Principales fonctionnalités

Voici une présentation détaillée des différentes fonctionnalités de SecuSign API Expert®.

Intégration et Fonctionnalités Avancées

✔️ Modularité totale – Déportez les éléments complexes backend du parcours, et servez le front.

✔️ Flexibilité API – Intégration directe ou non de l'identification KYC en iframe, demande distante de génération de certificat électronique et clés RSA, validation OTP et signature cryptographique.

✔️ Signature en mode "hash signing" ou "PAdES – Communiquez seulement le hash du document à signer et obtenez la signature brute (PKCS#1), ou bien transmettez directement le document PDF et recevez le PDF signé (PAdES).




1. 🧑‍💼 Gestion de l'identification des signataires

L'identification du signataire (KYC) varie selon le niveau de signature requis et peut être gérée par le Client ou mis à disposition par SecuSign.

SecuSign transmet le lien d'identification KYC au client qui l'intègre (ex. iframe) directement dans son application, créant un parcours fluide et sans rupture pour le signataire final.

Le Client peut aussi bénéficier de l'option "autorité d'enregistrement déléguée (AED)" auprès de Datasure. Dans ce cas, le Client est responsable de l'identification et se conforme aux politiques de Datasure CA. Aucune identification n'est alors requise par l'API SecuSign pour obtenir les certificats électroniques et signatures.

📌

Conclusion :
Le Client peut gérer lui-même l'identification de ses signataires, ou utiliser les solutions d'identification de SecuSign pour les exposer dans son application directement.


2. 🔑 Génération des biclés RSA dans HSM

SecuSign intègre directement dans son API REST le recours aux HSMs (Hardware Security Module = Module cryptographique de sécurité) de Datasure, permettant de générer des clés de signature dans un environnement cryptographique sécurisé. Les HSMs mis en oeuvre sont certifié eIDAS (QSCD), c'est à dire qu'ils permettent de générer des signatures électroniques qualifiés eIDAS.

Génération de biclés RSA 4096 bits pour chaque signataire, dans des modules cryptographiques distants (HSM)

Le Contrôle exclusif du signataire sur ses clés est assuré par une mécanique d'authentification par challenge OTP auprès de l'API (voir étape 4 : signature).

📌

Conclusion :
Le Client bénéficie d'une infrastructure de confiance complète à travers SecuSign API Expert car il met en œuvre les HSMs certifiés eIDAS afin de générer et stocker les clés de signature.


3. 🪪 Certificats électroniques délivrés par Datasure via SecuSign API Expert

Directement connecté à l'autorité de certification (AC) de Datasure, SecuSign API Expert permet la génération de certificats électroniques X.509 pour les signataires du Client, afin de donner une valeur juridique forte à la signature électronique.

Génération de certificats électroniques pour les signataires directement via SecuSign API Expert, en lien avec l'étape 1 sur l'identification (KYC).

Différents niveaux de certificats selon le besoin de niveau de confiance, la signature électronique peut ainsi être une signature avancée LCP ou NCP+, ou bien directement le plus haut niveau existant, la signature électronique qualifié (QES). Tous les profils sont certifiés ETSI et/ou qualifiés eIDAS, merci de consulter le détail de nos certifications ici.


4. 🔏 Signature électronique à distance, brute ou PDF

Après avoir validé le challenge OTP, le signataire peut déverrouiller à distance l'usage de sa clé privée, via le Client, afin de signer le hash ou le fichier PDF transmis. Si un hash (ex. SHA256) du fichier ou document à signer avait été transmis, alors le Client récupère une signature brute (PKCS#1) de ce hash et l'intègre ensuite lui-même à son parcours et cas d'usage. Si c'est un fichier PDF qui avait été transmis, le client reçoit le PDF signé (format PAdES) sans avoir d'autres étapes à réaliser que de sauvegarder celui-ci dans son parcours.

Opération de signature distante directement via SecuSign API Expert, en lien avec la validation de l'authentification du signataire (OTP) en utilisant les clés HSMs détenus pour le compte du signataire.

2 options de signatures disponibles, la signature brute (1 HASH en entrée à signer = 1 Signature PKCS#1 en sortie) ou le fichier PDF signée (format PAdES). La roadmap inclus également une future 3ème option: signature CMS.

Attestation de preuve pour la transaction de signature, chaque transaction réalisée avec SecuSign génère un certificat de preuve de transaction. Ce document PDF, signé par Datasure, atteste de toutes les opérations réalisée pour une transaction donnée.