Ordinul Ministerului Comunicatiilor si Tehnologiei Informatiei privind procedura de avizare a instrumentelor de plata cu acces la distanta, de tipul aplicatiilor Internet-banking, home-banking sau mobile-banking
Nr. 218 din 14 iunie 2004
Publicat in Monitorul Oficial cu numarul 579 din data de 30 iunie 2004
Abrogat prin Ordinul MCTI 389/2007
Avand in vedere prevederile Hotararii Guvernului nr. 744/2003 privind organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei Informatiei si ale art. 31 lit. f) din Regulamentul Bancii Nationale a Romaniei nr. 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata electronica si relatiile dintre participantii la aceste tranzactii, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002,
Ministrul comunicatiilor si tehnologiei informatiei emite prezentul ordin.
CAPITOLUL I: Dispozitii generale
Art. 1
(1)Prezentul ordin se aplica bancilor, persoane juridice romane, precum si sucursalelor din Romania ale bancilor, persoane juridice straine, denumite in continuare banci, si are ca obiect stabilirea procedurii privind eliberarea avizului Ministerului Comunicatiilor si Tehnologiei Informatiei asupra instrumentelor de plata cu acces la distanta tip Internet-banking, home-banking sau mobile-banking.
(2)La data publicarii prezentului ordin in Monitorul Oficial al Romaniei, Partea I, Ordinul ministrului comunicatiilor si tehnologiei informatiei nr. 16/2003 privind procedura de avizare a instrumentelor de plata cu acces la distanta, de tipul aplicatiilor Internet-banking sau home-banking, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 107 din 20 Februarie 2003, se abroga.
Art. 2
In intelesul prezentului ordin, termenii si expresiile de mai jos au urmatoarele semnificatii:
a)instrument de plata cu acces la distanta - solutie informatica ce permite detinatorului sa aiba acces la distanta la fondurile aflate in contul sau, in scopul obtinerii de informatii privind situatia conturilor si operatiunilor efectuate, efectuarii de plati sau transferuri de fonduri catre un beneficiar, prin intermediul unei aplicatii informatice, al unei metode de autentificare si al unui mediu de comunicatie;
b)emitent - banca autorizata de Banca Nationala a Romaniei sa emita instrumente de plata electronica si care pune la dispozitie detinatorului un instrument de plata electronica cu acces la distanta, pe baza unui contract incheiat cu acesta;
c)detinator - persoana fizica sau juridica care, in baza contractului incheiat cu emitentul, detine un mecanism de autentificare in utilizarea instrumentului de plata cu acces la distanta;
d)utilizator - detinatorul instrumentului de plata cu acces la distanta sau o persoana fizica recunoscuta si acceptata de catre detinator ca avand acces la drepturile sale conferite de catre emitent;
e)instrument de plata la distanta tip Internet-banking - acel instrument de plata cu acces la distanta care se bazeaza pe tehnologia Internet (world wide web) si pe sistemele informatice ale emitentului;
f)instrument de plata la distanta tip home-banking - acel instrument de plata cu acces la distanta care se bazeaza pe o aplicatie software a emitentului instalata la sediul detinatorului, pe o statie de lucru individuala sau in retea;
g)instrument de plata la distanta tip mobile-banking - acel instrument de plata cu acces la distanta care presupune utilizarea unui echipament mobil (telefon, PDA - Personal Digital Assistant etc.) si a unor servicii oferite de catre operatorii de telecomunicatii;
h)plan de securitate - document ce descrie totalitatea masurilor tehnice si administrative care sunt luate de catre emitent pentru utilizarea in conditii de siguranta a instrumentului de plata cu acces la distanta;
i)aviz - actul administrativ emis de Ministerul Comunicatiilor si Tehnologiei Informatiei in conformitate cu prevederile art. 31 lit. f) din Regulamentul Bancii Nationale a Romaniei nr. 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata electronica si relatiile dintre participantii la aceste tranzactii, care confera solicitantului dreptul de a obtine autorizatia din partea Bancii Nationale a Romaniei pentru emiterea instrumentului de plata cu acces la distanta;
j)BNR - Banca Nationala a Romaniei;
k)Regulamentul nr. 4 al BNR - Regulamentul Bancii Nationale a Romaniei nr. 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata electronica si relatiile dintre participantii la aceste tranzactii, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002;
l)MCTI - Ministerul Comunicatiilor si Tehnologiei Informatiei;
m)CISA - Certified Information Systems Auditor (Auditor pentru sisteme informatice, certificat de ISACA).
