في ظل انتشار التعاملات الإلكترونية تسعى المملكة العربية السعودية إلى تعزيز التحول الرقمي في جميع جوانب الحياة اليومية، ومن بين الجوانب الحيوية تأتي خدمات التصديق الرقمي، حيث تولي المملكة اهتماماً كبيراً بتنظيمها وتطويرها لضمان الثقة والأمان في التعاملات الإلكترونية، حيث تعد خدمات التصديق الرقمي أحد أساسيات الاقتصاد الرقمي الحديث، كما أنها توفر بيئة موثوقة للتحقق من الشهادات والتوقيعات والاختام الالكترونية، وتدرك المملكة أهمية تلك الخدمات في تمكين الأفراد والشركات من إجراء معاملاتهم الإلكترونية بسهولة وأمان، كما تتبنى المملكة مجموعة من الضوابط التي تنظم خدمات التصديق الرقمي في البلاد، وبالأخص قرار مجلس إدارة هيئة الحكومة الرقمية رقم (م-8-6) وتاريخ 03 /09 /1445هـ بشأن اللائحة التنفيذية لنظام المعاملات الإلكترونية، والتي سوف نعتمد عليها في توضيح كل ما يخص ترخيص خدمات التصديق الرقمي في المملكة العربية السعودية.
فئات خدمات التصديق الرقمي واشتراطات تقديمها للمرخص له
تجدر الإشارة إلى أنه تشمل خدمات التصديق الرقمي ما يلي:
- خدمات إصدار الشهادات الرقمية:
- تتيح للمرخص له تقديم خدمات إصدار شهادات التوقيعات والأختام الإلكترونية للمرخصين الآخرين الذين تحددهم الهيئة لتمكينهم من تقديم خدمات التصديق الرقمي الأخرى للمستفيد النهائي.
- تشمل خدمات إصدار الشهادات الرقمية ما يلي:
- إصدار شهادة للتوقيع الإلكتروني: عملية إصدار شهادة تصديق رقمي لغرض استخدامها في عمليات توقيع إلكتروني.
- إصدار شهادة للختم الإلكتروني: عملية إصدار شهادة تصديق رقمي لغرض استخدامها في عمليات ختم إلكتروني.
- إصدار شهادة المصادقة للموقع الإلكتروني: إصدار شهادة تصديق رقمي لغرض استخدامها في عمليات مصادقة موقع إلكتروني.
- اشتراطات تقديم خدمات إصدار الشهادات الرقمية:
- الالتزام بكافة الإجراءات والشروط الموضحة في هذه اللائحة والنظام وما تصدره الهيئة في هذا الشأن.
- الارتباط بالمركز الجذري السعودي التابع للمركز، أو ما تحدده الهيئة بالاتفاق مع المركز في هذا الشأن.
- يحق للمرخص له لتقديم خدمات إصدار الشهادات الرقمية للتوقيعات والأختام الإلكترونية، تقديم بعض أو جميع الخدمات الأخرى للتصديق الرقمي للمستفيد النهائي وفقاً لما تحدده الهيئة في هذا الشأن.
- خدمات التوقيع الإلكتروني والختم الإلكتروني والزمني
- تتيح للمرخص له تقديم خدمات التوقيع الإلكتروني أو الختم الإلكتروني أو الزمني للمستفيد النهائي.
- تشمل خدمات التوقيع الإلكتروني والختم الإلكتروني والزمني ما يلي:
- إنشاء التوقيعات الإلكترونية: خدمة تتيح إنشاء توقيعات إلكترونية، باستخدام جهاز لإنشائها بناءً على شهادة توقيعات إلكترونية.
- التحقق من التوقيعات الإلكترونية: خدمة يتم من خلالها التحقق من صحة وسلامة التوقيعات الإلكترونية.
- حفظ التوقيعات الإلكترونية: عملية حفظ التوقيعات الإلكترونية بطريقة تضمن عدم العبث بها وإمكانية استرجاعها والتحقق منها لاحقاً.
- إدارة جهاز إنشاء التوقيعات الإلكترونية: برنامج أو جهاز لإدارة وإنشاء التوقيعات الإلكترونية.
