Skip to content
- ماده 1
- در این آییننامه، اصطلاحات زیر در معانی مشروح مربوط به کار میروند:
الف- قانون:قانون تجارت الکترونیکیمصوب 1382.
ب- شورا: شورای سیاستگذاری گواهی الکترونیکی،موضوع ماده(2)این آییننامه.
پ- مرکز ریشه: مرکز صدور گواهی الکترونیکی ریشه،موضوع بند(الف)ماده(4)این آییننامه.
ت- مرکز میانی: مرکز صدور گواهی الکترونیکی میانی،موضوع بند(ب)ماده(4)این آییننامه است.
ث- دفاتر ثبتنام: دفتر ثبتنام گواهی الکترونیکی،موضوع بند(پ)ماده(4)این آییننامه.
ج- گواهی الکترونیکی: داده الکترونیکی حاوی اطلاعاتی در مورد مرکز صادرکننده گواهی، مالک گواهی،تاریخ صدور و انقضا،کلید عمومی مالک و یک شماره سریال که توسط مرکز میانی تولیدشده به گونهای که هر شخصی میتواند به صحت ارتباط بین کلید عمومی و مالک آن اعتماد کند.
چ- داده ایجاد امضای الکترونیکی: دادهای انحصاری نظیر رمز یا کلید خصوصی که امضا کننده برای ایجاد امضای الکترونیکی از آن استفاده میکند.
ح- داده وارسی امضای الکترونیکی: دادهای نظیر رمز یا کلید عمومی که برای بررسی و صحت امضای الکترونیکی مورد استفاده قرار میگیرد.
خ- زوج کلید یا دادههای ایجاد و وارسی امضای الکترونیکی: کلید خصوصی و کلید عمومی مرتبط با آن در یک رمزنگاری نامتقارن.
د- طرف اعتمادکننده: شخصی است که به اعتبار اطلاعات گواهی الکترونیکی اعتماد میکند.
ذ- مهر زمانی: اعلامیهای شامل یک امضای الکترونیکی که به وسیله مرکز میانی صادر شده و تایید میکند که داده پیام معین در موقع خاصی به او ارایه شده است.
ر- مخزن: یک پایگاه داده ذخیره و انتشار گواهیهای الکترونیکی و اطلاعات مربوط به آنها جهت بهرهبرداری طرفهای اعتمادکننده است.
ز- تجهیزات ایجاد و وارسی امضای الکترونیکی: نرمافزار و یا سختافزاری که به منظور اجرای دادههای مربوط به ایجاد و وارسی امضای الکترونیکی استفاده میشود.
ژ- سیاستهای گواهی: مجموعه سیاستهای گواهی الکترونیکی مشتمل بر سیاستها،قوانین، مقررات و روشهای فنی، حقوقی و ساختاری که مطابق با استانداردهای بینالمللی تدوین شده و حداقل خواستهها و الزامات پیادهسازی مراکز صدور گواهی،دفاتر ثبتنام،صاحبان امضا و طرفهای اعتمادکننده را مشخص میکند.تدوین این سیاستهای گواهی برای مرکز ریشه الزامی است و میتواند برای مرکز میانی به طور جداگانه تنظیم گردد.
س- دستورالعمل گواهی: مجموعه دستورالعملهایی که منطبق با سیاستهای گواهی جهت تشریح جزئیات عملکرد مدیریت گواهیهای الکترونیکی در مرکز ریشه و مراکز میانی تدوین میگردد.
ش- زیرساخت کلید عمومی: مجموعهای از نرمافزارها،سختافزارها،سیاستها،فرآیندها و روالهای مورد نیاز برای مدیریت گواهیها و زوج کلیدها.
- ماده 2
- به منظور حفظ یکپارچگی و سیاستگذاری در حوزه زیرساخت کلید عمومی کشور شورای سیاستگذاری گواهی الکترونیکی مرکب از اعضای زیر تشکیل میشود:
الف- وزیر بازرگانی یا معاون ذی ربط وی(رییس).
ب- معاون ذی ربط وزیر دادگستری.
پ- معاون ذی ربط وزیر اطلاعات.
ت- معاون ذی ربط وزیر ارتباطات و فناوری اطلاعات.
ث- معاون ذی ربط وزیر امور اقتصادی و دارایی.
ج- معاون ذی ربط وزیر بهداشت،درمان و آموزش پزشکی.
چ- معاون ذی ربط معاونت برنامهریزی و نظارت راهبردی رییسجمهور.
ح- معاون ذی ربط رییس کل بانک مرکزی جمهوری اسلامی ایران.
خ- رییس اتاق بازرگانی و صنایع و معادن ایران.
د- رییس سازمان ثبت اسناد و املاک کشور.
ذ- رییس سازمان نظام صنفی رایانهای.
ر- دبیر شورای عالی انفورماتیک.
ز- دبیر شورای عالی فناوری اطلاعات.
ژ- رییس مرکز توسعه تجارت الکترونیکی وزارت بازرگانی به عنوان دبیر شورا (بدون حق رای).
س- یک تا سه نفر مشاور خبره با پیشنهاد رییس و تایید اکثریت سایر اعضای شورا.
- ماده 3
- وظایف شورا به شرح زیر تعیین میشود:
الف- بررسی سیاستهای کلان و برنامههای مربوط به حوزه زیرساخت کلید عمومی کشور و ارایه آن به شورای عالی فناوری اطلاعات کشور جهت تصویب.
ب- صدور مجوز ایجاد مرکز ریشه.
پ- تصویب و به روزرسانی سیاستها و دستورالعمل گواهی مراکز ریشه و میانی.
ت- تصویب استانداردها،رویهها و دستورالعملهای اجرایی گواهی الکترونیکی.
ث- ایفای نقش به عنوان مرجع هماهنگکننده در مورد فعالیت حوزههای گوناگون اجرایی برای ارایه خدمات رایانهای صدور گواهی مبتنی بر زیرساخت کلید عمومی و نحوه تعامل مراکز صدور گواهی داخلی با مرکز صدور گواهی خارجی و هرگونه تفسیر یا کاربردپذیری مفاد سیاستهای گواهی ریشه و میانی.
ج- نظارت عالیه و بررسی گزارش عملکرد و تخلفات احتمالی مراکز ریشه و میانی و در صورت لزوم لغو مجوز آنها.
- ماده 4
- سطوح دفاتر خدمات صدور گواهی الکترونیکی موضوع ماده(31)قانون به عنوان ارایهدهندگان خدمات گواهی الکترونیکی به شرح زیر تعیین میشوند:
الف- مرکز دولتی صدور گواهی الکترونیکی ریشه که با کسب مجوز از شورا فعالیت مینماید.
تبصره 1- این مرکز وابسته به مرکز توسعه تجارت الکترونیکی،موضوع ماده(80) قانون میباشد.
تبصره 2- سیستم بانکی میتواند با اخذ مجوز شورا در حوزه نظام بانکی مرکز ریشه مستقل ایجاد نماید که در این صورت مرکز یادشده وابسته به مرکز توسعه تجارت الکترونیکی موضوع این ماده نخواهد بود.
ب- مرکز صدور گواهی الکترونیکی میانی که با کسب مجوز از یک مرکز ریشه،مبادرت به صدور گواهی الکترونیکی نموده و سایر خدمات مربوط به امضای الکترونیکی را انجام میدهد.
پ- دفتر ثبتنام گواهی الکترونیکی که با کسب مجوز از حداقل یک مرکز میانی نسبت به ثبت و انتقال درخواست متقاضیان در خصوص صدور و لغو گواهیها و سایر امور مربوط به آنها مطابق با ضوابط و دستورالعمل صادره از سوی مراکز میانی که تعهد همکاری با آنها را امضا نموده است،اقدام مینماید.
- ماده 5
- وظایف و مسئولیتهای مرکز ریشه به شرح زیر تعیین میشوند:
الف- پیشنهاد سیاستها و دستورالعمل گواهی مرکز ریشه و ارایه به شورا جهت تصویب.
ب- اجرای سیاستها و دستورالعملهای شورا.
پ- بررسی و تصویب سیاستها و دستورالعمل مراکز میانی.
ت- بررسی و احراز شرایط لازم و صلاحیت متقاضیان ایجاد مراکز میانی و صدور مجوز برای آنها.
ث- حصول اطمینان از ثبت اطلاعات معتبر و مناسب در گواهیها و نگهداری مدارک و شواهد دال بر صحت این اطلاعات.
ج- حصول اطمینان از عملکرد صحیح مراکز میانی.
چ- ابطال گواهی مراکز میانی که بر خلاف تعهداتشان عمل کردهاند.
ح- اطلاعرسانی به صاحبان امضا و طرفهای اعتمادکننده در مورد هرگونه تغییر در کارکرد مرکز میانی.
خ- ایجاد و به روزرسانی یک مخزن بر خط و اطلاعرسانی خدمات آن.
