Réglementation et conformité

Oui, une distinction est faite entre si les signataires ont accepté les conditions d'utilisation de la Suisse ou de l'UE ou les deux. Toutes les données sont également traitées par Swisscom (Suisse) AG pour Swisscom IT Services Finance SE à Vienne.

La Suisse ne fait pas partie de l'UE et n'a donc pas introduit de législation européenne, le Règlement général sur la protection des données (RGPD). En réalité, le RGPD est également applicable si les entreprises sont basées en Suisse et proposent des services dans l'UE.

Swisscom est donc soumise aux mêmes obligations de traitement des données que toutes les autres organisations qui doivent se conformer au RGPD :

• obtenir le consentement de la personne dont les données sont traitées
• Garantie « Privacy by design » et « Privacy by default »
• désigner un délégué à la protection des données
• créer une liste des activités de traitement
• signaler les violations de la protection des données à l'autorité de contrôle
• effectuer une évaluation de l'impact sur la vie privée

Toutes les applications qui concernent la protection des données et sont utilisées pour le traitement des données, par exemple l'application RA également, doivent être conformes au RGPD. Swisscom informe à ce sujet sur ses pages :

Suisse : www.swisscom.com/signing-service

Autriche : www.swisscom.at

avec les déclarations de protection des données correspondantes conformément au RGPD.

La Suisse a toujours été et est considérée comme un pays tiers sûr au sens de l'art. 45 GDPR (transfert de données basé sur une décision d'adéquation), c'est-à-dire que les autorisations habituelles comme avec d'autres pays tiers (par exemple les États-Unis) ne sont pas nécessaires. Grâce à sa loi sur la protection des données et à l'adaptation en cours au RGPD, la Suisse dispose d'un « niveau de protection adéquat pour le transfert de données personnelles » conformément aux critères de l'UE, c'est-à-dire qu'elle doit en effet être traitée comme un pays de l'UE lors du transfert de données :

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Dans le cadre de ses audits permanents, Swisscom doit s'assurer que toutes les exigences strictes en matière de protection des données nécessaires à l'émission de signatures numériques sont respectées, tant vis-à-vis de l'autorité de certification en Suisse que vis-à-vis de l'organisme d'évaluation de la conformité en Suisse. L'Autriche. Cela signifie qu'en plus de l'auto-déclaration, les prestataires de services de confiance et les services de certification sont tenus par la législation et les normes internationales appliquées, telles que l'ETSI 319 401, de démontrer et d'avoir audité une protection appropriée des données pour toutes les données personnelles.

Les exigences en matière de protection des données à démontrer et à auditer s'appliquent également aux activités de l'autorité d'enregistrement – une tâche d'un fournisseur de services de confiance et d'un fournisseur de services de certification. Ainsi, l'application RA dans le cadre du processus d'enregistrement doit garantir la protection des données et la confidentialité. L'application RA elle-même ne stocke aucune donnée personnelle de manière permanente. Aucune donnée ne peut être exportée non plus. Dès que l'identification est terminée, les données sont transférées signées par l'agent RA en tant que preuve. Ces preuves sont conservées au service RA de Swisscom dans des conditions de sécurité strictes (p. ex. accès à 4 yeux). Seules quelques personnes ont accès à ces données et ne peuvent les transmettre que sur décision de justice ou sont autorisées à vérifier la qualité de l'identification. Conformément à la loi, Swisscom est indéfiniment responsable de la bonne exécution de la signature et donc également de l'identification.

Les Agents RA Master ont un accès web à un portail dans lequel ils peuvent visualiser toutes les personnes identifiées par les Agents RA avec leurs nom, prénom, date d'expiration du document d'identité et numéro de téléphone portable. Les pièces d'identité et les photos (appelées « preuves ») ne sont ni accessibles ni exportables.

Swisscom est légalement tenue d'enregistrer les données personnelles pour la signature. Il est donc responsable de ces données. Cela signifie que Swisscom ne peut pas jouer le rôle de sous-traitant, même s'il reçoit par exemple des données d'employés d'une entreprise cliente pour la signature. Swisscom a un mandat légal comme celui des opérateurs télécoms ou postaux. De plus, Swisscom a une relation contractuelle légale avec les signataires avec les conditions d'utilisation. Dans cet accord, le signataire accepte également l'utilisation des données.

