ORDIN Nr. 488
din 15 iunie 2009
privind procedura de
verificare si omologare a sistemelor informatice destinate operatiunilor de
emitere a facturilor în forma electronica, precum si normele de performanta si
securitate cu privire la sistemele informatice utilizate de persoanele care
emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale în forma
electronica
ACT EMIS DE:
MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI INFORMATIEI
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 487 din 14 iulie 2009
In temeiul prevederilor art. 4 alin. (1) pct. 59 şi ale
art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi
funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu
modificările şi completările ulterioare, precum şi ale art. 26 şi ale art. 30
alin. (1) din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale
prin mijloace electronice,
ministrul comunicaţiilor şi societăţii
informaţionale emite prezentul ordin.
Art. 1. - Prezentul ordin stabileşte procedura de
verificare şi omologare de către Ministerul Comunicaţiilor şi Societăţii
Informaţionale, denumit în continuare MCSI, a sistemelor informatice
destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi
normele de performanţă şi securitate cu privire la sistemele informatice
utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi
bonuri fiscale în formă electronică.
Art. 2. -In înţelesul prezentului ordin, următorii
termeni se definesc astfel:
a) emitent al facturii în formă electronică -
persoana fizică sau juridică ce emite facturi în formă electronică, în nume
propriu ori în numele unor terţi;
b) sistem informatic - dispozitivul ori
ansamblul de dispozitive interconectate sau aflate în relaţie funcţională,
dintre care unul sau mai multe asigură prelucrarea automată a datelor cu
ajutorul unui program informatic şi care este destinat operaţiunilor de emitere
a facturilor în formă electronică;
c) omologare - procesul de evaluare a sistemului
informatic, care are ca rezultat emiterea de către ministrul comunicaţiilor şi
societăţii informaţionale a ordinului de omologare;
d) ordin de omologare - ordinul emis de
ministrul comunicaţiilor şi societăţii informaţionale care atestă conformitatea
sistemului informatic cu normele de securizare a informaţiei prelucrate sau
arhivate, precum şi cu prevederile Legii nr. 260/2007 privind înregistrarea
operaţiunilor comerciale prin mijloace electronice;
e) plan de securitate a sistemului informatic -
documentul ce descrie totalitatea măsurilor tehnice şi administrative care sunt
aplicate sistemului informatic de către emitentul facturii în formă electronică
în vederea oferirii serviciului în condiţii de siguranţă.
Art. 3. - Emitentul facturii în formă electronică are
obligaţia să folosească un sistem informatic omologat de MCSI. In acest sens,
acesta va înainta MCSI o cerere scrisă prin care va solicita începerea
procedurii de omologare a sistemului informatic. Forma şi conţinutul cererii
sunt prevăzute în anexa nr. 1.
Art. 4. - (1) Emitentul facturii în formă electronică
care solicită omologarea sistemului informatic are obligaţia să transmită MCSI
următoarele documente, redactate în limba română:
a) cererea prevăzută la art. 3;
b) raportul de audit întocmit în condiţiile art. 5;
c) descrierea funcţională a sistemului informatic;
d) planul de securitate a sistemului informatic;
e) certificări privind securitatea sistemului
informatic, acolo unde acestea există;
f) declaraţia pe propria răspundere a auditorului,
prin care este exprimată independenţa sa faţă de emitentul facturii în formă
electronică şi producătorul sistemului informatic auditat;
g) dacă este cazul, descrierea echipamentelor necesare
realizării procesului de conversie, în situaţia în care emitentul de drept al
facturii în formă electronică are un contract valabil încheiat în baza căruia
beneficiază de servicii de conversie a facturilor emise pe suport hârtie în
facturi în formă electronică;
h) dovada achitării tarifului de omologare prevăzut la
art. 12.
(2) Pe parcursul procedurii de omologare, MCSI poate
solicita completarea documentaţiei, acolo unde este necesar. In acest caz,
cererea prevăzută la art. 3 este considerată realizată la data transmiterii
către MCSI a documentelor solicitate.
(3) Documentele prevăzute la alin. (1) şi (2) se
transmit la sediul MCSI în limba română în unul dintre următoarele moduri:
a) prin depunere, personal sau de către reprezentantul
legal al solicitantului, sub luare de număr de înregistrare de la registratura
MCSI;
b) printr-un serviciu poştal;
c) ca înscris în formă electronică, căruia i s-a
încorporat, ataşat sau i s-a asociat logic o semnătură electronică extinsă,
bazată pe un certificat calificat nesuspendat ori nerevocat la momentul
respectiv şi generată cu ajutorul unui dispozitiv securizat de creare a
semnăturii electronice.
