DECIZIE Nr.
896 din 2 octombrie 2008
privind normele tehnice si
metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporala
ACT EMIS DE:
AUTORITATEA NATIONALA PENTRU COMUNICATII
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 754 din 7 noiembrie 2008
In temeiul prevederilor art. 8 alin. (1), (3) şi (5) şi
ale art. 6 alin. (3) pct. 3 din Ordonanţa de urgenţă a Guvernului nr. 106/2008
privind înfiinţarea Autorităţii Naţionale pentru Comunicaţii, precum şi ale
art. 9 alin. (3) şi ale art. 14 din Legea nr. 451/2004 privind marca temporală,
preşedintele Autorităţii Naţionale pentru
Comunicaţii emite prezenta decizie.
CAPITOLUL I
Dispoziţii generale
Art. 1. - (1) Prezentele norme tehnice şi metodologice
se aplică activităţii de marcare temporală şi stabilesc procedura de notificare
a Autorităţii Naţionale pentru Comunicaţii în vederea începerii furnizării
serviciilor de marcare temporală, procedurile de generare şi verificare a
mărcilor temporale, precum şi condiţiile de creare şi menţinere a registrului
electronic de evidenţă a furnizorilor de servicii de marcare temporală.
(2) Orice persoană fizică sau juridică poate beneficia
de servicii de marcare temporală în condiţiile Legii nr. 451/2004 privind marca
temporală şi ale prezentei decizii.
Art. 2. -In înţelesul prezentei decizii, următorii
termeni se definesc astfel:
a) ANC - Autoritatea
Naţională pentru Comunicaţii;
b) serviciu de marcare
temporală - serviciul prin care unor date în formă
electronică li se asociază, printr-un mecanism de încredere, o marcă temporală;
c) furnizor de servicii de
marcare temporală (furnizor) - orice persoană, fizică sau juridică, care oferă servicii de
marcare temporală în conformitate cu prevederile Legii nr. 451/2004 şi ale
prezentei decizii;
d) utilizator- orice
persoană, fizică sau juridică, care, în baza unui contract încheiat cu un
furnizor, beneficiază de servicii de marcare temporală;
e) cheie privată - codul digital, cu caracter de unicitate, generat printr-un
dispozitiv hardware şi/sau software specializat;
f) cheie publică - codul digital, pereche a cheii private, necesar verificării
mărcii temporale;
g) date de verificare a
mărcii temporale - date în formă electronică, cum
ar fi coduri sau chei publice, utilizate în scopul verificării unei mărci
temporale;
h) dispozitiv criptografic securizat - un
dispozitiv hardware cu un înalt grad de fiabilitate,
protejat împotriva modificărilor şi a utilizării neautorizate, care asigură un
grad înalt de securitate a operaţiilor criptografice în conformitate cu
cerinţele Legii nr. 455/2001 privind semnătura electronică;
i) politica de marcare temporală - regulile şi principiile
generale aplicate de furnizor în procesul de emitere şi administrare a mărcilor
temporale;
j) funcţie hash-code - algoritmul aplicat asupra unui document electronic, care creează
o amprentă unică a acelui document;
k) SHA -Algoritm Securizat de Hash-code (Secure
Hash Algorithm);
l) RFC -documentele care au fost supuse analizei
publice în cadrul unui proces coordonat de Grupul de lucru pentru ingineria
internetului;
m) extensie de tip critic
pentru marcare temporală - extensia unui certificat digital care trebuie procesată în mod obligatoriu
de aplicaţia care îl utilizează, limitând folosirea cheii private asociate
certificatului exclusiv la aplicarea semnăturii digitale din cadrul unei mărci
temporale.
CAPITOLUL II
Autoritatea de
reglementare şi supraveghere
Art. 3. -In conformitate cu dispoziţiile art. 6 alin.
(3) pct. 3 din Ordonanţa de urgenţă a Guvernului nr. 106/2008 privind
înfiinţarea Autorităţii Naţionale pentru Comunicaţii, ANC exercită atribuţiile
care revin autorităţii de reglementare şi supraveghere în domeniul marcării temporale.
Art. 4. - (1) In cadrul Registrului furnizorilor de
servicii de certificare, prevăzut la art. 28 din Legea nr. 455/2001, ANC va
crea o secţiune distinctă pentru înregistrarea furnizorilor de servicii de
marcare temporală.
(2) ANC gestionează Registrul
furnizorilor de servicii de marcare temporală, denumit în continuare registru. Forma acestui registru este
prevăzută în anexa nr. 1, care face parte integrantă din prezenta decizie.
(3) Actualizarea registrului se
efectuează exclusiv de către personalul ANC desemnat în acest sens şi vizează
toate modificările privind activitatea furnizorului, precum şi alte informaţii
relevante furnizate de acesta.