Art. 3
Scopul avizului il constituie verificarea indeplinirii de catre sistemul informatic al emitentului si de catre solutia software, prin intermediul carora instrumentul de plata cu acces la distanta este oferit, a unor cerinte minime de securitate, referitoare la:
a)confidentialitatea si integritatea comunicatiilor;
b)confidentialitatea si nonrepudierea tranzactiilor;
c)confidentialitatea si integritatea datelor;
d)autenticitatea partilor care participa la tranzactii;
e)protectia datelor cu caracter personal;
f)pastrarea secretului bancar;
g)trasabilitatea tranzactiilor;
h)continuitatea serviciilor oferite clientilor;
i)impiedicarea, detectarea si monitorizarea accesului neautorizat in sistem;
j)restaurarea informatiilor gestionate de sistem in cazul unor calamitati naturale, evenimente imprevizibile;
k)gestionarea si administrarea sistemului informatic;
l)orice alte activitati sau masuri tehnice intreprinse pentru exploatarea in siguranta a sistemului.
Art. 4
Masurile tehnice si organizatorice intreprinse pentru indeplinirea cerintelor enumerate la art. 3 vor fi in concordanta cu progresul tehnologic si cu riscurile potentiale.
CAPITOLUL II: Eliberarea avizului
Art. 5
Documentele necesare pentru eliberarea avizului sunt:
a)cerere adresata in acest scop MCTI, conform modelului prevazut in anexa nr. 1 care face parte integranta din prezentul ordin;
b)licenta de functionare a bancii, acordata de BNR;
c)descrierea functionala a sistemului informatic prin intermediul caruia este oferit instrumentul de plata cu acces la distanta;
d)planul de securitate al sistemului informatic, semnat de catre emitent, cuprinzand totalitatea masurilor tehnice si organizatorice prevazute pentru asigurarea cerintelor cuprinse la art. 3;
e)certificari din punct de vedere al securitatii asupra solutiei informatice sau produselor continute in aceasta, emise de organizatii nationale sau internationale recunoscute, acolo unde exista;
f)opinia de audit asupra planului de securitate prevazut la lit. d) si a solutiei informatice prin intermediul careia este oferit instrumentul de plata cu acces la distanta;
g)o declaratie in care este exprimata independenta auditorului fata de sistemul informatic auditat.
Art. 6
(1)Opinia de audit mentionata la art. 5 lit. f) va fi intocmita de catre o persoana certificata ca auditor de sisteme informatice (CISA). In procesul de auditare, auditorul poate solicita concursul unor experti.
(2)La cererea expresa a MCTI, precum si in cazul opiniilor de audit exprimate cu rezerve, banca va pune la dispozitie raportul de audit, rezultat in urma auditarii sistemului.
(3)Pentru cazurile in care sistemul informatic prin intermediul caruia este oferit instrumentul de plata cu acces la distanta este situat in afara tarii, auditarea sistemului se va face prin una dintre urmatoarele metode:
- auditorul roman va audita sistemele din strainatate; sau
- auditorul roman agreeaza auditarea sistemului din strainatate de catre personal cu calificare similara din acea tara; sau
- auditorul roman isi va baza atestatul pe documente/atestate emise in tara in care ruleaza sistemul si care au un grad de asigurare corespunzator.
Art. 7
Documentele prevazute la art. 5 se vor transmite catre MCTI in limba romana.
Art. 8
Planul de securitate se va intocmi respectandu-se urmatoarea structura:
1.informatii de identificare:
a)emitentul instrumentului de plata cu acces la distanta;
b)denumirea instrumentului de plata cu acces la distanta;
c)provenienta instrumentului de plata cu acces la distanta;
d)categoria (Internet, home sau mobile-banking);
e)statutul operational al sistemului prin intermediul caruia este oferit instrumentul de plata cu acces la distanta si anul intrarii in productie;
f)descrierea generala a solutiei tehnice;
g)consideratii specifice;
h)interconectarea sistemului;
i)aria geografica in care instrumentul de plata cu acces la distanta poate fi utilizat;
j)datele de contact ale persoanelor responsabile;
2.senzitivitatea sistemului:
a)legislatia aplicabila;
b)descrierea generala a senzitivitatii informatiilor gestionate de catre sistem;
3.masuri pentru securitatea sistemului:
a)evaluarea si managementul riscurilor potentiale;
b)codurile de conduita/conditiile de utilizare/contractul prin care instrumentul de plata cu acces la distanta este oferit;
c)rapoarte de testare;
d)masurile tehnice de securitate implementate;
e)procedurile operationale de exploatare;
f)masurile aplicate pentru asigurarea securitatii fizice;
g)instruirea personalului propriu al emitentului in legatura cu administrarea sistemului informatic;
h)instructiunile de utilizare a instrumentului de plata cu acces la distanta (manual de utilizare oferit clientilor);
i)suportul tehnic oferit de catre emitent clientilor care utilizeaza instrumentul de plata cu acces la distanta;
4.orice alte informatii relevante legate de masurile luate de catre emitent pentru a asigura exploatarea in siguranta a instrumentului de plata cu acces la distanta.