(4) Este considerată dată a transmiterii, după caz,
data înregistrării în registrul general de intrare-ieşire a corespondenţei al
MCSI, data confirmării primirii documentelor la sediul MCSI printr-un serviciu
poştal cu confirmare de primire sau data confirmării primirii înscrisului în
formă electronică.
Art. 5. - (1) Auditul este realizat de către un auditor
independent faţă de emitentul facturii în formă electronică şi faţă de
producătorul sistemului informatic a cărui omologare se solicită.
(2) Condiţiile care trebuie îndeplinite de către
auditori, obiectivele auditului, conţinutul minimal al raportului de audit şi
setul minimal de teste care sunt aplicate sistemului informatic în cursul
procesului de audit sunt prevăzute în anexa nr. 2.
(3) Raportul de audit poate fi realizat de o persoană
fizică sau juridică, certificată ca auditor de sisteme informatice.
(4) In cazul în care sistemul informatic este situat în
alt stat, auditarea acestuia se va face prin una dintre următoarele metode:
a) auditorul auditează în mod nemijlocit sistemul
informatic din străinătate;
b) auditorul îşi bazează raportul de audit pe
certificări similare emise sau pe teste efectuate în statul în care se află
sistemul informatic şi care au un grad de asigurare corespunzător, acoperind
obiectivele şi ariile de control prevăzute în anexa nr. 2.
Art. 6. - (1) Ordinul de omologare este emis în termen
de 30 de zile de la data transmiterii documentaţiei în condiţiile art. 4 alin.
(1) sau (2), în urma verificării conformităţii sistemului informatic cu
cerinţele stabilite în anexa nr. 2 alin. (2). Forma şi conţinutul ordinului de
omologare sunt prevăzute în anexa nr. 3.
(2) Ordinul de omologare este valabil pe o perioadă de
un an, procedura de reînnoire fiind similară cu cea de emitere.
(3) Pe întreaga perioadă de valabilitate a ordinului de
omologare, MCSI are dreptul de a efectua verificări ale sistemului informatic
omologat.
Art. 7. - (1) Emitentul facturii în formă electronică
este obligat să notifice MCSI orice modificare a sistemului informatic care
afectează documentaţia prezentată în conformitate cu art. 4 alin. (1) lit. c),
d) şi g), în condiţiile prevăzute la art. 14 alin. (1) din Legea nr. 260/2007.
(2) MCSI avizează modificările aduse în maximum 30 de
zile de la data transmiterii notificării, în condiţiile art. 4 alin. (4).
(3) In cazul în care MCSI consideră că modificările
aduse sistemului informatic afectează performanţele acestuia în ceea ce
priveşte cerinţele stabilite în anexa nr. 2 alin. (2), va solicita emitentului
facturii în formă electronică declanşarea procedurii de reînnoire a omologării.
Art. 8. - MCSI are obligaţia de a păstra
confidenţialitatea tuturor informaţiilor primite de la emitentul facturii în
formă electronică care solicită omologarea sistemului informatic.
Art. 9. - (1) Emitentul facturii în formă electronică
poate utiliza propria autoritate de marcare temporală, implementată în cadrul
organizaţiei sale, dacă îndeplineşte următoarele condiţii:
a) foloseşte o bază de timp sincronizată cu Furnizorul
unic de bază de timp, desemnat în conformitate cu Legea nr. 451/2004 privind
marca temporală;
b) îndeplineşte condiţiile stabilite de Legea nr.
451/2004, cu excepţia celor referitoare exclusiv la furnizarea de servicii de
marcare temporală pentru terţi.
(2) Indeplinirea condiţiilor prevăzute la alin. (1) se
atestă prin raportul de audit.
Art. 10. - Persoanele care emit, transmit sau arhivează
facturi în formă electronică pot externaliza aceste servicii în temeiul unui
contract valabil încheiat cu un furnizor de servicii de facturare electronică,
cu respectarea condiţiilor prevăzute la art. 13 din Legea nr. 260/2007.
Art. 11. - (1) MCSI poate retrage omologarea, în
următoarele situaţii:
a) în cazul în care, în urma verificărilor efectuate în
condiţiile art. 29 alin. (2) din Legea nr. 260/2007, constată neîndeplinirea de
către emitentul facturii în formă electronică a obligaţiei de notificare a
modificărilor efectuate asupra sistemului informatic;
b) în cazul în care, în urma verificărilor efectuate
în conformitate cu art. 6 alin. (3), constată faptul că sistemul informatic nu
mai îndeplineşte normele de performanţă şi securitate prevăzute în anexa nr. 4.
(2) In cazul în care constată una dintre situaţiile
prevăzute la alin. (1), MCSI va comunica emitentului facturii în formă
electronică deficienţele constatate, acordându-i un termen de 30 de zile pentru
remedierea acestora.
(3) Dacă deficienţele constatate în condiţiile alin.
