privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi normele de performanţă şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică
În temeiul prevederilor art. 8 alin. (1), (3) şi (5) din Ordonanţa de urgenţă a Guvernului nr. 106/2008 privind înfiinţarea Autorităţii Naţionale pentru Comunicaţii, precum şi ale art. 26 şi art. 30 alin. (1) din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice,preşedintele Autorităţii Naţionale pentru Comunicaţii emite prezenta decizie. +
Articolul 1Prezenta decizie stabileşte procedura de verificare şi omologare de către Autoritatea Naţională pentru Comunicaţii, denumită în continuare ANC, a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi normele de performanţă şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică. +
Articolul 2În înţelesul prezentei decizii, următorii termeni se definesc astfel:a) emitent al facturii în formă electronică – persoana, fizică sau juridică, care emite facturi în formă electronică, în nume propriu sau în numele unor terţi; … b) sistem informatic – dispozitivul ori ansamblul de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor cu ajutorul unui program informatic şi care este destinat operaţiunilor de emitere a facturilor în formă electronică; … c) omologare – procesul de evaluare a sistemului informatic, care are ca rezultat emiterea de către preşedintele ANC a deciziei de omologare; … d) decizie de omologare – decizia emisă de preşedintele ANC care atestă conformitatea sistemului informatic cu normele de securizare a informaţiei prelucrate sau arhivate, precum şi cu prevederile Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice; … e) plan de securitate a sistemului informatic – documentul ce descrie totalitatea măsurilor tehnice şi administrative care sunt aplicate sistemului informatic de către emitentul facturii în formă electronică în vederea oferirii serviciului în condiţii de siguranţă. … +
Articolul 3Emitentul facturii în formă electronică are obligaţia să folosească un sistem informatic omologat de ANC. În acest sens, acesta va înainta ANC o cerere scrisă prin care va solicita începerea procedurii de omologare a sistemului informatic. Forma şi conţinutul cererii sunt prevăzute în anexa nr. 1. +
Articolul 4(1) Emitentul facturii în formă electronică care solicită omologarea sistemului informatic are obligaţia să transmită ANC următoarele documente, redactate în limba română: … a) cererea prevăzută la art. 3; … b) raportul de audit întocmit în condiţiile art. 5; … c) descrierea funcţională a sistemului informatic; … d) planul de securitate a sistemului informatic; … e) certificări privind securitatea sistemului informatic, acolo unde acestea există; … f) declaraţia pe propria răspundere a auditorului, prin care este exprimată independenţa sa faţă de emitentul facturii în formă electronică şi producătorul sistemului informatic auditat; … g) dacă este cazul, descrierea echipamentelor necesare realizării procesului de conversie, în situaţia în care emitentul de drept al facturii în formă electronică are un contract valabil încheiat în baza căruia beneficiază de servicii de conversie a facturilor emise pe suport hârtie în facturi în formă electronică; … h) dovada achitării tarifului de omologare prevăzut la art. 12. … (2) Pe parcursul procedurii de omologare, ANC poate solicita completarea documentaţiei, acolo unde este necesar. În acest caz, cererea prevăzută la art. 3 este considerată realizată la data transmiterii către ANC a documentelor solicitate. … (3) Documentele prevăzute la alin. (1) şi (2) se transmit la sediul central al ANC în limba română în unul dintre următoarele moduri: … a) prin depunere, personal sau de către reprezentantul legal al solicitantului, sub luare de semnătură; … b) printr-un serviciu poştal; … c) ca înscris în formă electronică, căruia i s-a încorporat, ataşat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat nesuspendat ori nerevocat la momentul respectiv şi generată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice. … (4) Este considerată dată a transmiterii, după caz, data înscrierii în registrul general de intrare-ieşire a corespondenţei al ANC, data confirmării primirii documentelor la sediul central al ANC printr-un serviciu poştal cu confirmare de primire sau data confirmării primirii înscrisului în formă electronică. … +
