Notă …
Aprobate prin DECIZIA nr. 549 din 9 octombrie 2020, publicată în Monitorul Oficial, Partea I, nr. 962 din 20 octombrie 2020. +
Capitolul IDispoziții generale +
Articolul 1(1)Prezentele norme se aplică activității de marcare temporală și stabilesc procedura de notificare a Autorității pentru Digitalizarea României în vederea începerii furnizării serviciilor de marcare temporală, procedurile de generare și verificare a mărcilor temporale, precum și condițiile de creare și menținere a registrului electronic de evidență a furnizorilor de servicii de marcare temporală.(2)Orice persoană fizică sau juridică poate beneficia de servicii de marcare temporală în condițiile Legii nr. 451/2004 privind marca temporală și ale prezentelor norme tehnice.(3)Instituțiile din domeniul apărării, ordinii publice și siguranței naționale pot utiliza serviciile de marcare temporală furnizate de oricare dintre aceste instituții în cadrul sistemelor informatice gestionate de către acestea, cu condiția să fi fost acreditate anterior ca furnizori de servicii de marcare temporală proprii.(la 21-10-2022,
Alineatul (3) din Articolul 1 , Capitolul I a fost modificat de Articolul I din DECIZIA nr. 631 din 4 octombrie 2022, publicată în MONITORUL OFICIAL nr. 1024 din 21 octombrie 2022
)
(4)Furnizarea serviciilor de marcare temporală între instituțiile prevăzute la alin. (3) se face pe bază de cerere expresă depusă de către instituția ce dorește a utiliza serviciile de marcare temporală ale unui furnizor acreditat pentru nevoi proprii și prin încheierea unor acorduri între părți, acorduri care includ inclusiv modalitățile de despăgubire în cazul producerii unui prejudiciu.(5)Furnizarea serviciilor de marcare temporală în condițiile alin. (3) se poate realiza numai după transmiterea către ADR, cu 15 zile înainte de începerea furnizării, a unei notificări împreună cu codul de practici și proceduri și politica de securitate actualizate.(6)Drepturile și obligațiile prevăzute prin prezenta decizie pentru utilizatori sunt aplicabile personalului abilitat să utilizeze marca temporală în cadrul acestor instituții.(7)Instituțiile din domeniul apărării, ordinii publice și siguranței naționale care furnizează servicii de marcare temporală ce urmează a fi folosite exclusiv în sisteme care fac parte dintr-un sistem informatic acreditat pentru gestionarea informațiilor clasificate secret de stat sunt exceptate de la obligațiile prevăzute prin prezenta decizie referitoare la publicarea în mediul online a unor informații, stabilind în acest sens proceduri interne privind accesul personalului abilitat la respectivele informații. +
Articolul 2În înțelesul prezentelor norme tehnice, următorii termeni se definesc astfel: a)ADR – Autoritatea pentru Digitalizarea României; … b)serviciu de marcare temporală – serviciul prin care unor date în formă electronică li se asociază, printr-un mecanism de încredere, o marcă temporală; … c)furnizor de servicii de marcare temporală (furnizor) – orice persoană, fizică sau juridică, care oferă servicii de marcare temporală în conformitate cu prevederile Legii nr. 451/2004 și ale prezentelor norme tehnice; … d)utilizator – orice persoană, fizică sau juridică, care, în baza unui contract încheiat cu un furnizor, beneficiază de servicii de marcare temporală; … e)cheie privată – codul digital, cu caracter de unicitate, generat printr-un dispozitiv hardware și/sau software specializat; … f)cheie publică – codul digital, pereche a cheii private, necesar verificării mărcii temporale; … g)date de verificare a mărcii temporale – datele în formă electronică, cum ar fi coduri sau chei publice, utilizate în scopul verificării unei mărci temporale; … h)dispozitiv criptografic securizat – un dispozitiv hardware cu un înalt grad de fiabilitate, protejat împotriva modificărilor și a utilizării neautorizate, care asigură un grad înalt de securitate a operațiilor criptografice în conformitate cu cerințele Legii nr. 455/2001 privind semnătura electronică, republicată, cu completările ulterioare; … i)politica de marcare temporală – regulile și principiile generale aplicate de furnizor în procesul de emitere și administrare a mărcilor temporale; … j)funcție hash-code – algoritmul aplicat asupra unui document electronic, care creează o amprentă unică a acelui document; … k)SHA – algoritm securizat de hash-code (Secure Hash Algorithm); … l)RFC – documentele care au fost supuse analizei publice în cadrul unui proces coordonat de Grupul de lucru pentru ingineria internetului; … m)extensie de tip critic pentru marcare temporală – extensia unui certificat calificat care trebuie procesată în mod obligatoriu de aplicația care îl utilizează, limitând folosirea cheii private asociate certificatului exclusiv la aplicarea semnăturii electronice extinse din cadrul unei mărci temporale. … +
Capitolul IIAutoritatea de reglementare și supraveghere +
Articolul 3În conformitate cu dispozițiile art. 5 lit. f) pct. 15 din Hotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare, ADR exercită atribuțiile care revin autorității de reglementare și supraveghere în domeniul marcării temporale. +
