faq sur le service all-in signing de swisscom...(67) peut-on empêcher la reproduction de documents...

Swisscom (Schweiz) AG Titel: FAQ 1/24

ENT-BPN-PFR-IDS Thema: All-in Signing Service

Product Management Gilt für: ENT

Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

FAQ sur le service All-in Signing de Swisscom

Content 1 Identification générale ............................................................................................................... 5

(2) Les identifications sont-elles également valables pour des signatures avancées pour une

durée maximale de 5 ans seulement ? ................................................................................................... 5

(3) Puis-je également m'identifier auprès de La Poste Suisse, Swisscom Shops, etc. ...................... 5

(4) Dois-je utiliser exactement les données d'identification pour la demande de signature ? ........ 5

2 Traitement PDF, création de hachage, intégration de hachage signé .......................................... 5

(5) Existe-t-il des bibliothèques qui simplifient la gestion des PDF? ................................................ 5

(6) Combien d'espace une signature a-t-elle besoin dans un document ? ...................................... 6

3 Performance .............................................................................................................................. 6

(7) Combien de demandes de signature par minute notre système peut-il actuellement traiter ? 6

4 Signatures multiples .................................................................................................................. 6

(8) Peut-on apposer plusieurs signatures sur un document ? ......................................................... 6

(9) Un document peut-il être muni d'une signature organisationnelle (signature statique) et

d'une signature personnelle (sur demande) ? ........................................................................................ 6

(10) Comment une signature en bloc est-elle facturée, c'est-à-dire dans le cadre d'une demande

de signature que j'envoie, par exemple 5 documents ? ......................................................................... 6

(11) Combien de documents peuvent être envoyés avec une signature en bloc (lot) ? .................... 6

(12) Les signatures avancées et qualifiées peuvent-elles être émises via une connexion

(ClaimedIdentity) ? .................................................................................................................................. 6

5 RA app ....................................................................................................................................... 7

(13) Comment puis-je tester avec le RA-App ? ................................................................................... 7

(14) Quels sont les pays pris en charge par RA-App ? ........................................................................ 7

(15) L'agent RA doit-il être autorisé par Swisscom s'il identifie des personnes à des fins de

signature conformément à la législation européenne et suisse ? .......................................................... 9

(16) Comment supprimer une personne du service RA ? .................................................................. 9

(17) Les données des signataires autorisés par l'UE et celles des signataires autorisés par la Suisse

sont-elles conservées séparément ? ....................................................................................................... 9

(18) Combien de temps un agent RA formé a-t-il besoin pour s'identifier ? ..................................... 9

(19) Lorsque je photographie le recto/verso de la carte d'identité, l'appareil ne fait pas la mise au

point.... .................................................................................................................................................... 9




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(20) La personne inscrite n'a pas reçu ou l'a supprimé le SMS avec l'acceptation des conditions

d'utilisation… ........................................................................................................................................... 9

(21) La personne inscrite n'a pas reçu de SMS et ne peut être retrouvée ......................................... 9

6 Méthodes d'authentification Mobile ID et SMS ......................................................................... 10

(22) L'authentification n'est-elle possible qu'avec Mobile ID ou PWD/OTP ? ................................. 10

(23) J'ai été identifié(e) avec PWD/OTP et j'ai maintenant un MobileID, puis-je l'utiliser pour

signer ? .................................................................................................................................................. 10

(24) La réception mobile par SMS est-elle également garantie à l'étranger ? ................................. 10

(25) La réception Mobile ID est-elle également garantie à l'étranger ?........................................... 10

(26) Pourquoi avons-nous besoin d'un mot de passe supplémentaire et le SMS ne suffit pas pour

une signature qualifiée ? ....................................................................................................................... 10

(27) L'autorisation 2FA est-elle également nécessaire pour les signatures avancées ? .................. 10

(28) Y a-t-il des frais pour le Mobile ID ou le SMS ? ......................................................................... 11

(29) Que se passe-t-il si j'ai oublié mon mot de passe ? .................................................................. 11

(30) Que se passe-t-il si une autre personne décroche un appel ? .................................................. 11

(31) Est-il possible d'utiliser un téléphone fixe au lieu d'un téléphone mobile pour la requête par

SMS ? 11

(32) Est-il possible de signer sans réception de téléphone portable ? ............................................. 11

(33) Le MobileID via eSIM est-il pris en charge ? ............................................................................. 11

(34) Que se passe-t-il si je change la carte SIM ? ............................................................................. 11

(35) Comment l'identification est-elle liée à une méthode d'authentification ? ............................. 11

(36) Existe-t-il une API à la place de l'intégration de l'écran mot de passe/OTP ? .......................... 11

(37) Est-il possible de gratter l'écran pour saisir un PWD/OTP ? ..................................................... 12

(38) L'écran mot de passe/OTP peut-il être intégré dans un site Web ou une application ? .......... 12

(39) Le texte de l'écran mot de passe/OTP ou le texte du MobileID peut-il être configuré ? ......... 12

(40) Que se passe-t-il si MobileID n'est pas activé ou possible sur une carte SIM ? ........................ 12

(41) Quand le mot de passe est-il défini pour la première fois ? ..................................................... 12

(42) Peut-on utiliser d'autres méthodes d'authentification que PWD/OTP MobileID ? .................. 12

(43) Une connexion à l'application de l'abonné et une authentification par SMS ne sont-elles pas

suffisantes comme solution à deux facteurs ? ...................................................................................... 12

(44) Les signatures par lots sont-elles possibles ? ............................................................................ 12

(45) Les signatures XADES (XML) sont-elles possibles ? ................................................................... 13

(46) Quelle est la meilleure façon d'interpréter les codes d'erreur dans le service RA ? ................ 13




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(47) Serial Number Mismatch (Non-appariement des numéros de série) ....................................... 14

(48) Pourquoi ma signature n'a pas fonctionné? ............................................................................. 14

7 Validation de la signature ......................................................................................................... 14

(49) Comment puis-je valider les signatures ? ................................................................................. 14

(50) Pourquoi le validateur affiche-t-il une signature non valide ? .................................................. 15

(51) La "coche verte" dans Adobe indique-t-elle la régularité de la signature ? ............................. 15

8 Questions contractuelles ........................................................................................................... 15

(52) La déclaration de configuration et d'acceptation demande deux rôles : (1) Responsable de la

sécurité pour la sécurité des données et la confidentialité (2) Administrateur système. Comment

choisir ces rôles de façon appropriée ? ................................................................................................. 15

(53) Que dois-je faire dans une entreprise ayant plusieurs filiales ? ............................................... 15

(54) Nous souhaitons facturer en partie "par signataire" et en partie "par signature", est-ce

possible ? ............................................................................................................................................... 16

(55) Si "par signataire" est facturé, qu'advient-il des mois au cours desquels aucune signature

n'est effectuée ? .................................................................................................................................... 16

(56) Nous voudrions signer à la fois dans l'UE et dans l'espace juridique de la Suisse, est-ce

possible ? ............................................................................................................................................... 16

(57) Swisscom utilise le contrat PDF standard - comment l'adapter à nos besoins ? ...................... 16

(58) Le client a-t-il besoin de certifications pour le fonctionnement de l'application de signature ?

17

(59) Comment puis-je commander des cachets en tant qu'entreprise ? ......................................... 17

(60) Qui est responsable des certificats défectueux ? ..................................................................... 17

9 Effet juridique d'une signature .................................................................................................. 17

(61) Le signature est-elle acceptée en Suisse ? ................................................................................ 18

(62) La signature est-elle reconnue dans un pays de l'UE (également en dehors de l'Autriche) ? .. 18

(63) Swisscom peut-elle garantir la conformité juridique d'un contrat signé à sa signature ? ........ 18

(64) La signature qualifiée est-elle plus concluante ? ...................................................................... 19

(65) La validité d'une signature peut-elle encore être prouvée après 10 ans ? ............................... 19

(66) Comment les modifications de la base juridique sont-elles traitées ? ..................................... 19

(67) Peut-on empêcher la reproduction de documents originaux signés ? ..................................... 19

(68) Y a-t-il des rapports sur le Web de clients de Swisscom qui utilisent la signature numérique ?

