Comunica experienta
MonitorulJuridic.ro
Având în vedere prevederile <>Hotãrârii Guvernului nr. 744/2003 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Informaţiei şi ale <>art. 31 lit. f) din Regulamentul Bãncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de platã electronicã şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002, ministrul comunicaţiilor şi tehnologiei informaţiei emite prezentul ordin. CAP. I Dispoziţii generale ART. 1 (1) Prezentul ordin se aplicã bãncilor, persoane juridice române, precum şi sucursalelor din România ale bãncilor, persoane juridice strãine, denumite în continuare bãnci, şi are ca obiect stabilirea procedurii privind eliberarea avizului Ministerului Comunicaţiilor şi Tehnologiei Informaţiei asupra instrumentelor de platã cu acces la distanţã tip Internet-banking, home-banking sau mobile-banking. (2) La data publicãrii prezentului ordin în Monitorul Oficial al României, Partea I, <>Ordinul ministrului comunicaţiilor şi tehnologiei informaţiei nr. 16/2003 privind procedura de avizare a instrumentelor de platã cu acces la distanţã, de tipul aplicaţiilor Internet-banking sau homebanking, publicat în Monitorul Oficial al României, Partea I, nr. 107 din 20 februarie 2003, se abrogã. ART. 2 În înţelesul prezentului ordin, termenii şi expresiile de mai jos au urmãtoarele semnificaţii: a) instrument de platã cu acces la distanţã - soluţie informaticã ce permite deţinãtorului sã aibã acces la distanţã la fondurile aflate în contul sãu, în scopul obţinerii de informaţii privind situaţia conturilor şi operaţiunilor efectuate, efectuãrii de plãţi sau transferuri de fonduri cãtre un beneficiar, prin intermediul unei aplicaţii informatice, al unei metode de autentificare şi al unui mediu de comunicaţie; b) emitent - banca autorizatã de Banca Naţionalã a României sã emitã instrumente de platã electronicã şi care pune la dispoziţie deţinãtorului un instrument de platã electronicã cu acces la distanţã, pe baza unui contract încheiat cu acesta; c) deţinãtor - persoana fizicã sau juridicã care, în baza contractului încheiat cu emitentul, deţine un mecanism de autentificare în utilizarea instrumentului de platã cu acces la distanţã; d) utilizator - deţinãtorul instrumentului de platã cu acces la distanţã sau o persoanã fizicã recunoscutã şi acceptatã de cãtre deţinãtor ca având acces la drepturile sale conferite de cãtre emitent; e) instrument de platã la distanţã tip Internet-banking acel instrument de platã cu acces la distanţã care se bazeazã pe tehnologia Internet (world wide web) şi pe sistemele informatice ale emitentului; f) instrument de platã la distanţã tip home-banking - acel instrument de platã cu acces la distanţã care se bazeazã pe o aplicaţie software a emitentului instalatã la sediul deţinãtorului, pe o staţie de lucru individualã sau în reţea; g) instrument de platã la distanţã tip mobile-banking acel instrument de platã cu acces la distanţã care presupune utilizarea unui echipament mobil (telefon, PDA Personal Digital Assistant etc.) şi a unor servicii oferite de cãtre operatorii de telecomunicaţii; h) plan de securitate - document ce descrie totalitatea mãsurilor tehnice şi administrative care sunt luate de cãtre emitent pentru utilizarea în condiţii de siguranţã a instrumentului de platã cu acces la distanţã; i) aviz - actul administrativ emis de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei în conformitate cu prevederile <>art. 31 lit. f) din Regulamentul Bãncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de platã electronicã şi relaţiile dintre participanţii la aceste tranzacţii, care conferã solicitantului dreptul de a obţine autorizaţia din partea Bãncii Naţionale a României pentru emiterea instrumentului de platã cu acces la distanţã; j) BNR - Banca Naţionalã a României; k) Regulamentul nr. 4 al BNR - <>Regulamentul Bãncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de platã electronicã şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002; l) MCTI - Ministerul Comunicaţiilor şi Tehnologiei Informaţiei; m) CISA - Certified Information Systems Auditor (Auditor pentru sisteme informatice, certificat de ISACA). ART. 3 Scopul avizului îl constituie verificarea îndeplinirii de cãtre sistemul informatic al emitentului şi de cãtre soluţia software, prin intermediul cãrora instrumentul de platã cu acces la distanţã este oferit, a unor cerinţe minime de securitate, referitoare la: a) confidenţialitatea şi