faq sur le service all-in signing de swisscom...(67) peut-on empêcher la reproduction de documents...
TRANSCRIPT
Swisscom (Schweiz) AG Titel: FAQ 1/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
FAQ sur le service All-in Signing de Swisscom
Content 1 Identification générale ............................................................................................................... 5
(2) Les identifications sont-elles également valables pour des signatures avancées pour une
durée maximale de 5 ans seulement ? ................................................................................................... 5
(3) Puis-je également m'identifier auprès de La Poste Suisse, Swisscom Shops, etc. ...................... 5
(4) Dois-je utiliser exactement les données d'identification pour la demande de signature ? ........ 5
2 Traitement PDF, création de hachage, intégration de hachage signé .......................................... 5
(5) Existe-t-il des bibliothèques qui simplifient la gestion des PDF? ................................................ 5
(6) Combien d'espace une signature a-t-elle besoin dans un document ? ...................................... 6
3 Performance .............................................................................................................................. 6
(7) Combien de demandes de signature par minute notre système peut-il actuellement traiter ? 6
4 Signatures multiples .................................................................................................................. 6
(8) Peut-on apposer plusieurs signatures sur un document ? ......................................................... 6
(9) Un document peut-il être muni d'une signature organisationnelle (signature statique) et
d'une signature personnelle (sur demande) ? ........................................................................................ 6
(10) Comment une signature en bloc est-elle facturée, c'est-à-dire dans le cadre d'une demande
de signature que j'envoie, par exemple 5 documents ? ......................................................................... 6
(11) Combien de documents peuvent être envoyés avec une signature en bloc (lot) ? .................... 6
(12) Les signatures avancées et qualifiées peuvent-elles être émises via une connexion
(ClaimedIdentity) ? .................................................................................................................................. 6
5 RA app ....................................................................................................................................... 7
(13) Comment puis-je tester avec le RA-App ? ................................................................................... 7
(14) Quels sont les pays pris en charge par RA-App ? ........................................................................ 7
(15) L'agent RA doit-il être autorisé par Swisscom s'il identifie des personnes à des fins de
signature conformément à la législation européenne et suisse ? .......................................................... 9
(16) Comment supprimer une personne du service RA ? .................................................................. 9
(17) Les données des signataires autorisés par l'UE et celles des signataires autorisés par la Suisse
sont-elles conservées séparément ? ....................................................................................................... 9
(18) Combien de temps un agent RA formé a-t-il besoin pour s'identifier ? ..................................... 9
(19) Lorsque je photographie le recto/verso de la carte d'identité, l'appareil ne fait pas la mise au
point.... .................................................................................................................................................... 9
Swisscom (Schweiz) AG Titel: FAQ 2/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(20) La personne inscrite n'a pas reçu ou l'a supprimé le SMS avec l'acceptation des conditions
d'utilisation… ........................................................................................................................................... 9
(21) La personne inscrite n'a pas reçu de SMS et ne peut être retrouvée ......................................... 9
6 Méthodes d'authentification Mobile ID et SMS ......................................................................... 10
(22) L'authentification n'est-elle possible qu'avec Mobile ID ou PWD/OTP ? ................................. 10
(23) J'ai été identifié(e) avec PWD/OTP et j'ai maintenant un MobileID, puis-je l'utiliser pour
signer ? .................................................................................................................................................. 10
(24) La réception mobile par SMS est-elle également garantie à l'étranger ? ................................. 10
(25) La réception Mobile ID est-elle également garantie à l'étranger ?........................................... 10
(26) Pourquoi avons-nous besoin d'un mot de passe supplémentaire et le SMS ne suffit pas pour
une signature qualifiée ? ....................................................................................................................... 10
(27) L'autorisation 2FA est-elle également nécessaire pour les signatures avancées ? .................. 10
(28) Y a-t-il des frais pour le Mobile ID ou le SMS ? ......................................................................... 11
(29) Que se passe-t-il si j'ai oublié mon mot de passe ? .................................................................. 11
(30) Que se passe-t-il si une autre personne décroche un appel ? .................................................. 11
(31) Est-il possible d'utiliser un téléphone fixe au lieu d'un téléphone mobile pour la requête par
SMS ? 11
(32) Est-il possible de signer sans réception de téléphone portable ? ............................................. 11
(33) Le MobileID via eSIM est-il pris en charge ? ............................................................................. 11
(34) Que se passe-t-il si je change la carte SIM ? ............................................................................. 11
(35) Comment l'identification est-elle liée à une méthode d'authentification ? ............................. 11
(36) Existe-t-il une API à la place de l'intégration de l'écran mot de passe/OTP ? .......................... 11
(37) Est-il possible de gratter l'écran pour saisir un PWD/OTP ? ..................................................... 12
(38) L'écran mot de passe/OTP peut-il être intégré dans un site Web ou une application ? .......... 12
(39) Le texte de l'écran mot de passe/OTP ou le texte du MobileID peut-il être configuré ? ......... 12
(40) Que se passe-t-il si MobileID n'est pas activé ou possible sur une carte SIM ? ........................ 12
(41) Quand le mot de passe est-il défini pour la première fois ? ..................................................... 12
(42) Peut-on utiliser d'autres méthodes d'authentification que PWD/OTP MobileID ? .................. 12
(43) Une connexion à l'application de l'abonné et une authentification par SMS ne sont-elles pas
suffisantes comme solution à deux facteurs ? ...................................................................................... 12
(44) Les signatures par lots sont-elles possibles ? ............................................................................ 12
(45) Les signatures XADES (XML) sont-elles possibles ? ................................................................... 13
(46) Quelle est la meilleure façon d'interpréter les codes d'erreur dans le service RA ? ................ 13
Swisscom (Schweiz) AG Titel: FAQ 3/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(47) Serial Number Mismatch (Non-appariement des numéros de série) ....................................... 14
(48) Pourquoi ma signature n'a pas fonctionné? ............................................................................. 14
7 Validation de la signature ......................................................................................................... 14
(49) Comment puis-je valider les signatures ? ................................................................................. 14
(50) Pourquoi le validateur affiche-t-il une signature non valide ? .................................................. 15
(51) La "coche verte" dans Adobe indique-t-elle la régularité de la signature ? ............................. 15
8 Questions contractuelles ........................................................................................................... 15
(52) La déclaration de configuration et d'acceptation demande deux rôles : (1) Responsable de la
sécurité pour la sécurité des données et la confidentialité (2) Administrateur système. Comment
choisir ces rôles de façon appropriée ? ................................................................................................. 15
(53) Que dois-je faire dans une entreprise ayant plusieurs filiales ? ............................................... 15
(54) Nous souhaitons facturer en partie "par signataire" et en partie "par signature", est-ce
possible ? ............................................................................................................................................... 16
(55) Si "par signataire" est facturé, qu'advient-il des mois au cours desquels aucune signature
n'est effectuée ? .................................................................................................................................... 16
(56) Nous voudrions signer à la fois dans l'UE et dans l'espace juridique de la Suisse, est-ce
possible ? ............................................................................................................................................... 16
(57) Swisscom utilise le contrat PDF standard - comment l'adapter à nos besoins ? ...................... 16
(58) Le client a-t-il besoin de certifications pour le fonctionnement de l'application de signature ?
17
(59) Comment puis-je commander des cachets en tant qu'entreprise ? ......................................... 17
(60) Qui est responsable des certificats défectueux ? ..................................................................... 17
9 Effet juridique d'une signature .................................................................................................. 17
(61) Le signature est-elle acceptée en Suisse ? ................................................................................ 18
(62) La signature est-elle reconnue dans un pays de l'UE (également en dehors de l'Autriche) ? .. 18
(63) Swisscom peut-elle garantir la conformité juridique d'un contrat signé à sa signature ? ........ 18
(64) La signature qualifiée est-elle plus concluante ? ...................................................................... 19
(65) La validité d'une signature peut-elle encore être prouvée après 10 ans ? ............................... 19
(66) Comment les modifications de la base juridique sont-elles traitées ? ..................................... 19
(67) Peut-on empêcher la reproduction de documents originaux signés ? ..................................... 19
(68) Y a-t-il des rapports sur le Web de clients de Swisscom qui utilisent la signature numérique ?
