الدخول من خلال النفاذ الوطني الموحد
رقم المادة
نص المادة
المادة بعد التعديل المقترح
1
الفصل الأول: التعريفات
إن المصطلحات والتعريفات المستخدمة في هذه اللائحة لها المعاني نفسها الواردة في نظام التعاملات الإلكترونية، وأي مصطلحات وتعريفات إضافية خاصة بهذه اللائحة تأتي كما يرد أدناه:
النظام: نظام التعاملات الإلكترونية.
اللائحة: اللائحة التنفيذية لهذا النظام.
الوزير: وزير الاتصالات وتقنية المعلومات.
الهيئة: هيئة الاتصالات وتقنية المعلومات.
المركز: المركز الوطني للتصديق الرقمي.
الحاسب الآلي: أي جهاز إلكتروني ثابت أو منقول، سلكي أو لاسلكي، يحتوي على نظام معالجة البيانات، أو تخزينها، أو إرسالها، أو استقبالها، أو تصفحها، يؤدي وظائف محددة بحسب البرامج والأوامر المعطاة له.
الشخص: أي شخص ذي صفة طبيعية، أو اعتبارية عامة، أو خاصة.
إلكتروني: تقنية استعمال وسائل كهربائية، أو كهرومغناطيسية، أو بصرية، أو أي شكل آخر من وسائل التقنية المشابهة.
التعاملات الإلكترونية: أي تبادل أو تراسل أو تعاقد، أو أي إجراء آخر يبرم أو ينفذ، بشكل كلي أو جزئي، بوسيلة إلكترونية.
البيانات الإلكترونية: بيانات ذات خصائص إلكترونية في شكل نصوص، أو رموز، أو صور، أو رسوم، أو أصوات، أو غير ذلك من الصيغ الإلكترونية، مجتمعة أو متفرقة.
منظومة بيانات إلكترونية: جهاز أو برنامج إلكتروني أو أكثر يستخدم لإنشاء البيانات الإلكترونية، أو استخراجها، أو إرسالها، أو بثها، أو تسلمها، أو تخزينها، أو عرضها، أو معالجتها.
السجل الإلكتروني: البيانات التي تنشأ أو ترسل أو تسلم أو تبث أو تحفظ بوسيلة إلكترونية، وتكون قابلة للاسترجاع، أو الحصول عليها بشكل يمكن فهمها.
التوقيع الإلكتروني: بيانات إلكترونية، مدرجة في تعامل إلكتروني، أو مضافة إليه، أو مرتبطة به منطقياً تستخدم لإثبات هوية الموقع وموافقته على التعامل الإلكتروني، واكتشاف أي تعديل يطرأ على هذا التعامل بعد التوقيع عليه.
منظومة التوقيع الإلكتروني: منظومة بيانات إلكترونية مُعدّة بشكل خاص لتعمل مستقلة أو بالاشتراك مع منظومة بيانات إلكترونية أخرى، لإنشاء توقيع إلكتروني.
المُوقع: شخص يجري توقيعاً إلكترونياً على تعامل إلكتروني باستخدام منظومة توقيع إلكتروني.
شهادة التصديق الرقمي: وثيقة إلكترونية يصدرها مقدم خدمات تصديق، تستخدم لتأكيد هوية الشخص الحائز على منظومة التوقيع إلكتروني، وتحتوي على بيانات التحقق من توقيعه.
الوسيط: شخص يتسلم تعاملاً إلكترونياً من المنشئ ويسلمه إلى شخص آخر، أو يقوم بغير ذلك من الخدمات المتعلقة بذلك التعامل.
المنشئ: شخص – غير الوسيط – يرسل تعاملاً إلكترونياً.
المرسل إليه: شخص - غير الوسيط – وجه المنشئ تعامله إليه.
مقدم خدمات التصديق: شخص مرخص له بإصدار شهادات التصديق الرقمي، أو أي خدمة أو مهمة متعلقة بها وبالتوقيعات الإلكترونية وفقاً لهذا النظام.
مركز التسجيل: الجهة التي تتولى عملية التسجيل والتثبت من هوية المتقدمين للحصول على شهادات رقمية.
سياسة الشهادة الرقمية: وثيقة صادرة من المركز تحتوي على شروط وإرشادات تبيّن لمستخدم الشهادة مدى ملائمة شهادة التصديق الرقمية الصادرة من مقدم خدمات التصديق لاحتياجاته، ومدى الموثوقية المصاحبة لها، إلى جانب تحديد الاستخدامات المشروعة وغير المشروعة للشهادة، ودور مراكز التسجيل.
إجراءات التصديق الرقمي: وثيقة صادرة من المركز تحتوي على الطرق الفنية والأمنية والإجرائية المتبعة لإصدار شهادة التصديق الرقمية من قبل مقدم خدمات التصديق.
لائحة القواعد والإجراءات المنظمة لعمل المركز: وثيقة صادرة من المركز تحتوي على عدد من القواعد والتنظيمات الإجرائية المختصة باتفاقيات تقديم خدمات التصديق، ودور الأطراف المعتمدة على الشهادة، والسياسة الأمنية.
المستفيد: صاحب الشهادة، وهو الشخص المسجلة شهادة التصديق الرقمي باسمه.
الطرف المعتمد على الشهادة: هو الشخص الذي يستند إلى الشهادة في تعاملاته الإلكترونية ويعتمد على صحتها.
اللائحة: اللائحة التنفيذية للنظام.
الهيئة: هيئة الحكومة الرقمية.
المركز: مركز المعلومات الوطني.
التعاملات الإلكترونية: أي تبادل أو تراسل أو تعاقد، أو أي إجراء آخر يبرم أو ينفذ -كلياً أو جزئياً- بوسيلة إلكترونية.
2/1 يجب حفظ السجلات والبيانات المتعلقة بالتعاملات الإلكترونية بما يتفق مع متطلبات أي أنظمة أو لوائح أو إجراءات تتعلق بحفظ السجلات والبيانات التقليدية، بما لا يخل بالمادة الخامسة من النظام.
2/2 يجب حفظ السجلات الصادرة بطبيعتها، وبكامل بياناتها الأصلية، ويجوز حفظها (أرشفتها) وفق أي شكل من أشكال البيانات الإلكترونية التي لا تخل بمحتوى السجل وجودته.
