INTEGRAL: Ordinul nr. 553/2019 privind reglementarea procedurii de avizare a instrumentelor de plata electronica cu acces la distanta

CAPITOLUL I

Dispozitii generale

Articolul 1
Prezentul ordin reglementeaza procedura de eliberare a avizului Ministerului Comunicatiilor si Societatii Informationale pentru instrumentele de plata electronica cu acces la distanta furnizate de catre prestatorii de servicii de plata autorizati de Banca Nationala a Romaniei, de tip internet- banking, home-banking, phone-banking sau mobile-banking, necesar pentru notificarea acestora catre BNR, precum si inscrierea auditorilor IT, conform procedurii prevazute in cap. III.

Articolul 2
Prezentul ordin stabileste cerintele minime de securitate ale sistemelor informatice pe care trebuie sa le indeplineasca prestatorii de servicii de plata prevazuti la art. 1, prin intermediul carora este furnizat instrumentul de plata electronica cu acces la distanta.

Articolul 3
In intelesul prezentului ordin, termenii, expresiile si abrevierile de mai jos au urmatoarele semnificatii:
1. amenintare - cauza potentiala a unui incident nedorit, care poate dauna unui sistem sau unei organizatii;
2. administrator al arhivei electronice - persoana fizica sau juridica acreditata de autoritatea de reglementare si supraveghere specializata in domeniu sa administreze sistemul electronic de arhivare si documentele arhivate in cadrul arhivei electronice;
3. arhiva electronica - sistemul electronic de arhivare, impreuna cu totalitatea documentelor in forma electronica arhivate;
4. atac etic/test de penetrare - un test direct al eficacitatii de aparare a securitatii prin mimarea actiunilor atacatorilor reali/test al sistemelor informatice realizat printr-o simulare a unui atac real asupra retelelor, sistemelor si programelor informatice utilizate de entitatea testata sau auditata, dupa caz, efectuat cu acordul managementului prestatorului;
5. audit IT - activitatea de colectare si evaluare a unor probe pentru a determina daca sistemul informatic respecta parametrii de performante si de lucru conform cerintelor de proiectare, daca asigura functionalitatile necesare cerintelor de afaceri si respectarea legislatiei in domeniu, daca este securizat, daca mentine integritatea datelor prelucrate si stocate, daca permite atingerea obiectivelor strategice ale entitatii si utilizarea eficienta a resurselor informationale;
6. auditor IT - persoana fizica autorizata care detine certificat de auditor IT sau persoana juridica cu personal certificat care deruleaza o activitate de auditare a sistemelor informatice, conform reglementarilor si bunelor practici in domeniu;
7. autentificare - procedura care permite prestatorului de servicii de plata sa verifice identitatea unui utilizator al serviciilor de plata sau valabilitatea utilizarii unui anumit instrument de plata si care include utilizarea elementelor de securitate personalizate ale utilizatorului;
8. aviz - actul administrativ emis de catre Ministerul Comunicatiilor si Societatii Informationale in conformitate cu prevederile art. 129 alin. (1) pct. 2 lit. c) din Regulamentul Bancii Nationale a Romaniei nr. 3/2018;
9. BNR - Banca Nationala a Romaniei;
10. centru de date - spatiu securizat, dotat cu tehnica de calcul si echipamente de comunicatii prin intermediul carora se primesc, se stocheaza si se transmit date in forma electronica;
11. comunicatii/telecomunicatii - sisteme de transmisie, precum si orice alte resurse care permit transportul semnalelor prin fir, radio, fibra optica sau orice alte mijloace electromagnetice, precum si tehnologiile utilizate in cadrul proceselor de comunicare, care presupun existenta unui mediu informatic constituit din echipamente hardware, software specializat, precum si dispozitive electronice de transmisie/receptie date;
12. continuitatea activitatii - starea de functionare neintrerupta a operatiunilor, ce presupune masuri organizationale, tehnice si de personal utilizate pentru a asigura continuitatea serviciilor critice dupa o intrerupere cauzata de producerea unui eveniment perturbator si pentru reluarea treptata a tuturor serviciilor in cazul unui eveniment perturbator major;
13. controale informatice - totalitatea politicilor, procedurilor, practicilor, ghidurilor, mijloacelor de gestionare a riscurilor si a structurilor organizationale informatice proiectate sa ofere o asigurare rezonabila asupra faptului ca obiectivele afacerii vor fi atinse, evenimentele nedorite vor fi prevenite sau detectate si corectate;
14. date (informatice) - orice reprezentare a unor fapte, informatii sau concepte intr-o forma care poate fi prelucrata printr-un sistem informatic, incluzandu-se si orice program informatic care poate determina realizarea unei functii similare de catre un sistem informatic;
15. disponibilitate - capabilitatea unui serviciu IT sau a unui element de configuratie IT de a efectua functiile agreate;
16. emitent - prestator de servicii de plata care emite si pune la dispozitia detinatorului un instrument de plata electronica, in baza unui contract incheiat cu detinatorul;
17. externalizare servicii IT - utilizarea de catre o entitate a unui furnizor extern de servicii IT, in vederea desfasurarii de catre aceasta, pe baza contractuala si in mod continuu sau pentru o anumita perioada, a operatiunilor aferente suportului tehnic sau procesarii, necesare desfasurarii activitatii efectuate in mod obisnuit de catre entitatea in cauza;
18. furnizor de servicii de arhivare electronica - orice persoana fizica sau juridica acreditata sa presteze servicii legate de arhivarea electronica;
19. furnizor de servicii IT externalizate - furnizori care ofera servicii de mentenanta, administrare software (aplicatii), servicii de administrare retea, baze de date si sisteme de operare, furnizori de software, servicii de hosting, co-locare si cloud. Furnizorii de servicii de comunicatii nu fac obiectul prezentei definitii;