- إنشاء الأختام الإلكترونية: إنشاء أختام إلكترونية باستخدام جهاز لإنشائها بناءً على شهادة أختام إلكترونية.
- التحقق من الأختام الإلكترونية: خدمة يتم من خلالها التحقق من صحة وسلامة الأختام الإلكترونية.
- حفظ الأختام الإلكترونية: عملية حفظ الأختام الإلكترونية بطريقة تضمن عدم العبث بها وإمكانية استرجاعها والتحقق منها لاحقاً.
- إدارة جهاز إنشاء الأختام الإلكترونية: برنامج أو جهاز لإدارة وإنشاء الأختام الإلكترونية.
- إنشاء أختام زمنية إلكترونية: عملية إنشاء بيانات في صيغة إلكترونية لإثبات الوقت الذي تمّت فيه عملية التوقيع أو الختم الإلكتروني.
- اشتراطات تقديم خدمات التوقيع الإلكتروني والختم الإلكتروني والزمني:
- الالتزام بكافة الإجراءات والشروط الموضحة في هذه اللائحة والنظام وما تصدره الهيئة في هذا الشأن.
- الحصول على الشهادات الرقمية للتوقيعات والأختام الإلكترونية من خلال الربط مع مرخص له بتقديم خدمات إصدار الشهادات الرقمية.
هذا وترتبط خدمة «إنشاء التوقيعات الإلكترونية» بخدمة «التحقق من التوقيعات الإلكترونية»، حيث لا يمكن للمرخص له تقديم إحداهما دون الأخرى ما لم تقرر الهيئة خلاف ذلك، كما ترتبط خدمة «إنشاء الأختام الإلكترونية» بخدمة «التحقق من الأختام الإلكترونية»، حيث لا يمكن للمرخص له تقديم إحداهما دون الأخرى ما لم تقرر الهيئة خلاف ذلك.
إجراءات الحصول على الترخيص وتجديده ووقفه وإلغائه والتنازل عنه
تجدر الإشارة إلى أنه مع مراعاة ما يصدر عن الهيئة، تكون إجراءات الحصول على الترخيص، أو تجديده، أو وقفه، أو إلغائه كما يلي:
- التقديم
تقديم طلب إصدار الترخيص، عبر الوسيلة التي تقرها الهيئة ووفق النماذج المعتمدة منها، وذلك بعد استيفاء جميع الشروط والمتطلبات المذكورة في هذه اللائحة وما يصدر عن الهيئة، ويتم دراسة طلب الترخيص من قبل الهيئة، ولها طلب أي بيانات أو معلومات إضافية من مقدم الطلب، كما يتم إشعار مقدم الطلب بنتيجة دراسة طلبه، سواء بالموافقة أو باستكمال المستندات أو بالرفض، ويكون للهيئة إلغاء الطلب وإشعار مقدم الطلب في حال عدم التزامه بتقديم البيانات والمعلومات المطلوبة خلال المدة التي تحددها الهيئة.
- الإصدار
في حال صدور موافقة الهيئة على الطلب، يقوم المتقدم بطلب الترخيص بدفع المقابل المالي لإصدار الترخيص بحسب ما يصدر عن الهيئة، وتصدر الهيئة وثيقة ترخيص تقديم خدمات التصديق الرقمي لمقدم الطلب.
- التجديد
حيث يتم تقديم طلب تجديد الترخيص قبل 90 يوماً على الأقل من تاريخ انتهاء الترخيص، عبر الوسيلة التي تقرها الهيئة ووفق النماذج المعتمدة منها، كما يلتزم مقدم طلب تجديد الترخيص بإجراءات التقديم المنصوص عليها، وفي حال صدور موافقة الهيئة على الطلب، يقوم مقدم الطلب بدفع المقابل المالي لتجديد الترخيص بحسب ما يصدر عن الهيئة، وتُصدر الهيئة وثيقة ترخيص تقديم خدمات التصديق الرقمي لمقدم الطلب.