Art. 5. -ANC va face publice, spre consultare, următoarele date din registru:
a) tipul furnizorului - persoană fizică sau juridică;
b) numele şi prenumele sau
denumirea furnizorului, după caz;
c) forma de organizare a furnizorului persoană juridică
- societate comercială, regie autonomă, instituţie publică, organizaţie
neguvernamentală;
d) domiciliul sau sediul -
ţară, oraş, judeţ/sector, stradă, număr, bloc, scară, etaj, apartament, cod
poştal, telefon, fax, e-mail, adresă în pagina web;
e) cetăţenia, pentru persoană
fizică, sau naţionalitatea, pentru persoană juridică;
f) data la care şi-a început activitatea de furnizare
de servicii de marcare temporală;
g) cheia publică a furnizorului;
h) descrierea politicii de marcare temporală a
furnizorului;
i) situaţia activităţii furnizorului - operaţională,
suspendată, încetată, în curs de transferare, în curs de remediere a unor
probleme identificate de ANC, cu indicarea termenului-limită;
j) istoricul furnizorului - data de începere a
activităţii, perioade de suspendare, alte situaţii asemănătoare.
Art. 6. - (1) Informaţiile
prevăzute la art. 5 din prezenta decizie sunt disponibile public, prin
intermediul paginii de internet a ANC.
(2) Pe pagina de internet a ANC se vor publica şi
informaţii cu privire la Legea nr. 451/2004, prezentele norme tehnice şi
metodologice, informaţii generale cu privire la utilizarea mărcilor temporale,
informaţii actualizate din domeniul marcării temporale, trimiteri către
paginile de internet ale furnizorilor de servicii de marcare temporală.
Art. 7. - (1) ANC are obligaţia de a păstra
confidenţialitatea tuturor informaţiilor primite de la furnizorul de servicii
de marcare temporală, cu excepţia celor prevăzute de Legea nr. 451/2004 şi de
prezenta decizie ca fiind publice.
(2) ANC poate încheia un acord de confidenţialitate
asupra informaţiilor primite de la furnizorul de servicii de marcare temporală,
la cererea acestuia.
(3) Personalul cu atribuţii de
control din cadrul ANC este obligat să păstreze confidenţialitatea datelor de
care a luat cunoştinţă cu ocazia exercitării atribuţiilor de control în ceea ce
priveşte activitatea furnizorilor de servicii de marcare temporală.
CAPITOLUL III
Furnizorii de servicii de marcare temporală
SECŢIUNEA 1
Dispoziţii comune
Art. 8. - (1) Cu 30 de zile înainte de începerea
activităţii, furnizorul de servicii de marcare temporală va notifica ANC, prin
completarea formularului prevăzut în anexa nr. 2, care face parte integrantă
din prezenta decizie.
(2) Odată cu efectuarea
notificării prevăzute la alin. (1), furnizorii au obligaţia de a comunica ANC
informaţiile şi documentele prevăzute la art. 6 alin. (2) din Legea nr.
451/2004 şi în anexa nr. 2.
(3) In termen de 10 zile de la primirea notificării,
ANC poate solicita completarea documentaţiei prezentate, în conformitate cu
alin. (2).
(4) Furnizorii au obligaţia de
a comunica ANC, cu cel puţin 30 de zile în avans, orice intenţie de modificare
a procedurilor de securitate a sistemului informatic utilizat, cu precizarea
datei şi a orei la care modificarea intră în vigoare, precum şi obligaţia de a
confirma în termen de 24 de ore modificarea efectuată.
(5) In cazuri urgente, în care
securitatea serviciilor de marcare temporală este afectată, furnizorii pot
efectua modificări ale procedurilor de securitate, urmând să comunice ANC, în
termen de 24 de ore, modificările efectuate şi justificarea deciziei luate.
(6) Furnizorii de servicii de
marcare temporală sunt obligaţi să respecte, pe parcursul desfăşurării
activităţii, procedurile de securitate şi de certificare declarate potrivit
alin. (2)-(5). Aceştia vor furniza servicii de marcare temporală în
conformitate cu politica de marcare temporală declarată.
Art. 9. - (1) Furnizorul este obligat să genereze sau
să achiziţioneze o pereche funcţională cheie privată-cheie publică şi să îşi
protejeze cheia privată prin utilizarea unui dispozitiv criptografic securizat,
luând măsurile necesare pentru a preveni pierderea, dezvăluirea, modificarea
sau utilizarea neautorizată a cheii sale private.
(2) Perechea funcţională
prevăzută la alin. (1) va fi folosită exclusiv în scopul aplicării semnăturii
electronice asupra mărcilor temporale emise.
(3) Cheia privată nu poate fi dedusă în niciun fel din
cheia sa publică pereche.