20. incident operational sau de securitate - un eveniment unic sau o serie de evenimente corelate, neprevazute de catre prestatorul serviciului de plata, care are un impact negativ asupra integritatii, disponibilitatii, confidentialitatii, autenticitatii si/sau continuitatii serviciilor aferente platilor;
21. instrument de plata electronica cu acces la distanta - set de proceduri, care se bazeaza pe o solutie informatica, de tipul: internet-banking, home-banking, phone-banking, mobile- banking, care permite utilizatorului initierea de operatiuni de plata;
22. instrument de plata electronica cu acces la distanta tip internet-banking - acel instrument de plata cu acces la distanta care se bazeaza pe tehnologia internet (world wide web) si pe sistemele informatice ale emitentului;
23. instrument de plata la distanta tip home-banking - acel instrument de plata cu acces la distanta care se bazeaza pe o aplicatie software a emitentului instalata la sediul detinatorului, pe o statie de lucru individuala sau in retea;
24. instrument de plata electronica cu acces la distanta tip mobile-banking - acel instrument de plata cu acces la distanta care presupune utilizarea unui echipament mobil (telefon, tableta, PDA - Personal Digital Assistant etc.) si a unor servicii oferite de catre operatorii de telecomunicatii;
25. instrument de plata electronica cu acces la distanta tip phone-banking - acel instrument de plata cu acces la distanta care faciliteaza accesul clientilor la produsele si serviciile unui prestator de servicii de plata prin utilizarea telefonului drept canal alternativ de acces de la distanta;
26. MCSI - Ministerul Comunicatiilor si Societatii Informationale;
27. operatiune de plata - actiune initiata de platitor sau de o alta persoana in numele si pe seama platitorului ori de beneficiarul platii cu scopul de a depune, de a transfera sau de a retrage fonduri, indiferent de orice obligatii subsecvente intre platitor si beneficiarul platii;
28. ordin de autorizare centru de date - document emis de MCSI care atesta ca un centru de date indeplineste toate conditiile cerute de legislatia in vigoare in vederea desfasurarii operatiunilor de arhivare electronica;
29. prelucrarea datelor - orice operatiune sau set de operatiuni efectuate asupra datelor sau asupra seturilor de date, cu sau fara utilizarea de mijloace automatizate, cum ar fi colectarea, inregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispozitie in orice alt mod, alinierea sau combinarea, restrictionarea, stergerea sau distrugerea;
30. procedura de autorizare a unui centru de date - metoda de evaluare sistematica, documentata, periodica si obiectiva a performantei centrului de date, a sistemului de management si a proceselor destinate protectiei arhivelor electronice, in scopul verificarii respectarii cerintelor prevazute de legislatia in vigoare;
31. prestator de servicii de plata - entitate autorizata sa presteze servicii de plata pe teritoriul Romaniei, respectiv institutii de credit, institutii de plata si institutii emitente de moneda electronica;
32. prestator - prestator de servicii de plata specifice instrumentelor financiare de plata electronica cu acces la distanta;
33. plan de securitate - documentul ce descrie totalitatea masurilor tehnice si administrative care sunt luate de catre emitent pentru utilizarea in conditii de siguranta a instrumentului de plata electronica cu acces la distanta;
34. raport de audit IT - instrumentul prin care se comunica scopul auditarii, obiectivele urmarite, normele/standardele aplicate, perioada acoperita, natura, procedurile, constatarile si concluziile auditului, precum si orice rezerva pe care auditorul IT o are asupra sistemului informatic auditat;
35. raport de testare IT - instrumentul prin care se comunica scopul testarii, obiectivele urmarite, normele/standardele aplicate, perioada acoperita, natura, intinderea, procedurile, constatarile si concluziile testarii, precum si orice rezerva pe care echipa de testare o are asupra sistemului informatic testat;
36. Regulamentul Bancii Nationale a Romaniei nr. 3/2018 - Regulamentul Bancii Nationale a Romaniei nr. 3/2018 privind monitorizarea infrastructurilor pietei financiare si a instrumentelor de plata, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 713 din 16 august 2018;
37. risc de securitate - riscul care rezulta din procesele interne sau evenimentele externe esuate sau necorespunzatoare, care au sau ar putea avea un impact negativ asupra disponibilitatii, integritatii, confidentialitatii si asupra sistemelor de tehnologie a informatiei si a comunicatiilor si/sau asupra informatiilor utilizate pentru furnizarea serviciilor de plata;
38. securitate informatica - capacitatea unui sistem informatic, rezultata in urma aplicarii unui ansamblu de masuri proactive si reactive, de a rezista, la un nivel de incredere dat, unei actiuni accidentale sau rauvoitoare care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidentialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de reteaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;
39. siguranta in functionare - modalitate de gestionare a riscurilor specifice infrastructurii pietei financiare, respectiv a instrumentului de plata, in scopul asigurarii functionarii conform nivelurilor de calitate a serviciilor si/sau orarului de functionare asumat, fara a afecta in mod negativ increderea participantilor si a publicului;
40. sistem informatic - ansamblu de elemente intercorelate functional in scopul automatizarii obtinerii informatiilor necesare activitatilor operationale si manageriale intr-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware si produselor software, proceduri manuale, baze de date si modele matematice pentru analiza, planificare, control si luarea deciziilor, utilizand componente de introducere si prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de baza, programe informatice, retele de calculatoare si telecomunicatii, componente de stocare si utilizatori, fara ca enumerarea sa fie limitativa;
41. vulnerabilitate - este un punct slab (defect) in proiectarea, implementarea, operarea sau controlul intern al unui proces care ar putea expune sistemul la un risc de securitate.

