1. پیرو تصویب سند «خط مشی مراکز گواهی بانکی» و صدور مجوز راه اندازی مرکز میانی بانکی (متعلق به بانک مرکزی ج.ا.ا) و موضوعات مصوب در جلسات 28 و 29 شورا، موارد زیر در خصوص راه اندازی این مرکز میانی مورد تصویب قرار گرفت:
1-1: در خصوص نحوه درج OID در گواهی مرکز میانی بانکی، مراکز میانی تابعه (ذیل مرکز میانی بانکی) و موجودیت های نهایی در شبکه بانکی موارد زیر به تصویب رسید:
الف: برای مرکز میانی بانکی یک گواهی با درج هر سه OID مرکز ریشه جهت صدور گواهی در همه سطوح اطمینان بانکی (تا سطح 3) صادر گردد.
ب: برای گواهی مراکز میانی تابعه (ذیل مرکز میانی بانکی)، یک گواهی با درج هر سه OID مرکز ریشه، جهت صدور گواهی در همه سطوح اطمینان بانکی (تا سطح 3) + OID مرکز میانی بانکی صادر گردد.
ج: برای موجودیت نهایی، یک گواهی الکترونیکی با دو OID شامل یکی از OID های مرکز دولتی ریشه (به تناسب سطح اطمینان گواهی) و OID مرکز میانی بانکی صادر گردد.
د: مقرر شد ساختار OID مرکز میانی بانکی به شکل زیر تعریف شود:
| بخش متغیر OID: این قسمت توسط بانک مرکزی بر اساس نیازمندی های موجود قابل تعریف است. | . | بخش ثابت OID: شناسه جهانی مرکز ریشه 2،16،364،101،1-1 Iso.country.ir.government.rootca |
1-2: با توجه به گزارش ارائه شده توسط مرکز دولتی ریشه و جلسات کارشناسی برگزار شده بین این مرکز و بانک مرکزی نسخه 2.9 سند «ساختار پروفایل گواهی های بانکی» (تاریخ مرداد 1402) مورد تصویب قرار گرفت.
2. نسخه شماره 6 سند سیاست های گواهی الکترونیکی زیرساخت کلید عمومی کشور مورد بررسی قرار گرفت و ضمن تصویب اصلاحات به شرح پیوست شماره 1 مقرر شد بخش های مختلف سند، متناسب با این مصوبات، اصلاح گردد.
3. پیشنهاد به روزرسانی تعرفه گواهی الکترونیکی به شرح پیوست شماره 2 مورد تصویب قرار گرفت. مقرر شد اقدامات لازم جهت تصویب تعرفه در مراجع ذی صلاح توسط دبیرخانه شورا انجام شود.
4. با کلیات پیشنهاد احراز هویت غیرحضوری در سطح 2 اطمینان موافقت گردید. مقرر شد جهت نهایی سازی متن این بند در سند CP، کمیته مشورتی متشکل از نمایندگان شورای اجرایی فناوری اطلاعات، افتای ریاست جمهوری، بانک مرکزی ج.ا.ا.، وزارت کشور، سازمان ثبت اسناد و سازمان نظام صنفی رایانه ای کشور تشکیل گردد و پیشنهاد مرکز ریشه پس از نهایی سازی در این کمیته، بهعنوان پیوست (پیوست شماره 3) به این مصوبه اضافه گردد و پس از تصویب در قسمت مربوطه در سند CP درج گردد.
پیوست شماره 1
1: مقرر شد تعریف مرکز میانی بانکی به شرح زیر در سند CP اضافه گردد.
مرکز میانی بانکی: مرکز میانی است که مبادرت به ارائه خدمات گواهی الکترونیکی در شبکه بانکی می نماید.
تبصره 1- مرکز میانی بانکی متعلق به بانک مرکزی جمهوری اسلامی ایران است.
تبصره 2- این مرکز میانی مجاز است نسبت به تدوین سند «خط مشی مراکز گواهی بانکی» با تایید مرکز ریشه و تصویب شورا اقدام نماید.
تبصره 3- این مرکز میانی مجاز است با رعایت قوانین و مقررات موجود، نسبت به راه اندازی مراکز میانی تابعه با تایید و تصویب مرکز دولتی ریشه، در شبکه بانکی اقدام نماید.
2: در خصوص الزامات امنیتی پودماهای رمزنگاشتی موارد به شرح زیر مورد تصویب قرار گرفت:
الف: استاندارد ملی «الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران» به لیست استانداردهای مورد پذیرش حوزه الزامات امنیتی پودمان های رمزنگاشتی اضافه گردد،
ب: الزامات امنیتی پودمان های رمزنگاشتی در سطوح مختلف اطمینان به شرح زیر به روزرسانی گردید:
| سطح اطمینان | آخرین نسخه استاندارد ملی یا FIPS 140 یا پروفایل های حفاظتی متناظر | مراکز صدور گواهی | دفاتر ثبت نام | مالکان گواهی |
| سطح 1 | مورد نیاز است. | حداقل الزامات سطح دوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 اعمال شده باشد. | حداقل الزامات سطح اول استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 اعمال شده باشد. | حداقل الزامات سطح اول استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 و یا EAL2+ اعمال شده باشد. |
| سطح 2 | مورد نیاز است. | حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 اعمال شده باشد. | حداقل الزامات سطح دوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 اعمال شده باشد. | حداقل الزامات سطح اول و ترجیحاً سطح دوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 و یا EAL3+ اعمال شده باشد. |
| سطح 3 | مورد نیاز است. | حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 اعمال شده باشد. | حداقل الزامات سطح دوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 اعمال شده باشد. | حداقل الزامات سطح دوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 و یا EAL4+ اعمال شده باشد. |
| سطح 4 | مورد نیاز است. | حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 اعمال شده باشد. | حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمان های رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 اعمال شده باشد. | حداقل الزامات سطح سوم استاندارد ملی الزامات امنیتی پودمانهای رمزنگاشتی زیرساخت کلید عمومی ایران یا FIPS 140 و یا EAL5+ اعمال شده باشد. |
3: زمان رسیدگی به درخواست های صدور گواهی به شرح زیر به روزرسانی گردید:
| سطح اطمینان | حداکثر فاصله بین درخواست و صدور گواهی |
| سطح 1 | گواهی های کاربران نهایی حداکثر در طی مدت چهار روز از زمان درخواست دفتر ثبت نام صادر میشوند. |
| سطح 2 | گواهی های کاربران نهایی حداکثر در طی مدت دو روز از زمان درخواست دفتر ثبت نام صادر میشوند. |
| سطح 3 | گواهی های کاربران نهایی به محض درخواست دفتر ثبت نام صادر میشوند. |
| سطح 4 |
4: زمان رسیدگی به درخواست های ابطال گواهی به شرح زیر به روزرسانی گردید:
| سطح اطمینان | مدت رسیدگی به درخواست ابطال توسط مرکز |
| سطح 1 | چنانچه درخواست ابطال در ساعات کاری توسط مرکز صدور گواهی دریافت شود، میبایست در کمتر از 2 ساعت پس از دریافت آن، پردازش شود. چنانچه درخواست ابطال خارج از ساعات کاری توسط مرکز صدور گواهی دریافت شود، میبایست در کمتر از 24 ساعت پس از دریافت آن، پردازش شود. |
| سطح 2 | چنانچه درخواست ابطال در ساعات کاری توسط مرکز صدور گواهی دریافت شود، میبایست در کمتر از 1 ساعت پس از دریافت آن، پردازش شود. چنانچه درخواست ابطال خارج از ساعات کاری توسط مرکز صدور گواهی دریافت شود، میبایست در کمتر از 6 ساعت پس از دریافت آن، پردازش شود. |
| سطح 3 | چنانچه درخواست ابطال در ساعات کاری توسط مرکز گواهی دریافت شود، میبایست بلافاصله پس از دریافت، پردازش شود. چنانچه درخواست ابطال خارج از ساعات کاری توسط مرکز گواهی دریافت شود، میبایست در کمتر از 2 ساعت پس از دریافت، پردازش شود. |
| سطح 4 | درخواست ابطال میبایست بلافاصله پس از دریافت آن توسط مرکز صدور گواهی، پردازش گردد. |
5 : تناوب صدور لیست گواهی های باطله مراکز میانی به شرح زیر به روزرسانی گردید:
| سطح اطمینان | تناوب صدور لیست گواهی های باطل شده |
| سطح 1 | نسخه به روز شده CRL میبایست حداقل هر 24 ساعت صادر شود. در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، میبایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به روز شده CRL صادر شود. |
| سطح 2 | نسخه به روز شده CRL میبایست حداقل هر 12 ساعت صادر شود. · در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، میبایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به روز شده CRL صادر شود. |
| سطح 3 | · نسخه به روز شده CRL میبایست حداقل هر 4 ساعت صادر شود. · در صورتی که دلیل ابطال یک گواهی افشای کلید خصوصی باشد، میبایست بلافاصله پس از دریافت و پردازش درخواست ابطال گواهی توسط مرکز میانی، یک نسخه به روز شده CRL صادر شود. |
| سطح 4 |
6 به روزرسانی الزامات هویت شناسی برای سطوح 1، 3 و 4 اطمینان به شرح جدول صفحه بعد مورد تصویب قرار گرفت:
| سطح اطمینان | نحوه شناسایی |
| سطح 1 | الزامات هویت شناسی جهت درخواست گواهی سطح اول، برای اشخاص وابسته و غیروابسته به دو صورت حضوری یا غیرحضوری به شرح زیر میباشد: احراز هویت حضوری: • در صورت احراز هویت حضوری، ارائه حداقل یک مدرک شناسایی معتبر عکس دار (کارت ملی/ شناسنامه) به اضافه مدارک لازم دیگر که با توجه به نوع گواهی و نوع فعالیت در حوزه های متفاوت قابل تعریف خواهد بود الزامی است. مراکز میانی میبایست در دستورالعمل اجرایی خود روش احراز هویت حضوری و مدرک یا مدارک شناسایی مورد نیاز را تشریح نمایند. احراز هویت غیرحضوری: • چنانچه قبلاً برای یک متقاضی، گواهی سطح یک یا گواهی سطح بالاتر صادر شده و گواهی او معتبر باشد و کلید خصوصی متناظر با گواهی در خطر افشا قرار نگرفته باشد، عملیات درخواست گواهی میتواند همراه با امضای الکترونیکی یک فرم درخواست گواهی، از طریق کلید متناظر با گواهی قبلی و به صورت غیرحضوری صورت پذیرد. در این حالت مرکز میانی میبایست تنها در صورتی عملیات متناظر با درخواست را انجام دهد که امضای الکترونیکی روی درخواست ارائه شده و زنجیره گواهی متناظر با موفقیت اعتبارسنجی گردد. در این حالت فرآیند شناسایی درخواست کننده گواهی، در دستورالعمل اجرایی مرکز میانی باید توصیف گردد. • احراز هویت میتواند به صورت غیرحضوری و از طریق روشی غیر از امضای الکترونیکی فرم درخواست گواهی صورت پذیرد (برای مثال زمانی که متقاضی برای بار اول قصد درخواست گواهی داشته باشد و یا گواهی قبلی متقاضی، معتبر نباشد). در این حالت باید از روش احراز هویت قوی دو عامله از طریق عوامل مستقل از هم (شامل عوامل دانستنی، داشتنی و بایومتریک) استفاده شود. در این روش یکی از عوامل احراز هویت میبایست عامل هویتی بایومتریک همراه با کنترل زنده بودن و حاضر بودن فرد باشد. مراکز میانی در صورت پشتیبانی از مکانیزم احراز هویت غیر حضوری میبایست روش و مکانیزم مورد استفاده را در دستورالعمل اجرایی خود به طور دقیق و شفاف توصیف نمایند. |
| سطح 3 | الزامات هویت شناسی جهت درخواست گواهی سطح سوم، برای اشخاص وابسته و غیروابسته به شرح زیر میباشد: • اشخاص وابسته به صورت حضوری و ارائه 2 نوع مدرک شناسایی معتبر عکس دار که حداقل یکی از آنها شناسنامه/کارت ملی متقاضی باشد به همراه مدارک نشان دهنده وابستگی متقاضی به سازمان. • اشخاص غیروابسته به صورت حضوری و ارائه 2 نوع مدرک شناسایی معتبر عکس دار که حداقل یکی از آنها شناسنامه/کارت ملی متقاضی باشد به همراه شناسایی بایومتریک شخص حقیقی اصیل. • ارائه درخواست صدور گواهی سطح 3 به نمایندگی از یک شخص حقیقی دیگر مجاز نمیباشد. • شناسایی بایومتریک نماینده سازمان جهت دریافت گواهی های سازمانی الزامی نمیباشد. |
| سطح 4 | الزامات هویت شناسی جهت درخواست گواهی سطح چهارم، برای اشخاص وابسته و غیروابسته به شرح زیر میباشد: • به صورت حضوری و ارائه 2 نوع مدرک شناسایی معتبر عکس دار (صرفاً شناسنامه و کارت ملی) • شناسایی بایومتریک متقاضی دریافت گواهی • برای اشخاص وابسته: ارائه مدارک نشان دهنده وابستگی متقاضی به سازمان • ارائه درخواست صدور گواهی سطح 4 به نمایندگی از یک شخص دیگر مجاز نمیباشد. |
7: در خصوص احراز هویت در رسیدگی به درخواست ابطال گواهی های سطح 3 و 4 اطمینان مقرر شد امکان احراز هویت غیرحضوری درخواست های ابطال گواهی برای این سطوح فراهم گردد. در این حالت میبایست احراز هویت مطابق با الزامات احراز هویت غیرحضوری برای سطح دوم اطمینان انجام شود.
8: ارائه خدمات کنترل برخط وضعیت گواهی (OCSP) برای کلیه سطوح اطمینان الزامی گردید.
9: حداقل طول کلید گواهی موجودیت نهایی 2048 تعیین گردید.
10 : در خصوص مکان فیزیکی مرکز داده مراکز صدور گواهی، موارد زیر تصویب گردید:
در صورتی که مراکز میانی دارای مرکز داده مختص به خود باشند میتوانند از مرکز داده خود جهت استقرار تجهیزات مختص به فعالیت های مرکز صدور گواهی استفاده نماید.
متقاضیان راه اندازی مرکز میانی که فاقد مرکز داده هستند میتوانند از فضای اختصاصی امن و محصور که توسط شرکت های ارائه دهنده خدمات مرکز داده ارائه می شود، جهت استقرار تجهیزات مختص به فعالیت های مرکز صدور گواهی استفاده نمایند.
در هر دو صورت، استفاده از تجهیزات فناوری اطلاعات اشتراکی جهت انجام وظایف مرکز صدور گواهی مجاز نمیباشد.
11: اضافه شدن گواهی های الکترونیکی سیستمی و محرمانگی به عنوان کاربردهای مجاز گواهی الکترونیکی در زیرساخت کلید عمومی کشور مورد تصویب قرار گرفت.
پیوست شماره 2
| ردیف | کاربرد گواهی | نوع موجودیت | سطح 1 | سطح 2 | سطح 3 | سطح 4 |
| 1 | احراز هویت | شخص حقیقی مستقل | 300/000 | 800/000 | 1/300/000 | 1/800/000 |
| شخص حقیقی وابسته | 500/000 | 1/000/000 | 1/500/000 | 2/000/000 | ||
| شخص حقوقی | 750/000 | 1/250/000 | 1/750/000 | 2/250/000 | ||
| 2 | امضای الکترونیکی | شخص حقیقی مستقل | 500/000 | 1/000/000 | 1/500/000 | 2/000/000 |
| شخص حقیقی وابسته | 700/000 | 1/200/000 | 1/700/000 | 2/200/000 | ||
| شخص حقوقی | 950/000 | 1/450/000 | 1/950/000 | 2/450/000 | ||
| 3 | محرمانگی | شخص حقیقی مستقل | 1/250/000 | 1/750/000 | 2/250/000 | 2/750/000 |
| شخص حقیقی وابسته | 1/450/000 | 1/950/000 | 2/450/000 | 2/950/000 | ||
| شخص حقوقی | 1/700/000 | 2/200/000 | 2/700/000 | 3/200/000 | ||
| 4 | امضای کد | شخص حقیقی مستقل | 700/000 | 1/200/000 | 1/700/000 | 2/200/000 |
| شخص حقیقی وابسته | 900/000 | 1/400/000 | 1/900/000 | 2/400/000 | ||
| شخص حقوقی | 1/150/000 | 1/650/000 | 2/150/000 | 2/650/000 | ||
| 5 | پست الکترونیکی امن | شخص حقیقی مستقل | 850/000 | 1/350/000 | 1/850/000 | 2/350/000 |
| شخص حقیقی وابسته | 1/050/000 | 1/550/000 | 2/050/000 | 2/550/000 | ||
| شخص حقوقی | 1/300/000 | 1/800/000 | 2/300/000 | 2/800/000 | ||
| 6 | SSL | سرور | 1/350/000 | 1/850/000 | 2/350/000 | 2/850/000 |
| 7 | کاربردهای سیستمی | تجهیزات سخت افرازی/ برنامه های کاربردی | 1/600/000 | 2/100/000 | 2/600/000 | 3/100/000 |
پیوست شماره 3
با توجه به تصویب کلیات الزامات احراز هویت غیرحضوری در سطح 2 اطمینان بر اساس بند 4 سی امین جلسه شورای سیاستگذاری گواهی الکترونیکی کشور مورخ 1402/08/24، جلسه کمیته مشورتی شورا تشکیل و موارد زیر به تصویب رسید:
چنانچه هویت متقاضی قبلاً از طریق سازمان ثبت احوال کشور به صورت حضوری احراز شده باشد، احراز هویت متقاضی میبایست به صورت غیرحضوری با استعلام از سرویس برخورداری شهروندان از کارت هوشمند ملی و از طریق روشی غیر از امضای الکترونیکی فرم درخواست گواهی صورت پذیرد (برای مثال زمانی که متقاضی برای بار اول قصد درخواست گواهی داشته باشد و یا قبلاً برای متقاضی گواهی صادر شده ولی گواهی قبلی متقاضی معتبر نباشد). در این حالت میبایست از روش احراز هویت قوی سه عامله از طریق عوامل مستقل از هم (شامل عوامل دانستنی، داشتنی و بایومتریک) استفاده شود. در این روش یکی از عوامل احراز هویت میبایست عامل هویتی بایومتریک همراه با کنترل زنده بودن و حاضر بودن فرد باشد. مراکز میانی در صورت پشتیبانی از مکانیزم احراز هویت غیر حضوری میبایست روش و مکانیزم مورد استفاده را در دستورالعمل اجرایی خود به طور دقیق و شفاف توصیف نمایند.