[PDF] DECLARATION DES PRATIQUES DE CERTIFICATION Autorité de

View - Download DECLARATION DES PRATIQUES DE CERTIFICATION Autorité de

Previous PDF

Next PDF

www.CertEurope.fr www.oodrive.com

CertEurope - une société du groupe Oodrive - 26, rue du Faubourg Poissonnière - 75010 Paris, France

T : +33 (0) 1 45 26 72 00 - F : +33 (0) 1 45 26 72 01 SAS au capital de 500.000 Φ - RCS PARIS B 434 202 180 - APE 6201 Z Page 1 / 55 CERTEUROPE V4 - Déclaration des Pratiques de Certification V1.3 - Diffusion publique

DECLARATION DES PRATIQUES DE CERTIFICATION

Autorité de certification

" CERTEUROPE ADVANCED CA V4 »

Cachet Serveur

Identification (OID) : 1.2.250.1.105.12.2.1.2

Version : 1.3

Mise à jour : 00

Date de création : 03 décembre 2012

Dernière MAJ : 10 septembre 2019

Etat du document : Officiel

Rédigé par : CertEurope

Vérifié par : COSSI

Approuvé par : COSSI

CertEurope, une société du groupe Oodrive

www.CertEurope.fr

26, rue du Faubourg Poissonnière, 75010 Paris - France

Tel : +33 (0)1 45 26 72 00 / Fax : +33 (0)1 45 26 72 01 www.CertEurope.fr www.oodrive.com

CertEurope - une société du groupe Oodrive - 26, rue du Faubourg Poissonnière - 75010 Paris, France

T : +33 (0) 1 45 26 72 00 - F : +33 (0) 1 45 26 72 01 SAS au capital de 500.000 Φ - RCS PARIS B 434 202 180 - APE 6201 Z Page 2 / 55 CERTEUROPE V4 - Déclaration des Pratiques de Certification V1.3 - Diffusion publique

MODIFICATIONS

Date Etat Version Commentaires

03/12/2012 Officiel 1.0

22/11/2013 Officiel 1.1 Mise à la nouvelle charte graphique

Prise en compte niveau **

13/04/2015 Officiel 1.1

Mise à jour

00

Mise en conformité avec le RGS V2 :

Correction sur la procédure de vérification des antécédents judiciaires Précisions sur les mesures de sécurité mises en place entre les composantes de l'IGC PrĠcisions sur les justificatifs d'identitĠ acceptĠs

19/12/2016 Officiel 1.2

Mise à jour 00

Relecture et mise en conformité avec la PC :

- Nombre d'interǀenant 2 au lieu de 3 - Durée de validité des certificats porteurs de 1 à 3 ans Ajout des références à la norme EN 319 411-1/2

10/09/2019 Officiel 1.3

Mise à jour 00

Ajout de la hiĠrarchie d'AC en annedže

Revue annuelle de la PSSI

Publication des CRLs après terminaison d'une AC

DOCUMENTS REFERENCES

Date Version Commentaires

[PC RGSV3.0] 3.0 PC Type Cachet V3.0 du référentiel RGS v2.0 [PROFILS] 3.0 Profils de certificats / LCR / OCSP et Algorithmes Cryptographiques [ETSI_CERT] Norme ETSI TS 102 042 [ETSI_EN] Norme ETSI EN 319 411-1 et ETSI EN 319 411-2 [EIDAS] https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-

[RFC3647] Novembre 2003 IETF - Internet X509 Public Key Infrastructure - Certificate Policy and

Certification Practice Framework.

[RFC3039] RFC 3039 : profil pour les certificats qualifiés [CERT_PSSI] CertEurope : Politique de Sécurité [PC CERTEUROPE

ADVANCED V4]

1.0 Politique de Certification de CERTEUROPE ADVANCED V4

www.CertEurope.fr www.oodrive.com

CertEurope - une société du groupe Oodrive - 26, rue du Faubourg Poissonnière - 75010 Paris, France

T : +33 (0) 1 45 26 72 00 - F : +33 (0) 1 45 26 72 01 SAS au capital de 500.000 Φ - RCS PARIS B 434 202 180 - APE 6201 Z Page 3 / 55 CERTEUROPE V4 - Déclaration des Pratiques de Certification V1.3 - Diffusion publique

SOMMAIRE

MODIFICATIONS ____________________________________________________________________ 2 DOCUMENTS REFERENCES ____________________________________________________________ 2 SOMMAIRE ________________________________________________________________________ 3

