux obligations du contrat AED ;
Peut mettre disposition de lUtilisateur le Document mtier sign ;
Protge les donnes personnelles des Utilisateurs.
Obligation de lUtilisateur
Dans le cadre de la prsente Politique de signature, lUtilisateur :

-
2.1.4
Respecte et se conforme aux rgles dfinies dans la prsente PS qui la supporte et aux CGU mises
par lAC RGS de KEYNECTIS qui lui incombent ;
Protge en confidentialit les donnes dauthentification KWA qui lui permettent de mettre en uvre le
protocole de consentement et lidentifiant et mot de passe daccs au Portail de signature (fournis par
lAE KWA) ;
Alerte lentit lAE KWA en cas de problme lors de la mise en uvre du protocole de consentement ;
Alerte lAE KWA en cas derreur constate dans le document sign (mauvaise identit, contenu non
conforme, ) ;
Sassure de la scurit du poste informatique dont il se sert pour interagir avec le Portail de signature.
Obligations du Vrificateur
Dans le cadre de la prsente Politique de signature, le Vrificateur :

-
2.2
Valide les Documents mtiers signs conformment aux rgles dfinies dans la prsente Politique de
Signature ;
Respecte et se conforme aux rgles dfinies dans la prsente Politique de signature ;
Respecte les diffrentes Politiques de certification en tant quutilisateur de Certificat ;
Respecte la politique dhorodatage de lAH en tant que Vrificateur de contremarques de temps.
Conformit avec les exigences lgales
Linapplicabilit dune stipulation de la prsente Politique de signature naffecte en rien la validit des autres
stipulations. En consquence, lensemble des stipulations de la prsente Politique de signature continueront
sappliquer la seule exception de la stipulation dclare inapplicable.
Les intituls de chaque Article ne servent qu la commodit de la lecture et ne peuvent en aucun cas tre le
prtexte dune quelconque interprtation ou dnaturation des clauses sur lesquelles ils portent.
En cas de conflit dinterprtation entre les intituls et leur contenu, le contenu des clauses prvaudra.
2.2.1
Exonration des droits
Les exigences dfinies dans la prsente politique de signature et ses pratiques doivent tre appliques par
la Communaut dutilisateurs telle que dfinie larticle 2.2.1 dans le respect des stipulations de la prsente
politique de signature et des pratiques associes sans qu'aucune exonration des droits, dans l'intention de
modifier tout droit ou obligation prescrit, ne soit possible.
2.2.2
Loi applicable
Les dispositions de la prsente politique de signature sont rgies par le droit franais.
Plus particulire dans le cadre de la signature lectronique et des obligations souscrites en lignes, les lois
suivantes sont applicables :
-
LOI n 2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique, NOR:
ECOX0200175L : notamment larticle 25 Les obligations souscrites sous forme lectronique ;
Loi portant adaptation du droit de la preuve aux technologies de l'information et relative la signature
lectronique et ses articles Art. 1316-1. - L'crit sous forme lectronique est admis en preuve au
- 19 -
www.opentrust.com
mme titre que l'crit sur support papier, sous rserve que puisse tre dment identifie la personne
dont il mane et qu'il soit tabli et conserv dans des conditions de nature en garantir l'intgrit et
1316-4 Lorsqu'elle est lectronique, elle consiste en l'usage d'un procd fiable d'identification
garantissant son lien avec l'acte auquel elle s'attache. ;
-
2.2.3
Article 1325 alina 5 du code civil qu'il y ait autant d'originaux que de parties ayant un intrt distinct
(qui s'obligent) .
Rglement des litiges
En cas de litige relatif linterprtation, la formation ou lexcution de la prsente politique, et faute de

parvenir un accord amiable, tout diffrend sera port devant les tribunaux comptents de Paris.
2.2.4
Droits de proprit intellectuelle
Tous les droits de proprit intellectuelle relatifs au service de signature dtenus par lAS et ses fournisseurs
sont protgs par la loi, rglement et autres conventions internationales applicables.
La contrefaon de marques de fabrique, de commerce et de services, dessins et modles, signes distinctifs,
droits d'auteur (par exemple : logiciels, pages Web, bases de donnes, textes originaux, etc.) est
sanctionne par les articles L 716-1 et suivants du Code de la proprit intellectuelle.
2.2.5
Protection des donnes caractre personnel
L'AS a mis en place et respecte des procdures de protection des donnes personnelles pour garantir la
scurit des informations caractrises comme personnelles dans le cadre de signature de document.
Les Utilisateurs acceptent que les donnes personnelles les concernant recueillies lors de la demande de
certificats fassent lobjet dun traitement informatique aux seules fins (i) de pouvoir tre authentifi et identifi
par lAE KWA et/ou le MC, (ii) de pouvoir permettre les vrifications ncessaires la dlivrance du certificat
et le cas chant sa rvocation, (iii) de pouvoir permettre la construction de l'identit K.Sign porte dans le
certificat et (iv)dapporter les preuves ncessaires la gestion du certificat du porteur.
Les Utilisateurs sont informs que lensemble des informations qui sont conserves par lAE KWA les
concernant et portes dans les documents demande de certificat , les CGU et la pice didentit
sont transmis lAutorit dEnregistrement (AE) Keynectis dans leur intgralit. Le droit de rectification ne
porte que sur ces informations et documents (hors pices didentit) et le certificat gnr par lAC
Keynectis.
Les Utilisateurs sont informs de leurs droits de faire rectifier les informations nous concernant dans la seule
priode de rtraction possible et prvu cet effet, soit 15 jours aprs la rception du certificat par le Porteur.
Toute modification est adresser au Service Clients de KEYNECTIS, par tlphone au 01 55 64 22 88 ou
par courrier lectronique service.clients@keynectis.com.
Les utilisateurs sont informs que le fait de sopposer leur conservation empche de fait dobtenir un
certificat et rend ainsi caduque la demande de certificat. Les Utilisateurs sont informs quen procdant
une demande de certificat via le Portail de signature, ils acceptent de fait que les donnes soient conserves
aux seuls fin de traitement prvues cet effet et ce pendant une priode de 5 ans.
Pour toute autre information, les Utilisateurs peuvent sadresser au Correspondant Informatique et Liberts
de Keynectis par e-mail : sandrine.barilli@keynectis.com, ou par courrier postal l'attention de Sandrine
BARILLI, au 11-13 rue Ren Jacques 92131 Issy-les-Moulineaux Cedex.
Les infractions aux dispositions de la loi Informatique et Liberts du 6 janvier 1978 sont prvues et rprimes
par les articles 226-16 226-24 du code pnal.
- 20 -
www.opentrust.com
2.2.6
Effets de la rsiliation et survie
La fin de validit de la prsente Politique de signature, en cas de cessation du service de signature de lAS,
entrane la cessation de toutes les obligations de l'AS au titre de la politique en question. Toutefois, les
obligations de lAE KWA ne sont pas impactes par la fin de validit de la prsente Politique de signature.
2.3
Garantie et limite de responsabilit
La prsente Politique de signature ne traite que le cas de la signature de Documents mtiers signs et grs
par lAE KWA et KEYNECTIS conformment la prsente Politique de signature.
L'AS ne saurait tre tenue responsable en cas de validation de signature lectronique dun Document
mtiers signs avec un certificat qui est dclar rvoqu l'AC mais non encore pris en compte au niveau
de la CRL mise par lAC. Le Vrificateur doit appliquer une priode de prcaution et procder des
vrifications auprs des AC impliques et de lAS afin de valider un Document mtier sign.
Seules les entits de la communaut dutilisateurs (Cf. 1.2) impliques dans le service de signature
peuvent rechercher la responsabilit de lAS au titre du service de signature.
En aucun cas, lAS ne sera responsable des dommages indirects ou conscutifs subis par la personne
physique ou morale qui serait victime, tel que notamment perte de clientle, perte de chance, perte
dexploitation, manque gagner, perte de bnfices, etc ...
La responsabilit de lAS ne saurait tre engage en cas de force majeure, ou de cas fortuit qui chappent
raisonnablement son contrle.
Dans le cas o la responsabilit de lAS serait retenue, il est expressment convenu que lAS ne serait tenue
rparation que des dommages directs certains et immdiats, dans la limite d'un montant qui ne saurait
excder le montant annuel des prestations prcis dans la ou les convention(s) et/ou les contrats conclu
entre avec chacune des entits de la communaut dutilisateur.
Ces garanties sont exclusives de toute autre garantie de lAS dans le cadre du service de signature.
Chaque partie implique dans le service de signature sinterdit de prendre un engagement au nom et pour le
compte de lautre partie laquelle elle ne saurait en aucun cas se substituer.
A ce titre, KEYNECTIS nest aucunement responsable de :
-
La signature lectronique du Formulaire par un tiers non autoris, rsultant de la divulgation, directe ou
indirecte, volontaire ou involontaire, par lUtilisateur de ses donnes dauthentification KWA ;
La perte ou vol du tlphone sur lequel lUtilisateur a reu le SMS, ou la destruction par lUtilisateur du
SMS contenant la donne dauthentification KWA ;
LUtilisation par un tiers autre que lUtilisateur de ladresse de courrier lectronique laquelle
lUtilisateur a reu la donne dauthentification KWA, le vol, ou la destruction du courrier lectronique
contenant la donne dauthentification KWA.
Il est en outre prcis que la Signature lectronique des Formulaires par les Utilisateurs, nacquiert de valeur
juridique, eu gard au RGS, que par les vrifications qui sont effectues par lAE KWA.
2.4
Publication dinformation
Les informations suivantes sont publies :