19

(69) Comment les horodatages affectent-ils les différents zones horaires ..................................... 20

(70) Adobe signale l'erreur que la signature est invalide parce qu'elle n'a pu être validée. ........... 20




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(71) Quelles données sont publiées dans le certificat en tant que nom distinctif (DN) des

certificats personnels ? ......................................................................................................................... 20

(72) Quels formats de fichiers peuvent être signés ? ....................................................................... 20

10 Protection des données ......................................................................................................... 20

(73) La protection des données en Suisse et le RGPD ? ................................................................... 20

(74) Respect de la protection des données du All-in Signing Service ............................................... 21

(75) Confidentialité et service RA-App/RA-Service .......................................................................... 21

(76) Pourquoi signer le traitement des données en commission ? .................................................. 21

(77) Quelles sont les obligations des agences RA dans le cadre de leurs activités ? ....................... 22

(78) Le processus d'identification avec ses propres données ne nécessite pas de traitement des

données en commission ? ..................................................................................................................... 22

(79) Comment Swisscom conserve-t-elle les clés privées des certificats de signature ? ................. 23

11 Mise en service ..................................................................................................................... 23

(80) Quelle est la procédure de mise en service d'une signature personnelle ? ............................. 23

(81) Quelles exigences le certificat d'accès doit-il remplir ? ............................................................ 23

(82) Comment s'effectue la mise en service d'un cachet ? .............................................................. 24




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

1 Identification générale

(1) Les identifications sont-elles également valables pour des signatures avancées pour une durée maximale

de 5 ans seulement ?

Oui, après 5 ans, les personnes identifiées pour des signatures avancées doivent également être identifiées

à nouveau. Toutefois, pour les signatures anticipées, il suffit que la carte d'identité soit valable au moment

de l'identification. Si ce délai expire dans les 5 ans, aucune nouvelle identification n'est nécessaire. Pour les

signatures qualifiées, par contre, une identification est valable aussi longtemps que la carte d'identité était

valable ou pour une durée maximale de 5 ans après cette identification.

(2) Puis-je également m'identifier auprès de La Poste Suisse, Swisscom Shops, etc.

En Suisse, Swisscom est en train de permettre l'identification dans les magasins Swisscom. Toutefois, cela

ne se réalisera pas avant la fin de 2019. A l'étranger, l'identification ne sera possible que par l'intermédiaire

de partenaires qui l'offriront. A moyen terme, Swisscom recherche une connexion avec des identités

existantes (p. ex. vérification d'identité en ligne par une banque ou une eID d'Etat, comme la SwissID ou la

Personalausweis allemande). Les premiers projets en Allemagne débuteront au deuxième trimestre.

(3) Dois-je utiliser exactement les données d'identification pour la demande de signature ?

Oui, en cas d'utilisation du nom et du prénom, ils doivent être exactement les mêmes que ceux figurant

sur la carte d'identité ou le passeport. Swisscom est également en mesure de configurer le service de

manière que seul un pseudonyme soit utilisé à la place du nom et du prénom. En outre, le "Common

Name" (CN) pourrait être utilisé avec les noms habituellement utilisés pour cette personne

(indépendamment du document d'identité). L'appel de vérification (verifyCall) de RA-Service vérifie dans ce

cas le numéro de téléphone mobile qui a été utilisé lors de l'identification et le pays.

2 Traitement PDF, création de hachage, intégration de hachage signé

(4) Existe-t-il des bibliothèques qui simplifient la gestion des PDF?

Oui, il existe plusieurs bibliothèques disponibles sur le marché qui permettent une implémentation rapide

d'une application de signature. Tous bénéficient également d'un soutien spécial pour Swisscom Service :

• Intarsys, Allemagne : propose différentes solutions pour le traitement et l'intégration des

signatures : https://www.intarsys.de/produkte/fernsignatur

Intarsys est un partenaire privilégié de Swisscom et connaît très bien le service AIS d'un point de

vue technique et peut fournir un support de conseil.

• PDF-Tools, Suisse : 3-Heights PDF Suite. http://www.pdf-tools.com/pdf20/de/produkte/pdf-

security-signature/pdf-security/

• iText, Belgique : iTextPDF. https://itextpdf.com/de/products/product-tour . Swisscom utilise iText

dans ses exemples, mais les exemples sont "obsolètes", c'est-à-dire que certaines fonctionnalités

ont changé. Mais la manipulation de base peut être vue ici : https://github.com/SCS-CBU-CED-

IAM/itext-ais

• Setasign, Allemagne : Certains clients utilisent SetaPDF, qui offre également une solution spéciale

pour Swisscom Service : https://www.setasign.com/products/setapdf-signer/demos/swisscom-

all-in-signing-service/

• Blocksigner, Schweiz (Skribble.com): https://api.skribble.com/swagger-ui.html,

http://doc.skribble.com/

https://www.intarsys.de/produkte/fernsignatur

http://www.pdf-tools.com/pdf20/de/produkte/pdf-security-signature/pdf-security/

http://www.pdf-tools.com/pdf20/de/produkte/pdf-security-signature/pdf-security/

https://itextpdf.com/de/products/product-tour

https://github.com/SCS-CBU-CED-IAM/itext-ais

https://github.com/SCS-CBU-CED-IAM/itext-ais

https://www.setasign.com/products/setapdf-signer/demos/swisscom-all-in-signing-service/

https://www.setasign.com/products/setapdf-signer/demos/swisscom-all-in-signing-service/

https://api.skribble.com/swagger-ui.html

http://doc.skribble.com/




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

Swisscom décline toute responsabilité pour le bon fonctionnement de ces bibliothèques. Ceux-ci peuvent

contenir des erreurs et exiger des connaissances et une expertise particulières. L'utilisation se fait aux

risques et périls de l'abonné.

(5) Combien d'espace une signature a-t-elle besoin dans un document ?

Environ 50 kBytes.

3 Performance

(6) Combien de demandes de signature par minute notre système peut-il actuellement traiter ?

En ce moment, nous sommes en train d'étendre nos capacités avec d'autres algorithmes (prégénération

des clés) et l'expansion de HW. Comme plusieurs clients utilisent le service, nous supposons une charge

maximale d'une demande par seconde en moyenne par client. Des performances plus élevées, c'est-à-dire

des capacités spécialement réservées, sont possibles en option.

4 Signatures multiples

(7) Peut-on apposer plusieurs signatures sur un document ?

Oui, c'est la seule tâche de l'application de l'abonné, qui envoie ensuite à plusieurs reprises le hachage avec

la demande de signature au All-in Signing Service. Un nombre illimité de signatures peut être généré pour

un même document numérique.

(8) Un document peut-il être muni d'une signature organisationnelle (signature statique) et d'une signature

personnelle (sur demande) ?

Oui, mais cela nécessite 2 canaux de communication et une configuration, c'est-à-dire que la signature

doit d'abord être authentifiée par la personne qui signe via un canal (sur demande) et ensuite signée au

niveau de l'organisation (avec certificat statique précédemment créé) par un certificat d'authentification

SSL via un second canal.

(9) Comment une signature en bloc est-elle facturée, c'est-à-dire dans le cadre d'une demande de signature

que j'envoie, par exemple 5 documents ?

Chaque signature est calculée individuellement, c'est-à-dire que dans cet exemple, 5 signatures sont

calculées.

(10) Combien de documents peuvent être envoyés avec une signature en bloc (lot) ?

La limite est 250 pour des raisons de sécurité plutôt qu'en raison de la capacité du service.

(11) Les signatures avancées et qualifiées peuvent-elles être émises via une connexion (ClaimedIdentity) ?

Oui, cela est possible et sera traité par un appel approprié dans l'interface.




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

5 RA app

(12) Comment puis-je tester avec le RA-App ?

Il y a un mode test et démo qui vous permet d'essayer l'application, mais aucune donnée n'est transmise.

Pour cela, le numéro de téléphone portable +41001234567 doit être inscrit dans le formulaire d'inscription

et la raison sociale "demo".

(13) Quels sont les pays pris en charge par RA-App ?