Articolul 4
Cerintele minime de securitate ale sistemelor informatice pe care trebuie sa le indeplineasca prestatorii de servicii de plata prevazuti la art. 1, prin intermediul carora este furnizat instrumentul de plata electronica cu acces la distanta, se refera la:
1. confidentialitatea si integritatea comunicatiilor intre emitent si beneficiarul instrumentului financiar de plata electronica cu acces la distanta;
2. mecanismele care sa garanteze confidentialitatea si nerepudierea operatiunilor efectuate utilizand instrumentul de plata electronica cu acces la distanta;
3. autenticitatea partilor care participa la tranzactii si existenta metodelor de autentificare in concordanta cu nivelul de securitate al platformei software, precum si mijloacele de garantare a identitatii;
4. confidentialitatea, autenticitatea si integritatea informatiilor/datelor aferente tranzactiilor efectuate cu ajutorul instrumentului de plata electronica, prin sistemul informatic al emitentului, in timpul procesarii, stocarii si arhivarii acestora;
5. pastrarea secretului bancar;
6. trasabilitatea tranzactiilor;
7. respectarea protectiei datelor cu caracter personal in sistemele informatice;
8. controlul accesului fizic si logic la sistemul informatic si la platforma/aplicatia software utilizate in procesul de furnizare a instrumentului financiar de plata electronica cu acces la distanta;
9. stocarea, pastrarea datelor inregistrate si jurnalizarea acestora, precum si pastrarea in siguranta a unor copii de rezerva ale datelor si aplicatiilor;
10. prevenirea/limitarea/inlaturarea impactului incidentelor de securitate informatica, reluarea in siguranta a activitatii si recuperarea informatiilor afectate;
11. detectarea, inregistrarea si gestionarea incidentelor de securitate informatica;
12. evaluarea riscurilor de securitate informatica si masuri de gestionare a acestora;
13. asigurarea unui proces formal si continuu (cel putin anual) de pregatire a resurselor umane implicate in operarea, mentenanta si administrarea instrumentelor de plata electronica cu acces la distanta si o evaluare anuala a acestora;
14. continuitatea serviciilor oferite clientilor;
15. gestionarea si administrarea sistemului informatic;
16. impactul operatiilor de modificare a:
a) arhitecturii din cadrul sistemului informatic (componente hardware/software) si aplicatiilor software utilizate in ciclul de viata al instrumentului de plata electronica cu acces la distanta; si
b) planului de securitate specific securitatii aferente instrumentului de plata cu acces la distanta;
17. orice alte activitati sau masuri tehnice intreprinse pentru exploatarea in siguranta a sistemului informatic al emitentului.