-
Politique de signature : https://www.keynectis.com/fr/support-informations/pc.html ;

Informations pour les certificats utiliss par les applications utilisatrices (KWA) :
o Certificats du chemin de confiance : https://www.keynectis.com/fr/support-informations/pc.html ;
o Liste
de
Certificat
Rvoqu de
lAC
:
http://trustcentercrl.certificat2.com/Keynectis/ICS_ROAMING_CA.crl ;
- 21 -
www.opentrust.com
Politique de certification de lAC : https://www.keynectis.com/fr/support-informations/pc.html ;
Informations pour les certificats utiliss par lAH :

o Liste
de
Certificat
Rvoqu de
lAC
:
URI
=
http://trustcentercrl.certificat2.com/Keynectis/KEYNECTIS_CDS_CA.crl ;
o Politique de certification de lAC : https://www.keynectis.com/fr/support-informations/pc.html ;
Informations pour les certificats utiliss par lOCSP :

o Liste
de
Certificat
Rvoqu de
lAC
:
URI
=
http://trustcentercrl.certificat2.com/Keynectis/KEYNECTIS_KWebsign_CDS.crl ;
o Politique de certification de lAC : https://www.keynectis.com/fr/support-informations/pc.html;
Information sur lhorodatage :

o Politique dhorodatage de lAH : https://www.keynectis.com/fr/support-informations/pc.html.
- 22 -
www.opentrust.com
ELABORATION DU DOCUMENTMETIER (FORMULAIRES)
3.1
Type de document mtier ligible la signature
Cest KEYNECTIS qui dtermine les types de document mtiers (Formulaires) qui peuvent tre sign par les
Utilisateur en fonction de lAE de lAC KWA dont ils dpendent.
KEYNECTIS tient jour une liste des types de documents mtiers qui peuvent tre signs en utilisant les
services de lAS pour les besoins des AC RGS.
Ce service de signature permet de signer seulement les documents mtiers de type :
-
Formulaire de demande de certificat ;
Formulaire de cration de mandat de MC.
3.2
Logiciel pour llaboration et linterprtation du document mtier
Le responsable dapplication identifie et dfinit pour lapplication utilisatrice le logiciel dlaboration de

document et de document sign.
Le logiciel utilis pour llaboration du document mtier est le logiciel Adobe PDF creator.
3.3
Format du document mtier
Le responsable dapplication identifie et dfinit pour chacune des applications utilisatrice le format de
document et le format de document sign.
Les formats de document autoriss sont :
-
PDF pour le document mtier.
Les formats de document signs autoriss sont :

