V0.2 Dernière mise à jour : 25/01/2019

1 Politique de sécurité

Cette politique de sécurité s’applique au service Revoke (le “Service”) exploité par Atam ID Technologies Limited (“Revoke”, “nous” ou “notre”). Revoke est un nom commercial d’Atam ID Technologies Ltd. (” Atam “), une société enregistrée auprès de la Jersey Financial Services Commission, numéro d’enregistrement 124314.

Chez Revoke, nous nous soucions profondément de la confidentialité et de la sécurité.

Cette politique décrit les mesures que nous avons prises pour nous assurer que toutes les données que nous stockons ou transmettons sont sécurisées et protégées de façon appropriée.

Nous utilisons des niveaux avancés de cryptage des données au repos et pendant le transport au niveau du message et de la couche de transport, y compris l’utilisation des éléments suivants ;

• Cryptographie à courbe elliptique utilisant les clés Ed25519 et Curve25519
• Chiffrement authentifié avec données associées (AEAD)
• Accord clé Diffie-Hellman
• Boîtes scellées
• DNSSEC
• HTTPS
• IPSec
• Chiffrement AES256
• Certificats X509
• BlakeB Hachage

2 Données personnelles

Nous traitons les données personnelles avec le plus grand soin.

Nous nous assurons que toutes les données sont cryptées, lorsqu’elles sont sur votre appareil, lorsqu’elles sont transmises et lorsqu’elles sont stockées chez Revoke

2.1 Application mobile

Chaque utilisateur dispose d’une ” Clé personnelle ” unique sur son téléphone pour déchiffrer les données privées. Cette clé privée est dérivée par un processus de génération de nombres aléatoires. Une clé publique correspondante est utilisée pour le cryptage. Ces clés sont connues sous le nom de paires de clés.

Pour s’assurer que la paire de clés est complètement aléatoire et impossible à recréer, l’utilisateur doit effectuer des actions non prévisibles et non reproductibles.

Ces actions dépendent de l’appareil et de l’application, mais comprennent une ou plusieurs des actions suivantes :

• Un enregistrement sonore
• Un enregistrement vidéo
• Interaction aléatoire à l’écran (glisser,toucher, tapper)
• Un enregistrement des données de l’accéléromètre

2.1.1     Chiffrement des données au repos

Toutes les données sur l’appareil d’un utilisateur sont cryptées à l’aide du cryptage AES256 avec un mot de passe généré aléatoirement. Le mot de passe de chaque élément de données est crypté à l’aide d’une clé publique appropriée.

Les données sont décryptées à l’aide d’une clé privée, accessible avec un code PIN défini par l’utilisateur.

2.1.2     Cryptage des données en transit

Les informations envoyées à des tiers et en provenance de tiers contenant des données personnelles confidentielles ou sensibles sont protégées et sécurisées par des certificats cryptographiques.

Les certificats sont basés sur la norme X509, mais utilisent un format json pour permettre des propriétés étendues qui ne sont pas prises en charge dans le format original du certificat x509.

En plus de crypter les messages, HTTPS est également utilisé pour crypter la transmission réelle entre tous les services.

3 L’API de l’entreprise et l’appariement des clients

Revoke fournit aux entreprises une API qui leur permet de récupérer et de comparer les données des clients afin qu’elles puissent répondre automatiquement et rapidement aux demandes des consommateurs.

Il est essentiel que les renseignements personnels ne soient pas divulgués dans le cadre de ce processus et que les données des clients de l’entreprise soient protégées.

3.1 Renseignements connexes sur le client

Toutes les données envoyées par une organisation à Revoke sont masquées et rendues anonymes à l’aide de la cryptographie afin de fournir un stockage de données sécurisé sans compromettre les données personnelles du client ou les données commercialement sensibles d’une entreprise.

Un dossier client d’une entreprise cliente se compose de deux éléments principaux :

Une référence unique au client

Chaque enregistrement d’entreprise nécessite une référence unique qui a une pertinence dans la base de données clients de l’entreprise. Cette référence permet de lier les données Revoke ou une demande de protection des données à un client réel.

Pour protéger le champ de référence du client, l’entreprise crypte les données à l’aide de la Clé Privé Curve25519 à l’aide du cryptage en boîte secrète.

3.1.1     Champs de critères de correspondance.

La base de données clients contient une ou plusieurs zones correspondantes. Un champ de critères est un élément d’information unique lié au client final. Il peut s’agir d’éléments tels que “adresse électronique”, “prénom”, “nom”, “code postal”, etc. L’entreprise peut fournir un nombre illimité de champs correspondants en tenant compte de la quantité et du type de données client dans leurs systèmes.

