FAQ

Dans cette FAQ, vous trouverez la question la plus fréquemment posée sur nos Services. Si vous ne trouvez pas de réponse correspondante, veuillez nous contacter directement via le formulaire de contact. Tapez un terme dans la zone de recherche, puis faites défiler lentement vers le bas. Toutes les questions et réponses contenant votre mot de recherche seront alors surlignées en jaune.

  1. Les identifications sont-elles également valables pour les signatures avancées pour un maximum de 5 ans seulement?

    Oui, après 5 ans, les personnes identifiées pour les signatures avancées doivent également être nouvellement identifiées. Cependant, pour les signatures avancées, il suffit que la carte d'identité soit valide au moment de l'identification. Si celui-ci expire dans les 5 ans, aucune nouvelle identification n'est nécessaire. Pour les signatures qualifiées, en revanche, une identification est valable aussi longtemps que la carte d'identité était valide ou pendant un maximum de 5 ans après cette identification. Dans des cas particuliers, par exemple lorsque l'identification bancaire est utilisée, la validité d'une identification peut également être limitée à une période plus courte que 5 ans si la réglementation l'exige.

  2. Puis-je également m'identifier auprès de la Poste, des Swisscom Shops, etc.?

    En Suisse, Swisscom élargit continuellement les possibilités d'identification dans les boutiques Swisscom. Nous en rendrons compte sur cette page Web principale. À l'étranger, l'identification ne sera possible que via des partenaires qui proposent cela. À moyen terme, Swisscom recherche une connexion à des identités existantes (par exemple, vérification d'identité en ligne par une banque ou un eID d'État, comme le Personalausweis allemand ou SwissID).

  3. Dois-je utiliser exactement les données d'identification pour la demande de signature?

    Principalement oui. En cas d'utilisation du nom et du prénom, ils doivent être exactement les mêmes que ceux figurant sur la pièce d'identité ou le passeport. Mais si cela est difficile à mettre en œuvre, la fonctionnalité de modèle peut prendre en charge ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Cette fonction permet de reprendre exactement le prénom et le nom qui ont été utilisés lors de l'identification en combinaison avec le RA-Service (SRS).

    Swisscom est également en mesure de configurer le service de manière à n'utiliser qu'un pseudonyme à la place du nom et du prénom. De plus, le «nom commun» (CN) pourrait être utilisé avec les noms habituellement utilisés pour cette personne (indépendamment du document d'identité). L'appel de vérification du service RA vérifie dans ce cas le numéro de mobile qui a été utilisé lors de l'identification et le pays. L'utilisation du pseudonyme dans verifyCall est indépendante de l'utilisation du pseudonyme dans l'appel de demande de signature.

  4. Existe-t-il des bibliothèques qui simplifient la gestion des PDF?

    Oui, il existe plusieurs bibliothèques disponibles sur le marché qui permettent une implémentation rapide d'une application de signature. Tous bénéficient également d'un support spécial pour Swisscom Service:

    Intarsys est un partenaire premium de Swisscom et connaît très bien le service AIS d'un point de vue technique et peut fournir des conseils.

    Swisscom décline toute responsabilité quant au fonctionnement sans erreur de ces bibliothèques. Ceux-ci peuvent contenir des erreurs et nécessitent des connaissances et une expertise particulières. L'utilisation est aux risques et périls de l'abonné.

  5. De combien d'espace une signature a-t-elle besoin dans un document?

    Voir https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

  6. Combien de demandes de signature par minute notre système peut-il traiter actuellement?

    En ce moment, nous sommes en train d'étendre nos capacités avec d'autres algorithmes (pré-génération de clés) et d'expansion HW. Étant donné que plusieurs clients utilisent le service, nous supposons une charge maximale d'une demande par seconde en moyenne par client. Des performances supérieures, c'est-à-dire des capacités spécialement réservées sont éventuellement possibles.

  7. Plusieurs signatures peuvent-elles être placées sur un document?

    Oui, c'est la seule tâche de l'application d'abonné, qui envoie ensuite à plusieurs reprises le hachage avec la demande de signature au service de signature tout-en-un. N'importe quel nombre de signatures peut être généré pour le même document numérique.

  8. Un document peut-il être doté d'une signature organisationnelle (signature statique) et d'une signature personnelle (à la demande)?

    Oui, mais cela nécessite 2 canaux de communication et configurations, c'est-à-dire que la signature doit d'abord être authentifiée par la personne qui signe via un canal (à la demande) puis signée de manière organisationnelle (avec un certificat statique préalablement créé) par un certificat d'authentification SSL via un deuxième canal.

  9. Comment une signature groupée est-elle facturée, c'est-à-dire dans une demande de signature, j'envoie par exemple 5 documents?

    Chaque signature est calculée individuellement, c'est-à-dire que dans cet exemple 5 signatures sont calculées.

  10. Combien de documents peuvent être envoyés avec une signature groupée (batch)?

    Il est limité à 250 pour des raisons de sécurité plutôt que pour la capacité du service.

  11. Les signatures avancées et qualifiées peuvent-elles être émises via une connexion (ClaimedIdentity)?

    Non, ils sont proposés via deux ClaimedIDs différents et seront facturés indépendamment.

  12. Comment puis-je tester l'application RA?

    Il existe un mode test et démo qui vous permet d'essayer l'application, mais aucune donnée n'est transmise. Pour ce faire, le numéro de téléphone mobile +41001234567 doit être saisi dans le formulaire d'inscription et le nom de l'entreprise «démo».

  13. Quels pays sont pris en charge par RA-App?

    Veuillez trouver un tableau avec tous les documents d'identité et passeports acceptés:

    http://documents.swisscom.com/product/filestore/lib/9a046496-4140-413d-b915-84d382a1bc6c/countriesraservice-en.pdf?idxme=pex-search

  14. L'agent RA doit-il être autorisé par Swisscom s'il identifie des personnes pour les signatures conformément au droit européen et chinois?

    Cela se produit indirectement. Dans la pratique, la procédure est la suivante: L'agence RA nomme d'abord un agent principal RA. Cet agent est identifié par Swisscom ou un partenaire de Swisscom et suit une formation. Il reçoit alors une interface utilisateur avec laquelle il peut transformer d'autres personnes identifiées par lui seul en agents RA ou agents maîtres RA. Cependant, ils doivent également suivre une formation en ligne automatisée demandée.

  15. Comment une personne est-elle supprimée du service RA?

    En principe, Swisscom doit conserver les données pendant une très longue période (11 ans en Suisse ou 35 ans dans l'UE). Mais les personnes peuvent être désactivées par l'agent principal RA ou par Swisscom afin qu'elles ne puissent plus signer.

  16. Les données des signataires autorisés par l'UE et des signataires autorisés CH sont-elles conservées séparément?

    Oui, une distinction est faite entre le fait que les signataires aient accepté les conditions d'utilisation de la Suisse ou de l'UE ou les deux. Toutes les données sont également traitées par Swisscom (Schweiz) AG pour Swisscom IT Services Finance SE à Vienne.

  17. De combien de temps un agent RA qualifié a-t-il besoin pour s'identifier?

    En moyenne, une identification est effectuée en 2 minutes.

  18. Lorsque vous photographiez l'avant / l'arrière de la carte d'identité, l'appareil photo ne fait pas la mise au point ...

    Tenez l'appareil photo vers le haut de façon à ce que la totalité du document d'identité soit capturée par la découpe (toujours floue si nécessaire). Rapprochez lentement la caméra du badge et la mise au point recommencera.

  19. La personne inscrite n'a pas reçu le SMS ou l'a supprimé avec l'acceptation des conditions d'utilisation.

    Avertissez votre agent RA-Master et demandez-lui de rechercher le numéro de mobile sur le portail. Vous pouvez renvoyer le SMS avec les conditions d'utilisation en cliquant sur le lien avec le symbole PDF:

  20. La personne enregistrée n'a pas reçu de SMS et est introuvable.

    Assurez-vous que vous n'avez pas enregistré la personne en mode démo RA-App (numéro de portable +41001234567, société «démo»).

    Consultez la page État du service ( https://trustservices.swisscom.com/service-status/ ) pour voir s'il y a des défauts. Si aucun SMS n'arrive après une nouvelle tentative, veuillez en informer le support.

  21. Seul Mobile ID ou PWD / OTP est-il possible pour l'authentification?

    En Suisse, nous basculons Mobile ID en mode de repli PWD / OTP par défaut si la carte SIM n'est pas activée pour Mobile ID. Dans la salle eIDAS, travaillez par défaut avec l'application Mobile ID ( https://play.google.com/store/apps/details?id=com.swisscom.mobileid , https://apps.apple.com/de/app/ mobile-id / id1500393675 ), mais nous pouvons également activer PWD / OTP.

