Nevo.co.il

להורדת הקובץ בפורמט וורד לחץ כאן

תקנות מרשם האוכלוסין (תעודה אלקטרונית לאימות), תשע"ב-2012

רשויות ומשפט מנהלי – מרשם אוכלוסין

תוכן ענינים

סעיף 1

הגדרות

Go

2

סעיף 2

הודעה ואזהרה בנוגע לתעודה אלקטרונית לאימות

Go

2

סעיף 3

אבטחת חומר מחשב שבשבב

Go

2

סעיף 4

המאפיינים של אמצעי זיהוי אלקטרוני ואופן השימוש בו

Go

2

סעיף 5

בדיקת תקנים ושיטות הצפנה

Go

2

סעיף 6

מבנה תעודה אלקטרונית לאימות והנפקת תעודה חדשה

Go

2

סעיף 7

רישום בדבר ביטול תעודה אלקטרונית לאימות

Go

3

סעיף 8

ניהול מאגרים

Go

3

סעיף 9

אופן הנפקת תעודות אלקטרוניות לאימות

Go

3

סעיף 10

נוהל טיפול באירועי אבטחה והודעה לציבור על פגם במערכת

Go

3

סעיף 11

חובות תיעוד

Go

3

סעיף 12

גיבוי ושמירה

Go

3

סעיף 13

אמצעי החתימה של ראש רשות האוכלוסין

Go

3

סעיף 14

שינוי תקן

Go

3

סעיף 15

תחילה

Go

3

תוספת

Go

3


תקנות מרשם האוכלוסין (תעודה אלקטרונית לאימות), תשע"ב-2012*

          בתוקף סמכויות שר הפנים לפי סעיפים 25(ב)(4) ו-47(א)(7) לחוק מרשם האוכלוסין, התשכ"ה-1965 (להלן – החוק), ובתוקף סמכות שר הפנים ושר המשפטים לפי סעיף 25(ג) לחוק, בהתייעצות עם שר המשפטים לפי סעיף 25(ב)(4) לחוק, בהסכמת שר המשפטים ושר האוצר לפי סעיף 47(א)(7) לחוק, ובאישור ועדת החוקה חוק ומשפט של הכנסת, מותקנות תקנות אלה:

הגדרות

1.    בתקנות אלה –

          "אמצעי זיהוי אלקטרוני" – כהגדרתו בסעיף 23א לחוק;

          "אמצעי חתימה" – כהגדרתו בחוק חתימה אלקטרונית;

          "מנפיק ממשלתי של תעודות לאימות" – גורם ממשלתי המנפיק תעודות אלקטרוניות לאימות בעבור רשות האוכלוסין על פי תקנות אלה;

          "חוק חתימה אלקטרונית" – חוק חתימה אלקטרונית, התשס"א-2001;

          "חתימה אלקטרונית מאובטחת" – כהגדרתה בחוק חתימה אלקטרונית;

          "מבקש" – תושב הפונה לקבלת תעודת זהות שבה אמצעים או נתונים ביומטריים;

          "מסמך נהלים" – הוראות נוהל המסדירות את פעילותו של מנפיק ממשלתי של תעודות לאימות, הערוכות על פי מסמך RFC 3647 של הארגון הבין-לאומי IETF (להלן – מסמך RFC), צוות המשימה להנדסת אינטרנט, בשינויים הנדרשים לעניין תעודה אלקטרונית לאימות לפי החוק ותקנות אלה, שניתנו לאחר התייעצות עם הרשם ובאישור שר הפנים;

          "עובד מוסמך" – עובד רשות האוכלוסין או מנפיק ממשלתי של תעודות לאימות, ששר הפנים או ראש רשות האוכלוסין הסמיך לעניין תקנות אלה או חלקן;

          "הרשם" – כהגדרתו בחוק חתימה אלקטרונית;

          "רשות האוכלוסין" – רשות האוכלוסין וההגירה;