Articolul 4(1)În cadrul Registrului furnizorilor de servicii de certificare prevăzut la art. 28 din Legea nr. 455/2001, republicată, cu completările ulterioare, ADR va crea o secțiune distinctă pentru înregistrarea furnizorilor de servicii de marcare temporală.(2)ADR gestionează Registrul furnizorilor de servicii de marcare temporală, denumit în continuare registru. Forma acestui registru este prevăzută în anexa nr. 1.(3)Actualizarea registrului se efectuează exclusiv de către personalul ADR desemnat în acest sens și vizează toate modificările privind activitatea furnizorului, precum și alte informații relevante furnizate de acesta. +
Articolul 5ADR va face publice, prin intermediul paginii de internet, următoarele date din registru: a)tipul furnizorului – persoană fizică sau juridică; … b)numele și prenumele sau denumirea furnizorului, după caz; … c)forma de organizare a furnizorului persoană juridică – societate comercială, regie autonomă, instituție publică, organizație neguvernamentală; … d)domiciliul sau sediul – țară, oraș, județ/sector, stradă, număr, bloc, scară, etaj, apartament, cod poștal, telefon, fax, e-mail, adresă în pagina web; … e)cetățenia, pentru persoana fizică, sau naționalitatea, pentru persoana juridică; … f)data la care și-a început activitatea de furnizare de servicii de marcare temporală; … g)cheia publică a furnizorului; … h)descrierea politicii de marcare temporală a furnizorului; … i)situația activității furnizorului – operațională, suspendată, încetată, în curs de transferare, în curs de remediere a unor probleme identificate de ADR, cu indicarea termenului-limită; … j)istoricul furnizorului – data de începere a activității, perioade de suspendare, alte situații asemănătoare. … +
Articolul 6(1)ADR are obligația de a păstra confidențialitatea informațiilor primite de la furnizorul de servicii de marcare temporală, cu excepția celor prevăzute de Legea nr. 451/2004 și de prezentele norme tehnice ca fiind publice.(2)ADR poate încheia un acord de confidențialitate asupra informațiilor primite de la furnizorul de servicii de marcare temporală, la cererea acestuia.(3)Personalul cu atribuții de control din cadrul ADR este obligat să păstreze confidențialitatea datelor de care a luat cunoștință cu ocazia exercitării atribuțiilor de control în ceea ce privește activitatea furnizorilor de servicii de marcare temporală. +
Capitolul IIIFurnizorii de servicii de marcare temporală +
Secţiunea 1Dispoziții comune +
Articolul 7(1)Orice persoană care intenționează să furnizeze servicii de marcare temporală are obligația să notifice ADR cu privire la data începerii activității. (2)Notificarea se va realiza prin completarea formularului-tip prevăzut în anexa nr. 2 și va fi transmisă ADR cu 30 de zile înainte de începerea activității constând în furnizarea de servicii de marcare temporală. (3)Furnizorul are obligația de a transmite ADR, ca anexă la notificare, informațiile și documentele prevăzute la art. 6 alin. (2) din Legea nr. 451/2004 privind marca temporală, precum și orice informații referitoare la activitatea de furnizare de servicii de marcare temporală stabilite de autoritate prin prezentele norme tehnice și în anexa nr. 2. (4)În cazul în care nu sunt îndeplinite cerințele privind forma și conținutul notificării prevăzute la alin. (2) și (3), ADR, în termen de 10 zile de la primirea notificării, poate solicita în scris furnizorului îndeplinirea acestora. (5)Notificarea este considerată realizată în conformitate cu prevederile legale numai în condițiile în care au fost îndeplinite toate cerințele privind forma și conținutul.(6)Furnizorii au obligația de a comunica ADR, cu cel puțin 30 de zile în avans, orice intenție de modificare a procedurilor de securitate a sistemului informatic utilizat, cu precizarea datei și a orei la care modificarea intră în vigoare, precum și obligația de a confirma, în termen de 24 de ore, modificarea efectuată.(7)În cazuri urgente în care securitatea serviciilor de marcare temporală este afectată, furnizorii pot efectua modificări ale procedurilor de securitate, urmând să comunice ADR, în termen de 24 de ore, modificările efectuate și justificarea deciziei luate.(8)Furnizorii de servicii de marcare temporală sunt obligați să respecte, pe parcursul desfășurării activității, procedurile de securitate și de certificare declarate potrivit alin. (2)-(5). Aceștia vor furniza servicii de marcare temporală în conformitate cu politica de marcare temporală declarată. +
Articolul 8(1)Furnizorul este obligat să genereze sau să achiziționeze o pereche funcțională cheie privată – cheie publică și să își protejeze cheia privată prin utilizarea unui dispozitiv criptografic securizat, luând măsurile necesare pentru a preveni pierderea, dezvăluirea, modificarea sau utilizarea neautorizată a cheii sale private.(2)Perechea funcțională prevăzută la alin. (1) va fi folosită exclusiv în scopul aplicării semnăturii electronice asupra mărcilor temporale emise.(3)Cheia privată nu poate fi dedusă în niciun fel din cheia sa publică pereche.(4)Furnizorul de servicii de marcare temporală trebuie să dețină certificatul corespunzător cheii publice, pe baza căruia se va putea verifica semnătura asupra mărcii temporale.(5)Certificatul utilizat pentru marcarea temporală va fi transmis ADR și în formă electronică, odată cu notificarea începerii activității. +
