fyi ________________________________ From: review@diacc.ca <review@diacc.ca> Sent: Tuesday, January 16, 2024 9:16 AM To: Salvatore D'Agostino <sal@idmachines.com> Subject: Request for Comment & IPR Review: PCTF Authentication Final Recommendation V1.1 / Demande de commentaires et d’examen des droits de propriété intellectuelle : Recommandation finale pour la composante « Authentification » V1.1 du CCP Français à suivre Notice of Intent: DIACC is collaborating to develop and publish the Authentication component of the Pan-Canadian Trust Framework (PCTF) to set a baseline of public and private sector interoperability of identity services and solutions. During this public review period, DIACC is looking for community feedback to ensure that the conformance criteria is clear and auditable. To learn more about the Pan-Canadian vision and benefits-for-all value proposition please review the Pan-Canadian Trust Framework Overview<https://diacc-dot-yamm-track.appspot.com/28zd0TGbiQXtMGiyCf0-eBSKmMAaDA7PapLNE8Vi0l3QafKESjQH-nxLZuebcxj1BrNY8ntz5_-AQNOPzWF8tGSHyqEUN71kmsuisLCvshiAacz82QlCFu4Nz9ds4JZEWvWbuTZrzBpcLQu2i1GE6O402Iz50OpmqO3r9fNQEFdBgQrA0Ccf08qDwnEaBChYh5k8Jng1v84ZUiSNv_G11lamPeiPgi17mqPBJ8lwB>. Document Status: These review documents have been developed by members of the DIACC’s Trust Framework Expert Committee<https://diacc-dot-yamm-track.appspot.com/2JVjj0zymk3OgdDAlfKJ2df4-8B1J0E6aq_qpcbiBCy4efKESjQHMMSKXXkbxgo7pZPUCgikQlwr5G7Z9MT0l04kv0jqvVognyX3DDqxYhHCSJ4h9bphUdh9aXtMQShE40wdK2tKFAiedsJtR2yv4DQHJbdR6iZ7ypJ8TqCusT3j1g0ighoXsQBI> (TFEC) who operate under the DIACC controlling policies and consist of representatives from both the private and public sectors. These documents have been approved by the TFEC as Draft Recommendations V1.0. Summary: The PCTF Authentication Component defines: 1. A set of processes that enable access to digital systems. 2. A set of Conformance Criteria for each process that, when a process is shown to be compliant, enable the process to be trusted. Invitation: • All interested parties are invited to comment. Period: • Opens: January 16, 2024 at 23:59 PT | Closes: February 15, 2024 at 23:59 PT When reviewing the components Conformance Criteria, please consider the following and note that responses to this question are non-binding and serve to improve the PCTF. 1. Would you consider the Conformance Criteria as auditable or not? That is, could you objectively evaluate if an organization was compliant with that criteria and what evidence would be used to justify that? Review Documents: Authentication • Conformance Profile Final Recommendation V1.1<https://diacc-dot-yamm-track.appspot.com/2M8Z3V12SLp8MUG3QHMqeh-FebLTFCXSh2jjavKaXO3khfKESjQHwjp1PYAZwtFR4swtSTr-2s2GJiH-aiLDCAMzWXkv42FlXcRCgvY8lUlz3VHKZoPzmS4nVgoq6o8OvWbm5kMtPy1ZRXRHr4uvEhyDKLvCgHbBZAJSUkDTPcn4mLWU7btEF66oZOisDes6Sq2DxTzMEwnsQFzG-6ldY3d4os-3SZTfsqY1MCiZJGcjlQFDtTYktadprP_EtzvGuL8fGUQGQ3Wbcqu8> • Component Overview Final Recommendation V1.1<https://diacc-dot-yamm-track.appspot.com/2_UrwuzjJv36fkGGUpRMBqldzknvg447miYg7bs9KQ7MlfKESjQGI5CEaVfKNAYSS1Q4Df57d4zd09HFxNTAaz_rwcSogZIWcj936dBEcqkMNAEhVEOS2K5TpiPlMIz_imxfXgUImBJ06fK3U54ZgNAd3JpGAs5ayOnf1sOauDHhkujGW1oICT0lyaDpgCj-HJVP1mgj4_PX_85wKGCAdDHBOwmhs94orv57Jl5v8x6opb-FShmp2gYuaVUKK3N5OiJ648vf9ovwaoUT8Ffxj> • DIACC