תקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו)
תקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו) מתוך
תקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו), התשס״ב–2001
ק״ת תשס״ב, 6. עדכון סכומים: ק״ת תשס״ח, 623; תשס״ט, 292; תש״ע, 394; תשע״א, 485; תשע״ב, 529; תשע״ג, 607; תשע״ד, 542; תשע״ז, 494; תשע״ח, 808; תשע״ט, 1958; תש״ף, 356; תשפ״א, 1476; תשפ״ב, 1675; תשפ״ד, 1234.
בתוקף סמכותי לפי סעיפים 10(א)(3), 20(ב), 24(א)(1), (2), (4) עד (6) ו־(8), ו־(ב)(1) לחוק חתימה אלקטרונית, התשס״א–2001 (להלן – החוק), לענין תקנה 20 [צ״ל: תקנה 21] – באישור שר האוצר לפי סעיף 39ב לחוק יסודות התקציב, התשמ״ה–1985, ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה:
תוכן עניינים
פרק א׳: פרשנות
הגדרות
בתקנות אלה –
”מסמך נהלים“ – כהגדרתו בתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס״ב–2001;
”מעבדה מאושרת“ – מכון התקנים או מי שאושר לענין זה לפי סעיף 12 לחוק התקנים, התשי״ג–1953;
”ת״י“ – תקן ישראלי כמשמעותו בחוק התקנים, התשי״ג–1953;
”תעודת התאמה לתקן“ – אישור מאת מעבדה מאושרת בדבר עמידה בהוראות התקן;
”תקן ISO“ – תקן של הארגון הבין־לאומי לתקינה (International Standards Organization);
”RFC“ – סדרת מסמכים מוכרים של צוות המשימה להנדסת האינטרנט (IETF).
פרק ב׳: בקשה לרישום
בקשת רישום גורם מאשר
גורם המבקש להירשם כגורם מאשר יגיש לאישור הרשם בקשה בכתב בצירוף המסמכים המפורטים להלן:
(1)
עותק של מסמך נהלים שעל פיו הוא פועל;
(2)
תעודת התאמה לת״י 7799 חלקים 1 ו־2;
(3)
תעודה בדבר התאמה לתקן ISO-9000, ואולם הרשם רשאי לקבל במקום תעודה כאמור, אישור בדבר התחלת הליך בדיקת ההתאמה, והתחייבות להשלמת ההליך בתוך שנה מיום הגשת הבקשה לרשם;
(4)
אישור חתום בידי רואה חשבון כי מבקש הרישום מקיים את הוראות פרק ג׳ לענין ערובה וביטוח;
(5)
אישור על רישום בפנקס מאגרי המידע לפי חוק הגנת הפרטיות, התשמ״א–1981;
(6)
הסכמה בכתב לכך שהרשם יקבל, בכל עת ולפי דרישתו, פרטים על מבקש הרישום ועל מי שמועמד להיות מנהל בגורם מאשר, מן המרשם הפלילי, על פי חוק המרשם הפלילי ותקנת השבים, התשמ״א–1981;
(7)
קבלה על תשלום אגרת הרישום, כמפורט בתקנה 21;
(8)
חוות דעת של מבקר לפי כללי ביקורת מקובלים, בדבר נאותות מערכות המידע, מערכות הבקרה ואמצעי האבטחה של מבקש הרישום, והכל להנחת דעתו של הרשם; לענין זה, ”מבקר“ – מי שמתקיימים בו כל אלה:
(א)
יחיד;
(ב)
תושב ישראל;
(ג)
לא הורשע בעבירה אשר מפאת מהותה, חומרתה או נסיבותיה אין זה מן הראוי כי הוא יהיה מבקר;
(ד)
בעל תואר אקדמי ממוסד להשכלה גבוהה בישראל או שהוא רואה חשבון או שהוא עורך דין;
(ה)
בעל הסמכה מקובלת, או בעל ניסיון של חמש שנים רצופות בביקורת מערכות מידע או באבטחת מערכות מידע, הכל להנחת דעתו של הרשם.