(1) nu sunt remediate în termenul prevăzut la alin. (2), MCSI va retrage
omologarea, prin emiterea unui ordin.
Art. 12. - (1) Cuantumul tarifului prevăzut la art. 26
alin. (5) din Legea nr. 260/2007 este de 9.000 lei.
(2) Termenul de plată a tarifului prevăzut la alin.
(1) este anterior transmiterii documentelor prevăzute la art. 4 alin. (1) către
MCSI.
(3) Plata tarifului de omologare se poate face:
a) prin decontare bancară, în contul MCSI;
b) în numerar, la casieria MCSI, cu respectarea
plafonului zilnic stabilit prin Ordonanţa Guvernului nr. 15/1996 privind
întărirea disciplinei financiar-valutare, aprobată cu modificări şi completări
prin Legea nr. 131/1996, cu modificările ulterioare.
(4) In vederea îndeplinirii de către emitentul facturii
în formă electronică care solicită omologarea sistemului informatic, în
condiţiile prezentei decizii, a obligaţiei prevăzute la art. 4 alin. (1) lit.
h), Direcţia economică, resurse umane şi administrativă din cadrul MCSI, prin
serviciul de specialitate, emite o factură fără taxă pe valoarea adăugată, după
încasarea cuantumului tarifului de omologare. Factura emisă de MCSI va conţine
menţiunea expresă: „Factura a fost achitată cu O.P/Chitanţa nr.
.../.......".
Art. 13. - Normele de performanţă şi securitate pe care
trebuie să le îndeplinească sistemele informatice utilizate de persoanele care
emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă
electronică sunt prevăzute în anexa nr. 4.
Art. 14. -Anexele nr. 1-4 fac parte integrantă din
prezentul ordin.
Art. 15. - (1) La data intrării în vigoarea prezentului
ordin se abrogă Decizia preşedintelui Autorităţii Naţionale pentru Comunicaţii
nr. 888/2008 privind procedura de verificare şi omologare a sistemelor
informatice destinate operaţiunilor de emitere a facturilor în formă
electronică, precum şi normele de performanţă şi securitate cu privire la
sistemele informatice utilizate de persoanele care emit, transmit sau arhivează
facturi, chitanţe şi bonuri fiscale în formă electronică, publicată în
Monitorul Oficial al României, Partea I, nr. 699 din 14 octombrie 2008.
(2) Prezentul ordin se publică în Monitorul Oficial al
României, Partea I.
Ministrul comunicaţiilor şi societăţii informaţionale,
Gabriel Sandu
ANEXA Nr. 1
CERERE
de omologare a sistemului informatic
Nr.*).........................................
Data........................................
Către
Ministerul Comunicaţiilor şi Societăţii Informaţionale
|
Loc rezervat MCSI
|
Denumire/Nume şi prenume:
|
Statut:
|
|_| persoană juridică
|
|_| persoană fizică
|
Sediu/Domiciliu:
|
Str.:
|
nr.
|
bl.
|
sc.
|
ap.
|
Localitate:
|
Cod poştal:
|
Judeţul/Sectorul:
|
Telefon:
|
Fax:
|
E-mail:
|
Pagină de internet:
|
Domiciliul fiscal:
|
Str.:
|
nr.
|
bl.
|
sc.
|
ap.
|
Localitate:
|
Cod poştal:
|
|
|
|
Judeţul/Sectorul:
|
Telefon:
|
Fax:
|
Cod de identificare fiscală/Cod unic de înregistrare (pentru
persoane juridice):
|
|
CNP (pentru persoane fizice):
|
|
Cont:
|
Banca:
|
Reprezentant legal:
|
Nume:
|
Funcţie:
|
Telefon:
|
Fax:
|
E-mail:
|
Persoană de contact:
|
Nume:
|
Funcţie:
|
Telefon:
|
Fax:
|
E-mail:
|
|
|
|
|
|
|
|
Solicit eliberarea/reînnoirea Ordinului de omologare a
sistemului informatic destinat operaţiunilor de emitere a facturilor în formă
electronică.
Ataşez prezentei cereri următoarele documente:
|_| raportul de audit;
|_| descrierea funcţională a sistemului informatic;
|_| planul de securitate a sistemului informatic;
|_| certificări din punctul de vedere al securităţii
sistemului informatic;
|_| declaraţia pe propria răspundere a auditorului,
prin care este exprimată independenţa sa faţă de subsemnatul şi de producătorul
sistemului informatic auditat;
|_| dacă este cazul, descrierea echipamentelor necesare
realizării procesului de conversie, în situaţia în care emitentul de drept al
facturii în formă electronică are un contract valabil încheiat în baza căruia
beneficiază de servicii de conversie a facturilor emise pe suport hârtie în
facturi în formă electronică;
|_| dovada achitării tarifului de omologare.
