Comunica experienta
MonitorulJuridic.ro

Trimite prin Yahoo Messenger pagina: ORDIN nr. 488 din 15 iunie 2009 privind procedura de verificare si omologare a sistemelor informatice destinate operatiunilor de emitere a facturilor in forma electronica, precum si normele de performanta si securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!

ORDIN nr. 488 din 15 iunie 2009 privind procedura de verificare si omologare a sistemelor informatice destinate operatiunilor de emitere a facturilor in forma electronica, precum si normele de performanta si securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica

EMITENT: MINISTERUL COMUNICATIILOR SI SOCIETATII INFORMATIONALE
PUBLICAT: MONITORUL OFICIAL nr. 487 din 14 iulie 2009

Comenteaza legea

ORDIN nr. 488 din 15 iunie 2009
privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formã electronicã, precum şi normele de performanţã şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã
EMITENT: MINISTERUL COMUNICAŢIILOR ŞI SOCIETÃŢII INFORMAŢIONALE
PUBLICAT ÎN: MONITORUL OFICIAL nr. 487 din 14 iulie 2009

În temeiul prevederilor <>art. 4 alin. (1) pct. 59 şi ale <>art. 6 alin. (6) din Hotãrârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societãţii Informaţionale, cu modificãrile şi completãrile ulterioare, precum şi ale <>art. 26 şi ale <>art. 30 alin. (1) din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice,

ministrul comunicaţiilor şi societãţii informaţionale emite prezentul ordin.

