راهنمای درخواست آزمون و ارزیابی نرم‌افزارهای زیرساخت کلید عمومی

متقاضی:

متقاضی آزمون و ارزیابی محصولات مبتنی بر زیرساخت کلید عمومی کشور در آزمایشگاه می‌تواند تولیدکننده محصول، مشتری سفارش‌دهنده و یا نماینده فروش محصولات خارجی باشد.

محصول

محصولاتی که قابل ارزیابی در آزمایشگاه می‌باشند عبارتند از: سامانه‌های صدور و مدیریت گواهی‌های الکترونیکی (CA Software)، نرم‌افزارهای کاربردی مجهز به زیرساخت کلید عمومی (PKI-Enabled (PKE) Applications)و مجموعه ابزارهای توسعه PKE SDK) PKE ).

پیشنیاز ها

اقلامی که باید برای ارزیابی نرم افزار های PKI به آزمایشگاه تحویل داده شود میبایست مطابق با جدول زیر باشد.

الزامات مستندات سامانه صدور و مدیریت گواهی

ردیف	نام سند
1	فرم خوداظهاری
2	راهنمای کاربری
3	معماری محصول (شامل تمام مؤلفه‌ها و توصیف تمام ابزارهای جانبی) . ساختار قالب‌بندی پیام‌های ردوبدل شده میان مؤلفه‌های مختلف: . ساختار درخواست صدور گواهی که از RA به CA فرستاده می‌شود. . ساختار فرمت فایل‌های پشتیبان و نحوه پشتیبان گیری . ساختار فرمت پروفایل‌های ذخیره‌شده به‌صورت آفلاین . پیام‌های استفاده‌شده برای احراز هویت . مدل داده‌ای پایگاه داده . پروتکل احراز هویت مورداستفاده جهت Login . نحوه ارتباط بین مؤلفه‌های مختلف سامانه
4	راهنمای نصب و پیکربندی: . مواردی که تولیدکننده باید پیکربندی نماید. . مواردی که باید توسط کاربر پیکربندی شود.

الزامات مستندات نرم‌افزارهای مجهز به زیرساخت کلید عمومی (PKE)

ردیف	نام سند
1	فرم خوداظهاری
2	راهنمای راهبری و کاربری منطبق با الزامات بخش پیوست از استاندارد «الزامات برنامه‌های کاربردی مجهز به زیرساخت کلید عمومی کشور»
3	سند معماری فنی نرم‌افزار PKE منطبق با الزامات بخش پیوست از استاندارد « الزامات برنامه‌های کاربردی مجهز به زیرساخت کلید عمومی کشور» به همراه مدل داده‌ای نرم‌افزار (در صورت پشتیبانی یا به‌کارگیری پایگاه داده)
4	راهنمای نصب و راه‌اندازی نرم‌افزار

الزامات مستندات ابزارهای توسعه PKE

ردیف	نام سند
1	فرم خوداظهاری
2	سند راهنمای توسعه و برنامه‌نویسی از طریق ابزارهای توسعه PKE ؛ همراه با در نظر گرفتن ملاحظات ذیل: . سند باید شامل راهنمای استفاده از محصول در سکوها و محیط‌های مختلف توسعه و برنامه‌نویسی باشد. . سند باید شامل شرح کامل توابع پیاده‌سازی شده در SDK به همراه توصیف آرگومان‌ها و خروجی‌های مورد انتظار توابع (مقادیر بازگشتی) باشد. . سند باید شامل توصیف فرآیند نصب و پیکربندی محصول باشد.
3	سند معماری فنی ابزارهای توسعه PKE منطبق با الزامات بخش پیوست استاندارد «الزامات برنامه‌های کاربردی مجهز به زیرساخت کلید عمومی کشور» با در نظر گرفتن ملاحظات ذیل: . الزامات مرتبط با راهنمای کاربری و راهبری کاربردپذیر نمی‌باشد. . الزامات مربوط به اسناد معماری فنی در بخش‌های خودکارسازی، پیکربندی و تنظیمات، مدیریت گواهی الکترونیکی و پروتکل‌های ارتباطی موردنیاز نمی‌باشد. . مستندسازی در بخش رویدادنگاری در صورت عدم پشتیبانی، موردنیاز نمی‌باشد. . در صورت بهره‌گیری از ابزار احرازهویت، الزامات مرتبط از بخش نقش‌ها، خدمات و احرازهویت موردنیاز می‌باشد.

فرایند آزمون و ارزیابی محصول

فرایند آزمون و ارزیابی محصول، دارای گام‌هایی است که در ادامه شرح داده خواهد شد. كليه تعاملات بین متقاضی، مرکز توسعه تجارت الکترونیکی و آزمایشگاه در قالب نمونه فرم‌هایی است که در « نمونه فرم ها » درج شده است.‏لازم است تا از کلیه تعاملات و نامه‌های منتقل شده میان متقاضی و آزمایشگاه، یک نسخه رونوشت جهت ثبت در پرونده، برای مرکز توسعه تجارت الکترونیکی ارسال شود.

تشکیل پرونده
تحویل مستندات
نصب و راه‌اندازی
عملیات ارزیابی
بررسی گزارش
صدور گواهی تأییدیه

گام اول (تشکیل پرونده)

در ابتدا متقاضی، نامه درخواست آزمون و ارزیابی محصول را مطابق با فرم شماره 1 « درخواست تشکیل پرونده » تکمیل و برای مرکز توسعه تجارت الکترونیکی ارسال می‌ نماید. مرکز توسعه تجارت الکترونیکی نیز پس از بررسی درخواست، طی نامه‌ای مطابق با فرم شماره 2 « تشکیل پرونده » ‏ را به متقاضی اعلام می‌ کند. همچنین رونوشتی از این نامه، به‌منظور معرفی متقاضی به آزمایشگاه مورد اعتماد ارسال می‌گردد.

گام دوم (تحویل مستندات)

متقاضی حداکثر تا تاریخ تعیین‌شده در نامه تشکیل پرونده موظف به تکمیل فرم خوداظهاری بوده و همچنین می‌باید مستندات محصول را هم به‌صورت فیزیکی (در قالب یک CD) و هم به‌صورت PDF تهیه و به صورت محرمانه مطابق با فرم شماره 3 « تحویل مستندات » برای آزمایشگاه ارسال نماید. فرم‌های خوداظهاری می‌بایست با دقت و صحت کامل تکمیل‌شده و به آزمایشگاه ارائه گردد. چنانچه در حین انجام فرآیند آزمون و یا پس از آن هرگونه مغایرت آشکار با اطلاعات قیدشده در فرم‌های مذکور مشاهده شود، نسبت به صدور یا لغو تأییدیه محصول مورد آزمون و ارزیابی، اقدام خواهد شد.

نمونه فرم شماره 1 « خوداظهاری برای سامانه‌های صدور و مدیریت گواهی »
نمونه فرم شماره 2 « خوداظهاری برای نرم‌افزارهای مجهز به زیرساخت کلید عمومی »
نمونه فرم شماره 3 « خوداظهاری برای ابزارهای توسعه PKE یا PKE SDK »
الزامات مستندات برای سامانه‌های صدور و مدیریت گواهی
الزامات مستندات برای نرم‌افزارهای مجهز به زیرساخت کلید عمومی
الزامات مستندات برای ابزارهای توسعه PKE یا PKE SDK

آزمایشگاه نیز مستندات و فرم خوداظهاری را بررسی نموده و در صورت وجود نقص، طی نامه‌‌ای محرمانه مطابق با ، فرم شماره 4 « اعلام نقص در مستندات » نقایص موجود را به متقاضی اعلام می‌کند؛ اما در صورت کامل بودن مستندات، آزمایشگاه موظف است طی نامه‌ ای مطابق با فرم شماره 5 « تعیین نوبت نصب »، نوبت نصب محصول را به متقاضی اعلام کند .

