آیین نامه جزء (3 ـ 5 ـ 3) بند (ب) ماده 2 قانون تأمین مالی تولید و زیرساخت ها مصوب 1405/03/10
ماده 9
مدیران شرکت های اعتبارسنجی موظفند برای سامانه های تحت اختیار خود و همچنین تجهیزات ذخیره اطلاعات، مجوزهای امنیتی از مرکز افتا، بررسی های امنیتی و تست نفوذ توسط شرکت های دارای مجوز افتا را تهیه کرده و بـه تأیید مدیریت تطبیق و امنیت اطلاعات برسانند. تبصره 1 ـ مدیران شرکت های اعتبارسنجی موظفند گواهینامه استاندارد سامانه(سیستم) مدیریت امنیت اطلاعات را از شرکت های دارای مجوز از مرکز افتا، جهت پیاده سازی فرآیندها و رویه های داخلی شرکت خود دریافت نمایند. تبصره 2 ـ هرگونه بـه روزرسانی یا توسعه در سامانه ها و نرم افزارهای تخصصی شرکت ها بـه نحوی کـه منجر بـه تغییر در ذخیره سازی داده ها و اطلاعات و رویدادنگاری های (لاگ) مندرج در ماده (7) این آیین نامه گردد، باید بـه تأیید مدیریت تطبیق و امنیت اطلاعات برسد.