ART. 1
Prezentul ordin stabileşte procedura de verificare şi omologare de cãtre Ministerul Comunicaţiilor şi Societãţii Informaţionale, denumit în continuare MCSI, a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formã electronicã, precum şi normele de performanţã şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã.
ART. 2
În înţelesul prezentului ordin, urmãtorii termeni se definesc astfel:
a) emitent al facturii în formã electronicã - persoana fizicã sau juridicã ce emite facturi în formã electronicã, în nume propriu ori în numele unor terţi;
b) sistem informatic - dispozitivul ori ansamblul de dispozitive interconectate sau aflate în relaţie funcţionalã, dintre care unul sau mai multe asigurã prelucrarea automatã a datelor cu ajutorul unui program informatic şi care este destinat operaţiunilor de emitere a facturilor în formã electronicã;
c) omologare - procesul de evaluare a sistemului informatic, care are ca rezultat emiterea de cãtre ministrul comunicaţiilor şi societãţii informaţionale a ordinului de omologare;
d) ordin de omologare - ordinul emis de ministrul comunicaţiilor şi societãţii informaţionale care atestã conformitatea sistemului informatic cu normele de securizare a informaţiei prelucrate sau arhivate, precum şi cu prevederile <>Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice;
e) plan de securitate a sistemului informatic - documentul ce descrie totalitatea mãsurilor tehnice şi administrative care sunt aplicate sistemului informatic de cãtre emitentul facturii în formã electronicã în vederea oferirii serviciului în condiţii de siguranţã.
ART. 3
Emitentul facturii în formã electronicã are obligaţia sã foloseascã un sistem informatic omologat de MCSI. În acest sens, acesta va înainta MCSI o cerere scrisã prin care va solicita începerea procedurii de omologare a sistemului informatic. Forma şi conţinutul cererii sunt prevãzute în anexa nr. 1.
ART. 4
(1) Emitentul facturii în formã electronicã care solicitã omologarea sistemului informatic are obligaţia sã transmitã MCSI urmãtoarele documente, redactate în limba românã:
a) cererea prevãzutã la art. 3;
b) raportul de audit întocmit în condiţiile art. 5;
c) descrierea funcţionalã a sistemului informatic;
d) planul de securitate a sistemului informatic;
e) certificãri privind securitatea sistemului informatic, acolo unde acestea existã;
f) declaraţia pe propria rãspundere a auditorului, prin care este exprimatã independenţa sa faţã de emitentul facturii în formã electronicã şi producãtorul sistemului informatic auditat;
g) dacã este cazul, descrierea echipamentelor necesare realizãrii procesului de conversie, în situaţia în care emitentul de drept al facturii în formã electronicã are un contract valabil încheiat în baza cãruia beneficiazã de servicii de conversie a facturilor emise pe suport hârtie în facturi în formã electronicã;
h) dovada achitãrii tarifului de omologare prevãzut la art. 12.
(2) Pe parcursul procedurii de omologare, MCSI poate solicita completarea documentaţiei, acolo unde este necesar. În acest caz, cererea prevãzutã la art. 3 este consideratã realizatã la data transmiterii cãtre MCSI a documentelor solicitate.
(3) Documentele prevãzute la alin. (1) şi (2) se transmit la sediul MCSI în limba românã în unul dintre urmãtoarele moduri:
a) prin depunere, personal sau de cãtre reprezentantul legal al solicitantului, sub luare de numãr de înregistrare de la registratura MCSI;
b) printr-un serviciu poştal;
c) ca înscris în formã electronicã, cãruia i s-a încorporat, ataşat sau i s-a asociat logic o semnãturã electronicã extinsã, bazatã pe un certificat calificat nesuspendat ori nerevocat la momentul respectiv şi generatã cu ajutorul unui dispozitiv securizat de creare a semnãturii electronice.
(4) Este consideratã datã a transmiterii, dupã caz, data înregistrãrii în registrul general de intrare-ieşire a corespondenţei al MCSI, data confirmãrii primirii documentelor la sediul MCSI printr-un serviciu poştal cu confirmare de primire sau data confirmãrii primirii înscrisului în formã electronicã.
ART. 5
(1) Auditul este realizat de cãtre un auditor independent faţã de emitentul facturii în formã electronicã şi faţã de producãtorul sistemului informatic a cãrui omologare se solicitã.
(2) Condiţiile care trebuie îndeplinite de cãtre auditori, obiectivele auditului, conţinutul minimal al raportului de audit şi setul minimal de teste care sunt aplicate sistemului informatic în cursul procesului de audit sunt prevãzute în anexa nr. 2.
(3) Raportul de audit poate fi realizat de o persoanã fizicã sau juridicã, certificatã ca auditor de sisteme informatice.
(4) În cazul în care sistemul informatic este situat în alt stat, auditarea acestuia se va face prin una dintre urmãtoarele metode:
a) auditorul auditeazã în mod nemijlocit sistemul informatic din strãinãtate;
b) auditorul îşi bazeazã raportul de audit pe certificãri similare emise sau pe teste efectuate în statul în care se aflã sistemul informatic şi care au un grad de asigurare corespunzãtor, acoperind obiectivele şi ariile de control prevãzute în anexa nr. 2.
