【现在位置】六法首页 〉〉 超连结法规
【贴心小帮手】(1)免费索取word档(2)PC键盘CTRL+滑鼠滚轮往前滑动,调整放大﹝字型比例﹞100%~400%(3)寻找本页关键字,PC键盘最左下CTRL+﹝F﹞,输入您的关键字(4)PC键盘上方﹝F5﹞重新整理,重载最新页面!

【法规名称】


凭证实务作业基准应载明事项准则

【公布日期】93.07.07 【公布机关】经济部

【法规沿革】
1.中华民国九十三年七月七日经济部经商字第09302102450号令订定发布全文36条;并自发布日施行

【章节索引】
第一章 总则 §1
第二章 识别及鉴别程序 §16
第三章 营运规范 §20
第四章 非技术性安全控管 §24
第五章 技术性安全控管 §29
第六章 格式剖绘 §34

【法规内容】

第一章  总 则

第1条


  本准则依电子签章法第十一条第二项规定订定之。

第2条


  本准则用词之定义如下:
  一、保证:指得据以信赖该个体已符合特定安全要件之基础。
  二、保证等级:指在具相对性保证层级中之某一级数。
  三、凭证政策:指为指明某一凭证所适用之对象或情况所列举之一套规则,该对象或情况可为特定之社群或具共同安全需求之应用。
  四、物件识别码:指一种以字母或数字组成之唯一识别码,该识别码必须依国际标准组织所订定之注册标准加以注册,并可被用以识别唯一与之对应之凭证政策;凭证政策修订时,其物件识别码不必然随之变更。
  五、用户:指凭证中所命名或识别之主体,且其持有与凭证中所载公开金钥相对应之私密金钥者。
  六、信赖凭证者:指信赖所收受之凭证者。
  七、储存库:指用以储存及供检索凭证与其他相关凭证资讯之系统。
  八、凭证废止清册:指由凭证机构以数位方式签署之已废止凭证表列。
  九、启动资讯:操作密码模组时所要求且必须被保护之金钥以外资料值。

第3条


  凭证机构应制作凭证实务作业基准(以下简称作业基准)重要事项置于其作业基准之首页,载明下列事项:
  一、主管机关核定文号。
  二、所签发凭证之种类。
  三、所签发各种凭证之保证等级。
  四、所签发各种凭证之适用范围及使用限制。
  五、法律责任限制及申请废止凭证处理期间内之责任分担。
  六、其作业基准所描述的认证服务是否经第三人稽核或取得任何标章。

第4条


  凭证机构应于其作业基准中载明其所支援凭证政策之名称,并提供该凭证政策之物件识别码及应载明补充其作业基准内容之其他重要文件。

第5条


  凭证机构应于其作业基准中载明参与认证服务运作及维持之重要成员及其分工;如系以委外方式参与提供服务者,并应载明受任者之名称或资格。

第6条


  凭证机构应于其作业基准中载明可供用户或信赖凭证者报告遗失私密金钥等事件及谘询作业基准疑义之联络电话、邮递地址及电子邮件信箱。

第7条


  凭证机构应于其作业基准中载明下列用户应注意事项:
  一、确保在申请凭证时所提供之资讯正确无误。
  二、用户需自行产制金钥时,安全的产制并保管其私密金钥。
  三、遵守对于金钥及凭证之使用限制。
  四、就私密金钥资料外泄或遗失等事件作出通知。

第8条


  凭证机构应于其作业基准中载明下列信赖凭证者之注意事项:
  一、验证数位签章之责任。
  二、仅于凭证使用目的范围内信赖该凭证。
  三、查验凭证状态。
  四、了解有关凭证机构法律责任之条款。

第9条


  凭证机构就资讯之公布及储存库之维护及营运应载明下列事项:
  一、凭证、凭证状态、凭证实务作业基准及凭证政策等资讯之公布方法。
  二、前揭资讯公布之频率或时间。
  三、储存库之接取控管。

第10条


  凭证机构应于其作业基准中载明作业基准变更时通知之方法。

第11条


  凭证机构应于其作业基准中载明下列财务责任事项:
  一、凭证机构就其可能或实际发生之赔偿责任所提供之财务保证。
  二、凭证机构就其经营是否加入任何保险。
  三、凭证机构是否经由第三人进行财会稽核。

第12条


  凭证机构应于其作业基准中载明就所提供之认证服务或凭证之使用所生纠纷之处理程序及所适用之法律。

第13条


  凭证机构应于其作业基准中载明用户是否得请求退费;用户得请求退费者,并应载明请求退费之程序。

第14条


  凭证机构应于其作业基准中载明下列稽核或评核事项:
  一、稽核或评核之频率。
  二、进行稽核或评核人员之资格。
  三、稽核或评核人员中立性之确保。
  四、稽核或评核之范围。
  五、对于稽核或评核结果之因应方式。
  六、稽核或评核报告公开之范围及方法。