Articolul 9Furnizorii de servicii de marcare temporală au obligația să respecte dispozițiile legale din domeniul prelucrării datelor cu caracter personal. +
Articolul 10(1)Furnizorii de servicii de marcare temporală au obligația de a crea și de a menține un registru electronic operativ de evidență a mărcilor temporale.(2)Registrul electronic operativ de evidență a mărcilor temporale trebuie să conțină cel puțin următoarele informații: a)toate mărcile temporale emise de către furnizorul de servicii de marcare temporală, cuprinzând, pe lângă marca temporală propriu-zisă, și date referitoare la marca temporală și la certificatul utilizat; … b)înregistrări ale evenimentelor apărute în sistemul informatic utilizat pentru generarea mărcilor temporale. … (3)Informațiile prevăzute la alin. (2) lit. a) trebuie să fie disponibile permanent pentru consultare pe pagina de internet a furnizorului.(4)Furnizorul de servicii de marcare temporală are obligația de a transmite, la cerere, către ADR informațiile prevăzute la alin. (2) lit. b).(5)Structura și condițiile de exploatare ale Registrului electronic operativ de evidență a mărcilor temporale sunt prevăzute în anexa nr. 3. +
Articolul 11(1)Furnizorii de servicii de marcare temporală trebuie să aducă la cunoștința tuturor utilizatorilor termenii și condițiile care privesc utilizarea serviciilor de marcare temporală, și anume: a)datele de contact ale furnizorului; … b)politica de marcare temporală aplicată; … c)standardele tehnice aplicabile; … d)precizia timpului din mărcile temporale; … e)orice limitări în folosirea serviciului de marcare temporală; … f)obligațiile utilizatorului; … g)informații despre cum trebuie verificată marca temporală și orice limitări posibile asupra perioadei de valabilitate; … h)descrierea practicilor, procedurilor și sistemelor care asigură securitatea și integritatea datelor, accesul autorizat permanent la acestea și modalitățile de prevenire a accesului neautorizat (codul de practici și proceduri); … i)politica privind protecția datelor cu caracter personal; … j)perioada de timp în care sunt păstrate înregistrările referitoare la evenimente ale furnizorului; … k)disponibilitatea serviciilor. … (2)Informațiile prevăzute la alin. (1) vor fi disponibile pe pagina de internet a furnizorului de servicii de marcare temporală. +
Articolul 12(1)Furnizorul de servicii de marcare temporală trebuie să îndeplinească următoarele condiții: a)să dispună de mijloace financiare și de resurse materiale, tehnice și umane corespunzătoare pentru garantarea securității, fiabilității și continuității serviciilor oferite; … b)să dovedească ADR că dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfășurării activității de marcare temporală și că este capabil să acopere pierderile suferite de către o persoană care își întemeiază conduita pe efectele juridice ale mărcilor temporale, în condițiile prevăzute la art. 10 din Legea nr. 451/2004, până la concurența echivalentului în lei al sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de către furnizor a unei obligații prevăzute de lege. Furnizorul va trebui să depună la ADR o scrisoare de garanție din partea unei instituții financiare de specialitate sau o poliță de asigurare la o societate de asigurări în favoarea ADR, în valoare cel puțin egală cu echivalentul în lei al sumei de 300.000 euro; … c)să folosească personal având cunoștințe de specialitate, experiență și calificare necesare pentru furnizarea serviciilor respective; … d)să utilizeze numai dispozitive criptografice securizate pentru efectuarea operațiilor criptografice implicate în procesul generării mărcii temporale; … e)să utilizeze un sistem informatic care să respecte cerințele de securitate prevăzute la art. 4 alin. (1) din Legea nr. 451/2004; … f)să păstreze toate informațiile necesare pentru a putea face dovada marcării temporale în cazul unui eventual litigiu (înregistrări ale mărcilor temporale emise, documentația aferentă algoritmilor și procedurilor de generare a mărcilor temporale emise, alte documente) pentru o perioadă de minimum 10 ani de la data emiterii. … (2)În vederea îndeplinirii obligației prevăzute la alin. (1) lit. e), furnizorul de servicii de marcare temporală va publica documentația aferentă mecanismului implementat în vederea îndeplinirii acestei obligații, iar o copie a documentației va fi transmisă ADR odată cu notificarea începerii activității.(3)Prin excepție de la prevederile alin. (1) lit. b), pentru instituțiile prevăzute la art. 1 alin. (3), cuantumul garanției se stabilește prin acorduri între părți, la propunerea conducerii instituțiilor respective, proporțional cu prejudiciile create în anul anterior, stabilite prin decizii judecătorești definitive. Certificatul asociat mărcii temporale va conține mențiuni referitoare la limitări privind utilizarea acestuia. +
