Ordinul Nr.734 din 02.08.2019

Având în vedere prevederile art. 8 şi 9 din Ordonanţa de urgenţă a Guvernului nr. 49/2019 privind activităţile de transport alternativ cu autoturism şi conducător auto şi prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată,în temeiul art. 4 alin. (1) pct. 29 din Hotărârea Guvernului nr. 36/2017 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare,ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin. Capitolul IDispoziţii generale Articolul 1Prezentul ordin reglementează procedura de acordare/retragere a avizului tehnic al Ministerului Comunicaţiilor şi Societăţii Informaţionale pentru platformele digitale puse la dispoziţie de către operatorii acestora, prin care se asigură intermedierea transportului alternativ cu autoturism şi conducător auto. Articolul 2Prezentul ordin stabileşte cerinţele minime tehnice şi de securitate pe care trebuie să le îndeplinească platformele digitale prin care se asigură intermedierea activităţilor de transport alternativ. Articolul 3În înţelesul prezentului ordin, termenii, expresiile şi abrevierile de mai jos au următoarele semnificaţii: 1. activitate de transport alternativ cu autoturism şi conducător auto intermediată printr-o platformă digitală, denumită în continuare transport alternativ - deplasarea persoanelor, cu ajutorul unui autoturism, în baza unui contract de transport alternativ încheiat între pasager şi operatorul de transport alternativ deţinător al autoturismului, care este intermediat de un operator al platformei digitale conform prezentei ordonanţe de urgenţă printr-o platformă digitală; 2. ameninţare - cauza potenţială a unui incident nedorit, care poate dăuna unui sistem sau unei organizaţii; 3. audit IT - activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de performanţe şi de lucru conform cerinţelor de proiectare, dacă asigură funcţionalitatea necesară cerinţelor de afaceri şi respectarea legislaţiei în domeniu, dacă este securizat, dacă menţine integritatea datelor prelucrate şi stocate, dacă permite atingerea obiectivelor strategice ale entităţii şi utilizarea eficientă a resurselor informaţionale; 4. auditor IT - persoana fizică autorizată care deţine certificat de auditor IT sau persoana juridică cu personal certificat care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor şi bunelor practici în domeniu; 5. autentificare - procedură care permite operatorului platformei digitale să verifice atât identitatea conducătorului auto care prestează activităţi de transport alternativ, valabilitatea documentelor de transport ale acestuia, cât şi identitatea unui utilizator al serviciilor de transport alternativ sau valabilitatea utilizării unui anumit instrument de plată cu acces la distanţă şi care include utilizarea elementelor de securitate personalizate ale utilizatorului; 6. aviz tehnic - document eliberat de către Ministerul Comunicaţiilor şi Societăţii Informaţionale pentru platformele digitale puse la dispoziţie de către operatorii acestora, prin care se asigură intermedierea transportului alternativ; 7. conducător auto - titular, respectiv angajat al unui operator de transport alternativ; 8. continuitatea activităţii - starea de funcţionare neîntreruptă a operaţiunilor, ce presupune măsuri organizaţionale, tehnice şi de personal utilizate pentru a asigura continuitatea serviciilor după o întrerupere cauzată de producerea unui eveniment perturbator şi pentru reluarea treptată a tuturor serviciilor în cazul unui eveniment perturbator major; 9. contract de afiliere - contract încheiat prin intermediul platformei digitale între operatorul de transport alternativ/conducătorul auto şi operatorul platformei digitale, prin care se confirmă îndeplinirea tuturor cerinţelor şi acceptarea termenilor şi condiţiilor contractuale afişate pe platforma digitală; 10. contractul de transport alternativ - contractul încheiat prin intermediul platformei digitale între un pasager şi un operator de transport alternativ de fiecare dată când este contractată o cursă de către un pasager, contract ce prevede termenii şi condiţiile în care va fi efectuată cursa la solicitarea pasagerului; 11. controale informatice - totalitatea politicilor, procedurilor, practicilor, ghidurilor, mijloacelor de gestionare a riscurilor şi a structurilor organizaţionale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse, evenimentele nedorite vor fi prevenite sau detectate şi corectate; 12. cursa - deplasarea intermediată printr-o platformă digitală, executată cu autoturism şi conducător auto pe un traseu comandat şi acceptat de pasager, de la locul de îmbarcare până la locul de destinaţie; 13. date (informatice) - orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic, incluzându-se şi orice program informatic care poate determina realizarea unei funcţii similare de către un sistem informatic; 14. disponibilitate - capabilitatea unui serviciu IT sau a unui element de configuraţie IT de a efectua funcţiile agreate; 15. incident operaţional sau de securitate - un eveniment unic sau o serie de evenimente corelate, neprevăzute de către operatorul platformei digitale, care are un impact negativ asupra integrităţii, disponibilităţii, confidenţialităţii, autenticităţii şi/sau continuităţii activităţilor de transport alternativ; 16. MCSI - Ministerul Comunicaţiilor şi Societăţii Informaţionale; 17. operator al platformei digitale - persoana juridică pe numele căreia se emite avizul tehnic pentru platforma digitală prin care se intermediază transportul alternativ; 18. operator de transport alternativ - persoana fizică autorizată, întreprinderea individuală, întreprinderea familială sau persoana juridică deţinătoare a autoturismului cu care se efectuează transport alternativ; 19. pasager - persoană fizică care contractează transportul alternativ prin intermediul unei platforme digitale; 20. plan de securitate - documentul ce descrie totalitatea măsurilor tehnice şi administrative care sunt luate de către operatorul platformei digitale pentru utilizarea în condiţii de siguranţă a platformei digitale; 21. platformă digitală - aplicaţie informatică pentru intermedierea transportului alternativ care îndeplineşte condiţiile minime tehnice şi de securitate menţionate în prezentul ordin, prin care utilizatorii înregistraţi încheie în acest scop un contract de transport alternativ sau un contract de afiliere; 22. prelucrarea datelor - orice operaţiune sau set de operaţiuni efectuate asupra datelor sau asupra seturilor de date, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea; 23. raport de audit IT - instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, procedurile, constatările şi concluziile auditului, precum şi orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat prin care este pusă la dispoziţie platforma digitală; 24. risc de securitate - riscul care rezultă din procesele interne sau evenimentele externe eşuate sau necorespunzătoare, care au sau ar putea avea un impact negativ asupra disponibilităţii, integrităţii, confidenţialităţii şi asupra sistemelor de tehnologie a informaţiei şi a comunicaţiilor şi/sau asupra informaţiilor utilizate de către platforma digitală prin care se intermediază activităţile de transport alternativ; 25. securitate informatică - capacitatea unui sistem informatic, rezultată în urma aplicării unui ansamblu de măsuri proactive şi reactive, de a rezista, la un nivel de încredere dat, unei acţiuni accidentale sau răuvoitoare care ar putea compromite disponibilitatea, autenticitatea, integritatea sau confidenţialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de reţeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora; 26. siguranţă în funcţionare - modalitate de gestionare a riscurilor specifice de intermediere activităţi de transport alternativ, în scopul asigurării funcţionării conform nivelurilor de calitate a serviciilor; 27. sistem informatic - ansamblu de elemente intercorelate funcţional în scopul automatizării obţinerii informaţiilor necesare activităţilor operaţionale şi manageriale într-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware şi produselor software, proceduri manuale, baze de date şi modele matematice pentru analiză, planificare, control şi luarea deciziilor, utilizând componente de introducere şi prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de bază, programe informatice, reţele de calculatoare şi telecomunicaţii, componente de stocare şi utilizatori, fără ca enumerarea să fie limitativă; 28. sistem de asistenţă pentru utilizatori - set de funcţionalităţi informatice, prin care utilizatorul poate comunica operatorului platformei digitale sugestii/reclamaţii; 29. sistem de verificare a calităţii transportului alternativ - funcţionalitate informatică prin intermediul căreia utilizatorii pot aprecia calitatea serviciilor de transport alternativ; 30. tarif - contravaloarea unei curse; 31. vulnerabilitate - este un punct slab (defect) în proiectarea, implementarea, operarea sau controlul intern al unui proces care ar putea expune sistemul la un risc de securitate. Articolul 4Transportul alternativ se poate efectua numai prin intermediul unei platforme digitale avizate tehnic de către MCSI. Articolul 5În situaţia în care operatorul platformei digitale este o persoană juridică nerezidentă, acesta este obligat să aibă, pe toată perioada în care îşi desfăşoară activitatea de intermediere a transportului alternativ pe teritoriul României, o sucursală înregistrată care să îl reprezinte în faţa autorităţilor statului român. Articolul 6Pentru a obţine avizul tehnic, platforma digitală pentru intermedierea transportului alternativ trebuie să îndeplinească cumulativ următoarele condiţii tehnice: a)să conţină datele de înregistrare fiscală şi datele de contact ale operatorului platformei digitale; b)să ţină evidenţa automată a datelor de expirare a permiselor de conducere şi a documentelor necesare efectuării operaţiunilor de transport alternativ şi să notifice automat operatorul de transport alternativ în scopul actualizării