Document atasat din sectiunea
Legislatie Euroavocatura
Decizie nr. 896 din 02/10/2008
Publicat in Monitorul Oficial, Partea I nr. 754 din
07/11/2008
privind normele tehnice şi metodologice
pentru aplicarea Legii nr. 451/2004 privind marca temporală
În temeiul
prevederilor art. 8 alin. (1), (3) şi (5) şi ale art. 6 alin. (3) pct. 3 din
Ordonanţa de urgenţă a Guvernului
nr. 106/2008
privind înfiinţarea Autorităţii Naţionale pentru Comunicaţii, precum şi ale
art. 9 alin. (3) şi ale art. 14 din Legea
nr. 451/2004
privind marca temporală,
preşedintele
Autorităţii Naţionale pentru Comunicaţii emite prezenta decizie.
CAPITOLUL I
Dispoziţii generale
Art. 1. -
(1)
Prezentele norme tehnice şi metodologice se aplică activităţii de marcare
temporală şi stabilesc procedura de notificare a Autorităţii Naţionale pentru
Comunicaţii în vederea începerii furnizării serviciilor de marcare temporală,
procedurile de generare şi verificare a mărcilor temporale, precum şi
condiţiile de creare şi menţinere a registrului electronic de evidenţă a
furnizorilor de servicii de marcare temporală.
(2) Orice
persoană fizică sau juridică poate beneficia de servicii de marcare temporală
în condiţiile Legii
nr. 451/2004
privind marca temporală şi ale prezentei decizii.
Art. 2. - În
înţelesul prezentei decizii, următorii termeni se definesc astfel:
a) ANC -
Autoritatea Naţională pentru Comunicaţii;
b) serviciu de
marcare temporală - serviciul prin care unor date în formă electronică li se
asociază, printr-un mecanism de încredere, o marcă temporală;
c) furnizor de
servicii de marcare temporală (furnizor) - orice persoană, fizică sau juridică,
care oferă servicii de marcare temporală în conformitate cu prevederile Legii
nr. 451/2004 şi ale prezentei decizii;
d) utilizator -
orice persoană, fizică sau juridică, care, în baza unui contract încheiat cu
un furnizor, beneficiază de servicii de marcare temporală;
e) cheie privată -
codul digital, cu caracter de unicitate, generat printr-un dispozitiv hardware
şi/sau software specializat;
f) cheie publică -
codul digital, pereche a cheii private, necesar verificării mărcii temporale;
g) date de
verificare a mărcii temporale - date în formă electronică, cum ar fi coduri
sau chei publice, utilizate în scopul verificării unei mărci temporale;
h) dispozitiv
criptografic securizat - un dispozitiv hardware cu un înalt grad de
fiabilitate, protejat împotriva modificărilor şi a utilizării neautorizate,
care asigură un grad înalt de securitate a operaţiilor criptografice în
conformitate cu cerinţele Legii
nr. 455/2001
privind semnătura electronică;
i) politica de
marcare temporală - regulile şi principiile generale aplicate de furnizor în
procesul de emitere şi administrare a mărcilor temporale;
j) funcţie
hash-code - algoritmul aplicat asupra unui document electronic, care creează o
amprentă unică a acelui document;
k) SHA - Algoritm
Securizat de Hash-code (Secure Hash Algorithm);
l) RFC -documentele
care au fost supuse analizei publice în cadrul unui proces coordonat de Grupul
de lucru pentru ingineria internetului;
m) extensie de tip
critic pentru marcare temporală - extensia unui certificat digital care
trebuie procesată în mod obligatoriu de aplicaţia care îl utilizează, limitând
folosirea cheii private asociate certificatului exclusiv la aplicarea
semnăturii digitale din cadrul unei mărci temporale.
CAPITOLUL II
Autoritatea de reglementare şi supraveghere
Art. 3. - În
conformitate cu dispoziţiile art. 6 alin. (3) pct. 3 din Ordonanţa de urgenţă
a Guvernului nr.
106/2008 privind înfiinţarea Autorităţii Naţionale pentru
Comunicaţii, ANC exercită atribuţiile care revin autorităţii de reglementare
şi supraveghere în domeniul marcării temporale.
Art. 4. -
(1) În
cadrul Registrului furnizorilor de servicii de certificare, prevăzut la art.
28 din Legea nr. 455/2001, ANC va crea o secţiune distinctă pentru
înregistrarea furnizorilor de servicii de marcare temporală.
(2) ANC
gestionează Registrul furnizorilor de servicii de marcare temporală, denumit
în continuare registru. Forma acestui registru este prevăzută în anexa nr. 1,
care face parte integrantă din prezenta decizie.
(3) Actualizarea
registrului se efectuează exclusiv de către personalul ANC desemnat în acest
sens şi vizează toate modificările privind activitatea furnizorului, precum şi
alte informaţii relevante furnizate de acesta.
Art. 5. - ANC va
face publice, spre consultare, următoarele date din registru:
a) tipul
furnizorului - persoană fizică sau juridică;
b) numele şi
prenumele sau denumirea furnizorului, după caz;
c) forma de
organizare a furnizorului persoană juridică - societate comercială, regie
autonomă, instituţie publică, organizaţie neguvernamentală;
d) domiciliul sau
sediul - ţară, oraş, judeţ/sector, stradă, număr, bloc, scară, etaj,
apartament, cod poştal, telefon, fax, e-mail, adresă în pagina web;
e) cetăţenia,
pentru persoană fizică, sau naţionalitatea, pentru persoană juridică;
f) data la care şi-a
început activitatea de furnizare de servicii de marcare temporală;
g) cheia publică a
furnizorului;
h) descrierea
politicii de marcare temporală a furnizorului;
i) situaţia
activităţii furnizorului - operaţională, suspendată, încetată, în curs de
transferare, în curs de remediere a unor probleme identificate de ANC, cu
indicarea termenului-limită;
j) istoricul
furnizorului - data de începere a activităţii, perioade de suspendare, alte
situaţii asemănătoare.
Art. 6. -
(1)
Informaţiile prevăzute la art. 5 din prezenta decizie sunt disponibile public,
prin intermediul paginii de internet a ANC.
(2) Pe pagina de
internet a ANC se vor publica şi informaţii cu privire la Legea nr. 451/2004,
prezentele norme tehnice şi metodologice, informaţii generale cu privire la
utilizarea mărcilor temporale, informaţii actualizate din domeniul marcării
temporale, trimiteri către paginile de internet ale furnizorilor de servicii
de marcare temporală.
Art. 7. -
(1) ANC
are obligaţia de a păstra confidenţialitatea tuturor informaţiilor primite de
la furnizorul de servicii de marcare temporală, cu excepţia celor prevăzute de
Legea nr. 451/2004 şi de prezenta decizie ca fiind publice.
(2) ANC poate
încheia un acord de confidenţialitate asupra informaţiilor primite de la
furnizorul de servicii de marcare temporală, la cererea acestuia.
(3) Personalul cu
atribuţii de control din cadrul ANC este obligat să păstreze
confidenţialitatea datelor de care a luat cunoştinţă cu ocazia exercitării
atribuţiilor de control în ceea ce priveşte activitatea furnizorilor de
servicii de marcare temporală.
CAPITOLUL III
Furnizorii de servicii de marcare temporală
SECŢIUNEA 1
Dispoziţii comune
Art. 8. -
(1) Cu
30 de zile înainte de începerea activităţii, furnizorul de servicii de marcare
temporală va notifica ANC, prin completarea formularului prevăzut în anexa nr.
2, care face parte integrantă din prezenta decizie.
(2) Odată cu
efectuarea notificării prevăzute la alin. (1), furnizorii au obligaţia de a
comunica ANC informaţiile şi documentele prevăzute la art. 6 alin. (2) din
Legea nr. 451/2004 şi în anexa nr. 2.
(3) În termen de
10 zile de la primirea notificării, ANC poate solicita completarea
documentaţiei prezentate, în conformitate cu alin. (2).
(4) Furnizorii au
obligaţia de a comunica ANC, cu cel puţin 30 de zile în avans, orice intenţie
de modificare a procedurilor de securitate a sistemului informatic utilizat,
cu precizarea datei şi a orei la care modificarea intră în vigoare, precum şi
obligaţia de a confirma în termen de 24 de ore modificarea efectuată.
(5) În cazuri
urgente, în care securitatea serviciilor de marcare temporală este afectată,
furnizorii pot efectua modificări ale procedurilor de securitate, urmând să
comunice ANC, în termen de 24 de ore, modificările efectuate şi justificarea
deciziei luate.
(6) Furnizorii de
servicii de marcare temporală sunt obligaţi să respecte, pe parcursul
desfăşurării activităţii, procedurile de securitate şi de certificare
declarate potrivit alin. (2)-(5). Aceştia vor furniza servicii de marcare
temporală în conformitate cu politica de marcare temporală declarată.
Art. 9. -
(1)
Furnizorul este obligat să genereze sau să achiziţioneze o pereche funcţională
cheie privată-cheie publică şi să îşi protejeze cheia privată prin utilizarea
unui dispozitiv criptografic securizat, luând măsurile necesare pentru a
preveni pierderea, dezvăluirea, modificarea sau utilizarea neautorizată a
cheii sale private.
(2) Perechea
funcţională prevăzută la alin. (1) va fi folosită exclusiv în scopul aplicării
semnăturii electronice asupra mărcilor temporale emise.
(3) Cheia privată
nu poate fi dedusă în niciun fel din cheia sa publică pereche.
(4) Furnizorul de
servicii de marcare temporală trebuie să deţină certificatul corespunzător
cheii publice, pe baza căruia se va putea verifica semnătura asupra mărcii
temporale.
(5) Certificatul
utilizat pentru marcarea temporală va fi transmis ANC, în formă electronică,
la data notificării începerii activităţii.
Art. 10. -
(1)
Furnizorii de servicii de marcare temporală au obligaţia să respecte
dispoziţiile legale din domeniul prelucrării datelor cu caracter personal.
(2) La data
începerii activităţii de furnizare de servicii de marcare temporală,
furnizorul trebuie să deţină calitatea de operator de date personale şi să
depună la ANC o copie de pe certificatul doveditor, eliberat de Autoritatea
Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Art. 11. -
(1)
Furnizorii de servicii de marcare temporală au obligaţia de a crea şi menţine
un registru electronic operativ de evidenţă a mărcilor temporale.