Articolul 5
Masurile tehnice si organizatorice intreprinse pentru indeplinirea cerintelor enumerate la art. 4 vor fi in concordanta cu tehnologia utilizata si cu riscurile potentiale.

Articolul 6
Prestatorii au obligatia de a implementa masuri de securitate informatica, de a monitoriza continuu si de a evalua anual riscurile operationale generate de utilizarea sistemelor informatice prin intermediul carora este furnizat instrumentul de plata electronica cu acces la distanta, cu respectarea legislatiei interne si a reglementarilor comunitare.

Articolul 7
Documentele elaborate in format electronic, aferente instrumentului de plata electronica cu acces la distanta, vor fi arhivate conform legislatiei nationale privind arhivarea electronica, pe baza nomenclatorului arhivistic al prestatorului, in concordanta cu cerintele Legii Arhivelor Nationale nr. 16/1996, republicata.

Articolul 8
(1) Prestatorii au obligatia ca, anual, sa efectueze teste de penetrare a aplicatiilor software si sistemelor informatice utilizate in ciclul de viata al instrumentului de plata electronica cu acces la distanta.
(2) Testele de penetrare mentionate la alin. (1) se vor realiza de catre echipe externe/interne, certificate in acest scop, care vor evalua securitatea informatica a aplicatiilor si sistemului informatic al prestatorului care furnizeaza instrumentul de plata electronica cu acces la distanta si vor fi finalizate cu un raport de testare.
(3) Raportul de testare pentru testele prevazute la alin. (2) trebuie sa fie aprobat de catre reprezentantul legal al prestatorului si pastrat la sediul acestuia, care are obligatia sa il prezinte auditorului IT, precum si MCSI, la solicitarea acestuia.

CAPITOLUL II
Eliberarea avizului

Articolul 9
(1) Documentele necesare pentru eliberarea avizului sunt:
a) cererea adresata MCSI, conform modelului prevazut in anexa nr. 1;
b) licenta de functionare/autorizatia acordata de BNR sau notificarea transmisa catre BNR de autoritatea competenta din statul membru de origine;
c) descrierea functionala a sistemului informatic si a aplicatiei software prin intermediul carora este furnizat instrumentul de plata electronica cu acces la distanta;
d) planul de securitate al sistemului informatic, semnat de catre prestatorii de servicii de plata prevazuti la art. 1, cuprinzand descrierea masurilor tehnice si organizatorice prevazute pentru asigurarea cerintelor cuprinse la art. 4;
e) declaratia reprezentantului legal din care sa rezulte efectuarea testelor de penetrare mentionate la art. 8, perioada de efectuare a testelor, precum si datele de identificare ale echipei de testare;
f) certificarile profesionale ale echipei de testare, recunoscute international. Certificarile profesionale agreate pentru efectuarea testelor de penetrare acceptate trebuie sa fie in termenul de valabilitate si sa se regaseasca in lista prevazuta in anexa nr. 2;
g) raportul de audit, care trebuie sa indeplineasca urmatoarele conditii:
1. sa cuprinda elementele prevazute in raportul de audit prezentat in anexa nr. 3, fara a se limita la acestea;
2. sa fie intocmit de catre un auditor selectat din Lista auditorilor IT;
3. data de intocmire a raportului de audit nu trebuie sa depaseasca 180 de zile fata de data depunerii documentatiei de avizare;
h) declaratia pe propria raspundere, din care sa rezulte independenta auditorului fata de sistemul informatic auditat si fata de prestatorul auditat;
i) declaratia pe propria raspundere a reprezentantului legal al prestatorului cu privire la respectarea, in cadrul procesului de furnizare a instrumentelor de plata electronica cu acces la distanta, a cerintelor Legii nr. 190/2018 privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE (Regulamentul general privind protectia datelor);
j) ordinul de acreditare ca administrator de arhiva electronica, in conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor in forma electronica, republicata, sau contractul incheiat cu un administrator de arhiva electronica acreditat.
(2) MCSI va retrage avizul eliberat prestatorului daca contractul de externalizare sau ordinul de acreditare a serviciilor de arhivare este suspendat/retras sau isi pierde valabilitatea.

