privind procedura de avizare a instrumentelor de plată cu acces la distanta, de tipul aplicatiilor Internet-banking sau home-banking
Având în vedere prevederile Hotărârii Guvernului nr. 1.337/2002 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Informatiei şi ale art. 31 lit. f) din Regulamentul Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002,ministrul comunicaţiilor şi tehnologiei informatiei emite prezentul ordin. +
Capitolul 1Dispoziţii generale +
Articolul 1Prezentul ordin se aplică băncilor, persoane juridice române, precum şi sucursalelor din România ale băncilor, persoane juridice străine, denumite în continuare bănci, şi are ca obiect stabilirea procedurii privind eliberarea avizului Ministerului Comunicaţiilor şi Tehnologiei Informatiei asupra instrumentelor de plată cu acces la distanta tip Internet-banking sau home-banking. +
Articolul 2În înţelesul prezentului ordin, termenii şi expresiile de mai jos au următoarele semnificatii:a) instrument de plată cu acces la distanta – soluţie informatica ce permite deţinătorului să aibă acces la distanta, prin intermediul unui mediu de comunicaţie, al unei aplicaţii informatice şi al unei metode de autentificare, la fondurile aflate în contul sau, prin intermediul căreia poate obţine informaţii privind situaţia conturilor şi a operaţiunilor efectuate, efectua plati sau alte transferuri de fonduri către un beneficiar; … b) emitent – banca autorizata de Banca Naţionala a României sa emita instrumente de plată electronică şi care pune la dispoziţie deţinătorului un instrument de plată electronică cu acces la distanta, pe baza unui contract încheiat cu acesta; … c) deţinător – persoana fizica sau juridică care, în baza contractului încheiat cu emitentul, deţine un mecanism de autentificare în utilizarea instrumentului de plată cu acces la distanta; … d) utilizator – deţinătorul instrumentului de plată cu acces la distanta sau o persoană fizica recunoscută şi acceptată de către deţinător ca având acces la drepturile sale conferite de către emitent; … e) instrument de plată la distanta tip Internet-banking acel instrument de plată cu acces la distanta care se bazează pe tehnologia Internet (world wide web) şi pe sistemele informatice ale emitentului; … f) instrument de plată la distanta tip home-banking – acel instrument de plată cu acces la distanta care se bazează pe o aplicaţie software a emitentului instalata la sediul deţinătorului, pe o statie de lucru individuală sau în reţea; … g) plan de securitate – document ce descrie totalitatea măsurilor tehnice şi administrative care sunt luate de către emitent pentru utilizarea în condiţii de siguranţă a instrumentului de plată cu acces la distanta; … h) aviz – actul administrativ emis de Ministerul Comunicaţiilor şi Tehnologiei Informatiei în conformitate cu prevederile art. 31 lit. f) din Regulamentul Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, care conferă solicitantului dreptul de a obţine autorizaţia din partea Băncii Naţionale a României pentru emiterea instrumentelor de plată cu acces la distanta; … i) BNR – Banca Naţionala a României; … j) Regulamentul nr. 4 al BNR – Regulamentul Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002; … k) MCTI – Ministerul Comunicaţiilor şi Tehnologiei Informatiei. … +
Articolul 3(1) Avizul se eliberează pentru o perioadă de 12 luni. … (2) La sfârşitul perioadei menţionate la alin. (1) avizul poate fi reînnoit pe baza documentelor menţionate la art. 8. … (3) Avizul eliberat este netransmisibil. … +
Articolul 4Avizul se eliberează gratuit de către MCTI. +
Articolul 5În termen de 90 de zile de la intrarea în vigoare a prezentului ordin, băncile care oferă clienţilor instrumente de plată cu acces la distanta, în sensul prezentului ordin, au obligaţia întocmirii şi transmiterii către MCTI a documentaţiei pentru obţinerea avizului. +
Articolul 6Scopul avizului îl constituie verificarea îndeplinirii de către sistemul informatic al emitentului şi de către soluţia software prin intermediul căreia instrumentul de plată cu acces la distanta este oferit a unor cerinţe minime de securitate, referitoare la:a) confidenţialitatea şi integritatea comunicaţiilor; … b) confidenţialitatea şi nonrepudierea tranzacţiilor; … c) confidenţialitatea şi integritatea datelor; … d) autenticitatea părţilor care participa la tranzacţii; … e) protecţia datelor cu caracter personal; … f) păstrarea secretului bancar; … g) trasabilitatea tranzacţiilor; … h) continuitatea serviciilor oferite clienţilor; … i) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem; … j) restaurarea informaţiilor gestionate de sistem în cazul unor calamitati naturale, evenimente imprevizibile; … k) gestionarea şi administrarea sistemului informatic; … l) orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în siguranţa a sistemului. … +
Articolul 7Măsurile tehnice şi organizatorice întreprinse pentru îndeplinirea cerinţelor enumerate la art. 6 vor fi în concordanta cu progresul tehnologic şi cu riscurile potenţiale. +
Capitolul 2Eliberarea avizului +
Articolul 8Documentele necesare pentru eliberarea avizului sunt:a) cerere adresată în acest scop MCTI, conform modelului prevăzut în anexa nr. 1 care face parte integrantă din prezentul ordin; … b) licenta de funcţionare acordată de BNR; … c) descrierea funcţională a sistemului informatic prin intermediul căruia este oferit instrumentul de plată cu acces la distanta; … d) descrierea soluţiei tehnice – hardware şi software -, interactiunea cu alte sisteme informatice din interiorul sau din exteriorul băncii emitente; … e) planul de securitate al sistemului informatic, cuprinzând totalitatea măsurilor tehnice şi organizatorice prevăzute pentru asigurarea cerinţelor cuprinse la art. 6; … f) certificari din punct de vedere al securităţii, asupra soluţiei informatice sau produselor conţinute în aceasta, emise de organizaţii naţionale sau internaţionale recunoscute, acolo unde exista; … g) raport de audit asupra planului de securitate prevăzut la lit. e), efectuat de către o echipa formată din personal independent, specializat şi atestat. … +
Articolul 9Documentele prevăzute la art. 8 se vor transmite către MCTI în limba română. +
Articolul 10Planul de securitate se va întocmi respectându-se următoarea structura:1. Informaţii de identificare:a) emitentul instrumentului de plată cu acces la distanta; … b) denumirea; … c) provenienţă; … d) categoria; … e) statutul operational; … f) descrierea generală; … g) consideratii specifice; … h) interconectarea sistemului; … i) aria geografică în care instrumentul de plată cu acces la distanta poate fi utilizat; … j) datele de contact ale persoanelor responsabile. … 2. Senzitivitatea sistemului:a) legislaţia aplicabilă; … b) descrierea generală a senzitivitatii informaţiilor gestionate de către sistem. … 3. Măsuri pentru securitatea sistemului:a) evaluarea şi managementul riscurilor potenţiale; … b) codurile de conduita/condiţiile de utilizare/contractul prin care instrumentul de plată cu acces la distanta este oferit; … c) rapoartele de testare pe perioada implementarii soluţiei; … d) măsurile tehnice de securitate; … e) procedurile operationale de exploatare; … f) măsurile privind securitatea fizica; … g) instruirea personalului propriu al emitentului în legătură cu administrarea sistemului informatic; … h) instrucţiunile de utilizare; … i) suportul tehnic. … 4. Orice alte informaţii relevante legate de măsurile luate de către emitent pentru a asigura exploatarea în siguranţa a instrumentului de plată cu acces la distanta. +
Articolul 11(1) În cazul în care la data solicitării avizului banca nu dispune de documentul prevăzut la art. 8 lit. g), MCTI poate elibera un aviz provizoriu, pe o perioadă ce nu poate depăşi 3 luni, până la efectuarea auditului asupra soluţiei şi obţinerea raportului de audit. … (2) Dacă până la sfârşitul perioadei de valabilitate a avizului provizoriu, menţionată la alin. (1), solicitantul nu prezintă documentul menţionat la art. 8 lit. g), avizul provizoriu îşi încetează valabilitatea şi nu poate fi reînnoit, iar MCTI notifica BNR în legătură cu acest fapt. … +
Articolul 12(1) În cazul în care pe perioada de valabilitate a avizului emitentul dezvolta sau implementeaza noi module de aplicaţie, efectuează modificări de proceduri operationale sau modifica măsurile tehnice de securitate aplicabile instrumentului de plată cu acces la distanta, acesta va notifica MCTI aceste modificări. … (2) Notificarea prevăzută la alin. (1) se va face în termen de 30 de zile de la data la care modificările specificate la alin. (1) devin operationale. … (3) În urma notificării, dacă se considera ca modificările efectuate afectează major securitatea instrumentului de plată cu acces la distanta, MCTI sau BNR poate solicita băncii obţinerea unui nou aviz. … (4) Dacă solicitarea prevăzută la alin. (3) este efectuată de MCTI, acesta va notifica în acelaşi timp şi BNR. … +
Articolul 13Documentele enumerate la art. 8 vor fi întocmite într-un singur exemplar, iar acolo unde este cazul vor fi clasificate din punct de vedere al confidenţialităţii conţinutului acestora, conform legislaţiei în vigoare şi procedurilor băncii care solicită avizarea. +
Articolul 14(1) În urma analizarii documentaţiei prezentate, în termen de 15 zile calendaristice de la data înregistrării acesteia la Secretariatul de Stat pentru Tehnologia Informatiei, MCTI va comunică solicitantului decizia sa cu privire la acordarea, după caz, a avizului sau a avizului provizoriu şi va notifica BNR în legătură cu aceasta. … (2) După eliberarea, după caz, a avizului sau a avizului provizoriu, în termen de 3 zile calendaristice, MCTI va remite solicitantului un exemplar al avizului. … (3) Avizul va fi eliberat în forma prevăzută în anexa nr. 2 care face parte integrantă din prezentul ordin. … +
Capitolul 3Dispoziţii finale +
Articolul 15(1) În perioada prevăzută la art. 14 alin. (1), în perioada de valabilitate a avizului provizoriu, precum şi în cazul primirii unei notificări din partea BNR, MCTI poate solicita băncii care solicită avizul efectuarea de verificări la sediul acesteia prin personal desemnat prin ordin al ministrului comunicaţiilor şi tehnologiei informatiei. … (2) În cazul în care în urma verificărilor se constata nerespectarea prevederilor conţinute în documentaţia de avizare, MCTI poate dispune neacordarea avizului sau retragerea acestuia. … +
Articolul 16Emitentul este obligat sa informeze MCTI, trimestrial, cu privire la numărul de utilizatori ai instrumentului de plată cu acces la distanta tip Internet-banking sau home-banking, numărul de plati efectuate prin intermediul instrumentelor de plată cu acces la distanta, precum şi valoarea plăţilor efectuate prin intermediul acestora. +
Articolul 17Eliberarea de către MCTI a avizului pentru furnizarea instrumentului de plată cu acces la distanta nu exonereaza emitentul sau deţinătorul de răspunderile asumate prin contract. +
Articolul 18Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I, şi va fi pus în aplicare prin grija Ministerului Comunicaţiilor şi Tehnologiei Informatiei.Ministrul comunicaţiilor şi tehnologiei informatiei,Dan NicaBucureşti, 24 ianuarie 2003.Nr. 16. +
Anexa 1CERERE DE ELIBERAREA AVIZULUI……………………/(denumirea)……………………,având sediul în ………./(adresa completa, inclusiv telefon şi fax) …………,înmatriculată/înregistrată la Oficiul registrului comerţului sub nr. ………../(numărul de înregistrare/codul unic de înregistrare) ………………………………………….codul fiscal ……….., având Autorizaţia de funcţionare nr. ……………………………………, eliberata de Banca Naţionala a României, reprezentată legal prin ………../(numele şi prenumele)……………………………………………,domiciliat/domiciliata în ………../(adresa completa, inclusiv telefon) ……………………………………….,identificat/identificata prin ………/ (actul de identitate: seria, numărul şi emitentul şi codul numeric personal)…………în conformitate cu prevederile Hotărârii Guvernului nr. 1.337/2002 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Informatiei, cu prevederile art. 31 lit. f) din Regulamentul Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002, şi cu prevederile Ordinului ministrului comunicaţiilor şi tehnologiei informatiei nr. 16 din data de 24 ianuarie 2003, va solicitam eliberarea avizului pentru furnizarea instrumentului de plată cu acces la distanta …….. cu următoarele caracteristici generale:………………………………………………………………………………………………………………………………………………………………………Sistemul va funcţiona la sediul din ……………/(numele, prenumele şi ştampila solicitantului)……………..Data………………… +
Anexa 2MINISTERUL COMUNICAŢIILOR ŞI TEHNOLOGIEI INFORMATIEISECRETARIATUL DE STAT PENTRU TEHNOLOGIA INFORMATIEIAvând în vedere prevederile Hotărârii Guvernului nr. 1.337/2002 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Informatiei,având în vedere prevederile Regulamentului Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002,având în vedere prevederile Ordinului ministrului comunicaţiilor şi tehnologiei informatiei nr. 16/2003,secretarul de stat pentru tehnologia informatiei eliberează prezentulAVIZ………, având sediul în ……../(adresa completa, inclusiv telefon şi fax)……………. înmatriculată/înregistrată la Oficiul registrului comerţului sub nr. …., codul fiscal ……., având Autorizaţia de funcţionare nr. ……, eliberata de Banca Naţionala a României, reprezentată legal prin ……./(numele şi prenumele)………, a obţinut avizul pentru furnizarea instrumentului de plată cu acces la distanta ……. cu următoarele caracteristici generale:……………………………………………………..……………………………………………………..Sistemul va funcţiona la sediul din ……………………..Observaţii:Prezentul aviz provizoriu s-a eliberat în vederea obţinerii din partea Băncii Naţionale a României a autorizaţiei pentru emiterea instrumentului de plată cu acces la distanta şi este valabil până la data de ………….. .Secretarul de stat pentru tehnologia informatiei,………………………………………….Nr. …………………..Data ………………….────────────────────