Comment Submission Spreadsheet<https://diacc-dot-yamm-track.appspot.com/2zzrG69USxQDWkhLFlf-SlkUz3mc27Q4ZJhAr7f-iGS0pfKESjQH3aPIsweN9mi5YK6BSDpu-LMaTTnQN3GM3AxJsOAuXHynK1XyUwEskTQIp3YPQXARCTEM9TAXaFNK52mgCJIx1oHd2v7WQUOlGPEQHjGOzN5TveM5XCzNsmh255RCrJrned9M0Zp_uQzDgeL3bL19YmD-iqlwQrRSiS9H2SIJ6DDBvTRGOuLkMHLl2U71bCjzZj8Tyv8Nb3UoU_AwR3YYgTx8SqGHKEKf14KtQ0sasMAtFBlg> Intellectual Property Rights: Comments must be received within the 30-day comment period noted above. All comments are subject to the DIACC contributor agreement<https://diacc-dot-yamm-track.appspot.com/2wUO4oqQbPYiwiD7TeT3zluSDz2BPmB3wZOrnP_xQ0CktfKESjQH7KHuJPZ7wYGxTcnRIb8_iRJT-H2To-PtG9FtynlXUS9CAdPFDzP0XhZOBb4cdglicGVFT8M3SfzGX6_AUxAg_-BAx_Rlb88CwIYB5vPzde8_PjH3dwdaphllw9G6kRNjfzm93rp6N8V51IebQSPbpoNyket2F7pevXNcYnCk4-PTIpNkCCpku8HDMKeQ>; by submitting a comment you agree to be bound by the terms and conditions therein. DIACC Members are also subject to the Intellectual Property Rights Policy<https://diacc-dot-yamm-track.appspot.com/2sXAQWdjzzJN-O9kkyv4ht3zlG_JuCX9zgh2hLnzBGTExfKESjQG24iw10Op_srZXO9Uyom4Ei58YGVAtlAJE2StS6UlryERiyGteCzN4Bvqj08EzN0CNQ1jWK5aQT06KxbfdE_IrB45vMG-DRi6ol8b_CHR3pOozS4YWvw4emlItRMOv2SK63v871PHUVhNpz0mUMOZGY1kOBY7LvZXetNEUxag4aVkooEx8jo4YkqV-JdK4isW6T1oxcZLPqg>. Any notice of an intent not to license under either the Contributor Agreement and/or the Intellectual Property Rights Policy with respect to the review documents or any comments must be made at the Contributor’s and/or Member’s earliest opportunity, and in any event, within the 30-day comment period. IPR claims may be sent to review@diacc.ca<mailto:review@diacc.ca>. Please include “IPR Claim” as the subject. Process: • All comments are subject to the DIACC contributor agreement.<https://diacc-dot-yamm-track.appspot.com/2xPVELHmtVpGVq7KPHbf-yykBn453MTDA1nBXP359yY01fKESjQG5BgOG2-38TTgzYcXHc_FYyCm-euK2nVt-LytWTpAOMt1UubNb5qrhwYBAlE-spKwsqeClgsh5dHlMXbqAevZUGk597F1ei20pyeVkj3q7UUfztEmYa_dz4yXPyvHWtj592li-WdMl5AC1L6hhzHkOvQUsI1r4d-VzqZ9n61VSJpyLDE3SfJnmztXjuyw> • Submit comments using the provided DIACC Comment Submission Spreadsheet<https://diacc-dot-yamm-track.appspot.com/2BCNYzUMyQo19ji6dHLiHF5mhKNKM8hQpbV4UDG4Zlqc4fKESjQG1m46aHTGBsVmT_NT-yZ2_UyGR_iCUb74wb5wjsc4lpZIMtOdqn0_OaK3vmi0Gab9o55_FWT330j90bpWnY5N2isC1mAPyaEWbXH0l-cHpMaNKhOPoerBwaXRuNGnsmzMYX2FMt1eEAdofAPcdYkS6biasNbn-a-yPSiRWN32-SXg_GWr120XD_hhb1e69T99JYElXxhUKOjcwLifVp99yoUQIjZFCKUCgxdeYnoocwAlm4zg>. • Reference the draft and corresponding line number for each comment submitted. • Email completed DIACC Comment Submission Spreadsheet to review@diacc.ca<mailto:review@diacc.ca>. • Questions may be sent to review@diacc.ca<mailto:review@diacc.ca>. Value to Canadians: The purpose of the PCTF Authentication Component is to assure the on-going integrity of login and authentication processes by certifying, through a process of assessment, that they comply with standardized Conformance Criteria. The Conformance Criteria for this component may be used to provide assurances: • That Trusted Processes result in the representation of a unique Subject at a Level of Assurance that it is the same Subject with each successful login to an Authentication Service Provider. • Concerning the predictability and continuity in