          "תעודה אלקטרונית לאימות" – כהגדרתה בסעיף 23א לחוק;

          "תעודת התאמה לתקן" – אישור מאת מעבדה מאושרת בדבר עמידה בהוראות התקן;

          "תקן ישראלי 9594" – ת"י 9594 חלק 8 – "טכנולוגיית המידע – חברור מערכות פתוחות – המדריך: מסגרות עבודה ותכנים בעבור תעודות מפתח ציבורי ומאפיינים", כתוקפו מזמן לזמן לפי חוק התקנים, התשי"ג-1953, שעותק שלו פתוח לעיון הציבור במכון התקנים הישראלי, והמבוסס על התקן הבין-לאומי – ISO/IEC 9594-8;

          "תקנות פקיעת תוקף" – תקנות מרשם האוכלוסין (תקופת תוקפן ופקיעת תוקפן של תעודות זהות), התשע"ב-2012.

הודעה ואזהרה בנוגע לתעודה אלקטרונית לאימות

2.    עובד רשות האוכלוסין, או בעל תפקיד שהוסמך לכך לפי סעיף 6(ג) לחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש"ע-2009, יעשה את כל אלה לפני הנפקת תעודת זהות הכוללת תעודה אלקטרונית לאימות ואמצעי זיהוי אלקטרוני:

(1)  יעביר למבקש מסמך בכתב ובו תנאי השימוש בתעודה, ההגבלות על השימוש בתעודה, אם ישנן, ההליכים הנדרשים לביטול התעודה והודעה על פגיעה בשליטה בתעודה כאמור בתקנות פקיעת תוקף וכן פרטי התקשרות לצורך בירורים, טיפול בתקלות ובקשת ביטול התעודה;

(2)  יזהיר את המבקש, לפי הנוסח המופיע בתוספת, וימסור לו דף הסבר, הכתוב בשפה פשוטה המובנת לו, בדבר החובות המוטלות עליו לפי החוק ולפי תקנות אלה, לעניין מניעת שימוש לרעה בתעודה האלקטרונית לאימות ובאמצעי הזיהוי האלקטרוני שיונפקו לו, וכן הסכנות וההגנות מפני אחריות לנזק, הכרוכות בשימוש בתעודה האלקטרונית לאימות ובאמצעי זיהוי אלקטרוני, והמבקש יאשר בכתב כי הוזהר כאמור;

(3)  ישאל את המבקש שאלה מזהה אחת לפחות לפי בחירת המבקש, שהתשובה עליה ייחודית למבקש, מתוך רשימת שאלות שיערוך ראש רשות האוכלוסין לאחר התייעצות עם הרשם, כדי לאפשר זיהוי של המבקש בגישה מרחוק לצורך ביצוע פעולות שונות ובכלל זה, הודעה מרחוק של בעל התעודה על פגיעה בשליטתו בתעודה.

אבטחת חומר מחשב שבשבב

3.    (א)  אמצעי הזיהוי האלקטרוני, התעודה האלקטרונית לאימות וכן פרטי המידע האלקטרוני המפורטים בתקנה 3א לתקנות מרשם האוכלוסין (רישומים בתעודת זהות), התש"ן-1990, יונפקו על גבי שבב שמתקיימות לגבי הוראות תקן מקובל שאישר ראש רשות האוכלוסין בהתייעצות עם הרשם לעניין זה, ופרסם בהודעה ברשומות ובאתר האינטרנט של משרד הפנים שכתובתו www.moin.gov.il או באתר האינטרנט של רשות האוכלוסין שכתובתו www.piba.gov.il (להלן – אתר האינטרנט של משרד הפנים או של רשות האוכלוסין).

תק' תשע"ז-2017

          (ב)  כתיבת אמצעי הזיהוי האלקטרוני, התעודה האלקטרונית לאימות ופרטי המידע האלקטרוני כמפורט בתקנת משנה (א), על גבי השבב, תתבצע באופן ממוכן ורק בהינתן הרשאות מתאימות מרשות האוכלוסין, ובהסתמך על אימות מבוסס הצפנה, בהתאם להליכים שאישר ראש רשות האוכלוסין.

