Déclaration d’intention : Le CCIAN collabore pour développer et publier des normes de l’industrie « Évaluation » et « Infrastructure (technologie et opérations) » comme composantes du Cadre de confiance pancanadien (CCP) afin d’établir une base d’interopérabilité des services et solutions d’identité dans les secteurs public et privé.
Pour en savoir davantage sur la vision du Cadre de confiance pancanadien et les avantages qu’il procure à tous, veuillez consulter l’Aperçu du Cadre de confiance pancanadien.
État des documents : Ces documents à examiner ont été approuvés en tant qu’ébauches de recommandations V1.0 par le Comité d’experts du cadre de confiance du CCIAN, qui est régi par les politiques qui contrôlent le CCIAN.
Résumé
La composante Évaluation du CCP vise à établir le plan de certification pour s’assurer qu’un processus, service ou produit est conforme aux critères définis dans le CCP.
La composante Infrastructure (technologie et opérations) du CCP vise à déterminer les exigences opérationnelles en matière de politiques, de plans, de technologie et d’opérations technologiques pour soutenir la mise en œuvre des principes des profils du CCP dans le contexte d’un écosystème de l’identité numérique.
Invitation : Toutes les parties intéressées sont invitées à faire des commentaires.
Période : Début : 20 juillet 2020 à 23 h 59 HP | Fin : 20 août 2020 à 23 h 59 HP
Document : Ébauche de recommandations pour la composante « Évaluation » V1.0
En examinant cette ébauche, veuillez tenir compte de ce qui suit, et noter que les réponses à ces questions ne sont pas contraignantes et visent à améliorer le Cadre de confiance pancanadien.
- La description des rôles et des responsabilités est-elle claire à ce niveau?
- Cette ébauche décrit un processus d’évaluation en plusieurs étapes
consistant à appliquer des niveaux variables d’examen des preuves en
fonction du profil de risque et d’utilisation du service examiné en vue de
la certification.
- Les deux processus sont-ils suffisamment définis? Dans la négative, quelle serait la nature d’un processus discret supplémentaire? À quoi s’appliquerait-il? Cet ajout changerait-il la nature de l’un ou l’autre des deux processus définis?
- Si les deux versions définies des processus sont suffisantes, les différences qui existent entre elles permettent-elles d’utiliser un processus de certification moins onéreux pour certaines demandes de certification? Dans la négative, quelle solution de rechange suggéreriez-vous?
- En gardant à l’esprit un éventuel ajustement en fonction des résultats des travaux du groupe de travail du TFEC sur le niveau d’assurance, les critères pour déterminer quel processus de certification s’applique sont-ils acceptables en principe?
- Une ébauche de définition de la classification basée sur l’utilisation des services est incluse. Cela répond-il aux besoins de ce profil à ce niveau? Dans la négative, que suggéreriez-vous d’autre?
- Y a-t-il des notions ou des termes qui manquent encore de clarté ou continuent de ne pas être appliqués d’une manière uniforme?
- Cet aperçu vise à définir le modèle et le processus de certification d’une façon générale. Le développement de l’exécution majeure du programme soutenant les renseignements a été reporté jusqu’à ce que le modèle soit ratifié à ce niveau. Y a-t-il d’importantes omissions dans cet aperçu général qui vous empêcheraient de comprendre le modèle à ce stade-ci?
- Êtes-vous d’accord avec le processus de certification des services tel qu’il est décrit? Dans la négative, quelles modifications spécifiques suggéreriez-vous?
- Êtes-vous d’accord avec le processus de certification des Évaluateurs accrédités tel qu’il est décrit? Dans la négative, quelles modifications spécifiques suggéreriez-vous?
- La dernière section du document indique le nombre de documents requis pour soutenir ce processus de certification. L’idée est de saisir le contenu détaillé de ces documents ayant trait au processus une fois que le Programme d’évaluation de la certification aura été approuvé en principe. Étant donné cela et le niveau de détail approprié pour ce document, y a-t-il des éléments importants du programme de certification qui ne sont pas encore traités dans cette ébauche?
VEUILLEZ NOTER que les éléments examinés pour la certification peuvent être ajustés en fonction des conclusions du groupe de travail sur le niveau d’assurance et garder cela à l’esprit en commentant ce document.
Documents : Ébauche de recommandations pour la composante « Infrastructure (technologie et opérations) » V1.0
En examinant cette ébauche, veuillez tenir compte de ce qui suit et noter que les réponses à ces questions sont non contraignantes et vise à améliorer le Cadre de confiance pancanadien.
- Plusieurs commentaires suggèrent d’ajouter des détails prescriptifs à ce profil de conformité. Certains ajustements ont été apportés, mais des avis supplémentaires sont sollicités pour identifier les secteurs où d’autres détails devraient être inclus. Lorsque des méthodes ou normes spécifiques sont appelées à être développées, veuillez suggérer des méthodes, outils ou éléments de plans ou de politiques qui devraient être ajoutés selon vous.
- Les critères de conformité sont organisés en trois catégories. Ces catégories sont-elles appropriées et compréhensibles? Dans la négative, veuillez suggérer un autre plan de catégorisation.
- Nous avons pris soin de trouver un juste milieu entre des critères génériques qui sont définis d’une manière générale et trop prescriptifs. Les critères sont-ils suffisamment prescriptifs pour être utiles et assez génériques pour s’appliquer à la plupart des exemples d’écosystèmes de l’identité numérique?
- Veuillez noter qu’il y a plusieurs cas de références croisées à des renseignements connexes dans d’autres profils. Y a-t-il d’autres situations où ce serait approprié?
- Y a-t-il des exigences importantes qui manquent dans cette ébauche? Dans l’affirmative, veuillez indiquer celles qui devraient être incluses selon vous.
- Nous avons pris soin de ne pas identifier une technologie ou un protocole technologique spécifique, car nous estimons qu’il ne s’agissait pas d’une exigence dans chaque cas. Est-ce exact, ou y a-t-il une technologie ou un protocole spécifique qui devrait être inclus en tant qu’exigence du CCP?
VEUILLEZ NOTER que le groupe de travail du CCP sur le niveau d’assurance a été mis sur pied dans le but de définir la façon dont le niveau d’assurance sera traité dans tous les profils du CCP. Le traitement des éventuelles variations dans les critères de conformité en fonction du niveau d’assurance des services a été reporté dans cette version du profil. Veuillez réserver vos commentaires sur le sujet pour une ébauche améliorée de ces documents, une fois que le groupe de travail sur le niveau d’assurance aura publié ses résultats.
Droits de propriété intellectuelle : Les commentaires doivent être reçus pendant la période de 30 jours indiquée ci-dessus. Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN; en soumettant un commentaire, vous acceptez d’être lié par les conditions qu’elle renferme. Les membres du CCIAN sont également assujettis à la politique sur les droits de propriété intellectuelle. Tout avis d’intention de ne pas octroyer une licence en vertu de l’entente de contributeur et/ou de la politique sur les droits de propriété intellectuelle relativement aux documents à examiner ou à des commentaires doit être donné dès que le contributeur et/ou le membre en ont la possibilité, et en toute circonstance, pendant la période de commentaires de 30 jours. Les revendications au titre des droits de propriété intellectuelle peuvent être adressées à review@diacc.ca. Veuillez indiquer « Revendication en matière de propriété intellectuelle » dans l’objet.
Processus
- Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN.
- Veuillez utiliser le formulaire prévu à cet effet pour soumettre vos commentaires au CCIAN.
- Assurez-vous d’indiquer le numéro d’ébauche et de ligne correspondant à chaque commentaire soumis.
- Le formulaire de soumission de commentaires au CCIAN doit être envoyé par courriel, dûment rempli, à review@diacc.ca.
- Questions : review@diacc.ca.
Valeur pour les Canadiens : Les composantes « Évaluation » et « Infrastructure (technologie et opérations) » du Cadre de confiance pancanadien procureront de la valeur à l’ensemble des Canadiens, entreprises et gouvernements en établissant une base d’interopérabilité commerciale, juridique et technique. Le CCIAN a pour mandat de collaborer au développement et à la prestation de ressources visant à aider les Canadiens à faire des transactions numériques qui sont sécuritaires et commodes, et qui respectent leur vie privée. Le Cadre de confiance pancanadien est une de ces ressources. Il représente un ensemble de normes de l’industrie, de pratiques exemplaires et autres ressources qui aident à établir l’interopérabilité d’un écosystème de services et solutions en matière d’identité. Le CCIAN est une coalition sans but lucratif de membres des secteurs public et privé qui effectuent un investissement important et soutenu pour accélérer l’écosystème de l’identité du Canada.
Contexte : L’examen de ces ébauches de recommandations a pour but d’assurer la transparence de l’élaboration et de la diversité d’un apport véritablement pancanadien et international. Conformément à nos principes pour un écosystème de l’identité, la priorité est accordée aux processus visant à respecter et à renforcer la vie privée à chaque étape du processus de développement du Cadre de confiance pancanadien.
Le CCIAN s’attend à modifier et à améliorer ces ébauches de recommandations en fonction des commentaires du public. Les commentaires faits pendant l’examen seront pris en compte pour être intégrés dans les prochaines ébauches et le CCIAN va préparer un document expliquant d’une façon transparente comment chaque commentaire a été traité.
Nous vous remercions pour votre soutien et votre participation pendant cette période d’examen.