ART. 6
(1) Ordinul de omologare este emis în termen de 30 de zile de la data transmiterii documentaţiei în condiţiile art. 4 alin. (1) sau (2), în urma verificãrii conformitãţii sistemului informatic cu cerinţele stabilite în anexa nr. 2 alin. (2). Forma şi conţinutul ordinului de omologare sunt prevãzute în anexa nr. 3.
(2) Ordinul de omologare este valabil pe o perioadã de un an, procedura de reînnoire fiind similarã cu cea de emitere.
(3) Pe întreaga perioadã de valabilitate a ordinului de omologare, MCSI are dreptul de a efectua verificãri ale sistemului informatic omologat.
ART. 7
(1) Emitentul facturii în formã electronicã este obligat sã notifice MCSI orice modificare a sistemului informatic care afecteazã documentaţia prezentatã în conformitate cu art. 4 alin. (1) lit. c), d) şi g), în condiţiile prevãzute la <>art. 14 alin. (1) din Legea nr. 260/2007 .
(2) MCSI avizeazã modificãrile aduse în maximum 30 de zile de la data transmiterii notificãrii, în condiţiile art. 4 alin. (4).
(3) În cazul în care MCSI considerã cã modificãrile aduse sistemului informatic afecteazã performanţele acestuia în ceea ce priveşte cerinţele stabilite în anexa nr. 2 alin. (2), va solicita emitentului facturii în formã electronicã declanşarea procedurii de reînnoire a omologãrii.
ART. 8
MCSI are obligaţia de a pãstra confidenţialitatea tuturor informaţiilor primite de la emitentul facturii în formã electronicã care solicitã omologarea sistemului informatic.
ART. 9
(1) Emitentul facturii în formã electronicã poate utiliza propria autoritate de marcare temporalã, implementatã în cadrul organizaţiei sale, dacã îndeplineşte urmãtoarele condiţii:
a) foloseşte o bazã de timp sincronizatã cu Furnizorul unic de bazã de timp, desemnat în conformitate cu <>Legea nr. 451/2004 privind marca temporalã;
b)îndeplineşte condiţiile stabilite de <>Legea nr. 451/2004 , cu excepţia celor referitoare exclusiv la furnizarea de servicii de marcare temporalã pentru terţi.
(2) Îndeplinirea condiţiilor prevãzute la alin. (1) se atestã prin raportul de audit.
ART. 10
Persoanele care emit, transmit sau arhiveazã facturi în formã electronicã pot externaliza aceste servicii în temeiul unui contract valabil încheiat cu un furnizor de servicii de facturare electronicã, cu respectarea condiţiilor prevãzute la <>art. 13 din Legea nr. 260/2007 .
ART. 11
(1) MCSI poate retrage omologarea, în urmãtoarele situaţii:
a) în cazul în care, în urma verificãrilor efectuate în condiţiile <>art. 29 alin. (2) din Legea nr. 260/2007 , constatã neîndeplinirea de cãtre emitentul facturii în formã electronicã a obligaţiei de notificare a modificãrilor efectuate asupra sistemului informatic;
b) în cazul în care, în urma verificãrilor efectuate în conformitate cu art. 6 alin. (3), constatã faptul cã sistemul informatic nu mai îndeplineşte normele de performanţã şi securitate prevãzute în anexa nr. 4.
(2) În cazul în care constatã una dintre situaţiile prevãzute la alin. (1), MCSI va comunica emitentului facturii în formã electronicã deficienţele constatate, acordându-i un termen de 30 de zile pentru remedierea acestora.
(3) Dacã deficienţele constatate în condiţiile alin. (1) nu sunt remediate în termenul prevãzut la alin. (2), MCSI va retrage omologarea, prin emiterea unui ordin.
ART. 12
(1) Cuantumul tarifului prevãzut la <>art. 26 alin. (5) din Legea nr. 260/2007 este de 9.000 lei.
(2) Termenul de platã a tarifului prevãzut la alin. (1) este anterior transmiterii documentelor prevãzute la art. 4 alin. (1) cãtre MCSI.
(3) Plata tarifului de omologare se poate face:
a) prin decontare bancarã, în contul MCSI;
b) în numerar, la casieria MCSI, cu respectarea plafonului zilnic stabilit prin <>Ordonanţa Guvernului nr. 15/1996 privind întãrirea disciplinei financiar-valutare, aprobatã cu modificãri şi completãri prin <>Legea nr. 131/1996 , cu modificãrile ulterioare.
(4) În vederea îndeplinirii de cãtre emitentul facturii în formã electronicã care solicitã omologarea sistemului informatic, în condiţiile prezentei decizii, a obligaţiei prevãzute la art. 4 alin. (1) lit. h), Direcţia economicã, resurse umane şi administrativã din cadrul MCSI, prin serviciul de specialitate, emite o facturã fãrã taxã pe valoarea adãugatã, dupã încasarea cuantumului tarifului de omologare. Factura emisã de MCSI va conţine menţiunea expresã: "Factura a fost achitatã cu O.P./Chitanţa nr. .../.......".
ART. 13
Normele de performanţã şi securitate pe care trebuie sã le îndeplineascã sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã sunt prevãzute în anexa nr. 4.
ART. 14
Anexele nr. 1-4 fac parte integrantã din prezentul ordin.
ART. 15
(1) La data intrãrii în vigoare a prezentului ordin se abrogã <>Decizia preşedintelui Autoritãţii Naţionale pentru Comunicaţii nr. 888/2008 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formã electronicã, precum şi normele de performanţã şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã, publicatã în Monitorul Oficial al României, Partea I, nr. 699 din 14 octombrie 2008.
(2) Prezentul ordin se publicã în Monitorul Oficial al României, Partea I.

