发布文号: 经商字第09302102450号
中华民国九十三年七月七日经济部经商字第09302102450号令订定发布全文36条;并自发布日施行
第1条 本准则依电子签章法第十一条第二项规定订定之。
第2条 本准则用词之定义如下:
一、保证:指得据以信赖该个体已符合特定安全要件之基础。
二、保证等级:指在具相对性保证层级中之某一级数。
三、凭证政策:指为指明某一凭证所适用之对象或情况所列举之一套规则,该对象或情况可为特定之社群或具共同安全需求之应用。
四、对象识别码:指一种以字母或数字组成之唯一识别码,该识别码必须依国际标准组织所订定之注册标准加以注册,并可被用以识别唯一与之对应之凭证政策;凭证政策修订时,其对象识别码不必然随之变更。
五、用户:指凭证中所命名或识别之主体,且其持有与凭证中所载公开金钥相对应之私密金钥者。
六、信赖凭证者:指信赖所收受之凭证者。
七、储存库:指用以储存及供检索凭证与其它相关凭证信息之系统。
八、凭证废止清册:指由凭证机构以数字方式签署之已废止凭证表列。
九、激活信息:操作密码模块时所要求且必须被保护之金钥以外资料值。
第3条 凭证机构应制作凭证实务作业基准(以下简称作业基准)重要事项置于其作业基准之首页,载明下列事项:
一、主管机关核定文号。
二、所签发凭证之种类。
三、所签发各种凭证之保证等级。
四、所签发各种凭证之适用范围及使用限制。
五、法律责任限制及申请废止凭证处理期间内之责任分担。
六、其作业基准所描述的认证服务是否经第三人稽核或取得任何标章。
第4条 凭证机构应于其作业基准中载明其所支持凭证政策之名称,并提供该凭证政策之对象识别码及应载明补充其作业基准内容之其它重要文件。
第5条 凭证机构应于其作业基准中载明参与认证服务运作及维持之重要成员及其分工;如系以委外方式参与提供服务者,并应载明受任者之名称或资格。
第6条 凭证机构应于其作业基准中载明可供用户或信赖凭证者报告遗失私密金钥等事件及咨询作业基准疑义之联络电话、邮递地址及电子邮件信箱。
第7条 凭证机构应于其作业基准中载明下列用户应注意事项:
一、确保在申请凭证时所提供之信息正确无误。
二、用户需自行产制金钥时,安全的产制并保管其私密金钥。
三、遵守对于金钥及凭证之使用限制。
四、就私密金钥资料外泄或遗失等事件作出通知。
第8条 凭证机构应于其作业基准中载明下列信赖凭证者之注意事项:
一、验证数字签章之责任。
二、仅于凭证使用目的范围内信赖该凭证。
三、查验凭证状态。
四、了解有关凭证机构法律责任之条款。
第9条 凭证机构就信息之公布及储存库之维护及营运应载明下列事项:
一、凭证、凭证状态、凭证实务作业基准及凭证政策等信息之公布方法。
二、前揭信息公布之频率或时间。
三、储存库之接取控管。
第10条 凭证机构应于其作业基准中载明作业基准变更时通知之方法。
第11条 凭证机构应于其作业基准中载明下列财务责任事项:
一、凭证机构就其可能或实际发生之赔偿责任所提供之财务保证。
二、凭证机构就其经营是否加入任何保险。
三、凭证机构是否经由第三人进行财会稽核。
第12条 凭证机构应于其作业基准中载明就所提供之认证服务或凭证之使用所生纠纷之处理程序及所适用之法律。
第13条 凭证机构应于其作业基准中载明用户是否得请求退费;用户得请求退费者,并应载明请求退费之程序。
第14条 凭证机构应于其作业基准中载明下列稽核或评核事项:
一、稽核或评核之频率。
二、进行稽核或评核人员之资格。
三、稽核或评核人员中立性之确保。
四、稽核或评核之范围。
五、对于稽核或评核结果之因应方式。
六、稽核或评核报告公开之范围及方法。
第15条 凭证机构应于其作业基准中载明其所保护用户个人资料之种类及维持信息保密之方法:
