การสมัครเป็นผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์

หน่วยงานที่ต้องการสมัครเป็นผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ หรือที่เรียกว่า Subordinate CA ภายใต้ระบบ Thailand NRCA จะต้องมีความพร้อมทั้งด้านบุคลากร ระบบงาน และการดำเนินงานตามมาตรฐานสากล โดยเฉพาะมาตรฐาน WebTrust ซึ่งเป็นมาตรฐานที่ใช้ตรวจสอบความน่าเชื่อถือของหน่วยงานออกใบรับรองดิจิทัล

ก่อนที่จะได้รับการรับรองเป็น Subordinate CA หน่วยงานผู้สมัครต้องผ่านการตรวจประเมินจากผู้ตรวจประเมินที่ได้รับการรับรองตามมาตรฐาน WebTrust (WebTrust Practitioner) ตามหลักเกณฑ์ที่กำหนด

เอกสารประกอบการสมัคร

1. แบบประเมินความพร้อมขององค์กรด้วยตนเอง (Pre-Application Self-Assessment)
2. นโยบายการออกใบรับรองอิเล็กทรอนิกส์ (Certificate Policy: CP)
3. แนวปฏิบัติในการออกใบรับรองอิเล็กทรอนิกส์ (Certification Practice Statement: CPS)

คุณสมบัติผู้สมัคร:

1. เป็นนิติบุคคลที่จดทะเบียนในประเทศไทย
2. มีทุนจดทะเบียนที่ชำระแล้วไม่น้อยกว่า 5 ล้านบาท
3. มีประกันความรับผิดทางวิชาชีพ (Professional Indemnity Insurance) วงเงินคุ้มครองไม่น้อยกว่า 10 ล้านบาท
4. กรรมการของบริษัทต้องไม่มีลักษณะต้องห้าม ได้แก่
   • ไม่เป็นหรือเคยเป็นบุคคลล้มละลายภายในระยะเวลา 2 ปีที่ผ่านมา
   • ไม่เคยต้องโทษจำคุกในคดีเกี่ยวกับการปลอมแปลง ทุจริต หรือความผิดด้านธุรกรรมอิเล็กทรอนิกส์
   • ไม่มีผลประโยชน์ทับซ้อน ที่อาจทำให้การตัดสินใจไม่เป็นธรรม หรือเอื้อประโยชน์ต่อตนเองหรือบุคคลใกล้ชิด (Conflict of Interest)

ขั้นตอนการสมัคร SubCA

1. แจ้งความประสงค์สมัครเป็น Sub CA ทางอีเมล [email protected]
2. จัดทำแบบประเมินตนเอง (Self Assessment)
3. จัดทำและยื่นเอกสาร CP และ CPS ให้ NRCA ตรวจสอบ
4. กรอกข้อมูลและส่งเอกสารประกอบผ่านระบบขอใบรับรองอิเล็กทรอนิกส์ https://nrca.go.th/register

การตรวจประเมินเบื้องต้น (Preliminary Audit)

เจ้าหน้าที่ของ NRCA จะเข้าตรวจประเมินความพร้อมของผู้สมัคร ณ สถานที่ปฏิบัติงาน โดยอ้างอิงหลักเกณฑ์ตามมาตรฐาน WebTrust

การจัดพิธีสร้างกุญแจและการออกใบรับรอง Sub CA Certificate

หลังจากผ่านการตรวจประเมินเบื้องต้น ผู้สมัครต้องจัดพิธีสร้างกุญแจ (Key Ceremony) โดยเชิญ WebTrust Practitioner ร่วมเป็นสักขีพยาน และมีเจ้าหน้าที่ NRCA เข้าร่วมเป็นผู้สังเกตการณ์

กระบวนการนี้ต้องดำเนินการให้แล้วเสร็จภายใน 90 วัน หลังทราบผลการตรวจ

การตรวจประเมินตามมาตรฐาน WebTrust

เมื่อได้รับใบรับรอง Subordinate CA แล้ว ผู้สมัครต้องเข้ารับการตรวจประเมินตามมาตรฐาน WebTrust และได้รับตรารับรอง WebTrust Seal ภายใน 180 วัน นับจากวันที่ NRCA ออกใบรับรองให้

***หากไม่สามารถขอรับ WebTrust Seal ได้ภายในระยะเวลาที่กำหนด NRCA จะเพิกถอนใบรับรอง Sub CA และผู้สมัครจะสามารถสมัครใหม่ได้อีกครั้งหลังจากพ้นระยะเวลา 180 วัน นับจากวันที่ถูกเพิกถอน

รายชื่อ WebTrust Practitioner

         ผู้สมัครสามารถตรวจสอบรายชื่อหน่วยงาน WebTrust Practitioner ได้จากเว็บไซต์ของ CPA Canada    ที่นี่

เอกสารอ้างอิง

1. NRCA Certificate Policy
2. Principles and Criteria for Certification Authorities – Version 2.2.2
3. WebTrust Principles and Criteria for Certification Authorities – Network Security – Version 2.0.5
4. WebTrust Principles and Criteria for Certification Authorities – TLS Baseline – Version 2.10
5. WebTrust Principles and Criteria for Certification Authorities – S/MIME – Version 1