Cadre de confiance
Le Cadre de confiance pancanadien🅪 (CCP) est conçu pour répondre aux besoins actuels et futurs d’innovation de l’écosystème canadien d’identité numérique en vérifiant la confiance des services et des réseaux. Les documents et artefacts du CCP sont destinés à garantir l’interopérabilité des capacités d’identité des secteurs public et privé, tout en donnant la priorité à la conception centrée sur l’utilisateur, à la confidentialité, à la sécurité et à la commodité d’utilisation. Le CCP est une ressource publique ouverte. Il sera toujours librement accessible au public pour examen et adoption. Les ébauches sont mises à la disposition du public pour examen et commentaires. Le CCP se développe dans le cadre des politiques et procédures neutres de bonne gouvernance du CCIAN. |
|
Liens rapides
|
Un cadre, de nombreux partenaires
Bénéficie des contributions des représentants fédéraux, provinciaux et territoriaux du Canada au sein des conseils conjoints (un organisme de collaboration multi-juridictionnel soutenu par l’Institut des services axés sur les citoyens), du secteur public canadien, des intervenants internationaux et du secteur économique en général.
Documents CCP
Pour répondre aux enjeux complexes relatifs à l’identité numérique et la confiance, le CCP a une approche modulaire, qui fournit un ensemble complet de documents alignés sur les diverses fonctionnalités et aspects essentiels des services de gestion de l’identité.
Le lecteur trouvera des composants informatifs qui offrent des conseils et des explications et des composants normatifs qui contiennent des critères de conformité.
Titre | Statut | Étendue des travaux | Avis | Numéro | Taper | Prêt pour la certification |
---|---|---|---|---|---|---|
Aperçu | Finale | Explique le contexte, la portée, la pertinence, la proposition de valeur, l’application, le public cible, et le processus de développement et d’entretien du Cadre de confiance pancanadien, sa relation avec d’autres cadres et l’évaluation de la conformité des tierces parties. | 2023-10-30 | CCIAN PCTF00 | Informatif | N’est pas applicable |
Glossaire | Recommandation finale V1.0 | Présente les termes et définitions utilisés par le CCIAN dans l’ensemble du CCP afin que toutes les parties prenantes aient une compréhension commune et uniforme des termes utilisés dans le contexte du cadre. | 2020-03-10 | CCIAN PCTF10 | Informatif | N’est pas applicable |
Personne vérifiée | Recommandation finale V1.2 | Décrit la preuve d’identité, qui consiste à relier un sujet accédant à des services en ligne à une personne réelle. Couvre les techniques pour vérifier qu’une personne est un être humain réel, unique et identifiable, et les processus de confiance (détermination des sources des preuves d’identité, résolution de l’identité, établissement de l’identité, validation des renseignements d’identité, vérification de l’identité, validation des preuves, présentation de l’identité et entretien de l’identité), les rôles et les exigences de conformité selon les niveaux d’assurance nécessaires. | 2022-03-31 | CCIAN PCTF05 | Normatif | Oui |
Authentification | Recommandation finale V1.2 | Décrit comment le fait de vérifier l’identité permet d’accéder à des systèmes numériques. Définit les processus de confiance (délivrance de justificatifs, authentification, début et fin de session, suspension/récupération/maintien/révocation de justificatifs), les rôles (fournisseurs de services d’authentification et de justificatifs), les risques et les protections proposées, les cas pratiques (p. ex., justificatifs vérifiables dans des portefeuilles numériques mobiles; authentifiants biométriques, etc.) et les exigences de conformité pour des niveaux d’assurance spécifiques. Cela assure des processus de connexion uniformes sur toutes les plateformes, ce qui améliore la sécurité et l’utilisation, et fait en sorte que les utilisateurs identifiés puissent s’engager en sécurité dans des interactions autorisées avec des systèmes à distance. | 2024-08-09 | CCIAN PCTF03 | Normatif | Oui |
Respect de la vie privée | Recommandation finale V1.2 | Décrit les exigences pour traiter les renseignements personnels associés à l’identité numérique, conçues pour démontrer que les participants (organisations divulgatrices, organisations requérantes, entités s’occupant des avis et consentements, facilitateurs de réseaux) traitent les renseignements sur l’identité numérique conformément aux 10 principes définis dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). | 2022-03-31 | CCIAN PCTF04 | Normatif | Oui |
Infrastructure (technologie et opérations) | Recommandation finale V1.2 | Décrit les capacités requises pour exploiter une infrastructure de confiance comme plateforme pour fournir des services reliés à l’identité numérique, notamment les politiques et les plans, la technologie et les opérations associés, entre autres, à la gestion de la sécurité de l’information et aux contrôles de sécurité techniques, à la gestion du risque et de la fraude, à la gestion de l’information et de l’intégrité, et à la réaction aux incidents. | 2023-04-25 | CCIAN PCTF08 | Normatif | Oui |
