Search
Close this search box.

دریافت پروانۀ افتا برای شرکت‌های فن‌آوری، الزامی شد

بهار قربانپور
اشتراک‌گذاری در:
لزوم گواهی‌نامۀ افتا برای شرکت‌های فن‌آور

بنابر اعلام معاونت امنیت فضای تولید و تبادل اطلاعات، داشتن گواهی‌نامۀ افتا، برای شرکت‌های فعال در حوزۀ فن‌آوری الزامی است و بدون آن، فعالیت این سازمان‌ها، غیرقانونی خواهد بود.

در این مطلب آمده: «شرکت‌های فن‌آور و فعال در حوزۀ شبکه و امنیت که پروانۀ افتا را دریافت نکرده‌اند هرچه سریع‌تر نسبت به این موضوع اقدام نمایند در غیر این‌صورت اجازۀ فعالیت نخواهند داشت.»

افتا چیست؟

افتا، کوتاه‌شدۀ عبارت «امنیت فضای تولید و تبادل اطلاعات» است؛ و مجوزی است که از سوی مرکز مدیریت راهبردی ریاست جمهوری (مرکز افتا) و سازمان فناوری اطلاعات ایران به شرکت‌ها و سازمان‌های مربوط، اعطا می‌شود. این گواهی، بخشی از طرح ارزیابی امنیتی است که هدف آن تضمین امنیت سیستم‌های نرم‌افزاری و محتواهای تولیدشده توسط این سازمان‌ها است.

وزارت ارتباطات و فناوری اطلاعات در صفحۀ وبگاه خود نوشته: «سازمان فناوری اطلاعات ایران بر اساس اسناد و راهبردهای ملی، از جمله سند راهبردی امنیت فضای تولید و تبادل اطلاعات (سند افتا) و قوانین مصوب در قالب برنامه‌های پنج‌ساله توسعه، به منظور حمایت و گسترش خدمات امنیت فضای تولید و تبادل اطلاعات (افتا) دركشور و برنامه‌ریزی در زمینه به‌كارگیری بهینه ظرفیت‌های ملی و ساماندهی شركت‌های توانمند در ارائه خدمات افتا، اقدام به ارزیابی و صدور پروانه فعالیت در حوزه افتا نموده است.
متقاضیان دریافت پروانه فعالیت در حوزه‌های مذكور می‌توانند پس از عضویت در سامانه، نسبت به تکمیل فرم‌های مربوطه در حوزه مورد نیاز خود اقدام نمایند.»

گواهی‌نامۀ افتا و ارتباط آن با شرکت‌های فن‌آور

در دنیای کنونی، استفاده از سامانه‌های نرم‌افزاری و یا فعالیت در بستر اینترنت برای بسیاری از شرکت‌ها و سازمان‌های دولتی و خصوصی فعال در حوزۀ IT و فن‌آوری، ضروری و غیرقابل انکار است.

باتوجه‌به این موضوع، تولید محتوای مطابق با استاندارهای سازمان فن‌آوری اطلاعات و ارتباطات و ایمن‌سازی داده‌ها برای سازمان‌ها و شرکت‌های فن‌آور، ضروری به نظر می‌رسد.

از سویی دیگر، هنگامی که سازمان‌ها و شرکت‌های فن‌آور از محصولات، خدمات و نرم‌افزارهایی استفاده می‌کنند که در داخل تولید شده، گواهی‌نامۀ افتا دارند و یا صلاحیت امنیتی آنها از سوی افتا تایید شده است در جهت ارتقای سطح کیفی امنیت شبکه ملی گام برمی‌دارند.

طبیعی است که تولید محتوای امن و جلوگیری از خسارت‌های احتمالی ناشی از به‌کارگیری محصولات ناامن، وظیفۀ مهم و خطیری است که سازمان‌ها و شرکت‌های فن‌آور برعهده دارند.

نهاد صدور گواهی‌نامۀ افتا کیست؟

سازمان فناوری اطلاعات ایران با همکاری سازمان امنیت فضای تولید و تبادل اطلاعات (افتا)، ارزیابی امنیتی و ارائه گواهی‌های امنیتی محصولات و خدمات نرم‌افزاری فعال در داخل کشور را برعهده دارند.

