Les composantes de l’IGC, les Clients et la communauté d’utilisateurs de certificats sont responsables pour tous dommages occasionnés en suite d’un manquement de leurs obligations respectives telles que définies aux termes de la PC.
9.6.1 Obligations communes
Les obligations communes des différentes composantes de l’IGC sont :
- Assurer l’intégrité et la confidentialité des clés privées dont elles sont dépositaires, ainsi que des données d’activation desdites clés privées, le cas échéant ;
- N’utiliser les clés publiques et privées dont elles sont dépositaires qu’aux seules fins pour lesquelles elles ont été émises et avec les moyens appropriés ;
- Mettre en œuvre les moyens techniques adéquats et employer les ressources humaines nécessaires à la réalisation des prestations auxquelles elles s'engagent ;
- Documenter leurs procédures internes de fonctionnement à l’attention de leur personnel respectif ayant à en connaître dans le cadre des fonctions qui lui sont dévolues en qualité de composante de l’IGC ;
- Respecter et appliquer les termes de la présente PC qu’elles reconnaissent ;
- Accepter les audits et les résultats et les conséquences d’un contrôle de conformité (interne et externe) et, en particulier, remédier aux non-conformités qui pourraient être révélées ;
- Respecter les conventions qui les lient aux autres entités composantes de l’IGC.
9.6.2 Obligations et garanties du CAP Les obligations du CAP sont les suivantes :
- L’élaboration de la PC et de la DPC ; - L’audit de l'ICP ;
- Documente les schémas de certification qu’elle entretient avec des AC tierces ; - L’établissement de la conformité entre la PC et la DPC ;
- Le maintien de la PC et de la DPC.
9.6.3 Obligations et garanties de l'AC
L'AC s'assure que toutes les exigences détaillées dans la présente PC et la DPC associée, sont satisfaites en ce qui concerne l'émission et la gestion de certificats porteurs.
L'AC est responsable du maintien de la conformité aux procédures prescrites dans la présente PC. L'AC fournit tous les services de certification en accord avec sa DPC. Les obligations communes aux composantes de l'AC sont :
- Respecter et applique la PC et la DPC de l’ACR de l’ICP qui lui a délivré son certificat d’AC ; - Assurer par le certificat le lien entre l'identité d'un Porteur et sa clé publique ;
- Protéger les clés privées et leurs données d'activation en intégrité et confidentialité ;
- N'utiliser ses clés cryptographiques et certificats qu'aux seules fins pour lesquelles ils ont été générés et avec les moyens appropriés, comme spécifié dans la DPC ;
- Respecter et appliquer les dispositions de la partie de la DPC qui les concerne (cette partie de la DPC doit être transmise à la composante concernée) afin de maintenir la conformité entre la PC et la DPC ;
- Accepter que l'équipe de contrôle effectue les audits et lui communiquer toutes les informations utiles, conformément aux intentions du CAP de contrôler et vérifier la conformité avec la PC ;
- Documenter ses procédures internes de fonctionnement afin de compléter la DPC générale ;
- Mettre en œuvre les moyens techniques et employer les ressources humaines nécessaires à la mise en place et la réalisation des prestations auxquelles elle s'engage dans la PC/DPC ;
- Prendre toutes les mesures raisonnables pour s’assurer que ses porteurs sont au courant de leurs droits et obligations en ce qui concerne l’utilisation et la gestion des clés, des certificats ou encore de l’équipement et des logiciels utilisés aux fins de l’IGC ;
- Tenir à disposition des Porteurs et des applications la notification de révocation du certificat d'une composante de l'ICP ou d'un Porteur ;
- Protéger les données de déblocage des supports matériels des porteurs et mettre en place une procédure sécurisée pour le déblocage des supports matériels.
L’AC est responsable de la conformité de sa PC aux normes des certificats X509v3 et ETSI TS 102042.,. L’AC assume toute conséquence dommageable résultant du non-respect de sa PC et aux normes ci-dessus référencées.. Elle prend les dispositions nécessaires pour couvrir ses responsabilités liées à ses opérations et/ou activités et posséder la stabilité financière et les ressources exigées pour fonctionner en conformité avec la PC.
De plus, l'AC reconnaît engager sa responsabilité en cas de faute ou de négligence, d'elle-même ou de l’une de ses composantes, quelle qu’en soit la nature et la gravité, qui aurait pour conséquence la lecture, l’altération ou le détournement des données personnelles des porteurs à des fins frauduleuses, que ces données soient contenues ou en transit dans les applications de gestion des certificats de l'AC.
Par ailleurs, l’AC reconnaît avoir à sa charge un devoir général de surveillance, quant à la sécurité et l’intégrité des certificats délivrés par elle-même ou l’une de ses composantes. Elle est responsable du maintien du niveau de sécurité de l’infrastructure technique sur laquelle elle s’appuie pour fournir ses services. Toute modification ayant un impact sur le niveau de sécurité fourni doit être approuvée.
9.6.4 Obligations de l’AE
Les obligations de l'AE sont les suivantes :
- L'authentification de la demande de certificat ; - L'authentification de la demande de révocation ;
- Accepter que l'équipe de contrôle effectue les audits et lui communiquer toutes les informations utiles, conformément aux intentions du CAP de contrôler et vérifier la conformité avec la PC ;
- Protéger les données d’activations des porteurs.
