Déclaration des pratiques

  1. Introduction
    1. Le logiciel en nuage cidaas ID Validator (ci-après « cidaas ID Validator » ou « logiciel ») est fourni par
      Widas ID GmbH
      Maybachstraße 2
      D-71299 Wimsheim
      représenté par les directeurs généraux
      Sadrick Widmann et Yael Widmann
      Téléphone : +49 (0)7044 / 95103-100
      (ci-après dénommé « prestataire » ou « Widas »).
      Avec cidaas ID Validator, Widas propose une solution logicielle en nuage pour un onboarding numérique conforme à eIDAS (identification numérique de l’utilisateur).
    2. La déclaration de pratique décrit les procédures et les politiques que Widas ID suit concernant cidaas ID Validator.
  2. Definitions
    1. Cette section décrit la base juridique eIDAS sur laquelle le cidaas ID Validator est développé. Le cidaas ID Validator traite l’identification conforme à eIDAS du client.
    2. Journal officiel de l’Agence fédérale des réseaux pour l’électricité, le gaz, les télécommunications, la poste et les chemins de fer, Avis, Signature électronique qualifiée, Partie A, Avis de l’Agence fédérale des réseaux, Avis nº. 208/2018, Arrêté conformément à l’article 11 (1) VDG, 11/2018.
    3. Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur et abrogeant la directive 1999/93/CE du Conseil.
    4. Loi d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur et abrogeant la directive 1999/93/CE (loi d’application eIDAS).
    5. Ordonnance sur les services de confiance (ordonnance sur les services de confiance – VDV).
  3. cidaas ID Validator Practices
    1. La déclaration de pratique du validateur de cidaas ID est approuvée par la direction de Widas ID et son applicabilité est assurée par des audits internes et externes réguliers.
    2. Widas ID peut apporter des modifications à cette déclaration de pratique à tout moment en publiant la déclaration de pratique modifiée sur son site Web et en l’informant par courrier. Widas ID fournira des informations sur les changements qu’elle a l’intention d’apporter à la déclaration de pratique. La déclaration de pratique mise à jour indiquera quand les changements entreront en vigueur.
    3. Avant d’entrer dans une relation contractuelle avec Widas ID, tous les utilisateurs reçoivent les conditions d’utilisation d’une manière compréhensible.
    4. Les pratiques de cidaas ID Validator sont basées sur les exigences légales susmentionnées. La présente Déclaration de pratique porte notamment sur le  » Journal officiel de l’Agence fédérale des réseaux pour l’électricité, le gaz, les télécommunications, la poste et les chemins de fer, Avis, Signature électronique qualifiée, Partie A, Avis de l’Agence fédérale des réseaux, Avis n° 208/2018, Arrêté en vertu de l’article 11 (1) VDG, 11/2018 « .
    5. cidaas ID Validator effectue les étapes suivantes pour vérifier l’identité d’une personne vivante en ligne, avec une sécurité similaire à celle du processus Video Ident.Enregistrement du client
      • Recherche du consentement
      • Détection de la vivacité du client
      • Vérifier qu’il s’agit d’une pièce d’identité valide
      • Vérification que le document d’identité appartient à la personne identifiée
      • Vérification de la personne connectée et valide
    6. Widas ID fonctionne comme un processeur conformément à l’art. 28 GDPR. Le client est alors l’organisme responsable au sens de l’art. 4 n° 7 GDPR. Le fournisseur doit respecter les principes d’un traitement correct des données. Le fournisseur doit assurer les mesures contractuellement convenues et légalement requises pour la sécurité des informations, en particulier le respect des principes de l’art. 4 n° 7 GDPR. 5 I lit. f, 25 et 32 GDPR. Toutes les informations confidentielles et protégées révélées à Widas ID lors de l’utilisation du cidaas ID Validator sont considérées comme des informations confidentielles. Les informations confidentielles ne comprennent pas les informations qui : (I) entrent dans le domaine public sans faute de Widas ID ; (II) sont transmises à Widas ID par un tiers sans aucune obligation de confidentialité ; (III) ont été développées indépendamment par Widas ID et sans référence à des informations confidentielles de la partie divulgatrice ; (IV) étaient légalement en possession de Widas ID avant la divulgation de la déclaration de pratique et n’ont pas été reçus, directement ou indirectement, de la partie divulgatrice ; ou (V) sont tenus par la loi d’être divulgués, à condition que Widas ID ait rapidement notifié par écrit la partie divulgatrice d’une telle exigence et ait accordé à la partie divulgatrice un délai raisonnable pour s’y opposer.
    7. Widas ID répond aux exigences générales de sécurité applicables au validateur cidaas ID dans ETSI EN 319 401. Les mécanismes et principes de sécurité adéquats liés aux actifs physiques, personnels et d’information qui effectuent le provisionnement du cidaas ID Validator sont définis dans des politiques de sécurité spécifiques. Des examens réguliers garantissent que les politiques de sécurité sont conformes aux changements réglementaires, organisationnels ou de produits.
    8. Widas ID communique sa politique de sécurité de l’information et ses changements à tous les employés et aux parties externes qui sont concernées par cette politique.
    9. Toutes les informations qui sont échangées lors de la vérification d’une identité sont cryptées pendant la transmission et le stockage.
    10. Widas ID est obligé de réaliser un audit externe par l’organisme d’évaluation de la conformité du cidaas ID Validator tous les 24 mois. Le statut est contrôlé par l’Agence fédérale des réseaux. Les activités de contrôle et de surveillance internes sont régulièrement effectuées par des contrôles et des tests automatisés et humains.
    11. Selon le « Journal officiel de l’Agence fédérale des réseaux pour l’électricité, le gaz, les télécommunications, la poste et les chemins de fer », paragraphe 8 « Notification des soupçons de fraude », l’utilisateur est tenu de les afficher dans le tableau de bord d’administration. Le cidaas ID Validator permet ainsi un signalement à tsp-incidents@bnetza.de (voir conditions d’utilisation).
    12. Les fournisseurs de services externes offrant des services d’hébergement pour Widas sont responsables de la production d’énergie redondante dans leurs centres de données, des connexions Internet redondantes et de la surveillance continue des paramètres de performance critiques pour un bon fonctionnement.
    13. Widas ID classe l’inventaire de ses actifs et effectue l’analyse des risques sur cette base, conformément à la norme ISO27001. Les supports qui contiennent des données sensibles sont stockés en toute sécurité et éliminés lorsqu’ils ne sont plus nécessaires. Cela implique également un processus de suppression complet ou une élimination sûre des supports physiques contenant des données sensibles.
    14. Le personnel responsable de Widas ID possède l’expérience et les qualifications nécessaires à l’exercice de ses fonctions. Le personnel a été soigneusement sélectionné. Des sessions de formation et des transferts de connaissances sur la sécurité et la confidentialité sont régulièrement organisés.
      • Agent de sécurité : Responsabilité globale des pratiques de sécurité
      • Administrateur système : Personnes autorisées qui peuvent effectuer des configurations, des installations sur des environnements de production.
      • Auditeur du système : Autorisé à examiner les journaux d’audit du système.
    15. L’accès aux informations et aux données sera contrôlé, vérifié et suivi.
    16. Seul le personnel préalablement autorisé a accès aux systèmes physiques. L’alimentation électrique et le réseau sont redondants pour garantir une haute disponibilité. Toutes les alarmes dans le centre de données sont transmises à notre système d’alerte. Les personnes de permanence sont immédiatement averties en cas d’erreur.
    17. Widas ID utilise des systèmes et des produits dignes de confiance, protégés contre les modifications et garantissant la sécurité technique et la fiabilité des processus qu’ils soutiennent. Pour garantir que le réseau et les systèmes d’information de Widas ID sont protégés contre les codes malveillants, des mécanismes appropriés sont mis en œuvre et régulièrement vérifiés. Des pratiques de gestion des correctifs sont appliquées pour corriger les vulnérabilités en temps utile, en fonction de leur gravité. Les systèmes d’exploitation et les logiciels d’application sont soumis à un contrôle strict des modifications, y compris les procédures de test, d’évaluation des risques, de repli et d’approbation.
