سایر مصوبات دهه سوم بهمن ۱۴۰۲

تاریخ انتشار: 1403/01/26

سایر مصوبات

منتشره از تاریخ

1402/11/21 لغایت 1402/11/30

در روزنامه رسمی جمهوری اسلامی ایران

مصوبات بیست و هشتمین جلسه شورای سیاست‌گذاری گواهی الکترونیکی کشور تاریخ 1401/09/14

منتشره در روزنامه رسمی شماره 22986-1402/11/29

شماره ۱۹۸۰۳۹۱ – ۱۴۰۲/۱۱/۴

جناب آقای دکتر اکبرپور

رئیس محترم هیأت‌مدیره و مدیرعامل روزنامه رسمی جمهوری اسلامی ایران

در راستای اجرای وظایف شورای سیاست‌گذاری گواهی الکترونیکی کشور مطابق با ماده ۳ آیین‌نامه اجرایی ماده ۳۲ قانون تجارت الکترونیکی و ماده ۱۸ آیین‌نامه داخلی این شورا، به پیوست متن مصوبات جلسات ۲۸، ۲۹ و ۳۰ شورای سیاست‌گذاری گواهی الکترونیکی کشور جهت انتشار در شماره آتی روزنامه رسمی کشور ارسال می‌شود.

رئیس شورای سیاست‌گذاری گواهی الکترونیکی کشور ـ عباس علی‌آبادی

مصوبات بیست و هشتمین جلسه شورای سیاست‌گذاری گواهی الکترونیکی کشور تاریخ ۱۴۰۱/۰۹/۱۴

۱. گزارشی از اقدامات انجام‌شده و آخرین وضعیت زیرساخت کلید عمومی در کشور توسط مرکز دولتی ریشه ارائه گردید.

۲. پیرو درخواست تأسیس مرکز میانی بانکی توسط بانک مرکزی جمهوری اسلامی ایران، کلیات سند خط‌مشی مراکز گواهی بانکی جهت ارائه خدمات صدور و مدیریت گواهی الکترونیکی تا کلاس ۳ اطمینان در شبکه بانکی، مورد تصویب قرار گرفت و مجوز راه‌اندازی این مرکز میانی صادر گردید.

۳. در خصوص اعطای مجوز راه‌اندازی مرکز میانی تابعه، ذیل مرکز میانی بانکی مقرر شد، بانک مرکزی علاوه‌بر بانک‌ها، امکان احراز صلاحیت و تأیید شرکت‌های خصوصی متقاضی اخذ مجوز مرکز میانی جهت ارائه خدمات صدور گواهی در شبکه بانکی را داشته باشد. مجوز راه‌اندازی تمامی مراکز میانی ذیل مرکز میانی بانکی توسط مرکز دولتی ریشه و پس از احراز صلاحیت توسط بانک مرکزی و تأیید احراز صلاحیت و تصویب CPS توسط مرکز دولتی ریشه، صادر می‌گردد.

۴. در خصوص احراز صلاحیت متقاضیان راه‌اندازی مرکز میانی خصوصی ذیل مرکز میانی بانکی مقرر شد مرکز میانی بانکی احراز صلاحیت متقاضیان را بر اساس آئین‌نامه احراز صلاحیت مراکز صدور گواهی الکترونیکی خصوصی، مصوب جلسه ۲۴ شورا، انجام داده و پس از پایان ارزیابی، نتیجه ارزیابی را به همراه مستندات و مدارک مربوطه برای مرکز ریشه ارسال نماید و مرکز ریشه پس از بررسی نهایی، گواهینامه احراز صلاحیت متقاضیان را صادر نماید.

۵. در خصوص تصویب اسناد CPS مراکز میانی تابعه مرکز میانی بانکی، به اتفاق آراء تصویب شد: بلافاصله پس از ارسال CPS از سوی مراکز میانی تابعه مرکز میانی بانکی، این سند صرفاً توسط بانک مرکزی جهت بررسی اولیه برای مرکز دولتی ریشه ارسال گردد. پس از اتمام بررسی از سوی بانک مرکزی، می‌بایست نتیجه بررسی مجدداً جهت تصویب نهایی برای مرکز دولتی ریشه ارسال گردد. در صورت تأیید اسناد توسط بانک مرکزی و اعلام رسمی به مرکز دولتی ریشه، مرکز دولتی ریشه می‌بایست حداکثر ظرف مدت یک ماه از زمان دریافت نامه رسمی تأییدیه از بانک مرکزی، نظرات خود را به بانک مرکزی اعلام نماید. عدم دریافت پاسخ از سوی مرکز دولتی ریشه در زمان مذکور به معنی تأیید و تصویب سند CPS خواهد بود. تصویب سند CPS به منزله صدور مجوز راه‌اندازی مرکز میانی است که می‌بایست توسط مرکز دولتی ریشه طی نامه رسمی به بانک مرکزی اعلام گردد. صدور گواهی الکترونیکی برای مراکز میانی تابعه ذیل مرکز میانی بانکی منوط به تأیید نهایی بانک مرکزی است.

۶. مصوب شد کلیه جلسات صدور گواهی مراکز میانی تابعه ذیل مرکز میانی بانکی، مطابق روال موجود و با حضور اعضای کمیته نظارتی شورا انجام شود.

۷. در خصوص ممیزی از مراکز گواهی بانکی، مقرر شد ممیزی‌ از مرکز میانی بانکی هم به صورت پیشینی پیش از آغاز فعالیت و هم به‌صورت پسینی در قالب ممیزی دوره‌ای توسط مرکز ریشه انجام شود. در خصوص مراکز میانی تابعه ذیل مرکز میانی بانکی، مقرر شد ممیزی‌ها هم به صورت پیشینی پیش از آغاز فعالیت و هم به صورت پسینی در قالب ممیزی دوره‌ای توسط مرکز میانی بانکی انجام‌شده و گزارش ممیزی در اختیار مرکز دولتی ریشه قرار گیرد.

۸. مصوب شد بانک مرکزی با توجه به نیازمندی‌های خاص خود یک سند پروفایل گواهی مستقل از سند جامع پروفایل‌های زیرساخت کلید عمومی کشور داشته باشد. مصوب شد نسخه اولیه این سند به تصویب شورا برسد. اصلاحات سند پروفایل می‌بایست به گونه‌ای باشد که مانع تعامل‌پذیری و پذیرش گواهی‌ها در سایر سامانه‌ها نباشد. نسخ به‌روزشده بعدی این سند می‌بایست مورد توافق مرکز دولتی ریشه و مرکز میانی بانکی باشد.

۹. پذیرش کلیه گواهی‌های صادرشده توسط دیگر مراکز میانی ذیل مرکز ریشه، در سامانه‌های بانکی و همچنین پذیرش گواهی‌های صادرشده توسط مراکز گواهی بانکی در دیگر سامانه‌های بهره‌بردار از امضای الکترونیکی الزامی است. زمان‌بندی و نحوه اجرا توسط دبیرخانه شورا و بانک مرکزی توافق می‌شود.

۱۰. در خصوص گواهی‌هایی که قبلاً توسط بانک مرکزی صادر شده است، مقرر شد ارائه خدمات صدور گواهی توسط زیرساخت فعلی نماد (در وضعیت مرکز ریشه) پس از صدور و پذیرش گواهی متعلق به مرکز میانی بانک مرکزی ذیل مرکز میانی بانکی متوقف شود. ارائه خدمات اعلام وضعیت، اعتبارسنجی و ابطال گواهی برای گواهی‌های موجودیت نهایی صادرشده قبلی تا زمان انقضای آنها برقرار خواهد بود.

مصوبات بیست و نهمین جلسه شورای سیاست‌گذاری گواهی الکترونیکی کشور تاریخ 1401/11/11

۱. پیرو تصویب سند “خط‌مشی مراکز گواهی بانکی” و صدور مجوز راه‌اندازی مرکز میانی دولتی بانکی (متعلق به بانک مرکزی ج.ا.ا) در جلسه ۲۸ شورا، موارد زیر در خصوص راه‌اندازی این مرکز میانی مورد تصویب قرار گرفت:

۱ ـ ۱: مقرر شد برای مرکز میانی بانکی یک گواهی الکترونیکی با بازه اعتبار ۷ سال صادر گردد.

۱ ـ ۲: در خصوص ارزیابی سامانه‌ها موارد زیر مورد تصویب قرار گرفت:

الف: مقرر شد ارزیابی سخت‌افزارها و سامانه‌های صدور و مدیریت گواهی الکترونیکی (شامل CA، RA، OCSP و TSA) مورد استفاده در مراکز صدور گواهی و دفاتر ثبت‌نام در آزمایشگاه‌های دارای مجوز افتا و بر اساس شاخص‌های واحد انجام گیرد.

ب: در خصوص سامانه‌های بهره‌بردار از مراکز گواهی بانکی (سامانه‌های PKE)، مقرر شد ارزیابی سامانه‌های حاکمیتی بانک مرکزی با رعایت قوانین و الزامات امنیتی توسط بانک مرکزی انجام شود.

۱ ـ ۳: در خصوص تعرفه صدور گواهی مقرر شد با دعوت‌نامه مرکز، کمیته‌ای موقت ذیل شورا تشکیل شده و پیشنهاد تعرفه جهت به‌روزرسانی تعرفه سطوح ۱ و ۲ اطمینان و تعیین تعرفه سطوح ۳ و ۴ اطمینان، جهت ارائه به هیئت دولت یا مراجع ذی‌صلاح، توسط این کمیته تدوین گردد.

۱ ـ ۴: در خصوص احراز هویت در سطح ۲ اطمینان برای مرکز میانی بانکی، مقرر شد احراز هویت به صورت غیرحضوری با شرط زیر پذیرفته شود:

ـ مشتری در شبکه بانکی احراز هویت شده باشد. (KYC)

۲. اعضاء کمیته نظارتی به مدت یک‌ سال به شرح زیر انتخاب شدند:

۱ ـ مرکز توسعه تجارت الکترونیکی به نمایندگی از وزارت صمت

۲ ـ مرکز مدیریت راهبردی افتا

۳ ـ شورای اجرایی فناوری اطلاعات

۴ ـ سازمان فناوری اطلاعات و ارتباطات کشور

۵ ـ اتاق بازرگانی، صنایع، معادن و کشاورزی ایران

۶ ـ وزارت کشور

۷ ـ نظام صنفی رایانه‌ای کشور

۸ ـ بانک مرکزی ج.ا.ا

مصوبات سی‌امین جلسه شورای سیاست‌گذاری گواهی الکترونیکی کشور تاریخ ۱۴۰۲/۰۸/۲۴

۱. پیرو تصویب سند “خط‌مشی مراکز گواهی بانکی” و صدور مجوز راه‌اندازی مرکز میانی بانکی (متعلق به بانک مرکزی ج.ا.ا) و موضوعات مصوب در جلسات ۲۸ و ۲۹ شورا، موارد زیر در خصوص راه‌اندازی این مرکز میانی مورد تصویب قرار گرفت:

۱ ـ ۱: در خصوص نحوه درج OID در گواهی مرکز میانی بانکی، مراکز میانی تابعه (ذیل مرکز میانی بانکی) و موجودیت‌های نهایی در شبکه بانکی موارد زیر به تصویب رسید:

الف: برای مرکز میانی بانکی یک گواهی با درج هر سه OID مرکز ریشه جهت صدور گواهی در همه سطوح اطمینان بانکی (تا سطح ۳) صادر گردد.

ب: برای گواهی مراکز میانی تابعه (ذیل مرکز میانی بانکی)، یک گواهی با درج هر سه OID مرکز ریشه، جهت صدور گواهی در همه سطوح اطمینان بانکی (تا سطح ۳) + OID مرکز میانی بانکی صادر گردد.

ج: برای موجودیت نهایی، یک گواهی الکترونیکی با دو OID شامل یکی از OID های مرکز دولتی ریشه (به تناسب سطح اطمینان گواهی) و OID مرکز میانی بانکی صادر گردد.

د: مقرر شد ساختار OID مرکز میانی بانکی به شکل زیر تعریف شود:

بخش متغیر OID: این قسمت توسط بانک مرکزی بر اساس نیازمندی‌های موجود قابل تعریف است.

بخش ثابت OID: شناسه جهانی مرکز ریشه

۲.۱۶.۳۶۴.۱۰۱.۱

Iso.country.ir.government.rootca

۱ ـ ۲: با توجه به گزارش ارائه‌شده توسط مرکز دولتی ریشه و جلسات کارشناسی برگزارشده بین این مرکز و بانک مرکزی نسخه ۲.۹ سند “ساختار پروفایل گواهی‌های بانکی” (تاریخ مرداد ۱۴۰۲) مورد تصویب قرار گرفت.

۲. نسخه شماره ۶ سند سیاست‌های گواهی الکترونیکی زیرساخت کلید عمومی کشور مورد بررسی قرار گرفت و ضمن تصویب اصلاحات به شرح پیوست شماره ۱ مقرر شد بخش‌های مختلف سند، متناسب با این مصوبات، اصلاح گردد.

۳. پیشنهاد به‌روزرسانی تعرفه گواهی الکترونیکی به شرح پیوست شماره ۲ مورد تصویب قرار گرفت. مقرر شد اقدامات لازم جهت تصویب تعرفه در مراجع ذی‌صلاح توسط دبیرخانه شورا انجام شود.

۴. با کلیات پیشنهاد احراز هویت غیرحضوری در سطح ۲ اطمینان موافقت گردید. مقرر شد جهت نهایی‌سازی متن این بند در سند CP، کمیته مشورتی متشکل از نمایندگان شورای اجرایی فناوری اطلاعات، افتای ریاست جمهوری، بانک مرکزی ج.ا.ا.، وزارت کشور، سازمان ثبت اسناد و سازمان نظام صنفی رایانه‌ای کشور تشکیل گردد و پیشنهاد مرکز ریشه پس از نهایی‌سازی در این کمیته، به‌عنوان پیوست (پیوست شماره ۳) به این مصوبه اضافه گردد و پس از تصویب در قسمت مربوطه در سند CP درج گردد.

پیوست شماره ۱

۱: مقرر شد تعریف مرکز میانی بانکی به شرح زیر در سند CP اضافه گردد.

مرکز میانی بانکی: مرکز میانی است که مبادرت به ارائه خدمات گواهی الکترونیکی در شبکه بانکی می‌نماید.

تبصره ۱ ـ مرکز میانی بانکی متعلق به بانک مرکزی جمهوری اسلامی ایران است.

تبصره ۲ ـ این مرکز میانی مجاز است نسبت به تدوین سند “خط‌مشی مراکز گواهی بانکی” با تأیید مرکز ریشه و تصویب شورا اقدام نماید.

تبصره ۳ ـ این مرکز میانی مجاز است با رعایت قوانین و مقررات موجود، نسبت به راه‌اندازی مراکز میانی تابعه با تأیید و تصویب مرکز دولتی ریشه، در شبکه بانکی اقدام نماید.

۲: در خصوص الزامات امنیتی پودما‌های رمزنگاشتی موارد به شرح زیر مورد تصویب قرار گرفت:

الف: استاندارد ملی “الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران” به لیست استانداردهای مورد پذیرش حوزه الزامات امنیتی پودمان‌های رمزنگاشتی اضافه گردد،

ب: الزامات امنیتی پودمان‌های رمزنگاشتی در سطوح مختلف اطمینان به شرح زیر به‌روزرسانی گردید:

سطح اطمینان	آخرین نسخه استاندارد ملی یا FIPS ۱۴۰ یا پروفایل‌های حفاظتی متناظر	مراکز صدور گواهی	دفاتر ثبت‌نام	مالکان گواهی
سطح ۱	موردنیاز است.	حداقل الزامات سطح دوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ اعمال شده باشد.	حداقل الزامات سطح اول استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ اعمال شده باشد.	حداقل الزامات سطح اول استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ و یا EAL۲+ اعمال شده باشد.
سطح ۲	موردنیاز است.	حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ اعمال شده باشد.	حداقل الزامات سطح دوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ اعمال شده باشد.	حداقل الزامات سطح اول و ترجیحاً سطح دوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ و یا EAL۳+ اعمال شده باشد.
سطح ۳	موردنیاز است.	حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ اعمال شده باشد.	حداقل الزامات سطح دوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ اعمال شده باشد.	حداقل الزامات سطح دوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ و یا EAL۴+ اعمال شده باشد.
سطح ۴	موردنیاز است.	حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ اعمال شده باشد.	حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ اعمال شده باشد.	حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان‌های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS ۱۴۰ و یا EAL۵+ اعمال شده باشد.

۳: زمان رسیدگی به درخواست‌های صدور گواهی به شرح زیر به‌روزرسانی گردید:

سطح اطمینان	حداکثر فاصله بین درخواست و صدور گواهی
سطح ۱	گواهی‌های کاربران نهایی حداکثر در طی مدت چهار روز از زمان درخواست دفتر ثبت‌نام صادر می‌شوند.
سطح ۲	گواهی‌های کاربران نهایی حداکثر در طی مدت دو روز از زمان درخواست دفتر ثبت‌نام صادر می‌شوند.
سطح ۳	گواهی‌های کاربران نهایی به محض درخواست دفتر ثبت‌نام صادر می‌شوند.
سطح ۴

۴: زمان رسیدگی به درخواست‌های ابطال گواهی به شرح زیر به‌روزرسانی گردید:

سطح اطمینان	مدت رسیدگی به درخواست ابطال توسط مرکز
سطح ۱	 چنانچه درخواست ابطال در ساعات کاری توسط مرکز صدور گواهی دریافت شود، می‌بایست در کمتر از ۲ ساعت پس از دریافت آن، پردازش شود.  چنانچه درخواست ابطال خارج از ساعات کاری توسط مرکز صدور گواهی دریافت شود، می‌بایست در کمتر از ۲۴ ساعت پس از دریافت آن، پردازش شود.
سطح ۲	 چنانچه درخواست ابطال در ساعات کاری توسط مرکز صدور گواهی دریافت شود، می‌بایست در کمتر از ۱ ساعت پس از دریافت آن، پردازش شود.  چنانچه درخواست ابطال خارج از ساعات کاری توسط مرکز صدور گواهی دریافت شود، می‌بایست در کمتر از ۶ ساعت پس از دریافت آن، پردازش شود.
سطح ۳	 چنانچه درخواست ابطال در ساعات کاری توسط مرکز گواهی دریافت شود، می‌بایست بلافاصله پس از دریافت، پردازش شود.===== چنانچه درخواست ابطال خارج از ساعات کاری توسط مرکز گواهی دریافت شود، می‌بایست در کمتر از ۲ ساعت پس از دریافت، پردازش شود.
سطح ۴	درخواست ابطال می‌بایست بلافاصله پس از دریافت آن توسط مرکز صدور گواهی، پردازش گردد.

۵: تناوب صدور لیست گواهی‌های باطله مراکز میانی به شرح زیر به‌روزرسانی گردید:

سطح اطمینان	تناوب صدور لیست گواهی‌های باطل‌شده
سطح ۱	• نسخه به‌روزشده CRL می‌بایست حداقل هر ۲۴ ساعت صادر شود. • در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، می‌بایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به‌روزشده CRL صادر شود.
سطح ۲	• نسخه به‌روزشده CRL می‌بایست حداقل هر ۱۲ ساعت صادر شود. • در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، می‌بایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به‌روزشده CRL صادر شود.
سطح ۳	• نسخه به‌روزشده CRL می‌بایست حداقل هر ۴ ساعت صادر شود. • در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، می‌بایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به‌روزشده CRL صادر شود.
سطح ۴

۶: به‌روزرسانی الزامات هویت‌شناسی برای سطوح ۱، ۳ و ۴ اطمینان به شرح جدول صفحه بعد مورد تصویب قرار گرفت:

سطح اطمینان	نحوه شناسایی
سطح ۱	الزامات هویت‌شناسی جهت درخواست گواهی سطح اول، برای اشخاص وابسته و غیر وابسته به دو صورت حضوری یا غیرحضوری به شرح زیر می‌باشد: احراز هویت حضوری: • در صورت احراز هویت حضوری، ارائه حداقل یک مدرک شناسایی معتبر عکس‌دار (کارت ملی/ شناسنامه) به اضافه مدارک لازم دیگر که با توجه به نوع گواهی و نوع فعالیت در حوزه‌های متفاوت قابل تعریف خواهد بود الزامی است. مراکز میانی می‌بایست در دستورالعمل اجرایی خود روش احراز هویت حضوری و مدرک یا مدارک شناسایی موردنیاز را تشریح نمایند. احراز هویت غیرحضوری: • چنانچه قبلاً برای یک متقاضی، گواهی سطح یک یا گواهی سطح بالاتر صادر شده و گواهی او معتبر باشد و کلید خصوصی متناظر با گواهی در خطر افشا قرار نگرفته باشد، عملیات درخواست گواهی می‌تواند همراه با امضای الکترونیکی یک فرم درخواست گواهی، از طریق کلید متناظر با گواهی قبلی و به صورت غیرحضوری صورت پذیرد. در این حالت مرکز میانی می‌بایست تنها در صورتی عملیات متناظر با درخواست را انجام دهد که امضای الکترونیکی روی درخواست ارائه‌شده و زنجیره گواهی متناظر با موفقیت اعتبارسنجی گردد. در این حالت فرآیند شناسایی درخواست‌کننده گواهی، در دستورالعمل اجرایی مرکز میانی باید توصیف گردد. • احراز هویت می‌تواند به‌صورت غیرحضوری و از طریق روشی غیر از امضای الکترونیکی فرم درخواست گواهی صورت پذیرد (برای مثال زمانی که متقاضی برای بار اول قصد درخواست گواهی داشته باشد و یا گواهی قبلی متقاضی، معتبر نباشد). در این حالت باید از روش احراز هویت قوی دو عامله از طریق عوامل مستقل از هم (شامل عوامل دانستنی، داشتنی و بایومتریک) استفاده شود. در این روش یکی از عوامل احراز هویت می‌بایست عامل هویتی بایومتریک همراه با کنترل زنده بودن و حاضر بودن فرد باشد. مراکز میانی در صورت پشتیبانی از مکانیزم احراز هویت غیرحضوری می‌بایست روش و مکانیزم مورد استفاده را در دستورالعمل اجرایی خود به طور دقیق و شفاف توصیف نمایند.
سطح ۳	الزامات هویت‌شناسی جهت درخواست گواهی سطح سوم، برای اشخاص وابسته و غیر وابسته به شرح زیر می‌باشد: • اشخاص وابسته به صورت حضوری و ارائه ۲ نوع مدرک شناسایی معتبر عکس‌دار که حداقل یکی از آنها شناسنامه/ کارت ملی متقاضی باشد به همراه مدارک نشان‌دهنده وابستگی متقاضی به سازمان. • اشخاص غیروابسته به صورت حضوری و ارائه ۲ نوع مدرک شناسایی معتبر عکس‌دار که حداقل یکی از آنها شناسنامه/ کارت ملی متقاضی باشد به همراه شناسایی بایومتریک شخص حقیقی اصیل. • ارائه درخواست صدور گواهی سطح ۳ به نمایندگی از یک شخص حقیقی دیگر مجاز نمی‌باشد. • شناسایی بایومتریک نماینده سازمان جهت دریافت گواهی‌های سازمانی الزامی نمی‌باشد.
سطح ۴	الزامات هویت‌شناسی جهت درخواست گواهی سطح چهارم، برای اشخاص وابسته و غیر وابسته به شرح زیر می‌باشد: • به صورت حضوری و ارائه ۲ نوع مدرک شناسایی معتبر عکس‌دار (صرفاً شناسنامه و کارت ملی) • شناسایی بایومتریک متقاضی دریافت گواهی • برای اشخاص وابسته: ارائه مدارک نشان‌دهنده وابستگی متقاضی به سازمان • ارائه درخواست صدور گواهی سطح ۴ به نمایندگی از یک شخص دیگر مجاز نمی‌باشد.

۷: در خصوص احراز هویت در رسیدگی به درخواست ابطال گواهی‌های سطح ۳ و ۴ اطمینان مقرر شد امکان احراز هویت غیرحضوری درخواست‌های ابطال گواهی برای این سطوح فراهم گردد. در این حالت می‌بایست احراز هویت مطابق با الزامات احراز هویت غیرحضوری برای سطح دوم اطمینان انجام شود.

۸: ارائه خدمات کنترل برخط وضعیت گواهی (OCSP) برای کلیه سطوح اطمینان الزامی گردید.

۹: حداقل طول کلید گواهی موجودیت نهایی ۲۰۴۸ تعیین گردید.

۱۰: در خصوص مکان فیزیکی مرکز داده مراکز صدور گواهی، موارد زیر تصویب گردید:

در صورتی که مراکز میانی دارای مرکز داده مختص به خود باشند می‌توانند از مرکز داده خود جهت استقرار تجهیزات مختص به فعالیت‌های مرکز صدور گواهی استفاده نماید.

متقاضیان راه‌اندازی مرکز میانی که فاقد مرکز داده هستند می‌توانند از فضای اختصاصی امن و محصور که توسط شرکت‌های ارائه‌دهنده خدمات مرکز داده ارائه می‌شود، جهت استقرار تجهیزات مختص به فعالیت‌های مرکز صدور گواهی استفاده نمایند.

در هر هر دو صورت، استفاده از تجهیزات فناوری اطلاعات اشتراکی جهت انجام وظایف مرکز صدور گواهی مجاز نمی‌باشد.

۱۱: اضافه شدن گواهی‌های الکترونیکی سیستمی و محرمانگی به عنوان کاربردهای مجاز گواهی الکترونیکی در زیرساخت کلید عمومی کشور مورد تصویب قرار گرفت.

پیوست شماره ۲

پیوست شماره ۳

با توجه به تصویب کلیات الزامات احراز هویت غیرحضوری در سطح ۲ اطمینان بر اساس بند ۴ سی‌امین جلسه شورای سیاست‌گذاری گواهی الکترونیکی کشور مورخ ۱۴۰۲/۰۸/۲۴، جلسه کمیته مشورتی شورا تشکیل و موارد زیر به تصویب رسید:

چنانچه هویت متقاضی قبلاً از طریق سازمان ثبت‌احوال کشور به صورت حضوری احراز شده باشد، احراز هویت متقاضی می‌بایست به‌ صورت غیرحضوری با استعلام از سرویس برخورداری شهروندان از کارت هوشمند ملی و از طریق روشی غیر از امضای الکترونیکی فرم درخواست گواهی صورت پذیرد (برای مثال زمانی که متقاضی برای بار اول قصد درخواست گواهی داشته باشد و یا قبلاً برای متقاضی گواهی صادر شده ولی گواهی قبلی متقاضی معتبر نباشد). در این حالت می‌بایست از روش احراز هویت قوی سه عامله از طریق عوامل مستقل از هم (شامل عوامل دانستنی، داشتنی و بایومتریک) استفاده شود. در این روش یکی از عوامل احراز هویت می‌بایست عامل هویتی بایومتریک همراه با کنترل زنده بودن و حاضر بودن فرد باشد. مراکز میانی در صورت پشتیبانی از مکانیزم احراز هویت غیرحضوری می‌بایست روش و مکانیزم مورد استفاده را در دستورالعمل اجرایی خود به طور دقیق و شفاف توصیف نمایند.