راهنمای جامع اخذ گواهینامه افتا + تغییرات اسفند 1403

در دنیای امروز، اتوماسیون فرایندها و استفاده از نرم‌افزارهای کاربردی، به‌ویژه اپلیکیشن‌های تحت وب، به یکی از نیازهای اساسی کسب‌وکارها تبدیل شده است. با افزایش استفاده از این تکنولوژی‌ها، حفاظت از اطلاعات و امنیت سایبری به چالش مهمی برای سازمان‌ها تبدیل شده است.

محمد طاهری، کارشناس ارشد مشاوره تخصصی اخذ گواهینامه افتا، با بیش از 15 سال تجربه، اطلاعات این مقاله را گرد آوری نموده است.

اهمیت امنیت اطلاعات در سازمان‌ها

امنیت اطلاعات به عنوان سرمایه‌ای ارزشمند، مهمترین چالش پیش روی هر سازمان است. برای تضمین امنیت نرم‌افزارها و جلوگیری از تهدیدات ناشی از نفوذ و هک، سازمان‌ها باید رویکردهای امنیتی مناسبی اتخاذ کنند. این رویکردها شامل استفاده از محصولات، خدمات و نرم‌افزارهای معتبر و استاندارد با تاییدیه‌های امنیتی می‌باشد که منجر به ارتقای امنیت شبکه ملی نیز می‌شود.

گواهینامه افتا چیست؟

گواهینامه افتا، براساس سند راهبردی امنیت فضای تولید و تبادل اطلاعات (افتا)، توسط سازمان فناوری اطلاعات ایران و با همکاری مرکز مدیریت راهبردی افتا ارائه می‌شود. این گواهینامه به منظور ارزیابی امنیتی و صدور گواهی‌های امنیتی برای محصولات و خدمات نرم‌افزاری تعریف شده است.

چرا اخذ گواهینامه افتا ضروری است؟

به گفته محمد طاهری، کارشناس بین المللی حوزه افتا، شرکت‌های فعال در حوزه فناوری اطلاعات و ارتباطات که محصولات، خدمات و نرم‌افزارهای مرتبط ارائه می‌دهند، ملزم به اخذ گواهینامه افتا هستند. این گواهینامه که با نام‌هایی مانند سند افتا، پروانه فعالیت افتا و گواهی ارزیابی افتا شناخته می‌شود، تضمین‌کننده امنیت محصولات و خدمات شما خواهد بود.

شرایط و الزامات اخذ گواهینامه افتا

1. شرکت متقاضی باید بر اساس قانون تجارت و با مدیریت ایرانی اداره شود و تمامی سهام آن متعلق به اتباع ایرانی باشد.
2. سهامداران، مدیران و کارشناسان شرکت باید تابعیت ایرانی داشته باشند.
3. شرکت متقاضی باید در ارزیابی فنی و اعتباری شرایط لازم را احراز نماید.
4. موضوع فعالیت شرکت باید با آیین‌نامه ساماندهی خدمات افتا همخوانی داشته باشد.
5. نشانی دفتر اصلی شرکت باید مطابق با آخرین روزنامه رسمی باشد و هرگونه تغییر آدرس باید به سرعت به سازمان اطلاع داده شود.
6. کارشناسان معرفی‌شده باید دارای مدرک تحصیلی معتبر و سابقه کاری حداقل سه ماه در شرکت متقاضی باشند و دوره‌های آموزشی مرتبط را گذرانده باشند.

تعهدات دارنده گواهینامه افتا

بر طبق تخصص فعالان این حوزه، دارندگان گواهینامه افتا موظفند کلیه اقدامات لازم جهت ایجاد شرایط نظارتی مراجع ذی‌صلاح را فراهم آورند. همچنین، آن‌ها باید از کلیه کارشناسان خود تعهدنامه عدم افشای اطلاعات (NDA) دریافت کنند و در قراردادهای خود این تعهدنامه را لحاظ نمایند.