2/3 مع مراعاة حكم الفقرة السابقة (2/1) من هذه المادة، يجب أن يتضمن السجل الإلكتروني البيانات التي تحدد هوية السجل، وارتباطه بالتعامل الإلكتروني والسجلات الإلكترونية الأخرى، وتشمل تلك البيانات العناصر التالية بوصفها الحد الأدنى:
معلومات منشئ السجل الإلكتروني.
معلومات مرسل السجل الإلكتروني، إذا كان مختلفاً عن المنشئ.
معلومات المرسل إليه السجل الإلكتروني.
رقم العملية التي يتضمنها السجل الإلكتروني وطبيعتها.
تاريخ إنشاء السجل الإلكتروني ووقته.
تاريخ إرسال السجل الإلكتروني ووقته.
تاريخ استلام السجل الإلكتروني ووقته.
معلومات إعادة الإرسال، أو التعديل، أو الإلغاء، وكذلك رسائل إقرار الوصول في حالة اشتراط ذلك من قبل المرسل.
3 /1 لتحديد الشخص الملزم بحفظ سجل إلكتروني، تطبق الأنظمة واللوائح والقرارات ذات العلاقة بحفظ الوثائق المتعلقة بالتعامل موضوع السجل الإلكتروني.
3 /2 يجوز للشخص الملزم بحفظ السجل الإلكتروني الاستعانة بخدمات جهة أخرى، لاستيفاء شروط الحفظ، دون أن يؤثر ذلك في مسؤوليته المنصوص عليها بهذه المادة.
3 /3 يلتزم طرفا التعامل الإلكتروني بالاتفاقيات الثنائية المبرمة بينهما فيما يتعلق بحفظ البيانات الإلكترونية، وحفظ خصوصيتها، وذلك بما لا يتعارض مع الأنظمة ذات العلاقة.
رقم المادة
4
4 /1 يجب حفظ السجلات والبيانات المتعلقة بأي تعامل إلكتروني بما يتفق مع متطلبات أي أنظمة أو لوائح، أو إجراءات تتعلق بتحديد المدد الزمنية الواجب بقاء السجلات والبيانات محفوظة خلالها.
4 /2 مع مراعاة حكم الفقرة السابقة (4/1) من هذه المادة، يجب حفظ السجلات والبيانات المتعلقة بأي تعامل إلكتروني بما يتفق مع متطلبات الوثائق التالية:
الاتفاقيات المبرمة بين طرفي التعامل الإلكتروني.
لائحة القواعد والإجراءات المنظمة لعمل المركز
4 /2 مع مراعاة حكم الفقرة السابقة (4 /1) من هذه المادة، يجب حفظ السجلات والبيانات المتعلقة بأي تعامل إلكتروني بما يتفق مع الاتفاقيات المبرمة بين طرفي التعامل الإلكتروني.
5 /1 عند حفظ السجلات والبيانات الإلكترونية يجب توافر الشروط التالية:
1. إتباع قواعد وإجراءات واضحة وموثقة لحفظ السجلات الإلكترونية.
2. حفظ السجلات والبيانات الإلكترونية في أي صيغة بما يتناسب مع النظام المعمول به لدى من قام بالحفظ.
3. إتباع قواعد ومعايير واضحة وموثقة لضمان سلامة السجلات الإلكترونية المحفوظة من الاطلاع عليها والتعديل غير المصرح بهما، بحيث تشمل تلك القواعد التطبيق، والتدقيق، وخطط الاستعادة عند الكوارث.
4. إذا تطلبت أي فقرة في هذه اللائحة تحديد التاريخ والوقت أو حفظه أو إبرازه، فيجب الالتزام بالتالي بوصفه الحد الأدنى:
تحديد التاريخ وفق التقويم الميلادي على الأقل، مع إضافة التقويم الهجري إذا تطلب ذلك أي نص نظامي، وأن يحدد الوقت بالساعة والدقيقة والثانية كحد أدنى.
أن يتفق التاريخ والوقت مع الوقت الرسمي المعتمد من قبل المركز، ما لم يتفق الطرفان على خلاف ذلك.
5. لإثبات صحة الوقت يجب أن يحتوي السجل على الختم الزمني المعتمد من قبل المركز (كما يرد في لائحة القواعد والإجراءات المنظمة لعمل المركز)، أو أي ختم زمني تم الاتفاق عليه بشكل صريح من قبل أطراف التعامل الإلكتروني.
6. استخدام التقنيات المناسبة لضمان حفظ السجل الإلكتروني بالشكل نفسه الذي أنشئ أو أرسل أو تسلم به، أو ضمان أن محتواه مطابق للمحتوى الذي أنشئ به، أو أرسل أو تسلم به.5 /2 يجب على الطرف الملزم بحفظ السجلات الإلكترونية، إجراء عمليات (الأرشفة) والحفظ الاحتياطي بشكل دوري، بما يضمن حقوق مَن يعتمد على هذه السجلات.
2. حفظ السجلات والبيانات الإلكترونية في أي صيغة بما يتناسب مع النظام المعمول به لدى من قام بالحفظ.
5. لإثبات صحة الوقت يجب أن يحتوي السجل على الختم الزمني المعتمد من قبل المركز، أو أي ختم زمني تم الاتفاق عليه بشكل صريح من قبل أطراف التعامل الإلكتروني.
نص المادة
6 /1 يشترط لعرض السجلات والبيانات الإلكترونية توافر المعلومات المتعلقة بالتعامل الإلكتروني وفق صيغة إلكترونية قياسية مقروءة ومفهومة وكاملة.
6 /2 تلتزم الجهات التي تقوم بحفظ السجلات والبيانات الإلكترونية بتحديد صلاحيات الاطلاع والتعامل مع السجلات والبيانات الإلكترونية لمنسوبيها بناءً على حاجة العمل. كما تتعهد بإلزام جميع تابعيها بالمعايير المتعلقة بحماية الخصوصية. ولا يجوز الاطلاع على المعلومات والبيانات الخاصة بالمتعاملين إلا من قبل الموظفين المعنيين بتقديم الخدمات، وذلك عند الحاجة فقط.
6 /3 تلتزم الجهات التي تقوم بحفظ السجلات الإلكترونية بتطبيق الحلول الفنية المناسبة لتسجيل جميع الحالات التي يتم فيها الإطلاع على تلك السجلات الإلكترونية، أو الوصول إليها، أو التغيير فيها أو في بياناتها.
6 /4 يحق لأحد الطرفين في التعامل الإلكتروني أو أي جهة ذات صلاحية نظاماً الحصول على معلومات من السجلات الخاصة بالتعامل الإلكتروني من الجهات التي تقوم بحفظها، وخلافاً لذلك لا يحق للجهة التي تقوم بحفظ السجلات الإلكترونية تقديمها لأي طرف ثالث بدون الاتفاق المسبق بين طرفي التعامل.
6 /2 تلتزم الجهات التي تقوم بحفظ السجلات والبيانات الإلكترونية بتحديد صلاحيات الاطلاع والتعامل مع السجلات والبيانات الإلكترونية لمنسوبيها بناءً على حاجة العمل. ولا يجوز الاطلاع على المعلومات والبيانات الخاصة بالمتعاملين إلا من قبل الموظفين المعنيين بتقديم الخدمات، وذلك عند الحاجة فقط وبما لا يتعارض مع الأنظمة ذات العلاقة.
7 /1 يعدُّ السجل الإلكتروني صادراً من المُنشئ، إذا كان المُنشئ هو الذي أصدره بنفسه، أو إذا صدر من خلال شخص له صلاحية التصرف نيابة عن المُنشئ.
7 /2 يعدُّ السجل الإلكتروني صادراً من المنشئ، إذا أُرسل بوساطة منظومة آلية برمجها المنشئ، أو شخص له صلاحية التصرف نيابة عن المنشئ، لتعمل بشكل تلقائي نيابة عنه، بشرط أن يتحقق باستخدامها سلامة الإنشاء والإرسال التلقائيين.
7 /3 يجوز لمنشئ السجل الإلكتروني الاستعانة فنياً بمن يراه من الوسطاء لإنشاء سجل أو إرساله، أو إنشائه وإرساله معاً، ولا يعدُّ الوسيط منشئاً للسجل.
8 /1 تقع مسؤولية إرسال السجل الإلكتروني على مَن له حق إنشائه، أو مَن تم تفويضه بإتمام عملية الإرسال.
8 /2 يكون وقت إرسال السجل الإلكتروني هو الوقت الذي تم فيه انتقال السجل من المنظومة الإلكترونية للمرسل إلى أي منظومة أخرى خارج صلاحيات المرسل. وفي حالة قيام المرسل إليه بتعريف مسبق ومحدد للمنظومة الإلكترونية التي يتم استقبال السجلات الإلكترونية عليها، فإن وقت استقبال السجل هو وقت دخول السجل الإلكتروني المرسل إلى تلك المنظومة. أما في حالة عدم تحديد منظومة معينة، فإن وقت استقبال السجل يُعد الوقت الذي دخل فيه السجل الإلكتروني إلى أي منظومة تتبع للمرسل إليه.
8 /3 ما لم يتفق منشئ السجل والمرسل إليه على غير ذلك، يعدُّ السجل الإلكتروني مرسلاً من العنوان النظامي للمنشئ، ويعدُّ مسلماً للمرسل إليه في عنوانه النظامي. ولتحديد هذه الفقرة، إذا كان للمنشئ أو للمرسل إليه أكثر من عنوان نظامي، فإنه يعتد بالعنوان الأوثق علاقة بالمعاملة المعنية، أو بالعنوان المحدد في النظام الأساسي للشخص الاعتباري أو محل الإقامة للمرسل إليه.
8 /4 يجب توافر معلومات المصدر، مثل عنوان جهاز المصدر، والوقت، وعنوان جهاز المرسل إليه في السجل الإلكتروني قبل دخوله منظومة بيانات أخرى.
8 /5 يلتزم منشئ السجل الإلكتروني ومرسله بشروط حفظ السجلات والبيانات المحددة في هذه اللائحة.
8 /6 عند إنشاء السجل الإلكتروني وإرساله يجب توافر الآتي:
1. يجب أن يحتفظ السجل الإلكتروني بجميع بياناته التي تضمنها عند الإنشاء، وذلك عند الإرسال والاستقبال، سواء أكان على نفس الصيغة الإلكترونية أم تم تحويله إلى صيغة مختلفة.
2. يجب أن يبين السجل الإلكتروني معلومات المرسل منه، والمرسل إليه، ووقت الإرسال ومكانه ووقت الاستقبال ومكانه.
8 /7 يلتزم الوسيط بضمان وصول المعلومات من منظومة المرسل إلى منظومة المرسل إليه بالمحتوى نفسه وبدون تغيير.
9 /1 إذا ألزم نص نظامي، أو اتفق المنشئ مع المرسل إليه، أو إذا طلب المنشئ من المرسل إليه، عند توجيه السجل الإلكتروني أو قبل ذلك، أن يرسل إقراراً بتسلم هذا السجل فإنه:
1. إذا لم يتضمن النص النظامي أو اتفاق المنشئ مع المرسل إليه أن يكون الإقرار بتسلم السجل الإلكتروني وفق شكل معين، أو بطريقة معينة، فإنه يجوز أن يتم الإقرار بتسلم السجل بطريقتين:
أ- أي إبلاغ من جانب المرسل إليه، سواء أكان بوسيلة تلقائية أم بأي وسيلة أخرى.
ب- أي سلوك من جانب المرسل إليه يكفي لإعلام المنشئ بأن المرسل إليه قد تسلم السجل الإلكتروني.
2. إذا اشترط النص النظامي، أو اشترط المنشئ أن يتلقى من المرسل إليه إقراراً بتسلم السجل الإلكتروني، فإن للمنشئ أن يعدَّ إرسال السجل الإلكتروني كأن لم يكن، إلى أن يتم تسلم هذا الإقرار، ما لم يتفق على خلاف ذلك.9 /2 يتم إثبات تسلم السجل الإلكتروني بأي شكل من أشكال الإثبات التي يتفق عليه طرفا التعامل.9 /3 لا ينبني على تلقي المرسل إقراراً بالتسلم من المرسل إليه، أن محتوى السجل الإلكتروني الذي أُرسل متطابق مع محتوى السجل الذي تم استلامه، ما لم يشتمل السجل الإلكتروني على آلية الحفاظ على المحتوى، كأن يتم ذلك بوساطة التوقيع الإلكتروني للمرسل والمرسل إليه.9 /4 يجب أن يحتوي الإقرار بوصول السجل الإلكتروني المعلومات ذات العلاقة بذلك، مثل: التاريخ، الوقت، رقم مميّز للرسالة محل الإقرار أو عنوان لها.9 /5 إذا تضمن الإقرار بالتسلم الذي تسلمه المُنشئ أن السجل الإلكتروني ذا الصلة قد استوفى الاشتراطات الفنية، سواء المتفق عليها أو المحددة في المعاييـر المعمول بها، فإنه يفترض أن تلك الشروط قد تم استيفاؤها إلى أن يثبت العكس.
