Comunica experienta
MonitorulJuridic.ro
În temeiul prevederilor art. 8 alin. (1), (3) şi (5) şi ale <>art. 6 alin. (3) pct. 3 din Ordonanţa de urgenţã a Guvernului nr. 106/2008 privind înfiinţarea Autoritãţii Naţionale pentru Comunicaţii, precum şi ale art. 9 alin. (3) şi ale <>art. 14 din Legea nr. 451/2004 privind marca temporalã, preşedintele Autoritãţii Naţionale pentru Comunicaţii emite prezenta decizie. CAP. I Dispoziţii generale ART. 1 (1) Prezentele norme tehnice şi metodologice se aplicã activitãţii de marcare temporalã şi stabilesc procedura de notificare a Autoritãţii Naţionale pentru Comunicaţii în vederea începerii furnizãrii serviciilor de marcare temporalã, procedurile de generare şi verificare a mãrcilor temporale, precum şi condiţiile de creare şi menţinere a registrului electronic de evidenţã a furnizorilor de servicii de marcare temporalã. (2) Orice persoanã fizicã sau juridicã poate beneficia de servicii de marcare temporalã în condiţiile <>Legii nr. 451/2004 privind marca temporalã şi ale prezentei decizii. ART. 2 În înţelesul prezentei decizii, urmãtorii termeni se definesc astfel: a) ANC - Autoritatea Naţionalã pentru Comunicaţii; b) serviciu de marcare temporalã - serviciul prin care unor date în formã electronicã li se asociazã, printr-un mecanism de încredere, o marcã temporalã; c) furnizor de servicii de marcare temporalã (furnizor) - orice persoanã, fizicã sau juridicã, care oferã servicii de marcare temporalã în conformitate cu prevederile <>Legii nr. 451/2004 şi ale prezentei decizii; d) utilizator - orice persoanã, fizicã sau juridicã, care, în baza unui contract încheiat cu un furnizor, beneficiazã de servicii de marcare temporalã; e) cheie privatã - codul digital, cu caracter de unicitate, generat printr-un dispozitiv hardware şi/sau software specializat; f) cheie publicã - codul digital, pereche a cheii private, necesar verificãrii mãrcii temporale; g) date de verificare a mãrcii temporale - date în formã electronicã, cum ar fi coduri sau chei publice, utilizate în scopul verificãrii unei mãrci temporale; h) dispozitiv criptografic securizat - un dispozitiv hardware cu un înalt grad de fiabilitate, protejat împotriva modificãrilor şi a utilizãrii neautorizate, care asigurã un grad înalt de securitate a operaţiilor criptografice în conformitate cu cerinţele <>Legii nr. 455/2001 privind semnãtura electronicã; i) politica de marcare temporalã - regulile şi principiile generale aplicate de furnizor în procesul de emitere şi administrare a mãrcilor temporale; j) funcţie hash-code - algoritmul aplicat asupra unui document electronic, care creeazã o amprentã unicã a acelui document; k) SHA - Algoritm Securizat de Hash-code (Secure Hash Algorithm); l) RFC -documentele care au fost supuse analizei publice în cadrul unui proces coordonat de Grupul de lucru pentru ingineria internetului; m) extensie de tip critic pentru marcare temporalã - extensia unui certificat digital care trebuie procesatã în mod obligatoriu de aplicaţia care îl utilizeazã, limitând folosirea cheii private asociate certificatului exclusiv la aplicarea semnãturii digitale din cadrul unei mãrci temporale. CAP. II Autoritatea de reglementare şi supraveghere ART. 3 În conformitate cu dispoziţiile <>art. 6 alin. (3) pct. 3 din Ordonanţa de urgenţã a Guvernului nr. 106/2008 privind înfiinţarea Autoritãţii Naţionale pentru Comunicaţii, ANC exercitã atribuţiile care revin autoritãţii de reglementare şi supraveghere în domeniul marcãrii temporale. ART. 4 (1) În cadrul Registrului furnizorilor de servicii de certificare, prevãzut la <>art. 28 din Legea nr. 455/2001 , ANC va crea o secţiune distinctã pentru înregistrarea furnizorilor de servicii de marcare temporalã. (2) ANC gestioneazã Registrul furnizorilor de servicii de marcare temporalã, denumit în continuare registru. Forma acestui registru este prevãzutã în anexa nr. 1, care face parte integrantã din prezenta decizie. (3) Actualizarea registrului se efectueazã exclusiv de cãtre personalul ANC desemnat în acest sens şi vizeazã toate modificãrile privind activitatea furnizorului, precum şi alte informaţii relevante furnizate de acesta. ART. 5 ANC va face publice, spre consultare, urmãtoarele date din registru: a) tipul furnizorului - persoanã fizicã sau juridicã; b) numele şi prenumele sau denumirea furnizorului, dupã caz; c) forma de organizare a furnizorului persoanã juridicã - societate comercialã, regie autonomã, instituţie publicã, organizaţie neguvernamentalã; d) domiciliul sau sediul - ţarã, oraş, judeţ/sector, stradã, numãr, bloc, scarã, etaj, apartament, cod poştal, telefon, fax, e-mail, adresã în pagina web; e) cetãţenia, pentru persoanã fizicã, sau naţionalitatea, pentru persoanã juridicã; f) data la care şi-a început activitatea de furnizare de servicii de marcare temporalã; g) cheia publicã a furnizorului; h) descrierea politicii de marcare temporalã a furnizorului; i) situaţia activitãţii furnizorului - operaţionalã, suspendatã, încetatã, în curs de transferare, în