Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina:   DECIZIE nr. 888 din 1 octombrie 2008  privind procedura de verificare si omologare a sistemelor informatice destinate operatiunilor de emitere a facturilor in forma electronica, precum si normele de performanta si securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica    Twitter Facebook
Cautare document

DECIZIE nr. 888 din 1 octombrie 2008 privind procedura de verificare si omologare a sistemelor informatice destinate operatiunilor de emitere a facturilor in forma electronica, precum si normele de performanta si securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica

EMITENT: AUTORITATEA NATIONALA PENTRU COMUNICATII
PUBLICAT: MONITORUL OFICIAL nr. 699 din 14 octombrie 2008

În temeiul prevederilor <>art. 8 alin. (1), (3) şi (5) din Ordonanţa de urgenţã a Guvernului nr. 106/2008 privind înfiinţarea Autoritãţii Naţionale pentru Comunicaţii, precum şi ale art. 26 şi <>art. 30 alin. (1) din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice,

preşedintele Autoritãţii Naţionale pentru Comunicaţii emite prezenta decizie.

ART. 1
Prezenta decizie stabileşte procedura de verificare şi omologare de cãtre Autoritatea Naţionalã pentru Comunicaţii, denumitã în continuare ANC, a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formã electronicã, precum şi normele de performanţã şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã.
ART. 2
În înţelesul prezentei decizii, urmãtorii termeni se definesc astfel:
a) emitent al facturii în formã electronicã - persoana, fizicã sau juridicã, care emite facturi în formã electronicã, în nume propriu sau în numele unor terţi;
b) sistem informatic - dispozitivul ori ansamblul de dispozitive interconectate sau aflate în relaţie funcţionalã, dintre care unul sau mai multe asigurã prelucrarea automatã a datelor cu ajutorul unui program informatic şi care este destinat operaţiunilor de emitere a facturilor în formã electronicã;
c) omologare - procesul de evaluare a sistemului informatic, care are ca rezultat emiterea de cãtre preşedintele ANC a deciziei de omologare;
d) decizie de omologare - decizia emisã de preşedintele ANC care atestã conformitatea sistemului informatic cu normele de securizare a informaţiei prelucrate sau arhivate, precum şi cu prevederile <>Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice;
e) plan de securitate a sistemului informatic - documentul ce descrie totalitatea mãsurilor tehnice şi administrative care sunt aplicate sistemului informatic de cãtre emitentul facturii în formã electronicã în vederea oferirii serviciului în condiţii de siguranţã.
ART. 3
Emitentul facturii în formã electronicã are obligaţia sã foloseascã un sistem informatic omologat de ANC. În acest sens, acesta va înainta ANC o cerere scrisã prin care va solicita începerea procedurii de omologare a sistemului informatic. Forma şi conţinutul cererii sunt prevãzute în anexa nr. 1.
ART. 4
(1) Emitentul facturii în formã electronicã care solicitã omologarea sistemului informatic are obligaţia sã transmitã ANC urmãtoarele documente, redactate în limba românã:
a) cererea prevãzutã la art. 3;
b) raportul de audit întocmit în condiţiile art. 5;
c) descrierea funcţionalã a sistemului informatic;
d) planul de securitate a sistemului informatic;
e) certificãri privind securitatea sistemului informatic, acolo unde acestea existã;
f) declaraţia pe propria rãspundere a auditorului, prin care este exprimatã independenţa sa faţã de emitentul facturii în formã electronicã şi producãtorul sistemului informatic auditat;
g) dacã este cazul, descrierea echipamentelor necesare realizãrii procesului de conversie, în situaţia în care emitentul de drept al facturii în formã electronicã are un contract valabil încheiat în baza cãruia beneficiazã de servicii de conversie a facturilor emise pe suport hârtie în facturi în formã electronicã;
h) dovada achitãrii tarifului de omologare prevãzut la art. 12.
(2) Pe parcursul procedurii de omologare, ANC poate solicita completarea documentaţiei, acolo unde este necesar. În acest caz, cererea prevãzutã la art. 3 este consideratã realizatã la data transmiterii cãtre ANC a documentelor solicitate.
(3) Documentele prevãzute la alin. (1) şi (2) se transmit la sediul central al ANC în limba românã în unul dintre urmãtoarele moduri:
a) prin depunere, personal sau de cãtre reprezentantul legal al solicitantului, sub luare de semnãturã;
b) printr-un serviciu poştal;
c) ca înscris în formã electronicã, cãruia i s-a încorporat, ataşat sau i s-a asociat logic o semnãturã electronicã extinsã, bazatã pe un certificat calificat nesuspendat ori nerevocat la momentul respectiv şi generatã cu ajutorul unui dispozitiv securizat de creare a semnãturii electronice.
(4) Este consideratã datã a transmiterii, dupã caz, data înscrierii în registrul general de intrare-ieşire a corespondenţei al ANC, data confirmãrii primirii documentelor la sediul central al ANC printr-un serviciu poştal cu confirmare de primire sau data confirmãrii primirii înscrisului în formã electronicã.
ART. 5
(1) Auditul este realizat de cãtre un auditor independent faţã de emitentul facturii în formã electronicã şi faţã de producãtorul sistemului informatic a cãrui omologare se solicitã.
(2) Condiţiile care trebuie îndeplinite de cãtre auditori, obiectivele auditului, conţinutul minimal al raportului de audit şi setul minimal de teste care sunt aplicate sistemului informatic în cursul procesului de audit sunt prevãzute în anexa nr. 2.
