ORDIN Nr. 389
din 27 iunie 2007
privind procedura de avizare
a instrumentelor de plata cu acces la distanta, de tipul aplicatiilor
internet-banking, home-banking sau mobile-banking
ACT EMIS DE:
MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI INFORMATIEI
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 485 din 19 iulie 2007
Având în vedere prevederile
art. 5 alin. (6) din Hotărârea Guvernului nr. 744/2003 privind organizarea şi
funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Informaţiei, cu
modificările şi completările ulterioare, şi ale art. 30 lit. d) din
Regulamentul Băncii Naţionale a României nr. 6/2006 privind emiterea şi
utilizarea instrumentelor de plată electronică şi relaţiile dintre
participanţii la tranzacţiile cu aceste instrumente,
ministrul comunicaţiilorşi tehnologiei informaţiei emite prezentul ordin.
CAPITOLUL I
Dispoziţii generale
Art. 1. - Prezentul ordin se aplică băncilor, persoane
juridice române, precum şi sucursalelor din România ale băncilor,
persoanejuridice străine, denumite în continuare bănci, şi are ca obiectstabilirea
procedurii privind eliberarea avizului Ministerului Comunicaţiilor şi Tehnologiei
Informaţiei asupra instrumentelor de plată cu acces la distanţă tip internet-banking, home-banking
sau mobile-banking.
Art. 2. -In înţelesul prezentului ordin, termenii şi
expresiile de mai jos au următoarele semnificaţii:
a) instrument de plată cu
acces la distanţă - soluţia informatică ce permite
deţinătorului să aibă acces la distanţă la fondurile aflate în contul său, în
scopul obţinerii de informaţii privind situaţia conturilor şi operaţiunilor
efectuate, efectuării de plăţi
sau transferuri de fonduri către un beneficiar, prin intermediul unei aplicaţii
informatice, al unei metode de autentificare şi al unui mediu de comunicaţie;
b) emitent - banca
autorizată de Banca Naţională a României să emită instrumente de plată
electronică şi care pune la dispoziţie deţinătorului un instrument de plată
electronică cu acces la distanţă, pe baza unui contract încheiat cu acesta;
c) deţinător - persoana fizică sau juridică care, în baza contractului încheiat
cu emitentul, deţine un mecanism de autentificare în utilizarea instrumentului
de plată cu acces la distanţă;
d) utilizator-deţinătorul
instrumentului de plată cu acces la distanţă sau o persoană fizică recunoscută
şi acceptată de către deţinător ca având acces la drepturile sale conferite de
către emitent;
e) instrument de plată la
distanţă tip Internet-banking - acel instrument de
plată cu acces la distanţă care se bazează pe tehnologia Internet (world wide
web) şi pe sistemele informatice ale emitentului;
f) instrument de plată la
distanţă tip home-banking - acel instrument de
plată cu acces la distanţă care se bazează pe o aplicaţie software a
emitentului instalată la sediul deţinătorului pe o staţie de lucru individuală
sau în reţea;
g) instrument de plată
la distanţă tip mobile-banking - acel instrument
de plată cu acces la distanţă care presupune utilizarea unui echipament mobil
(telefon, PDA - Personal Digital Assistant etc.) şi a unor servicii oferite de
către operatorii de telecomunicaţii;
h) plan de securitate -
documentul ce descrie totalitatea măsurilor tehnice şi administrative care sunt
luate de către emitent pentru utilizarea în condiţii de siguranţă a
instrumentului de plată cu acces la distanţă;
i) aviz - actul administrativ emis de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei în conformitate cu
prevederile art. 30 lit. d) din Regulamentul Băncii Naţionale a României nr.
