DÉCLARATION DES PRATIQUES

DU CENTRE DE CERTIFICATION DU QUÉBEC

Version du document : 4.0 OID : 2.16. 124.113550 Date d’entrée en vigueur : 6 avril 2011

© 2011 Notarius inc.

page 1 sur 38

Déclaration des pratiques du CCQ

Févier 2011

TABLE DES MATIÈRES
1. DISPOSITIONS GÉNÉRALES.............................................................................................. 6 1.1 OBJET ............................................................................................................................. 6 1.2 CHAMP D’APPLICATION ...................................................................................................... 6 1.3 IDENTIFICATION ................................................................................................................ 6 1.4 INTERPRÉTATION .............................................................................................................. 6 1.5 LES COMPOSANTES DE L’ICP ............................................................................................. 7 1.5.1 L’Autorité de certification (AC) ................................................................................ 7 1.5.2 Le Prestataire de services de certification et de répertoire (PSC/R) ........................ 7 1.5.3 L’Autorité locale d’enregistrement (ALE)................................................................. 8 1.5.4 L’agent vérificateur de l’identité (AVI) ..................................................................... 8 1.5.5 Le détenteur........................................................................................................... 8 1.5.6 Autres participants ................................................................................................. 9 1.6 UTILISATION DES CERTIFICATS ........................................................................................... 9 1.6.1 Utilisation autorisée des certificats.......................................................................... 9 1.6.2 Limite d’utilisation................................................................................................. 10 1.6.3 Détenteur de certificats autorisés ......................................................................... 10 1.6.4 Niveaux de confiance des certificats offerts .......................................................... 10 1.7 GESTION DE LA DÉCLARATION .......................................................................................... 11 1.7.1 Organisme responsable de la Déclaration ............................................................ 11 1.7.2 Coordonnées du responsable de la Déclaration.................................................... 11 1.7.3 Procédure d’approbation de la Déclaration ........................................................... 11 1.8 DÉFINITIONS ET ACRONYMES ........................................................................................... 11 1.8.1 Acronymes........................................................................................................... 11 1.8.2 Définitions ............................................................................................................ 11 2. PUBLICATION ET DIFFUSION DE L’INFORMATION........................................................ 11 2.1 SERVICE DE PUBLICATION ................................................................................................ 11 2.1.1 Publication de la Politique .................................................................................... 11 2.1.2 Publication du certificat de l’AC ............................................................................ 11 2.1.3 Publication des LCR............................................................................................. 11 2.2 INFORMATIONS PUBLIÉES ................................................................................................. 11 2.3 DÉLAI ET FRÉQUENCE DES PUBLICATIONS .......................................................................... 11 2.4 CONTRÔLE D’ACCÈS AUX INFORMATIONS PUBLIÉES ............................................................. 12 3. VÉRIFICATION DE L’IDENTITÉ......................................................................................... 12 3.1 FORMAT ET CONTENU DES CERTIFICATS ............................................................................ 12 3.1.1 Format des certificats ........................................................................................... 12 3.1.2 Contenu des certificats......................................................................................... 12 3.1.3 Nom distinctif ....................................................................................................... 12 3.1.4 Anonymat ou utilisation de pseudonyme............................................................... 12 3.1.5 Règles d’interprétation des différentes formes de noms........................................ 13 3.2 LA VÉRIFICATION DE L’IDENTITÉ ........................................................................................ 13 3.2.1 La désignation et les obligations de l’AVI .............................................................. 13 3.2.2 La vérification d’identité lors de la demande initiale............................................... 13 3.2.3 La vérification de l’identité lors de la remise des données d'activation................... 15 3.2.4 La vérification de l’identité au cours du cycle de vie des certificats........................ 15 3.2.5 La vérification de l’identité lors du renouvellement ................................................ 16 3.2.6 La vérification de l’identité lors d’une réémission .................................................. 16 3.2.7 La vérification de l’identité lors d’une modification................................................. 16 4. GESTION DES CLÉS ET DES CERTIFICATS ................................................................... 16 4.1 DEMANDE INITIALE D'ÉMISSION D'UN CERTIFICAT................................................................. 16 4.1.1 Personnes autorisées........................................................................................... 16 4.1.2 Procédure de demande d'émission d’un certificat ................................................. 17 4.1.3 Traitement d’une demande de certificat ................................................................ 17 4.1.4 Délai de traitement d’une demande de certificat ................................................... 17 4.1.5 Acceptation ou rejet de la demande de certificat................................................... 18 4.1.6 Acceptation d’un certificat..................................................................................... 18 4.1.7 Utilisation des certificats....................................................................................... 18 4.2 DEMANDE DE RÉÉMISSION DE CERTIFICATS (NOUVELLE DEMANDE) ....................................... 18 Public page 2 sur 38

Déclaration des pratiques du CCQ

Févier 2011

4.2.1 Personnes autorisées........................................................................................... 18 4.2.2 Procédure de demande de réémission ................................................................. 18 4.2.3 Traitement d'une demande de réémission ............................................................ 18 4.2.4 Délai de traitement ............................................................................................... 18 4.3 DEMANDE DE RENOUVELLEMENT D’UN CERTIFICAT.............................................................. 18 4.3.1 Personnes autorisées........................................................................................... 19 4.3.2 Procédure de demande de renouvellement .......................................................... 19 4.3.3 Traitement d'une demande de renouvellement ..................................................... 19 4.3.4 Délai de traitement ............................................................................................... 19 4.3.5 Avis de renouvellement ........................................................................................ 19 4.4 RÉCUPÉRATION D’UN CERTIFICAT ..................................................................................... 19 4.4.1 Personnes autorisées........................................................................................... 19 4.4.2 Procédure de récupération ................................................................................... 19 4.4.3 Traitement d’une demande de récupération.......................................................... 19 4.4.4 Délai de traitement ............................................................................................... 20 4.5 DEMANDE DE MODIFICATION D'UN CERTIFICAT .................................................................... 20 4.5.1 Personnes autorisées........................................................................................... 20 4.5.2 Circonstances pouvant entraîner une modification................................................ 20 4.5.3 Traitement d’une demande de modification .......................................................... 20 4.5.4 Délai de traitement d’une demande de modification.............................................. 21 4.6 RÉVOCATION D’UN CERTIFICAT ......................................................................................... 21 4.6.1 Personnes autorisées........................................................................................... 21 4.6.2 Traitement d’une demande de révocation............................................................. 21 4.6.3 Délai de traitement d’une révocation..................................................................... 21 4.6.4 Exigences de vérification pour les partenaires d’affaires ....................................... 21 4.7 SUSPENSION D’UN CERTIFICAT ......................................................................................... 21 5. MESURES DE SÉCURITÉ PHYSIQUE ET ADMINISTRATIVE........................................... 21 5.1 MESURES DE SÉCURITÉ PHYSIQUE .................................................................................... 21 5.1.1 Situation géographique des sites.......................................................................... 21 5.1.2 Accès physique.................................................................................................... 22 5.1.3 Alimentation électrique et climatisation ................................................................. 22 5.1.4 Vulnérabilité aux dégâts d’eau.............................................................................. 22 5.1.5 Prévention et protection incendie.......................................................................... 22 5.1.6 Conservation et protection des supports............................................................... 22 5.1.7 Mise hors service des supports ............................................................................ 22 5.1.8 Prise de copie ...................................................................................................... 22 5.1.9 Relève ................................................................................................................. 22 5.1.10 Mesures de sécurité physique pour l’AVI .............................................................. 22 5.1.11 Mesures de sécurité physique pour le détenteur................................................... 23 5.2 MESURES DE SÉCURITÉ ADMINISTRATIVE ET OPÉRATIONNELLE ............................................ 23 5.2.1 Répartitions des tâches........................................................................................ 23 5.2.2 Rôles de confiance............................................................................................... 23 5.2.3 Rôles exigeant une séparation des tâches............................................................ 23 5.2.4 Mesures de sécurité relatives au personnel .......................................................... 23 5.2.5 Formation initiale.................................................................................................. 24 5.2.6 Formation continue .............................................................................................. 24 5.2.7 Changement du personnel ................................................................................... 24 5.2.8 Sanctions ............................................................................................................. 24 5.2.9 Documentation..................................................................................................... 24 5.2.10 Personnel contractuel........................................................................................... 24 5.3 PROCÉDURES DE CONSTITUTION DES REGISTRES DE VÉRIFICATION ...................................... 24 5.3.1 Type d’évènement à enregistrer ........................................................................... 24 5.3.2 Fréquence des vérifications des registres............................................................. 25 5.3.3 Conservation des registres de vérification............................................................. 25 5.3.4 Mesures de protection.......................................................................................... 25 5.3.5 Évaluation des vulnérabilités ................................................................................ 25 5.4 CONSERVATION ET ARCHIVAGE DES DONNÉES ................................................................... 25 5.4.1 Types de données à conserver et archiver ........................................................... 25 5.4.2 Période de conservation des archives .................................................................. 25 5.4.3 Protection des archives ........................................................................................ 26 Public page 3 sur 38

.....3............................................................... 32 9....................... 32 9...2..........................................1.........7 HORODATAGE / SYSTÈME DE DATATION .......Déclaration des pratiques du CCQ Févier 2011 6........................................2 Champs de base du certificat du détenteur.........2 CONFIDENTIALITÉ DES INFORMATIONS .............. 27 6..3.............................................. 26 5...........1 Champs de base du certificat de l’AC .... 26 5............................................................................................2 QUALIFICATION DES AUDITEURS ....................................... 31 9............................. 31 9......................................................6...............................4............ 30 6......3 Frais pour la vérification de l’identité par un AVI ..............1 FORMAT ET CONTENU DES CERTIFICATS .....................................................1.................... 28 6.1.........................6.......................1 Procédure de relève ......................................................3 Mesures de surveillance............................................................................ 31 7.................................6.................................................................................................. 32 9.............1 Portée .......................................5 REPRISE DES ACTIVITÉS SUITE À UNE COMPROMISSION OU À UN SINISTRE ...................................... 31 8.....6 Taille et période de validité des certificats................... 7..1........................ 31 8................ 27 6...................................................................1..................................................5 MESURES PRISES EN CAS DE MANQUEMENT . 31 DISPOSITIONS LÉGALES........................................... 29 6.......................1 MOTIFS ET FRÉQUENCE DES AUDITS...................................................5..................................................... 32 9......................................................................6..1 Normes de sécurité relatives aux modules cryptographiques .......................... 8................. 27 6..............................6.....4 Exigences d’horodatage des données .................................................................................................................... 26 5................................................................2 Cessation des activités du PSC/R ................... 28 6................ 31 8......1 Génération des clés .... 29 6...........................................................................................................................1 Frais d’émission et de gestion des certificats ......... 28 6........................................................... 29 6............. 33 page 4 sur 38 Public ........................................................................................................................... 26 5..................................1 Archivage des clés publiques ............... 31 8...................4 Livraison de la clé publique de l’AC ...................................2...........3 AUTRES ASPECTS RELATIFS À LA GESTION DES CLÉS ET DES CERTIFICATS ........... 27 6........1..........................................2 Mesures de contrôle entourant la gestion et l’évolution des composantes de l’ICP 29 6........................................1......................6 CESSATION DES ACTIVITÉS D’UNE DES COMPOSANTES DE L’ICP........................... 26 5.......................... 31 9.................. 27 6...............................2......2................ 26 5.......................................... 28 6.........................................................3 Livraison des clés de chiffrement............................ 30 7.................................................. 27 6.....2 Protection des clés privées de l’ICP.......... 26 5........ 9.... 31 9....4 SUJETS COUVERTS PAR LES AUDITS .............................5........5 MESURES DE SÉCURITÉ ENTOURANT L’INFRASTRUCTURE ICP........................................................5 RESPONSABILITÉ FINANCIÈRE.................... 29 6...................................1 Mesures de contrôle d’ingénierie des modules cryptographiques.........4...................... 30 7..................................................................2 PROFIL DES LCR ..................5 Procédure de récupération et de vérification des archives ....................................................................2 Périodes d’utilisation des clés publiques et privées.................... 29 6...................................................................................... 27 6..... 31 9.............................................. 27 6.............................................. 27 6............................... 26 MESURES DE SÉCURITÉ TECHNIQUES... 30 7...................................................... 31 8....... 30 PROFILS DES CERTIFICATS ET DES LCR ..............................................................................................................6 MESURES DE CONTRÔLE ....3 LES AUDITEURS EXTERNES ....1.........3 Cessation des activités de l’ALE...................................................3 IDENTIFIANT D’ALGORITHMES ....2 Protection des informations confidentielles ...........................................2 NORMES DE SÉCURITÉ RELATIVES AUX MODULES CRYPTOGRAPHIQUES ET PROTECTION DES CLÉS PRIVÉES ........1 Cessation des activités de l’AC........................2 Plan de continuité des affaires........................1.................1.......... 31 CONTRÔLES DE CONFORMITÉ......1..................2 Accès logiques..1 Accès physiques ....1 GÉNÉRATION ET LIVRAISON DES CLÉS ..................................................................................2.....................4 DONNÉES D'ACTIVATION .................................................... 33 9........................................... 27 6......................................................3 PROTECTION DES RENSEIGNEMENTS PERSONNELS ............4 PROPRIÉTÉ INTELLECTUELLE .......5 Génération de certificat au détenteur.............6..........2 Frais d’accès aux LCR et à l’état des certificats ..................................... 5............................................................ 26 5...............................................................6................5.............4 Cessation des activités de l’AVI............................... 32 9................... 26 5.......................1 TARIFS ......2 Livraison des clés de signature......................................3 Protection de clés privées du détenteur ........... 29 6..................................................5................................ 30 7............. 27 6.....1.......................4 Autres services .....

