Prévenir l'usurpation d'identité

ORGiD permet à ses clients de se conformer à toutes les exigences réglementaires en matière d'identification, de prévention et d'atténuation de l'usurpation d'identité et fournit un moyen par lequel les utilisateurs peuvent nous signaler une usurpation d'identité de manière sûre et sécurisée.

Définitions

"Compte" : une valeur unique qui identifie et associe une personne ou une organisation sur la plateforme ORGiD.  

"Administrateur" : une personne autorisée par une organisation cliente à gérer le compte au nom du client.

"Client" : la partie qui souscrit à une licence ORGiD dans le cadre d'un contrat ORGiD.

"Appareil" désigne un ordinateur (ordinateurs de bureau, ordinateurs portables, téléphones et tablettes) ou une autre machine électronique permettant d'accéder à un Compte ORGiD.

"Informations d'identification" : tout nom ou numéro pouvant être utilisé seul ou en association avec d'autres informations pour identifier une personne spécifique, y compris le nom, l'adresse, le numéro de téléphone, le numéro de sécurité sociale, la date de naissance, le numéro de permis de conduire ou d'identification, le numéro d'enregistrement des étrangers, le numéro de passeport, le numéro d'identification de l'employeur ou du contribuable.

On entend par "vol d'identité" une fraude commise ou tentée en utilisant sans autorisation les informations d'identification d'une autre personne.

"Compte d'utilisateur protégé" : compte d'utilisateur présentant un risque d'usurpation d'identité raisonnablement prévisible.

"Utilisateur" : toute personne autorisée par le client à accéder à une carte d'identité numérique ORGiD et à l'utiliser.

Objectifs

Nous nous efforçons de prévenir :

  • Empêcher la création de comptes clients frauduleux

  • Administrateurs clients frauduleux accédant à un compte client ORGiD

  • Utilisateurs ou dispositifs frauduleux accédant au compte d'un autre utilisateur

  • Création ou modification frauduleuse de cartes d'identité numériques par les clients ou leurs utilisateurs

  • Utilisation frauduleuse, duplication ou partage des cartes d'identité par les utilisateurs

  • Echanger des données de l'application ORGiD avec des tiers frauduleux

MÉTHODES

Notifications et garanties pour l'utilisateur de l'application

Nous informons automatiquement chaque utilisateur, à son adresse électronique, de tout nouvel appareil se connectant à son compte et ayant accès à sa carte d'identité numérique. Nous informons également les utilisateurs de toute demande de modification de l'adresse électronique et du numéro de téléphone enregistrés sur leur compte. Nous exigeons que tout changement d'adresse électronique ou de numéro de téléphone fasse l'objet d'une double procédure de confirmation avec l'ancienne et la nouvelle adresse électronique afin de confirmer le changement.

Avis aux clients

Lors de l'ajout d'une carte d'identité à un compte d'utilisateur, les utilisateurs sont informés que nous pouvons soumettre leur identité et les données relatives à l'appareil au client, qui émettra la carte afin de vérifier leur identité et de prévenir l'usurpation d'identité. Nous proposons aux clients des options leur permettant de recevoir des notifications sur les modifications apportées à leurs comptes d'utilisateur. Cette notification les informera de la duplication des cartes, de l'ajout de nouveaux appareils ou de la modification d'informations spécifiques. Le client peut alors déterminer ses obligations en matière d'enquête.

ORGiD Customer Admin Portal Administrator Safeguards (en anglais)

Les clients gèrent leur portail d'administration client ORGiD et sont seuls responsables des administrateurs de compte qu'ils invitent à gérer leur compte client et de l'exactitude des données qu'ils ajoutent, éditent, modifient ou suppriment de leur compte client. Le processus d'invitation utilise une activation à deux facteurs pour confirmer l'adresse email de l'invité. Les clients peuvent instantanément révoquer l'accès de tout administrateur au Portail d'Administration Client ORGiD à partir du Portail d'Administration Client ORGiD. Des rôles sont attribués à chaque administrateur afin que l'accès ne soit configuré que par ceux qui ont le plus de privilèges. ORGiD conservera un journal de la plupart des actions effectuées par chaque administrateur. Une notification par courrier électronique est envoyée aux administrateurs du portail d'administration client ORGiD lorsqu'un nouvel administrateur est ajouté ou qu'un administrateur existant est supprimé du système.

DÉCLENCHEURS

Documents suspects : 

Présentation de documents suspects qui semblent modifiés, falsifiés ou inauthentiques, y compris une apparence incohérente des photographies ou de la description physique d'un document par la personne qui le présente.

Informations d'identification personnelle suspectes : 

Présentation d'informations d'identification personnelle incohérentes, telles que

  • Données d'identité incohérentes soumises pour un compte

  • un numéro de téléphone ou une adresse électronique utilisés par un autre compte

  • Défaut répété de fournir des informations d'identification complètes

  • Plusieurs tentatives d'accès à un compte qui ont échoué

Utilisation suspecte de l'application ORGiD

Y compris, mais sans s'y limiter :

  • L'utilisation d'un courrier électronique ne provenant pas d'un client, à moins que le client n'ait donné son accord.

  • Nombre important de modifications apportées à un compte client ou à un compte utilisateur client

  • Nombre d'appareils auxquels une carte d'identification d'utilisateur est associée.

  • Différences entre les cartes de l'appareil et les cartes des clients par pays

RÉPONSE

Rapport : 

Nous enquêtons sur les suspicions d'usurpation d'identité et les signalons au client qui émet les cartes d'identité numériques afin qu'il puisse enquêter et réagir de manière appropriée conformément à ses politiques. Nous donnons aux clients la possibilité de suspendre ou de retirer instantanément les cartes d'identité numériques des comptes ou des appareils pour lesquels une usurpation d'identité est suspectée, et nous fournissons les coordonnées de l'utilisateur authentifié.

Nous signalons différents types d'usurpation d'identité, notamment les suivants :

  • Création présumée et non autorisée d'une carte d'identité liée à l'identité d'une autre personne.

  • Utilisation présumée non autorisée d'une carte d'identité liée à l'identité d'une autre personne.

  • Suspicion de falsification de la cryptographie d'une carte d'identité.

  • Utilisation présumée de la photo d'une autre personne pour sa propre identité.

  • Utilisation présumée des informations d'une autre personne pour établir sa propre identité.

  • Toute suspicion de revendication d'autorité non autorisée sur un compte d'utilisateur ou de client.

  • Soupçon de création d'une fausse identité dans l'intention de l'utiliser frauduleusement