documentelor încărcate pe platforma digitală; c)să propună, să afişeze şi să înregistreze traseul parcurs, utilizând tehnologii de localizare în conformitate cu legislaţia comunitară în vigoare; d)să furnizeze date despre tariful pentru efectuarea unei curse pe traseul stabilit în condiţiile lit. c) înaintea acceptării cursei de către pasager; e)să furnizeze date despre numărul de înmatriculare al autoturismului cu care se efectuează cursa; f)să monitorizeze toate cursele, continuu, printr-un sistem de localizare; g)să asigure pasagerilor opţiunea de a comunica informaţii despre dizabilitate/mobilitate redusă şi de a comunica cu conducătorul auto căruia i-a fost atribuită cursa şi furnizează informaţii privind localizarea şi timpul estimat al sosirii; h)să asigure pasagerilor posibilitatea să raporteze operatorului platformei digitale orice incidente privind efectuarea cursei; i)să asigure o interfaţă de comunicare disponibilă şi accesibilă timp de 24 de ore pe zi, 7 zile pe săptămână pentru incidente privind efectuarea cursei; j)să asigure pasagerului opţiunea decontării preţului cursei pe bază de instrument de plată electronică cu acces la distanţă sau în numerar; k)să asigure funcţionalităţi de helpdesk pentru utilizatorii acesteia; l)să asigure publicarea contractului de transport alternativ şi a contractului de afiliere care trebuie să cuprindă acei termeni şi condiţii stabiliţi/stabilite de operatorul platformei digitale în îndeplinirea prerogativelor sale, ca participant la activitatea de transport alternativ, şi care sunt relevanţi pentru pasageri, fără publicarea elementelor comerciale dintre operatorul platformei şi operatorul de transport alternativ/conducătorul auto; m)să informeze complet şi cuprinzător toţi utilizatorii, la înregistrarea acestora pe platforma digitală, cu privire la termenii şi condiţiile de funcţionare a platformei digitale, la drepturile şi obligaţiile lor în cursul şi după utilizarea platformei digitale, precum şi cu privire la prelucrarea datelor lor cu caracter personal; n)să permită să devină utilizatori ai platformei digitale doar celor care au fost de acord în mod expres cu aceşti termeni şi aceste condiţii; o)să asigure informarea utilizatorilor ori de câte ori au fost făcute modificări asupra acestor termeni şi condiţii; p)să asigure furnizarea de date către operatorul platformei pentru întocmirea situaţiilor financiare; q)să prelucreze datele cu caracter personal cu respectarea Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor); r)să asigure emiterea şi transmiterea către pasager a comenzii, precum şi a facturii electronice emise în baza acesteia; s)să asigure accesul la serviciile sale doar al operatorilor de transport, al conducătorilor auto şi autoturismelor care îndeplinesc condiţiile legale pentru efectuarea transportului alternativ; t)să aibă implementate metode şi proceduri adecvate de asigurare a securităţii cibernetice şi protecţiei datelor, care respectă cerinţele de securitate menţionate la art. 7 din prezentul ordin; u)să aibă implementat un sistem de verificare a calităţii pentru activitatea de transport alternativ oferit de operatorii de transport alternativ/conducătorii auto acceptaţi pe platformă digitală; v)să asigure utilizarea limbii române pentru toate interfeţele, informaţiile afişate sau tipărite. Articolul 7Cerinţele minime de securitate ale sistemelor informatice prin care sunt puse la dispoziţie platformele digitale pentru transport alternativ cu autoturism şi conducător auto se referă la: a)confidenţialitatea şi integritatea comunicaţiilor între platforma digitală, client şi conducătorul auto referitoare la cursele realizate; b)mecanismele care să garanteze confidenţialitatea şi nerepudierea activităţilor de transport alternativ efectuate prin intermediul platformei digitale; c)autenticitatea părţilor care participă la activităţile de transport alternativ şi existenţa metodelor de autentificare în concordanţă cu nivelul de securitate al platformei digitale, precum şi mijloacele de garantare a identităţii; d)confidenţialitatea, autenticitatea şi integritatea informaţiilor/ datelor aferente activităţilor de transport alternativ efectuate prin intermediul platformei digitale în timpul procesării, stocării şi arhivării acestora; e)trasabilitatea activităţilor de transport intermediate prin platforma digitală; f)respectarea protecţiei datelor cu caracter personal în sistemele informatice; g)stocarea, păstrarea datelor înregistrate şi jurnalizarea acestora, precum şi păstrarea în siguranţă a unor copii de rezervă ale datelor şi activităţilor de transport alternativ intermediate prin platforma digitală; h)prevenirea/limitarea/înlăturarea impactului incidentelor de securitate informatică, reluarea în siguranţă a activităţii de transport alternativ şi recuperarea informaţiilor afectate; i)detectarea, înregistrarea şi gestionarea incidentelor de securitate informatică; j)evaluarea riscurilor de securitate informatică şi măsuri de gestionare a acestora; k)asigurarea unui