19
(69) Comment les horodatages affectent-ils les différents zones horaires ..................................... 20
(70) Adobe signale l'erreur que la signature est invalide parce qu'elle n'a pu être validée. ........... 20
Swisscom (Schweiz) AG Titel: FAQ 4/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(71) Quelles données sont publiées dans le certificat en tant que nom distinctif (DN) des
certificats personnels ? ......................................................................................................................... 20
(72) Quels formats de fichiers peuvent être signés ? ....................................................................... 20
10 Protection des données ......................................................................................................... 20
(73) La protection des données en Suisse et le RGPD ? ................................................................... 20
(74) Respect de la protection des données du All-in Signing Service ............................................... 21
(75) Confidentialité et service RA-App/RA-Service .......................................................................... 21
(76) Pourquoi signer le traitement des données en commission ? .................................................. 21
(77) Quelles sont les obligations des agences RA dans le cadre de leurs activités ? ....................... 22
(78) Le processus d'identification avec ses propres données ne nécessite pas de traitement des
données en commission ? ..................................................................................................................... 22
(79) Comment Swisscom conserve-t-elle les clés privées des certificats de signature ? ................. 23
11 Mise en service ..................................................................................................................... 23
(80) Quelle est la procédure de mise en service d'une signature personnelle ? ............................. 23
(81) Quelles exigences le certificat d'accès doit-il remplir ? ............................................................ 23
(82) Comment s'effectue la mise en service d'un cachet ? .............................................................. 24
Swisscom (Schweiz) AG Titel: FAQ 5/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
1 Identification générale
(1) Les identifications sont-elles également valables pour des signatures avancées pour une durée maximale
de 5 ans seulement ?
Oui, après 5 ans, les personnes identifiées pour des signatures avancées doivent également être identifiées
à nouveau. Toutefois, pour les signatures anticipées, il suffit que la carte d'identité soit valable au moment
de l'identification. Si ce délai expire dans les 5 ans, aucune nouvelle identification n'est nécessaire. Pour les
signatures qualifiées, par contre, une identification est valable aussi longtemps que la carte d'identité était
valable ou pour une durée maximale de 5 ans après cette identification.
(2) Puis-je également m'identifier auprès de La Poste Suisse, Swisscom Shops, etc.
En Suisse, Swisscom est en train de permettre l'identification dans les magasins Swisscom. Toutefois, cela
ne se réalisera pas avant la fin de 2019. A l'étranger, l'identification ne sera possible que par l'intermédiaire
de partenaires qui l'offriront. A moyen terme, Swisscom recherche une connexion avec des identités
existantes (p. ex. vérification d'identité en ligne par une banque ou une eID d'Etat, comme la SwissID ou la
Personalausweis allemande). Les premiers projets en Allemagne débuteront au deuxième trimestre.
(3) Dois-je utiliser exactement les données d'identification pour la demande de signature ?
Oui, en cas d'utilisation du nom et du prénom, ils doivent être exactement les mêmes que ceux figurant
sur la carte d'identité ou le passeport. Swisscom est également en mesure de configurer le service de
manière que seul un pseudonyme soit utilisé à la place du nom et du prénom. En outre, le "Common
Name" (CN) pourrait être utilisé avec les noms habituellement utilisés pour cette personne
(indépendamment du document d'identité). L'appel de vérification (verifyCall) de RA-Service vérifie dans ce
cas le numéro de téléphone mobile qui a été utilisé lors de l'identification et le pays.
2 Traitement PDF, création de hachage, intégration de hachage signé
(4) Existe-t-il des bibliothèques qui simplifient la gestion des PDF?
Oui, il existe plusieurs bibliothèques disponibles sur le marché qui permettent une implémentation rapide
d'une application de signature. Tous bénéficient également d'un soutien spécial pour Swisscom Service :
• Intarsys, Allemagne : propose différentes solutions pour le traitement et l'intégration des
signatures : https://www.intarsys.de/produkte/fernsignatur
Intarsys est un partenaire privilégié de Swisscom et connaît très bien le service AIS d'un point de
vue technique et peut fournir un support de conseil.
• PDF-Tools, Suisse : 3-Heights PDF Suite. http://www.pdf-tools.com/pdf20/de/produkte/pdf-
security-signature/pdf-security/
• iText, Belgique : iTextPDF. https://itextpdf.com/de/products/product-tour . Swisscom utilise iText
dans ses exemples, mais les exemples sont "obsolètes", c'est-à-dire que certaines fonctionnalités
ont changé. Mais la manipulation de base peut être vue ici : https://github.com/SCS-CBU-CED-
IAM/itext-ais
• Setasign, Allemagne : Certains clients utilisent SetaPDF, qui offre également une solution spéciale
pour Swisscom Service : https://www.setasign.com/products/setapdf-signer/demos/swisscom-
all-in-signing-service/
• Blocksigner, Schweiz (Skribble.com): https://api.skribble.com/swagger-ui.html,
http://doc.skribble.com/
Swisscom (Schweiz) AG Titel: FAQ 6/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
Swisscom décline toute responsabilité pour le bon fonctionnement de ces bibliothèques. Ceux-ci peuvent
contenir des erreurs et exiger des connaissances et une expertise particulières. L'utilisation se fait aux
risques et périls de l'abonné.
(5) Combien d'espace une signature a-t-elle besoin dans un document ?
Environ 50 kBytes.
3 Performance
(6) Combien de demandes de signature par minute notre système peut-il actuellement traiter ?
En ce moment, nous sommes en train d'étendre nos capacités avec d'autres algorithmes (prégénération
des clés) et l'expansion de HW. Comme plusieurs clients utilisent le service, nous supposons une charge
maximale d'une demande par seconde en moyenne par client. Des performances plus élevées, c'est-à-dire
des capacités spécialement réservées, sont possibles en option.
4 Signatures multiples
(7) Peut-on apposer plusieurs signatures sur un document ?
Oui, c'est la seule tâche de l'application de l'abonné, qui envoie ensuite à plusieurs reprises le hachage avec
la demande de signature au All-in Signing Service. Un nombre illimité de signatures peut être généré pour
un même document numérique.
(8) Un document peut-il être muni d'une signature organisationnelle (signature statique) et d'une signature
personnelle (sur demande) ?
Oui, mais cela nécessite 2 canaux de communication et une configuration, c'est-à-dire que la signature
doit d'abord être authentifiée par la personne qui signe via un canal (sur demande) et ensuite signée au
niveau de l'organisation (avec certificat statique précédemment créé) par un certificat d'authentification
SSL via un second canal.
(9) Comment une signature en bloc est-elle facturée, c'est-à-dire dans le cadre d'une demande de signature
que j'envoie, par exemple 5 documents ?
Chaque signature est calculée individuellement, c'est-à-dire que dans cet exemple, 5 signatures sont
calculées.
(10) Combien de documents peuvent être envoyés avec une signature en bloc (lot) ?
La limite est 250 pour des raisons de sécurité plutôt qu'en raison de la capacité du service.
(11) Les signatures avancées et qualifiées peuvent-elles être émises via une connexion (ClaimedIdentity) ?
Oui, cela est possible et sera traité par un appel approprié dans l'interface.
Swisscom (Schweiz) AG Titel: FAQ 7/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
5 RA app
(12) Comment puis-je tester avec le RA-App ?
Il y a un mode test et démo qui vous permet d'essayer l'application, mais aucune donnée n'est transmise.
Pour cela, le numéro de téléphone portable +41001234567 doit être inscrit dans le formulaire d'inscription
et la raison sociale "demo".
(13) Quels sont les pays pris en charge par RA-App ?