Semnătura reprezentantului legal şi ştampila
solicitantului..................................................
*) Numărul de ieşire din registrul de intrări-ieşiri al
solicitantului şi data de înregistrare.
ANEXA Nr. 2
CONDIŢII
privind auditorii, obiectivele auditului, conţinutul
minimal al raportului de audit şi setul minimal de teste care sunt aplicate
sistemului informatic în cursul procesului de audit
(1) Condiţii privind auditorii sistemelor
informatice
Persoana fizică sau angajatul persoanei juridice care
realizează auditul trebuie să fie certificată/certificat ca auditor de sisteme
informatice de către un organism general recunoscut în domeniu (ISACA-Asociaţia
de Audit şi Control al Sistemelor Informatice/Information Systems Audit and
Control Association).
Auditorul trebuie să fie un terţ, care nu are raporturi
de muncă cu persoana fizică sau juridică auditată, nu are interese financiare
în legătură cu aceasta şi nu a fost implicat în ultimii 3 ani în proiecte de
consultanţă care au ori au avut efect asupra sistemului auditat.
(2) Obiectivele auditului
Scopul auditului îl constituie evaluarea sistemului
informatic destinat operaţiunilor de emitere a facturilor în formă electronică,
precum şi evaluarea măsurilor organizatorice implementate în vederea operării
sistemului informatic de către emitentul de facturi în formă electronică, în
ceea ce priveşte îndeplinirea următoarelor cerinţe:
1. sistemul informatic permite emiterea facturilor
respectând formatul şi conţinutul stabilite de actele normative speciale;
2. sistemul informatic permite emiterea facturilor
conţinând semnătura electronică a emitentului facturii şi marca temporală care
certifică momentul emiterii, în condiţiile anexei nr. 4 la ordin;
3. sunt respectate următoarele principii privind
securitatea operaţiunii de emitere a facturilor în formă electronică:
a) confidenţialitatea şi integritatea datelor folosite
în procesul de emitere a facturilor în formă electronică;
b) protecţia datelor cu caracter personal, inclusiv
respectarea condiţiilor legale referitoare la prelucrarea datelor cu caracter
personal;
c) continuitatea serviciului de facturare oferit
clienţilor;
d) controlul accesului la sistemul de facturare
electronică.
(3) Conţinutul
minimal al raportului de audit
1. Introducere
1.1. elementele de identificare a auditorului,
inclusiv prezentarea dovezii îndeplinirii condiţiilor de la alin. (1);
1.2. perioada în care a fost efectuat auditul;
1.3. echipa de audit (pentru fiecare persoană se va
preciza poziţia în cadrul echipei de audit, calificări, certificări,
anexându-se documentele doveditoare).
2. Metodologia
utilizată
2.1. standardele pe baza cărora s-a desfăşurat procesul
de audit;
2.2. planul de audit folosit;
2.3. descrierea metodelor prin care sunt evaluate
obiectivele de audit.
3. Descrierea
sistemului auditat
3.1. descrierea entităţii auditate, cu prezentarea
generală a sistemului informatic destinat operaţiunilor de emitere a facturilor
în formă electronică (inclusiv a aplicaţiilor software utilizate) şi a
sistemelor informatice cu care acesta se află în relaţie de interdependenţă
(prin relaţie de interdependenţă înţelegându-se faptul că respectivele
sisteme nu îşi pot îndeplini în mod separat funcţiile); se vor descrie
componentele sistemului informatic utilizat în procesul de facturare:
aplicaţie/server/ sistem de operare/detalii configurare/locaţie/administrare;
3.2. analiza riscurilor implicate de activitatea de
facturare şi a posibilelor vulnerabilităţi ale sistemului informatic auditat
faţă de aceste riscuri;
3.3. identificarea interdependenţelor sistemului de
facturare cu celelalte sisteme informatice ale entităţii audiate, precum şi
cu sisteme informatice aparţinând terţilor, cu precizarea vulnerabilităţilor
determinate de aceste interdependenţe. In cazul existenţei unui sistem
informatic integrat, care asigură şi alte procese ale entităţii auditate, se va
determina întinderea părţii din sistemul informatic integrat care implică
riscuri de securitate în ceea ce priveşte activitatea de emitere a facturilor
în formă electronică;
3.4. descrierea fluxului datelor care sunt folosite la
întocmirea facturii electronice, cu identificarea momentului intrării acestor
date în sistemul informatic destinat operaţiunilor de emitere a facturilor în
formă electronică. Se vor identifica aplicaţiile utilizate şi persoanele
implicate: activitate/date de intrare/date de ieşire/responsabil/aplicaţie.