-
3.4
PDF sign qui se lit et se vrifie avec le logiciel Adobe Reader version 9 au minimum.
Politique de scurit pour llaboration du document mtier
Les Formulaires sont labors par KEYNECTIS dans des conditions qui permettent de garantir les points
suivants :
-
Que ce qui est vu lcran est bien ce qui est labor et produit comme document ;
Que le document ainsi labor est bien celui qui est transmis et utilisable sur le portail de signature de
lAS pour signature. Les documents sont signs par KEYNECTIS et le Portail de signature valide cette
signature ;
Que les documents sont personnaliss en fonction de lAE de lAC KWA afin didentifier clairement et
distinctement les diffrentes AE de lAC KWA ;
Les documents ne peuvent pas embarquer du code excutable ;
Que la transmission de ce document mtier labor pour visualisation par lUtilisateur naltre pas son
contenu et garantisse que le document labor et bien celui vu par lUtilisateur et sign par
lAS ( WYSWYS : What You See is What You Sign).
Seules les personnes autorises peuvent laborer les types de document mtiers, et personnaliser au profit
dune AE de lAC KWA, utiliser dans le portail de signature. Seules des personnes autorises de
KEYNECTIS peuvent signer les documents mtiers au nom de KEYNECTIS. Tous les documents mtiers
qui peuvent tre utilis dans le portail de signature sont signs par KEYNECTIS.
- 23 -
www.opentrust.com
Ces Documents mtiers servent de trame de fond pour laborer ensuite les documents mtiers signer (Cf.
4.5.2).
Les Documents mtiers sont transmis par KEYNECTIS lAE de lAC KWA. LAE de lAC KWA est
responsable de la diffusion des Documents mtiers (Formulaires) aux Utilisateurs.
Ces documents mtiers sont ensuite remplis par les Utilisateurs afin de crer les documents mtiers
signer.
SIGNATURE DU DOCUMENT METIER PAR LUTILISATEUR
4.1
Remplissage des documents mtiers
4.1.1
Remplissage des documents mtiers : Utilisateurs
Les seules personnes qui sont amenes remplir des documents mtiers et les faire signer sont des
Utilisateurs pralablement identifis par lAE de lAC KWA.
LUtilisateur remplit le Document mtier fournit par lAE de lAC KWA laide dun logiciel de type Adobe
Reader. LUtilisateur remplit les documents mtier sur un poste informatique de son choix. Il nutilise pas la
plate-forme du portail de signature.
Les Documents mtiers remplis constituent les documents mtiers faire signer par le portail web de
signature.
4.1.2
Visualisation du document mtier
La premire visualisation est effectue par lUtilisateur sur le poste informatique quil utilise pour remplir le
Formulaire. Cette visualisation est effectue avec le logiciel Adobe Reader.
Le portail de signature est accessible via une session protge en SSL.
La scurit du portail de signature permet lUtilisateur dtre assur que le document visualis
( WYSWYS : What You See is What You Sign) est bien celui quil a transmis pour signature et celui quil
pourra signer conformment aux tapes dcrites dans le 5.2. Cette visualisation est effectue laide du
logiciel Adobe Reader.
4.2
Signature du document mtier par lUtilisateur
Ds que lUtilisateur remplit le Document mtier, alors elle utilise le portail de signature de KEYNECTIS.
Pour ce faire :
-
Il utilise dabord lidentifiant et le mot de passe que lui a fournit lAE KWA afin de se connecter sur le
portail de signature de KEYNECTIS ;
Il saisit sur linterface du portail de signature, son nom et Prnom tel que port sur la pice
didentit contenue dans le formulaire ;
Il saisit sur linterface du portail de signature le nom de lEntit lgale telle que porte dans le formulaire
et la pice justificative de lexistence lgale de lEntit lgale ;
Il saisit un numro de tlphone ou une adresse de courrier lectronique afin de recevoir un SMS ou un
courrier lectronique contenant un mot de passe temporaire ;
Ensuite, il transmet au portail de signature le document mtier signer. Le portail de signature vrifie
lensemble des signatures lectroniques apposes sur le document sign qui lui est soumis. Si le
document nest pas sign par KEYNECTIS, alors il ne sera pas possible dutiliser les services du portail
de signature ;
- 24 -
www.opentrust.com
Il reoit par SMS ou par courrier lectronique un mot de passe temporaire transmis par le portail de
signature lectronique ;
LUtilisateur visualise le document afin de sassurer que lensemble des informations sont correctes. Sil
saperoit quil y a des erreurs, alors lUtilisateur a la possibilit dannuler lopration de signature et
donc de ne pas signer le document ;
Si lUtilisateur souhaite singer signer le document mtier quil visualise sur le portail de signature, alors
il indique, conformment au Protocole de consentement de lAS, son souhait de signer le document
mtier propos quil vient de crer (Cf. 5.4 et 5.5) en cliquant sur une case cocher. LUtilisateur
est avertit par la phrase : J'atteste sur l'honneur de l'exactitude et de la vracit de lensemble des
lments dinformations que jai fournis dans le cadre du prsent formulaire ainsi que des pices
justificatives qui laccompagnent. Je dclare avoir pris connaissance des CGU ci-dessous et les
accepte sans rserve. J'accepte en outre d'utiliser la Signature Electronique laide du portail web de
signature mis ma disposition par la socit Keynectis pour valider mon engagement contractuel dans
le respect des modalits et conditions dfinies dans les CGU .
Il saisit le mot de passe et dclenche ainsi la signature lectronique du formulaire faire signer. Le
formulaire est sign avec une cl prive associ un certificat KWA (Cf. PC KEYNECTIS AC KWA)
dont la dure de vie est de 5 minutes et qui contient les informations didentification du porteur
suivantes : Nom, Prnom et nom de lEntit lgal de la personne qui ont t saisies par la personne sur
le portail de signature. Le formulaire est horodat et possde un jeton OCSP pour le certificat KWA.
Lensemble des champs saisit par la personne sont fig et ne peuvent tre modifi dans le formulaire
sign ;
Il rcupre le formulaire ainsi sign en le sauvegardant sur son poste informatique.
Le portail de signature transmet par courrier lectronique le formulaire sign lectroniquement lAE
KWA.
Sur linterface de ce portail, lUtilisateur visualise une feuille de style qui sert mettre en uvre le protocole
de consentement.
Suite au succs de la mise en uvre du protocole de consentement par lUtilisateur, le portail de signature
gnre une bi-cl et un certificat KWA temporaire, partir de lidentit KWA saisie par lUtilisateur, et signe
le document pour le compte de lUtilisateur.
L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise par lAS pour signer le
document mtier au nom de lUtilisateur.
4.3
Horodatage
Dans le cadre de la prsente PS, le format dun document sign requiert une contremarque de temps, qui
est appose par la plate-forme de lAS au moment de chacune des signatures ralises au nom de
lUtilisateur. Il y a donc une contremarque de temps appose suite la signature de lUtilisateur.
La contremarque de temps est contenue dans le document mtier sign.
Les dispositions relatives la gnration des contremarques de temps sont dcrites dans la politique
dhorodatage de lAH KEYNECTIS laquelle il est fait appel.
L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise par lAS pour signer les
contremarques de temps apposes sur le document mtier.
- 25 -
www.opentrust.com
4.4
Etat de validit des certificats
Dans le cadre de la prsente PS, le format dun document sign requiert une validation OCSP de ltat de
validit pour les certificats de lUtilisateur. La plate-forme de lAS procde lapposition des jetons OCSP
auprs du service de validit des certificats de KEYNECTIS.
Le jeton OCSP est contenu dans le document mtier lectronique sign.
Le jeton de validation OCSP appos est bas sur les LCR fournies, ou informations quivalentes, par les AC
de KEYNECTIS.
L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise par lAS pour signer les
rponses OCSP apposes pour les certificats KWA et KWS-S de lAS sur le document mtier.
IDENTIFICATION ET AUTHENTIFICATION
5.1
Identits utilises pour les documents mtiers et fichiers de preuves signs
Les identits qui sont utilises dans le cadre de la signature de document mtier sont les suivantes :
-
Identit KWA de lUtilisateur : correspond au nom(s) et prnoms(s) de lUtilisateur tels que ports sur sa
carte nationale didentit ou son passeport. Cette identit est porte dans le certificat KWA (Cf. PC
KWA), dans le champ CN du certificat (Cf. 10), gnr au profit de lUtilisateur au moment de la
signature du document mtier par lUtilisateur ;
Identit de lAS : nom de la personne morale telle que porte sur un extrait de K.BIS. Cette identit est
porte dans le certificat (Cf. 10) de lentit lgale qui sert signer le document mtier au nom de
KEYNECTIS.
5.2
Authentification et identification de lUtilisateur
5.2.1
Identit KWA porte dans le certificat KWA
Lidentit porte dans le certificat KWA est dfinit par le portail de signature, de KEYNECTIS, partir des
donnes transmises par lUtilisateur.
Cette identit KWA permet donc dauthentifier lUtilisateur avec son identit telle que porte sur sa pice
didentit officielle (Porteur, MC et Reprsentant habilit) et sur lextrait de KBIS de la socit laquelle il
appartient (Reprsentant habilit).
De mme, lidentit KWA permet dauthentifier lUtilisateur comme appartenant une entit lgale.
Par consquent, lidentit KWA de lUtilisateur porte dans le certificat KWA et dans le document mtier na
de sens, en premier lieu, que suite aux vrifications effectues par lAE de lAC KWA. De mme, la validit
de cette identit KWA ne vaut quau regard des vrifications et validations effectues par lAE de lAC KWA
et dcrites ci-aprs (Cf. 6.2.2).
Ces procdures permettent toutefois de garantir lidentit de lUtilisateur vis--vis, entre autres, des
Utilisateurs eux mme et des vrificateurs et devant les tribunaux en cas de diffrends qui impliqueraient
dutiliser comme preuve les documents mtiers signs.
5.2.2
Vrification et validation de lidentit KWA de lUtilisateur
Lenregistrement des identits est effectu par lAE KWA qui collecte les formulaires. Ces formulaires
contiennent la copie des pices didentit (passeport ou CNI ou carte de sjour seulement) des Utilisateurs
de types Porteur et Mandataire de Certification. De mme ces Formulaires sont accompagns des pices
justificatives suivantes :
-
Structure Administrative : Un extrait de la pice, valide au moment de la demande, portant dlgation

