lundi 15 mars 2010

Minutier central électronique des notaires de France (MICEN) (norme simplifiée n° 55)

Une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les notaires a été adoptée. Elle permet la conservation des actes authentiques sur support électronique au sein du Minutier central électronique des notaires de France (MICEN) (norme simplifiée n° 55)

Seules les informations suivantes relatives peuvent être collectées :


  • Les informations relatives à l'acte :
― la date de l'établissement de l'acte définie par le notaire rédacteur, le numéro de chrono au sein de l'office, la nature de l'acte (vente, donation, ...), l'intitulé de l'acte ;
― la représentation textuelle ou structurée de l'acte, l'image au format pdf/a permettant la représentation à l'écran de la partie de l'acte ;
― l'image des annexes ;
― la signature manuscrite (date, lieu de recueil ; portée de la signature ; image de la signature), du notaire participant, des parties et témoins du notaire participant, du clerc du notaire participant, la signature électronique du notaire participant, la signature manuscrite du notaire instrumentaire, des parties et témoins du notaire instrumentaire, du clerc du notaire instrumentaire, la signature électronique du notaire instrumentaire ;
― l'établissement du notaire instrumentaire/participant : adresse, numéro CRPCEN, raison sociale ;
― les parties à l'acte (personne physique) : qualité, état civil (civilité, nom, prénoms, date de naissance, commune, date, département de naissance), adresse, profession, régime matrimonial, nom du conjoint ;
― les parties à l'acte (personnes morales) : qualité, raison sociale, catégorie juridique, adresse (siège social) situation RCS, immatriculation, sigle de la société, date et lieu de dépôt des statuts.


  • Les informations relatives au dépôt de l'acte :
― le lieu de stockage ;
― le numéro CRPCEN de l'office déposant ;
― l'identifiant du notaire instrumentaire ;
― le numéro d'ordre généré par le MICEN ;
― la date de l'archivage de l'acte dans le MICEN.

  • Les informations relatives aux biens en cas d'actes soumis à publicité foncière :
― l'adresse, le complément adresse (bâtiment, résidence, étage.) voie (numéro, type, nom) lieudit, code postal, pays.
  • Les informations relatives à la mention :
― la date de l'archivage de la mention dans le MICEN ;
― le numéro d'ordre de l'acte ;
― la date de l'établissement de la mention définie par le notaire rédacteur ;
― l'index, nature et description de la mention.
  • Les informations relatives aux annexes à l'acte :
― l'intitulé et description du document.
  • Les informations relatives à la preuve du dépôt :
― l'information sur la preuve du dépôt et sur son émetteur ;
― le numéro CRPCEN de l'office auquel est destinée la preuve ;
― l'identifiant du notaire déposant.
  • Les informations relatives aux opérations d'administration du système :
― le nombre d'actes déposés et le volume occupé ;
― les accès administrateurs ;
― le code porteur clé Real notaire et administrateur.


Source : http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000021961639&dateTexte=&categorieLien=id
à Aucun commentaire:

samedi 6 mars 2010

Cross-site scripting vulnerabilities is an issue for modern browsers and they start to cope


Wikipedia explains cross-site scripting vulnerabilities (XSS)
Attackers intending to exploit cross-site scripting vulnerabilities must approach each class of vulnerability differently. For each class, a specific attack vector is described here. The names below are technical terms, taken from the cast of characters commonly used in computer security.
Non-persistent:
  1. Alice often visits a particular website, which is hosted by Bob. Bob's website allows Alice to log in with a username/password pair and store sensitive information, such as billing information.
  2. Mallory observes that Bob's website contains a reflected XSS vulnerability.
  3. Mallory crafts a URL to exploit the vulnerability, and sends Alice an email, enticing her to click on a link for the URL under false pretenses. This URL will point to Bob's website, but will contain Mallory's malicious code, which the website will reflect.
  4. Alice visits the URL provided by Mallory while logged into Bob's website.
  5. The malicious script embedded in the URL executes in Alice's browser, as if it came directly from Bob's server (this is the actual XSS vulnerability). The script can be used to send Alice's session cookie to Mallory. Mallory can then use the session cookie to steal sensitive information available to Alice (authentication credentials, billing info, etc) without Alice's knowledge.
Persistent attack:
  1. Mallory posts a message with malicious payload to a social network.
  2. When Bob reads the message, Mallory's XSS steals Bob's cookie.
  3. Mallory can now hijack Bob's session and impersonate Bob.
Framework:
A Browser Exploitation Framework could be used to attack the web site and the user's local environment.
XSS protection are possible in new browsers sometimes like options. It can cost you performance bur you will win security. It is your choice.


à Aucun commentaire:

vendredi 5 mars 2010

Orange blogs on PCI DSS


What is PCI DSS?
It stands for the Payment Card Industry Data Security Standard and was created by the PCI industry body that represents the five major payment brands: American Express, MasterCard, Visa, JCB and Discover. Essentially PCI DSS is a security standard that focuses on the information security of credit card data: the cardholder's name, credit card number and the expiry date. The PCI created the standard in 2005 to have a unified security standard for the whole industry. Previously each payment brand had its own security standard, making it difficult for merchants to implement. Because the PCI DSS draws from these multiple security standards, it isn't really a new standard as such, rather a consolidation of best practice in information security for cardholder data.
Why is PCI DSS important for enterprises?
Quite simply, it is mandatory to be PCI DSS compliant if you handle credit card data and there are penalties if you don't comply with the standard. For example in the U.S., American Express directly imposes penalties on merchants: $50,000 if non-compliant, $150,000 after 30 days, $200,000 after 60 days and after 90 days, the merchant actually loses its right to handle credit card data. The deadlines for compliance are set by the payment brands and depend on the transactions annually processed by an organization. In the U.S. the level 1 firms, which handle more than 6 million transactions, already need to be compliant and other countries and company sizes are following suit.
Does it just apply to companies that take credit card data?
No it applies to any company that handles credit card data at any point. For example, network service provider and hosting companies will need to be compliant if credit card data travels over their network or is stored in their data center, respectively.  Because of this, it affects many different companies, not just the merchant who takes the credit card.
What steps do I need to take to become compliant to the standard?
The first step is to carry out a scoping exercise to allow you to identify where cardholder data is held, transmitted or processed. The standard only applies to these areas, so it is important that you focus your attention on where it matters. The second step is to carry out an assessment of how close you are to being compliant, such as what security you already have in place and how much work is required to fill in the gaps. This will allow you to draw up an action plan and carry out the necessary work. The final step is the assessment: some companies need to fill in a self-assessment questionnaire (SAQ) and this can be reviewed by an external Qualified Security Assessor (QSA) that will be able to certify the company to PCI DSS (Visa Canada, for example, imposes SAQ to be reviewed by a QSA). Others need to be assessed onsite by a QSA.
Source : http://blogs.orange-business.com/live/
à Aucun commentaire:

jeudi 4 mars 2010

Que sont devenus les produits dérivés?

Comme le rappelait en 2002 Warren  Buffet :

“Nous essayons de vous prévenir du risque d’une sorte de méga-catastrophe, … concernant les contrats de produits dérivés d’un montant énorme, constitués de  créances qui ne correspondent à rien et qui risquent de dégringoler.  À notre avis,  les produits dérivés sont des armes financières de destruction massive, portant des dangers qui, tout en étant latent, sont potentiellement létales.”

Vous pouvez relire à cett occasion l'article de Paul Farrell publié dans Market Watch, les chiffres étaient éloquents :

  • PIB U.S.                     15 trillion $
  • Budget fédéral U.S.       3 trillion $
  • Dette U.S.                    9 trillion $
  • Valeur total mondial des actions émises : 100 trillion $
  • Évaluation du montant des produit dérivés en 2002 par BIS : 100 trillion $
  • Évaluation du montant des produit dérivés en 2007 par BIS : 516 trillion $
Depuis les informations publiées sur le sujet ce sont taries! Pourtant les enjeux sont colossaux.
Appel à témoignagne.......... 
à Aucun commentaire:
Inscription à : Articles (Atom)