Articolul 13Orice persoană, fizică sau juridică, ce dorește să beneficieze de servicii de marcare temporală trebuie: a)să furnizeze informațiile referitoare la identitatea sa; … b)să respecte limitările impuse de furnizorul de servicii de marcare temporală. … +
Secţiunea a 2-aMecanismul marcării temporale a documentelor +
Articolul 14(1)Marcarea temporală este realizată cu respectarea următoarelor etape: a)utilizatorul transmite furnizorului o cerere de emitere a mărcii temporale pentru un anumit document electronic. Cererea va conține amprenta digitală a documentului pentru care se face cererea, amprentă creată prin intermediul aplicării unei funcții hash-code asupra documentului; … b)într-un interval de timp stabilit prin politica de marcare temporală, furnizorul de servicii de marcare temporală execută următoarele operațiuni asupra amprentei digitale a documentului primit de la utilizator, folosind un sistem informatic sigur, care îndeplinește cerințele de securitate prevăzute la art. 4 din Legea nr. 451/2004: 1.aplică informația de timp, raportându-se la baza de timp; … 2.aplică celelalte date prevăzute de Legea nr. 451/2004 și orice alte date prevăzute în politica sa de marcare temporală care nu contravin prevederilor legale și standardelor recunoscute în materie; … 3.semnează electronic cu semnătură electronică extinsă bazată pe un certificat calificat; … … c)în urma acestor operațiuni rezultă marca temporală care este transmisă utilizatorului. … (2)Autenticitatea mărcii temporale poate fi verificată de către terți pe baza documentului original, a mărcii temporale, a cheii publice a furnizorului de servicii de marcare temporală și a funcției hash-code utilizate pentru crearea amprentei digitale a documentului. +
Articolul 15(1)Furnizorul de servicii de marcare temporală trebuie să utilizeze informația de timp furnizată de furnizorul unic de bază de timp.(2)Furnizorul unic de bază de timp este Sistemul informatic pentru furnizarea orei oficiale a României.(3)Sursa de timp folosită de către furnizorul de servicii de marcare temporală trebuie să fie sincronizată cu referința de timp oferită de furnizorul unic de bază de timp, abaterea maximă admisă fiind de +/–1 secundă.(4)Furnizorul de servicii de marcare temporală are obligația de a lua toate măsurile pentru calibrarea echipamentelor, astfel încât valoarea prevăzută la alin. (3) să nu fie depășită.(5)În situația în care detectează cazuri în care au fost emise mărci temporale cu depășirea valorii prevăzute la alin. (3), furnizorul va transmite ADR o înștiințare în acest sens.(6)Furnizorul are obligația de a păstra datele care dovedesc respectarea valorii prevăzute la alin. (3) și de a le pune la dispoziția ADR, la cerere. +
Articolul 16(1)Furnizorul de servicii de marcare temporală este obligat să pună la dispoziția utilizatorilor software-ul necesar pentru utilizarea serviciului.(2)Furnizorul trebuie să ofere utilizatorilor următoarele informații despre software-ul pus la dispoziție: a)condițiile în care este disponibil software-ul; … b)instrucțiunile de folosire; … c)obligațiile utilizatorului; … d)orice alte limitări privind utilizarea software-ului. … (3)Software-ul pus la dispoziție de către furnizorul de servicii de marcare temporală trebuie să permită utilizatorului să verifice dacă marcarea temporală a fost realizată în mod corect, prin analiza automată cel puțin a următoarelor elemente: a)structura mărcii temporale; … b)amprenta din marca temporală; … c)semnătura electronică a mărcii temporale, respectiv validitatea certificatului folosit pentru semnare. … +
Articolul 17(1)Marca temporală va avea structura stabilită în anexa nr. 4.(2)De asemenea, marca temporală trebuie să includă: a)un identificator pentru țara în care furnizorul de servicii de marcare temporală este stabilit, acolo unde este aplicabil; … b)un identificator pentru furnizorul de servicii de marcare temporală, care va conține cel puțin numărul de ordine din registru; … c)un identificator pentru unitatea care emite mărci temporale. … (3)Datele prevăzute la alin. (2) se vor introduce în marca temporală folosindu-se câmpul „tsa“ din cadrul structurii mărcii temporale. Introducerea acestui câmp este obligatorie.(4)ADR va publica eventualele modificări ale formatului descris în anexa nr. 4, pe baza evoluției tehnologiilor sau a normelor internaționale recunoscute în domeniu. +
Articolul 18(1)În vederea asigurării conformității cu cerințele Legii nr. 451/2004 și ale prezentelor norme tehnice, se recomandă respectarea următoarelor standarde și recomandări de către furnizorii de servicii de marcare temporală: a)SR ETSI TS 101 861 V1.2.1: 2005 Profil de marcare temporală sau versiuni ulterioare; … b)SR ETSI TS 101 862 V1.3.2: 2005 Profil de certificat calificat sau versiuni ulterioare; … c)SR ETSI TS 102 023 V1.2.1: 2005 Semnături electronice și infrastructuri (ESI) sau versiuni ulterioare. Cerințe privind politica pentru autoritățile de marcare temporală; … d)SR ISO/CEI 18014-1: 2005 Tehnologia informației sau versiuni ulterioare. Tehnici de securitate. Servicii de marcare temporală. Partea 1: Cadru; … e)SR ISO/CEI 18014-2: 2005 Tehnologia informației sau versiuni ulterioare. Tehnici de securitate. Servicii de marcare temporală. Partea 2: Mecanisme care produc mărci temporale independente sau SR ISO/CEI 18014-3: 2005 sau versiuni ulterioare Tehnologia informației. Tehnici de securitate. Servicii de marcare temporală. Partea 3: Mecanisme care produc mărci temporale înlănțuite; … f)SR ISO/CEI TR 14516: 2005 Tehnologia informației sau versiuni ulterioare. Tehnici de securitate. Îndrumări pentru utilizarea și administrarea serviciilor părților terțe de încredere; … g)Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP): IETF RFC 3161; … h)Cryptographic Message Syntax: IETF RFC 2630; … i)Internet X.509 Public Key Infrastructure Certificate and CRL Profile: IETF RFC 2459; … j)Date and Time on the Internet: Timestamps: IETF RFC 3339. … (2)Furnizorii au obligația de a pune la dispoziția publicului, pe pagina proprie de internet, informații privind standardele pe care le aplică în cadrul activității propriu-zise de generare a mărcii temporale și procedurile de securitate utilizate.(3)Instituțiile prevăzute la art. 1 alin. (3) au obligația de a pune la dispoziția beneficiarilor, pe pagina proprie de internet, informații privind standardele pe care le aplică în cadrul activității propriu-zise de generare a mărcii temporale și procedurile de securitate utilizate. +
Articolul 19(1)Amprenta digitală utilizată în procesul de marcare temporală, creată prin intermediul aplicării unei funcții hash-code asupra unui document în formă electronică, trebuie să aibă următoarele caracteristici: a)să permită identificarea unică a documentului în formă electronică, datorită imposibilității practice de a crea amprente identice pentru documente diferite; … b)să nu permită deducerea conținutului documentului respectiv, datorită imposibilității practice de a reconstitui conținutul documentului original pe baza amprentei. … (2)Furnizorul folosește doar funcția hash-code SHA1 (opțional SHA2) și algoritmul de criptare RSA. Este interzisă folosirea teoremei chinezești a resturilor. +
Articolul 20(1)Certificatul furnizorului de servicii de marcare temporală trebuie să fie emis de un furnizor de servicii de certificare acreditat în condițiile Legii nr. 455/2001 privind semnătura electronică, republicată, cu completările ulterioare.(2)Certificatul furnizorului va conține în mod obligatoriu extensia pentru marcare temporală prevăzută în standardele internaționale în vigoare (RFC 3161 – protocol de marcă temporală, secțiunea 2.3). Extensia trebuie să fie de tip critic. +
Articolul 21Marca temporală va fi transmisă solicitantului prin mecanismele de transport prevăzute în standardul internațional RFC 3161 – protocol de marcă temporală, secțiunea a 3-a. Se va implementa în mod obligatoriu cel puțin protocolul HTTP. +
Articolul 22(1)Serviciul de verificare a mărcilor temporale se asigură către terți și este menționat expres în contractul încheiat între furnizorul de servicii de marcă temporală și utilizator.(2)Verificarea trebuie să poată fi realizată automat, online, fiind accesibilă oricărei persoane fizice sau juridice care își bazează conduita pe efectele juridice ale unei mărci temporale.(3)Instituțiile prevăzute la art. 1 alin. (3) vor aduce la cunoștința personalului propriu existența și modul de funcționare a Serviciului de verificare a mărcilor temporale prin documentele aferente procedurilor interne stabilite. Verificarea mărcilor temporale se va face, pentru persoanele ce justifică accesul la documentul căruia i-a fost atașată o marcă temporală de către sistem, printr-o procedură distinctă, în afara sistemului informatic acreditat pentru gestionarea informațiilor clasificate secret de stat. Procedura va fi auditată și publicată pe pagina proprie de internet a furnizorului de servicii de marcare temporală din cadrul instituțiilor din domeniul apărării, ordinii publice și siguranței naționale. +
Secţiunea a 3-aAcreditarea furnizorilor de marcare temporală +
Articolul 23(1)În termen de 30 de zile de la data transmiterii unei notificări în conformitate cu prevederile legale, ADR acreditează persoana în cauză ca furnizor de servicii de marcare temporală și înscrie în registru mențiunea în acest sens. (2)Acreditarea se realizează prin decizie a președintelui ADR, care va avea forma și conținutul prevăzute în anexa nr. 6.(3)Acreditarea se acordă pe o perioadă de 3 ani.(4)În cazul neîndeplinirii cerințelor de acreditare, ADR va comunica persoanei care intenționa să furnizeze servicii de marcare temporală motivul neacordării acreditării. +
Secţiunea a 4-aSuspendarea sau încetarea activității furnizorilor de servicii de marcare temporală +