9.6.5 Obligation et garanties de l’AED
Le contrôle effectif de la véracité des informations communiquées par les demandeurs (porteur ou MC) de certificats est réalisé par différentes AED. Les obligations de l'AED sont les suivantes :
- Authentifier les porteurs et les MC en fonction du choix du Client ; - Authentifier les MC ;
- Etablir et contrôler les contrats de souscription signé par le Client ;
- Garantir que la personne identifiée dans les dossiers d’ajout de MC transmis a prouvé son identité et vérifier l’authenticité des pièces justificatives et l’exactitude des mentions qui établissent l’identité du MC et du Client ;
- Protéger la confidentialité et l’intégrité des dossiers clients transmises ; - Protéger les contrats de souscriptions ;
- Transmettre les contrats de souscription et les dossiers Clients à l’AE ;
- Recevoir les demandes formelles de certificat, en vérifier l’origine et l’exactitude, et les transmettre pour traitement à la l'AE ;
- Recevoir des demandes formelles de révocation, en vérifier l’origine et l’exactitude, et les transmettre pour traitement à la l'AE ;
- Maintenir les procédures de Contrôle Interne adéquates, afin de garantir la fiabilité des opérations dont elles ont la charge ;
- S'assurer que ses Clients connaissent leurs droits et obligations en ce qui concerne l'utilisation et la gestion des clés et des certificats ;
- Etablir l'identité du Client ; - Etablir l'identité des MC ; - Etablir l’identité des porteurs ;
- Protéger les données d’activations des porteurs.
9.6.6 Mandataire de certification (MC) Les obligations du MC sont les suivantes :
- Communiquer des informations justes lors de la demande de certificat ; - Respecter les obligations d’un porteur lorsqu’il détient un certificat porteur ;
- Faire respecter les conditions d'utilisation de la clé privée et du certificat correspondant ; - Informer sans délai l'AED en cas de compromission d'une clé privée ;
- Révoquer en cas de besoin un certificat porteur ;
- Garantir qu’un Porteur (porteur) identifié dans un dossier Client transmis a été authentifié par lui et que son identité a été vérifié ainsi que l’exactitude des mentions qui établissent l’identité du Porteur ;
- Authentifier et établir l'identité des Porteurs pour lesquels il demande des certificats ;
- S'assurer que le futur Porteur a pris connaissance des modalités applicables pour l'utilisation du certificat ;
- Choisir judicieusement et transmettre de façon confidentielle au Porteur une partie des éléments de retrait du certificat ;
- Avertir l'AED de toute inexactitude ou défection d’un certificat dans les trois jours ouvrés consécutifs au retrait dudit certificat, afin que celui-ci soit révoqué et qu’un autre certificat puisse être fourni ;
- Transmettre à l'AED le récépissé de la déclaration faite auprès des autorités de police en cas de soustraction, piratage, intrusion, sabotage et fabrication de faux.
9.6.7 Obligations et garanties du Porteur Les obligations du porteur sont :
- Protéger en confidentialité et intégrité les informations confidentielles qu’il détient (clé privée, donnée d’activation et données d’authentification) ;
- Transmettre la clé publique, correspondante à la clé privée, à l’AED ; - Se conformer à toutes les exigences de la PC et de la DPC associée ;
- D’utiliser son certificat et la clé privée correspondante conformément à la liste des applications autorisées ; - Garantir que les informations qu'il fournit à l'AED et au MC sont complètes et correctes ;
- Prendre toutes les mesures raisonnables pour éviter l'utilisation non autorisée de sa clé privée et en protéger la confidentialité ;
- Informer sans délai l'AED et le MC en cas de causes de révocation avérée ; - Révoquer sans délai son certificat en cas de causes de révocation avérée.
9.6.8 Obligations et garanties du SP Les obligations du SP sont :
- De publier les LCR ;
- De publier les certificats d’AC ;
- De publier la PC et les CGU associées ;
- De garantir une publication H24 et 7J avec les taux de disponibilités prévues pour les informations publiées ;
- De protéger les accès au SP ;
- De contrôler que les informations sont à jour et fiables ; - De protéger en intégrité les données.
9.6.9 Obligations et garanties des autres participants 9.6.9.1 Client
Les obligations du Client sont les suivantes :
- Désigner, sous sa responsabilité, ses MC et les Porteurs auxquelles sera délivré un certificat ; - Effectuer par écrit le contrat de souscription au service de certification ;
- Garantir l’authenticité, le caractère complet et à jour des informations communiquées lors de la demande de certificat ainsi que des documents qui accompagnent ces informations ;
- Notifier au Porteur les restrictions d'usage du certificat décrit dans les Conditions Générales d’Utilisation ; - Informer sans délai l'AED de toute modification relative à ces informations et/ou documents ;
- Assurer l’information des Porteurs sur les conditions d’utilisation des certificats, de la gestion des clés ou encore de l’équipement et des logiciels permettant de les utiliser ;
- Faire assurer l’acceptation du certificat par chaque Porteur ainsi que les vérifications préalables à cette acceptation ;
- Faire protéger la clé privée de chaque Porteur par des moyens appropriés à son environnement ;
- Faire protéger les Données d'Activation de chaque Porteur par des moyens appropriés à son environnement ;
- Faire respecter les conditions d'utilisation de la clé privée et du certificat correspondant par chaque Porteur, notamment l’utilisation dans le strict cadre des applications autorisées ;
- Faire demander la révocation d’un certificat dès lors qu’elle est nécessaire ;
- Faire informer sans délai l'AED en cas de suspicion de compromission ou de compromission de la clé privée d’un de ses Porteurs ;
- Répond au premier chef envers la Banque des obligations à la charge de ses préposés, Porteurs et MC.
9.6.9.2 Obligations et garanties de l’UC Les obligations de l’UC sont :
- De valider un certificat porteur à l’aide des informations rendues disponibles par le SP ; - Respecter l'usage pour lequel un certificat a été émis lorsque cet usage a été déclaré critique ; - Vérifier la signature numérique de l'AC émettrice du certificat ;
- Contrôler la validité des certificats (dates de validité et statut de révocation).