תק' תשע"ז-2017

          (ג)   גישה לתעודה לאימות ולאמצעי הזיהוי האלקטרוני שעל גבי השבב תתאפשר רק באמצעות ססמה אישית הניתנת להחלפה מזמן לזמן בידי בעל התעודה; ראש רשות האוכלוסין, לאחר התייעצות עם הרשם, ייתן הוראות לעניין אורך הססמה, מספר הניסיונות השגויים שיגרמו לנעילת השבב, אופן הטיפול בתקלות ובאימות זהות מרחוק ככל שיהיה, והאופן והתדירות של החלפת ססמאות, ואופן איפוס ססמאות.

מיום 16.3.2017

תק' תשע"ז-2017

ק"ת תשע"ז מס' 7790 מיום 16.3.2017 עמ' 882

(ב) עובד מוסמך רשאי לבצע כתיבת אמצעי הזיהוי האלקטרוני, התעודה האלקטרונית לאימות ופרטי המידע האלקטרוני כמפורט בתקנת משנה (א), על גבי השבב, רק בהינתן כתיבת אמצעי הזיהוי האלקטרוני, התעודה האלקטרונית לאימות ופרטי המידע האלקטרוני כמפורט בתקנת משנה (א), על גבי השבב, תתבצע באופן ממוכן ורק בהינתן הרשאות מתאימות מרשות האוכלוסין, ובהסתמך על אימות מבוסס הצפנה, בהתאם להליכים שאישר ראש רשות האוכלוסין.

(ג) גישה לקריאת התעודה לאימות ואמצעי הזיהוי גישה לתעודה לאימות ולאמצעי הזיהוי האלקטרוני שעל גבי השבב תתאפשר רק באמצעות ססמה אישית הניתנת להחלפה מזמן לזמן בידי בעל התעודה; ראש רשות האוכלוסין, לאחר התייעצות עם הרשם, ייתן הוראות לעניין אורך הססמה, מספר הניסיונות השגויים שיגרמו לנעילת השבב, אופן הטיפול בתקלות ובאימות זהות מרחוק ככל שיהיה, והאופן והתדירות של החלפת ססמאות, ואופן איפוס ססמאות.

המאפיינים של אמצעי זיהוי אלקטרוני ואופן השימוש בו

4.    (א)  אמצעי הזיהוי האלקטרוני יהיה ייחודי לבעל התעודה ויופק באמצעות שיטת הצפנה אמינה ומקובלת שאישר ראש רשות האוכלוסין לעניין זה, לאחר התייעצות עם הרשם, ופרסם בהודעה ברשומות ובאתר האינטרנט של משרד הפנים או של רשות האוכלוסין.

          (ב)  הגישה אל התעודה האלקטרונית לאימות ואל אמצעי הזיהוי האלקטרוני המצוי בשבב והשימוש בהם יתאפשרו רק באמצעות ססמה אישית כאמור בתקנה 3(ג), הנתונה לשליטתו של בעל התעודה והמצויה באחריותו בכל עת.

בדיקת תקנים ושיטות הצפנה

5.    (א)  בדיקת תקנים לצורך אישורם כאמור בתקנה 3(א) ובדיקת שיטות הצפנה לצורך אישורן כאמור בתקנה 4, ייעשו על סמך מסמכים המתוארים את התקנים או את שיטות ההצפנה, לרבות תעודות התאמה לתקן מקובל או לשיטת הצפנה מקובלת, אם ישנן, וחוות דעת של מומחה בתחום ההצפנה או אבטחת המידע בדבר אמינות התקן או שיטת ההצפנה.

          (ב)  הרשם יבחן, אחת לשנה לפחות, את הצורך לעדכן את הרשימות של התקנים המאושרים כאמור בתקנה 3(א) ושיטות ההצפנה המאושרות כאמור בתקנה 4, וימסור את תוצאות הבחינה לראש רשות האוכלוסין.

מבנה תעודה אלקטרונית לאימות והנפקת תעודה חדשה

6.    (א)  תעודה אלקטרונית לאימות תהיה לפי עקרונות התקן הישראלי 9594, וראש רשות האוכלוסין רשאי לקבוע, לאחר התייעצות עם הרשם, הנחיות לגבי התוכן והמבנה של התעודה.

          (ב)  הנפקה חדשה של תעודה אלקטרונית לאימות לאחר ביטולה או לאחר מועד סיום תוקפה, תבוצע באופן שבו מונפקת תעודה לראשונה.

רישום בדבר ביטול תעודה אלקטרונית לאימות

7.    מידע עם פקיעת תוקף של תעודת זהות לפי תקנה 3 לתקנות פקיעת תוקף, ירשום העובד המוסמך את דבר ביטול התעודה האלקטרונית לאימות במאגר התעודות הבטלות כאמור בתקנה 8(א).

ניהול מאגרים

8.    (א)  ראש רשות האוכלוסין ינהל מאגר של מספרי תעודות אלקטרוניות לאימות שבוטלו (להלן – מאגר התעודות הבטלות), ותאריך ביטולן, וכן מאגר נוסף של מספרי תעודות אלקטרוניות לאימות שהן בתוקף.

          (ב)  כל אחד ממאגרי התעודות האמורים בתקנת משנה (א) ינוהל ברמת אבטחת גבוהה, כפי שיורה ראש רשות האוכלוסין, בהתייצעות עם הרשם.

          (ג)   במאגר התעודות הבטלות תתקיים בכל עת רמת זמינות גבוהה למי שמבקש להסתמך על תעודה אלקטרונית לאימות.

אופן הנפקת תעודות אלקטרוניות לאימות

9.    (א)  רשות האוכלוסין תנפיק תעודות אלקטרוניות לאימות רק על פי מסמך נהלים.

          (ב)  מסמך הנהלים יובא לידיעת הציבור באופן נח וזמין, בין השאר באמצעות אתר האינטרנט של משרד הפנים או של רשות האוכלוסין בדרך המוגנת באופן סביר מפני חדירה ושיבוש.

נוהל טיפול באירועי אבטחה והודעה לציבור על פגם במערכת

10.  (א)  ראש רשות האוכלוסין יכין נוהל לטיפול באירועי אבטחה במערכות החומרה והתוכנה של הנפקת התעודות האלקטרוניות לאימות.

          (ב)  נודע לראש רשות האוכלוסין על פגם בחתימתו האלקטרונית המאובטחת או במערכות החומרה והתוכנה של הנפקת התעודות האלקטרוניות לאימות או על פגם אחר, שיש בו כדי לפגוע במהימנות חתימתו או במהימנות התעודות האלקטרוניות לאימות המונפקות –

(1)   יימנע מלהנפיק תעודות אלקטרוניות לאימות חדשות, עד לתיקון הפגם;

(2)   יבטל בהקדם האפשרי את כל התעודות האלקטרוניות לאימות שהנפיק אשר יש חשש שנפגעה מהימנותן, ויודיע על כך לעובד רשות האוכלוסין כאמור בתקנה 3(א)(4) לתקנות פקיעת תוקף;

(3)   יודיע על כך לציבור, בהקדם האפשרי, לרבות בדרך של פרסום בשני עיתונים יומיים נפוצים, ובאמצעות פרסום הודעה בעמוד הראשי של אתר האינטרנט של משרד הפנים או של רשות האוכלוסין.