لازم است به جهت حفظ محرمانگی اسناد ارائه‌شده از سوی متقاضی به آزمایشگاه، توافقنامه عدم افشای اطلاعات (NDA) میان متقاضی و آزمایشگاه به امضا برسد. متن توافقنامه در نمونه فرم شماره 7 « توافقنامه عدم افشاء (NDA) » آمده است .

گام سوم (نصب و راه‌اندازی)

متقاضی موظف است پس از دریافت نامه اعلام نوبت نصب، در بازه زمانی تعیین شده در محل آزمایشگاه حاضر شده و اقدام به نصب و راه‌اندازی محصول مورد آزمون نموده و از عملیاتی بودن کلیه اجزایی که در فرایند آزمون مورد ارزیابی قرار خواهند گرفت، اطمینان حاصل نماید.

توصیه می‌شود متقاضی، محصول ارائه‌شده را با استفاده از نرم‌افزارهای کنترل مجوز مناسب، کنترل و محافظت نماید تا از هرگونه سوءاستفاده احتمالی جلوگیری شود.

در صورت نصب و راه‌اندازی موفق سامانه و کلیه اجزای همراه آن، آزمایشگاه موظف به تکمیل نامه تأییدیه نصب و ذکر اجزای نصب شده مطابق با فرم شماره 6 « تأیید / عدم تأیید نصب » و ارسال به صورت محرمانه می‌باشد. در صورت بروز نقص در عملیات نصب و راه‌اندازی محصول و اجزای همراه آن، آزمایشگاه می‌بایست نوبت نصب مجدد را طی نامه‌ ای مطابق با فرم شماره 7 « نوبت نصب مجدد/اصلاح پیکربندی » تهیه و برای متقاضی ارسال نماید و همچنین آزمایشگاه می‌بایست کلیه مراحل نصب و راه‌اندازی محصول را صورت‌جلسه کرده و به مرکز توسعه تجارت الکترونیکی ارسال نماید.

روال نصب و راه‌اندازی محصول تا اخذ تأییدیه نصب، حداکثر 3 بار تکرار خواهد شد. در غیر این صورت، محصول از فرایند آزمون و ارزیابی خارج خواهد شد.

همچنین آزمایشگاه موظف است زمان آغاز ارزیابی و برآورد هزینه انجام آزمون را طی نامه‌ ای مطابق با فرم شماره 8 « برآورد زمان و هزینه » به متقاضی اعلام نماید. مدت‌زمان انجام عملیات آزمون و ارزیابی محصولات با توجه به نوع محصول تعیین می‌شود. هزینه انجام آزمون و ارزیابی محصولات بر اساس تعرفه‌های مورد توافق تعیین می‌شود و در صورت نیاز به تکرار مراحل ارزیابی، هزینه مطابق با توافق اخذ خواهد شد.

متقاضی می‌ باید پس از پرداخت هزینه آزمون با استفاده از فرم شماره 19 « اطلاع‌رسانی پرداخت » به آزمایشگاه اطلاع‌رسانی کند.

گام چهارم (عملیات ارزیابی)

در این مرحله آزمایشگاه موظف به انجام عملیات آزمون و ارزیابی محصول، مطابق با استانداردهای مورد تأیید مرکز توسعه تجارت الکترونیکی می‌باشد.

درصورتی‌که نیاز به ارزیابی کد منبع محصول باشد، آزمایشگاه باید نیاز به ارزیابی کد منبع را طی نامه‌ ای مطابق با فرم شماره 9 « درخواست ارزیابی کد منبع » به مرکز توسعه تجارت الکترونیکی اعلام نماید. مرکز توسعه تجارت الکترونیکی نیز پس از بررسی درخواست آزمایشگاه، نیاز به ارزیابی کد منبع محصول را طی نامه‌ ای مطابق با فرم شماره 10 « پاسخ به درخواست ارزیابی کد منبع » تأیید یا رد می‌نماید.

در صورت تأیید مرکز توسعه تجارت الکترونیکی، آزمایشگاه عملیات ارزیابی کد منبع را طبق ضوابط، در حضور شخص متقاضی (نماینده وی) و در رایانه همراه وی انجام می‌دهد.

حداکثر مدت‌زمان ارزیابی کد محصول 1 هفته می‌باشد.
در صورت عدم اتمام عملیات ارزیابی کد منبع در یک جلسه، باید رایانه همراه مذکور از مکان آزمایشگاه خارج شده و مراحل ارزیابی در جلسات بعدی به‌صورت گفته شده ادامه یابد.
در کل مدت زمان ارزیابی محصول، از درخواست تشکیل پرونده تا اعلام نتایج، حتی در حالت ارزیابی فورس ماژور، هیچ گونه تعامل رسمی یا غیر رسمی خارج از چارچوب این فرایند نباید فی‌مابین متقاضی و آزمایشگاه مورد اعتماد صورت پذیرد.

گزارش عملیات آزمون و ارزیابی، همگام با انجام این فرایند، تکمیل می‌شود. ممکن است در این میانه، اشکالات و خطاهای بحرانی بروز دهد و به‌واسطه آن ادامه عملیات امکان‌ پذیر نباشد. درهرصورت، چه اتمام عملیات و چه بروز هرگونه اشکال و توقف در عملیات، گزارش عملیات آزمون و ارزیابی و اسناد مرتبط با محصول توسط آزمایشگاه ضمیمه به نامه پایان / توقف در مرحله ارزیابی مطابق با فرم شماره 11 « پایان / توقف در عملیات ارزیابی » شده و بصورت محرمانه برای مرکز توسعه تجارت الکترونیکی ارسال خواهد شد.

اگر در زمان ارزیابی محصول دچار مشکلات پیکربندی گردید آزمایشگاه ابتدا باید نامه پایان / توقف در مرحله ارزیابی مطابق با فرم شماره 11 « پایان / توقف در عملیات ارزیابی » را بصورت محرمانه برای مرکز توسعه تجارت الکترونیکی ارسال و در صورت تایید مرکز توسعه تجارت الکترونیکی، گام سوم از فرایند (نصب و راه‌اندازی) از سر گرفته می‌شود.

گام پنجم (بررسی گزارش)

در این مرحله، مرکز توسعه تجارت الکترونیکی گزارش ارزیابی محصول را بررسی می‌نماید. ضمناً عملیات بازرسی و حصول اطمینان از صحت آزمون در محل آزمایشگاه نیز انجام خواهد شد.

در صورت عدم‌تأیید گزارش دریافتی، عدم انطباق آن را طی نامه‌‌ای محرمانه مطابق با فرم شماره 12 « عدم انطباق » به آزمایشگاه اعلام می‌نماید؛ اما درصورتی‌که گزارش تهیه‌شده مورد تأیید باشد، مركز توسعه تجارت الکترونیکی نتایج ارزیابی را به پیوست نامه‌ای مطابق با فرم شماره 14 « نتیجه نهایی ارزیابی » بصورت محرمانه برای متقاضی ارسال می‌نماید.

گام ششم (صدور گواهی تأییدیه)

نتایج ارزیابی محصولات نرم‌افزاری از طریق پورتال مرکز توسعه تجارت الکترونیکی منتشر می‌گردد. در صورتیکه متقاضی (مالک محصول) مایل به انتشار نام محصول از طریق پورتال مرکز توسعه تجارت الکترونیکی نیست، بایستی این موضوع را در زمان تشکیل پرونده (در قالب فرم خوداظهاری) به مرکز توسعه تجارت الکترونیکی اطلاع دهد. علاوه بر انتشار لیست محصولات مورد تأیید آزمایشگاه، گزارش جامع هر محصول (اعم از تأیید شده یا تأیید نشده) به‌صورت اختصاصی برای متقاضی ارسال می‌گردد.

