În temeiul art. 4 alin. (1) pct. 53 din Hotărârea Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare,având în vedere prevederile art. 129 alin. (1) pct. 2 lit. c) din Regulamentul Băncii Naționale a României nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată și prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată,ministrul comunicațiilor și societății informaționale emite prezentul ordin. +
Capitolul IDispoziții generale +
Articolul 1Prezentul ordin reglementează procedura de eliberare a avizului Ministerului Comunicațiilor și Societății Informaționale pentru instrumentele de plată electronică cu acces la distanță furnizate de către prestatorii de servicii de plată autorizați de Banca Națională a României, de tip internet-banking, home-banking, phone-banking sau mobile-banking, necesar pentru notificarea acestora către BNR, precum și înscrierea auditorilor IT, conform procedurii prevăzute în cap. III. +
Articolul 2Prezentul ordin stabilește cerințele minime de securitate ale sistemelor informatice pe care trebuie să le îndeplinească prestatorii de servicii de plată prevăzuți la art. 1, prin intermediul cărora este furnizat instrumentul de plată electronică cu acces la distanță. +
Articolul 3În înțelesul prezentului ordin, termenii, expresiile și abrevierile de mai jos au următoarele semnificații:1.amenințare – cauza potențială a unui incident nedorit, care poate dăuna unui sistem sau unei organizații; … 2.administrator al arhivei electronice – persoana fizică sau juridică acreditată de autoritatea de reglementare și supraveghere specializată în domeniu să administreze sistemul electronic de arhivare și documentele arhivate în cadrul arhivei electronice; … 3.arhivă electronică – sistemul electronic de arhivare, împreună cu totalitatea documentelor în formă electronică arhivate; … 4.atac etic/test de penetrare – un test direct al eficacității de apărare a securității prin mimarea acțiunilor atacatorilor reali/test al sistemelor informatice realizat printr-o simulare a unui atac real asupra rețelelor, sistemelor și programelor informatice utilizate de entitatea testată sau auditată, după caz, efectuat cu acordul managementului prestatorului; … 5.audit IT – activitatea de colectare și evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de performanțe și de lucru conform cerințelor de proiectare, dacă asigură funcționalitățile necesare cerințelor de afaceri și respectarea legislației în domeniu, dacă este securizat, dacă menține integritatea datelor prelucrate și stocate, dacă permite atingerea obiectivelor strategice ale entității și utilizarea eficientă a resurselor informaționale; … 6.auditor IT – persoana fizică autorizată care deține certificat de auditor IT sau persoana juridică cu personal certificat care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor și bunelor practici în domeniu; … 7.autentificare – procedură care permite prestatorului de servicii de plată să verifice identitatea unui utilizator al serviciilor de plată sau valabilitatea utilizării unui anumit instrument de plată și care include utilizarea elementelor de securitate personalizate ale utilizatorului; … 8.aviz – actul administrativ emis de către Ministerul Comunicațiilor și Societății Informaționale în conformitate cu prevederile art. 129 alin. (1) pct. 2 lit. c) din Regulamentul Băncii Naționale a României nr. 3/2018; … 9.BNR – Banca Națională a României; … 10.centru de date – spațiu securizat, dotat cu tehnică de calcul și echipamente de comunicații prin intermediul cărora se primesc, se stochează și se transmit date în formă electronică; … 11.comunicații/telecomunicații – sisteme de transmisie, precum și orice alte resurse care permit transportul semnalelor prin fir, radio, fibră optică sau orice alte mijloace electromagnetice, precum și tehnologiile utilizate în cadrul proceselor de comunicare, care presupun existența unui mediu informatic constituit din echipamente hardware, software specializat, precum și dispozitive electronice de transmisie/recepție date; … 12.continuitatea activității – starea de funcționare neîntreruptă a operațiunilor, ce presupune măsuri organizaționale, tehnice și de personal utilizate pentru a asigura continuitatea serviciilor critice după o întrerupere cauzată de producerea unui eveniment perturbator și pentru reluarea treptată a tuturor serviciilor în cazul unui eveniment perturbator major; … 13.controale informatice – totalitatea politicilor, procedurilor, practicilor, ghidurilor, mijloacelor de gestionare a riscurilor și a structurilor organizaționale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse, evenimentele nedorite vor fi prevenite sau detectate și corectate; … 14.date (informatice) – orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic, incluzându-se și orice program informatic care poate determina realizarea unei funcții similare de către un sistem informatic; … 15.disponibilitate – capabilitatea unui serviciu IT sau a unui element de configurație IT de a efectua funcțiile agreate; … 16.emitent – prestator de servicii de plată care emite și pune la dispoziția deținătorului un instrument de plată electronică, în baza unui contract încheiat cu deținătorul; … 17.externalizare servicii IT – utilizarea de către o entitate a unui furnizor extern de servicii IT, în vederea desfășurării de către aceasta, pe bază contractuală și în mod continuu sau pentru o anumită perioadă, a operațiunilor aferente suportului tehnic sau procesării, necesare desfășurării activității efectuate în mod obișnuit de către entitatea în cauză; … 18.furnizor de servicii de arhivare electronică – orice persoană fizică sau juridică acreditată să presteze servicii legate de arhivarea electronică; … 19.furnizor de servicii IT externalizate – furnizori care oferă servicii de mentenanță, administrare software (aplicații), servicii de administrare rețea, baze de date și sisteme de operare, furnizori de software, servicii de hosting, co-locare și cloud. Furnizorii de servicii de comunicații nu fac obiectul prezentei definiții; … 20.incident operațional sau de securitate – un eveniment unic sau o serie de evenimente corelate, neprevăzute de către prestatorul serviciului de plată, care are un impact negativ asupra integrității, disponibilității, confidențialității, autenticității și/sau continuității serviciilor aferente plăților; … 21.instrument de plată electronică cu acces la distanță – set de proceduri, care se bazează pe o soluție informatică, de tipul: internet-banking, home-banking, phone-banking, mobile-banking, care permite utilizatorului inițierea de operațiuni de plată; … 22.instrument de plată electronică cu acces la distanță tip internet-banking – acel instrument de plată cu acces la distanță care se bazează pe tehnologia internet (world wide web) și pe sistemele informatice ale emitentului; … 23.instrument de plată la distanță tip home-banking – acel instrument de plată cu acces la distanță care se bazează pe o aplicație software a emitentului instalată la sediul deținătorului, pe o stație de lucru individuală sau în rețea; … 24.instrument de plată electronică cu acces la distanță tip mobile-banking – acel instrument de plată cu acces la distanță care presupune utilizarea unui echipament mobil (telefon, tabletă, PDA – Personal Digital Assistant etc.) și a unor servicii oferite de către operatorii de telecomunicații; … 25.instrument de plată electronică cu acces la distanță tip phone-banking – acel instrument de plată cu acces la distanță care facilitează accesul clienților la produsele și serviciile unui prestator de servicii de plată prin utilizarea telefonului drept canal alternativ de acces de la distanță; … 26.MCSI – Ministerul Comunicațiilor și Societății Informaționale; … 27.operațiune de plată – acțiune inițiată de plătitor sau de o altă persoană în numele și pe seama plătitorului ori de beneficiarul plății cu scopul de a depune, de a transfera sau de a retrage fonduri, indiferent de orice obligații subsecvente între plătitor și beneficiarul plății; … 28.ordin de autorizare centru de date – document emis de MCSI care atestă că un centru de date îndeplinește toate condițiile cerute de legislația în vigoare în vederea desfășurării operațiunilor de arhivare electronică; … 29.prelucrarea datelor – orice operațiune sau set de operațiuni efectuate asupra datelor sau asupra seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea; … 30.procedură de autorizare a unui centru de date – metodă de evaluare sistematică, documentată, periodică și obiectivă a performanței centrului de date, a sistemului de management și a proceselor destinate protecției arhivelor electronice, în scopul verificării respectării cerințelor prevăzute de legislația în vigoare; … 31.prestator de servicii de plată – entitate autorizată să presteze servicii de plată pe teritoriul României, respectiv instituții de credit, instituții de plată și instituții emitente de monedă electronică; … 32.prestator – prestator de servicii de plată specifice instrumentelor financiare de plată electronică cu acces la distanță; … 33.plan de securitate – documentul ce descrie totalitatea măsurilor tehnice și administrative care sunt luate de către emitent pentru utilizarea în condiții de siguranță a instrumentului de plată electronică cu acces la distanță; … 34.raport de audit IT – instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, procedurile, constatările și concluziile auditului, precum și orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat; … 35.raport de testare IT – instrumentul prin care se comunică scopul testării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările și concluziile testării, precum și orice rezervă pe care echipa de testare o are asupra sistemului informatic testat; … 36.Regulamentul Băncii Naționale a României nr. 3/2018 – Regulamentul Băncii Naționale a României nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată, publicat în Monitorul Oficial al României, Partea I, nr. 713 din 16 august 2018; … 37.risc de securitate – riscul care rezultă din procesele interne sau evenimentele externe eșuate sau necorespunzătoare, care au sau ar putea avea un impact negativ asupra disponibilității, integrității, confidențialității și asupra sistemelor de tehnologie a informației și a comunicațiilor și/sau asupra informațiilor utilizate pentru furnizarea serviciilor de plată; … 38.securitate informatică – capacitatea unui sistem informatic, rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive, de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora; … 39.siguranță în funcționare – modalitate de gestionare a riscurilor specifice infrastructurii pieței financiare, respectiv a instrumentului de plată, în scopul asigurării funcționării conform nivelurilor de calitate a serviciilor și/sau orarului de funcționare asumat, fără a afecta în mod negativ încrederea participanților și a publicului; … 40.sistem informatic – ansamblu de elemente intercorelate funcțional în scopul automatizării obținerii informațiilor necesare activităților operaționale și manageriale într-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware și produselor software, proceduri manuale, baze de date și modele matematice pentru analiză, planificare, control și luarea deciziilor, utilizând componente de introducere și prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de bază, programe informatice, rețele de calculatoare și telecomunicații, componente de stocare și utilizatori, fără ca enumerarea să fie limitativă; … 41.vulnerabilitate – este un punct slab (defect) în proiectarea, implementarea, operarea sau controlul intern al unui proces care ar putea expune sistemul la un risc de securitate. … +