Avec l'application RA, Swisscom transfère l'enregistrement des données d'identité à un prestataire de services externe, qui est désigné dans les contrats sous le nom d'«agence RA». Le RGPD impose dans ce cas un contrat de traitement des commandes. L'agence RA doit donc se conformer aux obligations de traitement des données de commande.

Le respect du RGPD pour le traitement des données de commande est également requis dans les projets purement suisses. Il y a deux raisons à cela :

• D'une part, il peut rarement être garanti que les personnes identifiées en Suisse ne sont pas des citoyens de l'UE soumis au principe de marché du RGPD,
• D'autre part, l'application RA ne peut pas être utilisée de manière à ce que seules des personnes pour la Suisse soient identifiées, c'est-à-dire que le traitement des données de commande a toujours lieu pour Swisscom IT Services Finance SE à Vienne également.

Dans certains projets, Swisscom s'appuie sur des procédures d'identification légalement reconnues et auditées avec des tiers. Un exemple typique est une banque qui effectue une identification de présence d'une personne dans le cadre de son processus KYC. Dans ce cas, Swisscom reçoit une copie des données de la banque pour ses propres besoins commerciaux (signature). Le traitement des données de commande n'est pas nécessaire ici, car il y a deux parties responsables des données. À l'inverse, le principe de contrôle conjoint du RGPD n'est pas appliqué ici non plus, car la réactivité des données ne sert pas le même objectif commercial et les deux parties n'agissent pas de manière responsable dans le sens d'un objectif commercial commun. La banque agit pour son objectif commercial, par exemple l'ouverture d'un compte, et Swisscom poursuit son objectif commercial consistant à émettre des signatures. Néanmoins, dans ce cas, nos contrats sur la « délégation d'activité de registre » contiennent également un minimum de dispositions sur la manière de procéder en matière de protection des données et du RGPD.

Dans le cas d'une signature à distance, Swisscom conserve et gère les clés des certificats de signature en fiducie. Dans le cas d'une signature personnelle, les certificats de signature ne sont générés que pour la signature et perdent leur validité après env. 10 minutes. Les certificats d'entreprise pour les sceaux sont valables jusqu'à 3 ans. Selon la loi, la clé privée doit être stockée sur un dispositif de création de signature (qualifié). La mémoire pour cela est un appareil qui est principalement conçu pour le stockage de clés, le HSM (Hardware Security Module). Il est soumis à une réglementation stricte, à des audits, en termes de normes de sécurité et d'accès à cet appareil. Les signatures dans l'UE et en Suisse sont soumises à des normes de sécurité particulièrement élevées, qui ne sont disponibles que chez quelques fabricants HSM dans le monde.

Adobe est un fournisseur américain d'un logiciel permettant d'afficher des documents PDF. Le produit le plus connu et le plus répandu est le soi-disant « Adobe Acrobat Reader ». Cela permet la vérification des signatures basées sur des certificats. Qu'une signature soit valide et donc affichée avec une coche verte dépend de nombreux aspects :

• Adobe a son propre ensemble de règles, qui classe les autorités de certification émettrices des fournisseurs de confiance ou des fournisseurs de services de certification comme « dignes de confiance ». Ceux-ci sont répertoriés dans une soi-disant liste de confiance Adobe (AATL). Même s'il n'est pas inclus dans la description du service, Swisscom s'efforce toujours d'être répertorié ici. De plus, les sociétés cotées doivent payer des frais annuels pour cette inscription et déposer leur auto-évaluation. Selon Adobe, les prestataires de services de confiance eIDAS sont considérés comme dignes de confiance s'ils ont également conclu un contrat avec Adobe.
• Adobe propose une variété de paramètres qui peuvent conduire à une validation complètement différente : par exemple, au lieu de la liste de confiance d'Adobe, la liste de confiance de Microsoft Windows peut également être utilisée, qui ne conserve généralement que les fournisseurs de services de confiance qui émettent également des certificats SSL ou e-mail. . Cependant, le contrôle peut également être basé sur une heure donnée par l'horloge de l'ordinateur et non sur l'horodatage du document.

Cela signifie que vous ne pouvez pas vous fier à la validité d'une signature dans Adobe, mais vous obtenez des informations sur les modifications apportées au document depuis que la signature a été définie et à quoi ressemble le certificat de signature.

Les deux doivent être des informaticiens qui connaissent l'application. Il n'est pas nécessaire qu'il s'agisse d'une personne ayant le rôle officiel « Adjoint à la vie privée ». Swisscom veut simplement conserver ici le principe des 4 yeux. Les rôles sont : Pouvoir fournir des informations sur l'administration de l'application utilisateur (qui a accès, qu'est-ce qu'un administrateur pourrait manipuler, où pourrait-il y avoir un problème, connexion SSL à Swisscom) et sur des sujets tels que la protection antivirus, le contrôle d'accès en général, etc. chez le responsable de la sécurité.