(2) Registrul
electronic operativ de evidenţă a mărcilor temporale trebuie să conţină cel
puţin următoarele informaţii:
a) toate mărcile
temporale emise de către furnizorul de servicii de marcare temporală,
cuprinzând, pe lângă marca temporală propriu-zisă, şi date referitoare la
marca temporală şi la certificatul utilizat;
b) înregistrări ale
evenimentelor apărute în sistemul informatic utilizat pentru generarea
mărcilor temporale.
(3) Informaţiile
prevăzute la alin. (2) lit. a) trebuie să fie disponibile permanent pentru
consultare pe pagina de internet a furnizorului.
(4) Furnizorul de
servicii de marcare temporală are obligaţia de a transmite, la cerere, către
ANC informaţiile prevăzute la alin. (2) lit. b).
(5) Structura şi
condiţiile de exploatare ale registrului electronic operativ de evidenţă a
mărcilor temporale sunt prevăzute în anexa nr. 3, care face parte integrantă
din prezenta decizie.
Art. 12. -
(1)
Furnizorii de servicii de marcare temporală trebuie să aducă la cunoştinţa
tuturor utilizatorilor termenii şi condiţiile care privesc utilizarea
serviciilor de marcare temporală, şi anume:
a) datele de
contact ale furnizorului;
b) politica de
marcare temporală aplicată;
c) standardele
tehnice aplicabile;
d) precizia
timpului din mărcile temporale;
e) orice limitări
în folosirea serviciului de marcare temporală;
f) obligaţiile
utilizatorului;
g) informaţii
despre cum trebuie verificată marca temporală şi orice limitări posibile
asupra perioadei de valabilitate;
h) descrierea
practicilor, procedurilor şi sistemelor care asigură securitatea şi
integritatea datelor, accesul autorizat permanent la acestea şi modalităţile
de prevenire a accesului neautorizat (codul de practici şi proceduri);
i) politica privind
protecţia datelor cu caracter personal;
j) perioada de timp
în care sunt păstrate înregistrările referitoare la evenimente ale
furnizorului;
k) disponibilitatea
serviciilor.
(2) Aceste
informaţii trebuie să fie disponibile pe pagina de internet a furnizorului de
servicii de marcare temporală.
Art. 13. -
(1)
Furnizorul de servicii de marcare temporală trebuie să îndeplinească
următoarele condiţii:
a) să dispună de
mijloace financiare şi de resurse materiale, tehnice şi umane corespunzătoare
pentru garantarea securităţii, fiabilităţii şi continuităţii serviciilor
oferite;
b) să dovedească
ANC că dispune de resursele financiare pentru acoperirea prejudiciilor pe care
le-ar putea cauza cu prilejul desfăşurării activităţi de marcare temporală şi
că este capabil să acopere pierderile suferite de către o persoană care îşi
întemeiază conduita pe efectele juridice ale mărcilor temporale, în condiţiile
prevăzute la art. 10 din Legea
nr. 451/2004,
până la concurenţa echivalentului în lei al sumei de 10.000 euro pentru
fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar
dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de
către furnizor a unei obligaţii prevăzute de lege. Furnizorul va trebui să
depună la ANC o scrisoare de garanţie din partea unei instituţii financiare de
specialitate sau o poliţă de asigurare la o societate de asigurări, în
favoarea ANC, în valoare cel puţin egală cu echivalentul în lei al sumei de
300.000 euro;
c) să folosească
personal având cunoştinţe de specialitate, experienţă şi calificare necesare
pentru furnizarea serviciilor respective;
d) să utilizeze
numai dispozitive criptografice securizate pentru efectuarea operaţiilor
criptografice implicate în procesul generării mărcii temporale;
e) să utilizeze un
sistem informatic care să respecte cerinţele de securitate prevăzute la art. 4
alin. (1) din Legea nr. 451/2004;
f) să păstreze
toate informaţiile necesare pentru a putea face dovada marcării temporale în
cazul unui eventual litigiu (înregistrări ale mărcilor temporale emise,
documentaţia aferentă algoritmilor şi procedurilor de generare a mărcilor
temporale emise, alte documente) pentru o perioadă de minimum 10 ani de la
data emiterii.
(2) În vederea
îndeplinirii obligaţiei prevăzute la alin. (1) lit. e), furnizorul va publica
documentaţia aferentă mecanismului implementat în vederea îndeplinirii acestei
obligaţii, iar o copie a documentaţiei va fi transmisă ANC.
Art. 14. - Orice
persoană, fizică sau juridică, care doreşte să beneficieze de servicii de
marcare temporală trebuie:
a) să furnizeze
informaţiile referitoare la identitatea sa;
b) să respecte
limitările impuse de furnizorul de servicii de marcare temporală.
SECŢIUNEA a 2-a
Mecanismul marcării temporale a documentelor
Art. 15. -
(1)
Marcarea temporală este realizată cu respectarea următoarelor etape:
a) utilizatorul
transmite furnizorului o cerere de emitere a mărcii temporale pentru un anumit
document electronic. Cererea va conţine amprenta digitală a documentului
pentru care se face cererea, amprentă creată prin intermediul aplicării unei
funcţii hash-code asupra documentului;
b) într-un interval
de timp stabilit prin politica de marcare temporală, furnizorul de servicii de
marcare temporală execută următoarele operaţiuni asupra amprentei digitale a
documentului primit de la utilizator, folosind un sistem informatic sigur,
care îndeplineşte cerinţele de securitate prevăzute de art. 4 din Legea nr.
