16 Oct Obligations que nous auditons pour tous les fournisseurs de services de confiance
Le modèle régulant les exigences et obligations des fournisseurs de services de confiance est régi par le règlement eIDAS, établissant certaines obligations applicables aux fournisseurs en fonction des services de confiance qualifiés ou non auxquels ils optent.
Obligations communes que nous auditons pour tous les fournisseurs de services de confiance
Dans nos audits et conseils, nous devons toujours tenir compte de certains des points à auditer communs à tous les fournisseurs de services de confiance, à savoir :
Conformité au RGPD et utilisation de pseudonymes :
Vérifier que le fournisseur respecte le Règlement général sur la protection des données (RGPD) en ce qui concerne le traitement des données personnelles.
Évaluer si des pseudonymes sont utilisés pour protéger l’identité des utilisateurs et comment ils sont gérés.
S’assurer que les obligations de notification des violations de données sont respectées conformément au RGPD.
Accessibilité du service aux personnes handicapées :
Évaluer si le fournisseur respecte les exigences d’accessibilité établies dans le Décret royal législatif 1/2013 du 29 novembre.
Vérifier que le service est accessible aux personnes malvoyantes, sourdes ou présentant d’autres types de handicaps, et que les directives d’accessibilité web sont suivies.
Notification des incidents et mesures de sécurité :
S’assurer que le fournisseur dispose de procédures solides pour notifier les incidents de sécurité, conformément à l’article 19.1 du règlement eIDAS.
Évaluer si les normes techniques établies dans les normes ETSI EN 319 401, 411 et 421 sont suivies pour garantir la sécurité des services de confiance électronique.
Publication précise conformément à l’article 9.1.a) de la LSEC :
Vérifier que le fournisseur publie des informations précises et véridiques concernant ses services, ses tarifs et ses politiques.
S’assurer que les exigences de transparence et de clarté sont respectées dans les informations fournies aux utilisateurs.
Ne pas stocker de copies de clés, sauf en cas d’opération au nom du titulaire :
Évaluer si le fournisseur respecte l’interdiction de stocker des copies des clés des utilisateurs, sauf en cas d’opération au nom du titulaire du certificat.
S’assurer que les procédures appropriées sont suivies pour la gestion des clés cryptographiques, y compris leur génération sécurisée et le respect de la confidentialité.
D’autre part, il est important de prendre en compte les obligations spécifiques des fournisseurs de services de confiance qualifiés :
Information à l’autorité de surveillance conformément à l’article 24.2 de l’eIDAS sur tout changement dans la prestation de services.
Vérifier que le fournisseur respecte l’obligation de l’article 24.2 de l’eIDAS d’informer l’autorité de surveillance de tout changement dans la prestation de services de confiance électronique.
Évaluer l’efficacité des processus et des procédures établis pour la notification en temps opportun et précise des changements dans les services.
Caractéristiques spécifiques du personnel et des sous-traitants conformément à l’article 24.2 du règlement eIDAS, y compris les plans de formation conformément aux normes ISO 27002, ETSI EN 391 401 et autres normes telles que ETSI EN 319 411-1.
Examiner les qualifications et les compétences du personnel et des sous-traitants du fournisseur, en veillant à ce qu’ils respectent les caractéristiques requises par l’article 24.2 de l’eIDAS.
Évaluer l’existence de plans de formation conformes aux normes pertinentes telles que ISO 27002, ETSI EN 319 401 et d’autres normes applicables pour garantir que le personnel soit adéquatement formé en matière de sécurité de l’information et de technologie.
Exigences de solvabilité conformément à l’article 24.2 du prestataire de services.
Vérifier que le fournisseur respecte les exigences de solvabilité établies à l’article 24.2 de l’eIDAS, ce qui implique d’avoir la capacité financière et les ressources nécessaires pour offrir des services de confiance électronique de manière durable.
Évaluer les politiques financières et la capacité du fournisseur à respecter ses engagements.
Information claire et véridique aux clients potentiels conformément à l’article 24.2 de l’eIDAS
Vérifier que le fournisseur fournit des informations claires et véridiques aux clients potentiels de services de confiance électronique, conformément à l’article 24.2 de l’eIDAS.
Examiner le contenu des informations fournies, notamment les conditions générales, les tarifs, les descriptions des services et les exigences pour les utilisateurs.
Utilisation de systèmes fiables, de contrôles contre la contrefaçon et le vol de données conformément à l’article 24.2 de l’eIDAS, à l’article 19.1 de l’eIDAS et à l’article 24.2.g de l’eIDAS
Évaluer l’utilisation de systèmes fiables pour la fourniture de services de confiance électronique, y compris des contrôles de sécurité techniques et organisationnels.
S’assurer que des mesures de sécurité sont mises en place contre la contrefaçon et le vol de données, conformément à l’article 19.1 et à l’article 24.2.g de l’eIDAS.
Utilisation de la cryptographie asymétrique ou symétrique.
Évaluer le type de cryptographie utilisé dans la prestation de services de confiance électronique et s’assurer qu’il est approprié pour garantir la confidentialité et l’intégrité des données.
Vérifier que les systèmes de chiffrement respectent les normes de sécurité.
Politiques de rétention de l’information conformément à l’article 24.2 de l’eIDAS et à la loi 2/2015 du 5 octobre sur la réforme de la LEC
Examiner les politiques de rétention de l’information pour garantir qu’elles respectent les exigences de l’article 24.2 de l’eIDAS et de la loi 2/2015 sur la réforme de la LEC.
S’assurer que l’information est conservée aussi longtemps que nécessaire et qu’elle est éliminée de manière sécurisée lorsque son utilisation n’est plus nécessaire.
Notification de la cessation du service
conformément à l’article 24.2.a de l’eIDAS, à l’article 24.2.i de l’eIDAS et à d’autres dispositions.
Évaluer les procédures et les politiques de notification de cessation de service, conformément à l’article 24.2.a et à l’article 24.2.i de l’eIDAS et à d’autres réglementations applicables.
Vérifier que la notification est faite en temps opportun aux parties concernées et que les procédures établies sont suivies pour assurer une transition sans heurts.
Conclusion
Pour devenir un fournisseur de confiance, qu’il s’agisse de services qualifiés ou non, un soutien et une vérification juridique et technique sont nécessaires pour satisfaire aux exigences en fonction du type de service proposé. Comptez sur notre équipe juridique et technique pour vous accompagner dans cette démarche. N’hésitez pas à nous contacter sans engagement, nous vous conseillerons et vous recommanderons la meilleure manière de réaliser votre objectif.
proveedordeconfianza@luisvilanova.es