Articolul 10
(1) Documentele prevazute la art. 9 alin. (1) se vor transmite catre MCSI, in limba romana, vor fi semnate de catre reprezentantul legal al prestatorului de servicii de plata sau de catre o persoana imputernicita de catre acesta, in scris, si vor avea mentiunea "Conform cu originalul".
(2) Documentatia va fi paginata si insotita de un opis.

Articolul 11
Documentatia aferenta planului de securitate va avea urmatoarea structura:
1. informatii de identificare:
a) denumirea prestatorului;
b) denumirea instrumentului de plata electronica cu acces la distanta;
c) categoria (internet-banking, home-banking, mobile- banking, phone-banking);
d) statutul operational al sistemului prin intermediul caruia este oferit instrumentul de plata electronica cu acces la distanta;
e) anul intrarii in productie;
f) descrierea generala a solutiei tehnice si dezvoltatorului aplicatiei;
g) interconectarea sistemului;
h) aria geografica in care instrumentul de plata cu acces la distanta poate fi utilizat;
i) datele de contact ale persoanelor responsabile;
2. senzitivitatea sistemului:
a) legislatia aplicabila;
b) descrierea generala a senzitivitatii informatiilor gestionate de catre sistem;
3. masuri pentru securitatea sistemului:
a) evaluarea si managementul riscurilor potentiale;
b) identificarea, analizarea si remedierea riscurilor de securitate in conformitate cu cele mai bune practici in gestionarea acestora;
c) masurile tehnice de securitate implementate;
d) situatia cu inregistrarea si analizarea incidentelor de securitate informatica;
e) metodologia de recuperare a informatiilor in caz de dezastru si continuarea activitatii;
f) rapoartele de testare a functionalitatii instrumentului efectuate in ultimele 12 luni;
g) codurile de conduita/conditiile de utilizare/contractul prin care este oferit instrumentul de plata electronica cu acces la distanta;
h) procedurile operationale de exploatare;
i) masurile aplicate pentru asigurarea securitatii fizice;
j) instruirea personalului propriu in legatura cu administrarea sistemului informatic;
k) instructiunile de utilizare a instrumentului de plata cu acces la distanta (manual de utilizare oferit clientilor);
l) suportul tehnic oferit clientilor care utilizeaza instrumentul de plata electronica cu acces la distanta;
4. orice alte informatii relevante legate de masurile luate de catre emitent pentru a asigura exploatarea in siguranta a instrumentului de plata electronica cu acces la distanta.

CAPITOLUL III
Inscrierea in Lista auditorilor IT

Articolul 12
Lista auditorilor IT este gestionata de catre MCSI si publicata pe site-ul acestuia.

Articolul 13
Auditorul IT care intentioneaza sa presteze servicii de audit IT pentru prestatorii carora le sunt incidente prevederile prezentului ordin are obligatia inscrierii in Lista auditorilor IT prevazuta la art. 12.

Articolul 14
Auditorul IT inscris in lista mentionata la art. 9 poate intocmi si raportul de audit in vederea autorizarii centrelor de date, prevazute in Legea nr. 135/2007, republicata.