一、应为机密信息之种类。
二、个人数据保护之相关事项。
第16条 凭证机构应于其作业基准中载明所采用之命名规则。
第17条 凭证机构应于其作业基准中载明申请人证明拥有与所登记之公开金钥相对应私密金钥之方式。
第18条 凭证机构应于其作业基准中载明申请人身分鉴别之要件及程序。
第19条 凭证机构应于其作业基准中载明凭证机构于废止凭证及暂时停用凭证申请时,安全识别及鉴别用户之程序。
第20条 凭证机构应于其作业基准中载明申请各种凭证之程序。
第21条 凭证机构应于其作业基准中载明签发凭证、凭证展期及凭证内容修改时,用户接受凭证之程序。
第22条 凭证机构提供凭证暂时停用服务者,应于其作业基准中载明下列事项:
一、得请求暂时停用凭证之事由。
二、凭证机构得径行暂时停用凭证之事由。
三、有权请求暂时停用凭证之人。
四、请求暂时停用凭证之程序。
五、暂时停用之期间。
六、凭证机构处理暂时停用请求之期间。
七、恢复使用凭证之程序。
第23条 凭证机构就凭证之废止应于其作业基准中载明下列事项:
一、得请求废止凭证之事由。
二、凭证机构得径行废止凭证之事由。
三、有权请求废止凭证之人。
四、请求废止凭证之程序。
五、凭证机构处理废止凭证请求之期间。
六、凭证机构发出凭证废止清册之频率。
七、是否提供线上凭证状态查询。
第24条 凭证机构应于其作业基准中载明其所采行之实体、运作程序及人员安全之控管措施。
第25条 凭证机构应于其作业基准中载明下列纪录归档事项:
一、所记录事件之类型,应包括所有验证凭证内容所必须之档案资料。
二、归档保留期间。
三、归档之保护。
四、归档备份程序。
五、纪录对于时戳之要求。
六、纪录文件处理频率。
第26条 凭证机构应于其作业基准中载明下列凭证机构金钥变更时之处理程序:
一、因应验证凭证需求,以原公开金钥验证新公开金钥之处理程序。
二、提供新的公开金钥之方法。
第27条 凭证机构应于其作业基准中载明危害及灾变复原程序之规划。
第28条 凭证机构应于其作业基准中载明下列终止任一凭证签发服务时之处理程序:
一、通知及公告之程序。
二、现行有效凭证之因应处理。
三、纪录档案移交或保管年限。
第29条 凭证机构就金钥对之产制及安装,应于其作业基准中载明下列事项:
一、用户金钥对由谁产制。
二、金钥对非由用户自行产制时,私密金钥如何安全传送予用户。
三、凭证机构公开金钥如何安全传送予用户或信赖凭证者。
四、金钥长度。
五、金钥生成参数及参数品质检验。
六、金钥之使用目的。
第30条 凭证机构就私密金钥保护,应于其作业基准中载明下列事项:
一、密码模块是否符合特定标准。
二、是否采行金钥分持之多人控管。
三、私密金钥是否托管、备份、归档或输入至密码模块;如进行托管、备份、归档或输入至密码模块者,其方法及程序。
四、私密金钥之激活、停用及销毁方式。
第31条 凭证机构应于其作业基准中载明凭证有效期限、公开金钥是否归档及公开金钥与私密金钥各别之使用期限。
第32条 凭证机构应于其作业基准中载明对于激活信息之保护措施。
第33条 凭证机构应于其作业基准中载明所采行之系统软件及网络安全控管措施。
第34条 凭证机构就凭证之格式剖绘应于其作业基准中载明下列事项:
一、版本序号。
二、凭证扩充字段。
三、算法对象识别码。
四、命名形式。
五、命名限制。
六、凭证政策对象识别码。
七、政策限制扩充字段之使用。
八、对关键凭证政策扩充字段之语意处理。
第35条 凭证机构就凭证废止清册之格式剖绘应于其作业基准中载明下列事项:
一、版本序号。
二、凭证废止清册及凭证废止清册扩充字段。
第36条 本准则自发布日施行。