ou subdlgation de l'autorit responsable de lEntit Lgale administrative ;
- 26 -
www.opentrust.com
Entreprise : Un extrait de K.BIS valide de moins de 3 mois.
LAE KWA tablit et vrifie le lien entre lidentit des Utilisateur dclare dans les Formulaires et les
Utilisateurs de la manire suivante :
-
Porteur : LAE KWA tablit et vrifie le lien entre lidentit de lUtilisateur porte dans la demande de
certificat et la pice didentit qui lui est prsente par lUtilisateur lors du face--face pour la remise du
support. Cette pice didentit doit comporter le mme numro de srie que celle contenue dans la
Demande de Certificat ;
Mandataire de certification : LAE KWA tablit et vrifie le lien entre lidentit du MC dclar dans la
Demande de Certificat et dans le Mandat et la pice didentit que le MC lui fournit lors de la remise en
face--face du Support. Cette pice didentit doit comporter le mme numro de srie que celle
contenue dans la Demande de Certificat et la demande de cration de Mandataire de Certification ;
Reprsentant Lgale : LAE KWA vrifie (i) la cohrence entre le nom et prnom du Reprsentant
Habilit de lEntit Lgale et la pice justificative de lexistence lgale de lentit mentionne dans la
demande de Certificat ou le mandat du MC, (ii) la cohrence entre la dnomination sociale de lEntit
lgale et la pice justificative de lexistence lgale de lentit mentionne dans la demande de Certificat
et le mandat du MC, (iii) la cohrence entre ladresse physique de lEntit Lgale et la pice justificative
de lexistence lgale de lentit mentionne dans la demande de Certificat et le mandat du MC, (iv)
vrifie lensemble de ces informations en consultant des bases de donnes officielles de rfrence et
(iv) prend contact auprs du Reprsentant Habilit de lEntit Lgale suivant les procdures fournies
par KEYNECTIS.
STOCKAGE ET MISE A DISPOSITION DU DOCUMENT SIGNE
Suite la signature du document mtier par lUtilisateur suivant le protocole de consentement, lAS transmet
le document sign lAE de lAC KWA. LUtilisateur a la possibilit de tlcharger le Document mtier sign
sur le portail de signature juste aprs lOpration de signature. Cette rcupration ne peut se faire quune
fois et seulement en fin de signature. Le fait de quitter lapplication utilisatrice empche tout tlchargement
ultrieur du document.
6.1
Conservation et archivage du document mtier sign
Dans le cadre de la cinmatique de signature mise en uvre par lAS, le document sign est conserv et
utilis par lAE KWA et lAE KEYNECTIS. Le document sign est protg en intgrit par les signatures qui
sont apposes et embarques.
Le document est conserv suivant deux priodes qui son dtermines comme suit :
6.2
Archive vivante et intermdiaire : priode qui dbute de la cration du certificat jusqu 5 ans aprs.
Pendant cette priode, le document sign est toujours disponible auprs de lAE KWA et de lAE
KEYNECTIS (Service Clients). LAE KEYNECTIS ne communique ce document qu lAE KWA en cas
de besoin. Le document est aussi dans les logs techniques de lAS ;
Archive dfinitive : priode qui commence aprs la priode vivante et intermdiaire. Le certificat nest
plus valide depuis 2 ans et le document sign nexiste plus que dans les logs techniques de la plateforme. Ces logs techniques de lAS sont conservs 5 ans de plus. Pendant cette priode, le document
nest plus accessible sauf cas exceptionnel et sur demande auprs du DS de KEYNECTIS.
Mise disposition du document sign par lAS
Le document mtier sign est disponible sur demande auprs de lAS dans son intgralit au seul profit de
lAE de lAC KWA. Pour le rcuprer, lAE de lAC KWA sauthentifie auprs de lAS.
- 27 -
www.opentrust.com
Cette mise disposition du document nest possible que pendant toute la priode ou le document est class
comme archive vivante et intermdiaire. Pendant la priode darchive dfinitive, alors le document mtier
correspondant nest plus rendu disponible par lapplication utilisatrice au profit de lUtilisateur. Il est toutefois
toujours conserv dans la plate-forme de lapplication.
Il est noter que si lUtilisateur imprime le document mtier sign lectroniquement, alors le document ainsi
imprim na aucune valeur juridique. Seul le document mtier sign lectroniquement a une valeur lgale.
VALIDATION ET UTILISATION DE DOCUMENT SIGNE
La validation dun document consiste valider techniquement les signatures de lAS, de lUtilisateur, de lAH
et de lOCSP, les identits et les vrifications propres au contenu du document mtier.
Les conditions pour le vrificateur afin quil vrifie les documents signs sont les suivantes :
-
7.1
Utilisation du logiciel Adobe Reader PDF version 9 minimum ;

Utilisation du service de validation de contenu de document (Cf. 7.3) disponible auprs de
lapplication utilisatrice ;
Utilisation des rgles de validation mettre en uvre et dcrites dans le chapitre 8 ;
Utilisation des certificats dAC disponibles publis et rfrencs dans la prsente PS (Cf. 3.6) afin de
pouvoir valider les signatures lectroniques.
Validation des signatures AS et Utilisateur
La vrification de signature ncessite le respect des tapes suivantes par le vrificateur :

-
Obtenir la politique de signature applique pour la gnration des signatures vrifier ;

Vrifier que la politique de signature applique est la politique de signature de lAS ;
Vrifier que le contexte de vrification des signatures (y compris AH et OCSP) est conforme la
politique de signature de lAS ;
Consulter auprs de lAS les certificats racines reconnus pour valider les signatures des documents ;
Vrifier la validit de lensemble des certificats utiliss pour la signature du document :
o Valider les certificats des chemins de certification auxquels ils appartiennent ;
o Vrifier que la politique de certification selon laquelle le certificat a t mis sapplique au
contexte de la vrification ;
o Consulter auprs de lAS et de lAGP les certificats racines reconnus pour valider la signature ;
Vrifier la contremarque de temps :
o Vrifier que la politique d'horodatage selon laquelle a t mise la contremarque de temps qui
accompagne la signature s'applique au contexte de la vrification ;
o Consulter auprs de lAS les certificats racines reconnus pour valider la contremarque de
temps ;
Vrifier la rponse OCSP :
o Vrifier que la politique de validation de certificat selon laquelle a t mise la rponse OCSP
qui accompagne la signature s'applique au contexte de la vrification ;
o Consulter auprs de lAS les certificats auto-signs reconnus pour valider la rponse OCSP.
Les documents mtiers signs sont mis par lAS avec un statut valide dun point de vue vrification de
signature complet (AS, Utilisateur, AH et OCSP). C'est--dire que les certificats utiliss sont tous valides au
moment de leur utilisation.
Les certificats de lAS et de lUtilisateur sont confirms par un jeton OCSP. Par consquent, la validation
dun document avec le logiciel Adobe Reader version 9 donnera toujours une vrification des signatures de
lAS et de lUtilisateur valide.
Lorsque cest Adobe Reader version 9 qui est utilis pour valider un document mtier sign alors il faut quil
soit mise jour pour la banque de confiance dAC autorises (celles utilises par KEYNECTIS pour signer
les certificats, les contremarques de temps et les jetons OCSP). Cette mise jour seffectue en utilisant le
menu dAdobe Reader. Pour ce faire, dans la barre de menu dAdobe Reader, il faut allez dans le menu
Edition\Prfrences\Gestionnaire des approbations\ et cliquer sur Chargs les certificats racine
- 28 -
www.opentrust.com
approuvs partir dun serveur Adobe (pas denvoi dinformations personnelles) puis cliquer sur Mettre
jour .
Il incombe donc au Vrificateur, en cas de doute, de sassurer quil ny a pas de changement dans le statut
des certificats utiliss auprs de lAS comme expliqu ci-dessus.
7.2
Utilisation dun document sign
Le document sign au format PDF est autoportant et vrifiable avec un logiciel de type Adobe Reader,
version 9 minimum. Pour la vrification il est ncessaire dutiliser un logiciel Adobe Reader version 9
minimum.
Un document contient des engagements dont la ralisation, et la contestation possible, ont une dure. Cette
dure peut tre soit :
-
Infrieure la dure de validit des certificats utiliss ;
Suprieure la dure de validit des certificats utiliss.
Il donc important de distinguer ces deux priodes pour la validation dun document sign. Les mesures
prendre par le responsable dapplication pour permettre la validation dun document sont dpendantes de
ces 2 priodes.
Les documents signs sont conservs par lAS. Par consquent, les donnes de validation (certificats,
signatures, ) sont aussi archives et conserves.
7.2.1
Pendant la priode de validit des certificats
Les documents signs sont vrifiables pendant la priode de validit des certificats utiliss laide des
informations fournies par lAS et utilises et du logiciel Adobe Reader version 9 minimum.
LAS tient jour les informations qui permettent de valider les diffrentes signatures, contremarques de
temps et jetons OCSP.
LAS ne tient jour que les informations pour des certificats en cours de validit mais pas pour des certificats
expirs.
LAS ne tient jour que des informations portant sur le contenu du document et les identits portes dans
les certificats.
Le document sign peut donc tre utilis comme tel sans autre forme de traitement par un Vrificateur. Il est
en gnral en tat darchive courante ou intermdiaire.
7.2.2
Aprs la priode de validit dun ou des certificats
Suite la fin de la validit de tous les certificats utiliss pour un document sign, lAS ne sengage plus sur
les informations ncessaires la validation de la signature de ce mme document sign.
LAS sengage toutefois sur lintgrit du document sign et des donnes de validation associes tant quils
sont conservs par elle. Lintgrit du document sign et des donnes de validation associes est assure
par les mcanismes mis en uvre par lAS.
Normalement, pendant cette priode le document mtier est dans un tat archive dfinitive .
Il est noter que les documents signs sont tout de mme techniquement vrifiables aprs la priode de
validit des certificats utiliss laide des informations fournies par lAS et des informations fournies par les
AC utilises et du logiciel Adobe Reader version 9 minimum.
Si cause des volutions technologiques, le logiciel Adobe Reader ne permettait pas de vrifier les
signatures, alors le Vrificateur pourra demander une vrification des signatures dun document lAS.
- 29 -
www.opentrust.com
7.3
Vrification des identits
Lauthentification au sens de la prsente PS consiste dcrire les moyens qui permettent de vrifier
lensemble des identits portes dans le document sign. Ces identits sont vrifiables laide de certificats
lectroniques dlivrs par les AC rfrences dans la prsente PS.
La vrification des identits est effectue partir des seuls certificats KWA. Il est rappel que lidentit de
lUtilisateur est cre et vrifie suivant des procdures qui sont dfinies par lAE KWA (Cf. 5). Les rgles
dcrites au 5 permettent de sassurer du niveau de scurit, et donc du niveau dacceptation, de lidentit
porte dans le certificat KWA pour lUtilisateur.
7.3.1
7.3.1.1
Document mtier sign