the login processes that they offer or on which they depend. All participants will benefit from: • Login and authentication processes that are repeatable and consistent (whether they offer these processes, depend on them, or both). • Assurance that identified Users can engage in authorized interactions with remote systems. Relying Parties benefit from: • The ability to build on the assurance that Authentication Trusted Processes uniquely identify, at an acceptable level of risk, a Subject in their application or program space. Context: The purpose of this review is to ensure transparency in the development and diversity of a truly Pan-Canadian, and international, input. In alignment with our Principles for an Identity Ecosystem<https://diacc-dot-yamm-track.appspot.com/2ksQhMCqNZdn6rnZ9QzKU29MFfDmfnXdTSzhkyQtrxxw9fKESjQFKdkAvYefSM1hHMt9MlPUcg2d31unnC-Nk1_1iQUBtzd6Om_5k4qHwKZHoJhPVWMlkwmgWe_7QZftlIaJQ9Mz3h09AlWDRkzSXLf20OO77bvBkJMJoOhDsaOJcsTTJEktEeA8>, processes to respect and enhance privacy are being prioritized through every step of the PCTF development process. DIACC expects to modify and improve these Draft Recommendations based upon public comments. Comments made during the review will be considered for incorporation into the next iteration and DIACC will prepare a Disposition of Comments to provide transparency with regard to how each comment was handled. Demande de commentaires et d’examen des droits de propriété intellectuelle : Recommandation finale pour la composante « Authentification » V1.1 du CCP Déclaration d’intention : Le CCIAN collabore pour développer et publier la composante « Authentification » du Cadre de confiance pancanadien (CCP) afin d’établir une base d’interopérabilité des services et solutions d’identité dans les secteurs public et privé. Pendant cette période d’examen public, le CCIAN cherche à obtenir la rétroaction de la communauté afin de s’assurer que les critères de conformité sont clairs et vérifiables. Pour en savoir plus sur la vision pancanadienne et la proposition de valeur présentant des avantages pour tous, veuillez passer en revue l’aperçu du Cadre de confiance pancanadien<https://diacc-dot-yamm-track.appspot.com/27MmefMLXId_ALqTYKoxYoZzoCqfqY2v25ht6wHhE0QpBfKESjQFAX06ueJ8dwjvUH_WKA9xcA2jNfQUfmKYjeE7gE41sa7yvVoakw1an3ope0vb4ANzWvnIiyHNVIgWNaOXJzwFX8TIIekS244Zung18a5RSpXc8mw9tMxwm-bmtHfOpk_NIu0W_65OorS5Qt3coAyplHqM6VGhM8R709LSj92pluwRjw_5C60tz>. État des documents : Ces documents à examiner ont été développés par les membres du Comité d’experts du Cadre de confiance<https://diacc-dot-yamm-track.appspot.com/2N0Yr90YBrPviuqPy36nxrqZtVh_lGxCwmfSJ_aPIHktFfKESjQGySILjwha1xXZ6Cwb5ZF6h1Y81_aQ8FK1gahyP9Vw6KyQVwSWz3O2EntaHUlnRWI8wQZzP6FFMxS8PBh78y9VSpiXbDsSZV-dwUrBPTv82mM88kBQ4lGN9NTR253zHgAASV1Q> (TFEC) du CCIAN, qui sont régis par les politiques qui contrôlent le CCIAN et comprennent des représentants des secteurs privé et public. Ces documents ont été approuvés par le TFEC en tant que recommandations préliminaires V1.0. Résumé La composante « Authentification » du CCP définit : 1. Un ensemble de processus donnant accès à des systèmes numériques. 