D'une part, une entreprise interne peut devenir un partenaire de revente de Swisscom pour d'autres entreprises si un volume important est prévu. Dans ce cas, le flux de paiement passe directement uniquement par cette entreprise individuelle. Une entreprise peut également assumer l'entière responsabilité du fonctionnement de l'application d'abonné. Même alors, les factures ne passeront que par cette société. Il peut alors identifier les employés des autres entreprises.

Si toutes les entreprises souhaitent exploiter l'application d'abonné de manière indépendante (avec leur propre responsabilité et responsabilité) et souhaitent également fournir elles-mêmes des agents RA, un contrat distinct est requis pour chaque entreprise.

Swisscom Trust Services est un service de plate-forme pure qui fournit les services de signature légalement requis en tant que signature à distance à un grand nombre de clients en Europe de manière hautement standardisée et réglementée en utilisant des flux de travail standard pour le traitement. Le contrat type prévu à cet effet a été soumis aux autorités de tutelle et/ou audité en conséquence. Swisscom Trust Services ne fournit donc aucun service spécifique au projet dans le cadre de la signature ou de l'enregistrement ou des dépenses pour les procédures contractuelles qui s'écartent du flux de travail contractuel standard, à l'exception des services de conseil commandés séparément à l'avance.
Nous pouvons donc offrir à tous les clients et partenaires les mêmes prix avantageux selon le service et la liste de prix. Nous apprécions votre compréhension.

Ceci s'applique également à cet égard et en particulier (mais pas exclusivement) :

• Conclusion de tous les accords et contrats supplémentaires, p. pourrait également remettre en cause les contrats standardisés et réglementés.
• Modifications des contrats, en particulier également du droit applicable, souhaits d'assurance divergents.
• Écarts par rapport aux processus contractuels, par exemple l'utilisation de plates-formes supplémentaires pour l'enregistrement des fournisseurs/la signature des contrats.
• Accords spéciaux sur l'inspection de l'architecture ou la divulgation des détails de mise en œuvre (par exemple, les procédures de sauvegarde, les détails de programmation et de sécurité tels que la protection des accès, les accès, les procédures cryptographiques, la reprise après sinistre, etc.). Swisscom publie toutes les informations sur la pratique de la prestation de services dans sa CP/CPS (https://trustservices.swisscom.com/repository ) et le document de base pour la CP/CPS. Pour des raisons de sécurité, d'autres détails ne sont divulgués à aucun client, de sorte que les connaissances ne peuvent pas être accumulées pour concevoir des attaques ciblées si nécessaire.
• Pour les demandes de connexions à la surveillance interne, Swisscom publie les pannes de son service via le site https://trustservices.swisscom.com/status-service , auquel il est également possible de s'abonner dans le cadre du protocole RSS. Pour des raisons de sécurité, aucune autre intervention dans le système à des fins de surveillance n'est autorisée.

La certification et trust services doivent décrire leurs pratiques et procédures sur la façon dont ils exécutent un service dans un document dit « CP/CPS » (Certificate Policy/Certificate Practice Statement). Les services sont audités non seulement au début de l'activité, mais régulièrement par des auditeurs reconnus par l'Etat et l'organisme de reconnaissance (Suisse) ou l'organe de surveillance (UE) de l'Etat décide sur la base des audits de l'agrément, de la poursuite de l'exploitation ou l'expansion des services de certification et trust services et ainsi assurer le standard de qualité élevé sur le marché pour tous les signataires. Outre les exigences légales générales, de nombreuses normes des organismes européens de normalisation ETSI et CEN doivent être respectées.
L'État publie la conformité aux normes et standards d'audit et donc également l'approbation en tant que service de certification ou de confiance reconnu sur ses sites Internet :

• Suisse
• UE (liste de confiance)

Non, uniquement pour le fonctionnement de l'application de signature aucune certification et aucun audit n'est requis. Dans le cadre d'une « déclaration de configuration et d'acceptation », le client fait une auto-déclaration de bon fonctionnement de l'application de signature, c'est-à-dire de ne pas échanger le hachage d'un document et d'afficher effectivement le document à signer au client (WYSIWYS = « Ce que vous voyez est ce que vous signez »). Le trafic de données entre l'application de signature et Swisscom doit être crypté et une protection de base contre les virus et les attaques doit être garantie comme pour tout autre système. Un audit officiel avec certification ne peut être nécessaire que si le système dispose de sa propre identification, notamment par rapport à sa propre méthode d'authentification. En Suisse, l'identification avec les méthodes d'authentification de Swisscom peut être traitée de manière simplifiée au moyen d'un « concept d'implémentation » approprié soumis par le client et approuvé par Swisscom; dans l'UE, un audit officiel est généralement nécessaire. En règle générale, une méthode d'authentification doit toujours être certifiée, car cela doit assurer un « contrôle exclusif » au certificat de signature (appelé « contrôle exclusif » dans le contexte ETSI).

En principe, la société doit désigner des représentants. Ces représentants doivent être soit les représentants inscrits selon le registre du commerce ou des entreprises, soit des employés munis de procurations appropriées signées par les représentants inscrits. Dans tous les cas, les personnes doivent être personnellement identifiées avec notre RA-App. En Suisse, seules les entreprises inscrites au registre UID peuvent commander des scellés. Avec le sceau, le certificat d'accès SSL entre l'application de signature chez le client et Swisscom sert d'authentification de l'entreprise. Le certificat d'accès doit donc être remis par le représentant de l'organisation. Avec le sceau avancé, une simple livraison suffit ; avec le sceau qualifié, une cérémonie de remise conjointe a lieu au cours de laquelle le certificat d'accès est généré conjointement. La clé privée doit être stockée sur un dispositif cryptographique (FIPS 140-2 niveau 2 minimum).

En principe, Swisscom a une responsabilité illimitée en vertu de la loi pour l'émission incorrecte de certificats qualifiés. Dans le cas de certificats avancés, cette responsabilité peut être limitée. Swisscom est également obligatoirement assurée à cet effet. En cas d'erreurs dans l'application de la signature (par exemple l'échange d'un hachage d'un document) ou d'erreurs d'identification par des registres tiers, Swisscom engage à son tour la responsabilité de ces tiers. Afin d'éviter les risques de responsabilité, des exigences élevées sont imposées au processus d'émission et de contrat et la possibilité d'auditer les tiers impliqués est généralement requise.

La législation suisse, c'est-à-dire la loi fédérale sur la signature électronique (ZertES/SCSE), définit les exigences que les organisations doivent remplir pour être reconnues en tant que service de certification. L'organisme d'accréditation accrédité pour l'accréditation de Swisscom en tant que service de certification en Suisse est KPMG (Accreditation No. SCESm 0071). Elle délivre un certificat d'évaluation de la conformité (disponible sur www.swisscom.com/signing-service). Le Service d'accréditation suisse SAS tient à jour une liste des services de certification accrédités : Lien

Avec l'entrée en vigueur du règlement sur l'identification électronique et les _services_de_confiance_ pour les transactions électroniques dans le marché intérieur de l'Union européenne (eIDAS), la base a été créée pour une communication électronique juridiquement valable et une identification électronique sécurisée dans toute l'Europe. À l'aide de _services_de_confiance_ tels que les signatures électroniques, les sceaux, les horodatages, les services de livraison et les certificats d'authentification, les entreprises, les administrations et les particuliers peuvent échanger des documents numériques tels que des offres, des commandes, des contrats, etc. au sein de l'Union européenne sur une base juridique uniforme . Ainsi, le nouveau règlement de l'UE remplace la loi nationale sur les signatures et les règlements sur les signatures.

En vertu de ce règlement (CE) n° 910/2014/UE (règlement eIDAS) , les listes de confiance nationales ont un effet constitutif. En d'autres termes, un fournisseur de services de confiance et les _services_de_confiance_ qu'il fournit ne seront qualifiés que s'ils figurent dans les listes de confiance. Par conséquent, les utilisateurs (citoyens, entreprises ou administrations publiques) ne bénéficieront de l'effet juridique associé à un service de confiance qualifié donné que si ce dernier est répertorié (comme qualifié) dans les Listes de Confiance.

La filiale de Swisscom en Autriche « Swisscom IT Services Finance SE », Vienne a été incluse dans cette liste de confiance avec des certificats et des sceaux qualifiés :

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE a mandaté Swisscom (Suisse) SA pour l'exploitation du service de confiance et a également délégué les activités d'autorité de registre à Swisscom (Suisse) SA. Swisscom (Suisse) SA propose ainsi le service au marché et accepte également les documents contractuels pour le compte de Swisscom IT Services Finance SE.