Veuillez trouver un tableau avec tous les documents d'identité et passeports acceptés :




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

Pays Passep

ort ID

Afghanistan ✓

Afrique du Sud

✓

Albanie ✓

Algérie ✓

Allemagne (Allemand)

✓ ✓

Andorre ✓

Angola ✓

Argentine ✓

Arménie ✓

Australie ✓

Autriche ✓ ✓

Bangladesh ✓

Belgique ✓ ✓

Bénin ✓

Bosnie-Herzégovine

✓

Botswana ✓

Brésil ✓

Bulgarie ✓ ✓

Cameroun ✓ ✓

Canada ✓

Chili ✓

Chine ✓

Colombie ✓

Congo ✓ ✓

Corée du Sud

✓

Costa Rica ✓

Côte d'Ivoire ✓

Croatie ✓ ✓

Cuba ✓

Danemark ✓

Égypte ✓

Équateur ✓

Érythrée ✓

Espagne ✓ ✓

Estonie ✓ ✓

ÉTATS-UNIS ✓

Éthiopie ✓

Finlande ✓ ✓

France (France)

✓ ✓

Géorgie ✓

Ghana ✓

Grande-Bretagne

✓

Grèce ✓ ✓

Haïti ✓

Hongrie ✓ ✓

Inde ✓

Irak ✓

Iran ✓

Irlande ✓

Islande ✓

Israël ✓

Italie ✓ ✓

Jamaïque ✓

Japon ✓

Jordanie ✓

Kazakhstan ✓

Kosovo ✓ ✓

Laos ✓

Lettonie ✓ ✓

Liban ✓

Liechtenstein

✓ ✓

Lituanie ✓ ✓

luxembourgeois

✓ ✓

Macédoine ✓

Malaisie ✓

Maroc ✓

Mexique ✓

Monténégro ✓

Mozambique

✓

Namibie ✓

néerlandais ✓ ✓

Nigéria ✓

Norvège ✓

Nouvelle-Zélande

✓ ✓

Ouganda ✓

Pakistan ✓

Pérou ✓

Philippines ✓

Pologne ✓ ✓

Portugal ✓ ✓

Qatar ✓

République dominicaine

✓

République tchèque

✓ ✓

Roumanie ✓ ✓

Russie ✓

Sénégal ✓

Serbie ✓

Singapour ✓

Slovaquie ✓ ✓

Slovénie ✓ ✓

Somalie ✓

Suède ✓ ✓

Suisse ✓ ✓

Syrie ✓ ✓

Thaïlande ✓ ✓

Togo ✓

Tunisie ✓ ✓

Turquie ✓

Ukraine ✓

Uruguay ✓

Venezuela ✓

Vietnam ✓

Vltava ✓




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(14) L'agent RA doit-il être autorisé par Swisscom s'il identifie des personnes à des fins de signature

conformément à la législation européenne et suisse ?

Cela se produit indirectement. En pratique, la procédure est la suivante : L'agence RA nomme d'abord un

agent RA maître. Cet agent est identifié par Swisscom ou un partenaire de Swisscom et suit une formation.

Il reçoit alors une interface utilisateur avec laquelle il peut transformer d'autres personnes identifiées par

lui seul en agents RA ou agents RA maîtres. Cependant, ils doivent également suivre une formation.

(15) Comment supprimer une personne du service RA ?

En principe, Swisscom doit conserver les données pendant très longtemps (11 ans en Suisse ou 35 ans dans

l'UE). Mais les personnes peuvent être désactivées par l'agent maître RA ou par Swisscom de sorte qu'elles

ne peuvent plus signer.

(16) Les données des signataires autorisés par l'UE et celles des signataires autorisés par la Suisse sont-elles

conservées séparément ?

Oui, une distinction est faite entre le fait que les signataires aient accepté les conditions d'utilisation de la

Suisse ou de l'UE ou les deux. Toutes les données sont également traitées par Swisscom (Suisse) SA pour

Swisscom IT Services Finance S.E. à Vienne.

(17) Combien de temps un agent RA formé a-t-il besoin pour s'identifier ?

En moyenne, une identification est effectuée en 2 minutes.

(18) Lorsque je photographie le recto/verso de la carte d'identité, l'appareil ne fait pas la mise au point....

Tenez l'appareil photo vers le haut de façon à ce que le document d'identité entier soit capturé par la

découpe (toujours floue probablement). Rapprochez lentement la caméra de la carte d'identité et la mise

au point reprendra.

(19) La personne inscrite n'a pas reçu ou l'a supprimé le SMS avec l'acceptation des conditions d'utilisation…

Avertissez votre agent maître RA et demandez-lui de rechercher le numéro de portable sur le portail. Vous

pouvez renvoyer le SMS avec les conditions d'utilisation en cliquant sur le lien avec le symbole PDF :

(20) La personne inscrite n'a pas reçu de SMS et ne peut être retrouvée

Assurez-vous que vous n'avez pas enregistré la personne en mode démo RA-App (numéro de portable

+41001234567, société "demo").




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

6 Méthodes d'authentification Mobile ID et SMS

(21) L'authentification n'est-elle possible qu'avec Mobile ID ou PWD/OTP ?

En Suisse, nous passons par défaut en mode PWD/OTP par défaut si la carte SIM n'est pas activée pour

Mobile ID. Dans la salle eIDAS, nous n'autorisons que les PWD/OTP en standard.

A partir d'environ Q1 2020, nous proposerons une application d'authentification basée sur l'interface

Mobile ID, qui offre également l'authentification avec reconnaissance d'empreinte digitale ou faciale.

Cette application ne nécessite qu'une connexion Internet lors de l'authentification et peut donc être

utilisée à l'international. Cependant, une carte SIM internationale (numéro de téléphone portable) est

toujours nécessaire pour l'installation de l'application. Voir

http://documents.swisscom.com/product/filestore/lib/0027a527-304d-44a3-b467-

9e655ee7025e/mobileidapp-en.mov.

En général, d'autres méthodes d'authentification sont également possibles, mais elles doivent être

approuvées par KPMG. Le partenaire devrait le faire et montrer sa méthode dans le cadre d'un concept de

mise en œuvre.

(22) J'ai été identifié(e) avec PWD/OTP et j'ai maintenant un MobileID, puis-je l'utiliser pour signer ?

Malheureusement, non. Vous disposez d'un nouveau moyen d'authentification qui n'a pas été initialement

enregistré avec l'identification. C'est-à-dire que vous devez être nouvellement identifié utilisant un

MobileID.

(23) La réception mobile par SMS est-elle également garantie à l'étranger ?

Il n'y a pas une garantie mail ça fonctionne presque toujours - on peut regarder ce renseignement de plus

près :

https://www.swisscom.ch/en/residential/mobile/tariffs-roaming-abroad/query-tariffs.html

Au quatrième trimestre 2019, Swisscom planifie d'étendre l'authentification avec des méthodes

supplémentaires (Authentication App). D'ici là, Swisscom ne peut donner aucune garantie quant à la

possibilité d'authentification à l'étranger en raison du prestataire externe à l'étranger.

(24) La réception Mobile ID est-elle également garantie à l'étranger ?

L'identification mobile est également reçue partout à l'étranger - partout où un SMS peut être reçu. Il y a

un protocole spécial dans la norme des télécommunications. Etant donné que plusieurs parties sont

impliquées dans ce processus, Swisscom ne peut jamais garantir ce service.

(25) Pourquoi avons-nous besoin d'un mot de passe supplémentaire et le SMS ne suffit pas pour une signature

qualifiée ?

Une authentification à 2 facteurs est nécessaire pour la signature qualifiée : "la " possession " et la "

connaissance ", c'est-à-dire que seule la possession (SMS) ne suffit pas.

(26) L'autorisation 2FA est-elle également nécessaire pour les signatures avancées ?

Non, OTP est suffisant pour les signatures avancées.

http://documents.swisscom.com/product/filestore/lib/0027a527-304d-44a3-b467-9e655ee7025e/mobileidapp-en.mov

http://documents.swisscom.com/product/filestore/lib/0027a527-304d-44a3-b467-9e655ee7025e/mobileidapp-en.mov




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(27) Y a-t-il des frais pour le Mobile ID ou le SMS ?

Swisscom ne facture pas de frais pour l'envoi de Mobile ID ou de SMS. Selon le tarif du partenaire

d'itinérance, des frais d'itinérance peuvent être engagés (ce qui arrive très rarement, par exemple lors de

croisières).