6/2006 privind emiterea şi utilizarea instrumentelor de plată electronică şi
relaţiile dintre participanţii la tranzacţiile cu aceste instrumente, care
conferă solicitantului dreptul de a obţine autorizaţia din partea Băncii
Naţionale a României pentru emiterea instrumentului de plată cu acces la
distanţă;
j) BNR - Banca Naţională
a României;
k) Regulamentul nr. 6 al BNR - Regulamentul Băncii Naţionale a României nr. 6/2006 privind
emiterea şi utilizarea instrumentelorde plată electronică şi relaţiile dintre
participanţii la tranzacţiile cu aceste instrumente, publicatîn Monitorul
Oficial al României, Partea I, nr. 927 din 15 noiembrie
2006;
l) MCTI - Ministerul
Comunicaţiilor şi Tehnologiei Informaţiei;
m) CISA- Certified Information Systems Auditor
(auditorul pentru sisteme informatice, certificatde ISACA).
Art. 3. - Scopul avizului îl constituie verificarea
îndeplinirii de către sistemul informatic al emitentului
şi de către soluţia software, prin intermediul cărora este oferit instrumentul
de plată cu acces la distanţă, a unor cerinţe minime de securitate, referitoare
la:
a) confidenţialitatea şi integritatea comunicaţiilor;
b) confidenţialitatea şi nonrepudierea tranzacţiilor;
c) confidenţialitatea şi integritatea datelor;
d) autenticitatea părţilor care participă la
tranzacţii;
e) protecţia datelor cu caracter personal;
f) păstrarea secretului bancar;
g) trasabilitatea
tranzacţiilor;
h) continuitatea serviciilor oferite clienţilor;
i) împiedicarea, detectarea şi monitorizarea accesului
neautorizat în sistem;
j) restaurarea informaţiilor gestionate de sistem în
cazul unor calamităţi naturale şi evenimente imprevizibile;
k) gestionarea şi administrarea sistemului informatic;
l) orice alte activităţi sau
măsuri tehnice întreprinse pentru exploatarea în siguranţă a sistemului.
Art. 4. - Măsurile tehnice şi organizatorice
întreprinse pentru îndeplinirea cerinţelor enumerate la art. 3 vorfi în
concordanţă cu progresul tehnologic şi cu riscurile potenţiale.
CAPITOLULII
Eliberarea avizului
Art. 5. - Documentele necesare pentru eliberarea
avizului sunt:
a) cererea adresată în acest scop MCTI, conform
modelului prevăzut în anexa nr. 1 care face parte integrantă din prezentul
ordin;
b) licenţa de funcţionare a băncii, acordată de BNR,
sau notificarea transmisă de autoritatea competentă din statul membru de
origine către BNR;
c) descrierea funcţională a sistemului informatic
prin intermediul căruia este oferit instrumentul de plată cu acces la distanţă;
d) planul de securitate al sistemului informatic,
semnatde către emitent, cuprinzând totalitatea măsurilor tehnice şi
organizatorice prevăzute pentru asigurarea cerinţelor cuprinse la art. 3;
e) certificările din punctul de vedere al securităţii,
asupra soluţiei informatice sau produselor conţinute în aceasta, emise de
organizaţii naţionale sau internaţionale recunoscute, acolo unde există;
f) opinia de audit asupra planului de securitate prevăzut la lit. d) şi a soluţiei informatice prin
intermediul căreia este oferit instrumentul de plată cu acces la distanţă;
g) o declaraţie în care este exprimată independenţa
auditorului faţă de sistemul informatic auditat.
Art. 6. - (1) Opinia de audit
prevăzută la art. 5 pct. f) va fi întocmită de către o persoană certificată ca
auditor de sisteme informatice (CISA). în procesul de auditare, auditorul poate
solicita concursul unor experţi.
(2) La cererea expresă a MCTI, precum şi în cazul
opiniilor de audit exprimate cu rezerve, banca va pune la dispoziţie raportul
de audit rezultatîn urma auditării sistemului.
(3) Pentru cazurile în care sistemul informatic prin
intermediul căruia este oferit instrumentul de plată cu acces la distanţă este
situat în afara ţării, auditarea sistemului se va face prin una dintre
următoarele metode:
- auditorul român va audita sistemele din străinătate;
sau
- auditorul român agreează auditarea sistemului din
străinătate de către personal cu calificare similară din acea ţară; sau
- auditorul român îşi va baza atestatul pe documente/
atestate emise în ţara în care rulează sistemul şi care au un grad de asigurare
corespunzător.