در صورتی‌که در گزارش آزمون و ارزیابی، خطا یا اشکال بحرانی وجود داشته باشد، متقاضی موظف به اعلام تکرار ارزیابی مجدد یا انصراف از ادامه فرایند، می‌باشد.

در صورت تمایل به تکرار ارزیابی، می‌تواند ضمن اخذ مهلت جهت رفع نقایص و خطاهای گزارش‌ شده، نامه درخواست تکرار ارزیابی را مطابق با فرم شماره 15 « درخواست تکرار ارزیابی » به آزمایشگاه ارائه می‌نماید.

مرکز توسعه تجارت الکترونیکی نیز ضمن بررسی این درخواست، مدت‌زمان موردنیاز جهت رفع اشکالات و خطاهای بحرانی و آمادگی جهت تکرار ارزیابی را تعیین نموده و مجوز تکرار فرایند آزمون و ارزیابی از گام دوم را مطابق با فرم شماره 16 « مجوز تکرار ارزیابی » برای محصول متقاضی صادر می‌نماید. در غیر این صورت متقاضی موظف است اعلام انصراف خود را از فرایند آزمون و ارزیابی مطابق با فرم شماره 17 « انصراف از ادامه ارزیابی » اعلام نماید.

مدت‌زمان اعلام درخواست تکرار ارزیابی و یا انصراف توسط متقاضی، حداکثر 2 هفته از تاریخ ارسال گزارش نهایی می‌باشد.
در صورت عدم اعلام درخواست تکرار ارزیابی یا انصراف در مدت تعیین‌شده، محصول مورد آزمون توسط مرکز توسعه تجارت الکترونیکی به‌عنوان نرم‌افزار غیرمجاز جهت استفاده در زیرساخت کلید عمومی کشور معرفی خواهد شد.
تکرار ارزیابی برای هر محصول حداکثر تا 3 بار امکان‌پذیر می‌ باشد.

جدول زمان‌بندی فرآیندها

ردیف	عنوان فرآیند	حداکثر زمان لازم		دستگاه انجام‌دهنده
1	تشکیل پرونده	2 روز کاری		مرکز توسعه تجارت الکترونیکی
2	تحویل اسناد توسط متقاضی ارزیابی	4 روز کاری		متقاضی ارزیابی
3	تأیید اسناد و نوبت نصب /گزارش نقص اسناد	3 روز کاری		آزمایشگاه مورد اعتماد
4	عملیات نصب	1 روز کاری		متقاضی ارزیابی
5	تأیید/عدم تأیید نصب	1 روز کاری		آزمایشگاه مورد اعتماد
6	ارائه پیش فاکتور	2 روز کاری		آزمایشگاه مورد اعتماد
7	پرداخت وجه	7 روز کاری		متقاضی ارزیابی
8	عملیات ارزیابی و ارسال گزارش جامع و خلاصه	فورس ماژور	15 روز کاری	آزمایشگاه مورد اعتماد
8	عملیات ارزیابی و ارسال گزارش جامع و خلاصه	عادی	21 روز کاری	آزمایشگاه مورد اعتماد
9	بررسی اسناد و بازرسی	4 روز کاری		مرکز توسعه تجارت الکترونیکی
10	ارسال گزارش اصلاح‌شده ارزیابی	2 روز کاری		آزمایشگاه مورد اعتماد
11	ارسال گزارش ارزیابی به متقاضی	2 روز کاری		مرکز توسعه تجارت الکترونیکی

دانلود : PKE-CA_Interactions_Template.docx حجم فایل 159 KB

https://www.aryanic.com/page/Web-design توسط https://www.aryanic.com/page/portal aryanic