1. Introduction __________________________________________________________________ 10

1.1. Présentation générale _____________________________________________________________ 10

1.2. Identification du document ________________________________________________________ 10

1.3. EntitĠs interǀenant dans l'ICP _______________________________________________________ 10

1.3.1. Autorités de certification __________________________________________________________________ 11

1.3.2. AutoritĠs d'enregistrement ________________________________________________________________ 11

1.3.3. Responsable de Certificats de Cachets Serveur ________________________________________________ 11

1.3.4. Utilisateurs de certificats __________________________________________________________________ 11

1.3.5. Autres participants _______________________________________________________________________ 11

1.3.5.1. Composantes de l'IGC ________________________________________________________________ 11

1.3.5.2. Mandataire de certification ___________________________________________________________ 11

1.3.5.3. Opérateur de Certification ____________________________________________________________ 11

1.4. Usage des certificats ______________________________________________________________ 12

1.4.1. Domaine d'utilisation applicables ___________________________________________________________ 12

1.4.1.1. Bi-clés et certificats du serveur informatique _____________________________________________ 12

1.4.1.2. Bi-clĠs et certificats d'AC et de composantes _____________________________________________ 12

1.4.2. Domaine d'utilisation interdits _____________________________________________________________ 12

1.5. Gestion de la DPC ________________________________________________________________ 12

1.5.1. Entité gérant la DPC ______________________________________________________________________ 12

1.5.1.1. Organisme responsable ______________________________________________________________ 12

1.5.1.2. Personne physique responsable _______________________________________________________ 12

1.5.2. Point de contact _________________________________________________________________________ 12

1.5.3. Entité déterminant la conformité de la DPC à la PC _____________________________________________ 12

1.5.4. ProcĠdures d'approbation de la conformitĠ de la DPC ___________________________________________ 12

1.6. Définitions et acronymes __________________________________________________________ 12

1.6.1. Termes communs au RGS__________________________________________________________________ 13

1.6.2. Termes spécifiques ou complétés / adaptés pour la présente DPC _________________________________ 14

2. Responsabilités concernant la mise à disposition des informations devant être publiées _____ 17

2.1. Entités chargées de la mise à disposition des informations _______________________________ 17

2.2. Informations devant être publiées ___________________________________________________ 17

2.3. Délais et fréquences de publication __________________________________________________ 17

3. Identification et authentification _________________________________________________ 18

3.1. Nommage_______________________________________________________________________ 18

3.1.1. Types de noms __________________________________________________________________________ 18

3.1.2. Nécessité d'utilisation de noms explicites _____________________________________________________ 18

3.1.3. Anonymisation et pseudonymisation des services de création de cachet ____________________________ 18

3.1.4. Règles d'interprétation des différentes formes de nom __________________________________________ 18

3.1.5. Unicité des noms ________________________________________________________________________ 18

3.1.6. Identification, authentification et rôle des marques déposées ____________________________________ 18

www.CertEurope.fr www.oodrive.com

CertEurope - une société du groupe Oodrive - 26, rue du Faubourg Poissonnière - 75010 Paris, France

T : +33 (0) 1 45 26 72 00 - F : +33 (0) 1 45 26 72 01 SAS au capital de 500.000 Φ - RCS PARIS B 434 202 180 - APE 6201 Z Page 4 / 55 CERTEUROPE V4 - Déclaration des Pratiques de Certification V1.3 - Diffusion publique