    L'application Mobile ID est basée sur l'interface Mobile ID, qui offre également une authentification avec empreinte digitale ou reconnaissance faciale. Cette application ne nécessite qu'une connexion Internet lors de l'authentification et peut donc être utilisée à l'international. Cependant, une carte SIM internationale (numéro de téléphone mobile) est toujours nécessaire pour la configuration de l'application. Voir https://mobileid.ch .

    En général, d'autres méthodes d'authentification sont également possibles, mais celles-ci doivent être approuvées par KPMG. Cela nécessite la signature d'un contrat d'assistance à l'intégration, qui régit le concept de mise en œuvre et l'exécution de l'audit. Les nouvelles méthodes doivent être autorisées séparément pour ZertES et eIDAS.

  22. J'ai été identifié avec PWD / OTP et j'ai maintenant un MobileID, puis-je l'utiliser pour signer?

    Malheureusement non. Vous disposez d'un nouveau moyen d'authentification qui n'a pas été initialement enregistré avec l'identification. C'est-à-dire que vous devez être nouvellement identifié à l'aide du MobileID.

  23. La réception mobile par SMS est-elle également garantie à l'étranger?

    Aucune garantie mais cela devrait fonctionner presque partout – on peut avoir une vue d'ensemble plus proche:

    https://www.swisscom.ch/en/residential/plans-rates/inone-mobile/roaming.html

    (Accédez à «Tarriff Check», sélectionnez un type de contrat d'abonnement arbitraire et le pays)

    Avec l'application MobileID comme moyen d'authentification, vous êtes indépendant de l'envoi de SMS.

  24. La réception Mobile ID est-elle également garantie à l'étranger?

    Mobile ID (résidant sur la carte SIM) est également reçu partout à l'étranger – partout où un SMS peut être reçu. Il existe un protocole spécial dans la norme de télécommunications. Mais comme plusieurs parties sont impliquées dans ce processus, Swisscom ne peut jamais garantir ce service.

    L'application Mobile ID fonctionne uniquement sur la base d'une connexion Internet.

  25. Pourquoi avons-nous besoin d'un mot de passe supplémentaire et le SMS ne suffit pas pour une signature qualifiée?

    Une authentification à 2 facteurs est nécessaire pour la signature qualifiée: «possession» et «connaissance», c'est-à-dire que seule la possession (SMS) n'est pas suffisante.

  26. L'autorisation 2FA est-elle également nécessaire pour les signatures avancées?

    Non, OTP est suffisant pour les signatures avancées.

  27. Y a-t-il des frais pour le Mobile ID ou le SMS?

    Swisscom ne facture aucun frais pour l'envoi de Mobile ID ou de SMS. Selon le tarif du partenaire d'itinérance, des frais peuvent être engagés pour l'itinérance (ce qui se produit très rarement, par exemple sur les croisières).

  28. Que se passe-t-il si j'ai oublié mon mot de passe?

    La perte du mot de passe conduit à une nouvelle identité numérique. Les fournisseurs d'applications peuvent réagir à cela et, si nécessaire, exiger une nouvelle identification du signataire, par exemple avec l'application RA.

  29. Que se passe-t-il si une autre personne prend un appel?

    Etant donné que les deux méthodes nécessitent un secret ainsi que la possession du numéro de téléphone, aucune signature pour l'identité numérique précédemment existante ne peut être déclenchée une fois que le numéro de téléphone a été transféré. Cela signifie que la personne doit être nouvellement identifiée.

  30. Un téléphone fixe peut-il être utilisé à la place d'un téléphone mobile pour la requête SMS?

    Étant donné qu'un numéro de ligne fixe ne peut pratiquement pas être attribué à une personne, cela n'est pas possible. Le SMS vise à garantir que quelque chose est contacté qui est uniquement et sans exception attribué à la personne qui signe le document.

  31. Est-il possible de signer sans réception de téléphone portable?

    Les appareils modernes sont équipés d'appels WIFI. Ceux-ci peuvent également être utilisés pour se connecter à une zone WIFI. Sans Internet, cependant, les signatures à distance ne sont pas possibles.

  32. Le MobileID via eSIM est-il pris en charge?

    Dans la plupart des cas, oui.

  33. Que se passe-t-il si je change de carte SIM?

    Dans le cas d'un MobileID, vous pouvez utiliser un code de récupération pour transférer le MobileID vers la nouvelle SIM ( https://www.mobileid.ch/fr/login ). Dans le cas de PWD / OTP et du même numéro de téléphone, votre option d'authentification reste également.

  34. Comment l'identification est-elle liée à une méthode d'authentification?

    Lors de l'identification, le moyen d'authentification (par exemple le numéro de téléphone mobile par exemple) est interrogé. Avec cela, une première signature est déjà exécutée (step-up authentication), typiquement la signature des conditions d'utilisation qui ont été acceptées. Cette signature est transférée au service de signature tout-en-un. Cela signifie que le système de signature tout-en-un connaît exactement les moyens d'authentification.

  35. Existe-t-il une API au lieu d'une intégration d'écran mot de passe / OTP?

    Non. Swisscom exige même que, lorsque l'écran PWD / OTP est intégré comme «iFrame», une personne externe puisse vérifier qu'il provient de Swisscom. Par exemple, les fonctions standard du navigateur que Swisscom publie sous son lien vers le site Web peuvent être utilisées conformément au chapitre 4 des conditions d'utilisation. Pour l'intégration iFrame, consultez https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

  36. La mise au rebut d'écran pour entrer un PWD / OTP est-elle possible?

    Il n'y a pas de support pour la mise au rebut d'écran en tant qu'interface. Les développeurs pourraient être confrontés au fait que les écrans seront modifiés. Elle est également contradictoire avec la mise en œuvre du «contrôle exclusif» entre le signataire et le certificat de signature.

  37. L'écran mot de passe / OTP peut-il être intégré dans un site Web ou une application?

    Oui, mais uniquement en tant qu'iFrame, les instructions peuvent être trouvées ici: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

  38. La couleur ou le type de police de l'écran du mot de passe / OTP peut-il être adopté?

    Non, voir https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

  39. Le texte d'écran du mot de passe / OTP ou du texte MobileID peut-il être configuré?

    Oui, comme décrit dans le Guide de référence ( www.swisscom.com/signing-service ) sous «Méthode Step-Up» dans le champ «Message», le bloc de texte avec l'en-tête du message pour l'expression d'intention et la langue le réglage avec «Langue» peut être configuré dans le cadre du protocole. Pour la fenêtre de saisie SMS, la langue peut également être définie avec le paramètre «Langue».

  40. Que se passe-t-il si MobileID n'est pas activé ou possible sur une carte SIM?

    MobileID est toujours configuré en combinaison avec une solution de secours PWD / OTP, c'est-à-dire qu'une fenêtre de mot de passe est automatiquement envoyée. Vous pouvez activer votre MobileID sur la plateforme https://mobileid.ch . Si l'application MobileID est utilisée et activée, l'application MobileID est utilisée.

  41. Quand le mot de passe est-il défini pour la première fois?

    Dans le cas standard, après identification, le client reçoit d'abord les conditions d'utilisation du service de signature de Swisscom. Le client le confirme et déclenche ainsi une première signature de ces conditions, dans le cadre de laquelle il peut également définir pour la première fois le mot de passe. Ce que l'on appelle «l'authentification renforcée».

  42. D'autres méthodes d'authentification peuvent-elles être utilisées à la place de l'application PWD / OTP, Mobile ID, Mobile ID?

    Par défaut, Swisscom ne propose actuellement que ces méthodes. Cependant, l'extension sera élaborée à l'avenir, de sorte que des méthodes biométriques soient également possibles si l'approbation a été accordée. En outre, Swisscom accompagnera éventuellement le client s'il souhaite utiliser une solution auditée pour permettre une signature supplémentaire auprès de l'autorité de reconnaissance. Des frais supplémentaires seront engagés.

  43. Une connexion à l'application abonné et une authentification SMS ne sont-elles pas suffisantes comme solution à 2 facteurs?

    La base de l'authentification à 2 facteurs est le fait que les deux facteurs doivent être enregistrés en relation avec l'authentification, c'est-à-dire qu'aucun mot de passe ne peut être choisi qui ne connaît que l'application de l'abonné, mais l'abonné lui-même a été identifié avec RA-App. Une telle exception ne pourrait être imaginée que si le participant procède lui-même à une identification autorisée par délégation RA et conçoit en outre la procédure d'authentification de telle sorte que les deux facteurs (connexion, libération par SMS) soient exécutés en une courte session. La procédure d'identification propre et cette procédure de session doivent être décrites en détail dans un concept d'implémentation et nécessitent une autorisation de Swisscom et de ses auditeurs. Des frais supplémentaires sont encourus ici.

  44. Les signatures par lots sont-elles possibles?

    Oui, plusieurs documents peuvent être signés avec une approbation au cours d'une session. Au maximum env. 250 signatures.

  45. Les signatures XADES (XML) sont-elles possibles?

    Les signatures XML selon la norme XADES peuvent être faites sur la base de sceaux mais pas sur des signatures personnelles (pour le moment). Dans le client, vous devez préparer le standard XADES: L'appel d'une «signature simple» doit être implémenté.