Swisscom ne peut que confirmer qu'elle peut émettre des signatures qualifiées dans les deux systèmes juridiques conformément au règlement eIDAS de l'UE et à la loi ZertES de la Suisse. Les signatures qualifiées suisses ne sont reconnues comme qualifiées qu'en Suisse et les signatures qualifiées eIDAS dans l'UE.

La conformité de la signature qualifiée pour tout contrat doit toujours être vérifiée par un avocat. Swisscom ne peut fournir aucune information juridique à cet égard. Ceci n'est pas seulement lié à la signature, mais aussi à d'autres points qui peuvent être convenus dans les contrats. Par exemple, l'exigence de « retour par courrier recommandé » peut signifier qu'une signature électronique ne peut pas du tout être exécutée, car un itinéraire papier postal est obligatoire.

Dans les systèmes juridiques de l'UE et de la Suisse, le renversement de la charge de la preuve (et en Allemagne également la preuve prima facie par rapport à la preuve visuelle) s'applique en principe aux signatures qualifiées. Cela signifie qu'une partie adverse doit prouver que la signature qualifiée n'a pas été correctement exécutée si elle est contestée. Et bien entendu, Swisscom peut fournir des vérifications certifiées KPMG pour prouver que la signature qualifiée a été dûment exécutée.

Les délais de conservation pour la vérification d'identité et le journal d'activité et donc également les délais de preuve sont de 11 ans en Suisse et de 35 ans dans l'UE. Swisscom utilise généralement le standard de validation à long terme de l'ETSI (LTV).

La validation à long terme consiste à valider une signature de manière à ce qu'elle reste valable longtemps. La validation LTV n'autorise la validation que tant que le certificat racine de l'horodatage n'a pas expiré. Il est donc conseillé d'horodater à nouveau les documents avant l'expiration si des preuves à long terme doivent être préservées, afin que l'intégrité et la signification de la preuve de signature continuent d'être assurées.

En principe, les documents PDF devraient également être gérés dans des archives sécurisées. Une situation peut survenir dans 5, 10 ou 20 ans dans laquelle les algorithmes de signature sont « crackés », c'est-à-dire que l'intégrité ou l'authenticité ne pourraient plus être garanties. De bons systèmes d'archivage prévoient donc une démission régulière, par exemple avec un horodatage, qui utilise toujours l'algorithme le plus récent et garantit ainsi l'intégrité du document.

Le web propose différents liens avec des procédures optimisées pour cela, par exemple « Archisig ». Le BSI allemand a également publié une directive technique « Conservation de la valeur probante des documents signés cryptographiquement ». Il s'agit de la spécification des exigences techniques de sécurité pour la préservation à long terme de la valeur probante des documents et données électroniques signés cryptographiquement ainsi que des données administratives électroniques associées (métadonnées).

Un middleware défini à ces fins (middleware TR-ESOR) au sens de cette directive comprend tous les modules et interfaces qui sont utilisés pour sécuriser et maintenir l'authenticité et prouver l'intégrité des documents et données stockés.

L'expérience a montré que les périodes de transition peuvent durer de 3 mois à 2 ans.

Non.

Après la résiliation du contrat, les certificats de sceau valides existants seront révoqués.

La manière dont un tel scénario de « shutdown » doit être réalisé est réglementée par la loi : la CP/CPS du service de certification ou du service de confiance décrit les procédures exactes. Il doit y avoir un plan de fermeture et l'autorité de surveillance notifiée ou l'OFCOM désignera généralement un successeur qui pourrait offrir le service aux clients. Ce successeur recevra normalement également la Certificate Revocation List et donc la liste de validité des certificats, à condition que Swisscom ne les publie pas elle-même. La liste continuera à fonctionner pendant des années, afin que la validité des signatures puisse continuer à être vérifiée. Les preuves sur les enregistrements pour le service doivent être conservées selon les périodes de conservation même après une résiliation de plus de 11 ou même 35 ans, Swisscom ou un successeur désigné doit établir un système d'archivage pour cela, afin que ces informations puissent également être utilisées dans les négociations juridiques . Les identifications fournies ne peuvent plus être utilisées avec un éventuel successeur, c'est-à-dire que de nouvelles inscriptions sont nécessaires dans ce cas.

