ORDIN Nr. 492
din 15 iunie 2009
privind normele tehnice si
metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporala
ACT EMIS DE:
MINISTERUL COMUNICATIILOR SI TEHNOLOGIEI INFORMATIEI
ACT PUBLICAT IN: MONITORUL
OFICIAL NR. 433 din 25 iunie 2009
In temeiul prevederilor art. 4 alin. (1) pct. 56 şi ale
art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi
funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu
modificările şi completările ulterioare, precum şi ale art. 9 alin. (3) şi ale
art. 14 din Legea nr. 451/2004 privind marca temporală,
ministrul comunicaţiilor şi societăţii
informaţionale emite prezentul ordin.
CAPITOLUL I
Dispoziţii generale
Art. 1. - (1) Prezentele norme tehnice şi metodologice
se aplică activităţii de marcare temporală şi stabilesc procedura de notificare
a Ministerului Comunicaţiilor şi Societăţii Informaţionale în vederea începerii
furnizării serviciilor de marcare temporală, procedurile de generare şi
verificare a mărcilor temporale, precum şi condiţiile de creare şi menţinere a
registrului electronic de evidenţă a furnizorilor de servicii de marcare
temporală.
(2) Orice persoană fizică sau juridică poate beneficia
de servicii de marcare temporală în condiţiile Legii nr. 451/2004 privind marca
temporală şi ale prezentului ordin.
Art. 2. -In înţelesul prezentului ordin, următorii
termeni se definesc astfel:
a) MCSI - Ministerul Comunicaţiilor şi
Societăţii Informaţionale;
b) serviciu de marcare temporală - serviciul
prin care unor date în formă electronică li se asociază, printr-un mecanism de
încredere, o marcă temporală;
c) furnizor de servicii de marcare temporală
(furnizor) - orice persoană, fizică sau juridică, care oferă servicii de
marcare temporală în conformitate cu prevederile Legii nr. 451/2004 şi ale
prezentului ordin;
d) utilizator- orice persoană, fizică sau
juridică, care, în baza unui contract încheiat cu un furnizor, beneficiază de
servicii de marcare temporală;
e) cheie privată - codul digital, cu caracter
de unicitate, generat printr-un dispozitiv hardware şi/sau software
specializat;
f) cheie publică - codul digital, pereche a
cheii private, necesar verificării mărcii temporale;
g) date de verificare a mărcii temporale -
datele în formă electronică, cum ar fi coduri sau chei publice, utilizate în
scopul verificării unei mărci temporale;
h) dispozitiv criptografic securizat - un
dispozitiv hardware cu un înalt grad de fiabilitate, protejat împotriva modificărilor
şi a utilizării neautorizate, care asigură un grad înalt de securitate a
operaţiilor criptografice în conformitate cu cerinţele Legii nr. 455/2001
privind semnătura electronică;
i) politica de marcare temporală - regulile şi
principiile generale aplicate de furnizor în procesul de emitere şi
administrare a mărcilor temporale;
j) funcţie hash-code - algoritmul aplicat asupra
unui document electronic, care creează o amprentă unică a acelui document;
k) SHA - algoritm securizat de hash-code (Secure
Hash Algorithm);
l) RFC - documentele care au fost supuse
analizei publice în cadrul unui proces coordonat de Grupul de lucru pentru
ingineria internetului;
m) extensie de tip critic pentru marcare temporală -
extensia unui certificat digital care trebuie procesată în mod obligatoriu de
aplicaţia care îl utilizează, limitând folosirea cheii private asociate
certificatului exclusiv la aplicarea semnăturii digitale din cadrul unei mărci
temporale.
CAPITOLUL II
Autoritatea de reglementare şi supraveghere
Art. 3. -In conformitate cu dispoziţiile art. 4 alin.
(1) pct. 56 din Hotărârea Guvernului nr. 12/2009 privind organizarea şi
funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu
modificările şi completările ulterioare, MCSI exercită atribuţiile care revin
autorităţii de reglementare şi supraveghere în domeniul marcării temporale.
Art. 4. - (1) In cadrul Registrului furnizorilor de
servicii de certificare prevăzut la art. 28 din Legea nr. 455/2001 MCSI va crea
o secţiune distinctă pentru înregistrarea furnizorilor de servicii de marcare
temporală.
(2) MCSI gestionează Registrul furnizorilor de
servicii de marcare temporală, denumit în continuare registru. Forma
acestui registru este prevăzută în anexa nr. 1, care face parte integrantă din
prezentul ordin.
(3) Actualizarea registrului se efectuează exclusiv de
către personalul MCSI desemnat în acest sens şi vizează toate modificările
privind activitatea furnizorului, precum şi alte informaţii relevante furnizate
de acesta.