(3) Raportul de audit poate fi realizat de o persoanã fizicã sau juridicã, certificatã ca auditor de sisteme informatice.
(4) În cazul în care sistemul informatic este situat în alt stat, auditarea acestuia se va face prin una dintre urmãtoarele metode:
a) auditorul auditeazã în mod nemijlocit sistemul informatic din strãinãtate;
b) auditorul îşi bazeazã raportul de audit pe certificãri similare emise sau pe teste efectuate în statul în care se aflã sistemul informatic şi care au un grad de asigurare corespunzãtor, acoperind obiectivele şi ariile de control prevãzute în anexa nr. 2.
ART. 6
(1) Decizia de omologare este emisã în termen de 30 de zile de la data transmiterii documentaţiei în condiţiile art. 4 alin. (1) sau (2), în urma verificãrii conformitãţii sistemului informatic cu cerinţele stabilite în anexa nr. 2 pct. II. Forma şi conţinutul deciziei de omologare sunt prevãzute în anexa nr. 3.
(2) Decizia de omologare este valabilã pe o perioadã de un an, procedura de reînnoire fiind similarã cu cea de emitere.
(3) Pe întreaga perioadã de valabilitate a deciziei de omologare, ANC are dreptul de a efectua verificãri ale sistemului informatic omologat.
ART. 7
(1) Emitentul facturii în formã electronicã este obligat sã notifice ANC orice modificare a sistemului informatic care afecteazã documentaţia prezentatã în conformitate cu art. 4 alin. (1) lit. c), d) şi g), în condiţiile prevãzute la <>art. 14 alin. (1) din Legea nr. 260/2007 .
(2) ANC avizeazã modificãrile aduse în maximum 30 de zile de la data transmiterii notificãrii, în condiţiile art. 4 alin. (4).
(3) În cazul în care ANC considerã cã modificãrile aduse sistemului informatic afecteazã performanţele acestuia în ceea ce priveşte cerinţele stabilite în anexa nr. 2 pct. II, va solicita emitentului facturii în formã electronicã declanşarea procedurii de reînnoire a omologãrii.
ART. 8
ANC are obligaţia de a pãstra confidenţialitatea tuturor informaţiilor primite de la emitentul facturii în formã electronicã care solicitã omologarea sistemului informatic.
ART. 9
(1) Emitentul facturii în formã electronicã poate utiliza propria autoritate de marcare temporalã, implementatã în cadrul organizaţiei sale, dacã îndeplineşte urmãtoarele condiţii:
a) foloseşte o bazã de timp sincronizatã cu Furnizorul unic de bazã de timp, desemnat în conformitate cu <>Legea nr. 451/2004 privind marca temporalã;
b) îndeplineşte condiţiile stabilite de <>Legea nr. 451/2004 , cu excepţia celor referitoare exclusiv la furnizarea de servicii de marcare temporalã pentru terţi.
(2) Îndeplinirea condiţiilor prevãzute la alin. (1) se atestã prin raportul de audit.
ART. 10
Persoanele care emit, transmit sau arhiveazã facturi în formã electronicã pot externaliza aceste servicii în temeiul unui contract valabil încheiat cu un furnizor de servicii de facturare electronicã, cu respectarea condiţiilor prevãzute la <>art. 13 din Legea nr. 260/2007 .
ART. 11
(1) ANC poate retrage omologarea în urmãtoarele situaţii:
a) în cazul în care, în urma verificãrilor efectuate în condiţiile <>art. 29 alin. (2) din Legea nr. 260/2007 , constatã neîndeplinirea de cãtre emitentul facturii în formã electronicã a obligaţiei de notificare a modificãrilor efectuate asupra sistemului informatic;
b) în cazul în care, în urma verificãrilor efectuate în conformitate cu art. 6 alin. (4), constatã faptul cã sistemul informatic nu mai îndeplineşte normele de performanţã şi securitate prevãzute în anexa nr. 4.
(2) În cazul în care constatã una dintre situaţiile prevãzute la alin. (1), ANC va comunica emitentului facturii în formã electronicã deficienţele constatate, acordându-i un termen de 30 de zile pentru remedierea acestora.
(3) Dacã deficienţele constatate în condiţiile alin. (1) nu sunt remediate în termenul prevãzut la alin. (2), ANC va retrage omologarea, prin decizie a preşedintelui ANC.
ART. 12
(1) Cuantumul tarifului prevãzut la <>art. 26 alin. (5) din Legea nr. 260/2007 este de 9.000 lei.
(2) Termenul de platã a tarifului prevãzut la alin. (1) este anterior transmiterii documentelor prevãzute la art. 4 alin. (1) cãtre ANC.
(3) Plata tarifului de omologare se poate face:
a) prin decontare bancarã, în contul ANC;
b) în numerar, la casieria ANC, cu respectarea plafonului zilnic stabilit prin <>Ordonanţa Guvernului nr. 15/1996 privind întãrirea disciplinei financiar-valutare, aprobatã, cu modificãri şi completãri, prin <>Legea nr. 131/1996 , cu modificãrile ulterioare.
(4) În vederea îndeplinirii de cãtre emitentul facturii în formã electronicã care solicitã omologarea sistemului informatic, în condiţiile prezentei decizii, a obligaţiei prevãzute la art. 4 alin. (1) lit. h), Direcţia economicã din cadrul ANC, prin serviciul de specialitate, emite o facturã fãrã taxã pe valoarea adãugatã, dupã încasarea cuantumului tarifului de omologare. Factura emisã de ANC va conţine menţiunea expresã: "Factura a fost achitatã cu O.P./Chitanţa nr. ...../......".
ART. 13
Normele de performanţã şi securitate pe care trebuie sã le îndeplineascã sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã sunt prevãzute în anexa nr. 4.
ART. 14
Anexele nr. 1-4 fac parte integrantã din prezenta decizie.
ART. 15
Prezenta decizie se publicã în Monitorul Oficial al României, Partea I, şi intrã în vigoare la 3 zile de la data publicãrii.

Preşedintele Autoritãţii Naţionale
pentru Comunicaţii,
Dorin-Liviu Nistoran

Bucureşti, 1 octombrie 2008.
Nr. 888.

ANEXA 1

CERERE
de omologare a sistemului informatic



Nr.*) ........
Data: ........
┌────────────────┐
Cãtre │Loc rezervat ANC│
AUTORITATEA NAŢIONALĂ PENTRU COMUNICAŢII │ │
│ │
┌─────────────────────────────────────────────────────────────┴────────────────┤
│Denumire/Nume şi prenume: │
├──────────────────┬────────────────────────────────────┬──────────────────────┤
│Statut: │[] persoanã juridicã │[] persoanã fizicã │
├──────────────────┼────────────────────────────────────┼─────┬─────┬─────┬────┤
│Sediu/domiciliu: │Stradã: │nr. │bl. │sc. │ap. │
│ ├────────────────────────────────────┼─────┴─────┴─────┴────┤
│ │Localitate: │Cod poştal: │
│ ├────────────────────────────────────┴──────────────────────┤
│ │Judeţul/Sectorul: │
│ ├────────────────────────────┬──────────────────────────────┤
│ │Telefon: │Fax: │
│ ├────────────────────────────┼──────────────────────────────┤
│ │E-mail: │Paginã de internet: │
├──────────────────┼────────────────────────────┴───────┬─────┬─────┬─────┬────┤
│Domiciliul fiscal:│Stradã: │nr. │bl. │sc. │ap. │
│ ├────────────────────────────────────┼─────┴─────┴─────┴────┤
│ │Localitate: │Cod poştal: │
│ ├────────────────────────────────────┴──────────────────────┤
│ │Judeţul/Sectorul: │
│ ├────────────────────────────┬──────────────────────────────┤
│ │Telefon: │Fax: │
├──────────────────┴────────────────────────────┼──────────────────────────────┤
│Cod de identificare fiscalã/Cod unic │ │
│de înregistrare (pentru persoane juridice): │ │
├───────────────────────────────────────────────┼──────────────────────────────┤
│CNP (pentru persoane fizice): │ │
├───────────────────────────────────────────────┼──────────────────────────────┤
│Cont: │Banca: │
├─────────────┬─────────────────────────────────┴──────────┬───────────────────┤
│Reprezentant │Nume: │Funcţie: │
│legal: ├───────────────────┬────────────────────────┼───────────────────┤
│ │Telefon: │Fax: │E-mail: │
├─────────────┼───────────────────┴────────────────────────┼───────────────────┤
│Persoanã de │Nume: │Funcţie: │
│contact: ├───────────────────┬────────────────────────┼───────────────────┤
│ │Telefon: │Fax: │E-mail: │
└─────────────┴───────────────────┴────────────────────────┴───────────────────┘


---------
*) Numãrul de ieşire din registrul de intrãri-ieşiri al solicitantului şi data de înregistrare.