4. Evaluarea
sistemului informatic destinat operaţiunilor de emitere a facturilor în formă
electronică în raport cu obiectivele urmărite de audit
4.1. analiza fiecărei ameninţări de securitate şi a
tipului de răspuns necesar în ceea ce priveşte următoarele componente:
a) echipamentele hardware (inclusiv în ceea ce priveşte
accesul persoanelor autorizate/neautorizate la acestea);
b) aplicaţiile software rulate de către sistemul
informatic;
c) măsurile organizatorice: politicile aplicate şi
procedurile folosite, inclusiv politica de personal;
4.2. testele efectuate în conformitate cu alin. (3),
inclusiv constatările şi recomandările aferente;
4.3. prezentarea măsurilor luate de entitatea auditată
pentru minimizarea vulnerabilităţilor sistemului informatic, măsuri care pot
afecta procesul de emitere a facturilor în formă electronică.
5. Opinia de audit
5.1. datele de identificare a persoanei fizice sau
juridice care are responsabilitatea juridică asupra auditului;
5.2. numele auditorului care semnează opinia şi data
semnării;
5.3. afirmaţia de conformare a emitentului de facturi
în formă electronică cu obiectivele auditate (opinie pozitivă), de conformare
parţială cu obiectivele auditate, indicând punctele care trebuie îmbunătăţite
(opinie cu rezerve/calificată), sau de neîndeplinire a obiectivelor auditate
(opinie negativă).
(4) Arii minime de
control în cadrul procesului de audit 1. Indeplinirea cerinţelor legale
referitoare la conţinutul facturii, semnătura electronică şi marca temporală
1.1. sistemul permite respectarea cerinţelor
legale referitoare la forma şi conţinutul facturilor emise;
1.2. certificatul calificat aferent semnăturii
electronice a emitentului facturii în formă electronică conţine informaţii
privind identificatorul fiscal şi numărul notificării înregistrate la
Ministerul Finanţelor Publice;
1.3. certificatul calificat aferent semnăturii
electronice a persoanelor care prestează servicii de emitere a facturilor în
formă electronică pentru terţi conţine informaţii privind calitatea de furnizor
de servicii şi datele sale de identificare;
1.4. emitentul ţine evidenţa facturilor electronice
emise într-un registru electronic de evidenţă a facturilor în formă
electronică, operarea în acest registru realizându-se conform regulilor de
operare a registrelor similare pe suport hârtie, completate cu normele metodologice
emise de Ministerul Finanţelor Publice;
1.5. semnătura electronică extinsă ataşată facturii în
formă electronică este generată folosind dispozitive securizate de creare a
semnăturii electronice;
1.6. marca temporală ataşată facturii în formă
electronică este generată respectând prevederile Legii nr. 451/2004 privind
marca temporală;
1.7. accesul la dispozitivul de semnare este controlat.
2. Conversia
facturilor emise iniţial pe suport hârtie (acolo unde este cazul)
2.1. sistemul informatic folosit pentru conversia
facturilor emise iniţial pe suport hârtie permite reproducerea informaţiilor
conţinute de factura emisă iniţial pe suport hârtie cu un grad înalt de
precizie;
2.2. procedurile implementate asigură corectarea
manuală a informaţiilor reproduse;
2.3. sistemul informatic folosit pentru conversia
facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigură
înscrierea precizării: „prezenta factură este conformă cu originalul emis
iniţial pe suport hârtie având seria.........nr....., din data de..., emisă
de...";
2.4. sistemul informatic folosit pentru conversia
facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigură
ataşarea semnăturii electronice a furnizorului de servicii de facturare
electronică, precum şi a mărcii temporale certificând momentul conversiei atât
în cazul facturilor individuale, cât şi în cazul în care conversia se face
pentru un pachet sau lot de facturi.
3. Securitate
3.1. accesul la aplicaţia de facturare este
restricţionat prin mecanisme de autentificare;
3.2. aplicaţia de facturare menţine un jurnal de acces
şi operare;
3.3. accesul utilizatorilor la date nu este permis
decât prin intermediul aplicaţiei;
3.4. parolele de acces ale utilizatorilor sunt stocate
în formă criptată;
3.5. modul de utilizare a aplicaţiei este descris
într-un manual;
3.6. sunt aplicate măsurile de securizare specifice
sistemului de operare;
3.7. maşina pe care rulează aplicaţia este amplasată
într-o incintă securizată;
3.8. actualizările de aplicaţie sau de sistem de
operare sunt aplicate numai după o testare prealabilă;
3.9. Testele efectuate înainte de utilizarea
aplicaţiei şi de aplicarea eventualelor actualizări sunt documentate;
3.10. Programul de interfaţă cu sistemul contabil
menţine un jurnal de transfer;
3.11. Modul de funcţionare a interfeţei cu sistemul
contabil este documentat.
4. Măsuri
organizatorice
4.1. Personalul este instruit în aspecte generale
privind securitatea informaţiei, inclusiv protecţia la atacuri de tipul
ingineriei sociale;
4.2. Există o procedură de identificare şi raportare
a incidentelor de securitate;
4.3. Jurnalele de acces şi operare ale aplicaţiei sunt
verificate periodic;
4.4. Există clauze de confidenţialitate semnate cu
furnizorii şi angajaţii;
4.5. Echipamentele sunt asigurate prin contracte de
garanţie şi reparaţii;
4.6. Există suport pentru aplicaţie acordat de
furnizor;
4.7. Conturile de acces sunt individuale şi revizuite
periodic;
4.8. Parola de utilizare a conturilor de acces este
confidenţială;
4.9. Configuraţia aplicaţiei şi a serverului pe care
rulează este documentată.
ANEXA Nr. 3
ORDIN
de omologare a sistemului informatic
In baza Referatului de aprobare al Direcţiei1................,
înregistrat la Ministerul Comunicaţiilor şi Societăţii Informaţionale sub
nr.........................../...............................,
având în vedere prevederile art. 26 din Legea nr.
260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice
şi ale Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr.
488/2009 privind procedura de verificare şi omologare a sistemelor informatice
destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi
normele de performanţă şi securitate cu privire la sistemele informatice
utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi
bonuri fiscale în formă electronică,
în temeiul art. 4 alin. (1) pct. 59 şi al art. 6 alin.
(6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea
Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi
completările ulterioare,
ministrul comunicaţiilor si societăţii
informaţionale emite prezentul ordin.
Art. 1. - In urma îndeplinirii procedurii de omologare
a sistemului informatic destinat operaţiunilor de emitere a facturilor în
formă electronică aparţinând .......................................
(denumirea solicitantului), Ministerul Comunicaţiilor şi Societăţii Informaţionale
atestă faptul că acest sistem îndeplineşte cerinţele Legii nr. 260/2007 privind
înregistrarea operaţiunilor comerciale prin mijloace electronice şi ale
Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 488/2009
privind procedura de verificare şi omologare a sistemelor informatice destinate
operaţiunilor de emitere a facturilor în formă electronică, precum şi normele
de performanţă şi securitate cu privire la sistemele informatice utilizate de
persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri
fiscale în formă electronică.
Art. 2. - Prezentul ordin se comunică
......................... (denumirea solicitantului).
1 Se va menţiona
denumirea direcţiei de specialitate din cadrul Ministerului Comunicaţiilor şi
Societăţii Informaţionale care îndeplineşte atribuţiile de punere în aplicare a
Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace
electronice.
ANEXA Nr. 4
NORME DE PERFORMANŢĂ Şl SECURITATE
cu privire la sistemele informatice utilizate de
persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri
fiscale în formă electronică
I. Utilizarea unor sisteme informatice sigure joacă un
rol esenţial în procesul de înregistrare a operaţiunilor comerciale prin
mijloace electronice, reprezentând elementul-cheie pentru asigurarea unor
servicii care să respecte principiile cerute de lege: garantarea
autenticităţii, a originii şi a integrităţii conţinutului.
Prezentul document stabileşte normele minimale de performanţă
şi securitate care trebuie îndeplinite de către sistemele informatice utilizate
de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri
fiscale în formă electronică, cărora le sunt aplicabile prevederile Legii nr.
260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace
electronice. Normele de performanţă şi securitate sunt aplicabile proceselor de
emitere, transmitere şi arhivare a facturilor, chitanţelor şi bonurilor fiscale
realizate prin intermediul sistemelor informatice, completându-se cu celelalte
acte normative în vigoare.
Capacitatea sistemelor informatice de a emite facturi
în formă electronică respectând aceste principii, precum şi conformitatea
acestora cu prevederile legale vor fi garantate în urma unui proces de
omologare, finalizat prin emiterea unei decizii de omologare a sistemului
informatic. In cursul procedurii de omologare se va verifica respectarea
condiţiilor minimale de performanţă şi securitate corespunzătoare procesului de
emitere a facturilor în formă electronică (cap. III pct. 1 din prezentele
norme).
In continuare, prin documente contabile electronice se
înţelege facturi, chitanţe şi bonuri fiscale în formă electronică, astfel cum
acestea sunt definite la art. 4 din Legea nr. 260/2007.