Art. 5. - MCSI va face publice, spre consultare,
următoarele date din registru:
a) tipul furnizorului - persoană fizică sau juridică;
b) numele şi prenumele sau denumirea furnizorului,
după caz;
c) forma de organizare a furnizorului persoană juridică
- societate comercială, regie autonomă, instituţie publică, organizaţie
neguvernamentală;
d) domiciliul sau sediul - ţară, oraş, judeţ/sector,
stradă, număr, bloc, scară, etaj, apartament, cod poştal, telefon, fax, e-mail,
adresă în pagina web;
e) cetăţenia, pentru persoana fizică, sau
naţionalitatea, pentru persoana juridică;
f) data la care şi-a început activitatea de furnizare
de servicii de marcare temporală;
g) cheia publică a furnizorului;
h) descrierea politicii de marcare temporală a
furnizorului;
i) situaţia activităţii furnizorului - operaţională,
suspendată, încetată, în curs de transferare, în curs de remediere a unor
probleme identificate de MCSI, cu indicarea termenului-limită;
j) istoricul furnizorului - data de începere a
activităţii, perioade de suspendare, alte situaţii asemănătoare.
Art. 6. - (1) Informaţiile prevăzute la art. 5 sunt
disponibile public prin intermediul paginii de internet a MCSI.
(2) Pe pagina de internet a MCSI se vor publica şi
informaţii cu privire la Legea nr. 451/2004, prezentele norme tehnice şi
metodologice, informaţii generale cu privire la utilizarea mărcilor temporale,
informaţii actualizate din domeniul marcării temporale, trimiteri către
paginile de internet ale furnizorilor de servicii de marcare temporală.
Art. 7. - (1) MCSI are obligaţia de a păstra
confidenţialitatea tuturor informaţiilor primite de la furnizorul de servicii
de marcare temporală, cu excepţia celor prevăzute de Legea nr. 451/2004 şi de
prezentul ordin ca fiind publice.
(2) MCSI poate încheia un acord de confidenţialitate
asupra informaţiilor primite de la furnizorul de servicii de marcare temporală,
la cererea acestuia.
(3) Personalul cu atribuţii de control din cadrul MCSI
este obligat să păstreze confidenţialitatea datelor de care a luat cunoştinţă
cu ocazia exercitării atribuţiilor de control în ceea ce priveşte activitatea
furnizorilor de servicii de marcare temporală.
CAPITOLUL III
Furnizorii de servicii de marcare temporală
SECŢIUNEA 1
Dispoziţii comune
Art. 8. - (1) Cu 30 de zile înainte de începerea
activităţii, furnizorul de servicii de marcare temporală va notifica MCSI prin
completarea formularului prevăzut în anexa nr. 2, care face parte integrantă
din prezentul ordin.
(2) Odată cu efectuarea notificării prevăzute la alin.
(1) furnizorii au obligaţia de a comunica MCSI informaţiile şi documentele
prevăzute la art. 6 alin. (2) din Legea nr. 451/2004 şi în anexa nr. 2.
(3) In termen de 10 zile de la primirea notificării,
MCSI poate solicita completarea documentaţiei prezentate, în conformitate cu
alin. (2).
(4) Furnizorii au obligaţia de a comunica MCSI, cu cel
puţin 30 de zile în avans, orice intenţie de modificare a procedurilor de
securitate a sistemului informatic utilizat, cu precizarea datei şi a orei la
care modificarea intră în vigoare, precum şi obligaţia de a confirma, în termen
de 24 de ore, modificarea efectuată.
(5) In cazuri urgente în care securitatea serviciilor
de marcare temporală este afectată furnizorii pot efectua modificări ale
procedurilor de securitate, urmând să comunice MCSI, în termen de 24 de ore,
modificările efectuate şi justificarea deciziei luate.
(6) Furnizorii de servicii de marcare temporală sunt
obligaţi să respecte, pe parcursul desfăşurării activităţii, procedurile de
securitate şi de certificare declarate potrivit alin. (2)-(5). Aceştia vor
furniza servicii de marcare temporală în conformitate cu politica de marcare
temporală declarată.
Art. 9. - (1) Furnizorul este obligat să genereze sau
să achiziţioneze o pereche funcţională cheie privată - cheie publică şi să îşi
protejeze cheia privată prin utilizarea unui dispozitiv criptografic securizat,
luând măsurile necesare pentru a preveni pierderea, dezvăluirea, modificarea
sau utilizarea neautorizată a cheii sale private.
(2) Perechea funcţională prevăzută la alin. (1) va fi
folosită exclusiv în scopul aplicării semnăturii electronice asupra mărcilor
temporale emise.
(3) Cheia privată nu poate fi dedusă în niciun fel din
cheia sa publică pereche.
(4) Furnizorul de servicii de marcare temporală
trebuie să deţină certificatul corespunzător cheii publice, pe baza căruia se
va putea verifica semnătura asupra mărcii temporale.
(5) Certificatul utilizat pentru marcarea temporală va
fi transmis MCSI, în formă electronică, la data notificării începerii
activităţii.
