31 - آیین‌نامه اجرایی ماده 32 قانون تجارت الکترونیکی

در این آیین‌نامه، اصطلاحات زیر در معانی مشروح مربوط به کار می‌روند:

الف - قانون: قانون تجارت الکترونیک ـ مصوب 1382

ب - شورا: شورای سیاست‌گذاری گواهی الکترونیکی، موضوع ماده 2 این آیین‌نامه

پ - مرکز ریشه: مرکز صدور گواهی الکترونیکی ریشه، موضوع بند (الف) ماده (4) این آیین‌نامه

ت - مرکز میانی: مرکز صدور گواهی الکترونیکی میانی، موضوع بند ب ماده 4 این آیین‌نامه است.

ث - دفاتر ثبت‌نام: دفتر ثبت‌نام گواهی الکترونیکی، موضوع بند پ ماده 4 این آیین‌نامه

ج - گواهی الکترونیکی: داده الکترونیکی، حاوی اطلاعاتی در مورد مرکز صادرکننده گواهی مالک گواهی، تاریخ صدور و انقضا، کلید عمومی مالک و یک شماره‌سریال که توسط مرکز میانی تولیدشده به‌گونه‌ای که هر شخصی می‌تواند به صحت ارتباط بین کلید عمومی و مالک آن اعتماد کند.

چ - داده ایجاد امضای الکترونیکی: داده‌های انحصاری نظیر رمز یا کلید خصوصی که امضاکننده برای ایجاد امضای الکترونیکی از آن استفاده می‌کند.

ج - داده رسی امضای الکترونیکی: داده‌ای نظیر رمز یا کلید عمومی که برای بررسی و صحت امضای الکترونیکی مورداستفاده قرار می‌گیرد.

خ – زوج کلید یا داده‌های ایجاد و وارسی امضای الکترونیکی: کلید خصوصی و کلید عمومی مرتبط با آن در یک رمزنگاری نامتقارن

د – طرف اعتماد کننده: شخصی است که به اعتبار اطلاعات گواهی الکترونیکی اعتماد می‌کند.

ذ – مهر زمانی: اعلامیه‌ای شامل یک امضای الکترونیکی که به‌وسیله مرکز میانی صادرشده و تائید می‌کند که داده‌پیام معین در موقع خاصی به او ارائه‌شده است.

ر – مخزن: یک پایگاه داده ذخیره و انتشار گواهی‌های الکترونیکی و اطلاعات مربوط به آن‌ها جهت بهره‌برداری طرف‌های اعتماد کننده است.

ز – تجهیزات ایجاد و وارسی امضای الکترونیکی: نرم‌افزار و یا سخت‌افزاری که به‌منظور اجرای داده‌های مربوط به ایجاد و وارسی امضای الکترونیکی استفاده می‌شود.

ژ – سیاست‌های گواهی: مجموعه سیاست‌های گواهی الکترونیکی مشتمل بر سیاست‌ها، قوانین و مقررات و روش‌های فنی و حقوقی و ساختاری که مطابق با استانداردهای بین‌المللی تدوین‌شده و حداقل خواسته‌ها و الزامات پیاده‌سازی مراکز صدور گواهی، دفاتر ثبت‌نام، صاحبان امضا و طرف‌های اعتماد کننده را مشخص می‌کند. تدوین این سیاست‌های گواهی برای مرکز ریشه الزامی است و می‌تواند برای مرکز میانی به‌طور جداگانه تنظیم گردد.

س – دستورالعمل گواهی: مجموعه دستورالعمل‌هایی که منطبق با سیاست گواهی جهت تشریح جزئیات عملکرد مدیریت گواهی‌های الکترونیکی در مرکز ریشه و مراکز میانی تدوین می‌گردد.

ش – زیرساخت کلید عمومی: مجموعه‌ای از نرم‌افزارها، سخت‌افزارها، سیاست‌ها، فرآیندها روال‌های موردنیاز برای مدیریت گواهی‌ها و زوج کلیدها

به‌منظور حفظ یکپارچگی و سیاست‌گذاری در حوزه زیرساخت کلید عمومی کشور شورای سیاست‌گذاری گواهی الکترونیکی مرکب از اعضای زیر تشکیل می‌شود:

الف – وزیر بازرگانی یا معاون ذی‌ربط وی (رئیس)

ب – معاون ذی‌ربط وزیر دادگستری

پ – معاون ذی‌ربط وزیر اطلاعات

ت – معاون ذی‌ربط وزیر ارتباطات و فناوری اطلاعات

ث – معاون ذی‌ربط وزیر امور اقتصادی و دارایی

ج – معاون ذی‌ربط وزیر بهداشت، درمان و آموزش پزشکی

چ – معاون ذی‌ربط معاونت برنامه‌ریزی و نظارت راهبردی رئیس‌جمهور

ح – معاون ذی‌ربط رئیس‌کل بانک مرکزی جمهوری اسلامی ایران

خ – رئیس اتاق بازرگانی و صنایع و معدن ایران

د – رئیس سازمان ثبت اسناد و املاک کشور

ذ – رئیس سازمان نظام صنفی رایانه‌ای

ر- دبیر شورای عالی انفورماتیک

ز – دبیر شورای عالی فناوری اطلاعات

ژ – رئیس مرکز توسعه تجارت الکترونیکی وزارت بازرگانی به‌عنوان دبیر شورا (بدون حق رأی)

س- یک تا سه نفر مشاوره خبره با پیشنهاد رئیس و تائید اکثریت سایر اعضای شورا

وظایف شورا به شرح زیر تعیین می‌شود:

الف – بررسی سیاست‌های کلان و برنامه‌های مربوط به حوزه زیرساخت کلید عمومی کشور و ارائه آن به شورای عالی فناوری اطلاعات کشور جهت تصویب

ب – صدور مجوز ایجاد مرکز ریشه

پ- تصویب و به‌روزرسانی سیاست‌ها و دستورالعمل گواهی مراکز ریشه و میانی

ت – تصویب استانداردها، رویه‌ها و دستورالعمل‌های اجرای گواهی الکترونیکی

ث – ایفای نقش به‌عنوان مرجع هماهنگ‌کننده در مورد فعالیت حوزه‌های گوناگون اجرایی برای ارائه خدمات رایانه‌ای صدور گواهی مبتنی بر زیرساخت کلید عمومی و نحوه تعامل مراکز صدور گواهی داخلی با مرکز صدور گواهی خارجی و هرگونه تفسیر یا کاربردپذیری مفاد سیاست‌های گواهی ریشه و میانی

ج – نظارت عالیه و بررسی گزارش عملکرد و تخلفات احتمالی مراکز ریشه و میانی و در صورت لزوم لغو مجوز آن‌ها

سطوح دفاتر خدمات صدور گواهی الکترونیکی موضوع ماده 31 قانون به‌عنوان ارائه‌دهندگان خدمات گواهی الکترونیکی به شرح زیر تعیین می‌شوند:

الف – مرکز دولتی صدور گواهی الکترونیکی ریشه که با کسب مجوز از شورا فعالیت می‌نماید.

تبصره 1- این مرکز وابسته به مرکز توسعه تجارت الکترونیکی، موضوع ماده (80) قانون می‌باشد.

تبصره 2- سیستم بانکی می‌تواند با اخذ مجوز شورا در حوزه نظام بانکی مرکز ریشه مستقل ایجاد نماید که در این صورت مرکز یادشده وابسته به مرکز توسعه تجارت الکترونیکی موضوع این ماده نخواهد بود.

ب – مرکز صدور گواهی الکترونیکی میانی که با کسب مجوز از یک مرکز ریشه، مبادرت به صدور گواهی الکترونیکی نموده و سایر خدمات مربوط به امضای الکترونیکی را انجام می‌دهد.

پ – دفتر ثبت‌نام گواهی الکترونیکی که با کسب مجوز از حداقل یک مرکز میانی نسبت به ثبت و انتقال درخواست متقاضیان در خصوص صدور و لغو گواهی‌ها و سایر امور مربوط به آن‌ها مطابق با ضوابط و دستورالعمل صادره از سوی مراکز میانی که تعهد همکاری با آن‌ها را امضا نموده است اقدام می‌نماید.

وظایف و مسئولیت‌های مرکز ریشه به شرح زیر تعیین می‌شوند:

الف – پیشنهاد سیاست‌ها و دستورالعمل گواهی مرکز ریشه و ارائه به شورا جهت تصویب

ب – اجرای سیاست‌ها و دستورالعمل‌های شورا

پ – بررسی و تصویب سیاست‌ها و دستورالعمل مراکز میانی

ت – بررسی و احراز شرایط لازم و صلاحیت متقاضیان ایجاد مراکز میانی و صدور مجوز برای آن‌ها

ث – حصول اطمینان از ثبت اطلاعات معتبر و مناسب در گواهی‌ها و نگهداری مدارک و شواهد دال بر صحت این اطلاعات

ج – حصول اطمینان از عملکرد صحیح مراکز میانی

چ – ابطال گواهی مراکز میانی که برخلاف تعهداتشان عمل کرده‌اند.

ح – اطلاع رسنی به صاحبان امضا و طرف‌های اعتماد کننده در مورد هرگونه تغییر در کارکرد مرکز میانی

خ – ایجاد و به‌روزرسانی یک مخزن بر خط و اطلاع‌رسانی خدمات آن

مرکز ریشه به‌محض قطع عملیات مرکز میانی و زمانی که فعالیت این مرکز به‌موجب حکم مراجع قضایی و یا دلیل دیگری متوقف شود و همچنین و در صورت لغو مجوز مرکز میانی باید به روش مندرج در بند (خ) ماده (5) این آیین‌نامه و درج در روزنامه رسمی جمهوری اسلامی ایران فهرست گواهی‌های باطل‌شده را منتشر نماید.

تبصره ـ مسئولیت و نحوه پرداخت خسارت بابت ضرر و زیان ناشی از ابطال مرکز میانی به صاحبان امضای الکترونیکی صادرشده از این مرکز و یا به دفاتر ثبت‌نام باید در دستورالعمل گواهی الکترونیکی مرکز و یا در قرارداد منعقدشده بین طرفین قیدشده باشد.

مراکز میانی حسب مورد توسط دستگاه‌های دولتی یا بخش غیردولتی ایجاد می‌شوند و شرایط و ضوابط تأسیس مراکز میانی به شرح زیر تعیین می‌شود:

الف ـ ارائه اساسنامه یا مجوز ثبت از مراجع ذی‌ربط

ب ـ ارائه تقاضا از طرف متقاضی

پ ـ معرفی پنج نفر دارای مدرک تحصیلی مرتبط مورد تائید وزارتخانه‌های علوم، تحقیقات و فناوری و بهداشت، درمان و آموزش پزشکی با شرایط زیر:

سه نفر کارشناس دارای مدرک تحصیلی دانشگاهی و ترجیحاً دارای تجربه فعالیت مرتبط.

دو نفر با مدرک کاردانی در رشته‌های مرتبط با فناوری اطلاعات و ارتباطات یا حداقل سه سال تجربه در حوزه‌های مرتبط با فناوری اطلاعات و ارتباطات همراه با مجوز طی دوره آموزشی از مراکز فنی و حرفه‌ای

ت ـ تأمین مکان فیزیکی مناسب همراه با تجهیزات سخت‌افزاری و نرم‌افزاری لازم اعلام‌شده از سوی مرکز ریشه به‌نحوی‌که امنیت فنی و رمزنگاری را تضمین نماید و مورد تائید بازرسان مرکز ریشه قرارگرفته باشد.

ث ـ ارائه تضمین معتبر متناسب با مبلغ تعیین‌شده توسط مرکز ریشه

ج ـ تدوین سیاست‌ها و دستورالعمل گواهی مرکز

تبصره 1 ـ مراکز ریشه مکلف‌اند ظرف دو ماه نسبت به بررسی تقاضا اقدام و نتیجه را به متقاضیان اعلام نمایند.

تبصره 2 ـ مراکز میانی ایجادشده توسط سازمان‌های دولتی به‌صورت غیرانتفاعی فعالیت خواهند نمود.

تبصره 3 ـ مراکز میانی دولتی از ابتدای سال 1388 مجاز به ارائه خدمات گواهی الکترونیکی به بخش‌های غیردولتی خارج از حوزه فعالیت خود نمی‌باشند.

تبصره 4 ـ اشخاصی که مجوز راه‌اندازی مرکز میانی را با ملاحظه شرایط این ماده اخذ می‌نمایند مکلف‌اند ظرف شش ماه از تاریخ صدور مجوز نسبت به تأسیس مرکز اقدام نمایند. در غیر این صورت مجوز ایشان لغو شده تلقی می‌گردد.

مراکز میانی در حین فعالیت با رعایت مفاد دستورالعمل گواهی، وظایف زیر را به عهده خواهند داشت:

الف ـ بررسی صلاحیت و صدور مجوز برای دفاتر ثبت‌نام ذی‌ربط

ب ـ تضمین ارائه خدمات صدور و لغو گواهی‌ها به‌صورت مطمئن

پ ـ تضمین ارائه خدمات تائید صحت گواهی‌ها به‌صورت سریع و مطمئن

ت ـ تضمین محرمانه بودن داده‌های مربوط به امضا در فرآیند ایجاد این داده‌ها برای جلوگیری از شبیه‌سازی گواهی‌ها

ث ـ حصول اطمینان نسبت به موارد زیر:

در لحظه صدور گواهی الکترونیکی، اطلاعات مندرج در گواهی‌ها صحیح باشند.

در هنگام صدور گواهی الکترونیکی، امضاکننده مشخص‌شده در گواهی، داده‌های ایجاد و وارسی امضای الکترونیکی را دریافت نموده و داده ایجاد امضای الکترونیکی تحت کنترل انحصاری وی باشد.

کلیه اطلاعات مرتبط با گواهی الکترونیکی را تا مدت‌زمان تعیین‌شده در دستورالعمل گواهی به‌صورت الکترونیکی حفظ نماید

تاریخ و ساعت صدور و لغو یک گواهی به‌دقت تعیین‌شده و قابل‌تشخیص باشد.

عدم کپی یا ذخیره داده ایجاد امضای الکترونیکی متقاضیان را تضمین نماید.

گواهی قابل‌دسترسی برای عموم نباشد، جز در مواردی که صاحبان گواهی‌ها رضایت خود را اعلام کرده‌اند یا نوع گواهی انتشار عمومی را ایجاب نماید.

در صورت امکان مرکز میانی و با دریافت درخواست دفتر ثبت‌نام، یک مهر زمانی به داده‌های الکترونیکی ضمیمه شود

تبصره 1 ـ هر مرکز میانی موظف است فهرستی از گواهی‌هایی را که توسط آن مرکز صادر می‌شود با ذکر تاریخ صدور، نام صاحب گواهی و نوع گواهی تهیه و منتشر نماید. اطلاعات مزبور باید در جایگاه اینترنتی مربوط درج گردد.

تبصره 2 ـ مرکز میانی بر عملکرد دفاتر ثبت‌نام طرف قرارداد خود نظارت داشته و در صورت احراز تخلف طبق ضوابط با آن برخورد کرده و در صورت لزوم با رعایت تمهیدات پیش‌بینی‌شده در دستورالعمل گواهی نسبت به لغو مجوز دفتر ثبت‌نام متخلف اقدام خواهد نمود.

مجوز مراکز میانی به‌طور ادواری، مطابق با سیاست‌های گواهی و با ملاحظه شرایط و تحولات فناوری‌های جدید و پس از احراز مجدد صلاحیت متقاضیان، توسط مرکز ریشه قابل تمدید می‌باشد.

مجوز مراکز میانی صرفاً با تائید مرکز ریشه با ملاحظه شرایط مقرر در این آیین‌نامه و دستورالعمل گواهی قابل واگذاری به غیر خواهد بود.

کلیه مؤسسات اعم از دولتی یا غیردولتی می‌توانند در حوزه فعالیت داخلی خود بدون اخذ مجوز از مرکز ریشه مبادرت به ثبت و صدور گواهی نمایند. گواهی‌هایی که به این صورت صادر می‌شود خارج از شمول مقررات این آیین‌نامه بوده و امضاهایی که به‌وسیله این گواهی‌ها تائید می‌شوند خارج از موضوع ماده (10) قانون و صرفاً قابل استفاده در همان مؤسسات خواهد بود.

دفاتر ثبت‌نام می‌توانند بنا به مورد توسط اشخاص حقیقی یا حقوقی اعم از دولتی یا غیردولتی ایجاد شوند. اشخاص حقیقی و نیز صاحبان اشخاص حقوقی متقاضی دریافت مجوز راه‌اندازی دفاتر ثبت‌نام در کشور باید دارای شرایط زیر باشند:

الف ـ تابعیت جمهوری اسلامی ایران

ب ـ تدین و عاملیت به احکام اسلام یا پیروی از ادیان به رسمیت شناخته‌شده در قانون اساسی

پ ـ نداشتن پیشینه کیفری

ت ـ عدم تجاهر به فسق و داشتن صلاحیت اخلاقی و حسن سابقه

ث ـ عدم اعتیاد به مواد مخدر

ج ـ انجام خدمت وظیفه عمومی یا معافیت دائم

چ ـ دارا بودن حداقل مدرک کاردانی مورد تائید وزارتخانه‌های علوم، تحقیقات و فناوری و بهداشت، درمان و آموزش پزشکی

ح ـ ارائه ضمانت معتبر

خ ـ داشتن سابقه کار حداقل سه سال متوالی یا پنج سال متناوب مورد تائید مرکز میانی در بخش‌های مرتبط با فناوری اطلاعات

تبصره 1 ـ نوع و میزان ضمنان معتبر بر اساس دستورالعمل دفاتر صدور گواهی الکترونیکی میانی پیش‌بینی می‌شود.

تبصره 2 ـ شعب بانک‌ها به‌عنوان دفاتر ثبت‌نام مراکز میانی تحت نظارت مرکز ریشه نظام بانکی از شمول این ماده و ماده (14) مستثنا هستند.

تبصره 3 ـ اشخاصی که مبادرت به اخذ مجوز راه‌اندازی دفتر ثبت با ملاحظه شرایط این ماده می‌نمایند مکلف‌اند ظرف چهار ماه از تاریخ صدور مجوز نسبت به تأسیس دفتر اقدام نمایند. در غیر این صورت مجوز مذکور لغو شده تلقی می‌گردد.

تبصره 4 ـ متقاضی تأسیس دفتر ثبت‌نام موظف به تأمین مکان فیزیکی مناسب مطابق دستورالعمل گواهی میانی طرف قرارداد و تهیه و نصب تابلو با درج شماره مجوز دریافتی از مرکز یا مراکز میانی طرف قرارداد می‌باشد.

وظایف دفاتر ثبت‌نام به شرح زیر می‌باشد:

الف ـ انجام عملیات مطابق با دستورالعمل گواهی مرکز میانی مربوط

ب ـ احراز هویت و تصدیق مدارک ارائه‌شده متقاضی دریافت خدمات گواهی

پ ـ ارسال درخواست متقاضی همراه با مدرک مربوطه به مرکز میانی مربوط

ت ـ دریافت گواهی صادرشده از مرکز میانی مربوطه و تحویل به متقاضی

مجوز دفاتر ثبت‌نام حداکثر برای سه سال صادر می‌شود. این مجوز مطابق با دستورالعمل گواهی میانی و با لحاظ شرایط و تحولات فناوری‌های نوین پس از احراز صلاحیت متقاضیان توسط مراکز میانی قابل تمدید خواهد بود.

دفاتر ثبت‌نام موظف‌اند هنگام ثبت‌نام متقاضی گواهی الکترونیکی، امضای شخص را برای صحت اطلاعات ارائه‌شده (املایی و محتوایی) اخذ نموده و وی را از نحوه و شرایط دقیق استفاده از گواهی‌ها، ازجمله محدودیت‌های حاکم بر استفاده، خدمات و شیوه‌های طرح و پیگیری دعوی مطابق سیاست‌ها و دستورالعمل گواهی میانی آگاه سازند.

حق‌الثبت دفاتر ثبت‌نام، بر اساس نوع گواهی و خدمات ارائه‌شده به متقاضیان با رعایت مقررات بر اساس تعرفه‌ای که بنا به پیشنهاد شورا به تصویب هیئت‌وزیران می‌رسد تعیین می‌شود.

به‌منظور حفظ محرمانه بودن و غیرقابل دستیابی بودن داده‌های ایجاد امضای الکترونیکی از طریق استنتاج، مراکز میانی مکلف‌اند از تجهیزات و روش‌هایی استفاده کنند که داده‌های ایجاد امضای الکترونیکی مورداستفاده برای امضای الکترونیکی بیش از یک‌بار استفاده‌نشده و در مقابل هرگونه شبیه‌سازی از طریق ابزارهای فنی محافظت و در برابر استفاده آن توسط اشخاص ثالث به نحوه اطمینان بخشی محافظت شوند.

تبصره ـ این تجهیزات و روش‌ها نباید داده‌های لازم برای امضا را تغییر دهد و باید تضمین نماید که این داده‌ها قبل از طی فرآیند امضا در اختیار امضاکننده قرار نگیرد.

اعتبار و پذیرش گواهی الکترونیکی صادره از مراجع صدور گواهی خارجی، مشروط به توافق دوجانبه بین مرکز ریشه کشور و مرجع صدور گواهی کشور خارجی با رعایت اصل شرط عمل متقابل و تصویب شورا خواهد بود.

 در موارد زیر با حفظ سوابق موجود، گواهی الکترونیکی توسط مرکز میانی صادرکننده آن، ابطال می‌شود:

الف ـ درخواست ابطال توسط صاحب گواهی الکترونیکی و یا وکیل قانونی وی.

ب ـ تخطی صاحب گواهی الکترونیکی از تعهداتش.

پ ـ احراز صدور گواهی مبتنی بر اظهارات دروغ و اشتباهات متقاضی

ت ـ مشاهده تخلف صاحب گواهی و یا دفاتر ثبت‌نام و مرکز میانی از مندرجات این آیین‌نامه. در این صورت مرکز ریشه دستور ابطال گواهی را صادر نماید.

ث ـ احراز صدور گواهی الکترونیکی که شامل اطلاعات شخص ثالث بوده و گواهی بدون رضایت وی صادرشده باشد.

ج ـ افشای کلید خصوصی نزد سایر افراد غیرمجاز

تمامی دستگاه‌های اجرایی مکلف‌اند مطابق برنامه زمان‌بندی‌شده ظرف دو سال از زمان ابلاغ این آیین‌نامه فناوری امضای الکترونیکی مطمئن را در فعالیت‌ها و فرایندهای الکترونیکی حوزه عملکرد خود و سازمان‌های تابعه مورداستفاده قرار دهند و گزارش عملکرد خود را هر شش (6) ماه یکبار به کمیسیون امور اجتماعی و دولت الکترونیک ارائه نمایند.

این مصوبه در تاریخ 21/6/86 با شماره 98986/ت 31819 هـ از سوی معاون اول رئیس‌جمهور برای اجرا ابلاغ شده است.