.............. 33 9.................................... 34 9....................6.......................Déclaration des pratiques du CCQ Févier 2011 9...................................7 DÉGAGEMENT DE RESPONSABILITÉ .........................................................................................................................................................11.. 34 9................. 34 9...........................................................................................................11..............2 Relativement aux renseignements inscrits au répertoire ..................10.................................................................. 34 9....................1 Lois et règlements applicables............................................................................ 35 ANNEXE A ..................................................................................................................................11...... 34 9...................1 Plaintes............................................10 PROCÉDURES D’APPROBATION ............................10..............................................1 Relativement aux renseignements inscrits au certificat .3 Élection de domicile ............ 37 Public page 5 sur 38 ..................................................................2 Litiges ... 34 9. 34 9..................... 36 ANNEXE B .........8 INDEMNITÉS ..............................12...................................... 35 9........................1 Approbation de la Politique........................ 34 9............................2 Indépendance des dispositions.....................................................6 REPRÉSENTATION ET GARANTIES .................... 33 9..ACRONYMES .........13 ENTRÉE EN VIGUEUR ..........................................................................................................10.............................................................................................................3 Validité........ 33 9..... 33 9................................ 34 9.12........ 34 9............10.................................... 34 9...........................6.......................................................... 34 9......................................................... 34 9.....................................................12 INTERPRÉTATION ...........................................................9 COUVERTURE PAR LES ASSURANCES .......................................................DÉFINITIONS .....2 Approbation de la Déclaration ....4 Applicabilité en cas d’invalidité ........11 TRAITEMENT DES PLAINTES ET LITIGES ........................

509 (IETF PKIX) Certificate Policy and Certification Practices Framework». ci-après la « Politique » ou collectivement « les Politiques ». Les coordonnées du PSC/R sont : Notarius inc. 1.R.com La Déclaration des pratiques prévoit entre autres la création. la gestion. Notarius agit à titre de Prestataire de services de certification et de répertoires (PSC/R) et assure la gestion des opérations techniques et administratives pour l’infrastructure à clés publiques (ICP) portant le nom de Centre de certification du Québec1 (CCQ). Le CCQ est aussi un service de certification externe reconnu par le gouvernement du Québec pour émettre des clés et des certificats aux clients du Registre foncier informatisé et au Cadastre du Québec. Ces certificats permettent de signer des documents technlogiques assurant ainsi l’identité de son auteur et à chiffrer des données afin d’en préserver la confidentialité et l'intégrité.4 Interprétation La Déclaration des pratiques découle des Politiques qui constituent un «énoncé de politique» au sens de l’article 52 de la Loi concernant le cadre juridique des technologies de l’information (L.1 Dispositions générales Objet La Déclaration des pratiques de certification du CCQ.com Site Web : www. La Déclaration des pratiques est basée sur le document RFC 3647 du «Internet Engineering Task Force (IETF) Public Key Infrastructure X. Par conséquent. C1-1). c. Cette ICP prévoit l’émission de clés et de certificats à des détenteurs autorisés. Des processus administratifs et techniques découlent de la Déclaration des pratiques afin de détailler l’infrastructure technologique et les opérations administratives nécessaires pour rendre le service. ci-après la « Déclaration des pratiques» édicte les moyens utilisés par le PSC/R pour offrir les services de certification et répondre aux exigences de la Politique de certification de la Chambre des notaires du Québec et de la Politique de certification de l’Ordre des arpenteurs-géomètres du Québec. L’OID est un numéro apparaissant dans le certificat permettant de faire le lien entre le certificat et le niveau de confiance qui lui est attribué selon la Politique. qui agit en se fondant sur un certificat.2 Champ d’application La Déclaration des pratiques s’applique à l’ensemble des services du Centre de certification du Québec.Q. Ces processus sont de nature confidentielle et sont la propriété du PSC/R. de s’assurer que le certificat correspond à un niveau de confiance acceptable pour l’utilisation qu’il désire en faire. la délivrance.3 Identification Le PSC/R identifie tous les certificats émis par un identificateur d’objet (OID).Déclaration des pratiques du CCQ Introduction Févier 2011 Depuis 1998. 1. aux intervenants impliqués ainsi qu’à la gestion du service et de l’infrastructure. 1. 1. Public page 6 sur 38 . Responsable : Directeur Conformité juridique et Sécurité de l’information 1080.notarius. l’utilisation et les exigences relatives à la vérification d’identité des détenteurs. 1. l’OID permet à un tiers utilisateur. bureau 700 Montréal (Québec) H2Z 1S8 Téléphone : 514 281-1577 Télécopieur : 514 281-1226 infoicp@notarius. Côte du Beaver Hall.

De s’assurer que la clé privée de l’AC ne sert qu’à signer les certificats des détenteurs. L’AC est également responsable de : • • • • • • • L’adoption et de la modification de sa Politique. De s’assurer que l’AC publie les LCR.5. La négociation d’ententes de reconnaissance réciproque avec d’autres autorités de certification ou prestataires de services de certification. Les fonctions du PSC/R sont confiées à Notarius. Le PSC/R agit à titre d’autorité d’enregistrement. les LCR et les LAR. La désignation des agents vérificateurs de l’identité (AVI). De s’assurer que les vérifications nécessaires ont été effectuées avant de confirmer les éléments d’information contenus aux certificats. Il est également responsable des services de répertoire permettant de confirmer la validité d’un certificat conformément aux exigences de l’AC. représentée par son Comité exécutif. De mettre en œuvre des moyens nécessaires et conformes aux meilleures pratiques pour assurer la sécurité des services de répertoires. conformément aux exigences des Politiques.5.5 Les composantes de l’ICP 1.1 L’Autorité de certification (AC) L’Autorité de Certification (AC) est : L’Ordre des arpenteurs-géomètres du Québec. La Chambre des notaires du Québec. De déléguer certaines fonctions à une autorité locale d’enregistrement (ALE) . les LAR ainsi que les certificats publics des détenteurs. Le choix du PSC/R. laquelle porte le nom Centre de certification du Québec. filiale technologique de la Chambre des notaires du Québec. • • • • • • Public page 7 sur 38 . De recueillir et de consigner les renseignements relatifs aux détenteurs. pour tous les autres détenteurs de certificats du CCQ.2 Le Prestataire de services de certification et de répertoire (PSC/R) L’AC s’adjoint les services du PSC/R pour l’administration des services de certification visant la délivrance et la gestion des certificats. - L’AC peut déléguer ses fonctions à une personne qu’elle désigne. pour ses membres.Déclaration des pratiques du CCQ Févier 2011 1. 1. leurs partenaires d’affaires et les personnes désirant transiger avec eux ou le Cadastre du Québec. Le PSC/R est responsable : • • D’élaborer une déclaration des pratiques de certification. L’approbation des ententes prises par le PSC/R concernant les services offerts. De l’ensemble des aspects administratifs et technologiques associés à la délivrance des certificats ainsi qu’aux opérations subséquentes reliées à leur cycle de vie. La publication de la liste des autorités révoquées (LAR). Elle est responsable des certificats signés en son nom ainsi que de l’ensemble de l’Infrastructure à clés publiques (ICP). La publication de la liste des certificats révoqués (LCR). représenté par son Conseil d’adminitration.

5. Les fonctions suivantes peuvent être déléguées à un employé d’une ALE : • • • • La gestion et la délivrance d’une partie des certificats. lorsque celui-ci est affecté à un groupe ou à un dispositif. De respecter la confidentialité des renseignements recueillis. les pièces et les documents demandés conformément à la Politique applicable. De fournir à l’AVI les renseignements. les renseignements requis du demandeur. D’assurer le support auprès des détenteurs. 1.5 Le détenteur Le détenteur utilise son certificat pour signer. 1. L’ALE peut être un RPR ou une personne morale. De s’assurer qu’il est le seul à utiliser son certificat ou. De protéger toute information sensible qui lui a été transmise par le PSC/R. pour s’authentifier et/ou pour chiffrer selon ses besoins ou les fonctionnalités disponibles. de son secret partagé.4 L’agent vérificateur de l’identité (AVI) L’AVI est chargé de vérifier l’identité de la personne à l’égard de qui un certificat est demandé et. La confirmation que les éléments d’information contenus aux certificats dont elle assure la gestion ont été vérifiés conformément à la Politique applicable. Plus spécifiquement. le statut d’employé. De juger de la qualité des documents d’identification qui lui sont présentés. De respecter les exigences opérationnelles du PSC/R. de sa clé privée et de son mot de passe. De protéger ses équipements contre toute atteinte à leur sécurité et à leur intégrité. il doit les refuser. de s’assurer qu’il n’est utilisé que par les personnes ou les applications autorisées. La cueillette et la consignation des renseignements relatifs aux détenteurs de certificats dont elle assure la gestion. son statut professionnel.5. De protéger la confidentialité de ses données d’activation.Déclaration des pratiques du CCQ • • Févier 2011 D’assurer la conservation des listes de numéros des certificats annulés et des renseignements qui y sont associés. Le support de 1er niveau auprès des détenteurs de certificats dont elle assure la gestion.. 1. le cas échéant. telles le statut professionnel du demandeur. l’AVI est responsable : • • • • • • • • De vérifier l’identité du demandeur conformément à la Politique.3 L’Autorité locale d’enregistrement (ALE) L’autorité locale d’enregistrement (ALE) est responsable des fonctions qui lui sont déléguées par le PSC/R. etc. De confirmer certaines informations. Le détenteur est responsable : • • • • • De remplir les obligations relatives à son adhésion telles que requises par le PSC/R. En cas de doute sur la validité ou l’authenticité des documents présentés. De transmettre de façon sécuritaire au PSC/R ou à l’ALE. D’utiliser son certificat pour les seules fins autorisées.5. notamment en fermant sa page 8 sur 38 • Public . D’utiliser son équipement informatique de façon sécuritaire.

2 L’utilisateur Un utilisateur est une personne qui agit en se fondant sur un certificat émis par l’ICP. Il peut s’agir d’un tiers ou d’un détenteur de certificats de l’ICP. De ne pas utiliser son certificat lorsqu’il est révoqué ou expiré.1 Le partenaire d’affaires Le partenaire d’affaires est une personne morale qui désire transiger de façon électronique avec des détenteurs de certificats en intégrant des fonctionnalités de signature numérique dans ses applications ou processus d’affaires. notamment quant à son adresse courriel ou à ses coordonnées professionnelles. D’informer dans les plus brefs délais le PSC/R de tout changement. De s’authentifier afin d’avoir accès à des actifs informationnels. Le partenaire d’affaires est responsable : • • • • • • • D’arrimer ses processus d’affaires à l’utilisation de certificats de l’ICP.6 Autres participants 1. Ils sont utilisés pour permettre notamment: • • • Public De confirmer l’identité d’une personne. De décider qui au sein de son organisation détiendra des certificats de l’ICP.6. Que le certificat est ou était valide au moment de son utlisation. • Le PSC/R peut exiger du partenaire d’affaires qu’il se soumette à un audit ou qu’il fournisse un rapport d’audit sur des aspects qu’il détermine.5. 1.6. Qu’il correspond au niveau de confiance requis. page 9 sur 38 . De signer numériquement des documents technologiques afin d’en asssurer l’intégrité et la non-répudiation.5. À cet effet.Déclaration des pratiques du CCQ session de signature numérique avant de quitter son poste de travail. D’informer le PSC/R de tout événement pouvant entraîner une intervention sur les certificats. il doit être autorisé et avoir conclu une entente avec le PSC/R. • • • Févier 2011 D’aviser dans les meilleurs délais le PSC/R s’il soupçonne que la confidentialité de son certificat est compromise. 1. D’informer les détenteurs des utilisations autorisées dans ses applications. 1.6 Utilisation des certificats 1.6. De s’assurer que le détenteur a les moyens nécessaires pour respecter les obligations découlant de la Politique. notamment leur révocation. entre autres. D’effectuer la gestion des accès à ses applications informatiques.5.1 Utilisation autorisée des certificats Les certificats émis par l’ICP ne peuvent servir qu’aux fins autorisées par la Politique applicable. Celui qui veut agir en se fondant sur un certificat doit vérifier : • • • Que le certificat a été délivré par le CCQ. De se conformer aux spécifications techniques et fonctionnelles exigées par le PSC/R ainsi que de leurs évolution. en ce qui touche l’obligation de préserver la confidentialité de sa clé privée. D’effectuer les mises à jour nécessaires pour suivre l’évolution de l’ICP.