Solicit eliberarea/reînnoirea deciziei de omologare a sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã.

Ataşez prezentei cereri urmãtoarele documente:
[] raportul de audit;
[] descrierea funcţionalã a sistemului informatic;
[] planul de securitate a sistemului informatic;
[] certificãri din punctul de vedere al securitãţii sistemului informatic;
[] declaraţia pe propria rãspundere a auditorului, prin care este exprimatã independenţa sa faţã de subsemnatul şi de producãtorul sistemului informatic auditat;
[] dacã este cazul, descrierea echipamentelor necesare realizãrii procesului de conversie, în situaţia în care emitentul de drept al facturii în formã electronicã are un contract valabil încheiat în baza cãruia beneficiazã de servicii de conversie a facturilor emise pe suport hârtie în facturi în formã electronicã;
[] dovada achitãrii tarifului de omologare.

Semnãtura reprezentantului legal
şi ştampila solicitantului
.......................

ANEXA 2

CONDIŢII
privind auditorii, obiectivele auditului,
conţinutul minimal al raportului de audit
şi setul minimal de teste care sunt aplicate
sistemului informatic în cursul procesului de audit

I. Condiţii privind auditorii sistemelor informatice
Persoana fizicã sau angajatul persoanei juridice care realizeazã auditul trebuie sã fie certificatã/certificat ca auditor de sisteme informatice de cãtre un organism general recunoscut în domeniu (ISACA - Asociaţia de Audit şi Control al Sistemelor Informatice/Information Systems Audit and Control Association).
Auditorul trebuie sã fie un terţ, care nu are raporturi de muncã cu persoana fizicã sau juridicã auditatã, nu are interese financiare în legãturã cu aceasta şi nu a fost implicat în ultimii 3 ani în proiecte de consultanţã care au ori au avut efect asupra sistemului auditat.
II. Obiectivele auditului
Scopul auditului îl constituie evaluarea sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã, precum şi evaluarea mãsurilor organizatorice implementate în vederea operãrii sistemului informatic de cãtre emitentul de facturi în formã electronicã, în ceea ce priveşte îndeplinirea urmãtoarelor cerinţe:
1. sistemul informatic permite emiterea facturilor respectând formatul şi conţinutul stabilite de actele normative speciale;
2. sistemul informatic permite emiterea facturilor conţinând semnãtura electronicã a emitentului facturii şi marca temporalã care certificã momentul emiterii, în condiţiile anexei nr. 4 la ordin;
3. sunt respectate urmãtoarele principii privind securitatea operaţiunii de emitere a facturilor în formã electronicã:
a) confidenţialitatea şi integritatea datelor folosite în procesul de emitere a facturilor în formã electronicã;
b) protecţia datelor cu caracter personal, inclusiv respectarea condiţiilor legale referitoare la prelucrarea datelor cu caracter personal;
c) continuitatea serviciului de facturare oferit clienţilor;
d) controlul accesului la sistemul de facturare electronicã.
III. Conţinutul minimal al raportului de audit
1. Introducere
1.1. Elementele de identificare a auditorului, inclusiv prezentarea dovezii îndeplinirii condiţiilor de la pct. I;
1.2. Perioada în care a fost efectuat auditul;
1.3. Echipa de audit (pentru fiecare persoanã se va preciza poziţia în cadrul echipei de audit, calificãri, certificãri, anexându-se documentele doveditoare).
2. Metodologia utilizatã
2.1. Standardele pe baza cãrora s-a desfãşurat procesul de audit;
2.2. Planul de audit folosit;
2.3. Descrierea metodelor prin care sunt evaluate obiectivele de audit.
3. Descrierea sistemului auditat
3.1. Descrierea entitãţii auditate, cu prezentarea generalã a sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã (inclusiv a aplicaţiilor software utilizate) şi a sistemelor informatice cu care acesta se aflã în relaţie de interdependenţã (prin relaţie de interdependenţã înţelegându-se faptul cã respectivele sisteme nu îşi pot îndeplini în mod separat funcţiile); se vor descrie componentele sistemului informatic utilizat în procesul de facturare: aplicaţie/server/ sistem de operare/detalii configurare/locaţie/Administrare;
3.2. Analiza riscurilor implicate de activitatea de facturare şi a posibilelor vulnerabilitãţi ale sistemului informatic auditat faţã de aceste riscuri;
3.3. Identificarea interdependenţelor sistemului de facturare cu celelalte sisteme informatice ale entitãţii audiate, precum şi cu sisteme informatice aparţinând terţilor, cu precizarea vulnerabilitãţilor determinate de aceste interdependenţe. În cazul existenţei unui sistem informatic integrat, care asigurã şi alte procese ale entitãţii auditate, se va determina întinderea pãrţii din sistemul informatic integrat care implicã riscuri de securitate în ceea ce priveşte activitatea de emitere a facturilor în formã electronicã;
3.4. Descrierea fluxului datelor care sunt folosite la întocmirea facturii electronice, cu identificarea momentului intrãrii acestor date în sistemul informatic destinat operaţiunilor de emitere a facturilor în formã electronicã. Se vor identifica aplicaţiile utilizate şi persoanele implicate: activitate/date de intrare/date de ieşire/responsabil/aplicaţie.
4. Evaluarea sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã în raport cu obiectivele urmãrite de audit