integritatea comunicaţiilor; b) confidenţialitatea şi nonrepudierea tranzacţiilor; c) confidenţialitatea şi integritatea datelor; d) autenticitatea pãrţilor care participã la tranzacţii; e) protecţia datelor cu caracter personal; f) pãstrarea secretului bancar; g) trasabilitatea tranzacţiilor; h) continuitatea serviciilor oferite clienţilor; i) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem; j) restaurarea informaţiilor gestionate de sistem în cazul unor calamitãţi naturale, evenimente imprevizibile; k) gestionarea şi administrarea sistemului informatic; l) orice alte activitãţi sau mãsuri tehnice întreprinse pentru exploatarea în siguranţã a sistemului. ART. 4 Mãsurile tehnice şi organizatorice întreprinse pentru îndeplinirea cerinţelor enumerate la art. 3 vor fi în concordanţã cu progresul tehnologic şi cu riscurile potenţiale. CAP. II Eliberarea avizului ART. 5 Documentele necesare pentru eliberarea avizului sunt: a) cerere adresatã în acest scop MCTI, conform modelului prevãzut în anexa nr. 1 care face parte integrantã din prezentul ordin; b) licenţa de funcţionare a bãncii, acordatã de BNR; c) descrierea funcţionalã a sistemului informatic prin intermediul cãruia este oferit instrumentul de platã cu acces la distanţã; d) planul de securitate al sistemului informatic, semnat de cãtre emitent, cuprinzând totalitatea mãsurilor tehnice şi organizatorice prevãzute pentru asigurarea cerinţelor cuprinse la art. 3; e) certificãri din punct de vedere al securitãţii asupra soluţiei informatice sau produselor conţinute în aceasta, emise de organizaţii naţionale sau internaţionale recunoscute, acolo unde existã; f) opinia de audit asupra planului de securitate prevãzut la lit. d) şi a soluţiei informatice prin intermediul cãreia este oferit instrumentul de platã cu acces la distanţã; g) o declaraţie în care este exprimatã independenţa auditorului faţã de sistemul informatic auditat. ART. 6 (1) Opinia de audit menţionatã la art. 5 lit. f) va fi întocmitã de cãtre o persoanã certificatã ca auditor de sisteme informatice (CISA). În procesul de auditare, auditorul poate solicita concursul unor experţi. (2) La cererea expresã a MCTI, precum şi în cazul opiniilor de audit exprimate cu rezerve, banca va pune la dispoziţie raportul de audit, rezultat în urma auditãrii sistemului. (3) Pentru cazurile în care sistemul informatic prin intermediul cãruia este oferit instrumentul de platã cu acces la distanţã este situat în afara ţãrii, auditarea sistemului se va face prin una dintre urmãtoarele metode: - auditorul român va audita sistemele din strãinãtate; sau - auditorul român agreeazã auditarea sistemului din strãinãtate de cãtre personal cu calificare similarã din acea ţarã; sau - auditorul român îşi va baza atestatul pe documente/atestate emise în ţara în care ruleazã sistemul şi care au un grad de asigurare corespunzãtor. ART. 7 Documentele prevãzute la art. 5 se vor transmite cãtre MCTI în limba românã. ART. 8 Planul de securitate se va întocmi respectându-se urmãtoarea structurã: 1. informaţii de identificare: a) emitentul instrumentului de platã cu acces la distanţã; b) denumirea instrumentului de platã cu acces la distanţã; c) provenienţa instrumentului de platã cu acces la distanţã; d) categoria (Internet, home sau mobile-banking); e) statutul operaţional al sistemului prin intermediul cãruia este oferit instrumentul de platã cu acces la distanţã şi anul intrãrii în producţie; f) descrierea generalã a soluţiei tehnice; g) consideraţii specifice; h) interconectarea sistemului; i) aria geograficã în care instrumentul de platã cu acces la distanţã poate fi utilizat; j) datele de contact ale persoanelor responsabile; 2. senzitivitatea sistemului: a) legislaţia aplicabilã; b) descrierea generalã a senzitivitãţii informaţiilor gestionate de cãtre sistem; 3. mãsuri pentru securitatea sistemului: a) evaluarea şi managementul riscurilor potenţiale; b) codurile de conduitã/condiţiile de utilizare/contractul prin care instrumentul de platã cu acces la distanţã este oferit; c) rapoarte de testare; d) mãsurile tehnice de securitate implementate; e) procedurile operaţionale de exploatare; f) mãsurile aplicate pentru asigurarea securitãţii fizice; g) instruirea personalului propriu al emitentului în legãturã cu administrarea sistemului informatic; h) instrucţiunile de utilizare a instrumentului de platã cu acces la distanţã (manual de utilizare oferit clienţilor); i) suportul tehnic oferit de