Portefeuilles numérique | Recommandation finale V1.0 | Décrit une approche pour évaluer dans quelle mesure un portefeuille numérique qui contient des identités numériques et des actifs reliés atteint des objectifs spécifiques, notamment la protection de la vie privée, les interactions basées sur le consentement, l’interopérabilité, une protection accrue contre les cybermenaces et la création d’un environnement de confiance pour les détenteurs de portefeuilles afin qu’ils puissent interagir avec les participants de l’écosystème. Couvre les relations de confiance (demandeur-émetteur-détenteur-vérificateur-référentiel), les processus de confiance (instanciation et sécurité du portefeuille, gestion et utilisation des justificatifs, gestion des consentements), les rôles, les stratégies de référentiel et d’atténuation des risques, et les exigences en matière de conformité. | 2023-04-25 | CCIAN PCTF12 | Normatif | Oui |
Registres de confiance | Recommandation finale V1.0 | Décrit les moyens qu’ont les participants d’un écosystème d’identité numérique de vérifier que les autres participants de l’écosystème sont dignes de confiance. Les participants figurant dans le registre de confiance incluent les émetteurs, les vérificateurs et les fournisseurs de portefeuilles. Fournit les exigences de conformité concernant la gouvernance, l’exploitation, l’enregistrement et la gestion de la certification du registre de confiance. | 2023-11-10 | CCIAN PCTF13 | Normatif | Oui |
Justificatifs (relation et attributs) | Recommandation finale V1.0 | Établit les exigences pour la conformité de la gestion du cycle de vie des justificatifs à des niveaux d’assurance établis, incluant les processus associés aux relations de confiance (définir, déclarer, approuver, valider, renoncer) et aux attributs de confiance (définir, lier, maintenir, révoquer), et l’évaluation des risques. Insiste sur la confiance au-delà des données techniques, en mettant l’accent sur la transparence, la fiabilité, et les liens sécuritaires entre les entités, ce qui permet l’acceptation routinière des justificatifs numériques. | 2020-06-01 | CCIAN PCTF07 | Normatif | Non |
Organisation vérifiée | Recommandation finale V1.0 | Définit les processus et spécifie les critères de conformité pour établir et vérifier l’identité d’une organisation, incluant les processus pour s’assurer qu’une organisation a été adéquatement vérifiée et crée une représentation numérique de confiance pour une organisation. | 2020-02-17 | CCIAN PCTF06 | Normatif | Non |
Avis et consentement | Recommandation finale V1.0 | Définit les critères utilisés pour formuler une déclaration sur la collecte, l’utilisation et la divulgation de renseignements personnels, et pour obtenir un consentement sur cette déclaration d’une personne autorisée à le faire. | 2019-04-03 | CCIAN PCTF02 | Normatif | Non |
Modèle de maturité de l’assurance | Ébauche de recommandations V1.0 | Montre comment utiliser les critères de conformité du CCP afin de classer correctement les niveaux d’assurance. | 2021-06-28 | CCIAN PCTF11 | Informatif | N’est pas applicable |
Développement et maintenance
Le CCP est développé et maintenu à travers un processus ouvert et collaboratif défini dans les procédures opérationnelles du CCIAN. Le Comité d’Experts sur le Cadre de Confiance (CECC) du CCIAN est le groupe de travail responsable du développement et de la maintenance du CCP. Le CECC est composé d’intervenants des secteurs public et privé qui travaillent en collaboration dans le cadre d’un processus d’examen par les pairs et de développement pour maintenir le CCP, en veillant à ce qu’il soit à jour avec l’évolution des écosystèmes.
Le CECC définit les documents informatifs et normatifs du CCP, en adhérant aux procédures opérationnelles du CCIAN, et décrit les propositions de valeurs applicables dans les secteurs public et privé du Canada. Le CECC garantit l’audibilité, la pertinence et la cohérence de ses critères de conformité définis, opérationnalisés dans le programme de certification du CCIAN.
Processus d’élaboration des critères de conformité du CCP
Les exigences du CCP sont élaborées selon un processus ouvert et normalisé, tel que spécifié à la figure suivante. Il s’agit notamment de l’élaboration de l’ébauche initiale, de l’examen du comité, de l’approbation du conseil d’administration du CCIAN pour les commentaires du public, des révisions pour intégrer les commentaires du public et de l’approbation des membres du CCIAN pour la publication finale.
Comme spécifié dans les Procédures Opérationnelles, l’examen des documents informatifs et normatifs est un processus public et ouvert auquel toute partie intéressée peut participer et fournir des commentaires. La période publique d’appel à commentaires et d’examen des droits de propriétés intellectuelles (DPI) est essentielle au modèle multipartite du CCIAN. Il fournit un mécanisme pour assurer une représentation équilibrée des opinions, points de vue et suggestions des parties intéressées.
En plus des périodes d’examen des commentaires publics, le CCIAN offre un canal continu à toute personne intéressée à fournir des commentaires à l’aide du formulaire de rétroaction parallèle sur le Cadre de confiance pancanadien🅪 (CCP).
Ce formulaire recueille les commentaires de la communauté publique du CCP en dehors des périodes d’examen et de commentaires publics prescrites. L’équipe du CCIAN prend connaissance des réponses de ce formulaire tous les trimestres. Le Comité d’Experts du Cadre de Confiance (CECC) du CCIAN examinera les commentaires à inclure.