curs de remediere a unor probleme identificate de ANC, cu indicarea termenului-limitã; j) istoricul furnizorului - data de începere a activitãţii, perioade de suspendare, alte situaţii asemãnãtoare. ART. 6 (1) Informaţiile prevãzute la art. 5 din prezenta decizie sunt disponibile public, prin intermediul paginii de internet a ANC. (2) Pe pagina de internet a ANC se vor publica şi informaţii cu privire la <>Legea nr. 451/2004 , prezentele norme tehnice şi metodologice, informaţii generale cu privire la utilizarea mãrcilor temporale, informaţii actualizate din domeniul marcãrii temporale, trimiteri cãtre paginile de internet ale furnizorilor de servicii de marcare temporalã. ART. 7 (1) ANC are obligaţia de a pãstra confidenţialitatea tuturor informaţiilor primite de la furnizorul de servicii de marcare temporalã, cu excepţia celor prevãzute de <>Legea nr. 451/2004 şi de prezenta decizie ca fiind publice. (2) ANC poate încheia un acord de confidenţialitate asupra informaţiilor primite de la furnizorul de servicii de marcare temporalã, la cererea acestuia. (3) Personalul cu atribuţii de control din cadrul ANC este obligat sã pãstreze confidenţialitatea datelor de care a luat cunoştinţã cu ocazia exercitãrii atribuţiilor de control în ceea ce priveşte activitatea furnizorilor de servicii de marcare temporalã. CAP. III Furnizorii de servicii de marcare temporalã SECŢIUNEA 1 Dispoziţii comune ART. 8 (1) Cu 30 de zile înainte de începerea activitãţii, furnizorul de servicii de marcare temporalã va notifica ANC, prin completarea formularului prevãzut în anexa nr. 2, care face parte integrantã din prezenta decizie. (2) Odatã cu efectuarea notificãrii prevãzute la alin. (1), furnizorii au obligaţia de a comunica ANC informaţiile şi documentele prevãzute la <>art. 6 alin. (2) din Legea nr. 451/2004 şi în anexa nr. 2. (3) În termen de 10 zile de la primirea notificãrii, ANC poate solicita completarea documentaţiei prezentate, în conformitate cu alin. (2). (4) Furnizorii au obligaţia de a comunica ANC, cu cel puţin 30 de zile în avans, orice intenţie de modificare a procedurilor de securitate a sistemului informatic utilizat, cu precizarea datei şi a orei la care modificarea intrã în vigoare, precum şi obligaţia de a confirma în termen de 24 de ore modificarea efectuatã. (5) În cazuri urgente, în care securitatea serviciilor de marcare temporalã este afectatã, furnizorii pot efectua modificãri ale procedurilor de securitate, urmând sã comunice ANC, în termen de 24 de ore, modificãrile efectuate şi justificarea deciziei luate. (6) Furnizorii de servicii de marcare temporalã sunt obligaţi sã respecte, pe parcursul desfãşurãrii activitãţii, procedurile de securitate şi de certificare declarate potrivit alin. (2)-(5). Aceştia vor furniza servicii de marcare temporalã în conformitate cu politica de marcare temporalã declaratã. ART. 9 (1) Furnizorul este obligat sã genereze sau sã achiziţioneze o pereche funcţionalã cheie privatã-cheie publicã şi sã îşi protejeze cheia privatã prin utilizarea unui dispozitiv criptografic securizat, luând mãsurile necesare pentru a preveni pierderea, dezvãluirea, modificarea sau utilizarea neautorizatã a cheii sale private. (2) Perechea funcţionalã prevãzutã la alin. (1) va fi folositã exclusiv în scopul aplicãrii semnãturii electronice asupra mãrcilor temporale emise. (3) Cheia privatã nu poate fi dedusã în niciun fel din cheia sa publicã pereche. (4) Furnizorul de servicii de marcare temporalã trebuie sã deţinã certificatul corespunzãtor cheii publice, pe baza cãruia se va putea verifica semnãtura asupra mãrcii temporale. (5) Certificatul utilizat pentru marcarea temporalã va fi transmis ANC, în formã electronicã, la data notificãrii începerii activitãţii. ART. 10 (1) Furnizorii de servicii de marcare temporalã au obligaţia sã respecte dispoziţiile legale din domeniul prelucrãrii datelor cu caracter personal. (2) La data începerii activitãţii de furnizare de servicii de marcare temporalã, furnizorul trebuie sã deţinã calitatea de operator de date personale şi sã depunã la ANC o copie de pe certificatul doveditor, eliberat de Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu Caracter Personal. ART. 11 (1) Furnizorii de servicii de marcare temporalã au obligaţia de a crea şi menţine un registru electronic operativ de evidenţã a mãrcilor temporale. (2) Registrul electronic operativ de evidenţã a mãrcilor temporale trebuie sã conţinã cel puţin urmãtoarele informaţii: a) toate mãrcile temporale emise de cãtre furnizorul de servicii de marcare temporalã, cuprinzând, pe lângã marca temporalã propriu-zisã, şi date referitoare la marca temporalã şi la certificatul utilizat; b) înregistrãri ale evenimentelor apãrute în sistemul informatic utilizat pentru generarea mãrcilor temporale. (3) Informaţiile prevãzute la alin. (2) lit. a) trebuie sã fie disponibile permanent pentru consultare pe pagina de internet a furnizorului. (4) Furnizorul de servicii de marcare temporalã are obligaţia de a transmite, la