【法規名稱】
。♬簡讀版
【發布日期】93.07.16【發布機關】行政院
1‧ 中華民國九十一年一月二十五日經濟部(91)經商字第0900227400號函訂定發布全文48點;並自九十一年四月一日起施行
2‧ 中華民國九十三年七月十六日經濟部經商字第09302114960號令發布廢止
第二章 識別及鑑別程序 §20
第三章 營運規範 §25
第四章 非技術性安全控管 §34
第五章 技術性安全控管 §37
第六章 格式剖繪 §45
第七章 憑證實務作業基準之維護 §47
本應載明事項依電子簽章法第十一條第二項之規定訂定之。
本應載明事項用辭之定義如下:
(一)保證:指得據以信賴該個體已符合特定安全要件之基礎。
(二)保證等級:指在具相對性保證層級中之某一級數。
(三)憑證政策:指為指明某一憑證所適用之對象或情況所列舉之一套規則,該對象或情況可為特定之社群或具共同安全需求之應用。
(四)物件識別碼:指一種以字母或數字組成之唯一識別碼,該識別碼必須依國際標準組織所訂定之註冊標準加以註冊,並可被用以識別唯一與之對應之憑證政策;憑證政策修訂時,其物件識別碼不必然隨之變更。
(五)用戶:指憑證中所命名或識別之主體,且其持有與憑證中所載公開金鑰相對應之私密金鑰者。
(六)信賴憑證者:指信賴所收受之憑證及得以憑證中所載公開金鑰加以驗證之數位簽章者,或信賴憑證中所命名主體之身分(或其他屬性)及憑證所載公開金鑰之對應關係者。
(七)註冊中心:指負責確認憑證申請人之身分或其他屬性,但不簽發憑證亦不管理憑證者。註冊中心是否單獨為其行為負責及其應負責任之範圍,依所適用之憑證政策或協議定之。
(八)儲存庫:指用以儲存與供檢索憑證或其他憑證相關資訊之值得信賴系統。
(九)憑證廢止清冊:指由憑證機構以數位方式簽章,並可供信賴憑證者使用之已廢止憑證表列。
憑證機構應於其憑證實務作業基準(以下簡稱作業基準)之首頁摘要載明足以影響用戶或信賴憑證者對於憑證之信賴之重要事項,並應包括下列項目:
(一)主管機關核定文號。
(二)所簽發之各種類憑證,其保證等級及適用範圍等重要特徵。
(三)有關法律責任之重要事項。
憑證機構如支援特定之憑證政策,應指明該等政策,並提供該憑證政策之物件識別碼。
憑證機構應於其作業基準中識別參與認證服務運作及維持之主要成員及其角色,並應包括下列項目:
(一)擔任憑證機構者。
(二)是否設有註冊中心;如設有註冊中心,註冊中心與憑證機構間之關係。
(三)用戶及信賴憑證者之資格。
(四)以委外方式提供之主要認證服務。
憑證機構對於憑證之適用範圍應於其作業基準中載明下列項目:
(一)所發各種憑證適合之應用。
(二)表列所發憑證使用上之限制。
(三)表列所發憑證禁止使用之情況。
憑證機構應於其作業基準中載明至少一個聯絡電話、郵遞地址及電子郵件信箱,以供用戶或信賴憑證者報告遺失金鑰等事件。
憑證機構應於其作業基準中載明該機構及註冊中心就其所提供服務所承擔之職責和義務。
憑證機構應於其作業基準中載明下列憑證用戶應盡之義務:
(一)確保在申請憑證時所提供之資訊正確無誤。
(二)安全的產製並保管其私密金鑰。
(三)遵守對於金鑰及憑證使用之限制。
(四)就私密金鑰資料外洩或遺失作出通知。
憑證機構應於其作業基準中載明該機構所支援之憑證政策內所列之用戶義務重要規定。
憑證機構應於其作業基準中載明下列信賴憑證者之注意事項:
(一)驗證數位簽章之責任。
(二)僅於憑證使用目的範圍內信賴該憑證。
(三)查驗憑證狀態(是否廢止或暫時停用)。
(四)了解並同意有關憑證機構法律責任之條款。
憑證機構應於其作業基準中載明該機構就提供儲存庫服務所承擔之義務,並應包括下列事項:
(一)正確並及時公布憑證目前狀態相關資訊之義務。
(二)保障儲存庫之安全,並進行存取控制。
(三)儲存庫資訊之可接取狀態及可用性。
憑證機構應針對所提供之各種憑證於其作業基準中分別載明任何與分擔法律責任有關之條款,並應包括下列事項:
(一)在用戶或其他有權提出廢止或暫時停用憑證要求者提出要求後,至該機構實際廢止或暫時停止憑證時止之期間內,有關憑證被用以進行交易或其他活動時之處理方法。
(二)設有註冊中心者,憑證機構與註冊中心間之責任分擔。
憑證機構應於其作業基準中載明該機構所支援之憑證政策內所列有關法律責任之重要規定。
憑證機構應於其作業基準中載明與該機構及其他任何在作業基準內識別之成員之財務責任有關事項,並應包括下列事項:
(一)憑證機構就其可能或實際發生之賠償責任所提供之財務保證。
(二)憑證機構就其經營及責任是否加入任何保險。
(三)憑證機構是否經由第三人進行財會稽核。
憑證機構應於其作業基準中載明就所提供之認證服務或憑證之使用所生紛爭之處理程序、適用法律及用戶是否得請求退費;用戶得請求退費者,並應載明請求退費之程序。
憑證機構應於其作業基準中載明一查詢方法,以供查詢其所發出之每一種憑證之申請、簽發、更新、廢止、查詢憑證狀態及其他認證相關服務可能收取之所有費用。
憑證機構應於其作業基準中載明公布作業基準、憑證政策、所發憑証、憑證狀態等資訊之方法、頻率及儲存庫使用相關程序。
憑證機構應於其作業基準中載明所實施之稽核或其他評核方法,並應包括下列項目:
(一)稽核或其他評核之頻率。
(二)進行稽核或評核人員之身分及資格。
(三)稽核或評核人員中立性之確保(與憑證機構之關係)。
(四)稽核或評核之範圍。
(五)對於稽核或評核結果之因應方式。
(六)相關稽核或評核報告公開之範圍及方法。
憑證機構應於其作業基準中載明其保護用戶個人資料及維持資訊保密之方法,包括:
(一)認證服務過程中可能取得之個人資料類型及取得方法。
(二)將保持機密之資料種類。
(三)非屬機密資料之種類。
(四)資訊之商業應用:憑證機構、註冊中心或其他參與認證服務之成員而可能取得用戶、信賴憑證者之相關資訊者,對於該等資訊之內部或外部應用,包括安全性、程序及契約上之限制。
(五)個人資料與機密資訊可能公開之範圍、程序及通知方法。
憑證機構應於其作業基準中載明憑證、憑證政策、作業基準、憑證狀態相關資訊、名稱及金鑰等之智慧財產權。
。♬簡讀版
廢:憑證實務作業基準應載明事項
【發布日期】93.07.16【發布機關】行政院
【法規沿革】
【章節索引】
第一章 總則 §1第二章 識別及鑑別程序 §20
第三章 營運規範 §25
第四章 非技術性安全控管 §34
第五章 技術性安全控管 §37
第六章 格式剖繪 §45
第七章 憑證實務作業基準之維護 §47
【法規內容】
第一章 總 則
第1項
本應載明事項依電子簽章法第十一條第二項之規定訂定之。
第2項
本應載明事項用辭之定義如下:
(一)保證:指得據以信賴該個體已符合特定安全要件之基礎。
(二)保證等級:指在具相對性保證層級中之某一級數。
(三)憑證政策:指為指明某一憑證所適用之對象或情況所列舉之一套規則,該對象或情況可為特定之社群或具共同安全需求之應用。
(四)物件識別碼:指一種以字母或數字組成之唯一識別碼,該識別碼必須依國際標準組織所訂定之註冊標準加以註冊,並可被用以識別唯一與之對應之憑證政策;憑證政策修訂時,其物件識別碼不必然隨之變更。
(五)用戶:指憑證中所命名或識別之主體,且其持有與憑證中所載公開金鑰相對應之私密金鑰者。
(六)信賴憑證者:指信賴所收受之憑證及得以憑證中所載公開金鑰加以驗證之數位簽章者,或信賴憑證中所命名主體之身分(或其他屬性)及憑證所載公開金鑰之對應關係者。
(七)註冊中心:指負責確認憑證申請人之身分或其他屬性,但不簽發憑證亦不管理憑證者。註冊中心是否單獨為其行為負責及其應負責任之範圍,依所適用之憑證政策或協議定之。
(八)儲存庫:指用以儲存與供檢索憑證或其他憑證相關資訊之值得信賴系統。
(九)憑證廢止清冊:指由憑證機構以數位方式簽章,並可供信賴憑證者使用之已廢止憑證表列。
第3項
憑證機構應於其憑證實務作業基準(以下簡稱作業基準)之首頁摘要載明足以影響用戶或信賴憑證者對於憑證之信賴之重要事項,並應包括下列項目:
(一)主管機關核定文號。
(二)所簽發之各種類憑證,其保證等級及適用範圍等重要特徵。
(三)有關法律責任之重要事項。
第4項
憑證機構如支援特定之憑證政策,應指明該等政策,並提供該憑證政策之物件識別碼。
第5項
憑證機構應於其作業基準中識別參與認證服務運作及維持之主要成員及其角色,並應包括下列項目:
(一)擔任憑證機構者。
(二)是否設有註冊中心;如設有註冊中心,註冊中心與憑證機構間之關係。
(三)用戶及信賴憑證者之資格。
(四)以委外方式提供之主要認證服務。
第6項
憑證機構對於憑證之適用範圍應於其作業基準中載明下列項目:
(一)所發各種憑證適合之應用。
(二)表列所發憑證使用上之限制。
(三)表列所發憑證禁止使用之情況。