II. Sistemul informatic utilizat de persoanele care
emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă
electronică va trebui să îndeplinească următoarele cerinţe minime de
securitate, referitoare la:
a) confidenţialitatea şi integritatea comunicaţiilor;
b) confidenţialitatea şi integritatea datelor;
c) autenticitatea părţilor;
d) protecţia datelor cu caracter personal;
e) continuitatea serviciilor oferite clienţilor;
f) împiedicarea, detectarea şi monitorizarea
accesului neautorizat în sistem;
g) restaurarea informaţiilor gestionate de sistem în
cazul unor calamităţi naturale şi evenimente imprevizibile;
h) gestionarea şi administrarea sistemului informatic;
i) orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în
siguranţă a sistemului.
III. Sistemul informatic utilizat de persoanele care
emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă
electronică trebuie să asigure respectarea cerinţelor legale stabilite prin
actele normative speciale pentru fiecare dintre cele 3 procese ale activităţii
de înregistrare a operaţiunilor comerciale prin mijloace electronice:
1. procesul de emitere a documentelor contabile
electronice:
a) procesul de generare a documentelor contabile
electronice;
b) procesul de generare a semnăturii electronice şi a
mărcii temporale pentru documentele contabile electronice;
c) procesul de conversie a documentelor contabile
electronice - acolo unde este cazul;
2. procesul de transmitere a documentelor contabile
electronice;
3. procesul de arhivare a documentelor contabile
electronice.
1. Procesul de emitere a documentelor
contabile electronice
a) Procesul de generare a documentelor contabile
electronice
Sistemul informatic utilizat va trebui să permită respectarea
conţinutului documentelor contabile electronice stabilit prin acte normative
speciale şi includerea în documentele contabile electronice a informaţiilor
stabilite prin aceste acte normative.
Sistemul informatic trebuie să permită emiterea documentelor
contabile electronice într-un format static, fără posibilitatea de modificare a
documentului respectiv.
b) Procesul de generare a semnăturii electronice şi a
mărcii temporale pentru documentele contabile electronice
Generarea semnăturii electronice şi aplicarea mărcii
temporale pentru documentele contabile electronice trebuie să fie făcute în mod
automat. Sistemul informatic nu trebuie să permită emiterea documentului
contabil electronic în absenţa acestor două elemente.
Semnătura electronică extinsă ataşată documentului
contabil electronic trebuie generată folosindu-se dispozitive securizate de
creare a semnăturii electronice, astfel cum sunt definite la art. 4 pct. 8 din
Legea nr. 455/2001 privind semnătura electronică, şi să se bazeze pe un certificat
calificat emis în condiţiile Legii nr. 455/2001 de către un furnizor acreditat.
Certificatul va fi emis special în scopul desfăşurării
activităţii de înregistrare a operaţiunilor comerciale prin mijloace
electronice şi va conţine atributele specifice ale semnatarului prevăzute la
art. 9 alin. (2) din Legea nr. 260/2007, alături de celelalte informaţii
prevăzute în Legea nr. 455/2001.
Furnizorii de servicii de facturare electronică care
emit facturi în formă electronică în numele unor terţi, în condiţiile art. 17
din Legea nr. 260/2007, vor folosi propriul certificat aferent semnăturii
electronice aplicate facturilor. Certificatul va trebui să indice informaţiile
prevăzute la art. 17 alin. (2) din Legea nr. 260/2007. Furnizorii de servicii
pot folosi acelaşi certificat pentru emiterea de documente contabile
electronice în numele mai multor terţi.
Sistemul informatic trebuie să fie capabil să realizeze
marcarea temporală a documentelor contabile electronice. Procesul de marcare
temporală trebuie să fie conform cu cerinţele Legii nr. 451/2004 privind marca
temporală.
c) Procesul de conversie a documentelor contabile
electronice
Procesul de conversie a documentelor contabile
electronice reprezintă reproducerea în formă electronică de către un furnizor
de servicii de facturare electronică a informaţiilor conţinute în factura emisă
pe suport hârtie.
Furnizorii de servicii de facturare electronică care
prestează şi servicii de conversie în formă electronică a facturilor emise pe
suport hârtie, în condiţiile art. 18 din Legea nr. 260/2007, trebuie să
folosească sisteme informatice care să permită reproducerea informaţiilor
conţinute de factura emisă iniţial pe suport hârtie cu un grad înalt de
precizie. Erorile apărute trebuie corectate prin verificarea manuală a
corectitudinii informaţiilor reproduse. In cazul reproducerii prin scanare,
informaţiile conţinute în factura emisă iniţial pe suport hârtie trebuie să fie
lizibile.
Factura în formă electronică rezultată în urma
conversiei din format material dobândeşte calitatea de document justificativ,
având acelaşi regim juridic ca şi factura originală din care s-a făcut
conversia.
Prevederile privind conversia în formă electronică a
facturilor emise iniţial pe suport hârtie sunt aplicabile şi documentelor aferente
tranzacţiilor înregistrate prin intermediul caselor de marcat.
