ORDIN
Nr. 16 din 24 ianuarie 2003
privind procedura de avizare a instrumentelor de plata cu acces la distanta, de
tipul aplicatiilor Internet-banking sau home-banking
ACT EMIS DE: MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI
INFORMATIEI
ACT PUBLICAT IN: MONITORUL OFICIAL NR. 107 din 20 februarie 2003
Avand in vedere prevederile Hotararii Guvernului nr. 1.337/2002 privind
organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei
Informatiei si ale art. 31 lit. f) din Regulamentul Bancii Nationale a Romaniei
nr. 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de
plata electronica si relatiile dintre participantii la aceste tranzactii,
publicat in Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002,
ministrul comunicatiilor si tehnologiei informatiei emite prezentul ordin.
CAP. 1
Dispozitii generale
Art. 1
Prezentul ordin se aplica bancilor, persoane juridice romane, precum si
sucursalelor din Romania ale bancilor, persoane juridice straine, denumite in
continuare banci, si are ca obiect stabilirea procedurii privind eliberarea
avizului Ministerului Comunicatiilor si Tehnologiei Informatiei asupra
instrumentelor de plata cu acces la distanta tip Internet-banking sau
home-banking.
Art. 2
In intelesul prezentului ordin, termenii si expresiile de mai jos au
urmatoarele semnificatii:
a) instrument de plata cu acces la distanta - solutie informatica ce
permite detinatorului sa aiba acces la distanta, prin intermediul unui mediu de
comunicatie, al unei aplicatii informatice si al unei metode de autentificare,
la fondurile aflate in contul sau, prin intermediul careia poate obtine
informatii privind situatia conturilor si a operatiunilor efectuate, efectua
plati sau alte transferuri de fonduri catre un beneficiar;
b) emitent - banca autorizata de Banca Nationala a Romaniei sa emita
instrumente de plata electronica si care pune la dispozitie detinatorului un
instrument de plata electronica cu acces la distanta, pe baza unui contract
incheiat cu acesta;
c) detinator - persoana fizica sau juridica care, in baza contractului
incheiat cu emitentul, detine un mecanism de autentificare in utilizarea
instrumentului de plata cu acces la distanta;
d) utilizator - detinatorul instrumentului de plata cu acces la distanta
sau o persoana fizica recunoscuta si acceptata de catre detinator ca avand
acces la drepturile sale conferite de catre emitent;
e) instrument de plata la distanta tip Internet-banking - acel instrument
de plata cu acces la distanta care se bazeaza pe tehnologia Internet (world
wide web) si pe sistemele informatice ale emitentului;
f) instrument de plata la distanta tip home-banking - acel instrument de
plata cu acces la distanta care se bazeaza pe o aplicatie software a
emitentului instalata la sediul detinatorului, pe o statie de lucru individuala
sau in retea;
g) plan de securitate - document ce descrie totalitatea masurilor tehnice
si administrative care sunt luate de catre emitent pentru utilizarea in
conditii de siguranta a instrumentului de plata cu acces la distanta;
h) aviz - actul administrativ emis de Ministerul Comunicatiilor si
Tehnologiei Informatiei in conformitate cu prevederile art. 31 lit. f) din
Regulamentul Bancii Nationale a Romaniei nr. 4/2002 privind tranzactiile
efectuate prin intermediul instrumentelor de plata electronica si relatiile
dintre participantii la aceste tranzactii, care confera solicitantului dreptul
de a obtine autorizatia din partea Bancii Nationale a Romaniei pentru emiterea
instrumentelor de plata cu acces la distanta;
i) BNR - Banca Nationala a Romaniei;
j) Regulamentul nr. 4 al BNR - Regulamentul Bancii Nationale a Romaniei nr.
4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata
electronica si relatiile dintre participantii la aceste tranzactii, publicat in
Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002;
k) MCTI - Ministerul Comunicatiilor si Tehnologiei Informatiei.
Art. 3
(1) Avizul se elibereaza pentru o perioada de 12 luni.
(2) La sfarsitul perioadei mentionate la alin. (1) avizul poate fi reinnoit
pe baza documentelor mentionate la art. 8.
(3) Avizul eliberat este netransmisibil.
Art. 4
Avizul se elibereaza gratuit de catre MCTI.
Art. 5
In termen de 90 de zile de la intrarea in vigoare a prezentului ordin,
bancile care ofera clientilor instrumente de plata cu acces la distanta, in
sensul prezentului ordin, au obligatia intocmirii si transmiterii catre MCTI a
documentatiei pentru obtinerea avizului.
Art. 6
Scopul avizului il constituie verificarea indeplinirii de catre sistemul
informatic al emitentului si de catre solutia software prin intermediul careia
instrumentul de plata cu acces la distanta este oferit a unor cerinte minime de
securitate, referitoare la:
a) confidentialitatea si integritatea comunicatiilor;
b) confidentialitatea si nonrepudierea tranzactiilor;
c) confidentialitatea si integritatea datelor;
d) autenticitatea partilor care participa la tranzactii;
e) protectia datelor cu caracter personal;
f) pastrarea secretului bancar;
g) trasabilitatea tranzactiilor;
h) continuitatea serviciilor oferite clientilor;
i) impiedicarea, detectarea si monitorizarea accesului neautorizat in
sistem;
j) restaurarea informatiilor gestionate de sistem in cazul unor calamitati
naturale, evenimente imprevizibile;
k) gestionarea si administrarea sistemului informatic;
l) orice alte activitati sau masuri tehnice intreprinse pentru exploatarea
in siguranta a sistemului.