2. Un ensemble de critères de conformité pour chaque processus qui, lorsqu’un processus s’avère conforme, permettent de faire confiance au processus. Invitation • Toutes les parties intéressées sont invitées à faire des commentaires. Période • Début : 16 janvier 2024 à 23 h 59 HP | Fin : 15 février 2024 à 23 h 59 HP En examinant les critères de conformité de la composante, veuillez tenir compte de la question qui suit et noter que les réponses ne sont pas contraignantes et visent à améliorer le CCP. 1. Considéreriez-vous que les critères de conformité sont vérifiables ou non? Autrement dit, pourriez-vous évaluer objectivement si une organisation était conforme à ces critères et quelles preuves seraient utilisées pour justifier cela? Documents à examiner : Authentification • Recommandation finale pour le profil de conformité V1.1<https://diacc-dot-yamm-track.appspot.com/2ctYL1VKYGuy6_IFd-oB8J6Q7hC9ZzyO7Dvk-oKfhldpJfKESjQH3jfGUk-PXWukjwAcBzbGj6AjXN0F5TXnHXa_9x6mej9UEHycbFD1B-HFAXwMvQ5MvHQXNli2gW87aStJyHVLR6VbsNb3YG4QjzlOHY_NUy59jfMn0D8Iz38Jfwr6Sy4qoJgIlJBMeyOCFjCq3owtWbYBgeayAUWb2TYmWUNgiyFPkSHwTdZz5TBYzvjGmPddCQN6JX9dhrLfnKrw> • Recommandation finale pour l’aperçu de la composante V1.1<https://diacc-dot-yamm-track.appspot.com/2sXJn5gCX1gdfN1siuDcak3ymelufC6wAjELAHrFtmWFMfKESjQF9KDS2rtE-HVs3_qn9-FIG4H0UuTZB_sX2H_6U6STJl_AGYA0Z2uzZD4xsltnh6PFUlfm2Ff30AKJ2Mc1y-b5sUGhfWoN-orBzdoq5BRLPYEXO6ZK6MmT6qA1QcxrmgCboZZWw0vIEKQIUoN0N1wDbA0opN7gNRUA3j34-5cxh9DvyTZnWI-hmy3U1CJ0rYAi-kKY6T5VB81JYhF57ftHEdA> • Formulaire pour soumettre les commentaires au CCIAN<https://diacc-dot-yamm-track.appspot.com/2Gy7LT9i7f3j200ngGQpekpUhfVCmvFfwc0TsS_mwnMZQfKESjQGBski5Gcc0CNAIVX5f2aLgTk-2t4vOtVzjVkizPX5BmiWYRB2vXqMSovzfqfeJGQaTJClWGPtiRX9Fe0JU_C5Dsbeah0tbZQ9zWtHigGubg60R9xhbsHn-8KBEB357Ow1psuA6vRFts2vi47YbqTQ4gbfVmuzwBkLptTd_L0gsQgVTouzgP1Ms6MbcPXn8fU00VX3qzEWHb5N5wvqJF3M8> Droits de propriété intellectuelle Les commentaires doivent être reçus pendant la période de 30 jours indiquée ci-dessus. Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN<https://diacc-dot-yamm-track.appspot.com/2Lw9MP8jccVK9cCLDyCEqLHOwQa1X9yjVhEw5W-NaATtXfKESjQGCQml6crEi-7-lRZg22QYoztoYSjSCnnTorpBt6kkJuiDAC2CW7fkumKe8WY4fa1xs66dNskSXCIBkq_-tygSS5hvB23Jtozo4xgogTfxcJajGegY5IbuQ1ZGpu3SlzaUMwIgA2ny4XK9YsVHKA9nhYuwYZw70XEqWmLuOiewhrYrCqhP_wk4CpwOInZ8>; en soumettant un commentaire, vous acceptez d’être lié par les conditions qu’elle renferme. Les membres du CCIAN sont également assujettis à la politique sur les droits de propriété intellectuelle<https://diacc-dot-yamm-track.appspot.com/2HwME7dSShmy58bj59XfaupLZJkKjicW0IZbc9m5KHbBbfKESjQEopX3C6yog6hLRoifZsZu34koLaAgxtFA5EN0Hx3Zp_nz8QELimbnQl-Iq2ginQklzfrMas1Z5zpvboMd0CiONhNgaljzpB5hUc0UjGKWrNAJcdGUEkJB42Tva5lKkEEsIYd0ySBQdRSutRwp1W5baLTefrjQLociP2s20rqSIxVCOgBVWw8Gm5FL0LeA4LyH5-c84zy2Z3w>. Tout avis d’intention de ne pas octroyer une licence en vertu de l’entente de contributeur et/ou de la politique sur les droits de propriété intellectuelle relativement aux documents à examiner ou à des commentaires doit être donné dès que le contributeur et/ou le membre en ont la possibilité, et en toute circonstance, pendant la période de commentaires de 30 jours. Les revendications au titre des droits de propriété intellectuelle peuvent être adressées à review@diacc.ca<mailto:review@diacc.ca>. Veuillez indiquer « Revendication en matière de propriété intellectuelle » dans l’objet. Processus • Tous les commentaires sont assujettis à l’entente de contributeur du CCIAN.