مصوب ۱۳۸۶/۰۶/۱۱
ماده ۱
در اين آييننامه، اصطلاحات زير در معانى مشروح مربوط به كار مىروند:
الف- قانون:قانون تجارت الكترونيكىمصوب ۱۳۸۲.
ب- شورا: شوراى سياستگذارى گواهى الكترونيكى،موضوع ماده(۲)اين آييننامه.
پ- مركز ريشه: مركز صدور گواهى الكترونيكى ريشه،موضوع بند(الف)ماده(۴)اين آييننامه.
ت- مركز ميانى: مركز صدور گواهى الكترونيكى ميانى،موضوع بند(ب)ماده(۴)اين آييننامه است.
ث- دفاتر ثبتنام: دفتر ثبتنام گواهى الكترونيكى،موضوع بند(پ)ماده(۴)اين آييننامه.
ج- گواهى الكترونيكى: داده الكترونيكى حاوى اطلاعاتى در مورد مركز صادركننده گواهى، مالك گواهى،تاريخ صدور و انقضا،كليد عمومى مالك و يك شماره سريال كه توسط مركز ميانى توليدشده به گونهاى كه هر شخصى مىتواند به صحت ارتباط بين كليد عمومى و مالك آن اعتماد كند.
چ- داده ايجاد امضاى الكترونيكى: دادهاى انحصارى نظير رمز يا كليد خصوصى كه امضا كننده براى ايجاد امضاى الكترونيكى از آن استفاده مىكند.
ح- داده وارسى امضاى الكترونيكى: دادهاى نظير رمز يا كليد عمومى كه براى بررسى و صحت امضاى الكترونيكى مورد استفاده قرار مىگيرد.
خ- زوج كليد يا دادههاى ايجاد و وارسى امضاى الكترونيكى: كليد خصوصى و كليد عمومى مرتبط با آن در يك رمزنگارى نامتقارن.
د- طرف اعتمادكننده: شخصى است كه به اعتبار اطلاعات گواهى الكترونيكى اعتماد مىكند.
ذ- مهر زمانى: اعلاميهاى شامل يك امضاى الكترونيكى كه به وسيله مركز ميانى صادر شده و تأييد مىكند كه داده پيام معين در موقع خاصى به او ارايه شده است.
ر- مخزن: يک پايگاه داده ذخيره و انتشار گواهيهاى الكترونيكى و اطلاعات مربوط به آنها جهت بهرهبردارى طرفهاى اعتمادكننده است.
ز- تجهيزات ايجاد و وارسى امضاى الكترونيكى: نرمافزار و يا سختافزارى كه به منظور اجراى دادههاى مربوط به ايجاد و وارسى امضاى الكترونيكى استفاده مىشود.
ژ- سياستهاى گواهى: مجموعه سياستهاى گواهى الكترونيكى مشتمل بر سياستها،قوانين، مقررات و روشهاى فنى،حقوقى و ساختارى كه مطابق با استانداردهاى بين المللى تدوين شده و حداقل خواستهها و الزامات پيادهسازى مراكز صدور گواهى،دفاتر ثبتنام،صاحبان امضا و طرفهاى اعتمادكننده را مشخص مىكند.تدوين اين سياستهاى گواهى براى مركز ريشه الزامى است و مىتواند براى مركز ميانى به طور جداگانه تنظيم گردد.
س- دستورالعمل گواهى: مجموعه دستورالعملهايى كه منطبق با سياستهاى گواهى جهت تشريح جزئيات عملكرد مديريت گواهيهاى الكترونيكى در مركز ريشه و مراكز ميانى تدوين مىگردد.
ش- زيرساخت كليد عمومى: مجموعهاى از نرمافزارها،سختافزارها،سياستها،فرآيندها و روالهاى مورد نياز براى مديريت گواهيها و زوج كليدها.
ماده ۲
به منظور حفظ يكپارچگى و سياستگذارى در حوزه زيرساخت كليد عمومى كشور شوراى سياستگذارى گواهى الكترونيكى مركب از اعضاى زير تشكيل مىشود:
الف- وزير بازرگانى يا معاون ذى ربط وى(رييس).
ب- معاون ذى ربط وزير دادگسترى.
پ- معاون ذى ربط وزير اطلاعات.
ت- معاون ذى ربط وزير ارتباطات و فناورى اطلاعات.
ث- معاون ذى ربط وزير امور اقتصادى و دارايى.
ج- معاون ذى ربط وزير بهداشت،درمان و آموزش پزشكى.
چ- معاون ذى ربط معاونت برنامهريزى و نظارت راهبردى رييسجمهور.