4 Niveaux de confiance des certificats offerts Chaque certificat délivré par l’ICP doit indiquer un niveau de confiance.1.5 2.1 2.124.113550.6.6.16.9 OID pour la politique de l’OAGQ 2. Un individu désirant transiger avec le Registre foncier du Québec en ligne .2 2.3 2.1.0 2.2. 1. on ne peut raisonnablement se fier à ce type de certificat. Le niveau de confiance est indiqué au moyen d’un identifiant d’objet (OID) pour la signature et pour le chiffrement.1.1.1.1. Toutefois. Par conséquent.113550.1.Déclaration des pratiques du CCQ • Févier 2011 De chiffrer des documents technologiques afin d’en asssurer la confidentialité ou de chiffrer certaines communications avec des applications.16.1 Niveau « Test » OID pour la politique de la Chambre des notaire 2.16.124.113550.124.1.113550.113550.2.113550. 1.1 2.113550.1.124.124.124.2.16.124.113550.8 2.113550.2.124.124.1.6.6 2.113550.2.1 mais dont l’identité n’a pas été formellement vérifiée.7 2.16.16.113550. Public page 10 sur 38 .4 N/A N/A 2.113550.113550.3 Détenteur de certificats autorisés Le détenteur de certificats autorisé est : • • • • Un membre d’un Regroupement de professionnels reconnus (RPR) ayant conclu une entente avec le PSC/R .1.16.2.2.113550.2. l’AC et le PSC/R peuvent restreindre l’utilisation des certificats dans la mesure où les détenteurs visés en sont informés de façon explicite. Un individu agissant pour une personne morale qui souhaite utiliser des certificats à des fins professionnelles .113550.124. Un individu désirant transiger avec le Cadastre du Québec.4.6.16.124.124.16.16.16.2.2.4 2.124.1. 1.16.113550.16.2 Limite d’utilisation La Déclaration n'impose aucune limite relative à la valeur d'une transaction dans le cadre de laquelle les certificats peuvent être utilisés.113550.1.2.1. Les OID utilisés pour chacun des niveaux de confiance offerts sont : Niveau de confiance FAIBLE Types de certificats Signature Chiffrement Signature Chiffrement Signature Chiffrement Signature Chiffrement TEST Signature Chiffrement 1.16.1.2 2.2.16.1.113550.1.6 2.124.5 2.16. Le contrat d’adhésion peut limiter les utilisations que peut faire le détenteur de son ou ses certificats.1.2.124.7 2.16.1.2.1.3 2.124.16.124. Les Politiques définissent les règles applicables pour chaque niveau de confiance offert au détenteur.2.124.8 MOYEN MOYEN-ÉLEVÉ ÉLEVÉ Un certificat de niveau de confiance « Test » est délivré à une personne qui en fait la demande selon ce qui est prévu au paragraphe 4.2. Les inscriptions apparaissant aux répertoires de l’ICP sont utilisées par les détenteurs ou les utilisateurs seulement pour accéder au certificat public d’un détenteur et pour accéder aux LCR et LAR.

3 Publication des LCR Les points de distribution de la LCR sont publiés par le PSC/R. Le code de raison de la révocation. 1.1. Le sceau d'intégrité de l'application de gestion des clés et des certificats.7.8.1. Public page 11 sur 38 . La date et l'heure de l'émission de la LCR.1. bureau 700. Les informations qui doivent être publiées dans la LCR et la LAR sont notamment : L’empreinte numérique du certificat de l’AC est : abf5 7180 0c9f dd18 611e 5ba8 bbfc 35ec 0ab4 b877. 2. 2.7 Gestion de la Déclaration 1. Côte du Beaver Hall. 2. La signature de l’AC.8 Définitions et acronymes 1. Les adresses de la LCR doivent être indiquées dans les certificats des détenteurs. 2. La date et l'heure de l'émission de la prochaine LCR. 2. 1.1 Publication et diffusion de l’information Service de publication 2.1 Publication de la Politique La Politique est publiée sur le site Internet du PSC/R.Déclaration des pratiques du CCQ Févier 2011 1. Le numéro de série des certificats qui ont été révoqués.2 Publication du certificat de l’AC Le certificat de l’AC est publié par le PSC/R sur http://webcrl.com 1. Montréal (Québec) H2Z 1S8 Téléphone : 514 281-1577 ou 1 888 588-0011 Télécopieur : 514 281-1226 Adresse électronique : infoicp@notarius.7.3 Délai et fréquence des publications Le certificat de l’AC doit être disponible en permanence.7. 1. La date et l’heure de la révocation.8. Le numéro de la LCR.2 Définitions L’Annexe B contient la définition des termes les plus couramment utilisés dans la Déclaration. 2.net/crl/.1 Acronymes L’Annexe A contient les acronymes utilisés dans la Déclaration.2 • • • • • • • • • Informations publiées Le nom distinctif de l’AC.3 Procédure d’approbation de la Déclaration Le PSC/R approuve les modifications à la Déclaration selon ses règles de fonctionnement interne.notarius.2 Coordonnées du responsable de la Déclaration Les coordonnées de la direction responsable de la Déclaration sont : Notarius A/S Direction conformité juridique et sécurité de l’information 1080.1 Organisme responsable de la Déclaration La Déclaration est sous la responsabilité de Notarius.

3. lequel peut être celui d’un groupe. Le PSC/R met en place toutes les mesures de sécurité nécessaires afin de protéger et d’assurer l’intégrité des informations publiées de la LCR et de la LAR. Le nom distinctif du détenteur d’un certificat. La durée de validité de la LCR doit être d’un maximum de quarante-huit (48) heures. l’adresse de courriel du détenteur. 3. le matricule professionnel. un code d’identification administratif.Déclaration des pratiques du CCQ La LCR est mise à jour automatiquement lors de la révocation d’un certificat. Févier 2011 La publication du statut d’un certificat par le PSC/R constitue un avis aux utilisateurs. Le nom distinctif doit être unique pour tous les certificats émis et il est de la responsabilité du PSC/R de s’en assurer. Un certificat peut également comporter. un certificat doit être considéré comme révoqué par les utilisateurs dès la publication de cette information. d’un rôle ou d’un dispositif auquel le détenteur a affecté le certificat). Le groupe auquel le détenteur appartient. d’un rôle ou d’un dispositif auquel le détenteur d’un certificat a affecté le certificat.1 Vérification de l’identité Format et contenu des certificats 3.2 Contenu des certificats Les certificats du détenteur doivent être signés par l’ICP et contenir les renseignements suivants : • Le nom distinctif de l’AC.1. La version des certificats et le numéro de série des certificats. 3. Pour les autres détenteurs. 2. 3. Un matricule professionnel ou le code d’identification administratif.509 version 3. 3.1.1. Le nom distinctif du détenteur apparaissant aux certificats comprend : • • • • Le nom divulgué par le détenteur et vérifié par l’AVI. Public page 12 sur 38 .1.501 et au RFC 3280.1 Format des certificats Les certificats émis sont dans un format conforme aux spécifications de la norme X. de manière facultative. lequel peut être celui d’un groupe. L’identification ou l’acronyme du groupe auquel le détenteur appartient. le matricule professionnel ou le code d’identification administratif et le groupe auquel le détenteur appartient.3 Nom distinctif Le PSC/R émet des certificats possédant un nom distinctif et unique dans le champ «Subject – DN». Pour les détenteurs membres en règle d’un RPR.4 Contrôle d’accès aux informations publiées Les informations publiées de la LCR et de la LAR doivent être disponibles en lecture aux utilisateurs.4 Anonymat ou utilisation de pseudonyme Le PSC/R s’assure de ne pas émettre de certificats utilisant un pseudonyme ou un identifiant anonyme pour désigner un détenteur. conformément aux spécifications de la norme X. Le début et la fin de la période de validité des certificats. L’unicité du nom distinctif résulte de la combinaison des éléments d’identification que sont : les nom et prénom du détenteur. Dans cette optique. • • • • • • Les identificateurs d’objet faisant référence à la Politique applicable.

2 La vérification d’identité lors de la demande initiale 3. l’AVI doit recueillir.1. 3. d’un dispositif ou d’un groupe ainsi que son lien avec le détenteur.2.2. 3.1.2. Le fait que la vérification d’identité a été faite ou non en présence physique du demandeur. Dans l’exercice de ses fonctions. mais la section « Attestation » doit être complétée par l’AVI autorisé.5 Règles d’interprétation des différentes formes de noms Le nom utilisé par le détenteur est explicite et ne nécessite pas d’interprétation particulière. qui fixe les modalités relatives à la vérification de l’identité et du statut professionnel d’un demandeur de certificats ou d’un détenteur.1 La vérification de l’identité d’un niveau de confiance « faible » Procédure à suivre : Public page 13 sur 38 . au moins : • • • • • Le nom du demandeur.2. Il lui appartient de juger si les documents fournis par le demandeur remplissent les conditions de preuves suffisantes.1 La désignation et les obligations de l’AVI 3. la date de la vérification d’identité. L’AVI est employé par un RPR qui en vertu d’une entente avec le PSC/R prend en charge la responsabilité de la vérification de l’identité et du statut professionnel de ses membres. Le fait de transmettre au PSC/R (ou à l’ALE) l’ordre de traiter une demande d’émission ou de réémission de certificats constitue l’attestion de vérification.3 L’attestation de vérification L’AVI doit attester de la vérification de l’identité du demandeur selon les exigences du PSC/R.2.2.4 Exemption de produire une attestation de vérification L’AVI est exempté de produire une attestation de vérification dans les cas suivants : • • • L’AVI est employé par un RPR et elle ne confirme que le statut professionnel du membre. 3.2. L’attestation doit être faite par écrit et comporter. Cette vérification peut aussi servir à établir l’identification et l’existence d’une personne morale.1. le détenteur doit avoir suivi la formation offerte par le PSC/R et avoir signé un contrat d’engagement définissant les types de clientèle pour lesquels il peut vérifier l’identité.2.1 Les personnes autorisées à vérifier l’identité L’AVI est désigné par l’AC ou par le PSC/R lorsque cette fonction est déléguée. Le cas échéant. 3. 3. soit la confirmation de la vérification de l’identité ou du statut professionnel du demandeur.1. pour agir comme AVI.1.2. 3. Lorsqu’il doute de la validité ou de l’authenticité des documents présentés. 3.1.1 Vérification de l’identité d’un individu 3.Déclaration des pratiques du CCQ Févier 2011 Le mot « Test » ou toute autre mention de même nature peuvent être utilisés dans le nom ou dans le code d’identification administratif pour les signatures utilisées à des fins de tests uniquement. l’AVI doit les refuser.2 Les obligations de l’AVI Sauf lorsque l’AVI est le représentant autorisé d’un RPR. La vérification de l’identité L’attestation de vérification de l’identité peut faire partie du formulaire d’adhésion. les autres renseignements vérifiés.2 Cette étape consiste à établir l’identité d’un futur détenteur selon la procédure prévue à la présente section. conserver et manipuler l’information dans le respect des lois et des exigences en matière de confidentialité et de protection des renseignements personnels.2. le nom et la signature de l’AVI.

2 Procédure à suivre : • • • • Se présenter en personne devant un AVI autorisé à recevoir la demande. Signer le formulaire en présence de l’AVI. Fournir une photocopie de deux documents confirmant son identité émanant d’une autorité gouvernementale reconnue.2. Fournir une photocopie de deux documents confirmant son identité émanant d’une autorité gouvernementale reconnue.4 La vérification de l’identité d’un niveau de confiance «élevé » Procédure à suivre : • • • • Se présenter en personne devant un AVI autorisé à recevoir la demande. le contrat d’adhésion peut être signé par le demandeur en présence d’un confrère membre du même ordre qui vérifie son identité et y appose sa signature officielle. la personne désirant obtenir des certificats de niveau de confiance « moyen » peut présenter une demande à distance à l’AVI du RPR dont il est membre et qui s’est contractuellement engagé envers le PSC/R à prendre en charge la responsabilité complète de la vérification de l’identité de ses membres.2. pour les certificats attribués à un notaire à titre de membre de la Chambre des notaires du Québec ainsi que pour un arpenteur-géomètre à titre de membre de l’OAGQ. Fournir une photocopie de deux documents confirmant son identité émanant d’une autorité gouvernementale reconnue. Exceptionnellement.2 . Fournir une déclaration dûment complétée par une personne autorisée par le PSC/R selon laquelle les pièces d’identité produites au soutien de la demande représentent le demandeur. La vérification de l’identité d’un niveau de confiance «moyen » • 3.Déclaration des pratiques du CCQ Févier 2011 • • • Compléter le formulaire d’adhésion en respectant toutes les formalités exigées par le PSC/R. Compléter le formulaire d’adhésion en respectant toutes les formalités exigées par le PSC/R. Signer le formulaire en présence de l’AVI.3 La vérification de l’identité d’un niveau de confiance «moyen-élevé » Procédure à suivre : • • • • • Être membre d’un RPR et compléter la formalité exigée au paragraphe 3.2.2. dont l’une avec photo. Remplir le formulaire d’adhésion en respectant toutes les formalités exigées par le PSC/R. 3.2. Exceptionnellement.2. 3. page 14 sur 38 Public . Fournir une photocopie de deux documents confirmant son identité émanant d’une autorité gouvernementale reconnue. dont l’une avec photo. Se présenter en personne devant un AVI autorisé à recevoir la demande . dont l’une avec photo. dont l’une avec photo. Transmettre le formulaire d’adhésion.1. la photocopie des pièces d’identité et la déclaration à un AVI autorisé à recevoir la demande qui vérifie la concordance des éléments reçus au soutien de la demande.2.2.1.1. Signer le formulaire en présence de l’AVI. Compléter le formulaire d’adhésion en respectant toutes les formalités exigées par le PSC/R.

