Ordin MCTI avizare e-banking

<typohead type="1" align="center">Ordinul MCTI nr. 389 din 27 iunie 2007 privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking</typohead>

Publicat în Monitorul Oficial cu numărul 485 din data de 19 iulie 2007

Abroga ordinul MCTI 218/2004

 

CAPITOLUL I: Dispoziții generale

Art. 1
Prezentul ordin se aplică băncilor, persoane juridice române, precum și sucursalelor din România ale băncilor, persoane juridice străine, denumite în continuare bănci, și are ca obiect stabilirea procedurii privind eliberarea avizului Ministerului Comunicațiilor și Tehnologiei Informației asupra instrumentelor de plată cu acces la distanță tip internet-banking, home-banking sau mobile-banking.

Art. 2
În înțelesul prezentului ordin, termenii și expresiile de mai jos au următoarele semnificații:
a) instrument de plată cu acces la distanță - soluția informatică ce permite deținătorului să aibă acces la distanță la fondurile aflate în contul său, în scopul obținerii de informații privind situația conturilor și operațiunilor efectuate, efectuării de plăți sau transferuri de fonduri către un beneficiar, prin intermediul unei aplicații informatice, al unei metode de autentificare și al unui mediu de comunicație;
b) emitent - banca autorizată de Banca Națională a României să emită instrumente de plată electronică și care pune la dispoziție deținătorului un instrument de plată electronică cu acces la distanță, pe baza unui contract încheiat cu acesta;
c) deținător - persoana fizică sau juridică care, în baza contractului încheiat cu emitentul, deține un mecanism de autentificare în utilizarea instrumentului de plată cu acces la distanță;
d) utilizator - deținătorul instrumentului de plată cu acces la distanță sau o persoană fizică recunoscută și acceptată de către deținător ca având acces la drepturile sale conferite de către emitent;
e) instrument de plată la distanță tip Internet-banking - acel instrument de plată cu acces la distanță care se bazează pe tehnologia Internet (world wide web) și pe sistemele informatice ale emitentului;
f) instrument de plată la distanță tip home-banking - acel instrument de plată cu acces la distanță care se bazează pe o aplicație software a emitentului instalată la sediul deținătorului pe o stație de lucru individuală sau în rețea;
g)instrument de plată la distanță tip mobile-banking - acel instrument de plată cu acces la distanță care presupune utilizarea unui echipament mobil (telefon, PDA - Personal Digital Assistant etc.) și a unor servicii oferite de către operatorii de telecomunicații;
h) plan de securitate - documentul ce descrie totalitatea măsurilor tehnice și administrative care sunt luate de către emitent pentru utilizarea în condiții de siguranță a instrumentului de plată cu acces la distanță;
i) aviz - actul administrativ emis de Ministerul Comunicațiilor și Tehnologiei Informației în conformitate cu prevederile art. 30 lit. d) din Regulamentul Băncii Naționale a României nr. 6/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente, care conferă solicitantului dreptul de a obține autorizația din partea Băncii Naționale a României pentru emiterea instrumentului de plată cu acces la distanță;
j) BNR - Banca Națională a României;
k) Regulamentul nr. 6 al BNR - Regulamentul Băncii Naționale a României nr. 6/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente, publicat în Monitorul Oficial al României, Partea I, nr. 927 din 15 noiembrie 2006;
l) MCTI - Ministerul Comunicațiilor și Tehnologiei Informației;
m)CISA - Certified Information Systems Auditor (auditorul pentru sisteme informatice, certificat de ISACA).
 
Art. 3
Scopul avizului îl constituie verificarea îndeplinirii de către sistemul informatic al emitentului și de către soluția software, prin intermediul cărora este oferit instrumentul de plată cu acces la distanță, a unor cerințe minime de securitate, referitoare la:
a) confidențialitatea și integritatea comunicațiilor;
b) confidențialitatea și nonrepudierea tranzacțiilor;
c) confidențialitatea și integritatea datelor;
d) autenticitatea părților care participă la tranzacții;
e) protecția datelor cu caracter personal;
f) păstrarea secretului bancar;
g) trasabilitatea tranzacțiilor;
h) continuitatea serviciilor oferite clienților;
i) împiedicarea, detectarea și monitorizarea accesului neautorizat în sistem;
j)restaurarea informațiilor gestionate de sistem în cazul unor calamități naturale și evenimente imprevizibile;
k) gestionarea și administrarea sistemului informatic;
l) orice alte activități sau măsuri tehnice întreprinse pentru exploatarea în siguranță a sistemului.
 