451/2004:
1. aplică informaţia
de timp, raportându-se la baza de timp;
2. aplică celelalte
date prevăzute de Legea nr. 451/2004 şi orice alte date prevăzute în politica
sa de marcare temporală care nu contravin prevederilor legale şi standardelor
recunoscute în materie;
3. o semnează
electronic utilizând un certificat digital calificat;
c) în urma acestor
operaţiuni rezultă marca temporală care este transmisă utilizatorului.
(2)
Autenticitatea mărcii temporale poate fi verificată de către terţi pe baza
documentului original, a mărcii temporale, a cheii publice a furnizorului de
servicii de marcare temporală şi a funcţiei hash-code utilizate pentru crearea
amprentei digitale a documentului.
Art. 16. -
(1)
Furnizorul de servicii de marcare temporală trebuie să utilizeze informaţia de
timp furnizată de furnizorul unic de bază de timp.
(2) Furnizorul
unic de bază de timp este Sistemul informatic pentru furnizarea orei oficiale
a României, realizat de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei.
(3) Sursa de timp
folosită de către furnizorul de servicii de marcare temporală trebuie să fie
sincronizată cu referinţa de timp oferită de furnizorul unic de bază de timp,
abaterea maxim admisă fiind de +/- 1 secundă.
(4) Furnizorul de
servicii de marcare temporală are obligaţia de a lua toate măsurile pentru
calibrarea echipamentelor, astfel încât valoarea prevăzută la alin. (3) să nu
fie depăşită.
(5) În cazul în
care detectează cazuri în care au fost emise mărci temporale cu depăşirea
valorii prevăzute la alin. (3), furnizorul va transmite ANC o înştiinţare în
acest sens.
(6) Furnizorul
are obligaţia de a păstra datele care dovedesc respectarea valorii prevăzute
la alin. (3) (de exemplu, log-urile de sincronizare) şi de a le pune la
dispoziţia ANC, la cerere.
Art. 17. -
(1)
Furnizorul de servicii de marcare temporală este obligat să pună la dispoziţia
utilizatorilor software-ul necesar pentru utilizarea serviciului.
(2) Furnizorul
trebuie să ofere utilizatorilor următoarele informaţii despre software-ul pus
la dispoziţie:
a) condiţiile în
care este disponibil software-ul;
b) instrucţiunile
de folosire;
c) obligaţiile
utilizatorului;
d) orice alte
limitări privind utilizarea software-ului.
(3) Software-ul
pus la dispoziţie de către furnizorul de servicii de marcare temporală trebuie
să permită utilizatorului să verifice dacă marcarea temporală a fost realizată
în mod corect, prin analiza automată a cel puţin următoarelor elemente:
a) structura mărcii
temporale;
b) amprenta din
marca temporală;
c) semnătura
electronică a mărcii temporale, respectiv validitatea certificatului folosit
pentru semnare.
Art. 18. -
(1)
Marca temporală va avea structura stabilită în anexa nr. 4, care face parte
integrantă din prezenta decizie.
(2) De asemenea,
marca temporală trebuie să includă:
a) un identificator
pentru ţara în care furnizorul de servicii de marcare temporală este stabilit,
acolo unde este aplicabil;
b) un identificator
pentru furnizorul de servicii de marcare temporală, care va conţine cel puţin
numărul de ordine din registru;
c) un identificator
pentru unitatea care emite mărci temporale.
(3) Datele
prevăzute la alin. (2) se vor introduce în marca temporală folosindu-se câmpul
"tsa" din cadrul structurii mărcii temporale. Introducerea acestui câmp este
obligatorie.
(4) ANC va
publica eventualele modificări ale formatului descris în anexa nr. 4, pe baza
evoluţiei tehnologiilor sau a normelor internaţionale recunoscute în domeniu.
Art. 19. -
(1) În
vederea asigurării conformităţii cu cerinţele Legii nr. 451/2004 şi ale
prezentei decizii, se recomandă respectarea următoarelor standarde şi
recomandări de către furnizorii de servicii de marcare temporală:
a) SR ETSI TS 101
861 V1.2.1: 2005 Profil de marcare temporală;
b) SR ETSI TS 101
862 V1.3.2: 2005 Profil de certificat calificat;
c) SR ETSI TS 102
023 V1.2.1: 2005 Semnături electronice şi infrastructuri (ESI). Cerinţe
privind politica pentru autorităţile de marcare temporală;
d) SR ISO/CEI
18014-1: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de
marcare temporală. Partea 1: Cadru;
e) SR ISO/CEI
18014-2: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de
marcare temporală. Partea 2: Mecanisme care produc mărci temporale
independente sau SR ISO/CEI 18014-3: 2005 Tehnologia informaţiei. Tehnici de
securitate. Servicii de marcare temporală. Partea 3: Mecanisme care produc
mărci temporale înlănţuite;
f) SR ISO/CEI TR
14516: 2005 Tehnologia informaţiei. Tehnici de securitate. Îndrumări pentru
utilizarea şi administrarea serviciilor părţilor terţe de încredere;
g) Internet X.509
Public Key Infrastructure Time-Stamp Protocol (TSP): IETF RFC 3161;
h) Cryptographic
Message Syntax: IETF RFC 2630;
i) Internet X.509
Public Key Infrastructure Certificate and CRL Profile: IETF RFC 2459;
j) Date and Time on
the Internet: Timestamps: IETF RFC 3339.