Ministrul comunicaţiilor şi
societãţii informaţionale,
Gabriel Sandu

Bucureşti, 15 iunie 2009.
Nr. 488.

ANEXA 1

CERERE
de omologare a sistemului informatic


     Nr. *)..........................
     Data ...........................

*) Numãrul de ieşire din registrul de intrãri-ieşiri al solicitantului şi
data de înregistrare.


  ┌──────────────────────────────────────────────────────┬─────────────────────┐
  │Cãtre                                                 │  Loc rezervat MCSI  │
  │Ministerul Comunicaţiilor şi Societãţii Informaţionale│                     │
  └──────────────────────────────────────────────────────┴─────────────────────┘
  ┌────────────────────────────────────────────────────────────────────────────┐
  │Denumire/Nume şi prenume:                                                   │
  ├────────────────┬─────────────────────────┬─────────────────────────────────┤
  │Statut:         ││_│ persoanã juridicã    ││_│ persoanã fizicã              │
  ├────────────────┼─────────────────────────┼────────┬────────┬────────┬──────┤
  │                │Str.:                    │nr.     │bl.     │sc.     │ap.   │
  │                ├─────────────────────────┼────────┴────────┴────────┴──────┤
  │Sediu/Domiciliu:│Localitate:              │Cod poştal:                      │
  │                ├─────────────────────────┴─────────────────────────────────┤
  │                │Judeţul/Sectorul:                                          │
  │                ├─────────────────────────┬─────────────────────────────────┤
  │                │Telefon:                 │Fax:                             │
  │                ├─────────────────────────┼─────────────────────────────────┤
  │                │E-mail:                  │Paginã de internet:              │
  ├────────────────┼─────────────────────────┼────────┬────────┬────────┬──────┤
  │                │Str.:                    │nr.     │bl.     │sc.     │ap.   │
  │                ├─────────────────────────┼────────┼────────┼────────┼──────┤
  │Domiciliul      │Localitate:              │Cod     │        │        │      │
  │fiscal:         │                         │poştal: │        │        │      │
  │                ├─────────────────────────┴────────┴────────┴────────┴──────┤
  │                │Judeţul/Sectorul:                                          │
  │                ├─────────────────────────┬─────────────────────────────────┤
  │                │Telefon:                 │Fax:                             │
  ├────────────────┴─────────────────────────┼─────────────────────────────────┤
  │Cod de identificare fiscalã/Cod unic de   │                                 │
  │înregistrare (pentru persoane juridice):  │                                 │
  ├──────────────────────────────────────────┼─────────────────────────────────┤
  │CNP (pentru persoane fizice):             │                                 │
  ├──────────────────────────────────────────┼─────────────────────────────────┤
  │Cont:                                     │Banca:                           │
  ├────────────────┬─────────────────────────┴────────┬────────────────────────┤
  │Reprezentant    │Nume:                             │Funcţie:                │
  │legal:          │                                  │                        │
  ├────────────────┼─────────────────────────┬────────┼────────────────────────┤
  │                │Telefon:                 │Fax:    │E-mail:                 │
  ├────────────────┼─────────────────────────┴────────┼────────────────────────┤
  │Persoanã de     │Nume:                             │Funcţie:                │
  │contact:        │                                  │                        │
  ├────────────────┼─────────────────────────┬────────┼────────────────────────┤
  │                │Telefon:                 │Fax:    │E-mail:                 │
  └────────────────┴─────────────────────────┴────────┴────────────────────────┘
     Solicit eliberarea/reînnoirea Ordinului de omologare a sistemului
     informatic destinat operaţiunilor de emitere a facturilor în formã
     electronicã.
     Ataşez prezentei cereri urmãtoarele documente:
     │_│ raportul de audit;
     │_│ descrierea funcţionalã a sistemului informatic;
     │_│ planul de securitate a sistemului informatic;
     │_│ certificãri din punctul de vedere al securitãţii sistemului informatic;
     │_│ declaraţia pe propria rãspundere a auditorului, prin care este
     exprimatã independenţa sa faţã de subsemnatul şi de producãtorul sistemului
     informatic auditat;
     │_│ dacã este cazul, descrierea echipamentelor necesare realizãrii
     procesului de conversie, în situaţia în care emitentul de
     drept al facturii în formã electronicã are un contract valabil încheiat în
     baza cãruia beneficiazã de servicii de conversie a facturilor emise pe
     suport hârtie în facturi în formã electronicã;
     │_│ dovada achitãrii tarifului de omologare.
 
