נהלי אבטחה לתעודה
התעודה הדיגיטלית המונפקת על ידי פרסונל איי.די. הינה תעודה מאושרת על פי חוק ומהווה מסמך משפטי לכל דבר ועניין, בדומה לתעודת זהות, רישיון נהיגה או דרכון.
בנוסף, התעודה הדיגיטלית בהיותה חתימה דיגיטלית מאושרת, היא בעלת תוקף משפטי מחייב ועולה לעיתים בחשיבותה על מסמכים אלו. לפיכך, נקבע בחוק (“חוק החתימה האלקטרונית, התשס”ב, 2001″ -סעיפים 7 ו 8 – קישור לנוסח החוק) כי יש לנקוט באמצעי אבטחה אשר ישמרו על אמינותה.
שמירה על אמצעי החתימה
התעודה הדיגיטלית נשמרת כנאמר, בתוך התקן פיזי – כרטיס חכם או טוקן. התקן זה נקרא אמצעי החתימה. על בעל התעודה מוטלת החובה לנקוט בכלל האמצעים הסבירים על מנת לשמור על אמצעי החתימה, היות ואם אדם או גוף אחר, ישתמש באמצעי החתימה על מנת לחתום בשמו מבלי שקיבל את רשותו לכך, בעל התעודה עלול/ה לשאת באחריות לנזק שנגרם עקב השימוש כאמור.
בעל התעודה יכול להגן על עצמו מפני הסיכון אם ידאג למלא את החובות המוטלות עליו עפ”י החוק בנוגע לאמצעי החתימה לנקוט בכל האמצעים הסבירים לשם שמירה על אמצעי החתימה ולמניעת שימוש בו ללא הרשאתו למסור הודעה לגורם המאשר, פרסונל איי.די, מיד כשנודע לו כי נפגעה שליטתו באמצעי החתימה עקב גניבתו, אובדנו, העתקתו וכיוצ”ב.
שימוש בסיסמא
החוק קובע כי על מנת להבטיח שימוש הולם בתעודה, יש ליצור שיטת אבטחה נוספת מעבר לשימוש באמצעי חתימה פיזי. לשם כך, בעת הנפקת התעודה נוצרת סיסמא ייחודית העובדת יחד עם אמצעי החתימה הפיזי.
תקנות החוק קובעות כי –
“הייתה הפעלת אמצעי החתימה כרוכה בשימוש בסיסמה, תעמוד הסיסמה בדרישות אבטחה ברמה הגבוהה לפי ת”י 1495 חלק 3.”
(“תקנות חתימה אלקטרונית [חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות], התשס”ב 2001- 1″ קישור לנוסח תקנות החוק).
תקן זה קובע את מאפייני יצירת הסיסמא. טבלה זו מסכמת את מאפיינים אלו:
מאפייני סיסמא |
הוראה |
הסבר |
הגורם המחבר את הסיסמא |
משתמש או מחולל ממוחשב |
עליכם לבחור את הסיסמא בעצמכם, או להשתמש במחולל סיסמאות |
אורך הסיסמא (מינימום) |
6 תווים |
|
מבחר תווים |
אותיות, ספרות וסימנים מיוחדים |
אותיות – א-ת, A-Z, a-z ספרות – 0-9 סימנים מיוחדים: !@#$%^&*)(_+-=\|[{]};~><.?,” |
תווים חוזרים |
אסורים |
אין להשתמש בסיסמא הכוללת aa, 11 וכד’ |
תווים עוקבים |
אסורים |
אין להשתמש בסיסמא הכוללת ab, 12 וכד’ |
אותיות וספרות הנמצאים בסמיכות על גבי מקלדת |
אסורים |
אין להשתמש ברצף של as, qw וכד’ |
משך התוקף המכסימלי |
60 יום |
|
מספר ימים מינימלי החלפת סיסמה אחת לאחרת |
7 ימים |
למניעת חזרה מהירה אל הסיסמא הראשונית, יש להשתמש בסיסמא לפחות 7 ימים |
מספר מחזורים מינימלי להשוואת סיסמאות |
12 |
כלומר ניתן לחזור אל סיסמא רק לאחר 12 החלפות סיסמא, כלומר מינימום של 12X7 ימים מההחלפתה. |
שיטת שמירת הסיסמה במערכת |
טבלה או קובץ מוגנים על ידי מערכת הרשאות וסיסמאות מוצפנות |
יש לוודא כי אמצעי האחסנה עומד בכך |
מספר נסיונות כניסה כושלים רצופים עד לנעילת הגישה למערכת ולמסוף |
3 |
יש להגדיר באמצעי החתימה |
יש ליצור את הסיסמה בהתאם למאפיינים אלו.