آیین نامه جزء (3 ـ 5 ـ 3) بند (ب) ماده 2 قانون تأمین مالی تولید و زیرساخت ها مصوب 1405/03/10

در این آیین نامه، اصطلاحات زیر در معانی مشروح مربوط بـه کار می روند: 1 ـ قانون: قانون تأمین مالی تولید و زیرساخت ها مصوب 1402 با اصلاحات بعدی 2 ـ شورا: شورای ملی تأمین مالی موضوع بند (الف) ماده (2) قانون 3 ـ بانک مرکزی: بانک مرکزی جمهوری اسلامی ایران 4 ـ مرکز: مرکز ملی تأمین مالی وزارت امور اقتصادی و دارایی 5 ـ مرکز افتا: مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری 6 ـ پایگاه داده اعتباری: پایگاه داده اعتباری کشور، موضوع تبصره (4) بند (ب) ماده (2) قانون 7 ـ آیین نامه تأسیس: آیین نامه نحوه تأسیس و فعالیت شرکت های اعتبارسنجی موضوع جزء (1 ـ 5 ـ 3) بند (ب) ماده (2) قانون موضوع تصویب نامه شماره 168909/ت63379هـ مورخ 1403/11/3 8 ـ اطلاعات مکمل: موضوع بند (9) ماده (1) آیین نامه تأسیس 9 ـ امتیاز اعتباری: موضوع بند (12) ماده (1) آیین نامه تأسیس 10 ـ گزارش اعتباری: موضوع بند (13) ماده (1) آیین نامه تأسیس 11 ـ شرکت : شرکت های اعتبارسنجی نوع یک موضوع بند (15) ماده (1) آیین نامه تأسیس و شرکت های اعتبارسنجی موضوع بند (16) ماده (1) آیین نامه تأسیس کـه دارای مجوز فعالیت ارائه خدمات بند (1) و (4) ماده (20) آیین نامه تأسیس هستند. 12 ـ استفاده کنندگان: موضوع بند (17) ماده (1) آیین نامه تأسیس 13 ـ مشتری: موضوع بند (18) ماده (1) آیین نامه تأسیس 14 ـ تأمین کنندگان اطلاعات: موضوع بند (20) ماده (1) آیین نامه تأسیس و همچنین تأمین کنندگان اطلاعات مکمل 15 ـ مقام ناظر بر فرایند تأمین امنیت: شخص حقوقی کـه مسئولیت نظارت بر فرآیند تأمین امنیت اطلاعات و سامانه های شرکت ها را بر عهده داشته و بـه شرح زیر است: الف ـ شرکت های تحت نظارت بانک مرکزی: بانک مرکزی جمهوری اسلامی ایران. ب ـ شرکت های خارج از نظارت بانک مرکزی: وزارت امور اقتصادی و دارایی. 16 ـ مدیریت تطبیق و امنیت اطلاعات: واحدی در شرکت ها جهت پیگیری و انجام وظایف مندرج در این آیین نامه. 17 ـ تصفیه اطلاعات: فرآیند اصلاح، استانداردسازی و بهینه سازی داده های دریافتی از تأمین کنندگان اطلاعات کـه از دقت، یکپارچگی و قابلیت اطمینان داده های بارگذاری شده در سامانه شرکت اطمینان حاصل شود. این فرآیند شامل شناسایی و رفع خطاها، ناسازگاری ها و نقص های موجود در داده های خام است، بـه نحوی کـه برای ذخیره سازی اطلاعات اعتباری و تهیه گزارش از اطلاعات دریافتی مقدور باشد. 18 ـ مجوز افتا: پروانه فعالیت در حوزه افتا (گواهی مرکز افتا) کـه توسط مرکز افتا برای شرکت ها صادر می شود. 19 ـ طرح بازیابی از فاجعه: طرحی کـه در صورت بروز حوادث قهری اعم از زلزله، سیل و طغیان های غیرعادی، آتش سوزی های دامنه دار و مهارنشدنی، طوفان، شیوع بیماری های واگیردار و حوادث مشابه خارج از مهار(کنترل)، امکان ارائه خدمات(سرویس) توسط شرکت را مختل می نماید بـه کمک آن می توان دسترسی پذیری و امنیت داده را تضمین نمود. 20 ـ طرح تداوم کسب وکار: مجموعه ای از فرآیندها و دستورالعمل ها و اقدامات اجرایی کـه توسط شرکت با هدف بازیابی و ادامه روند فعالیت های جاری کسب وکار انجام و پیاده سازی می شود تا بتواند بعد یا در هنگام بروز حوادث قهری بـه روند فعالیت جاری خود ادامه دهد. 21 ـ توافق نامه همکاری: توافق نامه ای کـه بین شرکت ها با تأمین کنندگان اطلاعات یا استفاده کنندگان بر مبنای توافق نامه نمونه ای کـه توسط مقام ناظر بر فرایند تأمین امنیت ابلاغ می شود، منعقد می گردد و در آن جزئیات مربوط بـه حقوق، تعهدات و مسئولیت های هر یک از طرفین و نحوه تبادل اطلاعات و خدمات بین آنها بـه طور شفاف تبیین می شود. 22 ـ مدیران شرکت: مدیرعامل و اعضای هیئت مدیره شرکت ها.

