Anexele 2-4
ANEXA Nr. 2
CONDIížII
privind auditorii, obiectivele auditului, conținutul minimal al raportului de
audit și setul minimal de teste care sunt aplicate sistemului informatic în
cursul procesului de audit
I. Condiții privind auditorii sistemelor informatice
Persoana fizică sau angajatul persoanei juridice care realizează auditul trebuie
să fie certificată/certificat ca auditor de sisteme informatice, de către un organism
general recunoscut în domeniu (ISACA - Asociația de Audit și Control al Sistemelor
Informatice/ Information Systems Audit and Control Association).
Auditorul trebuie să fie un terț, care nu are raporturi de muncă cu persoana
fizică sau juridică auditată, nu are interese financiare în legătură cu aceasta și nu a
fost implicat în ultimii trei ani în proiecte de consultanță care au ori au avut efect
asupra sistemului auditat.
II. Obiectivele auditului
Scopul auditului îl constituie evaluarea sistemului informatic destinat
operațiunilor de emitere a facturilor în formă electronică, precum și evaluarea
măsurilor organizatorice implementate în vederea operării sistemului informatic de
către emitentul de facturi în formă electronică, în ceea ce privește îndeplinirea
următoarelor cerințe:
1. sistemul informatic permite emiterea facturilor respectând formatul și
conținutul stabilite de actele normative speciale;
2. sistemul informatic permite emiterea facturilor conținând semnătura
electronică a emitentului facturii și marca temporală care certifică momentul emiterii,
în condițiile anexei nr. 4;
3. sunt respectate următoarele principii privind securitatea operațiunii de
emitere a facturilor în formă electronică:
a) confidențialitatea și integritatea datelor folosite în procesul de emitere a
facturilor în formă electronică;
b) protecția datelor cu caracter personal, inclusiv respectarea condițiilor legale
referitoare la prelucrarea datelor cu caracter personal;
c) continuitatea serviciului de facturare oferit clienților;
d) controlul accesului la sistemul de facturare electronică.
III. Conținutul minimal al raportului de audit
1. Introducere
1.1. Elementele de identificare a auditorului, inclusiv prezentarea dovezii
îndeplinirii condițiilor de la pct. I;
1.2. Perioada în care a fost efectuat auditul;
1.3. Echipa de audit (pentru fiecare persoană se va preciza poziția în cadrul
echipei de audit, calificări, certificări, anexându-se documentele doveditoare).
2. Metodologia utilizată
9/16
2.1. Standardele pe baza cărora s-a desfășurat procesul de audit;
2.2. Planul de audit folosit;
2.3. Descrierea metodelor prin care sunt evaluate obiectivele de audit.
3. Descrierea sistemului auditat
3.1. Descrierea entității auditate, cu prezentarea generală a sistemului
informatic destinat operațiunilor de emitere a facturilor în formă electronică (inclusiv a
aplicațiilor software utilizate) și a sistemelor informatice cu care acesta se află în
relație de interdependență (prin relație de interdependență înțelegându-se faptul că
respectivele sisteme nu își pot îndeplini în mod separat funcțiile); se vor descrie
componentele sistemului informatic utilizat în procesul de facturare:
aplicație/server/sistem de operare/detalii configurare/locație/Administrare;
3.2. Analiza riscurilor implicate de activitatea de facturare și a posibilelor
vulnerabilități ale sistemului informatic auditat față de aceste riscuri;
3.3. Identificarea interdependențelor sistemului de facturare cu celelalte
sisteme informatice ale entității audiate, precum și cu sisteme informatice aparținând
terților, cu precizarea vulnerabilităților determinate de aceste interdependențe. În
cazul existenței unui sistem informatic integrat, care asigură și alte procese ale entității
auditate, se va determina întinderea părții din sistemul informatic integrat care implică
riscuri de securitate în ceea ce privește activitatea de emitere a facturilor în formă
electronică;
3.4. Descrierea fluxului datelor care sunt folosite la întocmirea facturii
electronice, cu identificarea momentului intrării acestor date în sistemul informatic
destinat operațiunilor de emitere a facturilor în formă electronică. Se vor identifica
aplicațiile utilizate și persoanele implicate: activitate/date de intrare/date de
ieșire/responsabil/aplicație.