Articolul 5(1) Auditul este realizat de către un auditor independent faţă de emitentul facturii în formă electronică şi faţă de producătorul sistemului informatic a cărui omologare se solicită. … (2) Condiţiile care trebuie îndeplinite de către auditori, obiectivele auditului, conţinutul minimal al raportului de audit şi setul minimal de teste care sunt aplicate sistemului informatic în cursul procesului de audit sunt prevăzute în anexa nr. 2. … (3) Raportul de audit poate fi realizat de o persoană fizică sau juridică, certificată ca auditor de sisteme informatice. … (4) În cazul în care sistemul informatic este situat în alt stat, auditarea acestuia se va face prin una dintre următoarele metode: … a) auditorul auditează în mod nemijlocit sistemul informatic din străinătate; … b) auditorul îşi bazează raportul de audit pe certificări similare emise sau pe teste efectuate în statul în care se află sistemul informatic şi care au un grad de asigurare corespunzător, acoperind obiectivele şi ariile de control prevăzute în anexa nr. 2. … +
Articolul 6(1) Decizia de omologare este emisă în termen de 30 de zile de la data transmiterii documentaţiei în condiţiile art. 4 alin. (1) sau (2), în urma verificării conformităţii sistemului informatic cu cerinţele stabilite în anexa nr. 2 pct. II. Forma şi conţinutul deciziei de omologare sunt prevăzute în anexa nr. 3. … (2) Decizia de omologare este valabilă pe o perioadă de un an, procedura de reînnoire fiind similară cu cea de emitere. … (3) Pe întreaga perioadă de valabilitate a deciziei de omologare, ANC are dreptul de a efectua verificări ale sistemului informatic omologat. … +
Articolul 7(1) Emitentul facturii în formă electronică este obligat să notifice ANC orice modificare a sistemului informatic care afectează documentaţia prezentată în conformitate cu art. 4 alin. (1) lit. c), d) şi g), în condiţiile prevăzute la art. 14 alin. (1) din Legea nr. 260/2007. … (2) ANC avizează modificările aduse în maximum 30 de zile de la data transmiterii notificării, în condiţiile art. 4 alin. (4). … (3) În cazul în care ANC consideră că modificările aduse sistemului informatic afectează performanţele acestuia în ceea ce priveşte cerinţele stabilite în anexa nr. 2 pct. II, va solicita emitentului facturii în formă electronică declanşarea procedurii de reînnoire a omologării. … +
Articolul 8ANC are obligaţia de a păstra confidenţialitatea tuturor informaţiilor primite de la emitentul facturii în formă electronică care solicită omologarea sistemului informatic. +
Articolul 9(1) Emitentul facturii în formă electronică poate utiliza propria autoritate de marcare temporală, implementată în cadrul organizaţiei sale, dacă îndeplineşte următoarele condiţii: … a) foloseşte o bază de timp sincronizată cu Furnizorul unic de bază de timp, desemnat în conformitate cu Legea nr. 451/2004 privind marca temporală; … b) îndeplineşte condiţiile stabilite de Legea nr. 451/2004, cu excepţia celor referitoare exclusiv la furnizarea de servicii de marcare temporală pentru terţi. … (2) Îndeplinirea condiţiilor prevăzute la alin. (1) se atestă prin raportul de audit. … +
Articolul 10Persoanele care emit, transmit sau arhivează facturi în formă electronică pot externaliza aceste servicii în temeiul unui contract valabil încheiat cu un furnizor de servicii de facturare electronică, cu respectarea condiţiilor prevăzute la art. 13 din Legea nr. 260/2007. +
Articolul 11(1) ANC poate retrage omologarea în următoarele situaţii: … a) în cazul în care, în urma verificărilor efectuate în condiţiile art. 29 alin. (2) din Legea nr. 260/2007, constată neîndeplinirea de către emitentul facturii în formă electronică a obligaţiei de notificare a modificărilor efectuate asupra sistemului informatic; … b) în cazul în care, în urma verificărilor efectuate în conformitate cu art. 6 alin. (4), constată faptul că sistemul informatic nu mai îndeplineşte normele de performanţă şi securitate prevăzute în anexa nr. 4. … (2) În cazul în care constată una dintre situaţiile prevăzute la alin. (1), ANC va comunică emitentului facturii în formă electronică deficienţele constatate, acordându-i un termen de 30 de zile pentru remedierea acestora. … (3) Dacă deficienţele constatate în condiţiile alin. (1) nu sunt remediate în termenul prevăzut la alin. (2), ANC va retrage omologarea, prin decizie a preşedintelui ANC. … +