مسئولیت تأمین امنیت پایگاه داده اعتباری مطابق ضوابط اعلامی مرکز افتا و سایر مراجع قانونی ذی ربط، بر عهده بانک مرکزی خواهد بود. سازوکار تأمین امنیت پایگاه داده اعتباری مطابق دستورالعملی خواهد بود کـه ظرف یک ماه پس از ابلاغ این آیین نامه، توسط بانک مرکزی با همکاری مرکز افتا تدوین و توسط بانک مرکزی ابلاغ می گردد. دستورالعمل مذکور باید مشتمل بر الزامات ناظر بر جلوگیری از سوءاستفاده واسطه های دسترسی بـه داده بـه منظور جلوگیری از انباشت اطلاعات پایگاه داده اعتباری نزد شرکت ها و استفاده کنندگان باشد. تبصره 1 ـ نمایندگان وزارت امور اقتصادی و دارایی، بانک مرکزی و سایر اشخاصی کـه در انجام فعالیت خود بـه داده ها و اطلاعات مشتری نزد پایگاه داده اعتباری دسترسی پیدا می کنند، موظفند با رعایت اصل امانت داری، رازداری و محرمانگی، داده ها و اطلاعات مذکور را بـه عنوان اسرار حرفه ای تلقی نموده و از افشای آن خودداری نمایند و در غیر این صورت، برابر قوانین و مقررات مربوط، از جمله قانون جرایم رایانه ای مصوب 1388 با اصلاحات بعدی با آنها رفتار خواهد شد. افرادی کـه بـه داده ها و اطلاعات پایگاه داده اعتباری دسترسی پیدا کنند، لازم است قبل از دسترسی بـه داده ها و اطلاعات، صلاحیت عمومی آنان بـه تأیید حراست بانک مرکزی رسیده باشد. تبصره 2 ـ استفاده از پیمانکاران و مشاوران خارجی برای طراحی، معماری و پیاده سازی پایگاه داده اعتباری توسط بانک مرکزی یا شرکت های تابعه و وابسته بـه آن بانک، تحت عنوان قراردادهای مشاوره یا هر عنوان دیگر ممنوع بوده و بانک مرکزی می تواند از شرکت های داخلی کـه تأییدیه صلاحیت آنها از حراست بانک مرکزی دریافت شده باشد، برای تحلیل، معماری و پیاده سازی پایگاه داده اعتباری استفاده نماید.

بـه منظور بررسی و تأمین امنیت سامانه ها، نرم افزارها، پایگاه داده داخلی و داده ها و اطلاعات شرکت ها، هر یک از این شرکت ها مکلف بـه ایجاد واحد تخصصی مدیریت تطبیق و امنیت اطلاعات هستند. این واحد موظف بـه پیگیری و اجرایی کردن الزامات این آیین نامه و تضمین امنیت داده ها و اطلاعات و انطباق با استانداردهای مرتبط می باشد.