الزامات برای حفظ اعتبار گواهینامه افتا

متخصصان این حوزه معتقدند، دارنده گواهینامه افتا باید اطمینان حاصل کند که تمامی خدمات موضوع گواهینامه را با کیفیت مطلوب ارائه دهد و از کارشناسان مجاز به ارائه خدمت استفاده نماید. همچنین، شرکت متقاضی باید در یک سال اخیر فعالیت مرتبط داشته و عضو سازمان نظام صنفی رایانه‌ای کشور باشد.

مدارک و مراحل اخذ پروانه فعالیت افتا

اخذ پروانه فعالیت افتا برای شرکت‌ها و موسسات فعال در حوزه فناوری اطلاعات و ارتباطات از اهمیت بالایی برخوردار است. در این راهنما، به تفصیل مدارک مورد نیاز، مراحل صدور، تمدید، تعلیق و ابطال پروانه فعالیت افتا را بررسی می‌کنیم.

مدارک مورد نیاز برای درخواست پروانه فعالیت افتا

برای درخواست پروانه فعالیت افتا، ارائه مدارک زیر الزامی است:

اسناد عمومی مورد نیاز

1. نامه درخواست تقاضای پروانه فعالیت.
2. روزنامه رسمی حاوی آخرین تغییرات مدیریت و سهامداران، با مهر و امضای معتبر.
3. لیست بیمه سه‌ماهه منتهی به تاریخ درخواست، به همراه قبض پرداخت و قرارداد تمامی کارشناسان مرتبط با خدمات حوزه پروانه فعالیت.
4. قراردادهای مرتبط با گرایش مورد درخواست که در اظهارنامه مالیاتی شرکت منعکس شده باشند.
5. آخرین اظهارنامه مالیاتی شرکت.
6. گواهینامه رتبه انفورماتیک با حداقل 6 ماه اعتبار.
7. مدارک تحصیلی کارشناسان امتیازآور مورد تایید وزارت علوم.
8. گواهینامه‌های آموزشی کارشناسان امتیازآور در زمینه‌های مرتبط.
9. کد عضویت سازمان نظام صنفی رایانه‌ای کشور.
10. فرم‌های ارزیابی تکمیل‌شده به همراه مدارک پشتیبان مربوطه.
11. تعهدنامه‌های عدم افشای اطلاعات (NDA) تمامی کارشناسان ارائه‌دهنده خدمات.

نکات مهم در ارائه مدارک

• اعتبار مدارک و فرم‌ها: تنها مدارک و فرم‌های تکمیل‌شده‌ای معتبر هستند که توسط صاحبان امضای مجاز شرکت، مهر و امضا شده باشند.
• بازدید و آزمون تخصصی: در صورت لزوم و پس از هماهنگی، ممکن است از محل شرکت یا موسسه متقاضی بازدید به عمل آمده و آزمون تخصصی برگزار شود.
• مراحل صدور پروانه فعالیت افتا
• پس از ارائه و تایید مدارک مورد نیاز، مراحل زیر برای صدور پروانه فعالیت افتا انجام می‌شود:
• ارزیابی مدارک: مدارک ارائه‌شده توسط سازمان مربوطه بررسی و ارزیابی می‌شوند.
• اعلام نتیجه ارزیابی: در صورت احراز صلاحیت‌های لازم، نتیجه به متقاضی اعلام خواهد شد.
• امضای تعهدنامه: متقاضی موظف به امضای تعهدنامه حفظ کیفیت و محرمانگی است.
• صدور پروانه فعالیت: پس از تکمیل مراحل فوق، پروانه فعالیت در حوزه مورد درخواست توسط سازمان صادر می‌گردد.
• مدت اعتبار پروانه: مدت اعتبار پروانه فعالیت در گواهی صادرشده قید می‌شود.
• انتشار اطلاعات: اطلاعات دارندگان پروانه فعالیت بر روی وب‌سایت سازمان منتشر و به‌روزرسانی می‌شود.