Articolul 12(1) Cuantumul tarifului prevăzut la art. 26 alin. (5) din Legea nr. 260/2007 este de 9.000 lei. … (2) Termenul de plată a tarifului prevăzut la alin. (1) este anterior transmiterii documentelor prevăzute la art. 4 alin. (1) către ANC. … (3) Plata tarifului de omologare se poate face: … a) prin decontare bancară, în contul ANC; … b) în numerar, la casieria ANC, cu respectarea plafonului zilnic stabilit prin Ordonanţa Guvernului nr. 15/1996 privind întărirea disciplinei financiar-valutare, aprobată, cu modificări şi completări, prin Legea nr. 131/1996, cu modificările ulterioare. … (4) În vederea îndeplinirii de către emitentul facturii în formă electronică care solicită omologarea sistemului informatic, în condiţiile prezentei decizii, a obligaţiei prevăzute la art. 4 alin. (1) lit. h), Direcţia economică din cadrul ANC, prin serviciul de specialitate, emite o factură fără taxă pe valoarea adăugată, după încasarea cuantumului tarifului de omologare. Factura emisă de ANC va conţine menţiunea expresă: "Factura a fost achitată cu O.P./Chitanţa nr. …../……". … +
Articolul 13Normele de performanţă şi securitate pe care trebuie să le îndeplinească sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică sunt prevăzute în anexa nr. 4. +
Articolul 14Anexele nr. 1-4 fac parte integrantă din prezenta decizie. +
Articolul 15Prezenta decizie se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la 3 zile de la data publicării.Preşedintele Autorităţii Naţionalepentru Comunicaţii,Dorin-Liviu NistoranBucureşti, 1 octombrie 2008.Nr. 888. +
Anexa 1CEREREde omologare a sistemului informatic Nr.*) …….. Data: …….. ┌────────────────┐ Către │Loc rezervat ANC│ AUTORITATEA NAŢIONALĂ PENTRU COMUNICAŢII │ │ │ │┌─────────────────────────────────────────────────────────────┴────────────────┤│Denumire/Nume şi prenume: │├──────────────────┬────────────────────────────────────┬──────────────────────┤│Statut: │[] persoană juridică │[] persoană fizică │├──────────────────┼────────────────────────────────────┼─────┬─────┬─────┬────┤│Sediu/domiciliu: │Stradă: │nr. │bl. │sc. │ap. ││ ├────────────────────────────────────┼─────┴─────┴─────┴────┤│ │Localitate: │Cod poştal: ││ ├────────────────────────────────────┴──────────────────────┤│ │Judeţul/Sectorul: ││ ├────────────────────────────┬──────────────────────────────┤│ │Telefon: │Fax: ││ ├────────────────────────────┼──────────────────────────────┤│ │E-mail: │Pagină de internet: │├──────────────────┼────────────────────────────┴───────┬─────┬─────┬─────┬────┤│Domiciliul fiscal:│Stradă: │nr. │bl. │sc. │ap. ││ ├────────────────────────────────────┼─────┴─────┴─────┴────┤│ │Localitate: │Cod poştal: ││ ├────────────────────────────────────┴──────────────────────┤│ │Judeţul/Sectorul: ││ ├────────────────────────────┬──────────────────────────────┤│ │Telefon: │Fax: │├──────────────────┴────────────────────────────┼──────────────────────────────┤│Cod de identificare fiscală/Cod unic │ ││de înregistrare (pentru persoane juridice): │ │├───────────────────────────────────────────────┼──────────────────────────────┤│CNP (pentru persoane fizice): │ │├───────────────────────────────────────────────┼──────────────────────────────┤│Cont: │Banca: │├─────────────┬─────────────────────────────────┴──────────┬───────────────────┤│Reprezentant │Nume: │Funcţie: ││legal: ├───────────────────┬────────────────────────┼───────────────────┤│ │Telefon: │Fax: │E-mail: │├─────────────┼───────────────────┴────────────────────────┼───────────────────┤│Persoană de │Nume: │Funcţie: ││contact: ├───────────────────┬────────────────────────┼───────────────────┤│ │Telefon: │Fax: │E-mail: │└─────────────┴───────────────────┴────────────────────────┴───────────────────┘–––Notă …
*) Numărul de ieşire din registrul de intrări-ieşiri al solicitantului şi data de înregistrare.Solicit eliberarea/reînnoirea deciziei de omologare a sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică.Ataşez prezentei cereri următoarele documente:[] raportul de audit;[] descrierea funcţională a sistemului informatic;[] planul de securitate a sistemului informatic;[] certificări din punctul de vedere al securităţii sistemului informatic;[] declaraţia pe propria răspundere a auditorului, prin care este exprimată independenţa sa faţă de subsemnatul şi de producătorul sistemului informatic auditat;[] dacă este cazul, descrierea echipamentelor necesare realizării procesului de conversie, în situaţia în care emitentul de drept al facturii în formă electronică are un contract valabil încheiat în baza căruia beneficiază de servicii de conversie a facturilor emise pe suport hârtie în facturi în formă electronică;[] dovada achitării tarifului de omologare.Semnătura reprezentantului legalşi ştampila solicitantului………………….. +