شرکت ها باید نسبت بـه پیشنهاد مدیر واحد تطبیق و امنیت اطلاعات بـه مقام ناظر بر فرایند تأمین امنیت اقدام نموده و تأییدیه لازم را از آن مقام اخذ نمایند. انتصاب مدیر تطبیق و امنیت اطلاعات باید با رعایت معیارهای تخصصی امنیت داده ها، تطبیق مقررات و مدیریت خطر(ریسک) فناوری اطلاعات با تشخیص مقام ناظر صورت پذیرد. تبصره 1 ـ مقام ناظر بر فرایند تأمین امنیت موظف است پیش از ارائه تأییدیه، نسبت بـه اخذ استعلام از مرکز افتا اقدام نماید. مرکز افتا نیز موظف است حداکثر ظرف یک ماه پس دریافت درخواست از سمت مقام ناظر بر فرایند تأمین امنیت، نسبت بـه پاسخ بـه درخواست واصله اقدام نماید. عدم ارائه پاسخ ظرف مهلت مشخص شده، بـه منزله تأیید مرکز افتا خواهد بود. تبصره 2 ـ هرگونه استعفاء، جا بجایی یا تغییر در مدیریت تطبیق و امنیت اطلاعات منوط بـه تأیید مقام ناظر بر فرایند تأمین امنیت خواهد بود. در صورت استعفاء یا جابجایی مدیر، تا معرفی مدیریت جدید، مدیریت فعلی بـه فعالیت خود ادامه خواهد داد. تبصره 3 ـ در صورت عزل یا فوت مدیریت تطبیق و امنیت اطلاعات، مدیرعامل شرکت موظف است ظرف یک هفته گزینه پیشنهادی خود را بـه مقام ناظر بر فرایند تأمین امنیت معرفی نماید. بدیهی است کـه در این حالت تا معرفی و تأیید مدیریت جدید، مسئولیت مستقیم عملکرد مدیریت تطبیق و امنیت اطلاعات با مدیرعامل شرکت خواهد بود.

مدیران شرکت ها موظفند هرگونه تغییر در فرآیندهایی از شرکت را کـه بـه گونه ای با اطلاعات و داده های شرکت مرتبط است، بـه اطلاع مدیریت تطبیق و امنیت اطلاعات برسانند.

مدیران شرکت ها موظفند کلیه الزامات و دستورالعمل های صادره توسط مدیریت تطبیق و امنیت اطلاعات را بـه شکل کامل رعایت نموده و هماهنگی لازم را برای اجرای مؤثر آنها بـه عمل آورند. همچنین، مسئولیت ارتقای سطح آگاهی و توانمندسازی نیروی انسانی در حوزه امنیت داده ها بر عهده مدیران شرکت ها است.

با هدف نظارت دقیق و کامل بر استفاده از داده ها و اطلاعات دریافتی از تأمین کنندگان داده ها و اطلاعات، مدیران شرکت ها موظفند دسترسی مدیریت تطبیق و امنیت اطلاعات بـه داده های زیر را در سامانه ها و نرم افزارهای شرکت فراهم نمایند: 1 ـ رویدادنگاری (لاگ) انواع تغییرات در داده ها و اطلاعات پایگاه داده داخلی شرکت . 2 ـ رویدادنگاری (لاگ) کلیه استعلام های گزارش اعتباری و یا سایر محصولات و خدمات اعتباری ارائه شده توسط شرکت . 3 ـ سایر داده ها و اطلاعات و مستندات مربوط بـه امنیت داده بـه تشخیص مدیریت تطبیق و امنیت اطلاعات.

در صورتی کـه خاتمه فرآیند رسیدگی بـه اعتراض بر اساس آیین نامه موضوع جزء (3 ـ 5 ـ 5) بند (ب) ماده (2) قانون موضوع تصویب نامه شماره 46435/ت64172هـ مورخ 1404/3/17 ، بـه اصلاح داده ها و اطلاعات منجر شود، سامانه ها و نرم افزارهای تخصصی شرکت ها باید بـه نحوی پیاده سازی شوند کـه بـه تفکیک، رویدادنگاری (لاگ) تغییرات مذکور را ذخیره نمایند.