Veuillez trouver un tableau avec tous les documents d'identité et passeports acceptés :
Swisscom (Schweiz) AG Titel: FAQ 8/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
Pays Passep
ort ID
Afghanistan ✓
Afrique du Sud
✓
Albanie ✓
Algérie ✓
Allemagne (Allemand)
✓ ✓
Andorre ✓
Angola ✓
Argentine ✓
Arménie ✓
Australie ✓
Autriche ✓ ✓
Bangladesh ✓
Belgique ✓ ✓
Bénin ✓
Bosnie-Herzégovine
✓
Botswana ✓
Brésil ✓
Bulgarie ✓ ✓
Cameroun ✓ ✓
Canada ✓
Chili ✓
Chine ✓
Colombie ✓
Congo ✓ ✓
Corée du Sud
✓
Costa Rica ✓
Côte d'Ivoire ✓
Croatie ✓ ✓
Cuba ✓
Danemark ✓
Égypte ✓
Équateur ✓
Érythrée ✓
Espagne ✓ ✓
Estonie ✓ ✓
ÉTATS-UNIS ✓
Éthiopie ✓
Finlande ✓ ✓
France (France)
✓ ✓
Géorgie ✓
Ghana ✓
Grande-Bretagne
✓
Grèce ✓ ✓
Haïti ✓
Hongrie ✓ ✓
Inde ✓
Irak ✓
Iran ✓
Irlande ✓
Islande ✓
Israël ✓
Italie ✓ ✓
Jamaïque ✓
Japon ✓
Jordanie ✓
Kazakhstan ✓
Kosovo ✓ ✓
Laos ✓
Lettonie ✓ ✓
Liban ✓
Liechtenstein
✓ ✓
Lituanie ✓ ✓
luxembourgeois
✓ ✓
Macédoine ✓
Malaisie ✓
Maroc ✓
Mexique ✓
Monténégro ✓
Mozambique
✓
Namibie ✓
néerlandais ✓ ✓
Nigéria ✓
Norvège ✓
Nouvelle-Zélande
✓ ✓
Ouganda ✓
Pakistan ✓
Pérou ✓
Philippines ✓
Pologne ✓ ✓
Portugal ✓ ✓
Qatar ✓
République dominicaine
✓
République tchèque
✓ ✓
Roumanie ✓ ✓
Russie ✓
Sénégal ✓
Serbie ✓
Singapour ✓
Slovaquie ✓ ✓
Slovénie ✓ ✓
Somalie ✓
Suède ✓ ✓
Suisse ✓ ✓
Syrie ✓ ✓
Thaïlande ✓ ✓
Togo ✓
Tunisie ✓ ✓
Turquie ✓
Ukraine ✓
Uruguay ✓
Venezuela ✓
Vietnam ✓
Vltava ✓
Swisscom (Schweiz) AG Titel: FAQ 9/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(14) L'agent RA doit-il être autorisé par Swisscom s'il identifie des personnes à des fins de signature
conformément à la législation européenne et suisse ?
Cela se produit indirectement. En pratique, la procédure est la suivante : L'agence RA nomme d'abord un
agent RA maître. Cet agent est identifié par Swisscom ou un partenaire de Swisscom et suit une formation.
Il reçoit alors une interface utilisateur avec laquelle il peut transformer d'autres personnes identifiées par
lui seul en agents RA ou agents RA maîtres. Cependant, ils doivent également suivre une formation.
(15) Comment supprimer une personne du service RA ?
En principe, Swisscom doit conserver les données pendant très longtemps (11 ans en Suisse ou 35 ans dans
l'UE). Mais les personnes peuvent être désactivées par l'agent maître RA ou par Swisscom de sorte qu'elles
ne peuvent plus signer.
(16) Les données des signataires autorisés par l'UE et celles des signataires autorisés par la Suisse sont-elles
conservées séparément ?
Oui, une distinction est faite entre le fait que les signataires aient accepté les conditions d'utilisation de la
Suisse ou de l'UE ou les deux. Toutes les données sont également traitées par Swisscom (Suisse) SA pour
Swisscom IT Services Finance S.E. à Vienne.
(17) Combien de temps un agent RA formé a-t-il besoin pour s'identifier ?
En moyenne, une identification est effectuée en 2 minutes.
(18) Lorsque je photographie le recto/verso de la carte d'identité, l'appareil ne fait pas la mise au point....
Tenez l'appareil photo vers le haut de façon à ce que le document d'identité entier soit capturé par la
découpe (toujours floue probablement). Rapprochez lentement la caméra de la carte d'identité et la mise
au point reprendra.
(19) La personne inscrite n'a pas reçu ou l'a supprimé le SMS avec l'acceptation des conditions d'utilisation…
Avertissez votre agent maître RA et demandez-lui de rechercher le numéro de portable sur le portail. Vous
pouvez renvoyer le SMS avec les conditions d'utilisation en cliquant sur le lien avec le symbole PDF :
(20) La personne inscrite n'a pas reçu de SMS et ne peut être retrouvée
Assurez-vous que vous n'avez pas enregistré la personne en mode démo RA-App (numéro de portable
+41001234567, société "demo").
Swisscom (Schweiz) AG Titel: FAQ 10/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
6 Méthodes d'authentification Mobile ID et SMS
(21) L'authentification n'est-elle possible qu'avec Mobile ID ou PWD/OTP ?
En Suisse, nous passons par défaut en mode PWD/OTP par défaut si la carte SIM n'est pas activée pour
Mobile ID. Dans la salle eIDAS, nous n'autorisons que les PWD/OTP en standard.
A partir d'environ Q1 2020, nous proposerons une application d'authentification basée sur l'interface
Mobile ID, qui offre également l'authentification avec reconnaissance d'empreinte digitale ou faciale.
Cette application ne nécessite qu'une connexion Internet lors de l'authentification et peut donc être
utilisée à l'international. Cependant, une carte SIM internationale (numéro de téléphone portable) est
toujours nécessaire pour l'installation de l'application. Voir
http://documents.swisscom.com/product/filestore/lib/0027a527-304d-44a3-b467-
9e655ee7025e/mobileidapp-en.mov.
En général, d'autres méthodes d'authentification sont également possibles, mais elles doivent être
approuvées par KPMG. Le partenaire devrait le faire et montrer sa méthode dans le cadre d'un concept de
mise en œuvre.
(22) J'ai été identifié(e) avec PWD/OTP et j'ai maintenant un MobileID, puis-je l'utiliser pour signer ?
Malheureusement, non. Vous disposez d'un nouveau moyen d'authentification qui n'a pas été initialement
enregistré avec l'identification. C'est-à-dire que vous devez être nouvellement identifié utilisant un
MobileID.
(23) La réception mobile par SMS est-elle également garantie à l'étranger ?
Il n'y a pas une garantie mail ça fonctionne presque toujours - on peut regarder ce renseignement de plus
près :
https://www.swisscom.ch/en/residential/mobile/tariffs-roaming-abroad/query-tariffs.html
Au quatrième trimestre 2019, Swisscom planifie d'étendre l'authentification avec des méthodes
supplémentaires (Authentication App). D'ici là, Swisscom ne peut donner aucune garantie quant à la
possibilité d'authentification à l'étranger en raison du prestataire externe à l'étranger.
(24) La réception Mobile ID est-elle également garantie à l'étranger ?
L'identification mobile est également reçue partout à l'étranger - partout où un SMS peut être reçu. Il y a
un protocole spécial dans la norme des télécommunications. Etant donné que plusieurs parties sont
impliquées dans ce processus, Swisscom ne peut jamais garantir ce service.
(25) Pourquoi avons-nous besoin d'un mot de passe supplémentaire et le SMS ne suffit pas pour une signature
qualifiée ?
Une authentification à 2 facteurs est nécessaire pour la signature qualifiée : "la " possession " et la "
connaissance ", c'est-à-dire que seule la possession (SMS) ne suffit pas.
(26) L'autorisation 2FA est-elle également nécessaire pour les signatures avancées ?
Non, OTP est suffisant pour les signatures avancées.
Swisscom (Schweiz) AG Titel: FAQ 11/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(27) Y a-t-il des frais pour le Mobile ID ou le SMS ?
Swisscom ne facture pas de frais pour l'envoi de Mobile ID ou de SMS. Selon le tarif du partenaire
d'itinérance, des frais d'itinérance peuvent être engagés (ce qui arrive très rarement, par exemple lors de
croisières).
(28) Que se passe-t-il si j'ai oublié mon mot de passe ?
La perte du mot de passe entraîne une nouvelle identité numérique. Les fournisseurs d'applications peuvent réagir à cela et, si nécessaire, demander une nouvelle identification du signataire, par exemple avec l'application RA-App.