Art. 9
(1)Documentele prevazute la art. 5 se inainteaza catre MCTI in perioada 1 aprilie - 30 iunie a fiecarui an.
(2)Avizul eliberat este valabil pana la data de 1 aprilie a anului urmator.
(3)Avizul eliberat este netransmisibil.
Art. 10
In cazul emiterii unui nou instrument de plata cu acces la distanta dupa data de 1 iulie, emitentul poate solicita avizul MCTI, o data cu depunerea documentelor necesare, prevazute la art. 5.
Art. 11
(1)In cazul in care, pe perioada de valabilitate a avizului, emitentul dezvolta sau implementeaza noi module de aplicatie, efectueaza modificari de proceduri operationale sau modifica masurile tehnice de securitate aplicabile instrumentului de plata cu acces la distanta, acesta va notifica aceste modificari catre MCTI.
(2)Notificarea prevazuta la alin. (1) se va face in termen de 30 de zile de la data la care modificarile specificate la alin. (1) devin operationale.
(3)In urma notificarii, daca se considera ca modificarile efectuate afecteaza major securitatea instrumentului de plata cu acces la distanta, MCTI sau BNR poate solicita bancii obtinerea unui nou aviz.
(4)Daca solicitarea prevazuta la alin. (3) este efectuata de MCTI, acesta va notifica in acelasi timp si BNR.
Art. 12
Documentele enumerate la art. 5 vor fi intocmite intr-un singur exemplar, iar acolo unde este cazul vor fi clasificate din punct de vedere al continutului acestora, conform legislatiei in vigoare si procedurilor bancii care solicita avizarea. "
Art. 13
(1)In urma analizarii documentatiei prezentate, in termen de 15 zile calendaristice de la data inregistrarii acesteia la Secretariatul de Stat pentru Tehnologia Informatiei, MCTI va comunica solicitantului decizia sa cu privire la acordarea avizului si va notifica BNR in legatura cu aceasta.
(2)Dupa eliberarea avizului, in termen de 3 zile calendaristice, MCTI va remite solicitantului un exemplar al avizului.
(3)Avizul va fi eliberat in forma prevazuta in anexa nr. 2 care face parte integranta din prezentul ordin.
CAPITOLUL III: Dispozitii finale
Art. 14
(1)In perioada prevazuta la art. 13 alin. (1), precum si in perioada de valabilitate a avizului sau in cazul primirii unei notificari din partea BNR, MCTI poate solicita bancii avizate sau in curs de avizare efectuarea de verificari la sediul acesteia prin personal desemnat prin ordin al ministrului comunicatiilor si tehnologiei informatiei.
(2)In cazul in care in urma verificarilor se constata nerespectarea prevederilor continute in documentatia de avizare, MCTI poate dispune neacordarea avizului sau retragerea acestuia.
Art. 15
(1)Emitentul este obligat sa informeze MCTI, trimestrial, cu privire la numarul de utilizatori ai instrumentului de plata cu acces la distanta, numarul de plati efectuate prin intermediul instrumentelor de plata cu acces la distanta, precum si valoarea platilor efectuate prin intermediul acestora, in formatul prezentat in anexa nr. 3 care face parte integranta din prezentul ordin.
(2)Numarul de utilizatori prevazut la alin. (1) se refera la numarul de utilizatori cu care exista incheiat un contract pentru utilizarea instrumentului de plata cu acces la distanta, pe parcursul trimestrului pentru care se face raportarea. Se iau in considerare toate contractele in vigoare, de la data lansarii instrumentului de plata cu acces la distanta.
(3)Numarul de plati efectuate prin intermediul instrumentelor de plata cu acces la distanta se refera la platile efectuate doar pe perioada trimestrului raportat si vor fi prezentate defalcat, in numarul de plati in lei si numarul de plati in valuta.
(4)Valoarea platilor efectuate prin intermediul instrumentelor de plata cu acces la distanta in perioada trimestrului raportat vor fi prezentate astfel: valoarea platilor efectuate in lei si valoarea platilor efectuate in valuta. Platile efectuate in valuta vor fi exprimate in echivalent euro, la cursul de schimb BNR din ultima zi a trimestrului pentru care se face raportarea.