<https://diacc-dot-yamm-track.appspot.com/2kl7ImnTN3w4K_6XsCd3-TGi_hl2w0prNpeCPSwGc_T1gfKESjQE9oY2yL83VCBwG6YNJrVnfOfFT-H2rzNHY5b5Yysdv9BXNThIGiOgFM3qyjGYh_vULFGvwX4Agp5dwChL5Bc_6Mg_lau-_43v-rb_Jnc8Kv4UQ9f0Uz3IIsnNPrlguSmA-liFFSStZSQVSewuCPCw3kXkeUUYiZ5eTXj2vmVhJJ4uH294O1lVzkvG9sTw> • Veuillez utiliser le formulaire prévu à cet effet pour soumettre vos commentaires au CCIAN<https://diacc-dot-yamm-track.appspot.com/2z-tuDYuVY1IjHZdJ6rStPmg0BczQ0CZ3i5e19TS4tuNlfKESjQEqeNpCDdiB7r9-ywMFiVMca5kPg3_E9mZbNPo1hgVxtIP3OoCa1NsdJt3kCgyHMRFLKgFLKuCCu3JBZk9OytHjtEkZO4ejuLG3p6jePFyDf3vr1hTOSOMvdu4USDwScs48FNPn5au0oBDZW1cXx3Nb8t-zL7Ip8yog8wwXcgts55pkXbHvIzKXP2A-HP94oDysLpO61oBlS0M0R7MyQflk>. • Assurez-vous d’indiquer le numéro de version et de ligne correspondant à chaque commentaire soumis. • Le formulaire de soumission de commentaires au CCIAN doit être envoyé par courriel, dûment rempli, à review@diacc.ca<mailto:review@diacc.ca>. • Questions : review@diacc.ca<mailto:review@diacc.ca>. Valeur pour les Canadiens La composante « Authentification » du CCP vise à assurer l’intégrité continue des processus de connexion et d’authentification en certifiant, au moyen d’un processus d’évaluation, qu’ils sont conformes aux critères de conformité uniformisés. Les critères de conformité pour cette composante peuvent être utilisés pour fournir des assurances : • Comme quoi les processus de confiance donnent la représentation d’un sujet unique à un niveau assurant qu’il s’agit du même sujet à chaque connexion réussie auprès d’un fournisseur de services d’authentification. • En ce qui concerne la prévisibilité et la continuité des processus de connexion qu’ils offrent ou dont ils dépendent. Tous les participants bénéficieront de : • Processus de connexion et d’authentification qui sont répétitifs et uniformes (qu’ils offrent ces processus, dépendent d’eux ou les deux). • L’assurance que les utilisateurs identifiés peuvent prendre part à des interactions autorisées avec des systèmes à distance. Les parties dépendantes bénéficieront de : • La capacité de tirer parti de l’assurance comme quoi les processus de confiance de l’authentification identifient d’une manière unique, à un niveau de risque acceptable, un sujet dans la sphère de leur application ou programme. Contexte Cet examen a pour but d’assurer la transparence de l’élaboration et de la diversité d’un apport véritablement pancanadien et international. Conformément à nos principes pour un écosystème de l’identité<https://diacc-dot-yamm-track.appspot.com/2UMztnwll9w8ucFCqy6LOFfMh82fYc8j7unTwTGy37hFqfKESjQEyAeocF6zYPU_QdCKW_e8pweIWvGbnHjLm26KCbDD0K0f-DC0ZplKyPIfGMobTQLg3aCLcJz3sPAcccdBlOLnxMaFBEpm9egOywXTbuqXcXKjItaD2lIos0O3vYqyLSWq0oRg>, la priorité est accordée aux processus visant à respecter et à renforcer la vie privée à chaque étape du processus de développement du Cadre de confiance pancanadien. Le CCIAN s’attend à modifier et à améliorer ces recommandations finales en fonction des commentaires du public. Les commentaires faits pendant l’examen seront pris en compte pour être intégrés dans la prochaine itération et le CCIAN préparera un document expliquant d’une façon transparente comment chaque commentaire a été traité.