ح- معاون ذى ربط رييس كل بانك مركزى جمهورى اسلامى ايران.
خ- رييس اتاق بازرگانى و صنايع و معادن ايران.
د- رييس سازمان ثبت اسناد و املاك كشور.
ذ- رييس سازمان نظام صنفى رايانهاى.
ر- دبير شوراى عالى انفورماتيك.
ز- دبير شوراى عالى فناورى اطلاعات.
ژ- رييس مركز توسعه تجارت الكترونيكى وزارت بازرگانى به عنوان دبير شورا (بدون حق رأى).
س- يک تا سه نفر مشاور خبره با پيشنهاد رييس و تأييد اكثريت ساير اعضاى شورا.
ماده ۳
وظايف شورا به شرح زير تعيين مىشود:
الف- بررسى سياستهاى كلان و برنامههاى مربوط به حوزه زيرساخت كليد عمومى كشور و ارايه آن به شوراى عالى فناورى اطلاعات كشور جهت تصويب.
ب- صدور مجوز ايجاد مركز ريشه.
پ- تصويب و به روزرسانى سياستها و دستورالعمل گواهى مراكز ريشه و ميانى.
ت- تصويب استانداردها،رويهها و دستورالعملهاى اجرايى گواهى الكترونيكى.
ث- ايفاى نقش به عنوان مرجع هماهنگكننده در مورد فعاليت حوزههاى گوناگون اجرايى براى ارايه خدمات رايانهاى صدور گواهى مبتنى بر زيرساخت كليد عمومى و نحوه تعامل مراكز صدور گواهى داخلى با مركز صدور گواهى خارجى و هرگونه تفسير يا كاربردپذيرى مفاد سياستهاى گواهى ريشه و ميانى.
ج- نظارت عاليه و بررسى گزارش عملكرد و تخلفات احتمالى مراكز ريشه و ميانى و در صورت لزوم لغو مجوز آنها.
ماده ۴
سطوح دفاتر خدمات صدور گواهى الكترونيكى موضوع ماده(۳۱)قانون به عنوان ارايهدهندگان خدمات گواهى الكترونيكى به شرح زير تعيين مىشوند:
الف- مركز دولتى صدور گواهى الكترونيكى ريشه كه با كسب مجوز از شورا فعاليت مىنمايد.
تبصره ۱- اين مركز وابسته به مركز توسعه تجارت الكترونيكى،موضوع ماده(۸۰) قانون مىباشد.
تبصره ۲- سيستم بانكى مىتواند با اخذ مجوز شورا در حوزه نظام بانكى مركز ريشه مستقل ايجاد نمايد كه در اين صورت مركز يادشده وابسته به مركز توسعه تجارت الكترونيكى موضوع اين ماده نخواهد بود.
ب- مركز صدور گواهى الكترونيكى ميانى كه با كسب مجوز از يك مركز ريشه،مبادرت به صدور گواهى الكترونيكى نموده و ساير خدمات مربوط به امضاى الكترونيكى را انجام مىدهد.
پ- دفتر ثبتنام گواهى الكترونيكى كه با كسب مجوز از حداقل يك مركز ميانى نسبت به ثبت و انتقال درخواست متقاضيان در خصوص صدور و لغو گواهيها و ساير امور مربوط به آنها مطابق با ضوابط و دستورالعمل صادره از سوى مراكز ميانى كه تعهد همكارى با آنها را امضا نموده است،اقدام مىنمايد.
ماده ۵
وظايف و مسئوليتهاى مركز ريشه به شرح زير تعيين مىشوند:
الف- پيشنهاد سياستها و دستورالعمل گواهى مركز ريشه و ارايه به شورا جهت تصويب.
ب- اجراى سياستها و دستورالعملهاى شورا.
پ- بررسى و تصويب سياستها و دستورالعمل مراكز ميانى.
ت- بررسى و احراز شرايط لازم و صلاحيت متقاضيان ايجاد مراكز ميانى و صدور مجوز براى آنها.
ث- حصول اطمينان از ثبت اطلاعات معتبر و مناسب در گواهيها و نگهدارى مدارك و شواهد دال بر صحت اين اطلاعات.
ج- حصول اطمينان از عملكرد صحيح مراكز ميانى.
چ- ابطال گواهى مراكز ميانى كه بر خلاف تعهداتشان عمل كردهاند.
ح- اطلاعرسانى به صاحبان امضا و طرفهاى اعتمادكننده در مورد هرگونه تغيير در كاركرد مركز ميانى.
خ- ايجاد و به روزرسانى يك مخزن بر خط و اطلاعرسانى خدمات آن.