Anexa 2CONDIŢIIprivind auditorii, obiectivele auditului,conţinutul minimal al raportului de auditşi setul minimal de teste care sunt aplicatesistemului informatic în cursul procesului de auditI. Condiţii privind auditorii sistemelor informaticePersoana fizică sau angajatul persoanei juridice care realizează auditul trebuie să fie certificată/certificat ca auditor de sisteme informatice de către un organism general recunoscut în domeniu (ISACA – Asociaţia de Audit şi Control al Sistemelor Informatice/Information Systems Audit and Control Association).Auditorul trebuie să fie un terţ, care nu are raporturi de muncă cu persoana fizică sau juridică auditată, nu are interese financiare în legătură cu aceasta şi nu a fost implicat în ultimii 3 ani în proiecte de consultanţă care au ori au avut efect asupra sistemului auditat.II. Obiectivele audituluiScopul auditului îl constituie evaluarea sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică, precum şi evaluarea măsurilor organizatorice implementate în vederea operării sistemului informatic de către emitentul de facturi în formă electronică, în ceea ce priveşte îndeplinirea următoarelor cerinţe:1. sistemul informatic permite emiterea facturilor respectând formatul şi conţinutul stabilite de actele normative speciale;2. sistemul informatic permite emiterea facturilor conţinând semnătura electronică a emitentului facturii şi marca temporală care certifică momentul emiterii, în condiţiile anexei nr. 4 la ordin;3. sunt respectate următoarele principii privind securitatea operaţiunii de emitere a facturilor în formă electronică:a) confidenţialitatea şi integritatea datelor folosite în procesul de emitere a facturilor în formă electronică; … b) protecţia datelor cu caracter personal, inclusiv respectarea condiţiilor legale referitoare la prelucrarea datelor cu caracter personal; … c) continuitatea serviciului de facturare oferit clienţilor; … d) controlul accesului la sistemul de facturare electronică. … III. Conţinutul minimal al raportului de audit1. Introducere1.1. Elementele de identificare a auditorului, inclusiv prezentarea dovezii îndeplinirii condiţiilor de la pct. I;1.2. Perioada în care a fost efectuat auditul;1.3. Echipa de audit (pentru fiecare persoană se va preciza poziţia în cadrul echipei de audit, calificări, certificări, anexându-se documentele doveditoare).2. Metodologia utilizată2.1. Standardele pe baza cărora s-a desfăşurat procesul de audit;2.2. Planul de audit folosit;2.3. Descrierea metodelor prin care sunt evaluate obiectivele de audit.3. Descrierea sistemului auditat3.1. Descrierea entităţii auditate, cu prezentarea generală a sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică (inclusiv a aplicaţiilor software utilizate) şi a sistemelor informatice cu care acesta se află în relaţie de interdependenţă (prin relaţie de interdependenţă înţelegându-se faptul că respectivele sisteme nu îşi pot îndeplini în mod separat funcţiile); se vor descrie componentele sistemului informatic utilizat în procesul de facturare: aplicaţie/server/ sistem de operare/detalii configurare/locaţie/Administrare;3.2. Analiza riscurilor implicate de activitatea de facturare şi a posibilelor vulnerabilităţi ale sistemului informatic auditat faţă de aceste riscuri;3.3. Identificarea interdependenţelor sistemului de facturare cu celelalte sisteme informatice ale entităţii audiate, precum şi cu sisteme informatice aparţinând terţilor, cu precizarea vulnerabilităţilor determinate de aceste interdependenţe. În cazul existenţei unui sistem informatic integrat, care asigură şi alte procese ale entităţii auditate, se va determina întinderea părţii din sistemul informatic integrat care implică riscuri de securitate în ceea ce priveşte activitatea de emitere a facturilor în formă electronică;3.4. Descrierea fluxului datelor care sunt folosite la întocmirea facturii electronice, cu identificarea momentului intrării acestor date în sistemul informatic destinat operaţiunilor de emitere a facturilor în formă electronică. Se vor identifica aplicaţiile utilizate şi persoanele implicate: activitate/date de intrare/date de ieşire/responsabil/aplicaţie.4. Evaluarea sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică în raport cu obiectivele urmărite de audit4.1. Analiza fiecărei ameninţări de securitate şi a tipului de răspuns necesar în ceea ce priveşte următoarele componente:a) echipamentele hardware (inclusiv în ceea ce priveşte accesul persoanelor autorizate/neautorizate la acestea); … b) aplicaţiile software rulate de către sistemul informatic; … c) măsurile organizatorice: politicile aplicate şi procedurile folosite, inclusiv politica de personal; … 4.2. Testele efectuate în conformitate cu pct. III, inclusiv constatările şi recomandările aferente;4.3. Prezentarea măsurilor luate de entitatea auditată pentru minimizarea vulnerabilităţilor sistemului informatic, măsuri care pot afecta procesul de emitere a facturilor în formă electronică.5. Opinia de audit5.1. Datele de identificare a persoanei fizice sau juridice care are responsabilitatea juridică asupra auditului;5.2. Numele auditorului care semnează opinia şi data semnării;5.3. Afirmaţia de conformare a emitentului de facturi în formă electronică cu obiectivele auditate (opinie pozitivă), de conformare parţială cu obiectivele auditate, indicând punctele care trebuie îmbunătăţite (opinie cu rezerve/calificată), sau de neîndeplinire a obiectivelor auditate (opinie negativă).IV. Arii minime de control în cadrul procesului de audit1. Îndeplinirea cerinţelor legale referitoare la conţinutul facturii, semnătura electronică şi marca temporală1.1. Sistemul permite respectarea cerinţelor legale referitoare la forma şi conţinutul facturilor emise;1.2. Certificatul calificat aferent semnăturii electronice a emitentului facturii în formă electronică conţine informaţii privind identificatorul fiscal şi numărul notificării înregistrate la Ministerul Economiei şi Finanţelor;1.3. Certificatul calificat aferent semnăturii electronice a persoanelor care prestează servicii de emitere a facturilor în formă electronică pentru terţi conţine informaţii privind calitatea de furnizor de servicii şi datele sale de identificare;1.4. Emitentul ţine evidenţa facturilor electronice emise într-un registru electronic de evidenţă a facturilor în formă electronică, operarea în acest registru realizându-se conform regulilor de operare a registrelor similare pe suport hârtie, completate cu normele metodologice emise de Ministerul Economiei şi Finanţelor;1.5. Semnătura electronică extinsă ataşată facturii în formă electronică este generată folosind dispozitive securizate de creare a semnăturii electronice;1.6. Marca temporală ataşată facturii în formă electronică este generată respectând prevederile Legii nr. 451/2004 privind marca temporală;1.7. Accesul la dispozitivul de semnare este controlat.2. Conversia facturilor emise iniţial pe suport hârtie (acolo unde este cazul)2.1. Sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie permite reproducerea informaţiilor conţinute de factura emisă iniţial pe suport hârtie cu un grad înalt de precizie.2.2. Procedurile implementate asigură corectarea manuală a informaţiilor reproduse.2.3. Sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigură înscrierea precizării: "prezenta factură este conformă cu originalul emis iniţial pe suport hârtie având seria …, nr. …, din data de …, emisă de …".2.4. Sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigură ataşarea semnăturii electronice a furnizorului de servicii de facturare electronică, precum şi a mărcii temporale certificând momentul conversiei atât în cazul facturilor individuale, cât şi în cazul în care conversia se face pentru un pachet sau lot de facturi.3. Securitate3.1. Accesul la aplicaţia de facturare este restricţionat prin mecanisme de autentificare;3.2. Aplicaţia de facturare menţine un jurnal de acces şi operare;3.3. Accesul utilizatorilor la date nu este permis decât prin intermediul aplicaţiei;3.4. Parolele de acces ale utilizatorilor sunt stocate în formă criptată;3.5. Modul de utilizare a aplicaţiei este descris într-un manual;3.6. Sunt aplicate măsurile de securizare specifice sistemului de operare;3.7. Maşina pe care rulează aplicaţia este amplasată într-o incintă securizată;3.8. Actualizările de aplicaţie sau de sistem de operare sunt aplicate numai după o testare prealabilă;3.9. Testele efectuate înainte de utilizarea aplicaţiei şi de aplicarea eventualelor actualizări sunt documentate;3.10. Programul de interfaţă cu sistemul contabil menţine un jurnal de transfer;3.11. Modul de funcţionare a