نظام هویت معتبر در فضای مجازی کشور

نظام هویت معتبر در فضای مجازی کشور (مصوبه جلسه پنجاه‌و نهم مورخ 9/6/1398 شورای عالی فضای مجازی)

نامه شماره 103515/98 مورخ 15/7/1398

کلیه وزارتخانه‌ها، مؤسسات و شرکت‌های دولتی و مؤسسات و نهادهای عمومی غیردولتی

کلیه دستگاه‌هایی که شمول قانون بر آن‌ها مستلزم ذکر نام و یا تصریح نام است یا قانون خاص دارند

ستاد کل نیروهای مسلح

سازمان نظام صنفی یارانه‌ای کشور

در اجرای ماده 11 آیین‌نامه داخلی شورای عالی فضای مجازی، به پیوست مصوبه جلسه پنجاه‌ونهم‌ مورخ 9/6/1398 شورای عالی با موضوع “نظام هویت معتبر در فضای مجازی کشور” که طی نامه شماره 103357/98 مورخ 8/7/1398 به استحضار مقام معظم رهبری (مدظله‌العالی) رسیده است، برای اجرا ابلاغ می‌شود.

سید ابولحسن فیروزآبادی- دبیر شورای عالی فضای مجازی

نظام هويت معتبر در فضای مجازی کشور

مقدمه

براي هر نوع تعامل فني، اقتصادي (پولي و مالي)، فرهنگي، اجتماعي، سياسي و اداري ميان اشخاص، گروه‌ها، اشياء، خدمات، محتواها و مکان‌ها به هويت معتبر نياز بوده و شکل‌گيري نظام قابل اطمينان براي هويت در فضاي مجازي کشور ضروري است. در اين نظام براي حصول اطمينان، بسته به نوع تعامل، دو دسته اطلاعات هويت ذاتي و اکتسابي موجوديت‌ها لازم بوده و براي تامين و تاييد آنها، نقش‌آفريني دو نهاد معتبر نياز است؛ «تأمين‌کنندگان شناسه (مشابه ثبت احوال) که مسئوليت تامين اطلاعات پايه هويتي موجوديت‌ها را در قالب شناسه‌هاي دايم يا موقت و واقعي يا مستعار بر عهده دارند» و «تامين‌کنندگان صفت‌ها که مسئوليت اعتباربخشي به اطلاعات غيرپايه هويتي از قبيل مدرک تحصيلي و ميزان اعتبار مالي را برعهده دارند و صفات ادعايي را تاييد يا رد مي‌کنند».

هدف از ايجاد اين نظام، استقرار زيست‌بوم تامين‌کننده زيرساخت تعاملات آزادانه، سالم، پويا، مسئولانه و سودمند با رعايت حقوق فردي و جمعي در روابط اجتماعي، اقتصادي، سياسي و فناورانه بين انواع موجوديت‌ها در فضاي مجازي است که زمينه الزم را براي توسعه کسب‌وکارهاي ديجيتال، سامانه‌هاي فني، رسانه‌هاي تعاملي و خدمات اداري ايجاد مي‌کند و در آن، تامين‌کنندگان شناسه‌ها و صفت‌ها با ارايه مجموع دو نوع اطلاع هويتي پايه و صفت‌ها، شناخت قابل اطمينان را براي طرفين تعامل فراهم مي‌سازند.

ماده 1- تعاريف

1-1- موجوديت: هر شخص، گروه، شيء، خدمت، محتوا و مکان که به صورت مستقل قابل شناسايی باشد؛

1-2- شناسه (Identity): کدي که براي ارجاع به اطلاعات هويتي پايه يک موجوديت واحد استفاده مي‌شود؛

1-3- صفت (Attribute): مشخصه يا کيفيت انتسابي يا اکتسابي موجوديت که در طول زمان تغيير مي‌کند؛

1-4- اطلاعات پايه هويتي: اطلاعات شناسنامه‌اي موجوديت‌ها شامل نسبت‌هاي پايه بين آنها که به‌ندرت دچار تغيير مي‌شوند؛

1-5- هويت ديجيتالي: مجموعه‌اي از اطالعات پايه هويتي و صفت‌ها که معرف يک موجوديت واحد است؛

1-6- تأمين‌کننده شناسه (IDP: Identity Provider): نهادي که براي انواع تعاملات، اطلاعات پايه هويتي قابل استنادي از موجوديت‌ها را گواهي مي‌کند و مسئوليت ثبت و راستي‌آزمايي هويت واقعي موجوديت‌ها، تخصيص شناسه و صدور گواهينامه هويت براي آنها و در برخي تراکنش‌ها، احراز هويت آنها را برعهده دارد؛

1-7- تأمين‌کننده صفت‌ها (AP: Attributes Provider): موجوديتي که در تعاملات، اعتبار صفت‌هاي موجوديت‌ها را گواهي مي‌کند؛

1-8- چارچوب مبادله قابل اعتماد (Trusted Framework): سازوکار ارتباط امن و قابل اعتماد بين موجوديت‌ها و تأمين‌کنندگان شناسه و صفت‌ها در زيست‌بوم است؛

1-9- لایه کاربرد: لایه‌ای که در آن خدماتي فراتر از خدمات ارتباطي ثابت و سيار و خدمات ميزباني ارايه مي‌شود.

ماده 2 – الزامات زيست‌بوم هويت معتبر در فضاي مجازي

2-1- تامين مقياس مورد نياز براي انواع کاربردها با قابليت گسترش در کاربردهاي آتي؛

2-2- تامين سطوح اعتبار و اعتماد در تامين اطلاعات هويت ديجيتالي به تناسب نوع تعامل؛

2-3- صيانت از حريم خصوصي اشخاص و حقوق عمومي جامعه؛

2-4- تناسب ميان ميزان اطلاعات ارايه شده از هر موجوديت با نوع تعامل با رعايت اختيار يا آگاهي موجوديت‌ها؛

2-5- تامين ادله ديجيتال در ثبت و اعطاي شناسه‌ها و گواهي‌ها و اعتباربخشي صفت‌ها؛

2-6- رعايت امنيت اطلاعات هويت ديجيتالي و تناسب آن با نوع تعامل از طريق ايجاد چارچوب مبادله قابل اعتماد و اعطاي گواهي موثق (Credential)؛

2-7- مرتبط بودن اطلاعات هويتي پايه فضاي مجازي با فضاي فيزيکي؛

2-8- اتکاپذيري، تاب‌آوري، ماندگاري، کاربري آسان، ساده‌بودن ساختار و تعامل‌پذيري ميان اجزاء زيست‌بوم؛

2-9- تضمين صحت، تماميت، اعتبار، انکارناپذيري و استنادپذيري هويت موجوديت‌هاي فضاي مجازي به تناسب نوع تعامل؛

2-10- افزايش شفافيت و کاهش گمنامي در فضاي مجازي؛

2-11 -ارتقاء و استمرار فرآيندهاي احراز هويت در فضاي مجازي.

ماده 3 – خطوط اجرايي

3-1- هر تعاملي در فضاي مجازي کشور بايد با شناسه معتبر آغاز شود؛

3-2- همه عوامل ذينقش در يک تعامل مسئول عملکرد خود هستند؛

3-3- موجوديت‌ها در شبکه ملي اطالعات و هر شبکه ديگري که درون يا مرتبط با آن قرار ميگيرند، بايد هويت احراز شده داشته باشند؛

3-4- چنانچه موجوديتي امکان تغيير شناسه را فراهم کند، بايد امکان نگاشت شناسه قبل و بعد از تغيير را براي تامين‌کننده شناسه مرتبط فراهم کند؛

3-5 -کليه ارايه‌دهندگان خدمات فني، اقتصادي (پولي و مالي)، فرهنگي، اجتماعي، سياسي و اداري در کشور بايد در چارچوب و منطبق بر نظام هويت معتبر در فضاي مجازي کشور فعاليت و از پذيرش و گذردهي تعامل‌هاي فاقد هويت معتبر اجتناب کنند؛

3-6- امکان نگاشت بين شناسه‌هاي متنوع هر يک از عوامل دخيل در يک تعامل در لایه‌های مختلف ارتباطي، خدماتي، کاربري و محتوايي بايد براي تامين‌کننده شناسه مرتبط فراهم و هر تعامل در فضاي مجازي کشور، بي‌واسطه يا باواسطه، به شخصي منحصر به‌فرد منتهي شود؛

3-7- هر گونه اقدام يا مشارکت در اختفاء يا جعل هويت از جمله عرضه ابزار و خدمات مرتبط ممنوع است؛

3-8- مسئوليت جبران خسارت ناشي از نقض الزامات و خطوط اجرايي موضوع مواد 2 و 3 اين نظام، در چارچوب قوانين جاري کشور برعهده تأمين‌کننده شناسه و يا ارايه‌دهنده خدمت نقض‌کننده آنها است؛

3-9- مرکز ملي فضاي مجازي با همکاري قواي مجريه و قضاييه، ظرف مدت شش ماه از تاريخ ابلاغ اين مصوبه، پيشنويس مقررات و لوايح قانوني لازم براي استقرار نظام هويت معتبر در فضاي مجازي کشور را تهيه کند؛

3-10-مرکز ملي فضاي مجازي گزارشي از اجراي اين مصوبه را هر شش ماه يک بار به شوراي عالي فضاي مجازي ارايه کند.

ماده 4 -نگاشت نهادي

4-1- وزارت ارتباطات و فناوري اطلاعات تأمين‌کننده شناسه در لایه ارتباطي کشور بوده و مسئوليت تنظيم مقررات و اتخاذ تمهيدات لازم براي اجراي موارد ذيل را بر عهده دارد:

4-1-1- احراز هويت متقاضيان و مشترکين داخلي و خارجي خدمات ارتباطي ثابت و سيار و خدمات ميزباني؛

4-1-2- احراز هويت برخطِ موجوديت‌هاي بهره‌بردار خدمات عمومي ارتباطي ثابت و سيار و خدمات ميزباني؛

4-1-3- ساماندهي و مديريت نشاني‌هاي پروتکل اينترنت (IP Address) و نام‌هاي دامنه در سطح ملي.

4-2 -مرکز ملي فضاي مجازي به منظور ايجاد زيست‌بوم هويت فضاي مجازي کشور در خصوص موارد زير اقدام کند:

4-2-1- احصاي فهرست تامين‌کنندگان شناسه “لايه کاربرد”، براي ثبت، اعطاي شناسه و گواهي به کليه موجوديت‌هاي آن لایه با استفاده از ظرفيت موجود دستگاه‌هاي اجرايي و ارايه نگاشت نهادي پيشنهادي به شوراي عالي فضاي مجازي؛

4-2-2- تنظيم و ابلاغ طرح تحول و برنامه ملي هويت فضاي مجازي؛

4-2-3- تنظيم و ابلاغ ضوابط و مقررات عمومي زيست‌بوم هويت فضاي مجازي؛

4-2-4- نظارت بر حسن اجراي تعهدات تامين‌کنندگان شناسه و تامين‌کنندگان ملي صفت‌ها.

4-3- وزارت ارتباطات و فناوري اطلاعات به منظور استقرار زيست‌بوم هويت فضاي مجازي کشور و در چارچوب ضوابط و مقررات عمومي ابلاغی موضوع بند 4-2-3 ،نسبت به تعيين حوزه مشخص و متمرکز براي «هماهنگي و برنامه‌ريزي ملي هويت فضاي مجازي» با وظايف و اختيارات زير اقدام کند:

4-3-1- تدوين پيشنويس طرح تحول و برنامه ملي هويت فضاي مجازي ظرف مدت سه ماه از تاريخ ابلاغ اين مصوبه و ارايه به مرکز ملي فضاي مجازي براي تنظيم و ابلاغ؛ در اين طرح بايد تامين‌کنندگان ملي صفت‌ها در حوزه‌هاي مختلف و نگاشت نهادي آنها و نيز خدمات کاربردي مبتني بر احراز هويت خدمات ارتباطي تعيين و مشخص شوند؛

4-3-2- استقرار چارچوب تعامل‌پذيري بين تامين‌کنندگان شناسه، صفت‌ها و ديگر موجوديت‌ها؛ براي دوره گذار سه‌ساله، از طريق درگاه واحد بين تامين‌کنندگان شناسه و تامين‌کنندگان صفت‌ها، خدمات ارايه مي‌شود؛

4-3-3 -ارايه گزارش فصلي از اقدامات و پيشرفت کار به مرکز ملي فضاي مجازي.

4-4 -تامين‌کنندگان شناسه و تامين‌کنندگان ملي صفت‌ها بايد ظرف مدت سه ماه از تاريخ ابلاغ طرح تحول و برنامه ملي هويت فضاي مجازي موضوع بند 4-2-2 ،برنامه خود را تدوين و براي تصويب به مرکز ملي فضاي مجازي ارايه کنند.