Art. 10. - (1) Furnizorii de servicii de marcare
temporală au obligaţia să respecte dispoziţiile legale din domeniul prelucrării
datelor cu caracter personal.
(2) La data începerii activităţii de furnizare de servicii
de marcare temporală, furnizorul trebuie să deţină calitatea de operator de
date personale şi să depună la MCSI o copie de pe certificatul doveditor,
eliberat de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu
Caracter Personal.
Art. 11. - (1) Furnizorii de servicii de marcare
temporală au obligaţia de a crea şi de a menţine un registru electronic
operativ de evidenţă a mărcilor temporale.
(2) Registrul electronic operativ de evidenţă a
mărcilor temporale trebuie să conţină cel puţin următoarele informaţii:
a) toate mărcile temporale emise de către furnizorul
de servicii de marcare temporală, cuprinzând, pe lângă marca temporală
propriu-zisă, şi date referitoare la marca temporală şi la certificatul
utilizat;
b) înregistrări ale evenimentelor apărute în sistemul
informatic utilizat pentru generarea mărcilor temporale.
(3) Informaţiile prevăzute la alin. (2) lit. a)
trebuie să fie disponibile permanent pentru consultare pe pagina de internet a
furnizorului.
(4) Furnizorul de servicii de marcare temporală are
obligaţia de a transmite, la cerere, către MCSI informaţiile prevăzute la alin.
(2) lit. b).
(5) Structura şi condiţiile de exploatare ale
Registrului electronic operativ de evidenţă a mărcilor temporale sunt prevăzute
în anexa nr. 3, care face parte integrantă din prezentul ordin.
Art. 12. - (1) Furnizorii de servicii de marcare
temporală trebuie să aducă la cunoştinţa tuturor utilizatorilor termenii şi
condiţiile care privesc utilizarea serviciilor de marcare temporală, şi anume:
a) datele de contact ale furnizorului;
b) politica de marcare temporală aplicată;
c) standardele tehnice aplicabile;
d) precizia timpului din mărcile temporale;
e) orice limitări în folosirea serviciului de marcare
temporală;
f) obligaţiile utilizatorului;
g) informaţii despre cum trebuie verificată marca
temporală şi orice limitări posibile asupra perioadei de valabilitate;
h) descrierea practicilor, procedurilor şi sistemelor
care asigură securitatea şi integritatea datelor, accesul autorizat permanent
la acestea şi modalităţile de prevenire a accesului neautorizat (codul de
practici şi proceduri);
i) politica privind protecţia datelor cu caracter
personal;
j) perioada de timp în care sunt păstrate
înregistrările referitoare la evenimente ale furnizorului;
k) disponibilitatea serviciilor.
(2) Aceste informaţii trebuie să fie disponibile pe
pagina de internet a furnizorului de servicii de marcare temporală.
Art. 13. - (1) Furnizorul de servicii de marcare
temporală trebuie să îndeplinească următoarele condiţii:
a) să dispună de mijloace financiare şi de resurse
materiale, tehnice şi umane corespunzătoare pentru garantarea securităţii,
fiabilităţii şi continuităţii serviciilor oferite;
b) să dovedească MCSI că dispune de resursele
financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu
prilejul desfăşurării activităţii de marcare temporală şi că este capabil să
acopere pierderile suferite de către o persoană care îşi întemeiază conduita pe
efectele juridice ale mărcilor temporale, în condiţiile prevăzute la art. 10
din Legea nr. 451/2004, până la concurenţa echivalentului în lei al sumei de
10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare
prejudiciu produs, chiar dacă se produc mai multe asemenea prejudicii ca urmare
a neîndeplinirii de către furnizor a unei obligaţii prevăzute de lege.
Furnizorul va trebui să depună la MCSI o scrisoare de garanţie din partea unei
instituţii financiare de specialitate sau o poliţă de asigurare la o societate
de asigurări în favoarea MCSI, în valoare cel puţin egală cu echivalentul în
lei al sumei de 300.000 euro;
c) să folosească personal având cunoştinţe de
specialitate, experienţă şi calificare necesare pentru furnizarea serviciilor
respective;
d) să utilizeze numai dispozitive criptografice
securizate pentru efectuarea operaţiilor criptografice implicate în procesul
generării mărcii temporale;
e) să utilizeze un sistem informatic care să respecte
cerinţele de securitate prevăzute la art. 4 alin. (1) din Legea nr. 451/2004;
f) să păstreze toate informaţiile necesare pentru a
putea face dovada marcării temporale în cazul unui eventual litigiu
(înregistrări ale mărcilor temporale emise, documentaţia aferentă algoritmilor
şi procedurilor de generare a mărcilor temporale emise, alte documente) pentru
o perioadă de minimum 10 ani de la data emiterii.
(2) In vederea îndeplinirii obligaţiei prevăzute la
alin. (1) lit. e), furnizorul va publica documentaţia aferentă mecanismului
implementat în vederea îndeplinirii acestei obligaţii, iar o copie a
documentaţiei va fi transmisă MCSI.
