Concernant les exigences SC.INS.13 et SC.INS.15 relatives à la gestion d'identité, si un éditeur met en place une vérification périodique en tâche de fond (par exemple quotidienne ou mensuelle) pour répondre à SC.INS.13, doit-il malgré tout effectuer une vérification à l’ouverture du dossier, comme demandé par SC.INS.15 ?
Non.
Deux stratégies sont possibles : soit une vérification en masse, réalisée de manière périodique, soit une vérification déclenchée lors d’un événement système (par exemple à l’ouverture du dossier). Si une vérification périodique est déjà mise en œuvre, cela permet de satisfaire l’exigence.
Les deux exigences se distinguent toutefois par leur périmètre. L’exigence SC.INS.13 concerne les INS qualifiées depuis plus de quatre ans, tandis que SC.INS.15 concerne les NIA, avec une vérification attendue au minimum tous les ans.
L’exigence mentionne un événement système, mais le scénario précise la règle d’une vérification annuelle minimale pour les NIA. Un éditeur peut toutefois effectuer ces vérifications plus fréquemment sans difficulté.
Cette réponse vous a-t-elle été utile ?