interfeţei cu sistemul contabil este documentat.4. Măsuri organizatorice4.1. Personalul este instruit în aspecte generale privind securitatea informaţiei, inclusiv protecţia la atacuri de tipul ingineriei sociale;4.2. Există o procedură de identificare şi raportare a incidentelor de securitate;4.3. Jurnalele de acces şi operare ale aplicaţiei sunt verificate periodic;4.4. Există clauze de confidenţialitate semnate cu furnizorii şi angajaţii;4.5. Echipamentele sunt asigurate prin contracte de garanţie şi reparaţii;4.6. Există suport pentru aplicaţie acordat de furnizor;4.7. Conturile de acces sunt individuale şi revizuite periodic;4.8. Parola de utilizare a conturilor de acces este confidenţială;4.9. Configuraţia aplicaţiei şi a serverului pe care rulează este documentată. +
Anexa 3DECIZIEde omologare a sistemului informaticÎn temeiul prevederilor art. 8 alin. (1), (3) şi (5) din Ordonanţa de urgenţă a Guvernului nr. 106/2008 privind înfiinţarea Autorităţii Naţionale pentru Comunicaţii şi ale art. 26 din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice,având în vedere dispoziţiile Deciziei preşedintelui Autorităţii Naţionale pentru Comunicaţii nr. 888/2008 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi Referatul de aprobare al Direcţiei IT şi protecţia informaţiilor, înregistrat la Autoritatea Naţională pentru Comunicaţii cu nr. …/…,preşedintele Autorităţii Naţionale pentru Comunicaţii emite prezenta decizie. +
Articolul 1În urma îndeplinirii procedurii de omologare a sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică aparţinând ……..(denumirea solicitantului)…….., Autoritatea Naţională pentru Comunicaţii atestă faptul că acest sistem îndeplineşte cerinţele Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice şi ale Deciziei preşedintelui Autorităţii Naţionale pentru Comunicaţii nr. 888/2008 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică. +
Articolul 2Prezenta decizie se comunică ……..(denumirea solicitantului)……… .Preşedinte,……………… +
Anexa 4NORME DE PERFORMANŢĂ ŞI SECURITATEcu privire la sistemele informatice utilizatede persoanele care emit, transmit sau arhivează facturi,chitanţe şi bonuri fiscale în formă electronicăI. Utilizarea unor sisteme informatice sigure joacă un rol esenţial în procesul de înregistrare a operaţiunilor comerciale prin mijloace electronice, reprezentând elementul-cheie pentru asigurarea unor servicii care să respecte principiile cerute de lege: garantarea autenticităţii, a originii şi a integrităţii conţinutului.Prezentul document stabileşte normele minimale de performanţă şi securitate care trebuie îndeplinite de către sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică, cărora le sunt aplicabile prevederile Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice. Normele de performanţă şi securitate sunt aplicabile proceselor de emitere, transmitere şi arhivare a facturilor, chitanţelor şi bonurilor fiscale realizate prin intermediul sistemelor informatice, completându-se cu celelalte acte normative în vigoare.Capacitatea sistemelor informatice de a emite facturi în formă electronică respectând aceste principii, precum şi conformitatea acestora cu prevederile legale vor fi garantate în urma unui proces de omologare, finalizat prin emiterea unei decizii de omologare a sistemului informatic. În cursul procedurii de omologare se va verifica respectarea condiţiilor minimale de performanţă şi securitate corespunzătoare procesului de emitere a facturilor în formă electronică (cap. III pct. 1 din prezentele norme).În continuare, prin documente contabile electronice se înţelege facturi, chitanţe şi bonuri fiscale în formă electronică, astfel cum acestea sunt definite la art. 4 din Legea nr. 260/2007.II. Sistemul informatic utilizat de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică va trebui să îndeplinească următoarele cerinţe minime de securitate, referitoare la:a) confidenţialitatea şi integritatea comunicaţiilor; … b) confidenţialitatea şi integritatea datelor; … c) autenticitatea părţilor; … d) protecţia datelor cu caracter personal; … e) continuitatea serviciilor oferite clienţilor; … f) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem; … g) restaurarea informaţiilor gestionate de sistem în cazul unor calamităţi naturale şi evenimente imprevizibile; … h) gestionarea şi administrarea sistemului informatic; … i) orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în