4. Evaluarea sistemului informatic destinat operațiunilor de emitere a
facturilor în formă electronică în raport cu obiectivele urmărite de audit
4.1. Analiza fiecărei amenințări de securitate și a tipului de răspuns necesar în
ceea ce privește următoarele componente:
a) echipamentele hardware (inclusiv în ceea ce privește accesul persoanelor
autorizate/neautorizate la acestea);
b) aplicațiile software rulate de către sistemul informatic;
c) măsurile organizatorice: politicile aplicate și procedurile folosite, inclusiv
politica de personal;
4.2. Testele efectuate în conformitate cu pct. III, inclusiv constatările și
recomandările aferente;
4.3. Prezentarea măsurilor luate de entitatea auditată pentru minimizarea
vulnerabilităților sistemului informatic, măsuri care pot afecta procesul de emitere a
facturilor în formă electronică.
5. Opinia de audit
5.1. Datele de identificare a persoanei fizice sau juridice care are
responsabilitatea juridică asupra auditului;
5.2. Numele auditorului care semnează opinia și data semnării;
5.3. Afirmația de conformare a emitentului de facturi în formă electronică cu
obiectivele auditate (opinie pozitivă), de conformare parțială cu obiectivele auditate,
indicând punctele care trebuie îmbunătățite (opinie cu rezerve/calificată), sau de
neîndeplinire a obiectivelor auditate (opinie negativă).
IV. Arii minime de control în cadrul procesului de audit
1. Îndeplinirea cerințelor legale referitoare la conținutul facturii,
semnătura electronică și marca temporală
1.1. Sistemul permite respectarea cerințelor legale referitoare la forma și
conținutul facturilor emise;
1.2. Certificatul calificat aferent semnăturii electronice a emitentului facturii în
formă electronică conține informații privind identificatorul fiscal și numărul notificării
înregistrate la Ministerul Economiei și Finanțelor;
1.3. Certificatul calificat aferent semnăturii electronice a persoanelor care
prestează servicii de emitere a facturilor în formă electronică pentru terți conține
informații privind calitatea de furnizor de servicii și datele sale de identificare;
1.4. Emitentul ține evidența facturilor electronice emise într-un registru
electronic de evidență a facturilor în formă electronică, operarea în acest registru
realizându-se conform regulilor de operare a registrelor similare pe suport hârtie,
completate cu normele metodologice emise de Ministerul Economiei și Finanțelor;
1.5. Semnătura electronică extinsă atașată facturii în formă electronică este
generată folosind dispozitive securizate de creare a semnăturii electronice;
1.6. Marca temporală atașată facturii în formă electronică este generată
respectând prevederile Legii nr. 451/2004 privind marca temporală;
1.7. Accesul la dispozitivul de semnare este controlat.
2. Conversia facturilor emise inițial pe suport hârtie (acolo unde este
cazul)
2.1. Sistemul informatic folosit pentru conversia facturilor emise inițial pe suport
hârtie permite reproducerea informațiilor conținute de factura emisă inițial pe suport
hârtie cu un grad înalt de precizie.
2.2. Procedurile implementate asigură corectarea manuală a informațiilor
reproduse.
2.3. Sistemul informatic folosit pentru conversia facturilor emise inițial pe suport
hârtie și procedurile utilizate asigură înscrierea precizării: „prezenta factură este
conformă cu originalul emis inițial pe suport hârtie având seria …, nr. …, din data de
…, emisă de ….”.