(29) Que se passe-t-il si une autre personne décroche un appel ?
Étant donné que les deux méthodes exigent un secret ainsi que la possession du numéro de téléphone, aucune signature pour l'identité numérique existante ne peut être déclenchée une fois que le numéro de téléphone a été transféré. Cela signifie que la personne doit être nouvellement identifiée.
(30) Est-il possible d'utiliser un téléphone fixe au lieu d'un téléphone mobile pour la requête par SMS ?
Comme un numéro de ligne fixe ne peut pratiquement pas être attribué à une personne, cela n'est pas
possible. Le SMS a pour but de s'assurer que l'on communique avec quelque chose qui est assigné
uniquement et sans exception à la personne qui signe le document.
(31) Est-il possible de signer sans réception de téléphone portable ?
Les appareils modernes sont équipés du WIFIcalling. Ils peuvent également être utilisés pour signer dans
une zone WIFI. Cependant, sans Internet, les signatures à distance ne sont pas possibles.
(32) Le MobileID via eSIM est-il pris en charge ?
Oui, normalement.
(33) Que se passe-t-il si je change la carte SIM ?
Dans le cas d'un MobileID, vous pouvez utiliser un code de récupération pour transférer le MobileID vers la
nouvelle carte SIM. Dans le cas de PWD/OTP et du même numéro de téléphone, votre option
d'authentification reste également disponible.
(34) Comment l'identification est-elle liée à une méthode d'authentification ?
Lors de l'identification, les moyens d'authentification (par ex. le numéro de téléphone portable) sont
interrogés. Avec cela, une première signature est déjà exécutée, généralement la signature des conditions
d'utilisation qui ont été acceptées. Cette signature est transférée au service de signature tout compris. Cela
signifie que le All-in Signing System connaît exactement les moyens d'authentification.
(35) Existe-t-il une API à la place de l'intégration de l'écran mot de passe/OTP ?
Non. Swisscom exige même que, lorsque l'écran PWD/OTP est intégré comme "iFrame", une personne
externe puisse vérifier qu'il provient de Swisscom. Par exemple, il est possible d'utiliser les fonctions de
navigateur standard que Swisscom publie sous le lien de son site Internet conformément au chapitre 4 des
Conditions d'utilisation.
Swisscom (Schweiz) AG Titel: FAQ 12/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(36) Est-il possible de gratter l'écran pour saisir un PWD/OTP ?
Il n'y a pas de prise en charge de la grattage d'écran en tant qu'interface. Les développeurs pourraient être
confrontés au fait que les écrans seront modifiés par Swisscom. Elle est également contradictoire avec la
mise en place d'un "contrôle exclusif" entre le signataire et le certificat de signature.
(37) L'écran mot de passe/OTP peut-il être intégré dans un site Web ou une application ?
Oui, mais seulement en iFrame. Voir les instruction ici: https://rasp.scapp.swisscom.com/swagger-ui.html.
(38) Le texte de l'écran mot de passe/OTP ou le texte du MobileID peut-il être configuré ?
Oui, comme décrit dans le Reference Guide (www.swisscom.com/signing-service) sous "Step-Up method"
dans le champ "Message", le bloc de texte avec l'en-tête du message pour l'expression de l'intention et le
réglage de langue avec "Language" peut être configuré dans le cadre du protocole. Pour la fenêtre de saisie
SMS, la langue peut également être réglée avec le paramètre "Langue".
(39) Que se passe-t-il si MobileID n'est pas activé ou possible sur une carte SIM ?
MobileID est toujours configuré en combinaison avec une solution de repli PWD/OTP, c'est-à-dire qu'une
fenêtre de mot de passe est automatiquement envoyée. Vous pouvez activer votre MobileID sur la
plateforme https://mobileid.ch .
(40) Quand le mot de passe est-il défini pour la première fois ?
Dans le cas standard, après identification, le client reçoit d'abord les conditions d'utilisation du service de
signature de Swisscom. Le client confirme ceci et déclenche ainsi une signature initiale de ces conditions,
dans le cadre de laquelle il peut également définir le mot de passe pour la première fois.
(41) Peut-on utiliser d'autres méthodes d'authentification que PWD/OTP MobileID ?
Par défaut, Swisscom ne propose actuellement que ces méthodes. Toutefois, l'extension sera élaborée à
l'avenir, de sorte que des méthodes biométriques pourraient également être possibles si l'approbation a
été accordée. En outre, Swisscom peut accompagner le client s'il souhaite utiliser une solution auditée
pour permettre une signature supplémentaire auprès de l'autorité de registration. Des coûts
supplémentaires seront encourus.
(42) Une connexion à l'application de l'abonné et une authentification par SMS ne sont-elles pas suffisantes
comme solution à deux facteurs ?
La base de l'authentification à deux facteurs est le fait que les deux facteurs doivent être enregistrés en
relation avec l'authentification, c'est-à-dire qu'aucun mot de passe ne peut être choisi qui ne connaît que
l'application de l'abonné, mais l'abonné lui-même a été identifié avec RA-App. Une telle exception ne
pourrait être imaginée que si le participant lui-même effectue une identification autorisée par délégation
de l'autorité de registration et conçoit en outre la procédure d'authentification de telle sorte que les deux
facteurs (login, libération de SMS) soient réalisés en une courte session. La procédure d'identification
propre et cette procédure de session doivent être décrites en détail dans un concept de mise en œuvre et
nécessitent une autorisation de Swisscom et de ses auditeurs. Des coûts supplémentaires sont induits ici.
(43) Les signatures par lots sont-elles possibles ?
Oui, plusieurs documents peuvent être signés avec une seule approbation au cours d'une même session.
Swisscom (Schweiz) AG Titel: FAQ 13/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(44) Les signatures XADES (XML) sont-elles possibles ?
Les signatures XML selon le standard XADES peuvent être basées sur des sceaux mais pas sur des
signatures personnelles (pour le moment). Dans le client, vous devez préparer le standard XADES : L'appel
d'une "signature simple" doit être implémenté.
(45) Quelle est la meilleure façon d'interpréter les codes d'erreur dans le service RA ?
Swisscom (Schweiz) AG Titel: FAQ 14/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(46) Serial Number Mismatch (Non-appariement des numéros de série)
Que fait le message d'erreur "Serial Number Mismatch. We strongly advise to go through the Pre-Signing
Process in order to retrieve the actual StepUp SerialNumber" (Nous vous conseillons fortement de passer par
le processus de pré-signature afin de récupérer le StepUp SerialNumber). Ce message d'erreur indique que
dans un processus PWD/OTP, le mot de passe a été réinitialisé et re-sélectionné sans effectuer une
nouvelle identification avec le processus d'augmentation correspondant selon le Guide de référence.
(47) Pourquoi ma signature n'a pas fonctionné?
J'ai authentifié correctement avec PWD/OTP ou MobileID - mais la signature n'a pas fonctionné... quelle
peut en être la raison ?
Les causes en sont :
• Vous avez défini un nouveau mot de passe pour la procédure PWD/OTP. Cela ne peut se faire que
dans des situations exceptionnelles auprès d'une autorité d'enregistrement interne et doit
toujours avoir lieu dans le cadre d'une nouvelle identification.
• Vous vous étiez auparavant authentifié avec PWD/OTP et vous avez maintenant activé votre
MobileID avec un numéro de téléphone mobile suisse. Dans ce cas, une nouvelle identification doit
également avoir lieu car les moyens d'authentification appartenant à l'identité ont changé.
• Vous avez changé de carte SIM ou d'opérateur de téléphonie mobile. Par conséquent,
l'authentification MobileID a changé lors de l'utilisation d'un MobileID. Une nouvelle identification
est également nécessaire pour cela.
Si aucune de ces causes n'est présente, vous devez ouvrir un ticket.
7 Validation de la signature
(48) Comment puis-je valider les signatures ?
Pour les signatures dans le domaine juridique suisse : www.validator.ch (Attention, le validateur n'est pas
toujours à jour). Pour les signatures dans l'espace juridique de l'UE :
https://www.signatur.rtr.at/de/vd/Pruefung.html
Swisscom (Schweiz) AG Titel: FAQ 15/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(49) Pourquoi le validateur affiche-t-il une signature non valide ?
Souvent, les messages font référence à l'intégrité manquante, c'est-à-dire que le document présente des
changements après la signature du document. Par exemple, des éléments du réseau ont été téléchargés et
insérés plus tard. Ceci peut être évité en utilisant systématiquement la dernière version de la norme PDF/A
pour la signature.
(50) La "coche verte" dans Adobe indique-t-elle la régularité de la signature ?
Adobe est un fournisseur américain d'un logiciel permettant d'afficher des documents PDF. Le produit le
plus important et le plus répandu est ce qu'on appelle "Adobe Acrobat Reader". Ceci permet la vérification
des signatures basées sur des certificats. La validité d'une signature et donc son affichage avec une coche
verte dépend de nombreux aspects :
• Adobe dispose de ses propres règles, qui classent les CA émises par les prestataires de services de
confiance ou les prestataires de services de certification comme étant "dignes de confiance".
Celles-ci sont répertoriées dans une liste de confiance Adobe (AATL). Même si elle ne figure pas
dans la description de service, Swisscom s'efforce toujours d'y apparaître. En outre, les sociétés
listées doivent payer des droits annuels pour cette inscription et verser leur auto-évaluation. Selon
Adobe, les prestataires de services eIDAS trust sont considérés comme dignes de confiance s'ils ont
conclu aussi un contrat avec Adobe.
• Adobe offre une variété de paramètres qui peuvent mener à une validation complètement
différente : Par exemple, au lieu de la liste de confiance d'Adobe, vous pouvez également utiliser la
liste de confiance de Microsoft Windows, qui ne gère généralement que les fournisseurs de
services de confiance qui émettent également des certificats SSL ou e-mail. Cependant, le contrôle
peut également être basé sur une heure donnée par l'horloge de l'ordinateur et non sur
l'horodatage du document.
Cela signifie que vous ne pouvez pas vous fier à la validité d'une signature dans Adobe, mais que vous
pouvez savoir si des modifications ont été apportées au document depuis que la signature a été définie et
à quoi ressemble le certificat de signature.
8 Questions contractuelles
(51) La déclaration de configuration et d'acceptation demande deux rôles : (1) Responsable de la sécurité pour
la sécurité des données et la confidentialité (2) Administrateur système. Comment choisir ces rôles de
façon appropriée ?
Les deux doivent être des informaticiens qui connaissent bien l'application. Il n'est pas nécessaire qu'il
s'agisse d'une personne ayant le rôle officiel de "délégué à la protection de données". Swisscom souhaite
simplement conserver le principe des 4 yeux. Les rôles le sont : Pouvoir fournir des informations sur
l'administration de l'application utilisateur (qui a accès, ce qu'un administrateur peut manipuler, où il peut
y avoir un problème, connexion SSL à Swisscom) et sur des sujets tels que la protection antivirus, le
contrôle d'accès en général, etc. chez le responsable de la sécurité.
(52) Que dois-je faire dans une entreprise ayant plusieurs filiales ?
D'une part, une entreprise interne peut devenir partenaire revendeur de Swisscom pour d'autres
entreprises. Dans ce cas, le flux de paiement ne passe directement que par cette entreprise individuelle.
Une entreprise peut également assumer l'entière responsabilité de l'exploitation de l'application de
Swisscom (Schweiz) AG Titel: FAQ 16/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
l'abonné. Même dans ce cas, les factures ne passeront que par cette société. Il peut alors identifier les
salariés des autres entreprises.
Si toutes les entreprises veulent exploiter l'application de l'abonné de façon indépendante (avec leur
propre responsabilité) et qu'elles veulent également fournir elles-mêmes les agents d'AE, un contrat
distinct est requis pour chaque entreprise.
(53) Nous souhaitons facturer en partie "par signataire" et en partie "par signature", est-ce possible ?
Deux comptes d'utilisateur (ClaimedIdentity) doivent être configurés, chaque compte se rapportant à un
mode de facturation. Les deux comptes sont accessibles via une seule interface, c'est-à-dire le même
terminal. Cela signifie que l'application du participant doit décider par elle-même quel compte elle utilisera
pour envoyer une demande de signature. Il y a des frais de service par compte, mais les frais de transaction
par signature sont réduits de 30 %. 2 factures sont émises à la fin du mois. Ainsi, 2 points d'interface
d'accès au service sont facturés, ce qui représente le double des frais de service.
(54) Si "par signataire" est facturé, qu'advient-il des mois au cours desquels aucune signature n'est effectuée ?
Il n'y a pas de frais ici.
(55) Nous voudrions signer à la fois dans l'UE et dans l'espace juridique de la Suisse, est-ce possible ?
Deux comptes d'utilisateur (ClaimedIdentity) doivent être configurés, chaque compte est lié au type de
signature respectif, c'est-à-dire que l'application du participant doit décider sur quel compte elle envoie
une demande de signature. Les deux comptes peuvent être adressés via une seule interface, c'est-à-dire le
même terminal. Il y a des frais de service par compte, mais les frais de transaction par signature sont
réduits de 30 %. 2 factures sont émises à la fin du mois. C'est pourquoi 2 contrats de service avec 2
déclarations de configuration et d'acceptation différentes doivent être soumis. Si vous avez 2 domaines
juridiques et 2 types de facturation, vous n'avez toujours qu'une seule interface (technique), mais 4 points
d'interface d'accès au service et par conséquent 4 fois des frais de service.
(56) Swisscom utilise le contrat PDF standard - comment l'adapter à nos besoins ?
Chaque année, Swisscom investit des sommes importantes dans des audits en cours. Toutefois, pour
pouvoir mettre sur le marché l'offre d'un prestataire de services fiduciaires à un prix raisonnable, ce service
est proposé sous une forme standardisée. Cela signifie en particulier :
• Le client doit se conformer au processus de commande standard avec les documents contractuels
standard publiés par les auditeurs.
• L'offre ne comprend pas d'autres évaluations par les participants, ni l'examen et l'acceptation de
leurs propres textes contractuels.
De nombreux aspects du prestataire de services fiduciaires sont soumis non seulement à des conditions
dans l'exécution du service, mais aussi à la spécification d'obligations importantes, de règles de
responsabilité et de services de coopération dans les documents contractuels. Par conséquent, ces
documents contractuels font également l'objet d'un audit ou sont également soumis aux organismes
d'évaluation de la conformité de l'État. Par conséquent, aucune modification du système juridique ne peut
être acceptée, pas plus que les annexes contractuelles du participant ne peuvent être acceptées, en
particulier si elles sont soumises à une loi étrangère applicable.
S'il s'avère néanmoins nécessaire d'adapter les textes contractuels, d'ajouter des dispositions
contractuelles (p. ex. votre propre code de conduite, déclaration de protection des données, NDA, etc.), de
Swisscom (Schweiz) AG Titel: FAQ 17/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
traiter des questionnaires d'évaluation spéciaux ou même si vous avez découvert des erreurs ou des
formulations peu claires, veuillez les signaler à notre gestion de produits.
En cas d'erreurs ou d'ambiguïtés apparentes, un processus de changement correspondant est initié par la
gestion du produit et mis en œuvre le plus rapidement possible.
Pour l'évaluation des autres questions, une équipe de projet est constituée, qui s'appuie sur les experts
concernés (par exemple, le service juridique, le responsable de la sécurité, le responsable de la conformité,
etc. Une taxe spécifique de CHF 6'000 est due pour ce projet. Si l'équipe d'experts n'a pas été en mesure
d'élaborer directement une solution, elle préparera une réponse et une offre, qui présenteront et
évalueront les étapes ultérieures de la part de Swisscom.
(57) Le client a-t-il besoin de certifications pour le fonctionnement de l'application de signature ?