Articolul 24(1)În conformitate cu prevederile art. 9 alin. (4) din Legea nr. 451/2004 și cele ale art. 5 lit. f) pct. 13 din Hotărârea Guvernului nr. 89/2020, controlul respectării dispozițiilor Legii nr. 451/2004, precum și ale prezentei decizii revine ADR, care acționează prin personalul de control de specialitate împuternicit în acest scop.(2)ADR are dreptul de a efectua controale asupra furnizorilor de servicii de marcare temporală, din oficiu sau la solicitarea oricărei persoane interesate.(3)În vederea exercitării atribuțiilor de control, personalul împuternicit în acest scop este autorizat în limitele legii: a)să aibă acces liber, permanent, în orice loc în care se află echipamentele necesare furnizării serviciilor de marcare temporală; … b)să solicite orice document sau informație necesară în vederea verificării respectării obligațiilor ce incumbă furnizorului de servicii de marcare temporală; … c)să verifice punerea în aplicare a oricăror proceduri utilizate de către furnizorul de servicii de marcare temporală supus controlului; … d)să sigileze orice echipamente necesare furnizării de servicii de marcare temporală sau să rețină orice document care are legătură cu această activitate, pe o perioadă care nu poate depăși 15 zile, dacă aceste măsuri se impun. … +
Secţiunea a 5-a Măsuri tranzitorii +
Articolul 25(1)Furnizorii de servicii de marcare temporală deja înscriși în registrul furnizorilor la data publicării prezentelor norme tehnice trebuie să își actualizeze și să redepună documentația de acreditare la ADR în termen de 12 luni de la data publicării prezentelor norme tehnice.(2)ADR va dispune, prin decizie, suspendarea activității furnizorului de servicii de marcare temporală până la încetarea cauzelor care au determinat luarea măsurii, în următoarele situații: a)furnizorul nu respectă politica de marcare temporală și procedurile de securitate declarate, într-un mod în care afectează securitatea procesului de marcare temporală; … b)furnizorul încalcă obligația prevăzută la art. 5 alin. (1) din Legea nr. 451/2004; … c)odată cu aplicarea sancțiunilor contravenționale prevăzute la art. 12 din Legea nr. 451/2004; … d)furnizorul nu respectă obligațiile prevăzute la art. 7 alin. (6) și art. 15; … e)furnizorul nu remediază în termenul stabilit de ADR orice alte deficiențe apărute ca urmare a nerespectării prevederilor Legii nr. 451/2004 și ale prezentelor norme tehnice și constatate cu prilejul efectuării controalelor de către ADR. … (3)Odată cu comunicarea deciziei de suspendare temporară a activității, ADR comunică furnizorului un termen în care trebuie să remedieze problemele care au determinat luarea acestei măsuri. Termenul nu poate fi mai mic de 30 de zile. Furnizorul poate solicita motivat prelungirea acestui termen.(4)Suspendarea activității încetează în momentul în care furnizorul face dovada încetării cauzelor care au determinat luarea măsurii.(5)Dacă furnizorul nu remediază problemele care au determinat suspendarea în termenul stabilit în condițiile alin. (2), ADR va dispune, prin decizie, încetarea activității acestuia.(6)În perioada în care activitatea sa este suspendată, furnizorul are obligația să asigure continuarea funcționării serviciului de verificare a mărcilor temporale, precum și consultarea în regim on-line a registrului electronic, cu excepția cazului în care deficiențele se găsesc la nivelul acestor sisteme. +
Articolul 26(1)În cazul în care furnizorul intenționează să înceteze activitățile legate de marcarea temporală, va informa ADR, cu cel puțin 30 de zile în avans, despre intenția sa, respectiv despre existența și natura împrejurării care justifică imposibilitatea de continuare a activităților, prin completarea formularului prevăzut în anexa nr. 5.(2)Furnizorului îi revine obligația ca, în situația în care se află în imposibilitate de a continua activitățile legate de marcarea temporală și nu a putut prevedea această situație cu cel puțin 30 de zile înainte ca încetarea activităților să se producă, să informeze ADR în termen de 24 de ore din momentul în care a luat cunoștință sau trebuia și putea să ia cunoștință despre imposibilitatea continuării activităților.(3)Atât în cazul încetării activității din inițiativa sa, cât și în cazul în care încetarea activității a fost dispusă de ADR, furnizorul de servicii de marcare temporală va desemna alt furnizor de servicii de marcare temporală, căruia îi va transfera, în tot sau în parte, activitățile sale. Transferul va opera în următoarele condiții: a)furnizorul de servicii de marcare temporală va înștiința fiecare utilizator, cu cel puțin 30 de zile în avans, despre intenția sa de transferare a activităților legate de marcarea temporală către un alt furnizor, menționând identitatea acestuia; … b)furnizorul de servicii de marcare temporală va face cunoscute utilizatorilor săi posibilitatea de a refuza acest transfer, precum și termenul și condițiile în care refuzul poate fi exercitat. … (4)Furnizorul aflat în unul dintre cazurile prevăzute la alin. (1) și (2), ale cărui activități nu sunt preluate de un alt furnizor de servicii de marcare temporală, este obligat să depună la ADR informațiile și documentele prevăzute la art. 8 alin. (2) din Legea nr. 451/2004, precum și dovada revocării certificatului utilizat în procesul de marcare temporală. +
Capitolul IVDispoziții finale +
Articolul 27Anexele cu nr. 1-6 fac parte integrantă din prezentele norme tehnice. +
Anexa nr. 1la normele tehnice
CONȚINUTUL ȘI STRUCTURA
Registrului furnizorilor de servicii de marcare temporală