- الإيقاف والإلغاء والتنازل
حيث يتم تقديم طلب إيقاف الترخيص أو إلغائه أو التنازل عنه، مع إرفاق جميع المبررات للطلب، والخطة التفصيلية للتعامل مع العقود الحالية المرتبطة بنطاق الترخيص والتعهد بتسليم كافة الملفات والبيانات للهيئة بالوسيلة التي تحددها الهيئة، ويتم دراسة الطلب من قبل الهيئة، ولها طلب أي بيانات أو معلومات إضافية من مقدم الطلب، كما يتم إشعار مقدم الطلب بنتيجة دراسة طلبه.
هذا وللهيئة فرض أي إجراءات أخرى تراها مناسبة في هذا الشأن.
تنظيم تراخيص تقديم خدمات التصديق الرقمي
إن للهيئة إيقاف الترخيص أو إلغاؤه إذا أخلَّ المرخص له بالشروط والأحكام الواردة في اللائحة التنفيذية لنظام التعاملات الالكترونية أو الأنظمة واللوائح ذات العلاقة أو ما تصدره الهيئة من تعليمات أو قرارات، وفق الآتي:
- إشعار المرخص له بما تم رصده، عبر الوسيلة التي تقرها الهيئة، وتوجيهه باتخاذ إجراءات التصحيح اللازمة خلال المدة التي تحددها الهيئة.
- تمديد مدة التصحيح للمرخص له وفقاً لتقدير الهيئة.
- إلغاء الترخيص في حال عدم التزام المرخص له بإجراءات التصحيح المطلوبة خلال المدة التي حددتها الهيئة.
هذا وتكون مدة تراخيص تقديم خدمات التصديق الرقمي خمس سنوات ميلادية اعتباراً من تاريخ صدورها، ما لم تقرر الهيئة خلاف ذلك، ويخضع تقديم خدمات التصديق الرقمي للمقابل المالي المحدد من الهيئة، ولها الحق في إجراء أي تعديل عليه بعد الاتفاق مع مركز تنمية الإيرادات غير النفطية ووزارة المالية.
كما يجب على المرخص له تقديم خطة إنهاء النشاط، تتضمن تفاصيل الإجراءات التي يتم اتباعها عند توقف مقدم خدمات التصديق الرقمي عن ممارسة نشاطه بطلب منه، أو في حالات إيقافه من قبل الهيئة، أو إلغاء ترخيصه أو عدم تجديده، بما يضمن حقوق جميع الأطراف ذوي الصلة.
وللهيئة الإشراف على إجراءات إطلاق الخدمة للمرخص له وإنهاؤها وتغييرها وتعليقها، وتحدد الهيئة عدد التراخيص المتاحة لتقديم خدمات التصديق الرقمي ويحق لها تعديلها وفقاً للمصلحة العامة.
وأيضاً للهيئة فرض شروط، أو إجراءات، أو متطلبات إضافية، أو إلغاء، أو استثناء بعضها على المتقدم بطلب الترخيص وفقاً لتنظيماتها والتعليمات الصادرة عنها ومقتضيات المصلحة العامة، وللهيئة وفقاً لاختصاصها إصدار الوثائق التنظيمية والضوابط والأدلة الاسترشادية والقرارات لتنظيم تقديم خدمات التصديق الرقمي متى ما رأت الحاجة إلى ذلك.
وكذلك تحدد الهيئة الإجراءات التأهيلية والتنافسية، وآلية طرح تراخيص تقديم خدمات التصديق الرقمي دون الإخلال بالأنظمة المعمول بها في المملكة العربية السعودية.
الشروط والضوابط اللازمة للحصول على ترخيص تقديم خدمات التصديق الإلكتروني
يجب أن يتوفر لدى المتقدم بطلب ترخيص تقديم خدمات التصديق الرقمي ما يلي:
- سجل تجاري ساري المفعول لستة أشهر من تاريخ التقديم، على أن يكون مقر المنشأة الرئيسي في المملكة، وأن يكون نشاطها الرئيسي «المعلومات والاتصالات».
- قائمة بالأعمال والمشاريع السابقة التي تثبت تمتع المتقدم بطلب الترخيص بالخبرة التشغيلية في مجال التصديق الرقمي، إن توفرت، أو مجال الخدمات الرقمية.
- منظومة بيانات إلكترونية ومنظومة لشهادات التصديق الرقمي وللتواقيع والأختام الإلكترونية، ضمن بيئة عمل فنية قياسية حسبما يرد في سياسة الشهادة الرقمية وإجراءات التصديق الرقمي.
