Score d'assurance
Résumé
Le score d'assurance Datasure consiste en l'attribution d'une note de 0 à 10 en fonction de critères objectifs qui sont disponibles sur cette page. Ce score a pour objectif de favoriser la transparence et la compréhension des parties prenantes concernant le niveau des services de signature électronique qu'ils utilisent, et en conséquence de la garantie apportée par ces services.
Les critères de notation sont définis selon 2 principaux axes :
- L'analyse de plus d'une centaine de décisions judiciaires française sur un périmètre de jurisprudence faisant particulièrement autorité (Cour d'appel et Cour de cassation)
- L'état de l'art connu dans le domaine scientifique et technique de référence
- Les normes et règlements en vigueur en France et en Europe.
Items du scoring
Le tableau suivant liste les items concernés avec les points attribués. Le score d'assurance est déclaratoire et se fonde exclusivement sur des items objectifs n'étant pas sujet à interprétation entre différents prestataires de signature.
| Conformité normes et règlementation | Point |
|---|---|
| Le prestataire est un Prestataire de Services de Confiance certifié conforme à la norme ETSI EN 319 401, par un organisme d'évaluation de la conformité accrédité par le Comité Français d'Accréditation (COFRAC) ou par tout autre organisme d'accréditation qui est explicitement reconnu par le COFRAC comme équivalent dans le cadre des accords de reconnaissance mutuelle EA MLA (European cooperation for Accreditation Multilateral Agreement) ou IAF MLA (International Accreditation Forum Multilateral Recognition Arrangement). | 1 |
| Le prestataire est un Prestataire de Services de Confiance qualifié conformément au Règlement eIDAS, présent sur la Trust list de la Commission européenne | 0,5 |
| Signature avancée certifiée LCP - Le prestataire de signature met en œuvre une signature électronique avancée dont le profil de certificat électronique nominatif délivré est certifié conforme à la norme ETSI EN 319 411-1 pour le niveau LCP, par un organisme d'évaluation de la conformité accrédité par le Comité Français d'Accréditation (COFRAC) ou par tout autre organisme d'accréditation qui est explicitement reconnu par le COFRAC comme équivalent dans le cadre des accords de reconnaissance mutuelle EA MLA (European cooperation for Accreditation Multilateral Agreement) ou IAF MLA (International Accreditation Forum Multilateral Recognition Arrangement). | 1 |
| Signature avancée certifiée NCP+ - Le prestataire de signature met en œuvre une signature électronique avancée dont le profil de certificat électronique nominatif délivré est certifié conforme à la norme ETSI EN 319 411-1 pour le niveau NCP+, par un organisme d'évaluation de la conformité accrédité par le Comité Français d'Accréditation (COFRAC) ou par tout autre organisme d'accréditation qui est explicitement reconnu par le COFRAC comme équivalent dans le cadre des accords de reconnaissance mutuelle EA MLA (European cooperation for Accreditation Multilateral Agreement) ou IAF MLA (International Accreditation Forum Multilateral Recognition Arrangement). | 2 |
| Signature électronique qualifiée - Le prestataire de signature est un Prestataire de Services de Confiance qualifié par une autorité nationale au sens du Règlement eIDAS, pour les services de délivrance de certificat qualifiés de personnes physiques, et met en œuvre ces certificats qualifiés dans le cadre de l'offre de signature électronique qualifiée concernée | 3 |
| Consentement et signature | Point |
|---|---|
| Validation obligatoire par le signataire d'un code OTP par un moyen réputé être en sa seul possession (SMS, mail, application MFA2, ...) | 1 |
| Le consentement donnée par le signataire sur le document peut être démontré par la preuve du contenu affiché à l'écran au signataire au moment de la prise de ce consentement (exemple : calcul d'empreinte unique SHA256 du document au moment de l'affichage matérialisé par un timestamp et enregistrement de cette information en dossier de preuve). La durée de consultation du document avant signature est également enregistrée. | 1 |
| Existence d'un certificat ou dossier de preuve retraçant les opérations de la transaction de signature effectuée et les justificatifs de l'identité du signataire le cas échéant | 1 |
| Exigences techniques relatives à l'état de l'art | Point |
|---|---|
| L'application de signature est hébergée sur une infrastructure hautement disponible et un Plan de Reprise d'Activité (PRA) est formalisé par le Prestataire. | 0,5 |
| L'hébergement de la plateforme de signature est immunisé aux lois extraterritoriales ou, à défaut, le Prestataire met en œuvre des mesures complémentaires réellement efficiente pour s'y prémunir (ex. chiffrement HYOK). | 0,5 |
| Mise en œuvre des clés de signature, pour le compte du signataire et sous son seul contrôle, dans des modules cryptographiques (HSM) certifiés Critères Communs pour le service de signature concerné. Le recours à un dispositif token de type carte à puce local, détenu par le signataire et lui permettant de signer, rempli également cette exigence. | 0,5 |
| Le Prestataire incorpore un horodatage électronique qualifié eIDAS dans la signature électronique pour le service de signature concerné. | 0,5 |
| Le Prestataire réalise la signature cryptographique avec un certificat électronique nominatif délivré par une Autorité de certification (PKI) au nom du signataire | 0,5 |
Résultats du score d'assurance pour SecuSign
Signature simple : 6/10
Signature avancée Biometrie : 7/10
Signature avancée LCP : 8/10
Signature avancée NCP+ : 9/10
Signature qualifiée (QES) : 10/10
Updated 19 days ago