Certificat personne morale de lAS : identit de KEYNECTIS qui certifie les Formulaires
Les formulaires sont certifis par KEYNECTIS et vrifiable avec un certificat qui portent lidentit dfinie
comme suit :
Champ de base
Issuer (identifie lAC mettrice)
Valeur
cn=KEYNECTIS K.Sign CDS
ou=KEYNECTIS for Adobe
o=KEYNECTIS
c=FR
Subject (identifie lAS)
cn=Business Development
title=Responsable Business Development
ou=Business Development
o=Entreprise KEYNECTIS
l=Issy-les-Moulineaux
st=IdF
c=France
La dure de vie du certificat est de 3 ans.

L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise pour l'AC.
7.3.1.2
AH
Les certificats de lAH de lUtilisateur portent des identits dfinies comme suit :
Champ de base
Valeur
cn=KEYNECTIS CDS CA
o=KEYNECTIS
c=FR
Subject (identifie lAH)
cn=KEYNECTIS TSA for CDS

ou=KStamp for Adobe CDS
o=KEYNECTIS
- 30 -
www.opentrust.com
c=FR
La dure de vie du certificat est dau moins 5 ans.

L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise pour l'AH pour les
7.3.1.3
OCSP
Les certificats OCSP de lUtilisateur portent des identits dfinies comme suit :
Champ de base
Valeur
cn=KEYNECTIS K.Websign CDS
o=KEYNECTIS
c=FR
Subject (identifie lOCSP)
serialNumber=<aaaammjj>-<1 ou 2>
cn=OCSP KEYNECTIS KWebsign CDS - <aaaammjj>-<1 ou 2>
ou=OCSP for Adobe CDS
o=KEYNECTIS
c=FR

L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise pour l'OCSP pour les
jetons OCSP.
7.3.1.4
Certificat de lUtilisateur (KWA) : identit KWA
Les certificats KWA de lUtilisateur portent des identits dfinies comme suit :
Champ de base
Valeur
o=KEYNECTIS
c=FR
Subject (identifie lUtilisateur)
email=<adresse de courrier lectronique de lUtilisateur>

cn=<nom et prnom de lUtilisateur>
ou=<nom et prnom de lentit lgale de lUtilisateur>
ou=<nom de lAE KWA>
ou=<TransNum>
- 31 -
www.opentrust.com
ou=<nom de lAE KWA>

o=KWEBSIGN
c=FR
La dure de vie du certificat est de 5 minutes.

7.3.1.5
Certificats dAH : date et heure de signature de lUtilisateur
Les certificats de lAH de lUtilisateur portent des identits dfinies comme suit :
Champ de base
Valeur
cn=KEYNECTIS CDS CA
o=KEYNECTIS
c=FR
Subject (identifie lAH)
cn=KEYNECTIS TSA for CDS

ou=KStamp for Adobe CDS
o=KEYNECTIS
c=FR
La dure de vie du certificat est dau moins 5 ans.

L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise pour l'AH pour les
7.3.1.6
Certificats des systmes dtat des certificats (OCSP)
Les certificats OCSP de lUtilisateur portent des identits dfinies comme suit :
Champ de base
Valeur
o=KEYNECTIS
c=FR
Subject (identifie lOCSP)
serialNumber=20101216-1
cn=OCSP KEYNECTIS KWebsign CDS - 20101220-01
ou=OCSP for Adobe CDS
o=KEYNECTIS
c=FR
- 32 -
www.opentrust.com

L'utilisation de l'algorithme RSA 2048 avec la fonction de hachage SHA-1 est utilise pour l'OCSP pour les
jetons OCSP.
EXIGENCES PHYSIQUES ET ENVIRONNEMENTALES, PROCEDURALES ET

ORGANISATIONNELLES
8.1
Exigences physiques et environnementales
L'ensemble des oprations de gnration et de dlivrance des signatures par les plates-formes au titre de la
prsente PS sont ralises au sein des locaux scuriss du centre de production, par des personnels
habilits.
En particulier :
-
L'accs physique aux quipements concerns par la plate-forme est limit aux personnels autoriss ;
Des moyens de prvention et des contrles sont mis en uvre pour viter la perte, des dgts ou la
compromission de bien sensibles et l'interruption des activits ;
Des moyens de prventions et des contrles sont mis en uvre pour viter la compromission ou le vol
d'informations ou d'quipements informatiques ;
Les installations d'infrastructures sont bties, installes et mise en uvre de telle manire que les
systmes se voient fournir les informations et lments ncessaires leur bon fonctionnement dans le
respect les conditions d'engagement de service de signature.
La politique de scurit physique et environnementale du centre de production pour les systmes concerns
par la gestion de la plate-forme concerne au minimum le contrle d'accs physique, la protection vis vis
des catastrophes naturelles, les facteurs de scurit lis au feu, la dfaillance des services de base (par
exemple le secteur, les tlcommunications), l'croulement de la structure, des inondations ou suintement,
la protection contre le vol, la casse et lintrusion. En outre le maintien et le rtablissement de la scurit
aprs un dsastre fait lobjet dune attention particulire.
8.2
Exigences procdurales
L'ensemble des oprations menes par la plate-forme sont soumises au respect de la politique de scurit
du centre de production, ainsi que de l'ensemble des politiques et procdures qui s'y rattachent.
En particulier, font l'objet d'une attention toute particulire pendant toute la dure de vie des documents :
-
Les informations et supports d'informations ncessaires la bonne conduite des oprations des platesformes ;
Les informations confies au centre de production des fins de dlivrance de ses services de
signature, notamment les informations caractre personnel ;
La mise en uvre des matriels ncessaires la conduite des oprations de mise la cl des platesformes de signature ;
Les personnels en charge de la conduite des oprations de gestion de cls ;
Le centre de production a dans cette optique adopt une organisation avec sparation des rles.
Le comit des politiques de scurit du centre de production est support par une entit interne d'audit afin
de vrifier la bonne application de la PS et des pratiques supportant la prsente politique. Cette entit d'audit
a notamment pour rle d'identifier toute information de nature mettre en vidence les non-conformits
ventuelles et les vnements de scurit, ainsi que de faire procder aux vrifications ncessaires et
corrections ventuelles.
- 33 -
www.opentrust.com
En complment de ces mesures et afin d'assurer un fonctionnement cohrent, sr et auditable de la plateforme de confiance, celle-ci s'engage ce que soient formalises et respectes les rgles internes relatives
:
8.2.1
La mise en place, le fonctionnement et la maintenance des systmes ;