L’obtention de l’autorisation n’est pas requise lorsque l’AVI agit spécifiquement pour le compte de cette personne morale.3 La vérification de l’identité lors de la remise des données d'activation Les données d’activation sont transmises comme suit : a) Par au moins deux des moyens suivants pour les certificats de niveau de confiance « faible ».2 Vérification du statut professionnel Lorsqu’il est requis d’indiquer dans les certificats que le détenteur est membre d’un RPR.2.4 La vérification de l’identité au cours du cycle de vie des certificats Tout au long du cycle de vie des clés et des certificats. l’AVI du RPR doit vérifier.3 Vérification de l’appartenance à une personne morale Lorsqu’il est requis d’indiquer dans les certificats du détenteur le nom ou l’acronyme d’une personne morale. 3. 3. entre autres. 3. 5. les informations publiées dans les registres du RPR ou tout autre document procurant une certitude équivalente.Déclaration des pratiques du CCQ • Févier 2011 Optenir et activer immédiatement son dispositif de sécurité physique concernant ses certificats numériques. Huissier de justice pour remise en main propre après vérification de l’identité du destinataire. Courriel. le PSC/R Public page 15 sur 38 . 2. Pour ce faire. Au détenteur lui-même après vérification de son identité à l’aide de son secret partagé. quelque soit le niveau de confiance : 1. entre autres.2. 4.4 Vérification pour un dispositif Lorsque les certificats sont appliqués à un dispositif ou une application. Application répondant aux exigences du PSC/R qui permet de transmettre les données d’activation de façon sécuritaire. Pour les certificats de niveau « Test ». 6. les informations publiées dans les registres légaux ou tout autre document procurant une certitude équivalente. le PSC/R peut avoir à vérifier l’identité d’un détenteur lorsque celui-ci requiert une opération touchant ses certificats. le PSC/R n’est pas tenu d’utiliser les moyens énumérés cidessus pour transmettre les données d’activation et peut utiliser tout moyen qu’il juge approprié. Application répondant aux exigences du PSC/R qui permet de transmettre les données d’activation au détenteur de façon sécuritaire. L’identification du dispositif. AVI pour remise en main propre après vérification de l’identité du détenteur. L’AVI doit également obtenir du demandeur un document attestant qu’il est autorisé à représenter la personne morale et qu’il est autorisé à être titulaire d’un certificat comportant l’identification de celle-ci.2. L’autorisation de la personne désignée pour détenir les certificats applicables au dispositif.2.2.2. l’AVI doit vérifier l’existence et l’identification de celle-ci en vérifiant. « moyen » et « moyen-élevé » : 1. AVI pour remise en main propre après vérification de l’identité du destinataire. 3. Poste recommandée ou entreprise de messagerie de confiance avec signature lors de la livraison. l’AVI doit obtenir une déclaration signée par une personne autorisée par le propriétaire du dispositif ou de l’application visée indiquant : • • • Le nom du propriétaire du dispositif. b) Par un seul des moyens suivants.2. 3. 3.2. 2.

Pour les membres d’un RPR. 3. Pour les certificats affectés à une personne morale ou un dispositif. la vérification d’identité doit être effectuée de la même manière que pour l’émission initiale. expiration ou annulation.4.5 La vérification de l’identité lors du renouvellement La vérification de l’identité du détenteur lors d’un renouvellement doit être effectuée par l’application du PSC/R qui vérifie la validité de la clé privée de signature du détenteur. 3. le PSC/R peut vérifier l’identité en comparant la signature qui y est apposée avec un spécimen déposé préalablement par le détenteur.Déclaration des pratiques du CCQ peut utiliser l’un des moyens énumérés à la présente section. Févier 2011 3. la preuve de l’identité peut être faite par la signature de son représentant autorisé.1 Gestion des clés et des certificats Demande initiale d'émission d'un certificat 4. Par le détenteur par un envoi postal scellé.1.4. le tout conformément aux spécifications techniques de l’ICP. la demande doit être faite par écrit ou au moyen d’une application répondant aux spécifications du PSC/R. Public page 16 sur 38 .7 La vérification de l’identité lors d’une modification Lors d’une demande de modification visant des informations contenues aux certificats. Pour ce faire. 3. À défaut.2.2. Il doit toutefois s’assurer que les informations inscrites aux certificats sont toujours exactes. il peut avoir recours à un AVI.4 La demande écrite Lorsque les demandes sont reçues sur support papier. Par le détenteur au moyen d’un message chiffré et signé .2 Le secret partagé Le PSC/R peut avoir recours à un secret partagé pour identifier un détenteur. le PSC/R doit vérifier de manière non équivoque l’exactitude des données à modifier. 3.2. le PSC/R peut vérifier l’identité du demandeur au moyen du secret partagé. 4.4. 4. Le secret partagé doit avoir été préalablement communiqué au PSC/R par l’une des façons suivantes : • • • • Après avoir été recueilli lors de la demande initiale par l’AVI.6 La vérification de l’identité lors d’une réémission Lorsqu’une personne demande la réémission de ces certificats dans un délai de douze (12) mois de leur révocation. il peut l’utiliser pour signer sa demande et ainsi établir son identité auprès du PSC/R. Si la modification concerne l’adresse courriel du détenteur ou un changement à ses coordonnées. le secret partagé peut provenir d’informations contenues aux registres du RPR.4.2.1 L’utilisation de la clé privée de signature Si la confidentialité de la clé de signature d’un détenteur n’est pas compromise.3 Le recours à un AVI Le PSC/R peut demander que la vérification de l’identité du détenteur soit effectuée par un AVI.2. 3.1 Personnes autorisées Seules les personnes autorisées peuvent demander et détenir des certificats de l’ICP.2. Par le détenteur au moyen d’une application répondant aux exigences du PSC/R. 3.2. et que ce dernier l’a transmis au PSC/R de façon à en assurer la confidentialité.

y appose la signature de l’AC et la lui transmet. Public page 17 sur 38 . Le PSC/R s’assure que le délai entre la création des données d’activation et la création des certificats n’excède pas les délais prévus aux présentes. lorsque la fonction lui est déléguée. y appose la signature de l’AC. Ce suivi doit permettre de connaître : • • • Qui sont les détenteurs de certificats. Le statut des certificats délivrés.4 Délai de traitement d’une demande de certificat La demande d’adhésion est traitée dans les meilleurs délais par le PSC/R. Transmettre les données d’activation au demandeur selon ce qui est prévu aux présentes.2 Procédure de demande d'émission d’un certificat Toute personne autorisée qui souhaite obtenir des certificats doit : • • • • Remplir un formulaire d’adhésion aux services de l’ICP en y indiquant son nom et les renseignements requis en fonction du certificat demandé. Une personne morale peut demander des certificats pour ses besoins en désignant une personne physique pour agir comme responsable.3 Traitement d’une demande de certificat Le PSC/R ou l’ALE. Les étapes pour compléter le processus d’émission sont : • • • • Le demandeur génère et transmet la clé publique de signature au moyen d’une application compatible avec l’ICP. Le PSC/R vérifie que le détenteur est en possession de la clé privée de signature.1. Vérifier la conformité de la demande. 4.1. • Le PSC/R doit colliger et conserver les documents pertinents relatifs au traitement d’une demande d’émission. Le statut des demandes en cours. le cas échéant. Inscrire le demandeur dans le répertoire et générer ses données d’activation. 4. transmet les certificats au détenteur et les publie dans un répertoire accessible aux utilisateurs. doit : • • • • • Vérifier la signature de l’AVI qui soumet la demande. Se conformer à toutes autres obligations expressément portées à sa connaissance par le PSC/R. Fournir à l’AVI les pièces et documents requis conformément à la Politique. Toutes les demandes doivent faire l’objet d’une vérification de l’identité par un AVI selon ce qui est prévu à la Politique. Le PSC/R doit être en mesure de faire le suivi des demandes. Accepter les conditions apparaissant au contrat d’adhésion.Déclaration des pratiques du CCQ Févier 2011 Une personne physique peut demander des certificats pour elle-même. Obtenir la confirmation du statut professionnel du demandeur. en adhérant au service de la façon prévue. Le PSC/R génère le certificat de signature du détenteur. 4.1. Le PSC/R crée les certificats de chiffrement du détenteur. pour un groupe ou pour un dispositif dont elle assure le contrôle.

2 Demande de réémission de certificats (nouvelle demande) La réémission consiste en l’émission d’un nouveau certificat pour un détenteur dont le certificat est révoqué ou expiré ou dont la demande a été annulée.Déclaration des pratiques du CCQ Févier 2011 Pour les certificats de niveaux de confiance « faible ».1.1.3 Traitement d'une demande de réémission Le PSC/R doit traiter la demande de réémission de la même façon qu’une demande d’attribution initiale. en signant le formulaire d’adhésion. 4. 4. 4. « moyen » et « moyen-élevé ».3 Demande de renouvellement d’un certificat Le renouvellement d’un certificat consiste en l’émission d’un nouveau certificat pour un même détenteur et en n’apportant aucune modification aux autres renseignements contenus dans le certificat. il certifie qu’il a attribué un certificat au détenteur et que celui-ci l’a accepté.1 Personnes autorisées Seul un détenteur peut demander la réémission de ses certificats. 4.5 Acceptation ou rejet de la demande de certificat L’apposition de la signature de l’AC sur le certificat du détenteur signifie l’approbation complète et finale de la demande initiale d’attribution des certificats.7 Utilisation des certificats L’utilisateur s’engage.6 Acceptation d’un certificat Le détenteur est présumé avoir accepté les certificats lorsqu’il procède à leur activation au moyen d’un dispositif compatible avec l’ICP.2. Pour les certificats de niveau « élevé ». Le PSC/R doit refuser une demande incomplète. Il peut alors exiger une nouvelle vérification de l’identité du détenteur par un AVI selon la procédure de demande initiale ou lorsque l’AVI n’a pas vérifié tous les éléments requis pour le niveau de confiance demandé ou le type de certificat à émettre.2.4 Délai de traitement Le délai de traitement est le même que pour une demande initiale.2 et faire vérifier son identité selon ce qui prévu à la section 3. le demandeur doit procéder à la création de ses certificats dans les sept (7) jours à compter de la remise des deux codes d’activation.1. 4. la demande est annulée. à n’utiliser son certificat que dans le cadre de ses fonctions. l’intégrité et la sécurité de documents technologiques ainsi que pour s’identifier et s’authentifier afin d’accéder à des actifs informationnels ou des applications électroniques. 4.2.2 Procédure de demande de réémission Lorsqu’une personne demande la réémission de ces certificats. 4.1.6. le détenteur peut utiliser ses certificats à titre de signature officielle dans les limites de la législation en vigueur. Il peut les utiliser pour assurer la confidentialité. À défaut de respecter les délais d’activation.2. 4. Dès lors que le PSC/R inscrit un certificat dans le répertoire. elle doit procéder selon ce qui est prévu à la section 4. Toute autre utilisation est interdite et engage la responsabilité du détenteur. 4. Selon le contrat d’adhésion. le détenteur doit procéder à la création de ses certificats et les conserver sur un support cryptographique dès la réception de ses codes d’activation.2. Public page 18 sur 38 .