Art. 14. - Orice persoană, fizică sau juridică, ce
doreşte să beneficieze de servicii de marcare temporală trebuie:
a) să furnizeze informaţiile referitoare la identitatea
sa;
b) să respecte limitările impuse de furnizorul de
servicii de marcare temporală.
SECŢIUNEA a 2-a
Mecanismul marcării temporale a documentelor
Art. 15. - (1) Marcarea temporală este realizată cu
respectarea următoarelor etape:
a) utilizatorul transmite furnizorului o cerere de
emitere a mărcii temporale pentru un anumit document electronic. Cererea va
conţine amprenta digitală a documentului pentru care se face cererea, amprentă
creată prin intermediul aplicării unei funcţii hash-code asupra documentului;
b) într-un interval de timp stabilit prin politica de
marcare temporală, furnizorul de servicii de marcare temporală execută
următoarele operaţiuni asupra amprentei digitale a documentului primit de la
utilizator, folosind un sistem informatic sigur, care îndeplineşte cerinţele de
securitate prevăzute la art. 4 din Legea nr. 451/2004:
1. aplică informaţia de timp, raportându-se la baza de
timp;
2. aplică celelalte date prevăzute de Legea nr.
451/2004 şi orice alte date prevăzute în politica sa de marcare temporală care
nu contravin prevederilor legale şi standardelor recunoscute în materie;
3. o semnează electronic utilizând un certificat
digital calificat;
c) în urma acestor operaţiuni rezultă marca temporală
care este transmisă utilizatorului.
(2) Autenticitatea mărcii temporale poate fi verificată
de către terţi pe baza documentului original, a mărcii temporale, a cheii
publice a furnizorului de servicii de marcare temporală şi a funcţiei hash-code
utilizate pentru crearea amprentei digitale a documentului.
Art. 16. - (1) Furnizorul de servicii de marcare
temporală trebuie să utilizeze informaţia de timp furnizată de furnizorul unic
de bază de timp.
(2) Furnizorul unic de bază de timp este Sistemul
informatic pentru furnizarea orei oficiale a României, realizat de MCSI.
(3) Sursa de timp folosită de către furnizorul de
servicii de marcare temporală trebuie să fie sincronizată cu referinţa de timp
oferită de furnizorul unic de bază de timp, abaterea maximă admisă fiind de
+/-1 secundă.
(4) Furnizorul de servicii de marcare temporală are obligaţia
de a lua toate măsurile pentru calibrarea echipamentelor, astfel încât valoarea
prevăzută la alin. (3) să nu fie depăşită.
(5) In situaţia în care detectează cazuri în care au
fost emise mărci temporale cu depăşirea valorii prevăzute la alin. (3), furnizorul
va transmite MCSI o înştiinţare în acest sens.
(6) Furnizorul are obligaţia de a păstra datele care
dovedesc respectarea valorii prevăzute la alin. (3) (de exemplu, logurile de
sincronizare) şi de a le pune la dispoziţia MCSI, la cerere.
Art. 17. - (1) Furnizorul de servicii de marcare
temporală este obligat să pună la dispoziţia utilizatorilor software-ul necesar
pentru utilizarea serviciului.
(2) Furnizorul trebuie să ofere utilizatorilor
următoarele informaţii despre software-ul pus la dispoziţie:
a) condiţiile în care este disponibil software-ul;
b) instrucţiunile de folosire;
c) obligaţiile utilizatorului;
d) orice alte limitări privind utilizarea
software-ului.
(3) Software-ul pus la dispoziţie de către furnizorul
de servicii de marcare temporală trebuie să permită utilizatorului să verifice
dacă marcarea temporală a fost realizată în mod corect, prin analiza automată
cel puţin a următoarelor elemente:
a) structura mărcii temporale;
b) amprenta din marca temporală;
c) semnătura electronică a mărcii temporale, respectiv
validitatea certificatului folosit pentru semnare.
Art. 18. - (1) Marca temporală va avea structura
stabilită în anexa nr. 4, care face parte integrantă din prezentul ordin.
(2) De asemenea, marca temporală trebuie să includă:
a) un identificator pentru ţara în care furnizorul de
servicii de marcare temporală este stabilit, acolo unde este aplicabil;
b) un identificator pentru furnizorul de servicii de
marcare temporală, care va conţine cel puţin numărul de ordine din registru;
c) un identificator pentru unitatea care emite mărci
temporale.
(3) Datele prevăzute la alin. (2) se vor introduce în
marca temporală folosindu-se câmpul „tsa" din cadrul structurii mărcii
temporale. Introducerea acestui câmp este obligatorie.
(4) MCSI va publica eventualele modificări ale
formatului descris în anexa nr. 4, pe baza evoluţiei tehnologiilor sau a
normelor internaţionale recunoscute în domeniu.
