Déclaration des Pratiques de Certification Isabel

(1)

Déclaration des Pratiques de

Certification Isabel

version 1.1

Publication: 30 juin 2003 Entrée en vigueur: 1 juillet 2003

Aucune partie de ce document ne peut être reproduite, inscrite dans une base de données ou un système de stockage et consultation, publiée ou communiquée à des tiers sous aucune forme, électronique ou mécanique, y compris impression, photocopie ou microfilmage, sans l'autorisation écrite préalable d'Isabel S.A./N.V.

(2)

Déclaration des Pratiques de Certification Isabel v1.1 (dernière mise à jour: 30/06/2003 11:30) Page 2 de 57

TABLE DES MATIÈRES

TABLE DES MATIÈRES 2

1. INTRODUCTION 6

1.1. Résumé 6

1.2. Identification 6

1.2.1. Nom 6

1.2.2. Object identifier 6

1.2.3. Uniform Resource Identifier 7

1.2.4. Historique des versions 7

1.3. Communauté et applicabilité 7

1.3.1. Autorités de certification 7

1.3.2. Autorités d'enregistrement 7

1.3.3. Utilisateurs 7

1.3.4. Autorités de validation 8

1.3.5. Autorité de Gestion de la Politique 8

1.3.6. Applicabilité 8

1.3.7. Coordonnées 9

2. DISPOSITIONS GÉNÉRALES 10

2.1. Obligations 10

2.1.1. Obligations de l'Autorité de Certification Isabel 10

2.1.2. Obligations des RA Isabel 14

2.1.3. Obligations de l'Abonné et du Titulaire de Certificat Isabel 16

2.1.4. Obligations des Parties en Confiance 19

2.1.5. Obligations du répertoire 20

2.1.6. Obligations de l'autorité de validation 20

2.1.7. Obligations de l'Autorité de Gestion de la Politique 20

2.1.8. Entité juridique Isabel 20

2.1.9. Service de Révocation Isabel 21

2.2. Responsabilité 22

2.3. Responsabilité financière 23

2.3.1. Indemnisation par les Clients Isabel, Parties en Confiance et les Titulaires 23

2.3.2. Relations de fiducie 23

2.3.3. Processus administratif 23

2.4. Interprétation et mise en application 23

2.4.1. Droit applicable 23

2.4.2. Dissociabilité, subsistance, fusion, communications 24

2.4.3. Procédures de résolution des litiges 24

2.5. Redevances 24

2.6. Publication et Répertoire 24

2.6.1. Publication des informations de la CA Isabel 24

2.6.2. Fréquence de publication 25

(3)

2.6.3. Contrôle d'accès 25

2.6.4. Répertoire 25

2.7. Audit de conformité 25

2.7.1. Fréquence des audits de conformité de l'entité 25

2.7.2. Identité/qualification des auditeurs 26

2.7.3. Relation entre l'auditeur et la partie auditée 26

2.7.4. Objets de l'audit 26

2.7.5. Mesures à prendre en cas de déficience 26

2.7.6. Communication des résultats 26

2.8. Confidentialité 26

2.8.1. Types d'informations à tenir confidentielles 26

2.8.2. Types d'informations non considérées comme confidentielles 27 2.8.3. Divulgation des informations de révocation des certificats 27 2.8.4. Communication aux agents de la fonction publique 27

2.8.5. Communication préalable au civil 27

2.8.6. Divulgation à la demande de l'abonné/Titulaire 27

2.8.7. Autres circonstances de divulgation 27

2.9. Droits de propriété intellectuelle 28

3. IDENTIFICATION ET AUTHENTIFICATION 29

3.1. Enregistrement initial 29

3.1.1. Types de noms 29

3.1.2. Nécessité de noms significatifs 29

3.1.3. Règles d'interprétation des différentes formes de nom 29

3.1.4. Unicité des noms 30

3.1.5. Procédure de résolution des conflits de nomS 30

3.1.6. Reconnaissance, authentification et rôle des marques de commerce 30 3.1.7. Méthode de preuve de la possession de la Clé Privée 30 3.1.8. Authentification de l'identité de l'organisation 30

3.1.9. Authentification de l'identité individuelle 31

3.2. Renouvellement 32

3.2.1. Renouvellement automatique du Certificat Isabel 32

3.2.2. Renouvellement d'une paire de clés 32

3.2.3. Renouvellement d'une Isabel Secure Signing Card 32

3.3. Récertification après Révocation 33

3.4. Demande de Révocation 33

3.4.1. Authentification par la RA Isabel 33

3.4.2. Authentification par un Service de Révocation Isabel 33

3.4.3. Authentification par le CA Isabel 34

4. IMPÉRATIFS OPÉRATIONNELS 35

4.1. Soumission d'une demande de Certificat 35

4.1.1. Soumission de demande de Certificat Isabel pour un nouveau Titulaire 35 4.1.2. Soumission de demande de Certificat Isabel pour un Titulaire existant 36

4.2. Emission de Certificat 36

4.2.1. Flux de certification centralisé 36

4.2.2. Flux de certification décentralisé 36

(4)

4.2.3. Flux de certification manuel 37

4.3. Acceptation du Certificat 37

4.3.1. Flux de certification centralisé 37

4.3.2. Flux de certification décentralisé 38

4.3.3. Flux de certification manuel 38

4.4. Révocation de Certificat 38

4.4.1. Circonstances de la révocation 38

4.4.2. Qui peut demander la révocation ? 38

4.4.3. Procédure de demande de révocation 39

4.4.4. Demande de révocation: période de grâce 39

4.4.5. Circonstances de la suspension 39

4.4.6. Fréquence de la publication de la CRL 39

4.5. Procédures d'audit de sécurité 39

4.5.1. Types d'événements enregistrés 39

4.5.2. Fréquence des journaux 39

4.5.3. Délai de conservation des journaux d'audit 40

4.5.4. Protection des journaux d'audit 40

4.5.5. Procédures de back-up des journaux d'audit 40

4.5.6. Système de collecte des journaux d'audit (interne/externe) 40 4.5.7. Notification au Titulaire à l'origine de l'événement 40

4.5.8. Evaluations de la vulnérabilité 40

4.6. Archivage des documents 40

4.6.1. Types de documents enregistrés 40

4.6.2. Délai de conservation des archives 41

4.6.3. Protection des archives 41

4.6.4. Procédures de back-up des archives 41

4.6.5. Impératifs d'horodatage des données 41

4.6.6. Système de collecte des archives (interne ou externe) 41 4.6.7. Procédures d'obtention et de vérification des informations archivées 41

4.7. Changement de clé 41

4.8. Restauration après compromission et sinistre 41

4.9. Cessation d'activités de la CA 42

5. CONTRÔLES DE SÉCURITÉ: ACCÈS PHYSIQUE, PROCÉDURES ET PERSONNEL 43

5.1. Contrôles de l'accès physique 43

5.2. Contrôles de procédure 43

5.2.1. Rôles et responsabilités de confiance 43

5.2.2. Identification et authentification pour chaque rôle 43

5.3. Contrôles en matière de personnel 43

6. CONTRÔLES DE SÉCURITÉ TECHNIQUE 44

6.1. Génération et installation de la paire de clés 44

6.1.1. Génération et remise des clés 44

6.1.2. Taille des clés 44

6.1.3. Génération des Clés 44

6.2. Protection de la Clé Privée 44

6.2.1. Normes des modules cryptographiques 44

(5)

6.2.2. Contrôle multi-personne de la Clé Privée (n sur m) 44

6.2.3. Séquestre des Clés Privées (Key Escrow) 45

6.2.4. Back-up des Clés Privées 45

6.2.5. Archivage des Clés Privées 45

6.2.6. Installation de la Clé Privée dans un module cryptographique 45

6.2.7. Méthode d'activation de la Clé Privée 45

6.2.8. Méthode d'inactivation de la Clé Privée 45

6.2.9. Méthode de destruction de la Clé Privée 45

6.3. Autres aspects de la gestion des paires de clés 45

6.4. Données d'activation 46

6.5. Contrôles de sécurité informatique 46

6.6. Cycle de vie des contrôles techniques 46

6.7. Contrôles de sécurité du réseau 46

6.8. Contrôles techniques du module cryptographique 46

7. PROFILS DU CERTIFICAT ET DE LA CRL 47

7.1. Profil du Certificat 47

7.1.1. Numéro de version 48

7.1.2. Extensions de Certificat 48

7.1.3. Algorithme identifiants d'objet 50

7.1.4. Formes de noms 50

7.1.5. Name constraint 50

7.1.6. Identifiant d'objet - politique de certificat 50

7.1.7. Utilisation de l'extension Policy Constraint 50

7.1.8. Syntaxe et sémantique des qualificateurs de politique 50 7.1.9. Sémantique de traitement de l'extension critique CP 50