חובות תיעוד

11.  (א)  רשות האוכלוסין תנהל מערכת תיעוד שבה יירשמו, סמוך לזמן התרחשותם, כל הפעולות והאירועים הנוגעים למערך ההנפקה של התעודות האלקטרוניות לאימות, ובכלל זה כל אלה: זמני הפעלת מערכות המחשב על כל אחד מיישומיהן וזמני הפסקתן, הנפקת תעודות, ביטול תעודות, שינוי ססמאות, ניסיונות בלתי מורשים לחדור למערכת, ייצור או שינוי מפתחות, אירועי אבטחה, הרשאות גישה למערכת המחשב, שינוין או ביטולן, גישה של כל אדם למערכת ההנפקה של התעודות האלקטרוניות לאימות.

          (ב)  תיעוד כאמור בתקנה זו יבוצע תוך חשיפה מזערית ככל האפשר של פרטי בעלי התעודות.

          (ג)   רשות האוכלוסין תדווח לראש רשות האוכלוסין ולרשם על כל ניסיון בלתי מורשה לחדור למערכת ועל כל אירוע אבטחה.

גיבוי ושמירה

12.  במערך הנפקת התעודות האלקטרוניות לאימות, תבטיח רשות האוכלוסין גיבוי נאות של המדיע במערכות המחשוב, ברמה גבוהה של זמינות, אמינות והגנה מפני אבדן מידע או זליגתו.

אמצעי החתימה של ראש רשות האוכלוסין

13.  התעודות האלקטרוניות לאימות לפי תקנות אלה, יאומתו בחתימתו האלקטרונית המאובטחת של ראש רשות האוכלוסין.

שינוי תקן

14.  (א)  הוחלף תקן מן התקנים הנזכרים בתקנות אלה, לרבות מסמך RFC   , בתקן או במסמך חדש, לפי העניין, יחולו התקן או המסמך החדש במקביל לתקן או למסמך הישן, זולת אם ראה ראש רשות האוכלוסין כי אין עוד בתקן או במסמך הישן כדי להבטיח תנאי אבטחה נאותים או משיקולים אחרים שיירשמו כפי שיורה ראש רשות האוכלוסין לאחר התייעצות עם הרשם, שאז יחייב התקן או המסמך החדש בלבד, תוך זמן שיורה ראש רשות האוכלוסין לאחר התייעצות עם הרשם, ובלבד שקודם לכך פורסמה הודעה ברשומות ובאתר האינטרנט של משרד הפנים או של רשות האוכלוסין, על הדבר.

          (ב)  שונה תקן או מסמך RFC מחייב כאמור בתקנת משנה (א), יפרסם ראש רשות האוכלוסין ברשומות ובאתר האינטרנט של משרד הפנים או של רשות האוכלוסין, רשימה מעודכנת של התקנים והמסמכים המחייבים לפי תקנות אלה.

תחילה

15.  תחילתן של תקנות אלה 30 ימים מיום פרסומן.

תוספת

(תקנה 2(2))

טופס אזהרה למבקש תעודת זהות הכוללת תעודה אלקטרונית לאימות ואמצעי זיהוי אלקטרוני

אל: מבקש תעודת זהות ובה תעודה אלקטרונית לאימות ואמצעי זיהוי אלקטרוני

כללי

1.        פנייתך לקבלת תעודת זהות חדשה כוללת הנפקת תעודה אלקטרונית לאימות ואמצעי זיהוי אלקטרוני, המוטבעים על גבי הכרטיס.

2.        התעודה האלקטרונית לאימות מונפקת על ידי רשות האוכלוסין וההגירה (להלן – רשות האוכלוסין), ותשמש אותך לזיהוי ואימות באופן אלקטרוני, בהתאם להוראות מסמך הנהלים של רשות האוכלוסין המופיע ב-www.piba.org.il.

3.        בהליך הרישום לקבלת תעודת זהות חדשה, עליך למסור לרשות האוכלוסין מידע מלא ומדויק ככל שדרוש לרשות האוכלוסין לצורך הליך הרישום.