- بنية تحتية فنية، وموارد إدارية على درجة عالية من الكفاءة والمعيارية بمستوى لا يقل عن المقاييس المحددة وفقاً لسياسة الشهادة الرقمية وإجراءات التصديق الرقمي، لتشغيل وإدارة جميع عمليات التصديق الرقمي التي من أهمها إصدار شهادات التصديق الرقمي، وما يتبع ذلك من تجديد للشهادات، وتعليقها، وإلغائها، وإعادتها.
- إتاحة البيانات الخاصة بالتحقق من صحة الشهادات، والتواقيع والأختام الإلكترونية لجميع أطراف التعامل الإلكتروني، مع ضمان ربطها مباشرة بقوائم الشهادات الموقوفة والملغاة.
- تأسيس جميع الموارد الإلكترونية وتشغيلها وإدارتها، وفق آلية تضمن عمليات الحفظ و(الأرشفة)، وكذلك النقل إلى منظومات وقواعد بيانات قياسية أخرى، مع توفير البدائل والخطط التي بموجبها يتم ضمان استمرار الخدمة.
التزامات المرخص له بتقديم خدمات التصديق الإلكتروني
حيث يلتزم المرخص له بتقديم خدمات التصديق الإلكتروني في السعودية بالآتي:
- الامتثال للنظام وهذه اللائحة وما يصدر عن الهيئة والجهات التنظيمية ذات العلاقة بشأن المسائل المحددة في نطاق هذه اللائحة.
- الامتثال للأنظمة واللوائح والتنظيمات المتعلقة بتقديم الخدمات الرقمية للمستفيدين في المملكة العربية السعودية.
- الاحتفاظ بكافة حسابات المستفيدين وسجلات العمليات المتعلقة بخدمات التصديق الرقمي بصورة دقيقة وأن يتم تحديثها باستمرار.
- تقديم جميع المعلومات والتقارير والمستندات ذات العلاقة بخدمات التصديق الرقمي للهيئة وفقاً للآلية التي تحددها الهيئة في هذا الشأن.
- إبلاغ الهيئة بأي تغييرات في الهيكل الإداري في غضون خمسة أيام من إحداث التغيير.
- عدم استخدام الترخيص لغير الغرض المرخص له، إضافة إلى عدم استخدامه فيما من شأنه الإضرار بسمعة المملكة العربية السعودية، أو حكومتها، أو الهيئة، أو الجهات ذات العلاقة.
- استخدام الوسيلة والنماذج التي تقرها الهيئة في كل ما يتعلق بإصدار، وإدارة التراخيص، وإرسال البيانات، والمعلومات.
- الاستجابة لتوجيهات الهيئة بشأن الربط مع أنظمتها أو أي أنظمة للجهات الحكومية الأخرى، أو الربط مع أي مقدم خدمات تصديق آخر بحسب ما تصدره الهيئة، والتعاون في تبادل البيانات وفق الآلية التي تحددها الهيئة والجهات ذات العلاقة.
- الحصول على موافقة مسبقة من الهيئة قبل القيام بأي عملية اندماج أو تضامن مع أي طرف آخر أو استحواذ على 5% أو أكثر من أسهم أو حصص مقدم خدمات التصديق، مع الالتزام بتقديم دراسة شاملة للهيئة، تبين المسوغات والأهداف، وكذلك أثر ذلك على الخدمات والمستفيدين، ويحق للهيئة بناءً على ما تقتضيه الأنظمة ومصلحة المستفيدين رفض الطلب أو طلب تعديله أو الموافقة عليه.
- الالتزام بأن تكون جميع الأنظمة والأجهزة والبرامج والخوادم المستخدمة لتقديم الخدمات في مجال التصديق الرقمي موجودة داخل المملكة العربية السعودية.
- إبلاغ الهيئة والجهات ذات العلاقة والمستفيدين بشكل فوري عن أي مشكلة أو عند وقوع خطر يحتمل أن يهدد موثوقية الموارد الإلكترونية أو الإدارية لديه.