     Semnãtura reprezentantului legal şi ştampila solicitantului ..............

ANEXA 2

CONDIŢII
privind auditorii, obiectivele auditului, conţinutul
minimal al raportului de audit şi setul minimal de teste care sunt
aplicate sistemului informatic în cursul procesului de audit

(1) Condiţii privind auditorii sistemelor informatice
Persoana fizicã sau angajatul persoanei juridice care realizeazã auditul trebuie sã fie certificatã/certificat ca auditor de sisteme informatice de cãtre un organism general recunoscut în domeniu (ISACA - Asociaţia de Audit şi Control al Sistemelor Informatice/Information Systems Audit and Control Association).
Auditorul trebuie sã fie un terţ, care nu are raporturi de muncã cu persoana fizicã sau juridicã auditatã, nu are interese financiare în legãturã cu aceasta şi nu a fost implicat în ultimii 3 ani în proiecte de consultanţã care au ori au avut efect asupra sistemului auditat.
(2) Obiectivele auditului
Scopul auditului îl constituie evaluarea sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã, precum şi evaluarea mãsurilor organizatorice implementate în vederea operãrii sistemului informatic de cãtre emitentul de facturi în formã electronicã, în ceea ce priveşte îndeplinirea urmãtoarelor cerinţe:
1. sistemul informatic permite emiterea facturilor respectând formatul şi conţinutul stabilite de actele normative speciale;
2. sistemul informatic permite emiterea facturilor conţinând semnãtura electronicã a emitentului facturii şi marca temporalã care certificã momentul emiterii, în condiţiile anexei nr. 4 la ordin;
3. sunt respectate urmãtoarele principii privind securitatea operaţiunii de emitere a facturilor în formã electronicã:
a) confidenţialitatea şi integritatea datelor folosite în procesul de emitere a facturilor în formã electronicã;
b) protecţia datelor cu caracter personal, inclusiv respectarea condiţiilor legale referitoare la prelucrarea datelor cu caracter personal;
c) continuitatea serviciului de facturare oferit clienţilor;
d) controlul accesului la sistemul de facturare electronicã.
(3) Conţinutul minimal al raportului de audit
1. Introducere
1.1. elementele de identificare a auditorului, inclusiv prezentarea dovezii îndeplinirii condiţiilor de la alin. (1);
1.2. perioada în care a fost efectuat auditul;
1.3. echipa de audit (pentru fiecare persoanã se va preciza poziţia în cadrul echipei de audit, calificãri, certificãri, anexându-se documentele doveditoare).
2. Metodologia utilizatã
2.1. standardele pe baza cãrora s-a desfãşurat procesul de audit;
2.2. planul de audit folosit;
2.3. descrierea metodelor prin care sunt evaluate obiectivele de audit.
3. Descrierea sistemului auditat
3.1. descrierea entitãţii auditate, cu prezentarea generalã a sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã (inclusiv a aplicaţiilor software utilizate) şi a sistemelor informatice cu care acesta se aflã în relaţie de interdependenţã (prin relaţie de interdependenţã înţelegându-se faptul cã respectivele sisteme nu îşi pot îndeplini în mod separat funcţiile); se vor descrie componentele sistemului informatic utilizat în procesul de facturare: aplicaţie/server/ sistem de operare/detalii configurare/locaţie/administrare;
3.2. analiza riscurilor implicate de activitatea de facturare şi a posibilelor vulnerabilitãţi ale sistemului informatic auditat faţã de aceste riscuri;
3.3. identificarea interdependenţelor sistemului de facturare cu celelalte sisteme informatice ale entitãţii audiate, precum şi cu sisteme informatice aparţinând terţilor, cu precizarea vulnerabilitãţilor determinate de aceste interdependenţe. În cazul existenţei unui sistem informatic integrat, care asigurã şi alte procese ale entitãţii auditate, se va determina întinderea pãrţii din sistemul informatic integrat care implicã riscuri de securitate în ceea ce priveşte activitatea de emitere a facturilor în formã electronicã;
3.4. descrierea fluxului datelor care sunt folosite la întocmirea facturii electronice, cu identificarea momentului intrãrii acestor date în sistemul informatic destinat operaţiunilor de emitere a facturilor în formã electronicã. Se vor identifica aplicaţiile utilizate şi persoanele implicate: activitate/date de intrare/date de ieşire/responsabil/aplicaţie.
4. Evaluarea sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã în raport cu obiectivele urmãrite de audit
4.1. analiza fiecãrei ameninţãri de securitate şi a tipului de rãspuns necesar în ceea ce priveşte urmãtoarele componente:
a) echipamentele hardware (inclusiv în ceea ce priveşte accesul persoanelor autorizate/neautorizate la acestea);
b) aplicaţiile software rulate de cãtre sistemul informatic;
c) mãsurile organizatorice: politicile aplicate şi procedurile folosite, inclusiv politica de personal;
4.2. testele efectuate în conformitate cu alin. (3), inclusiv constatãrile şi recomandãrile aferente;
4.3. prezentarea mãsurilor luate de entitatea auditatã pentru minimizarea vulnerabilitãţilor sistemului informatic, mãsuri care pot afecta procesul de emitere a facturilor în formã electronicã.
5. Opinia de audit
5.1. datele de identificare a persoanei fizice sau juridice care are responsabilitatea juridicã asupra auditului;
5.2. numele auditorului care semneazã opinia şi data semnãrii;
5.3. afirmaţia de conformare a emitentului de facturi în formã electronicã cu obiectivele auditate (opinie pozitivã), de conformare parţialã cu obiectivele auditate, indicând punctele care trebuie îmbunãtãţite (opinie cu rezerve/calificatã), sau de neîndeplinire a obiectivelor auditate (opinie negativã).
(4) Arii minime de control în cadrul procesului de audit
1. Îndeplinirea cerinţelor legale referitoare la conţinutul facturii, semnãtura electronicã şi marca temporalã
1.1. sistemul permite respectarea cerinţelor legale referitoare la forma şi conţinutul facturilor emise;
1.2. certificatul calificat aferent semnãturii electronice a emitentului facturii în formã electronicã conţine informaţii privind identificatorul fiscal şi numãrul notificãrii înregistrate la Ministerul Finanţelor Publice;
1.3. certificatul calificat aferent semnãturii electronice a persoanelor care presteazã servicii de emitere a facturilor în formã electronicã pentru terţi conţine informaţii privind calitatea de furnizor de servicii şi datele sale de identificare;
1.4. emitentul ţine evidenţa facturilor electronice emise într-un registru electronic de evidenţã a facturilor în formã electronicã, operarea în acest registru realizându-se conform regulilor de operare a registrelor similare pe suport hârtie, completate cu normele metodologice emise de Ministerul Finanţelor Publice;
1.5. semnãtura electronicã extinsã ataşatã facturii în formã electronicã este generatã folosind dispozitive securizate de creare a semnãturii electronice;
1.6. marca temporalã ataşatã facturii în formã electronicã este generatã respectând prevederile <>Legii nr. 451/2004 privind marca temporalã;
1.7. accesul la dispozitivul de semnare este controlat.
2. Conversia facturilor emise iniţial pe suport hârtie (acolo unde este cazul)
2.1. sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie permite reproducerea informaţiilor conţinute de factura emisã iniţial pe suport hârtie cu un grad înalt de precizie;
2.2. procedurile implementate asigurã corectarea manualã a informaţiilor reproduse;
2.3. sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigurã înscrierea precizãrii: "prezenta facturã este conformã cu originalul emis iniţial pe suport hârtie având seria......... nr. ...., din data de..., emisã de...";
2.4. sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigurã ataşarea semnãturii electronice a furnizorului de servicii de facturare electronicã, precum şi a mãrcii temporale certificând momentul conversiei atât în cazul facturilor individuale, cât şi în cazul în care conversia se face pentru un pachet sau lot de facturi.
3. Securitate
3.1. accesul la aplicaţia de facturare este restricţionat prin mecanisme de autentificare;
3.2. aplicaţia de facturare menţine un jurnal de acces şi operare;
3.3. accesul utilizatorilor la date nu este permis decât prin intermediul aplicaţiei;
3.4. parolele de acces ale utilizatorilor sunt stocate în formã criptatã;
3.5. modul de utilizare a aplicaţiei este descris într-un manual;
3.6. sunt aplicate mãsurile de securizare specifice sistemului de operare;
3.7. maşina pe care ruleazã aplicaţia este amplasatã într-o incintã securizatã;
3.8. actualizãrile de aplicaţie sau de sistem de operare sunt aplicate numai dupã o testare prealabilã;
3.9. Testele efectuate înainte de utilizarea aplicaţiei şi de aplicarea eventualelor actualizãri sunt documentate;
3.10. Programul de interfaţã cu sistemul contabil menţine un jurnal de transfer;
3.11. Modul de funcţionare a interfeţei cu sistemul contabil este documentat.
4. Mãsuri organizatorice
4.1. Personalul este instruit în aspecte generale privind securitatea informaţiei, inclusiv protecţia la atacuri de tipul ingineriei sociale;
4.2. Existã o procedurã de identificare şi raportare a incidentelor de securitate;
4.3. Jurnalele de acces şi operare ale aplicaţiei sunt verificate periodic;
4.4. Existã clauze de confidenţialitate semnate cu furnizorii şi angajaţii;
4.5. Echipamentele sunt asigurate prin contracte de garanţie şi reparaţii;
4.6. Existã suport pentru aplicaţie acordat de furnizor;
4.7. Conturile de acces sunt individuale şi revizuite periodic;
4.8. Parola de utilizare a conturilor de acces este confidenţialã;
4.9. Configuraţia aplicaţiei şi a serverului pe care ruleazã este documentatã.

