本準則依電子簽章法第十一條第二項規定訂定之。

本準則用詞之定義如下：

一、保證：指得據以信賴該個體已符合特定安全要件之基礎。

二、保證等級：指在具相對性保證層級中之某一級數。

三、憑證政策：指為指明某一憑證所適用之對象或情況所列舉之一套規則 ，該對象或情況可為特定之社群或具共同安全需求之應用。

四、物件識別碼：指一種以字母或數字組成之唯一識別碼，該識別碼必須 依國際標準組織所訂定之註冊標準加以註冊，並可被用以識別唯一與 之對應之憑證政策；憑證政策修訂時，其物件識別碼不必然隨之變更 。

五、用戶：指憑證中所命名或識別之主體，且其持有與憑證中所載公開金 鑰相對應之私密金鑰者。

六、信賴憑證者：指信賴所收受之憑證者。

七、儲存庫：指用以儲存及供檢索憑證與其他相關憑證資訊之系統。

八、憑證廢止清冊：指由憑證機構以數位方式簽署之已廢止憑證表列。

九、啟動資訊：操作密碼模組時所要求且必須被保護之金鑰以外資料值。

憑證機構應製作憑證實務作業基準 (以下簡稱作業基準) 重要事項置於其 作業基準之首頁，載明下列事項：

一、主管機關核定文號。

二、所簽發憑證之種類。

三、所簽發各種憑證之保證等級。

四、所簽發各種憑證之適用範圍及使用限制。

五、法律責任限制及申請廢止憑證處理期間內之責任分擔。

六、其作業基準所描述的認證服務是否經第三人稽核或取得任何標章。

憑證機構應於其作業基準中載明其所支援憑證政策之名稱，並提供該憑證 政策之物件識別碼及應載明補充其作業基準內容之其他重要文件。

憑證機構應於其作業基準中載明參與認證服務運作及維持之重要成員及其 分工；如係以委外方式參與提供服務者，並應載明受任者之名稱或資格。

憑證機構應於其作業基準中載明可供用戶或信賴憑證者報告遺失私密金鑰 等事件及諮詢作業基準疑義之聯絡電話、郵遞地址及電子郵件信箱。

憑證機構應於其作業基準中載明下列用戶應注意事項：

一、確保在申請憑證時所提供之資訊正確無誤。

二、用戶需自行產製金鑰時，安全的產製並保管其私密金鑰。

三、遵守對於金鑰及憑證之使用限制。

四、就私密金鑰資料外洩或遺失等事件作出通知。

憑證機構應於其作業基準中載明下列信賴憑證者之注意事項：

一、驗證數位簽章之責任。

二、僅於憑證使用目的範圍內信賴該憑證。

三、查驗憑證狀態。

四、了解有關憑證機構法律責任之條款。

憑證機構就資訊之公布及儲存庫之維護及營運應載明下列事項：

一、憑證、憑證狀態、憑證實務作業基準及憑證政策等資訊之公布方法。

二、前揭資訊公布之頻率或時間。

三、儲存庫之接取控管。

憑證機構應於其作業基準中載明作業基準變更時通知之方法。

憑證機構應於其作業基準中載明下列財務責任事項：

一、憑證機構就其可能或實際發生之賠償責任所提供之財務保證。

二、憑證機構就其經營是否加入任何保險。

三、憑證機構是否經由第三人進行財會稽核。

憑證機構應於其作業基準中載明就所提供之認證服務或憑證之使用所生糾 紛之處理程序及所適用之法律。

憑證機構應於其作業基準中載明用戶是否得請求退費；用戶得請求退費者 ，並應載明請求退費之程序。

憑證機構應於其作業基準中載明下列稽核或評核事項：

一、稽核或評核之頻率。

二、進行稽核或評核人員之資格。

三、稽核或評核人員中立性之確保。

四、稽核或評核之範圍。

五、對於稽核或評核結果之因應方式。

六、稽核或評核報告公開之範圍及方法。

憑證機構應於其作業基準中載明其所保護用戶個人資料之種類及維持資訊 保密之方法：

一、應為機密資訊之種類。

二、個人資料保護之相關事項。