Articolul 15
Documentele necesare pentru inscrierea in Lista auditorilor IT, prevazuta la art. 12, sunt urmatoarele:
1. cererea adresata MCSI, conform modelului prevazut in anexa nr. 4;
2. datele de identificare ale auditorului IT:
a) numele complet/denumirea si adresa/sediul - adresa completa;
b) adresa unde isi desfasoara activitatea;
c) telefon/fax, e-mail, adresa paginii de internet;
d) certificat de inregistrare la Oficiul National al Registrului Comertului;
3. pentru auditorul IT persoana fizica certificata si pentru reprezentantul societatii de audit IT, care vor semna raportul de audit, se depun urmatoarele documente:
a) actul de identitate al auditorului IT, in copie;
b) curriculum vitae al auditorului IT, datat si semnat, cu prezentarea experientei profesionale in auditarea IT a sistemelor informatice;
c) dovada detinerii uneia dintre certificarile profesionale specifice domeniului de audit al sistemelor informatice, mentionate in anexa nr. 5 (certificatul de auditor, in copie semnata si cu mentiunea "Conform cu originalul");
d) dovada experientei in audit IT, concretizata in participarea la minimum cinci misiuni de audit in domeniul securitatii sistemelor informatice apartinand prestatorilor de servicii de plata, cu un total de cel putin 30 de zile;
e) certificat constatator emis de Oficiul National al Registrului Comertului, cu starea la zi a persoanei juridice, nu mai vechi de 30 de zile, in original;
f) certificatul de cazier judiciar si certificatul de cazier fiscal, aflate in termenul de valabilitate, in original;
g) contractul de asigurare de raspundere civila profesionala a auditorului IT, pentru suma asigurata de minimum 100.000 euro, valabil la data depunerii documentatiei, in copie semnata si cu mentiunea "Conform cu originalul".

Articolul 16
Inscrierea auditorului IT in Lista auditorilor IT sau transmiterea refuzului motivat al inscrierii se efectueaza de MCSI in termen de maximum 30 de zile de la primirea dosarului complet al solicitantului.

Articolul 17
Orice modificare a documentatiei prevazute la art. 15 trebuie transmisa catre MCSI in termen de maximum 30 de zile de la data efectuarii modificarii.

Articolul 18
Radierea auditorilor IT din lista prevazuta la art. 12 se va efectua in oricare dintre urmatoarele situatii:
a) la cererea acestora;
b) in cazul lichidarii sau la declansarea insolventei;
c) in cazul nerespectarii prevederilor prezentului ordin;
d) la expirarea contractului de asigurare de raspundere civila profesionala;
e) la expirarea certificarii profesionale.

Articolul 19
MCSI va transmite auditorului IT o notificare prealabila prin care i se aduc la cunostinta motivele pentru care se va proceda la initierea demersurilor pentru radierea din Lista auditorilor IT.

CAPITOLUL IV
Conditii privind desfasurarea auditului IT

Articolul 20
(1) Auditarea se va efectua in baza unui contract incheiat intre prestatorul care a solicitat auditarea si un auditor inscris in Lista auditorilor IT.
(2) Prestatorul nu poate contracta auditarea cu acelasi auditor IT pentru mai mult de 2 auditari consecutive.
(3) Prestatorul are obligatia de a se asigura ca in contractul de auditare sunt cuprinse in mod obligatoriu clauze cu privire la faptul ca auditorul IT trebuie sa respecte cerintele impuse pentru efectuarea auditului sistemelor informatice, in conformitate cu prevederile prezentului ordin si cu bunele practici in domeniu.
(4) Activitatea de auditare trebuie sa respecte conduita etica si profesionala, nu presupune incalcarea secretului profesional impus prin clauze contractuale sau prin prevederi legale si nu atrage niciun fel de raspundere asupra persoanei fizice si/sau juridice in cauza ca urmare a respectarii prevederilor prezentului ordin.

Articolul 21
Perioada supusa auditarii reprezinta perioada cuprinsa intre doua auditari consecutive.

Articolul 22
Pe timpul auditarii, auditorul IT are obligatia de a analiza situatia deficientelor si vulnerabilitatilor identificate, intocmita cu ocazia auditarii precedente, precum si masurile intreprinse de catre prestator.

Articolul 23
Auditorul IT notifica MCSI, in scris, in maximum 10 zile de la constatare, orice fapt sau act care:
a) este de natura sa afecteze utilizarea in siguranta a instrumentului financiar de plata electronica cu acces la distanta;
b) poate conduce la o opinie de audit cu rezerve, negativa sau imposibilitatea exprimarii acesteia.