مدیران شرکت های اعتبارسنجی موظفند برای سامانه های تحت اختیار خود و همچنین تجهیزات ذخیره اطلاعات، مجوزهای امنیتی از مرکز افتا، بررسی های امنیتی و تست نفوذ توسط شرکت های دارای مجوز افتا را تهیه کرده و بـه تأیید مدیریت تطبیق و امنیت اطلاعات برسانند. تبصره 1 ـ مدیران شرکت های اعتبارسنجی موظفند گواهینامه استاندارد سامانه(سیستم) مدیریت امنیت اطلاعات را از شرکت های دارای مجوز از مرکز افتا، جهت پیاده سازی فرآیندها و رویه های داخلی شرکت خود دریافت نمایند. تبصره 2 ـ هرگونه بـه روزرسانی یا توسعه در سامانه ها و نرم افزارهای تخصصی شرکت ها بـه نحوی کـه منجر بـه تغییر در ذخیره سازی داده ها و اطلاعات و رویدادنگاری های (لاگ) مندرج در ماده (7) این آیین نامه گردد، باید بـه تأیید مدیریت تطبیق و امنیت اطلاعات برسد.

مدیران شرکت ها در خصوص زیرساخت های فناوری اطلاعات مورد استفاده، ملزم بـه رعایت استانداردهای مرتبط با مراکز داده و مورد تأیید مقام ناظر بر فرایند تأمین امنیت هستند.

مدیران شرکت ها موظفند طرح بازیابی از فاجعه و طرح تداوم کسب وکار را مطابق ضوابط اعلام شده توسط مقام ناظر بر فرایند تأمین امنیت، برای سامانه های اعتبارسنجی و تجهیزات ذخیره سازی داده ها و اطلاعات تهیه و اجرا نمایند. مدیریت تطبیق و امنیت اطلاعات موظف است بـه صورت دوره ای و بنا بـه درخواست، گزارش عملکرد این حوزه را بـه مقام ناظر بر فرایند تأمین امنیت ارائه نمایند.

مدیریت تطبیق و امنیت اطلاعات موظف است بـه صورت مستمر و با استفاده از داده ها و اطلاعات موضوع ماده (7) این آیین نامه و فرایندهاو قواعد موضوع ماده (5) این آیین نامه، موارد مشکوک بـه تغییر یا ایجاد دسترسی غیرمجاز در سامانه ها، نرم افزارهای تخصصی و داده ها و اطلاعات شرکت ها را استخراج نموده و بـه همراه مستندات بـه مدیرعامل ارائه نماید. مدیرعامل شرکت موظف است ظرف هفت روز کاری، دلایل مبنی بر پذیرش تغییر یا دسترسی غیرمجاز را بـه مدیریت تطبیق و امنیت اطلاعات گزارش نماید. در صورت عدم گزارش دلایل یا عدم کفایت ادله گزارش شده توسط مدیرعامل شرکت ظرف مهلت زمانی مقرر، مراتب توسط مدیریت تطبیق و امنیت اطلاعات بـه مقام ناظر بر فرایند تأمین امنیت گزارش خواهد شد. پس از آن، مقام ناظر بر فرایند تأمین امنیت نسبت بـه ارائه گزارش تغییرات یا دسترسی های غیرمجاز بـه سامانه ها، نرم افزارهای تخصصی و داده ها و اطلاعات شرکت ها بـه شورا اقدام خواهد نمود. شورا با توجه بـه سطح اهمیت تغییرات یا دسترسی های غیرمجاز، یک یا چند مورد از اقدامات نظارتی موضوع جزء (3 ـ 5 ـ 7) بند (ب) ماده (2) قانون را در خصوص شرکت اتخاذ خواهد نمود.

مسئولیت تأمین، حفظ و ارتقاء امنیت سامانه ها، نرم افزارها و پایگاه های داده داخلی و داده ها و اطلاعات شرکت ها بر عهده مدیران هر شرکت است.