(28) Que se passe-t-il si j'ai oublié mon mot de passe ?

La perte du mot de passe entraîne une nouvelle identité numérique. Les fournisseurs d'applications peuvent réagir à cela et, si nécessaire, demander une nouvelle identification du signataire, par exemple avec l'application RA-App.

(29) Que se passe-t-il si une autre personne décroche un appel ?

Étant donné que les deux méthodes exigent un secret ainsi que la possession du numéro de téléphone, aucune signature pour l'identité numérique existante ne peut être déclenchée une fois que le numéro de téléphone a été transféré. Cela signifie que la personne doit être nouvellement identifiée.

(30) Est-il possible d'utiliser un téléphone fixe au lieu d'un téléphone mobile pour la requête par SMS ?

Comme un numéro de ligne fixe ne peut pratiquement pas être attribué à une personne, cela n'est pas

possible. Le SMS a pour but de s'assurer que l'on communique avec quelque chose qui est assigné

uniquement et sans exception à la personne qui signe le document.

(31) Est-il possible de signer sans réception de téléphone portable ?

Les appareils modernes sont équipés du WIFIcalling. Ils peuvent également être utilisés pour signer dans

une zone WIFI. Cependant, sans Internet, les signatures à distance ne sont pas possibles.

(32) Le MobileID via eSIM est-il pris en charge ?

Oui, normalement.

(33) Que se passe-t-il si je change la carte SIM ?

Dans le cas d'un MobileID, vous pouvez utiliser un code de récupération pour transférer le MobileID vers la

nouvelle carte SIM. Dans le cas de PWD/OTP et du même numéro de téléphone, votre option

d'authentification reste également disponible.

(34) Comment l'identification est-elle liée à une méthode d'authentification ?

Lors de l'identification, les moyens d'authentification (par ex. le numéro de téléphone portable) sont

interrogés. Avec cela, une première signature est déjà exécutée, généralement la signature des conditions

d'utilisation qui ont été acceptées. Cette signature est transférée au service de signature tout compris. Cela

signifie que le All-in Signing System connaît exactement les moyens d'authentification.

(35) Existe-t-il une API à la place de l'intégration de l'écran mot de passe/OTP ?

Non. Swisscom exige même que, lorsque l'écran PWD/OTP est intégré comme "iFrame", une personne

externe puisse vérifier qu'il provient de Swisscom. Par exemple, il est possible d'utiliser les fonctions de

navigateur standard que Swisscom publie sous le lien de son site Internet conformément au chapitre 4 des

Conditions d'utilisation.




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(36) Est-il possible de gratter l'écran pour saisir un PWD/OTP ?

Il n'y a pas de prise en charge de la grattage d'écran en tant qu'interface. Les développeurs pourraient être

confrontés au fait que les écrans seront modifiés par Swisscom. Elle est également contradictoire avec la

mise en place d'un "contrôle exclusif" entre le signataire et le certificat de signature.

(37) L'écran mot de passe/OTP peut-il être intégré dans un site Web ou une application ?

Oui, mais seulement en iFrame. Voir les instruction ici: https://rasp.scapp.swisscom.com/swagger-ui.html.

(38) Le texte de l'écran mot de passe/OTP ou le texte du MobileID peut-il être configuré ?

Oui, comme décrit dans le Reference Guide (www.swisscom.com/signing-service) sous "Step-Up method"

dans le champ "Message", le bloc de texte avec l'en-tête du message pour l'expression de l'intention et le

réglage de langue avec "Language" peut être configuré dans le cadre du protocole. Pour la fenêtre de saisie

SMS, la langue peut également être réglée avec le paramètre "Langue".

(39) Que se passe-t-il si MobileID n'est pas activé ou possible sur une carte SIM ?

MobileID est toujours configuré en combinaison avec une solution de repli PWD/OTP, c'est-à-dire qu'une

fenêtre de mot de passe est automatiquement envoyée. Vous pouvez activer votre MobileID sur la

plateforme https://mobileid.ch .

(40) Quand le mot de passe est-il défini pour la première fois ?

Dans le cas standard, après identification, le client reçoit d'abord les conditions d'utilisation du service de

signature de Swisscom. Le client confirme ceci et déclenche ainsi une signature initiale de ces conditions,

dans le cadre de laquelle il peut également définir le mot de passe pour la première fois.

(41) Peut-on utiliser d'autres méthodes d'authentification que PWD/OTP MobileID ?

Par défaut, Swisscom ne propose actuellement que ces méthodes. Toutefois, l'extension sera élaborée à

l'avenir, de sorte que des méthodes biométriques pourraient également être possibles si l'approbation a

été accordée. En outre, Swisscom peut accompagner le client s'il souhaite utiliser une solution auditée

pour permettre une signature supplémentaire auprès de l'autorité de registration. Des coûts

supplémentaires seront encourus.

(42) Une connexion à l'application de l'abonné et une authentification par SMS ne sont-elles pas suffisantes

comme solution à deux facteurs ?

La base de l'authentification à deux facteurs est le fait que les deux facteurs doivent être enregistrés en

relation avec l'authentification, c'est-à-dire qu'aucun mot de passe ne peut être choisi qui ne connaît que

l'application de l'abonné, mais l'abonné lui-même a été identifié avec RA-App. Une telle exception ne

pourrait être imaginée que si le participant lui-même effectue une identification autorisée par délégation

de l'autorité de registration et conçoit en outre la procédure d'authentification de telle sorte que les deux

facteurs (login, libération de SMS) soient réalisés en une courte session. La procédure d'identification

propre et cette procédure de session doivent être décrites en détail dans un concept de mise en œuvre et

nécessitent une autorisation de Swisscom et de ses auditeurs. Des coûts supplémentaires sont induits ici.

(43) Les signatures par lots sont-elles possibles ?

Oui, plusieurs documents peuvent être signés avec une seule approbation au cours d'une même session.

https://rasp.scapp.swisscom.com/swagger-ui.html

https://mobileid.ch/




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(44) Les signatures XADES (XML) sont-elles possibles ?

Les signatures XML selon le standard XADES peuvent être basées sur des sceaux mais pas sur des

signatures personnelles (pour le moment). Dans le client, vous devez préparer le standard XADES : L'appel

d'une "signature simple" doit être implémenté.

(45) Quelle est la meilleure façon d'interpréter les codes d'erreur dans le service RA ?




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(46) Serial Number Mismatch (Non-appariement des numéros de série)

Que fait le message d'erreur "Serial Number Mismatch. We strongly advise to go through the Pre-Signing

Process in order to retrieve the actual StepUp SerialNumber" (Nous vous conseillons fortement de passer par

le processus de pré-signature afin de récupérer le StepUp SerialNumber). Ce message d'erreur indique que

dans un processus PWD/OTP, le mot de passe a été réinitialisé et re-sélectionné sans effectuer une

nouvelle identification avec le processus d'augmentation correspondant selon le Guide de référence.

(47) Pourquoi ma signature n'a pas fonctionné?

J'ai authentifié correctement avec PWD/OTP ou MobileID - mais la signature n'a pas fonctionné... quelle

peut en être la raison ?

Les causes en sont :

• Vous avez défini un nouveau mot de passe pour la procédure PWD/OTP. Cela ne peut se faire que

dans des situations exceptionnelles auprès d'une autorité d'enregistrement interne et doit

toujours avoir lieu dans le cadre d'une nouvelle identification.

• Vous vous étiez auparavant authentifié avec PWD/OTP et vous avez maintenant activé votre

MobileID avec un numéro de téléphone mobile suisse. Dans ce cas, une nouvelle identification doit

également avoir lieu car les moyens d'authentification appartenant à l'identité ont changé.

• Vous avez changé de carte SIM ou d'opérateur de téléphonie mobile. Par conséquent,

l'authentification MobileID a changé lors de l'utilisation d'un MobileID. Une nouvelle identification

est également nécessaire pour cela.

Si aucune de ces causes n'est présente, vous devez ouvrir un ticket.

7 Validation de la signature

(48) Comment puis-je valider les signatures ?