(4) Furnizorul de servicii de
marcare temporală trebuie să deţină certificatul corespunzător cheii publice,
pe baza căruia se va putea verifica semnătura asupra mărcii temporale.
(5) Certificatul utilizat
pentru marcarea temporală va fi transmis ANC, în formă electronică, la data
notificării începerii activităţii.
Art. 10. - (1) Furnizorii de servicii de marcare temporală au obligaţia să respecte dispoziţiile
legale din domeniul prelucrării datelor cu caracter personal.
(2) La data începerii activităţii de furnizare de
servicii de marcare temporală, furnizorul trebuie să deţină calitatea de operator
de date personale şi să depună la ANC o copie de pe certificatul doveditor,
eliberat de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu
Caracter Personal.
Art. 11. - (1) Furnizorii de servicii de marcare
temporală au obligaţia de a crea şi menţine un registru electronic operativ de
evidenţă a mărcilor temporale.
(2) Registrul electronic
operativ de evidenţă a mărcilor temporale trebuie să conţină cel puţin
următoarele informaţii:
a) toate mărcile temporale
emise de către furnizorul de servicii de marcare temporală, cuprinzând, pe
lângă marca temporală propriu-zisă, şi date referitoare la marca temporală şi
la certificatul utilizat;
b) înregistrări ale
evenimentelor apărute în sistemul informatic utilizat pentru generarea mărcilor
temporale.
(3) Informaţiile prevăzute la
alin. (2) lit. a) trebuie să fie disponibile permanent pentru consultare pe
pagina de internet a furnizorului.
(4) Furnizorul de servicii de marcare temporală are
obligaţia de a transmite, la cerere, către ANC informaţiile prevăzute la alin.
(2) lit. b).
(5) Structura şi condiţiile de
exploatare ale registrului electronic operativ de evidenţă a mărcilor temporale
sunt prevăzute în anexa nr. 3, care face parte integrantă din prezenta decizie.
Art. 12. - (1) Furnizorii de servicii de marcare temporală trebuie să aducă la cunoştinţa tuturor
utilizatorilor termenii şi condiţiile care privesc utilizarea serviciilor de
marcare temporala, şi anume:
a) datele de contact ale furnizorului;
b) politica de marcare temporală aplicată;
c) standardele tehnice aplicabile;
d) precizia timpului din mărcile temporale;
e) orice limitări în folosirea serviciului de marcare
temporală;
f) obligaţiile utilizatorului;
g) informaţii despre cum trebuie verificată marca temporală
şi orice limitări posibile asupra perioadei de
valabilitate;
h) descrierea practicilor, procedurilor şi sistemelor
care asigură securitatea şi integritatea datelor, accesul autorizat permanent
la acestea şi modalităţile de prevenire a accesului neautorizat (codul de
practici şi proceduri);
i) politica privind protecţia datelor cu caracter
personal;
j) perioada de timp în care sunt păstrate
înregistrările referitoare la evenimente ale furnizorului;
k) disponibilitatea serviciilor.
(2) Aceste informaţii trebuie să fie disponibile pe
pagina de internet a furnizorului de servicii de marcare temporală.
Art. 13. - (1) Furnizorul de servicii de marcare
temporală trebuie să îndeplinească următoarele condiţii:
a) să dispună de mijloace financiare şi de resurse
materiale, tehnice şi umane corespunzătoare pentru garantarea securităţii,
fiabilităţii şi continuităţii serviciilor oferite;
b) să dovedească ANC că dispune de resursele financiare
pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfăşurării
activităţi de marcare temporală şi că este capabil să acopere pierderile
suferite de către o persoană care îşi întemeiază conduita pe efectele juridice
ale mărcilor temporale, în condiţiile prevăzute la art. 10 din Legea nr.
451/2004, până la concurenţa echivalentului în lei al sumei de 10.000 euro
pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs,
chiar dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii
de către furnizor a unei obligaţii prevăzute de lege. Furnizorul va trebui să
depună la ANC o scrisoare de garanţie din partea unei instituţii financiare de
specialitate sau o poliţa de asigurare la o societate de asigurări, în favoarea
ANC, în valoare cel puţin egală cu echivalentul în lei al sumei de 300.000
euro;
c) să folosească personal având cunoştinţe de
specialitate, experienţă şi calificare necesare pentru furnizarea serviciilor
respective;
d) să utilizeze numai
dispozitive criptografice securizate pentru efectuarea operaţiilor
criptografice implicate în procesul generării mărcii
temporale;
e) să utilizeze un sistem informatic care să respecte
cerinţele de securitate prevăzute la art. 4 alin. (1) din Legea nr. 451/2004;
f) să păstreze toate informaţiile necesare pentru a
putea face dovada marcării temporale în cazul unui eventual litigiu
(înregistrări ale mărcilor temporale emise, documentaţia aferentă algoritmilor
şi procedurilor de generare a mărcilor temporale emise, alte documente) pentru o perioadă de minimum 10
ani de la data emiterii.