Art. 7. - Documentele prevăzute la art. 5 se vor
transmite către MCTI în limba română.
Art. 8. - Planul de securitate se va întocmi
respectându-se următoarea structură:
1. Informaţii de identificare:
a) emitentul instrumentului de plată cu acces la
distanţă;
b) denumirea instrumentului de plată cu acces la
distanţă;
c) provenienţa instrumentului de plată cu acces la
distanţă;
d) categoria (internet, home sau mobile - banking);
e) statutul operaţional al sistemului prin intermediul
căruia este oferit instrumentul de plată cu acces la distanţă şi anul intrării
în producţie;
f) descrierea generală a
soluţiei tehnice;
g) consideraţiile specifice;
h) interconectarea sistemului;
i) aria geografică în care instrumentul de plată cu
acces la distanţă poate fi utilizat;
j) datele de contact ale persoanelor responsabile.
2. Senzitivitatea sistemului:
a) legislaţia aplicabilă;
b) descrierea generală a senzitivităţii informaţiilor
gestionate de către sistem.
3. Măsuri pentru securitatea sistemului:
a) evaluarea şi managementul riscurilor potenţiale;
b) codurile de conduită/condiţiile de
utilizare/contractul prin care este oferit instrumentul de plată cu acces la
distanţă;
c) rapoartele de testare;
d) măsurile tehnice de securitate implementate;
e) procedurile operaţionale de exploatare;
f) măsurile aplicate pentru asigurarea securităţii
fizice;
g) instruirea personalului
propriu al emitentului în legătură cu administrarea sistemului informatic;
h) instrucţiunile de utilizare a instrumentului de
plată cu acces la distanţă (manual de utilizare oferit clienţilor);
i) suportul tehnic oferit de către emitent clienţilor
care utilizează instrumentul de plată cu acces la distanţă.
4. Orice alte informaţii relevante legate de măsurile
luate de către emitent pentru a asigura exploatarea în siguranţă a
instrumentului de plată cu acces la distanţă.
Art. 9. - (1) Documentele
prevăzute la art. 5 se înaintează către MCTI în perioada 1 aprilie - 30 iunie a
fiecărui an.
(2) Avizul eliberat este valabil până la data de 1
iulie a anului următor.
(3) Avizul eliberat este netransmisibil.
Art. 10. -In cazul emiterii unui nou instrument de plată cu acces la distanţă după data de 1 iulie,
emitentul poate solicita avizul MCTI odată cu depunerea documentelor necesare,
prevăzute la art. 5.
Art. 11. - (1)în cazul în care, pe perioada de
valabilitate a avizului, emitentul dezvoltă sau implementează noi module de
aplicaţie, efectuează modificări de proceduri operaţionale sau modifică măsurile tehnice de securitate
aplicabile instrumentului de plată cu acces la distanţă, acesta va notifica
aceste modificări către MCTI.
(2) Notificarea prevăzută la
alin. (1) se va face în termen de 30 de zile de la data la care modificările
specificate la alin. (1) devin operaţionale.
(3) In urma notificării, dacă se consideră că
modificările efectuate afectează majorsecuritatea instrumentului de plată cu
acces la distanţă, MCTI sau BNR pot solicita băncii obţinerea unui nou aviz.
(4) Dacă solicitarea prevăzută la alin. (3) este
efectuată de MCTI, acesta va notifica în acelaşi timp şi BNR.
Art. 12. - Documentele enumerate la art. 5 vorfi întocmite într-un singur exemplar, iar acolo unde este
cazul vor fi clasificate din punctul de vedere al conţinutului acestora,
conform legislaţiei în vigoare şi procedurilor băncii care solicită avizarea.
Art. 13. - (1)In urma analizării documentaţiei
prezentate, în termen de 15 zile calendaristice de la data înregistrării
acesteia la MCTI, acesta va comunica solicitantului decizia sa cu privire la
acordarea avizului şi va notifica BNR in legătură cu aceasta.