Articolul 4Cerințele minime de securitate ale sistemelor informatice pe care trebuie să le îndeplinească prestatorii de servicii de plată prevăzuți la art. 1, prin intermediul cărora este furnizat instrumentul de plată electronică cu acces la distanță, se referă la:1.confidențialitatea și integritatea comunicațiilor între emitent și beneficiarul instrumentului financiar de plată electronică cu acces la distanță; … 2.mecanismele care să garanteze confidențialitatea și nerepudierea operațiunilor efectuate utilizând instrumentul de plată electronică cu acces la distanță; … 3.autenticitatea părților care participă la tranzacții și existența metodelor de autentificare în concordanță cu nivelul de securitate al platformei software, precum și mijloacele de garantare a identității; … 4.confidențialitatea, autenticitatea și integritatea informațiilor/datelor aferente tranzacțiilor efectuate cu ajutorul instrumentului de plată electronică, prin sistemul informatic al emitentului, în timpul procesării, stocării și arhivării acestora; … 5.păstrarea secretului bancar; … 6.trasabilitatea tranzacțiilor; … 7.respectarea protecției datelor cu caracter personal în sistemele informatice; … 8.controlul accesului fizic și logic la sistemul informatic și la platforma/aplicația software utilizate în procesul de furnizare a instrumentului financiar de plată electronică cu acces la distanță; … 9.stocarea, păstrarea datelor înregistrate și jurnalizarea acestora, precum și păstrarea în siguranță a unor copii de rezervă ale datelor și aplicațiilor; … 10.prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică, reluarea în siguranță a activității și recuperarea informațiilor afectate; … 11.detectarea, înregistrarea și gestionarea incidentelor de securitate informatică; … 12.evaluarea riscurilor de securitate informatică și măsuri de gestionare a acestora; … 13.asigurarea unui proces formal și continuu (cel puțin anual) de pregătire a resurselor umane implicate în operarea, mentenanța și administrarea instrumentelor de plată electronică cu acces la distanță și o evaluare anuală a acestora; … 14.continuitatea serviciilor oferite clienților; … 15.gestionarea și administrarea sistemului informatic; … 16.impactul operațiilor de modificare a:a)arhitecturii din cadrul sistemului informatic (componente hardware/software) și aplicațiilor software utilizate în ciclul de viață al instrumentului de plată electronică cu acces la distanță; și … b)planului de securitate specific securității aferente instrumentului de plată cu acces la distanță; … … 17.orice alte activități sau măsuri tehnice întreprinse pentru exploatarea în siguranță a sistemului informatic al emitentului. … +
Articolul 5Măsurile tehnice și organizatorice întreprinse pentru îndeplinirea cerințelor enumerate la art. 4 vor fi în concordanță cu tehnologia utilizată și cu riscurile potențiale. +
Articolul 6Prestatorii au obligația de a implementa măsuri de securitate informatică, de a monitoriza continuu și de a evalua anual riscurile operaționale generate de utilizarea sistemelor informatice prin intermediul cărora este furnizat instrumentul de plată electronică cu acces la distanță, cu respectarea legislației interne și a reglementărilor comunitare. +
Articolul 7Documentele elaborate în format electronic, aferente instrumentului de plată electronică cu acces la distanță, vor fi arhivate conform legislației naționale privind arhivarea electronică, pe baza nomenclatorului arhivistic al prestatorului, în concordanță cu cerințele Legii Arhivelor Naționale nr. 16/1996, republicată. +
Articolul 8(1)Prestatorii au obligația ca, anual, să efectueze teste de penetrare a aplicațiilor software și sistemelor informatice utilizate în ciclul de viață al instrumentului de plată electronică cu acces la distanță.(2)Testele de penetrare menționate la alin. (1) se vor realiza de către echipe externe/interne, certificate în acest scop, care vor evalua securitatea informatică a aplicațiilor și sistemului informatic al prestatorului care furnizează instrumentul de plată electronică cu acces la distanță și vor fi finalizate cu un raport de testare.(3)Raportul de testare pentru testele prevăzute la alin. (2) trebuie să fie aprobat de către reprezentantul legal al prestatorului și păstrat la sediul acestuia, care are obligația să îl prezinte auditorului IT, precum și MCSI, la solicitarea acestuia. +
Capitolul II Eliberarea avizului +
Articolul 9(1)Documentele necesare pentru eliberarea avizului sunt:a)cererea adresată MCSI, conform modelului prevăzut în anexa nr. 1; … b)licența de funcționare/autorizația acordată de BNR sau notificarea transmisă către BNR de autoritatea competentă din statul membru de origine; … c)descrierea funcțională a sistemului informatic și a aplicației software prin intermediul cărora este furnizat instrumentul de plată electronică cu acces la distanță; … d)planul de securitate al sistemului informatic, semnat de către prestatorii de servicii de plată prevăzuți la art. 1, cuprinzând descrierea măsurilor tehnice și organizatorice prevăzute pentru asigurarea cerințelor cuprinse la art. 4; … e)declarația reprezentantului legal din care să rezulte efectuarea testelor de penetrare menționate la art. 8, perioada de efectuare a testelor, precum și datele de identificare ale echipei de testare; … f)certificările profesionale ale echipei de testare, recunoscute internațional. Certificările profesionale agreate pentru efectuarea testelor de penetrare acceptate trebuie să fie în termenul de valabilitate și să se regăsească în lista prevăzută în anexa nr. 2; … g)raportul de audit, care trebuie să îndeplinească următoarele condiții:1.să cuprindă elementele prevăzute în raportul de audit prezentat în anexa nr. 3, fără a se limita la acestea; … 2.să fie întocmit de către un auditor selectat din Lista auditorilor IT; … 3.data de întocmire a raportului de audit nu trebuie să depășească 180 de zile față de data depunerii documentației de avizare; … … h)declarația pe propria răspundere, din care să rezulte independența auditorului față de sistemul informatic auditat și față de prestatorul auditat; … i)declarația pe propria răspundere a reprezentantului legal al prestatorului cu privire la respectarea, în cadrul procesului de furnizare a instrumentelor de plată electronică cu acces la distanță, a cerințelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor); … j)ordinul de acreditare ca administrator de arhivă electronică, în conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, sau contractul încheiat cu un administrator de arhivă electronică acreditat. … (2)MCSI va retrage avizul eliberat prestatorului dacă contractul de externalizare sau ordinul de acreditare a serviciilor de arhivare este suspendat/retras sau își pierde valabilitatea. +