Pour les signatures dans le domaine juridique suisse : www.validator.ch (Attention, le validateur n'est pas

toujours à jour). Pour les signatures dans l'espace juridique de l'UE :

https://www.signatur.rtr.at/de/vd/Pruefung.html

http://www.validator.ch/

https://www.signatur.rtr.at/de/vd/Pruefung.html




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(49) Pourquoi le validateur affiche-t-il une signature non valide ?

Souvent, les messages font référence à l'intégrité manquante, c'est-à-dire que le document présente des

changements après la signature du document. Par exemple, des éléments du réseau ont été téléchargés et

insérés plus tard. Ceci peut être évité en utilisant systématiquement la dernière version de la norme PDF/A

pour la signature.

(50) La "coche verte" dans Adobe indique-t-elle la régularité de la signature ?

Adobe est un fournisseur américain d'un logiciel permettant d'afficher des documents PDF. Le produit le

plus important et le plus répandu est ce qu'on appelle "Adobe Acrobat Reader". Ceci permet la vérification

des signatures basées sur des certificats. La validité d'une signature et donc son affichage avec une coche

verte dépend de nombreux aspects :

• Adobe dispose de ses propres règles, qui classent les CA émises par les prestataires de services de

confiance ou les prestataires de services de certification comme étant "dignes de confiance".

Celles-ci sont répertoriées dans une liste de confiance Adobe (AATL). Même si elle ne figure pas

dans la description de service, Swisscom s'efforce toujours d'y apparaître. En outre, les sociétés

listées doivent payer des droits annuels pour cette inscription et verser leur auto-évaluation. Selon

Adobe, les prestataires de services eIDAS trust sont considérés comme dignes de confiance s'ils ont

conclu aussi un contrat avec Adobe.

• Adobe offre une variété de paramètres qui peuvent mener à une validation complètement

différente : Par exemple, au lieu de la liste de confiance d'Adobe, vous pouvez également utiliser la

liste de confiance de Microsoft Windows, qui ne gère généralement que les fournisseurs de

services de confiance qui émettent également des certificats SSL ou e-mail. Cependant, le contrôle

peut également être basé sur une heure donnée par l'horloge de l'ordinateur et non sur

l'horodatage du document.

Cela signifie que vous ne pouvez pas vous fier à la validité d'une signature dans Adobe, mais que vous

pouvez savoir si des modifications ont été apportées au document depuis que la signature a été définie et

à quoi ressemble le certificat de signature.

8 Questions contractuelles

(51) La déclaration de configuration et d'acceptation demande deux rôles : (1) Responsable de la sécurité pour

la sécurité des données et la confidentialité (2) Administrateur système. Comment choisir ces rôles de

façon appropriée ?

Les deux doivent être des informaticiens qui connaissent bien l'application. Il n'est pas nécessaire qu'il

s'agisse d'une personne ayant le rôle officiel de "délégué à la protection de données". Swisscom souhaite

simplement conserver le principe des 4 yeux. Les rôles le sont : Pouvoir fournir des informations sur

l'administration de l'application utilisateur (qui a accès, ce qu'un administrateur peut manipuler, où il peut

y avoir un problème, connexion SSL à Swisscom) et sur des sujets tels que la protection antivirus, le

contrôle d'accès en général, etc. chez le responsable de la sécurité.

(52) Que dois-je faire dans une entreprise ayant plusieurs filiales ?

D'une part, une entreprise interne peut devenir partenaire revendeur de Swisscom pour d'autres

entreprises. Dans ce cas, le flux de paiement ne passe directement que par cette entreprise individuelle.

Une entreprise peut également assumer l'entière responsabilité de l'exploitation de l'application de




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

l'abonné. Même dans ce cas, les factures ne passeront que par cette société. Il peut alors identifier les

salariés des autres entreprises.

Si toutes les entreprises veulent exploiter l'application de l'abonné de façon indépendante (avec leur

propre responsabilité) et qu'elles veulent également fournir elles-mêmes les agents d'AE, un contrat

distinct est requis pour chaque entreprise.

(53) Nous souhaitons facturer en partie "par signataire" et en partie "par signature", est-ce possible ?

Deux comptes d'utilisateur (ClaimedIdentity) doivent être configurés, chaque compte se rapportant à un

mode de facturation. Les deux comptes sont accessibles via une seule interface, c'est-à-dire le même

terminal. Cela signifie que l'application du participant doit décider par elle-même quel compte elle utilisera

pour envoyer une demande de signature. Il y a des frais de service par compte, mais les frais de transaction

par signature sont réduits de 30 %. 2 factures sont émises à la fin du mois. Ainsi, 2 points d'interface

d'accès au service sont facturés, ce qui représente le double des frais de service.

(54) Si "par signataire" est facturé, qu'advient-il des mois au cours desquels aucune signature n'est effectuée ?

Il n'y a pas de frais ici.

(55) Nous voudrions signer à la fois dans l'UE et dans l'espace juridique de la Suisse, est-ce possible ?

Deux comptes d'utilisateur (ClaimedIdentity) doivent être configurés, chaque compte est lié au type de

signature respectif, c'est-à-dire que l'application du participant doit décider sur quel compte elle envoie

une demande de signature. Les deux comptes peuvent être adressés via une seule interface, c'est-à-dire le

même terminal. Il y a des frais de service par compte, mais les frais de transaction par signature sont

réduits de 30 %. 2 factures sont émises à la fin du mois. C'est pourquoi 2 contrats de service avec 2

déclarations de configuration et d'acceptation différentes doivent être soumis. Si vous avez 2 domaines

juridiques et 2 types de facturation, vous n'avez toujours qu'une seule interface (technique), mais 4 points

d'interface d'accès au service et par conséquent 4 fois des frais de service.

(56) Swisscom utilise le contrat PDF standard - comment l'adapter à nos besoins ?

Chaque année, Swisscom investit des sommes importantes dans des audits en cours. Toutefois, pour

pouvoir mettre sur le marché l'offre d'un prestataire de services fiduciaires à un prix raisonnable, ce service

est proposé sous une forme standardisée. Cela signifie en particulier :

• Le client doit se conformer au processus de commande standard avec les documents contractuels

standard publiés par les auditeurs.

• L'offre ne comprend pas d'autres évaluations par les participants, ni l'examen et l'acceptation de

leurs propres textes contractuels.

De nombreux aspects du prestataire de services fiduciaires sont soumis non seulement à des conditions

dans l'exécution du service, mais aussi à la spécification d'obligations importantes, de règles de

responsabilité et de services de coopération dans les documents contractuels. Par conséquent, ces

documents contractuels font également l'objet d'un audit ou sont également soumis aux organismes

d'évaluation de la conformité de l'État. Par conséquent, aucune modification du système juridique ne peut

être acceptée, pas plus que les annexes contractuelles du participant ne peuvent être acceptées, en

particulier si elles sont soumises à une loi étrangère applicable.

S'il s'avère néanmoins nécessaire d'adapter les textes contractuels, d'ajouter des dispositions

contractuelles (p. ex. votre propre code de conduite, déclaration de protection des données, NDA, etc.), de




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

traiter des questionnaires d'évaluation spéciaux ou même si vous avez découvert des erreurs ou des

formulations peu claires, veuillez les signaler à notre gestion de produits.

En cas d'erreurs ou d'ambiguïtés apparentes, un processus de changement correspondant est initié par la

gestion du produit et mis en œuvre le plus rapidement possible.

Pour l'évaluation des autres questions, une équipe de projet est constituée, qui s'appuie sur les experts

concernés (par exemple, le service juridique, le responsable de la sécurité, le responsable de la conformité,

etc. Une taxe spécifique de CHF 6'000 est due pour ce projet. Si l'équipe d'experts n'a pas été en mesure

d'élaborer directement une solution, elle préparera une réponse et une offre, qui présenteront et

évalueront les étapes ultérieures de la part de Swisscom.

(57) Le client a-t-il besoin de certifications pour le fonctionnement de l'application de signature ?