cãtre emitent clienţilor care utilizeazã instrumentul de platã cu acces la distanţã; 4. orice alte informaţii relevante legate de mãsurile luate de cãtre emitent pentru a asigura exploatarea în siguranţã a instrumentului de platã cu acces la distanţã. ART. 9 (1) Documentele prevãzute la art. 5 se înainteazã cãtre MCTI în perioada 1 aprilie - 30 iunie a fiecãrui an. (2) Avizul eliberat este valabil pânã la data de 1 aprilie a anului urmãtor. (3) Avizul eliberat este netransmisibil. ART. 10 În cazul emiterii unui nou instrument de platã cu acces la distanţã dupã data de 1 iulie, emitentul poate solicita avizul MCTI, o datã cu depunerea documentelor necesare, prevãzute la art. 5. ART. 11 (1) În cazul în care, pe perioada de valabilitate a avizului, emitentul dezvoltã sau implementeazã noi module de aplicaţie, efectueazã modificãri de proceduri operaţionale sau modificã mãsurile tehnice de securitate aplicabile instrumentului de platã cu acces la distanţã, acesta va notifica aceste modificãri cãtre MCTI. (2) Notificarea prevãzutã la alin. (1) se va face în termen de 30 de zile de la data la care modificãrile specificate la alin. (1) devin operaţionale. (3) În urma notificãrii, dacã se considerã cã modificãrile efectuate afecteazã major securitatea instrumentului de platã cu acces la distanţã, MCTI sau BNR poate solicita bãncii obţinerea unui nou aviz. (4) Dacã solicitarea prevãzutã la alin. (3) este efectuatã de MCTI, acesta va notifica în acelaşi timp şi BNR. ART. 12 Documentele enumerate la art. 5 vor fi întocmite într-un singur exemplar, iar acolo unde este cazul vor fi clasificate din punct de vedere al conţinutului acestora, conform legislaţiei în vigoare şi procedurilor bãncii care solicitã avizarea. ART. 13 (1) În urma analizãrii documentaţiei prezentate, în termen de 15 zile calendaristice de la data înregistrãrii acesteia la Secretariatul de Stat pentru Tehnologia Informaţiei, MCTI va comunica solicitantului decizia sa cu privire la acordarea avizului şi va notifica BNR în legãturã cu aceasta. (2) Dupã eliberarea avizului, în termen de 3 zile calendaristice, MCTI va remite solicitantului un exemplar al avizului. (3) Avizul va fi eliberat în forma prevãzutã în anexa nr. 2 care face parte integrantã din prezentul ordin. CAP. III Dispoziţii finale ART. 14 (1) În perioada prevãzutã la art. 13 alin. (1), precum şi în perioada de valabilitate a avizului sau în cazul primirii unei notificãri din partea BNR, MCTI poate solicita bãncii avizate sau în curs de avizare efectuarea de verificãri la sediul acesteia prin personal desemnat prin ordin al ministrului comunicaţiilor şi tehnologiei informaţiei. (2) În cazul în care în urma verificãrilor se constatã nerespectarea prevederilor conţinute în documentaţia de avizare, MCTI poate dispune neacordarea avizului sau retragerea acestuia. ART. 15 (1) Emitentul este obligat sã informeze MCTI, trimestrial, cu privire la numãrul de utilizatori ai instrumentului de platã cu acces la distanţã, numãrul de plãţi efectuate prin intermediul instrumentelor de platã cu acces la distanţã, precum şi valoarea plãţilor efectuate prin intermediul acestora, în formatul prezentat în anexa nr. 3 care face parte integrantã din prezentul ordin. (2) Numãrul de utilizatori prevãzut la alin. (1) se referã la numãrul de utilizatori cu care existã încheiat un contract pentru utilizarea instrumentului de platã cu acces la distanţã, pe parcursul trimestrului pentru care se face raportarea. Se iau în considerare toate contractele în vigoare, de la data lansãrii instrumentului de platã cu acces la distanţã. (3) Numãrul de plãţi efectuate prin intermediul instrumentelor de platã cu acces la distanţã se referã la plãţile efectuate doar pe perioada trimestrului raportat şi vor fi prezentate defalcat, în numãrul de plãţi în lei şi numãrul de plãţi în valutã. (4) Valoarea plãţilor efectuate prin intermediul instrumentelor de platã cu acces la distanţã în perioada trimestrului raportat vor fi prezentate astfel: valoarea plãţilor efectuate în lei şi valoarea plãţilor efectuate în valutã. Plãţile efectuate în valutã vor fi exprimate în echivalent euro, la cursul de schimb BNR din ultima zi a trimestrului pentru care se face raportarea. (5) Raportãrile pot fi transmise prin poştã, pe adresa Ministerului Comunicaţiilor şi Tehnologiei Informaţiei, Bd. Libertãţii nr. 14, sectorul 5, cod 050706 sau prin e-mail, ca fişier ataşat, pe adresa e-banking@mcti.ro. (6) Raportãrile vor fi transmise cãtre MCTI pânã la sfârşitul lunii urmãtoare trimestrului pentru care se face raportarea. ART. 16 Eliberarea de cãtre MCTI a avizului pentru furnizarea instrumentului de platã cu acces la distanţã nu exonereazã emitentul sau deţinãtorul de rãspunderile asumate prin contractul încheiat între aceştia. ART. 17 Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I, şi va fi pus în aplicare prin grija Direcţiei de reglementãri şi standarde în tehnologia informaţiei, antifraudã şi securitatea reţelelor. Ministrul comunicaţiilor şi tehnologiei informaţiei, Dan Nica Bucureşti, 14 iunie 2004. Nr. 218. ANEXA 1