Art. 4
Măsurile tehnice și organizatorice întreprinse pentru îndeplinirea cerințelor enumerate la art. 3 vor fi în concordanță cu progresul tehnologic și cu riscurile potențiale.
 
CAPITOLUL II: Eliberarea avizului
 
Art. 5
Documentele necesare pentru eliberarea avizului sunt:
a) cererea adresată în acest scop MCTI, conform modelului prevăzut în anexa nr. 1 care face parte integrantă din prezentul ordin;
b) licența de funcționare a băncii, acordată de BNR, sau notificarea transmisă de autoritatea competentă din statul membru de origine către BNR;
c) descrierea funcțională a sistemului informatic prin intermediul căruia este oferit instrumentul de plată cu acces la distanță;
d) planul de securitate al sistemului informatic, semnat de către emitent, cuprinzând totalitatea măsurilor tehnice și organizatorice prevăzute pentru asigurarea cerințelor cuprinse la art. 3;
e) certificările din punctul de vedere al securității, asupra soluției informatice sau produselor conținute în aceasta, emise de organizații naționale sau internaționale recunoscute, acolo unde există;
f) opinia de audit asupra planului de securitate prevăzut la lit. d) și a soluției informatice prin intermediul căreia este oferit instrumentul de plată cu acces la distanță;
g) o declarație în care este exprimată independența auditorului față de sistemul informatic auditat.

Art. 6
(1) Opinia de audit prevăzută la art. 5 pct. f) va fi întocmită de către o persoană certificată ca auditor de sisteme informatice (CISA). În procesul de auditare, auditorul poate solicita concursul unor experți.
(2) La cererea expresă a MCTI, precum și în cazul opiniilor de audit exprimate cu rezerve, banca va pune la dispoziție raportul de audit rezultat în urma auditării sistemului.
(3) Pentru cazurile în care sistemul informatic prin intermediul căruia este oferit instrumentul de plată cu acces la distanță este situat în afara țării, auditarea sistemului se va face prin una dintre următoarele metode:
- auditorul român va audita sistemele din străinătate; sau
- auditorul român agreează auditarea sistemului din străinătate de către personal cu calificare similară din acea țară; sau
- auditorul român își va baza atestatul pe documente/ atestate emise în țara în care rulează sistemul și care au un grad de asigurare corespunzător.

Art. 7
Documentele prevăzute la art. 5 se vor transmite către MCTI în limba română.

Art. 8
Planul de securitate se va întocmi respectându-se următoarea structură:

1.Informații de identificare:
a) emitentul instrumentului de plată cu acces la distanță;
b) denumirea instrumentului de plată cu acces la distanță;
c) proveniența instrumentului de plată cu acces la distanță;
d) categoria (internet, nome sau mobile-banking);
e)statutul operațional al sistemului prin intermediul căruia este oferit instrumentul de plată cu acces la distanță și anul intrării în producție;
f) descrierea generală a soluției tehnice;
g) considerațiile specifice;
h) interconectarea sistemului;
i) aria geografică în care instrumentul de plată cu acces la distanță poate fi utilizat;
j) datele de contact ale persoanelor responsabile.
 
2.Senzitivitatea sistemului:
a) legislația aplicabilă;
b) descrierea generală a senzitivității informațiilor gestionate de către sistem.
 
3.Măsuri pentru securitatea sistemului:
a) evaluarea și managementul riscurilor potențiale;
b) codurile de conduită/condițiile de utilizare/contractul prin care este oferit instrumentul de plată cu acces la distanță;
c) rapoartele de testare;
d) măsurile tehnice de securitate implementate;
e) procedurile operaționale de exploatare;
f) măsurile aplicate pentru asigurarea securității fizice;
g) instruirea personalului propriu al emitentului în legătură cu administrarea sistemului informatic;
h) instrucțiunile de utilizare a instrumentului de plată cu acces la distanță (manual de utilizare oferit clienților);
i) suportul tehnic oferit de către emitent clienților care utilizează instrumentul de plată cu acces la distanță.
4.Orice alte informații relevante legate de măsurile luate de către emitent pentru a asigura exploatarea în siguranță a instrumentului de plată cu acces la distanță.
 
Art. 9
(1) Documentele prevăzute la art. 5 se înaintează către MCTI în perioada 1 aprilie - 30 iunie a fiecărui an.
(2) Avizul eliberat este valabil până la data de 1 iulie a anului următor.
(3) Avizul eliberat este netransmisibil.
 
Art. 10
În cazul emiterii unui nou instrument de plată cu acces la distanță după data de 1 iulie, emitentul poate solicita avizul MCTI odată cu depunerea documentelor necesare, prevăzute la art. 5.
 