Articolul 24
In termen de maximum 10 zile de la solicitarea scrisa a MCSI, auditorul IT trebuie sa comunice urmatoarele, fara a se limita la acestea:
a) orice raport sau document care a fost adus la cunostinta prestatorului auditat;
b) motivatia de incetare a contractului de audit, daca aceasta a avut loc inainte de finalizarea auditarii.

Articolul 25
La finalizarea auditarii, auditorii IT au obligatia de a intocmi un raport de audit IT, care sa cuprinda cel putin elementele enumerate in raportul de audit prevazut in anexa nr. 3, dar fara a se limita la acestea.

Articolul 26
Pentru cazurile in care sistemul informatic si platforma/aplicatia software utilizate in procesul de furnizare a instrumentului financiar de plata electronica cu acces la distanta sunt situate in afara tarii, auditarea sistemului se va face astfel:
- auditorul IT extern roman va audita sistemele din strainatate; sau
- auditorul IT extern roman agreeaza auditarea sistemului din strainatate de catre un auditor cu o certificare cuprinsa in lista certificarilor mentionate in anexa nr. 5 si preia responsabilitatea auditarii.

Articolul 27
MCSI poate verifica derularea procesului de auditare, atat prin participarea la activitatea de auditare a auditorului IT, cat si prin prisma discutiilor legate de dosarul de audit.

CAPITOLUL V
Cerinte aplicabile furnizorilor de servicii IT externalizate pentru sistemele informatice ale prestatorului

Articolul 28
Orice externalizare de servicii IT se realizeaza cu respectarea legislatiei nationale aplicabile Prestatorului.

Articolul 29
(1) Prestatorul are obligatia de a specifica in documentatia de avizare urmatoarele informatii si documente, dupa caz:
a) descrierea serviciilor furnizate/externalizate;
b) datele de identificare ale furnizorului: adresa sediului social, telefon/fax, e-mail, pagina de internet;
c) certificat constatator emis de Oficiul National al Registrului Comertului, cu starea la zi a persoanei juridice, sau echivalentul acestuia pentru furnizorii externi inregistrati in alte state, in original sau copie conforma cu originalul;
d) documente in functie de tipul serviciului sau activitatii desfasurate, astfel:
1. SR ISO/IEC 27001 sau certificari pentru standarde echivalente - pentru toti furnizorii de servicii IT externalizate;
2. certificari pentru furnizarea si dezvoltarea de programe informatice software;
3. act doveditor de respectare a conditiilor tehnice conform standardelor internationale privind serviciile de gazduire sau externalizare prin intermediul centrelor de date;
4. acreditare pentru furnizarea de servicii de arhivare electronica.
(2) Certificarile trebuie sa fie emise de entitati/organisme recunoscute pe plan intern si/sau international.

Articolul 30
(1) Prestatorul are obligatia de a notifica MCSI incheierea contractului cu furnizorul de servicii IT externalizate in termen de maximum 14 zile de la data incheierii.
(2) Prestatorul are obligatia ca, in cazul modificarii unor informatii si/sau documente prevazute la art. 29, sa notifice MCSI si sa depuna originalul sau copia documentelor modificate in termen de maximum 60 de zile de la data efectuarii modificarii.

Articolul 31
(1) Prestatorul are obligatia sa se asigure ca prevederile prezentului ordin sunt respectate de catre toti furnizorii de servicii IT externalizate, inclusiv in cazul externalizarilor in lant.
(2) Furnizorii de servicii IT externalizate vor permite MCSI si auditorului IT sa verifice si/sau sa auditeze sistemele sale informatice in contextul aplicarii prevederilor prezentului ordin sau vor pune la dispozitia auditorului IT un raport de audit IT intocmit in conformitate cu standardele internationale in domeniu.

CAPITOLUL VI
Cerinte privind raportarea

Articolul 32
(1) Prestatorul va raporta catre MCSI, trimestrial, referitor la instrumentele de plata electronica cu acces la distanta, urmatoarele: numarul de utilizatori, numarul de plati efectuate, valoarea platilor efectuate prin intermediul acestora, in formatul prezentat in anexa nr. 6.
(2) Raportarile pot fi transmise prin posta, pe adresa Ministerului Comunicatiilor si Societatii Informationale, Bd. Libertatii nr. 14, sectorul 5, cod 050706, sau prin e-mail, ca fisier atasat, pe adresa [email protected], pana la sfarsitul lunii urmatoare trimestrului pentru care se face raportarea.