7.2. Profils des listes CRL/ARL 51

7.2.1. Numéro de version 51

7.2.2. CRL/ARL et extensions des entrées CRL/ARL 51

8. ADMINISTRATION DES SPÉCIFICATIONS 52

8.1. Procédures de changement des spécifications 52

8.2. Politiques de publication et communication 52

8.3. Procédure d'approbation de la CPS 52

9. ANNEXES 53

9.1. Annexe A – Définitions 53

9.1.1. Sigles 53

9.1.2. Lexique 54

9.2. Annexe B – Références 57

(6)

1. INTRODUCTION

La confiance que l'on accorde à un certificat digital dépendent des règles suivies pour l'émission et la gestion de ce certificat. Ces règles sont formalisées dans des documents de politique: la Politique de Certification (CP - Certificate Policy) et la Déclaration des Pratiques de Certification (CPS - Certification Practice Statement).

La norme ITU-T X.509 qualifie la CP d'“ensemble de règles référencé qui définit la possibilité d'utiliser un certificat dans une communauté et/ou catégorie d'applications donnée, avec des impératifs de sécurité communs”.

Les directives du barreau américain (American Bar Association Guidelines) définissent la CPS comme

"l'exposé des pratiques que la CA applique dans la délivrance des certificats."

1.1. RÉSUMÉ

La présente CPS Isabel énonce les obligations, pratiques et procédures que l'Autorité de Certification (CA) Isabel, les Autorités d'Enregistrement (RA), les Clients Isabel, les Titulaires de Certificat Isabel et les Parties en Confiance du Certificat Isabel s'engagent à respecter dans le cadre de l'application, de la délivrance, de l'acceptation, de l'utilisation et de la révocation des Certificats Isabel.

Un Certificat Isabel est un certificat émis par une CA Isabel.

La présente CPS Isabel repose sur le texte ‘Internet X.509 Public Key Infrastructure – CP and CPS Framework – March 1999’ de l'Internet Engineering Task Force (IETF) RFC 2527, qui fournit un cadre standard et internationalement reconnu aux Politiques de Certification et Déclarations de Pratiques de Certification.

La présente CPS est structurée de telle façon que le document puisse faire référence à plus d'une CP.

Chaque CP peut comporter des exigences plus particulières concernant le Certificat qu'elle régit. En tant que document plus spécifique, la CP applicable prime sur la présente CPS.

La CP applicable, associée à la présente CPS, sera utilisée par la Partie en Confiance du Certificat Isabel pour déterminer dans quelle mesure le Certificat Isabel représente une assurance et mérite sa confiance.

Cette CPS et toutes les CPs liées seront également régies par des contrats entre une CA Isabel et les Clients Isabel. Toute CP ou CPS primera sur le contrat conclu entre la CA Isabel et le Client Isabel, sauf si agréé autrement.

Les références à la présente CPS revêtiront la forme : Isabel CPS v. [numéro de version], point [numéro de point].

1.2. IDENTIFICATION

1.2.1. NOM

La présente CPS porte le nom de “Déclaration des Pratiques de Certification Isabel”.

1.2.2. OBJECT IDENTIFIER

L'Object Identifier correspondant à la “Déclaration des Pratiques de Certification Isabel” est le 2.16.56.1.9.3.

(7)

1.2.3. UNIFORM RESOURCE IDENTIFIER

La CPS Isabel sera publiquement accessible sur le site web Isabel, dont l'URL est:

http://www.Isabel.be/PKI/Policies/Standard.htm

1.2.4. HISTORIQUE DES VERSIONS

L’Historique des versions du document se trouve dans le document “Isabel CPS – CP versions” qui est publiquement disponible à l’URL suivant: http://www.isabel.be/PKI/Policies/Standard.htm

1.3. COMMUNAUTÉ ET APPLICABILITÉ

1.3.1. AUTORITÉS DE CERTIFICATION

Cette CPS a pour but d'exposer les pratiques que l'Autorité de Certification Isabel (CA Isabel) utilise au sein de la l'Infrastructure à Clé Publique Isabel (Public Key Infrastructure - "PKI Isabel") pour délivrer et gérer les Certificats Isabel. Leur champ d'application est décrit dans la CP pertinente.

Selon la norme ITU-T X.509, une CA est “une autorité à qui un ou plusieurs utilisateurs fait/font confiance pour créer et attribuer des certificats; la CA peut aussi créer leur paire de clés”. Une CA Isabel qui émet des certificats en conformité avec la présente CPS respectera cette CPS, ainsi que les CP applicables.

Dans l'Infrastructure à Clé Publique (PKI) Isabel, l'Autorité de Certification Isabel peut accepter des Demandes de Certificat Isabel pour des Titulaires de Certificat Isabel dont l'identité aura été authentifiée par une Autorité d'Enregistrement (RA - Registration Authority) Isabel.

Une fois la demande de Certificat vérifiée, la CA Isabel délivre un Certificat Isabel qui associe légalement l'identité du Titulaire de Certificat Isabel à sa Clé Publique/privée.

Seule l'Autorité de Certification autorisée par Isabel est habilitée à délivrer des Certificats Isabel.

Isabel publie une liste des Autorités de Certification agréées sur son site web à l'adresse http://www.isabel.be.

1.3.2. AUTORITÉS D'ENREGISTREMENT

Selon la norme RFC 2527, une autorité d'enregistrement (RA) est “une entité chargée d'identifier et d'authentifier les Titulaires de Certificats, mais qui ne signe ni n'émet pas de certificats”.

Dans l'Infrastructure à Clé Publique Isabel, les RA opérant sous le contrôle et sous l'autorité d'une CA Isabel acceptent les Demandes de Certificats Isabel émanant d’Abonnés Isabel.

Les RA doivent authentifier l'identité du Titulaire de Certificat Isabel et vérifier l'information contenue dans la Demande de Certificat Isabel conformément à cette CPS, aux CP applicables et à leurs procédures internes. Si l'information vérifiée est correcte, la RA Isabel envoie une demande de Certificat Isabel à la CA Isabel compétente; celle-ci délivrera le Certificat Isabel au Titulaire de Certificat Isabel.

Seules les Autorités d'Enregistrement agréées par Isabel ont le droit de soumettre des Demandes de Certificat à une CA Isabel en vue de l'émission de Certificats Isabel. Isabel publie une liste des Autorités d'Enregistrement agréées sur son site web http://www.Isabel.be.

1.3.3. UTILISATEURS

Dans le cadre de la présente CPS Isabel et conformément à la CP applicable, les utilisateurs de l'Infrastructure à Clé Publique Isabel (PKI Isabel) sont :

(8)

1. l’Abonné du Certificat Isabel 2. le Titulaire de Certificat Isabel

3. la Partie en Confiance du Certificat Isabel

La rubrique ‘Subject’ du Certificat Isabel sert à désigner par son nom ou identifier autrement le Titulaire du Certificat Isabel à l'aide du:

1. Nom et prénom pour un Titulaire 'Personne physique'.

2. Nom de fonction pour un Titulaire 'Fonction'.

3. Nom de l'application pour un Titulaire 'Application'.

Dans le cadre de la présente CPS Isabel :

1. un entité finale ne peut pas être une CA ou une RA de Clé Publique de la PKI Isabel,

2. une signature d’un Titulaire ‘Fonction’ est une signature technique, elle ne peut être utilisée que pour des raisons d’intégrité, pas pour des autorisations de transactions.

1.3.4. AUTORITÉS DE VALIDATION

Dans l'Infrastructure à Clé Publique Isabel, une Autorité de Validation Isabel offre à toute Partie en Confiance la possibilité d'obtenir des informations sur le statut de révocation d'un Certificat Isabel.

