Certification de services de confiance numérique – règlement eIDAS

Les services de confiance numérique recouvrent l’ensemble des prestations permettant de garantir l’authenticité, l’intégrité et la traçabilité des échanges électroniques. Ils constituent le socle technique et réglementaire de la confiance dans les transactions numériques, à la fois entre particuliers, entre entreprises, et entre administrations et usagers.

La certification de services de confiance numérique apporte aux commanditaires et aux utilisateurs la preuve que les services répondent aux exigences de sécurité les plus élevées définies par l’État et par l’Union européenne. Cette certification constitue un gage de confiance, voire un prérequis pour accéder à certains marchés particulièrement exigeants.

Certi-Trust intervient dans la certification de services de confiance numérique au titre du règlement n°910/2014 « eIDAS », pour les services suivants.

1. Issuance of qualified electronic certificates for eSignatures (QCertForeSig) – Article 28
2. Issuance of qualified electronic certificates for eSeals (QCertForeSeal) – Article 38
3. Issuance of qualified electronic certificates for website authentication (QCertForWSA) – Article 45
4. Issuance of qualified electronic timestamps (QTST) – Article 42
5. Qualified validation of qualified eSignatures (QValForeSig) – Article 33
6. Qualified validation of qualified eSeals (QValForeSeal) – Article 40
7. Qualified preservation of qualified eSignatures (QPresForeSig) – Article 34
8. Qualified preservation of qualified eSeals (QPresForeSeal) – Article 40
9. Qualified electronic registered delivery services (QERDS) – Article 44
10. Qualified service for the management of remote qualified electronic signature creation devices – Article 29a
11. Qualified service for the management of remote qualified electronic seal creation devices – Article 39a
12. Qualified electronic attestations of attributes – Article 45d
13. Qualified electronic archiving services – Article 45j
14. Qualified recording of electronic data in a qualified electronic ledger – Article 45l

La certification de services de confiance numérique au sens du règlement eIDAS s’appuie sur les normes ETSI suivantes.

EN 319 403 : Signatures électroniques et infrastructures (ESI) – évaluation des prestataires de services de confiance – Exigences pour les organismes d’évaluation de la conformité évaluant des prestataires de services de confiance

EN 319 401 : Signatures électroniques et infrastructures (ESI) – Exigences de politique générale des prestataires de service de confiance

EN 319 411-1 : Signatures électroniques et infrastructures (ESI) – Exigences de politique et de sécurité applicables aux prestataires de service de confiance délivrant des certificats – Partie 1 : Exigences générales

EN 319 411-2 : Signatures électroniques et infrastructures (ESI) – Exigences de politique et de sécurité applicables aux prestataires de service de confiance délivrant des certificats qualifiés – Partie 2 : Exigences applicables aux prestataires de service de confiance délivrant des certificats qualifiés UE

EN 319 421 : Signatures électroniques et infrastructures (ESI) – Exigences de sécurité et de politique des prestataires de service de confiance délivrant des horodatages

EN 319 521 : Electronic signatures and infrastructures (ESI) – Policy and security requirements for Electronic Registered Delivery Service Providers

EN 319 531 : Electronic signatures and infrastructures (ESI) – Policy and security requirements for Electronic Mail Service Providers

EN 319 102-1 : Electronic signatures and infrastructures (ESI) – Procedures for Creation and Validation of AdES Digital Signatures: Part 1: Creation and Validation

EN 319 441 : Electronic signatures and infrastructures (ESI) – Policy requirements for TSP providing signature validation services

TS 119 511 : Electronic signatures and infrastrucutures (ESI) – Policy and security requirements for TSP long-term preservation of digital signatures or general data using digital signatures techniques

TS 102 640-3 : Electronic Signatures and Infrastructures; Registered Electronic Mail – Part 3: information Security Policy requirements for REM Management Domains

Certi-Trust est accrédité par le COFRAC en France selon la portée d’accréditation indiquée dans le certificat ci-dessous, pour certifier des prestataires de services de confiance numérique (PSCo) en Europe selon :

• La réglementation eIDAS (Règlement 910/2014),
• La norme ETSI EN 319 403 v2.2.2 (service de certification électronique PSCE, services d’horodatage électroniques PSHE),
• Le référentiel ILNAS/PSCQ/Pr001 “Supervision of Qualified Trust Service Providers QTSPs”, version 4.5 (PSCo qualifiés au Luxembourg).

Organisme d’évaluation de la conformité, Certi-Trust figure dans le catalogue de l’ANSSI et sur la liste officielle de la Commission européenne en tant que Conformity Assessment Body (CAB). Une double reconnaissance qui lui permet de réaliser des audits de certification de services de confiance numérique.

Les politiques et procédures suivantes s’appliquent, en fonction programme requis, dans le cadre des activités d’audit Certi-Trust liées à la confiance numérique :

Pour vérifier la validité d’un certificat, rendez-vous sur le formulaire de demande de vérification.

La durée du cycle d’audit pour la certification de services de confiance numérique est de 2 ans.

• Trust Service Provider Conformity Assessment Scheme