3.2. Validation initiale de l'identitĠ ______________________________________________________ 18

3.2.1. Méthode pour prouver la possession de la clé privée ___________________________________________ 18

3.2.2. Validation de l'identitĠ d'un organisme ______________________________________________________ 18

3.2.3. Validation de l'identitĠ d'un indiǀidu ________________________________________________________ 18

3.2.3.1. Enregistrement d'un RCCS sans MC _____________________________________________________ 18

3.2.3.2. Enregistrement d'un nouǀeau RCCS sans MC pour un certificat de cachet déjà émis _____________ 19

3.2.3.3. Enregistrement du Mandataire de Certification ___________________________________________ 19

3.2.3.4. Enregistrement d'un RCCS ǀia un MC pour un certificat de cachet ă Ġmettre ___________________ 20

3.2.3.5. Enregistrement d'un RCCS ǀia un MC pour un certificat de cachet dĠjă Ġmis ____________________ 20

3.2.4. Informations non vérifiées du RCCS et/ou du serveur informatique ________________________________ 21

3.2.5. Validation de l'autoritĠ du demandeur _______________________________________________________ 21

3.2.6. Certification croisĠe d'AC __________________________________________________________________ 21

3.3. Identification et ǀalidation d'une demande de renouǀellement des clĠs _____________________ 21

3.3.1. Identification et validation pour un renouvellement courant _____________________________________ 21

3.3.2. Identification et validation pour un renouvellement après révocation ______________________________ 21

3.4. Identification et ǀalidation d'une demande de rĠǀocation ________________________________ 22

4. Exigences opérationnelles sur le cycle de vie des certificats ____________________________ 23

4.1. Demande de Certificat_____________________________________________________________ 23

4.1.1. Origine de la demande ____________________________________________________________________ 23

4.1.2. Processus et responsabilitĠs pour l'Ġtablissement d'une demande de certificat ______________________ 23

4.2. Traitement d'une demande de certificat ______________________________________________ 23

4.2.1. EdžĠcution des processus d'identification et de ǀalidation de la demande ___________________________ 23

4.2.2. Acceptation ou rejet de la demande _________________________________________________________ 23

4.2.3. DurĠe d'Ġtablissement du certificat _________________________________________________________ 23

4.3. Délivrance du certificat ____________________________________________________________ 23

4.3.1. Actions de l'AC concernant la dĠliǀrance de certificat ___________________________________________ 23

4.3.2. Notification par l'AC de la dĠliǀrance du certificat au RCCS _______________________________________ 24

4.4. Acceptation du certificat ___________________________________________________________ 24

4.4.1. DĠmarche d'acceptation du certificat ________________________________________________________ 24

4.4.2. Publication du certificat ___________________________________________________________________ 24

4.4.3. Notification par l'AC audž autres entitĠs de la dĠliǀrance du certificat _______________________________ 24

4.5. Usages de la bi-clé et du certificat ___________________________________________________ 24

4.5.1. Utilisation de la clé privée et du certificat par le RCCS ___________________________________________ 24

4.6. Renouvellement d'un certificat _____________________________________________________ 25

4.6.1. Causes possibles de renouǀellement d'un certificat _____________________________________________ 25

4.6.2. Origine d'une demande de renouǀellement ___________________________________________________ 25

4.6.3. ProcĠdure de traitement d'une demande de renouǀellement ____________________________________ 25

4.6.4. Notification au RCCS de l'Ġtablissement du nouǀeau certificat ____________________________________ 25

4.6.5. DĠmarche d'acceptation du nouǀeau certificat ________________________________________________ 25

4.6.6. Publication du nouveau certificat ___________________________________________________________ 25

4.6.7. Notification par l'AC audž autres entitĠs de la dĠliǀrance du nouǀeau certificat _______________________ 25

4.7. Délivrance d'un nouveau certificat suite à changement de la bi-clé _________________________ 25

4.7.1. Causes possibles de changement d'une bi-clé _________________________________________________ 25

4.7.2. Origine d'une demande d'un nouveau certificat _______________________________________________ 25

4.7.3. ProcĠdure de traitement d'une demande d'un nouǀeau certificat _________________________________ 25

4.7.4. Notification au RCCS de l'Ġtablissement du nouǀeau certificat ____________________________________ 25

4.7.5. DĠmarche d'acceptation du nouǀeau certificat ________________________________________________ 25

4.7.6. Publication du nouveau certificat ___________________________________________________________ 25

4.7.7. Notification par l'AC audž autres entitĠs de la dĠliǀrance du nouveau certificat _______________________ 25

www.CertEurope.fr www.oodrive.com

CertEurope - une société du groupe Oodrive - 26, rue du Faubourg Poissonnière - 75010 Paris, France

T : +33 (0) 1 45 26 72 00 - F : +33 (0) 1 45 26 72 01 SAS au capital de 500.000 Φ - RCS PARIS B 434 202 180 - APE 6201 Z Page 5 / 55 CERTEUROPE V4 - Déclaration des Pratiques de Certification V1.3 - Diffusion publique