חובת שמירה על תעודת הזהות

4.        תעודת הזהות, אמצעי הזיהוי האלקטרוני והתעודה האלקטרונית לאימות הם אישיים ולשימושך בלבד; עם קבלת תעודת הזהות החדשה, עליך לשאת אותה אתך בכל עת ולנקוט את כל האמצעים הסבירים לשם שמירה על תעודת הזהות ועל אמצעי הזיהוי האלקטרוני שלך ומניעת שימוש בהם בלא הרשאתך, ובכלל זה לשמור בסוד את הססמה או מידע אחר המשמשים להפעלת אמצעי הזיהוי האלקטרוני.

5.        דע כי אי-נקיטת אמצעים סבירים לשמירה על התעודה כאמור, עלול להביא לידי שימוש לרעה באמצעי הזיהוי האלקטרוני על ידי אחר, באופן שאחר יתחזה לך ויוכל להזדהות בשמך; באפשרותך להרשות ביצוע פעולה באמצעות אמצעי הזיהוי האלקטרוני על ידי אחר בהסכמה בכתב בלבד.

חובת דיווח ויצירת קשר

6.        אם מתעורר חשש כי נפגעה שליטתך בתעודת הזהות או במידע השמור בתעודה או בשבב, עליך להודיע על כך מיד לרשות האוכלוסין או למנפיק הממשלתי של תעודות לאימות, באחת הדרכים כמפורט להלן:

(1)  התייצבות באחת מלשכות רשות האוכלוסין והודעה על כך;

(2)  הודעה טלפונית למוקד, שמספרו יפורסם באתר האינטרנט של משרד הפנים או של רשות האוכלוסין, הזמין 24 שעות ביממה.

7.        לצורך זיהוי במקרה של גישה מרחוק לצורך ביצוע פעולות שונות ובכלל זה טיפול בהודעה מרחוק של בעל התעודה על פגיעה בשליטתו בתעודה, תידרש להשיב על שאלה מזהה אחת לפחות, בעלת תשובה ייחודית הידועה לך, אשר תוגדר בעת הנפקת התעודה; עליך לזכוא את התשובה לשאלה זו.

8.        במקרה של חשש לפגיעה בשליטתך בתעודת הזהות או במידע השמור בתעודה או בשבב, עם מתן הודעה על ידך ולאחר אימות זהותך, תבוטל תעודת הזהות ויפקע תוקפה; עליך לפנות ללשכת רשות האוכלוסין לצורך הנפקת תעודת זהות חדשה.

9.        פרטי התקשרות לצורך בירורים וטיפול בתקלות: ניתן לפנות למוקד שפרטיו מופיעים בסעיף 6(2).

פטור מאחריות

10.      לא תישא באחריות לנזק שנגרם בשל הסתמכות על פעולה שבוצעה באמצעות אמצעי הזיהוי האלקטרוני שבשבב, בלא הרשאתך.

11.      נתת הרשאה בכתב לביצוע פעולה באמצעות אמצעי הזיהוי האלקטרוני על ידי אחר, לא תישא באחריות לנזק שנגרם בשל הסתמכות על פעולה שביצע המורשה באמצעות אמצעי הזיהוי האלקטרוני שבשבב, אם תמסור הודעה כאמור בסעיף 6.

אני החתום מטה:

מספר זהות שם ומשפחה תאריך לידה

מאשר כי הוזהרתי כנדרש.

תאריך                                                                  __________________

                                                                                                                 חתימה

      ____________________

                    פרטי הפקיד וחתימתו

כ"ט בתמוז התשע"ב (19 ביולי 2012)                אליהו ישי              יעקב נאמן

                                                                                        שר הפנים                  שר המשפטים

הודעה למנויים על עריכה ושינויים במסמכי פסיקה, חקיקה ועוד באתר נבו - הקש כאן

 



* פורסמו ק"ת תשע"ב מס' 7146 מיום 26.7.2012 עמ' 1512.

תוקנו ק"ת תשע"ז מס' 7790 מיום 16.3.2017 עמ' 882 – תק' תשע"ז-2017.