تمدید، تعلیق و ابطال پروانه فعالیت افتا

تمدید پروانه فعالیت

1. زمان درخواست تمدید: دارنده پروانه فعالیت باید دو ماه قبل از اتمام اعتبار، نسبت به ارائه درخواست تمدید اقدام کند.
2. ارائه مدارک مورد نیاز: فرایند تمدید با ارائه مدارک و مستندات به‌روز و تکمیل فرم‌های مربوطه آغاز می‌شود.
3. ارزیابی مجدد: پس از بررسی و ارزیابی‌های لازم توسط سازمان، در صورت احراز شرایط، پروانه فعالیت تمدید می‌شود.

تعلیق و ابطال پروانه فعالیت

1. تخلفات و پیامدها: در صورت احراز تخلف از مفاد آیین‌نامه یا تعهدنامه حفظ کیفیت و محرمانگی، پروانه فعالیت ممکن است به‌صورت موقت تعلیق یا به‌طور کامل ابطال شود.
2. حذف از فهرست رسمی: در صورت تعلیق یا ابطال، نام شرکت از فهرست شرکت‌های دارای پروانه فعالیت در وب‌سایت سازمان حذف و پروانه فعالیت فاقد اعتبار می‌شود.

تغییرات در پروانه فعالیت

1. اعلام تغییرات حقوقی: هرگونه تغییر در مدارک حقوقی و ترکیب اعضای حقیقی و حقوقی تاثیرگذار در فعالیت‌های مرتبط، باید با ارائه مستندات کامل به سازمان اعلام شود.
2. ارزیابی مجدد: اعتبار پروانه فعالیت پس از اعلام تغییرات منوط به ارزیابی مجدد توسط سازمان است.
3. صدور پروانه جدید: اعمال هرگونه تغییرات در مفاد پروانه فعالیت مستلزم ارائه اصل پروانه قبلی و صدور پروانه جدید می‌باشد.

تغییرات جدید افتا در اسفند 1403: راهنمای اخذ گواهی ارزیابی امنیتی محصولات

1. فرآیند ارزیابی امنیتی محصولات بومی

توجه: به دلیل تغییرات موقت در سامانه، درخواست صدور و تمدید گواهی محصولات بومی به‌صورت آنلاین انجام نمی‌شود. بنابراین، متقاضیان محترم باید طبق دستورالعمل‌های زیر اقدام کنند.

1-1. درخواست صدور گواهی برای محصول بومی جدید

1-1-1. انتخاب آزمایشگاه و مراحل اولیه

ابتدا از فهرست آزمایشگاه‌های معتبر، آزمایشگاه مورد نظر خود را انتخاب کنید و با آن تماس بگیرید. پس از عقد قرارداد و پرداخت هزینه آزمایشگاه، مراحل نصب محصول و ارسال مستندات فنی را آغاز کنید. (نحوه تکمیل مستندات مورد نیاز، شامل اسناد هدف امنیتی، پیکربندی، واسط‌ها و شرح محصول، در مجموعه ویدئوهای آموزشی موجود است.)

2-1-1. دریافت مستندات اعتباری

پس از عقد قرارداد با آزمایشگاه، مستندات اعتباری را از جدول 3 بخش “فرم‌ها، دستورالعمل‌ها و استانداردها” دریافت کنید. فرم‌ها را طبق راهنمای فایل، تکمیل و به همراه یک لوح فشرده و نامه پوششی ارسال نمایید.

تذکر مهم: در صورت عدم ارسال لوح فشرده کامل و معتبر، سازمان فناوری اطلاعات ایران مسئولیتی در قبال تأخیر در صدور گواهی ارزیابی امنیتی محصول نخواهد داشت.