Les signatures électroniques peuvent être présentées comme preuve dans le cadre d'un litige. En règle générale, à l'exception de la signature qualifiée, ils sont soumis à l'appréciation libre des preuves. Les signatures électroniques « simples » et « avancées » étant à peine ou seulement grossièrement définies par la loi, il appartient au tribunal d'accepter ou non une telle signature. La partie qui souhaite présenter ces signatures comme valables doit fournir les preuves pertinentes. Dans le cas de Swisscom, il est utile que les signatures avancées soient également soumises à un audit très strict selon la norme ETSI pour les signatures « NCP+ » et que de tels rapports d'audit puissent donc être utilisés. Dans le cas d'une signature qualifiée, le renversement de preuve s'applique. Étant donné que la signature qualifiée est précisément déterminée par la loi et que, par exemple, la Suisse et l'Autriche proposent des validateurs pour la validité de ces signatures sur le Web, ces signatures sont considérées comme valables jusqu'à ce qu'une partie prouve le contraire et prouve ainsi que l'autorité de surveillance ou l'OFCOM ainsi que les commissaires aux comptes n'ont pas respecté leurs obligations. Après 11 ans en Suisse ou 35 ans en Autriche, la preuve peut également poser des difficultés dans le domaine qualifié, car les documents d'enregistrement doivent être détruits. Néanmoins, la signature est toujours visible comme « qualifiée ».

Dans le cadre d'une preuve après de nombreuses années, il convient également de noter que les documents archivés électroniquement doivent être horodatés à plusieurs reprises de temps à autre. Il peut arriver que les algorithmes ne soient plus aussi robustes. Un horodatage scelle le document avec les derniers algorithmes, protégeant l'intégrité du document, y compris les signatures.

Les signatures eIDAS qualifiées ne sont considérées comme « qualifiées » que dans la zone UE (et EEE), et les signatures ZertES/SigE sont également considérées comme qualifiées uniquement dans la juridiction suisse. Cela signifie que lorsqu'un État tiers choisit la loi, ces signatures ne peuvent plus atteindre leur effet « qualifié » ou, le cas échéant, le devenir. même pas reconnu.

Suisse (QES), ZertES :

La CP/CPS prévoit que l'identification et la documentation conservée peuvent être utilisées pendant une durée maximale de 5 ans, plus courte si la période de validité de la carte d'identité/du passeport présenté se termine avant la période de cinq ans ou si la procédure d'identification de la part de l'auditeur n'accorde pas 5 ans.

La durée de conservation prévue à l'article 11.1 de l'ordonnance du SigE/ZertES (journal d'activité) s'applique : « Les prestataires agréés conservent les enregistrements relatifs à leurs activités et les pièces justificatives les concernant pendant onze ans. Swisscom comprend également cette période comme une période de conservation pour les documents soumis dans le processus d'identification, en particulier une copie de l'ID.

Une réserve d'un an a été ajoutée comme « tampon de sécurité » afin d'éviter que les agences RA de Swisscom puissent calculer les 11 années différemment, ce qui signifierait que Swisscom n'aurait plus de documentation dans des cas spécifiques, notamment en application de l'article 17 SigE/ZertES (responsabilité illimitée).

• En résumé, la durée d'archivage est de 17 ans, ce qui est également indiqué dans les conditions d'utilisation.

Europe, (QES), eIDAS :

Il s'agit de la même justification et dérivation que dans le cas du QES en Suisse, à la différence près qu'en Autriche, la période de conservation légale est de 30 ans. L'article 10.1 de la loi SVG (Signature and Trust Services Act) prévoit :

Droits d'accès et durée de conservation

10. (1) À la demande des tribunaux ou d'autres autorités, un FST qualifié donne accès à la documentation conformément à l'article 24, paragraphe 2, allumé. h eIDAS-VO et sa base de données de certificats.

(2) […].

(3) La documentation est fournie par le TSP qualifié pendant 30 ans, à compter de la date de saisie du certificat qualifié en fin de validité ou, à défaut, 30 ans à compter de la date à laquelle les informations pertinentes sur les données délivrées et reçu par le VDA qualifié dans le cadre de ses activités est encouru.

• En résumé, la durée d'archivage est de 36 ans, ce qui est également indiqué dans les conditions d'utilisation d'eIDAS.

Signatures avancées (eIDAS, ZertES)

La CP/CPS prévoit que l'identification et la documentation archivée peuvent être utilisées pendant une durée maximale de 5 ans, plus courte si la durée de validité de la carte présentée se termine avant la période de cinq ans ou si la procédure d'identification ne permet pas 5 ans.