(2) Furnizorii au
obligaţia de a pune la dispoziţia publicului, pe pagina proprie de internet,
informaţii privind standardele pe care le aplică în cadrul activităţii
propriu-zise de generare a mărcii temporale şi procedurile de securitate
utilizate.
Art. 20. -
Amprenta digitală utilizată în procesul de marcare temporală, creată prin
intermediul aplicării unei funcţii hash-code asupra unui document în formă
electronică, trebuie să aibă următoarele caracteristici:
a) să permită
identificarea unică a documentului în formă electronică, datorită
imposibilităţii practice de a crea amprente identice pentru documente diferite;
b) să nu permită
deducerea conţinutului documentului respectiv, datorită imposibilităţii
practice de a reconstitui conţinutul documentului original pe baza amprentei.
Art. 21. -
Furnizorul foloseşte doar funcţia hash-code SHA1 (opţional SHA2) şi algoritmul
de criptare RSA. Este interzisă folosirea teoremei chinezeşti a resturilor.
Art. 22. -
(1)
Certificatul furnizorului de servicii de marcare temporală trebuie să fie emis
de un furnizor de servicii de certificare acreditat în condiţiile Legii
nr. 455/2001.
(2) Certificatul
furnizorului va conţine în mod obligatoriu extensia pentru marcare temporală
prevăzută în standardele internaţionale în vigoare (RFC 3161 - protocol de
marcă temporală, secţiunea 2.3). Extensia trebuie să fie de tip critic.
Art. 23. - Marca
temporală va fi transmisă solicitantului prin mecanismele de transport
prevăzute în standardul internaţional RFC 3161 - protocol de marcă temporală,
secţiunea a 3-a. Se va implementa în mod obligatoriu cel puţin protocolul
HTTP.
Art. 24. -
(1)
Serviciul de verificare a mărcilor temporale se asigură către terţi şi este
menţionat expres în contractul încheiat între furnizorul de servicii de marcă
temporală şi utilizator.
(2) Verificarea
trebuie să poată fi realizată automat, prin internet, fiind accesibilă
oricărei persoane fizice sau juridice care îşi bazează conduita pe efectele
juridice ale unei mărci temporale.
SECŢIUNEA a 3-a
Suspendarea sau încetarea activităţii
furnizorilor de servicii de
marcare temporală
Art. 25. -
(1) În
conformitate cu prevederile art. 9 alin. (4) din Legea nr. 451/2004, controlul
respectării dispoziţiilor Legii nr. 451/2004, precum şi ale prezentei decizii
revine ANC, care acţionează prin personalul de control de specialitate
împuternicit în acest scop.
(2) ANC are
dreptul de a efectua controale asupra furnizorilor de servicii de marcare
temporală, din oficiu sau la solicitarea oricărei persoane interesate.
(3) În vederea
exercitării atribuţiilor de control, personalul împuternicit în acest scop
este autorizat în limitele legii:
a) să aibă acces
liber, permanent, în orice loc în care se află echipamentele necesare
furnizării serviciilor de marcare temporală;
b) să solicite
orice document sau informaţie necesară în vederea verificării respectării
obligaţiilor ce incumbă furnizorului de servicii de marcare temporală;
c) să verifice
punerea în aplicare a oricăror proceduri utilizate de către furnizorul de
servicii de marcare temporală supus controlului;
d) să sigileze
orice echipamente necesare furnizării de servicii de marcare temporală sau să
reţină orice document care are legătură cu această activitate, pe o perioadă
care nu poate depăşi 15 zile, dacă aceste măsuri se impun.
Art. 26. -
(1) ANC
va dispune, prin decizie, suspendarea activităţii furnizorului de servicii de
marcare temporală până la încetarea cauzelor care au determinat luarea măsurii,
în următoarele situaţii:
a) furnizorul nu
respectă politica de marcare temporală şi procedurile de securitate declarate,
într-un mod în care afectează securitatea procesului de marcare temporală;
b) furnizorul
încalcă obligaţia prevăzută la art. 5 alin. (1) din Legea nr. 451/2004;
c) odată cu
aplicarea sancţiunilor contravenţionale prevăzute la art. 12 din Legea nr.
451/2004;
d) furnizorul nu
respectă obligaţiile prevăzute la art. 8 alin. (4) şi art. 16;
e) furnizorul nu
remediază în termenul stabilit de ANC orice alte deficienţe apărute ca urmare
a nerespectării prevederilor Legii nr. 451/2004 şi ale prezentei decizii şi
constatate cu prilejul efectuării controalelor de către ANC.
(2) Odată cu
comunicarea deciziei de suspendare temporară a activităţii, ANC comunică
furnizorului un termen în care trebuie să remedieze problemele care au
determinat luarea acestei măsuri. Termenul nu poate fi mai mic de 30 de zile.