proces formal şi continuu (cel puţin anual) de pregătire a resurselor umane implicate în operarea, mentenanţa şi administrarea platformelor digitale care intermediază activităţi de transport alternativ; l)continuitatea serviciilor oferite clienţilor; m)gestionarea şi administrarea sistemului informatic; n)impactul operaţiilor de modificare a:– arhitecturii din cadrul sistemului informatic (componente hardware/software) şi aplicaţiilor software utilizate în ciclul de viaţă al platformei digitale; – planului de securitate specific securităţii aferente platformei digitale; o)orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în siguranţă a sistemului informatic prin intermediul căruia este pusă la dispoziţie platforma digitală. Articolul 8Măsurile tehnice şi organizatorice întreprinse pentru îndeplinirea cerinţelor tehnice enumerate la art. 6 vor fi în concordanţă cu tehnologia utilizată şi cu riscurile potenţiale. Articolul 9Operatorul platformei digitale are obligaţia de a implementa măsuri de securitate informatică, de a monitoriza continuu şi de a evalua anual riscurile operaţionale generate de utilizarea sistemelor informatice prin intermediul cărora este pusă la dispoziţie platforma digitală, cu respectarea legislaţiei interne şi a reglementărilor comunitare. Articolul 10Datele menţionate pentru păstrare în Ordonanţa de urgenţă a Guvernului nr. 49/2019 privind activităţile de transport alternativ cu autoturism şi conducător auto, precum şi documentele emise în format electronic, a căror păstrare este obligatorie conform normelor în vigoare, aferente activităţilor de transport alternativ desfăşurate prin intermediul platformei digitale, vor fi arhivate conform legislaţiei naţionale privind arhivarea electronică. Capitolul IIEliberarea avizului Articolul 11Documentele necesare pentru eliberarea avizului tehnic sunt: a)pentru operatorul platformei digitale, care este o persoană juridică rezidentă în România:1. cererea adresată MCSI, conform modelului prevăzut în anexa nr. 1; 2. certificatul de înregistrare la oficiul registrului comerţului; 3. actul constitutiv al operatorului platformei digitale; 4. certificat constatator eliberat de către oficiul registrului comerţului, nu mai vechi de 30 de zile, în care să se specifice datele de identificare ale operatorului platformei digitale şi administratorul acestuia; 5. copie a cărţii de identitate a administratorului societăţii înscris în certificatul constatator; 6. împuternicire şi copie a cărţii de identitate pentru persoana delegată să reprezinte operatorul în relaţia cu MCSI, dacă este cazul; 7. descrierea funcţională a sistemului informatic şi a platformei digitale prin intermediul căreia se desfăşoară activităţi de transport alternativ cu autoturism şi conducător auto, din care să rezulte că acesta îndeplineşte condiţiile tehnice prevăzute la art. 6; 8. planul de securitate al sistemului informatic, semnat de către operatorii platformei digitale prevăzuţi la art. 1, cuprinzând descrierea măsurilor tehnice şi organizatorice prevăzute pentru asigurarea cerinţelor de securitate enumerate la art. 7; 9. raportul de audit, care trebuie să îndeplinească următoarele condiţii: a)să cuprindă elementele prevăzute în raportul de audit prevăzut în anexa nr. 3, fără a se limita la acestea; b)să fie întocmit de către un auditor selectat din Lista auditorilor IT publicată pe site-ul MCSI;10. data de întocmire a raportului de audit nu trebuie să depăşească 60 de zile faţă de data depunerii documentaţiei de avizare; 11. plan de continuitate a afacerii şi recuperare în caz de dezastru; 12. dovada achitării la bugetul de stat a taxei prevăzute la art. 25 lit. p) din Ordonanţa de urgenţă a Guvernului nr. 49/2019; 13. declaraţia pe propria răspundere a reprezentantului legal al operatorului cu privire la respectarea, în cadrul procesului de intermediere a activităţilor de transport alternativ prin platforma digitală, a cerinţelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor); 14. contractul încheiat cu un administrator de arhivă electronică acreditat; b)pentru operatorul platformei digitale care este o persoană juridică nerezidentă în România:1. cererea adresată MCSI, conform modelului prevăzut în anexa nr. 2; 2. certificatul de înregistrare la registrul comerţului a sucursalei; 3. certificatul, în traducere certificată, de la registrul în care este înmatriculat operatorul platformei digitale, care să ateste existenţa societăţii; 4. hotărârea organului statutar competent privind înfiinţarea sucursalei prin care se desemnează şi persoana împuternicită să reprezinte sucursala, original sau copie certificată, şi traducerea realizată de un traducător autorizat a cărui semnătură să fie legalizată de un notar public; 5. mandatul de reprezentare al sucursalei ratificat de către operatorul platformei digitale, în care sunt menţionate toate drepturile şi obligaţiile conferite acesteia; expres trebuie să fie specificat(ă) dreptul/obligaţia de a pune la dispoziţia instituţiilor publice, în concordanţă