(2) După eliberarea avizului, în termen de 3 zile calendaristice, MCTI va remite solicitantului un
exemplar al avizului.
(3) Avizul va fi eliberatîn forma prevăzută în anexa
nr. 2 care face parte integrantă din prezentul ordin.
CAPITOLUL III
Dispoziţii finale
Art. 14. - (1) In perioada
prevăzută la art. 13 alin. (1), precum şi în perioada de valabilitate a
avizului sau în cazul primirii unei notificări din partea BNR, MCTI poate
solicita băncii avizate sau în curs de avizare efectuarea de verificări la
sediul acesteia prin personal desemnat prin ordin al ministrului comunicaţiilor
şi tehnologiei informaţiei.
(2) In cazul în care în urma verificărilor se constată
nerespectarea prevederilor conţinute în documentaţia de avizare, MCTI poate
dispune neacordarea avizului sau retragerea acestuia.
Art. 15. - (1) Emitentul este obligat să informeze
MCTI, trimestrial, cu privire la numărul de utilizatori ai instrumentului de
plată cu acces la distanţă, numărul de plăţi efectuate prin intermediul
instrumentelorde plată cu acces ladistanţă, precum şi valoarea plăţilor efectuate
prin intermediul acestora, în formatul prezentatîn anexa nr. 3.
(2) Numărul de utilizatori prevăzut la alin. (1) se
referă la numărul de utilizatori cu care există încheiat un contract pentru
utilizarea instrumentului de plată cu acces la distanţă, pe parcursul
trimestrului pentru care se face raportarea. Se iau în considerare toate
contractele în vigoare de la data lansării instrumentului de plată cu acces la
distanţă.
(3) Numărul de plăţi efectuate prin intermediul
instrumentelor de plată cu acces la distanţă se referă la plăţile efectuate
doar pe perioada trimestrului raportat şi care vor fi prezentate, defalcat, în
numărul de plăţi în lei şi în numărul de plăţi în valută.
(4) Valoarea plăţilor efectuate prin intermediul
instrumentelor de plată cu acces la distanţă în perioada trimestrului raportat
va fi prezentată astfel:
valoarea plăţilor efectuate în lei şi valoarea plăţilor efectuate în valută.
Plăţile efectuate în valută vor fi exprimate în echivalent euro, la cursul de schimb BNR din ultima zi a trimestrului pentru care se face
raportarea.
(5) Raportările pot fi transmise prin poştă, pe
adresa Ministerului Comunicaţiilor şi Tehnologiei
Informaţiei, Bd. Libertăţii nr. 14, sectorul 5, cod 050706, sau prin e-mail, ca
fişier ataşat, pe adresa e-banking@mcti.ro.
(6) Raportările vor fi transmise către MCTI până la
sfârşitul lunii următoare trimestrului pentru care se face raportarea.
Art. 16. - Eliberarea de către MCTI a avizului pentru
furnizarea instrumentului de plată cu acces la distanţă nu exonerează emitentul sau deţinătorul de
răspunderile asumate prin contractul încheiat între aceştia.
Art. 17. - La data publicării prezentului ordin în
Monitorul Oficial al României, Partea I, Ordinul ministrului comunicaţiilorşi tehnologiei informaţiei nr.
218/2004 privind procedura de avizare a instrumentelor de plată cu acces la
distanţă, de tipul aplicaţiilor internet-banking, home-banking sau
mobile-banking, publicatîn Monitorul Oficial al României,
Partea I, nr. 579 din 30 iunie 2004, se abrogă.