رسالت اصلی این گواهی‌نامه، کاهش تهدیدهای امنیتی و حفاظت از داده‌ها و اطلاعات منتشر شده در فضای مجازی است.

البته باید توجه کنیم که داشتن پروانۀ افتا به معنای برتری خدمات و سرویس‌های سازمان دریافت‌کنندۀ گواهی نیست؛ بلکه این نشان صرفاً بیانگر امنیت بالای آن سیستم یا سامانه در راستای حفاظت از داده‌ها و اطلاعات در فضای مجازی و اینترنت است.

چرا گواهی‌نامۀ افتا دریافت کنیم؟

چنان‌چه پیگیر اخبار و فعالیت‌های شرکت‌های فن‌‌آور باشید حتماً می‌دانید که بسیاری از سازمان‌ها و نهادهای دولتی، حداقل یک‌بار در سال مورد حملۀ سایبری قرار می‌گیرند و یا این تهدید برای آنان وجود دارد تا در آینده‌ای نزدیک این حملات را تجربه کنند.

طبیعی است که این نوع حمله‌ها- که در دنیای فن‌آوری Attack نامیده می‌شود- خسارت‌های مالی جبران‌ناپذیری به زیرساخت‌های این شرکت‌ها وارد می‌آورد به‌گونه‌ای که بسیاری از اطلاعات و داده‌های خود را از دست می‌دهند و حتی درمواردی برای برگرداندن اطلاعات مجبور به پرداخت هزینه‌‎های هنگفت می‌شوند یعنی نوع باج‌دهی برای مصون‌ماندن اطلاعات؛

از طرفی، طی بخشنامه ۳۹۵/۱/م، مورخ ۱۰/۰۲/۱۳۹۰سازمان فن‌آوری و اطلاعات ایران به تمام سازمان‌های دولتی و غیردولتی در خصوص استفاده از سامانه‌ها و سیستم‌هایی بدون گواهی ارزیابی افتا هشدار داده است؛ در این بیانیه آمده: «سامانه‌های نرم‌افزاری فاقد مجوز افتا، فاقد امنیت کافی برای مقابله با حملات سایبری و سایر خطرات موجود در فضای اینترنت هستند.»

از سویی دیگر، گواهی‌نامه افتا، مُهر تاییدی است بر “امنیت نرم افزار” مربوط و “امنیت و حسن کار شرکت ارائه‌دهنده خدمات”.

شرایط دریافت مجوز افتا

دریافت پروانۀ افتا شرایط خاصی دارد؛ و در صورتی که سازمان یا شرکت فن‌آور، یکی از شرایط زیر را نداشته باشد گواهینامه برای وی صادر نخواهد شد.

  • 1. داشتن تابعیت ایرانی.
  • 2. درخواست‌کننده باید طبق قانون تجارت به شکل غیردولتی و با مدیریت ایرانی کنترل شود.
  • 3. داشتن شرایط لازم برای بررسی فنی و اعتباری و همچنین روش بررسی خدمت.
  • 4. موضوع فعالیت شرکت درخواست کننده اخذ پروانه باید دربردارنده تمام خدمات موضوع ابلاغیه باشد.
  • 5. ارائۀ تعهد نسبت به رعایت تمامی سیاست‌های ابلاغی اخذکننده خدمات و سیاست‌های بالادستی صادر شده از طرف سازمان حراست کل کشور و مرکز راهبردی افتا برای درخواست‌کننده، ضروری است.
  • 6. ایجاد هر تغییری در مفاد موافقت‌نامه تأمین کیفیت و محرمانگی باید با ارائه اصل پروانه فعالیت به سازمان و صادرکردن پروانه فعالیت جدید همراه باشد.
  • 7. در صورت توقف در فعالیت، صاحب پروانه فعالیت موظف است مراتب را به طور کتبی حداکثر تا 15 روز به سازمان اعلام کند؛ و توقف فعالیت به رعایت کامل بندهای موافقت‌نامه سطح خدمات (SLA) منعقد شده با مشتریان تا هنگام اتمام مدت اعتبار موافقت نامه سطح خدمات بستگی دارد.
  • 8. صاحب پروانه فعالیت موظف است از تمام کارشناسان عرضه کننده خدمات حوزه این آیین نامه، ضمانت نامه عدم افشای اطلاعات (NDA) را دریافت کند.