2.4. Sistemul informatic folosit pentru conversia facturilor emise inițial pe suport
hârtie și procedurile utilizate asigură atașarea semnăturii electronice a furnizorului de
servicii de facturare electronică, precum și a mărcii temporale certificând momentul
conversiei atât în cazul facturilor individuale, cât și în cazul în care conversia se face
pentru un pachet sau lot de facturi.
3. Securitate
3.1. Accesul la aplicația de facturare este restricționat prin mecanisme de
autentificare;
3.2. Aplicația de facturare menține un jurnal de acces și operare;
3.3. Accesul utilizatorilor la date nu este permis decât prin intermediul
aplicației;
3.4. Parolele de acces ale utilizatorilor sunt stocate în formă criptată;
3.5. Modul de utilizare a aplicației este descris într-un manual;
3.6. Sunt aplicate măsurile de securizare specifice sistemului de operare;
3.7. Mașina pe care rulează aplicația este amplasată într-o incintă securizată;
3.8. Actualizările de aplicație sau de sistem de operare sunt aplicate numai
după o testare prealabilă;
3.9. Testele efectuate înainte de utilizarea aplicației și de aplicarea eventualelor
actualizări sunt documentate;
3.10. Programul de interfață cu sistemul contabil menține un jurnal de transfer;
3.11. Modul de funcționare a interfeței cu sistemul contabil este documentat.
4. Măsuri organizatorice
4.1. Personalul este instruit în aspecte generale privind securitatea informației,
inclusiv protecția la atacuri de tipul ingineriei sociale;
4.2. Există o procedură de identificare și raportare a incidentelor de securitate;
4.3. Jurnalele de acces și operare ale aplicației sunt verificate periodic;
4.4. Există clauze de confidențialitate semnate cu furnizorii și angajații;
4.5. Echipamentele sunt asigurate prin contracte de garanție și reparații;
4.6. Există suport pentru aplicație acordat de furnizor;
4.7. Conturile de acces sunt individuale și revizuite periodic;
4.8. Parola de utilizare a conturilor de acces este confidențială;
4.9. Configurația aplicației și a serverului pe care rulează este documentată.
ANEXA Nr. 3
DECIZIE
de omologare a sistemului informatic
În temeiul prevederilor art. 8 alin. (1), (3) și (5) din Ordonanța de urgență a
Guvernului nr. 106/2008 privind înființarea Autorității Naționale pentru Comunicații și
ale art. 26 din Legea nr. 260/2007 privind înregistrarea operațiunilor comerciale prin
mijloace electronice,
având în vedere dispozițiile Deciziei președintelui Autorității Naționale pentru
Comunicații nr. 888/2008 privind procedura de verificare și omologare a sistemelor
informatice destinate operațiunilor de emitere a facturilor în formă electronică, precum
și normele de performanță și securitate cu privire la sistemele informatice utilizate de
persoanele care emit, transmit sau arhivează facturi, chitanțe și bonuri fiscale în formă
electronică, precum și Referatul de aprobare al Direcției IT și Protecția Informațiilor,
înregistrat la Autoritatea Națională pentru Comunicații cu nr. …/…,
PREªEDINTELE AUTORITíƒížII NAížIONALE PENTRU COMUNICAížII
emite prezenta:
DECIZIE
Art. 1. – În urma îndeplinirii procedurii de omologare a sistemului informatic
destinat operațiunilor de emitere a facturilor în formă electronică aparținând
…………………………………………………………………… (denumirea solicitantului), Autoritatea
Națională pentru Comunicații atestă faptul că acest sistem îndeplinește cerințele Legii
nr. 260/2007 privind înregistrarea operațiunilor comerciale prin mijloace electronice și
ale Deciziei președintelui Autorității Naționale pentru Comunicații nr. 888/2008 privind
procedura de verificare și omologare a sistemelor informatice destinate operațiunilor
de emitere a facturilor în formă electronică, precum și normele de performanță și
securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit
sau arhivează facturi, chitanțe și bonuri fiscale în formă electronică.