2. Procesul de transmitere a documentelor contabile
electronice
Utilizarea semnăturii electronice şi a mărcii temporale
garantează integritatea documentelor contabile electronice, orice modificare
asupra conţinutului unui document determinând pierderea valabilităţii
semnăturii electronice şi, prin consecinţă, a documentului.
Modalitatea de transmitere a documentelor contabile
electronice este stabilită de comun acord de către emitentul şi beneficiarul
acestora. De asemenea, prin acordul părţilor se va stabili nivelul de
securitate care va fi utilizat. Astfel, emitentul şi beneficiarul documentelor
contabile electronice pot stabili prin acord transmiterea criptată a acestora
sau orice alte măsuri de securitate considerate necesare.
3. Procesul de arhivare a documentelor contabile
electronice
In procesul de arhivare a documentelor contabile
electronice se vor aplica dispoziţiile Legii nr. 135/2007 privind arhivarea
documentelor în formă electronică.
Autenticitatea şi integritatea conţinutului facturii în
formă electronică, precum şi asigurarea accesului la aceasta trebuie să fie
garantate pe toată durata legală de stocare a facturii.
Verificarea semnăturilor electronice ataşate
documentelor contabile electronice permite validarea faptului că aceste două
caracteristici - autenticitatea şi integritatea - sunt îndeplinite.
Sistemul informatic trebuie să permită arhivarea atât a
documentului contabil electronic, cât şi a tuturor datelor necesare verificării
semnăturii electronice şi mărcii temporale ataşate facturii, pe toată durata
legală de stocare a acesteia.
Asigurarea posibilităţii validării semnăturii
electronice şi a mărcii temporale folosite în procesul de emitere a
documentelor contabile electronice presupune ca, la data efectuării
verificării, să fie disponibile următoarele informaţii:
1. certificatul utilizat pentru semnarea documentului
contabil electronic şi pentru emiterea mărcii temporale;
2. lista certificatelor revocate;
3. algoritmii folosiţi în procesele criptografice.
Posibilitatea de verificare pe termen lung a
autenticităţii documentului contabil electronic (prin validarea semnăturii
electronice şi a mărcii temporale aplicate) se bazează pe următoarele 3
elemente:
1. determinarea momentului creării documentului;
2. determinarea faptului că momentul în care
certificatul pe care se bazează semnătura documentului a expirat sau a fost
revocat a fost ulterior momentului în care documentul a fost creat şi semnat;
3. păstrarea în condiţii de securitate a documentului,
mai ales în cazul în care, după data semnării, algoritmul sau cheia privată
folosită la semnare a fost compromis/compromisă.
Sistemul informatic trebuie să permită păstrarea
informaţiilor din care este constituit documentul contabil electronic fără
niciun fel de alterare pe toată această perioadă. Emitentul documentului
contabil electronic poate decide asupra oricărui mediu de stocare a facturilor
care să garanteze respectarea condiţiilor de mai sus. Este recomandabilă folosirea
unor dispozitive de stocare permanentă care să nu permită ştergerea, rescrierea
sau modificarea datelor.
Arhivarea trebuie realizată cu ajutorul unor
echipamente informatice adecvate şi în amplasamente având facilităţi speciale
care asigură securitatea şi accesibilitatea informaţiilor arhivate. Se vor
asigura operaţiuni de back-up periodic al informaţiilor stocate. Este necesară
asigurarea securităţii informaţiilor stocate în ceea ce priveşte atât accesul
fizic la echipamentele folosite, cât şi accesul de la distanţă, evitându-se
apariţia breşelor de securitate.
IV. Standarde recomandate
- ETSI TS 101 903, XML Advanced Electronic Signatures
(XAdES);
- ETSI TS 101 733, Electronic Signatures and
Infrastructures (ESI); Electronic Signature Formats;
- ITU-T Recommendation X.509 (2001) | ISO/IEC 9594-8:
2001 - Information technology - Open Systems Interconnection - The Directory:
Public-key and attribute certificate frameworks;
- ITU-T Recommendation X.520 (2001) | ISO/IEC
9594-6:2001 - Information technology - Open Systems Interconnection -The
Directory: Selected attribute types;
- ITU-T Recommendation X.521 (2001) | ISO/IEC
9594-7:2001 - Information technology - Open Systems Interconnection -The
Directory: Selected object classes;
- ETSI TS 101 862: Qualified Certificates profile
V1.3.2 (2004-06);
- IETF RFC 3280 - Internet X.509 Public Key
Infrastructure Certificate and Certificate Revocation List.
Pentru a asigura cerinţa de interoperabilitate se
recomandă folosirea următoarelor formate pentru facturile electronice:
- formate compatibile cu limbajul de marcare XML
(Extensible Markup Language);
- PDF - Portable Document Format.