Art. 7
Masurile tehnice si organizatorice intreprinse pentru indeplinirea
cerintelor enumerate la art. 6 vor fi in concordanta cu progresul tehnologic si
cu riscurile potentiale.
CAP. 2
Eliberarea avizului
Art. 8
Documentele necesare pentru eliberarea avizului sunt:
a) cerere adresata in acest scop MCTI, conform modelului prevazut in anexa
nr. 1 care face parte integranta din prezentul ordin;
b) licenta de functionare acordata de BNR;
c) descrierea functionala a sistemului informatic prin intermediul caruia
este oferit instrumentul de plata cu acces la distanta;
d) descrierea solutiei tehnice - hardware si software -, interactiunea cu alte
sisteme informatice din interiorul sau din exteriorul bancii emitente;
e) planul de securitate al sistemului informatic, cuprinzand totalitatea
masurilor tehnice si organizatorice prevazute pentru asigurarea cerintelor
cuprinse la art. 6;
f) certificari din punct de vedere al securitatii, asupra solutiei
informatice sau produselor continute in aceasta, emise de organizatii nationale
sau internationale recunoscute, acolo unde exista;
g) raport de audit asupra planului de securitate prevazut la lit. e),
efectuat de catre o echipa formata din personal independent, specializat si
atestat.
Art. 9
Documentele prevazute la art. 8 se vor transmite catre MCTI in limba
romana.
Art. 10
Planul de securitate se va intocmi respectandu-se urmatoarea structura:
1. Informatii de identificare:
a) emitentul instrumentului de plata cu acces la distanta;
b) denumirea;
c) provenienta;
d) categoria;
e) statutul operational;
f) descrierea generala;
g) consideratii specifice;
h) interconectarea sistemului;
i) aria geografica in care instrumentul de plata cu acces la distanta poate
fi utilizat;
j) datele de contact ale persoanelor responsabile.
2. Senzitivitatea sistemului:
a) legislatia aplicabila;
b) descrierea generala a senzitivitatii informatiilor gestionate de catre
sistem.
3. Masuri pentru securitatea sistemului:
a) evaluarea si managementul riscurilor potentiale;
b) codurile de conduita/conditiile de utilizare/contractul prin care
instrumentul de plata cu acces la distanta este oferit;
c) rapoartele de testare pe perioada implementarii solutiei;
d) masurile tehnice de securitate;
e) procedurile operationale de exploatare;
f) masurile privind securitatea fizica;
g) instruirea personalului propriu al emitentului in legatura cu
administrarea sistemului informatic;
h) instructiunile de utilizare;
i) suportul tehnic.
4. Orice alte informatii relevante legate de masurile luate de catre
emitent pentru a asigura exploatarea in siguranta a instrumentului de plata cu
acces la distanta.
Art. 11
(1) In cazul in care la data solicitarii avizului banca nu dispune de
documentul prevazut la art. 8 lit. g), MCTI poate elibera un aviz provizoriu,
pe o perioada ce nu poate depasi 3 luni, pana la efectuarea auditului asupra
solutiei si obtinerea raportului de audit.
(2) Daca pana la sfarsitul perioadei de valabilitate a avizului provizoriu,
mentionata la alin. (1), solicitantul nu prezinta documentul mentionat la art.
8 lit. g), avizul provizoriu isi inceteaza valabilitatea si nu poate fi
reinnoit, iar MCTI notifica BNR in legatura cu acest fapt.
Art. 12
(1) In cazul in care pe perioada de valabilitate a avizului emitentul
dezvolta sau implementeaza noi module de aplicatie, efectueaza modificari de
proceduri operationale sau modifica masurile tehnice de securitate aplicabile
instrumentului de plata cu acces la distanta, acesta va notifica MCTI aceste
modificari.
(2) Notificarea prevazuta la alin. (1) se va face in termen de 30 de zile
de la data la care modificarile specificate la alin. (1) devin operationale.
(3) In urma notificarii, daca se considera ca modificarile efectuate
afecteaza major securitatea instrumentului de plata cu acces la distanta, MCTI
sau BNR poate solicita bancii obtinerea unui nou aviz.
(4) Daca solicitarea prevazuta la alin. (3) este efectuata de MCTI, acesta
va notifica in acelasi timp si BNR.
Art. 13
Documentele enumerate la art. 8 vor fi intocmite intr-un singur exemplar,
iar acolo unde este cazul vor fi clasificate din punct de vedere al
confidentialitatii continutului acestora, conform legislatiei in vigoare si
procedurilor bancii care solicita avizarea.
Art. 14
(1) In urma analizarii documentatiei prezentate, in termen de 15 zile
calendaristice de la data inregistrarii acesteia la Secretariatul de Stat
pentru Tehnologia Informatiei, MCTI va comunica solicitantului decizia sa cu
privire la acordarea, dupa caz, a avizului sau a avizului provizoriu si va
notifica BNR in legatura cu aceasta.
(2) Dupa eliberarea, dupa caz, a avizului sau a avizului provizoriu, in
termen de 3 zile calendaristice, MCTI va remite solicitantului un exemplar al
avizului.
(3) Avizul va fi eliberat in forma prevazuta in anexa nr. 2 care face parte
integranta din prezentul ordin.
CAP. 3
Dispozitii finale
Art. 15
(1) In perioada prevazuta la art. 14 alin. (1), in perioada de valabilitate
a avizului provizoriu, precum si in cazul primirii unei notificari din partea
BNR, MCTI poate solicita bancii care solicita avizul efectuarea de verificari
la sediul acesteia prin personal desemnat prin ordin al ministrului
comunicatiilor si tehnologiei informatiei.
(2) In cazul in care in urma verificarilor se constata nerespectarea
prevederilor continute in documentatia de avizare, MCTI poate dispune
neacordarea avizului sau retragerea acestuia.
Art. 16
Emitentul este obligat sa informeze MCTI, trimestrial, cu privire la
numarul de utilizatori ai instrumentului de plata cu acces la distanta tip
Internet-banking sau home-banking, numarul de plati efectuate prin intermediul
instrumentelor de plata cu acces la distanta, precum si valoarea platilor
efectuate prin intermediul acestora.
Art. 17
Eliberarea de catre MCTI a avizului pentru furnizarea instrumentului de
plata cu acces la distanta nu exonereaza emitentul sau detinatorul de
raspunderile asumate prin contract.
Art. 18
Prezentul ordin va fi publicat in Monitorul Oficial al Romaniei, Partea I,
si va fi pus in aplicare prin grija Ministerului Comunicatiilor si Tehnologiei
Informatiei.
Ministrul comunicatiilor si tehnologiei informatiei,
Dan Nica
ANEXA 1
CERERE DE ELIBERARE A AVIZULUI
...............................................................................,
(denumirea)
avand sediul in
...............................................................,
(adresa completa, inclusiv telefon si fax)
inmatriculata/inregistrata la Oficiul registrului comertului sub nr.
...............................................................................,
(numarul de inregistrare/codul unic de inregistrare)
codul fiscal .........., avand Autorizatia de functionare nr.
................., eliberata de Banca Nationala a Romaniei, reprezentata legal
prin
...............................................................................,
(numele si prenumele)
domiciliat/domiciliata in
.....................................................,
(adresa completa, inclusiv telefon)
identificat/identificata prin
.................................................,
(actul de identitate: seria, numarul si emitentul
si codul numeric personal)
in conformitate cu prevederile Hotararii Guvernului nr. 1.337/2002 privind
organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei
Informatiei, cu prevederile art. 31 lit. f) din Regulamentul Bancii Nationale a
Romaniei nr. 4/2002 privind tranzactiile efectuate prin intermediul
instrumentelor de plata electronica si relatiile dintre participantii la aceste
tranzactii, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12
iulie 2002, si cu prevederile Ordinului ministrului comunicatiilor si
tehnologiei informatiei nr. 16 din data de 24 ianuarie 2003, va solicitam
eliberarea avizului pentru furnizarea instrumentului de plata cu acces la
distanta ................ cu urmatoarele caracteristici generale:
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
Sistemul va functiona la sediul din
........................................
................................................................................
(numele, prenumele si stampila solicitantului)
Data
........................
ANEXA 2
MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI INFORMATIEI
SECRETARIATUL DE STAT PENTRU TEHNOLOGIA INFORMATIEI
Avand in vedere prevederile Hotararii Guvernului nr. 1.337/2002 privind
organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei
Informatiei,
avand in vedere prevederile Regulamentului Bancii Nationale a Romaniei nr.
4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata
electronica si relatiile dintre participantii la aceste tranzactii, publicat in
Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002,
avand in vedere prevederile Ordinului ministrului comunicatiilor si
tehnologiei informatiei nr. 16/2003,
secretarul de stat pentru tehnologia informatiei elibereaza prezentul
AVIZ
.............., avand sediul in
...............................................,
(adresa completa, inclusiv telefon si fax)
inmatriculata/inregistrata la Oficiul registrului comertului sub nr.
.........................., codul fiscal ...................., avand
Autorizatia de functionare nr. ...................., eliberata de Banca
Nationala a Romaniei, reprezentata legal prin
.............................................,
(numele si prenumele)
a obtinut avizul pentru furnizarea instrumentului de plata cu acces la distanta
....................... cu urmatoarele caracteristici generale:
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
................................................................................
Sistemul va functiona la sediul din
........................................
Observatii:
Prezentul aviz provizoriu s-a eliberat in vederea obtinerii din partea
Bancii Nationale a Romaniei a autorizatiei pentru emiterea instrumentului de
plata cu acces la distanta si este valabil pana la data de ...................
.
Secretarul de stat pentru tehnologia informatiei,
......................................................
Nr. ....................
Data ...................