Articolul 10(1)Documentele prevăzute la art. 9 alin. (1) se vor transmite către MCSI, în limba română, vor fi semnate de către reprezentantul legal al prestatorului de servicii de plată sau de către o persoană împuternicită de către acesta, în scris, și vor avea mențiunea „Conform cu originalul“. (2)Documentația va fi paginată și însoțită de un opis. +
Articolul 11Documentația aferentă planului de securitate va avea următoarea structură:1.informații de identificare:a)denumirea prestatorului; … b)denumirea instrumentului de plată electronică cu acces la distanță; … c)categoria (internet-banking, home-banking, mobile-banking, phone-banking); … d)statutul operațional al sistemului prin intermediul căruia este oferit instrumentul de plată electronică cu acces la distanță; … e)anul intrării în producție; … f)descrierea generală a soluției tehnice și dezvoltatorului aplicației; … g)interconectarea sistemului; … h)aria geografică în care instrumentul de plată cu acces la distanță poate fi utilizat; … i)datele de contact ale persoanelor responsabile; … … 2.senzitivitatea sistemului:a)legislația aplicabilă; … b)descrierea generală a senzitivității informațiilor gestionate de către sistem; … … 3.măsuri pentru securitatea sistemului:a)evaluarea și managementul riscurilor potențiale; … b)identificarea, analizarea și remedierea riscurilor de securitate în conformitate cu cele mai bune practici în gestionarea acestora; … c)măsurile tehnice de securitate implementate; … d)situația cu înregistrarea și analizarea incidentelor de securitate informatică; … e)metodologia de recuperare a informațiilor în caz de dezastru și continuarea activității; … f)rapoartele de testare a funcționalității instrumentului efectuate în ultimele 12 luni; … g)codurile de conduită/condițiile de utilizare/contractul prin care este oferit instrumentul de plată electronică cu acces la distanță; … h)procedurile operaționale de exploatare; … i)măsurile aplicate pentru asigurarea securității fizice; … j)instruirea personalului propriu în legătură cu administrarea sistemului informatic; … k)instrucțiunile de utilizare a instrumentului de plată cu acces la distanță (manual de utilizare oferit clienților); … l)suportul tehnic oferit clienților care utilizează instrumentul de plată electronică cu acces la distanță; … … 4.orice alte informații relevante legate de măsurile luate de către emitent pentru a asigura exploatarea în siguranță a instrumentului de plată electronică cu acces la distanță. … +
Capitolul IIIÎnscrierea în Lista auditorilor IT +
Articolul 12Lista auditorilor IT este gestionată de către MCSI și publicată pe site-ul acestuia. +
Articolul 13Auditorul IT care intenționează să presteze servicii de audit IT pentru prestatorii cărora le sunt incidente prevederile prezentului ordin are obligația înscrierii în Lista auditorilor IT prevăzută la art. 12. +
Articolul 14Auditorul IT înscris în lista menționată la art. 9 poate întocmi și raportul de audit în vederea autorizării centrelor de date, prevăzute în Legea nr. 135/2007, republicată. +
Articolul 15Documentele necesare pentru înscrierea în Lista auditorilor IT, prevăzută la art. 12, sunt următoarele:1.cererea adresată MCSI, conform modelului prevăzut în anexa nr. 4; … 2.datele de identificare ale auditorului IT:a)numele complet/denumirea și adresa/sediul – adresa completă; … b)adresa unde își desfășoară activitatea; … c)telefon/fax, e-mail, adresa paginii de internet; … d)certificat de înregistrare la Oficiul Național al Registrului Comerțului; … … 3.pentru auditorul IT persoană fizică certificată și pentru reprezentantul societății de audit IT, care vor semna raportul de audit, se depun următoarele documente:a)actul de identitate al auditorului IT, în copie; … b)curriculum vitae al auditorului IT, datat și semnat, cu prezentarea experienței profesionale în auditarea IT a sistemelor informatice; … c)dovada deținerii uneia dintre certificările profesionale specifice domeniului de audit al sistemelor informatice, menționate în anexa nr. 5 (certificatul de auditor, în copie semnată și cu mențiunea „Conform cu originalul“); … d)dovada experienței în audit IT, concretizată în participarea la minimum cinci misiuni de audit în domeniul securității sistemelor informatice aparținând prestatorilor de servicii de plată, cu un total de cel puțin 30 de zile; … e)certificat constatator emis de Oficiul Național al Registrului Comerțului, cu starea la zi a persoanei juridice, nu mai vechi de 30 de zile, în original; … f)certificatul de cazier judiciar și certificatul de cazier fiscal, aflate în termenul de valabilitate, în original; … g)contractul de asigurare de răspundere civilă profesională a auditorului IT, pentru suma asigurată de minimum 100.000 euro, valabil la data depunerii documentației, în copie semnată și cu mențiunea „Conform cu originalul“. … … +
Articolul 16Înscrierea auditorului IT în Lista auditorilor IT sau transmiterea refuzului motivat al înscrierii se efectuează de MCSI în termen de maximum 30 de zile de la primirea dosarului complet al solicitantului. +
Articolul 17Orice modificare a documentației prevăzute la art. 15 trebuie transmisă către MCSI în termen de maximum 30 de zile de la data efectuării modificării. +