cu competenţele acestora, datele referitoare la curse, traseu, pasageri, conducători auto, operatori transport, autoturism, localizare, contracte; 6. actul constitutiv al operatorului platformei digitale împreună cu toate modificările acestuia sau actul constitutiv actualizat, original sau copie certificată, şi traducerea realizată de un traducător autorizat, a cărui semnătură să fie legalizată de un notar public; 7. actul de împuternicire a reprezentantului sucursalei de către operatorul platformei digitale, dacă acesta nu a fost numit prin hotărârea organului statutar competent (copie tradusă şi legalizată); 8. actele de identitate ale persoanelor împuternicite să reprezinte sucursala (copii certificate pentru conformitate); 9. certificatul constatator de autorizare a sucursalei eliberat de către oficiul registrului comerţului, nu mai vechi de 30 de zile, în care să se specifice obiectul de activitate şi reprezentantul legal; 10. descrierea funcţională a sistemului informatic şi a platformei digitale prin intermediul căreia se desfăşoară activităţi de transport alternativ cu autoturism şi conducător auto, din care să rezulte că acesta îndeplineşte condiţiile tehnice prevăzute la art. 6; 11. planul de securitate al sistemului informatic, semnat de către operatorul platformei digitale prevăzut la art. 1, cuprinzând descrierea măsurilor tehnice şi organizatorice prevăzute pentru asigurarea cerinţelor de securitate enumerate la art. 7; 12. raportul de audit, care trebuie să îndeplinească următoarele condiţii: a)să cuprindă elementele prevăzute în raportul de audit prezentat în anexa nr. 3, fără a se limita la acestea; b)să fie întocmit de către un auditor selectat din Lista auditorilor IT publicată pe site-ul MCSI;13. data de întocmire a raportului de audit nu trebuie să depăşească 60 de zile faţă de data depunerii documentaţiei de avizare; 14. plan de continuitate al afacerii şi recuperare în caz de dezastru; 15. dovada achitării la bugetul de stat a taxei prevăzute la art. 25 lit. p) din Ordonanţa de urgenţă a Guvernului nr. 49/2019; 16. declaraţia pe propria răspundere a reprezentantului legal al operatorului platformei digitale cu privire la respectarea Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, în cadrul procesului de intermediere a activităţilor de transport alternativ prin platforma digitală; 17. declaraţia pe propria răspundere a reprezentantului legal al sucursalei cu privire la respectarea cerinţelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), în procesul de reprezentare a operatorului platformei digitale; 18. contractul încheiat cu un administrator de arhivă electronică acreditat. Articolul 12
(1) Documentele prevăzute la art. 11 se vor transmite către MCSI, în limba română, vor fi semnate de către reprezentantul legal al operatorului platformei şi vor avea menţiunea „conform cu originalul".
(2) Documentaţia va fi paginată şi însoţită de un opis. Articolul 13Documentaţia aferentă planului de securitate va avea următoarea structură: 1. Informaţii de identificare: a)denumirea operatorului platformei digitale; b)denumirea platformei digitale; c)descrierea generală a soluţiei tehnice; d)interconectarea sistemului; e)aria geografică în care platforma digitală poate fi utilizată; f)datele de contact ale persoanelor responsabile;2. Măsuri pentru securitatea sistemului: a)evaluarea şi managementul riscurilor potenţiale; b)identificarea, analizarea şi remedierea riscurilor de securitate în conformitate cu cele mai bune practici în gestionarea acestora; c)măsurile tehnice de securitate implementate; d)situaţia cu înregistrarea şi analizarea incidentelor de securitate informatică; e)metodologia de recuperare a informaţiilor în caz de dezastru şi continuarea activităţii; f)rapoartele de testare a funcţionalităţii platformei digitale în ultimele 12 luni; g)procedurile operaţionale de exploatare; h)măsurile aplicate pentru asigurarea securităţii fizice; i)instruirea personalului propriu în legătură cu administrarea sistemului informatic; j)instrucţiunile de utilizare a platformei digitale (manual de utilizare); k)suportul tehnic oferit clienţilor care utilizează platforma digitală.3. Orice alte informaţii relevante legate de măsurile luate de către operatorul platformei digitale pentru a asigura exploatarea în siguranţă a acesteia. Capitolul IIICondiţii privind desfăşurarea auditului IT Articolul 14
(1) Auditarea se va efectua în baza unui contract încheiat între operatorul platformei digitale care a solicitat auditarea şi un auditor înscris în Lista auditorilor IT.
(2) Operatorul platformei digitale nu poate contracta auditarea cu acelaşi auditor IT pentru mai mult de două auditări consecutive.
(3) Operatorul are obligaţia de a se asigura că în contractul de auditare sunt cuprinse în mod obligatoriu clauze cu privire la faptul că auditorul IT trebuie să respecte cerinţele impuse pentru efectuarea auditului sistemelor informatice, în conformitate cu prevederile prezentului ordin şi cu bunele practici în domeniu.