ماده ۶
مركز ريشه به محض قطع عمليات مركز ميانى و زمانى كه فعاليت اين مركز به موجب حكم مراجع قضائى و يا دليل ديگرى متوقف شود و همچنين در صورت لغو مجوز مركز ميانى بايد به روش مندرج در بند(خ)ماده(۵)اين آييننامه و درج در روزنامه رسمى جمهورى اسلامى ايران فهرست گواهيهاى باطل شده را منتشر نمايد.
تبصره- مسئوليت و نحوه پرداخت خسارت بابت ضرر و زيان ناشى از ابطال مركز ميانى به صاحبان امضاى الكترونيكى صادر شده از اين مركز و يا به دفاتر ثبتنام بايد در دستورالعمل گواهى الكترونيكى مركز و يا در قرارداد منعقدشده بين طرفين قيد شده باشد.
ماده ۷
مراكز ميانى حسب مورد توسط دستگاههاى دولتى يا بخش غير دولتى ايجاد مىشوند و شرايط و ضوابط تأسيس مراكز ميانى به شرح زير تعيين مىشود:
الف-ارايه اساسنامه يا مجوز ثبت از مراجع ذى ربط
ب- ارايه تقاضا از طرف متقاضى
پ- معرفى پنج نفر داراى مدرك تحصيلى مرتبط مورد تأييد وزارتخانههاى علوم،تحقيقات و فناورى و بهداشت،درمان و آموزش پزشكى با شرايط زير:
۱- سه نفر كارشناس داراى مدرك تحصيلى دانشگاهى و ترجيحا داراى تجربه فعاليت مرتبط.
۲- دو نفر با مدرك كاردانى در رشتههاى مرتبط با فناورى اطلاعات و ارتباطات يا حداقل سه سال تجربه در حوزههاى مرتبط با فناورى اطلاعات و ارتباطات همراه با مجوز طى دوره آموزشى از مراكز فنى و حرفهاى.
ت- تأمين مكان فيزيكى مناسب همراه با تجهيزات سختافزارى و نرمافزارى لازم اعلام شده از سوى مركز ريشه به نحوى كه امنيت فنى و رمزنگارى را تضمين نمايد و مورد تأييد بازرسان مركز ريشه قرار گرفته باشد.
ث- ارايه تضمين معتبر متناسب با مبلغ تعيين شده توسط مركز ريشه.
ج- تدوين سياستها و دستورالعمل گواهى مركز.
تبصره ۱- مراكز ريشه مكلفند ظرف دو ماه نسبت به بررسى تقاضا اقدام و نتيجه را به متقاضيان اعلام نمايند.
تبصره ۲- مراكز ميانى ايجاد شده توسط سازمانهاى دولتى به صورت غير انتفاعى فعاليت خواهند نمود.
تبصره ۳- مراكز ميانى دولتى از ابتداى سال ۱۳۸۸ مجاز به ارايه خدمات گواهى الكترونيكى به بخشهاى غير دولتى خارج از حوزه فعاليت خود نمىباشند.
تبصره ۴- اشخاصى كه مجوز راهاندازى مركز ميانى را با ملاحظه شرايط اين ماده اخذ مىنمايند مكلفند ظرف شش ماه از تاريخ صدور مجوز نسبت به تأسيس مركز اقدام نمايند.در غير اين صورت مجوز ايشان لغوشده تلقى مىگردد.
ماده ۸
مراكز ميانى در حين فعاليت با رعايت مفاد دستورالعمل گواهى،وظايف زير را به عهده خواهند داشت:
الف- بررسى صلاحيت و صدور مجوز براى دفاتر ثبتنام ذى ربط.
ب- تضمين ارايه خدمات صدور و لغو گواهيها به صورت مطمئن.
پ- تضمين ارايه خدمات تأييد صحت گواهيها به صورت سريع و مطمئن.
ت- تضمين محرمانه بودن دادههاى مربوط به امضا در فرآيند ايجاد اين دادهها براى جلوگيرى از شبيهسازى گواهيها.
ث- حصول اطمينان نسبت به موارد زير:
۱- در لحظه صدور گواهى الكترونيكى،اطلاعات مندرج در گواهيها صحيح باشند.
۲- در هنگام صدور گواهى الكترونيكى،امضاكننده مشخصشده در گواهى،دادههاى ايجاد و وارسى امضاى الكترونيكى را دريافت نموده و داده ايجاد امضاى الكترونيكى تحت كنترل انحصارى وى باشد.
۳- كليه اطلاعات مرتبط با گواهى الكترونيكى را تا مدت زمان تعيينشده در دستورالعمل گواهى به صورت الكترونيكى حفظ نمايد.
۴- تاريخ و ساعت صدور و لغو يك گواهى به دقت تعيين شده و قابل تشخيص باشد.
۵- عدم كپى يا ذخيره داده ايجاد امضاى الكترونيكى متقاضيان را تضمين نمايد.
۶- گواهى قابل دسترسى براى عموم نباشد،جز در مواردى كه صاحبان گواهيها رضايت خود را اعلام كردهاند يا نوع گواهى انتشار عمومى را ايجاب نمايد.
۷- در صورت امكان مركز ميانى و با دريافت درخواست دفتر ثبتنام،يك مهر زمانى به دادههاى الكترونيكى ضميمه شود.
تبصره ۱- هر مركز ميانى موظف است فهرستى از گواهيهايى را كه توسط آن مركز صادر مىشود با ذكر تاريخ صدور،نام صاحب گواهى و نوع گواهى تهيه و منتشر نمايد.اطلاعات مزبور بايد در جايگاه اينترنتى مربوط درج گردد.
تبصره ۲- مركز ميانى بر عملكرد دفاتر ثبتنام طرف قرارداد خود نظارت داشته و در صورت احراز تخلف طبق ضوابط با آن برخورد كرده و در صورت لزوم با رعايت تمهيدات پيشبينى شده در دستورالعمل گواهى نسبت به لغو مجوز دفتر ثبتنام متخلف اقدام خواهد نمود.
ماده ۹
مجوز مراكز ميانى به طور ادوارى،مطابق با سياستهاى گواهى و با ملاحظه شرايط و تحولات فناوريهاى جديد و پس از احراز مجدد صلاحيت متقاضيان،توسط مركز ريشه قابل تمديد مىباشد.
ماده ۱۰
مجوز مراكز ميانى صرفا با تأييد مركز ريشه با ملاحظه شرايط مقرر در اين آييننامه و دستورالعمل گواهى قابل واگذارى به غير خواهد بود.
ماده ۱۱
كليه مؤسسات اعم از دولتى يا غير دولتى مىتوانند در حوزه فعاليت داخلى خود بدون اخذ مجوز از مركز ريشه مبادرت به ثبت و صدور گواهى نمايند.گواهىهايى كه به اين صورت صادر مىشود خارج از شمول مقررات اين آييننامه بوده و امضاهايى كه به وسيله اين گواهىها تأييد مىشوند خارج از موضوع ماده(۱۰)قانون و صرفا قابل استفاده در همان مؤسسات خواهد بود.
ماده ۱۲
دفاتر ثبتنام مىتوانند بنا به مورد توسط اشخاص حقيقى يا حقوقى اعم از دولتى يا غير دولتى ايجاد شوند.اشخاص حقيقى و نيز صاحبان امضاى اشخاص حقوقى متقاضى دريافت مجوز راهاندازى دفاتر ثبتنام در كشور بايد داراى شرايط زير باشند:
الف- تابعيت جمهورى اسلامى ايران.
ب- تدين و عامليت به احكام اسلام يا پيروى از اديان به رسميت شناختهشده در قانون اساسى.
پ- نداشتن پيشينه كيفرى.
ت- عدم تجاهر به فسق و داشتن صلاحيت اخلاقى و حسن سابقه.
ث- عدم اعتياد به مواد مخدر.
ج- انجام خدمت وظيفه عمومى يا معافيت دايم.
چ- دارا بودن حداقل مدرك كاردانى مورد تأييد وزارتخانههاى علوم،تحقيقات و فناورى و بهداشت،درمان و آموزش پزشكى.
ح- ارايه ضمانت معتبر.
خ- داشتن سابقه كار حداقل سه سال متوالى يا پنج سال متناوب مورد تأييد مركز ميانى در بخشهاى مرتبط با فناورى اطلاعات.
تبصره ۱- نوع و ميزان ضمانت معتبر بر اساس دستورالعمل دفاتر صدور گواهى الكترونيكى ميانى پيشبينى مىشود.
تبصره ۲- شعب بانكها به عنوان دفاتر ثبتنام مراكز ميانى تحت نظارت مركز ريشه نظام بانكى از شمول اين ماده و ماده(۱۴)مستثنى هستند.
تبصره ۳- اشخاصى كه مبادرت به اخذ مجوز راهاندازى دفتر ثبتنام با ملاحظه شرايط اين ماده مىنمايند مكلفند ظرف چهار ماه از تاريخ صدور مجوز نسبت به تأسيس دفتر اقدام نمايند.در غير اين صورت مجوز مذكور لغوشده تلقى مىگردد.
تبصره ۴- متقاضى تأسيس دفتر ثبتنام موظف به تأمين مكان فيزيكى مناسب مطابق دستورالعمل گواهى ميانى طرف قرارداد و تهيه و نصب تابلو با درج شماره مجوز دريافتى از مركز يا مراكز ميانى طرف قرارداد مىباشد.
ماده ۱۳
وظايف دفاتر ثبتنام به شرح زير مىباشد:
الف- انجام عمليات مطابق با دستورالعمل گواهى مركز ميانى مربوط.
ب- احراز هويت و تصديق مدارك ارايه شده متقاضى دريافت خدمات گواهى.
پ- ارسال درخواست متقاضى همراه با مدارك مربوطه به مركز ميانى مربوط.
ت- دريافت گواهى صادرشده از مركز ميانى مربوطه و تحويل به متقاضى.
ماده ۱۴
مجوز دفاتر ثبتنام حداكثر براى سه سال صادر مىشود.اين مجوز مطابق با دستورالعمل گواهى ميانى و با لحاظ شرايط و تحولات فناوريهاى نوين پس از احراز صلاحيت متقاضيان توسط مراكز ميانى قابل تمديد خواهد بود.
ماده ۱۵
دفاتر ثبتنام موظفند هنگام ثبتنام متقاضى گواهى الكترونيكى،امضاى شخص را براى صحت اطلاعات ارايهشده(املايى و محتوايى)اخذ نموده و وى را از نحوه و شرايط دقيق استفاده از گواهيها،از جمله محدوديتهاى حاكم بر استفاده،خدمات و شيوههاى طرح و پيگيرى دعوى مطابق سياستها و دستورالعمل گواهى ميانى آگاه سازند.
ماده ۱۶
حق الثبت دفاتر ثبتنام،بر اساس نوع گواهى و خدمات ارايهشده به متقاضيان با رعايت مقررات بر اساس تعرفهاى كه بنا به پيشنهاد شورا به تصويب هيأت وزيران مىرسد تعيين مىشود.
ماده ۱۷
به منظور حفظ محرمانه بودن و غير قابل دستيابى بودن دادههاى ايجاد امضاى الكترونيكى از طريق استنتاج،مراكز ميانى مكلفند از تجهيزات و روشهايى استفاده كنند كه دادههاى ايجاد امضاى الكترونيكى مورد استفاده براى امضاى الكترونيكى بيش از يكبار استفاده نشده و در مقابل هرگونه شبيهسازى از طريق ابزارهاى فنى محافظت و در برابر استفاده آن توسط اشخاص ثالث به نحو اطمينانبخشى محافظت شوند.
تبصره- اين تجهيزات و روشها نبايد دادههاى لازم براى امضا را تغيير دهد و بايد تضمين نمايد كه اين دادهها قبل از طى فرآيند امضا در اختيار امضاكننده قرار نگيرد.
ماده ۱۸
اعتبار و پذيرش گواهى الكترونيكى صادره از مراجع صدور گواهى خارجى، مشروط به توافق دو جانبه بين مركز ريشه كشور و مرجع صدور گواهى كشور خارجى با رعايت اصل شرط عمل متقابل و تصويب شورا خواهد بود.
ماده ۱۹
در موارد زير با حفظ سوابق موجود،گواهى الكترونيكى توسط مركز ميانى صادركننده آن،ابطال مىشود:
الف- درخواست ابطال توسط صاحب گواهى الكترونيكى و يا وكيل قانونى وى.
ب- تخطى صاحب گواهى الكترونيكى از تعهداتش.
پ- احراز صدور گواهى مبتنى بر اظهارات دروغ و اشتباه متقاضى.
ت- مشاهده تخلف صاحب گواهى و يا دفاتر ثبتنام و مركز ميانى از مندرجات اين آييننامه.در اين صورت مركز ريشه دستور ابطال گواهى را صادر نمايد.
ث- احراز صدور گواهى الكترونيكى كه شامل اطلاعات شخص ثالث بوده و گواهى بدون رضايت وى صادر شده باشد.
ج- افشاى كليد خصوصى نزد ساير افراد غير مجاز.
ماده ۲۰
تمامى دستگاههاى اجرايى مكلفند مطابق برنامه زمانبندى شده ظرف دو سال از زمان ابلاغ اين آييننامه فناورى امضاى الكترونيكى مطمئن را در فعاليتها و فرايندهاى الكترونيكى حوزه عملكرد خود و سازمانهاى تابعه مورد استفاده قرار دهند و گزارش عملكرد خود را هر شش(۶)ماه يكبار به كميسيون امور اجتماعى و دولت الكترونيك ارايه نمايند.
دیدگاه