cerere, cãtre ANC informaţiile prevãzute la alin. (2) lit. b). (5) Structura şi condiţiile de exploatare ale registrului electronic operativ de evidenţã a mãrcilor temporale sunt prevãzute în anexa nr. 3, care face parte integrantã din prezenta decizie. ART. 12 (1) Furnizorii de servicii de marcare temporalã trebuie sã aducã la cunoştinţa tuturor utilizatorilor termenii şi condiţiile care privesc utilizarea serviciilor de marcare temporalã, şi anume: a) datele de contact ale furnizorului; b) politica de marcare temporalã aplicatã; c) standardele tehnice aplicabile; d) precizia timpului din mãrcile temporale; e) orice limitãri în folosirea serviciului de marcare temporalã; f) obligaţiile utilizatorului; g) informaţii despre cum trebuie verificatã marca temporalã şi orice limitãri posibile asupra perioadei de valabilitate; h) descrierea practicilor, procedurilor şi sistemelor care asigurã securitatea şi integritatea datelor, accesul autorizat permanent la acestea şi modalitãţile de prevenire a accesului neautorizat (codul de practici şi proceduri); i) politica privind protecţia datelor cu caracter personal; j) perioada de timp în care sunt pãstrate înregistrãrile referitoare la evenimente ale furnizorului; k) disponibilitatea serviciilor. (2) Aceste informaţii trebuie sã fie disponibile pe pagina de internet a furnizorului de servicii de marcare temporalã. ART. 13 (1) Furnizorul de servicii de marcare temporalã trebuie sã îndeplineascã urmãtoarele condiţii: a) sã dispunã de mijloace financiare şi de resurse materiale, tehnice şi umane corespunzãtoare pentru garantarea securitãţii, fiabilitãţii şi continuitãţii serviciilor oferite; b) sã dovedeascã ANC cã dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfãşurãrii activitãţi de marcare temporalã şi cã este capabil sã acopere pierderile suferite de cãtre o persoanã care îşi întemeiazã conduita pe efectele juridice ale mãrcilor temporale, în condiţiile prevãzute la <>art. 10 din Legea nr. 451/2004 , pânã la concurenţa echivalentului în lei al sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar dacã se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de cãtre furnizor a unei obligaţii prevãzute de lege. Furnizorul va trebui sã depunã la ANC o scrisoare de garanţie din partea unei instituţii financiare de specialitate sau o poliţã de asigurare la o societate de asigurãri, în favoarea ANC, în valoare cel puţin egalã cu echivalentul în lei al sumei de 300.000 euro; c) sã foloseascã personal având cunoştinţe de specialitate, experienţã şi calificare necesare pentru furnizarea serviciilor respective; d) sã utilizeze numai dispozitive criptografice securizate pentru efectuarea operaţiilor criptografice implicate în procesul generãrii mãrcii temporale; e) sã utilizeze un sistem informatic care sã respecte cerinţele de securitate prevãzute la <>art. 4 alin. (1) din Legea nr. 451/2004 ; f) sã pãstreze toate informaţiile necesare pentru a putea face dovada marcãrii temporale în cazul unui eventual litigiu (înregistrãri ale mãrcilor temporale emise, documentaţia aferentã algoritmilor şi procedurilor de generare a mãrcilor temporale emise, alte documente) pentru o perioadã de minimum 10 ani de la data emiterii. (2) În vederea îndeplinirii obligaţiei prevãzute la alin. (1) lit. e), furnizorul va publica documentaţia aferentã mecanismului implementat în vederea îndeplinirii acestei obligaţii, iar o copie a documentaţiei va fi transmisã ANC. ART. 14 Orice persoanã, fizicã sau juridicã, care doreşte sã beneficieze de servicii de marcare temporalã trebuie: a) sã furnizeze informaţiile referitoare la identitatea sa; b) sã respecte limitãrile impuse de furnizorul de servicii de marcare temporalã. SECŢIUNEA a 2-a Mecanismul marcãrii temporale a documentelor ART. 15 (1) Marcarea temporalã este realizatã cu respectarea urmãtoarelor etape: a) utilizatorul transmite furnizorului o cerere de emitere a mãrcii temporale pentru un anumit document electronic. Cererea va conţine amprenta digitalã a documentului pentru care se face cererea, amprentã creatã prin intermediul aplicãrii unei funcţii hash-code asupra documentului; b) într-un interval de timp stabilit prin politica de marcare temporalã, furnizorul de servicii de marcare temporalã executã urmãtoarele operaţiuni asupra amprentei digitale a documentului primit de la utilizator, folosind un sistem informatic sigur, care îndeplineşte cerinţele de securitate prevãzute de <>art. 4 din Legea nr. 451/2004 : 1. aplicã informaţia de timp, raportându-se la baza de timp; 2. aplicã celelalte date prevãzute de <>Legea nr. 451/2004 şi orice alte date prevãzute în politica sa de marcare temporalã care nu contravin prevederilor legale şi standardelor recunoscute în materie; 3. o semneazã electronic utilizând un certificat digital calificat; c) în urma acestor operaţiuni rezultã marca temporalã care este transmisã utilizatorului. (2) Autenticitatea mãrcii temporale poate fi verificatã de cãtre terţi pe baza documentului original, a mãrcii