  46. Quelle est la meilleure interprétation des codes d'erreur concernant le service RA?

  47. Non-correspondance du numéro de série

    Que signifie le message d'erreur «Incompatibilité du numéro de série. Nous vous conseillons vivement de suivre le processus de pré-signature afin de récupérer le numéro de série StepUp » . Ce message d'erreur indique que dans un processus PWD / OTP, le mot de passe a été réinitialisé et re-sélectionné sans effectuer une nouvelle identification avec le processus progressif correspondant selon le Guide de référence.

  48. Pourquoi ma signature n'a-t-elle pas fonctionné?

    Je me suis authentifié correctement avec l'application PWD / OTP, Mobile ID ou Mobile ID – mais la signature n'a pas fonctionné… quelle pourrait en être la raison?

    Les causes sont:

    • Vous avez défini un nouveau mot de passe pour la procédure PWD / OTP. Cela ne peut être effectué que dans des situations exceptionnelles auprès d'une autorité d'enregistrement interne et doit sinon toujours avoir lieu dans le cadre d'une nouvelle identification.
    • Vous vous êtes précédemment authentifié avec PWD / OTP et vous avez maintenant activé votre MobileID avec un numéro de téléphone mobile suisse ou à l'international en utilisant une application Mobile ID. Dans ce cas, une nouvelle identification doit également avoir lieu car le moyen d'authentification appartenant à l'identité a changé.
    • Vous avez changé la carte SIM ou le fournisseur de téléphonie mobile. En conséquence, l'authentification MobileID a changé lors de l'utilisation d'un MobileID. Une nouvelle identification est également nécessaire pour cela.
    • Si aucune de ces causes n'est présente, vous devez ouvrir un ticket.
  49. Comment puis-je valider les signatures?

    Pour les signatures dans l'espace juridique suisse: www.validator.ch (Attention, le validateur n'est pas toujours à jour). Pour les signatures dans le domaine juridique de l'UE: https://www.signatur.rtr.at/de/vd/Pruefung.html

    Il convient de noter que les validateurs de l'UE sont loin d'être harmonisés. Cela signifie que les portails de test peuvent présenter une signature électronique qualifiée comme «invalide», même si elle répond aux exigences de datation eIDAS. L'harmonisation est en cours d'élaboration par l'UE.

    Seules les signatures QES peuvent être validées. Il n'y a pas de validateurs pour les signatures AES.

  50. Pourquoi le validateur affiche-t-il une signature invalide?

    Souvent, les messages font référence à l'intégrité manquante, c'est-à-dire que le document présente des modifications après la signature du document. Par exemple, des éléments du réseau ont été téléchargés et insérés plus tard. Cela peut être évité en utilisant systématiquement la dernière version du standard PDF / A PADES pour la signature. Afin de créer des documents PADES corrects, veuillez suivre ce lien ici: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

    Il convient de noter que les validateurs de l'UE sont loin d'être harmonisés. Cela signifie que les portails de test peuvent présenter une signature électronique qualifiée comme «invalide», même si elle répond aux exigences de datation eIDAS. L'harmonisation est en cours d'élaboration par l'UE.

  51. La "coche verte" dans Adobe indique-t-elle la régularité de la signature?

    Adobe est un fournisseur américain américain d'un logiciel capable d'afficher des documents PDF. Le produit le plus répandu et le plus répandu est le soi-disant «Adobe Acrobat Reader». Cela permet la vérification des signatures basées sur des certificats. Le fait qu'une signature soit valide et donc affichée avec une coche verte dépend de nombreux aspects:

    • Adobe a son propre ensemble de règles, qui classe les autorités de certification émettrices de fournisseurs de confiance ou de services de certification comme «dignes de confiance». Ceux-ci sont répertoriés dans une liste de confiance Adobe (AATL). Même s'il n'est pas inclus dans la description du service, Swisscom s'efforce toujours d'y figurer. De plus, les sociétés cotées doivent payer des frais annuels pour cette inscription et déposer leur auto-évaluation. Selon Adobe, les fournisseurs de services de confiance eIDAS sont considérés comme dignes de confiance s'ils ont également conclu un contrat avec Adobe.
    • Adobe propose une variété de paramètres qui peuvent conduire à une validation complètement différente: par exemple, au lieu de la liste de confiance d'Adobe, la liste de confiance de Microsoft Windows peut également être utilisée, qui ne maintient généralement que les fournisseurs de services de confiance qui émettent également des certificats SSL ou de courrier électronique. . Cependant, le contrôle peut également être basé sur une heure donnée par l'horloge de l'ordinateur et non sur l'horodatage du document.

    Cela signifie que vous ne pouvez pas vous fier à la validité d'une signature dans Adobe, mais que vous obtenez des informations pour savoir si des modifications ont été apportées au document depuis que la signature a été définie et à quoi ressemble le certificat de signature.

  52. La déclaration de configuration et d'acceptation demande deux rôles: (1) Responsable de la sécurité pour la sécurité des données et la confidentialité (2) Administrateur système. Comment choisir ces rôles de manière appropriée?

    Les deux doivent être des informaticiens familiarisés avec l'application. Il n'est pas nécessaire que ce soit une personne ayant le rôle officiel de «Député à la protection de la vie privée». Swisscom souhaite simplement conserver ici le principe des 4 yeux. Les rôles sont les suivants: pouvoir fournir des informations sur l'administration de l'application utilisateur (qui a accès, que pourrait manipuler un administrateur, où pourrait-il y avoir un problème, connexion SSL à Swisscom) et sur des sujets tels que la protection antivirus, le contrôle d'accès en général, etc. chez le responsable de la sécurité.

  53. Que dois-je faire dans une entreprise avec plusieurs filiales?

    D'une part, une entreprise interne peut devenir un partenaire de revente de Swisscom pour d'autres entreprises au cas où un volume énorme serait prévu. Dans ce cas, le flux de paiement ne passe directement que par cette entreprise individuelle. Une entreprise peut également assumer l'entière responsabilité du fonctionnement de l'application d'abonné. Même dans ce cas, les factures ne passeront que par cette société. Il peut alors identifier les employés des autres entreprises.

    Si toutes les entreprises souhaitent exploiter l'application d'abonné de manière indépendante (avec leur propre responsabilité) et souhaitent également fournir elles-mêmes des agents RA, un contrat distinct est requis pour chaque entreprise.

  54. Nous aimerions facturer en partie «par signataire» et en partie «par signature», est-ce possible?

    Ici, deux comptes utilisateurs (ClaimedIdentity) doivent être ouverts, chaque compte est connecté avec une méthode de facturation. Cela signifie que l'application d'abonné doit décider elle-même du compte qu'elle utilisera pour envoyer une demande de signature. Il y a des frais de service par compte. 2 factures sont émises à la fin du mois.

  55. Si «par signataire» est facturé, qu'advient-il des mois pendant lesquels aucune signature n'est effectuée?

    Il n'y a pas de frais pour ces mois.

  56. Nous aimerions signer à la fois dans l'UE et dans le domaine juridique CH, est-ce possible?

    Deux comptes utilisateurs (ClaimedIdentity) doivent être ouverts, chaque compte est lié au type de signature respectif, c'est-à-dire que l'application participant doit décider sur quel compte elle envoie une demande de signature. Les deux comptes peuvent être adressés via une interface, c'est-à-dire le même point final. Il y a des frais de service par compte. 2 factures sont émises à la fin du mois. Par conséquent, 2 contrats de service avec 2 configurations et déclarations d'acceptation différentes doivent être soumis. Si vous avez 2 zones légales et 2 types de facturation, vous n'avez toujours qu'une seule interface (technique), mais 4 points d'interface d'accès au service et par cela 4 fois des frais de service. Il double encore à 8 ClaimedIDs, si les deux niveaux de signature (QES / AES) sont prévus avec les deux types de facturation et les deux juridictions.

  57. Swisscom utilise un contrat PDF standard - comment pouvons-nous les adapter à nos besoins?

    Chaque année, Swisscom investit des sommes importantes dans des audits permanents. Cependant, pour pouvoir mettre sur le marché l'offre d'un prestataire de services de confiance à un prix raisonnable, ce service est proposé sous une forme standardisée. Cela signifie notamment:

    • Le client doit adhérer au processus de commande standard avec les documents contractuels standard publiés par les auditeurs.
    • Les évaluations complémentaires des participants ainsi que l'examen et l'acceptation des propres textes contractuels ne sont pas inclus dans l'offre.

    De nombreux aspects du prestataire de services de confiance sont soumis non seulement à des conditions d'exécution du service, mais également à la spécification d'obligations importantes, de réglementations en matière de responsabilité et de services de coopération dans les documents contractuels. Par conséquent, ces documents contractuels sont également soumis à un audit ou sont également soumis aux organismes nationaux d'évaluation de la conformité. Par conséquent, aucune modification du système juridique ne peut être acceptée, ni les annexes contractuelles du participant, surtout si elles sont soumises à la loi étrangère applicable.

    S'il est néanmoins nécessaire d'adapter des textes contractuels, d'ajouter des règles contractuelles (par exemple votre propre code de conduite, déclaration de protection des données, NDA, etc.), de traiter des questionnaires d'évaluation spéciaux ou si vous avez même découvert des erreurs ou des formulations peu claires, veuillez les signaler à notre gestion de produit.

    Si des erreurs ou des ambiguïtés sont apparentes, un processus de changement correspondant est initié par la direction du produit et mis en œuvre le plus rapidement possible.

    Pour l'évaluation d'autres questions, une équipe de traitement est constituée qui s'appuie sur les experts concernés (par exemple, service juridique, responsable de la sécurité, responsable de la conformité, etc.) et procède à une évaluation de la demande. Des frais spécifiques au projet de 6 000 CHF sont dus pour cela. Si l'équipe d'experts n'était pas en mesure de trouver une solution directement, elle préparera une réponse et une offre, qui présentera et évaluera les étapes ultérieures de Swisscom.

  58. Le client a-t-il besoin de certifications pour le fonctionnement de l'application de signature?

    Non, uniquement pour le fonctionnement de l'application de signature, aucune certification ni aucun audit n'est requis. Dans le cadre d'une «déclaration de configuration et d'acceptation», le client fait une auto-déclaration pour faire fonctionner correctement l'application de signature, c'est-à-dire ne pas échanger le hash d'un document et afficher effectivement le document à signer au client (WYSIWYS = «Ce que vous voyez est ce que vous signez»). Le trafic de données entre l'application de signature et Swisscom doit être crypté et une protection de base contre les virus et les attaques doit être garantie comme avec tout autre système. Un audit officiel avec certification ne peut être nécessaire que si le système dispose de sa propre identification, notamment par rapport à sa propre méthode d'authentification. En Suisse, l'identification avec les méthodes d'authentification de Swisscom peut être traitée de manière simplifiée au moyen d'un «concept de mise en œuvre» approprié soumis par le client et approuvé par Swisscom; dans l'UE, un audit officiel est généralement nécessaire. En règle générale, une méthode d'authentification doit toujours être certifiée, car elle doit assurer un «contrôle exclusif» du certificat de signature (appelé «contrôle exclusif» dans le contexte ETSI).

  59. Comment puis-je commander des sceaux en tant qu'entreprise?

    En principe, l'entreprise doit désigner des représentants. Ces représentants devraient être soit les représentants enregistrés selon le registre du commerce ou des entreprises, soit des employés dotés de procurations appropriées signées par les représentants enregistrés. Dans tous les cas, les personnes doivent être identifiées personnellement avec notre RA-App. En Suisse, seules les entreprises inscrites au registre UID peuvent commander des scellés. Avec le sceau, le certificat d'accès SSL entre l'application de signature chez le client et Swisscom sert d'authentification de l'entreprise. Le certificat d'accès doit donc être remis par le représentant de l'organisation. Avec le joint avancé, une livraison simple suffit; avec le sceau qualifié, une cérémonie de remise conjointe a lieu au cours de laquelle le certificat d'accès est généré conjointement. La clé privée doit être stockée sur un crypto-périphérique (FIPS 140-2 niveau 2 minimum).

  60. Qui est responsable des certificats défectueux?

    En principe, la responsabilité légale de Swisscom est illimitée en cas de mauvaise délivrance de certificats qualifiés. Dans le cas des certificats avancés, cette responsabilité peut être limitée. Swisscom est également assuré à cet effet. En cas d'erreurs dans l'application de signature (par ex. L'échange d'un hachage d'un document) ou d'erreurs d'identification par des registres tiers, Swisscom engage à son tour la responsabilité de ces tiers. Afin d'éviter les risques de responsabilité, des exigences élevées sont placées sur le processus d'émission et de contrat et la possibilité de contrôler les tiers impliqués est généralement requise.

  61. La signature est-elle acceptée en Suisse?

    La législation suisse, c'est-à-dire la loi fédérale sur la signature électronique (ZertES / SCSE), définit les exigences que les organisations doivent remplir pour être reconnues en tant que service de certification. L'organisme d'accréditation accrédité pour l'accréditation de Swisscom en tant que service de certification en Suisse est KPMG (Accreditation No. SCESm 0071). Il délivre un certificat d'évaluation de la conformité (disponible sur www.swisscom.com/signing-service). Le service d'accréditation suisse SAS tient à jour une liste de services de certification accrédités:
    https://www.sas.admin.ch/sas/en/home/akkreditiertestellen/akkrstellensuchesas/pki.html

  62. La signature est-elle reconnue dans un pays de l'UE (également en dehors de l'Autriche)?

    Avec l'entrée en vigueur du règlement sur l'identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur de l'Union européenne (eIDAS), la base a été créée pour une communication électronique juridiquement valable et une identification électronique sécurisée dans toute l'Europe. À l'aide de trust services tels que les signatures électroniques, les sceaux, les horodatages, les services de livraison et les certificats d'authentification, les entreprises, les administrations et les particuliers peuvent échanger des documents numériques tels que des offres, des commandes, des contrats, etc. au sein de l'Union européenne sur une base juridique uniforme. . Ainsi, le nouveau règlement de l'UE remplace la loi nationale de signature et les règlements de signature.

    En vertu du présent règlement (CE) n ° 910/2014 / UE (règlement eIDAS) , les listes de confiance nationales ont un effet constitutif. En d'autres termes, un fournisseur de services de confiance et les trust services qu'il fournit ne seront qualifiés que s'ils figurent dans les listes de confiance. Par conséquent, les utilisateurs (citoyens, entreprises ou administrations publiques) ne bénéficieront de l'effet juridique associé à un service de confiance qualifié donné que si ce dernier est listé (comme qualifié) dans les Trusted Lists.

    La filiale de Swisscom en Autriche «Swisscom IT Services Finance SE», à Vienne, a été incluse dans cette liste de confiance avec des certificats qualifiés et des sceaux:

    https://webgate.ec.europa.eu/tl-browser/#/tl/AT

    Swisscom IT Services Finance SE a mandaté Swisscom (Suisse) SA pour gérer le service de confiance et a également délégué les activités d'autorité de registre à Swisscom (Suisse) SA Swisscom (Suisse) SA propose ainsi le service au marché et accepte également les documents contractuels au nom de Swisscom IT Services Finance SE.

  63. Swisscom peut-elle garantir la conformité juridique d'un contrat signé avec sa signature?

    Swisscom ne peut que confirmer qu'elle peut émettre des signatures qualifiées dans les deux systèmes juridiques conformément au règlement eIDAS de l'UE et à la loi ZertES de la Suisse. Les signatures suisses qualifiées ne sont reconnues comme qualifiées qu'en Suisse et les signatures qualifiées eIDAS dans l'UE.

    La conformité de la signature qualifiée pour un contrat doit toujours être vérifiée par un avocat. Swisscom ne peut fournir aucune information juridique à cet égard. Ceci n'est pas seulement lié à la signature, mais aussi à d'autres points qui peuvent être convenus dans les contrats. Par exemple, l'exigence de «retour par courrier recommandé» peut signifier qu'une signature électronique ne peut pas du tout être exécutée, car un itinéraire papier est obligatoire.

  64. La signature qualifiée est-elle plus concluante?

    Dans les systèmes juridiques de l'UE et de la Suisse, le renversement de la charge de la preuve (et en Allemagne également la preuve prima facie par rapport à la preuve visuelle) s'applique en principe aux signatures qualifiées. Cela signifie qu'une partie adverse doit prouver que la signature qualifiée n'a pas été correctement exécutée si elle est contestée. Et bien entendu, Swisscom peut fournir des vérifications certifiées KPMG pour prouver que la signature qualifiée a été correctement exécutée.

  65. La validité d'une signature peut-elle encore être prouvée après 10 ans?

    Les délais de conservation pour la vérification d'identité et le journal d'activité et donc également les délais de preuve sont de 11 ans en Suisse et de 35 ans dans l'UE. Swisscom utilise généralement la norme de validation à long terme de l'ETSI (LTV).

    La validation à long terme signifie valider une signature de manière à ce qu'elle reste valable longtemps. La validation LTV permet uniquement la validation tant que le certificat racine de l'horodatage n'a pas expiré. Il est donc conseillé d'horodater à nouveau les documents avant leur expiration si les preuves à long terme doivent être conservées, de sorte que l'intégrité et la signification de la preuve de signature continuent d'être garanties.

    En principe, les documents PDF doivent également être gérés dans des archives sécurisées. Une situation peut survenir dans 5, 10 ou 20 ans dans laquelle les algorithmes de signature sont «fissurés», c'est-à-dire que l'intégrité ou l'authenticité ne peut plus être garantie. De bons systèmes d'archivage prévoient donc une démission régulière, par exemple avec un horodatage, qui utilise toujours le dernier algorithme et garantit ainsi l'intégrité du document.

    Le Web propose différents liens avec des procédures optimisées pour cela, par exemple «Archisig». Le BSI allemand a également publié une directive technique «Préservation de la valeur probante des documents signés cryptographiquement». Il s'agit de la spécification des exigences techniques de sécurité pour la préservation à long terme de la valeur probante des documents et données électroniques signés cryptographiquement ainsi que des données administratives électroniques associées (métadonnées).

    Un middleware défini à ces fins (middleware TR-ESOR) au sens de cette directive comprend tous les modules et interfaces qui sont utilisés pour sécuriser et maintenir l'authenticité et prouver l'intégrité des documents et données stockés.

  66. Comment les modifications de la base juridique sont-elles gérées?

    L'expérience a montré que les périodes de transition peuvent durer de 3 mois à 2 ans.

  67. La reproduction de documents originaux signés peut-elle être empêchée?

    Non.

  68. Existe-t-il des rapports sur le Web de clients Swisscom qui utilisent la signature numérique?

  69. Comment les horodatages affectent-ils les différents fuseaux horaires?

    En principe, un horodatage stocke également la zone (le décalage). À cet égard, tous les programmes locaux afficheront l'heure locale réelle.

  70. Adobe signale l'erreur selon laquelle la signature n'est pas valide car elle n'a pas pu être validée.

    «La signature est valide mais la validité de l'identité du signataire n'a pas pu être vérifiée» est la déclaration d'Adobe si aucun format LTV n'a été utilisé. Le contexte est qu'Adobe tente ensuite de vérifier la validité d'un certificat de 10 minutes. Si aucun format de validation à long terme n'a été utilisé, qui stocke les informations de validité au moment de la signature, celles-ci ne sont plus accessibles après un certain temps. Par conséquent, les signatures avec des certificats à court terme (mais aussi les signatures avec une preuve à long terme) doivent toujours être enregistrées au format LTV. Vous pouvez trouver plus d'indices ici: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

  71. Quelles données sont publiées dans le certificat en tant que nom distinctif (DN) des certificats personnels?

    Le nom distinctif contient soit le prénom, le nom et le pays de naissance / d'enregistrement ou le pays d'origine de la personne, soit un pseudonyme avec un numéro de série qui peut être retracé de manière unique à une personne par le registre. Les noms d'organisation ne sont autorisés que dans des cas particuliers

  72. Quels formats de fichiers peuvent être signés?

    En principe, Swisscom fournit un hachage signé et prend ainsi en charge les formats PADES (PDF) et, dans le cas des certificats d'organisation, les formats XADES (XML). Les fichiers Word ne sont pas signés et ne sont pas prévus à cet effet par la loi.

  73. Protection des données en Suisse et dans le DSGVO?

    La Suisse ne fait pas partie de l'UE et n'a donc pas introduit de législation européenne, le règlement général sur la protection des données (RGPD). En réalité, le RGPD est également applicable si les entreprises sont basées en Suisse et proposent des services dans l'UE.

    Swisscom est donc soumise aux mêmes obligations de traitement des données que toutes les autres organisations qui doivent se conformer au RGPD:

    • obtenir le consentement de la personne dont les données sont traitées
    • Garantie «Privacy by design» et «Privacy by default»
    • nommer un représentant à la protection des données
    • créer une liste des activités de traitement
    • signaler les violations de la protection des données à l'autorité de contrôle
    • mener une étude d'impact sur la vie privée

    Toutes les applications qui concernent la protection des données et sont utilisées pour le traitement des données, par exemple également l'App RA, doivent être conformes au RGPD. Swisscom fournit des informations à ce sujet sur ses pages:

    Suisse: www.swisscom.com/signing-service

    Autriche: www.swisscom.at

    avec les déclarations de protection des données correspondantes conformément au RGPD.

    La Suisse a toujours été et est considérée comme un pays tiers sûr au sens de l'art. 45 RGPD (transfert de données basé sur une décision d'adéquation), c'est-à-dire que les autorisations habituelles comme avec d'autres pays tiers (par exemple les États-Unis) ne sont pas nécessaires. Grâce à sa loi sur la protection des données et à l'adaptation en cours au RGPD, la Suisse dispose d'un «niveau de protection adéquat pour le transfert de données personnelles» conformément aux critères de l'UE, c'est-à-dire qu'elle doit en fait être traitée comme un pays de l'UE lors du transfert de données:

    https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/ adéquacy-protection-personal-data-non-eu-countries_en

  74. Conformité à la protection des données du service All-in Signing

    Dans le cadre de ses audits en cours, Swisscom doit veiller à ce que toutes les exigences strictes en matière de protection des données nécessaires à l'émission de signatures numériques soient respectées, tant vis-à-vis de l'autorité de certification en Suisse que vis-à-vis de l'organisme d'évaluation de la conformité en L'Autriche. Cela signifie qu'en plus de l'auto-déclaration, les prestataires de services de confiance et les services de certification sont tenus par la législation et les normes internationales appliquées, telles que l'ETSI 319401, de démontrer et d'avoir vérifié la protection des données appropriée pour toutes les données personnelles.

  75. Confidentialité et RA-App / RA-Service

    Les exigences en matière de protection des données à démontrer et à auditer s'appliquent également aux activités de l'autorité d'enregistrement – une tâche d'un fournisseur de services de confiance et d'un fournisseur de services de certification. Ainsi, l'application RA dans le cadre du processus d'enregistrement doit garantir la protection des données et la confidentialité. La RA-App elle-même ne stocke aucune donnée personnelle en permanence. Aucune donnée ne peut être exportée non plus. Dès que l'identification est terminée, les données sont transférées signées par l'agent RA en tant que soi-disant preuve. Ces preuves sont conservées au service RA de Swisscom dans des conditions de sécurité strictes (par ex. Accès à 4 yeux). Seules quelques personnes ont accès à ces données et ne peuvent les transmettre que sur décision du tribunal ou sont autorisées à vérifier la qualité de l'identification. Conformément à la loi, Swisscom a une responsabilité illimitée pour la bonne exécution de la signature et donc également pour l'identification.

    Les agents principaux RA ont un accès Web à un portail dans lequel ils peuvent voir toutes les personnes identifiées par les agents RA avec leurs nom, prénom, date d'expiration du document d'identité et numéro de téléphone portable. Les pièces d'identité et les photos (dites «preuves») ne sont ni accessibles ni exportables.

  76. Pourquoi commander le traitement des données?

    Swisscom est légalement tenue d'enregistrer des données personnelles pour la signature. Il est donc responsable de ces données. Cela signifie que Swisscom ne peut pas jouer le rôle de sous-traitant de données, même si elle reçoit par exemple des données sur les employés d'une entreprise cliente pour la signature. Swisscom a un mandat légal comme celui des télécoms ou des prestataires de services postaux. En outre, Swisscom a une relation contractuelle légale avec les signataires avec les conditions d'utilisation. Dans cet accord, le signataire accepte également l'utilisation des données.

    Avec l'appli RA, Swisscom transfère l'enregistrement des données d'identité à un prestataire de services externe, désigné dans les contrats comme «l'agence RA». Le RGPD nécessite dans ce cas un contrat de traitement de commande. L'agence RA doit donc se conformer aux obligations de traitement des données de commande.

    Le respect du traitement des données de commande RGPD est également requis dans les projets purement suisses. Il y a deux raisons à cela:

    • D'une part, il peut rarement être garanti que les personnes identifiées en Suisse ne sont pas des citoyens de l'UE soumis au principe de marché du RGPD,
    • En revanche, l'application RA ne peut pas être utilisée de telle sorte que seules les personnes pour la Suisse soient identifiées, c'est-à-dire que le traitement des données de commande a toujours lieu pour Swisscom IT Services Finance SE à Vienne également.
  77. Quelles sont les obligations des agences RA dans le cadre de leurs activités?

    Les agences RA agissent au nom du bureau d'enregistrement de Swisscom. Outre les obligations de bonne exécution des activités du registre, la protection des données est également une priorité. Les principes de protection des données de l'art. 28 DSGVO s'appliquent, qui sont reflétés de manière précise dans les mesures techniques et organisationnelles (TOM) du contrat d'agence RA. Ils sont basés sur 2 sections de l'Art. 28, qui reflètent l'utilisation de l'application sur l'appareil mobile:

    • La mesure doit «garantir la capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services dans le cadre du traitement à long terme» et
    • Inclure une procédure d'examen, d'évaluation et d'évaluation réguliers de l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
    • Le responsable du traitement et le sous-traitant prennent des mesures pour garantir que les personnes physiques placées sous leur autorité qui ont accès aux données à caractère personnel ne les traitent que sur instruction du responsable du traitement, sauf si elles y sont tenues par le droit de l'Union ou le droit national.

    Cela signifie qu'en plus de l'utilisation d'employés soigneusement sélectionnés et formés, la protection de l'application sur l'appareil mobile ainsi que la protection de l'accès doivent être garanties. Les appareils sont-ils correctement protégés contre les virus? Sera-t-il interdit de télécharger des programmes à partir d'autres magasins d'applications qui n'offrent pas une protection suffisante? Les employés gardent-ils leurs NIP et mots de passe secrets? Les appareils ne sont-ils pas rootés?

    La tâche la plus importante de l'agent RA est l'examen strict des pièces d'identité qui lui sont soumises et en particulier la vérification stricte des informations de terrain lues par l'OCR à partir de la carte d'identité / passeport ainsi que l'enregistrement correct du numéro de téléphone portable.

  78. Le processus d'identification avec ses propres données ne nécessite pas de traitement des données de commande?

    Dans certains projets, Swisscom s'appuie sur des procédures d'identification juridiquement reconnues et contrôlées avec des tiers. Un exemple typique est une banque qui effectue une identification de présence d'une personne dans le cadre de son processus KYC. Dans ce cas, Swisscom reçoit une copie des données de la banque pour ses propres besoins commerciaux (signature). Le traitement des données de commande n'est pas nécessaire ici, car deux parties sont responsables des données. À l'inverse, le principe de contrôle conjoint du RGPD n'est pas appliqué ici non plus, car la réactivité des données ne sert pas le même objectif commercial et les deux parties n'agissent pas de manière responsable au sens d'un objectif commercial commun. La banque agit pour son objectif commercial, par exemple l'ouverture d'un compte, et Swisscom poursuit son objectif commercial consistant à émettre des signatures. Néanmoins, dans ce cas, nos contrats sur la «délégation de l'activité de registre» contiennent également un minimum de dispositions sur la manière de procéder concernant la protection des données et le RGPD.

  79. Comment Swisscom conserve-t-elle les clés privées des certificats de signature?

    En cas de signature à distance, Swisscom conserve et gère en fiducie les clés des certificats de signature. Dans le cas d'une signature personnelle, les certificats de signature ne sont générés que pour la signature et perdent leur validité après env. 10 minutes. Les certificats d'entreprise pour les sceaux sont valables jusqu'à 3 ans. Selon la loi, la clé privée doit être stockée sur un dispositif de création de signature (qualifié). La mémoire pour cela est un appareil qui est principalement conçu pour le stockage de clés, le HSM (Hardware Security Module). Il est soumis à une réglementation stricte, à des audits, en termes de normes de sécurité et d'accès à cet appareil. Les signatures dans l'UE et en Suisse sont soumises à des normes de sécurité particulièrement élevées, qui ne sont disponibles que chez quelques fabricants HSM dans le monde.

  80. Quelle est la procédure de configuration d'une signature personnelle?

    La condition préalable à l'installation est une «déclaration de configuration et d'acceptation» signée par le client et vérifiée par l'autorité d'enregistrement globale. Cette déclaration contient les obligations de l'opérateur d'une application de signature (par exemple la possibilité d'afficher le document complet à signer, sécuriser l'accès au service), mais aussi les caractéristiques du service.

    Un autre prérequis est un certificat d'accès, qui sécurise la communication de l'application de signature au service de signature.

    Après vérification du document, notre service de configuration reçoit l'ordre d'activer le service avec le certificat d'accès envoyé et la spécification sélectionnée dans la déclaration de configuration et d'acceptation. Dans le cas des signatures qualifiées, le service n'est initialement activé que pour les signatures «avancées». Ensuite, le contact nommé dans la déclaration de configuration et d'acceptation est invité à fournir un exemple de signature avec la signature avancée. Si cela est irréprochable, le service passe au niveau «qualifié» si nécessaire. Le client en sera également informé. Il dispose désormais de 10 jours pour signaler toute irrégularité directement à l'équipe d'installation. S'ils ne reçoivent aucune réclamation pendant cette période, la connexion au service est acceptée. D'autres incidents peuvent ensuite être signalés à Swisscom via le support de 1er niveau en cas de contact direct avec Swisscom ou avec le partenaire revendeur.

  81. Quelles conditions le certificat d'accès doit-il remplir?

    Le certificat d'accès peut être un certificat auto-signé. Par exemple avec le logiciel openssl.

    Exigences pour le nom distinctif:

    • CN = <URL du système d'abonné qui effectue la communication avec l'AIS ou autre identification unique du système d'abonné>
    • O = <Nom de l'organisation>
    • Email = <E-mail à des fins de notification, par exemple en cas de fin de validité>
    • C = <Pays de l'organisation>

    Les exigences supplémentaires suivantes doivent être prises en compte lors de la préparation du certificat:

    • Durée maximum 3 ans
    • Algorithme de hachage minimum SHA-256
    • Longueur de clé minimum 2048 bits

    Des conditions particulières s'appliquent toujours pour les certificats d'accès dans le cadre de la création de sceaux réglementés (ZertES) ou qualifiés (eIDAS): La clé privée du certificat d'accès doit être créée sur un module cryptographique lors d'une cérémonie conjointe d'un représentant de l'autorité d'enregistrement Swisscom. Ce module doit répondre aux exigences de la norme FIPS 140-2 niveau 2 ou similaire, par exemple Yubikey, Feitan key ou Microsoft Key Vault. Alternativement, un concept peut être soumis sur la manière dont l'attribution du certificat d'accès à la personne responsable de l'organisation peut être réalisée par d'autres moyens.

  82. Comment se déroule la mise en place d'un sceau?

    Dans le cas d'un sceau, en plus de la configuration et de la déclaration d'acceptation de l'exploitant de la plateforme de signature, il faut également une demande de certificat pour le certificat de sceau, un certificat d'organisation. Contrairement au certificat de signature personnelle, le certificat de sceau est délivré pour trois ans. La demande de certificat doit être signée par des personnes autorisées de l'organisation. L'autorisation peut résulter du registre (par exemple procuration) ou peut également être une procuration spéciale, qui a été délivrée par exemple pour les opérateurs du centre informatique. Swisscom a besoin de la preuve de cette procuration. Ces personnes sont également identifiées personnellement au préalable par un représentant du bureau d'enregistrement de Swisscom via RA-App. Il peut également s'agir, par exemple, d'un agent RA d'un revendeur qui a procédé à l'identification personnelle. Cela permet à la personne de signer la demande à l'aide d'une signature électronique. La demande est envoyée à Swisscom sans signature et Swisscom invite les personnes à signer électroniquement. Les étapes suivantes diffèrent désormais selon le type de joint:

    Signature avancée: le demandeur envoie à Swisscom un certificat SSL, qu'il souhaite utiliser comme certificat d'accès pour l'interface avec le sceau.

    Signature qualifiée / réglementée: le demandeur fixe une date avec Swisscom pour la création conjointe d'une clé privée. Celui-ci doit être créé sur un dispositif cryptographique basé sur la qualification FIPS 140-2 niveau 2 ou similaire (par exemple Yubikey, Feitan Key, Key Vault HSM Microsoft, etc.) Un certificat d'accès est alors créé sur la base de cette clé. C'est-à-dire que pour le processus de signature, l'accès doit être libéré au moyen de ce certificat. Alternativement, un concept peut être soumis sur la manière dont l'attribution du certificat d'accès à la personne responsable de l'organisation peut être réalisée par d'autres moyens.

  83. Je reçois le message "Nous avons remarqué que votre méthode d'authentification pour la signature a changé. Dans certains cas, vous devez être ré-identifié." Dois-je faire quelque chose?

    Ce message est déclenché dans deux cas:

    a) Si vous venez d'être identifié avec l'appli Swisscom RA et qu'un changement a déjà eu lieu avec votre méthode d'authentification (carte SIM / changement de contrat, réinitialisation Mobile ID, le mot de passe pour la signature a été changé, passage de PWD / OTP à Mobile ID )

    Dans ce cas, tout va bien, et vous pouvez continuer à signer comme d'habitude jusqu'au niveau qualifié.

    b) Dans le cas où de nouvelles conditions générales sont disponibles et doivent être acceptées et qu'un changement a eu lieu avec votre méthode d'authentification depuis la dernière signature réussie (carte SIM / changement de contrat, réinitialisation de Mobile ID, le mot de passe de la signature a été changé, changement de PWD / OTP vers Mobile ID)

    Dans ce cas, vous devez être ré-identifié afin de pouvoir faire des signatures qualifiées.

