תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"ב-2001 בתוקף סמכותי לפי סעיפים (19)(א)(1) ו-24 (א)(9) עד (11) לחוק חתימה אלקטרונית, התשס"א-2001 (להלן - החוק), ובאישור הועדה לעניני מחקר ופיתוח מדעי וטכנולוגי של הכנסת לפי סעיף 24(ב)(2), אני מתקין תקנות אלה: פרק א': פרשנות 1. הגדרות בתקנות אלה - "מבקש" - כהגדרתו בסעיף 18(א) לחוק; "מסמך נהלים" - הוראות נוהל שלפיה פועל הגורם המאשר, הערוכות על פי מסמך RFC2527 של הארגון הבין-לאומי IETF (להלן - מסמך RFC) צוות המשימה להנדסת האינטרנט, ואשר הוגשו לאישור הרשם; "מערכת" - מערכת החומרה והתוכנה של הגורם המאשר המשמשת לפעילותו כגורם מאשר; "RSA", "DSA" ו-DSA" Curve Elliptic" - אלגוריתמים להפקת חתימה אלקטרונית מאובטחת, שהכיר בהם אחד הגופים המפורטים בתוספת; "FIPS" - סדרת תקנים של המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית של אמריקה, לאבטחת מידע במערכות מחשב; "Common Criteria EAL" - מדרג של רמות אבטחת מידע, אשר אומץ בידי ארגון התקינה הבין-לאומי, בתקן 15408 ISO; "תושב" - כמשמעותו בחוק מרשם האוכלוסין, התשכ"ה-1965, לרבות אזרח ישראלי שאינו תושב כאמור, הרשום במרשם האוכלוסין; "תושב חוץ" - מי שאינו תושב; "ת"י" - תקן ישראלי כמשמעותו בחוק התקנים, התשי"ג-1953 (להלן - חוק התקנים); "תקן מקובל" - תקן אבטחת מידע של אחד הגופים המפורטים בתוספת; "תקן 9594-8 ISO/IEC" - תקן של מכון התקנים הבין-לאומי, אשר פורסם גם כתקן X 509v.3 של הארגון הבין-לאומי IETF, צוות המשימה להנדסת אינטרנט. פרק ב': מערכות חומרה ותוכנה מהימנות 2. תקן גורם מאשר יקבל מאת מכון התקנים או מאת מי שאושר לענין זה לפי סעיף 12 לחוק התקנים, קודם לתחילת פעילותו לפי החוק, תעודת בדיקה בדבר התאמה לת"י 7799, חלקים 1 ו-2, ויעמוד בתקן במשך כל זמן פעילותו. 3. זמינות גורם מאשר ידאג להבטיח כי במערכות הדרושות לבדיקת מאגרי תעודות בטלות ועדכונן, תתקיים בכל עת רמת זמינות גבוהה, להנחת דעתו של הרשם. 4. אמצעי החתימה של הגורם המאשר גורם מאשר ישתמש באמצעי חתימה שמתקיימים בו לפחות כל אלה: (1) הוא מבוסס על מפתח RSA או DSA באורך 2,048 סיביות לפחות או Elliptic curve DSA באורך 160 סיביות לפחות; (2) הוא מוגן באמצעי שמתקיימות בו לפחות דרישות האבטחה של FIPS140-2 רמה 2; (3) הוא מגובה באמצעים מוגנים ומאובטחים, להנחת דעתו של הרשם; הגיבוי יישמר בנפרד; (4) דרישות נוספות שהעמיד הרשם לשם קיום אבטחה ברמה סבירה מפני חדירה, שיבוש או שימוש לרעה. 5. אבטחת מרכיבי המערכת ואמצעי התקשורת (א) מרכיבי המערכת המשמשים לזיהוי המבקש, להנפקת תעודה אלקטרונית ולביטולה (להלן - פעולות חיוניות) יעמדו ברמת ביטחון של תקן common criteria EAL4 או לפי תקן מקובל אחר, המבטיח רמת אבטחה מקבילה, להנחת דעתו של הרשם. (ב) אמצעי התקשורת המשמשים לפעולות החיוניות של הגורם המאשר, יעמדו בדרישות אבטחה גבוהות, להנחת דעתו של הרשם. 6. אבטחה פיזית גורם מאשר יבטיח כי חלקי המערכת החיוניים לפעילותו כגורם מאשר (להלן - החלקים החיוניים) יישמרו במקום מוגן, המונע חדירה וכניסה בלא הרשאה, והתואם את אופי פעילותו של גורם מאשר, להנחת דעתו של הרשם. 7. בקרת גישה והפרדת תפקידים (א) גורם מאשר יבטיח כי ביצוע הפעולות החיוניות לא יהא בשליטתו של אדם אחד בלבד. (ב) גורם מאשר יבטיח את מידור הגישה לחלקים החיוניים, כך שלאותו אדם לא תהא גישה לכל החלקים החיוניים. (ג) גורם מאשר ינהיג אמצעי זיהוי שיבטיחו זיהוי ותיעוד גישתו של כל אדם למערכת. (ד) הרשם רשאי לפטור גורם מאשר מהחובות לפי תקנות משנה (א) ו-(ב), מטעמים שיירשמו, ורשאי הוא לקבוע להן חובות חלופיות. פרק ג': חתימה אלקטרונית מאובטחת 8. חזקה לענין חתימה אלקטרונית מאובטחת חתימה אלקטרונית שמתקיים בה אחד מאלה, חזקה שהיא חתימה אלקטרונית מאובטחת: (1) לגבי אמצעי לאימות חתימה שמחזיק בידיו המבקש, ואמצעי החתימה שאותו הוא מזהה, מתקיימות לפחות הדרישות כמפורט להלן: (א) החתימה מופקת באמצעות מפתח המבוסס על תקן מקובל, העושה שימוש באחד מאלה: (1) מפתח RSA או DSA באורך 1,024 סיביות לפחות; (2) מפתח DSA curve elliptic באורך 160 סיביות לפחות; (ב) להפעלת אמצעי החתימה, או לגישה אליו, נדרש שימוש באמצעים פיזיים או הצפנתיים (קריפטולוגיים) ייחודיים, העומדים ברמת אבטחה של תקן FIPS 140-2 רמה 1, ברמת ביטחון של תקן common criteria EAL2 לפחות; (ג) היתה הפעלת אמצעי החתימה כרוכה בשימוש בסיסמה, תעמוד הסיסמה בדרישות אבטחה ברמה הגבוהה לפי ת"י 1495 חלק 3, או בדרישות חלופיות שקבע הרשם, אם נוכח כי ניתן לפטור מהדרישה האמורה; (2) היא חתימה אלקטרונית שאישר הרשם, לפי הוראות תקנה 9. 9. אישור לענין חתימה אלקטרונית מאובטחת (א) מי שמעוניין בכך, רשאי לפנות, בכתב, לרשם לשם קביעה - (1) אם טכנולוגיה מסוימת עומדת בדרישות שנקבעו בתקנה 8(1); פניה כאמור תכלול מסמכים המתארים את הטכנולוגיה, לרבות תעודת התאמה לתקן מקובל, אם ישנה, וחוות דעת של מומחה אבטחת מידע בדבר אמינותה של הטכנולוגיה; הרשם רשאי לדרוש כל מידע אחר הדרוש לו כדי לבחון אם מדובר בטכנולוגיה העומדת בדרישות תקנה 8(1) וכדי לאשרה; (2) כי טכנולוגיה מסוימת מפיקה חתימה אלקטרונית שחזקה שהיא חתימה אלקטרונית מאובטחת, אף שאין מתקיימות בה הוראות תקנה 8(1); פניה כאמור תכלול מסמכים כאמור בפסקה (1). (ב) אישר הרשם, לפי תקנת משנה (א), כי חזקה שחתימה אלקטרונית מסוימת היא חתימה אלקטרונית מאובטחת, יפרסם ברשומות את דבר אישורה של הטכנולוגיה שלגביה אישר כאמור; נוסף על כך, ינהל הרשם רשימה מעודכנת של טכנולוגיות שקיבלו את אישורו באתר אינטרנט המשמש לכך. פרק ד': בדיקת בקשות להנפקת תעודה אלקטרונית 10. זיהוי המבקש לא ינפיק גורם מאשר תעודה אלקטרונית אלא לאחר שאימת את זהות המבקש כמפורט להלן: (1) הגורם המאשר, או נציגו או שליח מטעמו שאישר הרשם ובתנאים שקבע באישור, זיהה פנים אל פנים את המבקש, ואם היה המבקש תאגיד - את מורשה החתימה מטעם התאגיד. (2) הגורם המאשר יאמת את פרטי הזיהוי של המבקש: (א) ביחיד שהוא תושב ישראל - על פי תעודת זהות, וכן על פי דרכון ישראלי תקף או רישיון נהיגה ישראלי תקף עם תמונה או על פי מידע שהתקבל ממרשם האוכלוסין במשרד הפנים (להלן - מרשם האוכלוסין); הרשם רשאי להורות, בהתחשב בעלות קבלת המידע ובתועלת העשויה לצמוח ממנו, כי האימות בהתאם לפסקת משנה זו, לגבי כלל התעודות האלקטרוניות או לגבי תעודות אלקטרוניות מסוימות, יתבצע על פי מידע שהתקבל ממרשם האוכלוסין; בפסקת משנה זו, "מידע שהתקבל ממרשם האוכלוסין" - הפרטים שדרש הרשם, כולם או חלקם, מבין אלה: מספר הזהות של המבקש, שם משפחתו ושם משפחה קודם, אם ישנו, שם פרטי, שם האב, שם האם, שנת לידה, תאריך הנפקת תעודה אחרון, סיבת הנפקת התעודה, מען נוכחי, אם ישנם - סטטוס פטירה ותאריך פטירה; (ב) ביחיד שהוא תושב חוץ - על פי דרכון חוץ או תעודת מסע או תעודת זהות, וכן על פי מסמך זיהוי נוסף הנושא תמונה של המבקש ופרטים מזהים שלו ושל מי שהנפיק את המסמך הנוסף; (ג) בתאגיד הרשום בישראל - על פי תעודת הרישום, אישור של עורך דין על קיומו של התאגיד, שמו ומספרו הרשום, או במקום אישור של עורך דין כאמור - על פי אימות במרשמים המתאימים, וכן על פי העתק מאושר של החלטת האורגן המוסמך בתאגיד בדבר מורשה החתימה מטעם התאגיד, או אישור של עורך דין על מורשה החתימה כאמור; (ד) בתאגיד שאינו רשום בישראל - על פי העתק מאושר ממסמך המעיד על רישומו, אישור של עורך דין על קיומו של התאגיד, שמו ומספרו הרשום, או במקום אישור של עורך דין כאמור - על פי אימות במרשמים המתאימים, וכן על פי העתק מאושר של החלטת האורגן המוסמך בתאגיד בדבר מורשה החתימה מטעם התאגיד או אישור של עורך דין על מורשה החתימה כאמור; (ה) במוסד ציבורי - על פי הצהרת המבקש, לאחר שהגורם המאשר נוכח, על פי מסמך, כי מורשה החתימה מוסמך לפעול בשם המוסד הציבורי; לענין פסקה זו, "מוסד ציבורי" - משרדי ממשלה, רשויות מקומיות, וכן רשויות, תאגידים או מוסדות אחרים שהוקמו בישראל לפי חיקוק; (3) לענין פסקאות משנה (ג) עד (ה) שבפסקה (2) - יזהה הגורם המאשר את מורשה החתימה לפי הוראות פסקאות משנה (א) או (ב) שבאותה פסקה, לפי הענין; (4) לענין פסקאות משנה (ד) ו-(ה) שבפסקה (2), "העתק מאושר" - העתק מתאים למקור המאומת בידי אחד מאלה: (א) הרשות שהנפיקה את מסמך המקור; (ב) עורך דין בעל רישיון לעריכת דין בישראל; (ג) נציג דיפלומטי או קונסולרי ישראלי בחוץ לארץ. 11. שמירת מסמכי הזיהוי גורם מאשר יקבל לידיו וישמור ברשותו או ברשות נציגו או שליחו כאמור בתקנה 10(1), העתק של כל אחד ממסמכי הזיהוי שהוגשו לפי תקנה 10, למשך 15 שנים לפחות מיום שפג תוקפה של התעודה האלקטרונית שהנפיק, ואולם אם חודשה התעודה לפי תקנה 12, ישמור את המסמכים למשך 15 שנים מיום שפג תוקפה של התעודה האחרונה שהנפיק לאותו מבקש. 12. זיהוי לצורך הנפקת תעודה אלקטרונית חדשה בהנפקת תעודה אלקטרונית חדשה, על סמך תעודה אלקטרונית שטרם פג תוקפה, יכול גורם מאשר לנקוט הליכי זיהוי שונים מאלה האמורים בתקנה 10, ובלבד שהרשם אישר הליכים כאמור. 13. הנפקת תעודה אלקטרונית (א) גורם מאשר ינפיק תעודה אלקטרונית למבקש רק לאחר שבדק כי המבקש מחזיק בידיו אמצעי חתימה להפקת חתימה אלקטרונית מאובטחת, וכי באמצעי החתימה ובאמצעי לאימות חתימה המזהה את אמצעי החתימה האמור מתקיימות הוראות תקנה 8. (ב) לענין קיום הוראות תקנה 8(1)(ב) ו-(ג), רשאי הגורם המאשר להסתפק בהצהרה מטעם המבקש, בדבר אמצעי החתימה שבו הוא משתמש, אופן הפעלתו והגישה אליו. (ג) תעודה אלקטרונית תהיה בהתאם לתקן ISO/IEC 9594-8. פרק ה': פרטים בתעודה אלקטרונית ושונות 14. פרטים בתעודה