Furnizorul poate solicita motivat prelungirea acestui termen.
(3) Suspendarea
activităţii încetează în momentul în care furnizorul face dovada încetării
cauzelor care au determinat luarea măsurii.
(4) Dacă
furnizorul nu remediază problemele care au determinat suspendarea în termenul
stabilit în condiţiile alin. (2), ANC va dispune, prin decizie, încetarea
activităţii acestuia.
(5) În perioada
în care activitatea sa este suspendată, furnizorul are obligaţia să asigure
continuarea funcţionării serviciului de verificare a mărcilor temporale,
precum şi consultarea în regim on-line a registrului electronic, cu excepţia
cazului în care deficienţele se găsesc la nivelul acestor sisteme.
Art. 27. -
(1) În
cazul în care furnizorul intenţionează să înceteze activităţile legate de
marcarea temporală, va informa ANC, cu cel puţin 30 de zile în avans, despre
intenţia sa, respectiv despre existenţa şi natura împrejurării care justifică
imposibilitatea de continuare a activităţilor, prin completarea formularului
prevăzut în anexa nr. 5, care face parte integrantă din prezenta decizie.
(2) Furnizorului
îi revine obligaţia ca, în situaţia în care se află în imposibilitate de a
continua activităţile legate de marcarea temporală şi nu a putut prevedea
această situaţie cu cel puţin 30 de zile înainte ca încetarea activităţilor să
se producă, să informeze ANC în termen de 24 de ore din momentul în care a
luat cunoştinţă sau trebuia şi putea să ia cunoştinţă despre imposibilitatea
continuării activităţilor.
(3) Atât în cazul
încetării activităţii din iniţiativa sa, cât şi în cazul în care încetarea
activităţii a fost dispusă de ANC, furnizorul de servicii de marcare temporală
va desemna alt furnizor de servicii de marcare temporală, căruia îi va
transfera, în tot sau în parte, activităţile sale. Transferul va opera în
următoarele condiţii:
a) furnizorul de
servicii de marcare temporală va înştiinţa fiecare utilizator, cu cel puţin 30
de zile în avans, despre intenţia sa de transferare a activităţilor legate de
marcarea temporală către un alt furnizor, menţionând identitatea acestuia;
b) furnizorul de
servicii de marcare temporală va face cunoscută utilizatorilor săi
posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în
care refuzul poate fi exercitat.
(4) Furnizorul
aflat în unul dintre cazurile prevăzute la alin. (1) şi (2), ale cărui
activităţi nu sunt preluate de un alt furnizor de servicii de marcare
temporală, este obligat să depună la ANC informaţiile şi documentele prevăzute
la art. 8 alin. (2) din Legea nr. 451/2004, precum şi dovada revocării
certificatului utilizat în procesul de marcare temporală.
CAPITOLUL IV
Dispoziţii finale
Art. 28. -
Prezenta decizie se publică în Monitorul Oficial al României, Partea I, şi
intră în vigoare la 3 zile de la data publicării.
Preşedintele
Autorităţii Naţionale pentru Comunicaţii,
Dorin-Liviu Nistoran
Bucureşti, 2
octombrie 2008.
Nr. 896.
ANEXA Nr. 1
┌────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│Conţinutul şi structura Registrului furnizorilor de servicii de marcare temporală │
├────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 1. │Numărul de ordine al înregistrării, generat automat │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 2. │Codul de identificare a furnizorului de servicii de marcare temporală │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 3. │Calitatea furnizorului: persoană fizică sau persoană juridică │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 4. │Numele şi prenumele furnizorului (pentru persoană fizică)/Denumirea (pentru persoană juridică) │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 5. │Adresa (ţară, oraş, judeţ/sector, stradă, număr, bloc, scară, etaj, apartament, cod poştal, telefon, fax, │
│ │e-mail, adresă pagină web) │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 6. │Codul unic de înregistrare la registrul comerţului (pentru persoană juridică) │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 7. │Data la care a început activitatea │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 8. │Cheia publică a certificatului digital folosit de furnizorul de servicii în procesul de marcare temporală │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ 9. │Descrierea sistemelor furnizorului de servicii de marcare temporală │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│10. │Codul de proceduri şi practici al furnizorului de servicii de marcare temporală │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│11. │Descrierea politicii generale a furnizorului de servicii de marcare temporală │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│12. │Tipul garanţiei furnizorului │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│13. │Societatea de asigurări/Instituţia financiară care garantează capacitatea financiară a furnizorului │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│14. │Suma asigurată/Suma acoperită prin scrisoarea de garanţie │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│15. │Situaţii critice: câmp ce poate conţine referiri la ultima situaţie critică (de exemplu, întreruperea │
