Cet article s'applique uniquement au Client DocuWare Windows. Le Client Web ne prend pas en charge la signature électronique !
Question :
Quelles sont les conditions d'utilisation des signatures électroniques ?
Réponse :
Les conditions d'utilisation des signatures électroniques décrites ci-dessous se réfèrent à l'Allemagne et à la loi allemande sur la signature. Les conditions d'utilisation dans d'autres pays peuvent être similaires. Veillez à respecter les dispositions légales en vigueur dans le pays où vous souhaitez utiliser la signature électronique.
Tous les appareils utilisés comme terminaux de cartes à puce doivent être des terminaux de cartes à puce vérifiés et confirmés conformément à la loi sur la signature et à l'ordonnance sur la signature et doivent implémenter la Microsoft Crypto API.
Conformément à la loi sur la signature et à l'ordonnance sur la signature, seuls les appareils de création de signature dont la sécurité a été vérifiée et confirmée peuvent être utilisés comme cartes à puce personnalisées.
Lorsque des signatures électroniques qualifiées sont utilisées, l'administrateur doit respecter les directives de sécurité suivantes :
Le client DocuWare 5 doit être installé sur un ordinateur dédié. Le serveur DocuWare 5 doit également être installé sur un ordinateur dédié. Les différents composants peuvent être installés sur un seul ordinateur (installation mobile unique) ou sur plusieurs ordinateurs. Pour une description détaillée des différents types d'installation, consultez le Manuel d'installation de DocuWare. En cas d'installation en réseau, l'administrateur doit s'assurer que les clients et les serveurs communiquent entre eux par des lignes sécurisées dans un environnement protégé.
L'accès à l'ordinateur en question à partir d'un autre ordinateur du réseau local doit être empêché au moyen d'un mécanisme de filtrage des paquets installé localement. L'ouverture de connexions par des applications sur l'ordinateur lui-même doit être limitée aux adresses IP, aux ports et aux protocoles dont il a besoin pour fonctionner.
L'ordinateur sur lequel le client et/ou les serveurs sont installés doit être situé dans une pièce où seul le personnel autorisé peut pénétrer. Avant l'installation et pendant l'utilisation du produit, il convient de s'assurer que la sécurité de l'ordinateur et du système d'exploitation installé n'a pas été et n'est pas compromise. Le logiciel DocuWare lui-même est signé et ne peut pas être démarré s'il est manipulé, car la signature est alors rompue. Le système d'exploitation installé sur l'ordinateur doit être maintenu à jour en installant les correctifs de sécurité et les mises à jour dès qu'ils sont disponibles. Aucun autre système d'exploitation ne doit être actif au moment de l'exécution (pas de machines virtuelles).
L'accès à la structure de stockage DocuWare doit être réservé aux serveurs DocuWare (DocuWare Content Server). Aucun autre utilisateur ne peut y avoir accès. Pour ce faire, il suffit d'utiliser la structure des droits de Windows.
Les postes de travail DocuWare utilisés pour la création de signatures électroniques qualifiées doivent fonctionner sur un réseau interne protégé contre les attaques extérieures par un pare-feu. L'accès des réseaux publics au réseau local sur lequel se trouve l'ordinateur doit être empêché par un routeur configuré de manière appropriée. En outre, un scanner de virus à jour doit être installé sur le poste de travail.
Les terminaux de cartes à puce utilisés doivent être directement connectés à l'ordinateur sur lequel le Client DocuWare Client est installé et exécuté (pas de systèmes KIOSK).
L'horloge système de l'ordinateur sur lequel le Serveur d'authentification DocuWare est installé doit être précise. Il est recommandé de synchroniser l'horloge système à l'aide d'une référence temporelle appropriée (NTP).
Pour la création de signatures électroniques qualifiées, il convient d'utiliser des terminaux de cartes à puce dotés de leur propre clavier, des dispositifs de création de signature sécurisés (cartes de signature) qui mettent en œuvre l'API Microsoft Crypto et des certificats qualifiés ; l'adéquation de ces terminaux doit également être vérifiée et confirmée conformément aux dispositions de la loi sur la signature et de l'ordonnance sur la signature.
L'administrateur de l'Organisations doit s'assurer que seules les personnes autorisées peuvent créer des tampons de signature, et que seules les personnes autorisées peuvent utiliser des tampons de signature qui génèrent des signatures électroniques qualifiées. Nous recommandons de toujours attribuer les tampons de signature qui génèrent des signatures électroniques qualifiées directement aux utilisateurs du produit. L'administrateur doit s'assurer qu'il est impossible d'attribuer des tampons de signature par l'intermédiaire de profils, de rôles ou de groupes.
L'administrateur de l'Organisations doit s'assurer que les conditions suivantes s'appliquent à toutes les personnes autorisées à utiliser des Tampons de signature ou à créer des Signatures électroniques qualifiées : ces personnes ne doivent avoir accès qu'aux paniers en mode DocuWare 5, et non en mode DocuWare 4, et elles ne doivent pas avoir le droit d'administrer les paniers.
L'administrateur doit s'assurer que seuls des certificats à jour sont importés dans le magasin de certificats Windows de l'ordinateur sur lequel le client DocuWare est installé. L'administrateur doit également s'assurer que seules des listes noires à jour sont importées dans le magasin de certificats Windows de l'ordinateur sur lequel le client DocuWare est installé. Pour ce faire, vous pouvez utiliser les fonctionnalités du système d'exploitation Windows (Windows certificate store).
Si des documents signés sont exportés à partir de DocuWare, les utilisateurs doivent s'assurer qu'ils sont protégés contre tout accès non autorisé.
Les corbeilles utilisées pour les signatures de masse ne peuvent être utilisées que par des personnes autorisées. Cela doit être garanti par les mécanismes de sécurité de Windows.
DocuWare crée la signature à l'aide de l'API Crypto, un composant des systèmes d'exploitation Microsoft Windows. Le logiciel utilisé par le dispositif de création de signature doit mettre en œuvre cette interface.
Les valeurs de hachage sont créées à l'aide des classes .net accessibles dans l'espace de noms System.Security.Cryptography. La valeur de hachage est générée au cours d'un processus en deux étapes, conformément à la norme XML Digital Signature.
Lorsqu'un utilisateur crée une signature, l'ensemble de la chaîne de certificats, depuis le certificat de l'utilisateur jusqu'au certificat racine associé, doit être stocké dans le magasin de certificats de Windows. Le magasin de certificats Windows est un composant des systèmes d'exploitation Windows supportés.
Lorsque la signature est vérifiée, l'ensemble de la chaîne de certificats doit également être sauvegardé dans le magasin de certificats Windows de l'ordinateur en question. Le certificat d'utilisateur peut également être enregistré dans la signature si cela est obligatoire. Dans ce cas, il ne doit pas exister dans le magasin de certificats Windows de l'ordinateur personnel sur lequel il est vérifié.
Veuillez noter : Cet article est une traduction de l'anglais. Les informations contenues dans cet article sont basées sur la ou les versions originales des produits en langue anglaise. Il peut y avoir des erreurs mineures, notamment dans la grammaire utilisée dans la version traduite de nos articles. Bien que nous ne puissions pas garantir l'exactitude complète de la traduction, dans la plupart des cas, vous la trouverez suffisamment informative. En cas de doute, veuillez revenir à la version anglaise de cet article.