Art. 2. – Prezenta decizie se comunică ………………………………………………………
(denumirea solicitantului).
PREªEDINTE,
ANEXA Nr. 4
NORME DE PERFORMANížíƒ ªI SECURITATE
cu privire la sistemele informatice utilizate de persoanele care emit,
transmit sau arhivează facturi, chitanțe și bonuri fiscale în formă electronică
I. Utilizarea unor sisteme informatice sigure joacă un rol esențial în procesul de
înregistrare a operațiunilor comerciale prin mijloace electronice, reprezentând
elementul-cheie pentru asigurarea unor servicii care să respecte principiile cerute de
lege: garantarea autenticității, a originii și a integrității conținutului.
Prezentul document stabilește normele minimale de performanță și securitate
care trebuie îndeplinite de către sistemele informatice utilizate de persoanele care
emit, transmit sau arhivează facturi, chitanțe și bonuri fiscale în formă electronică,
cărora le sunt aplicabile prevederile Legii nr. 260/2007 privind înregistrarea
operațiunilor comerciale prin mijloace electronice. Normele de performanță și
securitate sunt aplicabile proceselor de emitere, transmitere și arhivare a facturilor,
chitanțelor și bonurilor fiscale realizate prin intermediul sistemelor informatice,
completându-se cu celelalte acte normative în vigoare.
Capacitatea sistemelor informatice de a emite facturi în formă electronică
respectând aceste principii, precum și conformitatea acestora cu prevederile legale vor
fi garantate în urma unui proces de omologare, finalizat prin emiterea unei decizii de
omologare a sistemului informatic. În cursul procedurii de omologare se va verifica
respectarea condițiilor minimale de performanță și securitate corespunzătoare
procesului de emitere a facturilor în formă electronică (cap. III pct. 1 din prezentele
norme).
În continuare, prin documente contabile electronice se înțelege facturi, chitanțe
și bonuri fiscale în formă electronică, astfel cum acestea sunt definite la art. 4 din
Legea nr. 260/2007.
II. Sistemul informatic utilizat de persoanele care emit, transmit sau arhivează
facturi, chitanțe și bonuri fiscale în formă electronică va trebui să îndeplinească
următoarele cerințe minime de securitate, referitoare la:
a) confidențialitatea și integritatea comunicațiilor;
b) confidențialitatea și integritatea datelor;
c) autenticitatea părților;
d) protecția datelor cu caracter personal;
e) continuitatea serviciilor oferite clienților;
f) împiedicarea, detectarea și monitorizarea accesului neautorizat în sistem;
g) restaurarea informațiilor gestionate de sistem în cazul unor calamități
naturale și evenimente imprevizibile;
h) gestionarea și administrarea sistemului informatic;
i) orice alte activități sau măsuri tehnice întreprinse pentru exploatarea în
siguranță a sistemului.
III. Sistemul informatic utilizat de persoanele care emit, transmit sau arhivează
facturi, chitanțe și bonuri fiscale în formă electronică trebuie să asigure respectarea
cerințelor legale stabilite prin actele normative speciale pentru fiecare dintre cele 3
procese ale activității de înregistrare a operațiunilor comerciale prin mijloace
electronice:
1. procesul de emitere a documentelor contabile electronice:
a) procesul de generare a documentelor contabile electronice;
b) procesul de generare a semnăturii electronice și a mărcii temporale pentru
documentele contabile electronice;
c) procesul de conversie a documentelor contabile electronice – acolo unde este
cazul;
2. procesul de transmitere a documentelor contabile electronice;
3. procesul de arhivare a documentelor contabile electronice.
1. Procesul de emitere a documentelor contabile electronice
a) Procesul de generare a documentelor contabile electronice
Sistemul informatic utilizat va trebui să permită respectarea conținutului
documentelor contabile electronice stabilit prin acte normative speciale și includerea în
documentele contabile electronice a informațiilor stabilite prin aceste acte normative.