ارزیابی امنیتی محصول:

• ارزیابی امنیتی در آزمایشگاه بر اساس استاندارد ISO 15408 و مستندات چهارگانه محصول طبق پروفایل‌های حفاظتی مرتبط با هر نوع محصول انجام می‌شود.
• در صورت وجود نواقص، آزمایشگاه گزارش عدم انطباق با استاندارد را صادر کرده و به تولیدکننده سه ماه مهلت برای رفع مشکلات می‌دهد.
• پس از رفع نواقص، تولیدکننده برای ارزیابی مجدد به آزمایشگاه مراجعه می‌کند.
• آزمایشگاه گزارش‌های ارزیابی را به مرکز مدیریت راهبردی افتا ارسال می‌کند.
• مرکز مدیریت راهبردی افتا نتیجه صدور یا عدم صدور گواهی را به سازمان فناوری اطلاعات ایران اعلام می‌کند.
• پس از تکمیل فرآیند اداری و اخذ تعهدنامه محصول، گواهی ارزیابی امنیتی به متقاضی تحویل داده می‌شود.

نکته مهم:

شرکت‌های دارنده گواهی امنیتی محصول طبق بند 3 تعهدنامه، موظف به انتشار سند هدف امنیتی محصول و تصویر آخرین گواهی‌نامه دریافت شده در وب‌سایت خود هستند.

سند هدف امنیتی، ادعای تولیدکننده در خصوص ویژگی‌های امنیتی محصول را براساس نمایه حفاظتی و استانداردهای مربوطه بیان می‌کند و به مشتریان نشان می‌دهد که محصول چگونه الزامات امنیتی خود را برآورده می‌سازد. این سند به ایجاد شفافیت و اطلاع‌رسانی به خریداران و دارندگان آینده محصول کمک می‌کند.
در مورد محصولات «نرم‌افزارهای کاربردی و سیستمی»، به جای ارائه سند هدف امنیتی، انتشار «الزامات امنیتی برنامه‌های کاربردی تحت شبکه» مطابق با مشخصات محصول مندرج در گواهی، قابل قبول است.
لازم به ذکر است که عدم رعایت این تعهدات منجر به تعلیق و عدم تمدید گواهی خواهد شد.

2-1- درخواست تمدید یا تغییر گواهی محصول بومی
1-2-1- درخواست تمدید گواهی باید حداقل سه ماه قبل از پایان اعتبار گواهی و با تکمیل و ارسال فرم «تعیین دامنه تغییرات ایجاد شده در محصول» به سازمان فناوری اطلاعات ایران انجام شود تا برای بررسی تغییرات محصول به آزمایشگاه ارجاع شود.

2. فرآیند ارزیابی امنیتی محصولات وارداتی

1-2- مرحله اول: احراز هویت
واردکنندگانی که برای اولین بار متقاضی دریافت تأییدیه امنیتی محصولات وارداتی هستند، باید مراحل اول و دوم را طی کنند. در صورتی که برای بار دوم یا بیشتر اقدام می‌کنند، تنها مرحله دوم را باید انجام دهند.

1-1-2- تهیه «گواهی امضای ثبت شده در دفاتر اسناد رسمی» که دارای شناسه یکتا و رمز تصدیق باشد، جهت معرفی صاحبان امضای مجاز
2-1-2- تهیه «معرفی‌نامه در سربرگ شرکت» مبنی بر معرفی صاحبان امضا و نمونه امضای آن‌ها
3-1-2- ارسال گواهی امضا و معرفی‌نامه به صورت حضوری به اداره کل ارزیابی امنیتی محصولات (ارم) در آدرس تهران، خیابان شهید بهشتی، بین بزرگراه مدرس و خیابان قائم‌مقام فراهانی، پلاک 267، کدپستی 1514617125، طبقه دوم اداره کل ارم، آقای جوادی
4-1-2- ارسال مدارک با امضای صاحبان امضای مجاز، ممهور به مهر شرکت، به صورت اسکن شده و در قالب فایل‌های PDF جداگانه به آدرس ایمیل eram@ito.gov.ir ارسال شود. (غیرحضوری)

توجه‌ها

1. موضوع ایمیل باید به این صورت باشد: «ارسال مدارک مربوط به شرکت [نام شرکت] و نامه شماره [شماره نامه]».
2. ایمیل باید توسط نماینده شرکت و از ایمیل رسمی شرکت ارسال شود تا پیگیری‌ها و هماهنگی‌ها از طریق آن انجام گیرد.
3. تعهدنامه باید تایپ شده باشد و دست‌نویس نباشد.