(2) In vederea îndeplinirii obligaţiei prevăzute la
alin. (1) lit. e), furnizorul va publica documentaţia aferentă mecanismului
implementat în vederea îndeplinirii acestei obligaţii, iar o copie a
documentaţiei va fi transmisă ANC.
Art. 14. - Orice persoană, fizică sau juridică, care
doreşte să beneficieze de servicii de marcare temporală trebuie:
a) să furnizeze informaţiile referitoare la identitatea
sa;
b) să respecte limitările impuse de furnizorul de
servicii de marcare temporală.
SECŢIUNEA a 2-a
Mecanismul marcării temporale a documentelor
Art. 15. - (1) Marcarea temporală este realizată cu
respectarea următoarelor etape:
a) utilizatorul transmite
furnizorului o cerere de emitere a mărcii temporale pentru un anumit document
electronic. Cererea va conţine amprenta digitală a documentului pentru care se
face cererea, amprentă creată prin intermediul aplicării unei funcţii hash-code
asupra documentului;
b) într-un interval de timp
stabilit prin politica de marcare temporală, furnizorul de servicii de marcare
temporală execută următoarele operaţiuni asupra amprentei digitale a
documentului primit de la utilizator, folosind un sistem informatic sigur, care
îndeplineşte cerinţele de securitate prevăzute de art. 4 din Legea nr.
451/2004:
1. aplică informaţia de timp, raportându-se la baza de
timp;
2. aplică celelalte date
prevăzute de Legea nr. 451/2004 şi orice alte date prevăzute în politica sa de
marcare temporală care nu contravin prevederilor legale şi standardelor
recunoscute în materie;
3. o semnează electronic utilizând un certificat digital calificat;
c) în urma acestor operaţiuni rezultă marca temporală
care este transmisă utilizatorului.
(2) Autenticitatea mărcii temporale poate fi verificată
de către terţi pe baza documentului original, a mărcii temporale, a cheii
publice a furnizorului de servicii de marcare temporală şi a funcţiei hash-code
utilizate pentru crearea amprentei digitale a documentului.
Art. 16. - (1) Furnizorul de servicii de marcare
temporală trebuie să utilizeze informaţia de timp furnizată de furnizorul unic
de bază de timp.
(2) Furnizorul unic de bază de timp este Sistemul
informatic pentru furnizarea orei oficiale a României, realizat de Ministerul
Comunicaţiilor şi Tehnologiei Informaţiei.
(3) Sursa de timp folosită de
către furnizorul de servicii de marcare temporală trebuie să fie sincronizată
cu referinţa de timp oferită de furnizorul unic de bază de timp, abaterea maxim
admisă fiind de +/- 1 secundă.
(4) Furnizorul de servicii de marcare temporală are
obligaţia de a lua toate măsurile pentru calibrarea echipamentelor, astfel
încât valoarea prevăzută la alin. (3) să nu fie depăşită.
(5) In cazul în care detectează cazuri în care au fost
emise mărci temporale cu depăşirea valorii prevăzute la alin. (3), furnizorul
va transmite ANC o înştiinţare în acest sens.
(6) Furnizorul are obligaţia de
a păstra datele care dovedesc respectarea valorii prevăzute la alin. (3) (de
exemplu, log-urile de sincronizare) şi de a le pune la dispoziţia ANC, la
cerere.
Art. 17. - (1) Furnizorul de servicii de marcare
temporală este obligat să pună la dispoziţia utilizatorilor software-ul necesar
pentru utilizarea serviciului.
(2) Furnizorul trebuie să ofere utilizatorilor
următoarele informaţii despre software-ul pus la dispoziţie:
a) condiţiile în care este disponibil software-ul;
b) instrucţiunile de folosire;
c) obligaţiile utilizatorului;
d) orice alte limitări privind utilizarea
software-ului.
(3) Software-ul pus la dispoziţie de către furnizorul
de servicii de marcare temporală trebuie să permită utilizatorului să verifice
dacă marcarea temporală a fost realizată în mod corect, prin analiza automată a
cel puţin următoarelor elemente:
a) structura mărcii temporale;
b) amprenta din marca temporală;
c) semnătura electronică a
mărcii temporale, respectiv validitatea certificatului folosit pentru semnare.
Art. 18. - (1) Marca temporală va avea structura
stabilită în anexa nr. 4, care face parte integrantă din prezenta decizie.
(2) De asemenea, marca temporală
trebuie să includă:
a) un identificator pentru ţara în care furnizorul de
servicii de marcare temporală este stabilit, acolo unde este aplicabil;
b) un identificator pentru
furnizorul de servicii de marcare temporală, care va conţine cel puţin numărul de ordine din registru;
c) un identificator pentru
unitatea care emite mărci temporale.