פרסום רישומו של גורם מאשר וביטולו
(א)
מיד לאחר רישום מבקש הרישום במרשם, יפרסם הרשם את דבר רישומו באתר אינטרנט שישמש לכך, וכן בשני עיתונים יומיים נפוצים.
(ב)
ביטל הרשם רישום של גורם מאשר, לפי סעיף 14 לחוק, או התלה את תוקפו לפי הסעיף האמור, או הוחלף גורם מאשר על ידי גורם מאשר מחליף לפי תקנה 17, יפרסם הודעה על כך בדרך האמורה בתקנת משנה (א).
דיווח תקופתי
גורם מאשר יגיש לרשם, אחת לשנה מיום רישומו, מסמכים כמפורט להלן:
(1)
מסמכים המעידים על עמידה בביקורת תקופתית על פי ת״י 7799;
(2)
מסמכים המעידים על עמידה בביקורת תקופתית לענין התאמה לתקן ISO-9000;
(3)
אישור חתום בידי רואה חשבון, המעיד על קיום ערבות, ביטוח או ערובה אחרת, ועל סכומיהם ותנאיהם, כנדרש לפי פרק ג׳;
(4)
חוות דעת של מבקר כאמור בתקנה 2(8).
שמירת עותקים
הרשם יותיר בידיו העתק של כל המסמכים שקיבל לצורך רישום גורם מאשר, ויחזיקם למשך 25 שנים לפחות.
פרק ג׳: ערבות, ערובה אחרת וביטוח
ערבות בנקאית וערובה אחרת
(א)
קבע הרשם כי גורם מאשר יפקיד בידיו ערבות בנקאית, תהיה הערבות בסכום של 400,000 שקלים חדשים, לטובת הרשם.
(ב)
הערבות תהיה בלתי מותנית, ולא תהיה ניתנת לביטול, שעבוד או עיקול, אלא לפי תקנות אלה.
(ג)
נוסח כתב הערבות יהיה להנחת דעתו של הרשם.
(ד)
הרשם רשאי, אם ראה כי נסיבות הענין מצדיקות זאת, לשנות את סכום הערבות הבנקאית, מטעמים שיירשמו.
(ה)
גורם מאשר יבטיח כי בכל עת לא יפחת סכום הערבות מהסכום הקבוע בתקנת משנה (א), או מהסכום ששונה לפי תקנת משנה (ד).
(ו)
הרשם רשאי להורות כי במקום ערבות בנקאית, כאמור בתקנת משנה (א), תופקד ערובה אחרת לטובתו; על ערובה אחרת כאמור יחולו הוראות תקנות משנה (ב) עד (ה), בשינויים המחויבים.
ביטוח
(א)
קבע הרשם כי גורם מאשר יערוך ביטוח אחריות מקצועית, אצל מבטח כהגדרתו בחוק הפיקוח על עסקי ביטוח, התשמ״א–1981, הוא יערוך אותו באופן שיכסה תביעות בשל אירועים שאירעו בתקופת הפוליסה, גם אם הוגשו בתוך שנה מתום תקופת הפוליסה.
(ב)
הביטוח יהיה לכיסוי חבותו של הגורם המאשר כלפי מי שנפגע עקב מעשה או מחדל של הגורם המאשר; נוסח פוליסת הביטוח יהיה להנחת דעתו של הרשם.
(ג)
גובה הביטוח יהיה, בכל עת, לפי מספר התעודות האלקטרוניות שהגורם המאשר הנפיק או שהוא מתכוון להנפיק, לפי הגבוה מביניהם, ולפחות לפי הסכומים שלהלן:
(1)
(2)
(3)
(4)
(5)
(6)
מימוש ערובה
(א)
מימוש הערבות הבנקאית, ערובה אחרת שקבע הרשם, או תשלום תגמולי ביטוח, לזכות מי שנפגע ממעשה או מחדל של גורם מאשר בפעילותו לפי סעיף 18 לחוק, יהיה בהתאם לקביעת בית המשפט, אלא אם כן קיים הגורם המאשר את חיובו כלפי הנפגע בדרך אחר
(ב)
בית המשפט יקבע אם הפיצוי יבוא ממימוש הערבות הבנקאית, הערובה האחרת אם ניתנה, מתגמולי הביטוח או מצירוף שלהם.