هر یک از اشخاصی کـه بـه اطلاعات و داده های شرکت ها دسترسی دارند، باید از حیث صلاحیت های عمومی بـه تأیید مقام ناظر بر فرایند تامین امنیت برسند. تبصره 1 ـ تشخیص مصادیق و معرفی اشخاص یا سمت هایی کـه بـه داده ها و اطلاعات و پایگاه داده داخلی شرکت ها دسترسی دارند، بـه عهده مدیریت تطبیق و امنیت اطلاعات خواهد بود. تبصره 2 ـ اشخاص موضوع این ماده موظفند کلیه داده ها و اطلاعات و گزارش های اعتباری مشتری را محرمانه و بـه عنوان «اسرار محرمانه» تلقی نموده و از افشای آن خودداری نمایند. مدیر واحد تطبیق و امنیت اطلاعات موظف است الزامات و سازوکار لازم بـه منظور جلوگیری از افشای داده ها و اطلاعات را بـه مدیران شرکت ها جهت اتخاذ تصمیم پیشنهاد نماید. مدیران شرکت ها موظفند سازوکار لازم بـه منظور عقد تفاهم نامه عدم افشاء را فراهم و بـه تأیید مدیریت تطبیق و امنیت اطلاعات برسانند. تبصره 3 ـ اشخاص موضوع این ماده موظفند نسبت بـه عقد تفاهم نامه عدم افشاء مورد تأیید مقام ناظر بر فرایند تأمین امنیت اقدام نمایند.

نمایندگان مقام ناظر بر فرایند تأمین امنیت، کارکنان و مدیران شرکت ها و بازرسان قانونی کـه در انجام فعالیت خود بـه اسناد، مدارک و اطلاعات مشتری نزد شرکت ها دسترسی پیدا می کنند، موظفند با رعایت اصل امانت داری، رازداری و محرمانگی اسناد، مدارک و داده ها و اطلاعات مذکور و همچنین گزارش هایی را کـه بر اساس آنها تهیه می کنند بـه عنوان «اسرار حرفه ای» تلقی نمایند. افشای اسرار حرفه ای در صورت وجود الزام صریح قانونی و یا دستور مرجع قضایی امکان پذیر است.

دریافت گزارش اعتباری مشتری توسط استفاده کنندگان و اشخاص ذی نفع، با رضایت مشتری یا نماینده قانونی ایشان امکان پذیر است. استفاده کنندگان و اشخاص ذی نفع موضوع این ماده موظفند با رعایت اصل امانت داری، رازداری و محرمانگی داده ها، اطلاعات اعتباری و گزارش اعتباری مشتری را محرمانه تلقی نموده و از افشای آن جز با رضایت مشتری یا نماینده قانونی ایشان خودداری نمایند. افشای اسرار محرمانه نزد مرجع یا مقام ذی صلاح در صورت وجود الزام صریح قانونی و یا دستور مرجع قضایی امکان پذیر است. تبصره 1 ـ شرکت ها بدون اجازه مقام ناظر بر فرایند تأمین امنیت مجاز بـه ارائه و انتقال اسناد، مدارک و اطلاعات پشتوانه امتیاز اعتباری بـه استفاده کنندگان، تأمین کنندگان داده ها و اطلاعات و سایر اشخاص بـه استثنای شخص متقاضی یا نماینده قانونی وی نیستند. تبصره 2 ـ هیچ یک از شرکت ها مجاز بـه نگاهداری و ذخیره سازی داده ها و اطلاعات موضوع پایگاه داده اعتباری نیستند. در غیر این صورت، مطابق با آیین نامه اعمال مقررات انتظامی متناسب با تخلفات شرکت ـ های اعتبارسنجی و مدیران آنها موضوع تصویب نامه شماره 192447/ت65234هـ مورخ 1404/11/21 با آنان رفتار خواهد شد. تبصره 3 ـ شرکت ها مکلفند روش های احراز هویت سامانه ای(سیستمی) را بـه همراه دلایل و مستندات کافی پس از تأییدیه مدیریت تطبیق و امنیت اطلاعات، بـه مقام ناظر بر فرایند تأمین امنیت جهت بررسی ارائه نمایند. مقام ناظر بر فرایند تأمین امنیت پس از بررسی درخواست ارائه شده، نتیجه درخواست را بـه همراه دلایل بـه شرکت ها اعلام می نماید. استفاده از روش احراز هویت پیشنهادی منوط بـه تأیید مقام ناظر بر فرایند تأمین امنیت خواهد بود. تبصره 4 ـ شرکت ها موظفند پس از احراز هویت، امکان دریافت امتیاز اعتباری یا گزارش اعتباری مشتری را برای متقاضی و یا نماینده قانونی وی فراهم نمایند. تبصره 5 ـ شرکت ها موظفند امکان دریافت امتیاز اعتباری یا گزارش اعتباری مشتری را برای استفاده کنندگان بـه صورت سامانه ای(سیستمی) بـه نحوی فراهم نمایند کـه پس از دریافت تأییدیه مشتری، گزارش اعتباری برای استفاده کنندگان قابل استفاده باشد. مدیران شرکت ها و مدیر واحد تطبیق و امنیت اطلاعات مسئول نظارت بر حسن اجرای این ماده خواهند بود.

اعطای دسترسی بـه استفاده کنندگان جهت استعلام امتیاز یا گزارش اعتباری مشتری منوط بـه عقد توافق نامه همکاری کتبی خواهد بود. مدیران شرکت ها مسئول نظارت بر حسن اجرای این ماده در چارچوب قوانین و مقررات ذی ربط خواهند بود. تبصره 1 ـ نمونه متن توافق نامه همکاری ظرف دو ماه پس از تاریخ ابلاغ این آیین نامه، توسط مقام ناظر بر فرایند تأمین امنیت تهیه و ابلاغ می گردد. تبصره 2 ـ مقام ناظر بر فرایند تأمین امنیت مکلف است توافق نامه همکاری را بـه نحوی تدوین نماید کـه جزئیات تعهدات طرفین و الزامات حفاظت اطلاعات و حفظ محرمانگی و امنیت داده ها در آن قید شده باشد. تبصره 3 ـ استفاده کنندگان مجاز بـه نگاهداری و ذخیره سازی گزارش اعتباری و امتیاز اعتباری نیستند و در صورت تخلف، شرکت مکلف است دسترسی آنها بـه خدمات را قطع نمایند. این موضوع باید در متن توافق نامه همکاری نیز درج گردد.

تغییرات مجاز در داده ها و اطلاعات شرکت ها عبارت از بـه روزرسانی داده ها و اطلاعات از سوی تأمین کنندگان اطلاعات، اصلاحات موضوع ماده (8) این آیین نامه، تصفیه داده ها و اطلاعات دریافتی از تأمین کنندگان داده ها و اطلاعات، امحاء گزارش اعتباری، امتیاز اعتباری و سایر محصولات تولیدشده است. سایر مصادیق تغییرات مجاز داده ها و اطلاعات توسط مقام ناظر بر فرایند تأمین امنیت تعیین خواهد شد.

شرکت ها موظفند اسناد، داده ها و اطلاعات و مدارک پشتوانه امتیاز اعتباری را بـه سوابق الکترونیکی تبدیل نمایند و تا زمان تبدیل آن بـه سابقه الکترونیکی، اسناد، داده ها و اطلاعات و مدارک مذکور را با رعایت اصول امنیتی و حفاظت شده نگاهداری کنند.

مدیریت تطبیق و امنیت اطلاعات موظف است ضوابط داخلی برای ذخیره، نگاهداری و حفاظت اسناد، داده ها و اطلاعات و مدارک را تدوین و بـه مدیران شرکت ها جهت تصویب ارائه نماید.

شرایط و ضوابط نگاهداری اسناد، داده ها و اطلاعات و مدارک در صورت وجود و سوابق الکترونیکی باید متناسب با شرایط استاندارد از قبیل قفسه بندی کافی، عاری از گرد و غبار و رطوبت، مجهز بـه سیستم های اعلام و اطفای حریق و دارای سیستم های حفاظتی و ایمنی مطابق با استانداردهای بین المللی مدیریت خطر(ریسک) فیزیکی مطلوب تنظیم گردد.

مدیران شرکت ها مکلفند ظرف زمان تعیین شده توسط مقام ناظر بر فرایند تأمین امنیت، نسبت بـه امحاء گزارش اعتباری، امتیاز اعتباری یا سایر محصولات تولیدشده اقدام نمایند و در صورت تخلف، بـه یک یا چند مورد از اقدامات نظارتی موضوع جزء (3 ـ 5 ـ 7) بند (ب) ماده (2) قانون محکوم خواهند شد. تبصره ـ مدیریت تطبیق و امنیت اطلاعات مکلف است گزارش اعتباری، امتیاز اعتباری یا سایر محصولات تولیدشده توسط شرکت ها را بـه مدت پنج سال نگاهداری و پس از آن نسبت بـه انتقال آن بـه مقام ناظر بر فرایند تأمین امنیت اقدام نماید.

شرکت ها مکلف بـه امحاء اسناد، مدارک و داده ها و اطلاعات پشتوانه امتیاز اعتباری (اسناد و مدارک و یا سوابق الکترونیکی) ظرف یک هفته پس از اعلام رسمی شورا مبنی بر انحلال یا لغو مجوز فعالیت شرکت می باشد. شرکت موظف است ترتیبات امحای اسناد و مدارک و یا سوابق الکترونیکی را بـه نحوی اتخاذ نماید کـه امکان بازیابی مجدد آنها وجود نداشته باشد. مسئولیت تدوین و تصویب ضوابط مربوط بـه نحوه امحاء اسناد و مدارک و داده ها و اطلاعات پشتوانه امتیاز اعتباری بر عهده مدیران شرکت ها بوده و مسئولیت حسن اجرای آن بر عهده مدیران قانونی وقت شرکت و با نظارت مقام ناظر بر فرایند تأمین امنیت است. تبصره ـ شرکت موظف است در صورت درخواست مقام ناظر بر فرایند تأمین امنیت، تمام یا بخشی از اسناد، مدارک و داده ها و اطلاعات موضوع این ماده را بـه مقام ناظر بر فرایند تأمین امنیت بـه نحوی انتقال دهد کـه پس از انتقال، امکان دسترسی و استفاده از آنها توسط شرکت و سایر اشخاص وجود نداشته باشد.

شرکت ها مجاز بـه فروش گزارش اعتباری و یا تطبیق گزارش اعتباری با توجه بـه نیاز جامعه بـه استفاده کنندگان، صرفا پس از انعقاد قرارداد رعایت اصول حفظ محرمانگی و حفاظت داده ها و اطلاعات کـه بـه تأیید مدیران شرکت ها رسیده است، خواهند بود. همکاری با استفاده کنندگان و سایر شرکت ها منوط بـه اجرای این قراردادها خواهد بود.

انعقاد قرارداد مشاوره یا هر عنوان دیگر با پیمانکاران و مشاوران توسط شرکت ها جهت توسعه و برازش الگو(مدل) های محاسبه امتیاز اعتباری و نظایر آن، صرفا در صورتی مجاز است کـه داده ها بـه صورت بدون نام (ناشناس ) و بدون دسترسی از راه دور در اختیار مشاورین و پیمانکاران قرار گیرد. مدیران شرکت ها مسئول نظارت بر حسن اجرای این ماده هستند. تبصره ـ انعقاد قرارداد با مشاوران خارجی جهت توسعه و برازش الگوی(مدل) محاسبه امتیاز اعتباری و نظایر آن، منوط بـه تأیید مقام ناظر بر فرایند تأمین امنیت خواهد بود. در صورت تأیید عقد قرارداد با مشاور خارجی، مدیریت تطبیق و امنیت اطلاعات موظف بـه نظارت مداوم بر رعایت الزامات امنیتی عملکرد مشاور خارجی خواهد بود. در هر صورت، داده ها باید ضمن رعایت فرایندهای این ماده، صرفا بـه صورت بدون نام در اختیار مشاور خارجی قرار گیرد.

انعقاد قرارداد مشاوره یا هر عنوان دیگر با پیمانکاران و مشاوران خارجی توسط شرکت ها جهت توسعه، آزمون (تست) و بـه روزرسانی نرم افزارها و سامانه های تخصصی مرتبط ممنوع است. تبصره ـ توسعه و بـه روزرسانی نرم افزار و سامانه توسط مشاورین داخلی منوط بـه عدم خروج داده ها و اطلاعات از مرکز داده، اعم از رایانه های مرکزی (سرورهای) شرکت ها و عدم اعطای دسترسی از راه دور است. مدیریت تطبیق و امنیت اطلاعات مسئول نظارت بر حسن اجرای این ماده خواهد بود.

هرگونه پشتیبانی و نگاهداری دائمی نرم افزارها و سامانه های تخصصی مرتبط شرکت ها از راه دور ممنوع است. دسترسی از راه دور بـه طور موقت بـه نرم افزارها و سامانه های مذکور در صورتی کـه مشاور یا پیمانکار تابعیت ایرانی داشته باشد، پس از تأیید مقام ناظر بر فرایند تأمین امنیت بلامانع است. هرگونه دسترسی پیمانکاران در مرحله بهره برداری عملیاتی نرم افزارها و سامانه های تخصصی، بنا بـه ضرورت با نظارت و پایش (کنترل) کامل و با مسئولیت پذیری مدیران شرکت ها انجام می گردد.