Sistemul informatic trebuie să permită emiterea documentelor contabile
electronice într-un format static, fără posibilitatea de modificare a documentului
respectiv.
b) Procesul de generare a semnăturii electronice și a mărcii temporale pentru
documentele contabile electronice
Generarea semnăturii electronice și aplicarea mărcii temporale pentru
documentele contabile electronice trebuie să fie făcute în mod automat. Sistemul
informatic nu trebuie să permită emiterea documentului contabil electronic în absența
acestor două elemente.
Semnătura electronică extinsă atașată documentului contabil electronic trebuie
generată folosindu-se dispozitive securizate de creare a semnăturii electronice, astfel
cum sunt definite la art. 4 pct. 8 din Legea nr. 455/2001 privind semnătura
electronică, și să se bazeze pe un certificat calificat emis în condițiile Legii nr.
455/2001 de către un furnizor acreditat.
Certificatul va fi emis special în scopul desfășurării activității de înregistrare a
operațiunilor comerciale prin mijloace electronice și va conține atributele specifice ale
semnatarului prevăzute la art. 9 alin. (2) din Legea nr. 260/2007, alături de celelalte
informații prevăzute în Legea nr. 455/2001.
Furnizorii de servicii de facturare electronică care emit facturi în formă
electronică în numele unor terți, în condițiile art. 17 din Legea nr. 260/2007, vor folosi
propriul certificat aferent semnăturii electronice aplicate facturilor. Certificatul va
trebui să indice informațiile prevăzute la art. 17 alin. (2) din Legea nr. 260/2007.
Furnizorii de servicii pot folosi același certificat pentru emiterea de documente
contabile electronice în numele mai multor terți.
Sistemul informatic trebuie să fie capabil să realizeze marcarea temporală a
documentelor contabile electronice. Procesul de marcare temporală trebuie să fie
conform cu cerințele Legii nr. 451/2004 privind marca temporală.
c) Procesul de conversie a documentelor contabile electronice
Procesul de conversie a documentelor contabile electronice reprezintă
reproducerea în formă electronică de către un furnizor de servicii de facturare
electronică a informațiilor conținute în factura emisă pe suport hârtie.
Furnizorii de servicii de facturare electronică care prestează și servicii de
conversie în formă electronică a facturilor emise pe suport hârtie, în condițiile art. 18
din Legea nr. 260/2007, trebuie să folosească sisteme informatice care să permită
reproducerea informațiilor conținute de factura emisă inițial pe suport hârtie cu un
grad înalt de precizie. Erorile apărute trebuie corectate prin verificarea manuală a
corectitudinii informațiilor reproduse. În cazul reproducerii prin scanare, informațiile
conținute în factura emisă inițial pe suport hârtie trebuie să fie lizibile.
Factura în formă electronică rezultată în urma conversiei din format material
dobândește calitatea de document justificativ, având același regim juridic ca și factura
originală din care s-a făcut conversia.
Prevederile privind conversia în formă electronică a facturilor emise inițial pe
suport hârtie sunt aplicabile și documentelor aferente tranzacțiilor înregistrate prin
intermediul caselor de marcat.
2. Procesul de transmitere a documentelor contabile electronice
Utilizarea semnăturii electronice și a mărcii temporale garantează integritatea
documentelor contabile electronice, orice modificare asupra conținutului unui
document determinând pierderea valabilității semnăturii electronice și, prin consecință,
a documentului.
Modalitatea de transmitere a documentelor contabile electronice este stabilită
de comun acord de către emitentul și beneficiarul acestora. De asemenea, prin acordul
părților se va stabili nivelul de securitate care va fi utilizat. Astfel, emitentul și
beneficiarul documentelor contabile electronice pot stabili prin acord transmiterea
criptată a acestora sau orice alte măsuri de securitate considerate necesare.