temporale, a cheii publice a furnizorului de servicii de marcare temporalã şi a funcţiei hash-code utilizate pentru crearea amprentei digitale a documentului. ART. 16 (1) Furnizorul de servicii de marcare temporalã trebuie sã utilizeze informaţia de timp furnizatã de furnizorul unic de bazã de timp. (2) Furnizorul unic de bazã de timp este Sistemul informatic pentru furnizarea orei oficiale a României, realizat de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei. (3) Sursa de timp folositã de cãtre furnizorul de servicii de marcare temporalã trebuie sã fie sincronizatã cu referinţa de timp oferitã de furnizorul unic de bazã de timp, abaterea maxim admisã fiind de +/- 1 secundã. (4) Furnizorul de servicii de marcare temporalã are obligaţia de a lua toate mãsurile pentru calibrarea echipamentelor, astfel încât valoarea prevãzutã la alin. (3) sã nu fie depãşitã. (5) În cazul în care detecteazã cazuri în care au fost emise mãrci temporale cu depãşirea valorii prevãzute la alin. (3), furnizorul va transmite ANC o înştiinţare în acest sens. (6) Furnizorul are obligaţia de a pãstra datele care dovedesc respectarea valorii prevãzute la alin. (3) (de exemplu, log-urile de sincronizare) şi de a le pune la dispoziţia ANC, la cerere. ART. 17 (1) Furnizorul de servicii de marcare temporalã este obligat sã punã la dispoziţia utilizatorilor software-ul necesar pentru utilizarea serviciului. (2) Furnizorul trebuie sã ofere utilizatorilor urmãtoarele informaţii despre software-ul pus la dispoziţie: a) condiţiile în care este disponibil software-ul; b) instrucţiunile de folosire; c) obligaţiile utilizatorului; d) orice alte limitãri privind utilizarea software-ului. (3) Software-ul pus la dispoziţie de cãtre furnizorul de servicii de marcare temporalã trebuie sã permitã utilizatorului sã verifice dacã marcarea temporalã a fost realizatã în mod corect, prin analiza automatã a cel puţin urmãtoarelor elemente: a) structura mãrcii temporale; b) amprenta din marca temporalã; c) semnãtura electronicã a mãrcii temporale, respectiv validitatea certificatului folosit pentru semnare. ART. 18 (1) Marca temporalã va avea structura stabilitã în anexa nr. 4, care face parte integrantã din prezenta decizie. (2) De asemenea, marca temporalã trebuie sã includã: a) un identificator pentru ţara în care furnizorul de servicii de marcare temporalã este stabilit, acolo unde este aplicabil; b) un identificator pentru furnizorul de servicii de marcare temporalã, care va conţine cel puţin numãrul de ordine din registru; c) un identificator pentru unitatea care emite mãrci temporale. (3) Datele prevãzute la alin. (2) se vor introduce în marca temporalã folosindu-se câmpul "tsa" din cadrul structurii mãrcii temporale. Introducerea acestui câmp este obligatorie. (4) ANC va publica eventualele modificãri ale formatului descris în anexa nr. 4, pe baza evoluţiei tehnologiilor sau a normelor internaţionale recunoscute în domeniu. ART. 19 (1) În vederea asigurãrii conformitãţii cu cerinţele <>Legii nr. 451/2004 şi ale prezentei decizii, se recomandã respectarea urmãtoarelor standarde şi recomandãri de cãtre furnizorii de servicii de marcare temporalã: a) SR ETSI TS 101 861 V1.2.1: 2005 Profil de marcare temporalã; b) SR ETSI TS 101 862 V1.3.2: 2005 Profil de certificat calificat; c) SR ETSI TS 102 023 V1.2.1: 2005 Semnãturi electronice şi infrastructuri (ESI). Cerinţe privind politica pentru autoritãţile de marcare temporalã; d) SR ISO/CEI 18014-1: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporalã. Partea 1: Cadru; e) SR ISO/CEI 18014-2: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporalã. Partea 2: Mecanisme care produc mãrci temporale independente sau SR ISO/CEI 18014-3: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporalã. Partea 3: Mecanisme care produc mãrci temporale înlãnţuite; f) SR ISO/CEI TR 14516: 2005 Tehnologia informaţiei. Tehnici de securitate. Îndrumãri pentru utilizarea şi administrarea serviciilor pãrţilor terţe de încredere; g) Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP): IETF RFC 3161; h) Cryptographic Message Syntax: IETF RFC 2630; i) Internet X.509 Public Key Infrastructure Certificate and CRL Profile: IETF RFC 2459; j) Date and Time on the Internet: Timestamps: IETF RFC 3339. (2) Furnizorii au obligaţia de a pune la dispoziţia publicului, pe pagina proprie de internet, informaţii privind standardele pe care le aplicã în cadrul activitãţii propriu-zise de generare a mãrcii temporale şi procedurile de securitate utilizate. ART. 20 Amprenta digitalã utilizatã în procesul de marcare temporalã, creatã prin intermediul aplicãrii unei funcţii hash-code asupra unui document în formã electronicã, trebuie sã aibã urmãtoarele caracteristici: a) sã permitã identificarea unicã a documentului în formã electronicã, datoritã imposibilitãţii practice de a crea amprente identice pentru documente diferite; b) sã nu permitã deducerea conţinutului documentului respectiv, datoritã imposibilitãţii practice de a reconstitui