Non, seulement pour le fonctionnement de la demande de signature, aucune certification ni aucun audit

(avec certificat) n'est requis. Dans le cadre d'une "déclaration de configuration et d'acceptation", le client

fait une auto-déclaration pour faire fonctionner correctement l'application de signature, c'est-à-dire pour

ne pas échanger le hachage d'un document et pour afficher effectivement le document à signer au client

(WYSIWYS = "What you see is what you sign"). Le trafic de données entre l'application de signature et

Swisscom doit être crypté et la protection de base contre les virus et les attaques doit être garantie comme

pour tout autre système. Un audit officiel avec certification ne peut être nécessaire que si le système a sa

propre identification, en particulier par rapport à sa propre méthode d'authentification. En Suisse,

l'identification avec les méthodes d'authentification de Swisscom peut être traitée de manière simplifiée

au moyen d'un "concept d'implémentation" approprié soumis par le client et approuvé par Swisscom ; en

Europe, un audit officiel est généralement nécessaire. En règle générale, une méthode d'authentification

doit toujours être certifiée, car elle doit assurer le "contrôle exclusif" du certificat de signature (appelé "sole

control" dans le contexte de l'ETSI).

(58) Comment puis-je commander des cachets en tant qu'entreprise ?

En principe, la société doit désigner des représentants. Ces représentants doivent être soit les

représentants inscrits au registre du commerce ou d'IDE, soit des salariés disposant des procurations

appropriées signées par les représentants inscrits. Dans tous les cas, les personnes doivent être

personnellement identifiées avec notre RA-App. En Suisse, seules les entreprises inscrites au registre UID

peuvent commander des cachets. Avec le cachet, le certificat d'accès SSL entre l'application de signature

chez le client et Swisscom sert d'authentification de l'entreprise. Le certificat d'accès doit donc être remis

par le représentant de l'organisation. Avec le cachet avancé, la simple livraison est suffisante ; avec le

cachet qualifié, une cérémonie de remise conjointe a lieu lors de laquelle le certificat d'accès est généré

conjointement. La clé privée doit être stockée sur un crypto dispositif (FIPS 140-2 niveau 2 minimum).

(59) Qui est responsable des certificats défectueux ?

En principe, Swisscom a une responsabilité illimitée en vertu de la loi pour la délivrance incorrecte de

certificats qualifiés. Dans le cas de certificats avancés, cette responsabilité peut être limitée. Swisscom est

également assurée obligatoirement à cet effet. En cas d'erreurs dans la demande de signature (p. ex.

échange d'un hachage d'un document) ou d'erreurs d'identification par des registres tiers, Swisscom

tiendra ces tiers pour responsables. Afin d'éviter les risques de responsabilité, le processus d'émission et le

processus contractuel sont soumis à des exigences élevées et la possibilité d'auditer les tiers concernés est

généralement requise.

9 Effet juridique d'une signature




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(60) Le signature est-elle acceptée en Suisse ?

La législation suisse, c'est-à-dire la loi fédérale sur la signature électronique (SCSE), prévoit les exigences

auxquelles les organisations doivent satisfaire pour être reconnues comme service de certification.

L'organisme de reconnaissance accrédité pour la reconnaissance de Swisscom en tant que service de

certification en Suisse est KPMG (accréditation n° SCESm 0071). Il délivre un certificat d'évaluation de la

conformité (disponible sur www.swisscom.com/signing-service). Le Service d'accréditation suisse SAS

tient à jour une liste des services de certification accrédités :

https://www.sas.admin.ch/sas/fr/home/akkreditiertestellen/akkrstellensuchesas/pki.html

(61) La signature est-elle reconnue dans un pays de l'UE (également en dehors de l'Autriche) ?

Avec l'entrée en vigueur du règlement sur les services d'identification et de confiance électroniques pour

les transactions électroniques dans le marché intérieur de l'Union européenne (eIDAS), la base d'une

communication électronique juridiquement valable et d'une identification électronique sûre dans toute

l'Europe a été créée. Grâce à des services de confiance tels que les signatures électroniques, les cachet

électroniques, les horodatages, les services de livraison et les certificats d'authentification, les entreprises,

les administrations et les particuliers peuvent échanger des documents numériques tels que des offres,

des commandes, des contrats, etc. dans l'Union européenne sur une base juridique uniforme. Ainsi, le

nouveau règlement de l'UE remplace la loi sur la signature nationale et les règlements sur la signature.

En vertu du présent règlement (CE) n° 910/2014/UE (règlement eIDAS), les listes de confiance nationales

ont un effet constitutif. En d'autres termes, un fournisseur de services fiduciaires et les services fiduciaires

qu'il fournit ne seront admissibles que s'ils figurent dans les listes de confiance. Par conséquent, les

utilisateurs (citoyens, entreprises ou administrations publiques) ne bénéficieront de l'effet juridique

associé à un service de confiance qualifié donné que si ce dernier est inscrit (comme qualifié) dans les listes

de confiance.

La filiale de Swisscom en Autriche "Swisscom IT Services Finance S.E.", Vienne, a été incluse dans cette liste

de confiance avec des certificats et sceaux qualifiés :

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance S.E. a mandaté Swisscom (Suisse) SA pour exploiter le service fiduciaire et a

également délégué les activités d'autorité de registre à Swisscom (Suisse) SA. Swisscom (Suisse) SA offre

ainsi le service au marché et accepte également les documents contractuels pour le compte de Swisscom IT

Services Finance S.E..

(62) Swisscom peut-elle garantir la conformité juridique d'un contrat signé à sa signature ?

Swisscom ne peut que confirmer qu'elle peut émettre des signatures qualifiées dans les deux systèmes

juridiques conformément au règlement eIDAS de l'UE et à la loi ZertES de Suisse. Les signatures suisses

qualifiées ne sont reconnues comme qualifiées qu'en Suisse et les signatures qualifiées eIDAS dans l'UE.

La conformité de la signature qualifiée à tout contrat doit toujours être vérifiée par un avocat. Swisscom

ne peut fournir aucune information juridique à cet égard. Ceci n'est pas seulement lié à la signature, mais

aussi à d'autres points qui peuvent être convenus dans les contrats. Par exemple, l'exigence d'un "retour

par courrier recommandé" peut signifier qu'une signature électronique ne peut pas être exécutée du tout,

car un envoi postal sur papier est obligatoire.

https://www.sas.admin.ch/sas/fr/home/akkreditiertestellen/akkrstellensuchesas/pki.html

https://webgate.ec.europa.eu/tl-browser/#/tl/AT




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(63) La signature qualifiée est-elle plus concluante ?

Dans les systèmes juridiques de l'UE et de la Suisse, le renversement de la charge de la preuve (ainsi qu'en

Allemagne, la preuve prima facie par rapport à la preuve visuelle) s'applique en principe aux signatures

qualifiées. Cela signifie qu'une partie adverse doit prouver que la signature qualifiée n'a pas été

correctement exécutée si elle est contestée. Bien entendu, Swisscom peut également fournir des

vérifications certifiées par KPMG pour prouver que la signature qualifiée a été dûment exécutée.

(64) La validité d'une signature peut-elle encore être prouvée après 10 ans ?

Les délais de conservation pour le contrôle d'identité et le journal d'activité et donc aussi les délais de

preuve sont de 11 ans en Suisse et de 35 ans dans l'UE. Swisscom utilise généralement le standard de

validation à long terme de l'ETSI (LTV).

La validation à long terme consiste à valider une signature de manière à ce qu'elle reste valide pendant une

longue période. La validation LTV n'autorise la validation que tant que le certificat racine de l'horodatage

n'a pas expiré. Il est donc recommandé de donner aux documents un horodatage avant leur expiration si

l'on veut préserver la preuve à long terme, afin que l'intégrité et le caractère significatif de la preuve de

signature continuent d'être assurés.

En principe, les documents PDF doivent également être gérés dans des archives sécurisées. Dans 5, 10 ou

20 ans, les algorithmes de signature peuvent être "craquelés", ce qui signifie que l'intégrité ou

l'authenticité ne peuvent plus être garanties. De bons systèmes d'archivage permettent donc une re-

signature régulière, par exemple avec un horodatage, qui utilise toujours l'algorithme le plus récent et

garantit ainsi l'intégrité du document.