│ │temporară a activităţii din cauza unor probleme tehnice, modificarea procedurilor, sancţiuni etc.) │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│16. │Data şi ora ultimei actualizări a registrului │
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│17. │Situaţia furnizorului (operaţional, suspendat, activitatea încetată, în curs de transferare a activităţii etc.)│
├────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│18. │Motivul suspendării/reluării/încetării activităţii (dacă este cazul) │
└────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
|
ANEXA Nr. 2
┌─────────────────────────────────────────────────────────────────────────────────────────────┐
│Formular de notificare pentru furnizorii de servicii de marcare temporală │
├───────────────────────────────────────────┬─────────┬─────────┬───────────┬──────────┬──────┤
│Furnizor de servicii de marcare temporală │Ţara │Oraş │Sector │Str. │Nr. │
│persoană fizică/juridică ├─────────┼─────────┼───────────┼──────────┼──────┤
│ │ │ │ │ │ │
├───────────────────────────────────────────┼─────────┼─────────┼───────────┼──────────┴──────┤
│Domiciliul sau sediul │Bl. │Et. │Ap. │Cod poştal │
│ ├─────────┼─────────┼───────────┼─────────────────┤
│ │ │ │ │ │
│ ├─────────┼─────────┼───────────┼─────────────────┤
│ │Tel. │Fax │E-mail │Web │
│ ├─────────┼─────────┴───────────┼─────────────────┤
│ │ │ │ │
├───────────────────────────────────────────┴─────────┼─────────────────────┴─────────────────┤
│Cod de înregistrare la registrul comerţului │Tip societate │
├─────────────────────────────────────────────────────┼───────────────────────────────────────┤
│ │ │
├─────────────────────────────────────────────────────┼───────────────────────────────────────┤
│Banca │Nr. cont bancar │
├─────────────────────────────────────────────────────┼───────────────────────────────────────┤
│ │ │
├─────────────────────────────────────────────────────┼───────────────────────────────────────┤
│Naţionalitate │Cetăţenie │
├─────────────────────────────────────────────────────┼───────────────────────────────────────┤
│ │ │
├───────────────────────────────────────────┬─────────┴───────────────────────────────────────┤
│Data începerii activităţii │ │
├───────────────────────────────────────────┼─────────────────────────────────────────────────┤
│Opis documente anexate │ │
└───────────────────────────────────────────┴─────────────────────────────────────────────────┘
|
ÎNŞTIINŢARE -
ANGAJAMENT
Subsemnatul,
................ (numele şi prenumele/denumirea), înştiinţez Autoritatea
Naţională pentru Comunicaţii (ANC) referitor la desfăşurarea serviciilor de
marcare temporală, menţionate în prezentul document, cu începere de la data de
..............
Mă angajez să
îmi desfăşor activitatea în conformitate cu prevederile Legii
nr. 451/2004
privind marca temporală, ale Deciziei preşedintelui Autorităţii Naţionale
pentru Comunicaţii nr. 896/2008 privind normele tehnice şi metodologice pentru
aplicarea Legii
nr. 451/2004 privind marca temporală, precum şi cu standardele
europene şi internaţionale în domeniu.
Mă oblig să
acopăr prejudiciile pe care le-aş putea cauza utilizatorilor, în condiţiile
prevăzute la art. 10 din Legea nr. 451/2004.
De asemenea,
mă angajez să comunic utilizatorilor instrucţiunile practice de marcare
temporală, precum şi termenele şi condiţiile de utilizare a serviciilor de
marcare temporală.
1. contractul de
închiriere/actul de proprietate pentru sediu;
2. adeverinţa din
partea administraţiei finanţelor publice privind plata la zi a taxelor şi
impozitelor către stat;
3. certificat de
bonitate sau scrisoare de garanţie din partea băncii, prin care persoana
fizică/juridică desfăşoară plăţi şi încasări curente;
4. o scrisoare de
garanţie în valoare de ..............., în favoarea ANC, la
....................... (numele instituţiei financiare)/o poliţă de asigurare
la ............. (numele societăţii de asigurare), în favoarea ANC, în valoare
de ..................*);
5. certificatul
calificat folosit în activitatea de marcare temporală;
6. politica de
marcare temporală aplicată;
7. descrierea
generală a sistemului informatic utilizat pentru desfăşurarea activităţii de
marcare temporală, însoţită de o declaraţie de conformitate cu prevederile
art. 4 alin. (1) din Legea nr. 451/2004;
8. descrierea
practicilor, procedurilor şi sistemelor care asigură securitatea şi
integritatea datelor, accesul autorizat permanent la acestea şi modalităţile
de prevenire a accesului neautorizat (codul de practici şi proceduri);
9. politica
referitoare la protecţia datelor cu caracter personal;
10. certificatul care
dovedeşte calitatea de operator de date cu caracter personal.
Furnizor, Din partea ANC,
........................ ..................................
Data şi ora Am primit documentaţia menţionată.
........................
|
___________
*)
Se va opta pentru una dintre cele două variante, în conformitate cu
prevederile art. 13 alin. (1) lit. b) din prezenta decizie.