conţinutul documentului original pe baza amprentei. ART. 21 Furnizorul foloseşte doar funcţia hash-code SHA1 (opţional SHA2) şi algoritmul de criptare RSA. Este interzisã folosirea teoremei chinezeşti a resturilor. ART. 22 (1) Certificatul furnizorului de servicii de marcare temporalã trebuie sã fie emis de un furnizor de servicii de certificare acreditat în condiţiile <>Legii nr. 455/2001 . (2) Certificatul furnizorului va conţine în mod obligatoriu extensia pentru marcare temporalã prevãzutã în standardele internaţionale în vigoare (RFC 3161 - protocol de marcã temporalã, secţiunea 2.3). Extensia trebuie sã fie de tip critic. ART. 23 Marca temporalã va fi transmisã solicitantului prin mecanismele de transport prevãzute în standardul internaţional RFC 3161 - protocol de marcã temporalã, secţiunea a 3-a. Se va implementa în mod obligatoriu cel puţin protocolul HTTP. ART. 24 (1) Serviciul de verificare a mãrcilor temporale se asigurã cãtre terţi şi este menţionat expres în contractul încheiat între furnizorul de servicii de marcã temporalã şi utilizator. (2) Verificarea trebuie sã poatã fi realizatã automat, prin internet, fiind accesibilã oricãrei persoane fizice sau juridice care îşi bazeazã conduita pe efectele juridice ale unei mãrci temporale. SECŢIUNEA a 3-a Suspendarea sau încetarea activitãţii furnizorilor de servicii de marcare temporalã ART. 25 (1) În conformitate cu prevederile <>art. 9 alin. (4) din Legea nr. 451/2004 , controlul respectãrii dispoziţiilor <>Legii nr. 451/2004 , precum şi ale prezentei decizii revine ANC, care acţioneazã prin personalul de control de specialitate împuternicit în acest scop. (2) ANC are dreptul de a efectua controale asupra furnizorilor de servicii de marcare temporalã, din oficiu sau la solicitarea oricãrei persoane interesate. (3) În vederea exercitãrii atribuţiilor de control, personalul împuternicit în acest scop este autorizat în limitele legii: a) sã aibã acces liber, permanent, în orice loc în care se aflã echipamentele necesare furnizãrii serviciilor de marcare temporalã; b) sã solicite orice document sau informaţie necesarã în vederea verificãrii respectãrii obligaţiilor ce incumbã furnizorului de servicii de marcare temporalã; c) sã verifice punerea în aplicare a oricãror proceduri utilizate de cãtre furnizorul de servicii de marcare temporalã supus controlului; d) sã sigileze orice echipamente necesare furnizãrii de servicii de marcare temporalã sau sã reţinã orice document care are legãturã cu aceastã activitate, pe o perioadã care nu poate depãşi 15 zile, dacã aceste mãsuri se impun. ART. 26 (1) ANC va dispune, prin decizie, suspendarea activitãţii furnizorului de servicii de marcare temporalã pânã la încetarea cauzelor care au determinat luarea mãsurii, în urmãtoarele situaţii: a) furnizorul nu respectã politica de marcare temporalã şi procedurile de securitate declarate, într-un mod în care afecteazã securitatea procesului de marcare temporalã; b) furnizorul încalcã obligaţia prevãzutã la <>art. 5 alin. (1) din Legea nr. 451/2004 ; c) odatã cu aplicarea sancţiunilor contravenţionale prevãzute la <>art. 12 din Legea nr. 451/2004 ; d) furnizorul nu respectã obligaţiile prevãzute la art. 8 alin. (4) şi art. 16; e) furnizorul nu remediazã în termenul stabilit de ANC orice alte deficienţe apãrute ca urmare a nerespectãrii prevederilor <>Legii nr. 451/2004 şi ale prezentei decizii şi constatate cu prilejul efectuãrii controalelor de cãtre ANC. (2) Odatã cu comunicarea deciziei de suspendare temporarã a activitãţii, ANC comunicã furnizorului un termen în care trebuie sã remedieze problemele care au determinat luarea acestei mãsuri. Termenul nu poate fi mai mic de 30 de zile. Furnizorul poate solicita motivat prelungirea acestui termen. (3) Suspendarea activitãţii înceteazã în momentul în care furnizorul face dovada încetãrii cauzelor care au determinat luarea mãsurii. (4) Dacã furnizorul nu remediazã problemele care au determinat suspendarea în termenul stabilit în condiţiile alin. (2), ANC va dispune, prin decizie, încetarea activitãţii acestuia. (5) În perioada în care activitatea sa este suspendatã, furnizorul are obligaţia sã asigure continuarea funcţionãrii serviciului de verificare a mãrcilor temporale, precum şi consultarea în regim on-line a registrului electronic, cu excepţia cazului în care deficienţele se gãsesc la nivelul acestor sisteme. ART. 27 (1) În cazul în care furnizorul intenţioneazã sã înceteze activitãţile legate de marcarea temporalã, va informa ANC, cu cel puţin 30 de zile în avans, despre intenţia sa, respectiv despre existenţa şi natura împrejurãrii care justificã imposibilitatea de continuare a activitãţilor, prin completarea formularului prevãzut în anexa nr. 5, care face parte integrantã din prezenta decizie. (2) Furnizorului îi revine obligaţia ca, în situaţia în care se aflã în imposibilitate de a continua activitãţile legate de marcarea temporalã şi nu a putut prevedea aceastã situaţie cu cel puţin 30 de zile înainte ca încetarea activitãţilor sã se producã, sã informeze ANC în termen de 24 de ore din momentul în care a luat cunoştinţã sau trebuia şi putea sã ia cunoştinţã despre imposibilitatea continuãrii activitãţilor. (3) Atât în cazul încetãrii activitãţii din iniţiativa sa, cât şi în cazul în care încetarea activitãţii a fost dispusã de ANC, furnizorul de servicii de marcare temporalã va desemna alt furnizor de servicii de marcare temporalã, cãruia îi va transfera, în tot sau în parte, activitãţile sale. Transferul va opera în urmãtoarele condiţii: a) furnizorul de servicii de marcare temporalã va înştiinţa fiecare utilizator, cu cel puţin 30 de zile în avans, despre intenţia sa de transferare a activitãţilor legate de marcarea temporalã cãtre un alt furnizor, menţionând identitatea acestuia; b) furnizorul de servicii de marcare temporalã va face cunoscutã utilizatorilor sãi posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate fi exercitat. (4) Furnizorul aflat în unul dintre cazurile prevãzute la alin. (1) şi (2), ale cãrui activitãţi nu sunt preluate de un alt furnizor de servicii de marcare temporalã, este obligat sã depunã la ANC informaţiile şi documentele prevãzute la <>art. 8 alin. (2) din Legea nr. 451/2004 , precum şi dovada revocãrii certificatului utilizat în procesul de marcare temporalã. CAP. IV Dispoziţii finale ART. 28 Prezenta decizie se publicã în Monitorul Oficial al României, Partea I, şi intrã în vigoare la 3 zile de la data publicãrii. Preşedintele Autoritãţii Naţionale pentru Comunicaţii, Dorin-Liviu Nistoran Bucureşti, 2 octombrie 2008. Nr. 896. ANEXA 1
┌──────────────────────────────────────────────────────────────────────────────┐
│Conţinutul şi structura Registrului furnizorilor de servicii de marcare │
│temporalã │
├───┬──────────────────────────────────────────────────────────────────────────┤
│ 1.│Numãrul de ordine al înregistrãrii, generat automat │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 2.│Codul de identificare a furnizorului de servicii de marcare temporalã │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 3.│Calitatea furnizorului: persoanã fizicã sau persoanã juridicã │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 4.│Numele şi prenumele furnizorului (pentru persoanã fizicã)/Denumirea │
│ │(pentru persoanã juridicã) │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 5.│Adresa (ţarã, oraş, judeţ/sector, stradã, numãr, bloc, scarã, etaj, │
│ │apartament, cod poştal, telefon, fax, e-mail, adresã paginã web) │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 6.│Codul unic de înregistrare la registrul comerţului (pentru persoanã │
│ │juridicã) │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 7.│Data la care a început activitatea │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 8.│Cheia publicã a certificatului digital folosit de furnizorul de servicii │
│ │în procesul de marcare temporalã │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 9.│Descrierea sistemelor furnizorului de servicii de marcare temporalã │
├───┼──────────────────────────────────────────────────────────────────────────┤
│10.│Codul de proceduri şi practici al furnizorului de servicii de marcare │
│ │temporalã │
├───┼──────────────────────────────────────────────────────────────────────────┤
│11.│Descrierea politicii generale a furnizorului de servicii de marcare │
│ │temporalã │
├───┼──────────────────────────────────────────────────────────────────────────┤
│12.│Tipul garanţiei furnizorului │
├───┼──────────────────────────────────────────────────────────────────────────┤
│13.│Societatea de asigurãri/Instituţia financiarã care garanteazã capacitatea │
│ │financiarã a furnizorului │
├───┼──────────────────────────────────────────────────────────────────────────┤
│14.│Suma asiguratã/Suma acoperitã prin scrisoarea de garanţie │
├───┼──────────────────────────────────────────────────────────────────────────┤
│15.│Situaţii critice: câmp ce poate conţine referiri la ultima situaţie │
│ │criticã (de exemplu, întreruperea temporarã a activitãţii din cauza unor │
│ │probleme tehnice, modificarea procedurilor, sancţiuni etc.) │
├───┼──────────────────────────────────────────────────────────────────────────┤
│16.│Data şi ora ultimei actualizãri a registrului │
├───┼──────────────────────────────────────────────────────────────────────────┤
│17.│Situaţia furnizorului (operaţional, suspendat, activitatea încetatã, │
│ │în curs de transferare a activitãţii etc.) │
├───┼──────────────────────────────────────────────────────────────────────────┤
│18.│Motivul suspendãrii/reluãrii/încetãrii activitãţii (dacã este cazul) │
└───┴──────────────────────────────────────────────────────────────────────────┘
ANEXA 2
┌──────────────────────────────────────────────────────────────────────────────┐
│Formular de notificare pentru furnizorii de servicii de marcare temporalã │
├──────────────────────────────────┬────────┬────────┬──────────┬────────┬─────┤
│Furnizor de servicii de marcare │Ţara │Oraş │Sector │Str. │Nr. │