Articolul 18Radierea auditorilor IT din lista prevăzută la art. 12 se va efectua în oricare dintre următoarele situații:a)la cererea acestora; … b)în cazul lichidării sau la declanșarea insolvenței; … c)în cazul nerespectării prevederilor prezentului ordin; … d)la expirarea contractului de asigurare de răspundere civilă profesională; … e)la expirarea certificării profesionale. … +
Articolul 19MCSI va transmite auditorului IT o notificare prealabilă prin care i se aduc la cunoștință motivele pentru care se va proceda la inițierea demersurilor pentru radierea din Lista auditorilor IT. +
Capitolul IVCondiții privind desfășurarea auditului IT +
Articolul 20(1)Auditarea se va efectua în baza unui contract încheiat între prestatorul care a solicitat auditarea și un auditor înscris în Lista auditorilor IT.(2)Prestatorul nu poate contracta auditarea cu același auditor IT pentru mai mult de 2 auditări consecutive.(3)Prestatorul are obligația de a se asigura că în contractul de auditare sunt cuprinse în mod obligatoriu clauze cu privire la faptul că auditorul IT trebuie să respecte cerințele impuse pentru efectuarea auditului sistemelor informatice, în conformitate cu prevederile prezentului ordin și cu bunele practici în domeniu.(4)Activitatea de auditare trebuie să respecte conduita etică și profesională, nu presupune încălcarea secretului profesional impus prin clauze contractuale sau prin prevederi legale și nu atrage niciun fel de răspundere asupra persoanei fizice și/sau juridice în cauză ca urmare a respectării prevederilor prezentului ordin. +
Articolul 21Perioada supusă auditării reprezintă perioada cuprinsă între două auditări consecutive. +
Articolul 22Pe timpul auditării, auditorul IT are obligația de a analiza situația deficiențelor și vulnerabilităților identificate, întocmită cu ocazia auditării precedente, precum și măsurile întreprinse de către prestator. +
Articolul 23Auditorul IT notifică MCSI, în scris, în maximum 10 zile de la constatare, orice fapt sau act care:a)este de natură să afecteze utilizarea în siguranță a instrumentului financiar de plată electronică cu acces la distanță; … b)poate conduce la o opinie de audit cu rezerve, negativă sau imposibilitatea exprimării acesteia. … +
Articolul 24În termen de maximum 10 zile de la solicitarea scrisă a MCSI, auditorul IT trebuie să comunice următoarele, fără a se limita la acestea:a)orice raport sau document care a fost adus la cunoștința prestatorului auditat; … b)motivația de încetare a contractului de audit, dacă aceasta a avut loc înainte de finalizarea auditării. … +
Articolul 25La finalizarea auditării, auditorii IT au obligația de a întocmi un raport de audit IT, care să cuprindă cel puțin elementele enumerate în raportul de audit prevăzut în anexa nr. 3, dar fără a se limita la acestea. +
Articolul 26Pentru cazurile în care sistemul informatic și platforma/aplicația software utilizate în procesul de furnizare a instrumentului financiar de plată electronică cu acces la distanță sunt situate în afara țării, auditarea sistemului se va face astfel:– auditorul IT extern român va audita sistemele din străinătate; sau … – auditorul IT extern român agreează auditarea sistemului din străinătate de către un auditor cu o certificare cuprinsă în lista certificărilor menționate în anexa nr. 5 și preia responsabilitatea auditării. … +
Articolul 27MCSI poate verifica derularea procesului de auditare, atât prin participarea la activitatea de auditare a auditorului IT, cât și prin prisma discuțiilor legate de dosarul de audit. +
Capitolul VCerințe aplicabile furnizorilor de servicii IT externalizate pentru sistemele informatice ale prestatorului +
Articolul 28Orice externalizare de servicii IT se realizează cu respectarea legislației naționale aplicabile Prestatorului. +
Articolul 29(1)Prestatorul are obligația de a specifica în documentația de avizare următoarele informații și documente, după caz:a)descrierea serviciilor furnizate/externalizate; … b)datele de identificare ale furnizorului: adresa sediului social, telefon/fax, e-mail, pagina de internet; … c)certificat constatator emis de Oficiul Național al Registrului Comerțului, cu starea la zi a persoanei juridice, sau echivalentul acestuia pentru furnizorii externi înregistrați în alte state, în original sau copie conformă cu originalul; … d)documente în funcție de tipul serviciului sau activității desfășurate, astfel:1.SR ISO/IEC 27001 sau certificări pentru standarde echivalente – pentru toți furnizorii de servicii IT externalizate; … 2.certificări pentru furnizarea și dezvoltarea de programe informatice software; … 3.act doveditor de respectare a condițiilor tehnice conform standardelor internaționale privind serviciile de găzduire sau externalizare prin intermediul centrelor de date; … 4.acreditare pentru furnizarea de servicii de arhivare electronică. … … (2)Certificările trebuie să fie emise de entități/organisme recunoscute pe plan intern și/sau internațional. +
Articolul 30(1)Prestatorul are obligația de a notifica MCSI încheierea contractului cu furnizorul de servicii IT externalizate în termen de maximum 14 zile de la data încheierii. (2)Prestatorul are obligația ca, în cazul modificării unor informații și/sau documente prevăzute la art. 29, să notifice MCSI și să depună originalul sau copia documentelor modificate în termen de maximum 60 de zile de la data efectuării modificării. +
Articolul 31(1)Prestatorul are obligația să se asigure că prevederile prezentului ordin sunt respectate de către toți furnizorii de servicii IT externalizate, inclusiv în cazul externalizărilor în lanț.(2)Furnizorii de servicii IT externalizate vor permite MCSI și auditorului IT să verifice și/sau să auditeze sistemele sale informatice în contextul aplicării prevederilor prezentului ordin sau vor pune la dispoziția auditorului IT un raport de audit IT întocmit în conformitate cu standardele internaționale în domeniu. +
Capitolul VICerințe privind raportarea +
Articolul 32(1)Prestatorul va raporta către MCSI, trimestrial, referitor la instrumentele de plată electronică cu acces la distanță, următoarele: numărul de utilizatori, numărul de plăți efectuate, valoarea plăților efectuate prin intermediul acestora, în formatul prezentat în anexa nr. 6.(2)Raportările pot fi transmise prin poștă, pe adresa Ministerului Comunicațiilor și Societății Informaționale, Bd. Libertății nr. 14, sectorul 5, cod 050706, sau prin e-mail, ca fișier atașat, pe adresa e-banking@comunicații.gov.ro, până la sfârșitul lunii următoare trimestrului pentru care se face raportarea. +
Capitolul VIIDispoziții tranzitorii și finale +
Articolul 33(1)Documentele prevăzute la art. 9 se înaintează către MCSI cu minimum 40 de zile înaintea expirării avizului anterior și vor fi întocmite într-un singur exemplar.(2)Avizul acordat este valabil 1 an de la data eliberării acestuia.(3)Avizul acordat este netransmisibil. +
Articolul 34(1)MCSI va comunica solicitantului decizia sa cu privire la acordarea avizului, în termen de 40 de zile calendaristice de la data înregistrării cererii de eliberare a avizului. (2)MCSI va remite solicitantului un exemplar al avizului, în termen de 3 zile calendaristice după acordarea acestuia.(3)Forma avizului acordat este prevăzută în anexa nr. 7. +
Articolul 35(1)Prestatorul va notifica MCSI orice dezvoltare, modificare a condițiilor de exploatare și a procedurilor operaționale, precum și a măsurilor tehnice de securitate aplicabile instrumentului, în termen de 30 de zile de la data când devin operaționale.(2)Prestatorul va notifica MCSI, în termen de maximum 10 zile, orice incident de securitate care a afectat în mod direct clienții. Notificarea va cuprinde cauza și măsurile ce urmează a fi luate în vederea remedierii situației apărute. (3)MCSI poate solicita un nou raport de audit pentru instrumentul financiar de plată electronică cu acces la distanță, după analizarea notificărilor prevăzute la alin. (1) și (2).(4)MCSI poate retrage avizul și informează BNR dacă în termen de 60 de zile prestatorul nu prezintă raportul de audit prevăzut la alin. (3). +
Articolul 36(1)MCSI poate efectua verificări la sediul prestatorului avizat sau în curs de avizare prin personal desemnat prin ordin al ministrului comunicațiilor și societății informaționale.(2)În cazul în care, în urma verificărilor, se constată nerespectarea prevederilor conținute în documentația de avizare, MCSI poate dispune neacordarea avizului sau, eventual, retragerea acestuia. +
Articolul 37Eliberarea de către MCSI a avizului pentru furnizarea instrumentului de plată electronică cu acces la distanță nu exonerează prestatorul și utilizatorii acestuia de răspunderile asumate prin contractul încheiat între aceștia. +
Capitolul VIIIMăsuri tranzitorii +
Articolul 38(1)Avizul eliberat de către MCSI conform Ordinului ministrului comunicațiilor și tehnologiei informației nr. 389/2007 privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking, își prelungește valabilitatea cu 60 de zile de la data publicării prezentului ordin în Monitorul Oficial al României, Partea I.(2)În perioada extinderii valabilității, prestatorul trebuie să depună documentația de avizare în condițiile prezentului ordin.(3)Documentațiile întocmite și depuse de către prestatori la MCSI, după data publicării în Monitorul Oficial al României, Partea I, a Regulamentului Băncii Naționale a României nr. 3/2018, pentru avizarea instrumentelor de plată electronică cu acces la distanță, se vor completa în concordanță cu cerințele prezentului ordin. (4)Raportul de audit deja întocmit sau în curs de realizare la data intrării în vigoare a prezentului ordin poate fi depus împreună cu documentația de avizare, cu respectarea prevederilor art. 9 alin. (1). +
Articolul 39Anexele nr. 1-7 fac parte integrantă din prezentul ordin. +
Articolul 40Prezentul ordin intră în vigoare la data publicării acestuia în Monitorul Oficial al României, Partea I. +
Articolul 41Ordinul ministrului comunicațiilor și tehnologiei informației nr. 389/2007 privind procedura de avizare a instrumentelor de plată cu acces la distanță, de tipul aplicațiilor internet-banking, home-banking sau mobile-banking, publicat în Monitorul Oficial al României, Partea I, nr. 485 din 19 iulie 2007, se abrogă la data publicării prezentului ordin în Monitorul Oficial al României, Partea I.
Ministrul comunicațiilor și societății informaționale,
Alexandru PetrescuBucurești, 5 iunie 2019.Nr. 553. +
Anexa nr. 1
CERERE
de eliberare a avizului……………………………… (denumirea prestatorului de servicii de plată), având sediul în ……………………………… (adresa completă, inclusiv telefon și fax), înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerțului cu nr. ………………… (numărul de înregistrare/codul unic de înregistrare),cod fiscal ……………., având Autorizația de funcționare nr. ……., eliberată de Banca Națională a României, reprezentat(ă) legal prin ………………. (numele și prenumele), domiciliat(ă) în ………………………… (adresa completă, inclusiv telefon),identificat(ă) prin ……………………………………….. (actul de identitate: seria, numărul și emitentul, precum și codul numeric personal),în conformitate cu prevederile Hotărârii Guvernului 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare, prevederile art. 129 alin. (1) pct. 2 lit. c) din Regulamentul Băncii Naționale a României nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată și cu prevederile Ordinului ministrului comunicațiilor și societății informaționale nr. 553/2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanță, vă solicităm eliberarea/menținerea avizului pentru emiterea și punerea în circulație a instrumentului de plată electronică cu acces la distanță …………………/menținerea în circulație a instrumentului ……………… cu următoarele caracteristici generale (scurtă descriere):…………………………………………………………………………………………………………………..Sistemul funcționează (va funcționa) la sediul din ……………………………………………
Numele și prenumele solicitantului ………………….
Data ………..
Ștampila solicitantului +
Anexa nr. 2
LISTA
certificărilor profesionale agreate pentru efectuarea testelor de penetrareEchipa de testare ce efectuează testele de penetrare trebuie să dețină cel puțin una din certificările menționate mai jos.Certificări recunoscute internațional:CEPT – Certified Expert Penetration Tester;CPT – Certified Penetration Tester;GPEN – GIAC Certified Penetration Tester;GWAPT – GIAC Web Application;LPT – Licensed Penetration Tester;OPST – OSSTMM Professional Security Tester Accredited Certification;OSCE – Offensive Security Certified Expert;OSCP – Offensive Security Certified Professional;PTC – MILLE2 Certified Penetration Testing Consultant. +
Anexa nr. 3
RAPORT DE AUDIT +
Secţiunea I„Raport“
| Nr. crt. |
Capitol |
Observații |
| 1. |
Titlul raportului |
|
| 2. |
Destinatarii raportului și orice restricții privind conținutul și circulația raportului |
|
| 3. |
Paragraf introductiv |
Identificarea prestatorului de servicii de plată auditat (denumire/numărul de înregistrare la Oficiul Național al Registrului Comerțului/adresă) Identificarea instrumentului de plată electronică cu acces la distanță auditat (menționarea denumirii instrumentului). Includerea afirmației că sistemele/aplicațiile informatice au fost auditate ca urmare a obligației legale impuse de Ordinul ministrului comunicațiilor și societății informaționale nr. 553/2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanță |
| 4. |
Asumarea responsabilității conducerii entității privind auditul efectuat asupra sistemelor informatice |
|
| 5. |
Responsabilitatea auditorului IT |
Raportul de audit IT va include cel puțin afirmațiile: – că „este responsabilitatea auditorului IT să exprime o opinie cu privire la conformitatea sistemelor informatice cu prevederile Ordinului ministrului comunicațiilor și societății informaționale nr. 553/2019“; – că „raportul de audit IT a fost elaborat în conformitate cu standardul de audit utilizat, respectiv …………………………. (menționarea acestuia)“. |
| 6. |
Datele de identificare ale coordonatorului certificat al echipei de audit IT/auditorului IT persoană fizică/auditorului IT intern certificat |
Numele, prenumele, telefon, fax, adresa de e-mail și adresa unde își desfășoară activitatea |
| 7. |
Semnătura coordonatorului certificat al echipei de audit și semnătura reprezentantului legal al auditorului persoană juridică/semnătura auditorului IT persoană fizică/semnătura auditorului IT certificat |
|
| 8. |
Obiectivele activității de audit IT, perioada auditată |
|
| 9. |
Sediul desfășurării activității de audit IT, data întocmirii raportului de audit IT |
Adresa sediului unde a avut loc activitatea de audit IT (sediu central/sucursală/filială), data întocmirii raportului de audit IT |
| 10. |
Descrierea ariei auditului IT |
Identificarea sistemului informatic utilizat de către prestatorul de servicii de plată folosit în procesul de emitere/exploatare a instrumentului financiar de plată electronică cu acces la distanță ……………………. (menționarea denumirii instrumentului de plată electronică) Raportarea componentelor sistemului informatic se va face într-un tabel care să cuprindă următoarele: Nr. crt.; Denumire echipament/aplicație; Descriere hardware/software; Serial number; Funcția Îndeplinită; Administrarea sistemului informatic (internă/externalizată) Pentru sistemele informatice supuse auditului IT se vor menționa următoarele: – măsurile organizatorice: politicile aplicabile și procedurile implementate; – un sumar conținând analiza riscurilor aferente activității, a posibilelor deficiențe ale sistemului informatic auditat și a măsurilor de reducere a riscurilor asociate, în baza controalelor generale sau specifice implementate conform prevederilor Ordinului ministrului comunicațiilor și societății informaționale nr. 553/2019. |
| 11. |
Referiri cu privire la implementarea planului de acțiune asumat de prestatorul de servicii de plată rezultat în urma activității de audit IT anterioare, dacă este cazul |
Verificarea modului de implementare a măsurilor și respectarea termenelor asumate prin raportul de audit anterior |
| 12. |
Referiri cu privire la modul de efectuare a evaluării anuale de către prestatorul de servicii de plată a riscurilor operaționale generate de utilizarea sistemelor informatice importante (Entitățile au obligația să evalueze anual și să monitorizeze continuu riscurile operaționale generate de utilizarea sistemelor informatice importante, să prioritizeze resursele, să implementeze măsuri de securitate informatică și să monitorizeze eficacitatea acestora prin aplicarea managementului de risc.) |
Opinie cu privire la plauzibilitatea metodologiei/tehnicilor utilizate, precum și asupra măsurilor de control implementate în vederea gestionării riscurilor operaționale identificate |
| 13. |
Rezultatul obținut în urma efectuării testului de penetrare |
Conform raportului privind testul de penetrare se consemnează următoarele elemente: – nr. de înregistrare/data raportului privind testele de penetrare: – perioada în care s-au desfășurat testele de penetrare; – descrierea metodologiei/tehnicilor utilizate; – menționarea rezultatelor obținute în urma testului; – concluziile raportului; – recomandările adresate entității și răspunsul managementului entității. |
| 14. |
Afirmația de conformitate, reflectată prin opinia auditorului IT |
Opinie pozitivă, opinie cu rezerve/calificată, opinie negativă, după caz |
+
Secţiunea II„Anexe la raportul de audit IT“1.Sumarul observațiilor – anexa nr. R1Anexa este însușită de către entitatea auditată prin semnarea acesteia de către reprezentantul legal și conține, fără a se limita la acestea:a)descrierea neconformității/constatării; … b)importanța neconformității/constatării; … c)riscurile asociate; … d)probabilitatea ca aceste constatări să aibă un impact semnificativ; recomandările auditorului IT pentru acțiuni corective și răspunsul conducerii entității auditate pentru fiecare constatare din raport (inclusiv în urma testului de penetrare); … e)planul de acțiune asumat de către entitatea auditată care conține măsurile efective, termenul de implementare și persoanele responsabile de implementare. … … 2.Analiza internă a riscurilor operaționale și registrul riscurilor – anexa nr. R2Anexa conține următoarele informații, fără a se limita la acestea:a)descrierea politicii/metodologiei utilizate de către entitate; … b)rezultatele revizuirii riscurilor generate de utilizarea sistemelor informatice; … c)rezultatele evaluării de către auditorul IT a măsurilor de control implementate în vederea gestionării riscurilor operaționale identificate (pentru riscuri semnificative). … … 3.Cerințe referitoare la furnizorii de servicii IT externalizate pentru sistemele informatice auditate – anexa nr. R3(Raportarea se efectuează prin completarea tabelului prezentat.)
| Sisteme/Servicii externalizate |
Funcția sistemelor/serviciilor externalizate – descriere |
Furnizor – date de identificare (denumire, sediul entității, datele de înregistrare fiscală, telefon/fax/website) |
Certificare SR ISO/IEC 27001 sau echivalent (emitent, număr certificare, data emiterii, perioada de valabilitate) |
Alte certificări |
Concluzie – Conformitate Da/Nu/Parțial |
Observații |
|
|
|
|
|
|
|
… 4.Concluzii ale echipei de audit privind respectarea cerințelor impuse de Ordinul ministrului comunicațiilor și societății informaționale nr. 553/2019 – anexa nr. R4NOTĂ:Anexele prevăzute la secțiunea II „Anexe la raportul de audit“ R1-R4 fac parte integrantă din raport. …
+
Anexa nr. 4
CERERE
de înscriere în Lista auditorilor IT …………………….. (denumirea auditorului IT), având sediul în ………………………. (adresa completă, inclusiv telefon și fax, adresa de e-mail, adresa paginii de internet),înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerțului cu nr. ………………………… (numărul de înregistrare/codul unic de înregistrare) cod fiscal ……………….,reprezentat(ă) legal prin dl/dna ……………………., identificat(ă) prin ………………………..(actul de identitate: seria, numărul și emitentul),intenționez să prestez servicii de audit IT pentru prestatorii de servicii de plată care emit instrumente financiare de plată electronică cu acces la distanță cărora le sunt incidente prevederile Ordinului ministrului comunicațiilor și societății informaționale nr. 553/2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanță și vă solicit înscrierea în Lista auditorilor IT publicată pe site-ul instituției dumneavoastră. Anexez prezentei cereri documentația de calificare prevăzută la art. 15 din Ordinul ministrului comunicațiilor și societății informaționale nr. 553/2019.
Numele și prenumele reprezentantului legal
…………………………
Data …………….
Ștampila solicitantului +
Anexa nr. 5
LISTA
certificărilor profesionale agreate pentru auditorii ITRaportul de audit se întocmește de către un auditor IT care trebuie să dețină cel puțin una din certificările menționate mai jos.Certificări recunoscute internațional:ISACA – CISA – Certified Information Systems Auditor (auditorul pentru sisteme informatice, certificat de ISACA);GIAC(SANS) – GSNA Systems and Network Auditors;GIAC – GCCC Critical Controls Certification;CISSP – Certified Information Systems Security Professional. +
Anexa nr. 6Prestatorul de servicii de plată: ………………………
| Instrumentul de plată electronică cu acces la distanță |
Numărul de utilizatori^1 |
Numărul de plăți/tranzacții^2 – lei |
Numărul de tranzacții – valută – |
Valoarea plăților/tranzacțiilor^3 – lei – |
Valoarea tranzacțiilor în valută (echivalent euro) |
Perioada de raportare Trimestrul |
|
|
|
|
|
|
|
^1 Numărul de utilizatori se referă la numărul de utilizatori cu care există încheiat un contract pentru utilizarea instrumentului de plată cu acces la distanță, pe parcursul trimestrului pentru care se face raportarea. Se iau în considerare toate contractele în vigoare de la data lansării instrumentului de plată electronică cu acces la distanță.^2 Numărul de plăți efectuate prin intermediul instrumentelor de plată cu acces la distanță se referă la plățile efectuate doar pe perioada trimestrului raportat și care vor fi prezentate, defalcat, în numărul de plăți în lei și în numărul de plăți în valută.^3 Valoarea plăților efectuate prin intermediul instrumentelor de plată cu acces la distanță în perioada trimestrului raportat va fi prezentată astfel: valoarea plăților efectuate în lei și valoarea plăților efectuate în valută. Plățile efectuate în valută vor fi exprimate în echivalent euro, la cursul de schimb BNR din ultima zi a trimestrului pentru care se face raportarea.
Semnătură reprezentant legal
……………………………….
+
Anexa nr. 7MINISTERUL COMUNICAȚIILOR ȘI SOCIETĂȚII INFORMAȚIONALEAvând în vedere prevederile Hotărârii Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare,având în vedere prevederile art. 129 alin. (1) pct. 2 lit. c) din Regulamentul Băncii Naționale a României nr. 3/2018 privind monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată și ale Ordinului ministrului comunicațiilor și societății informaționale nr. 553/2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanță,ministrul comunicațiilor și societății informaționale eliberează prezentul aviz.……………………….., având sediul în ………………………….. (adresa completă, inclusiv telefon și fax),înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerțului cu nr. ………., cod fiscal ………….., având Autorizația de funcționare, nr. ……….., eliberată de Banca Națională a României, reprezentat(ă) legal prin ………………………….. (numele și prenumele),a obținut avizul pentru furnizarea instrumentului de plată cu acces la distanță ………………. cu următoarele caracteristici generale:……………………………………………………………………………………………………………Sistemul funcționează (va funcționa) la sediul din …………………. .Observații:Prezentul document s-a eliberat prestatorului de servicii de plată în scopul acordării/menținerii avizului Ministerului Comunicațiilor și Societății Informaționale necesar pentru emiterea/punerea în circulație a instrumentului de plată electronică cu acces la distanță și are valabilitate un an de la data eliberării acestuia.
Ministrul comunicațiilor și societății informaționale,
………………………………..Nr. …………….Data ……………….