CAPITOLUL VII
Dispozitii tranzitorii si finale

Articolul 33
(1) Documentele prevazute la art. 9 se inainteaza catre MCSI cu minimum 40 de zile inaintea expirarii avizului anterior si vor fi intocmite intr-un singur exemplar.
(2) Avizul acordat este valabil 1 an de la data eliberarii acestuia.
(3) Avizul acordat este netransmisibil.

Articolul 34
(1) MCSI va comunica solicitantului decizia sa cu privire la acordarea avizului, in termen de 40 de zile calendaristice de la data inregistrarii cererii de eliberare a avizului.
(2) MCSI va remite solicitantului un exemplar al avizului, in termen de 3 zile calendaristice dupa acordarea acestuia.
(3) Forma avizului acordat este prevazuta in anexa nr. 7.

Articolul 35
(1) Prestatorul va notifica MCSI orice dezvoltare, modificare a conditiilor de exploatare si a procedurilor operationale, precum si a masurilor tehnice de securitate aplicabile instrumentului, in termen de 30 de zile de la data cand devin operationale.
(2) Prestatorul va notifica MCSI, in termen de maximum 10 zile, orice incident de securitate care a afectat in mod direct clientii. Notificarea va cuprinde cauza si masurile ce urmeaza a fi luate in vederea remedierii situatiei aparute.
(3) MCSI poate solicita un nou raport de audit pentru instrumentul financiar de plata electronica cu acces la distanta, dupa analizarea notificarilor prevazute la alin. (1) si (2).
(4) MCSI poate retrage avizul si informeaza BNR daca in termen de 60 de zile prestatorul nu prezinta raportul de audit prevazut la alin. (3).

Articolul 36
(1) MCSI poate efectua verificari la sediul prestatorului avizat sau in curs de avizare prin personal desemnat prin ordin al ministrului comunicatiilor si societatii informationale.
(2) In cazul in care, in urma verificarilor, se constata nerespectarea prevederilor continute in documentatia de avizare, MCSI poate dispune neacordarea avizului sau, eventual, retragerea acestuia.

Articolul 37
Eliberarea de catre MCSI a avizului pentru furnizarea instrumentului de plata electronica cu acces la distanta nu exonereaza prestatorul si utilizatorii acestuia de raspunderile asumate prin contractul incheiat intre acestia.

CAPITOLUL VIII
Masuri tranzitorii

Articolul 38
(1) Avizul eliberat de catre MCSI conform Ordinului ministrului comunicatiilor si tehnologiei informatiei nr. 389/2007 privind procedura de avizare a instrumentelor de plata cu acces la distanta, de tipul aplicatiilor internet-banking, home-banking sau mobile-banking, isi prelungeste valabilitatea cu 60 de zile de la data publicarii prezentului ordin in Monitorul Oficial al Romaniei, Partea I.
(2) In perioada extinderii valabilitatii, prestatorul trebuie sa depuna documentatia de avizare in conditiile prezentului ordin.
(3) Documentatiile intocmite si depuse de catre prestatori la MCSI, dupa data publicarii in Monitorul Oficial al Romaniei, Partea I, a Regulamentului Bancii Nationale a Romaniei nr. 3/2018, pentru avizarea instrumentelor de plata electronica cu acces la distanta, se vor completa in concordanta cu cerintele prezentului ordin.
(4) Raportul de audit deja intocmit sau in curs de realizare la data intrarii in vigoare a prezentului ordin poate fi depus impreuna cu documentatia de avizare, cu respectarea prevederilor art. 9 alin. (1).

Articolul 39
Anexele nr. 1-7 fac parte integranta din prezentul ordin.

Articolul 40
Prezentul ordin intra in vigoare la data publicarii acestuia in Monitorul Oficial al Romaniei, Partea I.

Articolul 41
Ordinul ministrului comunicatiilor si tehnologiei informatiei nr. 389/2007 privind procedura de avizare a instrumentelor de plata cu acces la distanta, de tipul aplicatiilor internet-banking, home-banking sau mobile-banking, publicat in Monitorul Oficial al Romaniei, Partea I, nr. 485 din 19 iulie 2007, se abroga la data publicarii prezentului ordin in Monitorul Oficial al Romaniei, Partea I.

Anexele pot fi consultate aici: Anexa 1, Anexa 2, Anexa 3, Anexa 4, Anexa 5, Anexa 6, Anexa 7.