Avant la transmission, les données de champ correspondantes sont protégées par deux cycles de hachage BlakeB. Ainsi, tous les renseignements commerciaux ou personnels de nature délicate sont entièrement protégés contre toute utilisation abusive par des tiers. Le mécanisme de protection des données Revoke offre trois niveaux fondamentaux de sécurité :

• Il n’existe aucune méthode pratique pour inverser le processus de hachage et récupérer les données client envoyées via l’API Revoke.
• Comme le processus de cryptage a lieu avant le transfert des données, Revoke n’a aucune visibilité sur les données transmises et ne s’occupe que de transmettre les demandes spécifiques des utilisateurs à une entreprise concernée.
• Comme les données de hachage sont mélangées avec la clé publique de l’entreprise, la sortie résultante est unique entre une relation client et entreprise donnée. Les mêmes renseignements sur l’utilisateur (comme l’adresse électronique et le numéro de téléphone) auront des valeurs de concordance très différentes selon les entreprises sources. Cela empêche la fuite de la vie privée de l’interaction d’un utilisateur donné entre plusieurs entités différentes de l’entreprise.
  Algorithme du champ d’appariement

Afin de protéger convenablement les données sensibles envoyées par l’entreprise à Revoke, l’algorithme suivant est implémenté :

• Un moteur de hachage BlakeB est créé et fourni avec la clé publique Revoke Ed25519 de 32 octets. Cette clé est obtenue par l’une des méthodes de distribution les plus importantes.
• Le moteur de hachage BlakeB traite une partie des données correspondantes, ce qui donne une sortie de 32 octets. Note : Pour des raisons d’uniformité et d’exactitude, toutes les données d’appariement doivent être traduites en majuscules avant d’être traitées.
• Le KeyCurve25519 privé de la société et le KeyCurve25519 public de Revoke sont combinés à l’aide d’une fonction d’accord de clé Diffie-Hellman pour générer un secret partagé sur 32 octets.
• Note : Pour plus de sécurité, la valeur brute de l’accord de clé secrète doit être protégée en utilisant une fonction de dérivation de clé (KDF) telle qu’un HMAC ou un hachage.
• Le secret de clé de chiffrement partagé calculé est utilisé pour alimenter un deuxième moteur de hachage BlakeB.
• La sortie du premier processus de hachage à l’étape 2 est traitée par le deuxième moteur de hachage BlakeB, ce qui donne une valeur de sortie finale de 32 octets. Cette valeur correspond aux données que l’entreprise transmettra à Revoke afin de traiter les demandes de correspondance.

Notes :

• La sortie secrète partagée calculée dans le cadre du processus Diffe-Hellman Key Agreement (étape 3) est une constante et peut être réutilisée en toute sécurité dans un processus batch si les clés de l’entreprise et Revoke restent inchangées.

Le processus ci-dessus présente les avantages suivants :

• Le processus peut être recréé sur le serveur Revoke, ce qui permet de pré-calculer les résultats pour une entreprise donnée afin d’améliorer les performances de réponse.
• Parce que le hachage utilise des éléments de la clé privée de l’entreprise, une entreprise déloyale ne peut pas envoyer de demandes de sondage pour voir si une adresse électronique tierce est enregistrée.

Les utilisateurs envoient les mêmes informations correspondantes à Revoke en utilisant une approche similaire. La différence remarquable est que le processus est divisé en deux parties, le dispositif de l’utilisateur exécutant le hachage initial avec la clé publique de Revoke.

Les services Revoke utilisent ensuite les données envoyées par l’appareil de l’utilisateur pour pré-calculer une table de hachage contenant les données pertinentes pour les entreprises connectée. Ce processus utilise la clé privée Revoke et la clé publique spécifique de l’entreprise pour générer le même secret partagé utilisé par l’entreprise.

Le système Revoke prend toutes les nouvelles données masquées soumises par les utilisateurs et construit un système de référence approprié qui permet une recherche rapide des données. En fait, le système calcule tous les résultats potentiels d’appariement pour le client et la base d’utilisateurs de l’organisation. Ces résultats sont stockés dans une base de données efficace et sécurisée.

3.2 Transport API de la Société

La demande est faite via une communication HTTPS/SSL en utilisant un simple appel REST/SOAP.

Chaque demande envoyée à l’API de la société contient :

• En-têtes
  • Clé publique de l’entreprise.
  • La clé publique de la société émettrice est ajoutée comme en-tête de requête.
• La société expéditrice utilise sa clé secrète pour signer le contenu de la charge utile de la demande.
• Charge utile

Toutes les demandes sont estampillées d’un timbre dateur UTC, précis à la milliseconde près, qui fait partie du contenu signé. Toute requête reçue en dehors d’une fenêtre temporelle définie par le serveur est ignorée.

Les demandes de charge utile sont chiffrées à l’aide d’une boîte secrète, ce qui élimine le besoin pour l’entreprise de suivre et de maintenir un numéro unique qui, une fois utilisé, a une valeur.