3. Procesul de arhivare a documentelor contabile electronice
În procesul de arhivare a documentelor contabile electronice se vor aplica
dispozițiile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică.
Autenticitatea și integritatea conținutului facturii în formă electronică, precum și
asigurarea accesului la aceasta trebuie să fie garantate pe toata durata legală de
stocare a facturii.
Verificarea semnăturilor electronice atașate documentelor contabile electronice
permite validarea faptului că aceste două caracteristici - autenticitatea și integritatea -
sunt îndeplinite.
Sistemul informatic trebuie să permită arhivarea atât a documentului contabil
electronic, cât și a tuturor datelor necesare verificării semnăturii electronice și mărcii
temporale atașate facturii, pe toată durata legală de stocare a acesteia.
Asigurarea posibilității validării semnăturii electronice și a mărcii temporale
folosite în procesul de emitere a documentelor contabile electronice presupune ca, la
data efectuării verificării, să fie disponibile următoarele informații:
1. certificatul utilizat pentru semnarea documentului contabil electronic și
pentru emiterea mărcii temporale;
2. lista certificatelor revocate;
3. algoritmii folosiți în procesele criptografice.
Posibilitatea de verificare pe termen lung a autenticității documentului contabil
electronic (prin validarea semnăturii electronice și a mărcii temporale aplicate) se
bazează pe următoarele trei elemente:
1. determinarea momentului creării documentului;
2. determinarea faptului că momentul în care certificatul pe care se bazează
semnătura documentului a expirat sau a fost revocat a fost ulterior momentului în care
documentul a fost creat și semnat;
3. păstrarea în condiții de securitate a documentului, mai ales în cazul în care,
după data semnării, algoritmul sau cheia privată folosită la semnare a fost
compromis/compromisă.
Sistemul informatic trebuie să permită păstrarea informațiilor din care este
constituit documentul contabil electronic fără niciun fel de alterare pe toată această
perioadă. Emitentul documentului contabil electronic poate decide asupra oricărui
mediu de stocare a facturilor care să garanteze respectarea condițiilor de mai sus.
Este recomandabilă folosirea unor dispozitive de stocare permanentă care să nu
permită ștergerea, rescrierea sau modificarea datelor.
Arhivarea trebuie realizată cu ajutorul unor echipamente informatice adecvate
și în amplasamente având facilități speciale care asigură securitatea și accesibilitatea
informațiilor arhivate. Se vor asigura operațiuni de back-up periodic al informațiilor
stocate. Este necesară asigurarea securității informațiilor stocate, în ceea ce privește
atât accesul fizic la echipamentele folosite, cât și accesul de la distanță, evitându-se
apariția breșelor de securitate.
IV. Standarde recomandate
􀂃 ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES);
􀂃 ETSI TS 101 733, Electronic Signatures and Infrastructures (ESI); Electronic
Signature Formats;
􀂃 ITU-T Recommendation X.509 (2001) | ISO/IEC 9594-8: 2001 – Information
technology – Open Systems Interconnection — The Directory: Public-key and attribute
certificate frameworks;
􀂃 ITU-T Recommendation X.520 (2001) | ISO/IEC 9594-6:2001 – Information
technology – Open Systems Interconnection – The Directory: Selected attribute types;
􀂃 ITU-T Recommendation X.521 (2001) | ISO/IEC 9594-7:2001 – Information
technology – Open Systems Interconnection – The Directory: Selected object classes;
􀂃 ETSI TS 101 862: Qualified Certificates profile V1.3.2 (2004-06);
􀂃 IETF RFC 3280 – Internet X.509 Public Key Infrastructure Certificate and
Certificate Revocation List;
􀂃 Pentru a asigura cerința de interoperabilitate, se recomandă folosirea
următoarelor formate pentru facturile electronice:
- formate compatibile cu limbajul de marcare XML (Extensible Markup Language);
- PDF - Portable Document Format.