אלקטרונית (א) היה המבקש יחיד אשר זוהה שלא לפי תעודת זהות, תכלול התעודה האלקטרונית שתונפק לו את מספר הזיהוי שעל פיו זוהה, לפי תקנה 10, ואם היה המבקש תושב חוץ - גם את מקום הנפקת המסמך המזהה. (ב) היה המבקש תאגיד, תכלול התעודה האלקטרונית שתונפק לו את שם התאגיד ומספרו הרשום, שמו ותוארו של מורשה החתימה מטעם המבקש, ואת מספר הזיהוי שעל פיו זוהה, ואם היה תאגיד שאינו רשום בישראל - גם את מקום הרישום. (ג) היה המבקש מוסד ציבורי, תכלול התעודה האלקטרונית שתונפק לו את שם המוסד, וכן את שמו ותוארו של מורשה החתימה מטעם המבקש, ומספר הזיהוי שעל פיו זוהה. 15. שינוי תקן (א) הוחלף תקן מן התקנים הנזכרים בתקנות אלה, לרבות מסמך RFC, בתקן או מסמך חדש, לפי הענין, יהיו התקן או המסמך החדש מחייבים במקביל לתקן או המסמך הישן, זולת אם אין עוד בתקן או במסמך הישן כדי להבטיח תנאי אבטחה נאותים, להנחת דעתו של הרשם, שאז יחייב התקן או המסמך החדש בלבד, בתוך זמן שיורה הרשם. (ב) הרשם יודיע לגורמים מאשרים על שינוי תקן או מסמך RFC מחייב כאמור בתקנת משנה (א), ויפרסם באתר האינטרנט שיועד לכך רשימה מעודכנת של התקנים והמסמכים המחייבים לפי תקנות אלה. 16. דוח שנתי (א) הרשם יגיש לשר ולועדה לעניני מחקר ופיתוח מדעי וטכנולוגי של הכנסת, אחת לשנה ולא יאוחר מיום 1 באוקטובר של השנה, דין וחשבון בדבר הפעלת סמכויותיו לפי תקנות אלה, לרבות בדבר הטכנולוגיות שאושרו והליכי אישורן. (ב) הדוח האמור בתקנת מענה (א) יפורסם באתר האינטרנט של הרשם. 17. תחילה תחילתן של תקנות אלה ביום תחילתו של החוק. תוספת (תקנה 1) (IETF) Internet Engineering Task Force (NIST) National Institute of Standards and Technology (ANSI) American National Standards Organization (ETSI) European Telecommunications Standards Institute (ISO) Internetional Standards Organization מכון התקנים הישראלי תקנות חתימה אלקטרונית (הכשרה לפקח על פעולות), התש"ע-2009 בתוקף סמכותי לפי סעיף 17(ב)(3) לחוק חתימה אלקטרונית, התשס"א-12001 (להלן - החוק), אני מתקין תקנות אלה: 1. הכשרת מפקחים הכשרה מתאימה להסמכת עובד המדינה בסמכויות הרשם לפי סעיף 17(א) לחוק לפקח על פעולות הגורמים המאשרים, תהיה לפי תכנית הכוללת, להנחת דעת הרשם, נושאים אלה: (1) הוראות החוק והתקנות שלפיו, במיוחד לעניין סמכויות הרשם; (2) עקרונות במשפט המינהלי, בסדר הדין הפלילי ובדיני הראיות, בעלי זיקה עניינית להפעלת סמכויות הרשם לפי החוק; (3) יסודות אבטחת מידע והיכרות עם אמצעי אבטחת מידע ועם תקנים ישראליים ובין-לאומיים הנוגעים בדבר; (4) היבטים טכנולוגיים של השימוש בחתימה אלקטרונית מאובטחת ובחתימה אלקטרונית מאושרת ואופן פעולתו של גורם מאשר. 2. עדכון מקצועי אחת לשנה לפחות, ישתלם עובד המדינה שהוסמך כאמור, בחידושים ובהתפתחויות בנושאים המפורטים בתקנה 1, בהיקף ובמתכונת שיורה עליהם הרשם. 3. תחילה תחילתן של תקנות אלה 30 ימים מיום פרסומן. תקנות חתימה אלקטרונית (רישום גורם מאשר וניהולו), התשס"ב-2001 בתוקף סמכותי לפי סעיפים 10(א)(3), 20(ב), 24(א)(1), (2), (4) עד (6) ו-(8), ו-(ב)(1) לחוק חתימה אלקטרונית, התשס"א-2001 (להלן - החוק), לענין תקנה 20 - באישור שר האוצר לפי סעיף 39ב לחוק יסודות התקציב, התשמ"ה-1985, ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה: פרק א': פרשנות 1. הגדרות בתקנות אלה - "מסמך נהלים" - כהגדרתו בתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"ב-2001; "מעבדה מאושרת" - מכון התקנים או מי שאושר לענין זה לפי סעיף 12 לחוק התקנים, התשי"ג-1953; "ת"י" - תקן ישראלי כמשמעותו בחוק התקנים, התשי"ג-1953; "תעודת התאמה לתקן" - אישור מאת מעבדה מאושרת בדבר עמידה בהוראות התקן; "תקן ISO" - תקן של הארגון הבין-לאומי לתקינה (International Standards Organization); "RFC" - סדרת מסמכים מוכרים של צוות המשימה להנדסת האינטרנט (IETF). פרק ב': בקשה לרישום 2. בקשת רישום גורם מאשר גורם המבקש להירשם כגורם מאשר יגיש לאישור הרשם בקשה בכתב בצירוף המסמכים המפורטים להלן: (1) עותק של מסמך נהלים שעל פיו הוא פועל; (2) תעודת התאמה לת"י 7799 חלקים 1 ו-2; (3) תעודה בדבר התאמה לתקן -9000ISO, ואולם הרשם רשאי לקבל במקום תעודה כאמור, אישור בדבר התחלת הליך בדיקת ההתאמה, והתחייבות להשלמת ההליך בתוך שנה מיום הגשת הבקשה לרשם; (4) אישור חתום בידי רואה חשבון כי מבקש הרישום מקיים את הוראות פרק ג' לענין ערובה וביטוח; (5) אישור על רישום בפנקס מאגרי המידע לפי חוק הגנת הפרטיות, התשמ"א-1981; (6) הסכמה בכתב לכך שהרשם יקבל, בכל עת ולפי דרישתו, פרטים על מבקש הרישום ועל מי שמועמד להיות מנהל בגורם המאשר, מן המרשם הפלילי, על פי חוק המרשם הפלילי ותקנת השבים, התשמ"א-1981; (7) קבלה על תשלום אגרת הרישום, כמפורט בתקנה 21; (8) חוות דעת של מבקר לפי כללי ביקורת מקובלים, בדבר נאותות מערכות המידע, מערכות הבקרה ואמצעי האבטחה של מבקש הרישום, והכל להנחת דעתו של הרשם; לענין זה, "מבקר" - מי שמתקיימים בו כל אלה: (א) יחיד; (ב) תושב ישראל; (ג) לא הורשע בעבירה אשר מפאת מהותה, חומרתה או נסיבותיה אין זה מן הראוי כי הוא יהיה מבקר; (ד) בעל תואר אקדמי ממוסד להשכלה גבוהה בישראל או שהוא רואה חשבון או שהוא עורך דין; (ה) בעל הסמכה מקובלת, או בעל ניסיון של חמש שנים רצופות בביקורת מערכות מידע או באבטחת מערכות מידע, הכל להנחת דעתו של הרשם. 3. פרסום רישומו של גורם מאשר וביטולו (א) מיד לאחר רישום מבקש הרישום במרשם, יפרסם הרשם את דבר רישומו באתר אינטרנט שישמש לכך, וכן בשני עיתונים יומיים נפוצים. (ב) ביטל הרשם רישום של גורם מאשר, לפי סעיף 14 לחוק, או התלה את תוקפו לפי הסעיף האמור, או הוחלף גורם מאשר על ידי גורם מאשר מחליף לפי תקנה 17, יפרסם הודעה על כך בדרך האמורה בתקנת משנה (א). 4. דיווח תקופתי גורם מאשר יגיש לרשם, אחת לשנה מיום רישומו, מסמכים כמפורט להלן: (1) מסמכים המעידים על עמידה בביקורת תקופתית על פי ת"י 7799; (2) מסמכים המעידים על עמידה בביקורת תקופתית לענין התאמה לתקן -9000ISO; (3) אישור חתום בידי רואה חשבון, המעיד על קיום ערבות, ביטוח או ערובה אחרת, ועל סכומיהם ותנאיהם, כנדרש לפי פרק ג'; (4) חוות דעת של מבקר כאמור בתקנה 2(8). 