(4) Activitatea de auditare trebuie să respecte conduita etică şi profesională, nu presupune încălcarea secretului profesional impus prin clauze contractuale sau prin prevederi legale şi nu atrage niciun fel de răspundere asupra persoanei fizice şi/sau juridice în cauză ca urmare a respectării prevederilor prezentului ordin. Articolul 15Perioada supusă auditării reprezintă perioada cuprinsă între două auditări consecutive. Articolul 16Pe timpul auditării, auditorul IT are obligaţia de a analiza situaţia deficienţelor şi vulnerabilităţilor identificate, întocmită cu ocazia auditării precedente, precum şi măsurile întreprinse de către operatorul platformei digitale. Articolul 17Auditorul IT notifică MCSI, în scris, în maximum 10 zile de la constatare, orice fapt sau act care: a)este de natură să afecteze utilizarea în siguranţă a platformei digitale; b)poate conduce la o opinie de audit cu rezerve, negativă sau imposibilitatea exprimării acesteia. Articolul 18În termen de maximum 10 zile de la solicitarea scrisă a MCSI, auditorul IT trebuie să comunice următoarele, fără a se limita la acestea: a)orice raport sau document care a fost adus la cunoştinţa operatorului auditat; b)motivaţia de încetare a contractului de audit, dacă aceasta a avut loc înainte de finalizarea auditării. Articolul 19La finalizarea auditării, auditorii IT au obligaţia de a întocmi un raport de audit IT, care să cuprindă cel puţin elementele enumerate în raportul de audit prevăzut în anexa nr. 3, dar fără a se limita la acestea. Articolul 20Pentru cazurile în care sistemul informatic şi platforma digitală utilizată în procesul de intermediere a activităţii de transport alternativ sunt situate în afara ţării, auditarea sistemului se va face astfel: – auditorul IT înscris în Lista auditorilor IT, publicată pe siteul MCSI, va audita sistemele din străinătate sau

– auditorul IT înscris în Lista auditorilor IT, publicată pe siteul MCSI, agreează auditarea sistemului din străinătate de către un auditor cu o certificare cuprinsă în lista certificărilor necesare pentru înscrierea în lista auditorilor IT şi preia responsabilitatea auditării. Articolul 21
(1) MCSI poate participa la procesul de auditare ca observator, prin reprezentanţi desemnaţi prin ordin de ministru.
(2) MCSI poate solicita auditorului, în scris, clarificări, precum şi documentaţia de audit, după caz.
(3) Operatorul platformei digitale de transport alternativ va permite accesul reprezentanţilor MCSI, în conformitate cu obiectivele specificate în documentele de control. Articolul 22
(1) Documentele prevăzute la art. 11 se înaintează către MCSI cu minimum 30 de zile înaintea expirării avizului anterior şi vor fi întocmite într-un singur exemplar.
(2) MCSI va emite avizul tehnic pentru platforma digitală în termen de 30 de zile lucrătoare de la depunerea documentaţiei complete.
(3) MCSI va remite solicitantului un exemplar al avizului tehnic, în termen de 3 zile calendaristice după acordarea acestuia.
(4) Avizul acordat este netransmisibil.
(5) Avizul tehnic pentru platformele digitale va avea o valabilitate de 12 luni.
(6) MCSI publică, pe site-ul propriu, lista platformelor digitale avizate tehnic, operatorii acestora şi sucursalele de reprezentare, precum şi datele de contact, actualizându-se ori de câte ori este necesar.
(7) Forma avizului tehnic acordat este prevăzută în anexa nr. 4. Articolul 23Avizul tehnic pentru platformele digitale eliberat de către MCSI este valabil pe întreg teritoriul României. Articolul 24Operatorul platformei digitale este obligat să publice pe platforma digitală avizul tehnic eliberat de către MCSI. Articolul 25Eliberarea de către MCSI a avizului tehnic pentru platforma digitală nu exonerează operatorul platformei, clienţii şi operatorii de transport de răspunderile asumate prin contractul încheiat între aceştia. Articolul 26MCSI poate efectua verificări la sediul operatorului platformei digitale avizat sau în curs de avizare prin personal desemnat prin ordin al ministrului comunicaţiilor şi societăţii informaţionale. Articolul 27
(1) Operatorul platformei digitale va notifica MCSI orice dezvoltare, modificare a datelor de exploatare şi a procedurilor operaţionale, care ar putea afecta major funcţionarea şi securitatea platformei digitale, în termen de 15 zile de la data când devin operaţionale. Notificarea conţine descrierea modificării/dezvoltării efectuate, impactul acesteia asupra funcţionării şi securităţii platformei digitale.
(2) Operatorul platformei digitale va notifica MCSI, în termen de maximum 10 zile, orice incident de securitate care a afectat în mod direct clienţii sau operatorii de transport. Notificarea va cuprinde cauza şi măsurile ce urmează a fi luate în vederea remedierii situaţiei apărute.
(3) MCSI poate solicita un nou raport de audit pentru platforma digitală, după analizarea notificărilor prevăzute la alin. (1) şi (2).