(ג)
הרשם יממש את הערובה והמבטח ישלם את תגמולי הביטוח כפי שקבע בית המשפט, עם הצגת אחד מאלה:
(1)
פסק דין של בית משפט בתובענה של הנפגע כנגד הגורם המאשר;
(2)
הסכם פשרה בין הנפגע לבין הגורם המאשר, שקיבל תוקף של פסק דין;
(3)
פסק בורר שאישר בית המשפט בסכסוך בין הנפגע לבין הגורם המאשר.
פרק ד׳: ניהול גורם מאשר
תקן
גורם מאשר יקיים את דרישות תקן ISO-9000, ויעמוד בתקן במשך כל זמן פעילותו.
מסמך נהלים
גורם מאשר יפעל על פי מסמך הנהלים כפי שהוגש לאישור הרשם, ולא ישנה אותו שלא באישור הרשם.
פעולות הגורם המאשר
(א)
גורם מאשר יבצע, בישראל, את כל הפעולות הנדרשות לצורך הנפקת תעודה אלקטרונית, ובכלל זה זיהוי המבקש, הנפקת תעודה, וניהול מאגרי תעודות תקפות ובטלות; הרשם רשאי לאשר לגורם מאשר, מנימוקים מיוחדים שיירשמו, לבצע חלק מן הפעולות האמורות מחוץ לישראל, ובתנאים שיורה.
(ב)
גורם מאשר יביא את מסמך הנהלים לידיעת הציבור באופן נוח וזמין, בין השאר באמצעות אתר אינטרנט, בדרך המוגנת באופן סביר מפני חדירה ושיבוש.
(ג)
גורם מאשר ינפיק תעודה רק לאחר שביצע פעולות אלה:
(1)
זיהה את המבקש ובדק את אמצעי אימות החתימה שבידיו, לפי הוראות תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס״ב–2001;
(2)
בדק כי כל הפרטים בבקשה לקבלת תעודה נכונים ומלאים;
(3)
הזהיר את המבקש בדבר הסכנות הכרוכות בשימוש בחתימה אלקטרונית, החובות המוטלות עליו, והמבקש אישר בכתב כי הוזהר כאמור.
איסור הסתמכות
גורם מאשר לא יבצע התקשרויות אלקטרוניות בהסתמך על תעודה אלקטרונית שהוא הנפיק, למעט פעולות הדרושות לצורך הנפקת התעודה, רישומה או ביטולה.
איסור החזקת אמצעי חתימה
גורם מאשר לא יקבל לידיו ולא יחזיק אמצעי חתימה של המבקש, או כל מידע המאפשר שחזור או יצירה של אמצעי חתימה בעבור או במקום המבקש, ולא יהיה בעל גישה לאמצעי החתימה או מידע כאמור.
שימוש בשפה העברית
(א)
המסמכים שנדרש הגורם המאשר לגלותם לציבור יהיו בשפה העברית, ויכול שיהיו, בנוסף, גם בשפה אחרת; לענין זה, ”מסמכים“ – לרבות מסמך נהלים, המידע בתעודות אלקטרוניות לפי סעיף 19 לחוק, ומאגר תעודות אלקטרוניות בטלות.
(ב)
קיום החובה לפי תקנת משנה (א), לענין השפה העברית במערכות התקשורת והמחשבים, יהיה בהתאם לת״י 1489 ולת״י 1500.
פרק ה׳: ניהול מאגרים
ניהול מאגרים
(א)
גורם מאשר ינהל מאגר של תעודות אלקטרוניות בטלות, וכן מאגר נוסף של תעודות אלקטרוניות תקפות ובו תופיע גם תעודתו האלקטרונית של הגורם המאשר.
(ב)
כל אחד ממאגרי התעודות האמורים בתקנת משנה (א) ינוהל ברמת אבטחה גבוהה, להנחת דעתו של הרשם.
(ג)
מאגר התעודות הבטלות יהיה זמין באופן מקוון ומיידי למי שמבקש להסתמך על תעודה אלקטרונית מסוימת; גורם מאשר רשאי להתנות את הגישה למאגרים, ובלבד שהתנאים יהיו גלויים מראש לבעל החתימה ולמסתמך.
(ד)
גורם מאשר רשאי לפרסם תעודות אלקטרוניות בטלות באופן שונה מן האמור בתקנת משנה (ג), ובלבד שקיבל לכך אישור מראש ובכתב מהרשם, ופרסם זאת באתר האינטרנט שלו.
ביטול תעודה
(א)
בבואו לבטל תעודה אלקטרונית לפי הנסיבות האמורות בסעיף 20 לחוק, יפעל הגורם המאשר לאמת את זהות מבקש הביטול או מהימנות הודעת הביטול בהקדם האפשרי, ויבטל את התעודה מיד עם אימות זהות המבקש או הבקשה כאמור.
(ב)
גורם מאשר לא יחדש תעודה שבוטלה, אלא ינקוט הליך להנפקת תעודה חדשה במקומה.
(ג)
אין להתלות תוקף תעודה אלא אם כן קבע הגורם המאשר את העילות להתליה ואת השלכותיה, והביא מידע זה לידיעת הציבור באופן זמין ומקוון.
פגם בפעילות גורם מאשר
(א)
גילה גורם מאשר כי נפל פגם בחתימתו האלקטרונית המאובטחת, או במערכות החומרה והתוכנה שלו, שיש בו כדי לפגוע במהימנותו כאמור בסעיף 20(א)(4) לחוק, יודיע על כך מיד לרשם ולכל מי שהוא הנפיק לו תעודה אלקטרונית הנסמכת על חתימה זו, לרבות באמצעים אלקטרוניים ובפרסום דבר הפגם בשני עיתונים יומיים נפוצים לפחות.
(ב)
הרשם יפרסם מיד את דבר הפגם באתר האינטרנט שלו.
סיום או הפסקת פעילות גורם מאשר
(א)
פורסמה הודעה על פירוק תאגיד שהוא גורם מאשר, או החליט גורם מאשר על הפסקת פעילותו כגורם מאשר, או הודיע הרשם לגורם מאשר כי בכוונתו למחוק את רישומו מן המרשם לפי הוראות סעיף 14 לחוק, ינקוט הגורם המאשר פעולות אלה:
(1)
יימנע מלהנפיק תעודות אלקטרוניות חדשות;
(2)
יבטל בהקדם האפשרי את כל התעודות האלקטרוניות התקפות שהנפיק, יודיע על כך מיד לבעליהן, ויכניסן לרשימת התעודות הבטלות;
(3)
יעביר לידי הרשם את אמצעי החתימה ואמצעי אימות החתימה שלו, וכן העתק מדויק של מאגרי התעודות האלקטרוניות שהנפיק, ומאגר התעודות הבטלות, בתוך 72 שעות ממועד הפסקת פעילות או ממועד מחיקת הרישום, לפי הענין;
(4)
יעביר לידי הרשם העתק מדויק של כל המסמכים שקיבל לצורך הנפקת תעודות אלקטרוניות, בתוך 7 ימים ממועד הפסקת הפעילות או מחיקת הרישום, לפי הענין.
(ב)
על אף האמור בתקנת משנה (א), רשאי גורם מאשר אשר לא קיבל הודעה מאת הרשם בדבר הכוונה למחקו מן המרשם, להעביר את ניהולו לידי גורם מאשר אחר הרשום במרשם (להלן – גורם מאשר מחליף), ובלבד שקיבל לכך את אישור הרשם בכתב; הרשם רשאי להתנות את האישור בתנאים.
