HOTARARE Nr.
1129 din 18 septembrie 2008
privind procedura de
autorizare a furnizorilor de servicii publice de autentificare electronica
ACT EMIS DE:
GUVERNUL ROMANIEI
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 671 din 29 septembrie 2008
In temeiul art. 108 din Constituţia României,
republicată, şi având în vedere prevederile art. 2 şi ale art. 8 alin. (1) lit.
b) din Legea nr. 677/2001 pentru protecţia persoanelor cu privire la
prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date,
cu modificările şi completările ulterioare,
Guvernul României adoptă
prezenta hotărâre.
Art. 1. -In sensul prezentei hotărâri, termenii şi
expresiile de mai jos au următoarele semnificaţii:
a) HTTP - protocol de
transfer al informaţiilor prin internet, folosit pe larg pentru navigarea pe
web;
b) HTTPS - protocol HTTP securizat, folosit pentru criptarea transferului de informaţii;
c) identificare fizică - procesul de recunoaştere unică a unei persoane în baza
informaţiilor cu caracter personal din documentele sale de identitate valabile,
emise de autorităţile competente conform legii;
d) identificare electronică - procesul de recunoaştere a unei persoane, prin mijloace
electronice, în baza informaţiilor cu caracter personal deţinute de un furnizor
de servicii;
e) mijloc de identificare
electronică - ansamblul de informaţii şi
dispozitivul sau procedura informatică prin care se poate face la distanţă dovada
identităţii unei persoane în vederea oferirii unui acces la informaţii sau
servicii electronice;
f) autentificare
electronică - procedeul folosit de aplicaţii
software de recunoaştere la distanţă a identităţii unei persoane, prin tehnici
şi mijloace de identificare electronică, în vederea obţinerii anumitor drepturi
în cadrul aplicaţiei în baza identităţii acesteia;
g) solicitant- persoana
fizică ce accesează prin internet, prin intermediul unui sistem informatic,
informaţii publice, servicii comerciale sau administrative;
h) furnizor de servicii
publice de autentificare electronică - furnizorul
unui serviciu de autentificare electronică efectuat în mod obişnuit contra unei
remuneraţii, la distanţă, prin intermediul echipamentului electronic şi al unor
servicii de prelucrare, inclusiv comprimarea numerică, precum şi stocarea
datelor necesare autentificării, la cererea destinatarului serviciilor;
i) consumator de identitate electronică - aplicaţia informatică ce
rulează pe echipamentele de calcul ale instituţiilor care oferă informaţii
publice şi servicii electronice şi care primesc cereri din partea
solicitanţilor, persoane fizice, autentificate electronic de către terţi
furnizori de servicii;
j) adresă MAC - adresa fizică, reprezentând un şir de caractere numerice, ce
identifică în mod unic un echipament de comunicaţie într-o reţea;
k) identificatorul solicitantului - şirul de caractere alfanumerice care este asociat în mod unic de
către un furnizor de servicii de autentificare electronică unui solicitant.
Art. 2. - (1) In vederea asigurării accesului eficient
al cetăţenilor la informaţii şi servicii destinate publicului şi furnizate prin
mijloace electronice, se pot autoriza în calitate de furnizor de servicii
publice de autentificare electronică acele persoane juridice care, în virtutea
desfăşurării activităţii pentru care au fost autorizate în condiţiile legii,
operează cu baze de date ce conţin date personale, în următoarele condiţii:
a) furnizorul deţine calitatea de operator de date cu
caracter personal în conformitate cu Legea nr. 677/2001 pentru protecţia
persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera
circulaţie a acestor date, cu modificările şi completările ulterioare;
b) furnizorul utilizează în realizarea serviciului un
sistem informatic în măsură să asigure securitatea sistemelor comunicaţiilor,
tranzacţiilor şi datelor personale, în conformitate cu certificatul BS ISO/IEC
27001:2005 pentru sistemul de management al securităţii sistemului informatic;
c) furnizorul deţine datele de identificare ale
persoanelor, obţinute cu acordul acestora, în condiţiile legii, şi o copie de
pe un act de identitate care a fost confruntată cu originalul în cadrul
procesului de identificare fizică;
d) furnizorul oferă serviciul de autentificare folosind
protocolul deschis, public, gratuit, descentralizat şi securizat, cunoscut în
literatura de specialitate sub denumirea OpenID;
e) autentificarea electronică se realizează
folosindu-se simultan minimum două dintre metodele de verificare prevăzute la
alin. (2);
f) schimbul de date realizat în momentul autentificării
între solicitant, consumatorii de identitate electronică şi furnizorii
serviciului îndeplineşte cerinţe-standard de integritate şi confidenţialitate
(protocol HTTPS);
g) furnizorul menţine un registru electronic cu un
istoric pentru minimum 12 luni al tuturor solicitărilor de autentificare
electronică, indiferent de rezultatul procesului de autentificare, în care se vor trece date minimale;
h) furnizorul asigură sincronizarea ceasului sistemelor
de calcul la un sistem unic de referinţă, care este ora exactă a României
furnizată de serverul de timp oficial timp.mcti.ro
(2) Metodele de verificare prin intermediul cărora se
realizează autentificarea electronică sunt:
a) metodă care necesită cunoaşterea unei informaţii
(pereche nume utilizator şi parolă sau cod PIN);
b) metodă care necesită deţinerea fizică a unui
dispozitiv (token, certificat digital PKI, telefon mobil, smartcard, generator
de parole unice, alt sistem de comunicaţii) simultan cu verificarea posesiei
acestuia la momentul autentificării;
c) metodă care implică verificarea datelor biometrice
(amprentă, scanare iris, semnătură, amprentă vocală sau altele) ale persoanei
la momentul autentificării.
(3) Datele minimale care trebuie înregistrate potrivit
alin. (1) lit. g) sunt:
a) data şi ora la care a fost solicitat serviciul de
autentificare;
b) adresa de internet a serverului care a solicitat
serviciul de autentificare;
c) numele serviciului electronic (aplicaţiei) care a
făcut solicitarea;
d) adresa de internet şi, în măsura în care este
disponibil tehnic, adresa MAC sau alt identificator unic al dispozitivului de
cuplare în reţea a solicitantului;
e) identificatorul solicitantului;
f) rezultatul procesului de autentificare (succes sau
eşec).
Art. 3. - (1) Persoana juridică interesată de
dobândirea calităţii de
furnizor de servicii publice de autentificare electronică notifică Ministerul
Comunicaţiilor şi Tehnologiei Informaţiei în termen de 10 zile de la data
implementării sistemului de autentificare electronică, conform formularului al
cărui model se aprobă prin ordin al ministrului comunicaţiilor şi tehnologiei
informaţiei în termen de 30 de zile de la intrarea în vigoare a prezentei
hotărâri. Dosarul de autorizare va cuprinde cererea de autorizare, copie a
certificatului de înregistrare fiscală, copii ale documentelor care atestă
calitatea de operator de date cu caracter personal, copie a certificatului BS
ISO/IEC 27001:2005 pentru sistemul de management al securităţii sistemului
informatic, descrierea soluţiilor tehnice folosite pentru implementarea
serviciului.
(2) Ministerul Comunicaţiilor şi Tehnologiei
Informaţiei verifică îndeplinirea de către persoana juridică a condiţiilor
tehnice de implementare a sistemului de furnizare a serviciului de
autentificare electronică, precum şi respectarea condiţiilor prevăzute la art.
2 şi autorizează furnizarea serviciilor publice de autentificare electronică de
către solicitant, în termen de 15 zile de la notificarea prevăzută la alin.
(1).
(3) Autorizarea prevăzută la
alin. (2) se realizează de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei
prin emiterea unui
certificat-tip, al cărui model se aprobă prin ordin al ministrului
comunicaţiilor şi tehnologiei informaţiei în termen de 30 de zile de la
intrarea în vigoare a prezentei hotărâri.
(4) Certificatul-tip se comunică furnizorului de
servicii publice de autentificare electronică în termen de cel mult 5 zile de
la emitere şi conferă acestuia dreptul de a începe furnizarea serviciilor de
acest tip. Certificatul este valabil pentru 3 ani.
(5) Ministerul Comunicaţiilor şi Tehnologiei
Informaţiei publică pe pagina de internet proprie, într-o secţiune dedicată,
lista furnizorilor de servicii publice de autentificare electronică autorizaţi.
Art. 4. - (1) In cadrul
procesului de autentificare electronică, după efectuarea cu succes a
identificării prin internet, furnizorul de servicii publice de autentificare
electronică are obligaţia de a afişa solicitantului datele personale ale
acestuia pe care furnizorul le deţine în baza sa de date şi care urmează a fi
transmise, denumirea consumatorului de identitate electronică şi denumirea
serviciului electronic ce va prelucra datele personale ale solicitantului şi va
cere în mod explicit atât confirmarea veridicităţii datelor personale, cât şi
acordul pentru transmiterea lor în vederea accesării serviciilor electronice
pentru care a fost solicitată autentificarea.
(2) Responsabilitatea pentru exactitatea datelor
transmise către consumatorul de identitate electronică cade exclusiv în sarcina
solicitantului. Furnizorul de servicii publice de autentificare electronică nu
răspunde pentru datele personale care s-au schimbat ulterior procesului
identificării fizice sau care au fost preluate greşit în cadrul acestui proces,
fără culpa furnizorului de servicii publice de autentificare electronică.
(3) In cazul în care datele personale ale
solicitantului aflate în baza de date a furnizorului de servicii publice de
autentificare electronică nu concordă cu datele reale sau în cazul în care
solicitantul nu este de acord cu transmiterea datelor sale personale în forma
deţinută de către furnizor către consumatorul de identitate electronică,
solicitantul trebuie să aibă posibilitatea de a refuza continuarea operaţiunii
de autentificare şi de a informa furnizorul de servicii publice de
autentificare electronică despre această situaţie. In acest caz, procedura de
autentificare este oprită şi datele personale ale solicitantului nu vor mai fi
transmise către consumatorul de identitate electronică.
(4) Consumatorul de identitate electronică poate cere
solicitantului, prin intermediul furnizorului de servicii publice de
identificare electronică, acele date personale strict necesare rezolvării cererii
acestuia transmise în formă electronică, fără a exceda numărul şi tipul datelor
personale care sunt cerute solicitantului prin procedura clasică, stabilită
prin acte normative specifice.
(5) Solicitanţii persoane fizice au dreptul de acces,
intervenţie şi opoziţie asupra datelor personale stocate pe serverele proprii
ale consumatorului de identitate electronică, precum şi celelalte drepturi
prevăzute de Legea nr. 677/2001, cu modificările şi completările ulterioare.
(6) Solicitantul poate cere în orice moment
furnizorului de servicii publice de autentificare
electronică întreruperea furnizării serviciului de autentificare electronică
aferent identităţii sale sau reluarea procesului de identificare fizică şi de
actualizare a bazelor de date ale furnizorului în cazul în care datele sale
personale s-au schimbat.
Art. 5. - (1) Este interzisă stocarea pe serverele
proprii ale consumatorului de identitate electronică a datelor personale ale solicitantului pentru utilizarea acestora în alte scopuri decât
acelea pentru care solicitantul a apelat la serviciile electronice.
(2) La îndeplinirea scopurilor urmărite sau la
expirarea termenelor legale de arhivare datele vor fi şterse.
PRIM-MINISTRU
CĂLIN POPESCU-TĂRICEANU
Contrasemnează:
p. Ministrul comunicaţiilor şi tehnologiei informaţiei,
Constantin Teodorescu,
secretar de stat
Preşedintele Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter
Personal,
Georgeta Basarabescu
Ministrul economiei şi finanţelor,
Varujan Vosganian