(5)Raportarile pot fi transmise prin posta, pe adresa Ministerului Comunicatiilor si Tehnologiei Informatiei, Bd. Libertatii nr. 14, sectorul 5, cod 050706 sau prin e-mail, ca fisier atasat, pe adresa e-banking@mcti.ro.
(6)Raportarile vor fi transmise catre MCTI pana la sfarsitul lunii urmatoare trimestrului pentru care se face raportarea.
Art. 16
Eliberarea de catre MCTI a avizului pentru furnizarea instrumentului de plata cu acces la distanta nu exonereaza emitentul sau detinatorul de raspunderile asumate prin contractul incheiat intre acestia.
Art. 17
Prezentul ordin va fi publicat in Monitorul Oficial al Romaniei, Partea I, si va fi pus in aplicare prin grija Directiei de reglementari si standarde in tehnologia informatiei, antifrauda si securitatea retelelor.
-****-
Ministrul comunicatiilor si tehnologiei informatiei,
Dan Nica
ANEXA nr. 1: CERERE DE ELIBERARE A AVIZULUI
(denumirea emitentului) ...................................................avand sediul in ............................................ (adresa completa, inclusiv telefon si fax), inmatriculata/inregistrata la Oficiul registrului comertului sub nr. ....................................... (numarul de inregistrare/codul unic de inregistrare), cod fiscal .............., avand autorizatia de functionare nr. .................., eliberata de Banca Nationala a Romaniei, reprezentat(a) legal prin ............................. (numele si prenumele), domiciliat(a) in ......................................... (adresa completa, inclusiv telefon), identificat(a) prin ......................................... (actul de identitate: seria, numarul si emitentul, codul numeric personal), in conformitate cu prevederile Hotararii Guvernului nr. 744/2003 privind organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei Informatiei, prevederile art. 31 lit. f) din Regulamentul Bancii Nationale a Romaniei nr. 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata electronica si relatiile dintre participantii la aceste tranzactii, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002, si cu prevederile Ordinului ministrului comunicatiilor si tehnologiei informatiei nr. .............din data de ......................., va solicitam eliberarea avizului pentru furnizarea instrumentului de plata cu acces la distanta ........, cu urmatoarele caracteristici generale (scurta descriere): ...................................
Sistemul functioneaza (va functiona) la sediul din ....................................................
Numele, prenumele si stampila solicitantului
...............................................
Data
...........................
ANEXA nr. 2: AVIZ
GUVERNUL ROMANIEI
MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI INFORMATIEI
SECRETARIATUL DE STAT PENTRU TEHNOLOGIA INFORMATIEI
Avand in vedere prevederile Hotararii Guvernului nr. 744/2003 privind organizarea si functionarea Ministerului Comunicatiilor si Tehnologiei Informatiei,
avand in vedere prevederile Regulamentului Bancii Nationale a Romaniei nr. 4/2002 privind tranzactiile efectuate prin intermediul instrumentelor de plata electronica si relatiile dintre participantii la aceste tranzactii, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 503 din 12 iulie 2002,
avand in vedere prevederile Ordinului ministrului comunicatiilor si tehnologiei informatiei nr. ................... din data de ..................................,
secretarul de stat pentru tehnologia informatiei elibereaza prezentul
AVIZ
.......................................................avand sediul in ................................................... (adresa completa, inclusiv telefon si fax) inmatriculata/inregistrata la oficiul registrului comertului sub nr. ......................................., cod fiscal ............., avand autorizatia de functionare nr. ...................., eliberata de Banca Nationala a Romaniei, reprezentat(a) legal prin ........................................................... (numele si prenumele), a obtinut avizul pentru furnizarea instrumentului de plata cu acces la distanta .............................., cu urmatoarele caracteristici generale: ....................................................................................
Sistemul functioneaza (va functiona) la sediul din .................................................................
OBSERVATII:
Prezentul aviz s-a eliberat in vederea obtinerii/mentinerii autorizatiei pentru emiterea instrumentului de plata cu acces la distanta din partea Bancii Nationale a Romaniei si este valabil pana la .........................
Secretar de stat pentru tehnologia informatiei,
Nr. ..................
Data ....................
ANEXA nr. 3:
Banca ...........................................
Instrument
Numarul utilizatorilor
Numarul tranzactiilor
- lei -
Numarul tranzactiilor
- valuta -
Valoarea tranzactiilor
- lei -
Valoarea tranzactiilor in valuta
(echivalent euro)
Perioada de raportare
Trimestrul