Le site Web propose différents liens avec des procédures optimisées à cet effet, par exemple "Archisig". Le

BSI allemand a également publié une directive technique "Conservation de la valeur probante des

documents cryptographiquement signés". Il s'agit de la spécification des exigences techniques de sécurité

pour la conservation à long terme de la valeur probante des documents et données électroniques signés

cryptographiquement ainsi que des données administratives électroniques associées (métadonnées).

Un middleware défini à cet effet (middleware TR-ESOR) dans le sens de cette directive comprend tous les

modules et interfaces utilisés pour sécuriser et maintenir l'authenticité et prouver l'intégrité des

documents et données stockés.

(65) Comment les modifications de la base juridique sont-elles traitées ?

L'expérience a montré que les périodes de transition peuvent durer de 3 mois à 2 ans.

(66) Peut-on empêcher la reproduction de documents originaux signés ?

Non.

(67) Y a-t-il des rapports sur le Web de clients de Swisscom qui utilisent la signature numérique ?

Oui, par exemple :

https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/

https://www.bcge.ch/pdf/conditions-self-en.pdf

https://www.inside-it.ch/articles/49769

https://www.seantis.ch/blog/digitale-signatur-onegov-cloud/

https://www.bcge.ch/pdf/conditions-self-en.pdf

https://www.inside-it.ch/articles/49769




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(68) Comment les horodatages affectent-ils les différents zones horaires

In principe, un horodatage stocke également la zone (le décalage). A cet égard, toutes les émissions locales

afficheront l'heure locale actuelle.

(69) Adobe signale l'erreur que la signature est invalide parce qu'elle n'a pu être validée.

"La signature est valide, mais la validité de l'identité du signataire n'a pas pu être vérifiée " est la

déclaration d'Adobe si aucun format LTV n'a été utilisé. Adobe essaie de vérifier la validité d'un certificat de

10 minutes. Si aucun format de validation à long terme n'a été utilisé, qui stocke les informations de

validité au moment de la signature, celles-ci ne sont plus accessibles après un certain temps. Par

conséquent, les signatures avec des certificats à court terme (mais aussi les signatures avec preuve à long

terme) doivent toujours être enregistrées au format LTV.

(70) Quelles données sont publiées dans le certificat en tant que nom distinctif (DN) des certificats personnels ?

Le Distinguished Name (nom distinctif) contient soit le prénom, le nom de famille et le pays de

naissance/enregistrement ou le pays d'origine de la personne, soit un pseudonyme avec un numéro de

série qui peut être relié de manière unique à une personne par le registre. Les noms d'organisations ne sont

autorisés que dans des cas particuliers.

(71) Quels formats de fichiers peuvent être signés ?

En principe, Swisscom fournit un hachage signé et supporte donc les formats PADES (PDF) et, dans le cas

des certificats d'organisation, les formats XADES (XML). Les fichiers Word ne sont pas signés et ne sont pas

prévus à cette fin par la loi.

10 Protection des données

(72) La protection des données en Suisse et le RGPD ?

La Suisse ne fait pas partie de l'UE et n'a donc pas introduit de législation européenne, le Règlement

général sur la protection des données (RGPD). En réalité, le RGPD est également applicable si les

entreprises sont basées en Suisse et offrent des services dans l'UE.

Swisscom est donc soumise aux mêmes obligations en matière de traitement des données que toutes les

autres organisations qui doivent se conformer au RGPD :

• obtenir le consentement de la personne dont les données sont traitées

• garantie "Privacy by design" et "Privacy by default"

• désigner un représentant chargé de la protection des données

• créer une liste des activités de traitement

• signaler les violations de la protection des données à l'autorité de contrôle

• effectuer une évaluation des facteurs relatifs à la vie privée

Toutes les applications qui concernent la protection des données et qui sont utilisées pour le traitement

des données, par exemple également l'application RA-App, doivent être conformes au RGPD. Swisscom

fournit des informations à ce sujet sur ses pages :

Suisse : www.swisscom.com/signing-service

Autriche : www.swisscom.at

avec les déclarations de protection des données correspondantes selon le RGPD.

http://www.swisscom.com/signing-service

http://www.swisscom.at/




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

La Suisse a toujours été et est toujours considérée comme un pays tiers sûr au sens de l'art. 45 RGPD

(transfert de données fondé sur une décision d'adéquation), c'est-à-dire les autorisations habituelles

comme avec d'autres pays tiers (par exemple les États-Unis) ne sont pas nécessaires. Grâce à la loi sur la

protection des données et à l'adaptation en cours au RGPD, la Suisse dispose d'un "niveau de protection

adéquat pour le transfert de données personnelles" conformément aux critères de l'UE, c'est-à-dire qu'elle

doit en fait être traitée comme un pays de l'UE lors du transfert de données :

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-

protection-personal-data-non-eu-countries_fr

(73) Respect de la protection des données du All-in Signing Service

Dans le cadre de ses audits en cours, Swisscom doit veiller à ce que toutes les exigences strictes en matière

de protection des données nécessaires à l'émission de signatures numériques soient respectées, tant vis-à-

vis de l'autorité de certification en Suisse que de l'organisme d'évaluation de la conformité en Autriche.

Cela signifie qu'en plus de l'autodéclaration, les prestataires de services fiduciaires et les services de

certification sont tenus par la législation et les normes internationales appliquées, telles que l'ETSI 319

401, de démontrer et de faire contrôler la protection appropriée des données à caractère personnel.

(74) Confidentialité et service RA-App/RA-Service

Les exigences en matière de protection des données à démontrer et à contrôler s'appliquent également

aux activités de l'autorité d'enregistrement - une tâche incombant à un prestataire de services de

confiance et à un prestataire de services de certification. Par conséquent, l'application de l'AE (RA) dans le

cadre du processus d'enregistrement doit assurer la protection des données et de la confidentialité. Le RA-

App lui-même ne stocke pas de données personnelles de manière permanente. Aucune donnée ne peut

être exportée non plus. Dès que l'identification est terminée, les données sont transférées et signées par

l'agent RA à titre de preuve ("evidents"). Ces preuves sont conservées au service RA de Swisscom dans des

conditions de sécurité strictes (p. ex. accès 4 yeux). Seules quelques personnes ont accès à ces données et

ne peuvent les transmettre qu'en vertu d'une décision judiciaire ou sont autorisées à vérifier la qualité de

l'identification. Conformément à la loi, Swisscom a une responsabilité illimitée pour la bonne exécution de

la signature et donc aussi de l'identification.

RA Master Agents dispose d'un accès Web à un portail dans lequel ils peuvent consulter toutes les

personnes identifiées par RA Agents avec leurs nom, prénom, date d'expiration de la pièce d'identité et

numéro de téléphone portable. Les documents d'identité et les photos (dites "preuves") ne sont ni

accessibles ni exportables.

(75) Pourquoi signer le traitement des données en commission ?

Swisscom est légalement tenue d'enregistrer les données personnelles pour la signature. Elle est donc

responsable de ces données. Cela signifie que Swisscom ne peut pas jouer le rôle d'un sous-traitant de

données, même si elle reçoit par exemple des données du personnel d'une entreprise cliente pour la

signature. Swisscom a un mandat légal similaire à celui des fournisseurs de services de télécommunication

ou de services postaux. En outre, Swisscom a une relation contractuelle légale avec les signataires avec les

conditions d'utilisation. Dans cet accord, le signataire accepte également l'utilisation des données.

Avec l'application RA, Swisscom transfère l'enregistrement des données d'identité à un prestataire de

services externe, désigné dans les contrats comme "l'agence RA". Le RGPD exige dans ce cas un contrat de

traitement des commandes. L'agence RA doit donc se conformer aux obligations relatives au traitement

des données de commande.

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_fr

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_fr




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

Le respect du traitement des données en commission du RGPD est également exigé pour les projets

purement suisses. Il y a deux raisons à cela :

• D'une part, il est rarement possible de garantir que les personnes identifiées en Suisse ne sont pas

des ressortissants de l'UE soumis au principe du marché du RGPD,

• D'autre part, l'application RA ne peut pas être utilisée de telle sorte que seules les personnes pour

la Suisse sont identifiées, c'est-à-dire que le traitement des données de commande a toujours lieu

également pour Swisscom IT Services Finance S.E. à Vienne.

(76) Quelles sont les obligations des agences RA dans le cadre de leurs activités ?