4.1. Analiza fiecãrei ameninţãri de securitate şi a tipului de rãspuns necesar în ceea ce priveşte urmãtoarele componente:
a) echipamentele hardware (inclusiv în ceea ce priveşte accesul persoanelor autorizate/neautorizate la acestea);
b) aplicaţiile software rulate de cãtre sistemul informatic;
c) mãsurile organizatorice: politicile aplicate şi procedurile folosite, inclusiv politica de personal;
4.2. Testele efectuate în conformitate cu pct. III, inclusiv constatãrile şi recomandãrile aferente;
4.3. Prezentarea mãsurilor luate de entitatea auditatã pentru minimizarea vulnerabilitãţilor sistemului informatic, mãsuri care pot afecta procesul de emitere a facturilor în formã electronicã.
5. Opinia de audit
5.1. Datele de identificare a persoanei fizice sau juridice care are responsabilitatea juridicã asupra auditului;
5.2. Numele auditorului care semneazã opinia şi data semnãrii;
5.3. Afirmaţia de conformare a emitentului de facturi în formã electronicã cu obiectivele auditate (opinie pozitivã), de conformare parţialã cu obiectivele auditate, indicând punctele care trebuie îmbunãtãţite (opinie cu rezerve/calificatã), sau de neîndeplinire a obiectivelor auditate (opinie negativã).
IV. Arii minime de control în cadrul procesului de audit
1. Îndeplinirea cerinţelor legale referitoare la conţinutul facturii, semnãtura electronicã şi marca temporalã
1.1. Sistemul permite respectarea cerinţelor legale referitoare la forma şi conţinutul facturilor emise;
1.2. Certificatul calificat aferent semnãturii electronice a emitentului facturii în formã electronicã conţine informaţii privind identificatorul fiscal şi numãrul notificãrii înregistrate la Ministerul Economiei şi Finanţelor;
1.3. Certificatul calificat aferent semnãturii electronice a persoanelor care presteazã servicii de emitere a facturilor în formã electronicã pentru terţi conţine informaţii privind calitatea de furnizor de servicii şi datele sale de identificare;
1.4. Emitentul ţine evidenţa facturilor electronice emise într-un registru electronic de evidenţã a facturilor în formã electronicã, operarea în acest registru realizându-se conform regulilor de operare a registrelor similare pe suport hârtie, completate cu normele metodologice emise de Ministerul Economiei şi Finanţelor;
1.5. Semnãtura electronicã extinsã ataşatã facturii în formã electronicã este generatã folosind dispozitive securizate de creare a semnãturii electronice;
1.6. Marca temporalã ataşatã facturii în formã electronicã este generatã respectând prevederile <>Legii nr. 451/2004 privind marca temporalã;
1.7. Accesul la dispozitivul de semnare este controlat.
2. Conversia facturilor emise iniţial pe suport hârtie (acolo unde este cazul)
2.1. Sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie permite reproducerea informaţiilor conţinute de factura emisã iniţial pe suport hârtie cu un grad înalt de precizie.
2.2. Procedurile implementate asigurã corectarea manualã a informaţiilor reproduse.
2.3. Sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigurã înscrierea precizãrii: "prezenta facturã este conformã cu originalul emis iniţial pe suport hârtie având seria ..., nr. ..., din data de ..., emisã de ...".
2.4. Sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigurã ataşarea semnãturii electronice a furnizorului de servicii de facturare electronicã, precum şi a mãrcii temporale certificând momentul conversiei atât în cazul facturilor individuale, cât şi în cazul în care conversia se face pentru un pachet sau lot de facturi.
3. Securitate
3.1. Accesul la aplicaţia de facturare este restricţionat prin mecanisme de autentificare;
3.2. Aplicaţia de facturare menţine un jurnal de acces şi operare;
3.3. Accesul utilizatorilor la date nu este permis decât prin intermediul aplicaţiei;
3.4. Parolele de acces ale utilizatorilor sunt stocate în formã criptatã;
3.5. Modul de utilizare a aplicaţiei este descris într-un manual;
3.6. Sunt aplicate mãsurile de securizare specifice sistemului de operare;
3.7. Maşina pe care ruleazã aplicaţia este amplasatã într-o incintã securizatã;
3.8. Actualizãrile de aplicaţie sau de sistem de operare sunt aplicate numai dupã o testare prealabilã;
3.9. Testele efectuate înainte de utilizarea aplicaţiei şi de aplicarea eventualelor actualizãri sunt documentate;
3.10. Programul de interfaţã cu sistemul contabil menţine un jurnal de transfer;
3.11. Modul de funcţionare a interfeţei cu sistemul contabil este documentat.
4. Mãsuri organizatorice
4.1. Personalul este instruit în aspecte generale privind securitatea informaţiei, inclusiv protecţia la atacuri de tipul ingineriei sociale;
4.2. Existã o procedurã de identificare şi raportare a incidentelor de securitate;
4.3. Jurnalele de acces şi operare ale aplicaţiei sunt verificate periodic;
4.4. Existã clauze de confidenţialitate semnate cu furnizorii şi angajaţii;
4.5. Echipamentele sunt asigurate prin contracte de garanţie şi reparaţii;
4.6. Existã suport pentru aplicaţie acordat de furnizor;
4.7. Conturile de acces sunt individuale şi revizuite periodic;
4.8. Parola de utilizare a conturilor de acces este confidenţialã;
4.9. Configuraţia aplicaţiei şi a serverului pe care ruleazã este documentatã.