Les Listes de Certificats Révoqués (CRL) contenant les numéros de série des Certificats Isabel révoqués aussi bien que les Certificats Isabel révoqués sont publiées dans le Directory Isabel.

Le serveur On-line Certificate Status Protocol (OCSP) communique le statut de révocation des Certificats Isabel en temps réel.

Un site web permettant de vérifier le statut de révocation de certificats individuels (présence dans la liste de révocation ou non) est disponible.

1.3.5. AUTORITÉ DE GESTION DE LA POLITIQUE

L'Autorité chargée de la Gestion de la Politique est l'entité qui est chargée de : 1. Spécification, validation et publication des CPs Isabel et de ses révisions.

2. Spécification, validation et publication de la présente CPS Isabel et de ses révisions.

3. Détermination de l'adéquation et de l'implémentation correcte de la CPS et des CP Isabel.

4. Définition des impératifs et processus de révision concernant l'implémentation des CP et de la CPS Isabel.

L'Autorité de Gestion de la Politique pour la présente CPS est l'Isabel Security Manager.

1.3.6. APPLICABILITÉ

Les Certificats Isabel émis conformément à la présente CPS ne peuvent être utilisés que par des Parties en Confiance qui sont liées à un Client Isabel et aux fins suivantes: vérification de signature électronique, non-répudiation, clés de chiffrement et données de chiffrement.

Les Certificats Isabel ne peuvent être utilisés par les Parties en Confiance qui ne sont pas liées à un Client.

Si un Titulaire de Certificat Isabel veut voir des limitations (financières ou autres) appliquées aux transactions authentifiées par le Certificat Isabel, il doit disposer d'une convention signée à cet effet par chacune des Parties en Confiance.

(9)

1.3.7. COORDONNÉES

1.3.7.1. O

RGANISATION DE L

'

ADMINISTRATION DES SPÉCIFICATIONS

Le Security Manager d'Isabel remplit la fonction d'Autorité de Gestion de la Politique pour les besoins de la présente CPS Isabel. Il est responsable de tous les aspects de la présente CPS Isabel, y compris spécification, validation, enregistrement, publication, maintenance et interprétation.

1.3.7.2. P

ERSONNE DE CONTACT DE L

'A

UTORITÉ DE

G

ESTION DE LA

P

OLITIQUE

Tous les commentaires et questions concernant la présente CPS Isabel seront adressés aux représentant de l'Autorité de Gestion de la Politique:

Isabel SA/NV

Isabel Security Manager

Bd de l’Impératrice / Keizerinlaan 13-15 B-1000 Bruxelles

Belgique

Tél.: +32 (0)2/545.17.11 Fax: +32 (0) 2/545.17.19

E-mail: [email protected] Web: www.Isabel.be

1.3.7.3. P

ERSONNE DÉTERMINANT L

'

ADEQUATION DE LA

CPS

A LA POLITIQUE DE CERTIFICATION

L'Isabel Security Manager détermine l'adéquation de la CPS Isabel aux CP Isabel.

(10)

2. DISPOSITIONS GÉNÉRALES

2.1. OBLIGATIONS

Ce chapitre décrit les obligations des entités qui, au sein de la PKI Isabel, participent au processus de demande, émission, acceptation, utilisation, publication et révocation des Certificats Isabel.

Les Parties en Confiance du Certificat Isabel doivent comprendre les dispositions stipulées dans ce chapitre avant d'utiliser un Certificat Isabel.

Ces entités sont:

1. Le CA Isabel 2. Les RA Isabel

3. Les Abonnés et Titulaires de Certificats Isabel 4. Les Parties en Confiance du Certificat Isabel 5. Le Répertoire Isabel

6. L'Autorité de gestion de la Politique de Certification Isabel 7. L'entité juridique Isabel

8. Service de Révocation Isabel

En acceptant un Certificat émis par Isabel, le Titulaire de Certificat Isabel accepte les obligations et déclarations décrites ci-après.

En utilisant un Certificat Isabel, une Partie en Confiance du Certificat Isabel accepte les obligations et les déclarations telles que décrites ci-après.

2.1.1. OBLIGATIONS DE L'AUTORITÉ DE CERTIFICATION ISABEL

Toute CA au sein de l'Infrastructure à Clé Publique Isabel est tenue de respecter les obligations suivantes:

2.1.1.1. C

ONFORMITÉ AUX NORMES

La CA Isabel qui délivre des Certificats Isabel est tenue de s'assurer qu'elle applique et respecte toutes les spécifications décrites en détail dans la présente CPS Isabel et dans la CP Isabel applicable.

2.1.1.2. E

XACTITUDE DES DÉCLARATIONS

La CA Isabel qui publie dans le Répertoire Isabel un Certificat Isabel faisant référence à la présente CPS garantit à toutes les personnes et entités qui se fieront raisonnablement à l'information contenue dans le Certificat Isabel qu'elle a délivré le Certificat Isabel au Titulaire de Certificat Isabel désigné conformément aux dispositions de la CPS Isabel et de la présente CP Isabel. Elle garantit en outre que le Titulaire de Certificat Isabel a accepté son Certificat Isabel compte tenu des restrictions stipulées à l'article “4.3 – Acceptation du Certificat”.

2.1.1.3. T

RAITEMENT DES DEMANDES DE CERTIFICATS

La CA Isabel est tenue de traiter en temps voulu et en toute sécurité les Demandes de Certificats Isabel émises par les RA Isabel qui sont sous son contrôle. La CA Isabel n'utilisera que les RA Isabel officiellement agréées par la CA Isabel.

En ce qui concerne le traitement des Demandes de Certificats Isabel, la CA Isabel est tenue de respecter les dispositions stipulées aux articles:

(11)

1. Articles “3.1 – Enregistrement initial”, “3.2 – Renouvellement” et “4.1 – Soumission d'une demande de Certificat” de la présente CPS.

2. Toute CP applicable.

La CA rejettera toute Demande de Certificat non conforme à l'ensemble des dispositions stipulées dans cette CPS et/ou de toute CP applicable.

2.1.1.4. C

RÉATION DE LA PAIRE DE CLÉS À L

'

INTENTION DU

T

ITULAIRE DE

C

ERTIFICAT

I

SABEL

Au cas où la CA Isabel génère la paire de clés au nom du Titulaire de Certificat Isabel, la CA Isabel doit se conformer à toutes les dispositions stipulées :

1. à l’article “6.1 – Génération et installation de la paire de clés” de la présente CPS Isabel.

2.1.1.5. O

BTENTION DE L

'

ATTESTATION DE PROPRIÉTÉ DE LA

C

LÉ

P

RIVÉE

Si la paire de clés a été générée par le Titulaire de Certificat Isabel, la CA Isabel doit valider la connexion entre une paire de clés publique/privée et l'identité du Titulaire, et doit obtenir l'attestation de propriété, par le Titulaire, de la Clé Privée associée à la Clé Publique à certifier.

Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées : Dans le cadre de cette obligation, la CA Isabel doit appliquer les dispositions suivantes:

1. à l’article “3.1.7 – Méthode de preuve de la possession de la Clé Privée” de la présente CPS Isabel.

2.1.1.6. G

ARANTIE DE L

'

UNICITÉ D

'

UNE PAIRE DE CLES DANS LA

PKI I

SABEL

La CA Isabel doit garantir le caractère unique d'une paire de clés au sein de la PKI Isabel, que cette paire de clés ait été générée par le Titulaire de Certificat Isabel ou par une CA Isabel au nom du titulaire.

Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées :Dans le cadre de cette obligation, la CA Isabel doit appliquer les dispositions suivantes:

1. à l’article “6.1 – Génération et installation de la paire de clés” de la présente CPS Isabel.

2.1.1.7. D

ÉLIVRANCE D

'

UN

C

ERTIFICAT

I

SABEL

La CA Isabel au sein de la PKI Isabel est obligée de délivrer des Certificats Isabel conformément : 1. à l'Article “4.2 – Emission de Certificat” de la présente CPS Isabel.

2.1.1.8. N

OTIFICATION DE L

'

ÉMISSION DU CERTIFICAT

La CA Isabel garantit que le Titulaire de Certificat Isabel est informé de la délivrance de son Certificat Isabel conformément :

1. à l’article “2.6.1 – Publication des informations de la CA Isabel” de la présente CPS Isabel.