  84. Comment intégrer un hachage signé dans le document PDF?

    L'incorporation de hachages signés devrait être la tâche des spécialistes PDF ou des bibliothèques correspondantes. L'espace pour la signature doit être précalculé. Veuillez consulter https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

    La solution suivante peut fournir une solution. Nous le présentons ici sans garantie, car Swisscom se concentre uniquement sur le service et non sur l'application de signature:

    • Créez un PDF avec un champ de signature vierge et pré-rempli
    • La plage d'octets doit être remplie de zéros jusqu'à la taille attendue
    • Calculer le hachage du document
    • Signez le hachage avec le service de signature tout-en-un
    • Remplissez le hachage signé dans le champ de signature vide
    • Itérer vers le champ de signature vide
    • Déterminez la plage d'octets du champ de signature vide
    • Calculer le décalage de la plage d'octets
    • Ouvrez le document avec le champ de signature vide en mode lecture-écriture et recherchez le décalage où le hachage a été inséré

    Il est également très important de suivre les directives du standard PADES et de la validation à long terme: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

  85. Où l'application MobileID est-elle disponible?

    L'application MobileID peut d'abord être téléchargée à partir des boutiques d'applications en Suisse, en Allemagne et en Autriche. D'autres pays de l'UE suivront.

  86. Est-il possible d'intégrer l'application MobileID en tant que solution en marque blanche?

    Malheureusement non. Il porte le logo MobileID – un logo utilisé pour tous les opérateurs de télécommunications en Suisse.

  87. Quelle est la sécurité de l'application MobileID par rapport au MobileID natif?

    L'application est aussi sécurisée que la variante basée sur la carte SIM. Une évaluation de sécurité spéciale a montré la robustesse de la solution et peut donc également être utilisée pour les signatures électroniques qualifiées.

  88. Puis-je choisir entre MobileID SIM et l'application MobileID?

    Non, ce n'est pas possible. Le système Mobile ID traite automatiquement les demandes d'authentification Mobile ID selon les règles suivantes:

    • si l'utilisateur dispose d'une carte SIM compatible Mobile ID (qu'elle soit activée ou non), elle est contrôlée. Si Mobile ID n'est pas déjà activé, cela doit être fait. Il n'est pas possible d'utiliser l'application dans cette constellation
    • si l'utilisateur ne dispose pas d'une carte SIM compatible Mobile ID (par exemple, client Yallo ou abonné étranger), l'application est activée. Si l'application Mobile ID n'est pas déjà installée, elle doit être téléchargée à l'avance. L'activation de Mobile ID est le moyen le plus rapide et le plus simple de l'activer directement dans l'application.

    Dans des cas exceptionnels, les clients peuvent faire leur propre configuration de leur intégration Mobile ID, par exemple pour autoriser l'application comme solution de secours pour la carte SIM. Dans ce cas, l'application peut être utilisée si la variante basée sur la carte SIM n'est pas disponible en raison d'un problème technique.

  89. Je reçois un message d'erreur après l'appel de vérification concernant une personne inconnue?

    L'appel de vérification qui vérifie si une personne est bien connue du RA-Service renvoie le code d'erreur suivant:

    {

    "StatusCode": 404,

    "Message": "Impossible de vérifier la juridiction de l'utilisateur inconnu avec msisdn XXXXXXXXX",

    "ExceptionClass": "EvidenceVerificationException"

    }

    Cela signifie que la personne est inconnue du service RA. Il se peut que cette personne soit probablement identifiée mais n'ait pas accepté le SMS avec les conditions d'utilisation. Après un court instant (environ 2 semaines), les données de la personne seront supprimées.

  90. Comment puis-je déterminer si un signataire utilise Mobile ID ou password / one time password (PWD / OTP)?

    Dans les paramètres renvoyés de l’appel de vérification, le soi-disant «série» est renvoyé. Si cela commence par «SAS» (c'est-à-dire SASxxxxxxx), le client utilisera l'authentification PWD / OTP. Si cela commence par «MID» (c'est-à-dire MIDxxxxxx), le client utilise la procédure Mobile ID. Cependant, il n'est pas possible de faire la distinction entre l'application Mobile ID et la carte SIM Mobile ID.

    Néanmoins, les résultats peuvent être utilisés, par exemple pour fournir des textes d'aide spéciaux (par exemple si le mot de passe est oublié, etc.) au client, ou pour faire référence à la déclaration de volonté sur le téléphone mobile.

  91. Passer de PWD / OTP à Mobile ID App ou Mobile ID et vice versa

    Si vous avez été identifié et avez déjà utilisé PWD / OTP:

    • Si vous souhaitez utiliser l'application Mobile ID, vous devez vous réidentifier
    • Si vous souhaitez utiliser Mobile ID (numéro de mobile suisse), vous devez vous réidentifier

    Si vous avez été identifié et avez déjà utilisé le Mobile ID:

    • Si vous souhaitez maintenant utiliser l'application Mobile ID (cela ne sera possible que sur une carte SIM qui ne prend pas en charge Mobile ID) et utiliser le code de récupération de Mobile ID, vous pouvez continuer à signer
    • Si vous activez l'application SANS code de récupération, vous devez être ré-identifié
    • Si vous souhaitez utiliser PWD / OTP, vous devez être ré-identifié

    Si vous avez été identifié et avez déjà utilisé l'application Mobile ID:

    • Si vous souhaitez maintenant utiliser le Mobile ID de la carte SIM (cela ne sera possible que sur une carte SIM suisse) et utiliser le code de récupération de l'application Mobile ID, vous pouvez continuer à signer
    • Si vous activez le Mobile ID de la carte SIM SANS code de récupération, vous devez être ré-identifié
    • Si vous souhaitez utiliser PWD / OTP, vous devez vous réidentifier

    Cela signifie que Mobile ID et Mobile ID App sont des méthodes d'authentification coordonnées, PWD / OTP est une méthode d'authentification complètement différente. La signature à distance exige toujours que les moyens d'authentification soient inclus lors de l'enregistrement (c'est-à-dire lors de l'identification). Par conséquent, dans certains cas, une nouvelle identification sera nécessaire.

  92. Identification avec Smart Registration Service / Identification vidéo: comment devenir agent RA?

    Une agence RA est associée à une zone de stockage (dite «locataire») dans laquelle seules les personnes identifiées par l'agent principal RA ou d'autres agents RA de son agence sont gérées. L'agent principal RA a accès à ce locataire et peut désigner toute personne identifiée de ce locataire comme agent RA.

    Si une personne a été identifiée par une autre méthode du Smart Registration Service (par exemple, l'identification vidéo dans l'UE), l'Agent principal RA ne peut pas désigner cette personne comme agent RA en raison du fait qu'elle est associée à un autre locataire (le locataire SRS). L'agent principal RA doit le réidentifier à l'aide de l'application RA.

    La seule exception est le tout premier RA-Master Agent: il est de toute façon identifié par une personne de Swisscom, Swisscom Partner ou par exemple une identification vidéo et se retrouve ainsi par défaut dans le «mauvais» locataire. Lorsque l'agence est configurée, l'agent principal RA nommé est recherché et déplacé vers le nouveau locataire correct de l'agence RA. Cependant, d'autres reports ne sont pas possibles.

  93. Que faut-il savoir si je souhaite installer l'application Mobile ID?

    Si vous êtes déjà inscrit (avec l'appli RA ou le Smart Registration Service), vous devez respecter les points suivants:

    • Si vous avez confirmé les conditions d'utilisation avec PWD / OTP lors de l'identification, vous avez défini cette méthode comme une méthode de déclaration de volonté. Désormais, si vous activez l'application Mobile ID en tant que méthode, vous ne pouvez plus signer tant que vous n'avez pas été nouvellement identifié.
    • Si vous utilisez déjà Mobile ID sur la carte SIM et que vous souhaitez utiliser l'application Mobile ID, vous devez utiliser le code de récupération lors de l'activation ou pour vous authentifier avec la carte SIM Mobile ID lors de l'activation et ne pas activer en tant que «nouveau Mobile ID». Sinon, cette application sera également considérée comme une nouvelle méthode de déclaration de volonté et vous devrez être ré-identifié.
    • La même chose se produit dans l'autre sens si vous souhaitez passer d'une application Mobile ID installée à la carte SIM Mobile ID.

    Le message d'erreur typique dans un tel cas est un message d'erreur avec «incompatibilité série».

  94. J'ai installé l'application Mobile ID mais cela n'a pas fonctionné?

    Malgré l'installation, l'application Mobile ID n'apparaît pas en arrière-plan et vous demande une authentification? Il est peut-être utile de redémarrer explicitement l'application, souvent le message apparaît alors, ou vous redémarrez votre smartphone.

  95. J'ai fait quelques tests de masse mais les performances du service sont médiocres?

    Veuillez noter que nous avons installé un WAF afin de protéger notre service contre les attaques par déni de service. Si vous souhaitez effectuer des tests de masse, veuillez nous contacter au préalable.

  96. Quelle est la durée de la déclaration de volonté?

    La signature doit être signée avec une déclaration de volonté (autorisation) par Mobile ID (SIM / App) ou PWD / OTP. Après avoir envoyé la demande, l'utilisateur dispose généralement de 80 secondes pour entrer l'autorisation. La valeur n'est pas réglable.

  97. Après identification, le SMS n'est pas arrivé ou a été supprimé accidentellement. Que devrions nous faire?

    Le Smart Registration Services essaie 5 fois tous les 3 jours d'envoyer à nouveau le SMS. Seulement si toutes les tentatives échouent après 15 jours, une réidentification est nécessaire.

  98. Que se passe-t-il pour sceller les certificats après la résiliation du contrat?

    Après la résiliation du contrat, les certificats de sceau valides existants seront révoqués.

  99. Puis-je utiliser l'appel de vérification dans les cas où je ne connais que le numéro de portable du signataire?

    Le verifyCall vous permet de vérifier si un signataire est déjà inscrit ou non. Si vous choisissez le pseudonyme, vous n'aurez besoin que du numéro de portable et du pays du signataire. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

  100. Que se passe-t-il si Swisscom n'offre plus le service de certification / le service de confiance?

    La manière dont un tel scénario «d'arrêt» doit être réalisé est réglementée par la loi: Le CP / CPS du service de certification ou du service de confiance décrit les procédures exactes. Il doit y avoir un plan d'arrêt, et l'autorité de contrôle notifiée ou l'OFCOM désignera généralement un successeur qui pourra proposer le service aux clients. Ce successeur recevra normalement également la liste de révocation des certificats et donc la liste de validité des certificats, à condition que Swisscom ne les publie pas elle-même. La liste continuera à fonctionner pendant des années, de sorte que la validité des signatures puisse continuer à être vérifiée. Les preuves des inscriptions au service doivent être conservées en fonction des durées de conservation même après une résiliation de plus de 11 ou même 35 ans, Swisscom ou un successeur désigné doit mettre en place un système d'archivage à cet effet, afin que ces informations puissent également être utilisées dans les négociations juridiques . Les identifications fournies ne peuvent plus être utilisées avec un éventuel successeur, c'est-à-dire que de nouveaux enregistrements sont nécessaires dans ce cas.

  101. Quels sont les points à considérer dans un litige concernant les signatures?

    Les signatures électroniques peuvent être présentées comme preuves dans le cadre d'un litige. En règle générale, à l'exception de la signature qualifiée, ils sont soumis à la libre appréciation des preuves. Étant donné que les signatures électroniques «simples» et «avancées» ne sont guère ou grossièrement définies par la loi, il est de la responsabilité du tribunal d'accepter ou non une telle signature. La partie qui souhaite présenter ces signatures comme valides doit fournir les preuves pertinentes. Dans le cas de Swisscom, il est utile que les signatures avancées soient également soumises à un contrôle très strict selon la norme ETSI pour les signatures «NCP +» et que ces rapports d'audit puissent ainsi être utilisés. Dans le cas d'une signature qualifiée, le renversement de preuve s'applique. Étant donné que la signature qualifiée est précisément déterminée par la loi et, par exemple, la Suisse et l'Autriche proposent des validateurs pour la validité de ces signatures sur le Web, ces signatures sont considérées comme valides jusqu'à ce qu'une partie prouve le contraire et prouve ainsi également que l'autorité de contrôle ou l'OFCOM ainsi que les auditeurs ne se sont pas conformés à leurs obligations. Après 11 ans en Suisse ou 35 ans en Autriche, la preuve peut également entraîner des difficultés dans le domaine qualifié, car les documents d'enregistrement doivent être détruits. Néanmoins, la signature est toujours visible comme «qualifiée».

    Dans le contexte d'une preuve après de nombreuses années, il convient également de noter que les documents archivés électroniquement doivent être horodatés à plusieurs reprises de temps en temps. Il se peut que les algorithmes ne soient plus aussi robustes. Un horodatage scelle le document avec les derniers algorithmes, protégeant l'intégrité du document, y compris les signatures.

    Les signatures eIDAS qualifiées ne sont considérées comme «qualifiées» que dans la zone UE (et EEE), et les signatures ZertES / SigE sont également considérées comme qualifiées uniquement dans la juridiction suisse. Cela signifie que lorsqu'un État tiers choisit la loi, ces signatures ne peuvent plus atteindre leur effet «qualifié» ou, si nécessaire, le devenir. même pas reconnu.

  102. Pourquoi les données de preuve et les données de journal doivent-elles être archivées pendant si longtemps?

    Suisse (QES), ZertES:

    Le CP / CPS prévoit que l'identification et la documentation conservée peuvent être utilisées pendant un maximum de 5 ans, plus courte si la période de validité de la carte d'identité / passeport présenté se termine avant la période de cinq ans ou si la procédure d'identification de la part de l'auditeur n'accorde pas 5 ans.

    La période de conservation conformément à l'article 11.1 de l'ordonnance du SigE / ZertES (journal d'activité) s'applique: «Les prestataires agréés conservent pendant onze ans les enregistrements relatifs à leurs activités et les pièces justificatives les concernant.» Swisscom considère également cette période comme une période de conservation des documents soumis lors du processus d'identification, en particulier une copie de la pièce d'identité.

    Une réserve d'un an a été ajoutée comme «tampon de sécurité» afin d'éviter que les agences Swisscom RA puissent calculer les 11 années différemment, ce qui signifierait que Swisscom ne disposerait plus de documentation dans des cas spécifiques, notamment en application de l'article 17 de la SigE / ZertES (responsabilité illimitée).

    • En résumé, la durée d'archivage est de 17 ans, qui sont également divulgués dans les conditions d'utilisation.

    Europe, (QES), eIDAS:

    Il s'agit de la même justification et de la même dérivation que dans le cas du QES en Suisse, à la différence près qu'en Autriche, la période de conservation légale est de 30 ans. L'article 10.1 du SVG (Signature and Trust Services Act) dispose:

    Droits d'accès et durée de conservation

    10. (1) À la demande des tribunaux ou d'autres autorités, un FST qualifié autorise l'accès à la documentation conformément à l'article 24, paragraphe 2, lit. h eIDAS-VO et sa base de données de certificats.

    (2) […].

    (3) La documentation est fournie par le FST qualifié pendant 30 ans, calculée à partir de la date du certificat qualifié introduit à la fin de la validité ou, à défaut, 30 ans à compter de la date à laquelle les informations pertinentes sur les données sont délivrées et reçu par le VDA qualifié dans le cadre de ses activités est encouru.

    • En résumé, la durée d'archivage est de 36 ans, qui sont également divulguées dans les conditions d'utilisation d'eIDAS.

    Signatures avancées (eIDAS, ZertES)

    Le CP / CPS prévoit que l'identification et la documentation archivée peuvent être utilisées pendant un maximum de 5 ans, plus courte si la période de validité de la carte soumise se termine avant la période de cinq ans ou si la procédure d'identification ne prévoit pas 5 ans.

    Il n'y a pas de périodes de conservation légales dans le domaine d'AES, car les périodes de conservation ne sont pas réglementées par la loi. Cependant, les normes ETSI prévoient une période de 7 ans. Ces informations sont dérivées de la directive ETSI EN 319 411-01:

    6.4.6 Archivage des documents

    Les exigences particulières suivantes s'appliquent:

    REMARQUE: ETSI TS 101 533-1 [i.13] suggère des dispositions sur la façon de préserver les objets de données numériques.

    a) Le FST doit conserver les éléments suivants pendant au moins sept ans après que tout certificat fondé sur ces registres cesse d'être valide:
    i) journal de tous les événements relatifs au cycle de vie des clés gérées par l'AC, y compris les paires de clés de sujet

    généré par l'AC (voir la clause 6.4.5, point g));

    ii) la documentation identifiée dans la clause 6.3.4.

    Une réserve d'un an a été ajoutée comme «tampon de sécurité» afin d'éviter que les agences Swisscom RA puissent calculer les 11 années différemment.

    • En résumé, la durée d'archivage est de 13 ans, qui sont également divulguées dans les conditions d'utilisation d'eIDAS.
  103. Quel est le processus pour un certificat compromis?

    Pour les certificats personnels, Swisscom n'émet que des certificats à court terme (dits «one-shot») d'une durée de vie de 10 minutes et ne sont utilisés que pour une seule demande de signature. La probabilité que le certificat ait été compromis pendant ces 10 minutes est pratiquement inexistante. Après cela, le certificat est invalide et ne peut pas être compromis. Grâce à la validation à long terme, les signatures avec ce certificat restent valables et peuvent également être validées pour des périodes de temps après l'expiration.

    Si toute l'AC (c'est-à-dire le certificat racine) du service de certification et de confiance a été compromise, il existe un processus que Swisscom décrit dans son CP / CPS (voir Zone de téléchargement – Référentiel).

    Si un signataire perd son moyen d'authentification ou découvre que son identité a été déterminée de manière incorrecte, notre équipe d'assistance doit en être immédiatement informée. Dans une relation contractuelle avec l'un de nos partenaires, veuillez contacter le partenaire avec lequel vous avez fourni votre signature ou pièce d'identité. Il prendra ensuite des mesures supplémentaires pour bloquer cette identification. Si un certificat de sceau a été compromis, veuillez utiliser les coordonnées fournies à l' adresse https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .


We want to provide you with the latest help content in your own language as quickly as possible. This page has been automatically translated and may contain grammar errors or inaccuracies.