نحوۀ درخواست گواهی‌نامۀ افتا

متقاضیان دریافت پروانۀ افتا باید به سایت مرکز مدیریت راهبردی افتا مراجعه و مدارک مورد نیاز را بارگذاری نمایند. افتا، پس از ارزیابی مدارک و تأیید آن‌ها، زمان ممیزی را به درخواست‌کننده اعلام می‌کند. پس از این مرحله و درصورت مثبت‌‎بودن فرآیند ممیزی، گواهینامه افتا برای سازمان مذکور، ارسال می‌شود.

سطح‌بندی شرکت‌های دریافت‌کنندۀ گواهی افتا

شرکت‌ها برای دریافت گواهینامه افتا بین سطح 1 تا 3 دسته بندی می‌شوند.

مدارک لازم برای دریافت گواهی‌نامۀ افتا

  • تعیین سه کارشناس با شرایط کارشناس اصلی
  • عرضه گواهی‌نامه‌های آموزشی کارکنان
  • استفاده از کلمۀ مشاوره در موضوع اصلی شرکت
  • قراردادهای مربوط در 5 سال گذشته
  • قرارداد در دیگر حوزه‌های خدمات افتا در 5 سال گذشته
  • پیشینه کاری و تأسیس شرکت
  • گواهی‌نامه ایزو 27001 و گواهی‌نامه ایزو 20000
  • گواهی‌نامه رتبه انفورماتیک
  • مدرک تحصیلی کارشناسان امتیاز آور
  • معرفی کارشناسان همکار
  • تقدیم فهرست تجهیزات در رابطه با خدمات هم راستا
  • فعالیت جهت خدمات فنی امنیت فضای تولید و تبادل اطلاعات
  • فعالیت با موضوع خدمات آموزشی امنیت فضای تولید و تبادل اطلاعات
  • فعالیت جهت خدمات مدیریتی امنیت فضای تولید و تبادل اطلاعات
  • فعالیت با موضوع خدمات عملیاتی امنیت فضای تولید و تبادل اطلاعات

نحوۀ استعلام پروانۀ افتا

منظور از استعلام مجوز افتا، بررسی قانونی‌بودن فعالیت شرکت در حوزه محصولات نرم‌افزاری و زیر ساخت‌های شبکه‌ای است که از طریق سایت https://www.afta.gov.ir انجام می‌شود.

  • شرکت‌هایی که فعالیت آن‌ها در زمینۀ ایجاد و توسعه شبکه‌های رایانه ای است برای شروع فعالیت خود باید نسبت به دریافت مجوز افتا اقدام کنند. پس از ثبت درخواست این شرکت‌ها در سایت https://sec.ito.gov.ir/، نرم‌افزار آن‌ها کاملاً قانونی خواهد بود.
  • افرادی که از نرم‌افزارها استفاده می‌کنند می‌توانند استعلام قانونی بودن آن را بگیرند تا از معتبر بودن این نرم افزار مطمئن شوند.
  • برای کسب آگاهی و اطمینان از دارا بودن گواهی‌نامه افتا و مجوز محصولات نرم‌افزاری،به وب‌سایت سازمان فناوری اطلاعات ایران و بخش گواهی‌های امنیتی محصولات، مراجعه کنید.
  • نام شرکت ارائه‌دهندۀ سیستم‌های نرم‌افزاری را جست‌وجو کنید و گواهی‌نامه‌های دریافت‌شده را ببینید. چنان‌چه سازمان یا شرکتی این پروانه را نداشته باشد برای امنیت اطلاعات و همکاری با آنان باید بسیار محتاط و هوشیار باشید.

نظرات ارزشمند شما

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *