privind procedura de avizare a instrumentelor de plată cu acces la distanţă, de tipul aplicaţiilor Internet-banking, home-banking sau mobile-banking
Având în vedere prevederile Hotărârii Guvernului nr. 744/2003 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Informaţiei şi ale art. 31 lit. f) din Regulamentul Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002,ministrul comunicaţiilor şi tehnologiei informaţiei emite prezentul ordin. +
Capitolul IDispoziţii generale +
Articolul 1(1) Prezentul ordin se aplică băncilor, persoane juridice române, precum şi sucursalelor din România ale băncilor, persoane juridice străine, denumite în continuare bănci, şi are ca obiect stabilirea procedurii privind eliberarea avizului Ministerului Comunicaţiilor şi Tehnologiei Informaţiei asupra instrumentelor de plată cu acces la distanţă tip Internet-banking, home-banking sau mobile-banking. … (2) La data publicării prezentului ordin în Monitorul Oficial al României, Partea I, Ordinul ministrului comunicaţiilor şi tehnologiei informaţiei nr. 16/2003 privind procedura de avizare a instrumentelor de plată cu acces la distanţă, de tipul aplicaţiilor Internet-banking sau homebanking, publicat în Monitorul Oficial al României, Partea I, nr. 107 din 20 februarie 2003, se abrogă. … +
Articolul 2În înţelesul prezentului ordin, termenii şi expresiile de mai jos au următoarele semnificaţii:a) instrument de plată cu acces la distanţă – soluţie informatică ce permite deţinătorului să aibă acces la distanţă la fondurile aflate în contul său, în scopul obţinerii de informaţii privind situaţia conturilor şi operaţiunilor efectuate, efectuării de plăţi sau transferuri de fonduri către un beneficiar, prin intermediul unei aplicaţii informatice, al unei metode de autentificare şi al unui mediu de comunicaţie; … b) emitent – banca autorizată de Banca Naţională a României să emită instrumente de plată electronică şi care pune la dispoziţie deţinătorului un instrument de plată electronică cu acces la distanţă, pe baza unui contract încheiat cu acesta; … c) deţinător – persoana fizică sau juridică care, în baza contractului încheiat cu emitentul, deţine un mecanism de autentificare în utilizarea instrumentului de plată cu acces la distanţă; … d) utilizator – deţinătorul instrumentului de plată cu acces la distanţă sau o persoană fizică recunoscută şi acceptată de către deţinător ca având acces la drepturile sale conferite de către emitent; … e) instrument de plată la distanţă tip Internet-banking acel instrument de plată cu acces la distanţă care se bazează pe tehnologia Internet (world wide web) şi pe sistemele informatice ale emitentului; … f) instrument de plată la distanţă tip home-banking – acel instrument de plată cu acces la distanţă care se bazează pe o aplicaţie software a emitentului instalată la sediul deţinătorului, pe o staţie de lucru individuală sau în reţea; … g) instrument de plată la distanţă tip mobile-banking acel instrument de plată cu acces la distanţă care presupune utilizarea unui echipament mobil (telefon, PDA Personal Digital Assistant etc.) şi a unor servicii oferite de către operatorii de telecomunicaţii; … h) plan de securitate – document ce descrie totalitatea măsurilor tehnice şi administrative care sunt luate de către emitent pentru utilizarea în condiţii de siguranţă a instrumentului de plată cu acces la distanţă; … i) aviz – actul administrativ emis de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei în conformitate cu prevederile art. 31 lit. f) din Regulamentul Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, care conferă solicitantului dreptul de a obţine autorizaţia din partea Băncii Naţionale a României pentru emiterea instrumentului de plată cu acces la distanţă; … j) BNR – Banca Naţională a României; … k) Regulamentul nr. 4 al BNR – Regulamentul Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002; … l) MCTI – Ministerul Comunicaţiilor şi Tehnologiei Informaţiei; … m) CISA – Certified Information Systems Auditor (Auditor pentru sisteme informatice, certificat de ISACA). … +
Articolul 3Scopul avizului îl constituie verificarea îndeplinirii de către sistemul informatic al emitentului şi de către soluţia software, prin intermediul cărora instrumentul de plată cu acces la distanţă este oferit, a unor cerinţe minime de securitate, referitoare la:a) confidenţialitatea şi integritatea comunicaţiilor; … b) confidenţialitatea şi nonrepudierea tranzacţiilor; … c) confidenţialitatea şi integritatea datelor; … d) autenticitatea părţilor care participă la tranzacţii; … e) protecţia datelor cu caracter personal; … f) păstrarea secretului bancar; … g) trasabilitatea tranzacţiilor; … h) continuitatea serviciilor oferite clienţilor; … i) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem; … j) restaurarea informaţiilor gestionate de sistem în cazul unor calamităţi naturale, evenimente imprevizibile; … k) gestionarea şi administrarea sistemului informatic; … l) orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în siguranţă a sistemului. … +
Articolul 4Măsurile tehnice şi organizatorice întreprinse pentru îndeplinirea cerinţelor enumerate la art. 3 vor fi în concordanţă cu progresul tehnologic şi cu riscurile potenţiale. +
Capitolul IIEliberarea avizului +
Articolul 5Documentele necesare pentru eliberarea avizului sunt:a) cerere adresată în acest scop MCTI, conform modelului prevăzut în anexa nr. 1 care face parte integrantă din prezentul ordin; … b) licenţa de funcţionare a băncii, acordată de BNR; … c) descrierea funcţională a sistemului informatic prin intermediul căruia este oferit instrumentul de plată cu acces la distanţă; … d) planul de securitate al sistemului informatic, semnat de către emitent, cuprinzând totalitatea măsurilor tehnice şi organizatorice prevăzute pentru asigurarea cerinţelor cuprinse la art. 3; … e) certificări din punct de vedere al securităţii asupra soluţiei informatice sau produselor conţinute în aceasta, emise de organizaţii naţionale sau internaţionale recunoscute, acolo unde există; … f) opinia de audit asupra planului de securitate prevăzut la lit. d) şi a soluţiei informatice prin intermediul căreia este oferit instrumentul de plată cu acces la distanţă; … g) o declaraţie în care este exprimată independenţa auditorului faţă de sistemul informatic auditat. … +
Articolul 6(1) Opinia de audit menţionată la art. 5 lit. f) va fi întocmită de către o persoană certificată ca auditor de sisteme informatice (CISA). În procesul de auditare, auditorul poate solicita concursul unor experţi. … (2) La cererea expresă a MCTI, precum şi în cazul opiniilor de audit exprimate cu rezerve, banca va pune la dispoziţie raportul de audit, rezultat în urma auditării sistemului. … (3) Pentru cazurile în care sistemul informatic prin intermediul căruia este oferit instrumentul de plată cu acces la distanţă este situat în afara ţării, auditarea sistemului se va face prin una dintre următoarele metode: … – auditorul român va audita sistemele din străinătate; sau– auditorul român agreează auditarea sistemului din străinătate de către personal cu calificare similară din acea ţară; sau– auditorul român îşi va baza atestatul pe documente/atestate emise în ţara în care rulează sistemul şi care au un grad de asigurare corespunzător. +
Articolul 7Documentele prevăzute la art. 5 se vor transmite către MCTI în limba română. +
Articolul 8Planul de securitate se va întocmi respectându-se următoarea structură:1. informaţii de identificare:a) emitentul instrumentului de plată cu acces la distanţă; … b) denumirea instrumentului de plată cu acces la distanţă; … c) provenienţa instrumentului de plată cu acces la distanţă; … d) categoria (Internet, home sau mobile-banking); … e) statutul operaţional al sistemului prin intermediul căruia este oferit instrumentul de plată cu acces la distanţă şi anul intrării în producţie; … f) descrierea generală a soluţiei tehnice; … g) consideraţii specifice; … h) interconectarea sistemului; … i) aria geografică în care instrumentul de plată cu acces la distanţă poate fi utilizat; … j) datele de contact ale persoanelor responsabile; … 2. senzitivitatea sistemului:a) legislaţia aplicabilă; … b) descrierea generală a senzitivităţii informaţiilor gestionate de către sistem; … 3. măsuri pentru securitatea sistemului:a) evaluarea şi managementul riscurilor potenţiale; … b) codurile de conduită/condiţiile de utilizare/contractul prin care instrumentul de plată cu acces la distanţă este oferit; … c) rapoarte de testare; … d) măsurile tehnice de securitate implementate; … e) procedurile operaţionale de exploatare; … f) măsurile aplicate pentru asigurarea securităţii fizice; … g) instruirea personalului propriu al emitentului în legătură cu administrarea sistemului informatic; … h) instrucţiunile de utilizare a instrumentului de plată cu acces la distanţă (manual de utilizare oferit clienţilor); … i) suportul tehnic oferit de către emitent clienţilor care utilizează instrumentul de plată cu acces la distanţă; … 4. orice alte informaţii relevante legate de măsurile luate de către emitent pentru a asigura exploatarea în siguranţă a instrumentului de plată cu acces la distanţă. +
Articolul 9(1) Documentele prevăzute la art. 5 se înaintează către MCTI în perioada 1 aprilie – 30 iunie a fiecărui an. … (2) Avizul eliberat este valabil până la data de 1 aprilie a anului următor. … (3) Avizul eliberat este netransmisibil. … +
Articolul 10În cazul emiterii unui nou instrument de plată cu acces la distanţă după data de 1 iulie, emitentul poate solicita avizul MCTI, o dată cu depunerea documentelor necesare, prevăzute la art. 5. +
Articolul 11(1) În cazul în care, pe perioada de valabilitate a avizului, emitentul dezvoltă sau implementează noi module de aplicaţie, efectuează modificări de proceduri operaţionale sau modifică măsurile tehnice de securitate aplicabile instrumentului de plată cu acces la distanţă, acesta va notifica aceste modificări către MCTI. … (2) Notificarea prevăzută la alin. (1) se va face în termen de 30 de zile de la data la care modificările specificate la alin. (1) devin operaţionale. … (3) În urma notificării, dacă se consideră că modificările efectuate afectează major securitatea instrumentului de plată cu acces la distanţă, MCTI sau BNR poate solicita băncii obţinerea unui nou aviz. … (4) Dacă solicitarea prevăzută la alin. (3) este efectuată de MCTI, acesta va notifica în acelaşi timp şi BNR. … +
Articolul 12Documentele enumerate la art. 5 vor fi întocmite într-un singur exemplar, iar acolo unde este cazul vor fi clasificate din punct de vedere al conţinutului acestora, conform legislaţiei în vigoare şi procedurilor băncii care solicită avizarea. +
Articolul 13(1) În urma analizării documentaţiei prezentate, în termen de 15 zile calendaristice de la data înregistrării acesteia la Secretariatul de Stat pentru Tehnologia Informaţiei, MCTI va comunică solicitantului decizia sa cu privire la acordarea avizului şi va notifica BNR în legătură cu aceasta. … (2) După eliberarea avizului, în termen de 3 zile calendaristice, MCTI va remite solicitantului un exemplar al avizului. … (3) Avizul va fi eliberat în forma prevăzută în anexa nr. 2 care face parte integrantă din prezentul ordin. … +
Capitolul IIIDispoziţii finale +
Articolul 14(1) În perioada prevăzută la art. 13 alin. (1), precum şi în perioada de valabilitate a avizului sau în cazul primirii unei notificări din partea BNR, MCTI poate solicita băncii avizate sau în curs de avizare efectuarea de verificări la sediul acesteia prin personal desemnat prin ordin al ministrului comunicaţiilor şi tehnologiei informaţiei. … (2) În cazul în care în urma verificărilor se constată nerespectarea prevederilor conţinute în documentaţia de avizare, MCTI poate dispune neacordarea avizului sau retragerea acestuia. … +
Articolul 15(1) Emitentul este obligat să informeze MCTI, trimestrial, cu privire la numărul de utilizatori ai instrumentului de plată cu acces la distanţă, numărul de plăţi efectuate prin intermediul instrumentelor de plată cu acces la distanţă, precum şi valoarea plăţilor efectuate prin intermediul acestora, în formatul prezentat în anexa nr. 3 care face parte integrantă din prezentul ordin. … (2) Numărul de utilizatori prevăzut la alin. (1) se referă la numărul de utilizatori cu care există încheiat un contract pentru utilizarea instrumentului de plată cu acces la distanţă, pe parcursul trimestrului pentru care se face raportarea. Se iau în considerare toate contractele în vigoare, de la data lansării instrumentului de plată cu acces la distanţă. … (3) Numărul de plăţi efectuate prin intermediul instrumentelor de plată cu acces la distanţă se referă la plăţile efectuate doar pe perioada trimestrului raportat şi vor fi prezentate defalcat, în numărul de plăţi în lei şi numărul de plăţi în valută. … (4) Valoarea plăţilor efectuate prin intermediul instrumentelor de plată cu acces la distanţă în perioada trimestrului raportat vor fi prezentate astfel: valoarea plăţilor efectuate în lei şi valoarea plăţilor efectuate în valută. Plăţile efectuate în valută vor fi exprimate în echivalent euro, la cursul de schimb BNR din ultima zi a trimestrului pentru care se face raportarea. … (5) Raportările pot fi transmise prin poştă, pe adresa Ministerului Comunicaţiilor şi Tehnologiei Informaţiei, Bd. Libertăţii nr. 14, sectorul 5, cod 050706 sau prin e-mail, ca fişier ataşat, pe adresa e-banking@mcti.ro. … (6) Raportările vor fi transmise către MCTI până la sfârşitul lunii următoare trimestrului pentru care se face raportarea. … +
Articolul 16Eliberarea de către MCTI a avizului pentru furnizarea instrumentului de plată cu acces la distanţă nu exonerează emitentul sau deţinătorul de răspunderile asumate prin contractul încheiat între aceştia. +
Articolul 17Prezentul ordin va fi publicat în Monitorul Oficial al României, Partea I, şi va fi pus în aplicare prin grija Direcţiei de reglementări şi standarde în tehnologia informaţiei, antifraudă şi securitatea reţelelor.Ministrul comunicaţiilor şi tehnologiei informaţiei,Dan NicaBucureşti, 14 iunie 2004.Nr. 218. +
Anexa 1 CERERE DE ELIBERARE A AVIZULUI ……………………………. având sediul în …………………. , (denumirea emitentului) (adresa completă, inclusiv telefon şi fax) înmatriculată/înregistrată la Oficiul registrului comerţului sub nr. …….. …………………………………………., cod fiscal ………….., (numărul de înregistrare/codul unic de înregistrare) având autorizaţia de funcţionare nr. ……………….., eliberată de Banca Naţională a României, reprezentat(ă) legal prin ………………………., (numele şi prenumele) domiciliat(ă) în ………………………………………………….., (adresa completă, inclusiv telefon) identificat(ă) prin ……………………………………………….., (actul de identitate: seria, numărul şi emitentul, codul numeric personal) în conformitate cu prevederile Hotărârii Guvernului nr. 744/2003 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Infor- maţiei, prevederile art. 31 lit. f) din Regulamentul Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumen- telor de plată electronică şi relaţiile dintre participanţii la aceste tran- zacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002, şi cu prevederile Ordinului ministrului comunicaţiilor şi tehno- logiei informaţiei nr. ………… din data de ………………….., vă solicităm eliberarea avizului pentru furnizarea instrumentului de plată cu acces la distanţă …….., cu următoarele caracteristici generale (scurtă descriere): ……………………………………………………………… ……………………………………………………………… ……………………………………………………………… Sistemul funcţionează (va funcţiona) la sediul din ………………… Numele, prenumele şi ştampila solicitantului …………………………………….. Data ……………. +
Anexa 2GUVERNUL ROMÂNIEIMINISTERUL COMUNICAŢIILOR ŞI TEHNOLOGIEI INFORMAŢIEISECRETARIATUL DE STAT PENTRU TEHNOLOGIA INFORMAŢIEIAvând în vedere prevederile Hotărârii Guvernului nr. 744/2003 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Informaţiei,având în vedere prevederile Regulamentului Băncii Naţionale a României nr. 4/2002 privind tranzacţiile efectuate prin intermediul instrumentelor de plată electronică şi relaţiile dintre participanţii la aceste tranzacţii, publicat în Monitorul Oficial al României, Partea I, nr. 503 din 12 iulie 2002,având în vedere prevederile Ordinului ministrului comunicaţiilor şi tehnologiei informaţiei nr. ……………… din data de …………………………….,secretarul de stat pentru tehnologia informaţiei eliberează prezentulAVIZ …………………………… având sediul în ……………………. (adresa completă, inclusiv telefon şi fax) înmatriculată/înregistrată la oficiul registrului comerţului sub nr. …………….., cod fiscal …………., având autorizaţia de funcţionare nr. ……………., eliberată de Banca Naţională a României, reprezentat(ă) legal prin ……………………, a obţinut avizul pentru furnizarea (numele şi prenumele) instrumentului de plată cu acces la distanţă …………………………, cu următoarele caracteristici generale: ……………………………………………………………….. ……………………………………………………………….. ……………………………………………………………….. Sistemul funcţionează (va funcţiona) la sediul din …………….. OBSERVAŢII: Prezentul aviz s-a eliberat în vederea obţinerii/menţinerii autorizaţiei pentru emiterea instrumentului de plată cu acces la distanţă din partea Băncii Naţionale a României şi este valabil până la ……………………. Secretar de stat pentru tehnologia informaţiei, Nr. …………… Data ………….. +
Anexa 3 Banca ………………
|
|
Instrument |
Numărul utilizatorilor |
Numărul tranzacţiilor – lei – |
Numărul tranzacţiilor – valută – |
Valoarea tranzacţiilor – lei – |
Valoarea tranzacţiilor în valută (echivalent euro) |
Perioada de raportare |
|
|
|
|
|
|
|
|
Trimestrul |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
–-