La protection et le service des systmes ;
La prise en compte des incidents et la mise en uvre des mesures ncessaires en limiter les impacts
sur le service de signature ;
La traabilit des vnements ;
Les rles et responsabilits des personnes en charge des oprations ;
La mise en uvre et le contrle d'accs aux systmes et installations.
Manipulation et scurit des supports
Les supports dinformation utiliss dans le cadre de la dlivrance du service de signature font lobjet dun
suivi qui tient notamment compte du niveau de sensibilit des informations quils renferment.
Le cycle de vie des supports contenant des informations sensibles est soumis au respect des procdures qui
sont prciss dans les pratiques. Seuls les personnels habilits du centre de production et dment affects
aux rles de confiance ont accs ces supports.
8.2.2
Planification de Systme
Les charges de la plate-forme sont contrles et des projections de charge dans le futur sont effectues
pour garantir que des puissances de traitement ncessaires, les stockages adquats et les engagements de
services sont disponibles et atteints.
8.2.3
Rapport d'incident et rponse
Le traitement des incidents est assur au sein du centre de production afin de centraliser la prise en compte,
le suivi des incidents et la communication auprs des entits concernes.
Chaque incident est clairement identifi, est affect une entit du centre de production et fait lobjet dune
fiche de suivi. En fin de traitement, lincident est clos si la vrification est faite que les systmes de la plateforme sont revenus dans une configuration normale de fonctionnement.
Les interventions correctives sur les systmes des plates-formes font galement lobjet de fiches de
traitement. Les dtails du processus de traitement des incidents sont prciss dans les pratiques de
signatures.
8.2.4
Procdures de fonctionnement et responsabilits
Les oprations de scurit sont spares des autres oprations.

Les oprations de scurit incluent :
-
Les procdures oprationnelles et les responsabilits ;

La gestion des cls ;
La protection vis--vis des codes logiciels malveillants ;
La maintenance ;
La gestion du rseau ;
Le contrle actif des journaux d'audit, l'analyse des vnements et les suites donner ;
Le traitement et la scurit des mdias.
Ces oprations sont gres par du personnel habilit et dment dsign du centre de production, selon les
rgles relatives au partage des rles et des responsabilits au sein du centre de production.
8.2.5
Gestion d'Accs au Systme
Seuls les personnels habilits et dment dsign de centre de production ont accs aux plates-formes. Les
accs sont donns au regard des rles qui leurs sont confis.
- 34 -
www.opentrust.com
L'accs aux fonctions du systme, l'information et aux applications est limit conformment la politique
de contrle d'accs. Les plates-formes possdent des contrles informatiques de scurit qui permettent la
mise en uvre de la sparation des rles de confiance identifis. En particulier, l'utilisation de programmes
systmes utilitaires est limite et trs contrle.
Le personnel du centre de production est identifi et authentifi avant de pouvoir utiliser des applications
critiques lies au service de signature. Le personnel du centre de production est tenu responsable de ses
activits et est soumis au rglement du centre de production.
Une surveillance des quipements de scurit est maintenue pour permettre au centre de production de
dtecter, d'enregistrer et de ragir rapidement n'importe quelle tentative non autorise et/ou irrgulire
d'accs ses ressources.
8.2.6
Dploiement et Maintenance
Le dploiement des plates-formes est contrl et fait lobjet denregistrement et fiches. Une politique de
gestion de la configuration et des changements sapplique aux plates-formes de confiance.
Les dtails des principes et procdures appliqus sont donns dans les pratiques.
8.3
Exigences organisationnelles
Afin de garantir le bon fonctionnement et la scurit de ses oprations pour le service de signature, le centre
de production met en uvre une politique d'habilitation des personnels impliqus dans la ralisation des
tches de dfinition, cration, installation, administration, support et maintenance, audit, application et
gestion de la scurit, lies au fonctionnement des plateformes de confiance. Cette politique se traduit
notamment par le respect dune politique dhabilitation des personnels du centre de production aux rles de
confiance.
La mise en place de profils de personnels pour les rles de confiance, de principes de rpartition des rles et
responsabilits, ainsi que du double contrle complte ce dispositif. Les politiques et procdures
oprationnelles permettent non seulement de dfinir les principes applicables, mais aussi de dtailler les
rles et oprations de chacun dans la dlivrance des services de signature.
Le centre de production emploie un personnel qui possde l'expertise, l'exprience et les qualifications
ncessaires pour les services offerts. Le personnel applique la PS et les pratiques, pour les parties qui le
concernent, conformment la politique de scurit du centre de production.
Les rles de confiance et les responsabilits, comme spcifi dans la politique de scurit du centre de
production, sont documents dans des descriptions de poste. Les rles de confiance, sur lesquels la scurit
du fonctionnement de la plate-forme repose, sont clairement identifis. Les rles de confiance incluent les
rles qui impliquent les responsabilits suivantes :
-
Les responsables de la scurit : responsabilit complte d'administrer la mise en uvre des pratiques
de scurit ;
Les personnels dadministration : autoriss installer, configurer et maintenir les services de signature ;
Les personnels d'exploitation : responsables pour faire fonctionner la plate-forme de signature de
manire quotidienne. Autoriss pour effectuer les oprations de sauvegarde et de secours ;
Les personnels contrleurs : autoriss consulter les archives et les fichiers d'audit et journaux lis au
fonctionnement du service de signature.
Le personnel li aux services de la plate-forme est formellement nomm aux rles de confiance par le centre
de production.
Le centre de production ne nomme pas aux rles de confiance ou de gestion une personne connue pour
avoir eu une condamnation pour un crime srieux ou une autre infraction qui affecte son adquation avec la
- 35 -
www.opentrust.com
position. Le personnel na pas accs aux fonctions de confiance avant que les contrles ncessaires ne
soient achevs par le centre de production.
8.4
Journalisation et archivage
Les journaux dvnements relatifs aux services sont rgulirement enregistrs puis archivs par le centre
de production et conservs pendant une priode de temps prcise dans les pratiques, notamment dans le
but de fournir des lments de preuve en cas de litige ou en cas d'enqute judiciaire. Toute demande en ce
sens est adresser lAS.
Une datation est fournie pour chacun de ces vnements ainsi que lidentification de lentit ayant dclench
ou ralis lvnement, ainsi que le rsultat obtenu.
Les informations enregistres et archives sont conserves dans des conditions de nature en assurer la
confidentialit et l'intgrit.
La liste dtaille des vnements est prcise dans les pratiques.
Les vnements sont enregistrs de telle faon qu'ils ne puissent pas tre facilement supprims ou dtruits
(sauf s'ils sont transfrs sur un support de sauvegarde) durant la priode de temps o l'on exige qu'ils
soient conservs.
8.4.1
Evnements lis la mise en uvre dune plate-forme
Font l'objet de cette collecte d'information les informations suivantes :