Art. 11
(1) În cazul în care, pe perioada de valabilitate a avizului, emitentul dezvoltă sau implementează noi module de aplicație, efectuează modificări de proceduri operaționale sau modifică măsurile tehnice de securitate aplicabile instrumentului de plată cu acces la distanță, acesta va notifica aceste modificări către MCTI.
(2) Notificarea prevăzută la alin. (1) se va face în termen de 30 de zile de la data la care modificările specificate la alin. (1) devin operaționale.
(3) În urma notificării, dacă se consideră că modificările efectuate afectează major securitatea instrumentului de plată cu acces la distanță, MCTI sau BNR pot solicita băncii obținerea unui nou aviz.
(4) Dacă solicitarea prevăzută la alin. (3) este efectuată de MCTI, acesta va notifica în același timp și BNR.
 
Art. 12
Documentele enumerate la art. 5 vor fi întocmite într-un singur exemplar, iar acolo unde este cazul vor fi clasificate din punctul de vedere al conținutului acestora, conform legislației în vigoare și procedurilor băncii care solicită avizarea.
 
Art. 13
(1) În urma analizării documentației prezentate, în termen de 15 zile calendaristice de la data înregistrării acesteia la MCTI, acesta va comunica solicitantului decizia sa cu privire la acordarea avizului și va notifica BNR în legătură cu aceasta.
(2) După eliberarea avizului, în termen de 3 zile calendaristice, MCTI va remite solicitantului un exemplar al avizului.
(3) Avizul va fi eliberat în forma prevăzută în anexa nr. 2 care face parte integrantă din prezentul ordin.
 
CAPITOLUL III: Dispoziții finale
 
Art. 14
(1) În perioada prevăzută la art. 13 alin. (1), precum și în perioada de valabilitate a avizului sau în cazul primirii unei notificări din partea BNR, MCTI poate solicita băncii avizate sau în curs de avizare efectuarea de verificări la sediul acesteia prin personal desemnat prin ordin al ministrului comunicațiilor și tehnologiei informației.
(2) În cazul în care în urma verificărilor se constată nerespectarea prevederilor conținute în documentația de avizare, MCTI poate dispune neacordarea avizului sau retragerea acestuia.
 
Art. 15
(1) Emitentul este obligat să informeze MCTI, trimestrial, cu privire la numărul de utilizatori ai instrumentului de plată cu acces la distanță, numărul de plăți efectuate prin intermediul instrumentelor de plată cu acces la distanță, precum și valoarea plăților efectuate prin intermediul acestora, în formatul prezentat în anexa nr. 3.
(2) Numărul de utilizatori prevăzut la alin. (1) se referă la numărul de utilizatori cu care există încheiat un contract pentru utilizarea instrumentului de plată cu acces la distanță, pe parcursul trimestrului pentru care se face raportarea. Se iau în considerare toate contractele în vigoare de la data lansării instrumentului de plată cu acces la distanță.
(3) Numărul de plăți efectuate prin intermediul instrumentelor de plată cu acces la distanță se referă la plățile efectuate doar pe perioada trimestrului raportat și care vor fi prezentate, defalcat, în numărul de plăți în lei și în numărul de plăți în valută.
(4) Valoarea plăților efectuate prin intermediul instrumentelor de plată cu acces la distanță în perioada trimestrului raportat va fi prezentată astfel: valoarea plăților efectuate în lei și valoarea plăților efectuate în valută. Plățile efectuate în valută vor fi exprimate în echivalent euro, la cursul de schimb BNR din ultima zi a trimestrului pentru care se face raportarea.
(5) Raportările pot fi transmise prin poștă, pe adresa Ministerului Comunicațiilor și Tehnologiei Informației, Bd. Libertății nr. 14, sectorul 5, cod 050706, sau prin e-mail, ca fișier atașat, pe adresa e-banking at mcti.ro.
(6) Raportările vor fi transmise către MCTI până la sfârșitul lunii următoare trimestrului pentru care se face raportarea.
 
Art. 16
Eliberarea de către MCTI a avizului pentru furnizarea instrumentului de plată cu acces la distanță nu exonerează emitentul sau deținătorul de răspunderile asumate prin contractul încheiat între aceștia.
 
Art. 17
La data publicării prezentului ordin în Monitorul Oficial al României, Partea I, Ordinul ministrului comunicațiilor și tehnologiei informației nr. 218/2004 privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking, publicat în Monitorul Oficial al României, Partea I, nr. 579 din 30 iunie 2004, se abrogă.
 
Art. 18
Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I.