(ג)
הפסיק גורם מאשר את פעילותו כאמור, יודיע על כך מיד לכל מי שהוא הנפיק לו תעודה אלקטרונית התקפה בעת הפסקת הפעילות.
(ד)
הגורם המאשר המחליף ימלא את כל זכויותיו וחובותיו של הגורם המאשר שהפסיק את פעילותו, ואולם אם ביקש בעל התעודה לבטל את תעודתו האלקטרונית, יבטלה הגורם המאשר המחליף וינקוט לגביה את הצעדים האמורים בתקנת משנה (א).
(ה)
הרשם ישמור את כל המסמכים, אמצעי החתימה והמאגרים שקיבל לפי תקנת משנה (א), למשך 25 שנים לפחות מיום קבלתם.
פרק ו׳: שונות
חובות תיעוד
על גורם מאשר לנהל מערכת לניהול תצורה ולניהול שינויים בתוכנה, וכן לנהל רישום של כל הפעולות והאירועים הנוגעים לפעילותו, סמוך לזמן האירוע, ובכלל אלה ירשום: זמני הפעלת מערכת המחשב המשמשת לפעילותו כגורם מאשר וכל אחד מיישומיה, וזמני הפסקתם, שינוי סיסמאות, ניסיונות בלתי מורשים לחדור למערכת, ייצור או שינוי מפתחות, הנפקת תעודות וביטולן והרשאות גישה למערכת המחשב.
גיבוי ושמירה
גורם מאשר –
(1)
יבטיח אמצעי גיבוי נאותים, ברמה גבוהה של זמינות, אמינות והגנה מפני אבדן מידע, בהתאם לסוגי המידע, הכל להנחת דעתו של הרשם;
(2)
ישמור מסמכים ומידע שקיבל לפי תקנות אלה, למשך 25 שנים לפחות, בתנאי אחסון המבטיחים הגנה מפני חדירה ושיבוש וכן מפני מפגעים סביבתיים, באמצעים המאפשרים גישה למסמכים ולמידע במשך כל תקופת האחסון.
אגרת רישום [תיקון: [הודעות]]
(א)
בעד רישומו כגורם מאשר ישלם מבקש הרישום, לפני הגשת הבקשה, אגרה בסך 23,000 שקלים חדשים (מתואם לאוגוסט 2001; בשנת 2024, 33,500 ש״ח).
(ב)
ב־1 בינואר של כל שנה (להלן – יום השינוי) ישתנה סכום האגרה הנקוב בתקנת משנה (א), לפי שיעור עליית המדד החדש לעומת המדד היסודי.
(ג)
סכום שהשתנה כאמור, יעוגל לסכום הקרוב שהוא מכפלה של 100 שקלים חדשים.
(ד)
בתקנה זו –
”מדד“ – מדד המחירים לצרכן שמפרסמת הלשכה המרכזית לסטטיסטיקה;
”המדד החדש“ – המדד שפורסם לאחרונה לפני יום השינוי;
”המדד היסודי“ – המדד שפורסם לאחרונה לפני יום השינוי הקודם, ולענין יום השינוי הראשון שלאחר תחילתן של תקנות אלה המדד שפורסם בחודש אוגוסט 2001.
(ה)
החליט הרשם שלא לרשום את מבקש הרישום כגורם מאשר, יחזיר לו את מלוא סכום אגרת הרישום, כשהוא צמוד לשינוי של המדד שפורסם לאחרונה לפני יום ההחזר, לעומת המדד שפורסם לאחרונה לפני יום הגשת הבקשה לרשם.
תחילה
תחילתן של תקנות אלה ביום תחילתו של החוק.
כ״ה באלול התשס״א (13 בספטמבר 2001)
- מאיר שטרית
שר המשפטים
אזהרה: המידע בוויקיטקסט נועד להעשרה בלבד ואין לראות בו ייעוץ משפטי. במידת הצורך היוועצו בעורך־דין.