4.8. Modification du certificat __________________________________________________________ 25

4.8.1. Causes possibles de modification d'un certificat _______________________________________________ 25

4.8.3. ProcĠdure de traitement d'une demande de modification d'un certificat ___________________________ 26

4.8.4. Notification au RCCS de l'Ġtablissement du certificat modifiĠ _____________________________________ 26

4.8.5. DĠmarche d'acceptation du certificat modifiĠ _________________________________________________ 26

4.8.6. Publication du certificat modifié ____________________________________________________________ 26

4.8.7. Notification par l'AC audž autres entitĠs de la dĠliǀrance du certificat modifiĠ ________________________ 26

4.9. Révocation et suspension des certificats ______________________________________________ 26

4.9.1. Causes possibles d'une rĠǀocation __________________________________________________________ 26

4.9.1.1. Certificats de cachet _________________________________________________________________ 26

4.9.1.2. Certificats d'une composante de l'ICP ___________________________________________________ 26

4.9.2. Origine d'une demande de rĠǀocation _______________________________________________________ 26

4.9.2.1. Certificats de cachet _________________________________________________________________ 26

4.9.2.2. Certificats d'une composante de l'ICP ___________________________________________________ 26

4.9.3. ProcĠdure de traitement d'une demande de rĠǀocation _________________________________________ 26

4.9.3.1. RĠǀocation d'un certificat de cachet ____________________________________________________ 26

4.9.3.2. RĠǀocation d'un certificat d'une composante de l'ICP ______________________________________ 27

4.9.4. Délai accordé au RCCS pour formuler la demande de révocation __________________________________ 27

4.9.5. DĠlai de traitement par l'AC d'une demande de rĠǀocation ______________________________________ 27

4.9.5.1. RĠǀocation d'un certificat de cachet ____________________________________________________ 27

4.9.5.2. RĠǀocation d'un certificat d'une composante de l'IGC ______________________________________ 27

4.9.6. Exigences de vérification de la révocation par les utilisateurs de certificats __________________________ 27

4.9.8. DĠlai madžimum de publication d'une LCR _____________________________________________________ 28

4.9.9. DisponibilitĠ d'un systğme de ǀĠrification en ligne de la rĠǀocation et de l'Ġtat des certificats __________ 28

4.9.10. Exigences de vérification en ligne de la révocation des certificats par les utilisateurs de certificats ____ 28

4.9.11. Autres moyens disponibles d'information sur les rĠǀocations __________________________________ 28

4.9.12. Exigences spécifiques en cas de compromission de la clé privée ________________________________ 28

4.9.13. Causes possibles d'une suspension________________________________________________________ 28

4.9.14. Origine d'une demande de suspension ____________________________________________________ 28

4.9.15. ProcĠdure de traitement d'une demande de suspension ______________________________________ 28

4.9.16. Limites de la pĠriode de suspension d'un certificat ___________________________________________ 28

4.10. Fonction d'information sur l'Ġtat des certificats ________________________________________ 28

4.10.1. Caractéristiques opérationnelles _________________________________________________________ 28

4.10.2. Disponibilité de la fonction ______________________________________________________________ 28

4.10.3. Dispositifs optionnels __________________________________________________________________ 29

4.11. Fin de la relation entre le RCCS et l'AC ________________________________________________ 29

4.12. Séquestre de clé et recouvrement ___________________________________________________ 29

4.12.1. Politique et pratiques de recouvrement par séquestre de clés __________________________________ 29

4.12.2. Politique et pratiques de recouvrement par encapsulation des clés de session ____________________ 29

5. Mesures de sécurité non techniques _______________________________________________ 30

5.1. Mesures de sécurité physique ______________________________________________________ 30

5.1.1. Situation géographique ___________________________________________________________________ 30

5.1.2. Accès physique __________________________________________________________________________ 30

5.1.3. Alimentation électrique et climatisation ______________________________________________________ 30

5.1.4. Vulnérabilité aux dégâts des eaux ___________________________________________________________ 30

5.1.5. Prévention et protection incendie ___________________________________________________________ 31

5.1.6. Conservation des supports _________________________________________________________________ 31

5.1.7. Mise hors service des supports _____________________________________________________________ 31

5.1.8. Sauvegarde hors site _____________________________________________________________________ 31

5.2. Mesures de sécurité procédurales ___________________________________________________ 31

www.CertEurope.fr www.oodrive.com

CertEurope - une société du groupe Oodrive - 26, rue du Faubourg Poissonnière - 75010 Paris, France