│temporalã persoanã fizicã/juridicã├────────┼────────┼──────────┼────────┼─────┤
│ │ │ │ │ │ │
├──────────────────────────────────┼────────┼────────┼──────────┼────────┴─────┤
│ │Bl. │Et. │Ap. │Cod poştal │
│ ├────────┼────────┼──────────┼──────────────┤
│ │ │ │ │ │
│Domiciliul sau sediul ├────────┼────────┼──────────┼──────────────┤
│ │Tel. │Fax │E-mail │Web │
│ ├────────┼────────┴──────────┼──────────────┤
│ │ │ │ │
├──────────────────────────────────┴────────┼───────────────────┴──────────────┤
│Cod de înregistrare la registrul comerţului│Tip societate │
├───────────────────────────────────────────┼──────────────────────────────────┤
│ │ │
├───────────────────────────────────────────┼──────────────────────────────────┤
│Banca │Nr. cont bancar │
├───────────────────────────────────────────┼──────────────────────────────────┤
│ │ │
├───────────────────────────────────────────┼──────────────────────────────────┤
│Naţionalitate │Cetãţenie │
├───────────────────────────────────────────┼──────────────────────────────────┤
│ │ │
├──────────────────────────────────┬────────┴──────────────────────────────────┤
│Data începerii activitãţii │ │
├──────────────────────────────────┼───────────────────────────────────────────┤
│Opis documente anexate │ │
└──────────────────────────────────┴───────────────────────────────────────────┘
ÎNŞTIINŢARE - ANGAJAMENT Subsemnatul, .......... (numele şi prenumele/denumirea), înştiinţez Autoritatea Naţionalã pentru Comunicaţii (ANC) referitor la desfãşurarea serviciilor de marcare temporalã, menţionate în prezentul document, cu începere de la data de ........... Mã angajez sã îmi desfãşor activitatea în conformitate cu prevederile <>Legii nr. 451/2004 privind marca temporalã, ale Deciziei preşedintelui Autoritãţii Naţionale pentru Comunicaţii nr. 896/2008 privind normele tehnice şi metodologice pentru aplicarea <>Legii nr. 451/2004 privind marca temporalã, precum şi cu standardele europene şi internaţionale în domeniu. Mã oblig sã acopãr prejudiciile pe care le-aş putea cauza utilizatorilor, în condiţiile prevãzute la <>art. 10 din Legea nr. 451/2004 . De asemenea, mã angajez sã comunic utilizatorilor instrucţiunile practice de marcare temporalã, precum şi termenele şi condiţiile de utilizare a serviciilor de marcare temporalã. 1. contractul de închiriere/actul de proprietate pentru sediu; 2. adeverinţa din partea administraţiei finanţelor publice privind plata la zi a taxelor şi impozitelor cãtre stat; 3. certificat de bonitate sau scrisoare de garanţie din partea bãncii, prin care persoana fizicã/juridicã desfãşoarã plãţi şi încasãri curente; 4. o scrisoare de garanţie în valoare de ........, în favoarea ANC, la .......... (numele instituţiei financiare)/o poliţã de asigurare la ........ (numele societãţii de asigurare), în favoarea ANC, în valoare de ........*);----------- *) Se va opta pentru una dintre cele douã variante, în conformitate cu prevederile art. 13 alin. (1) lit. b) din prezenta decizie. 5. certificatul calificat folosit în activitatea de marcare temporalã; 6. politica de marcare temporalã aplicatã; 7. descrierea generalã a sistemului informatic utilizat pentru desfãşurarea activitãţii de marcare temporalã, însoţitã de o declaraţie de conformitate cu prevederile <>art. 4 alin. (1) din Legea nr. 451/2004 ; 8. descrierea practicilor, procedurilor şi sistemelor care asigurã securitatea şi integritatea datelor, accesul autorizat permanent la acestea şi modalitãţile de prevenire a accesului neautorizat (codul de practici şi proceduri); 9. politica referitoare la protecţia datelor cu caracter personal; 10. certificatul care dovedeşte calitatea de operator de date cu caracter personal. Furnizor, Din partea ANC, ............. ...................... Data şi ora Am primit documentaţia menţionatã. ............. ANEXA 3 CONŢINUTUL MINIMAL al Registrului electronic operativ de evidenţã a mãrcilor temporale I. Registrul electronic operativ de evidenţã a mãrcilor temporale va cuprinde: 1. Lista tuturor mãrcilor temporale emise de cãtre furnizorul de servicii de marcare temporalã, cuprinzând urmãtoarele informaţii: A. Date referitoare la marca temporalã
┌────┬────────────────────────────────────────────────────────────────────┐
│Nr. │Categorie de date │
│crt.│ │
├────┼────────────────────────────────────────────────────────────────────┤
│ 1. │Identificator unic │
├────┼────────────────────────────────────────────────────────────────────┤
│ 2. │Data şi ora la care marca temporalã a fost aplicatã │
├────┼────────────────────────────────────────────────────────────────────┤
│ 3. │Cod de identificare utilizator │
├────┼────────────────────────────────────────────────────────────────────┤
│ 4. │Amprenta documentului supusã marcãrii temporale │
├────┼────────────────────────────────────────────────────────────────────┤
│ 5. │Identificarea algoritmului utilizat pentru generarea amprentei │
└────┴────────────────────────────────────────────────────────────────────┘
