CAPITOLUL I
Dispozitii generale
Articolul 1Prezentul ordin reglementeaza procedura de eliberare a avizului Ministerului Comunicatiilor si Societatii Informationale pentru instrumentele de plata electronica cu acces la distanta furnizate de catre prestatorii de servicii de plata autorizati de Banca Nationala a Romaniei, de tip internet- banking, home-banking, phone-banking sau mobile-banking, necesar pentru notificarea acestora catre BNR, precum si inscrierea auditorilor IT, conform procedurii prevazute in cap. III.
Articolul 2Prezentul ordin stabileste cerintele minime de securitate ale sistemelor informatice pe care trebuie sa le indeplineasca prestatorii de servicii de plata prevazuti la art. 1, prin intermediul carora este furnizat instrumentul de plata electronica cu acces la distanta.
Articolul 3In intelesul prezentului ordin, termenii, expresiile si abrevierile de mai jos au urmatoarele semnificatii:1. amenintare - cauza potentiala a unui incident nedorit, care poate dauna unui sistem sau unei organizatii;2. administrator al arhivei electronice - persoana fizica sau juridica acreditata de autoritatea de reglementare si supraveghere specializata in domeniu sa administreze sistemul electronic de arhivare si documentele arhivate in cadrul arhivei electronice;3. arhiva electronica - sistemul electronic de arhivare, impreuna cu totalitatea documentelor in forma electronica arhivate;4. atac etic/test de penetrare - un test direct al eficacitatii de aparare a securitatii prin mimarea actiunilor atacatorilor reali/test al sistemelor informatice realizat printr-o simulare a unui atac real asupra retelelor, sistemelor si programelor informatice utilizate de entitatea testata sau auditata, dupa caz, efectuat cu acordul managementului prestatorului;5. audit IT - activitatea de colectare si evaluare a unor probe pentru a determina daca sistemul informatic respecta parametrii de performante si de lucru conform cerintelor de proiectare, daca asigura functionalitatile necesare cerintelor de afaceri si respectarea legislatiei in domeniu, daca este securizat, daca mentine integritatea datelor prelucrate si stocate, daca permite atingerea obiectivelor strategice ale entitatii si utilizarea eficienta a resurselor informationale;6. auditor IT - persoana fizica autorizata care detine certificat de auditor IT sau persoana juridica cu personal certificat care deruleaza o activitate de auditare a sistemelor informatice, conform reglementarilor si bunelor practici in domeniu;7. autentificare - procedura care permite prestatorului de servicii de plata sa verifice identitatea unui utilizator al serviciilor de plata sau valabilitatea utilizarii unui anumit instrument de plata si care include utilizarea elementelor de securitate personalizate ale utilizatorului;8. aviz - actul administrativ emis de catre Ministerul Comunicatiilor si Societatii Informationale in conformitate cu prevederile art. 129 alin. (1) pct. 2 lit. c) din Regulamentul Bancii Nationale a Romaniei nr. 3/2018;9. BNR - Banca Nationala a Romaniei;10. centru de date - spatiu securizat, dotat cu tehnica de calcul si echipamente de comunicatii prin intermediul carora se primesc, se stocheaza si se transmit date in forma electronica;11. comunicatii/telecomunicatii - sisteme de transmisie, precum si orice alte resurse care permit transportul semnalelor prin fir, radio, fibra optica sau orice alte mijloace electromagnetice, precum si tehnologiile utilizate in cadrul proceselor de comunicare, care presupun existenta unui mediu informatic constituit din echipamente hardware, software specializat, precum si dispozitive electronice de transmisie/receptie date;12. continuitatea activitatii - starea de functionare neintrerupta a operatiunilor, ce presupune masuri organizationale, tehnice si de personal utilizate pentru a asigura continuitatea serviciilor critice dupa o intrerupere cauzata de producerea unui eveniment perturbator si pentru reluarea treptata a tuturor serviciilor in cazul unui eveniment perturbator major;13. controale informatice - totalitatea politicilor, procedurilor, practicilor, ghidurilor, mijloacelor de gestionare a riscurilor si a structurilor organizationale informatice proiectate sa ofere o asigurare rezonabila asupra faptului ca obiectivele afacerii vor fi atinse, evenimentele nedorite vor fi prevenite sau detectate si corectate;14. date (informatice) - orice reprezentare a unor fapte, informatii sau concepte intr-o forma care poate fi prelucrata printr-un sistem informatic, incluzandu-se si orice program informatic care poate determina realizarea unei functii similare de catre un sistem informatic;15. disponibilitate - capabilitatea unui serviciu IT sau a unui element de configuratie IT de a efectua functiile agreate;16. emitent - prestator de servicii de plata care emite si pune la dispozitia detinatorului un instrument de plata electronica, in baza unui contract incheiat cu detinatorul;17. externalizare servicii IT - utilizarea de catre o entitate a unui furnizor extern de servicii IT, in vederea desfasurarii de catre aceasta, pe baza contractuala si in mod continuu sau pentru o anumita perioada, a operatiunilor aferente suportului tehnic sau procesarii, necesare desfasurarii activitatii efectuate in mod obisnuit de catre entitatea in cauza;18. furnizor de servicii de arhivare electronica - orice persoana fizica sau juridica acreditata sa presteze servicii legate de arhivarea electronica;19. furnizor de servicii IT externalizate - furnizori care ofera servicii de mentenanta, administrare software (aplicatii), servicii de administrare retea, baze de date si sisteme de operare, furnizori de software, servicii de hosting, co-locare si cloud. Furnizorii de servicii de comunicatii nu fac obiectul prezentei definitii;20. incident operational sau de securitate - un eveniment unic sau o serie de evenimente corelate, neprevazute de catre prestatorul serviciului de plata, care are