- تقديم الخدمات وفق الترخيص الصادر له داخل المملكة العربية السعودية فقط، والتعهد بعدم القيام بتقديم هذه الخدمات خارج المملكة، وعدم تفويض أي تقديم أو استخدام مباشر أو غير مباشر لهذه الخدمات خارج المملكة دون موافقة كتابية مسبقة من الهيئة.
- إبرام اتفاقية مستوى خدمة مع المستفيدين من خدمات التصديق الرقمي وأي طرف تحدده الهيئة مع الالتزام بما تصدره الهيئة من تنظيمات ونماذج في هذا الشأن.
- الالتزام بالمدة الزمنية التي سيتم خلالها إطلاق الخدمات وفقاً لما يصدر عن الهيئة.
- سداد المقابل المالي للترخيص خلال المواعيد التي تحددها الهيئة.
- التوضيح عبر القنوات الإلكترونية الرسمية له حصوله على ترخيص من الهيئة.
- الالتزام بما يصدر عن الهيئة بشأن المقابل المالي لتقديم خدمات التصديق الرقمي.
- إعداد العقود والإجراءات التفصيلية، بما في ذلك الحد الأعلى للمقابل المالي للخدمة للمستفيدين، واعتمادها من قبل الهيئة، بما يحفظ حقوق جميع الأطراف ذات الصلة.
- عدم إضافة أو تعديل أي مقابل مالي على خدمات التصديق الرقمي المقدمة منه دون الحصول على موافقة مسبقة من الهيئة.
- عدم إضافة وتقديم أي خدمات تصديق رقمي جديدة إلا بعد الحصول على موافقة الهيئة.
- إنشاء قسم لاستقبال البلاغات والشكاوى المقدمة من المستفيدين من خدمات التصديق الرقمي.
- إتاحة الحصول على إحدى أو كل خدمات التصديق الرقمي للمرخصين الآخرين لتقديمها للمستفيد النهائي وفقاً لما يصدر عن الهيئة في هذا الشأن.
هذا وتقوم الهيئة وفقاً لاختصاصاتها بمراجعة وتقييم أداء مقدم خدمات التصديق، ولها في ذلك الاستعانة بمن ترى من بيوت الخبرة المتخصصة، ويشمل ذلك على سبيل المثال، التحقّق الدوري من التزام مقدم خدمات التصديق للمتطلبات المعتمدة من الهيئة من خلال إجراء عمليات التدقيق الدورية على نفقة مقدم خدمات التصديق، ولها طلب البيانات والمعلومات والتقارير في هذه الشأن.
ضوابط استمرار الخدمة في حالة إيقاف مقدم خدمات التصديق، أو إلغاء ترخيصه أو عدم تجديده
يجب على مقدم خدمات التصديق أن يستمر في تقديم خدماته للمتعاملين، ولا يحق له تحت أي سبب أو ذريعة التوقف أو التنازل عن تقديم أي خدمة من خدماته، دون موافقة مسبقة من الهيئة، وذلك لضمان حقوق جميع الأطراف ذات الصلة.
وفي حالة قيام الهيئة بعدم تجديد ترخيص أحد مقدمي خدمات التصديق، أو إيقافه مؤقتاً أو إلغائه، يجب على الهيئة اتخاذ التدابير اللازمة لاستمرارية تقديم الخدمات إلى مستخدمي خدمات مقدم خدمات التصديق الموقف، أو الملغى، أو المنتهي ترخيصه، وإذا لم يقم مقدم خدمات التصديق الموقف أو الملغى أو المنتهي ترخيصه باتخاذ التدابير المحددة من قبل الهيئة نحو ضمان حقوق المستفيدين لديه، بما في ذلك التدابير المحددة في خطة إنهاء النشاط، فإنه يجوز للهيئة اتخاذ ما يلزم لإنجاز تلك التدابير بأسرع وقت ممكن على نفقة مقدم خدمات التصديق.