4 Récupération d’un certificat La récupération d’un certificat peut être demandée lorsqu’il devient impossible d’y accéder. Une personne autorisée par jugement ayant l’autorité de la chose jugée rendu par un tribunal compétent. apposer la signature de l’AC sur ce certificat. 4.4 Délai de traitement La demande de traitement est automatique et est traitée dès réception. demander en ligne le renouvellement du certificat pourvu que celui-ci soit toujours valide. le détenteur doit compléter le processus de Public page 19 sur 38 .1. Aucuns renseignements contenus dans les certificats ne changent.1 Personnes autorisées Le détenteur est celui qui amorce le processus de renouvellement de son certificat. le PSC/R doit : • • Vérifier que la demande émane de l’une des personnes autorisées à la section 4. L’AVI d’une personne morale pour l’un de ses employés.4. À la réception de ses données d’activation.Déclaration des pratiques du CCQ 4. à l’exception du numéro de série et la période de validité du certificat qui sont modifiés. Le PSC/R en raison d’une difficulté technique.3 Traitement d'une demande de renouvellement Lors du renouvellement.4.3.2 Procédure de demande de renouvellement Le renouvellement est amorcé de façon automatique par le détenteur par le biais d’un dispositif compatible avec l’ICP. 4.3. apposer la signature de l’AC sur ce certificat et le lui transmettre.5 Avis de renouvellement Le détenteur est avisé automatiquement du renouvellement de ses certificats par le dispositif compatible avec l’ICP.4. Créer des données d’activation et les transmettre au détenteur après vérification de son identité. 4. 4. le cas échéant.2 Procédure de récupération La personne autorisée à faire une demande de récupération de certificat doit transmettre sa demande au PSC/R ou à l’AVI autorisé au moyen du formulaire prévu à cet effet ou d’un dispositif compatible avec l’ICP.3 Traitement d’une demande de récupération Lors de la réception d’une demande de récupération. 4. conformément à la section 3. 4.4 ou à la personne désignée dans l’ordonnance du tribunal. notamment en raison de la perte du mot de passe ou de la destruction des clés.1 Personnes autorisées Les personnes pouvant demander la récupération d’un certificat d’un détenteur sont : • • • • • Le détenteur lui-même. il est nécessaire de : • • • Authentifier le détenteur et de vérifier qu’il est en possession d’une clé privée de signature valide de l’ICP.3. avant la date d’échéance du certificat. Cette application peut.3. le certificat de chiffrement du détenteur.2.4. Générer un certificat de signature pour le détenteur. transmettre les certificats au détenteur et publier le certificat public du détenteur dans un répertoire accessible aux utilisateurs. L’AVI d’un RPR pour l’un de ses membres. Générer.3. Févier 2011 4. 4.

Le PSC/R doit alors : • • • Févier 2011 Authentifier le détenteur et vérifier qu’il est en possession d’une clé privée de signature valide de l’ICP. 4. 4. 4. Vérifier l’exactitude des renseignements à modifier conformément à la section 3.1 Personnes autorisées Une modification de certificat peut être demandée par : • • • • Le détenteur lui-même. transmettre les certificats au détenteur et publier le certificat public dans un répertoire accessible aux utilisateurs. Le PSC/R doit. Générer un certificat de signature sur lequel sera apposée la signature de l’AC.5. Le PSC/R. apposer la signature de l’AC sur ce certificat et le lui transmettre. Par un AVI d’un RPR pour l’un de ses membres. 4. apposer la signature de l’AC sur ce certificat. Générer. Pour changer un renseignement inscrit dans le certificat du détenteur.5.2.4 Délai de traitement Le PSC/R doit s’assurer que le délai entre la remise des données d’activation et la récupération par le détenteur n’excède pas le délai prévu à la section 4. Créer un nouveau certificat comportant les renseignements modifiés.4.Déclaration des pratiques du CCQ récupération en les inscrivant dans le dispositif compatible avec l’ICP.3 Traitement d’une demande de modification Le PSC/R doit colliger et conserver les documents relatifs au traitement d’une demande de modification.1. Par l’AVI d’une personne morale pour l’un de ses employés. Générer. lors d’une demande de modification : • • • Vérifier l’identité du demandeur de la façon prévue à la section 3. 4.7.2.5 Demande de modification d'un certificat La modification d’un certificat consiste en l’émission d’un nouveau certificat pour le détenteur dont le certificat est toujours valide et dont les renseignements qu’il contient sont erronés ou inexacts. Générer un certificat de signature pour le détenteur. un certificat de chiffrement sur lequel sera apposée la signature de l’AC et publier le certificat public dans un répertoire accessible aux utilisateurs.4. le cas échéant.2 Circonstances pouvant entraîner une modification Une modification peut survenir dans les cas suivants : • • Pour corriger une erreur commise lors de la création d’un certificat.5. Le détenteur doit compléter le processus de modification au moyen d’un dispositif compatible avec l’ICP pour : • • • • S’authentifier et vérifier qu’il est en possession d’une clé privée de signature valide de l’ICP. le certificat de chiffrement du détenteur. Public page 20 sur 38 . Aviser le détenteur que la modification a été effectuée. le cas échéant.4.

4 Exigences de vérification pour les partenaires d’affaires Il appartient aux applications des partenaires d’affaires de vérifier l’état de validité d’un certificat à l’aide de l’ensemble des LCR émises par l’AC. Le détenteur n’assume pas les frais d’administration reliés au service.1 Situation géographique des sites Les sites où sont entreposés les systèmes informatiques de l’ICP sont dans des édifices situés à un minimum de cinq kilomètres l’un de l’autre. Févier 2011 4. 4. le PSC/R doit : • Révoquer le certificat. • • Aviser le détenteur de la révocation.5.4 Délai de traitement d’une demande de modification La demande de modification est traitée par le PSC/R dans les meilleurs délais. 4.1 Les mesures de sécurité physiques et de contrôle sont énoncées dans la présente section et détaillées dans les procédures techniques internes et dans le processus de gestion de risque du PSC/R. 4. 5. Le détenteur ne respecte pas les conditions d’utilisation d’un certificat. le cas échéant. 5.3 Délai de traitement d’une révocation La demande de révocation est traitée le jour ouvrable suivant sa réception par le PSC/R.1. parce que le certificat est compromis ou l’on soupçonne qu’il le soit. Un AVI autorisé en fait la demande. des zones de sécurité et de contrôle d’accès doivent être franchies afin de prévenir ou de détecter les accès non autorisés aux systèmes.2 Traitement d’une demande de révocation Le PSC/R doit colliger et conserver les documents relatifs au traitement d’une demande de révocation. Lorsqu'une demande de révocation est reçue. De plus. Les protections fournies sont proportionnelles aux risques identifiés dans le cadre de l'analyse des risques du PSC/R.6. Un certificat est révoqué lorsque : • • • • • • Le détenteur en fait la demande.6. 4. le PSC/R maintient l’accréditation du CCQ à la norme ISO 27001 :2005.7 5.1 Personnes autorisées Toute personne peut transmettre au PSC/R des informations concernant un détenteur et pouvant entraîner la révocation des certificats. La confidentialité de la clé privée du détenteur est compromise ou on soupçonne qu’elle le soit.6. Public page 21 sur 38 . Publier le fait que le certificat est révoqué. 4.Déclaration des pratiques du CCQ 4. Pour accéder aux locaux. Suspension d’un certificat Mesures de sécurité physique et administrative Mesures de sécurité physique La suspension d’un certificat n’est pas un service offert.6. Le responsable du paiement des frais d’administration en fait la demande. Ces édifices respectent les normes de construction normalement applicables.6 Révocation d’un certificat La révocation d’un certificat est effectuée lorsqu’un détenteur doit ou souhaite cesser l’utilisation de son certificat. sauf indications contraires.

1.Déclaration des pratiques du CCQ Févier 2011 5. un système de relève existe pour garantir le maintien du service et des informations ainsi que des logiciels essentiels à la livraison des services de l’ICP.3 Alimentation électrique et climatisation Les installations électriques et de climatisation sont suffisantes pour le bon fonctionnement du système informatique de l’ICP.1.7 Mise hors service des supports Une procédure indiquant la façon de disposer des supports afin de prévenir l’usage. une défaillance du système principal ou une défaillance du support de stockage. 5. La journalisation des accès. 5. L’AVI doit empêcher l’accès à son poste de travail lorsqu’il Public page 22 sur 38 .1.1.5 Prévention et protection incendie Les sites sont construits ou équipés afin d’assurer la protection contre les incendies. Il doit notamment protéger ces informations par l’utilisation du chiffrement de données. Les supports amovibles et les documents sur support papier contenant de l’information sensible sont conservés de façon à en protéger la confidentialité et sont entreposés de façon à ce que seules les personnes autorisées puissent y avoir accès. Ces mesures rencontrent les lois ou les normes applicables.1. 5.2 Accès physique L’accès aux installations de l’ICP est contrôlé et vérifié de sorte que seules les personnes autorisées puissent y avoir accès. 5.1.1. l’accès ou la divulgation non autorisée d’information sensible est en place. Ces copies de sauvegarde permettent le rétablissement du service suite à une défaillance du système. 5.8 Prise de copie Des copies de sauvegarde sont conservées hors sites. à moins d’être accompagnée et surveillée par une personne autorisée. Ils comportent également des mesures pour préserver la confidentialité de tels renseignements. 5. De plus. L’accès aux installations comprend les éléments suivants : • • • • Des dispositifs permettant le contrôle des entrées. Les sites sont équipés d’un système électrique principal et d’un système de secours afin d’assurer un accès continuel et ininterrompu à l’électricité. 5. accès et usages non autorisés. 5.1. Un accès limité aux seules personnes autorisées par le PSC/R. Des périmètres de sécurité pour les sites où sont entreposés les systèmes informatiques de l’ICP .6 Conservation et protection des supports Les supports contenants des documents comportant de l’information sensible sont protégés contre tout dommage. vol.1. les sites sont équipés d’un système principal et secondaire de ventilation ou d’air climatisé afin de contrôler la température et l’humidité relative. détérioration.4 Vulnérabilité aux dégâts d’eau Les sites sont construits ou équipés afin d’être protégés contre les expositions à l’eau.10 Mesures de sécurité physique pour l’AVI L’AVI doit prendre toutes les mesures nécessaires pour protéger l’information sensible recueillie lors de la vérification de l’identité d’une personne. Les équipements de sauvegarde et les procédures de rétablissement sont régulièrement testés afin de s’assurer de leur bon fonctionnement.9 Relève Advenant un sinistre.

configure et effectue la maintenance des systèmes de l’ICP.2 Mesures de sécurité administrative et opérationnelle 5. sauf : • • • Si le rôle additionnel requiert d’être exécuté par deux personnes simultanément. L’Opérateur exécute les tâches administratives relatives à la gestion du CCQ en se référant aux différentes procédures départementales mises en place et effectue les opérations de récupération des certificats si ceux-ci sont toujours valides. À cet effet. De même.1 Répartitions des tâches Afin de s'assurer qu'une personne agissant seule ne puisse contourner les mesures de sécurité et ainsi porter atteinte à l'intégrité du service offert. 5.2. 5.4.3 Rôles exigeant une séparation des tâches Les tâches critiques qui requièrent que deux personnes occupant un rôle de confiance agissent simultanément sont : • • • Les opérations sur les certificats de l’AC. le détenteur ne doit pas quitter son poste lorsque son certificat est accessible ou en cours d’utilisation par un dispositif ou une application.1.2. l'expérience et les Public page 23 sur 38 .2. Les différents rôles de confiance au sein du PSC/R impliqués dans le fonctionnement de l’ICP sont les suivants : • • • L’Officier de la sécurité a pour rôle d’effectuer les opérations sur les certificats de l’AC de l’ICP. L’Administrateur ICP installe.11 Mesures de sécurité physique pour le détenteur Le détenteur doit prendre les mesures nécessaires pour assurer la sécurité physique et la confidentialité de ses clés privées. Févier 2011 5. Une même personne ne doit pas cumuler plus d’un rôle de confiance à la fois.1 Qualifications. L’Auditeur consulte les archives et les journaux d'audit des systèmes de l’ICP et vérifie que les tâches et les opérations sont en ligne avec les procédures et la documentation relatives à la prestation de services de certification. Le Gestionnaire des opérations approuve la génération et la révocation des certificats. compétences et habilitations requises Le PSC/R emploie suffisamment de personnes possédant les connaissances. Il doit également protéger les accès non autorisés au support contenant sa clé privée.2. le PSC/R s’assure que certaines tâches reliées à la gestion opérationnelle soient réparties entre plusieurs personnes.Déclaration des pratiques du CCQ n’y travaille pas.2. Certaines opérations sur les modules matériels de sécurité. il doit protéger l’accès à ses certificats. 5. L’attribution ou le retrait du rôle d’officier de la sécurité.2 Rôles de confiance Le document sur la matrice des rôles de confiance pour la gestion du CCQ donne le détail de la répartition des tâches.4 Mesures de sécurité relatives au personnel 5. Si le GO agit à titre d’AVI mais que les tâches de délivrance du certificat sont effectuées par d’autre membre du personnel. Si le Gestionnaire des opérations (GO) agit comme opérateur alors qu’un autre employé effectue les tâches de GO. L’Agent vérificateur de l’identité vérifie l’identité des demandeurs de certificats • • • 5.