کلیه تجهیزات و زیرساخت های فناوری اطلاعات کـه توسط شرکت ها خریداری شده یا بـه هر نحوی مورد استفاده قرار می گیرد، قبل از بهره برداری توسط مدیریت تطبیق و امنیت اطلاعات مورد بررسی فنی قرار گرفته و در صورت تأیید، مورد استفاده قرار می گیرد.

پیش از صدور مجوز فعالیت شرکت ها، دریافت داده ها و اطلاعات از تأمین کنندگان داده ها و اطلاعات، منوط بـه رعایت آیین نامه تأسیس و ارائه برنامه زمان بندی و اجرای این آیین نامه توسط مدیران شرکت ها خواهد بود. پس از صدور مجوز فعالیت شرکت های اعتبارسنجی، ظرف یک ماه برنامه اجرایی این آیین نامه توسط شرکت ها بـه مقام ناظر بر فرایند تأمین امنیت ارائه خواهد شد. در صورت امتناع یا عدم همکاری مدیران شرکت ها در اجرای مفاد این آیین نامه با مدیریت تطبیق و امنیت اطلاعات و مقام ناظر بر فرایند تأمین امنیت، پس از اعلام عدم همکاری توسط مقام ناظر بر فرایند تأمین امنیت بـه شورا، شورا یک یا چند مورد از اقدامات نظارتی موضوع جزء (3 ـ 5 ـ 7) بند (ب) ماده (2) قانون را در خصوص شرکت ها اتخاذ می نماید.

مدیریت تطبیق و امنیت اطلاعات مکلف است هر سه ماه یکبار گزارش عملکرد شرکت ها را در زمینه امنیت اطلاعات مطابق با این آیین نامه، برای مقام ناظر بر فرایند تأمین امنیت ارسال نماید.

شرکت ها موظفند با نظارت مدیریت تطبیق و امنیت اطلاعات و بـه منظور پیشگیری از آسیب های شغلی مدیران و کارکنان تحت امر، دوره های آموزشی متناسب را تدارک ببینند.

شرکت ها موظف بـه رعایت مفاد آیین نامه طرز نگاهداری اسناد سری و محرمانه دولتی و طبقه بندی و نحوه مشخص نمودن نوع اسناد و اطلاعات مصوب 1354 با اصلاحات بعدی و مفاد آیین نامه اجرایی حفاظت اسناد و مدارک طبقه بندی شده مصوب شماره (273) شورای عالی امنیت ملی با اصلاحات بعدی می باشند.

شرکت های موجود فعال در زمینه اعتبارسنجی موظفند برنامه های راهبردی خود را بـه گونه ای تنظیم کنند تا ظرف یک سال پس از ابلاغ این آیین نامه، نرم افزارهای مورد استفاده خود را بومی سازی نموده و منضم بـه گزارش مدیریت تطبیق و امنیت اطلاعات، جهت تأیید بـه مقام ناظر بر فرایند تأمین امنیت ارائه کنند.

مسئولیت اجرای مفاد این آیین نامه با مدیران شرکت ها بوده و مدیریت تطبیق و امنیت اطلاعات صرفا موظف بـه پایش، ارزیابی، گزارش دهی و اطلاع رسانی بـه مقام ناظر بر فرایند تأمین امنیت است. مدیریت مذکور نباید در امور اجرایی شرکت ورود یا خللی ایجاد نماید.

افراد موضوع این آیین نامه در صورت تخطی از مفاد این آیین نامه، مشمول مقررات انتظامی آیین نامه اعمال مقررات انتظامی متناسب با تخلفات شرکت های اعتبارسنجی و مدیران آنها موضوع تصویب نامه شماره 192447/ت65234هـ مورخ 1404/11/21 هستند.

مواد (6)، (10)، (15)، (16) و (25) آیین نامه نظام سنجش اعتبار موضوع تصویب نامه شماره 39151/ت55296هـ مورخ 1398/4/4 لغو می گردد. محمدرضا عارف ـ معاون اول رئیس جمهور