10 /1 تنعقد حجية التوقيع الإلكتروني، إذا تم الالتزام بالضوابط والشروط التالية:
1. أن يكون التوقيع مرتبطاً بشهادة تصديق رقمي صادرة من مقدم خدمات تصديق مرخص له من قبل الهيئة، أو بشهادة تصديق رقمي معتمدة من المركز.
2. أن تكون شهادة التصديق المرتبطة بالتوقيع نافذة المفعول وقت إجراء التوقيع.
3. الحفاظ على سلامة بيانات هوية الموقِع، وتوافقها مع شهادة التصديق الرقمي.
4. إذا تم التوقيع بالاشتراك مع منظومة بيانات إلكترونية لدى الموقِع، فيشترط سلامة الارتباط المنطقي والفني بين منظومة التوقيع الإلكتروني، ومنظومة البيانات الإلكترونية، ومن ثم خلوهما من العيوب الفنية التي قد تؤثر في صحة انعقاد التوقيع وإرساله.
5. توافر الحد الأدنى من البنية الفنية والإدارية، وكذلك الموارد ذات الصلة التي تتحقق بهما السيطرة على إجراءات التوقيع وضمان سرية البيانات حسب الشروط الفنية الواردة في إجراءات التصديق الرقمي الخاصة بمقدم خدمات التصديق.
6. التزام الموقع بجميع الشروط الواردة في إجراءات التصديق الرقمي الخاصة بمقدم خدمات التصديق فيما يتعلق بإجراء التوقيع الإلكتروني، بما لا يتعارض مع الأنظمة واللوائح.
10 /2 يجب أن يتألف التوقيع الإلكتروني المرتبط بشهادة تصديق رقمي من العناصر الفنية التالية بوصفها حداً أدنى:
1. جهة إصدار شهادة التصديق الرقمي، بحيث تحتوي الشهادة على جميع المعلومات الدالة على مقدم خدمات التصديق، وتوقيعها الإلكتروني.
2. نوع التوقيع، ونطاق عمله، ورقمه التسلسلي.
3. تاريخ التوقيع، وفترة سريانه.
4. نوع خوارزمية التشفير المستخدم ومفتاح التشفير العام، وفقاً لسياسة الشهادة الرقمية وإجراءات التصديق الرقمي.
5. نطاق استخدام التوقيع وحدود مسؤوليته النظامية، وكذلك شروط حماية سرية المعلومات.
6. بيانات هوية الموقع، والتي تشمل اسمه وعنوانه كاملاً.
11 /1 يجب على من يرغب في إجراء توقيع إلكتروني اتخاذ الاحتياطات اللازمة لتلافي أي استعمال غير مشروع لبيانات إنشاء التوقيع وللمعدات الشخصية المتعلقة بتوقيعه. وتشمل تلك الاحتياطات ما يلي:
1. الحفاظ على شهادة التصديق الرقمي ووثائق التوقيع الإلكتروني الصادرة من مقدم خدمات التصديق، التي لها طابع السرية، وعدم تمكين غير المصرح لهم بالاطلاع عليها.
2. تطبيق حلول وتقنيات مناسبة وآمنة، وغير قابلة للعبث، وفقاً لما يرد في إجراءات التصديق الرقمي.
11 /2 يجوز للموقِع الاستعانة بجهات فنية متخصصة للمراجعة والتدقيق، بما يدعم جودة عملية التوقيع وسريته، مع عدم الإخلال بأي ضوابط، أو شروط نظامية، أو تعاقدية بين أطراف التعامل.
11 /3 يجب على صاحب التوقيع الإلكتروني إبلاغ مقدم خدمات التصديق فور علمه بوجود استعمال غير مشروع لتوقيعه، مع توثيق البيانات المتعلقة بالاستعمال غير المشروع.
12 /1 يجب على مَن يعتمد على التوقيع الإلكتروني لطرف آخر، أن يبذل العناية اللازمة للتحقق من صحة التوقيع، وذلك باستخدام بيانات التحقق من التوقيع الإلكتروني، وفق الإجراءات التالية:
1. التأكد من منشأ شهادة مرسل الرسالة، وأنها صادرة من مقدم خدمات تصديق مرخص له، وفق أحكام هذه اللائحة، والتحقق من صلاحيتها، وأنها غير ملغية أو موقفة.
2. التأكد من أن البيانات المرفقة مع التوقيع الإلكتروني، التي تشتمل على الاسم والعنوان، مطابقة لبيانات صاحب التوقيع من واقع الشهادة الصادرة له.
3. التحقق من عدم وجود رسائل تنبيه أو تحذير تفيد باحتمال وجود خلل في المطابقة الآلية للتوقيع، أو أي خلل آخر ذي صلة بالمنشأ أو المحتوى، وذلك ضمن الرسالة والتوقيع الواردين.
12 /2 يعدُّ التوقيع الإلكتروني ملغياً ولا يحدد هوية منشئ السجل الإلكتروني في حال اختلال أحد العناصر المقومة له وفق أحكام هذه اللائحة.
13
الفصل السادس: المركز الوطني للتصديق الرقمي
المادة الثالثة عشرة: مقر المركز الوطني للتصديق الرقمي وهيكله
13/1 مقر المركز الوطني للتصديق الرقمي هو مدينة الرياض، ويجوز للمركز إنشاء فروع أو مكاتب له في أماكن أخرى داخل المملكة.
13/2 يؤسس المركز الوطني للتصديق الرقمي، ضمن الهيكل التنظيمي لوزارة الاتصالات وتقنية المعلومات، ويمارس مهامه من خلال هيئة إشرافية وإدارية تعيّن بقرار من الوزير.
13/3 يضع الوزير بناءً على اقتراح من مدير المركز القواعد والإجراءات المنظمة لعمل المركز.
حذف الفصل السادس
14
14 /1 يختص المركز بالإشراف على المهمات المتعلقة بإصدار شهادات التصديق الرقمي وإدارة بنيتها التحتية، بالإضافة إلى اعتماد الشهادات الصادرة من الجهات الأجنبية خارج المملكة، وله في سبيل ذلك القيام بالمهام التالية:
توفير منظومة متكاملة لإدارة البنية التحتية للمفاتيح العامة، بهدف حفظ سرية المعلومات، والتثبت من هوية المتعاملين، إلى جانب الحفاظ على سلامة البيانات من العبث والتغيير.
تشغيل الأجهزة وصيانتها والبرمجيات الخاصة بالبنية التحتية للمفاتيح العامة.
إصدار الشهادات الرقمية الخاصة بمقدمي خدمات التصديق، وتحديد مدة تلك الشهادات وصلاحيتها، وتنفيذ المهمات الإجرائية الخاصة بالشهادات، كإلغاء الشهادة وتجديدها والإقرار بصلاحية سريان مفعولها.
نشر قائمة مقدمي خدمات التصديق المرخص لهم والعمل على تحديثها باستمرار.
إعداد معايير ومتطلبات البنية التحتية للمفاتيح العامة، والتنسيق في ذلك مع الجهات المعنية.
التنسيق مع الهيئة بشأن الترخيص للجهات التي ترغب في تقديم خدمات التصديق الرقمي.
تقديم الدعم الفني للهيئة فيما يخص إشرافها على مقدمي خدمات التصديق المرخص لهم.
إشعار الهيئة بأي مخالفات تتعلق بتراخيص مقدمي خدمات التصديق.
15
الفصل السابع: تقديم خدمات التصديق
المادة الخامسة عشرة: الشروط والضوابط اللازمة للحصول على الترخيص
15 /1 تحدد الهيئة الشروط والإجراءات اللازمة للحصول على ترخيص تقديم خدمات التصديق، وما يتبع ذلك بشأن الترخيص من حيث تحديد مدته، وأحكام تجديده، ووقفه، وإلغائه، والتنازل عنه، والتزامات المرخص له.
15 /2 مع مراعاة شروط الترخيص الصادرة عن الهيئة، يجب أن يتوفر لدى المتقدم بطلب الترخيص لتقديم خدمات التصديق الرقمي ما يلي:
منظومة بيانات إلكترونية ومنظومة لشهادات التصديق الرقمي وللتواقيع الإلكترونية، ضمن بيئة عمل فنية قياسية لا تقل عن المستوى الأمني للمعايير المحددة من المركز، حسبما يرد في سياسة الشهادة الرقمية وإجراءات التصديق الرقمي، وفقاً للضوابط التالية:(أ) عدم قابلية الاستنتاج، أو الاستنباط للمفاتيح الخاصة أو للبيانات المكونة للتوقيع الإلكتروني. ويحدد المركز مواصفات قياسية للمفاتيح والبيانات المكونة للتوقيع الإلكتروني.(ب) الحفاظ على سرية البيانات، وحمايتها من التلف أو التزوير أو الاختراق، وفق المستوى الأمني المحدد من قبل المركز.
بنية تحتية فنية، وموارد إدارية على درجة عالية من الكفاءة والمعيارية بمستوى لا يقل عن المقاييس المعتمدة من المركز، لتشغيل وإدارة جميع عمليات التصديق الرقمي التي من أهمها:(أ) إصدار شهادات التصديق، وما يتبع ذلك من تجديد للشهادات، وتعليقها وإلغائها وإعادتها.(ب) إدارة عمليات التشفير وما يتبعها من حفظ للمفتاح الخاص بمقدم خدمات التصديق، وكذا المفاتيح العامة.
إتاحة البيانات الخاصة بالتحقق من صحة الشهادات، والتواقيع الإلكترونية لجميع أطراف التعامل الإلكتروني، مع ضمان ربطها مباشرة بقوائم الشهادات الموقوفة والملغاة.
تأسيس جميع الموارد الإلكترونية وتشغيلها وإدارتها، وفق آلية تضمن عمليات الحفظ و(الأرشفة)، وكذلك النقل إلى منظومات وقواعد بيانات قياسية أخرى، مع توفير البدائل والخطط التي بموجبها يتم ضمان استمرار الخدمة.15 /3 يلتزم مقدم خدمات التصديق بإعداد العقود والإجراءات التفصيلية، بما في ذلك الحد الأعلى لرسوم الخدمة للمستفيدين، واعتمادها من قبل الهيئة، بما يحفظ حقوق جميع الأطراف ذات الصلة.15 /4 يلتزم مقدم خدمات التصديق بتقديم خطة إنهاء النشاط، تتضمن تفاصيل الإجراءات التي يتم إتباعها عند توقف مقدم خدمات التصديق عن ممارسة نشاطه بطلب منه، أو في حالات إيقافه من قبل الهيئة، أو إلغاء ترخيصه أو عدم تجديده، بما يضمن حقوق جميع الأطراف ذوي الصلة.15 /5 في حال المنازعات التي قد تنشأ بين الأطراف حول المواصفات الفنية، يكون المركز (من خلال التنسيق مع الهيئة) هو جهة الاختصاص لتفسير الضوابط والشروط الفنية التفصيلية، وما يتبعها من مقاييس عالمية، وذلك بالتنسيق مع الهيئة.15 /6 يكون مقدم خدمات التصديق مسئولاً أمام عملائه من المستفيدين عن جميع الخدمات والموارد الإدارية والفنية التي تتبع له سواء بشكل مباشر أو غير مباشر عبر عقود الباطن.15 /7 يقوم المركز بالتنسيق مع الهيئة - وفق ما تقتضيه السياسات والإجراءات الخاصة به - بمراجعة وتقييم أداء مقدم خدمات التصديق، وله في ذلك الاستعانة بمن يرى من بيوت الخبرة المتخصصة.
الفصل السادس: تقديم خدمات التصديق
المادة الثالثة عشرة: الشروط والضوابط اللازمة للحصول على الترخيص
13 /1 تحدد الهيئة الشروط والإجراءات اللازمة للحصول على ترخيص تقديم خدمات التصديق، وما يتبع ذلك بشأن الترخيص من حيث تحديد مدته، وأحكام تجديده، ووقفه، وإلغائه، والتنازل عنه، والتزامات المرخص له.
13 /2 مع مراعاة شروط الترخيص الصادرة عن الهيئة، يجب أن يتوفر لدى المتقدم بطلب الترخيص لتقديم خدمات التصديق الرقمي ما يلي:
1. منظومة بيانات إلكترونية ومنظومة لشهادات التصديق الرقمي وللتواقيع الإلكترونية، ضمن بيئة عمل فنية قياسية حسبما يرد في سياسة الشهادة الرقمية وإجراءات التصديق الرقمي، وفقاً للضوابط التالية:
(أ) عدم قابلية الاستنتاج، أو الاستنباط للمفاتيح الخاصة أو للبيانات المكونة للتوقيع الإلكتروني
(ب) الحفاظ على سرية البيانات، وحمايتها من التلف أو التزوير أو الاختراق، وفقاً لسياسة الشهادة الرقمية وإجراءات التصديق الرقمي.
2. بنية تحتية فنية، وموارد إدارية على درجة عالية من الكفاءة والمعيارية بمستوى لا يقل عن المقاييس المحددة وفقاً لسياسة الشهادة الرقمية وإجراءات التصديق الرقمي، لتشغيل وإدارة جميع عمليات التصديق الرقمي التي من أهمها:
(أ) إصدار شهادات التصديق، وما يتبع ذلك من تجديد للشهادات، وتعليقها وإلغائها وإعادتها.
(ب) إدارة عمليات التشفير وما يتبعها من حفظ للمفتاح الخاص بمقدم خدمات التصديق، وكذا المفاتيح العامة.
3. إتاحة البيانات الخاصة بالتحقق من صحة الشهادات، والتواقيع الإلكترونية لجميع أطراف التعامل الإلكتروني، مع ضمان ربطها مباشرة بقوائم الشهادات الموقوفة والملغاة.
4. تأسيس جميع الموارد الإلكترونية وتشغيلها وإدارتها، وفق آلية تضمن عمليات الحفظ و(الأرشفة)، وكذلك النقل إلى منظومات وقواعد بيانات قياسية أخرى، مع توفير البدائل والخطط التي بموجبها يتم ضمان استمرار الخدمة.13 /3 يلتزم مقدم خدمات التصديق بإعداد العقود والإجراءات التفصيلية، بما في ذلك الحد الأعلى لرسوم الخدمة للمستفيدين، واعتمادها من قبل الهيئة، بما يحفظ حقوق جميع الأطراف ذات الصلة.13 /4 يلتزم مقدم خدمات التصديق بتقديم خطة إنهاء النشاط، تتضمن تفاصيل الإجراءات التي يتم إتباعها عند توقف مقدم خدمات التصديق عن ممارسة نشاطه بطلب منه، أو في حالات إيقافه من قبل الهيئة، أو إلغاء ترخيصه أو عدم تجديده، بما يضمن حقوق جميع الأطراف ذوي الصلة.13 /5 في حال المنازعات التي قد تنشأ بين الأطراف حول المواصفات الفنية، تكون الهيئة هي جهة الاختصاص لتفسير الضوابط والشروط الفنية التفصيلية، وما يتبعها من مقاييس عالمية.13 /6 يكون مقدم خدمات التصديق مسئولاً أمام عملائه من المستفيدين عن جميع الخدمات والموارد الإدارية والفنية التي تتبع له سواء بشكل مباشر أو غير مباشر عبر عقود الباطن.13 /7 تقوم الهيئة - وفق ما تقتضيه السياسات والإجراءات الخاصة بها- بمراجعة وتقييم أداء مقدم خدمات التصديق، ولها في ذلك الاستعانة بمن ترى من بيوت الخبرة المتخصصة.
المادة السادسة عشرة: استمرار الخدمة في حالة إيقاف مقدم خدمات التصديق، أو إلغاء ترخيصه أو عدم تجديده
16 /1 في حالة قيام الهيئة بعدم تجديد ترخيص أحد مقدمي الخدمة، أو إيقافه مؤقتاً أو إلغائه، يجب على المركز اتخاذ التدابير اللازمة لاستمرارية تقديم الخدمات إلى مستخدمي خدمات مقدم خدمات التصديق الموقف، أو الملغى، أو المنتهي ترخيصه وفقاً لهذه المادة.
16 /2 إذا لم يقم مقدم خدمات التصديق الموقف أو الملغى أو المنتهي ترخيصه باتخاذ التدابير المحددة من قبل الهيئة نحو ضمان حقوق المستفيدين لديه، بما في ذلك التدابير المحددة في خطة إنهاء النشاط، فإنه يجوز للهيئة اتخاذ ما يلزم لإنجاز تلك التدابير بأسرع وقت ممكن على نفقة مقدم خدمات التصديق.
16 /3 يجوز للهيئة تمديد مدة الترخيص لمقدم الخدمة، وذلك ليتسنى له تصفية جميع عملياته المتعلقة بعملائه من المستفيدين، على ألا يتم تحميلهم أي تكاليف مالية تتعلق بعملية التصفية.
16 /4 في حالة صدور قرار من الهيئة بمنح مقدم خدمات التصديق الموقف، أو الملغى، أو المنتهي ترخيصه تمديداً مؤقتاً للترخيص الممنوح له، فيخضع هذا التمديد للشروط التالية:
1. عدم استدراج أو قبول مستفيدين جدد أو تمديد العقود أو التدابير الأخرى القائمة مع المستفيدين الموجودين، أو توسعة نطاقها.
2. عدم تمديد العقود أو التدابير الأخرى المبرمة مع أي مرخص آخر، أو توسعة نطاق تلك العقود أو التدابير.إضافة إلى أي شروط أخرى قد تفرضها الهيئة للتأكد من استمرار تلقي المستفيدين للخدمة.16 /5 للهيئة الحق في تعديل أي من الشروط المشار إليها في الفقرة (16/4) من هذه المادة، حسبما تقتضيه الأنظمة ومصلحة المستفيدين.
المادة الرابعة عشرة: استمرار الخدمة في حالة إيقاف مقدم خدمات التصديق، أو إلغاء ترخيصه أو عدم تجديده
14 /1 في حالة قيام الهيئة بعدم تجديد ترخيص أحد مقدمي الخدمة، أو إيقافه مؤقتاً أو إلغائه، يجب على الهيئة اتخاذ التدابير اللازمة لاستمرارية تقديم الخدمات إلى مستخدمي خدمات مقدم خدمات التصديق الموقف، أو الملغى، أو المنتهي ترخيصه وفقاً لهذه المادة.
14 /2 إذا لم يقم مقدم خدمات التصديق الموقف أو الملغى أو المنتهي ترخيصه باتخاذ التدابير المحددة من قبل الهيئة نحو ضمان حقوق المستفيدين لديه، بما في ذلك التدابير المحددة في خطة إنهاء النشاط، فإنه يجوز للهيئة اتخاذ ما يلزم لإنجاز تلك التدابير بأسرع وقت ممكن على نفقة مقدم خدمات التصديق.
14/ 3 يجوز للهيئة تمديد مدة الترخيص لمقدم الخدمة، وذلك ليتسنى له تصفية جميع عملياته المتعلقة بعملائه من المستفيدين، على ألا يتم تحميلهم أي تكاليف مالية تتعلق بعملية التصفية.
14 /4 في حالة صدور قرار من الهيئة بمنح مقدم خدمات التصديق الموقف، أو الملغى، أو المنتهي ترخيصه تمديداً مؤقتاً للترخيص الممنوح له، فيخضع هذا التمديد للشروط التالية:
3. عدم استدراج أو قبول مستفيدين جدد أو تمديد العقود أو التدابير الأخرى القائمة مع المستفيدين الموجودين، أو توسعة نطاقها.
4. عدم تمديد العقود أو التدابير الأخرى المبرمة مع أي مرخص آخر، أو توسعة نطاق تلك العقود أو التدابير.إضافة إلى أي شروط أخرى قد تفرضها الهيئة للتأكد من استمرار تلقي المستفيدين للخدمة.14 /5 للهيئة الحق في تعديل أي من الشروط المشار إليها في الفقرة (14/4) من هذه المادة، حسبما تقتضيه الأنظمة ومصلحة المستفيدين.
المادة السابعة عشرة: ووثائق مقدم خدمات التصديق في حالة وقف نشاطه
17 /1 يلتزم مقدم خدمات التصديق في جميع حالات وقف نشاطه بالوفاء بالمتطلبات التالية:
17 /2 يجوز للهيئة حجز الموارد الفنية وقواعد البيانات، وغير ذلك من التدابير المناسبة التي تقتضيها حماية حقوق المتعاملين.17 /3 يحتفظ المتعامل مع مقدم خدمات التصديق، أو أي طرف لحقه الضرر، بحق رفع الدعوى أمام الجهات القضائية المختصة وطلب التعويض.17 /4 لا يجوز لمقدم الخدمة الموقف نشاطه، لأي سبب من الأسباب، أن يحتفظ بأي نسخ من السجلات والبيانات الإلكترونية الناتجة عن ممارسته لنشاطه الذي تم إيقافه، بعد إتمام الخطوات الواردة في الفقرة (17 /1).
المادة الخامسة عشرة: أحكام ومعايير التصرف في معلومات ووثائق مقدم خدمات التصديق في حالة وقف نشاطه
15 /1 يلتزم مقدم خدمات التصديق في جميع حالات وقف نشاطه بالوفاء بالمتطلبات التالية:
15 /2 يجوز للهيئة حجز الموارد الفنية وقواعد البيانات، وغير ذلك من التدابير المناسبة التي تقتضيها حماية حقوق المتعاملين.15 /3 يحتفظ المتعامل مع مقدم خدمات التصديق، أو أي طرف لحقه الضرر، بحق رفع الدعوى أمام الجهات القضائية المختصة وطلب التعويض.15 /4 لا يجوز لمقدم الخدمة الموقف نشاطه، لأي سبب من الأسباب، أن يحتفظ بأي نسخ من السجلات والبيانات الإلكترونية الناتجة عن ممارسته لنشاطه الذي تم إيقافه، بعد إتمام الخطوات الواردة في الفقرة (15 /1).
16 /1 يجب على مقدم خدمات التصديق أن يستمر في تقديم خدماته للمتعاملين، ولا يحق له تحت أي سبب أو ذريعة التوقف أو التنازل عن أي خدمة من خدماته، دون موافقة مسبقة من الهيئة، وذلك لضمان حقوق جميع الأطراف ذات الصلة.
16 /2 يلتزم مقدم خدمات التصديق بعدم الاندماج أو التضامن مع أي طرف آخر، بدون التقدم للهيئة بدراسة شاملة، تبين المسوغات والأهداف، وكذلك أثر ذلك على الخدمات والمستفيدين. ويحق للهيئة - بناءً على ما تقتضيه الأنظمة ومصلحة المستفيدين - رفض الطلب أو طلب تعديله أو الموافقة عليه.
17/ 1 يحدد المركز العناصر الفنية الواجب توافرها في شهادة التصديق الرقمي على أن تتضمن العناصر الفنية التالية بوصفها حداً أدنى:
جهة إصدار شهادة التصديق الرقمي، بحيث تحتوي الشهادة على جميع المعلومات الدالة على مقدم خدمات التصديق.
بيانات هوية صاحب الشهادة، والتي تشمل اسمه وعنوانه الكامل.
تاريخ إصدار الشهادة، وفترة سريانها.
نطاق استخدام الشهادة وحدود مسؤوليتها النظامية، وكذلك شروط حماية سرية المعلومات.
رقم المادة
20 /1 يقوم المركز باعتماد شهادات التصديق الرقمي الصادرة من جهات أجنبية، وفقاً لسياسة المصادقة المتبادلة الصادرة ضمن القواعد والإجراءات المنظمة لعمل المركز.
20 /2 يجب مراعاة توافق قواعد وإجراءات الاعتراف بالجهة الأجنبية المصدرة للشهادة، مع شروط وإجراءات الحصول على ترخيص تقديم خدمات التصديق.
20 /3 مع مراعاة أي ضوابط، أو شروط واردة في النظام أو اللائحة، أو أي اتفاقيات دولية نافذة، لا يؤثر اعتماد شهادات التصديق الرقمي الصادرة من الجهة الأجنبية على حقوق صاحب الشهادة، أو على حقوق المتعاملين معه.
20 /4 ينشر المركز وفق الوسائل المتاحة قائمة بالجهات الأجنبية المعترف بها من قبل المركز، ويتم تحديث القائمة بشكل مستمر.
20 /5 يحق للمركز رفض شهادات التصديق الرقمي الصادرة من قبل جهة أجنبية معترف بها، حسبما تقتضيه المصلحة العامة.
المادة الثامنة عشرة: اعتماد شهادات التصديق الرقمي الأجنبية خارج المملكة
18 /1 تقوم الهيئة باعتماد شهادات التصديق الرقمي الصادرة من جهات أجنبية خارج المملكة.
18 /2 يجب مراعاة توافق قواعد وإجراءات الاعتراف بالجهة الأجنبية خارج المملكة المصدرة للشهادة، مع شروط وإجراءات الحصول على ترخيص تقديم خدمات التصديق.
18 /3 مع مراعاة أي ضوابط، أو شروط واردة في النظام أو اللائحة، أو أي اتفاقيات دولية نافذة، لا يؤثر اعتماد شهادات التصديق الرقمي الصادرة من الجهة الأجنبية خارج المملكة على حقوق صاحب الشهادة، أو على حقوق المتعاملين معه.
18 /4 تنشر الهيئة وفق الوسائل المتاحة قائمة بالجهات الأجنبية خارج المملكة المعترف بها من قبل الهيئة، ويتم تحديث القائمة بشكل مستمر.
18 /5 يحق للهيئة رفض شهادات التصديق الرقمي الصادرة من قبل جهة أجنبية خارج المملكة معترف بها، حسبما تقتضيه المصلحة العامة.
19/1 يلتزم مقدم خدمات التصديق بإعداد جميع النماذج والإجراءات والأدلة التي تمكنه من تقديم الخدمة بكفاءة، وفق الضوابط والشروط الواردة في النظام ولائحته التنفيذية، كما يجب اعتمادها من قبل الهيئة قبل تقديمها للمتعاملين. ولا يعفي اعتماد الهيئة مقدم خدمات التصديق من أي مسؤولية نظامية نتيجة أي ضرر قد يلحق بالأطراف التي تعتمد عليها.
رقم المادة
المادة الثانية والعشرون: تحديد الوسائل اللازمة لحماية الشهادات من التزوير والتدليس والتلف
22 /1 مع عدم الإخلال بالضوابط والشروط الفنية الواردة ضمن المادة الحادية عشرة من هذه اللائحة، يلتزم مقدم خدمات التصديق بإصدار الشهادات الرقمية بالاعتماد على وسائل حماية مناسبة، بما يضمن حماية الشهادات من التزوير، أو التدليس، أو التلف طول مدة فعاليتها. ويجب أن تكون وسائل الحماية على درجة عالية من المستوى الأمني، بحيث لا تقل عن المواصفات المقرة من قبل المركز في هذا الخصوص.
22 /2 يلتزم مقدم خدمات التصديق بإشعار الهيئة وكذلك كافة المستفيدين في حال وقوع خطر يحتمل أن يهدد أمن وسلامة الموارد الإلكترونية أو الإدارية لديه.
المادة العشرون: تحديد الوسائل اللازمة لحماية الشهادات من التزوير والتدليس والتلف
20 /1 مع عدم الإخلال بالضوابط والشروط الفنية الواردة ضمن المادة الحادية عشرة من هذه اللائحة، يلتزم مقدم خدمات التصديق بإصدار الشهادات الرقمية بالاعتماد على وسائل حماية مناسبة، بما يضمن حماية الشهادات من التزوير، أو التدليس، أو التلف طول مدة فعاليتها وبما لا يتعارض مع الأنظمة ذات العلاقة..
20 /2 يلتزم مقدم خدمات التصديق بإشعار الهيئة وكذلك كافة المستفيدين في حال وقوع خطر يحتمل أن يهدد أمن وسلامة الموارد الإلكترونية أو الإدارية لديه.
رقم المادة
المادة الثالثة والعشرون: حالات إلغاء الشهادة أو إيقاف العمل بها
23 /1 يجوز إلغاء شهادة التصديق الرقمي، أو إيقاف العمل بها، بناءً على طلب من صاحب الشهادة، دون أن يؤثر هذا الإلغاء، أو الإيقاف على حقوق أي من الأطراف الذين سبق لهم التعامل بموجب الشهادة الملغاة أو الموقوفة.
23 /2 يجب على مقدم خدمات التصديق إيقاف الشهادة أو إلغائها بناء على أمر من الهيئة، أو من غيرها من الجهات ذات الاختصاص. ويعدُّ مقدم خدمات التصديق ـ بناءً على ذلك ـ مسؤولاً عن إكمال الإجراءات التالية:
23/3 يتوجب على الهيئة في حالة قيامها بإيقاف الترخيص أو إلغائه، إعطاء مقدم خدمات التصديق الوقت الكافي للتقيد بالقرار، وتتخذ الهيئة الترتيبات اللازمة لضمان استمرار تقديم الخدمات للمستخدمين.
المادة الواحدة والعشرون: حالات إلغاء الشهادة أو إيقاف العمل بها
21/1 يجوز إلغاء شهادة التصديق الرقمي، أو إيقاف العمل بها، بناءً على طلب من صاحب الشهادة، دون أن يؤثر هذا الإلغاء، أو الإيقاف على حقوق أي من الأطراف الذين سبق لهم التعامل بموجب الشهادة الملغاة أو الموقوفة.
21/2 يجب على مقدم خدمات التصديق إيقاف الشهادة أو إلغائها بناء على أمر من الهيئة، أو من غيرها من الجهات ذات الاختصاص. ويعدُّ مقدم خدمات التصديق ـ بناءً على ذلك ـ مسؤولاً عن إكمال الإجراءات التالية:
21/3 يتوجب على الهيئة في حالة قيامها بإيقاف الترخيص أو إلغائه، إعطاء مقدم خدمات التصديق الوقت الكافي للتقيد بالقرار، وتتخذ الهيئة الترتيبات اللازمة لضمان استمرار تقديم الخدمات للمستخدمين.
22 /1 تُنشر هذه اللائحة في الجريدة الرسمية ويعمل بها من تاريخ العمل بالنظام.
آخر تحديث : 06 ديسمبر 2023
يمكنك تصفح البوابة عن طريق إعطاء أوامر صوتية بإستخدام المايكروفون
تحدث الان...
برجاء اعطاء الاوامر الصوتية من الخيارات التالية:
إخلاء المسؤولية : الترجمة إلى لغات أخرى يعتمد على ترجمة جوجل (Google)، وبالتالي فإن المركز الوطني للتنافسية غير مسؤول عن دقة المعلومات في اللغة الجديدة.