Non, seulement pour le fonctionnement de la demande de signature, aucune certification ni aucun audit
(avec certificat) n'est requis. Dans le cadre d'une "déclaration de configuration et d'acceptation", le client
fait une auto-déclaration pour faire fonctionner correctement l'application de signature, c'est-à-dire pour
ne pas échanger le hachage d'un document et pour afficher effectivement le document à signer au client
(WYSIWYS = "What you see is what you sign"). Le trafic de données entre l'application de signature et
Swisscom doit être crypté et la protection de base contre les virus et les attaques doit être garantie comme
pour tout autre système. Un audit officiel avec certification ne peut être nécessaire que si le système a sa
propre identification, en particulier par rapport à sa propre méthode d'authentification. En Suisse,
l'identification avec les méthodes d'authentification de Swisscom peut être traitée de manière simplifiée
au moyen d'un "concept d'implémentation" approprié soumis par le client et approuvé par Swisscom ; en
Europe, un audit officiel est généralement nécessaire. En règle générale, une méthode d'authentification
doit toujours être certifiée, car elle doit assurer le "contrôle exclusif" du certificat de signature (appelé "sole
control" dans le contexte de l'ETSI).
(58) Comment puis-je commander des cachets en tant qu'entreprise ?
En principe, la société doit désigner des représentants. Ces représentants doivent être soit les
représentants inscrits au registre du commerce ou d'IDE, soit des salariés disposant des procurations
appropriées signées par les représentants inscrits. Dans tous les cas, les personnes doivent être
personnellement identifiées avec notre RA-App. En Suisse, seules les entreprises inscrites au registre UID
peuvent commander des cachets. Avec le cachet, le certificat d'accès SSL entre l'application de signature
chez le client et Swisscom sert d'authentification de l'entreprise. Le certificat d'accès doit donc être remis
par le représentant de l'organisation. Avec le cachet avancé, la simple livraison est suffisante ; avec le
cachet qualifié, une cérémonie de remise conjointe a lieu lors de laquelle le certificat d'accès est généré
conjointement. La clé privée doit être stockée sur un crypto dispositif (FIPS 140-2 niveau 2 minimum).
(59) Qui est responsable des certificats défectueux ?
En principe, Swisscom a une responsabilité illimitée en vertu de la loi pour la délivrance incorrecte de
certificats qualifiés. Dans le cas de certificats avancés, cette responsabilité peut être limitée. Swisscom est
également assurée obligatoirement à cet effet. En cas d'erreurs dans la demande de signature (p. ex.
échange d'un hachage d'un document) ou d'erreurs d'identification par des registres tiers, Swisscom
tiendra ces tiers pour responsables. Afin d'éviter les risques de responsabilité, le processus d'émission et le
processus contractuel sont soumis à des exigences élevées et la possibilité d'auditer les tiers concernés est
généralement requise.
9 Effet juridique d'une signature
Swisscom (Schweiz) AG Titel: FAQ 18/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(60) Le signature est-elle acceptée en Suisse ?
La législation suisse, c'est-à-dire la loi fédérale sur la signature électronique (SCSE), prévoit les exigences
auxquelles les organisations doivent satisfaire pour être reconnues comme service de certification.
L'organisme de reconnaissance accrédité pour la reconnaissance de Swisscom en tant que service de
certification en Suisse est KPMG (accréditation n° SCESm 0071). Il délivre un certificat d'évaluation de la
conformité (disponible sur www.swisscom.com/signing-service). Le Service d'accréditation suisse SAS
tient à jour une liste des services de certification accrédités :
https://www.sas.admin.ch/sas/fr/home/akkreditiertestellen/akkrstellensuchesas/pki.html
(61) La signature est-elle reconnue dans un pays de l'UE (également en dehors de l'Autriche) ?
Avec l'entrée en vigueur du règlement sur les services d'identification et de confiance électroniques pour
les transactions électroniques dans le marché intérieur de l'Union européenne (eIDAS), la base d'une
communication électronique juridiquement valable et d'une identification électronique sûre dans toute
l'Europe a été créée. Grâce à des services de confiance tels que les signatures électroniques, les cachet
électroniques, les horodatages, les services de livraison et les certificats d'authentification, les entreprises,
les administrations et les particuliers peuvent échanger des documents numériques tels que des offres,
des commandes, des contrats, etc. dans l'Union européenne sur une base juridique uniforme. Ainsi, le
nouveau règlement de l'UE remplace la loi sur la signature nationale et les règlements sur la signature.
En vertu du présent règlement (CE) n° 910/2014/UE (règlement eIDAS), les listes de confiance nationales
ont un effet constitutif. En d'autres termes, un fournisseur de services fiduciaires et les services fiduciaires
qu'il fournit ne seront admissibles que s'ils figurent dans les listes de confiance. Par conséquent, les
utilisateurs (citoyens, entreprises ou administrations publiques) ne bénéficieront de l'effet juridique
associé à un service de confiance qualifié donné que si ce dernier est inscrit (comme qualifié) dans les listes
de confiance.
La filiale de Swisscom en Autriche "Swisscom IT Services Finance S.E.", Vienne, a été incluse dans cette liste
de confiance avec des certificats et sceaux qualifiés :
https://webgate.ec.europa.eu/tl-browser/#/tl/AT
Swisscom IT Services Finance S.E. a mandaté Swisscom (Suisse) SA pour exploiter le service fiduciaire et a
également délégué les activités d'autorité de registre à Swisscom (Suisse) SA. Swisscom (Suisse) SA offre
ainsi le service au marché et accepte également les documents contractuels pour le compte de Swisscom IT
Services Finance S.E..
(62) Swisscom peut-elle garantir la conformité juridique d'un contrat signé à sa signature ?
Swisscom ne peut que confirmer qu'elle peut émettre des signatures qualifiées dans les deux systèmes
juridiques conformément au règlement eIDAS de l'UE et à la loi ZertES de Suisse. Les signatures suisses
qualifiées ne sont reconnues comme qualifiées qu'en Suisse et les signatures qualifiées eIDAS dans l'UE.
La conformité de la signature qualifiée à tout contrat doit toujours être vérifiée par un avocat. Swisscom
ne peut fournir aucune information juridique à cet égard. Ceci n'est pas seulement lié à la signature, mais
aussi à d'autres points qui peuvent être convenus dans les contrats. Par exemple, l'exigence d'un "retour
par courrier recommandé" peut signifier qu'une signature électronique ne peut pas être exécutée du tout,
car un envoi postal sur papier est obligatoire.
Swisscom (Schweiz) AG Titel: FAQ 19/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(63) La signature qualifiée est-elle plus concluante ?
Dans les systèmes juridiques de l'UE et de la Suisse, le renversement de la charge de la preuve (ainsi qu'en
Allemagne, la preuve prima facie par rapport à la preuve visuelle) s'applique en principe aux signatures
qualifiées. Cela signifie qu'une partie adverse doit prouver que la signature qualifiée n'a pas été
correctement exécutée si elle est contestée. Bien entendu, Swisscom peut également fournir des
vérifications certifiées par KPMG pour prouver que la signature qualifiée a été dûment exécutée.
(64) La validité d'une signature peut-elle encore être prouvée après 10 ans ?
Les délais de conservation pour le contrôle d'identité et le journal d'activité et donc aussi les délais de
preuve sont de 11 ans en Suisse et de 35 ans dans l'UE. Swisscom utilise généralement le standard de
validation à long terme de l'ETSI (LTV).
La validation à long terme consiste à valider une signature de manière à ce qu'elle reste valide pendant une
longue période. La validation LTV n'autorise la validation que tant que le certificat racine de l'horodatage
n'a pas expiré. Il est donc recommandé de donner aux documents un horodatage avant leur expiration si
l'on veut préserver la preuve à long terme, afin que l'intégrité et le caractère significatif de la preuve de
signature continuent d'être assurés.
En principe, les documents PDF doivent également être gérés dans des archives sécurisées. Dans 5, 10 ou
20 ans, les algorithmes de signature peuvent être "craquelés", ce qui signifie que l'intégrité ou
l'authenticité ne peuvent plus être garanties. De bons systèmes d'archivage permettent donc une re-
signature régulière, par exemple avec un horodatage, qui utilise toujours l'algorithme le plus récent et
garantit ainsi l'intégrité du document.
Le site Web propose différents liens avec des procédures optimisées à cet effet, par exemple "Archisig". Le
BSI allemand a également publié une directive technique "Conservation de la valeur probante des
documents cryptographiquement signés". Il s'agit de la spécification des exigences techniques de sécurité
pour la conservation à long terme de la valeur probante des documents et données électroniques signés
cryptographiquement ainsi que des données administratives électroniques associées (métadonnées).
Un middleware défini à cet effet (middleware TR-ESOR) dans le sens de cette directive comprend tous les
modules et interfaces utilisés pour sécuriser et maintenir l'authenticité et prouver l'intégrité des
documents et données stockés.
(65) Comment les modifications de la base juridique sont-elles traitées ?
L'expérience a montré que les périodes de transition peuvent durer de 3 mois à 2 ans.
(66) Peut-on empêcher la reproduction de documents originaux signés ?
Non.
(67) Y a-t-il des rapports sur le Web de clients de Swisscom qui utilisent la signature numérique ?
Oui, par exemple :
https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/
https://www.bcge.ch/pdf/conditions-self-en.pdf
https://www.inside-it.ch/articles/49769
Swisscom (Schweiz) AG Titel: FAQ 20/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(68) Comment les horodatages affectent-ils les différents zones horaires
In principe, un horodatage stocke également la zone (le décalage). A cet égard, toutes les émissions locales
afficheront l'heure locale actuelle.
(69) Adobe signale l'erreur que la signature est invalide parce qu'elle n'a pu être validée.
"La signature est valide, mais la validité de l'identité du signataire n'a pas pu être vérifiée " est la
déclaration d'Adobe si aucun format LTV n'a été utilisé. Adobe essaie de vérifier la validité d'un certificat de
10 minutes. Si aucun format de validation à long terme n'a été utilisé, qui stocke les informations de
validité au moment de la signature, celles-ci ne sont plus accessibles après un certain temps. Par
conséquent, les signatures avec des certificats à court terme (mais aussi les signatures avec preuve à long
terme) doivent toujours être enregistrées au format LTV.
(70) Quelles données sont publiées dans le certificat en tant que nom distinctif (DN) des certificats personnels ?
Le Distinguished Name (nom distinctif) contient soit le prénom, le nom de famille et le pays de
naissance/enregistrement ou le pays d'origine de la personne, soit un pseudonyme avec un numéro de
série qui peut être relié de manière unique à une personne par le registre. Les noms d'organisations ne sont
autorisés que dans des cas particuliers.
(71) Quels formats de fichiers peuvent être signés ?
En principe, Swisscom fournit un hachage signé et supporte donc les formats PADES (PDF) et, dans le cas
des certificats d'organisation, les formats XADES (XML). Les fichiers Word ne sont pas signés et ne sont pas
prévus à cette fin par la loi.
10 Protection des données
(72) La protection des données en Suisse et le RGPD ?
La Suisse ne fait pas partie de l'UE et n'a donc pas introduit de législation européenne, le Règlement
général sur la protection des données (RGPD). En réalité, le RGPD est également applicable si les
entreprises sont basées en Suisse et offrent des services dans l'UE.
Swisscom est donc soumise aux mêmes obligations en matière de traitement des données que toutes les
autres organisations qui doivent se conformer au RGPD :
• obtenir le consentement de la personne dont les données sont traitées
• garantie "Privacy by design" et "Privacy by default"
• désigner un représentant chargé de la protection des données
• créer une liste des activités de traitement
• signaler les violations de la protection des données à l'autorité de contrôle
• effectuer une évaluation des facteurs relatifs à la vie privée
Toutes les applications qui concernent la protection des données et qui sont utilisées pour le traitement
des données, par exemple également l'application RA-App, doivent être conformes au RGPD. Swisscom
fournit des informations à ce sujet sur ses pages :
Suisse : www.swisscom.com/signing-service
Autriche : www.swisscom.at
avec les déclarations de protection des données correspondantes selon le RGPD.
Swisscom (Schweiz) AG Titel: FAQ 21/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
La Suisse a toujours été et est toujours considérée comme un pays tiers sûr au sens de l'art. 45 RGPD
(transfert de données fondé sur une décision d'adéquation), c'est-à-dire les autorisations habituelles
comme avec d'autres pays tiers (par exemple les États-Unis) ne sont pas nécessaires. Grâce à la loi sur la
protection des données et à l'adaptation en cours au RGPD, la Suisse dispose d'un "niveau de protection
adéquat pour le transfert de données personnelles" conformément aux critères de l'UE, c'est-à-dire qu'elle
doit en fait être traitée comme un pays de l'UE lors du transfert de données :
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-
protection-personal-data-non-eu-countries_fr
(73) Respect de la protection des données du All-in Signing Service
Dans le cadre de ses audits en cours, Swisscom doit veiller à ce que toutes les exigences strictes en matière
de protection des données nécessaires à l'émission de signatures numériques soient respectées, tant vis-à-
vis de l'autorité de certification en Suisse que de l'organisme d'évaluation de la conformité en Autriche.
Cela signifie qu'en plus de l'autodéclaration, les prestataires de services fiduciaires et les services de
certification sont tenus par la législation et les normes internationales appliquées, telles que l'ETSI 319
401, de démontrer et de faire contrôler la protection appropriée des données à caractère personnel.
(74) Confidentialité et service RA-App/RA-Service
Les exigences en matière de protection des données à démontrer et à contrôler s'appliquent également
aux activités de l'autorité d'enregistrement - une tâche incombant à un prestataire de services de
confiance et à un prestataire de services de certification. Par conséquent, l'application de l'AE (RA) dans le
cadre du processus d'enregistrement doit assurer la protection des données et de la confidentialité. Le RA-
App lui-même ne stocke pas de données personnelles de manière permanente. Aucune donnée ne peut
être exportée non plus. Dès que l'identification est terminée, les données sont transférées et signées par
l'agent RA à titre de preuve ("evidents"). Ces preuves sont conservées au service RA de Swisscom dans des
conditions de sécurité strictes (p. ex. accès 4 yeux). Seules quelques personnes ont accès à ces données et
ne peuvent les transmettre qu'en vertu d'une décision judiciaire ou sont autorisées à vérifier la qualité de
l'identification. Conformément à la loi, Swisscom a une responsabilité illimitée pour la bonne exécution de
la signature et donc aussi de l'identification.
RA Master Agents dispose d'un accès Web à un portail dans lequel ils peuvent consulter toutes les
personnes identifiées par RA Agents avec leurs nom, prénom, date d'expiration de la pièce d'identité et
numéro de téléphone portable. Les documents d'identité et les photos (dites "preuves") ne sont ni
accessibles ni exportables.
(75) Pourquoi signer le traitement des données en commission ?
Swisscom est légalement tenue d'enregistrer les données personnelles pour la signature. Elle est donc
responsable de ces données. Cela signifie que Swisscom ne peut pas jouer le rôle d'un sous-traitant de
données, même si elle reçoit par exemple des données du personnel d'une entreprise cliente pour la
signature. Swisscom a un mandat légal similaire à celui des fournisseurs de services de télécommunication
ou de services postaux. En outre, Swisscom a une relation contractuelle légale avec les signataires avec les
conditions d'utilisation. Dans cet accord, le signataire accepte également l'utilisation des données.
Avec l'application RA, Swisscom transfère l'enregistrement des données d'identité à un prestataire de
services externe, désigné dans les contrats comme "l'agence RA". Le RGPD exige dans ce cas un contrat de
traitement des commandes. L'agence RA doit donc se conformer aux obligations relatives au traitement
des données de commande.
Swisscom (Schweiz) AG Titel: FAQ 22/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
Le respect du traitement des données en commission du RGPD est également exigé pour les projets
purement suisses. Il y a deux raisons à cela :
• D'une part, il est rarement possible de garantir que les personnes identifiées en Suisse ne sont pas
des ressortissants de l'UE soumis au principe du marché du RGPD,
• D'autre part, l'application RA ne peut pas être utilisée de telle sorte que seules les personnes pour
la Suisse sont identifiées, c'est-à-dire que le traitement des données de commande a toujours lieu
également pour Swisscom IT Services Finance S.E. à Vienne.
(76) Quelles sont les obligations des agences RA dans le cadre de leurs activités ?