ANEXA 3

DECIZIE
de omologare a sistemului informatic

În temeiul prevederilor <>art. 8 alin. (1), (3) şi (5) din Ordonanţa de urgenţã a Guvernului nr. 106/2008 privind înfiinţarea Autoritãţii Naţionale pentru Comunicaţii şi ale <>art. 26 din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice,
având în vedere dispoziţiile <>Deciziei preşedintelui Autoritãţii Naţionale pentru Comunicaţii nr. 888/2008 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formã electronicã, precum şi Referatul de aprobare al Direcţiei IT şi protecţia informaţiilor, înregistrat la Autoritatea Naţionalã pentru Comunicaţii cu nr. .../...,

preşedintele Autoritãţii Naţionale pentru Comunicaţii emite prezenta decizie.

ART. 1
În urma îndeplinirii procedurii de omologare a sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã aparţinând ........(denumirea solicitantului)........, Autoritatea Naţionalã pentru Comunicaţii atestã faptul cã acest sistem îndeplineşte cerinţele <>Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice şi ale <>Deciziei preşedintelui Autoritãţii Naţionale pentru Comunicaţii nr. 888/2008 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formã electronicã.
ART. 2
Prezenta decizie se comunicã ........(denumirea solicitantului)......... .

Preşedinte,
..................

ANEXA 4

NORME DE PERFORMANŢĂ ŞI SECURITATE
cu privire la sistemele informatice utilizate
de persoanele care emit, transmit sau arhiveazã facturi,
chitanţe şi bonuri fiscale în formã electronicã