(3) Datele prevăzute la alin.
(2) se vor introduce în marca temporală folosindu-se câmpul „tsa" din
cadrul structurii mărcii temporale. Introducerea acestui câmp este obligatorie.
(4) ANC va publica eventualele
modificări ale formatului descris în anexa nr. 4, pe baza evoluţiei
tehnologiilor sau a normelor internaţionale recunoscute în domeniu.
Art. 19. - (1) In vederea asigurării conformităţii cu
cerinţele Legii nr. 451/2004 şi ale prezentei decizii, se recomandă respectarea
următoarelor standarde şi recomandări de către furnizorii de servicii de
marcare temporală:
a) SR ETSI TS 101 861 V1.2.1:
2005 Profil de marcare temporală;
b) SR ETSI TS 101 862 V1.3.2: 2005 Profil de certificat
calificat;
c) SR ETSI TS 102 023 V1.2.1: 2005 Semnături
electronice şi infrastructuri (ESI). Cerinţe privind politica pentru
autorităţile de marcare temporală;
d) SR ISO/CEI 18014-1: 2005
Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporală. Partea
1: Cadru;
e) SR ISO/CEI 18014-2: 2005
Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporală.
Partea 2: Mecanisme care produc mărci temporale independente sau SR ISO/CEI
18014-3: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de
marcare temporală. Partea 3: Mecanisme care produc mărci temporale înlănţuite;
f) SR ISO/CEI TR 14516: 2005
Tehnologia informaţiei. Tehnici de securitate. Indrumări pentru utilizarea şi
administrarea serviciilor părţilor terţe de încredere;
g) Internet X.509 Public Key Infrastructure Time-Stamp
Protocol (TSP): IETF RFC 3161;
h) Cryptographic Message Syntax: IETF RFC 2630;
i) Internet X.509 Public Key Infrastructure Certificate
and CRL Profile: IETF RFC 2459;
j) Date and Time on the Internet: Timestamps: IETF RFC
3339.
(2) Furnizorii au obligaţia de a pune la dispoziţia
publicului, pe pagina proprie de internet, informaţii privind standardele pe
care le aplică în cadrul activităţii propriu-zise de generare a mărcii
temporale şi procedurile de securitate utilizate.
Art. 20. -Amprenta digitală utilizată în procesul de
marcare temporală, creată prin intermediul aplicării unei funcţii hash-code
asupra unui document în formă electronică, trebuie să aibă următoarele
caracteristici:
a) să permită identificarea
unică a documentului în formă electronică, datorită imposibilităţii practice de
a crea amprente identice pentru documente diferite;
b) să nu permită deducerea
conţinutului documentului respectiv, datorită imposibilităţii practice de a
reconstitui conţinutul documentului original pe baza amprentei.
Art. 21. - Furnizorul foloseşte doar funcţia hash-code
SHA1 (opţional SHA2) şi algoritmul de criptare RSA. Este interzisă folosirea
teoremei chinezeşti a resturilor.
Art. 22. - (1) Certificatul
furnizorului de servicii de marcare temporală trebuie să fie emis de un
furnizor de servicii de certificare acreditat în condiţiile Legii nr. 455/2001.
(2) Certificatul furnizorului va conţine în mod
obligatoriu extensia pentru marcare temporală prevăzută în standardele
internaţionale în vigoare (RFC 3161 - protocol de marcă temporală, secţiunea
2.3). Extensia trebuie să fie de tip critic.
Art. 23. - Marca temporală va fi transmisă
solicitantului prin mecanismele de transport prevăzute în standardul
internaţional RFC 3161 - protocol de marcă temporală, secţiunea a 3-a. Se va
implementa în mod obligatoriu cel puţin protocolul HTTR
Art. 24. - (1) Serviciul de verificare a mărcilor
temporale se asigură către terţi şi este menţionat expres în contractul
încheiat între furnizorul de servicii de marcă temporală şi utilizator.
(2) Verificarea trebuie să poată fi realizată automat,
prin internet, fiind accesibilă oricărei persoane fizice sau juridice care îşi
bazează conduita pe efectele juridice ale unei mărci temporale.
SECŢIUNEA a 3-a
Suspendarea sau încetarea activităţii
furnizorilor de servicii de marcare temporală
Art. 25. - (1) In conformitate cu prevederile art. 9
alin. (4) din Legea nr. 451/2004, controlul respectării dispoziţiilor Legii nr.
451/2004, precum şi ale prezentei decizii revine ANC, care acţionează prin
personalul de control de specialitate împuternicit în acest scop.
(2) ANC are dreptul de a efectua controale asupra
furnizorilor de servicii de marcare temporală, din oficiu sau la solicitarea
oricărei persoane interesate.