8.4.2
Tous les vnements lis la mise en uvre des moyens sur lesquels l'AS s'appuie pour gnrer et
dlivrer des signatures lectroniques, depuis leur mise en marche jusqu' leur arrt dfinitif ;
Tous les vnements lis la mise en uvre des services de la plate-forme ;
Lensemble des dossiers labors pour identifier les Utilisateurs (Cf. 4.2.1 et 4.2.2).
Evnements lis la gestion des cls de la plate-forme de signature de lAS
Les enregistrements concernant tous les vnements touchant au cycle de vie des cls de signature
(personne morale) sont effectus.
Les enregistrements concernant tous les vnements touchant au cycle de vie des certificats des platesformes de confiance sont effectus.
8.4.3
Dure de conservation
La dure de conservation des journaux est de 5 ans en droit commercial (archive vivante et intermdiaire).
Les archives sont protges en confidentialit et en intgrit.
8.4.4
Archivage
Les journaux sont archivs pendant une priode de 5 ans (archive dfinitive).
Les archives sont protges en confidentialit et en intgrit.
8.5
Compromission et plan de continuit
Le centre de production informe les entits impliques dans le service de signature des d'vnements qui
affectent la scurit des services de la plate-forme.
Le plan de secours dvelopp par l'AS traite le cas de la compromission relle ou suspecte de la cl prive
de signature de la plate-forme qui hberge le module TransID et de compromission de la plate-forme.
Dans le cas d'une compromission, relle ou suspecte, la gnration de signature laide de la plate-forme
de confiance en question est arrte. La reprise de la gnration de signature ne sera autorise que lorsque
lensemble des conditions normales dexploitation sera restaur.
- 36 -
www.opentrust.com
En cas d'un vnement majeur dans le fonctionnement de la plate-forme qui affecte des documents signs,
lAS met la disposition des vrificateurs et de chacune des entits de la communaut dutilisateurs les
informations permettant didentifier les documents signs qui pourraient avoir t affectes, moins que cela
ne contrevienne au respect des rgles de protection de la vie prive des personnes physiques associe aux
donnes lectroniques ou la scurit des services de signature. Des dtails sur les moyens prvus par
lAS sont donns dans les pratiques de signatures.
8.6
Fin d'activit
LAS s'engage informer les entits impliques dans le service de signature, avec un pravis d'au moins 6
mois, de sa dcision d'arrter ses activits de dlivrance de signature.
Avant que lAS ne mette fin au service de signature, elle ;
Met fin aux ventuelles autorisations donnes des sous-traitants dans l'excution dune des fonctions
relatives au processus de gnration de signature ;
Transfre une entit que lAS dsigne ses obligations de maintien des fichiers d'audit et des archives
ncessaires dmontrer son fonctionnement correct pour assurer le respect des modalits prvue, si
elle ne les maintient pas elle-mme ;
Demande lAC la rvocation de ses certificats dlivrs (de personnes morale pour les applications)
dans le cadre du service de signature ;
Dtruit les cls prives de telle faon que ces cls ne puissent pas tre recouvres.
LAS indique dans les pratiques de signature les dispositions prcises prises pour assurer la fin du service
de signature.
8.6.1
Transfert dactivit
Afin d'assurer un niveau de confiance constant pendant et aprs de tels vnements, lAS :
-
9
9.1
Met en place des procdures dont l'objectif est d'assurer un service constant en respectant des clauses
de continuit de service.
EXIGENCES DE SECURITE SUR LES CLES DE SIGNATURE DES UTILISATEURS

Gnration des bis-cls de signature de lUtilisateur
La gnration des cls d'un porteur KWA est effectue par lAS dans un module cryptographique matriel
(HSM) suite la saisie d'informations et d'actions dfinies dans le protocole de consentement de lAS. La
gnration de la bi-cl est effectue suite laccord de lUtilisateur de vouloir signer lectroniquement le
document (Cf. 4.2).
9.2
Certification des bi-cls de lUtilisateur
LUtilisateur est lorigine de la demande de certificat. Cette demande se dclenche lors de la mise en
uvre du Protocole de consentement par lUtilisateur. La mise en uvre du Protocole de consentement
dclenche la gnration de la bi-cl et sa certification par lAC. Ensuite, le processus de signature par lAS
au nom de lUtilisateur est dclench.
9.3
Gestion de la dure de vie descls prives et du certificat de lUtilisateur
Le certificat KWA de lUtilisateur a une dure de vie de 5 minutes. Il nexiste donc pas de mcanisme de
rvocation pour un certificat KWA.
9.4
Protection des cls prives de lUtilisateur
La cl prive de lUtilisateur est gnre, utilise et dtruite dans le HSM de lAS.
- 37 -
www.opentrust.com
9.5
Exigences de sauvegarde des cls de lUtilisateur
Aucune copie de cl prive ne peut tre ralise.
9.6
Destruction de cls de lUtilisateur
Ds que la signature est appose sur le document, suite mise en uvre du Protocole de consentement
par lUtilisateur, lAS dtruit la cl prive. Il nexiste plus aucunes informations permettant de retrouver la cl
prive de lUtilisateur.
9.7
Algorithmes utiliss
Dans le cadre de la prsente politique de signature, les algorithmes autoriss pour la plateforme de
confiance sont :
-
Algorithme dempreinte : les algorithmes et la taille des valeurs dempreinte gnres et signes sont
conformes aux exigences des autorits comptentes en la matire comme par exemple
[ANSSI_ALGO] :
o Lalgorithme de calcul dempreinte numrique accept est SHA-1 et SHA 2 ;
Bi-cl : les algorithmes et les longueurs de cls sont conformes aux exigences des autorits
comptentes en la matire comme par exemple [ANSSI_ALGO] :
o Une bi-cl accepte est donc au minimum une bi-cl RSA de 2048 bits.
Le choix des algorithmes doit tre cohrent. Par consquent, une contremarque de temps appose sur un
document doit utiliser un mcanisme cryptographique de mme robustesse.
10 MECANISMES DE SECURITE DES SYSTEMES INFORMATIQUES

10.1 Exigences techniques de scurit des ressources informatiques
Les fonctions suivantes sont fournies par le systme d'exploitation, ou par une combinaison du systme
d'exploitation, de logiciels et de protection physiques. La plate-forme comprend les fonctions suivantes :
-
Authentification des rles de confiance ;

Contrle d'accs discrtionnaire ;
Interdiction de la rutilisation d'objets ;
Possde des logiciels de protection contre les codes malicieux ;
Requiert l'identification des utilisateurs ;
Assure la sparation rigoureuse des tches.
Ces rgles sont applicables sur les machines des signataires, des applications utilisatrices et de la plateforme de confiance.
10.2 Mcanismes de scurit du rseau

Les composantes accessibles des plates-formes sont connectes dautres rseaux dans une architecture
adapte prsentant des passerelles de scurit et assurent un service continu (sauf lors des interventions de
maintenance ou de sauvegarde).
Les machines utilisent des mesures de scurit appropries pour s'assurer qu'elle est protge contre des
attaques d'intrusion. Ces mesures comprennent l'utilisation de pare-feu. Les ports et services rseau non
utiliss sont coups.
11 CONTROLES DE CONFORMITE ET AUTRES EVALUATIONS