I. Utilizarea unor sisteme informatice sigure joacã un rol esenţial în procesul de înregistrare a operaţiunilor comerciale prin mijloace electronice, reprezentând elementul-cheie pentru asigurarea unor servicii care sã respecte principiile cerute de lege: garantarea autenticitãţii, a originii şi a integritãţii conţinutului.
Prezentul document stabileşte normele minimale de performanţã şi securitate care trebuie îndeplinite de cãtre sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã, cãrora le sunt aplicabile prevederile <>Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice. Normele de performanţã şi securitate sunt aplicabile proceselor de emitere, transmitere şi arhivare a facturilor, chitanţelor şi bonurilor fiscale realizate prin intermediul sistemelor informatice, completându-se cu celelalte acte normative în vigoare.
Capacitatea sistemelor informatice de a emite facturi în formã electronicã respectând aceste principii, precum şi conformitatea acestora cu prevederile legale vor fi garantate în urma unui proces de omologare, finalizat prin emiterea unei decizii de omologare a sistemului informatic. În cursul procedurii de omologare se va verifica respectarea condiţiilor minimale de performanţã şi securitate corespunzãtoare procesului de emitere a facturilor în formã electronicã (cap. III pct. 1 din prezentele norme).
În continuare, prin documente contabile electronice se înţelege facturi, chitanţe şi bonuri fiscale în formã electronicã, astfel cum acestea sunt definite la <>art. 4 din Legea nr. 260/2007 .
II. Sistemul informatic utilizat de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã va trebui sã îndeplineascã urmãtoarele cerinţe minime de securitate, referitoare la:
a) confidenţialitatea şi integritatea comunicaţiilor;
b) confidenţialitatea şi integritatea datelor;
c) autenticitatea pãrţilor;
d) protecţia datelor cu caracter personal;
e) continuitatea serviciilor oferite clienţilor;
f) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem;
g) restaurarea informaţiilor gestionate de sistem în cazul unor calamitãţi naturale şi evenimente imprevizibile;
h) gestionarea şi administrarea sistemului informatic;
i) orice alte activitãţi sau mãsuri tehnice întreprinse pentru exploatarea în siguranţã a sistemului.
III. Sistemul informatic utilizat de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã trebuie sã asigure respectarea cerinţelor legale stabilite prin actele normative speciale pentru fiecare dintre cele 3 procese ale activitãţii de înregistrare a operaţiunilor comerciale prin mijloace electronice:
1. procesul de emitere a documentelor contabile electronice:
a) procesul de generare a documentelor contabile electronice;
b) procesul de generare a semnãturii electronice şi a mãrcii temporale pentru documentele contabile electronice;
c) procesul de conversie a documentelor contabile electronice - acolo unde este cazul;
2. procesul de transmitere a documentelor contabile electronice;
3. procesul de arhivare a documentelor contabile electronice.
1. Procesul de emitere a documentelor contabile electronice
a) Procesul de generare a documentelor contabile electronice
Sistemul informatic utilizat va trebui sã permitã respectarea conţinutului documentelor contabile electronice stabilit prin acte normative speciale şi includerea în documentele contabile electronice a informaţiilor stabilite prin aceste acte normative.
Sistemul informatic trebuie sã permitã emiterea documentelor contabile electronice într-un format static, fãrã posibilitatea de modificare a documentului respectiv.
b) Procesul de generare a semnãturii electronice şi a mãrcii temporale pentru documentele contabile electronice
Generarea semnãturii electronice şi aplicarea mãrcii temporale pentru documentele contabile electronice trebuie sã fie fãcute în mod automat. Sistemul informatic nu trebuie sã permitã emiterea documentului contabil electronic în absenţa acestor douã elemente.
Semnãtura electronicã extinsã ataşatã documentului contabil electronic trebuie generatã folosindu-se dispozitive securizate de creare a semnãturii electronice, astfel cum sunt definite la <>art. 4 pct. 8 din Legea nr. 455/2001 privind semnãtura electronicã, şi sã se bazeze pe un certificat calificat emis în condiţiile <>Legii nr. 455/2001 de cãtre un furnizor acreditat.
Certificatul va fi emis special în scopul desfãşurãrii activitãţii de înregistrare a operaţiunilor comerciale prin mijloace electronice şi va conţine atributele specifice ale semnatarului prevãzute la <>art. 9 alin. (2) din Legea nr. 260/2007 , alãturi de celelalte informaţii prevãzute în <>Legea nr. 455/2001 .
Furnizorii de servicii de facturare electronicã care emit facturi în formã electronicã în numele unor terţi, în condiţiile <>art. 17 din Legea nr. 260/2007 , vor folosi propriul certificat aferent semnãturii electronice aplicate facturilor. Certificatul va trebui sã indice informaţiile prevãzute la <>art. 17 alin. (2) din Legea nr. 260/2007 . Furnizorii de servicii pot folosi acelaşi certificat pentru emiterea de documente contabile electronice în numele mai multor terţi.
Sistemul informatic trebuie sã fie capabil sã realizeze marcarea temporalã a documentelor contabile electronice. Procesul de marcare temporalã trebuie sã fie conform cu cerinţele <>Legii nr. 451/2004 privind marca temporalã.
c) Procesul de conversie a documentelor contabile electronice
Procesul de conversie a documentelor contabile electronice reprezintã reproducerea în formã electronicã de cãtre un furnizor de servicii de facturare electronicã a informaţiilor conţinute în factura emisã pe suport hârtie.
Furnizorii de servicii de facturare electronicã care presteazã şi servicii de conversie în formã electronicã a facturilor emise pe suport hârtie, în condiţiile <>art. 18 din Legea nr. 260/2007 , trebuie sã foloseascã sisteme informatice care sã permitã reproducerea informaţiilor conţinute de factura emisã iniţial pe suport hârtie cu un grad înalt de precizie. Erorile apãrute trebuie corectate prin verificarea manualã a corectitudinii informaţiilor reproduse. În cazul reproducerii prin scanare, informaţiile conţinute în factura emisã iniţial pe suport hârtie trebuie sã fie lizibile.
Factura în formã electronicã rezultatã în urma conversiei din format material dobândeşte calitatea de document justificativ, având acelaşi regim juridic ca şi factura originalã din care s-a fãcut conversia.
Prevederile privind conversia în formã electronicã a facturilor emise iniţial pe suport hârtie sunt aplicabile şi documentelor aferente tranzacţiilor înregistrate prin intermediul caselor de marcat.
2. Procesul de transmitere a documentelor contabile electronice
Utilizarea semnãturii electronice şi a mãrcii temporale garanteazã integritatea documentelor contabile electronice, orice modificare asupra conţinutului unui document determinând pierderea valabilitãţii semnãturii electronice şi, prin consecinţã, a documentului.
Modalitatea de transmitere a documentelor contabile electronice este stabilitã de comun acord de cãtre emitentul şi beneficiarul acestora. De asemenea, prin acordul pãrţilor se va stabili nivelul de securitate care va fi utilizat. Astfel, emitentul şi beneficiarul documentelor contabile electronice pot stabili prin acord transmiterea criptatã a acestora sau orice alte mãsuri de securitate considerate necesare.
3. Procesul de arhivare a documentelor contabile electronice
În procesul de arhivare a documentelor contabile electronice se vor aplica dispoziţiile <>Legii nr. 135/2007 privind arhivarea documentelor în formã electronicã.
Autenticitatea şi integritatea conţinutului facturii în formã electronicã, precum şi asigurarea accesului la aceasta trebuie sã fie garantate pe toatã durata legalã de stocare a facturii.
Verificarea semnãturilor electronice ataşate documentelor contabile electronice permite validarea faptului cã aceste douã caracteristici - autenticitatea şi integritatea - sunt îndeplinite.
Sistemul informatic trebuie sã permitã arhivarea atât a documentului contabil electronic, cât şi a tuturor datelor necesare verificãrii semnãturii electronice şi mãrcii temporale ataşate facturii, pe toatã durata legalã de stocare a acesteia.
Asigurarea posibilitãţii validãrii semnãturii electronice şi a mãrcii temporale folosite în procesul de emitere a documentelor contabile electronice presupune ca, la data efectuãrii verificãrii, sã fie disponibile urmãtoarele informaţii:
1. certificatul utilizat pentru semnarea documentului contabil electronic şi pentru emiterea mãrcii temporale;
2. lista certificatelor revocate;
3. algoritmii folosiţi în procesele criptografice.
Posibilitatea de verificare pe termen lung a autenticitãţii documentului contabil electronic (prin validarea semnãturii electronice şi a mãrcii temporale aplicate) se bazeazã pe urmãtoarele 3 elemente:
1. determinarea momentului creãrii documentului;
2. determinarea faptului cã momentul în care certificatul pe care se bazeazã semnãtura documentului a expirat sau a fost revocat a fost ulterior momentului în care documentul a fost creat şi semnat;
3. pãstrarea în condiţii de securitate a documentului, mai ales în cazul în care, dupã data semnãrii, algoritmul sau cheia privatã folositã la semnare a fost compromis/compromisã.
Sistemul informatic trebuie sã permitã pãstrarea informaţiilor din care este constituit documentul contabil electronic fãrã niciun fel de alterare pe toatã aceastã perioadã. Emitentul documentului contabil electronic poate decide asupra oricãrui mediu de stocare a facturilor care sã garanteze respectarea condiţiilor de mai sus. Este recomandabilã folosirea unor dispozitive de stocare permanentã care sã nu permitã ştergerea, rescrierea sau modificarea datelor.
Arhivarea trebuie realizatã cu ajutorul unor echipamente informatice adecvate şi în amplasamente având facilitãţi speciale care asigurã securitatea şi accesibilitatea informaţiilor arhivate. Se vor asigura operaţiuni de back-up periodic al informaţiilor stocate. Este necesarã asigurarea securitãţii informaţiilor stocate în ceea ce priveşte atât accesul fizic la echipamentele folosite, cât şi accesul de la distanţã, evitându-se apariţia breşelor de securitate.
IV. Standarde recomandate
● ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES);
● ETSI TS 101 733, Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats;
● ITU-T Recommendation X.509 (2001) │ ISO/IEC 9594-8: 2001 - Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks;
● ITU-T Recommendation X.520 (2001) │ ISO/IEC 9594-6:2001 - Information technology - Open Systems Interconnection - The Directory: Selected attribute types;
● ITU-T Recommendation X.521 (2001) │ ISO/IEC 9594-7:2001 - Information technology - Open Systems Interconnection - The Directory: Selected object classes;
● ETSI TS 101 862: Qualified Certificates profile V1.3.2 (2004-06);
● IETF RFC 3280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List;
● Pentru a asigura cerinţa de interoperabilitate, se recomandã folosirea urmãtoarelor formate pentru facturile electronice:
- formate compatibile cu limbajul de marcare XML (Extensible Markup Language);
- PDF - Portable Document Format.

-----------
Da, vreau sa primesc newsletterul zilnic cu stiri, noutati, articole, dezbateri pe teme juridice

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 modele de Contracte, Cereri si Notificari modificate conform GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele de Contracte, Cereri si Notificari modificate conform GDPR"


Da, vreau sa primesc newsletterul zilnic cu stiri, noutati, articole, dezbateri pe teme juridice