Cadre de confiance

 

Le Cadre de confiance pancanadien🅪 (CCP) est conçu pour répondre aux besoins actuels et futurs d’innovation de l’écosystème canadien d’identité numérique en vérifiant la confiance des services et des réseaux.

Les documents et artefacts du CCP sont destinés à garantir l’interopérabilité des capacités d’identité des secteurs public et privé, tout en donnant la priorité à la conception centrée sur l’utilisateur, à la confidentialité, à la sécurité et à la commodité d’utilisation.

Le CCP est une ressource publique ouverte. Il sera toujours librement accessible au public pour examen et adoption. Les ébauches sont mises à la disposition du public pour examen et commentaires. Le CCP se développe dans le cadre des politiques et procédures neutres de bonne gouvernance du CCIAN.

 

Liens rapides

 

 

 

 

 

Un cadre, de nombreux partenaires

Bénéficie des contributions des représentants fédéraux, provinciaux et territoriaux du Canada au sein des conseils conjoints (un organisme de collaboration multi-juridictionnel soutenu par l’Institut des services axés sur les citoyens), du secteur public canadien, des intervenants internationaux et du secteur économique en général.

Documents CCP

Pour répondre aux enjeux complexes relatifs à l’identité numérique et la confiance, le CCP a une approche modulaire, qui fournit un ensemble complet de documents alignés sur les diverses fonctionnalités et aspects essentiels des services de gestion de l’identité.

Le lecteur trouvera des composants informatifs qui offrent des conseils et des explications et des composants normatifs qui contiennent des critères de conformité.

TitreStatutÉtendue des travauxAvisNuméroTaperPrêt pour la certification
AperçuFinaleExplique le contexte, la portée, la pertinence, la proposition de valeur, l’application, le public cible, et le processus de développement et d’entretien du Cadre de confiance pancanadien, sa relation avec d’autres cadres et l’évaluation de la conformité des tierces parties.2023-10-30CCIAN PCTF00InformatifN’est pas applicable
GlossaireRecommandation finale V1.0Présente les termes et définitions utilisés par le CCIAN dans l’ensemble du CCP afin que toutes les parties prenantes aient une compréhension commune et uniforme des termes utilisés dans le contexte du cadre.2020-03-10CCIAN PCTF10InformatifN’est pas applicable
Personne vérifiéeRecommandation finale V1.2Décrit la preuve d’identité, qui consiste à relier un sujet accédant à des services en ligne à une personne réelle. Couvre les techniques pour vérifier qu’une personne est un être humain réel, unique et identifiable, et les processus de confiance (détermination des sources des preuves d’identité, résolution de l’identité, établissement de l’identité, validation des renseignements d’identité, vérification de l’identité, validation des preuves, présentation de l’identité et entretien de l’identité), les rôles et les exigences de conformité selon les niveaux d’assurance nécessaires.2022-03-31CCIAN PCTF05NormatifOui
AuthentificationRecommandation finale V1.2Décrit comment le fait de vérifier l’identité permet d’accéder à des systèmes numériques. Définit les processus de confiance (délivrance de justificatifs, authentification, début et fin de session, suspension/récupération/maintien/révocation de justificatifs), les rôles (fournisseurs de services d’authentification et de justificatifs), les risques et les protections proposées, les cas pratiques (p. ex., justificatifs vérifiables dans des portefeuilles numériques mobiles; authentifiants biométriques, etc.) et les exigences de conformité pour des niveaux d’assurance spécifiques. Cela assure des processus de connexion uniformes sur toutes les plateformes, ce qui améliore la sécurité et l’utilisation, et fait en sorte que les utilisateurs identifiés puissent s’engager en sécurité dans des interactions autorisées avec des systèmes à distance.2024-08-09CCIAN PCTF03NormatifOui
Respect de la vie privéeRecommandation finale V1.2Décrit les exigences pour traiter les renseignements personnels associés à l’identité numérique, conçues pour démontrer que les participants (organisations divulgatrices, organisations requérantes, entités s’occupant des avis et consentements, facilitateurs de réseaux) traitent les renseignements sur l’identité numérique conformément aux 10 principes définis dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).2022-03-31CCIAN PCTF04NormatifOui
Infrastructure (technologie et opérations)Recommandation finale V1.2Décrit les capacités requises pour exploiter une infrastructure de confiance comme plateforme pour fournir des services reliés à l’identité numérique, notamment les politiques et les plans, la technologie et les opérations associés, entre autres, à la gestion de la sécurité de l’information et aux contrôles de sécurité techniques, à la gestion du risque et de la fraude, à la gestion de l’information et de l’intégrité, et à la réaction aux incidents. 2023-04-25CCIAN PCTF08NormatifOui
Portefeuilles numériqueRecommandation finale V1.0
Décrit une approche pour évaluer dans quelle mesure un portefeuille numérique qui contient des identités numériques et des actifs reliés atteint des objectifs spécifiques, notamment la protection de la vie privée, les interactions basées sur le consentement, l’interopérabilité, une protection accrue contre les cybermenaces et la création d’un environnement de confiance pour les détenteurs de portefeuilles afin qu’ils puissent interagir avec les participants de l’écosystème. Couvre les relations de confiance (demandeur-émetteur-détenteur-vérificateur-référentiel), les processus de confiance (instanciation et sécurité du portefeuille, gestion et utilisation des justificatifs, gestion des consentements), les rôles, les stratégies de référentiel et d’atténuation des risques, et les exigences en matière de conformité. 2023-04-25CCIAN PCTF12NormatifOui
Registres de confianceRecommandation finale V1.0Décrit les moyens qu’ont les participants d’un écosystème d’identité numérique de vérifier que les autres participants de l’écosystème sont dignes de confiance. Les participants figurant dans le registre de confiance incluent les émetteurs, les vérificateurs et les fournisseurs de portefeuilles. Fournit les exigences de conformité concernant la gouvernance, l’exploitation, l’enregistrement et la gestion de la certification du registre de confiance.
2023-11-10CCIAN PCTF13NormatifOui
Justificatifs (relation et attributs)Recommandation finale V1.0Établit les exigences pour la conformité de la gestion du cycle de vie des justificatifs à des niveaux d’assurance établis, incluant les processus associés aux relations de confiance (définir, déclarer, approuver, valider, renoncer) et aux attributs de confiance (définir, lier, maintenir, révoquer), et l’évaluation des risques. Insiste sur la confiance au-delà des données techniques, en mettant l’accent sur la transparence, la fiabilité, et les liens sécuritaires entre les entités, ce qui permet l’acceptation routinière des justificatifs numériques.2020-06-01CCIAN PCTF07NormatifNon
Organisation vérifiéeRecommandation finale V1.0Définit les processus et spécifie les critères de conformité pour établir et vérifier l’identité d’une organisation, incluant les processus pour s’assurer qu’une organisation a été adéquatement vérifiée et crée une représentation numérique de confiance pour une organisation.2020-02-17CCIAN PCTF06NormatifNon
Avis et consentementRecommandation finale V1.0Définit les critères utilisés pour formuler une déclaration sur la collecte, l’utilisation et la divulgation de renseignements personnels, et pour obtenir un consentement sur cette déclaration d’une personne autorisée à le faire. 2019-04-03CCIAN PCTF02NormatifNon
Modèle de maturité de l’assuranceÉbauche de recommandations V1.0Montre comment utiliser les critères de conformité du CCP afin de classer correctement les niveaux d’assurance.2021-06-28CCIAN PCTF11InformatifN’est pas applicable

Développement et maintenance

Le CCP est développé et maintenu à travers un processus ouvert et collaboratif défini dans les procédures opérationnelles du CCIAN. Le Comité d’Experts sur le Cadre de Confiance (CECC) du CCIAN est le groupe de travail responsable du développement et de la maintenance du CCP. Le CECC est composé d’intervenants des secteurs public et privé qui travaillent en collaboration dans le cadre d’un processus d’examen par les pairs et de développement pour maintenir le CCP, en veillant à ce qu’il soit à jour avec l’évolution des écosystèmes.

Le CECC définit les documents informatifs et normatifs du CCP, en adhérant aux procédures opérationnelles du CCIAN, et décrit les propositions de valeurs applicables dans les secteurs public et privé du Canada. Le CECC garantit l’audibilité, la pertinence et la cohérence de ses critères de conformité définis, opérationnalisés dans le programme de certification du CCIAN.

Processus d’élaboration des critères de conformité du CCP

Les exigences du CCP sont élaborées selon un processus ouvert et normalisé, tel que spécifié à la figure suivante. Il s’agit notamment de l’élaboration de l’ébauche initiale, de l’examen du comité, de l’approbation du conseil d’administration du CCIAN pour les commentaires du public, des révisions pour intégrer les commentaires du public et de l’approbation des membres du CCIAN pour la publication finale.

Comme spécifié dans les Procédures Opérationnelles, l’examen des documents informatifs et normatifs est un processus public et ouvert auquel toute partie intéressée peut participer et fournir des commentaires. La période publique d’appel à commentaires et d’examen des droits de propriétés intellectuelles (DPI) est essentielle au modèle multipartite du CCIAN. Il fournit un mécanisme pour assurer une représentation équilibrée des opinions, points de vue et suggestions des parties intéressées.

En plus des périodes d’examen des commentaires publics, le CCIAN offre un canal continu à toute personne intéressée à fournir des commentaires à l’aide du formulaire de rétroaction parallèle sur le Cadre de confiance pancanadien🅪 (CCP).

Ce formulaire recueille les commentaires de la communauté publique du CCP en dehors des périodes d’examen et de commentaires publics prescrites. L’équipe du CCIAN prend connaissance des réponses de ce formulaire tous les trimestres. Le Comité d’Experts du Cadre de Confiance (CECC) du CCIAN examinera les commentaires à inclure.