ANEXA 3

ORDIN
de omologare a sistemului informatic
În baza Referatului de aprobare al Direcţiei*1) ................, înregistrat la Ministerul Comunicaţiilor şi Societãţii Informaţionale sub nr. ........................../...............................,
-------
*1) Se va menţiona denumirea direcţiei de specialitate din cadrul Ministerului Comunicaţiilor şi Societãţii Informaţionale care îndeplineşte atribuţiile de punere în aplicare a <>Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice.

având în vedere prevederile <>art. 26 din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice şi ale Ordinului ministrului comunicaţiilor şi societãţii informaţionale nr. 488/2009 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formã electronicã, precum şi normele de performanţã şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã,
în temeiul <>art. 4 alin. (1) pct. 59 şi al <>art. 6 alin. (6) din Hotãrârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societãţii Informaţionale, cu modificãrile şi completãrile ulterioare,

ministrul comunicaţiilor şi societãţii informaţionale emite prezentul ordin.

ART. 1
În urma îndeplinirii procedurii de omologare a sistemului informatic destinat operaţiunilor de emitere a facturilor în formã electronicã aparţinând ....................................... (denumirea solicitantului), Ministerul Comunicaţiilor şi Societãţii Informaţionale atestã faptul cã acest sistem îndeplineşte cerinţele <>Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice şi ale Ordinului ministrului comunicaţiilor şi societãţii informaţionale nr. 488/2009 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formã electronicã, precum şi normele de performanţã şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã.
ART. 2
Prezentul ordin se comunicã ......................... (denumirea solicitantului).

ANEXA 4

NORME DE PERFORMANŢÃ ŞI SECURITATE
cu privire la sistemele informatice utilizate de persoanele
care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri
fiscale în formã electronicã