5. שמירת עותקים הרשם יותיר בידיו העתק של כל המסמכים שקיבל לצורך רישום גורם מאשר, ויחזיקם למשך 25 שנים לפחות. פרק ג': ערבות, ערובה אחרת וביטוח 6. ערבות בנקאית וערובה אחרת (א) קבע הרשם כי גורם מאשר יפקיד בידיו ערבות בנקאית, תהיה הערבות בסכום של 400,000 שקלים חדשים, לטובת הרשם. (ב) הערבות תהיה בלתי מותנית, ולא תהיה ניתנת לביטול, שעבוד או עיקול, אלא לפי תקנות אלה. (ג) נוסח כתב הערבות יהיה להנחת דעתו של הרשם. (ד) הרשם רשאי. אם ראה כי נסיבות הענין מצדיקות זאת, לשנות את סכום הערבות הבנקאית, מטעמים שיירשמו. (ה) גורם מאשר יבטיח כי בכל עת לא יפחת סכום הערבות מהסכום הקבוע בתקנת משנה (א) או מהסכום ששונה לפי תקנת משנה (ד). (ו) הרשם רשאי להורות כי במקום ערבות בנקאית, כאמור בתקנת משנה (א), תופקד ערובה אחרת לטובתו; על ערובה אחרת כאמור יחולו הוראות תקנות משנה (ב) עד (ה), בשינויים המחויבים. 7. ביטוח (א) קבע הרשם כי גורם מאשר יערוך ביטוח אחריות מקצועית, אצל מבטח כהגדרתו בחוק הפיקוח על עסקי ביטוח, התשמ"א-1981, הוא יערוך אותו באופן שיכסה תביעות בשל אירועים שאירעו בתקופת הפוליסה, גם אם הוגשו בתוך שנה מתום תקופת הפוליסה. (ב) הביטוח יהיה לכיסוי חבותו של הגורם המאשר כלפי מי שנפגע עקב מעשה או מחדל של הגורם המאשר; נוסח פוליסת הביטוח יהיה להנחת דעתו של הרשם. (ג) גובה הביטוח יהיה, בכל עת, לפי מספר התעודות האלקטרוניות שהגורם המאשר הנפיק או שהוא מתכוון להנפיק, לפי הגבוה מביניהם, ולפחות לפי הסכומים שלהלן: בשקלים חדשים (1) עד 50,000 מיליון (2) עולה על 50,000 ואינו עולה על 150,000 2 מיליון (3) עולה על 150,000 ואינו עולה על 250,000 3 מיליון (4) עולה על 250,000 ואינו עולה על 500,000 5 מיליון (5) עולה על 500,000 ואינו עולה על 1,000,000 10 מיליון (6) עולה על 1,000,000 15 מיליון 8. מימוש ערובה (א) מימוש הערבות הבנקאית, ערובה אחרת שקבע הרשם, או תשלום תגמולי ביטוח, לזכות מי שנפגע ממעשה או מחדל של גורם מאשר בפעילותו לפי סעיף 18 לחוק, יהיה בהתאם לקביעת בית המשפט, אלא אם כן קיים הגורם המאשר את חיובו כלפי הנפגע בדרך אחרת. (ב) בית המשפט יקבע אם הפיצוי יבוא ממימוש הערבות הבנקאית, הערובה האחרת אם ניתנה, מתגמולי הביטוח או מצירוף שלהם. (ג) הרשם יממש את הערובה והמבטח ישלם את תגמולי הביטוח כפי שקבע בית המשפט, עם הצגת אחד מאלה: (1) פסק דין של בית משפט בתובענה של הנפגע כנגד הגורם המאשר; (2) הסכם פשרה בין הנפגע לבין הגורם המאשר, שקיבל תוקף של פסק דין; (3) פסק בורר שאישר בית המשפט בסכסוך בין הנפגע לבין הגורם המאשר. פרק ד': ניהול גורם מאשר 9. תקן גורם מאשר יקיים את דרישות תקן -9000ISO, ויעמוד בתקן במשך כל זמן פעילותו. 10. מסמך נהלים גורם מאשר יפעל על פי מסמך הנהלים כפי שהוגש לאישור הרשם, ולא ישנה אותו שלא באישור הרשם. 11. פעולות הגורם המאשר (א) גורם מאשר יבצע, בישראל, את כל הפעולות הנדרשות לצורך הנפקת תעודה אלקטרונית, ובכלל זה זיהוי המבקש, הנפקת תעודה, וניהול מאגרי תעודות תקפות ובטלות; הרשם רשאי לאשר לגורם מאשר, מנימוקים מיוחדים שיירשמו, לבצע חלק מן הפעולות האמורות מחוץ לישראל, ובתנאים שיורה. (ב) גורם מאשר יביא את מסמך הנהלים לידיעת הציבור באופן נוח וזמין, בין השאר באמצעות אתר אינטרנט, בדרך המוגנת באופן סביר מפני חדירה ושיבוש. (ג) גורם מאשר ינפיק תעודה רק לאחר שביצע פעולות אלה: (1) זיהה את המבקש ובדק את אמצעי אימות החתימה שבידיו, לפי הוראות תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"ב-2001; (2) בדק כי כל הפרטים בבקשה לקבלת תעודה נכונים ומלאים; (3) הזהיר את המבקש בדבר הסכנות הכרוכות בשימוש בחתימה אלקטרונית, החובות המוטלות עליו, והמבקש אישר בכתב כי הוזהר כאמור. 