| 1. |
Numărul de ordine al înregistrării, generat automat |
| 2. |
Codul de identificare a furnizorului de servicii de marcare temporală |
| 3. |
Calitatea furnizorului: persoană fizică sau persoană juridică |
| 4. |
Numele și prenumele furnizorului (pentru persoana fizică)/Denumirea (pentru persoana juridică) |
| 5. |
Adresa (țară, oraș, județ/sector, stradă, număr, bloc, scara, etaj, apartament, cod poștal, telefon, fax, e-mail, adresa pagina web) |
| 6. |
Codul unic de înregistrare la registrul comerțului (pentru persoana juridică) |
| 7. |
Data la care a început activitatea |
| 8. |
Cheia publică a certificatului calificat folosit de furnizorul de servicii în procesul de marcare temporală |
| 9. |
Descrierea sistemelor furnizorului de servicii de marcare temporală |
| 10. |
Codul de proceduri și practici al furnizorului de servicii de marcare temporală |
| 11. |
Descrierea politicii generale a furnizorului de servicii de marcare temporală |
| 12. |
Tipul garanției furnizorului |
| 13. |
Societatea de asigurări/Instituția financiară care garantează capacitatea financiară a furnizorului |
| 14. |
Suma asigurată/Suma acoperită prin scrisoarea de garanție |
| 15. |
Situații critice: câmp ce poate conține referiri la ultima situație critică (de exemplu, întreruperea temporară a activității din cauza unor probleme tehnice, modificarea procedurilor, sancțiuni etc.) |
| 16. |
Data și ora ultimei actualizări a registrului |
| 17. |
Situația furnizorului (operațional, suspendat, activitatea încetată, în curs de transferare a activității etc.) |
| 18. |
Motivul suspendării/reluării/încetării activității (dacă este cazul) |
+
Anexa nr. 2la normele tehnice
FORMULAR DE NOTIFICARE
pentru furnizorii de servicii de marcare temporală
| Furnizor de servicii de marcare temporală persoană fizică/juridică |
Țara |
Oraș |
Sector |
Str. |
Nr. |
|
|
|
|
|
| Domiciliul sau sediul |
Bl. |
Et. |
Ap. |
Cod poștal |
|
|
|
|
|
| Tel. |
Fax |
E-mail |
Web |
|
|
|
|
|
|
| Cod de înregistrare la registrul comerțului |
Tip societate |
|
|
| Banca |
Nr. cont bancar |
|
|
| Naționalitate |
Cetățenie |
|
|
| Data începerii activității |
|
|
|
| Opis documente anexate |
|
|
|
ÎNȘTIINȚARE-ANGAJAMENTSubsemnatul, ………………………………………………….,(numele și prenumele/denumirea)înștiințez Autoritatea pentru Digitalizarea României (ADR) referitor la desfășurarea serviciilor de marcare temporală menționate în prezentul document, cu începere de la data de …………………………….. .Mă angajez să îmi desfășor activitatea în conformitate cu prevederile Legii nr. 451/2004 privind marca temporală, ale Deciziei președintelui Autorității pentru Digitalizarea României nr. 549/2020 privind normele tehnice pentru aplicarea Legii nr. 451/2004 privind marca temporală, precum și cu standardele europene și internaționale în domeniu.Mă oblig să acopăr prejudiciile pe care le-aș putea cauza utilizatorilor, în condițiile prevăzute la art. 10 din Legea nr. 451/2004.De asemenea, mă angajez să comunic utilizatorilor instrucțiunile practice de marcare temporală, precum și termenele și condițiile de utilizare a serviciilor de marcare temporală.Anexez la prezenta următoarea documentație: 1.contractul de închiriere/actul de proprietate pentru sediu; … 2.adeverință din partea administrației finanțelor publice privind plata la zi a taxelor și impozitelor către stat; … 3.certificat de bonitate sau scrisoare de garanție din partea băncii, prin care persoana fizică/juridică desfășoară plăți și încasări curente; … 4.o scrisoare de garanție în valoare de ……………….., în favoarea ADR, la ………………..(numele instituției financiare)……………../ o poliță de asigurare la ………….(numele societății de asigurare)……………, în favoarea ADR, în valoare de………………*^);*^) Se va opta pentru una dintre cele două variante, în conformitate cu prevederile art. 13 alin. (1) lit. b) din normele tehnice. … 5.certificat constatator eliberat de către oficiul registrului comerțului, nu mai vechi de 30 de zile, în care să se specifice datele de identificare ale firmei și administratorul; … 6.copie a cărții de identitate a administratorului societății/reprezentantului legal, înscris în certificatul constatator; … 7.împuternicire și copie a cărții de identitate pentru persoana delegată să semneze în numele administratorului/reprezentantului legal; … 8.certificatul calificat folosit în activitatea de marcare temporală; … 9.politica de marcare temporală aplicată; … 10.descrierea generală a sistemului informatic utilizat pentru desfășurarea activității de marcare temporală, însoțită de o declarație de conformitate cu prevederile art. 4 alin. (1) din Legea nr. 451/2004; … 11.descrierea practicilor, procedurilor și sistemelor care asigură securitatea și integritatea datelor, accesul autorizat permanent la acestea și modalitățile de prevenire a accesului neautorizat (codul de practici și proceduri); … 12.politica referitoare la protecția datelor cu caracter personal; … 13.declarația pe propria răspundere a reprezentantului legal al furnizorului de marcare temporală cu privire la respectarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, precum și a cerințelor Legii nr. 190/2018 privind măsuri de punere în aplicare a regulamentului menționat anterior, cu modificările ulterioare, în procesul de furnizare a serviciilor de marcare temporală; … 14.plan de continuitate a afacerii și recuperare în caz de dezastru; … 15.lista standardelor în baza cărora operațiile sunt efectuate, evaluate sau certificate pentru a fi conforme. …