11.1 Frquence et motifs des audits
LAS a la responsabilit du bon fonctionnement global des services de lapplication utilisatrice et de lAS.
- 38 -
www.opentrust.com
LAS a la responsabilit du bon fonctionnement des composantes de la plate-forme, conformment aux

dispositions nonces dans le prsent document. Elle effectuera des contrles rguliers de conformit et de
bon fonctionnement des composantes de la plate-forme.
LAS peut dlguer au Responsable dApplication Utilisatrice le contrle des services mis en uvre par les
applications utilisatrices dont les documents mtier font lobjet de signature.
11.2 Identit / Qualification des auditeurs

Le contrleur est dsign par lAS.
Les auditeurs doivent dmontrer leurs comptences dans le domaine des audits de conformit, ainsi qu'tre
familiers avec les exigences de la PS. Les auditeurs en charge de l'audit de conformit doivent effectuer
l'audit de conformit comme tche principale.
11.3 Lien entre l'auditeur et l'entit contrle

Dans le cas o le contrle est effectu la demande dun tiers, le contrleur est choisi selon des critres
d'indpendance et d'expertise dans le domaine de la scurit informatique.
Dans les autres cas, le contrleur dsign pourra ventuellement tre une entit daudit experte dans le
domaine de la scurit informatique et appartenir lAS.
11.4 Points couverts par l'valuation

L'objectif de l'audit de conformit est de vrifier que le centre de production opre le service de signature en
conformit avec la prsente PS, les pratiques et ses procdures.
11.5 Mesures prises en cas de non-conformit

En cas de non-conformit, lAS dcide de toute action correctrice ncessaire.
Selon le type de non-conformit mise en vidence, lAS peut :
Demander la mise en place d'actions correctives dont la ralisation sera vrifie lors du prochain audit ;
Demander la correction des non-conformits selon un calendrier spcifique au titre duquel un contrle
de mise en conformit sera effectu ;
Rvoquer un ou des certificats dapplication utilisatrice ;
Dtruire les bi-cls de signature de lAS.
11.6 Communication des rsultats

Un rapport de contrle de conformit, incluant la mention des mesures correctives dj prises ou en cours
par la composante, est remis lAS. Les non-conformits rvles durant les audits seront publies aux
responsables des entits impliques dans le service de signature, pour lesquelles lAS sy oblige
contractuellement.
Eu gard au caractre confidentiel de ces informations, la publication des rsultats est limite et strictement
contrle.
12 ANNEXE 1 : DOCUMENTS CITES EN REFERENCE

12.1 Rglementation
Renvoi
[DirSig]
Document
DIRECTIVE 1999/93/CE DU PARLEMENT EUROPEN ET DU CONSEIL du
13 dcembre 1999 sur un cadre communautaire pour les signatures
lectroniques
- 39 -
www.opentrust.com
Renvoi
Document
[CNIL]
Loi n 78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux

liberts, modifie par la loi n 2004-801 du 6 aot 2004.
[LCEN]
Loi n 2004-575 du 21 juin 2004 pour la confiance dans l'conomie numrique,

notamment son article 31 concernant la dclaration de fourniture de cryptologie
et son article 33 qui prcise le rgime de responsabilit des prestataires de
services de certification lectronique dlivrant des certificats lectroniques
qualifis.
[LCEN]
Loi n 2004-575 du 21 juin 2004 pour la confiance dans l'conomie numrique,

notamment son article 25 concernant la souscription dobligations en ligne.
[LSIGN]
Loi n2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux

technologies de linformation et relative la signature lectronique.
[SIG]
Dcret n2001-272 du 30 mars 2001 pris pour application de larticle 1316-4 du

code civil et relatif la signature lectronique.
12.2 Documents techniques

Renvoi
Document
[ANSSI_ALGO]
Mcanismes cryptographiques, Rgles et recommandations concernant le

choix et le dimensionnement des mcanismes cryptographiques, Version du
1.2 26 janvier 2010
[ETSI_101733]
Politique de signature TS 101733
- 40 -
www.opentrust.com

OpenTrust DMS RGS PS Formulaires 1.0s

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

OpenTrust DMS RGS PS Formulaires 1.0s

Diunggah oleh

Hak Cipta:

Format Tersedia

Politiq

PS POUR LA GESTION DES CERTIFICATS RGS

Tous les personnels

OpenTrust. Tous droits rservs.

Prsentation gnrale ......................................................................................................................... 8

Communaut dutilisateur du service de signature ............................................................................. 8

LAutorit de Signature (AS) .......................................................................................................... 9

LAE KWA ...................................................................................................................................... 9

Utilisation de la politique de signature .............................................................................................. 10

Identification du document ................................................................................................................ 10

Gestion de la PS et des pratiques associes ................................................................................... 10

Elaboration de la PS et des pratiques associes ........................................................................ 10

Dlai de pravis ........................................................................................................................... 10

Forme de diffusion des avis ......................................................................................................... 10

Point de contact ........................................................................................................................... 10

DISPOSITIONS REGLEMENTAIRES ET LEGALES

Obligations de lAutorit de Signature ......................................................................................... 18

Obligation de lAE KWA ............................................................................................................... 18

Obligation de lUtilisateur ............................................................................................................. 19

Obligations du Vrificateur ........................................................................................................... 19

Conformit avec les exigences lgales............................................................................................. 19

Exonration des droits ................................................................................................................. 19

Loi applicable ............................................................................................................................... 19

Rglement des litiges ................................................................................................................... 20

Droits de proprit intellectuelle................................................................................................... 20

Protection des donnes caractre personnel ........................................................................... 20

Effets de la rsiliation et survie .................................................................................................... 21

Garantie et limite de responsabilit ................................................................................................... 21

OpenTrust. Tous droits rservs.

Type de document mtier ligible la signature .............................................................................. 23

Logiciel pour llaboration et linterprtation du document mtier..................................................... 23

Format du document mtier .............................................................................................................. 23

Politique de scurit pour llaboration du document mtier ............................................................ 23

SIGNATURE DU DOCUMENT METIER PAR LUTILISATEUR

Remplissage des documents mtiers ............................................................................................... 24

Remplissage des documents mtiers : Utilisateurs ..................................................................... 24

Visualisation du document mtier ................................................................................................ 24

Signature du document mtier par lUtilisateur ................................................................................. 24

Etat de validit des certificats ........................................................................................................... 26

Authentification et identification de lUtilisateur ................................................................................. 26

Identit KWA porte dans le certificat KWA ................................................................................ 26

Vrification et validation de lidentit KWA de lUtilisateur ........................................................... 26

STOCKAGE ET MISE A DISPOSITION DU DOCUMENT SIGNE

Conservation et archivage du document mtier sign...................................................................... 27

Mise disposition du document sign par lAS ................................................................................ 27

VALIDATION ET UTILISATION DE DOCUMENT SIGNE

Validation des signatures AS et Utilisateur ....................................................................................... 28

Utilisation dun document sign ........................................................................................................ 29

Pendant la priode de validit des certificats .............................................................................. 29

Aprs la priode de validit dun ou des certificats...................................................................... 29

Vrification des identits ................................................................................................................... 30

ELABORATION DU DOCUMENTMETIER (FORMULAIRES)

Publication dinformation ................................................................................................................... 21

Document mtier sign ................................................................................................................ 30

Exigences physiques et environnementales ..................................................................................... 33

Exigences procdurales .................................................................................................................... 33

OpenTrust. Tous droits rservs.

Manipulation et scurit des supports ......................................................................................... 34

Rapport d'incident et rponse ...................................................................................................... 34

Procdures de fonctionnement et responsabilits ....................................................................... 34

Gestion d'Accs au Systme ....................................................................................................... 34

Dploiement et Maintenance ....................................................................................................... 35

Journalisation et archivage ............................................................................................................... 36

Evnements lis la mise en uvre dune plate-forme ............................................................. 36