第15条


  凭证机构应于其作业基准中载明其所保护用户个人资料之种类及维持资讯保密之方法:
  一、应为机密资讯之种类。
  二、个人资料保护之相关事项。
                                            回索引〉〉

第二章  识别及鉴别程序

第16条


  凭证机构应于其作业基准中载明所采用之命名规则。

第17条


  凭证机构应于其作业基准中载明申请人证明拥有与所登记之公开金钥相对应私密金钥之方式。

第18条


  凭证机构应于其作业基准中载明申请人身分鉴别之要件及程序。

第19条


  凭证机构应于其作业基准中载明凭证机构于废止凭证及暂时停用凭证申请时,安全识别及鉴别用户之程序。
                                            回索引〉〉

第三章  营 运 规 范 

第20条


  凭证机构应于其作业基准中载明申请各种凭证之程序。

第21条


  凭证机构应于其作业基准中载明签发凭证、凭证展期及凭证内容修改时,用户接受凭证之程序。

第22条


  凭证机构提供凭证暂时停用服务者,应于其作业基准中载明下列事项:
  一、得请求暂时停用凭证之事由。
  二、凭证机构得迳行暂时停用凭证之事由。
  三、有权请求暂时停用凭证之人。
  四、请求暂时停用凭证之程序。
  五、暂时停用之期间。
  六、凭证机构处理暂时停用请求之期间。
  七、恢复使用凭证之程序。

第23条


  凭证机构就凭证之废止应于其作业基准中载明下列事项:
  一、得请求废止凭证之事由。
  二、凭证机构得迳行废止凭证之事由。
  三、有权请求废止凭证之人。
  四、请求废止凭证之程序。
  五、凭证机构处理废止凭证请求之期间。
  六、凭证机构发出凭证废止清册之频率。
  七、是否提供线上凭证状态查询。
                                            回索引〉〉

第四章  非技术性安全控管

第24条


  凭证机构应于其作业基准中载明其所采行之实体、运作程序及人员安全之控管措施。

第25条


  凭证机构应于其作业基准中载明下列纪录归档事项:
  一、所记录事件之类型,应包括所有验证凭证内容所必须之档案资料。
  二、归档保留期间。
  三、归档之保护。
  四、归档备份程序。
  五、纪录对于时戳之要求。
  六、纪录档处理频率。

第26条


  凭证机构应于其作业基准中载明下列凭证机构金钥变更时之处理程序:
  一、因应验证凭证需求,以原公开金钥验证新公开金钥之处理程序。
  二、提供新的公开金钥之方法。

第27条


  凭证机构应于其作业基准中载明危害及灾变复原程序之规划。

第28条


  凭证机构应于其作业基准中载明下列终止任一凭证签发服务时之处理程序:
  一、通知及公告之程序。
  二、现行有效凭证之因应处理。
  三、纪录档案移交或保管年限。
                                            回索引〉〉

第五章  技术性安全控管

第29条


  凭证机构就金钥对之产制及安装,应于其作业基准中载明下列事项:
  一、用户金钥对由谁产制。
  二、金钥对非由用户自行产制时,私密金钥如何安全传送予用户。
  三、凭证机构公开金钥如何安全传送予用户或信赖凭证者。
  四、金钥长度。
  五、金钥生成参数及参数品质检验。
  六、金钥之使用目的。

第30条


  凭证机构就私密金钥保护,应于其作业基准中载明下列事项:
  一、密码模组是否符合特定标准。
  二、是否采行金钥分持之多人控管。
  三、私密金钥是否托管、备份、归档或输入至密码模组;如进行托管、备份、归档或输入至密码模组者,其方法及程序。
  四、私密金钥之启动、停用及销毁方式。

第31条


  凭证机构应于其作业基准中载明凭证有效期限、公开金钥是否归档及公开金钥与私密金钥各别之使用期限。

第32条


  凭证机构应于其作业基准中载明对于启动资讯之保护措施。

第33条


  凭证机构应于其作业基准中载明所采行之系统软体及网路安全控管措施。
                                            回索引〉〉

第六章  格 式 剖 绘

第34条


  凭证机构就凭证之格式剖绘应于其作业基准中载明下列事项:
  一、版本序号。
  二、凭证扩充栏位。
  三、演算法物件识别码。
  四、命名形式。
  五、命名限制。
  六、凭证政策物件识别码。
  七、政策限制扩充栏位之使用。
  八、对关键凭证政策扩充栏位之语意处理。

第35条


  凭证机构就凭证废止清册之格式剖绘应于其作业基准中载明下列事项:
  一、版本序号。
  二、凭证废止清册及凭证废止清册扩充栏位。

第36条


  本准则自发布日施行。


。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。回首页〉〉
【编注】本档提供学习与参考为原则;如需正式引用请以官方公告版为准。如有发现待更正部份及您所需本站未收编之法规,敬请告知,谢谢!S-link 电子六法全书