    18. Widas ID dispose d’un plan de réponse aux incidents documenté et de processus de surveillance et de gestion des vulnérabilités afin de traiter les incidents de manière rapide et coordonnée et de limiter l’impact des failles de sécurité. Ces procédures prévoient que les parties concernées soient informées dans les 24 heures, conformément aux dispositions légales applicables, en cas de violation de la sécurité ou de perte d’intégrité ayant un impact significatif sur le service fourni et les données personnelles qui y sont stockées. Le délégué à la protection des données participe à l’évaluation des intérêts des personnes concernées en cas de violation éventuelle de la sécurité.
    19. Les journaux d’audit sont régulièrement examinés par le personnel d’identification de Widas, et un système d’alerte identifie les attaques potentielles.
    20. Le plan de continuité et de reprise après sinistre de Widas ID définit les procédures mises en œuvre pour garantir qu’en cas de sinistre (y compris la défaillance de composants critiques des systèmes de Widas ID), les opérations peuvent être rétablies aussi rapidement que possible.
    21. En cas de violation de la sécurité ou de perte d’intégrité ayant un impact significatif sur le Service, Widas ID informera immédiatement les abonnés, les tiers de confiance et les autorités publiques compétentes, et en tout cas dans les 24 heures suivant la notification de l’incident.
    22. Les serveurs Widas ID sont divisés en zones, chacune ayant des contrôles de sécurité strictement définis. Tous les systèmes d’une zone donnée sont soumis aux mêmes contrôles de sécurité et la communication entre les zones est limitée.
    23. Une séparation stricte entre les systèmes de développement, de test et de production est maintenue pour réduire le risque d’accès ou de modifications non autorisés dans le système de production.
    24. Les configurations des systèmes de détection d’intrusion (IDS) sont définies et vérifiées régulièrement. Les journaux sont examinés quotidiennement, et les alertes sont déclenchées et résolues en temps utile.
    25. Des contrôles de vulnérabilité du réseau et des tests de pénétration sont effectués régulièrement.
    26. Widas ID conserve des enregistrements du fonctionnement du validateur de cidaas ID afin de fournir la preuve du bon fonctionnement des services. Ces enregistrements ne seront mis à la disposition des autorités chargées de l’application de la loi et de celles qui ont le droit d’y accéder, que sur demande légitime et uniquement sur ordonnance du tribunal.
    27. Ces enregistrements sont traités de manière confidentielle dans des installations redondantes afin de garantir leur disponibilité pendant toute la période.
    28. Des sauvegardes complètes des journaux sont générées chaque semaine et les journaux sont conservés pendant une période minimale de 5 ans. Les documents archivés électroniquement sont stockés dans des serveurs redondants soumis à des contrôles d’accès physiques et logiques.
    29. Selon les exigences d’eIDAS, le Widas ID a un plan de procédure en cas de cessation des services.
  4. Autres questions commerciales et juridiques
    1. Widas ID dispose de suffisamment de ressources financières et, conformément à la loi applicable, a souscrit une assurance responsabilité adéquate pour couvrir les responsabilités découlant de ses opérations et/ou activités
    2. Widas ID garantit l’exécution du processus d’inscription et la transmission/la fourniture des données résultantes au client. Widas ID n’est pas responsable de l’adéquation ou de l’authenticité des certificats émis dans le cadre de cette politique.
    3. Widas ID n’émet aucune revendication sur l’adéquation des certificats émis dans le cadre de cette déclaration de pratique de certification à quelque fin que ce soit. Les tiers de confiance utilisent ces certificats à leurs propres risques. Widas ID n’est pas obligé d’effectuer des paiements pour les coûts encourus en rapport avec le mauvais fonctionnement ou l’utilisation abusive des certificats émis dans le cadre de cette déclaration de pratique de certificat.
    4. Le point de contact pour les demandes d’assistance et de réclamation est réglementé par contrat
    5. En cas de litiges, les parties concluent un accord, en considérant les lois, les règlements et les accords applicables.
    6. Le droit allemand est applicable.
    7. Widas ID exploite ses activités conformément au droit allemand non discriminatoire.

.

.