(4) Operatorul platformei digitale va notifica MCSI, în termen de 10 zile, orice modificare privind statutul de operator economic. Capitolul IVRetragerea avizului tehnic Articolul 28MCSI va transmite operatorului platformei digitale o notificare prealabilă prin care i se aduc la cunoştinţă motivele pentru care se va proceda la iniţierea demersurilor pentru retragerea avizului. Articolul 29Retragerea avizului tehnic pentru platforma digitală se va face de către MCSI în următoarele condiţii: a)platforma digitală nu mai îndeplineşte cerinţele tehnice şi de securitate prevăzute la art. 6 şi 7; b)în urma verificărilor la sediul operatorului sau pe platforma digitală, se constată nerespectarea prevederilor conţinute în documentaţia de avizare; c)operatorul platformei digitale nu a prezentat raportul de audit menţionat la art. 27 alin. (3); d)au fost semnalate incidente de securitate, iar operatorul nu a prezentat notificarea acestora conform art. 27 alin. (2); e)operatorul platformei digitale/sucursala a declanşat procedura de faliment sau a fost radiat(ă) din registrul comerţului, după caz. Articolul 30MCSI va retrage avizul tehnic dacă, în termen de 30 de zile de la primirea notificării prevăzute la art. 28, operatorul platformei digitale nu trimite documentele justificative privind remedierea aspectelor notificate. Articolul 31Operatorul platformei digitale este obligat să publice pe site-ul propriu înştiinţarea de retragere a avizului tehnic emis de către MCSI în 24 de ore de la primirea acesteia. Articolul 32După retragerea avizului tehnic în condiţiile art. 30 este necesară parcurgerea totală a procedurii de acordare a avizului tehnic prevăzută în prezentul ordin. Capitolul VMăsuri tranzitorii Articolul 33
(1) Operatorilor platformelor digitale de transport alternativ care nu pot prezenta odată cu depunerea documentaţiei de avizare raportul de audit până la 1.11.2019 li se va acorda un aviz tehnic provizoriu, valabil până la 31.12.2019, dacă aceştia fac dovada că se află în curs de auditare, prin prezentarea contractului de auditare.
(2) După prezentarea raportului de audit de către operatorii platformelor digitale se va urma procedura de eliberare a avizului menţionată în prezentul ordin. Capitolul VIDispoziţii finale Articolul 34Anexele nr. 1-4 fac parte integrantă din prezentul ordin. Articolul 35 Prezentul ordin se publică în Monitorul Oficial al României, Partea I, şi intră în vigoare la data publicării acestuia. Ministrul comunicaţiilor şi societăţii informaţionale, Alexandru Petrescu ANEXA Nr. 1CERERE de eliberare a avizului tehnic pentru operatorul platformei digitale, rezident în România ........ ................ ................ ................ ................ ........, având sediul în ........ ................ ................ ................ ........ ........., (denumirea operatorului platformei digitale) (adresa completă, inclusiv telefon şi fax) înmatriculat(ă)/înregistrat(ă) la oficiul registrului comerţului cu nr. ........ ................ ................ ................ ................ ........ ..............., (numărul de înregistrare/codul unic de înregistrare) ........ ................ ........, reprezentat(ă) legal prin ........ ................ ................ ..............., domiciliat(ă) în ........ ................ ........ ............ (cod fiscal) (numele şi prenumele) (adresa completă, inclusiv telefon) ........ ................ .........., identificat(ă) prin ........ ................ ................ ................ ................ ................ ................ ................ .........., (actul de identitate: seria, numărul şi emitentul, precum şi codul numeric personal) în conformitate cu prevederile Hotărârii Guvernului nr. 36/2017 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, cu prevederile art. 8 din Ordonanţa de urgenţă a Guvernului nr. 49/2019 privind activităţile de transport alternativ cu autoturism şi conducător auto, vă solicităm eliberarea/menţinerea avizului tehnic pentru funcţionarea platformei digitale de transport alternativ cu autoturism şi conducător auto ........ ................ ................ ................ ........ ............ . (denumirea platformei digitale) Sistemul informatic al platformei digitale funcţionează (va funcţiona) la sediul din ........ ................ ................ ................, iar informaţiile prevăzute la art. 5 alin. (1) lit. a)-g) şi j) din Legea nr. 365/2002 privind comerţul electronic, republicată, cu modificările ulterioare, pot fi accesate la adresa web: ........ ................ ................ ........ ............... Numele şi prenumele solicitantului ........ ................ .......... Ştampila solicitantului Data ........ ........ ......... ANEXA Nr. 2CERERE de eliberare a avizului tehnic pentru operatorul platformei digitale, nerezident în România ........ ................ ................ ................ ................ ........, având sediul în ........ ................ ................ ................ ........ ........., (denumirea operatorului platformei digitale) (adresa completă, inclusiv telefon şi fax) înmatriculat(ă)/înregistrat(ă) la ........ ................ ................ ............... cu nr. ........ ................ ................ ................ ................ ........, (ţară, registru) (numărul de înregistrare/codul unic de înregistrare) ........ ................ ................, reprezentat(ă) legal prin sucursala ........ ................ ................ ................ ................ ................ .......... (cod fiscal) (denumirea sucursalei) cu sediul social în ........ ................ ................ ........ .............., reprezentată prin ........ ................ ................ ................ ........ ........., (adresa sucursalei) (numele şi prenumele) domiciliat(ă) în ........ ................ ................ ........ .............., identificat(ă) prin ........ ................ ................ ................ ........ ..............., (adresa completă, inclusiv telefon) (actul de identitate: seria, numărul şi emitentul, precum şi codul numeric personal) în conformitate cu prevederile Hotărârii Guvernului nr. 36/2017 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, cu prevederile art. 8 din Ordonanţa de urgenţă a Guvernului nr. 49/2019 privind activităţile de transport alternativ cu autoturism şi conducător auto, vă solicităm eliberarea/menţinerea avizului tehnic pentru funcţionarea platformei digitale de transport alternativ cu autoturism şi conducător auto ........ ................ ................ ................ ................ ............... (denumirea platformei) Sistemul informatic funcţionează (va funcţiona) la sediul din ........ ................ ................ ................, iar informaţiile prevăzute la art. 5 alin. (1) lit. a)-g) şi j) din Legea nr. 365/2002 privind comerţul electronic, republicată, cu modificările ulterioare, pot fi accesate la adresa web: ........ ................ ................ ........ ............... Numele şi prenumele solicitantului ........ ................ .......... Ştampila solicitantului Data ........ ........ ......... ANEXA Nr. 3RAPORT DE AUDIT Secţiunea 1Raport

Secţiunea a 2-aAnexe la raportul de audit IT 1. Sumarul observaţiilor - anexa nr. R1 Anexa este însuşită de către entitatea auditată prin semnarea acesteia de către reprezentantul legal şi conţine, fără a se limita la acestea: a)descrierea neconformităţii/constatării; b)importanţa neconformităţii/constatării; c)riscurile asociate; d)probabilitatea ca aceste constatări să aibă un impact semnificativ; recomandările auditorului IT pentru acţiuni corective şi răspunsul conducerii entităţii auditate pentru fiecare constatare din raport (inclusiv în urma testului de penetrare); e)planul de acţiune asumat de către entitatea auditată care conţine măsurile efective, termenul de implementare şi persoanele responsabile de implementare.2. Analiza internă a riscurilor operaţionale şi registrul riscurilor - anexa nr. R2 Anexa conţine următoarele informaţii, fără a se limita la acestea: a)descrierea politicii/metodologiei utilizate de către entitate; b)rezultatele revizuirii riscurilor generate de utilizarea sistemelor informatice; c)rezultatele evaluării de către auditorul IT a măsurilor de control implementate în vederea gestionării riscurilor operaţionale identificate (pentru riscuri semnificative).3. Concluzii ale echipei de audit privind respectarea cerinţelor impuse de Ordinul ministrului comunicaţiilor şi societăţii informaţionale nr. 734/2019 privind reglementarea procedurii de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism şi conducător auto - anexa nr. R3 NOTĂ: Anexele prevăzute la secţiunea a 2-a „Anexe la raportul de audit R1-R3 fac parte integrantă din raport. ANEXA Nr. 4AVIZ TEHNIC Având în vedere prevederile Hotărârii Guvernului nr. 36/2017 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, având în vedere prevederile art. 8 din Ordonanţa de urgenţă a Guvernului nr. 49/2019 privind activităţile de transport alternativ cu autoturism şi conducător auto şi ale Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 734/2019 privind reglementarea procedurii de acordare/retragere a avizului tehnic pentru platformele digitale de transport alternativ cu autoturism şi conducător auto, ministrul comunicaţiilor şi societăţii informaţionale eliberează prezentul aviz tehnic. ........ ................ ................ ................ ................ ........ ............., având sediul în........ ................ ................ ........ ............., (denumirea operatorului platformei) (adresa completă, inclusiv telefon şi fax) înmatriculat(ă)/înregistrat (ă) la oficiul registrului comerţului cu nr. ........ .............., cod fiscal ........ ........ ............ reprezentat(ă) legal prin ........ ................ ................ ................ ........, (numele şi prenumele) a obţinut avizul tehnic pentru platforma digitală ........ ................ ................ ................, care este pusă la dispoziţie la adresa (denumirea platformei digitale) web: ........ ................ ................ ........ ......... Prezentul document s-a eliberat operatorului platformei digitale pentru operarea şi punerea la dispoziţie a platformei digitale de transport alternativ cu autoturism şi conducător auto. Prezentul aviz tehnic are valabilitate un an de la eliberarea acestuia, nu este transmisibil şi se publică pe platforma digitală. Ministrul comunicaţiilor şi societăţii informaţionale, ........ ................ ................ ................ Nr. ........ ................ Data ........ .............