12. איסור הסתמכות גורם מאשר לא יבצע התקשרויות אלקטרוניות בהסתמך על תעודה אלקטרונית שהוא הנפיק, למעט פעולות הדרושות לצורך הנפקת התעודה, רישומה או ביטולה. 13. איסור החזקת אמצעי חתימה גורם מאשר לא יקבל לידיו ולא יחזיק אמצעי חתימה של המבקש, או כל מידע המאפשר שחזור או יצירה של אמצעי חתימה בעבור או במקום המבקש, ולא יהיה בעל גישה לאמצעי החתימה או מידע כאמור. 14. שימוש בשפה העברית (א) המסמכים שנדרש הגורם המאשר לגלותם לציבור יהיו בשפה העברית, ויכול שיהיו, בנוסף, גם בשפה אחרת; לענין זה, "מסמכים" - לרבות מסמך נהלים, המידע בתעודות אלקטרוניות לפי סעיף 19 לחוק, ומאגר תעודות אלקטרוניות בטלות. (ב) קיום החובה לפי תקנת משנה (א), לענין השפה העברית במערכות התקשורת והמחשבים, יהיה בהתאם לת"י 1489 ולת"י 1500. פרק ה': ניהול מאגרים 15. ניהול מאגרים (א) גורם מאשר ינהל מאגר של תעודות אלקטרוניות בטלות, וכן מאגר נוסף של תעודות אלקטרוניות תקפות ובו תופיע גם תעודתו האלקטרונית של הגורם המאשר. (ב) כל אחד ממאגרי התעודות האמורים בתקנת משנה (א) ינוהל ברמת אבטחה גבוהה, להנחת דעתו של הרשם. (ג) מאגר התעודות הבטלות יהיה זמין באופן מקוון ומיידי למי שמבקש להסתמך על תעודה אלקטרונית מסוימת; גורם מאשר רשאי להתנות את הגישה למאגרים, ובלבד שהתנאים יהיו גלויים מראש לבעל החתימה ולמסתמך. (ד) גורם מאשר רשאי לפרסם תעודות אלקטרוניות בטלות באופן שונה מן האמור בתקנת משנה (ג), ובלבד שקיבל לכך אישור מראש ובכתב מהרשם, ופרסם זאת באתר האינטרנט שלו. 16. ביטול תעודה (א) בבואו לבטל תעודה אלקטרונית לפי הנסיבות האמורות בסעיף 20 לחוק, יפעל הגורם המאשר לאמת את זהות מבקש הביטול או מהימנות הודעת הביטול בהקדם האפשרי, ויבטל את התעודה מיד עם אימות זהות המבקש או הבקשה כאמור. (ב) גורם מאשר לא יחדש תעודה שבוטלה, אלא ינקוט הליך להנפקת תעודה חדשה במקומה. (ג) אין להתלות תוקף תעודה אלא אם כן קבע הגורם המאשר את העילות להתליה ואת השלכותיה, והביא מידע זה לידיעת הציבור באופן זמין ומקוון. 17. פגם בפעילות גורם מאשר (א) גילה גורם מאשר כי נפל פגם בחתימתו האלקטרונית המאובטחת, או במערכות החומרה והתוכנה שלו, שיש בו כדי לפגוע במהימנותו כאמור בסעיף 20(א)(4) לחוק, יודיע על כך מיד לרשם ולכל מי שהוא הנפיק לו תעודה אלקטרונית הנסמכת על חתימה זו, לרבות באמצעים אלקטרוניים ובפרסום דבר הפגם בשני עיתונים יומיים נפוצים לפחות. (ב) הרשם יפרסם מיד את דבר הפגם באתר האינטרנט שלו. 18. סיום או הפסקת פעילות גורם מאשר (א) פורסמה הודעה על פירוק תאגיד שהוא גורם מאשר או החליט גורם מאשר על הפסקת פעילותו כגורם מאשר או הודיע הרשם לגורם מאשר כי בכוונתו למחוק את רישומו מן המרשם לפי הוראות סעיף 14 לחוק, ינקוט הגורם המאשר פעולות אלה: (1) יימנע מלהנפיק תעודות אלקטרוניות