Art. 19. - (1) In vederea asigurării conformităţii cu
cerinţele Legii nr. 451/2004 şi ale prezentului ordin, se recomandă respectarea
următoarelor standarde şi recomandări de către furnizorii de servicii de
marcare temporală:
a) SR ETSI TS 101 861 V1.2.1: 2005 Profil de marcare
temporală;
b) SR ETSI TS 101 862 V1.3.2: 2005 Profil de
certificat calificat;
c) SR ETSI TS 102 023 V1.2.1: 2005 Semnături
electronice şi infrastructuri (ESI). Cerinţe privind politica pentru
autorităţile de marcare temporală;
d) SR ISO/CEI 18014-1: 2005 Tehnologia informaţiei.
Tehnici de securitate. Servicii de marcare temporală. Partea 1: Cadru;
e) SR ISO/CEI 18014-2: 2005 Tehnologia informaţiei.
Tehnici de securitate. Servicii de marcare temporală. Partea 2: Mecanisme care
produc mărci temporale independente sau SR ISO/CEI 18014-3: 2005 Tehnologia
informaţiei. Tehnici de securitate. Servicii de marcare temporală. Partea 3:
Mecanisme care produc mărci temporale înlănţuite;
f) SR ISO/CEI TR 14516: 2005 Tehnologia informaţiei.
Tehnici de securitate. Indrumări pentru utilizarea şi administrarea serviciilor
părţilor terţe de încredere;
g) Internet X.509 Public Key Infrastructure
Time-Stamp Protocol (TSP): IETF RFC 3161;
h) Cryptographic Message Syntax: IETF RFC 2630;
i) Internet X.509 Public Key Infrastructure Certificate
and CRL Profile: IETF RFC 2459;
j) Date and Time on the Internet: Timestamps: IETF RFC
3339.
(2) Furnizorii au obligaţia de a pune la dispoziţia
publicului, pe pagina proprie de internet, informaţii privind standardele pe
care le aplică în cadrul activităţii propriu-zise de generare a mărcii
temporale şi procedurile de securitate utilizate.
Art. 20. -Amprenta digitală utilizată în procesul de
marcare temporală, creată prin intermediul aplicării unei funcţii hash-code
asupra unui document în formă electronică, trebuie să aibă următoarele
caracteristici:
a) să permită identificarea unică a documentului în
formă electronică, datorită imposibilităţii practice de a crea amprente
identice pentru documente diferite;
b) să nu permită deducerea conţinutului documentului
respectiv, datorită imposibilităţii practice de a reconstitui conţinutul
documentului original pe baza amprentei.
Art. 21. - Furnizorul foloseşte doar funcţia hash-code
SHA1 (opţional SHA2) şi algoritmul de criptare RSA. Este interzisă folosirea
teoremei chinezeşti a resturilor.
Art. 22. - (1) Certificatul furnizorului de servicii de
marcare temporală trebuie să fie emis de un furnizor de servicii de certificare
acreditat în condiţiile Legii nr. 455/2001.
(2) Certificatul furnizorului va conţine în mod
obligatoriu extensia pentru marcare temporală prevăzută în standardele
internaţionale în vigoare (RFC 3161 - protocol de marcă temporală, secţiunea
2.3). Extensia trebuie să fie de tip critic.
Art. 23. - Marca temporală va fi transmisă
solicitantului prin mecanismele de transport prevăzute în standardul
internaţional RFC 3161 - protocol de marcă temporală, secţiunea a 3-a. Se va
implementa în mod obligatoriu cel puţin protocolul HTTP.
Art. 24. - (1) Serviciul de verificare a mărcilor
temporale se asigură către terţi şi este menţionat expres în contractul
încheiat între furnizorul de servicii de marcă temporală şi utilizator.
(2) Verificarea trebuie să poată fi realizată automat,
prin internet, fiind accesibilă oricărei persoane fizice sau juridice care îşi
bazează conduita pe efectele juridice ale unei mărci temporale.
SECŢIUNEA a 3-a
Suspendarea sau încetarea activităţii
furnizorilor de servicii de marcare temporală
Art. 25. - (1) In conformitate cu prevederile art. 9
alin. (4) din Legea nr. 451/2004, controlul respectării dispoziţiilor Legii nr.
451/2004, precum şi ale prezentului ordin revine MCSI, care acţionează prin
personalul de control de specialitate împuternicit în acest scop.
(2) MCSI are dreptul de a efectua controale asupra
furnizorilor de servicii de marcare temporală, din oficiu sau la solicitarea
oricărei persoane interesate.
(3) In vederea exercitării atribuţiilor de control,
personalul împuternicit în acest scop este autorizat în limitele legii:
a) să aibă acces liber, permanent, în orice loc în care
se află echipamentele necesare furnizării serviciilor de marcare temporală;
b) să solicite orice document sau informaţie necesară
în vederea verificării respectării obligaţiilor ce incumbă furnizorului de
servicii de marcare temporală;
c) să verifice punerea în aplicare a oricăror proceduri
utilizate de către furnizorul de servicii de marcare temporală supus
controlului;
d) să sigileze orice echipamente necesare furnizării
de servicii de marcare temporală sau să reţină orice document care are legătură
cu această activitate, pe o perioadă care nu poate depăşi 15 zile, dacă aceste
măsuri se impun.
Art. 26. - (1) MCSI va dispune, prin ordin, suspendarea
activităţii furnizorului de servicii de marcare temporală până la încetarea
cauzelor care au determinat luarea măsurii, în următoarele situaţii:
a) furnizorul nu respectă politica de marcare temporală
şi procedurile de securitate declarate, într-un mod în care afectează
securitatea procesului de marcare temporală;
b) furnizorul încalcă obligaţia prevăzută la art. 5
alin. (1) din Legea nr. 451/2004;
c) odată cu aplicarea sancţiunilor contravenţionale
prevăzute la art. 12 din Legea nr. 451/2004;
d) furnizorul nu respectă obligaţiile prevăzute la art.
8 alin. (4) şi art. 16;
e) furnizorul nu remediază în termenul stabilit de MCSI
orice alte deficienţe apărute ca urmare a nerespectării prevederilor Legii nr.
451/2004 şi ale prezentului ordin şi constatate cu prilejul efectuării
controalelor de către MCSI.
(2) Odată cu comunicarea ordinului de suspendare
temporară a activităţii, MCSI comunică furnizorului un termen în care trebuie
să remedieze problemele care au determinat luarea acestei măsuri. Termenul nu
poate fi mai mic de 30 de zile. Furnizorul poate solicita motivat prelungirea
acestui termen.
(3) Suspendarea activităţii încetează în momentul în
care furnizorul face dovada încetării cauzelor care au determinat luarea
măsurii.
(4) Dacă furnizorul nu remediază problemele care au
determinat suspendarea în termenul stabilit în condiţiile alin. (2), MCSI va
dispune, prin ordin, încetarea activităţii acestuia.
(5) In perioada în care activitatea sa este
suspendată, furnizorul are obligaţia să asigure continuarea funcţionării
serviciului de verificare a mărcilor temporale, precum şi consultarea în regim
on-line a registrului electronic, cu excepţia cazului în care deficienţele se
găsesc la nivelul acestor sisteme.
Art. 27. - (1) In cazul în care furnizorul
intenţionează să înceteze activităţile legate de marcarea temporală, va informa
MCSI, cu cel puţin 30 de zile în avans, despre intenţia sa, respectiv despre
existenţa şi natura împrejurării care justifică imposibilitatea de continuare a
activităţilor, prin completarea formularului prevăzut în anexa nr. 5, care face
parte integrantă din prezentul ordin.
(2) Furnizorului îi revine obligaţia ca, în situaţia
în care se află în imposibilitate de a continua activităţile legate de marcarea
temporală şi nu a putut prevedea această situaţie cu cel puţin 30 de zile
înainte ca încetarea activităţilor să se producă, să informeze MCSI în termen
de 24 de ore din momentul în care a luat cunoştinţă sau trebuia şi putea să ia
cunoştinţă despre imposibilitatea continuării activităţilor.
(3) Atât în cazul încetării activităţii din iniţiativa
sa, cât şi în cazul în care încetarea activităţii a fost dispusă de MCSI,
furnizorul de servicii de marcare temporală va desemna alt furnizor de servicii
de marcare temporală, căruia îi va transfera, în tot sau în parte, activităţile
sale. Transferul va opera în următoarele condiţii:
a) furnizorul de servicii de marcare temporală va
înştiinţa fiecare utilizator, cu cel puţin 30 de zile în avans, despre intenţia
sa de transferare a activităţilor legate de marcarea temporală către un alt
furnizor, menţionând identitatea acestuia;
b) furnizorul de servicii de marcare temporală va face
cunoscute utilizatorilor săi posibilitatea de a refuza acest transfer, precum
şi termenul şi condiţiile în care refuzul poate fi exercitat.
(4) Furnizorul aflat în unul dintre cazurile prevăzute
la alin. (1) şi (2), ale cărui activităţi nu sunt preluate de un alt furnizor
de servicii de marcare temporală, este obligat să depună la MCSI informaţiile
şi documentele prevăzute la art. 8 alin. (2) din Legea nr. 451/2004, precum şi
dovada revocării certificatului utilizat în procesul de marcare temporală.
CAPITOLUL IV
Dispoziţii finale
Art. 28. - (1) La data intrării în vigoare a
prezentului ordin, Decizia preşedintelui Autorităţii Naţionale pentru
Comunicaţii nr. 896/2008 privind normele tehnice şi metodologice pentru
aplicarea Legii nr. 451/2004 privind marca temporală, publicată în Monitorul
Oficial al României, Partea I, nr. 754 din 7 noiembrie 2008, se abrogă.
(2) Prezentul ordin se publică în Monitorul Oficial al
României, Partea I.
Ministrul comunicaţiilor şi societăţii informaţionale,
Gabriel Sandu
ANEXA Nr. 1
CONŢINUTUL ŞI STRUCTURA
Registrului furnizorilor de servicii de marcare
temporală
1.
|
Numărul de ordine al înregistrării, generat automat
|
2.
|
Codul de identificare a furnizorului de servicii de marcare
temporală
|
3.
|
Calitatea furnizorului: persoană fizică sau persoană juridică
|
4.
|
Numele şi prenumele furnizorului (pentru persoana
fizică)/Denumirea (pentru persoana juridică)
|
5.
|
Adresa (ţară, oraş, judeţ/sector, stradă, număr, bloc,
scara, etaj, apartament, cod poştal, telefon, fax, e-mail, adresa pagina
web)
|
6.
|
Codul unic de înregistrare la registrul comerţului (pentru
persoana juridică)
|
7.
|
Data la care a început activitatea
|
8.
|
Cheia publică a certificatului digital folosit de furnizorul de
servicii în procesul de marcare temporală
|
9.
|
Descrierea sistemelor furnizorului de servicii de marcare
temporală
|
10.
|
Codul de proceduri şi practici al furnizorului de servicii de
marcare temporală
|
11.
|
Descrierea politicii generale a furnizorului de servicii de
marcare temporală
|
12.
|
Tipul garanţiei furnizorului
|
13.
|
Societatea de asigurări/Instituţia financiară care garantează
capacitatea financiară a furnizorului
|
14.
|
Suma asigurată/Suma acoperită prin scrisoarea de garanţie
|
15.
|
Situaţii critice: câmp ce poate conţine referiri la ultima
situaţie critică (de exemplu, întreruperea temporară a activităţii din cauza
unor probleme tehnice, modificarea procedurilor, sancţiuni etc.)
|
16.
|
Data şi ora ultimei actualizări a registrului
|
17.
|
Situaţia furnizorului (operaţional, suspendat, activitatea
încetată, în curs de transferare a activităţii etc.)
|
18.
|
Motivul suspendării/reluării/încetării activităţii (dacă este
cazul)
|
ANEXA Nr. 2
FORMULAR DE NOTIFICARE
pentru furnizorii de servicii de marcare temporală
Furnizor de servicii de marcare temporală persoană
fizică/juridică
|
Ţara
|
Oraş
|
Sector
|
Str.
|
Nr.
|
|
|
|
|
|
Domiciliul sau sediul
|
Bl.
|
Et.
|
Ap.
|
Cod poştal
|
|
|
|
|
|
|
Tel.
|
Fax
|
E-mail
|
Web
|
|
|
|
|
|
|
Cod de înregistrare la registrul comerţului
|
|
Tip societate
|
|
|
|
|
|
|
|
|
|
Banca
|
|
Nr. cont bancar
|
|
|
|
|
|
|
|
|
|
Naţionalitate
|
|
Cetăţenie
|
|
|
|
|
|
|
|
|
|
Data începerii activităţii
|
|
|
|
|
|
Opis documente anexate
|
|
|
|
|
|
ÎNŞTIINŢARE -ANGAJAMENT
Subsemnatul, (numele şi
prenumele/denumirea)..............................................înştiinţez
Ministerul Comunicaţiilor şi Societăţii Informaţionale (MCSI) referitor la
desfăşurarea serviciilor de marcare temporală menţionate în prezentul document,
cu începere de la data de..................
Mă angajez să îmi desfăşor activitatea în conformitate
cu prevederile Legii nr. 451/2004 privind marca temporală, ale Ordinului
ministrului comunicaţiilor şi societăţii informaţionale nr. 492/2009 privind
normele tehnice şi metodologice pentru aplicarea Legii nr. 451/2004 privind
marca temporală, precum şi cu standardele europene şi internaţionale în
domeniu.
Mă oblig să acopăr prejudiciile pe care le-as putea
cauza utilizatorilor, în condiţiile prevăzute la art. 10 din Legea nr.
451/2004.
De asemenea, mă angajez să comunic utilizatorilor
instrucţiunile practice de marcare temporală, precum şi termenele şi condiţiile
de utilizare a serviciilor de marcare temporală.
Anexez la prezenta următoarea documentaţie:
1. contractul de închiriere/actul de proprietate pentru
sediu;
2. adeverinţă din partea administraţiei finanţelor
publice privind plata la zi a taxelor şi impozitelor către stat;
3. certificat de bonitate sau scrisoare de garanţie
din partea băncii, prin care persoana fizică/juridică desfăşoară plăţi şi
încasări curente;
4. o scrisoare de garanţie în valoare
de...................., în favoarea MCSI, la (numele instituţiei financiare)
............................................./o poliţă de asigurare la (numele
societăţii de asigurare)..........................................., în
favoarea MCSI, în valoare de..................*;
5. certificatul calificat folosit în activitatea de
marcare temporală;
6. politica de marcare temporală aplicată;
7. descrierea generală a sistemului informatic utilizat
pentru desfăşurarea activităţii de marcare temporală, însoţită de o declaraţie
de conformitate cu prevederile art. 4 alin. (1) din Legea nr. 451/2004;
8. descrierea practicilor, procedurilor şi sistemelor
care asigură securitatea şi integritatea datelor, accesul autorizat permanent
la acestea şi modalităţile de prevenire a accesului neautorizat (codul de
practici şi proceduri);
9. politica referitoare la protecţia datelor cu
caracter personal;
10. certificatul care dovedeşte calitatea de operator
de date cu caracter personal.