un impact negativ asupra integritatii, disponibilitatii, confidentialitatii, autenticitatii si/sau continuitatii serviciilor aferente platilor;21. instrument de plata electronica cu acces la distanta - set de proceduri, care se bazeaza pe o solutie informatica, de tipul: internet-banking, home-banking, phone-banking, mobile- banking, care permite utilizatorului initierea de operatiuni de plata;22. instrument de plata electronica cu acces la distanta tip internet-banking - acel instrument de plata cu acces la distanta care se bazeaza pe tehnologia internet (world wide web) si pe sistemele informatice ale emitentului;23. instrument de plata la distanta tip home-banking - acel instrument de plata cu acces la distanta care se bazeaza pe o aplicatie software a emitentului instalata la sediul detinatorului, pe o statie de lucru individuala sau in retea;24. instrument de plata electronica cu acces la distanta tip mobile-banking - acel instrument de plata cu acces la distanta care presupune utilizarea unui echipament mobil (telefon, tableta, PDA - Personal Digital Assistant etc.) si a unor servicii oferite de catre operatorii de telecomunicatii;25. instrument de plata electronica cu acces la distanta tip phone-banking - acel instrument de plata cu acces la distanta care faciliteaza accesul clientilor la produsele si serviciile unui prestator de servicii de plata prin utilizarea telefonului drept canal alternativ de acces de la distanta;26. MCSI - Ministerul Comunicatiilor si Societatii Informationale;27. operatiune de plata - actiune initiata de platitor sau de o alta persoana in numele si pe seama platitorului ori de beneficiarul platii cu scopul de a depune, de a transfera sau de a retrage fonduri, indiferent de orice obligatii subsecvente intre platitor si beneficiarul platii;28. ordin de autorizare centru de date - document emis de MCSI care atesta ca un centru de date indeplineste toate conditiile cerute de legislatia in vigoare in vederea desfasurarii operatiunilor de arhivare electronica;29. prelucrarea datelor - orice operatiune sau set de operatiuni efectuate asupra datelor sau asupra seturilor de date, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;30. procedura de autorizare a unui centru de date - metoda de evaluare sistematica, documentata, periodica si obiectiva a performantei centrului de date, a sistemului de management si a proceselor destinate protectiei arhivelor electronice, in scopul verificarii respectarii cerintelor prevazute de legislatia in vigoare;31. prestator de servicii de plata - entitate autorizata sa presteze servicii de plata pe teritoriul Romaniei, respectiv institutii de credit, institutii de plata si institutii emitente de moneda electronica;32. prestator - prestator de servicii de plata specifice instrumentelor financiare de plata electronica cu acces la distanta;33. plan de securitate - documentul ce descrie totalitatea masurilor tehnice si administrative care sunt luate de catre emitent pentru utilizarea in conditii de siguranta a instrumentului de plata electronica cu acces la distanta;34. raport de audit IT - instrumentul prin care se comunica scopul auditarii, obiectivele urmarite, normele/standardele aplicate, perioada acoperita, natura, procedurile, constatarile si concluziile auditului, precum si orice rezerva pe care auditorul IT o are asupra sistemului informatic auditat;35. raport de testare IT - instrumentul prin care se comunica scopul testarii, obiectivele urmarite, normele/standardele aplicate, perioada acoperita, natura, intinderea, procedurile, constatarile si concluziile testarii, precum si orice rezerva pe care echipa de testare o are asupra sistemului informatic testat;36. Regulamentul Bancii Nationale a Romaniei nr. 3/2018 - Regulamentul Bancii Nationale a Romaniei nr. 3/2018 privind monitorizarea infrastructurilor pietei financiare si a instrumentelor de plata, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 713 din 16 august 2018;37. risc de securitate - riscul care rezulta din procesele interne sau evenimentele externe esuate sau necorespunzatoare, care au sau ar putea avea un impact negativ asupra disponibilitatii, integritatii, confidentialitatii si asupra sistemelor de tehnologie a informatiei si a comunicatiilor si/sau asupra informatiilor utilizate pentru furnizarea serviciilor de plata;38. securitate informatica - capacitatea unui sistem informatic, rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive, de a rezista, la un nivel de incredere dat, unei actiuni accidentale sau rauvoitoare care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidentialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de reteaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;39. siguranta in functionare - modalitate de gestionare a riscurilor specifice infrastructurii pietei financiare, respectiv a instrumentului de plata, in scopul asigurarii functionarii conform nivelurilor de calitate a serviciilor si/sau orarului de functionare asumat, fara a afecta in mod negativ increderea participantilor si a publicului;40. sistem informatic - ansamblu de elemente intercorelate functional in scopul automatizarii obtinerii informatiilor necesare activitatilor operationale si manageriale intr-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware si produselor software, proceduri manuale, baze de date si modele matematice pentru analiza, planificare, control si luarea deciziilor, utilizand componente de introducere si prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de baza, programe informatice, retele de calculatoare si telecomunicatii, componente de stocare si utilizatori, fara ca enumerarea sa fie limitativa;41. vulnerabilitate - este un punct slab (defect) in proiectarea, implementarea, operarea sau controlul intern al unui proces care ar putea expune sistemul la un risc de securitate .
Comentarii pe site-ul EuroAvocatura.ro. Cateva reguli ... Sursa: EuroAvocatura.ro