Furnizor,
……………
Data și ora
……………….. +
Anexa nr. 3la normele tehnice
CONȚINUTUL MINIMAL
al Registrului electronic operativ de evidență a mărcilor temporaleI.Registrul electronic operativ de evidență a mărcilor temporale va cuprinde: 1.Lista tuturor mărcilor temporale emise de către furnizorul de servicii de marcare temporală, cuprinzând următoarele informații: A.Date referitoare la marca temporală
| Nr. crt. |
Categorie de date |
| 1. |
Identificator unic |
| 2. |
Data și ora la care marca temporală a fost aplicată |
| 3. |
Cod de identificare utilizator |
| 4. |
Amprenta documentului supusă marcării temporale |
| 5. |
Identificarea algoritmului utilizat pentru generarea amprentei |
… B.Date referitoare la furnizor/certificatul furnizorului
| 1. |
Nume |
Subject Name |
| 2. |
Data emiterii |
|
| 3. |
Valabilitate |
|
| 4. |
Date de identificare ale furnizorului de servicii de certificare superior |
Issuer Name, Serial Number |
… C.Marca temporală emisă … … 2.Înregistrări ale evenimentelor apărute în sistemul informatic utilizat pentru generarea mărcilor temporale: – sincronizările cu baza de timp; … – schimbarea cheilor criptografice; … – opriri ale sistemului; … – incidente de securitate. … … … II.Regimul de acces la informațiile cuprinse în Registrul electronic operativ de evidență a mărcilor temporale– Informațiile prevăzute la pct. 1 vor fi disponibile permanent pentru consultare pe pagina de internet a furnizorului de servicii de marcare temporală. … – Informațiile prevăzute la pct. 2 vor fi făcute publice în conformitate cu politica de marcare temporală a furnizorului și vor fi furnizate, la cerere, Autorității pentru Digitalizarea României. … … +
Anexa nr. 4la normele tehnice
CONȚINUTUL ȘI STRUCTURA MĂRCII TEMPORALE
| Nume |
Explicație detaliată |
Structura ASN1 |
Observații |
| A. Informații despre marca temporală propriu-zisă (TSTInfo) |
| Versiune |
|
INTEGER |
|
| Politica |
|
OID |
|
| Amprenta de marcat |
Hash-ul + algoritmul de hash |
messagelmprint |
|
| Număr serial unic |
|
INTEGER |
|
| Momentul exact de timp al emiterii |
UTC, notație „zulu“ |
GeneralizedTime |
|
| Precizie |
Secunde, milisecunde, microsecunde |
Accuracy |
opțional |
| Număr aleatoriu (Nonce) |
|
INTEGER |
opțional |
| Numele furnizorului |
|
GeneralName |
opțional |
| Extensii |
|
Extensions |
opțional |
| B. Semnătura furnizorului (ContentInfo ce încapsulează o structură signedData) |
| Info semnătură |
Semnătura propriu-zisă (SignatureValue), însoțită de datele de identificare ale semnatarului (Signerldentifier) |
signerInfo |
|
| Certificatul furnizorului |
|
certs |
opțional |
|
|
|
|
| C. Statutul PKI (PKIStatusInfo) |
| Codul de status PKI |
|
PKIStatus |
|
| Mesajul text PKI |
|
PKIFreeText |
opțional |
| Informații despre eroarea PKI |
|
PKIFailureInfo |
opțional |
+
Anexa nr. 5la normele tehnice
FORMULAR DE INFORMARE
cu privire la încetarea activității unui furnizor de servicii de marcare temporală
| Nume furnizor |
Codul din registrul furnizorilor de servicii |
|
| Motivele încetării activității: |
| Data la care a înștiințat ADR |
Data încetării activității |
| Numele furnizorului care va prelua activitatea |
Codul din registrul furnizorilor de servicii |
| Măsuri luate referitoare la utilizatori: |
+
Anexa nr. 6la normele tehnice
DECIZIE
privind acreditarea ……………………… ca furnizor de servicii de marcare temporalăAvând în vedere: – Hotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare; … – Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările și completările ulterioare; … – Normele tehnice și metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare; … – Legea nr. 451/2004 privind marca temporală; … – Decizia privind aprobarea Normelor tehnice de aplicare a Legii nr. 451/2004 privind marca temporală nr. 549/2020 – Notificarea nr./data, înregistrată la ADR cu nr./data; … – Nota nr. /data privind analiza documentației în vederea obținerii acreditării ca furnizor de servicii de marcare temporală, în temeiul art. 8 alin. (4) dinHotărârea Guvernului nr. 89/2020 privind organizarea și funcționarea Autorității pentru Digitalizarea României, cu modificările ulterioare, președintele Autorității pentru Digitalizarea României emite prezenta decizie. … +
Articolul 1Începând cu data emiterii prezentei decizii, ………………………………… dobândește calitatea de furnizor de servicii de marcare temporală. +
Articolul 2Acreditarea se acordă pe o perioadă de 3 ani de la data emiterii prezentei decizii și poate fi reînnoită conform legislației în vigoare. +
Articolul 3Prezenta decizie a fost emisă în 3 (trei) exemplare originale, din care unul se comunică …………………………………… .
Președintele Autorității pentru Digitalizarea României,
……………………………………….
București,
Nr. ………………………..–-