- ماده 6
- مرکز ریشه به محض قطع عملیات مرکز میانی و زمانی که فعالیت این مرکز به موجب حکم مراجع قضائی و یا دلیل دیگری متوقف شود و همچنین در صورت لغو مجوز مرکز میانی باید به روش مندرج در بند(خ)ماده(5)این آییننامه و درج در روزنامه رسمی جمهوری اسلامی ایران فهرست گواهیهای باطل شده را منتشر نماید.
تبصره- مسئولیت و نحوه پرداخت خسارت بابت ضرر و زیان ناشی از ابطال مرکز میانی به صاحبان امضای الکترونیکی صادر شده از این مرکز و یا به دفاتر ثبتنام باید در دستورالعمل گواهی الکترونیکی مرکز و یا در قرارداد منعقدشده بین طرفین قید شده باشد.
- ماده 7
- مراکز میانی حسب مورد توسط دستگاههای دولتی یا بخش غیر دولتی ایجاد میشوند و شرایط و ضوابط تاسیس مراکز میانی به شرح زیر تعیین میشود:
الف-ارایه اساسنامه یا مجوز ثبت از مراجع ذی ربط
ب- ارایه تقاضا از طرف متقاضی
پ- معرفی پنج نفر دارای مدرک تحصیلی مرتبط مورد تایید وزارتخانههای علوم،تحقیقات و فناوری و بهداشت،درمان و آموزش پزشکی با شرایط زیر:
1- سه نفر کارشناس دارای مدرک تحصیلی دانشگاهی و ترجیحا دارای تجربه فعالیت مرتبط.
2- دو نفر با مدرک کاردانی در رشتههای مرتبط با فناوری اطلاعات و ارتباطات یا حداقل سه سال تجربه در حوزههای مرتبط با فناوری اطلاعات و ارتباطات همراه با مجوز طی دوره آموزشی از مراکز فنی و حرفهای.
ت- تامین مکان فیزیکی مناسب همراه با تجهیزات سختافزاری و نرمافزاری لازم اعلام شده از سوی مرکز ریشه به نحوی که امنیت فنی و رمزنگاری را تضمین نماید و مورد تایید بازرسان مرکز ریشه قرار گرفته باشد.
ث- ارایه تضمین معتبر متناسب با مبلغ تعیین شده توسط مرکز ریشه.
ج- تدوین سیاستها و دستورالعمل گواهی مرکز.
تبصره 1- مراکز ریشه مکلفند ظرف دو ماه نسبت به بررسی تقاضا اقدام و نتیجه را به متقاضیان اعلام نمایند.
تبصره 2- مراکز میانی ایجاد شده توسط سازمانهای دولتی به صورت غیر انتفاعی فعالیت خواهند نمود.
تبصره 3- مراکز میانی دولتی از ابتدای سال 1388 مجاز به ارایه خدمات گواهی الکترونیکی به بخشهای غیر دولتی خارج از حوزه فعالیت خود نمیباشند.
تبصره 4- اشخاصی که مجوز راهاندازی مرکز میانی را با ملاحظه شرایط این ماده اخذ مینمایند مکلفند ظرف شش ماه از تاریخ صدور مجوز نسبت به تاسیس مرکز اقدام نمایند.در غیر این صورت مجوز ایشان لغوشده تلقی میگردد.
- ماده 8
- مراکز میانی در حین فعالیت با رعایت مفاد دستورالعمل گواهی،وظایف زیر را به عهده خواهند داشت:
الف- بررسی صلاحیت و صدور مجوز برای دفاتر ثبتنام ذی ربط.
ب- تضمین ارایه خدمات صدور و لغو گواهیها به صورت مطمئن.
پ- تضمین ارایه خدمات تایید صحت گواهیها به صورت سریع و مطمئن.
ت- تضمین محرمانه بودن دادههای مربوط به امضا در فرآیند ایجاد این دادهها برای جلوگیری از شبیهسازی گواهیها.
ث- حصول اطمینان نسبت به موارد زیر:
1- در لحظه صدور گواهی الکترونیکی،اطلاعات مندرج در گواهیها صحیح باشند.
2- در هنگام صدور گواهی الکترونیکی،امضاکننده مشخصشده در گواهی،دادههای ایجاد و وارسی امضای الکترونیکی را دریافت نموده و داده ایجاد امضای الکترونیکی تحت کنترل انحصاری وی باشد.
3- کلیه اطلاعات مرتبط با گواهی الکترونیکی را تا مدت زمان تعیینشده در دستورالعمل گواهی به صورت الکترونیکی حفظ نماید.
4- تاریخ و ساعت صدور و لغو یک گواهی به دقت تعیین شده و قابل تشخیص باشد.
5- عدم کپی یا ذخیره داده ایجاد امضای الکترونیکی متقاضیان را تضمین نماید.
6- گواهی قابل دسترسی برای عموم نباشد،جز در مواردی که صاحبان گواهیها رضایت خود را اعلام کردهاند یا نوع گواهی انتشار عمومی را ایجاب نماید.
7- در صورت امکان مرکز میانی و با دریافت درخواست دفتر ثبتنام،یک مهر زمانی به دادههای الکترونیکی ضمیمه شود.
تبصره 1- هر مرکز میانی موظف است فهرستی از گواهیهایی را که توسط آن مرکز صادر میشود با ذکر تاریخ صدور،نام صاحب گواهی و نوع گواهی تهیه و منتشر نماید.اطلاعات مزبور باید در جایگاه اینترنتی مربوط درج گردد.
تبصره 2- مرکز میانی بر عملکرد دفاتر ثبتنام طرف قرارداد خود نظارت داشته و در صورت احراز تخلف طبق ضوابط با آن برخورد کرده و در صورت لزوم با رعایت تمهیدات پیشبینی شده در دستورالعمل گواهی نسبت به لغو مجوز دفتر ثبتنام متخلف اقدام خواهد نمود.
- ماده 9
- مجوز مراکز میانی به طور ادواری،مطابق با سیاستهای گواهی و با ملاحظه شرایط و تحولات فناوریهای جدید و پس از احراز مجدد صلاحیت متقاضیان،توسط مرکز ریشه قابل تمدید میباشد.
- ماده 10
- مجوز مراکز میانی صرفا با تایید مرکز ریشه با ملاحظه شرایط مقرر در این آییننامه و دستورالعمل گواهی قابل واگذاری به غیر خواهد بود.
- ماده 11
- کلیه موسسات اعم از دولتی یا غیر دولتی میتوانند در حوزه فعالیت داخلی خود بدون اخذ مجوز از مرکز ریشه مبادرت به ثبت و صدور گواهی نمایند.گواهیهایی که به این صورت صادر میشود خارج از شمول مقررات این آییننامه بوده و امضاهایی که به وسیله این گواهیها تایید میشوند خارج از موضوع ماده(10)قانون و صرفا قابل استفاده در همان موسسات خواهد بود.
- ماده 12
- دفاتر ثبتنام میتوانند بنا به مورد توسط اشخاص حقیقی یا حقوقی اعم از دولتی یا غیر دولتی ایجاد شوند.اشخاص حقیقی و نیز صاحبان امضای اشخاص حقوقی متقاضی دریافت مجوز راهاندازی دفاتر ثبتنام در کشور باید دارای شرایط زیر باشند:
الف- تابعیت جمهوری اسلامی ایران.
ب- تدین و عاملیت به احکام اسلام یا پیروی از ادیان به رسمیت شناختهشده در قانون اساسی.
پ- نداشتن پیشینه کیفری.
ت- عدم تجاهر به فسق و داشتن صلاحیت اخلاقی و حسن سابقه.
ث- عدم اعتیاد به مواد مخدر.
ج- انجام خدمت وظیفه عمومی یا معافیت دایم.
چ- دارا بودن حداقل مدرک کاردانی مورد تایید وزارتخانههای علوم،تحقیقات و فناوری و بهداشت،درمان و آموزش پزشکی.
ح- ارایه ضمانت معتبر.
خ- داشتن سابقه کار حداقل سه سال متوالی یا پنج سال متناوب مورد تایید مرکز میانی در بخشهای مرتبط با فناوری اطلاعات.
تبصره 1- نوع و میزان ضمانت معتبر بر اساس دستورالعمل دفاتر صدور گواهی الکترونیکی میانی پیشبینی میشود.
تبصره 2- شعب بانکها به عنوان دفاتر ثبتنام مراکز میانی تحت نظارت مرکز ریشه نظام بانکی از شمول این ماده و ماده(14)مستثنی هستند.
تبصره 3- اشخاصی که مبادرت به اخذ مجوز راهاندازی دفتر ثبتنام با ملاحظه شرایط این ماده مینمایند مکلفند ظرف چهار ماه از تاریخ صدور مجوز نسبت به تاسیس دفتر اقدام نمایند.در غیر این صورت مجوز مذکور لغوشده تلقی میگردد.
تبصره 4- متقاضی تاسیس دفتر ثبتنام موظف به تامین مکان فیزیکی مناسب مطابق دستورالعمل گواهی میانی طرف قرارداد و تهیه و نصب تابلو با درج شماره مجوز دریافتی از مرکز یا مراکز میانی طرف قرارداد میباشد.
- ماده 13
- وظایف دفاتر ثبتنام به شرح زیر میباشد:
الف- انجام عملیات مطابق با دستورالعمل گواهی مرکز میانی مربوط.
ب- احراز هویت و تصدیق مدارک ارایه شده متقاضی دریافت خدمات گواهی.
پ- ارسال درخواست متقاضی همراه با مدارک مربوطه به مرکز میانی مربوط.
ت- دریافت گواهی صادر شده از مرکز میانی مربوطه و تحویل به متقاضی.
- ماده 14
- مجوز دفاتر ثبتنام حداکثر برای سه سال صادر میشود.این مجوز مطابق با دستورالعمل گواهی میانی و با لحاظ شرایط و تحولات فناوریهای نوین پس از احراز صلاحیت متقاضیان توسط مراکز میانی قابل تمدید خواهد بود.
- ماده 15
- دفاتر ثبتنام موظفند هنگام ثبتنام متقاضی گواهی الکترونیکی،امضای شخص را برای صحت اطلاعات ارایهشده(املایی و محتوایی)اخذ نموده و وی را از نحوه و شرایط دقیق استفاده از گواهیها،از جمله محدودیتهای حاکم بر استفاده،خدمات و شیوههای طرح و پیگیری دعوی مطابق سیاستها و دستورالعمل گواهی میانی آگاه سازند.
- ماده 16
- حقالثبت دفاتر ثبتنام،بر اساس نوع گواهی و خدمات ارایه شده به متقاضیان با رعایت مقررات بر اساس تعرفهای که بنا به پیشنهاد شورا به تصویب هیات وزیران میرسد تعیین میشود.
- ماده 17
- به منظور حفظ محرمانه بودن و غیر قابل دستیابی بودن دادههای ایجاد امضای الکترونیکی از طریق استنتاج،مراکز میانی مکلفند از تجهیزات و روشهایی استفاده کنند که دادههای ایجاد امضای الکترونیکی مورد استفاده برای امضای الکترونیکی بیش از یکبار استفاده نشده و در مقابل هرگونه شبیهسازی از طریق ابزارهای فنی محافظت و در برابر استفاده آن توسط اشخاص ثالث به نحو اطمینانبخشی محافظت شوند.
تبصره- این تجهیزات و روشها نباید دادههای لازم برای امضا را تغییر دهد و باید تضمین نماید که این دادهها قبل از طی فرآیند امضا در اختیار امضاکننده قرار نگیرد.
- ماده 18
- اعتبار و پذیرش گواهی الکترونیکی صادره از مراجع صدور گواهی خارجی، مشروط به توافق دو جانبه بین مرکز ریشه کشور و مرجع صدور گواهی کشور خارجی با رعایت اصل شرط عمل متقابل و تصویب شورا خواهد بود.
- ماده 19
- در موارد زیر با حفظ سوابق موجود،گواهی الکترونیکی توسط مرکز میانی صادرکننده آن،ابطال میشود:
الف- درخواست ابطال توسط صاحب گواهی الکترونیکی و یا وکیل قانونی وی.
ب- تخطی صاحب گواهی الکترونیکی از تعهداتش.
پ- احراز صدور گواهی مبتنی بر اظهارات دروغ و اشتباه متقاضی.
ت- مشاهده تخلف صاحب گواهی و یا دفاتر ثبتنام و مرکز میانی از مندرجات این آییننامه.در این صورت مرکز ریشه دستور ابطال گواهی را صادر نماید.
ث- احراز صدور گواهی الکترونیکی که شامل اطلاعات شخص ثالث بوده و گواهی بدون رضایت وی صادر شده باشد.
ج- افشای کلید خصوصی نزد سایر افراد غیر مجاز.
- ماده 20
- تمامی دستگاههای اجرایی مکلفند مطابق برنامه زمانبندی شده ظرف دو سال از زمان ابلاغ این آییننامه فناوری امضای الکترونیکی مطمئن را در فعالیتها و فرایندهای الکترونیکی حوزه عملکرد خود و سازمانهای تابعه مورد استفاده قرار دهند و گزارش عملکرد خود را هر شش(6)ماه یکبار به کمیسیون امور اجتماعی و دولت الکترونیک ارایه نمایند.
1,155