Les agences RA agissent pour bureau d'enregistrement de Swisscom. Outre l'obligation d'exécuter avec

soin les activités du registre, la protection des données est également une priorité. Les principes de

protection des données énoncés à l'art. 28 RGDP s'applique, qui se reflète sous une forme précise dans les

mesures techniques-organisationnelles (MTO) du contrat de l'Agence RA. Ils sont basés sur 2 sections de

l'Art. 28, qui reflètent l'utilisation de l'application sur l'appareil mobile :

• La mesure doit "assurer la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes

et services dans le cadre du traitement sur le long terme" et

• Inclure une procédure d'examen, d'évaluation et d'appréciation réguliers de l'efficacité des

mesures techniques et organisationnelles visant à garantir la sécurité du traitement.

• Le responsable du traitement et le sous-traitant veillent à ce que les personnes physiques sous

leur autorité qui ont accès à des données à caractère personnel ne les traitent que sur instruction

du responsable du traitement, sauf si le droit de l'Union ou le droit national les y oblige.

Cela signifie qu'en plus de l'utilisation d'employés soigneusement sélectionnés et formés, la protection de

l'application sur l'appareil mobile ainsi que la protection de l'accès doivent être garanties. Les dispositifs

sont-ils adéquatement protégés contre les virus ? Sera-t-il interdit de télécharger des programmes à partir

d'autres appstores qui n'offrent pas une protection suffisante ? Les employés gardent-ils leurs NIP et mots

de passe secrets ?

Les dispositifs ne sont-ils pas enracinés ?

(77) Le processus d'identification avec ses propres données ne nécessite pas de traitement des données en

commission ?

Pour certains projets, Swisscom s'appuie avec des tiers sur des procédures d'identification légalement

reconnues et auditées. Un exemple typique est celui d'une banque qui effectue l'identification de présence

d'une personne dans le cadre de son processus KYC. Dans ce cas, Swisscom reçoit une copie des données de

la banque pour ses propres besoins commerciaux (signature). Le traitement des données de commande

n'est pas nécessaire dans ce cas, étant donné qu'il y a deux parties responsables des données. Inversement,

le principe de la fonction conjointe de contrôleur du RGPD n'est pas appliqué ici non plus, car le traitement

des données ne sert pas le même objectif commercial et les deux parties n'agissent pas de manière

responsable dans le sens d'un objectif commercial commun. La banque agit dans le cadre de son activité,

par exemple en ouvrant un compte, et Swisscom poursuit son objectif commercial, qui est d'émettre des

signatures. Néanmoins, dans ce cas, nos contrats sur la "délégation de l'activité de registration"

contiennent également un minimum de dispositions sur la manière de procéder concernant la protection

des données et le GDPR.




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

(78) Comment Swisscom conserve-t-elle les clés privées des certificats de signature ?

Dans le cas d'une signature à distance, Swisscom gère les clés des certificats de signature en fiducie. Dans

le cas d'une signature personnelle, les certificats de signature ne sont générés que pour la signature et

perdent leur validité après environ 10 minutes. Les certificats d'entreprise pour les cachets sont valables

jusqu'à 3 ans. Selon la loi, la clé privée doit être stockée sur un dispositif de création de signature (qualifié).

La mémoire pour cela est un dispositif qui est principalement conçu pour le stockage de clés, le HSM

(Hardware Security Module). Il est soumis à une réglementation stricte et à un audit, en termes de securité

et d'accès à cet appareil. Les signatures dans l'UE et en Suisse sont soumises à des niveaux de sécurité

particulièrement élevés, qui sont seulement disponibles de quelques fabricants de HSM dans le monde.

11 Mise en service

(79) Quelle est la procédure de mise en service d'une signature personnelle ?

La condition préalable à la configuration est une "déclaration de configuration et d'acceptation" signée par

le client et vérifiée par l'autorité d'enregistrement globale. Cette déclaration contient les obligations de

l'opérateur d'une application de signature (par exemple la possibilité d'afficher le document complet à

signer, sécuriser l'accès au service), mais aussi les caractéristiques du service.

Une autre condition préalable est un certificat d'accès, qui sécurise la communication de l'application de

signature au service de signature.

Après vérification du document, notre Setup Service reçoit l'ordre d'activer le service avec le certificat

d'accès envoyé et la spécification sélectionnée dans la déclaration de configuration et d'acceptation. Dans

le cas des signatures qualifiées, le service n'est initialement activé que pour les signatures "avancées".

Ensuite, le contact nommé dans la déclaration de configuration et d'acceptation est invité à fournir un

exemple de signature avec la signature avancée. Si ce n'est pas le cas, le service est commuté sur le niveau

"qualifié" si désiré. Le client en sera également informé. Il a maintenant 10 jours pour signaler toute

irrégularité directement à l'équipe d'installation. S'ils ne reçoivent aucune plainte pendant ce délai, la

connexion au service est acceptée. En cas de contact direct avec Swisscom, d'autres incidents peuvent être

signalés à Swisscom par le biais de l'assistance de 1er niveau ou au partenaire revendeur.

(80) Quelles exigences le certificat d'accès doit-il remplir ?

Le certificat d'accès peut être un certificat auto-signé. Par exemple avec le logiciel openssl.

Exigences relatives au nom distinctif :

• CN=<URL du système d'abonné qui effectue la communication avec l'AIS ou toute autre

identification unique du système d'abonné>.

• O=<<Nom de l'organisation>O

• Email=<E-Mail à des fins de notification, par exemple en cas de fin de validité>.

• C=<Pays de l'organisation>

Les exigences supplémentaires suivantes doivent être prises en compte lors de la préparation du certificat :

• Durée maximale 3 ans

• Algorithme de hachage minimum SHA-256

• Longueur de clé minimum 2048 bits




Datum: 03.06.2019

C1 - Public

FAQ

.do

cx

Des conditions particulières s'appliquent toujours aux certificats d'accès dans le cadre de la création de

cachets réglementés (ZertES) ou qualifiés (eIDAS) : La clé privée du certificat d'accès doit être créée sur un

module cryptographique lors d'une cérémonie conjointe d'un représentant d'autorité de registration de

Swisscom. Ce module doit répondre aux exigences du niveau 2 de la norme FIPS 140-2, par exemple

Yubikey ou Microsoft Key Vault.

(81) Comment s'effectue la mise en service d'un cachet ?

Dans le cas d'un cachet électronique, en plus de la déclaration de configuration et d'acceptation par

l'opérateur de la plate-forme de signature, il requiert également une demande de certificat pour le

certificat de cachet, un certificat d'organisation. Contrairement au certificat pour la signature personnelle,

le certificat de cachet est généré pour trois ans. La demande de certificat doit être signée par les personnes

autorisées de l'organisation. L'autorisation peut résulter du registre (p. ex. procuration) ou peut également

être une procuration spéciale, qui a été délivrée par exemple pour les opérateurs du centre informatique.

Swisscom a besoin de la preuve de cette procuration. Ces personnes sont également identifiées

personnellement à l'avance par un représentant du bureau d'enregistrement de Swisscom via RA-App. Il

peut également s'agir, par exemple, d'un agent RA d'un revendeur qui a procédé à l'identification

personnelle. Cela permet à la personne de signer la demande au moyen d'une signature électronique. La

demande est envoyée à Swisscom sans signature et Swisscom invite les personnes à signer

électroniquement. Les étapes suivantes diffèrent maintenant selon le type de joint :

Signature avancée : Le demandeur envoie à Swisscom un certificat SSL qu'il souhaite utiliser comme

certificat d'accès pour l'interface avec le sceau.

Signature qualifiée/réglementée : Le demandeur convient d'une date avec Swisscom pour la création

conjointe d'une clé privée. Celui-ci doit être créé sur un dispositif cryptographique basé sur la qualification

FIPS 140-2 niveau 2 (par exemple Yubikey, Key Vault HSM Microsoft, etc.) Un certificat d'accès est alors

créé sur la base de cette clé. C'est-à-dire que pour le processus de signature, l'accès doit être libéré au

moyen de ce certificat.

faq sur le service all-in signing de swisscom...(67) peut-on empêcher la reproduction de documents...

Documents