T : +33 (0) 1 45 26 72 00 - F : +33 (0) 1 45 26 72 01 SAS au capital de 500.000 Φ - RCS PARIS B 434 202 180 - APE 6201 Z Page 6 / 55 CERTEUROPE V4 - Déclaration des Pratiques de Certification V1.3 - Diffusion publique

5.2.1. Rôles de confiance _______________________________________________________________________ 31

5.2.2. Nombre de personnes requises par tâches ____________________________________________________ 31

5.2.3. Identification et authentification pour chaque rôle _____________________________________________ 32

5.2.4. Rôles exigeant une séparation des attributions ________________________________________________ 32

5.3. Mesures de sécurité vis-à-vis du personnel ____________________________________________ 32

5.3.1. Qualifications, compétences et habilitations requises ___________________________________________ 32

5.3.2. Procédures de vérification des antécédants ___________________________________________________ 32

5.3.3. Exigences en matière de formation initiale ____________________________________________________ 32

5.3.4. Exigences et fréquence en matière de formation continue _______________________________________ 33

5.3.5. Fréquence et séquence de rotation entre différentes attributions _________________________________ 33

5.3.6. Sanctions en cas d'actions non-autorisées ____________________________________________________ 33

5.3.7. Exigences vis-à-vis du personnel des prestataires externes _______________________________________ 33

5.3.8. Documentation fournie au personnel ________________________________________________________ 33

5.4. ProcĠdures de constitution des donnĠes d'audit ________________________________________ 33

5.4.1. Types d'Ġǀğnements ă enregistrer __________________________________________________________ 33

5.4.3. PĠriode de conserǀation des journaudž d'Ġǀğnements ___________________________________________ 34

5.4.4. Protection des journaudž d'Ġǀğnements ______________________________________________________ 34

5.4.5. ProcĠdure de sauǀegarde des journaudž d'Ġǀğnements __________________________________________ 34

5.4.6. Système de collecte des journaudž d'Ġǀğnements _______________________________________________ 34

5.4.7. Notification de l'enregistrement d'un Ġǀğnement au responsable de l'Ġǀğnement ____________________ 34

5.4.8. Evaluation des vulnérabilités _______________________________________________________________ 34

5.5. Archivage des données ____________________________________________________________ 34

5.5.1. Types de données à archiver _______________________________________________________________ 34

5.5.2. Période de rétention des archives ___________________________________________________________ 34

5.5.3. Protection des archives ___________________________________________________________________ 35

5.5.4. Procédure de sauvegarde des archives _______________________________________________________ 35

5.5.5. Edžigences d'horodatage des donnĠes ________________________________________________________ 35

5.5.6. Système de collecte des archives____________________________________________________________ 35

5.5.7. Procédures de récupération et de vérification des archives ______________________________________ 35

5.6. Changement de clĠ de l'AC _________________________________________________________ 35

5.7. Reprise suite à compromission et sinistre _____________________________________________ 35

5.7.1. Procédures de remontée et de traitement des incidents et des compromissions _____________________ 35

5.7.2. Procédures de reprise en cas de corruption des ressources informatiques (matériels, logiciels et / ou

données) ______________________________________________________________________________________ 36

5.7.3. ProcĠdures de reprise en cas de compromission de la clĠ priǀĠe d'une composante __________________ 36

5.7.4. CapacitĠs de continuitĠ d'actiǀitĠ suite ă un sinistre ____________________________________________ 36

5.8. Fin de ǀie de l'IGC ________________________________________________________________ 36

quotesdbs_dbs24.pdfusesText_30

[PDF] certi - Ventil

[PDF] Certi cats médicaux - Conseil départemental de l`ordre des - La Certification De L'Ordinateur

[PDF] CERTI F 0187 Certificat Ecolabel pour Services V2 - Anciens Et Réunions

[PDF] CERTI F 0956 Certificat générique avec accréditationV2

[PDF] CERTI F 0956 Certificat générique avec logo COFRAC

[PDF] Certif MASE StA 140317

[PDF] certif travail interm. nadine - HEG-FR

[PDF] certif visite gymnase

[PDF] Certif.-Médical-Autorisation-photos-2016-2017

[PDF] certifcat CSTB - Anciens Et Réunions

[PDF] certifi antes multiples Formations diplômantes

[PDF] certifi cation pmp - Gestion De Projet

[PDF] certifiantes multiples Formations diplômantes - France

[PDF] Certificado - Global Spedition - Anciens Et Réunions

[PDF] Certificado de leyes - Deutsche Vertretungen in Spanien