I. Utilizarea unor sisteme informatice sigure joacã un rol esenţial în procesul de înregistrare a operaţiunilor comerciale prin mijloace electronice, reprezentând elementul-cheie pentru asigurarea unor servicii care sã respecte principiile cerute de lege: garantarea autenticitãţii, a originii şi a integritãţii conţinutului.
Prezentul document stabileşte normele minimale de performanţã şi securitate care trebuie îndeplinite de cãtre sistemele informatice utilizate de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã, cãrora le sunt aplicabile prevederile <>Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice. Normele de performanţã şi securitate sunt aplicabile proceselor de emitere, transmitere şi arhivare a facturilor, chitanţelor şi bonurilor fiscale realizate prin intermediul sistemelor informatice, completându-se cu celelalte acte normative în vigoare.
Capacitatea sistemelor informatice de a emite facturi în formã electronicã respectând aceste principii, precum şi conformitatea acestora cu prevederile legale vor fi garantate în urma unui proces de omologare, finalizat prin emiterea unei decizii de omologare a sistemului informatic. În cursul procedurii de omologare se va verifica respectarea condiţiilor minimale de performanţã şi securitate corespunzãtoare procesului de emitere a facturilor în formã electronicã (cap. III pct. 1 din prezentele norme).
În continuare, prin documente contabile electronice se înţelege facturi, chitanţe şi bonuri fiscale în formã electronicã, astfel cum acestea sunt definite la <>art. 4 din Legea nr. 260/2007 .
II. Sistemul informatic utilizat de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã va trebui sã îndeplineascã urmãtoarele cerinţe minime de securitate, referitoare la:
a) confidenţialitatea şi integritatea comunicaţiilor;
b) confidenţialitatea şi integritatea datelor;
c) autenticitatea pãrţilor;
d) protecţia datelor cu caracter personal;
e) continuitatea serviciilor oferite clienţilor;
f) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem;
g) restaurarea informaţiilor gestionate de sistem în cazul unor calamitãţi naturale şi evenimente imprevizibile;
h) gestionarea şi administrarea sistemului informatic;
i) orice alte activitãţi sau mãsuri tehnice întreprinse pentru exploatarea în siguranţã a sistemului.
III. Sistemul informatic utilizat de persoanele care emit, transmit sau arhiveazã facturi, chitanţe şi bonuri fiscale în formã electronicã trebuie sã asigure respectarea cerinţelor legale stabilite prin actele normative speciale pentru fiecare dintre cele 3 procese ale activitãţii de înregistrare a operaţiunilor comerciale prin mijloace electronice:
1. procesul de emitere a documentelor contabile electronice:
a) procesul de generare a documentelor contabile electronice;
b) procesul de generare a semnãturii electronice şi a mãrcii temporale pentru documentele contabile electronice;
c) procesul de conversie a documentelor contabile electronice - acolo unde este cazul;
2. procesul de transmitere a documentelor contabile electronice;
3. procesul de arhivare a documentelor contabile electronice.
1. Procesul de emitere a documentelor contabile electronice
a) Procesul de generare a documentelor contabile electronice
Sistemul informatic utilizat va trebui sã permitã respectarea conţinutului documentelor contabile electronice stabilit prin acte normative speciale şi includerea în documentele contabile electronice a informaţiilor stabilite prin aceste acte normative.
Sistemul informatic trebuie sã permitã emiterea documentelor contabile electronice într-un format static, fãrã posibilitatea de modificare a documentului respectiv.
b) Procesul de generare a semnãturii electronice şi a mãrcii temporale pentru documentele contabile electronice
Generarea semnãturii electronice şi aplicarea mãrcii temporale pentru documentele contabile electronice trebuie sã fie fãcute în mod automat. Sistemul informatic nu trebuie sã permitã emiterea documentului contabil electronic în absenţa acestor douã elemente.
Semnãtura electronicã extinsã ataşatã documentului contabil electronic trebuie generatã folosindu-se dispozitive securizate de creare a semnãturii electronice, astfel cum sunt definite la <>art. 4 pct. 8 din Legea nr. 455/2001 privind semnãtura electronicã, şi sã se bazeze pe un certificat calificat emis în condiţiile <>Legii nr. 455/2001 de cãtre un furnizor acreditat.
Certificatul va fi emis special în scopul desfãşurãrii activitãţii de înregistrare a operaţiunilor comerciale prin mijloace electronice şi va conţine atributele specifice ale semnatarului prevãzute la <>art. 9 alin. (2) din Legea nr. 260/2007 , alãturi de celelalte informaţii prevãzute în <>Legea nr. 455/2001 .
Furnizorii de servicii de facturare electronicã care emit facturi în formã electronicã în numele unor terţi, în condiţiile <>art. 17 din Legea nr. 260/2007 , vor folosi propriul certificat aferent semnãturii electronice aplicate facturilor. Certificatul va trebui sã indice informaţiile prevãzute la <>art. 17 alin. (2) din Legea nr. 260/2007 . Furnizorii de servicii pot folosi acelaşi certificat pentru emiterea de documente contabile electronice în numele mai multor terţi.
Sistemul informatic trebuie sã fie capabil sã realizeze marcarea temporalã a documentelor contabile electronice. Procesul de marcare temporalã trebuie sã fie conform cu cerinţele <>Legii nr. 451/2004 privind marca temporalã.
c) Procesul de conversie a documentelor contabile electronice
Procesul de conversie a documentelor contabile electronice reprezintã reproducerea în formã electronicã de cãtre un furnizor de servicii de facturare electronicã a informaţiilor conţinute în factura emisã pe suport hârtie.
Furnizorii de servicii de facturare electronicã care presteazã şi servicii de conversie în formã electronicã a facturilor emise pe suport hârtie, în condiţiile <>art. 18 din Legea nr. 260/2007 , trebuie sã foloseascã sisteme informatice care sã permitã reproducerea informaţiilor conţinute de factura emisã iniţial pe suport hârtie cu un grad înalt de precizie. Erorile apãrute trebuie corectate prin verificarea manualã a corectitudinii informaţiilor reproduse. În cazul reproducerii prin scanare, informaţiile conţinute în factura emisã iniţial pe suport hârtie trebuie sã fie lizibile.
Factura în formã electronicã rezultatã în urma conversiei din format material dobândeşte calitatea de document justificativ, având acelaşi regim juridic ca şi factura originalã din care s-a fãcut conversia.
Prevederile privind conversia în formã electronicã a facturilor emise iniţial pe suport hârtie sunt aplicabile şi documentelor aferente tranzacţiilor înregistrate prin intermediul caselor de marcat.
2. Procesul de transmitere a documentelor contabile electronice
Utilizarea semnãturii electronice şi a mãrcii temporale garanteazã integritatea documentelor contabile electronice, orice modificare asupra conţinutului unui document determinând pierderea valabilitãţii semnãturii electronice şi, prin consecinţã, a documentului.
Modalitatea de transmitere a documentelor contabile electronice este stabilitã de comun acord de cãtre emitentul şi beneficiarul acestora. De asemenea, prin acordul pãrţilor se va stabili nivelul de securitate care va fi utilizat. Astfel, emitentul şi beneficiarul documentelor contabile electronice pot stabili prin acord transmiterea criptatã a acestora sau orice alte mãsuri de securitate considerate necesare.
3. Procesul de arhivare a documentelor contabile electronice
În procesul de arhivare a documentelor contabile electronice se vor aplica dispoziţiile <>Legii nr. 135/2007 privind arhivarea documentelor în formã electronicã.
Autenticitatea şi integritatea conţinutului facturii în formã electronicã, precum şi asigurarea accesului la aceasta trebuie sã fie garantate pe toatã durata legalã de stocare a facturii.
Verificarea semnãturilor electronice ataşate documentelor contabile electronice permite validarea faptului cã aceste douã caracteristici - autenticitatea şi integritatea - sunt îndeplinite.
Sistemul informatic trebuie sã permitã arhivarea atât a documentului contabil electronic, cât şi a tuturor datelor necesare verificãrii semnãturii electronice şi mãrcii temporale ataşate facturii, pe toatã durata legalã de stocare a acesteia.
Asigurarea posibilitãţii validãrii semnãturii electronice şi a mãrcii temporale folosite în procesul de emitere a documentelor contabile electronice presupune ca, la data efectuãrii verificãrii, sã fie disponibile urmãtoarele informaţii:
1. certificatul utilizat pentru semnarea documentului contabil electronic şi pentru emiterea mãrcii temporale;
2. lista certificatelor revocate;
3. algoritmii folosiţi în procesele criptografice.
Posibilitatea de verificare pe termen lung a autenticitãţii documentului contabil electronic (prin validarea semnãturii electronice şi a mãrcii temporale aplicate) se bazeazã pe urmãtoarele 3 elemente:
1. determinarea momentului creãrii documentului;
2. determinarea faptului cã momentul în care certificatul pe care se bazeazã semnãtura documentului a expirat sau a fost revocat a fost ulterior momentului în care documentul a fost creat şi semnat;
3. pãstrarea în condiţii de securitate a documentului, mai ales în cazul în care, dupã data semnãrii, algoritmul sau cheia privatã folositã la semnare a fost compromis/compromisã.
Sistemul informatic trebuie sã permitã pãstrarea informaţiilor din care este constituit documentul contabil electronic fãrã niciun fel de alterare pe toatã aceastã perioadã. Emitentul documentului contabil electronic poate decide asupra oricãrui mediu de stocare a facturilor care sã garanteze respectarea condiţiilor de mai sus. Este recomandabilã folosirea unor dispozitive de stocare permanentã care sã nu permitã ştergerea, rescrierea sau modificarea datelor.
Arhivarea trebuie realizatã cu ajutorul unor echipamente informatice adecvate şi în amplasamente având facilitãţi speciale care asigurã securitatea şi accesibilitatea informaţiilor arhivate. Se vor asigura operaţiuni de back-up periodic al informaţiilor stocate. Este necesarã asigurarea securitãţii informaţiilor stocate în ceea ce priveşte atât accesul fizic la echipamentele folosite, cât şi accesul de la distanţã, evitându-se apariţia breşelor de securitate.
IV. Standarde recomandate
- ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES);
- ETSI TS 101 733, Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats;
- ITU-T Recommendation X.509 (2001) | ISO/IEC 9594-8: 2001 - Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks;
- ITU-T Recommendation X.520 (2001) | ISO/IEC 95946:2001 - Information technology - Open Systems Interconnection - The Directory: Selected attribute types;
- ITU-T Recommendation X.521 (2001) | ISO/IEC 95947:2001 - Information technology - Open Systems Interconnection - The Directory: Selected object classes;
- ETSI TS 101 862: Qualified Certificates profile V1.3.2 (2004-06);
- IETF RFC 3280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List.
Pentru a asigura cerinţa de interoperabilitate se recomandã folosirea urmãtoarelor formate pentru facturile electronice:
- formate compatibile cu limbajul de marcare XML (Extensible Markup Language);
- PDF - Portable Document Format.

-------

Newsletter GRATUIT

Aboneaza-te si primesti zilnic Monitorul Oficial pe email

Tags: Monitorul Oficial, Acte Monitorul Oficial, Ordin, Alte Institutii, ORDIN nr. 488 din 15 iunie 2009

Comentarii

Fii primul care comenteaza.

MonitorulJuridic.ro este un proiect:

Atentie, Juristi!

5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR"