ORDIN
Nr. 218 din 14 iunie 2004
privind procedura de avizare a instrumentelor de plata cu acces la distanta, de
tipul aplicatiilor Internet-banking, home-banking sau mobile-banking
ACT EMIS DE: MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI
INFORMATIEI
ACT PUBLICAT IN: MONITORUL OFICIAL NR. 579 din 30 iunie 2004
Avand in vedere prevederile Hotararii Guvernului nr. 744/2003 privind
organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei
Informatiei si ale art. 31 lit. f) din Regulamentul Bancii Nationale a Romaniei
nr. 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de
plata electronica si relatiile dintre participantii la aceste tranzactii,
publicat in Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002,
ministrul comunicatiilor si tehnologiei informatiei emite prezentul ordin.
CAP. 1
Dispozitii generale
Art. 1
(1) Prezentul ordin se aplica bancilor, persoane juridice romane, precum si
sucursalelor din Romania ale bancilor, persoane juridice straine, denumite in
continuare banci, si are ca obiect stabilirea procedurii privind eliberarea
avizului Ministerului Comunicatiilor si Tehnologiei Informatiei asupra
instrumentelor de plata cu acces la distanta tip Internet-banking, home-banking
sau mobile-banking.
(2) La data publicarii prezentului ordin in Monitorul Oficial al Romaniei,
Partea I, Ordinul ministrului comunicatiilor si tehnologiei informatiei nr.
16/2003 privind procedura de avizare a instrumentelor de plata cu acces la
distanta, de tipul aplicatiilor Internet-banking sau home-banking, publicat in
Monitorul Oficial al Romaniei, Partea I, nr. 107 din 20 februarie 2003, se
abroga.
Art. 2
In intelesul prezentului ordin, termenii si expresiile de mai jos au
urmatoarele semnificatii:
a) instrument de plata cu acces la distanta - solutie informatica ce
permite detinatorului sa aiba acces la distanta la fondurile aflate in contul
sau, in scopul obtinerii de informatii privind situatia conturilor si
operatiunilor efectuate, efectuarii de plati sau transferuri de fonduri catre
un beneficiar, prin intermediul unei aplicatii informatice, al unei metode de
autentificare si al unui mediu de comunicatie;
b) emitent - banca autorizata de Banca Nationala a Romaniei sa emita
instrumente de plata electronica si care pune la dispozitie detinatorului un
instrument de plata electronica cu acces la distanta, pe baza unui contract
incheiat cu acesta;
c) detinator - persoana fizica sau juridica care, in baza contractului
incheiat cu emitentul, detine un mecanism de autentificare in utilizarea
instrumentului de plata cu acces la distanta;
d) utilizator - detinatorul instrumentului de plata cu acces la distanta
sau o persoana fizica recunoscuta si acceptata de catre detinator ca avand
acces la drepturile sale conferite de catre emitent;
e) instrument de plata la distanta tip Internet-banking - acel instrument
de plata cu acces la distanta care se bazeaza pe tehnologia Internet (world wide
web) si pe sistemele informatice ale emitentului;
f) instrument de plata la distanta tip home-banking - acel instrument de
plata cu acces la distanta care se bazeaza pe o aplicatie software a
emitentului instalata la sediul detinatorului, pe o statie de lucru individuala
sau in retea;
g) instrument de plata la distanta tip mobile-banking - acel instrument de
plata cu acces la distanta care presupune utilizarea unui echipament mobil
(telefon, PDA - Personal Digital Assistant etc.) si a unor servicii oferite de
catre operatorii de telecomunicatii;
h) plan de securitate - document ce descrie totalitatea masurilor tehnice
si administrative care sunt luate de catre emitent pentru utilizarea in
conditii de siguranta a instrumentului de plata cu acces la distanta;
i) aviz - actul administrativ emis de Ministerul Comunicatiilor si
Tehnologiei Informatiei in conformitate cu prevederile art. 31 lit. f) din
Regulamentul Bancii Nationale a Romaniei nr. 4/2002 privind tranzactiile
efectuate prin intermediul instrumentelor de plata electronica si relatiile
dintre participantii la aceste tranzactii, care confera solicitantului dreptul
de a obtine autorizatia din partea Bancii Nationale a Romaniei pentru emiterea
instrumentului de plata cu acces la distanta;
j) BNR - Banca Nationala a Romaniei;
k) Regulamentul nr. 4 al BNR - Regulamentul Bancii Nationale a Romaniei nr.
4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata
electronica si relatiile dintre participantii la aceste tranzactii, publicat in
Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002;
l) MCTI - Ministerul Comunicatiilor si Tehnologiei Informatiei;
m) CISA - Certified Information Systems Auditor (Auditor pentru sisteme
informatice, certificat de ISACA).
Art. 3
Scopul avizului il constituie verificarea indeplinirii de catre sistemul
informatic al emitentului si de catre solutia software, prin intermediul carora
instrumentul de plata cu acces la distanta este oferit, a unor cerinte minime
de securitate, referitoare la:
a) confidentialitatea si integritatea comunicatiilor;
b) confidentialitatea si nonrepudierea tranzactiilor;
c) confidentialitatea si integritatea datelor;
d) autenticitatea partilor care participa la tranzactii;
e) protectia datelor cu caracter personal;
f) pastrarea secretului bancar;
g) trasabilitatea tranzactiilor;
h) continuitatea serviciilor oferite clientilor;
i) impiedicarea, detectarea si monitorizarea accesului neautorizat in
sistem;
j) restaurarea informatiilor gestionate de sistem in cazul unor calamitati
naturale, evenimente imprevizibile;
k) gestionarea si administrarea sistemului informatic;
l) orice alte activitati sau masuri tehnice intreprinse pentru exploatarea
in siguranta a sistemului.
Art. 4
Masurile tehnice si organizatorice intreprinse pentru indeplinirea
cerintelor enumerate la art. 3 vor fi in concordanta cu progresul tehnologic si
cu riscurile potentiale.
CAP. 2
Eliberarea avizului
Art. 5
Documentele necesare pentru eliberarea avizului sunt:
a) cerere adresata in acest scop MCTI, conform modelului prevazut in anexa
nr. 1 care face parte integranta din prezentul ordin;
b) licenta de functionare a bancii, acordata de BNR;
c) descrierea functionala a sistemului informatic prin intermediul caruia
este oferit instrumentul de plata cu acces la distanta;
d) planul de securitate al sistemului informatic, semnat de catre emitent,
cuprinzand totalitatea masurilor tehnice si organizatorice prevazute pentru
asigurarea cerintelor cuprinse la art. 3;
e) certificari din punct de vedere al securitatii asupra solutiei
informatice sau produselor continute in aceasta, emise de organizatii nationale
sau internationale recunoscute, acolo unde exista;
f) opinia de audit asupra planului de securitate prevazut la lit. d) si a
solutiei informatice prin intermediul careia este oferit instrumentul de plata
cu acces la distanta;
g) o declaratie in care este exprimata independenta auditorului fata de
sistemul informatic auditat.
Art. 6
(1) Opinia de audit mentionata la art. 5 lit. f) va fi intocmita de catre o
persoana certificata ca auditor de sisteme informatice (CISA). In procesul de
auditare, auditorul poate solicita concursul unor experti.
(2) La cererea expresa a MCTI, precum si in cazul opiniilor de audit
exprimate cu rezerve, banca va pune la dispozitie raportul de audit, rezultat
in urma auditarii sistemului.
(3) Pentru cazurile in care sistemul informatic prin intermediul caruia
este oferit instrumentul de plata cu acces la distanta este situat in afara
tarii, auditarea sistemului se va face prin una dintre urmatoarele metode:
- auditorul roman va audita sistemele din strainatate; sau
- auditorul roman agreeaza auditarea sistemului din strainatate de catre
personal cu calificare similara din acea tara; sau
- auditorul roman isi va baza atestatul pe documente/atestate emise in tara
in care ruleaza sistemul si care au un grad de asigurare corespunzator.
Art. 7
Documentele prevazute la art. 5 se vor transmite catre MCTI in limba
romana.
Art. 8
Planul de securitate se va intocmi respectandu-se urmatoarea structura:
1. informatii de identificare:
a) emitentul instrumentului de plata cu acces la distanta;
b) denumirea instrumentului de plata cu acces la distanta;
c) provenienta instrumentului de plata cu acces la distanta;
d) categoria (Internet, home sau mobile-banking);
e) statutul operational al sistemului prin intermediul caruia este oferit
instrumentul de plata cu acces la distanta si anul intrarii in productie;
f) descrierea generala a solutiei tehnice;
g) consideratii specifice;
h) interconectarea sistemului;
i) aria geografica in care instrumentul de plata cu acces la distanta poate
fi utilizat;
j) datele de contact ale persoanelor responsabile;
2. senzitivitatea sistemului:
a) legislatia aplicabila;
b) descrierea generala a senzitivitatii informatiilor gestionate de catre sistem;
3. masuri pentru securitatea sistemului:
a) evaluarea si managementul riscurilor potentiale;
b) codurile de conduita/conditiile de utilizare/contractul prin care
instrumentul de plata cu acces la distanta este oferit;
c) rapoarte de testare;
d) masurile tehnice de securitate implementate;
e) procedurile operationale de exploatare;
f) masurile aplicate pentru asigurarea securitatii fizice;
g) instruirea personalului propriu al emitentului in legatura cu
administrarea sistemului informatic;
h) instructiunile de utilizare a instrumentului de plata cu acces la
distanta (manual de utilizare oferit clientilor);
i) suportul tehnic oferit de catre emitent clientilor care utilizeaza
instrumentul de plata cu acces la distanta;
4. orice alte informatii relevante legate de masurile luate de catre
emitent pentru a asigura exploatarea in siguranta a instrumentului de plata cu
acces la distanta.
Art. 9
(1) Documentele prevazute la art. 5 se inainteaza catre MCTI in perioada 1
aprilie - 30 iunie a fiecarui an.
(2) Avizul eliberat este valabil pana la data de 1 aprilie a anului
urmator.
(3) Avizul eliberat este netransmisibil.
Art. 10
In cazul emiterii unui nou instrument de plata cu acces la distanta dupa
data de 1 iulie, emitentul poate solicita avizul MCTI, o data cu depunerea
documentelor necesare, prevazute la art. 5.
Art. 11
(1) In cazul in care, pe perioada de valabilitate a avizului, emitentul
dezvolta sau implementeaza noi module de aplicatie, efectueaza modificari de
proceduri operationale sau modifica masurile tehnice de securitate aplicabile
instrumentului de plata cu acces la distanta, acesta va notifica aceste
modificari catre MCTI.
(2) Notificarea prevazuta la alin. (1) se va face in termen de 30 de zile
de la data la care modificarile specificate la alin. (1) devin operationale.
(3) In urma notificarii, daca se considera ca modificarile efectuate
afecteaza major securitatea instrumentului de plata cu acces la distanta, MCTI sau
BNR poate solicita bancii obtinerea unui nou aviz.
(4) Daca solicitarea prevazuta la alin. (3) este efectuata de MCTI, acesta
va notifica in acelasi timp si BNR.
Art. 12
Documentele enumerate la art. 5 vor fi intocmite intr-un singur exemplar,
iar acolo unde este cazul vor fi clasificate din punct de vedere al
continutului acestora, conform legislatiei in vigoare si procedurilor bancii
care solicita avizarea.
Art. 13
(1) In urma analizarii documentatiei prezentate, in termen de 15 zile
calendaristice de la data inregistrarii acesteia la Secretariatul de Stat
pentru Tehnologia Informatiei, MCTI va comunica solicitantului decizia sa cu
privire la acordarea avizului si va notifica BNR in legatura cu aceasta.
(2) Dupa eliberarea avizului, in termen de 3 zile calendaristice, MCTI va
remite solicitantului un exemplar al avizului.
(3) Avizul va fi eliberat in forma prevazuta in anexa nr. 2 care face parte
integranta din prezentul ordin.
CAP. 3
Dispozitii finale
Art. 14
(1) In perioada prevazuta la art. 13 alin. (1), precum si in perioada de
valabilitate a avizului sau in cazul primirii unei notificari din partea BNR,
MCTI poate solicita bancii avizate sau in curs de avizare efectuarea de
verificari la sediul acesteia prin personal desemnat prin ordin al ministrului
comunicatiilor si tehnologiei informatiei.
(2) In cazul in care in urma verificarilor se constata nerespectarea
prevederilor continute in documentatia de avizare, MCTI poate dispune
neacordarea avizului sau retragerea acestuia.
Art. 15
(1) Emitentul este obligat sa informeze MCTI, trimestrial, cu privire la
numarul de utilizatori ai instrumentului de plata cu acces la distanta, numarul
de plati efectuate prin intermediul instrumentelor de plata cu acces la
distanta, precum si valoarea platilor efectuate prin intermediul acestora, in
formatul prezentat in anexa nr. 3 care face parte integranta din prezentul
ordin.
(2) Numarul de utilizatori prevazut la alin. (1) se refera la numarul de
utilizatori cu care exista incheiat un contract pentru utilizarea
instrumentului de plata cu acces la distanta, pe parcursul trimestrului pentru
care se face raportarea. Se iau in considerare toate contractele in vigoare, de
la data lansarii instrumentului de plata cu acces la distanta.
(3) Numarul de plati efectuate prin intermediul instrumentelor de plata cu
acces la distanta se refera la platile efectuate doar pe perioada trimestrului
raportat si vor fi prezentate defalcat, in numarul de plati in lei si numarul
de plati in valuta.
(4) Valoarea platilor efectuate prin intermediul instrumentelor de plata cu
acces la distanta in perioada trimestrului raportat vor fi prezentate astfel:
valoarea platilor efectuate in lei si valoarea platilor efectuate in valuta.
Platile efectuate in valuta vor fi exprimate in echivalent euro, la cursul de
schimb BNR din ultima zi a trimestrului pentru care se face raportarea.
(5) Raportarile pot fi transmise prin posta, pe adresa Ministerului
Comunicatiilor si Tehnologiei Informatiei, Bd. Libertatii nr. 14, sectorul 5,
cod 050706 sau prin e-mail, ca fisier atasat, pe adresa e-banking@mcti.ro.
(6) Raportarile vor fi transmise catre MCTI pana la sfarsitul lunii
urmatoare trimestrului pentru care se face raportarea.
Art. 16
Eliberarea de catre MCTI a avizului pentru furnizarea instrumentului de
plata cu acces la distanta nu exonereaza emitentul sau detinatorul de
raspunderile asumate prin contractul incheiat intre acestia.
Art. 17
Prezentul ordin va fi publicat in Monitorul Oficial al Romaniei, Partea I,
si va fi pus in aplicare prin grija Directiei de reglementari si standarde in
tehnologia informatiei, antifrauda si securitatea retelelor.
Ministrul comunicatiilor
si tehnologiei informatiei,
Dan Nica
ANEXA 1
CERERE DE ELIBERARE A AVIZULUI
................................................................... avand
(denumirea emitentului)
sediul in ....................................................................,
(adresa completa, inclusiv telefon si fax)
inmatriculata/inregistrata la Oficiul registrului comertului sub nr.
..............................................................................,
(numarul de inregistrare/codul unic de inregistrare)
cod fiscal ............, avand autorizatia de functionare nr. ................,
eliberata de Banca Nationala a Romaniei, reprezentat(a) legal prin
........................., domiciliat(a) in
...................................,
(numele si prenumele) (adresa completa, inclusiv telefon)
identificat(a) prin
...........................................................,
(actul de identitate: seria, numarul si emitentul,
codul numeric personal)
in conformitate cu prevederile Hotararii Guvernului nr. 744/2003 privind
organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei
Informatiei, prevederile art. 31 lit. f) din Regulamentul Bancii Nationale a
Romaniei nr. 4/2002 privind tranzactiile efectuate prin intermediul
instrumentelor de plata electronica si relatiile dintre participantii la aceste
tranzactii, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12
iulie 2002, si cu prevederile Ordinului ministrului comunicatiilor si
tehnologiei informatiei nr. ............ din data de .......................,
va solicitam eliberarea avizului pentru furnizarea instrumentului de plata cu
acces la distanta ........, cu urmatoarele caracteristici generale (scurta
descriere):
...........................................................................
...........................................................................
...........................................................................
...........................................................................
...........................................................................
...........................................................................
Sistemul functioneaza (va functiona) la sediul din ........................
Numele, prenumele si stampila solicitantului
............................................
Data
..............
ANEXA 2
GUVERNUL ROMANIEI
MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI INFORMATIEI
SECRETARIATUL DE STAT PENTRU TEHNOLOGIA INFORMATIEI
Avand in vedere prevederile Hotararii Guvernului nr. 744/2003 privind
organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei
Informatiei,
avand in vedere prevederile Regulamentului Bancii Nationale a Romaniei nr.
4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata
electronica si relatiile dintre participantii la aceste tranzactii, publicat in
Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002,
avand in vedere prevederile Ordinului ministrului comunicatiilor si
tehnologiei informatiei nr. ....... din data de ...........................,
secretarul de stat pentru tehnologia informatiei elibereaza prezentul
AVIZ
.................................... avand sediul in
...............................................................................
(adresa completa, inclusiv telefon si fax)
inmatriculata/inregistrata la oficiul registrului comertului sub nr.
............................., cod fiscal ............., avand autorizatia de
functionare nr. ..................., eliberata de Banca Nationala a Romaniei,
reprezentat(a) legal prin ................................................, a
(numele si prenumele)
obtinut avizul pentru furnizarea instrumentului de plata cu acces la distanta
.........................., cu urmatoarele caracteristici generale:
...........................................................................
...........................................................................
...........................................................................
...........................................................................
...........................................................................
...........................................................................
Sistemul functioneaza (va functiona) la sediul din ........................
OBSERVATII:
Prezentul aviz s-a eliberat in vederea obtinerii/mentinerii autorizatiei
pentru emiterea instrumentului de plata cu acces la distanta din partea Bancii
Nationale a Romaniei si este valabil pana la .........................
Secretar de stat pentru tehnologia informatiei,
Nr. ................
Data ...............
ANEXA 3
Banca .......................................
Semnificatia coloanei din tabelul de mai jos este urmatoarea:
V - Valoarea tranzactiilor in valuta (echivalent euro)
________________________________________________________________________________
Instrument Numarul Numarul Numarul Valoarea V Perioada
utilizatorilor tranzactiilor tranzactiilor tranzactiilor de
- lei - - valuta - - lei - raportare
________________________________________________________________________________
Trimestrul
________________________________________________________________________________
________________________________________________________________________________