Request for Comment and IPR Review: PCTF Verified Person, Privacy, and Glossary Draft Recommendations V1.0


Le français suit…

Notice of Intent: DIACC is collaborating to develop and publish a Verified Person and Privacy industry standards as components of the Pan-Canadian Trust Framework (PCTF) to set a baseline of public and private sector interoperability of identity services and solutions. The PCTF Glossary provides a summary of commonly used terms used across DIACC documentation.

Document Status: These review documents have been approved as Draft Recommendations V1.0 by the DIACC’s Trust Framework Expert Committee (TFEC) that operates under the DIACC controlling policies.

Summary:

The intent of the PCTF Verified Person component is to define a set of processes used to establish that a natural person is real, unique, and identifiable. This is a key ingredient in ensuring a digital representation of a person is properly created, used exclusively by that same person, and can be relied on to receive valued services and to carry out transactions with trust and confidence.

The PCTF Privacy component is concerned with the handling of personal data for digital identity purposes. The objective of this component is to ensure the ongoing integrity of the privacy processes, policies, and controls of organizations in a Digital Identity Ecosystem by means of standardized conformance criteria used for assessment and certification against the PCTF.

The PCTF Glossary is a list of terms assembled based on those identified in the PCTF Model and TFEC Component Profiles in or near Discussion Draft to date as well as existing Canadian Identity Publications and Standards.

To learn more about the Pan-Canadian vision and benefits-for-all value proposition please review the Pan-Canadian Trust Framework Overview.

Invitation:

  • All interested parties are invited to comment.

Period:

  • Opens: March 10, 2020 at 23:59 PST | Closes: April 10, 2020 at 23:59 PST

Review Documents: PCTF Verified Person

When reviewing this draft, consider the following and note that responses to these questions are non-binding and serve to improve the PCTF.

  1. Does the list of trusted processes for Verified Person map to processes in your organization or business?
  2. Is the scope and description of the trusted processes clear and accurate?   
  3. Does the terminology align with your domain or sector (e.g., evidence of identity, identity information, identity claim)?
  4. Do you agree with the inclusion of Establish Sources process as it is described?
  5. Does the Identity Presentation process make sense in the context of Verified Person?  and if so, what conformance criteria and/or requirements would make sense to include?
  6. Are the conformance criteria clear and measurable?
  7. If your organization were to self-assess today, would you comply? If not, what barriers (business, legal, or technical) to compliance can you identify? 
  8. Are there conformance criteria you would recommend adding, modifying, or removing?    

Review Documents: PCTF Privacy

Supporting Documents: PCTF Privacy

When reviewing this draft, please consider the following and note that responses to these questions are non-binding and serve to improve the PCTF.

  1. The PCTF Privacy component is a horizontal theme applicable to all other PCTF profiles. In this context, are the compliance criteria clear and comprehensive?
  2. Do the documents strike the appropriate balance between elaborating privacy principles for digital identity aligned with PIPEDA, without being redundant with what PIPEDA says?
  3. Could your organization identify any barriers to compliance (business, legal, or technical)?
  4. Is the distinction between handling Subject-Specific Personal Information and Service-Specific Personal Information clear and complete?
  5. Are Overview concepts clear and complete (e.g. key definitions, Digital Identity Ecosystem roles, Scope)?
  6. The conformance criteria should be seen in the Pan-Canadian context of the PCTF and may not address specific additional requirements, reflected in policy or regulation, within a single jurisdiction or industry vertical. Within this context, are the conformance criteria clear and comprehensive?

Review Document: PCTF Glossary

When reviewing this draft, please consider the following and note that responses to these questions are non-binding and serve to improve the Pan-Canadian Trust Framework.

  1. Generally do the definitions in the PCTF Glossary align with your understanding when reading the PCTF documentation?
  2. Are there other terms used in the PCTF documentation that you would suggest be added to or removed from the PCTF Glossary?
  3. Are the definitions for terms clear and unambiguous?
  4. For the terms listed, please suggest relevant examples or non-examples from your domain. 

Intellectual Property Rights:

Comments must be received within the 30-day comment period noted above. All comments are subject to the DIACC contributor agreement; by submitting a comment you agree to be bound by the terms and conditions therein. DIACC Members are also subject to the Intellectual Property Rights Policy. Any notice of an intent not to license under either the Contributor Agreement and/or the Intellectual Property Rights Policy with respect to the review documents or any comments must be made at the Contributor’s and/or Member’s earliest opportunity, and in any event, within the 61-day comment period. IPR claims may be sent to review@diacc.ca. Please include “IPR Claim” as the subject.

Process:

  • All comments are subject to the DIACC contributor agreement.
  • Submit comments using the provided DIACC Comment Submission Spreadsheet.
  • Reference the draft and corresponding line number for each comment submitted.
  • Email completed DIACC Comment Submission Spreadsheet to review@diacc.ca.
  • Questions may be sent to review@diacc.ca.

Value to Canadians:

The PCTF Verified Person and Privacy Components will provide value to all Canadians, businesses, and governments by setting a baseline of business, legal, and technical interoperability. The DIACC’s mandate is to collaboratively develop and deliver resources to help Canadian’s to digitally transact with security, privacy, and convenience. The PCTF is one such resource that represents a collection of industry standards, best practices, and other resources that help to establish interoperability of an ecosystem of identity services and solutions. The DIACC is a not-for-profit coalition of members from the public and private sector who are making a significant and sustained investment in accelerating Canada’s Identity Ecosystem.

Context:

The purpose of this review for these Draft Recommendations is to ensure transparency in the development and diversity of a truly Pan-Canadian, and international, input. In alignment with our Principles for an Identity Ecosystem, processes to respect and enhance privacy are being prioritized through every step of the PCTF development process.

DIACC expects to modify and improve these Draft Recommendations based upon public comments. Comments made during the review will be considered for incorporation into the next drafts and DIACC will prepare a Disposition of Comments to provide transparency with regard to how each comment was handled.

Demande de commentaires et d’examen des droits de propriété intellectuelle : ébauche de recommandations pour la personne vérifiée, le respect de la vie privée et le glossaire du Cadre de confiance pancanadien V1.0

Déclaration d’intention : Le CCIAN collabore pour développer et publier une norme de l’industrie en matière d’organisation vérifiée en tant que composante du Cadre de confiance pancanadien afin d’établir une base d’interopérabilité des services et solutions d’identité dans les secteurs public et privé. Le glossaire du Cadre de confiance pancanadien fournit un résumé des termes couramment utilisés dans les documents du CCIAN.

État des documents : Ces documents à examiner ont été approuvés en tant qu’ébauches de recommandations V1.0 par le Comité d’experts du cadre de confiance (TFEC) du Conseil canadien de l’identification et de l’authentification numériques (CCIAN), qui est régi par les politiques qui contrôlent le CCIAN.

Résumé

La composante Personne vérifiée du Cadre de confiance pancanadien vise à définir un ensemble de processus utilisés pour déterminer qu’une personne naturelle est réelle, unique et identifiable. Il s’agit d’un ingrédient essentiel pour faire en sorte qu’une représentation numérique d’une personne soit convenablement créée et utilisée exclusivement par cette même personne, et qu’on puisse s’y fier pour recevoir des services de valeur et faire des transactions avec confiance et assurance.

La composante Respect de la vie privée du Cadre de confiance pancanadien porte sur le traitement des données personnelles pour les besoins de l’identité numérique. L’objectif de cette composante vise à assurer l’intégrité continue des processus, politiques et contrôles de protection de la vie privée des organisations dans un écosystème de l’identité numérique au moyen de critères de conformité uniformisés qui sont utilisés pour l’évaluation et la certification par rapport au Cadre de confiance pancanadien.

Le glossaire du Cadre de confiance pancanadien est une liste de termes établie à partir des termes identifiés dans le modèle de Cadre de confiance pancanadien et des profils des composantes du TFEC dans ce qui est ou presque un document de travail à ce jour ainsi que les publications et normes canadiennes existantes ayant trait à l’identité.

Pour en savoir davantage sur la vision du Cadre de confiance pancanadien et les avantages qu’il procure à tous, veuillez lire le document Aperçu du Cadre de confiance pancanadien | Pan-Canadian Trust Framework Overview.

Invitation

  • Toutes les parties intéressées sont invitées à faire des commentaires

Période

  • Début : 10 mars 2020 à 23 h 59 HP | Fin : 10 avril 2020 à 23 h 59 HP

Documents à examiner : Personne vérifiée du Cadre de confiance pancanadien

En examinant cette ébauche, veuillez tenir compte de ce qui suit, et noter que les réponses à ces questions ne sont pas contraignantes et visent à améliorer le Cadre de confiance pancanadien.

  1. Est-ce que la liste des processus de confiance pour la personne vérifiée cadre avec les processus en place dans votre organisation ou entreprise?
  2. La portée et la description des processus de confiance sont-elles claires et exactes?  
  3. Est-ce que la terminologie s’applique à votre domaine ou secteur (p. ex., preuve de l’identité, renseignements sur l’identité, affirmation de l’identité)?
  4. Êtes-vous d’accord pour que le processus liés aux sources établies soit inclus tel qu’il est décrit?
  5. Est-ce que le processus de présentation de l’identité est pertinent dans le contexte de la personne vérifiée? Et si oui, quels critères de conformité et/ou exigences de conformité serait-il logique d’inclure?
  6. Les critères de conformité sont-ils clairs et mesurables?
  7. Si votre organisation devait s’auto-évaluer aujourd’hui, serait-elle conforme? Dans la négative, quels obstacles (commerciaux, juridiques ou techniques) à la conformité pouvez-vous identifier?
  8. Y a-t-il des critères de conformité que vous recommanderiez d’ajouter, de modifier ou de supprimer?   

Documents à examiner : Protection de la vie privée du Cadre de confiance pancanadien

Documents d’accompagnement : Protection de la vie privée du Cadre de confiance pancanadien

En examinant cette ébauche, veuillez tenir compte de ce qui suit, et noter que les réponses à ces questions ne sont pas contraignantes et visent à améliorer le Cadre de confiance pancanadien.

  1. La composante « Respect de la vie privée » du Cadre de confiance pancanadien est un thème horizontal qui s’applique à tous les autres profils du Cadre de confiance pancanadien. Dans ce contexte, les critères de conformité sont-ils clairs et exhaustifs?
  2. Les documents font-ils bien la part entre l’élaboration des principes du respect de la vie privée pour l’identité numérique alignés sur la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), sans reprendre ce que la LPRPDE dit?
  3. Votre organisation pourrait-elle identifier des obstacles (commerciaux, juridiques ou techniques) à la conformité?
  4. La distinction entre le traitement des renseignements personnels spécifiques au sujet et au service est-elle claire et complète?
  5. Les notions présentées dans l’aperçu sont-elles claires et complètes (p. ex. définitions de base, rôles dans l’écosystème de l’identité numérique, portée)?
  6. Les critères de conformité devraient être pris dans le contexte pancanadien du Cadre de confiance pancanadien et peuvent ne pas répondre à des exigences supplémentaires spécifiques, qui sont reflétées dans des politiques ou règlements, dans une seule province, un seul territoire ou une seule verticale de l’industrie. Dans ce contexte, les critères de conformité sont-ils clairs et exhaustifs?

Document à examiner : Glossaire du Cadre de confiance pancanadien

En examinant cette ébauche, veuillez tenir compte de ce qui suit, et noter que les réponses à ces questions ne sont pas contraignantes et visent à améliorer le Cadre de confiance pancanadien.

  1. D’une façon générale, les définitions contenues dans le glossaire du Cadre de confiance pancanadien correspondent-elles à ce que vous comprenez en lisant la documentation du Cadre de confiance pancanadien?
  2. Y a-t-il d’autres termes utilisés dans la documentation du Cadre de confiance pancanadien que vous suggéreriez d’ajouter ou de supprimer de ce glossaire?
  3. Les définitions des termes sont-elles claires et non ambiguës?
  4. Veuillez suggérer, pour les termes indiqués, des exemples et non-exemples pertinents tirés de votre domaine.

Droits de propriété intellectuelle

Les commentaires doivent être reçus pendant la période de 30 jours indiquée ci-dessus. Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN; en soumettant un commentaire, vous acceptez d’être lié par les conditions qu’elle renferme. Les membres du CCIAN sont également assujettis à la politique sur les droits de propriété intellectuelle. Tout avis d’intention de ne pas octroyer une licence en vertu de l’entente de contributeur et/ou de la politique sur les droits de propriété intellectuelle relativement aux documents à examiner ou à des commentaires doit être donné dès que le contributeur et/ou le membre en ont la possibilité, et en toute circonstance, pendant la période de commentaires de 61 jours. Les revendications au titre des droits de propriété intellectuelle peuvent être adressées à review@diacc.ca. Veuillez indiquer « Revendication en matière de propriété intellectuelle » dans l’objet.

Processus

  • Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN.
  • Veuillez utiliser le formulaire prévu à cet effet pour soumettre vos commentaires au CCIAN.
  • Assurez-vous d’indiquer le numéro d’ébauche et de ligne correspondant à chaque commentaire soumis.
  • Le formulaire de soumission de commentaires au CCIAN doit être envoyé par courriel, dûment rempli, à review@diacc.ca.
  • Questions : review@diacc.ca.

Valeur pour les Canadiens

Les composantes « Personne vérifiée » et « Protection de la vie privée » du Cadre de confiance pancanadien procureront de la valeur à l’ensemble des Canadiens, entreprises et gouvernements en établissant une base d’interopérabilité commerciale, juridique et technique. Le CCIAN a pour mandat de collaborer au développement et à la prestation de ressources visant à aider les Canadiens à faire des transactions numériques qui sont sécuritaires et commodes, et qui respectent leur vie privée. Le Cadre de confiance pancanadien est une de ces ressources. Il représente un ensemble de normes de l’industrie, de pratiques exemplaires et autres ressources qui aident à établir l’interopérabilité d’un écosystème de services et solutions en matière d’identité. Le CCIAN est une coalition sans but lucratif de membres des secteurs public et privé qui effectuent un investissement important et soutenu pour accélérer l’écosystème de l’identité du Canada.

Contexte

L’examen des ébauches de recommandations a pour but d’assurer la transparence de l’élaboration et de la diversité d’un apport véritablement pancanadien et international. Conformément à nos principes pour un écosystème de l’identité, la priorité est accordée aux processus visant à respecter et à renforcer la vie privée à chaque étape du processus de développement du cadre de confiance pancanadien. Le CCIAN s’attend à modifier et à améliorer ces ébauches de recommandations en fonction des commentaires du public. Les commentaires faits pendant l’examen seront pris en compte pour être intégrés dans les prochaines ébauches et le CCIAN va préparer un document expliquant d’une façon transparente comment chaque commentaire a été traité.