ANEXA Nr. 3
CONŢINUTUL
MINIMAL
al Registrului electronic operativ de evidenţă a mărcilor temporale
I. Registrul
electronic operativ de evidenţă a mărcilor temporale va cuprinde:
1. Lista tuturor
mărcilor temporale emise de către furnizorul de servicii de marcare temporală,
cuprinzând următoarele informaţii:
A. Date referitoare
la marca temporală
┌────┬─────────────────────────────────────────────────────────────────────────┐
│Nr. │Categorie de date │
│crt.│ │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 1. │Identificator unic │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 2. │Data şi ora la care marca temporală a fost aplicată │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 3. │Cod de identificare utilizator │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 4. │Amprenta documentului supusă marcării temporale │
├────┼─────────────────────────────────────────────────────────────────────────┤
│ 5. │Identificarea algoritmului utilizat pentru generarea amprentei │
└────┴─────────────────────────────────────────────────────────────────────────┘
|
B. Date referitoare
la furnizor/certificatul furnizorului
┌──┬──────────────────────────────────────────────────┬────────────────────────┐
│1.│Nume │SubjectName │
├──┼──────────────────────────────────────────────────┼────────────────────────┤
│2.│Data emiterii │ │
├──┼──────────────────────────────────────────────────┼────────────────────────┤
│3.│Valabilitate │ │
├──┼──────────────────────────────────────────────────┼────────────────────────┤
│4.│Date de identificare ale furnizorului de servicii │IssuerName, SerialNumber│
│ │de certificare superior │ │
└──┴──────────────────────────────────────────────────┴────────────────────────┘
|
C. Marca temporală
emisă
2. Înregistrări ale
evenimentelor apărute în sistemul informatic utilizat pentru generarea
mărcilor temporale:
- sincronizările cu
baza de timp;
- schimbarea cheilor
criptografice;
- opriri ale
sistemului;
- incidente de
securitate.
II. Regimul de acces
la informaţiile cuprinse în Registrul electronic operativ de evidenţă a
mărcilor temporale
▪ Informaţiile
de la pct. 1 vor fi disponibile permanent pentru consultare pe pagina de
internet a furnizorului de servicii de marcare temporală.
▪ Informaţiile
de la pct. 2 vor fi făcute publice în conformitate cu politica de marcare
temporală a furnizorului şi vor fi furnizate, la cerere, Autorităţii Naţionale
pentru Comunicaţii.
ANEXA Nr. 4
CONŢINUTUL ŞI
STRUCTURA MĂRCII TEMPORALE
┌──────────────────────────────────┬────────────────────────────────────────┬───────────────┬──────────┐
│ Nume │ Explicaţie detaliată │Structura ASN1 │Observaţii│
├──────────────────────────────────┴────────────────────────────────────────┴───────────────┴──────────┤
│A. Informaţii despre marca temporală propriu-zisă │
│(TSTInfo) │
├──────────────────────────────────┬────────────────────────────────────────┬───────────────┬──────────┤
│Versiune │ │INTEGER │ │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Politica │ │OID │ │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Amprenta de marcat │Hash-ul + algoritmul de hash │messageImprint │ │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Număr serial unic │ │INTEGER │ │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Momentul exact de timp al emiterii│UTC, notaţie "zulu" │GeneralizedTime│ │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Precizie │Secunde, milisecunde, microsecunde │Accuracy │opţional │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Număr aleatoriu (Nonce) │ │INTEGER │opţional │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Numele furnizorului │ │GeneralName │opţional │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Extensii │ │Extensions │opţional │
├──────────────────────────────────┴────────────────────────────────────────┴───────────────┴──────────┤
│B. Semnătura furnizorului │
│(ContentInfo ce încapsulează o structură signedData) │
├──────────────────────────────────┬────────────────────────────────────────┬───────────────┬──────────┤
│Info semnătura │Semnătura propriu-zisă (SignatureValue),│signerInfo │ │
│ │însoţită de datele de identificare ale │ │ │
│ │semnatarului (SignerIdentifier) │ │ │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Certificatul furnizorului │ │certs │opţional │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│ │ │ │ │
├──────────────────────────────────┴────────────────────────────────────────┴───────────────┴──────────┤
│C. Statutul PKI (PKIStatusInfo) │
├──────────────────────────────────┬────────────────────────────────────────┬───────────────┬──────────┤
│Codul de status PKI │ │PKIStatus │ │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Mesajul text PKI │ │PKIFreeText │opţional │
├──────────────────────────────────┼────────────────────────────────────────┼───────────────┼──────────┤
│Informaţii despre eroarea PKI │ │PKIFailureInfo │opţional │
└──────────────────────────────────┴────────────────────────────────────────┴───────────────┴──────────┘
|
ANEXA Nr. 5
┌────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│Formular de informare cu privire la încetarea activităţii unui furnizor de servicii de marcare temporală│
├───────────────────────────────────────────────────────────┬────────────────────────────────────────────┤
│Nume furnizor │Codul din registrul furnizorilor de servicii│
├───────────────────────────────────────────────────────────┤ │
│ │ │
├───────────────────────────────────────────────────────────┴────────────────────────────────────────────┤
│Motivele încetării activităţii: │
│ │
├───────────────────────────────────────────────────────────┬────────────────────────────────────────────┤
│Data la care a înştiinţat ANC │Data încetării activităţii │
│ │ │
├───────────────────────────────────────────────────────────┼────────────────────────────────────────────┤
│Numele furnizorului care va prelua activitatea │Codul din registrul furnizorilor de servicii│
├───────────────────────────────────────────────────────────┤ │
│ │ │
├───────────────────────────────────────────────────────────┴────────────────────────────────────────────┤
│Măsuri luate referitoare la utilizatori: │
│ │
├────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ │
│ │
│ │
└────────────────────────────────────────────────────────────────────────────────────────────────────────┘
|
Document atasat din sectiunea
Legislatie Euroavocatura