(3) In vederea exercitării atribuţiilor de control,
personalul împuternicit în acest scop este autorizat în limitele legii:
a) să aibă acces liber, permanent, în orice loc în care
se află echipamentele necesare furnizării serviciilor de marcare temporală;
b) să solicite orice document
sau informaţie necesară în vederea verificării respectării obligaţiilor ce
incumbă furnizorului de servicii de marcare temporală;
c) să verifice punerea în aplicare a oricăror proceduri
utilizate de către furnizorul de servicii de marcare temporală supus
controlului;
d) să sigileze orice
echipamente necesare furnizării de servicii de marcare temporală sau să reţină
orice document care are legătură cu această activitate, pe o perioadă care nu
poate depăşi 15 zile, dacă aceste măsuri se impun.
Art. 26. - (1) ANC va dispune, prin decizie,
suspendarea activităţii furnizorului de servicii de marcare temporală până la
încetarea cauzelor care au determinat luarea măsurii, în următoarele situaţii:
a) furnizorul nu respectă politica de marcare temporală
şi procedurile de securitate declarate, într-un mod în care afectează
securitatea procesului de marcare temporală;
b) furnizorul încalcă obligaţia prevăzută la art. 5
alin. (1) din Legea nr. 451/2004;
c) odată cu aplicarea sancţiunilor contravenţionale
prevăzute la art. 12 din Legea nr. 451/2004;
d) furnizorul nu respectă
obligaţiile prevăzute la art. 8 alin. (4) şi art. 16;
e) furnizorul nu remediază în termenul stabilit de ANC
orice alte deficienţe apărute ca urmare a nerespectării prevederilor Legii nr.
451/2004 şi ale prezentei decizii şi constatate cu prilejul efectuării
controalelor de către ANC.
(2) Odată cu comunicarea deciziei de suspendare
temporară a activităţii, ANC comunică furnizorului un termen în care trebuie să
remedieze problemele care au determinat luarea acestei măsuri. Termenul nu
poate fi mai mic de 30 de zile. Furnizorul poate solicita motivat prelungirea
acestui termen.
(3) Suspendarea activităţii
încetează în momentul în care furnizorul face dovada încetării cauzelor care au
determinat luarea măsurii.
(4) Dacă furnizorul nu
remediază problemele care au determinat suspendarea în termenul stabilit în
condiţiile alin. (2), ANC va dispune, prin decizie, încetarea activităţii
acestuia.
(5) In perioada în care
activitatea sa este suspendată, furnizorul are obligaţia să asigure continuarea
funcţionării serviciului de verificare a mărcilor temporale, precum şi
consultarea în regim on-line a registrului electronic, cu excepţia cazului în
care deficienţele se găsesc la nivelul acestor sisteme.
Art. 27. - (1) In cazul în care furnizorul
intenţionează să înceteze activităţile legate de marcarea temporală, va informa
ANC, cu cel puţin 30 de zile în avans, despre intenţia sa, respectiv despre
existenţa şi natura împrejurării care justifică imposibilitatea de continuare a
activităţilor, prin completarea formularului prevăzut în anexa nr. 5, care face
parte integrantă din prezenta decizie.
(2) Furnizorului îi revine
obligaţia ca, în situaţia în care se află în imposibilitate de a continua
activităţile legate de marcarea temporală şi nu a putut prevedea această
situaţie cu cel puţin 30 de zile înainte ca încetarea activităţilor să se
producă, să informeze ANC în termen de 24 de ore din momentul în care a luat
cunoştinţă sau trebuia şi putea să ia cunoştinţă despre imposibilitatea
continuării activităţilor.
(3) Atât în cazul încetării activităţii din iniţiativa
sa, cât şi în cazul în care încetarea activităţii a fost dispusă de ANC,
furnizorul de servicii de marcare temporală va desemna alt furnizor de servicii
de marcare temporală, căruia îi va transfera, în tot sau în parte, activităţile
sale. Transferul va opera în următoarele condiţii:
a) furnizorul de servicii de
marcare temporală va înştiinţa fiecare utilizator, cu cel puţin 30 de zile în
avans, despre intenţia sa de transferare a activităţilor legate de marcarea
temporală către un alt furnizor, menţionând identitatea acestuia;
b) furnizorul de servicii de
marcare temporală va face cunoscută utilizatorilor săi posibilitatea de a
refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate
fi exercitat.
(4) Furnizorul aflat în unul dintre cazurile prevăzute
la alin. (1) şi (2), ale cărui activităţi nu sunt preluate de un alt furnizor
de servicii de marcare temporală, este obligat să depună la ANC informaţiile şi
documentele prevăzute la art. 8 alin. (2) din Legea nr. 451/2004, precum şi
dovada revocării certificatului utilizat în procesul de marcare temporală.
CAPITOLUL IV
Dispoziţii finale
Art. 28. - Prezenta decizie se publică în Monitorul
Oficial al României, Partea I, şi intră în vigoare la 3 zile de la data publicării.
Preşedintele Autorităţii Naţionale pentru Comunicaţii,
Dorin-Liviu Nistoran
ANEXA Nr. 1
Conţinutul şi structura Registrului furnizorilor de servicii de
marcare temporală
|
1.
|
Numărul de ordine al înregistrării, generat automat
|
2.
|
Codul de identificare a furnizorului de servicii de marcare
temporală
|
3.
|
Calitatea furnizorului: persoană fizică sau persoană juridică
|
4.
|
Numele şi prenumele furnizorului (pentru persoană
fizică)/Denumirea (pentru persoană juridică)
|
5.
|
Adresa (ţară, oraş, judeţ/sector, stradă, număr, bloc, scară,
etaj, apartament, cod poştal, telefon, fax, e-mail, adresă pagină web)
|
6.
|
Codul unic de înregistrare la registrul
comerţului (pentru persoană juridică)
|
7.
|
Data la care a început activitatea
|
8.
|
Cheia publică a certificatului digital folosit de furnizorul de
servicii în procesul de marcare temporală
|
9.
|
Descrierea sistemelor furnizorului de
servicii de marcare temporală
|
10.
|
Codul de proceduri şi practici al furnizorului de servicii de
marcare temporală
|
11.
|
Descrierea politicii generale a furnizorului de servicii de
marcare temporală
|
12.
|
Tipul garanţiei furnizorului
|
13.
|
Societatea de asigurări/Instituţia
financiară care garantează capacitatea financiară a furnizorului
|
14.
|
Suma asigurată/Suma acoperită prin scrisoarea de garanţie
|
15.
|
Situaţii critice: câmp ce poate conţine referiri la ultima
situaţie critică (de exemplu, întreruperea temporară a activităţii din cauza
unor probleme tehnice, modificarea procedurilor, sancţiuni etc.)
|
16.
|
Data şi ora ultimei actualizări a registrului
|
17.
|
Situaţia furnizorului (operaţional, suspendat, activitatea
încetată, în curs de transferare a activităţii etc.)
|
18.
|
Motivul suspendării/reluării/încetării activităţii (dacă este
cazul)
|
ANEXA Nr. 2
Formular de notificare pentru furnizorii de servicii de marcare
temporală
|
Furnizor de servicii de marcare temporală persoană
fizică/juridică
|
Ţara
|
Oraş
|
Sector
|
Str.
|
Nr.
|
|
|
|
|
|
Domiciliul sau sediul
|
Bl.
|
Et.
|
Ap.
|
Cod poştal
|
|
|
|
|
Tel.
|
Fax
|
E-mail
|
Web
|
|
|
|
Cod de înregistrare la registrul comerţului
|
Tip societate
|
|
|
Banca
|
Nr. cont bancar
|
|
|
Naţionalitate
|
Cetăţenie
|
|
|
Data începerii activităţii
|
|
Opis documente anexate
|
|
ÎNŞTIINŢARE -ANGAJAMENT
Subsemnatul, ................(numele şi
prenumele/denumirea), înştiinţez Autoritatea Naţională pentru Comunicaţii (ANC) referitor la desfăşurarea serviciilor de
marcare temporală, menţionate în prezentul document, cu începere de la data de..............
Mă angajez să îmi desfăşor activitatea în conformitate
cu prevederile Legii nr. 451/2004 privind marca temporală, ale Deciziei
preşedintelui Autorităţii Naţionale pentru Comunicaţii nr. 896/2008 privind
normele tehnice şi metodologice pentru aplicarea Legii nr. 451/2004 privind
mafca temporală, precum şi cu standardele europene şi internaţionale in
domeniu.
Mă oblig să acopăr prejudiciile pe care le-as putea
cauza utilizatorilor, în condiţiile prevăzute la art. 10 din Legea nr. 451/2004.
De asemenea, mă angajez să comunic utilizatorilor
instrucţiunile practice de marcare temporală, precum şi termenele şi condiţiile
de utilizare a serviciilor de marcare temporală.
1. contractul de închiriere/actul de proprietate pentru
sediu;
2. adeverinţa din partea administraţiei finanţelor
publice privind plata la zi a taxelor şi impozitelor către stat;
3. certificat de bonitate sau
scrisoare de garanţie din partea băncii, prin care persoana fizică/juridică
desfăşoară plăţi şi încasări curente;
4. o scrisoare de garanţie în
valoare de..............., în favoarea ANC, la........................ (numele instituţiei financiare)/o poliţă de asigurare la............. (numele societăţii de asigurare), în
favoarea ANC, în valoare de..................*;
5. certificatul calificat folosit în activitatea de
marcare temporală;
6. politica de marcare
temporală aplicată;
7. descrierea generală a sistemului informatic utilizat
pentru desfăşurarea activităţii de marcare temporală, însoţită de o declaraţie de conformitate cu prevederile art. 4 alin. (1) din Legea nr.