חדשות; (2) יבטל בהקדם האפשרי את כל התעודות האלקטרוניות התקפות שהנפיק, יודיע על כך מיד לבעליהן, ויכניסן לרשימת התעודות הבטלות; (3) יעביר לידי הרשם את אמצעי החתימה ואמצעי אימות החתימה שלו, וכן העתק מדויק של מאגרי התעודות האלקטרוניות שהנפיק, ומאגר התעודות הבטלות, בתוך 72 שעות ממועד הפסקת פעילות או ממועד מחיקת הרישום, לפי הענין; (4) יעביר לידי הרשם העתק מדויק של כל המסמכים שקיבל לצורך הנפקת תעודות אלקטרוניות, בתוך 7 ימים ממועד הפסקת הפעילות או מחיקת הרישום, לפי הענין. (ב) על אף האמור בתקנת משנה (א), רשאי גורם מאשר אשר לא קיבל הודעה מאת הרשם בדבר הכוונה למחקו מן המרשם, להעביר את ניהולו לידי גורם מאשר אחר הרשום במרשם (להלן - גורם מאשר מחליף), ובלבד שקיבל לכך את אישור הרשם בכתב; הרשם רשאי להתנות את האישור בתנאים. (ג) הפסיק גורם מאשר את פעילותו כאמור, יודיע על כך מיד לכל מי שהוא הנפיק לו תעודה אלקטרונית התקפה בעת הפסקת הפעילות. (ד) הגורם המאשר המחליף ימלא את כל זכויותיו וחובותיו של הגורם המאשר שהפסיק את פעילותו, ואולם אם ביקש בעל התעודה לבטל את תעודתו האלקטרונית, יבטלה הגורם המאשר המחליף וינקוט לגביה את הצעדים האמורים בתקנת משנה (א). (ה) הרשם ישמור את כל המסמכים, אמצעי החתימה והמאגרים שקיבל לפי תקנת משנה (א), למשך 25 שנים לפחות מיום קבלתם. פרק ו': שונות 19. חובות תיעוד על גורם מאשר לנהל מערכת לניהול תצורה ולניהול שינויים בתוכנה, וכן לנהל רישום של כל הפעולות והאירועים הנוגעים לפעילותו, סמוך לזמן האירוע, ובכלל אלה ירשום: זמני הפעלת מערכת המחשב המשמשת לפעילותו כגורם מאשר וכל אחד מיישומיה, וזמני הפסקתם, שינוי סיסמאות, ניסיונות בלתי מורשים לחדור למערכת, ייצור או שינוי מפתחות, הנפקת תעודות וביטולן והרשאות גישה למערכת המחשב. 20. גיבוי ושמירה (1) יבטיח אמצעי גיבוי נאותים, ברמה גבוהה של זמינות, אמינות והגנה מפני אבדן מידע, בהתאם לסוגי המידע, הכל להנחת דעתו של הרשם; (2) ישמור מסמכים ומידע שקיבל לפי תקנות אלה, למשך 25 שנים לפחות, בתנאי אחסון המבטיחים הגנה מפני חדירה ושיבוש וכן מפני מפגעים סביבתיים, באמצעים המאפשרים גישה למסמכים ולמידע במשך כל תקופת האחסון. 21. אגרת רישום (א) בעד רישומו כגורם מאשר ישלם מבקש הרישום, לפני הגשת הבקשה, אגרה בסך 27,500 שקלים חדשים. (ב) ב-1 בינואר של כל שנה (להלן - יום השינוי) ישתנה סכום האגרה הנקוב בתקנת משנה (א), לפי שיעור עליית המדד החדש לעומת המדד היסודי. (ג) סכום שהשתנה כאמור, יעוגל לסכום הקרוב שהוא מכפלה של 100 שקלים חדשים. (ד) בתקנה זו - "מדד" - מדד המחירים לצרכן שמפרסמת הלשכה המרכזית לסטטיסטיקה; "המדד החדש" - המדד שפורסם לאחרונה לפני יום השינוי; "המדד היסודי" - המדד שפורסם לאחרונה לפני יום השינוי הקודם, ולענין יום השינוי הראשון שלאחר תחילתן של תקנות אלה המדד שפורסם בחודש אוגוסט 2001. (ה) החליט הרשם שלא לרשום את מבקש הרישום כגורם מאשר, יחזיר לו את מלוא סכום אגרת הרישום, כשהוא צמוד לשינוי של המדד שפורסם לאחרונה לפני יום ההחזר, לעומת המדד שפורסם לאחרונה לפני יום הגשת הבקשה לרשם. 22. תחילה תחילתן של תקנות אלה ביום תחילתו של החוק. חתימה אלקטרוניתמסמכיםתקנות