Il n'y a pas de délais de conservation légaux dans le domaine AES, car les délais de conservation ne sont pas réglementés par la loi. Cependant, les normes ETSI prévoient une durée de 7 ans. Ces informations sont dérivées de la directive ETSI EN 319 411-01 :

6.4.6 Archivage des dossiers

Les exigences particulières suivantes s'appliquent :

REMARQUE : ETSI TS 101 533-1 [i.13] suggère des dispositions sur la façon de préserver les objets de données numériques.

a) Le FST doit conserver les éléments suivants pendant au moins sept ans après qu'un certificat basé sur ces enregistrements cesse d'être valide :
i) journal de tous les événements relatifs au cycle de vie des clés gérées par l'AC, y compris toutes les paires de clés concernées

généré par l'AC (voir la clause 6.4.5, point g));

ii) la documentation telle qu'identifiée à la clause 6.3.4.

Une réserve d'un an a été ajoutée en tant que «tampon de sécurité» afin d'éviter que les agences Swisscom RA puissent calculer les 11 ans différemment.

• En résumé, la durée d'archivage est de 13 ans, ce qui est également indiqué dans les conditions d'utilisation d'eIDAS.

Pour les certificats personnels, Swisscom n'émet que des certificats à court terme (certificats dits « one-shot ») qui ont une durée de vie de 10 minutes et ne sont utilisés que pour une seule demande de signature. La probabilité que le certificat ait été compromis pendant ces 10 minutes est pratiquement inexistante. Après cela, le certificat n'est plus valide et ne peut pas être compromis. Grâce à la validation à long terme, les signatures avec ce certificat restent valables et peuvent également être validées pour des périodes de temps après expiration.

Si l'ensemble du CA (c'est-à-dire le certificat racine) du service de certification et de confiance a été compromis, il existe un processus que Swisscom décrit dans son CP/CPS (voir Downloads Area – Repository).

Si un signataire perd son support d'authentification ou découvre que son identité a été mal déterminée, notre équipe d'assistance doit en être informée immédiatement. Dans une relation contractuelle avec l'un de nos partenaires, veuillez contacter le partenaire avec lequel vous avez fourni votre signature ou identification. Il prendra alors des mesures supplémentaires pour bloquer cette identification. Si un certificat de sceau a été compromis, veuillez utiliser les coordonnées fournies sur https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

1. Contrat conclu oralement : Très difficile à prouver (uniquement avec témoin d'autres personnes)
2. Signé par une signature simple, par exemple une image de signature scannée : même problème. Le processus de génération de cette signature doit être analysé en justice et en raison de la faiblesse de la procédure, le témoin d'autres personnes ou d'autres indices jouera un rôle majeur pour prouver la procuration.
3. AES : pour la vérification d'une signature valide, les parties doivent à nouveau saisir le tribunal. Le tribunal demandera à un spécialiste d'enquêter sur la signature électronique avancée de Swisscom. Grâce aux audits effectués par Swisscom, le spécialiste peut en bénéficier. Néanmoins l'AES est plus faible que le QES par exemple concernant la manière d'identifier/enregistrer les personnes, le temps d'archivage (seulement 7 ans), et l'authentification à 1 facteur pour la signature contrairement à une authentification à 2 facteurs (donc un mobile volé smartphone pourrait être utilisé pour une signature)
4. QES : la vérification d'une signature valide peut se faire directement via https://validator.ch ou https://www.signatur.rtr.at/de/vd/Pruefung.html Les parties n'ont pas à saisir la justice en cas de doute. Seulement si quelqu'un doute généralement du service de confiance audité et ce sera une preuve irréfutable …. Les preuves de signature QES et les journaux seront conservés aussi longtemps que prévu pour tous les documents commerciaux et fiscaux du dossier commercial : plus de 10 ans en Suisse et 35 ans dans l'UE.

En raison de la réglementation GDPR et du fait que les filiales ne font pas automatiquement partie d'un accord de traitement des données, nous devons signer avec chaque filiale un contrat d'agence RA supplémentaire.

Nous recommandons l'utilisation de la norme PAdES LTA (voir ETSI TS 103 172) à des fins de validation à long terme. Veuillez trouver plus d'indices ici : https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . Les fichiers PDF doivent être conformes à la norme PDF/A.