مدارک اشخاص حقوقی

• تعهدنامه تکمیل شده و تایپ شده
• اساسنامه شرکت
• روزنامه رسمی که آخرین تغییرات شرکت را شامل می‌شود و در آن اطلاعات مربوط به صاحبان سهام، صاحبان امضای مجاز و سمت‌ها مشخص باشد
• تصویر کارت ملی صاحبان امضا
• تصویر صفحه اول شناسنامه صاحبان امضا
• تصویر گواهی امضای صاحبان امضا که در دفترخانه اسناد رسمی ثبت شده است (دارای شناسه یکتا و رمز تصدیق)
• تصویر نامه معرفی صاحبان امضا در سربرگ شرکت
• تصویر گواهی معتبر امنیتی بین‌المللی برای هر محصول از مراجع معتبر جهانی مانند: Common Criteria، NIAP، ICSA، ISA یا سایر آزمایشگاه‌های معتبر جهانی، یا تصویر گواهی معتبر امنیتی داخلی از یکی از آزمایشگاه‌های دارای پروانه از سازمان فناوری اطلاعات ایران (لیست آزمایشگاه‌ها در آدرس https://sec.ito.gov.ir/page/labs)

توجه‌ها
4. تعهدنامه تکمیل شده (تایپ‌شده) با امضای صاحبان امضای مجاز و ممهور به مهر شرکت، باید اسکن و به صورت فایل PDF به آدرس ایمیل eram@ito.gov.ir ارسال شود. (غیرحضوری)
5. اگر صاحب امضای مجاز تنها یک نفر باشد، باید این فرد تمام صفحات تعهدنامه را در محل‌های مشخص شده برای امضا، تکمیل و امضا کند.

مدارک اشخاص حقیقی

• تعهدنامه تکمیل شده
• تصویر کارت بازرگانی متقاضی/واردکننده
• تصویر کارت ملی متقاضی/واردکننده
• تصویر صفحه اول شناسنامه متقاضی/واردکننده
• تصویر گواهی امضای متقاضی/واردکننده که در دفترخانه اسناد رسمی ثبت شده است (دارای شناسه یکتا و رمز تصدیق)
• تصویر گواهی معتبر امنیتی بین‌المللی برای هر محصول از مراجع معتبر جهانی مانند: Common Criteria، NIAP، ICSA، ISA یا سایر آزمایشگاه‌های معتبر جهانی، یا تصویر گواهی معتبر امنیتی داخلی از یکی از آزمایشگاه‌های دارای پروانه از سازمان فناوری اطلاعات ایران (لیست آزمایشگاه‌ها در آدرس https://sec.ito.gov.ir/page/labs)

2-2- مرحله دوم: ارسال فایل پیوست مشخصات محصولات
1-2-2- تمامی ستون‌های فایل اکسل پیوست مشخصات محصولات باید تکمیل و فایل پر شده به آدرس ایمیل eram@ito.gov.ir ارسال شود. (غیرحضوری)

توجه 6: در فایل اکسل، اگر فیلد «محصول گواهی معتبر امنیتی از آزمایشگاه‌های داخلی یا از مراجع بین‌المللی دارد؟» با «بله» پر شود، در فیلد «آدرس اینترنتی گواهی معتبر امنیتی داخلی یا بین‌المللی محصول»، باید لینک گواهی معتبر داخلی یا بین‌المللی محصول درج شود.

مرکز مشاوره ایران گواه یکی از معتبرترین مراجع جهت اخذ گواهینامه های بین المللی ایزو و همچنین اخذ گواهینامه افتا است. برای دریافت گواهینامه های ایزو معتبر از این فرم استفاده کنید و یا در واتس‌اپ پیام دهید.

شماره تماس: 46134156-021