Les agences RA agissent pour bureau d'enregistrement de Swisscom. Outre l'obligation d'exécuter avec
soin les activités du registre, la protection des données est également une priorité. Les principes de
protection des données énoncés à l'art. 28 RGDP s'applique, qui se reflète sous une forme précise dans les
mesures techniques-organisationnelles (MTO) du contrat de l'Agence RA. Ils sont basés sur 2 sections de
l'Art. 28, qui reflètent l'utilisation de l'application sur l'appareil mobile :
• La mesure doit "assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes
et services dans le cadre du traitement sur le long terme" et
• Inclure une procédure d'examen, d'évaluation et d'appréciation réguliers de l'efficacité des
mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
• Le responsable du traitement et le sous-traitant veillent à ce que les personnes physiques sous
leur autorité qui ont accès à des données à caractère personnel ne les traitent que sur instruction
du responsable du traitement, sauf si le droit de l'Union ou le droit national les y oblige.
Cela signifie qu'en plus de l'utilisation d'employés soigneusement sélectionnés et formés, la protection de
l'application sur l'appareil mobile ainsi que la protection de l'accès doivent être garanties. Les dispositifs
sont-ils adéquatement protégés contre les virus ? Sera-t-il interdit de télécharger des programmes à partir
d'autres appstores qui n'offrent pas une protection suffisante ? Les employés gardent-ils leurs NIP et mots
de passe secrets ?
Les dispositifs ne sont-ils pas enracinés ?
(77) Le processus d'identification avec ses propres données ne nécessite pas de traitement des données en
commission ?
Pour certains projets, Swisscom s'appuie avec des tiers sur des procédures d'identification légalement
reconnues et auditées. Un exemple typique est celui d'une banque qui effectue l'identification de présence
d'une personne dans le cadre de son processus KYC. Dans ce cas, Swisscom reçoit une copie des données de
la banque pour ses propres besoins commerciaux (signature). Le traitement des données de commande
n'est pas nécessaire dans ce cas, étant donné qu'il y a deux parties responsables des données. Inversement,
le principe de la fonction conjointe de contrôleur du RGPD n'est pas appliqué ici non plus, car le traitement
des données ne sert pas le même objectif commercial et les deux parties n'agissent pas de manière
responsable dans le sens d'un objectif commercial commun. La banque agit dans le cadre de son activité,
par exemple en ouvrant un compte, et Swisscom poursuit son objectif commercial, qui est d'émettre des
signatures. Néanmoins, dans ce cas, nos contrats sur la "délégation de l'activité de registration"
contiennent également un minimum de dispositions sur la manière de procéder concernant la protection
des données et le GDPR.
Swisscom (Schweiz) AG Titel: FAQ 23/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
(78) Comment Swisscom conserve-t-elle les clés privées des certificats de signature ?
Dans le cas d'une signature à distance, Swisscom gère les clés des certificats de signature en fiducie. Dans
le cas d'une signature personnelle, les certificats de signature ne sont générés que pour la signature et
perdent leur validité après environ 10 minutes. Les certificats d'entreprise pour les cachets sont valables
jusqu'à 3 ans. Selon la loi, la clé privée doit être stockée sur un dispositif de création de signature (qualifié).
La mémoire pour cela est un dispositif qui est principalement conçu pour le stockage de clés, le HSM
(Hardware Security Module). Il est soumis à une réglementation stricte et à un audit, en termes de securité
et d'accès à cet appareil. Les signatures dans l'UE et en Suisse sont soumises à des niveaux de sécurité
particulièrement élevés, qui sont seulement disponibles de quelques fabricants de HSM dans le monde.
11 Mise en service
(79) Quelle est la procédure de mise en service d'une signature personnelle ?
La condition préalable à la configuration est une "déclaration de configuration et d'acceptation" signée par
le client et vérifiée par l'autorité d'enregistrement globale. Cette déclaration contient les obligations de
l'opérateur d'une application de signature (par exemple la possibilité d'afficher le document complet à
signer, sécuriser l'accès au service), mais aussi les caractéristiques du service.
Une autre condition préalable est un certificat d'accès, qui sécurise la communication de l'application de
signature au service de signature.
Après vérification du document, notre Setup Service reçoit l'ordre d'activer le service avec le certificat
d'accès envoyé et la spécification sélectionnée dans la déclaration de configuration et d'acceptation. Dans
le cas des signatures qualifiées, le service n'est initialement activé que pour les signatures "avancées".
Ensuite, le contact nommé dans la déclaration de configuration et d'acceptation est invité à fournir un
exemple de signature avec la signature avancée. Si ce n'est pas le cas, le service est commuté sur le niveau
"qualifié" si désiré. Le client en sera également informé. Il a maintenant 10 jours pour signaler toute
irrégularité directement à l'équipe d'installation. S'ils ne reçoivent aucune plainte pendant ce délai, la
connexion au service est acceptée. En cas de contact direct avec Swisscom, d'autres incidents peuvent être
signalés à Swisscom par le biais de l'assistance de 1er niveau ou au partenaire revendeur.
(80) Quelles exigences le certificat d'accès doit-il remplir ?
Le certificat d'accès peut être un certificat auto-signé. Par exemple avec le logiciel openssl.
Exigences relatives au nom distinctif :
• CN=<URL du système d'abonné qui effectue la communication avec l'AIS ou toute autre
identification unique du système d'abonné>.
• O=<<Nom de l'organisation>O
• Email=<E-Mail à des fins de notification, par exemple en cas de fin de validité>.
• C=<Pays de l'organisation>
Les exigences supplémentaires suivantes doivent être prises en compte lors de la préparation du certificat :
• Durée maximale 3 ans
• Algorithme de hachage minimum SHA-256
• Longueur de clé minimum 2048 bits
Swisscom (Schweiz) AG Titel: FAQ 24/24
ENT-BPN-PFR-IDS Thema: All-in Signing Service
Product Management Gilt für: ENT
Datum: 03.06.2019
C1 - Public
FAQ
.do
cx
Des conditions particulières s'appliquent toujours aux certificats d'accès dans le cadre de la création de
cachets réglementés (ZertES) ou qualifiés (eIDAS) : La clé privée du certificat d'accès doit être créée sur un
module cryptographique lors d'une cérémonie conjointe d'un représentant d'autorité de registration de
Swisscom. Ce module doit répondre aux exigences du niveau 2 de la norme FIPS 140-2, par exemple
Yubikey ou Microsoft Key Vault.
(81) Comment s'effectue la mise en service d'un cachet ?
Dans le cas d'un cachet électronique, en plus de la déclaration de configuration et d'acceptation par
l'opérateur de la plate-forme de signature, il requiert également une demande de certificat pour le
certificat de cachet, un certificat d'organisation. Contrairement au certificat pour la signature personnelle,
le certificat de cachet est généré pour trois ans. La demande de certificat doit être signée par les personnes
autorisées de l'organisation. L'autorisation peut résulter du registre (p. ex. procuration) ou peut également
être une procuration spéciale, qui a été délivrée par exemple pour les opérateurs du centre informatique.
Swisscom a besoin de la preuve de cette procuration. Ces personnes sont également identifiées
personnellement à l'avance par un représentant du bureau d'enregistrement de Swisscom via RA-App. Il
peut également s'agir, par exemple, d'un agent RA d'un revendeur qui a procédé à l'identification
personnelle. Cela permet à la personne de signer la demande au moyen d'une signature électronique. La
demande est envoyée à Swisscom sans signature et Swisscom invite les personnes à signer
électroniquement. Les étapes suivantes diffèrent maintenant selon le type de joint :
Signature avancée : Le demandeur envoie à Swisscom un certificat SSL qu'il souhaite utiliser comme
certificat d'accès pour l'interface avec le sceau.
Signature qualifiée/réglementée : Le demandeur convient d'une date avec Swisscom pour la création
conjointe d'une clé privée. Celui-ci doit être créé sur un dispositif cryptographique basé sur la qualification
FIPS 140-2 niveau 2 (par exemple Yubikey, Key Vault HSM Microsoft, etc.) Un certificat d'accès est alors
créé sur la base de cette clé. C'est-à-dire que pour le processus de signature, l'accès doit être libéré au
moyen de ce certificat.