كما يجوز للهيئة تمديد مدة الترخيص لمقدم خدمات التصديق، وذلك ليتسنى له تصفية جميع عملياته المتعلقة بعملائه من المستفيدين، على ألا يتم تحميلهم أي تكاليف مالية تتعلق بعملية التصفية، وفي حالة صدور قرار من الهيئة بمنح مقدم خدمات التصديق الموقف، أو الملغى، أو المنتهي ترخيصه تمديداً مؤقتاً للترخيص الممنوح له، فيخضع هذا التمديد للشروط التالية:
- عدم استدراج، أو قبول مستفيدين جدد، أو تمديد العقود، أو التدابير الأخرى القائمة مع المستفيدين الموجودين، أو توسعة نطاقها.
- عدم تمديد العقود أو التدابير الأخرى المبرمة مع أي مرخص آخر، أو توسعة نطاق تلك العقود أو التدابير.
- إضافة إلى أي شروط أخرى قد تفرضها الهيئة للتأكد من استمرار تلقي المستفيدين للخدمة.
عناصر شهادة التصديق الرقمي
يحدد مركز المعلومات الوطني وفق ما يصدر عن الهيئة العناصر الفنية الواجب توافرها في شهادة التصديق الرقمي، على أن تتضمن العناصر الفنية التالية بوصفها حداً أدنى:
- جهة إصدار شهادة التصديق الرقمي، بحيث تحتوي الشهادة على جميع المعلومات الدالة على مقدم خدمات التصديق.
- بيانات هوية صاحب الشهادة، ونطاق استخدام الشهادة.
- تاريخ إصدار الشهادة، وفترة سريانها.
ضوابط إصدار شهادات التصديق الرقمي، وإجراءاتها، وتسليمها، وحفظها
يلتزم المركز ومقدم خدمات التصديق بإصدار شهادات التصديق الرقمي وتسليمها وحفظها وفقاً للضوابط والإجراءات الواردة في سياسة الشهادة الرقمية وإجراءات التصديق الرقمي وما يصدر عن الهيئة، كما يلتزم المركز بالتنسيق مع الهيئة عند إعداد سياسة الشهادة الرقمية وإجراءات التصديق الرقمي وأي تحديثات تطرأ عليهما، ويلتزم مقدم خدمات التصديق بالحصول على اعتماد الهيئة على سياسة الشهادة الرقمية وإجراءات التصديق الرقمي وأي تحديثات تطرأ عليهما.
كما يلتزم مقدم خدمات التصديق بإعداد جميع النماذج والإجراءات والأدلة التي تمكنه من تقديم الخدمة بكفاءة، وفق الضوابط والشروط الواردة في النظام ولائحته التنفيذية، كما يجب اعتمادها من قبل الهيئة قبل تقديمها للمتعاملين، ولا يعفي اعتماد الهيئة مقدم خدمات التصديق من أي مسؤولية نظامية نتيجة أي ضرر قد يلحق بالأطراف التي تعتمد عليها.
وفي حال المنازعات التي قد تنشأ بين الأطراف حول المواصفات الفنية، تكون الهيئة هي جهة الاختصاص لتفسير الضوابط والشروط الفنية التفصيلية، وما يتبعها من مقاييس عالمية، كما يكون مقدم خدمات التصديق مسؤولاً أمام المستفيدين عن جميع الخدمات والموارد الإدارية والفنية التي تتبع له، سواء بشكل مباشر أو غير مباشر عبر عقود الباطن.
حالات إلغاء شهادات التصديق الرقمي أو إيقاف العمل بها
يجوز إلغاء شهادة التصديق الرقمي، أو إيقاف العمل بها، بناءً على طلب من صاحب الشهادة، دون أن يؤثر هذا الإلغاء، أو الإيقاف على حقوق أي من الأطراف الذين سبق لهم التعامل بموجب الشهادة الملغاة أو الموقوفة، كما يجب على المركز أو مقدم خدمات التصديق إيقاف الشهادة أو إلغاءها بناءً على قرار من الهيئة، أو من غيرها من الجهات ذات الاختصاص، ويعد المركز أو مقدم خدمات التصديق بناءً على ذلك مسؤولاً عن إكمال الإجراءات التالية:
- تنفيذ ما ورد في قرار الإلغاء أو الإيقاف.
- إشعار صاحب الشهادة بالإجراءات التي تمت.
- تنبيه كل من يعتمد على الشهادة مستقبلاً بعدم صلاحية الشهادة، وفقاً لإجراءات التصديق الرقمي.