B. Date referitoare la furnizor/certificatul furnizorului
┌────┬─────────────────────────────────────────┬─────────────────────────────┐
│ 1. │Nume │SubjectName │
├────┼─────────────────────────────────────────┼─────────────────────────────┤
│ 2. │Data emiterii │ │
├────┼─────────────────────────────────────────┼─────────────────────────────┤
│ 3. │Valabilitate │ │
├────┼─────────────────────────────────────────┼─────────────────────────────┤
│ 4. │Date de identificare ale furnizorului │ │
│ │de servicii de certificare superior │IssuerName, SerialNumber │
└────┴─────────────────────────────────────────┴─────────────────────────────┘
C. Marca temporalã emisã 2. Înregistrãri ale evenimentelor apãrute în sistemul informatic utilizat pentru generarea mãrcilor temporale: - sincronizãrile cu baza de timp; - schimbarea cheilor criptografice; - opriri ale sistemului; - incidente de securitate. II. Regimul de acces la informaţiile cuprinse în Registrul electronic operativ de evidenţã a mãrcilor temporale ● Informaţiile de la pct. 1 vor fi disponibile permanent pentru consultare pe pagina de internet a furnizorului de servicii de marcare temporalã. ● Informaţiile de la pct. 2 vor fi fãcute publice în conformitate cu politica de marcare temporalã a furnizorului şi vor fi furnizate, la cerere, Autoritãţii Naţionale pentru Comunicaţii. ANEXA 4 CONŢINUTUL ŞI STRUCTURA MĂRCII TEMPORALE
┌─────────────────────────┬─────────────────────────┬───────────────┬──────────┐
│ Nume │ Explicaţie detaliatã │Structura ASN1 │Observaţii│
├─────────────────────────┴─────────────────────────┴───────────────┴──────────┤
│A. Informaţii despre marca temporalã propriu-zisã │
│(TSTInfo) │
├─────────────────────────┬─────────────────────────┬───────────────┬──────────┤
│Versiune │ │INTEGER │ │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Politica │ │OID │ │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Amprenta de marcat │Hash-ul + algoritmul │messageImprint │ │
│ │de hash │ │ │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Numãr serial unic │ │INTEGER │ │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Momentul exact de timp │UTC, notaţie "zulu" │GeneralizedTime│ │
│al emiterii │ │ │ │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Precizie │Secunde, milisecunde, │Accuracy │ opţional │
│ │microsecunde │ │ │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Numãr aleatoriu (Nonce) │ │INTEGER │ opţional │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Numele furnizorului │ │GeneralName │ opţional │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Extensii │ │Extensions │ opţional │
├─────────────────────────┴─────────────────────────┴───────────────┴──────────┤
│B. Semnãtura furnizorului │
│(ContentInfo ce încapsuleazã o structurã signedData) │
├─────────────────────────┬─────────────────────────┬───────────────┬──────────┤
│ │Semnãtura propriu-zisã │ │ │
│ │(SignatureValue),însoţitã│ │ │
│Info semnãtura │de datele de identificare│ signerInfo │ │
│ │ale semnatarului │ │ │
│ │(SignerIdentifier) │ │ │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Certificatul furnizorului│ │ certs │ opţional │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
├─────────────────────────┴─────────────────────────┴───────────────┴──────────┤
│C. Statutul PKI (PKIStatusInfo) │
├─────────────────────────┬─────────────────────────┬───────────────┬──────────┤
│Codul de status PKI │ │PKIStatus │ │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Mesajul text PKI │ │PKIFreeText │ opţional │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Informaţii despre │ │PKIFailureInfo │ opţional │
│eroarea PKI │ │ │ │
└─────────────────────────┴─────────────────────────┴───────────────┴──────────┘
ANEXA 5
┌──────────────────────────────────────────────────────────────────────────────┐
│Formular de informare cu privire la încetarea activitãţii unui furnizor de │
│servicii de marcare temporalã │
├──────────────────────────────────────┬───────────────────────────────────────┤
│Nume furnizor │Codul din registrul furnizorilor │
│ │de servicii │
├──────────────────────────────────────┤ │
│ │ │
├──────────────────────────────────────┴───────────────────────────────────────┤
│Motivele încetãrii activitãţii: │
│ │
│ │
├──────────────────────────────────────┬───────────────────────────────────────┤
│Data la care a înştiinţat ANC │Data încetãrii activitãţii │
│ │ │
├──────────────────────────────────────┼───────────────────────────────────────┤
│Numele furnizorului care va prelua │Codul din registrul furnizorilor │
│activitatea │de servicii │
├──────────────────────────────────────┤ │
│ │ │
├──────────────────────────────────────┴───────────────────────────────────────┤
│Mãsuri luate referitoare la utilizatori: │
│ │
├──────────────────────────────────────┬───────────────────────────────────────┤
│ │ │
│ │ │
│ │ │
│ │ │
└──────────────────────────────────────┴───────────────────────────────────────┘
------------
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.