2.1.1.9. O

BTENTION DE L

'

ACCEPTATION DU

C

ERTIFICAT

I

SABEL PAR SON

T

ITULAIRE

La CA Isabel obtiendra l'acceptation du Certificat Isabel par le Titulaire de ce Certificat. Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées :

1. à l’article “4.3 – Acceptation du Certificat” de la présente CPS Isabel 2. Toute CP applicable.

(12)

L'acceptation peut revêtir les formes suivantes: (1) par notification explicite de l'acceptation, ou (2) du fait que le Titulaire utilise le Certificat, ou (3) au terme du 10^ème jour suivant la publication dans le Répertoire en l'absence de toute notification ou remarque de la part du Titulaire.

2.1.1.10. P

UBLICATION DU

C

ERTIFICAT

I

SABEL DANS UN RÉPERTOIRE

I

SABEL

La CA Isabel publiera tout Certificat Isabel délivré après acceptation (voir article 2.1.1.9 pour les conditions d'acceptation) par le Titulaire de Certificat Isabel.

Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées : 1. à l’article “2.6 – Publication et Répertoire” de la présente CPS Isabel.

2.1.1.11. T

RAITEMENT DES DEMANDES DE RÉVOCATION DE CERTIFICAT

La CA Isabel traitera dès que possible et en toute sécurité les demandes de révocation de Certificats Isabel adressées par les RA Isabel qui sont sous son contrôle.

Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées :

1. aux articles “3.4 – Demande de Révocation” et “4.4 – Révocation de Certificat” de la présente CPS Isabel.

2.1.1.12. P

UBLICATION DE L

'

INFORMATION RELATIVE AUX REVOCATIONS DE

C

ERTIFICATS

I

SABEL DANS UN RÉPERTOIRE

I

SABEL

La CA Isabel publiera l'information relative aux révocations de Certificats Isabel dans un Répertoire Isabel, sous la forme suivante:

1. le Certificat Isabel, mis à jour à l'aide d'un indicateur de révocation.

2. une mise à jour de la Liste des Certificats Révoqués (CRL).

Le Certificat Isabel et la Liste des Certificats Révoqués actualisée seront publiés dès que possible après révocation du Certificat Isabel.

Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées : 1. Article “2.6 – Publication et Répertoire” de la présente CPS Isabel.

Ce mécanisme permettra aux Parties en Confiance d'un Certificat Isabel d'obtenir à temps des informations sans équivoque sur le statut de révocation de tout Certificat Isabel émis par une CA Isabel.

2.1.1.13. N

OTIFICATION DE RÉVOCATION D

'

UN CERTIFICAT

La CA Isabel s'assure que l'entité (Titulaire du Certificat Isabel ou personne physique habilitée par le Client Isabel) qui demande la révocation d'un Certificat Isabel à une RA Isabel et toutes les autres parties qui font raisonnablement confiance à ce Certificat Isabel sont averties de la révocation du Certificat Isabel conformément à:

1. Article “4.4.6 - Fréquence de la publication de la CRL” de la présente CPS Isabel.

(13)

2.1.1.14. C

OMMUNICATION AU

T

ITULAIRE ET AUX

P

ARTIES EN

C

ONFIANCE DES

INFORMATIONS NÉCESSAIRES POUR UTILISER CORRECTEMENT ET EN TOUTE SÉCURITÉ LES SERVICES

PKI I

SABEL

1. La CA Isabel garantit que ses Titulaires, Abonnés et Parties en Confiances de Certificat Isabel sont informés de leurs obligations conformément aux dispositions stipulées aux articles “2.1.3 – Obligations de l'Abonné et du Titulaire de Certificat Isabel” et “2.1.4 – Obligations des Parties en Confiance” de la présente CPS Isabel.

2. La CA Isabel communique au Titulaire de Certificat Isabel les exigences à satisfaire en matière de protection de la Clé Privée telles que stipulées à l'article “6.2 – Protection de la Clé Privée” de la présente CPS Isabel.

3. La CA Isabel communique aux Titulaires, Abonnés et Parties en Confiance de Certificat Isabel les garanties exactes offertes par les services PKI Isabel, ainsi que leurs limitations, conformément aux dispositions stipulées à l'article “2.2 – Responsabilité” de la CP Isabel applicable.

La publication de la présente CPS Isabel et les CPs Isabel à l'intention des Titulaires de Certificat Isabel et des Parties En Confiance doit être considérée comme une notification en ce sens.

2.1.1.15. P

ROTECTION DE LA

C

LÉ

P

RIVÉE DE LA

CA I

SABEL

La CA Isabel protège sa Clé Privée conformément aux dispositions stipulées à l'article “6.2 – Protection de la Clé Privée” de la présente CPS Isabel.

2.1.1.16. R

ESTRICTION DE L

'

UTILISATION DE LA CLE PRIVÉE DE LA

CA

ÉMETTRICE

Une CA Isabel veille à ce que sa Clé Privée ne soit pas utilisée à des fins non autorisées et/ou inadéquates.

La clé de signature privée d'une CA Isabel s'utilise en particulier pour:

1. Délivrer des Certificats Isabel aux Titulaires

2. Emettre des informations sur le statut de révocation d'un Certificat Isabel, et

3. Les autres informations concernant la délivrance de Certificats Isabel dans le cadre de la présente CPS Isabel et des CPs Isabel

ne seront utilisées à aucune autre fin.

La CA Isabel n'utilisera sa Clé Privée que pour les besoins liés à sa fonction de CA.

2.1.1.17. M

OYENS DE SIGNATURE ÉLECTRONIQUE REMIS AU

T

ITULAIRE DE

C

ERTIFICAT

I

SABEL

La CA Isabel fournit au Titulaire de Certificat Isabel les moyens suivants pour générer une signature électronique:

1. Un Certificat Isabel certifiant la Clé Publique associée à la Clé Privée du Titulaire.

2. Facultativement, le logiciel pour générer une signature électronique.

3. Facultativement, une Secure Signing Card Isabel ou un TRD (Tamper Resistant Device) pour permettre au Titulaire de protéger sa Clé Privée et de générer des signatures électroniques avec sa Clé Privée.

4. Facultativement, une paire de clés (valable uniquement pour le Flux de certification centralisé – voir article 4.2.1 de la présente CPS Isabel).

5. Facultativement, un code PIN (valable uniquement pour le Flux de certification centralisé – voir article 4.2.1de la présente CPS Isabel).

2.1.1.18. I

NDEMNISATION DES PARTIES EN CAS DE DOMMAGES ET SANCTIONS

La CA Isabel indemnisera les parties pour tous dommages occasionnés par le non-respect de ses obligations conformément aux dispositions stipulées à l'article “2.2 – Responsabilité” de la CP Isabel applicable.

(14)

2.1.1.19. A

RCHIVAGE DES ENREGISTREMENTS RELATIF A SON FONCTIONNEMENT Une CA Isabel archive les enregistrements relatifs à son fonctionnement.

Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées à l'article

“4.6 – Archivage des documents” de la présente CPS Isabel.

2.1.1.20. P

UBLICATION DE LA

D

ÉCLARATION DES

P

RATIQUES DE

C

ERTIFICATION

(CPS)

La CA Isabel publie la Déclaration des Pratiques de certification.

Pour répondre à cette obligation, la CA Isabel doit se conformer aux dispositions stipulées à l'article

“2.6 – Publication et Répertoire” de la présente CPS Isabel.

2.1.1.21. P

UBLICATION DES INFORMATIONS DE RÉVOCATION DES CERTIFICATS DE LA

CA

DANS UN RÉPERTOIRE

I

SABEL

La CA Isabel publie dans un Répertoire Isabel les informations de la CA Isabel relatives aux révocations de Certificats sous la forme de Listes de Révocation des Certificats des Autorités - ARL (Certificats auto-signés et à signatures croisées).

2.1.1.22. P

ROTECTION DE LA VIE PRIVEE

La CA Isabel collecte et traite les données personnelles nécessaires à l'exécution des services de certification en conformité avec la loi belge sur la protection de la vie privée (loi du 8 décembre 1992).

Ces données sont traitées en vue de la gestion des services de certification, y compris la gestion de la clientèle. Les données personnelles des Titulaires de Certificat Isabel sont conservées sur les serveurs d'Isabel S.A./N.V.

Le Titulaire de Certificat Isabel a le droit de consulter ses données et de les corriger selon les nécessités. La demande peut être soumise par écrit, par courrier ordinaire adressé à :

Isabel SA/NV

Customer Care Operations

Bd de l’Impératrice / Keizerinlaan 13-15 B-1000 Bruxelles

Belgique

Le Titulaire de Certificat Isabel a le droit de s'opposer explicitement à l'utilisation de ses données à des fins de marketing, par lettre adressée au département ci-dessus.

2.1.2. OBLIGATIONS DES RA ISABEL

En général, la RA Isabel respectera les droits et obligations figurant dans cette CPS et toute CP applicable.

Au sein de Clé Publique la PKI Isabel, toute RA est tenue de respecter les obligations spécifiques suivantes:

2.1.2.1. T

RAITEMENT DES DEMANDES DE CERTIFICAT

La RA Isabel traite en temps voulu et en toute sécurité les Soumissions de demandes de Certificats Isabel soumises par les Abonnés du Certificat Isabel.

La RA Isabel veille à ce que les Abonnés acceptent aux conditions contractuelles applicables; la RA Isabel vérifie si toutes les informations requises figurent bien dans les demandes de Certificat Isabel et si ces demandes sont correctes et valables.

(15)

La RA Isabel remplit correctement et en temps voulu toutes ses obligations en matière de communication et d’archivage.

La RA Isabel prépare l’information requise par la CA Isabel et adresse une Demande de Certificat Isabel à la CA Isabel.

En ce qui concerne le traitement des demandes de Certificat Isabel, la RA Isabel est contractuellement tenue envers l’entité juridique Isabel de se conformer strictement aux dispositions suivantes:

1. Articles “3.1 – Enregistrement initial” et “4.1 – Soumission d'une demande de Certificat” de la présente CPS Isabel.

2.1.2.2. G

ÉNÉRATION DE NOMS DISTINCTIFS

,

UNIQUES ET SIGNIFICATIFS POUR LES

T

ITULAIRES DE

C

ERTIFICAT

I

SABEL

La RA Isabel génère des noms distinctifs significatifs et uniques pour les Titulaires de Certificat Isabel au sein de la PKI Isabel.

La RA Isabel respecte les dispositions suivantes:

1. Articles “3.1.2 – Nécessité de noms significatifs” et “3.1.4 – Unicité des noms” de la présente CPS Isabel.

2.1.2.3. I

DENTIFICATION ET AUTHENTIFICATION DE L

'

ABONNE

/

DU TITULAIRE ET VÉRIFICATION DE SA DESIGNATION PAR UN CLIENT

I

SABEL

La RA Isabel identifie et authentifie correctement les Abonnés du Certificat Isabel, Titulaires de Certificat Isabel et, le cas échéant, leur mandataire.

Cette identification peut porter aussi bien sur des données personnelles que sur des données professionnelles.

La RA Isabel est également tenue de vérifier si un Abonné de Certificat Isabel et un Titulaire de Certificat Isabel ont bien été désignés par un Client Isabel.

Pour l’identification et l’authentification des Abonnés et Titulaires de Certificats Isabel et de leurs mandataires, la RA Isabel doit se conformer aux dispositions suivantes:

1. Chapitre “3 – Identification et Authentification” de la présente CPS Isabel.

2.1.2.4. T

RAITEMENT DES DEMANDES DE RÉVOCATION DE CERTIFICATS

La RA Isabel reçoit et traite dès que possible les demandes de révocation de Certificat Isabel et les envoie à une CA Isabel. La décision finale de révocation du Certificat Isabel appartient à la CA Isabel.

Dans le traitement des demandes de révocation de Certificat Isabel, la RA Isabel se conforme aux dispositions de l'article “4.4 – Révocation de Certificat” de la présente CPS Isabel.

2.1.2.5. P

ROTECTION DE LA

C

LÉ

P

RIVÉE DE LA

RA

La RA Isabel protège sa Clé Privée conformément aux dispositions stipulées à l'article “6.2 – Protection de la Clé Privée” de la présente CPS Isabel.

2.1.2.6. R

ESTRICTION D

’

UTILISATION DE LA

C

LE

P

RIVÉE DE LA

RA

La RA Isabel n'utilise sa Clé Privée qu'à des fins liées à sa fonction de RA.

(16)

2.1.2.7. I

NDEMNISATION DES PARTIES EN CAS DE DOMMAGES

La RA Isabel indemnise les parties pour tous dommages résultant d’un manquement à ses obligations.

A cet égard, la RA Isabel doit se conformer aux dispositions stipulées à l'article “ 2.2 - Responsabilité”

de la CP Isabel applicable.

2.1.2.8. A

RCHIVAGE ET SÉCURITÉ

La RA Isabel respecte ses obligations d'archivage de la façon la plus sûre, afin de garantir la disponibilité des documents et autres informations pouvant servir de preuve, ainsi que pour sauvegarder la confidentialité et l'intégrité de ces documents et informations. En général, elle assure la sécurité physique de l'information, en protège l'accès et forme son personnel à cet effet.

2.1.2.9. A

PPROBATION

Chaque RA opérant sous l'autorité d'une CA Isabel dispose de l'autorisation écrite de cette CA Isabel.

La CA Isabel tient la liste des RA agréées. En menant des activités de RA pour une CA Isabel, la RA Isabel certifie qu'elle a accepté cette responsabilité et est d'accord d'opérer conformément aux CP applicables et à la CPS Isabel.

2.1.3. OBLIGATIONS DE L'ABONNÉ ET DU TITULAIRE DE CERTIFICAT ISABEL

Les Abonnés et Titulaires de Certificat Isabel sont généralement tenus de respecter les dispositions, conditions et procédures de cette CPS et de toute CP pertinente, qu'ils seront réputés avoir acceptées en utilisant un Certificat Isabel.

Les Abonnés et Titulaires de Certificat Isabel acceptent de respecter ces obligations durant toute la durée de validité du Certificat Isabel.

L'Abonné signera un contrat au moment de la délivrance du certificat ou avant. Ce contrat est régi par le droit belge. La RA Isabel en conserve un exemplaire. Les Abonnés sont liés par des droites et des engagements à Isabel, (1) directement avec Isabel ou (2) par l'intermédiaire du RA.

L'Abonné du Certificat Isabel et le Titulaire du Certificat Isabel assument les obligations suivantes:

2.1.3.1. S

OUMISSION D

'

UNE DEMANDE DE

C

ERTIFICAT

I

SABEL

Pour soumettre une demande de Certificat Isabel, l'Abonné du Certificat Isabel est tenu de:

1. Fournir des informations correctes, exactes et complètes dans sa demande de Certificat Isabel.

2. Faire signer la demande de Certificat Isabel par le Titulaire de Certificat Isabel.

3. Signer la demande de Certificat Isabel.

4. Soumettre la demande de Certificat Isabel signée à une RA Isabel.

Dans le cadre de ces obligations, l'Abonné du Certificat Isabel doit appliquer les dispositions des articles “3.1 – Enregistrement initial” et “4.1 – Soumission d'une demande de Certificat” de la présente CPS Isabel.

2.1.3.2. G

ÉNÉRATION DE LA PAIRE DE CLÉS

Si le Titulaire de Certificat Isabel génère lui-même sa paire de clés, il doit respecter les dispositions relatives aux exigences de qualité (notamment en matière de longueur de clé et d'algorithme) qui figurent à l'article “6.1 – Génération et installation de la paire de clés” de la présente CPS Isabel.

(17)

2.1.3.3. O

BTENTION DU

C

ERTIFICAT

I

SABEL

Après notification par la RA Isabel à laquelle la Demande de Certificat Isabel a été soumise, et après identification et authentification de l'Abonné et du Titulaire par la RA Isabel, le Titulaire de Certificat Isabel doit obtenir de la CA Isabel:

1. Un Certificat Isabel certifiant la Clé Publique associée à la Clé Privée du Titulaire.

2. Facultativement, un logiciel de production de signature électronique.

3. Facultativement, une Secure Signing Card Isabel ou un TRD (Tamper Resistant Device) pour mettre en œuvre la Clé Privée du Titulaire.

4. Facultativement, une paire de clés (valable seulement pour le Flux de certification centralisé – voir article 4.2.1 de la présente CPS Isabel).

5. Facultativement, un code PIN (valable seulement pour dans le Flux de certification centralisé – voir article 4.2.1 de la présente CPS Isabel).

2.1.3.4. A

CCEPTATION DU

C

ERTIFICAT

I

SABEL

A la réception de son Certificat Isabel, le Titulaire de Certificat Isabel doit vérifier son Certificat Isabel et toutes les informations qu'il contient, et avertir la CA Isabel qui a délivré le certificat qu'il accepte (ou n'accepte pas) le Certificat Isabel.

L'acceptation du certificat signifie que le Titulaire reconnaît que l'information du Certificat Isabel est correcte, exacte et complète.

L'acceptation du Certificat Isabel implique l'acceptation de la CPS et de la CP applicable ainsi que l'acceptation de toutes les autres notifications faites au Titulaire.

L'acceptation peut revêtir les formes suivantes: (1) notification explicite de l'acceptation, ou (2) utilisation du certificat par le Titulaire, ou (3) absence de notification ou de remarques par le Titulaire après le 10^ème jour suivant la publication dans le Répertoire.

Dans le cadre de cette obligation, le Titulaire de Certificat Isabel doit appliquer les dispositions de l'article “4.3 – Acceptation du Certificat” de la présente CPS Isabel.

2.1.3.5. O

BTENTION DES INFORMATIONS NECESSAIRES POUR UTILISER CORRECTEMENT ET EN TOUTE SECURITE LES SERVICES DE LA

PKI I

SABEL

Le Titulaire de Certificat Isabel est tenu d'obtenir de la CA Isabel qui a émis son certificat:

1. La notification des obligations qui lui impose l’article “2.1.3 – Obligations de l'Abonné et du Titulaire de Certificat Isabel” de la présente CPS Isabel.

2. La notification des règles de protection de sa Clé Privée, figurant à l'article “6.2 – Protection de la Clé Privée” de la présente CPS Isabel.

3. La notification des garanties précises offertes par les services PKI Isabel conformément à l'article “2.2 – Responsabilité” de la CP Isabel applicable.

La publication de la présente CPS Isabel à l'intention des Titulaires de Certificat Isabel et des Parties en Confiance de Certificat Isabel doit être considérée comme une notification. L'utilisation du Certificat Isabel par le Titulaire implique l'acceptation de la teneur des notifications visées ci-dessus.

2.1.3.6. G

ARANTIE DE LA CONFIDENTIALITÉ DE LA

C

LÉ

P

RIVÉE

Le Titulaire de Certificat Isabel doit protéger et garantir la détention exclusive et la confidentialité ainsi que la sécurité de sa Clé Privée, de même que la confidentialité du code PIN afin de protéger la Clé Privée contre tout usage non autorisé.

D’une manière générale, le Titulaire prend les mesures nécessaires pour éviter la perte, la divulgation à un tiers, la modification ou l’usage non autorisé du matériel associé à la clé et de l’Isabel Secure Signing Card.

Toute utilisation de la Clé Privée du Titulaire est réputée être le fait du Titulaire sauf preuve suffisante du contraire.

(18)

Dans le cadre de cette obligation, le Titulaire de Certificat Isabel doit se conformer aux dispositions de l'article “2.8 – Confidentialité” de la présente CPS Isabel.

2.1.3.7. L

IMITATION DE L

'

UTILISATION DE LA

C

LÉ

P

RIVÉE ET DU

C

ERTIFICAT

I

SABEL

Le Titulaire de Certificat Isabel ne peut utiliser sa Clé Privée et le Certificat Isabel qu'aux fins autorisées, conformément aux dispositions de la CP applicable ou de tout contrat conclu ou à conclure entre Isabel et le Client Isabel.

Si le Titulaire soupçonne que sa Clé Privée est compromise, il doit demander la révocation de son Certificat Isabel et cesser de générer des signatures électroniques à l'aide de sa Clé Privée.

Lorsque tout les certificats associé à une Clé Publique sont révoqués ou ont expirés, la Clé Publique cesse d'être valable et le Titulaire n'est plus autorisé à utiliser la Clé Privée correspondante notamment pour la génération de signatures électroniques et le déchiffrement.

2.1.3.8. N

OTIFICATION AU

S

ERVICE DE

R

ÉVOCATION

I

SABEL EN CAS DE COMPROMISSION DE LA CLE PRIVEE

/

DU CODE

PIN –

PERTE DE L

’I

SABEL

S

ECURE

S

IGNING

C

ARD Le Titulaire de Certificat Isabel ou l’Abonné du Certificat Isabel doit immédiatement avertir le Service de Révocation Isabel si:

1. Il soupçonne ou sait que la Clé Privée du Titulaire est compromise, perdue ou divulguée.

2. Il soupçonne ou sait que la Secure Signing Card Isabel du Titulaire est perdue.

3. Il soupçonne ou sait que le code PIN du Titulaire est compromis, perdu ou divulgué.

Le Titulaire de Certificat Isabel doit se conformer aux dispositions de l'article “4.4 – Révocation de Certificat” du présent CPS Isabel.

Les Titulaires de Certificat Isabel de la communauté WISE sont exclus de ce service et doivent avertir leur RA Isabel, voir “2.1.3.9 – Notification à la RA Isabel en cas de compromission de Clé Privée/PIN – perte de l'Isabel Secure Signing Card – changement de statut”.

2.1.3.9. N

OTIFICATION À LA

RA I

SABEL EN CAS DE COMPROMISSION DE

C

LÉ

P

RIVÉE

/PIN –

PERTE DE L

'I

SABEL

S

ECURE

S

IGNING

C

ARD

–

CHANGEMENT DE STATUT

Le Titulaire de Certificat Isabel ou l’Abonné du Certificat Isabel doit immédiatement avertir sa RA si:

1. Il soupçonne ou sait que la Clé Privée du Titulaire est compromise, perdue ou divulgué.

2. Il soupçonne ou sait que la Secure Signing Card Isabel du Titulaire est perdue.

3. Il soupçonne ou sait que le code PIN du Titulaire est compromis, perdu ou divulgué.

4. Un changement quelconque affecte les informations communiquées dans la demande de Certificat Isabel du Titulaire.

Dans le cadre des obligations 1 à 3 ci-dessus, le Titulaire de Certificat Isabel doit se conformer aux dispositions de l'article “4.4 – Révocation de Certificat” de la présente CPS Isabel. La révocation est notifiée au RA Isabel pour n’importe quel cas qui n’est pas couvert par le Service de Révocation.

2.1.3.10. S

ANCTIONS ET INDEMNISATION DES PARTIES EN CAS DE DOMMAGES

Le Titulaire de Certificat Isabel et la Partie en Confiance doivent se conformer aux dispositions de l'article “2.2 – Responsabilité” de la CP Isabel applicable.

La CA Isabel a le droit de révoquer le certificat d'un Titulaire en cas d'infraction aux obligations énoncées dans cette CPS, dans toute CP pertinente et/ou dans un contrat entre Isabel et le Titulaire.

Dans un tel cas, la révocation n'exclura pas les autres sanctions ou indemnisations prévues par la loi, les dispositions contractuelles ou les politiques applicables telles que cette CPS ou toute CP applicable.

(19)

2.1.3.11. U

TILISATION D

'

UN SYSTÈME MATÉRIEL SÉCURISÉ DE CRÉATION DE SIGNATURE Le Titulaire de Certificat Isabel doit utiliser un Secure Signature Creation Device (dispositif sécurisé de création de signature) pour stocker et utiliser sa Clé Privée, à savoir :

1. une Secure Signing Card Isabel (Titulaires Personnes Physiques ou Fonction); ou

2. un TRD (Tamper Resistant Device) (Titulaires Personnes Physiques, Fonction ou Application); ou

3. un Hardware Security Module (HSM) d'un tiers (Titulaires Personnes Physiques, Fonction ou Application).

2.1.3.12. L

IMITATION DE L

'

UTILISATION DE LA

C

LÉ

P

UBLIQUE

Le Titulaire ou l'Abonné du Certificat Isabel ne peut soumettre une Demande de certificat contenant la Clé Publique dans un Certificat Isabel à une CA tierce, même si le Certificat Isabel a expiré ou a été révoqué.

Le Titulaire ou l'Abonné du Certificat Isabel ne peut soumettre une Demande de certificat contenant la Clé Publique dans un certificat de tiers à une CA Isabel, même si le certificat du tiers a expiré ou a été révoqué.

2.1.4. OBLIGATIONS DES PARTIES EN CONFIANCE

Dans l'évaluation d'un Certificat Isabel, la Partie en Confiance prendra en compte les conditions et déclarations incluses dans cette CPS et dans toute CP applicable, y compris toutes les limitations de responsabilité et garanties applicables. De plus, la Partie en Confiance doit connaître et respecter toutes les règles, réglementations et dispositions statutaires applicables à toutes les informations contenues dans le certificat.

La Partie en Confiance assume les obligations spécifiques suivantes:

2.1.4.1. O

BTENTION DES INFORMATIONS NÉCESSAIRES POUR UTILISER CORRECTEMENT ET EN TOUTE SÉCURITÉ LES SERVICES

PKI I

SABEL

La Partie en Confiance est tenue d'obtenir de la CA Isabel qui a émis le Certificat Isabel auquel elle envisage de faire confiance, une notification précise des garanties, responsabilités et obligations offertes par les services PKI conformément à l'article “2.2 – Responsabilité” de la CP applicable.

2.1.4.2. O

BTENTION ET VÉRIFICATION DU CERTIFICAT AUTO

-

SIGNE DE LA

CA I

SABEL

La Partie en Confiance est tenue d'obtenir de la CA Isabel le certificat auto-signé à l'origine de la chaîne de certificats, nécessaire pour vérifier la validité d'un Certificat Isabel.

Pour obtenir et vérifier la validité d'un certificat auto-signé de la CA Isabel, la Partie en Confiance doit respecter les dispositions de l'article “4.3 – Acceptation du Certificat” de la CPS Isabel.

2.1.4.3. V

ÉRIFICATION DU CONTENU ET DE LA VALIDITÉ DU

C

ERTIFICAT

I

SABEL

La Partie en Confiance est tenue de vérifier et d'accepter le contenu et la validité d'un Certificat Isabel avant de faire confiance au certificat.

La Partie en Confiance doit vérifier les attributs suivants du Certificat Isabel:

1. L'émetteur (CA Isabel), 2. La période de validité, 3. Le statut de révocation,

4. L'utilisation et les limitations de la clé et du certificat, 5. La signature de la CA.

(20)

Les attributs des Certificats Isabel figurent à l'article “7.1 – Profil du Certificat” de la présente CPS Isabel.

La Partie en Confiance ne peut accorder sa confiance au Certificat Isabel quand:

1. La vérification de la signature électronique du Certificat Isabel échoue, ou la vérification du Certificat Isabel lui-même échoue, ou

2. Le Certificat Isabel a expiré, ou 3. Le Certificat Isabel a été révoqué, ou

4. Le Certificat Isabel est utilisé à des fins non-autorisées ou n'est pas utilisé conformément aux limitations.

2.1.4.4. L

IMITATIONS DE L

'

UTILISATION DU

C

ERTIFICAT

I

SABEL

La Partie en Confiance ne peut faire confiance au Certificat Isabel qu'à des fins autorisées, dans le respect des limitations en termes d'utilisation fonctionnelle et de valeur, conformément aux dispositions de l'article “6.1.9 – Champs d’utilisations de la Clé” de la CP applicable, si cet article existe.

2.1.4.5. V

ÉRIFICATION DES SIGNATURES

La Partie en Confiance est tenue de vérifier la signature électronique à l'aide du Certificat Isabel certifiant la Clé Publique associée à la Clé Privée utilisée pour générer la signature électronique.

2.1.4.6. N

ON

-

RESPECT DES OBLIGATIONS DE LA

P

ARTIE EN

C

ONFIANCE

La Partie en Confiance déclare avoir connaissance des dispositions de l'article “2.3.1 - Indemnisation par les Clients Isabel, Parties en Confiance et les Titulaires” et de l'article “2.2 – Responsabilité” de la CP Isabel applicable.

2.1.5. OBLIGATIONS DU RÉPERTOIRE

Voir article “2.1.8.2 - Tenue d'un répertoire électronique des certificats et des informations de révocation des certificats” de la présente CPS Isabel.

2.1.6. OBLIGATIONS DE L'AUTORITÉ DE VALIDATION

L’Autorité de Validation est tenue de fournir une information, précise et à jour, à propos des statues des certificats émis par le CA Isabel qui est couvert par la présente CPS et par la CP Isabel applicable.

2.1.7. OBLIGATIONS DE L'AUTORITÉ DE GESTION DE LA POLITIQUE

L'Autorité de Gestion de la Politique de Certification est tenue de spécifier, valider et faire appliquer la présente CPS Isabel. Elle est tenue de déterminer l'adéquation du présent CPS Isabel au CP Isabel.

2.1.8. ENTITÉ JURIDIQUE ISABEL

2.1.8.1. C

ONTRATS

Il appartient à Isabel de dresser une ou plusieurs conventions contractuelles avec :

1. L'Abonné du Certificat Isabel, en indiquant clairement et explicitement les droits et obligations des deux parties. Ce contrat fait référence à la CP Isabel et à la CPS Isabel, en particulier au présent article. Le contrat mentionnera au minimum:

(21)

a. Que l'Abonné du Certificat Isabel reconnaît l'exactitude des informations qu'il a fournies à la RA Isabel.

b. Que le Titulaire du Certificat Isabel n'utilisera la paire de clés qu'aux fins prévues et dans le respect de toute autre limitation notifiée à l'Abonné du Certificat Isabel par contrat ou tout autre document légal (p.ex. CP, CPS,…).

c. Que le Titulaire du Certificat Isabel accepte les règles et conditions associées à l'utilisation du support servant à stocker la Clé Privée, y compris la responsabilité de la sauvegarde de la Clé Privée, du support de stockage et du code PIN.

d. Que le Titulaire de Certificat Isabel accepte de signaler immédiatement la perte de sa Clé Privée et/ou de son code PIN, ainsi que tout soupçon d'infraction à la sécurité ou d'abus.

e. Le système de révocation des Certificats Isabel.

f. Les limitations de responsabilité d'Isabel.

2. Les RA Isabel, opérant au nom de la CA Isabel, en indiquant clairement les droits et obligations des deux parties.

3. L'agent (local ou central) de la RA Isabel, opérant au nom de la RA Isabel, en indiquant clairement les droits et obligations des deux parties. Ce contrat fait partie de la convention contractuelle entre Isabel et la RA Isabel.

2.1.8.2. T

ENUE D

'

UN RÉPERTOIRE ÉLECTRONIQUE DES CERTIFICATS ET DES INFORMATIONS DE RÉVOCATION DES CERTIFICATS

Isabel tient à jour et à disposition un Répertoire électronique des Certificats Isabel et des informations de révocation des Certificats Isabel.

Isabel prend toutes les mesures nécessaires pour protéger ce Répertoire électronique contre toute modification illicite.

Le répertoire électronique contiendra au moins:

1. Les Certificats Isabel émis par la CA Isabel conformément à la présente CPS Isabel et à la CP applicable.

2. Les Listes des Certificats Révoqués publiées conformément à la présente CPS Isabel et à la CP applicable.

3. Les Certificats auto-signés de la CA Isabel.

Isabel publie en temps voulu les Certificats et les Listes des Certificats Révoqués détaillées à l'article

“2.6 – Publication et Répertoire” de la présente CPS Isabel.

Le Répertoire électronique est accessible en permanence (24 heures sur 24) pour consultation directe par voie électronique.

Le Répertoire électronique n'est pas consultable par les non-Clients Isabel ni leurs représentants.

2.1.9. SERVICE DE RÉVOCATION ISABEL

Le Service de Révocation Isabel permet de révoquer des certificats Isabel 24/7 pour des certificats Personnes Physiques ou Fonction. Ce service est disponible pour tous les cas de perte ou de vol de la Secure Signing Card du Titulaire du certificat Isabel, ou de la compromission du PIN ou de la Clé Privée.

Ce service n’est pas disponible aux Clients Isabel de la communauté WISE.

2.1.9.1. T

RAITEMENT DES DEMANDES DE RÉVOCATION DE CERTIFICATS

Le Service de Révocation Isabel reçoit et traite dès que possible les demandes de révocation de Certificat Isabel et les envoie à une CA Isabel. La décision finale de révocation du Certificat Isabel appartient au CA Isabel.

(22)

Dans le traitement des demandes de révocation de Certificat Isabel, le Service de Révocation Isabel se conforme aux dispositions de l'article “4.4 – Révocation de Certificat” du présent CPS Isabel

2.1.9.2. I

DENTIFICATION ET AUTHENTIFICATION DE L

'

ABONNE

/

DU TITULAIRE

Le Service de Révocation Isabel identifie et authentifie les Abonnés du Certificat Isabel, Titulaires de Certificat Isabel et, le cas échéant, leur mandataire, le plus correctement possible avant de révoquer le(s) certificat(s). Une identification ultérieure sera fait post factum par le RA Isabel.

Cette identification peut porter aussi bien sur des données personnelles que sur des données professionnelles.

2.1.9.3. P

ROTECTION DE LA

C

LÉ

P

RIVÉE DU

S

ERVICE DE

R

ÉVOCATION

Le Service de Révocation Isabel protège sa Clé Privée conformément aux dispositions stipulées à l'article “6.2 – Protection de la Clé Privée” de la présente CPS Isabel.

2.1.9.4. R

ESTRICTION D

’

UTILISATION DE LA

C

LE

P

RIVÉE DU

S

ERVICE DE

R

ÉVOCATION Le Service de Révocation Isabel n'utilise sa Clé Privée qu'à des fins liées à sa fonction de Service de Révocation.

2.1.9.5. I

NDEMNISATION DES PARTIES EN CAS DE DOMMAGES

L’indemnisation de Service de Révocation Isabel se conforme aux dispositions stipulées à l'article “2.2 – Responsabilité” du CP Isabel applicable.

2.1.9.6. A

RCHIVAGE ET SÉCURITÉ

Le Service de Révocation Isabel respecte ses obligations d'archivage de la façon la plus sûre, afin de garantir la disponibilité des documents et autres informations pouvant servir de preuve, ainsi que pour sauvegarder la confidentialité et l'intégrité de ces documents et informations. En général, elle assure la sécurité physique de l'information, en protège l'accès et forme son personnel à cet effet.

2.1.9.7. A

PPROBATION

Chaque Service de Révocation Isabel opérant sous l’autorité d’un CA Isabel dispose de l'autorisation écrite de ce CA Isabel. Le Service de Révocation Isabel est Card Stop.

2.1.9.8. C

ONTACT

Le Service de Révocation Isabel est opéré par Card Stop :

Card Stop

Tel : +32 (0)70/344.344 Fax : +32 (0)70/344.355

2.2. RESPONSABILITÉ

Les responsabilités associées aux Certificats Isabel sont exposées à l'article “2.2 – Responsabilité” de la CP applicable.

(23)

Isabel prend toutes les mesures raisonnables possibles pour être assurée de façon à couvrir toute responsabilité encourue vis-à-vis des Parties en Confiance ou de tiers dans le cadre de la prestation des services visés par cette CPS ou une CP applicable.

2.3. RESPONSABILITÉ FINANCIÈRE

2.3.1. INDEMNISATION PAR LES CLIENTS ISABEL, PARTIES EN CONFIANCE ET LES TITULAIRES

Les Clients Isabel, les Parties en Confiance qui font confiance à un Certificat Isabel et/ou les Titulaires de Certificat Isabel doivent indemniser toutes les parties (y compris la CA Isabel, les Autorités d'enregistrement et les Services de Révocation) et/ou Isabel pour tout dommage résultant du non- respect de leurs obligations.

Une Partie en Confiance qui agit de façon non-conforme aux obligations que lui impose la présente CPS ne pourra se retourner valablement contre Isabel en cas de dommage.

Isabel n'est pas responsable des conséquences d'un manquement à ses obligations dans le chef d'une Partie en Confiance.

2.3.2. RELATIONS DE FIDUCIE

La relation entre Isabel et les Titulaires de Certificat Isabel et entre Isabel et les Parties en Confiance de Certificat Isabel n'est pas un rapport de subordination. Ni les Titulaires de Certificat Isabel ni les Parties en Confiance n'ont le pouvoir d'imposer une quelconque obligation à Isabel, par contrat ou autrement.

2.3.3. PROCESSUS ADMINISTRATIF

Les comptes et le rapport annuel d'Isabel sont publiés et vérifiés chaque année conformément aux lois belges.

2.4. INTERPRÉTATION ET MISE EN APPLICATION

En cas de conflit entre la présente CPS Isabel, une CP Isabel et les contrats liant Clients, Abonnés et Titulaires de Certificat Isabel:

1. Les dispositions d'une CP Isabel primeront sur les dispositions incompatibles ou contradictoires de la CPS Isabel.

2. Les dispositions d'une CP Isabel et de la CPS Isabel primeront sur le contrat et toute nouvelle convention spécifique, sauf si spécifié autrement.

2.4.1. DROIT APPLICABLE

Les lois belges régissent l'applicabilité, l'interprétation et la validité de la présente CPS Isabel. Pour les Clients Isabel qui sont domiciliés ou ont leur siège registre en Pologne : même si la loi Belge est applicable, la loi Polonaise sera applicable aussi pour des provisions de droit impératif qui ne peuvent pas être déniées.

(24)

2.4.2. DISSOCIABILITÉ, SUBSISTANCE, FUSION, COMMUNICATIONS

Dans la mesure où un tribunal compétent ou un organe similaire juge que des conditions de ce document sont invalides, inapplicables ou illégales, ces conditions seront dissociées du reste du document, qui demeurera en vigueur. Ces conditions seront remplacées par une clause correspondant le plus étroitement possible à l'intention de la clause invalide.

Dans le cas exceptionnel où les lois d'un territoire dont dépend un Abonné ou Titulaire de Certificat Isabel étranger n'autorisent pas l'inclusion de dispositions spécifiques prévues par cette CPS, ces dispositions spécifiques seront considérées comme nulles à l'égard de ce seul Abonné ou Titulaire de Certificat Isabel, comme si elles n'avaient pas été incluses, et le premier paragraphe du présent article s'appliquera.

Les dispositions appelées par leur nature à subsister après la fin de la validité de cette CPS subsisteront.

En cas de fusion, Isabel S.A./N.V. fera tout ce qui est en son possible pour assurer la continuité des opérations de CA dont il est question ici.

Toutes les communications officielles dans le cadre de cette CPS seront faites par écrit, et envoyées par courrier recommandé ou télécopie, ou par un message e-mail portant une signature électronique avancée.

2.4.3. PROCÉDURES DE RÉSOLUTION DES LITIGES

Toutes les parties prenantes de la PKI Isabel, y compris CA Isabel, RA Isabel, Clients Isabel, Abonnés, Titulaires et Parties en Confiance, s'efforceront de bonne foi de trouver une solution amiable aux revendications, litiges et discussions survenant entre elles.

Si un litige ne peut recevoir de solution amiable dans un délai raisonnable, il sera toujours soumis à la décision des seuls tribunaux de Bruxelles. Les Parties peuvent toujours recourir à l'arbitrage Cepani ou SGOA ("Stichting Geschillen Oplossing Automatisering").

2.5. REDEVANCES

Les redevances dues pour les Certificats Isabel et les services connexes, ainsi que leurs modalités, sont fixées dans les accords contractuels conclus entre les Clients/Abonnés/Titulaires de Certificat Isabel et Isabel.

Les remboursement ne sont possibles que moyennant convention expresse.

2.6. PUBLICATION ET RÉPERTOIRE

2.6.1. PUBLICATION DES INFORMATIONS DE LA CA ISABEL

Les informations de la CA Isabel à publier sont:

1. La CP Isabel.

2. La CPS Isabel.

3. Les Certificats Isabel acceptés par le Titulaire comme contenant des informations correctes.

4. Les Listes des Certificats Isabel révoqués.

5. Le certificat auto-signé de la CA Isabel et les certificats croisés.

6. Les Listes des Certificats des Autorités révoquées (ARL).

7. Les conditions générales d'Isabel applicables aux services de certification.

8. Les contrats types pour les services de certification.

Ces informations seront publiées en ligne et peuvent aussi l'être sous d'autres formes.