Art. 18. - Prezentul ordin va fi publicat în Monitorul
Oficial al României, Partea I.
p. Ministrul comunicaţiilor şi tehnologiei informaţiei,
Balint Marton Porcsalmi
Anexa 1
CERERE
de eliberare a avizului
......................................................................................,
având sediul în
................................................................................................................,
(denumirea
emitentului) (adresa completă, inclusiv telefon şi fax)
înmatriculată/înregistrată la oficiul registrului comerţului sub
nr..................................................................................................................................................,
(numărul de înregistrare/codul unic de
înregistrare) cod fiscal....................................................,
având Autorizaţia de funcţionare nr.....................................,
eliberată de Banca Naţională
a României, reprezentat(ă) legal prin............................................................................................................,domiciliat(ă) în
......................................................................,
(numele şi prenumele) (adresa
completă, inclusiv telefon) identificat(ă) prin
...................................................................................................................................................................................................................,
(actul de identitate: seria, numărul şi emitentul, precum şi codul numeric
personal) în conformitate cu prevederile Hotărârii
Guvernului nr. 744/2003 privind organizarea şi funcţionarea Ministerului
Comunicaţiilor şi
Tehnologiei Informaţiei, prevederile art. 30 lit. d)
din Regulamentul nr. 6 din 11 octombrie 2006 emis de Banca Naţională a României privind emiterea şi utilizarea
instrumentelorde plată electronică şi relaţiile dintre participanţii la
tranzacţiile cu aceste instrumente, publicatîn
Monitorul Oficial al României, Partea I, nr. 927 din
15 noiembrie 2006, şi prevederile Ordinului ministrului comunicaţiilor şi tehnologiei informaţiei
nr......................... din data de ......................, vă solicităm
eliberarea avizului pentru furnizarea instrumentului de plată cu acces la distanţă
..........................................., cu următoarele caracteristici
generale (scurtă descriere):
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
Sistemul funcţionează (va funcţiona) la sediul din .........................................................................................................................................................
Numele, prenumele şi ştampila solicitantului
Data
ANEXA Nr. 2
MINISTERUL COMUNICAŢIILOR Şl TEHNOLOGIEI INFORMAŢIEI
Având în vedere prevederile Hotărârii Guvernului nr.
744/2003 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Tehnologiei Informaţiei,
ale Regulamentului nr. 6 din 11 octombrie 2006 emis de
Banca Naţională a României privind emiterea şi utilizarea instrumentelorde
plată electronică şi relaţiile dintre participanţii la tranzacţiile cu aceste
instrumente, publicatîn Monitorul Oficial al României,
Partea I, nr. 927 din 15 noiembrie 2006,
şi ale Ordinului ministrului comunicaţiilor şi tehnologiei informaţiei
nr......................................................................, din
data de.......................................,
ministrul comunicaţiilor şi tehnologiei informaţiei
eliberează prezentul
AVIZ
.........................................................................,
având sediul în
...............................................................................................................................,
(adresa completă,
inclusiv telefon şi fax)înmatriculată/înregistrată
la oficiul registrului comerţului sub nr..............................., cod
fiscal................., având Autorizaţia de funcţionare nr............................................,
eliberată de Banca Naţională a României, reprezentat(ă) legal
prin.......................................................................................,
(numele
şi prenumele) a
obţinut avizul pentru furnizarea instrumentului de plată cu acces la distanţă ................................... cu
următoarele caracteristici generale:
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
........................................................................................................................................................................ .........................................................
Sistemul funcţionează (va funcţiona) la sediul din
.........................................................................................................................................................
Observatii:
Prezentul aviz s-a eliberat în
vederea obţinerii/menţinerii autorizaţiei pentru emiterea instrumentului de
plată cu acces la distanţă din partea Băncii Naţionale a României şi este
valabil până la....................
Ministrul comunicaţiilor şi tehnologiei informaţiei,
........................................................................
Nr............................
Data.........................
ANEXA Nr. 3
Banca: ...........................
Instrumentul
|
Numărul de utilizatori
|
Numărul de tranzactii
- lei -
|
Numărul de
tranzacţii
- valută -
|
Valoarea
tranzactiilor
- lei -
|
Valoarea tranzacţiilor în valută
(echivalent euro)
|
Perioada
de raportare
|
|
|
|
|
|
|
Trim......
|
|
|
|
|
|
|
|