Dans le cas d'une signature à distance, Swisscom gère vos clés pour les certificats de signature en fiducie. Avec une signature personnelle, les certificats de signature ne sont générés que pour la signature et perdent leur validité après env. 10 minutes. Ainsi, nous évitons la notification d'une compromission du certificat par le signataire, c'est-à-dire qu'un certificat ne peut pas être compromis. La procédure présente plusieurs avantages :

L'utilisateur final n'a pas besoin de contacter Swisscom (par ex. un compte utilisateur pour révoquer des certificats).

Les destinataires de documents signés n'ont pas à traiter de listes de révocation et d'OCSP (contrôle de validité des certificats en ligne).

Les problèmes de sécurité avec les applications qui reposent uniquement sur des mises à jour régulières de la liste de révocation sont évités.

Les requêtes OCSP entraînent des délais pour le destinataire.

De plus, un certificat à court terme fournit toujours une réponse positive – une requête OCSP ne peut jamais fournir qu'une réponse négative.

Important, la signature qui a été faite avec le QES est bien entendu toujours valable, quel que soit le certificat.

Les certificats de courte durée sont émis sur la base des enregistrements du service d'enregistrement, c'est-à-dire qu'ils sont basés sur une authentification forte. Un certificat à court terme n'est généré que s'il y a authentification (libération) dans la procédure 2FA.

Exemple d'analogie dans l'environnement papier : je signe un contrat avec un stylo à encre. L'encre du stylo est vide après la signature. Le contrat reste bien entendu valable.

Lors de la signature avec un QES, les périodes d'archivage des preuves suivantes s'appliquent :

Les durées de conservation des preuves d'identification et du journal d'activité pour les signatures de l'UE en Autriche (où nous sommes accrédités) sont de 35 ans et de 10 ans en Suisse.

Grâce à la norme PAdES B LTA, les signatures peuvent également être validées longtemps après leur expiration sur la base de certificats à court terme.

Les algorithmes de hachage (formation de la somme de contrôle) et de cryptage du hachage suivent les recommandations de la norme ETSI ETSI TS 119 312, qui à son tour suit également les normes NIS. Ces algorithmes ont certaines hypothèses sur des périodes de 1 à 6 ans pendant lesquelles ils sont stables. Cependant, des développements (par exemple le craquage d'algorithmes) peuvent aussi rapidement conduire à des changements ici. Swisscom Trust Services, par exemple, modifie à nouveau sa racine CA pour se conformer aux exigences > 6 ans. Une nouvelle édition du cahier des charges est à nouveau attendue cet automne.

Pour une validation à long terme, il est donc nécessaire de s'assurer régulièrement de l'intégrité sur la base des derniers algorithmes, par exemple l'horodatage annuel de tous les documents ou l'utilisation de solutions d'archivage adaptées. Mot-clé « conservation de la valeur probante » – voir DIN 31647:2015-05.

Selon le règlement eIDAS, les TSP doivent être accrédités au niveau national et respecter les lois, règles et réglementations nationales données par l'organisme de surveillance national dans la mesure où aucun autre règlement à l'échelle de l'UE n'a défini certaines règles, comme les décisions d'application de la Commission européenne. , par exemple, pour les normes ADES ou les niveaux de sécurité de l'eID ou certaines règles du règlement eIDAS lui-même. Ainsi, chaque pays a des normes nationales différentes pour ses PST ; par exemple, en Allemagne, le BSI doit approuver certains aspects, ou en France, l'institut ANSII. Dans certains pays, par exemple, l'identification vidéo est entièrement autorisée. Interdit dans d'autres, et dans les pays tiers, autorisé uniquement avec des certificats à court terme.

Mais le règlement de l'UE eIDAS prévoit que toutes les signatures électroniques qualifiées de tout TSP accrédité au niveau national dans n'importe quel pays de l'UE doivent être acceptées par tous les membres de l'UE. Ainsi, un TSP accrédité en France peut vendre son QES sur la base des règles et réglementations françaises en Allemagne, et un TSP autrichien, comme Swisscom, n'a qu'à suivre les règles et réglementations autrichiennes et peut vendre ses signatures qualifiées dans d'autres pays de l'UE. . La liste de confiance de l'UE est l'ancre standard et confirme qu'une signature qualifiée émise par l'un des TSP qui y sont répertoriés doit être acceptée.

Avec la version 2 du règlement eIDAS, les pays de l'UE essaieront d'harmoniser de plus en plus les parties de l'accréditation, par exemple, la manière de s'inscrire à un service, et ils veulent même créer un portefeuille électronique européen comme base pour de futurs identification pour tout service de confiance.