Request for Comment and IPR Review: PCTF Verified Login Component Overview & Conformance Profile Draft Recommendations V1.0


Le français suit…

Notice of Intent: DIACC is collaborating to develop and publish a Verified Login industry standard as a component of the Pan-Canadian Trust Framework (PCTF) to set a baseline of public and private sector interoperability of identity services and solutions.

Document Status: These review documents have been approved as Draft Recommendations V1.0 by the DIACC’s Trust Framework Expert Committee (TFEC) that operates under the DIACC controlling policies.

Summary:

The PCTF Verified Login Component defines a set of processes that enable access to digital systems. Processes in scope for this component include binding a Credential to a Subject, binding Authenticators to a Credential, session management, and Credential lifecycle management functions (e.g., updates, suspension, recovery, and revocation). It also defines a set of Conformance Criteria for each process that, when a process is shown to be compliant, enable the process to be trusted.

The purpose of the PCTF Verified Login Component is to ensure the on-going integrity of login processes by applying standardized Conformance Criteria for process assessment and certification. The Conformance Criteria for this component may be used to ensure Trusted Processes result in the representation of a unique Subject and a Level of Assurance that it is the same Subject with each successful login to an Authentication Service Provider. Also, the reliability of Trusted Processes needed to maintain the integrity and security of the Authenticators used to gain access to remote systems.

To learn more about the Pan-Canadian vision and benefits-for-all value proposition please review the Pan-Canadian Trust Framework Overview.

Invitation:

  • All interested parties are invited to comment.

Review Documents:

When reviewing these drafts, please consider the following and note that responses to these questions are non-binding and serve to improve the PCTF.

  1. If your organization were to self-assess today, would you comply?
  2. Could your organization comply?
  3. Could your organization identify any barriers to compliance (business, legal, or technical)?
  4. Would you be willing to complete a non-binding self-assessment? If so, would you be willing to share those results with the DIACC Trust Framework Expert Committee.
  5. Is the description of the Trusted Processes clear and accurate?
  6. Are the conformance criteria clear and measurable/accessible?
  7. Do you agree with the terms used to describe Verified Login and the use of the phrase “Verified Login” for this component?
  8. Do you agree with the removal of descriptive information from the conformance profile document and its consolidation in the overview document?
  9. Do you agree with the re-structuring of the overview document to put all terms, definitions, roles, and other key information into a single section?

Supporting Documents:

Period:

  • Opens: November 20, 2019 at 23:59 PST | Closes: January 20, 2020 at 23:59 PST

Intellectual Property Rights:

Comments must be received within 60-day comment period noted above. All comments are subject to the DIACC contributor agreement; by submitting a comment you agree to be bound by the terms and conditions therein. DIACC Members are also subject to the Intellectual Property Rights Policy. Any notice of an intent not to license under either the Contributor Agreement and/or the Intellectual Property Rights Policy with respect to the review documents or any comments must be made at the Contributor’s and/or Member’s earliest opportunity, and in any event, within the 60-day comment period. IPR claims may be sent to review@diacc.ca. Please include “IPR Claim” as the subject.

Process:

  • All comments are subject to the DIACC contributor agreement.
  • Submit comments using the provided DIACC Comment Submission Spreadsheet.
  • Reference the draft and corresponding line number for each comment submitted.
  • Email completed DIACC Comment Submission Spreadsheet to review@diacc.ca.
  • Questions may be sent to review@diacc.ca.

Value to Canadians:

The PCTF Verified Login Component will provide value to all Canadians, businesses, and governments by setting a baseline of business, legal, and technical interoperability. The DIACC’s mandate is to collaboratively develop and deliver resources to help Canadian’s to digitally transact with security, privacy, and convenience. The PCTF is one such resource that represents a collection of industry standards, best practices, and other resources that help to establish interoperability of an ecosystem of identity services and solutions. The DIACC is a not-for-profit coalition of members from the public and private sector who are making a significant and sustained investment in accelerating Canada’s Identity Ecosystem.

Context:

The purpose of this Draft Recommendation review is to ensure transparency in the development and diversity of a truly Pan-Canadian, and international, input. In alignment with our Principles for an Identity Ecosystem, processes to respect and enhance privacy are being prioritized through every step of the PCTF development process.

DIACC expects to modify and improve these Draft Recommendations based upon public comments. Comments made during the review will be considered for incorporation into the next drafts and DIACC will prepare a Disposition of Comments to provide transparency with regard to how each comment was handled.

Guide d’examen des ébauches de recommandations pour l’aperçu de la composante « Connexion vérifiée » et le profil de conformité de la connexion vérifiée du cadre de confiance pancanadien V1.0

Déclaration d’intention : Le DIACC collabore pour développer et publier une norme de l’industrie en matière de connexion vérifiée en tant que composante du cadre de confiance pancanadien afin d’établir une base d’interopérabilité des services et solutions d’identité dans les secteurs public et privé.

État des documents : Ces documents à examiner ont été approuvés en tant qu’ébauches de recommandations par le Comité d’experts du cadre de confiance (TFEC) du DIACC, qui est régi par les politiques qui contrôlent le DIACC.

Résumé

La composante « Composante vérifiée » du cadre de confiance pancanadien définit un ensemble de processus qui donnent accès à des systèmes numériques. Les processus visés par cette composante incluent la liaison d’un justificatif à un sujet, la liaison d’authentifiants à un justificatif, la gestion de session et les fonctions de gestion du cycle de vie des justificatifs (p. ex., mises à jour, suspension, récupération et révocation). Elle définit aussi pour chaque processus un ensemble de critères de conformité qui, lorsqu’un processus est indiqué comme étant conforme, permet de lui faire confiance.

La composante « Composante vérifiée » du cadre de confiance pancanadien a pour objectif d’assurer l’intégrité continue des processus de connexion en appliquant des critères de conformité uniformisés à l’évaluation et à la certification des processus. Les critères de conformité pour cette composante peuvent servir à s’assurer que les processus de confiance donnent la représentation d’un sujet unique et l’assurance qu’il s’agit du même sujet à chaque connexion réussie à un fournisseur de services d’authentification, ainsi que la fiabilité des processus de confiance nécessaires pour maintenir l’intégrité et la sécurité des authentifiants utilisés pour avoir accès à des systèmes à distance.

Pour en savoir davantage sur la vision du cadre de confiance pancanadien et les avantages qu’il procure à tous, veuillez lire le document Aperçu du cadre de confiance pancanadien.

Invitation

  • Toutes les parties intéressées sont invitées à faire des commentaires.

Documents à examiner

En examinant ces ébauches, veuillez tenir compte des questions ci-dessous et prendre note que les réponses ne sont pas contraignantes et servent à améliorer le cadre de confiance pancanadien.

  1. Si votre organisation devait s’auto-évaluer aujourd’hui, serait-elle conforme?
  2. Votre organisation pourrait-elle être conforme?
  3. Votre organisation pourrait-elle identifier des obstacles (commerciaux, juridiques ou techniques) à la conformité?
  4. Seriez-vous disposé à faire une auto-évaluation non contraignante? Dans l’affirmative, seriez-vous disposé à partager ces résultats avec le Comité d’experts du cadre de confiance pancanadien.
  5. La description des processus de confiance est-elle claire et exacte?
  6. Les critères de conformité sont-ils clairs et mesurables/accessibles?
  7. Êtes-vous d’accord avec les termes utilisés pour décrire la connexion vérifiée et l’utilisation de l’expression « connexion vérifiée » pour cette composante?
  8. Êtes-vous d’accord pour supprimer l’information descriptive du document sur le profil de conformité et de l’intégrer dans l’aperçu?
  9. Êtes-vous d’accord avec la restructuration du document sur l’aperçu pour regrouper tous les termes, définitions, rôles et autres renseignements clés dans une seule section?

Documents de référence

Période

  • Début : 20 novembre 2019 à 23 h 59 HP | Fin : 20 janvier 2020 à 23 h 59 HP

Droits de propriété intellectuelle

Les commentaires doivent être reçus pendant la période de 60 jours indiquée ci-dessus. Tous les commentaires sont assujettis à l’entente de contributeur du DIACC; en soumettant un commentaire, vous acceptez d’être lié par les conditions qu’elle renferme. Les membres du DIACC sont également assujettis à la politique sur les droits de propriété intellectuelle. Tout avis d’intention de ne pas octroyer une licence en vertu de l’entente de contributeur et/ou de la politique sur les droits de propriété intellectuelle relativement aux documents à examiner ou à des commentaires doit être donné dès que le contributeur et/ou le membre en ont la possibilité, et en toute circonstance, pendant la période de commentaires de 61 jours. Les revendications au titre des droits de propriété intellectuelle peuvent être adressées à review@diacc.ca. Veuillez indiquer « Revendication en matière de propriété intellectuelle » dans l’objet.

Processus

  • Tous les commentaires sont assujettis à l’entente de contributeur du DIACC.
  • Veuillez utiliser le formulaire prévu à cet effet pour soumettre vos commentaires au DIACC.
  • Assurez-vous d’indiquer le numéro de ligne correspondant à chaque commentaire soumis.
  • Le formulaire de soumission de commentaires au DIACC doit être envoyé par courriel, dûment rempli, à review@diacc.ca.
  • Questions : review@diacc.ca.

Valeur pour les Canadiens

La composante « Connexion vérifiée » du cadre de confiance pancanadien procurera de la valeur à l’ensemble des Canadiens, entreprises et gouvernements en établissant une base d’interopérabilité commerciale, juridique et technique. Le DIACC a pour mandat de collaborer au développement et à la prestation de ressources visant à aider les Canadiens à faire des transactions numériques qui sont sécuritaires et commodes, et qui respectent leur vie privée. Le cadre de confiance pancanadien est une de ces ressources. Il représente un ensemble de normes de l’industrie, de pratiques exemplaires et autres ressources qui aident à établir l’interopérabilité d’un écosystème de services et solutions en matière d’identité. Le DIACC est une coalition sans but lucratif de membres des secteurs public et privé qui effectuent un investissement important et soutenu pour accélérer l’écosystème de l’identité du Canada.

Contexte

L’examen des ébauches de recommandations a pour but d’assurer la transparence de l’élaboration et de la diversité d’un apport véritablement pancanadien et international. Conformément à nos principes pour un écosystème de l’identité, la priorité est accordée aux processus visant à respecter et à renforcer la vie privée à chaque étape du processus de développement du cadre de confiance pancanadien.

Le DIACC s’attend à modifier et à améliorer ces ébauches de recommandations en fonction des commentaires du public. Les commentaires faits pendant l’examen seront pris en compte pour être intégrés dans les prochaines ébauches et le DIACC va préparer un document expliquant d’une façon transparente comment chaque commentaire a été traité.