siguranţă a sistemului. … III. Sistemul informatic utilizat de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică trebuie să asigure respectarea cerinţelor legale stabilite prin actele normative speciale pentru fiecare dintre cele 3 procese ale activităţii de înregistrare a operaţiunilor comerciale prin mijloace electronice:1. procesul de emitere a documentelor contabile electronice:a) procesul de generare a documentelor contabile electronice; … b) procesul de generare a semnăturii electronice şi a mărcii temporale pentru documentele contabile electronice; … c) procesul de conversie a documentelor contabile electronice – acolo unde este cazul; … 2. procesul de transmitere a documentelor contabile electronice;3. procesul de arhivare a documentelor contabile electronice.1. Procesul de emitere a documentelor contabile electronicea) Procesul de generare a documentelor contabile electronice … Sistemul informatic utilizat va trebui să permită respectarea conţinutului documentelor contabile electronice stabilit prin acte normative speciale şi includerea în documentele contabile electronice a informaţiilor stabilite prin aceste acte normative.Sistemul informatic trebuie să permită emiterea documentelor contabile electronice într-un format static, fără posibilitatea de modificare a documentului respectiv.b) Procesul de generare a semnăturii electronice şi a mărcii temporale pentru documentele contabile electronice … Generarea semnăturii electronice şi aplicarea mărcii temporale pentru documentele contabile electronice trebuie să fie făcute în mod automat. Sistemul informatic nu trebuie să permită emiterea documentului contabil electronic în absenţa acestor două elemente.Semnătura electronică extinsă ataşată documentului contabil electronic trebuie generată folosindu-se dispozitive securizate de creare a semnăturii electronice, astfel cum sunt definite la art. 4 pct. 8 din Legea nr. 455/2001 privind semnătura electronică, şi să se bazeze pe un certificat calificat emis în condiţiile Legii nr. 455/2001 de către un furnizor acreditat.Certificatul va fi emis special în scopul desfăşurării activităţii de înregistrare a operaţiunilor comerciale prin mijloace electronice şi va conţine atributele specifice ale semnatarului prevăzute la art. 9 alin. (2) din Legea nr. 260/2007, alături de celelalte informaţii prevăzute în Legea nr. 455/2001.Furnizorii de servicii de facturare electronică care emit facturi în formă electronică în numele unor terţi, în condiţiile art. 17 din Legea nr. 260/2007, vor folosi propriul certificat aferent semnăturii electronice aplicate facturilor. Certificatul va trebui să indice informaţiile prevăzute la art. 17 alin. (2) din Legea nr. 260/2007. Furnizorii de servicii pot folosi acelaşi certificat pentru emiterea de documente contabile electronice în numele mai multor terţi.Sistemul informatic trebuie să fie capabil să realizeze marcarea temporală a documentelor contabile electronice. Procesul de marcare temporală trebuie să fie conform cu cerinţele Legii nr. 451/2004 privind marca temporală.c) Procesul de conversie a documentelor contabile electronice … Procesul de conversie a documentelor contabile electronice reprezintă reproducerea în formă electronică de către un furnizor de servicii de facturare electronică a informaţiilor conţinute în factura emisă pe suport hârtie.Furnizorii de servicii de facturare electronică care prestează şi servicii de conversie în formă electronică a facturilor emise pe suport hârtie, în condiţiile art. 18 din Legea nr. 260/2007, trebuie să folosească sisteme informatice care să permită reproducerea informaţiilor conţinute de factura emisă iniţial pe suport hârtie cu un grad înalt de precizie. Erorile apărute trebuie corectate prin verificarea manuală a corectitudinii informaţiilor reproduse. În cazul reproducerii prin scanare, informaţiile conţinute în factura emisă iniţial pe suport hârtie trebuie să fie lizibile.Factura în formă electronică rezultată în urma conversiei din format material dobândeşte calitatea de document justificativ, având acelaşi regim juridic ca şi factura originală din care s-a făcut conversia.Prevederile privind conversia în formă electronică a facturilor emise iniţial pe suport hârtie sunt aplicabile şi documentelor aferente tranzacţiilor înregistrate prin intermediul caselor de marcat.2. Procesul de transmitere a documentelor contabile electroniceUtilizarea semnăturii