Furnizor,
....................................................................................................
Data şi ora
..................................................
Din partea MCSI,
..................................................
Am primit documentaţia menţionată.
* Se va opta pentru una dintre cele două variante, în
conformitate cu prevederile art. 13 alin. (1) lit. b) din prezentul ordin.
ANEXA Nr. 3
CONŢINUTUL MINIMAL
al Registrului electronic operativ de evidenţă a
mărcilor temporale
I. Registrul electronic operativ de evidenţă a mărcilor
temporale va cuprinde: 1. Lista tuturor mărcilor temporale emise de către
furnizorul de servicii de marcare temporală, cuprinzând următoarele informaţii:
A. Date referitoare la marca temporală
Nr. crt.
|
Categorie de date
|
1.
|
Identificator unic
|
2.
|
Data şi ora la care marca temporală a fost aplicată
|
3.
|
Cod de identificare utilizator
|
4.
|
Amprenta documentului supusă marcării temporale
|
5.
|
Identificarea algoritmului utilizat pentru generarea amprentei
|
B. Date referitoare la furnizor/certificatul
furnizorului
1.
|
Nume
|
Subject Name
|
2.
|
Data emiterii
|
|
3.
|
Valabilitate
|
|
4.
|
Date de identificare ale furnizorului de servicii de certificare
superior
|
IssuerName, SeriaINumber
|
C. Marca temporală emisă
2. Inregistrări ale evenimentelor apărute în sistemul
informatic utilizat pentru generarea mărcilor temporale:
- sincronizările cu baza de timp;
- schimbarea cheilor criptografice;
- opriri ale sistemului;
- incidente de securitate.
II. Regimul de acces la informaţiile cuprinse în
Registrul electronic operativ de evidenţă a mărcilor temporale
- Informaţiile prevăzute la pct. 1 vor fi disponibile
permanent pentru consultare pe pagina de internet a furnizorului de servicii de
marcare temporală.
- Informaţiile prevăzute la pct. 2 vor fi făcute
publice în conformitate cu politica de marcare temporală a furnizorului şi vor
fi furnizate, la cerere, Ministerului Comunicaţiilor si Societăţii
Informaţionale.
ANEXA Nr. 4
CONŢINUTUL ŞI STRUCTURA MĂRCII TEMPORALE
Nume
|
Explicaţie detaliată
|
Structura ASN1
|
Observaţii
|
A. Informaţii despre marca temporală propriu-zisă (TSTInfo)
|
Versiune
|
|
INTEGER
|
|
Politica
|
|
OID
|
|
Amprenta de marcat
|
Hash-ul + algoritmul de hash
|
messagelmprint
|
|
Număr serial unic
|
|
INTEGER
|
|
Momentul exact de timp al emiterii
|
UTC, notaţie „zulu"
|
GeneralizedTime
|
|
Precizie
|
Secunde, milisecunde, microsecunde
|
Accuracy
|
opţional
|
Număr aleatoriu (Nonce)
|
|
INTEGER
|
opţional
|
Numele furnizorului
|
|
GeneralName
|
opţional
|
Extensii
|
|
Extensions
|
opţional
|
B. Semnătura furnizorului
(Contentlnfo ce încapsulează o structură signedData)
|
Info semnătură
|
Semnătura propriu-zisă (SignatureValue), însoţită de datele de
identificare ale semnatarului (Signerldentifier)
|
signerlnfo
|
|
Certificatul furnizorului
|
|
certs
|
opţional
|
|
|
|
|
C. Statutul PKI (PKIStatusInfo)
|
Codul de status PKI
|
|
PKIStatus
|
|
Mesajul text PKI
|
|
PKIFreeText
|
opţional
|
Informaţii despre eroarea PKI
|
|
PKIFailurelnfo
|
opţional
|
ANEXA Nr. 5
FORMULAR DE INFORMARE
cu privire la încetarea activităţii unui furnizor de
servicii de marcare temporală
Nume furnizor
|
Codul din registrul furnizorilor de servicii
|
|
Motivele încetării activităţii:
|
Data la care a înştiinţat MCSI
|
Data încetării activităţii
|
Numele furnizorului care va prelua activitatea
|
Codul din registrul furnizorilor de servicii
|
|
Măsuri luate referitoare la utilizatori:
|
|