6 Formation continue Le PSC/R s’assure qu’une formation de mise à niveau est donnée lors d’un changement de fonction. Public page 24 sur 38 . Il ne doit pas nommer à des rôles de confiance une personne ayant été reconnue coupable d'un crime grave ou de toute autre infraction qui affecterait sa capacité à occuper un rôle de confiance. Févier 2011 La description de poste des employés occupant ces fonctions comprend les exigences détaillées du poste ainsi que les compétences et l'expérience nécessaires requises.3. Le PSC/R consigne notamment les registres et les événements suivants : a) Les démarrages et les arrêts du système. Autrement le personnel contractuel est escorté et supervisé par les employés du PSC/R. 5.1 Type d’évènement à enregistrer Le PSC/R consigne dans les registres de vérification2 les informations concernant les événements relatifs à la sécurité du système du CCQ.2.10 Personnel contractuel Les mesures de sécurité du PSC/R s'applique également à tout personnel contractuel. contiennent la date. Le PSC/R vérifie que les compétences professionnelles de son personnel correspondent aux tâches et aux fonctions données.2.5 Formation initiale Les employés du PSC/R qui occupent des fonctions reliées à la prestation de services de l’ICP ont reçu la formation appropriée pour accomplir leurs tâches. Le PSC/R effectue la vérification des antécédants judiciaires d’un candidat à un rôle de confiance pour un poste de travail au sein du PSC/R.2.3 Procédures de constitution des registres de vérification 5. Le processus disciplinaire peut inclure des mesures allant jusqu’au congédiement et doit prendre en compte la fréquence et la sévérité de l’action non autorisée.2. la Déclaration.4. 5.2 Procédures de vérification des antécédents Les employés du PSC/R ne doivent pas occuper de fonctions pouvant entraîner un conflit d’intérêts et porter atteinte à l’impartialité des opérations reliées à la prestation de services de l’ICP. 5. b) Toute tentative ou opération touchant les droits et privilèges des rôles de confiance affectés à la prestation des services de l’ICP. de la mise à jour d’une procédure ou pour toutes autres raisons déterminées par le PSC/R pour que le personnel puisse effectuer leurs tâches de manière satisfaisante. l’heure et l’identification de l’évènement.9 Documentation La Politique. Tous les registres.2.7 Changement du personnel Le PSC/R doit s’assurer que tout changement de personnel n'affectera ni l'efficacité opérationnelle du service ni la sécurité du système. 5. Toute personne qui accède au système de gestion de l’ICP doit être identifiée à l’aide d’un certificat du CCQ. d’un changement au système de l’ICP. sans égard à leur support.8 Sanctions Le PSC/R applique et maintien un processus disciplinaire lorsqu’un employé effectue une action non autorisée.2.2. les procédures techniques et administratives reliées à la prestation de services de l’ICP ainsi que tout autre document pertinent sont mis à la disposition du personnel afin qu’il puisse accomplir leurs tâches. 5.Déclaration des pratiques du CCQ qualifications nécessaires pour assurer la prestation de service de l’ICP. 5. 5. 5.

5. les certificats de chiffrement et les clés de déchiffrement sont conservés pendant dix (10) ans après l’expiration ou la révocation des certificats.3.3. l’historique des opérations sur les certificats ainsi que la correspondance officielle du PSC/R et de l’AVI sont être conservés pendant dix (10) ans. leur historique ainsi que la LCR. f) Toute tentative d’ouverture ou de fermeture de session sur les serveurs du CCQ. n) Tout rapport de non-conformité et de compromission de la sécurité du système du CCQ.4 Conservation et archivage des données 5.2 Période de conservation des archives Les renseignements recueillies pour établir l’identité des détenteurs. 5. d) Toute modification dans les registres de vérification.4.4. j) Les accès physiques aux sites. g) Toute tentative d’accès refusée au système du CCQ. Les actions entreprisent suite à la vérification des registres sont enregistrées. • • • Les registres de vérification. i) Tout changement des paramètres de sécurité du système.Déclaration des pratiques du CCQ Févier 2011 c) Tout changement aux mots de passe des serveurs et des applications sur les serveurs du CCQ. m)Tout changement de personnel affecté à un rôle de confiance affectés à la prestation de services de l’ICP. 5. Les données du répertoire.4 Mesures de protection Les registres de vérification sont protégés en tout temps afin d’en assurer la confidentialité.5 Évaluation des vulnérabilités Lors du traitement d’informations colligées dans le registre de vérification et touchant la sécurité du système.4. 5.3. e) Tout changement à la politique de création des certificats. Tous les autres registres de vérification qui sont sous le contrôle du PSC/R sont Public conservés page 25 sur 38 . des applications de l’ICP et du répertoire. k) Tous changements de configuration réseau.1 Types de données à conserver et archiver Les données suivantes sont sauvegardées périodiquement.2 Fréquence des vérifications des registres Les registres de vérifications des serveurs et de l’application de gestion sont examinés régulièrement pour détecter toute preuve d'activité malveillante et à la suite de toute opération importante. h) Toute tentative d’enregistrer des utilisateurs ou d’effectuer une opération sur les certificats des détenteurs. l) Les relevés d’entretien du système et des sites. l’intégrité et la disponibilité. le PSC/R prend les mesures nécessaires pour diminuer ou éliminer les vulnérabilités. Les certificats de signature. 5.3 Conservation des registres de vérification Les registres de vérification doivent être conservés pour la durée prévue à la section 5. conservées et archivées : • La base de données de l’AC contenant les certificats de l’ICP.2. Les médias d’installation des systèmes d’exploitation.3. 5.

4 Exigences d’horodatage des données Si un service d'horodatage est utilisé pour dater les enregistrements. totalement ou en mode dégradé. Public page 26 sur 38 . il doit respecter les exigences définies dans la section 6. 5. Le PCA décrit les étapes à suivre pour remettre à disposition les activités de l’ICP. ainsi que la reprise éventuelle de l’exploitation normale des services après réfection ou le remplacement des ressources détruites ou endommagées. Févier 2011 5. Ce site est conforme aux exigences environnementales adéquates pour la conservation de tel matériel.4 Cessation des activités de l’AVI Dans les meilleurs délais. Les modalités de transfert des opérations et des responsabilités sont décidées entre l’AC et le PSC/R.6. Les modalités de transfert des fonctions qui avaient été déléguées à l’ALE sont rapatriées au PSC/R qui décide de poursuivre lui-même ces activités ou de les déléguer à une autre ALE.6. l’humidité et la protection contre le magnétisme. 5. 5.4.1 Procédure de relève Des mesures sont en place pour assurer la reprise des activités de l’ICP advenant la détérioration ou le bris d’un ou plusieurs composants technologiques. l’AVI doit aviser le PSC/R ou l’AC de la cessation de ses activités et prendre les dispositions nécessaires pour satisfaire aux exigences quant au transfert de ses dossiers.4. 5. l’AC doit aviser le PSC/R au moins six (6) mois à l’avance de son intention de mettre fin à ses activités en tant qu’autorité de certification. Des procédures de conservation.6.2 Cessation des activités du PSC/R Le PSC/R doit aviser l’AC au moins trois (3) mois à l’avance de son intention de cesser ses activités.7.6 Cessation des activités d’une des composantes de l’ICP 5. particulièrement quant à la température.5 Reprise des activités suite à une compromission ou à un sinistre 5. de destruction et de transfert des données sont en place.6.Déclaration des pratiques du CCQ pendant au moins trois (3) ans. 5. Le PSC/R doit prendre les dispositions nécessaires pour transférer les dossiers et les données à un autre prestataire de services de certification et de répertoire désigné par l’AC.1 Cessation des activités de l’AC Dans la mesure du possible. s’il y a lieu. de l’intégrité et de la disponibilité des données. 5. Les modalités de transfert doivent être approuvées par l’AC.4. la destruction de ressources informatiques suite à un sinistre ou lorsqu’un évènement de force majeure exige l’utilisation du site de relève.5. l’ALE doit aviser le PSC/R au moins trois (3) mois à l’avance de son intention de cesser ses activités.3 Cessation des activités de l’ALE Dans la mesure du possible. 5.2 Plan de continuité des affaires Le PSC/R détient un Plan de continuité des affaires (PCA) afin d’assurer la continuité des activités de l’ICP advenant un évènement perturbateur ayant pour conséquence l’interruption des opérations de l’ICP.3 Protection des archives Une copie des données archivées est conservée sur un site secondaire et protégée par des mesures physiques et cryptographiques.5.5 Procédure de récupération et de vérification des archives Les supports sur lesquels sont stockées les données archivées de l’ICP doivent faire l'objet de vérification régulière afin de s’asssurer de la lisibilité. 5.

2 Clés du personnel du PSC/R et de l’AVI Lorsqu’un employés occupant le rôle de confiance au sein du PSC/R ou un AVI utilise des clés privées pour s’authentifier auprès de l'application de gestion de l’ICP. 6. Les clés de l’AC sont entreposées dans un dispositif matériel offrant des fonctions cryptographiques et de sécurité répondant aux spécifications énoncées au paragraphe 6.2. Les clés de chiffrement sont générées par l’AC.1.Déclaration des pratiques du CCQ Févier 2011 6. 6.2 Protection des clés privées de l’ICP 6. lesquels garantissent leur intégrité en y apposant la signature de l’AC. 6.1 Normes de sécurité relatives aux modules cryptographiques Les modules servant à la génération des clés ainsi qu’aux opérations cryptographiques sont conformes aux spécifications FIPS-140-2 reconnues par le National Institute of Standards and Technology (NIST) et adoptées par le Centre de la sécurité des télécommunications Canada (CST). Public page 27 sur 38 .1. celles-ci doivent demeurer sous son contrôle.2.2 Livraison des clés de signature Lorsque le détenteur a généré la paire de clés de signature. 6. Les paires de clés doivent être générées à l’aide d’algorithmes cryptographiques conformes aux spécifications de la section 6. 6.1.2.2.2 Normes de sécurité relatives aux modules cryptographiques et protection des clés privées 6. Les clés de signature sont livrées à l’application du PSC/R selon le protocole d’échange PKIX-CMP.1. 6.6 Taille et période de validité des certificats La longueur des certificats et leur période de validité doivent être conformes à la section 7.1 et suivants le protocole d’échange PKIX-CMP.2.1 Mesures de sécurité techniques Génération et livraison des clés 6. Le protocole PKIX-CMP est documenté dans les publications RFC2510 et RFC2511 de l’IETF.1 Clés de l’AC L’intervention conjointe de deux employés occupant un rôle de confiance approprié est requise pour les opérations relatives aux clés privées de l’AC. l'une servant au chiffrement et l'autre à la signature.1.2. La partie publique de la clé de signature est transmise à l’AC pour être signée et incorporée au certificat.1.1 Génération des clés L'application de l’ICP supporte la gestion de deux paires de clés distinctes. pour les certificats de niveau de confiance « élevé ». 6.4 Livraison de la clé publique de l’AC La clé publique de signature de l’AC est mise à disposition des détenteurs et des tiers utilisateurs et peut être consultée publiquement tel que défini à la section 2.5 Génération de certificat au détenteur Le certificat du détenteur est généré par les applications ou les systèmes autorisés par le PSC/R. Les clés de signature sont générées par le détenteur par le biais d’un module cryptographique logiciel ou matériel. 6. les clés cryptographiques doivent nécessairement être générées sur un dispositif cryptographique matériel. 6.3 Livraison des clés de chiffrement Les clés de chiffrement sont générées le système de l’ICP et livrées au détenteur selon le protocole d’échange PKIX-CMP.1. Toutefois. il conserve la partie privée localement. La série de publication FIPS-140 défini les requis et standards pour les modules cryptographiques logiciels et matériels.2.2. Une copie est conservée par l’AC et transmis au détenteur.