第7項
憑證機構應於其作業基準中載明至少一個聯絡電話、郵遞地址及電子郵件信箱,以供用戶或信賴憑證者報告遺失金鑰等事件。
第8項
憑證機構應於其作業基準中載明該機構及註冊中心就其所提供服務所承擔之職責和義務。
第9項
憑證機構應於其作業基準中載明下列憑證用戶應盡之義務:
(一)確保在申請憑證時所提供之資訊正確無誤。
(二)安全的產製並保管其私密金鑰。
(三)遵守對於金鑰及憑證使用之限制。
(四)就私密金鑰資料外洩或遺失作出通知。
憑證機構應於其作業基準中載明該機構所支援之憑證政策內所列之用戶義務重要規定。
第10項
憑證機構應於其作業基準中載明下列信賴憑證者之注意事項:
(一)驗證數位簽章之責任。
(二)僅於憑證使用目的範圍內信賴該憑證。
(三)查驗憑證狀態(是否廢止或暫時停用)。
(四)了解並同意有關憑證機構法律責任之條款。
第11項
憑證機構應於其作業基準中載明該機構就提供儲存庫服務所承擔之義務,並應包括下列事項:
(一)正確並及時公布憑證目前狀態相關資訊之義務。
(二)保障儲存庫之安全,並進行存取控制。
(三)儲存庫資訊之可接取狀態及可用性。
第12項
憑證機構應針對所提供之各種憑證於其作業基準中分別載明任何與分擔法律責任有關之條款,並應包括下列事項:
(一)在用戶或其他有權提出廢止或暫時停用憑證要求者提出要求後,至該機構實際廢止或暫時停止憑證時止之期間內,有關憑證被用以進行交易或其他活動時之處理方法。
(二)設有註冊中心者,憑證機構與註冊中心間之責任分擔。
憑證機構應於其作業基準中載明該機構所支援之憑證政策內所列有關法律責任之重要規定。
第13項
憑證機構應於其作業基準中載明與該機構及其他任何在作業基準內識別之成員之財務責任有關事項,並應包括下列事項:
(一)憑證機構就其可能或實際發生之賠償責任所提供之財務保證。
(二)憑證機構就其經營及責任是否加入任何保險。
(三)憑證機構是否經由第三人進行財會稽核。
第14項
憑證機構應於其作業基準中載明就所提供之認證服務或憑證之使用所生紛爭之處理程序、適用法律及用戶是否得請求退費;用戶得請求退費者,並應載明請求退費之程序。
第15項
憑證機構應於其作業基準中載明一查詢方法,以供查詢其所發出之每一種憑證之申請、簽發、更新、廢止、查詢憑證狀態及其他認證相關服務可能收取之所有費用。
第16項
憑證機構應於其作業基準中載明公布作業基準、憑證政策、所發憑証、憑證狀態等資訊之方法、頻率及儲存庫使用相關程序。
第17項
憑證機構應於其作業基準中載明所實施之稽核或其他評核方法,並應包括下列項目:
(一)稽核或其他評核之頻率。
(二)進行稽核或評核人員之身分及資格。
(三)稽核或評核人員中立性之確保(與憑證機構之關係)。
(四)稽核或評核之範圍。
(五)對於稽核或評核結果之因應方式。
(六)相關稽核或評核報告公開之範圍及方法。
第18項
憑證機構應於其作業基準中載明其保護用戶個人資料及維持資訊保密之方法,包括:
(一)認證服務過程中可能取得之個人資料類型及取得方法。
(二)將保持機密之資料種類。
(三)非屬機密資料之種類。
(四)資訊之商業應用:憑證機構、註冊中心或其他參與認證服務之成員而可能取得用戶、信賴憑證者之相關資訊者,對於該等資訊之內部或外部應用,包括安全性、程序及契約上之限制。
(五)個人資料與機密資訊可能公開之範圍、程序及通知方法。
第19項
憑證機構應於其作業基準中載明憑證、憑證政策、作業基準、憑證狀態相關資訊、名稱及金鑰等之智慧財產權。
回索引〉〉
第二章 識別及鑑別程序
第20項
憑證機構應於其作業基準中載明憑證機構或註冊中心於註冊及發證時,識別及鑑別憑證申請人之程序,並應載明下列事項:
(一)命名種類。
(二)命名是否具有意義。
(三)解釋不同命名形式的規則。
(四)命名是否具有獨特性。
(五)命名爭議如何解決。
(六)證明擁有與所登記之公開金鑰相對應私密金鑰之方式。
(七)身分鑑別之要件及程序。
第21項
憑證機構應於其作業基準中載明例行性金鑰更換時所採取之識別及鑑別程序。
第22項
憑證機構應於其作業基準中載明憑證被廢止而更換金鑰時所採用之識別及鑑別程序。
第23項
憑證機構應於其作業基準中載明處理廢止憑證請求時之識別及鑑別程序。
第24項
憑證機構如提供憑證暫時停用服務,則應於其作業基準中載明處理憑證暫時停用請求時之識別及鑑別程序。