electronice şi a mărcii temporale garantează integritatea documentelor contabile electronice, orice modificare asupra conţinutului unui document determinând pierderea valabilităţii semnăturii electronice şi, prin consecinţă, a documentului.Modalitatea de transmitere a documentelor contabile electronice este stabilită de comun acord de către emitentul şi beneficiarul acestora. De asemenea, prin acordul părţilor se va stabili nivelul de securitate care va fi utilizat. Astfel, emitentul şi beneficiarul documentelor contabile electronice pot stabili prin acord transmiterea criptată a acestora sau orice alte măsuri de securitate considerate necesare.3. Procesul de arhivare a documentelor contabile electroniceÎn procesul de arhivare a documentelor contabile electronice se vor aplica dispoziţiile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică.Autenticitatea şi integritatea conţinutului facturii în formă electronică, precum şi asigurarea accesului la aceasta trebuie să fie garantate pe toată durata legală de stocare a facturii.Verificarea semnăturilor electronice ataşate documentelor contabile electronice permite validarea faptului că aceste două caracteristici – autenticitatea şi integritatea – sunt îndeplinite.Sistemul informatic trebuie să permită arhivarea atât a documentului contabil electronic, cât şi a tuturor datelor necesare verificării semnăturii electronice şi mărcii temporale ataşate facturii, pe toată durata legală de stocare a acesteia.Asigurarea posibilităţii validării semnăturii electronice şi a mărcii temporale folosite în procesul de emitere a documentelor contabile electronice presupune ca, la data efectuării verificării, să fie disponibile următoarele informaţii:1. certificatul utilizat pentru semnarea documentului contabil electronic şi pentru emiterea mărcii temporale;2. lista certificatelor revocate;3. algoritmii folosiţi în procesele criptografice.Posibilitatea de verificare pe termen lung a autenticităţii documentului contabil electronic (prin validarea semnăturii electronice şi a mărcii temporale aplicate) se bazează pe următoarele 3 elemente:1. determinarea momentului creării documentului;2. determinarea faptului că momentul în care certificatul pe care se bazează semnătura documentului a expirat sau a fost revocat a fost ulterior momentului în care documentul a fost creat şi semnat;3. păstrarea în condiţii de securitate a documentului, mai ales în cazul în care, după data semnării, algoritmul sau cheia privată folosită la semnare a fost compromis/compromisă.Sistemul informatic trebuie să permită păstrarea informaţiilor din care este constituit documentul contabil electronic fără niciun fel de alterare pe toată această perioadă. Emitentul documentului contabil electronic poate decide asupra oricărui mediu de stocare a facturilor care să garanteze respectarea condiţiilor de mai sus. Este recomandabilă folosirea unor dispozitive de stocare permanentă care să nu permită ştergerea, rescrierea sau modificarea datelor.Arhivarea trebuie realizată cu ajutorul unor echipamente informatice adecvate şi în amplasamente având facilităţi speciale care asigură securitatea şi accesibilitatea informaţiilor arhivate. Se vor asigura operaţiuni de back-up periodic al informaţiilor stocate. Este necesară asigurarea securităţii informaţiilor stocate în ceea ce priveşte atât accesul fizic la echipamentele folosite, cât şi accesul de la distanţă, evitându-se apariţia breşelor de securitate.IV. Standarde recomandate● ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES);● ETSI TS 101 733, Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats;● ITU-T Recommendation X.509 (2001) │ ISO/IEC 9594-8: 2001 – Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks;● ITU-T Recommendation X.520 (2001) │ ISO/IEC 9594-6:2001 – Information technology – Open Systems Interconnection – The Directory: Selected attribute types;● ITU-T Recommendation X.521 (2001) │ ISO/IEC 9594-7:2001 – Information technology – Open Systems Interconnection – The Directory: Selected object classes;● ETSI TS 101 862: Qualified Certificates profile V1.3.2 (2004-06);● IETF RFC 3280 – Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List;● Pentru a asigura cerinţa de interoperabilitate, se recomandă folosirea următoarelor formate pentru facturile electronice:– formate compatibile cu limbajul de marcare XML (Extensible Markup Language);– PDF – Portable Document Format.––––