11. Maximum de trois (3) ans pour les certificats de chiffrement d’un détenteur de niveaux de confiance « faible ».1 Archivage des clés publiques Les clés publiques d’un membre d’un RPR sont archivées au moins dix (10) ans après l’expiration ou la révocation du certificat. Ne doit pas contenir plus de la moitié du nom du détenteur.3.3. Pour le détenteur de certificat de niveau de confiance « élevé ».3 Méthode d’utilisation des clés L'accès à la clé privée de signature du détenteur doit être protégé par un mot de passe respectant les règles minimales suivantes : • • • • Comporté au minimum huit caractères.2.3 Protection de clés privées du détenteur Févier 2011 6. Ne pas répéter le même caractère pour plus de la moitié du mot de passe. Lorsque les clés sont conservées sur un jeton cryptographique.2.2 Conservation par le PSC/R Une copie de la clé privée de déchiffrement est conservée par le PSC/R en prévision d’une éventuelle récupération. 6. le détenteur doit en disposer par l’un des moyens suivants : • • Réinitialiser le jeton selon la procédure indiquée par le PSC/R.3 Autres aspects relatifs à la gestion des clés et des certificats 6.3. il doit les détruire en supprimant le fichier de manière à ce que les données soient irrécupérables.3. 6. à l’exception du personnel du PSC/R où ce délai est de 20 minutes.2. les clés privées doivent être conservées sur un support matériel lequel doit demeurer en sa possession.2. page 28 sur 38 . 6. 6. à l’ALE ou au PSC/R. Les règles d’utilisation des certificats sont configurées par le PSC/R afin que les clés privées des détenteurs soient désactivées automatiquement après une période d’inactivité ne pouvant dépasser 10 minutes.3. à moins d'avoir en sa possession tous les éléments requis dont le mot de passe du détenteur.2 Périodes d’utilisation des clés publiques et privées La période de validité des certificats émis par l’ICP est de : • • Public Maximum de vingt (20) ans pour l’autorité de certification primaire (AC racine). Le détenteur a la possibilité de changer son mot de passe. 6. 6. Le détenteur doit toujours vérifier que ses clés privées sont désactivées avant de quitter son poste de travail.2.4 Méthode de désactivation par le détenteur La désactivation par le détenteur consiste à rendre sa clé privé de signature inutilisable par un tiers. « moyen » et « moyen-élevé ». tel que mentionné au paragaphe 5.2. Remettre le jeton à l’AVI.1 Conservation et support des clés par le détenteur Le détenteur doit prendre les mesures nécessaires pour assurer la sécurité et la confidentialité de sa clé privée. Cette clé est chiffrée en tout temps par l’application de l’ICP.3.Déclaration des pratiques du CCQ 6.3. Cette mesure de sécurité fait en sorte qu'une personne autre que le détenteur ne pourrait utiliser sa clé privé de signature. Être composé d’une combinaison de caractères majuscules et minuscules et de chiffres.1.5 Méthode de destruction de la clé privée Lorsqu’un détenteur n’utilise plus ses clés privées. lequel doit alors le détruire ou le réinitialiser de manière à en effacer définitivement le contenu.

Pour les certificats de niveau « élevé ». 6. à l’exeption de l’entrée aux édifices principaux durant les heures normales d’affaires. le PSC/R : • • Réalise une analyse des risques globale des composantes faisant parties ou visant à supporter les services offerts par l’ICP. L’accès direct aux bases de données supportant les opérations de l’ICP est limité aux personnes identifiées pour accomplir leurs fonctions.4 Données d'activation Pour les certificats de niveaux de confiance « faible ». 6. Le PSC/R utilise des pare-feu pour protéger les réseaux de production contre les intrusions internes et externes et limite la nature et la source des activités réseau pouvant y accèder. il devra demander de nouvelles données d’activation au PSC/R.1 Mesures de contrôle d’ingénierie des modules cryptographiques Les modules servant à la génération des clés ainsi qu’aux opérations cryptographiques doivent être conformes aux spécifications énoncées à la section 6.2.6. Les activités opérationnelles sensibles. Utilise des applications ou composantes qui ont été vérifiées afin de s’assuer qu’elles offrent une garantie acceptable quant à leur qualité et leur rétro-compatibilité et qu’elles respectent les spécifications énoncées à la section 6. telles que les activités reliées aux cycles de vie des certificats (émission. Le PSC/R exige l’usage d’un mot de passe nécessitant un minimum de caractères et composer d’une combinaison alpha-numérique. Si le demandeur ne procède pas à l’activation dans le délai prescrit. Cette séparation prévient les accès non autorisés aux applications de production. le demandeur doit générer ses clés et ses certificats dans les sept (7) jours à compter de la remise de ses données d’activation. 6.2 Mesures de contrôle entourant la gestion et l’évolution des composantes de l’ICP Afin de s’assurer du maintien du niveau de confiance. Le mot de passe doit être changé sur une base régulière.2. L’accès au différentes zones est surveillé par caméra et consigné dans un registre. récupération et la révocation).5. l’intégrité et la disponibilité de l’ICP.Déclaration des pratiques du CCQ • • Févier 2011 Maximum de deux (2) ans pour les certificats de vérification (signature) d’un détenteur de niveaux de confiance « faible ». L’accès à une zone inférieure est requise avant d’accèder à une zone supérieure. 6. « moyen » et « moyen-élevé ».5 Mesures de sécurité entourant l’infrastructure ICP Le PSC/R dispose de mesures permettant d’assurer la confidentialité.1 Accès physiques Le PSC/R limite l’accès aux serveurs de production qu’aux personnes identifiées et ayant besoin d’y accéder pour l’accomplissement de leurs fonctions.6 Mesures de contrôle 6. 6. « moyen » et « moyen-élevé ».6. 6.5. Maximum de deux (2) ans pour les certificats de chiffrement et de vérification d’un détenteur de niveau de confiance « élevé ». L’ICP est protégée par un minimum de trois zones de sécurité physique. ont lieu dans une zone minimalement de 3e niveau. Teste et documente tout changement à l’infrastructure selon les règles internes du PSC/R page 29 sur 38 • Public . L’accès aux différentes zones sécurisées nécessite l’utilisation en tout temps d’une carte d’accès émise par le PSC/R.2 Accès logiques L’application de gestion de l’ICP et les réseaux de production sont logiquement séparés des autres composantes du PSC/R. le détenteur doit générer et conserver ses clés et ses certificats sur un support cryptographique matériel dès la réception de ses données d’activation.

et de manière périodique. Profils des certificats et des LCR 7. Lors de l’installation. De l'affichage de mises à jour de LCR.1 Format et contenu des certificats L’AC émet des certificats dans un format conforme aux spécifications de la norme X. le PSC/R vérifie l’intégrité de ses systèmes. selon le type de certificat User role.1. le PSC/R doit vérifier la rétro-compatibilité avec les applications et composantes existantes. Utilisation de la clé : Signature numérique page 30 sur 38 Autre objet Longueur des clés du détenteur Durée de validité du certificat du détenteur Extension du certificat Public . 7.509 v3.Déclaration des pratiques du CCQ Févier 2011 et dans le respect des recommandations du fabriquant.7 • • • Horodatage / système de datation Du début de validité d'un certificat de l'AC. version 3. la mention du titre professionnel. la nature du certificat ou le nom de l’entreprise) ou= o=CENTRE DE CERTIFICATION DU QUEBEC c=CA serial number= 1024 (minimum) 2 ou 3 ans.3 Mesures de surveillance Le PSC/R a des mécanismes ou des politques en place pour contrôler et surveiller ses systèmes.6.509. 6. 6.2 Champs de base du certificat du détenteur Les informations principales contenues dans le certificat du détenteur sont : Champ de base Issuer DN Subject DN Valeur o=CENTRE DE CERTIFICATION DU QUEBEC c=CA cn=‹ › SerialNumber=‹ › ou=‹ › (selon le cas. Certificate Policies. l’AC et le détenteur sont identifiés par un Distinguished Name (DN) de type X. Selon les conclusions de l’analyse de risque. De la révocation d'un certificat de l'AC.1.1 Champs de base du certificat de l’AC Les informations principales contenues dans le certificat de l’AC sont : Champ de base Empreinte numérique Issuer DN Subject DN Longueur des clés de l’AC Key pair algorithm Durée de validité de l’AC Valeur 9e 81 30 7c f4 4c 09 9b 10 bf 41 da 8e dd d6 72 33 fb 58 fc ou=AC1 o=CENTRE DE CERTIFICATION DU QUEBEC o=CA ou=AC1 o=CENTRE DE CERTIFICATION DU QUEBEC c=CA 1024 (minimum) RSA 20 ans 7. 7. Dans chaque certificat X509 v3. Les serveurs de l’ICP sont synchronisés avec un serveur de temps permettant d’établir l'heure : Des procédures automatiques ou manuelles sont utilisées pour maintenir l'heure du système.

2 Frais d’accès aux LCR et à l’état des certificats Le PSC/R n’exige aucuns frais pour les utilisateurs ayant besoin d’accéder aux LCR pour vérifier l’état de validité des certificats des détenteurs.1 Frais d’émission et de gestion des certificats Des frais peuvent être exigés pour l’émission et la maintenance des certificats et apparaissent au contrat d’adhésion. Il appartient au PSC/R de proposer un calendrier de résolution des non-conformités et des mesures à appliquer. Dans toutes autres circonstances. 9.4 Sujets couverts par les audits Les auditeurs procèdent à des vérifications et des contrôles de conformité des services de certification offerts en se basant sur les Politiques. L’auditeur établira un programme d’audit permettant de définir précisément quelle composante du service de certification est visée par l’audit. à moins que ce service ne soit pris en charge par une entité qui dispose d’AVI pour effectuer cette tâche. 9. Lors d’un audit externe. des audits internes et externes de vérification sont effectués annuellement pour le maintien des accréditations ISO 27001:2005 et ISO 9001:2008.3 Frais pour la vérification de l’identité par un AVI Les honoraires exigés pour le service de vérification de l’identité par un AVI sont assumés par le demandeur.2 7.3 Les auditeurs externes Les auditeurs externes sont désignés par le PSC/R ou les partenaires d’affaires et doivent être indépendants de l’AC et du PSC/R.1 Motifs et fréquence des audits Le PSC/R peut être soumis à des audits externes à la demande de l’AC ou de partenaires d’affaires qui ont conclu une entente à cet effet. un rapport doit être émis par l’auditeur faisant état notamment des nonconformités et des opportunités d’amélioration. 9.3 Profil des LCR Identifiant d’algorithmes Les LCR et LAR sont conformes à la norme X.1. un manquement peut être rapporté aux gestionnaires du PSC/R ou de l’AC qui prendront les actions appropriées le cas échéant. afin de valider la conformité de la Déclaration aux Politiques.1 Dispositions légales Tarifs 9.1. notamment : Public page 31 sur 38 . version 3.1. 8. l’ampleur des sujets ou des éléments à vérifier peut être précisé ou restreint. L’identifiant d’algorithme utilisé est SHA ou AES avec RSA Encryption.2 Qualification des auditeurs Les auditeurs désignés tant à l’interne qu’à l’externe doivent détenir les qualifications nécessaires pour effectuer les vérifications requises et s’assurer du respect des Politiques et de la Déclaration.Déclaration des pratiques du CCQ Mail : ‹Courriel du détenteur› Févier 2011 7. 8.509.5 Mesures prises en cas de manquement À l’issue d’un audit. 8. 9. Contrôles de conformité 8. 8. Dans le cadre du programme d’audit du PSC/R. Ils doivent relever les non-conformités et les opportunités d’amélioration et en faire rapport au PSC/R. la Déclaration et les processus afférents. 8.

La récupération d’un certificat. 9.4 Autres services Le PSC/R peut exiger des frais pour : • • • • • Une demande de réémission d’un certificat. utilisés. Les informations détenues par le PSC/R devant être considérées comme confidentielles sont : • • • Les renseignements personnels relatifs au détenteur qui n’apparaissent pas dans les certificats.2 Confidentialité des informations 9.R. À cet égard. Le renouvellement d’un certificat. les ALE et les AVI doivent prendre les mesures nécessaires pour protéger les informations confidentielles qu’ils détiennent. 9. de l'utilisation ou de la gestion des certificats ne doivent être utilisées ou communiquées que pour les fins pour lesquelles elles ont été recueillies. Notamment. P-39. conservés ou communiqués par l’AC.1. c. Ces informations confidenitelles ne sont utilisées et ne font l’objet de communications extérieures que : • • • Lors de l’exécution des prestations de services de certification définies dans le présent document .2. Févier 2011 • • • • 9.Q.1). Une ALE. Pour répondre aux exigences légales . Public page 32 sur 38 . La clé privée et les informations pour procéder à la récupération d’un certificat.2 Protection des informations confidentielles Le PSC/R. à moins d’avoir obtenu l’autorisation préalable des personnes visées.1 Portée Les renseignements qui composent les certificats et le contenu des LCR ne sont pas considérés comme confidentiels.3 Protection des renseignements personnels Tous les renseignements recueillis.2. toutes les informations recueillies dans le cadre de l’émission. La révocation d’un certificat lorsque celle-ci survient avant l’échéance du contrat d’adhésion à durée déterminée. Les registres de vérifications de l’ICP. Une personne morale qui emploie le demandeur. 9. le PSC/R ne dresse aucun profil et n'effectue aucune analyse de comportement d’un détenteur et d’un utilisateur à partir d’une information recueillie dans le cadre de la gestion des certificats. Pour l’annulation d’un certificat lorsque celle-ci survient suite au défaut du détenteur d’activer son certificat dans les délais impartis. Pour l’exécution de travaux ou de prestations de services de certification confiés à un fournisseur de services autorisé par le PSC/R ou l’ALE. Le PSC/R. Le PSC/R ne recueille pas d’information relative aux habitudes d'utilisation des certificats des détenteurs et des utilisateurs. le PSC/R. une ALE ou un AVI sont assujettis à la Loi sur la protection des renseignements personnels dans le secteur privé (L.Déclaration des pratiques du CCQ Un RPR dont le demandeur est membre.