CERERE DE ELIBERARE A AVIZULUI
.................................. având sediul în ...................... ,
(denumirea emitentului) (adresa completã, inclusiv telefon şi fax)
înmatriculatã/înregistratã la Oficiul registrului comerţului sub nr. ........
................................................., cod fiscal ..............,
(numãrul de înregistrare/codul unic de înregistrare)
având autorizaţia de funcţionare nr. ...................., eliberatã de Banca
Naţionalã a României, reprezentat(ã) legal prin ............................,
(numele şi prenumele)
domiciliat(ã) în ...........................................................,
(adresa completã, inclusiv telefon)
identificat(ã) prin ........................................................,
(actul de identitate: seria, numãrul şi emitentul, codul numeric personal)
în conformitate cu prevederile <>Hotãrârii Guvernului nr. 744/2003 privind
organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Infor-
maţiei, prevederile art. 31 lit. f) din Regulamentul Bãncii Naţionale a
României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumen-
telor de platã electronicã şi relaţiile dintre participanţii la aceste tran-
zacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12
iulie 2002, şi cu prevederile Ordinului ministrului comunicaţiilor şi tehno-
logiei informaţiei nr. ............ din data de ......................., vã
solicitãm eliberarea avizului pentru furnizarea instrumentului de platã cu
acces la distanţã ........, cu urmãtoarele caracteristici generale (scurtã
descriere):
........................................................................
........................................................................
........................................................................
Sistemul funcţioneazã (va funcţiona) la sediul din .....................
Numele, prenumele şi ştampila solicitantului
............................................
Data
................
................................. având sediul în .........................
(adresa completã, inclusiv telefon şi fax)
înmatriculatã/înregistratã la oficiul registrului comerţului sub nr.
................., cod fiscal ............., având autorizaţia de funcţionare
nr. ................, eliberatã de Banca Naţionalã a României, reprezentat(ã)
legal prin ........................, a obţinut avizul pentru furnizarea
(numele şi prenumele)
instrumentului de platã cu acces la distanţã ..............................,
cu urmãtoarele caracteristici generale:
..........................................................................
..........................................................................
..........................................................................
Sistemul funcţioneazã (va funcţiona) la sediul din .................
OBSERVAŢII:
Prezentul aviz s-a eliberat în vederea obţinerii/menţinerii autorizaţiei
pentru emiterea instrumentului de platã cu acces la distanţã din partea Bãncii
Naţionale a României şi este valabil pânã la .........................
Secretar de stat pentru tehnologia informaţiei,
Nr. ...............
Data ..............
Banca .............................
───────────────────────────────────────────────────────────────────────────────
Instrument Numãrul Numãrul Numãrul Valoarea Valoarea Perioada
utili- tran- tran- tran- tran- de
zatorilor zacţiilor zacţiilor zacţiilor zacţiilor raportare
- lei - -valutã- - lei - în valutã
(echivalent
euro)
───────────────────────────────────────────────────────────────────────────────
Trimestrul
───────────────────────────────────────────────────────────────────────────────
───────────────────────────────────────────────────────────────────────────────
───────────────────────────────────────────────────────────────────────────────
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.