451/2004;
8. descrierea practicilor,
procedurilor şi sistemelor care asigură securitatea şi integritatea datelor,
accesul autorizat permanent la acestea şi modalităţile de prevenire a accesului
neautorizat (codul de practici şi proceduri);
9. politica referitoare la
protecţia datelor cu caracter personal;
10. certificatul care dovedeşte
calitatea de operator de date cu caracter personal.
Furnizor,
........................................................................
Data şi ora
........................................................................
Din partea ANC,
........................................................................
Am primit documentaţia menţionată.
* Se va opta pentru una dintre cele două variante, în
conformitate cu prevederile art. 13 alin. (1) lit. b) din prezenta decizie.
ANEXA Nr. 3
CONŢINUTUL MINIMAL al
Registrului electronic operativ de evidenţă a
mărcilor temporale
I. Registrul electronic
operativ de evidenţă a mărcilor temporale va cuprinde:
1. Lista tuturor mărcilor temporale emise de către
furnizorul de servicii de marcare temporală, cuprinzând următoarele informaţii:
A. Date referitoare la marca temporală
Nr. crt.
|
Categorie de date
|
1.
|
Identificator unic
|
2.
|
Data şi ora la care marca temporală a fost aplicată
|
3.
|
Cod de identificare utilizator
|
4.
|
Amprenta documentului supusă marcării temporale
|
5.
|
Identificarea algoritmului utilizat pentru generarea amprentei
|
B. Date referitoare la furnizor/certificatul
furnizorului
1.
|
Nume
|
SubjectName
|
2.
|
Data emiterii
|
|
3.
|
Valabilitate
|
|
4.
|
Date de identificare ale furnizorului de servicii de certificare
superior
|
IssuerName, SeriaINumber
|
C. Marca temporală emisă
2. Inregistrări ale evenimentelor apărute în sistemul
informatic utilizat pentru generarea mărcilor temporale:
- sincronizările cu baza de timp;
- schimbarea cheilor criptografice;
- opriri ale sistemului;
- incidente de securitate.
II. Regimul de acces la
informaţiile cuprinse în Registrul electronic operativ de evidenţă a mărcilor
temporale
• Informaţiile de la pct. 1 vor fi disponibile
permanent pentru consultare pe pagina de internet a
furnizorului de servicii de marcare temporala.
• Informaţiile de la pct. 2 vor
fi făcute publice în conformitate cu politica de marcare temporală a
furnizorului şi vor fi furnizate, la cerere, Autorităţii Naţionale pentru
Comunicaţii.
ANEXA Nr. 4
CONŢINUTUL ŞI STRUCTURA MĂRCII TEMPORALE
Nume
|
Explicaţie detaliată
|
Structura ASN1
|
Observaţii
|
A. Informaţii
despre marca temporală propriu-zisă (TSTInfo)
|
Versiune
|
|
INTEGER
|
|
Politica
|
|
OID
|
|
Amprenta de marcat
|
Hash-ul + algoritmul de hash
|
messagelmprint
|
|
Număr serial unic
|
|
INTEGER
|
|
Momentul exact de timp al emiterii
|
UTC, notaţie „zulu"
|
GeneralizedTime
|
|
Precizie
|
Secunde, milisecunde, microsecunde
|
Accuracy
|
opţional
|
Număr aleatoriu (Nonce)
|
|
INTEGER
|
opţional
|
Numele furnizorului
|
|
GeneralName
|
opţional
|
Extensii
|
|
Extensions
|
opţional
|
B. Semnătura
furnizorului (Contentlnfo
ce încapsulează o structură signedData)
|
Info semnătura
|
Semnătura propriu-zisă (SignatureValue), însoţită de datele de identificare ale semnatarului (Signerldentifier)
|
signerlnfo
|
|
Certificatul furnizorului
|
|
certs
|
opţional
|
|
|
|
|
C. Statutul PKI (PKIStatusInfo)
|
Codul de status PKI
|
|
PKIStatus
|
|
Mesajul text PKI
|
|
PKIFreeText
|
opţional
|
Informaţii despre eroarea PKI
|
|
PKIFailurelnfo
|
opţional
|
ANEXA Nr. 5
Formular de informare cu privire
la încetarea activităţii unui furnizor de servicii de marcare temporală
|
Nume furnizor
|
Codul din registrul furnizorilor de servicii
|
|
Motivele încetării activităţii:
|
Data la care a înştiinţat ANC
|
Data încetării activităţii
|
Numele furnizorului care va prelua activitatea
|
Codul din registrul furnizorilor de servicii
|
|
Măsuri luate referitoare la utilizatori:
|
|