A N N E X E
SPÉCIFICATIONS TECHNIQUES RELATIVES AUX PRESTATAIRES DE SERVICES DE CERTIFICATION EN VUE DE LA RECONNAISSANCE DE LEUR QUALIFICATION
Les spécifications techniques relatives aux prestataires de services de certification en vue de reconnaître leur qualification, qui précisent les exigences fixées par l'article 6 du décret du 30 mars 2001 susvisé, sont celles définies dans le document AFNOR AC Z74-400 intitulé « Exigences concernant la politique mise en oeuvre par les autorités de certification délivrant des certificats qualifiés », ou toute mise à jour de ce document.
Ces spécifications sont complétées par les spécifications techniques suivantes :
1. Spécifications techniques précisant l'article 6-II, alinéa f, du décret du 30 mars 2001 susvisé :
Le prestataire de services de certification doit notamment appliquer une procédure de sécurité garantissant la confidentialité des causes de révocation défininitives des certificats électroniques qu'il a délivrés et s'assurer de l'accord du signataire avant de publier ces informations.
2. Spécifications techniques précisant l'article 6-II, alinéa g, du 30 mars 2001 susvisé :
Le module cryptographique utilisé par le prestataire de services de certification électronique pour les fonctions assurées doit, dans les conditions prévues par le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information, être certifié conforme par le Premier ministre aux exigences ci-après :
- assurer la confidentialité et l'intégrité des données de création de signature du prestataire de services de certification durant tout leur cycle de vie ;
- être capable d'identifier et d'authentifier ses utilisateurs ;
- limiter l'accès à ses services en fonction de l'utilisateur et du rôle qui lui a été assigné ;
- être capable de mener une série de tests pour vérifier qu'il fonctionne correctement et entrer dans un état sûr s'il détecte une erreur ;
- détecter les tentatives d'altérations physiques et entrer dans un état sûr quand une tentative d'altération est détectée ;
- permettre de créer une signature électronique sécurisée, pour signer les certificats, qui ne révèle pas les données de création de signature du prestataire de services de certification et qui ne peut pas être falsifiée sans la connaissance des données de création de signature du prestataire de services de certification ;
- créer des enregistrements d'audit pour chaque modification concernant la sécurité ;
- si une fonction de sauvegarde et de restauration des données de création de signature du prestataire de services de certification électronique est offerte, garantir la confidentialité et l'intégrité des données sauvegardées et réclamer au minimum un double contrôle des opérations de sauvegarde et de restauration.
Par ailleurs, si le prestataire de services de certification génère les données de création et de vérification de signature du signataire, destinées à un dispositif sécurisé de création de signature, le module cryptographique utilisé doit être certifié, pour cette fonction, dans les conditions prévues à l'article 3 du décret du 30 mars 2001 susvisé.
3. Spécifications techniques précisant l'article 6-II, alinéa m, du décret du 30 mars 2001 susvisé :
La vérification de l'identité de la personne à laquelle le certificat électronique qualifié est destiné est effectuée en sa présence sur présentation d'un document officiel d'identité comportant une photographie (notamment carte nationale d'identité, passeport, carte de séjour) par le prestataire de services de certification électronique ou par un mandataire qu'il désigne et qui s'engage auprès de lui par contrat. Ce contrat prévoit notamment que le mandataire est soumis aux mêmes obligations que le prestataire de certification électronique.
Lorsqu'un signataire se voit délivrer un certificat électronique destiné exclusivement à être utilisé dans le cadre de l'activité professionnelle qu'il exerce pour le compte d'une personne physique ou morale, cette personne physique ou morale peut demander à ce que les vérifications d'identité et de qualité du signataire soient déléguées à un mandataire qu'elle désigne. Elle s'engage alors par contrat avec le prestataire de services de certification électronique à ce que le mandataire procède aux vérifications d'identité dans les conditions visées au paragraphe précédent. Le prestataire de services de certification électronique s'assure de l'origine de cette demande et que les données recueillies par le mandataire sont communiquées dans des conditions sécurisées permettant notamment d'en garantir l'origine et l'intégrité.