Principes de sécurité

From documentation SEPAmail
Jump to navigation Jump to search
This page contains changes which are not marked for translation.
SEPAmail – Norme 1206

Cette page fait partie de la version 1206 de la norme.

Sauf indication contraire, elle a été validée par les instances concernées et s'impose à tous les adhérents SEPAmail.
ATTENTION ! La version 1606 de la norme est disponible, vérifiez si cette page est toujours valable.

La sécurité

Il y a plusieurs principes de sécurité au sein de SEPAmail.

  • Indépendance des espaces de sécurité
    • client - banque / banque – banque / banque – client
    • chaque articulation entre espaces de sécurité passe par un membre adhérent à l’espace (banque)
  • Authentification
    • les missives SEPAmail sont obligatoirement signées en S/MIME (utilisation de chiffrement avec une clé secrète de l’expéditeur de la missive), ce qui assure l'authentification de l'expéditeur de la missive et l'intégrité de cette dernière
    • les messages SEPAmail peuvent être signés par l'émetteur du message et cette signature est transportée jusqu'au destinataire, ce qui assure l'authentification de l'émetteur du message
  • Signature numérique
    • la signature numérique (appelée aussi cachet électronique) est possible pour le message en harmonisant les règles communes à respecter au sein du réseau des adhérents SEPAmail. Ce sujet est traité par le protocole SAPPhire.
  • Confidentialité
    • la confidentialité est obtenue par chiffrement des missives avec la clé publique S/MIME du destinataire.
  • Traçabilité
    • Tous les éléments doivent être suivis, et doivent pouvoir être produits à titre de preuve
    • ils doivent rester associés à leur expéditeur et à leur destinataire, dûment authentifiés
  • Échange de l'information
    • webservice avec utilisation SSL (HTTPS+SOAP ou HTTPS+REST)
    • SMTP

Signature des messages

La possibilité de signature des messages est prévue par l'incorporation d'un schéma XML de signature et permet ainsi de communiquer sur une faisabilité de principe.

La mise en œuvre d'une technique de signature des messages va dépendre du type de message et surtout de comment l'application utilisant le message est contractuellement réalisée :

  • Mandat GEMME (hors expérimentation) :
    • une signature du message retour pour contrôle indépendant par le créancier peut être un plus, si tant est que le créancier ait les moyens de contrôle de la signature
    • cependant, un transfert de responsabilité de la banque du créancier à la banque du débiteur peut aussi être utilisé : dans ce cadre, qui serait contractuel entre banques, la seule réception de la missive signée par la banque du créancier pourrait suffire. La banque du débiteur s'engageant en cas de différent avec le créancier.
    • il y aura peut-être les 2 types de flux à terme suivant les besoins des clients.
  • Règlement RUBIS :
    • Pas de nécessité d’avoir une notion de signature au niveau du message de retour : c’est le virement qui est irrévocable et cela suffit pour la plupart des cas d'usage.
    • A terme, on peut aussi imaginer que seule une missive signée de la banque suffit car contractuellement celle-ci s’engage devant les autres banques à honorer les informations de cette missive. Par exemple, le renvoi d'une missive dans laquelle le message porte une information de garantie du virement engage la banque du débiteur, charge à elle d'avoir bien fait les contrôles avec son débiteur.

Le besoin le plus nécessaire sur la signature des messages sera pour ceux du service JASPE. Ce point étant en cours d'étude, nous pouvons résumer que la signature des messages n'est pas une fonction à l'ordre du jour.

Indépendance des espaces de sécurité

SEPAmail propose de véhiculer l'information le long d'espaces de sécurité indépendants comme décrit dans le schéma ci-dessous:

au moins trois espaces de sécurité indépendants
au moins trois espaces de sécurité indépendants

Il y a :

  • l'espace de sécurité entre chacun des adhérents et son client, selon les canaux existants (DAB/GAB, banque à distance, guichet, centre d'appel, application mobile)
  • l’espace de sécurité entre les deux adhérents SEPAmail, mis en œuvre tel que défini dans la norme SEPAmail.
Other languages: