ORDIN nr. 734 din 2 august 2019

redactia-lex24
Redacția Lex24 10/12/2024
0 comentarii
Redacția Lex24
Publicat in Repertoriu legislativ, 10/12/2024

Vă rugăm să vă conectați la marcaj Închide

Informatii Document

Emitent: MINISTERUL COMUNICATIILOR SI SOCIETATII INFORMATIONALE
Publicat în: MONITORUL OFICIAL nr. 666 din 9 august 2019
Actiuni Suferite
Actiuni Induse
Refera pe
Referit de
Nu exista actiuni suferite de acest act
Nu exista actiuni induse de acest act
Acte referite de acest act:

Alegeti sectiunea:
SECTIUNE ACTREFERA PEACT NORMATIV
ActulREFERIRE LAORD DE URGENTA 49 25/06/2019 ART. 8
ActulREFERIRE LAORD DE URGENTA 49 25/06/2019 ART. 9
ActulREFERIRE LALEGE 135 13/06/2017
ActulREFERIRE LAHG 36 27/01/2017 ART. 4
ART. 6REFERIRE LALEGE 190 18/07/2018
ART. 10REFERIRE LAORD DE URGENTA 49 25/06/2019
ART. 11REFERIRE LAORD DE URGENTA 49 25/06/2019
ART. 11REFERIRE LAORD DE URGENTA 49 25/06/2019 ART. 25
ART. 11REFERIRE LALEGE 190 18/07/2018
ANEXA 1REFERIRE LAORD DE URGENTA 49 25/06/2019
ANEXA 1REFERIRE LAORD DE URGENTA 49 25/06/2019 ART. 8
ANEXA 1REFERIRE LAHG 36 27/01/2017
ANEXA 1REFERIRE LALEGE (R) 365 07/06/2002 ART. 5
ANEXA 2REFERIRE LAORD DE URGENTA 49 25/06/2019
ANEXA 2REFERIRE LAORD DE URGENTA 49 25/06/2019 ART. 8
ANEXA 2REFERIRE LAHG 36 27/01/2017
ANEXA 2REFERIRE LALEGE (R) 365 07/06/2002 ART. 5
ANEXA 4REFERIRE LAORD DE URGENTA 49 25/06/2019
ANEXA 4REFERIRE LAHG 36 27/01/2017
 Nu exista acte care fac referire la acest act





Având în vedere prevederile art. 8 și 9 din Ordonanța de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto și prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată,în temeiul art. 4 alin. (1) pct. 29 din Hotărârea Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare,ministrul comunicațiilor și societății informaționale emite prezentul ordin. + 
Capitolul IDispoziții generale + 
Articolul 1Prezentul ordin reglementează procedura de acordare/retragere a avizului tehnic al Ministerului Comunicațiilor și Societății Informaționale pentru platformele digitale puse la dispoziție de către operatorii acestora, prin care se asigură intermedierea transportului alternativ cu autoturism și conducător auto. + 
Articolul 2Prezentul ordin stabilește cerințele minime tehnice și de securitate pe care trebuie să le îndeplinească platformele digitale prin care se asigură intermedierea activităților de transport alternativ.  + 
Articolul 3În înțelesul prezentului ordin, termenii, expresiile și abrevierile de mai jos au următoarele semnificații:1.activitate de transport alternativ cu autoturism și conducător auto intermediată printr-o platformă digitală, denumită în continuare transport alternativ – deplasarea persoanelor, cu ajutorul unui autoturism, în baza unui contract de transport alternativ încheiat între pasager și operatorul de transport alternativ deținător al autoturismului, care este intermediat de un operator al platformei digitale conform prezentei ordonanțe de urgență printr-o platformă digitală;2.amenințare – cauza potențială a unui incident nedorit, care poate dăuna unui sistem sau unei organizații;3.audit IT – activitatea de colectare și evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de performanțe și de lucru conform cerințelor de proiectare, dacă asigură funcționalitatea necesară cerințelor de afaceri și respectarea legislației în domeniu, dacă este securizat, dacă menține integritatea datelor prelucrate și stocate, dacă permite atingerea obiectivelor strategice ale entității și utilizarea eficientă a resurselor informaționale;4.auditor IT – persoana fizică autorizată care deține certificat de auditor IT sau persoana juridică cu personal certificat care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor și bunelor practici în domeniu;5.autentificare – procedură care permite operatorului platformei digitale să verifice atât identitatea conducătorului auto care prestează activități de transport alternativ, valabilitatea documentelor de transport ale acestuia, cât și identitatea unui utilizator al serviciilor de transport alternativ sau valabilitatea utilizării unui anumit instrument de plată cu acces la distanță și care include utilizarea elementelor de securitate personalizate ale utilizatorului;6.aviz tehnic – document eliberat de către Ministerul Comunicațiilor și Societății Informaționale pentru platformele digitale puse la dispoziție de către operatorii acestora, prin care se asigură intermedierea transportului alternativ;7.conducător auto – titular, respectiv angajat al unui operator de transport alternativ;8.continuitatea activității – starea de funcționare neîntreruptă a operațiunilor, ce presupune măsuri organizaționale, tehnice și de personal utilizate pentru a asigura continuitatea serviciilor după o întrerupere cauzată de producerea unui eveniment perturbator și pentru reluarea treptată a tuturor serviciilor în cazul unui eveniment perturbator major;9.contract de afiliere – contract încheiat prin intermediul platformei digitale între operatorul de transport alternativ/conducătorul auto și operatorul platformei digitale, prin care se confirmă îndeplinirea tuturor cerințelor și acceptarea termenilor și condițiilor contractuale afișate pe platforma digitală;10.contractul de transport alternativ – contractul încheiat prin intermediul platformei digitale între un pasager și un operator de transport alternativ de fiecare dată când este contractată o cursă de către un pasager, contract ce prevede termenii și condițiile în care va fi efectuată cursa la solicitarea pasagerului;11.controale informatice – totalitatea politicilor, procedurilor, practicilor, ghidurilor, mijloacelor de gestionare a riscurilor și a structurilor organizaționale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse, evenimentele nedorite vor fi prevenite sau detectate și corectate;12.cursa – deplasarea intermediată printr-o platformă digitală, executată cu autoturism și conducător auto pe un traseu comandat și acceptat de pasager, de la locul de îmbarcare până la locul de destinație;13.date (informatice) – orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic, incluzându-se și orice program informatic care poate determina realizarea unei funcții similare de către un sistem informatic;14.disponibilitate – capabilitatea unui serviciu IT sau a unui element de configurație IT de a efectua funcțiile agreate;15.incident operațional sau de securitate – un eveniment unic sau o serie de evenimente corelate, neprevăzute de către operatorul platformei digitale, care are un impact negativ asupra integrității, disponibilității, confidențialității, autenticității și/sau continuității activităților de transport alternativ;16.MCSI – Ministerul Comunicațiilor și Societății Informaționale;17.operator al platformei digitale – persoana juridică pe numele căreia se emite avizul tehnic pentru platforma digitală prin care se intermediază transportul alternativ;18.operator de transport alternativ – persoana fizică autorizată, întreprinderea individuală, întreprinderea familială sau persoana juridică deținătoare a autoturismului cu care se efectuează transport alternativ;19.pasager – persoană fizică care contractează transportul alternativ prin intermediul unei platforme digitale;20.plan de securitate – documentul ce descrie totalitatea măsurilor tehnice și administrative care sunt luate de către operatorul platformei digitale pentru utilizarea în condiții de siguranță a platformei digitale;21.platformă digitală – aplicație informatică pentru intermedierea transportului alternativ care îndeplinește condițiile minime tehnice și de securitate menționate în prezentul ordin, prin care utilizatorii înregistrați încheie în acest scop un contract de transport alternativ sau un contract de afiliere;22.prelucrarea datelor – orice operațiune sau set de operațiuni efectuate asupra datelor sau asupra seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;23.raport de audit IT – instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, procedurile, constatările și concluziile auditului, precum și orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat prin care este pusă la dispoziție platforma digitală;24.risc de securitate – riscul care rezultă din procesele interne sau evenimentele externe eșuate sau necorespunzătoare, care au sau ar putea avea un impact negativ asupra disponibilității, integrității, confidențialității și asupra sistemelor de tehnologie a informației și a comunicațiilor și/sau asupra informațiilor utilizate de către platforma digitală prin care se intermediază activitățile de transport alternativ;25.securitate informatică – capacitatea unui sistem informatic, rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive, de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;26.siguranță în funcționare – modalitate de gestionare a riscurilor specifice de intermediere activități de transport alternativ, în scopul asigurării funcționării conform nivelurilor de calitate a serviciilor;27.sistem informatic – ansamblu de elemente intercorelate funcțional în scopul automatizării obținerii informațiilor necesare activităților operaționale și manageriale într-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware și produselor software, proceduri manuale, baze de date și modele matematice pentru analiză, planificare, control și luarea deciziilor, utilizând componente de introducere și prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de bază, programe informatice, rețele de calculatoare și telecomunicații, componente de stocare și utilizatori, fără ca enumerarea să fie limitativă;28.sistem de asistență pentru utilizatori – set de funcționalități informatice, prin care utilizatorul poate comunica operatorului platformei digitale sugestii/reclamații;29.sistem de verificare a calității transportului alternativ – funcționalitate informatică prin intermediul căreia utilizatorii pot aprecia calitatea serviciilor de transport alternativ;30.tarif – contravaloarea unei curse;31.vulnerabilitate – este un punct slab (defect) în proiectarea, implementarea, operarea sau controlul intern al unui proces care ar putea expune sistemul la un risc de securitate. + 
Articolul 4Transportul alternativ se poate efectua numai prin intermediul unei platforme digitale avizate tehnic de către MCSI. + 
Articolul 5În situația în care operatorul platformei digitale este o persoană juridică nerezidentă, acesta este obligat să aibă, pe toată perioada în care își desfășoară activitatea de intermediere a transportului alternativ pe teritoriul României, o sucursală înregistrată care să îl reprezinte în fața autorităților statului român. + 
Articolul 6Pentru a obține avizul tehnic, platforma digitală pentru intermedierea transportului alternativ trebuie să îndeplinească cumulativ următoarele condiții tehnice:a)să conțină datele de înregistrare fiscală și datele de contact ale operatorului platformei digitale;b)să țină evidența automată a datelor de expirare a permiselor de conducere și a documentelor necesare efectuării operațiunilor de transport alternativ și să notifice automat operatorul de transport alternativ în scopul actualizării documentelor încărcate pe platforma digitală;c)să propună, să afișeze și să înregistreze traseul parcurs, utilizând tehnologii de localizare în conformitate cu legislația comunitară în vigoare;d)să furnizeze date despre tariful pentru efectuarea unei curse pe traseul stabilit în condițiile lit. c) înaintea acceptării cursei de către pasager;e)să furnizeze date despre numărul de înmatriculare al autoturismului cu care se efectuează cursa;f)să monitorizeze toate cursele, continuu, printr-un sistem de localizare;g)să asigure pasagerilor opțiunea de a comunica informații despre dizabilitate/mobilitate redusă și de a comunica cu conducătorul auto căruia i-a fost atribuită cursa și furnizează informații privind localizarea și timpul estimat al sosirii;h)să asigure pasagerilor posibilitatea să raporteze operatorului platformei digitale orice incidente privind efectuarea cursei;i)să asigure o interfață de comunicare disponibilă și accesibilă timp de 24 de ore pe zi, 7 zile pe săptămână pentru incidente privind efectuarea cursei;j)să asigure pasagerului opțiunea decontării prețului cursei pe bază de instrument de plată electronică cu acces la distanță sau în numerar;k)să asigure funcționalități de helpdesk pentru utilizatorii acesteia;l)să asigure publicarea contractului de transport alternativ și a contractului de afiliere care trebuie să cuprindă acei termeni și condiții stabiliți/stabilite de operatorul platformei digitale în îndeplinirea prerogativelor sale, ca participant la activitatea de transport alternativ, și care sunt relevanți pentru pasageri, fără publicarea elementelor comerciale dintre operatorul platformei și operatorul de transport alternativ/conducătorul auto;m)să informeze complet și cuprinzător toți utilizatorii, la înregistrarea acestora pe platforma digitală, cu privire la termenii și condițiile de funcționare a platformei digitale, la drepturile și obligațiile lor în cursul și după utilizarea platformei digitale, precum și cu privire la prelucrarea datelor lor cu caracter personal;n)să permită să devină utilizatori ai platformei digitale doar celor care au fost de acord în mod expres cu acești termeni și aceste condiții;o)să asigure informarea utilizatorilor ori de câte ori au fost făcute modificări asupra acestor termeni și condiții;p)să asigure furnizarea de date către operatorul platformei pentru întocmirea situațiilor financiare;q)să prelucreze datele cu caracter personal cu respectarea Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);r)să asigure emiterea și transmiterea către pasager a comenzii, precum și a facturii electronice emise în baza acesteia;s)să asigure accesul la serviciile sale doar al operatorilor de transport, al conducătorilor auto și autoturismelor care îndeplinesc condițiile legale pentru efectuarea transportului alternativ;t)să aibă implementate metode și proceduri adecvate de asigurare a securității cibernetice și protecției datelor, care respectă cerințele de securitate menționate la art. 7 din prezentul ordin;u)să aibă implementat un sistem de verificare a calității pentru activitatea de transport alternativ oferit de operatorii de transport alternativ/conducătorii auto acceptați pe platformă digitală;v)să asigure utilizarea limbii române pentru toate interfețele, informațiile afișate sau tipărite. + 
Articolul 7Cerințele minime de securitate ale sistemelor informatice prin care sunt puse la dispoziție platformele digitale pentru transport alternativ cu autoturism și conducător auto se referă la:a)confidențialitatea și integritatea comunicațiilor între platforma digitală, client și conducătorul auto referitoare la cursele realizate;b)mecanismele care să garanteze confidențialitatea și nerepudierea activităților de transport alternativ efectuate prin intermediul platformei digitale;c)autenticitatea părților care participă la activitățile de transport alternativ și existența metodelor de autentificare în concordanță cu nivelul de securitate al platformei digitale, precum și mijloacele de garantare a identității;d)confidențialitatea, autenticitatea și integritatea informațiilor/ datelor aferente activităților de transport alternativ efectuate prin intermediul platformei digitale în timpul procesării, stocării și arhivării acestora;e)trasabilitatea activităților de transport intermediate prin platforma digitală;f)respectarea protecției datelor cu caracter personal în sistemele informatice;g)stocarea, păstrarea datelor înregistrate și jurnalizarea acestora, precum și păstrarea în siguranță a unor copii de rezervă ale datelor și activităților de transport alternativ intermediate prin platforma digitală;h)prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică, reluarea în siguranță a activității de transport alternativ și recuperarea informațiilor afectate;i)detectarea, înregistrarea și gestionarea incidentelor de securitate informatică;j)evaluarea riscurilor de securitate informatică și măsuri de gestionare a acestora;k)asigurarea unui proces formal și continuu (cel puțin anual) de pregătire a resurselor umane implicate în operarea, mentenanța și administrarea platformelor digitale care intermediază activități de transport alternativ; l)continuitatea serviciilor oferite clienților;m)gestionarea și administrarea sistemului informatic;n)impactul operațiilor de modificare a:– arhitecturii din cadrul sistemului informatic (componente hardware/software) și aplicațiilor software utilizate în ciclul de viață al platformei digitale;– planului de securitate specific securității aferente platformei digitale;o)orice alte activități sau măsuri tehnice întreprinse pentru exploatarea în siguranță a sistemului informatic prin intermediul căruia este pusă la dispoziție platforma digitală. + 
Articolul 8Măsurile tehnice și organizatorice întreprinse pentru îndeplinirea cerințelor tehnice enumerate la art. 6 vor fi în concordanță cu tehnologia utilizată și cu riscurile potențiale.  + 
Articolul 9Operatorul platformei digitale are obligația de a implementa măsuri de securitate informatică, de a monitoriza continuu și de a evalua anual riscurile operaționale generate de utilizarea sistemelor informatice prin intermediul cărora este pusă la dispoziție platforma digitală, cu respectarea legislației interne și a reglementărilor comunitare. + 
Articolul 10Datele menționate pentru păstrare în Ordonanța de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto, precum și documentele emise în format electronic, a căror păstrare este obligatorie conform normelor în vigoare, aferente activităților de transport alternativ desfășurate prin intermediul platformei digitale, vor fi arhivate conform legislației naționale privind arhivarea electronică. + 
Capitolul IIEliberarea avizului + 
Articolul 11Documentele necesare pentru eliberarea avizului tehnic sunt:a)pentru operatorul platformei digitale, care este o persoană juridică rezidentă în România:1.cererea adresată MCSI, conform modelului prevăzut în anexa nr. 1;2.certificatul de înregistrare la oficiul registrului comerțului;3.actul constitutiv al operatorului platformei digitale;4.certificat constatator eliberat de către oficiul registrului comerțului, nu mai vechi de 30 de zile, în care să se specifice datele de identificare ale operatorului platformei digitale și administratorul acestuia;5.copie a cărții de identitate a administratorului societății înscris în certificatul constatator;6.împuternicire și copie a cărții de identitate pentru persoana delegată să reprezinte operatorul în relația cu MCSI, dacă este cazul;7.descrierea funcțională a sistemului informatic și a platformei digitale prin intermediul căreia se desfășoară activități de transport alternativ cu autoturism și conducător auto, din care să rezulte că acesta îndeplinește condițiile tehnice prevăzute la art. 6;8.planul de securitate al sistemului informatic, semnat de către operatorii platformei digitale prevăzuți la art. 1, cuprinzând descrierea măsurilor tehnice și organizatorice prevăzute pentru asigurarea cerințelor de securitate enumerate la art. 7;9.raportul de audit, care trebuie să îndeplinească următoarele condiții:a)să cuprindă elementele prevăzute în raportul de audit prevăzut în anexa nr. 3, fără a se limita la acestea;b)să fie întocmit de către un auditor selectat din Lista auditorilor IT publicată pe site-ul MCSI;10.data de întocmire a raportului de audit nu trebuie să depășească 60 de zile față de data depunerii documentației de avizare;11.plan de continuitate a afacerii și recuperare în caz de dezastru;12.dovada achitării la bugetul de stat a taxei prevăzute la art. 25 lit. p) din Ordonanța de urgență a Guvernului nr. 49/2019;13.declarația pe propria răspundere a reprezentantului legal al operatorului cu privire la respectarea, în cadrul procesului de intermediere a activităților de transport alternativ prin platforma digitală, a cerințelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);14.contractul încheiat cu un administrator de arhivă electronică acreditat;b)pentru operatorul platformei digitale care este o persoană juridică nerezidentă în România:1.cererea adresată MCSI, conform modelului prevăzut în anexa nr. 2;2.certificatul de înregistrare la registrul comerțului a sucursalei;3.certificatul, în traducere certificată, de la registrul în care este înmatriculat operatorul platformei digitale, care să ateste existența societății; 4.hotărârea organului statutar competent privind înființarea sucursalei prin care se desemnează și persoana împuternicită să reprezinte sucursala, original sau copie certificată, și traducerea realizată de un traducător autorizat a cărui semnătură să fie legalizată de un notar public; 5.mandatul de reprezentare al sucursalei ratificat de către operatorul platformei digitale, în care sunt menționate toate drepturile și obligațiile conferite acesteia; expres trebuie să fie specificat(ă) dreptul/obligația de a pune la dispoziția instituțiilor publice, în concordanță cu competențele acestora, datele referitoare la curse, traseu, pasageri, conducători auto, operatori transport, autoturism, localizare, contracte; 6.actul constitutiv al operatorului platformei digitale împreună cu toate modificările acestuia sau actul constitutiv actualizat, original sau copie certificată, și traducerea realizată de un traducător autorizat, a cărui semnătură să fie legalizată de un notar public; 7.actul de împuternicire a reprezentantului sucursalei de către operatorul platformei digitale, dacă acesta nu a fost numit prin hotărârea organului statutar competent (copie tradusă și legalizată); 8.actele de identitate ale persoanelor împuternicite să reprezinte sucursala (copii certificate pentru conformitate);9.certificatul constatator de autorizare a sucursalei eliberat de către oficiul registrului comerțului, nu mai vechi de 30 de zile, în care să se specifice obiectul de activitate și reprezentantul legal;10.descrierea funcțională a sistemului informatic și a platformei digitale prin intermediul căreia se desfășoară activități de transport alternativ cu autoturism și conducător auto, din care să rezulte că acesta îndeplinește condițiile tehnice prevăzute la art. 6;11.planul de securitate al sistemului informatic, semnat de către operatorul platformei digitale prevăzut la art. 1, cuprinzând descrierea măsurilor tehnice și organizatorice prevăzute pentru asigurarea cerințelor de securitate enumerate la art. 7;12.raportul de audit, care trebuie să îndeplinească următoarele condiții:a)să cuprindă elementele prevăzute în raportul de audit prezentat în anexa nr. 3, fără a se limita la acestea;b)să fie întocmit de către un auditor selectat din Lista auditorilor IT publicată pe site-ul MCSI;13.data de întocmire a raportului de audit nu trebuie să depășească 60 de zile față de data depunerii documentației de avizare; 14.plan de continuitate al afacerii și recuperare în caz de dezastru;15.dovada achitării la bugetul de stat a taxei prevăzute la art. 25 lit. p) din Ordonanța de urgență a Guvernului nr. 49/2019;16.declarația pe propria răspundere a reprezentantului legal al operatorului platformei digitale cu privire la respectarea Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, în cadrul procesului de intermediere a activităților de transport alternativ prin platforma digitală;17.declarația pe propria răspundere a reprezentantului legal al sucursalei cu privire la respectarea cerințelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), în procesul de reprezentare a operatorului platformei digitale; 18.contractul încheiat cu un administrator de arhivă electronică acreditat. + 
Articolul 12(1)Documentele prevăzute la art. 11 se vor transmite către MCSI, în limba română, vor fi semnate de către reprezentantul legal al operatorului platformei și vor avea mențiunea „conform cu originalul“.(2)Documentația va fi paginată și însoțită de un opis. + 
Articolul 13Documentația aferentă planului de securitate va avea următoarea structură:1.Informații de identificare:a)denumirea operatorului platformei digitale;b)denumirea platformei digitale;c)descrierea generală a soluției tehnice;d)interconectarea sistemului;e)aria geografică în care platforma digitală poate fi utilizată;f)datele de contact ale persoanelor responsabile;2.Măsuri pentru securitatea sistemului:a)evaluarea și managementul riscurilor potențiale;b)identificarea, analizarea și remedierea riscurilor de securitate în conformitate cu cele mai bune practici în gestionarea acestora;c)măsurile tehnice de securitate implementate;d)situația cu înregistrarea și analizarea incidentelor de securitate informatică;e)metodologia de recuperare a informațiilor în caz de dezastru și continuarea activității;f)rapoartele de testare a funcționalității platformei digitale în ultimele 12 luni;g)procedurile operaționale de exploatare;h)măsurile aplicate pentru asigurarea securității fizice;i)instruirea personalului propriu în legătură cu administrarea sistemului informatic;j)instrucțiunile de utilizare a platformei digitale (manual de utilizare);k)suportul tehnic oferit clienților care utilizează platforma digitală.3.Orice alte informații relevante legate de măsurile luate de către operatorul platformei digitale pentru a asigura exploatarea în siguranță a acesteia. + 
Capitolul IIICondiții privind desfășurarea auditului IT + 
Articolul 14(1)Auditarea se va efectua în baza unui contract încheiat între operatorul platformei digitale care a solicitat auditarea și un auditor înscris în Lista auditorilor IT.(2)Operatorul platformei digitale nu poate contracta auditarea cu același auditor IT pentru mai mult de două auditări consecutive.(3)Operatorul are obligația de a se asigura că în contractul de auditare sunt cuprinse în mod obligatoriu clauze cu privire la faptul că auditorul IT trebuie să respecte cerințele impuse pentru efectuarea auditului sistemelor informatice, în conformitate cu prevederile prezentului ordin și cu bunele practici în domeniu.(4)Activitatea de auditare trebuie să respecte conduita etică și profesională, nu presupune încălcarea secretului profesional impus prin clauze contractuale sau prin prevederi legale și nu atrage niciun fel de răspundere asupra persoanei fizice și/sau juridice în cauză ca urmare a respectării prevederilor prezentului ordin. + 
Articolul 15Perioada supusă auditării reprezintă perioada cuprinsă între două auditări consecutive. + 
Articolul 16Pe timpul auditării, auditorul IT are obligația de a analiza situația deficiențelor și vulnerabilităților identificate, întocmită cu ocazia auditării precedente, precum și măsurile întreprinse de către operatorul platformei digitale. + 
Articolul 17Auditorul IT notifică MCSI, în scris, în maximum 10 zile de la constatare, orice fapt sau act care:a)este de natură să afecteze utilizarea în siguranță a platformei digitale;b)poate conduce la o opinie de audit cu rezerve, negativă sau imposibilitatea exprimării acesteia. + 
Articolul 18În termen de maximum 10 zile de la solicitarea scrisă a MCSI, auditorul IT trebuie să comunice următoarele, fără a se limita la acestea:a)orice raport sau document care a fost adus la cunoștința operatorului auditat;b)motivația de încetare a contractului de audit, dacă aceasta a avut loc înainte de finalizarea auditării. + 
Articolul 19La finalizarea auditării, auditorii IT au obligația de a întocmi un raport de audit IT, care să cuprindă cel puțin elementele enumerate în raportul de audit prevăzut în anexa nr. 3, dar fără a se limita la acestea. + 
Articolul 20Pentru cazurile în care sistemul informatic și platforma digitală utilizată în procesul de intermediere a activității de transport alternativ sunt situate în afara țării, auditarea sistemului se va face astfel:– auditorul IT înscris în Lista auditorilor IT, publicată pe siteul MCSI, va audita sistemele din străinătate sau– auditorul IT înscris în Lista auditorilor IT, publicată pe siteul MCSI, agreează auditarea sistemului din străinătate de către un auditor cu o certificare cuprinsă în lista certificărilor necesare pentru înscrierea în lista auditorilor IT și preia responsabilitatea auditării. + 
Articolul 21(1)MCSI poate participa la procesul de auditare ca observator, prin reprezentanți desemnați prin ordin de ministru.(2)MCSI poate solicita auditorului, în scris, clarificări, precum și documentația de audit, după caz.(3)Operatorul platformei digitale de transport alternativ va permite accesul reprezentanților MCSI, în conformitate cu obiectivele specificate în documentele de control. + 
Articolul 22(1)Documentele prevăzute la art. 11 se înaintează către MCSI cu minimum 30 de zile înaintea expirării avizului anterior și vor fi întocmite într-un singur exemplar.(2)MCSI va emite avizul tehnic pentru platforma digitală în termen de 30 de zile lucrătoare de la depunerea documentației complete.(3)MCSI va remite solicitantului un exemplar al avizului tehnic, în termen de 3 zile calendaristice după acordarea acestuia.(4)Avizul acordat este netransmisibil.(5)Avizul tehnic pentru platformele digitale va avea o valabilitate de 12 luni.(6)MCSI publică, pe site-ul propriu, lista platformelor digitale avizate tehnic, operatorii acestora și sucursalele de reprezentare, precum și datele de contact, actualizându-se ori de câte ori este necesar.(7)Forma avizului tehnic acordat este prevăzută în anexa nr. 4. + 
Articolul 23Avizul tehnic pentru platformele digitale eliberat de către MCSI este valabil pe întreg teritoriul României. + 
Articolul 24Operatorul platformei digitale este obligat să publice pe platforma digitală avizul tehnic eliberat de către MCSI. + 
Articolul 25Eliberarea de către MCSI a avizului tehnic pentru platforma digitală nu exonerează operatorul platformei, clienții și operatorii de transport de răspunderile asumate prin contractul încheiat între aceștia. + 
Articolul 26MCSI poate efectua verificări la sediul operatorului platformei digitale avizat sau în curs de avizare prin personal desemnat prin ordin al ministrului comunicațiilor și societății informaționale. + 
Articolul 27(1)Operatorul platformei digitale va notifica MCSI orice dezvoltare, modificare a datelor de exploatare și a procedurilor operaționale, care ar putea afecta major funcționarea și securitatea platformei digitale, în termen de 15 zile de la data când devin operaționale. Notificarea conține descrierea modificării/dezvoltării efectuate, impactul acesteia asupra funcționării și securității platformei digitale.(2)Operatorul platformei digitale va notifica MCSI, în termen de maximum 10 zile, orice incident de securitate care a afectat în mod direct clienții sau operatorii de transport. Notificarea va cuprinde cauza și măsurile ce urmează a fi luate în vederea remedierii situației apărute.(3)MCSI poate solicita un nou raport de audit pentru platforma digitală, după analizarea notificărilor prevăzute la alin. (1) și (2).(4)Operatorul platformei digitale va notifica MCSI, în termen de 10 zile, orice modificare privind statutul de operator economic. + 
Capitolul IVRetragerea avizului tehnic + 
Articolul 28MCSI va transmite operatorului platformei digitale o notificare prealabilă prin care i se aduc la cunoștință motivele pentru care se va proceda la inițierea demersurilor pentru retragerea avizului.  + 
Articolul 29Retragerea avizului tehnic pentru platforma digitală se va face de către MCSI în următoarele condiții:a)platforma digitală nu mai îndeplinește cerințele tehnice și de securitate prevăzute la art. 6 și 7;b)în urma verificărilor la sediul operatorului sau pe platforma digitală, se constată nerespectarea prevederilor conținute în documentația de avizare;c)operatorul platformei digitale nu a prezentat raportul de audit menționat la art. 27 alin. (3);d)au fost semnalate incidente de securitate, iar operatorul nu a prezentat notificarea acestora conform art. 27 alin. (2);e)operatorul platformei digitale/sucursala a declanșat procedura de faliment sau a fost radiat(ă) din registrul comerțului, după caz. + 
Articolul 30MCSI va retrage avizul tehnic dacă, în termen de 30 de zile de la primirea notificării prevăzute la art. 28, operatorul platformei digitale nu trimite documentele justificative privind remedierea aspectelor notificate. + 
Articolul 31Operatorul platformei digitale este obligat să publice pe site-ul propriu înștiințarea de retragere a avizului tehnic emis de către MCSI în 24 de ore de la primirea acesteia. + 
Articolul 32După retragerea avizului tehnic în condițiile art. 30 este necesară parcurgerea totală a procedurii de acordare a avizului tehnic prevăzută în prezentul ordin. + 
Capitolul VMăsuri tranzitorii + 
Articolul 33(1)Operatorilor platformelor digitale de transport alternativ care nu pot prezenta odată cu depunerea documentației de avizare raportul de audit până la 1.11.2019 li se va acorda un aviz tehnic provizoriu, valabil până la 31.12.2019, dacă aceștia fac dovada că se află în curs de auditare, prin prezentarea contractului de auditare.(2)După prezentarea raportului de audit de către operatorii platformelor digitale se va urma procedura de eliberare a avizului menționată în prezentul ordin. + 
Capitolul VIDispoziții finale + 
Articolul 34Anexele nr. 1-4 fac parte integrantă din prezentul ordin. + 
Articolul 35Prezentul ordin se publică în Monitorul Oficial al României, Partea I, și intră în vigoare la data publicării acestuia.
Ministrul comunicațiilor și societății informaționale,
Alexandru PetrescuBucurești, 2 august 2019.Nr. 734. + 
Anexa nr. 1
CERERE
de eliberare a avizului tehnic pentru operatorul platformei digitale, rezident în România……….(denumirea operatorului platformei digitale) ……….., având sediul în ………..(adresa completă, inclusiv telefon și fax)……….,înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerțului cu nr. ………..(numărul de înregistrare/codul unic de înregistrare)………………(cod fiscal) ……, reprezentat(ă) legal prin ……….(numele și prenumele) ………, domiciliat(ă) în ……….(adresa completă, inclusiv telefon)………..……………………, identificat(ă) prin …………..(actul de identitate: seria, numărul și emitentul, precum și codul numeric personal)………,în conformitate cu prevederile Hotărârii Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare, cu prevederile art. 8 din Ordonanța de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto, vă solicităm eliberarea/menținerea avizului tehnic pentru funcționarea platformei digitale de transport alternativ cu autoturism și conducător auto ……………(denumirea platformei digitale)………… .Sistemul informatic al platformei digitale funcționează (va funcționa) la sediul din …………………………., iar informațiile prevăzute la art. 5 alin. (1) lit. a)-g) și j) din Legea nr. 365/2002 privind comerțul electronic, republicată, cu modificările ulterioare, pot fi accesate la adresa web: ………………………………….
Numele și prenumele solicitantului
………………………………
Ștampila solicitantului
Data ……………………… + 
Anexa nr. 2
CERERE
de eliberare a avizului tehnic pentru operatorul platformei digitale, nerezident în România…………(denumirea operatorului platformei digitale) ………, având sediul în …….(adresa completă, inclusiv telefon și fax)………..,înmatriculat(ă)/înregistrat(ă) la …………..(țară, registru) ……. cu nr. ……….(numărul de înregistrare/codul unic de înregistrare)…….,……..(cod fiscal) ……., reprezentat(ă) legal prin sucursala ……….(denumirea sucursalei)………….cu sediul social în ………..(adresa sucursalei) ……….., reprezentată prin ……………(numele și prenumele)…………,domiciliat(ă) în …..(adresa completă, inclusiv telefon) ……, identificat(ă) prin …………….(actul de identitate: seria, numărul și emitentul, precum și codul numeric personal)…………,în conformitate cu prevederile Hotărârii Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare, cu prevederile art. 8 din Ordonanța de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto, vă solicităm eliberarea/menținerea avizului tehnic pentru funcționarea platformei digitale de transport alternativ cu autoturism și conducător auto ……………..(denumirea platformei)……..Sistemul informatic funcționează (va funcționa) la sediul din ………………………., iar informațiile prevăzute la art. 5 alin. (1) lit. a)-g) și j) din Legea nr. 365/2002 privind comerțul electronic, republicată, cu modificările ulterioare, pot fi accesate la adresa web: …………………….
Numele și prenumele solicitantului
………………………………
Ștampila solicitantului
Data ……………………… + 
Anexa nr. 3
RAPORT DE AUDIT + 
Secţiunea 1Raport

Nr. crt. Capitol Observații
1. Titlul raportului
2. Destinatarii raportului și orice restricții privind conținutul și circulația raportului
3. Paragraf introductiv Identificarea operatorului platformei digitale (denumire/numărul de înregistrare la Oficiul Național al Registrului Comerțului/adresă) Identificarea platformei digitale (menționarea denumirii platformei digitale)Includerea afirmației că sistemele/aplicațiile informatice au fost auditate ca urmare a obligației legale impuse de Ordinul ministrului comunicațiilor și societății informaționale nr. 734/2019 privind reglementarea procedurii de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și șofer auto
4. Asumarea responsabilității conducerii entității privind auditul efectuat asupra sistemelor informatice
5. Responsabilitatea auditorului IT Raportul de audit IT va include cel puțin afirmațiile: – că „este responsabilitatea auditorului IT să exprime o opinie cu privire la conformitatea sistemelor informatice/platformei digitale cu prevederile Ordinului ministrului comunicațiilor și societății informaționale nr. 734/2019 privind reglementarea procedurii de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto“; – că „raportul de audit IT a fost elaborat în conformitate cu standardul de audit utilizat, respectiv ………………………… (menționarea acestuia)“.
6. Datele de identificare ale coordonatorului certificat al echipei de audit IT/auditorului IT persoană fizică/auditorului IT intern certificat Numele, prenumele, telefon, fax, adresa de e-mail și adresa unde își desfășoară activitatea
7. Semnătura coordonatorului certificat al echipei de audit și semnătura reprezentantului legal al auditorului persoană juridică/Semnătura auditorului IT persoană fizică/Semnătura auditorului IT certificat
8. Obiectivele activității de audit IT, perioada auditată
9. Sediul desfășurării activității de audit IT, data întocmirii raportului de audit IT Adresa sediului unde a avut loc activitatea de audit IT (sediu central/sucursală/filială), data întocmirii raportului de audit IT
10. Descrierea ariei auditului IT Identificarea sistemului informatic utilizat de către operatorul platformei digitale folosit în punerea la dispoziție a platformei digitale ………………………. (menționarea denumirii platformei digitale) Raportarea componentelor sistemului informatic se va face într-un tabel care să cuprindă următoarele: Nr. crt.; Denumire echipament/aplicație; Descriere hardware/software; Serial number; Funcția îndeplinită; Administrarea sistemului informatic (internă/externalizată) Pentru sistemele informatice/platforma digitală supuse/supusă auditului IT se vor menționa următoarele: – măsurile organizatorice: politicile aplicabile și procedurile implementate; – un sumar conținând analiza riscurilor aferente activității, a posibilelor deficiențe ale sistemului informatic auditat și a măsurilor de reducere a riscurilor asociate, în baza controalelor generale sau specifice implementate conform prevederilor Ordinului ministrului comunicațiilor și societății informaționale nr. 734/2019 privind reglementarea procedurii de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto.
11. Referiri cu privire la implementarea planului de acțiune asumat de operatorul platformei digitale rezultat în urma activității de audit IT anterioare, dacă este cazul Verificarea modului de implementare a măsurilor și respectarea termenelor asumate prin raportul de audit anterior
12. Referiri cu privire la modul de efectuare a evaluării anuale de către operatorul platformei digitale a riscurilor operaționale generate de utilizarea sistemelor informatice importante (Entitățile au obligația să evalueze anual și să monitorizeze continuu riscurile operaționale generate de utilizarea sistemelor informatice importante, să prioritizeze resursele, să implementeze măsuri de securitate informatică și să monitorizeze eficacitatea acestora prin aplicarea managementului de risc.) Opinie cu privire la plauzibilitatea metodologiei/tehnicilor utilizate, precum și asupra măsurilor de control implementate în vederea gestionării riscurilor operaționale identificate
13. Referiri cu privire la îndeplinirea cerințelor standardului ISO 27001 de către operatorul platformei digitale Verificarea modului de implementare a măsurilor și respectarea cerințelor standardului ISO 27001
14. Rezultatul obținut în urma efectuării testului de penetrare Conform raportului privind testul de penetrare se consemnează următoarele elemente: – nr. de înregistrare/data raportului privind testele de penetrare; – perioada în care s-au desfășurat testele de penetrare; – descrierea metodologiei/tehnicilor utilizate; – menționarea rezultatelor obținute în urma testului; – concluziile raportului; – recomandările adresate entității și răspunsul managementului entității.
15. Afirmația de conformitate, reflectată prin opinia auditorului IT Opinie pozitivă, opinie cu rezerve/calificată, opinie negativă, după caz

 + 
Secţiunea a 2-a
Anexe la raportul de audit IT1.Sumarul observațiilor – anexa nr. R1Anexa este însușită de către entitatea auditată prin semnarea acesteia de către reprezentantul legal și conține, fără a se limita la acestea:a)descrierea neconformității/constatării;b)importanța neconformității/constatării;c)riscurile asociate;d)probabilitatea ca aceste constatări să aibă un impact semnificativ; recomandările auditorului IT pentru acțiuni corective și răspunsul conducerii entității auditate pentru fiecare constatare din raport (inclusiv în urma testului de penetrare);e)planul de acțiune asumat de către entitatea auditată care conține măsurile efective, termenul de implementare și persoanele responsabile de implementare.2.Analiza internă a riscurilor operaționale și registrul riscurilor – anexa nr. R2Anexa conține următoarele informații, fără a se limita la acestea:a)descrierea politicii/metodologiei utilizate de către entitate;b)rezultatele revizuirii riscurilor generate de utilizarea sistemelor informatice;c)rezultatele evaluării de către auditorul IT a măsurilor de control implementate în vederea gestionării riscurilor operaționale identificate (pentru riscuri semnificative).3.Concluzii ale echipei de audit privind respectarea cerințelor impuse de Ordinul ministrului comunicațiilor și societății informaționale nr. 734/2019 privind reglementarea procedurii de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto – anexa nr. R3NOTĂ:Anexele prevăzute la secțiunea a 2-a „Anexe la raportul de audit R1-R3 fac parte integrantă din raport. + 
Anexa nr. 4
AVIZ TEHNICAvând în vedere prevederile Hotărârii Guvernului nr. 36/2017 privind organizarea și funcționarea Ministerului Comunicațiilor și Societății Informaționale, cu modificările și completările ulterioare,având în vedere prevederile art. 8 din Ordonanța de urgență a Guvernului nr. 49/2019 privind activitățile de transport alternativ cu autoturism și conducător auto și ale Ordinului ministrului comunicațiilor și societății informaționale nr. 734/2019 privind reglementarea procedurii de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism și conducător auto,ministrul comunicațiilor și societății informaționale eliberează prezentul aviz tehnic.…………(denumirea operatorului platformei)…………., având sediul în……………(adresa completă, inclusiv telefon și fax)……..,înmatriculat(ă)/înregistrat (ă) la oficiul registrului comerțului cu nr. ………….., cod fiscal ……………….. reprezentat(ă) legal prin ………..(numele și prenumele)……….,a obținut avizul tehnic pentru platforma digitală …………(denumirea platformei digitale)…………, care este pusă la dispoziție la adresaweb: ……………………………………Prezentul document s-a eliberat operatorului platformei digitale pentru operarea și punerea la dispoziție a platformei digitale de transport alternativ cu autoturism și conducător auto.Prezentul aviz tehnic are valabilitate un an de la eliberarea acestuia, nu este transmisibil și se publică pe platforma digitală.Ministrul comunicațiilor și societății informaționale,………………………………….Nr. …………………….Data ………………….–-

Redacția Lex24
Drept la Sursa!
Articole Urmărește
Categorii: Monitorul Oficial Partea I
Abonati-va
Anunțați despre
0 Discuții
Cel mai vechi
Cel mai nou Cele mai votate
Feedback-uri inline
Vezi toate comentariile
0
Opinia dvs. este importantă, adăugați un comentariu.x

Raport

Conține informații înșelătoare sau false
Hărțuire sau comportament de intimidare
Conține materiale pentru adulți sau sensibile
Conține conținut abuziv sau disprețuitor
Conține spam, conținut fals sau potențial malware

Blocare membru?

Vă rugăm să confirmați că doriți să blocați acest membru.

Nu vei mai putea:

  • Vedeți postările membrilor blocați
  • Menționați acest membru în postări
  • Invitați acest membru în grupuri
  • Trimite mesaj acestui membru
  • Adăugați acest membru ca conexiune

Vă rugăm să rețineți: Această acțiune va elimina și acest membru din conexiunile dvs. și va trimite un raport administratorului site-ului. Vă rugăm să acordați câteva minute pentru finalizarea acestui proces.

Raport

Ai raportat deja acest lucru .