le PSC/R ne garantit aucunement l’exactitude de tout autre renseignement inscrit au certificat. La reproduction. telle l’adresse courriel. 9. Ces derniers n’en confèrent qu’une licence d’utilisation lorsque les frais qui y sont reliés sont assumés. des clés privées associées et des données d’activation. Les détenteurs de certificats détiennent tous les droits de propriété intellectuelle sur les renseignements qui leur sont personnels et qui apparaissent aux certificats émis par l’ICP. intégrale ou partielle. des LCR. l’AC et le PSC/R ne peuvent être tenues responsables d’une utilisation non autorisée ou non conforme des certificats. Le PSC/R décline sa responsabilité notamment pour tout dommage résultant : • • • • Public De l’utilisation d’un certificat pour un usage autre que ceux prévus à la Politique ou expressément spécifié au contrat d’adhésion. mais seulement son droit d’usage.6. des processus internes. du certificat racine de l’ICP du CCQ et des informations de révocation correspondantes qu'elle émet. page 33 sur 38 . par quelque moyen que ce soit des éléments mentionnés au présent document est strictement interdite sans autorisation préalable de l’AC ou du PSC/R. le contrat d’adhésion peut limiter le type et la valeur des transactions pouvant être effectuées. 9.4 Propriété intellectuelle L’Ordre des arpenteurs-géomètres du Québec détient tous les droits de propriété intellectuelle sur sa Politique. la représentation.1 Relativement aux renseignements inscrits au certificat Le PSC/R s’assure que les renseignements contenus aux certificats dont l’inscription est obligatoire sont conformes aux données vérifiées par l’AVI selon la procédure prévue pour le niveau de confiance du certificat. 9.2 Relativement aux renseignements inscrits au répertoire Le PSC/R doit s’assurer de l’exactitude des LCR inscrites au répertoire. soit « Centre de certification du Québec » ainsi que des applications et infrastructurs technologiques du CCQ. 9. des LAR ainsi que de tout autre équipement ou logiciel mis à la disposition des détenteurs de certificats. Cependant. De l’absence de révocation d’un certificat entraînant l’utilisation du certificat par un tiers non autorisé. Le PSC/R détient les droits de propriété intellectuelle de la Déclaration.Déclaration des pratiques du CCQ Févier 2011 Le PSC/R maintient une politique de confidentialité accessible à tous et conforme aux lois applicables.5 Responsabilité financière Aucune limite n’est fixée dans la Politique ou la Déclaration quant à la valeur d’une transaction dans le cadre de laquelle un certificat peut être utilisé.6 Représentation et garanties 9. D’un cas de force majeure. Toutefois.7 Dégagement de responsabilité Sous réserve des dispositions d’ordre public applicables. De l’usage d’un certificat révoqué ou expiré. Toutefois. La Chambre des notaires détient tous les droits de propriété intellectuelle sur la Politique du CCQ. Les applications utilisées en soutien à la prestation des services de certification ou celles utilisées par les détenteurs de certificat appartiennent à leurs fabricants respectifs.6. y compris la publication et la diffusion. le détenteur d’un certificat n’acquiert pas la propriété du certificat. du nom de l’ICP. 9.

on doit avoir recours à l'arbitrage conformément au Règlement d'arbitrage de l'Association des notaires arbitres du Québec. par la négociation. intérêts et indemnités à sa charge.11. 9. La plainte est prise en charge selon les politiques internes de l'organisation.10 Procédures d’approbation 9. Public page 34 sur 38 .12 Interprétation 9. ne sauraient en aucun cas dépasser les sommes payées pour l’émission et le maintien de ces certificats par le détenteur.Déclaration des pratiques du CCQ Févier 2011 Le PSC/R décline également sa responsabilité pour tout dommage résultant des erreurs ou des inexactitudes entachant les renseignements contenus dans les certificats quand ces erreurs ou ces inexactitudes résultent directement du caractère erroné des renseignements communiqués par le détenteur à l’AVI ou l’ALE. les parties choisissent les tribunaux de la province de Québec. dans la mesure du possible.8 Indemnités En cas de reconnaissance d’une quelconque responsabilité de l’AC ou du PSC/R vis-à-vis d’un détenteur ou d’un utilisateur. un médiateur indépendant est mandaté. sauf en ce qui a trait aux certificats émis sous son autorité qui sont toujours en vigueur. toutes causes confondues.12.10.1 Approbation de la Politique Lorsque la Politique est modifiée. 9. Le PSC/R décline également toute responsabilité à l’égard d’un certificat portant la mention «essai » ou « test » ou toute autre mention de même nature indiquant qu’on ne peut raisonnablement s’y fier. Si cela s'avère impossible ou infructueux.10. 9.1 Plaintes Toutes plaintes concernant les services de l’ICP peuvent être transmises au service d’assistance à la clientèle du PSC/R.3 Élection de domicile En cas de contestations. 9. En cas d'impasse. on doit alors recourir à l’arbitrage prévu aux dispositions du Code de procédure civile du Québec.11. La fin de validité de la Déclaration entraîne la cessation des activités du PSC/R. sauf en ce qui a trait aux certificats émis et qui sont toujours en vigueur. ceux-ci demeurent liés par les clauses de la Politique.2 Approbation de la Déclaration Lorsque la Déclaration est modifiée.10. 9. 9.2 Litiges Tout conflit découlant des services de l’ICP doit être réglé. 9.11 Traitement des plaintes et litiges 9. 9. 9.1 Lois et règlements applicables La présente Déclaration est régie et interprétée en vertu des lois et règlements du Québec et du Canada applicables.9 Couverture par les assurances Le PSC/R détient une assurance permettant de couvrir les risques susceptibles d’engager sa responsabilité. les dommages. elle doit être soumise pour approbation à l’AC responsable.10. À défaut. elle doit être soumise au PSC/R pour approbation.3 Validité Les Politiques et la Déclaration sont valables jusqu’à ce qu’elles soient remplacées par une nouvelle version ou jusqu’à ce que l’AC ou le PSC/R cesse ses activités. après acceptation par les parties.4 Applicabilité en cas d’invalidité La fin de validité d’une Politique entraîne la cessation de toutes les obligations et responsabilités de l’AC et du PSC/R. 9. Le PSC/R en informe alors l’AC du CCQ et l’Ordre des arpenteurs-géomètres du Québec.11.

Déclaration des pratiques du CCQ Févier 2011 9. illégales ou inapplicables ne porte pas atteinte à la validité des autres dispositions. 9.13 Entrée en vigueur La Déclaration entre en vigueur et remplace la version précédente à la date fixée par le PSC/R.2 Indépendance des dispositions Le fait pour une ou plusieurs dispositions de la Déclaration d'être déclarées invalides.12. Public page 35 sur 38 .

ACRONYMES AC : ALE : AVI : GO : OID : ICP : LCR : LAR : RPR : Autorité de certification Autorité locale d’enregistrement Agent vérificateur de l’identité Gestionnaire des opérations Numéro d’identifiant d’objet Infrastructure à clés publiques Liste des certificats révoqués Liste des autorités révoquées Regroupement de professionnels reconnu Févier 2011 PSC/R : Prestataire de services de certification et de répertoire Public page 36 sur 38 .Déclaration des pratiques du CCQ ANNEXE A .

installé sur un poste ou accessible en ligne.R. Application client : L’application ou le logiciel utilisé par le détenteur. Attribution : Intervention consistant à générer des certificats pour un détenteur. Contrôle de sécurité : Ensemble de mesures administratives. c. Ce processus permet d’identifier les améliorations à apporter et de mettre en place un plan d’action permettant de corriger les écarts et dysfonctionnements constatés.DÉFINITIONS Févier 2011 Activation : Opération effectuée par le détenteur qui consiste à inscrire ses données d’activation dans un dispositif pour créer sa clé et son certificat. techniques.Q.Déclaration des pratiques du CCQ ANNEXE B . réseaux. Centre de certification du Québec (CCQ): Nom officiel donné à l’Infrastructure à clés publiques (ICP). Public page 37 sur 38 . organisations) afin d'autoriser l'accès à ce détenteur à des ressources (systèmes. Autorité de certification (AC) : Entité responsable des certificats signés en son nom ainsi que de l’ensemble de l’Infrastructure à clés publiques (ICP) du CCQ. L’audit permet de faire le point sur le processus de gestion mis en place par le PSC/R ou l’ALE afin d'en dégager les points à améliorer et les non-conformités. physiques ou juridiques visant à gérer les risques pour la sécurité. Certificats : Ensemble d'informations comprenant au minimum ce qui est prévu par la Loi sur le cadre juridique des technologies de l’information (L. C1-1) et signé par l’AC dans le but. Elle peut déléguer ses fonctions à une personne qu’elle désigne. de modifier son mot de passe. d’effectuer certaines opérations de configuration ou de réaliser des transactions au moyen de ses certificats. Contrat d’adhésion : Entente entre l’AC. opérationnelles. Clé privée : Partie privée de la bi-clé asymétrique d’un détenteur qui doit être uniquement utilisée par lui. Authentification : Processus permettant de vérifier l’identité d’un détenteur (individu. qui permet d’activer ou de récupérer ses certificats. Agent vérificateur de l’identité (AVI) : Personne physique désignée par l’AC ou le PSC/R pour effectuer la vérification de l’identité de la personne à l’égard de qui un certificat est demandé et/ou pour vérifier le statut professionnel de cette personne. la gestion et l’utilisation des certificats émis au détenteur. Annulation : Intervention effectuée par le PSC/R consistant à retirer une demande d’attribution de certificats avant son activation à la demande du détenteur ou lorsque les délais prescrits d’activation ne sont pas respectés. Autorité locale d’enregistrement (ALE) : Entité responsable de certaines fonctions qui lui sont déléguées par le PSC/R et qui peut notamment effectuer la gestion d’une partie des certificats. Clé publique : Partie publique de la bi-clé asymétrique d’une entité qui peut être dévoilée et publiée dans le répertoire. le PSC/R et le détenteur qui établit les règles et les responsabilités des parties pour l’émission. applications). notamment de confirmer l’identité du détenteur. Audit : L'audit est une activité de contrôle et de conseil réalisée par une personne compétente et impartiale sur le traitement des certificats durant tout son cycle de vie.

Renouvellement : Intervention automatique qui survient avant la date d’expiration d’un certificat valide dans le but d’en générer un nouveau pour le détenteur. de la destruction accidentelle de son profil ou de l’oubli de son mot de passe. Secret partagé : Mot ou groupe de mots partagés entre le PSC/R et le détenteur afin de permettre l’identification du détenteur à distance. un dispositif ou une application. Données d’activation : Informations nécessaires à l’activation des clés et des certificats que le détenteur doit protéger pour en assurer la confidentialité. une association. Un détenteur peut être titulaire d’un certificat qui sera affecté à un groupe. Un ordre professionnel régi par le Code des professions du Québec est un RPR. un ministère ou un organisme public. Modification : Intervention effectuée dans le but de rectifier les informations contenues dans un certificat par l’attribution d’un nouveau certificat modifié. Le terme personne morale est utilisé dans le but d’alléger le texte. Infrastructure à clés publiques (ICP) : Ensemble de composants physiques. Utilisateur : Personne agissant en se fiant à un certificat du CCQ. une société. notamment à la suite d’un problème technique. de procédures. Partenaire d’affaires : Personne morale qui désire transiger de façon électronique avec des détenteurs de certificats.Déclaration des pratiques du CCQ Févier 2011 Détenteur de certificats : Personne ayant adhéré au service et détenant des certificats Certifio lui permettant de signer. Identifiant d’objet de politique (OID) : Désignation numérique se retrouvant dans le certificat et faisant référence à la Politique permettant d’identifier le niveau de confiance du certificat. Réémission : Nouvelle attribution à un même détenteur à la suite d’une révocation ou d’un nonrenouvellement de ses certificats. Déclaration des pratiques de certification : Document dans lequel le PSC/R indique les pratiques mise en place pour rendre les services de certification en conformité avec la Politique. Regroupement de professionnels reconnus (RPR) : Organisation officielle représentant un groupe de personnes exerçant une même profession afin de défendre l’intérêt de ses membres ou du public. Prestataire de services de certificats et de répertoires (PSC/R) : Entité responsable de l’administration des services de certification et de répertoire visant la délivrance et la gestion des certificats. Récupération : Intervention effectuée à la demande du détenteur ou du PSC/R visant à régénérer les certificats du détenteur lorsque ceux-ci ne peuvent plus être utilisés. Il peut être ou non lui-même un détenteur de certificats. Public page 38 sur 38 . Révocation : Retrait d’un certificat effectué de plein droit par le PSC/R ou à la demande d’une personne autorisée. Il doit être autorisé et avoir conclu une entente à cet effet avec le PSC/R Personne morale : Inclus une corporation. de logiciels et de ressources humaines permettant la gestion des clés et certificats émis par l’AC. s’authentifier et/ou chiffrer selon ses besoins ou les fonctionnalités disponibles. Matricule : Code d’identification unique donné par un RPR à l’un de ses membres ou attribué par le PSC/R pour identifier le détenteur lorsque celui-ci n’est pas membre d’un RPR.