Comunica experienta
MonitorulJuridic.ro
────────── Aprobate prin DECIZIA nr. 549 din 9 octombrie 2020, publicată în Monitorul Oficial, Partea I, nr. 962 din 20 octombrie 2020.────────── CAP. I Dispoziţii generale ART. 1 (1) Prezentele norme se aplică activităţii de marcare temporală şi stabilesc procedura de notificare a Autorităţii pentru Digitalizarea României în vederea începerii furnizării serviciilor de marcare temporală, procedurile de generare şi verificare a mărcilor temporale, precum şi condiţiile de creare şi menţinere a registrului electronic de evidenţă a furnizorilor de servicii de marcare temporală. (2) Orice persoană fizică sau juridică poate beneficia de servicii de marcare temporală în condiţiile Legii nr. 451/2004 privind marca temporală şi ale prezentelor norme tehnice. (3) În cazul instituţiilor din domeniul apărării, ordinii publice şi siguranţei naţionale, ale căror sisteme fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat, acestea pot utiliza servicii de marcare temporală, furnizate de oricare dintre aceste instituţii, cu condiţia să fi fost acreditată anterior ca furnizor de marcare temporală pentru nevoi proprii. (4) Furnizarea serviciilor de marcare temporală între instituţiile prevăzute la alin. (3) se face pe bază de cerere expresă depusă de către instituţia ce doreşte a utiliza serviciile de marcare temporală ale unui furnizor acreditat pentru nevoi proprii şi prin încheierea unor acorduri între părţi, acorduri care includ inclusiv modalităţile de despăgubire în cazul producerii unui prejudiciu. (5) Furnizarea serviciilor de marcare temporală în condiţiile alin. (3) se poate realiza numai după transmiterea către ADR, cu 15 zile înainte de începerea furnizării, a unei notificări împreună cu codul de practici şi proceduri şi politica de securitate actualizate. (6) Drepturile şi obligaţiile prevăzute prin prezenta decizie pentru utilizatori sunt aplicabile personalului abilitat să utilizeze marca temporală în cadrul acestor instituţii. (7) Instituţiile din domeniul apărării, ordinii publice şi siguranţei naţionale care furnizează servicii de marcare temporală ce urmează a fi folosite exclusiv în sisteme care fac parte dintr-un sistem informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat sunt exceptate de la obligaţiile prevăzute prin prezenta decizie referitoare la publicarea în mediul online a unor informaţii, stabilind în acest sens proceduri interne privind accesul personalului abilitat la respectivele informaţii. ART. 2 În înţelesul prezentelor norme tehnice, următorii termeni se definesc astfel: a) ADR - Autoritatea pentru Digitalizarea României; b) serviciu de marcare temporală - serviciul prin care unor date în formă electronică li se asociază, printr-un mecanism de încredere, o marcă temporală; c) furnizor de servicii de marcare temporală (furnizor) - orice persoană, fizică sau juridică, care oferă servicii de marcare temporală în conformitate cu prevederile Legii nr. 451/2004 şi ale prezentelor norme tehnice; d) utilizator - orice persoană, fizică sau juridică, care, în baza unui contract încheiat cu un furnizor, beneficiază de servicii de marcare temporală; e) cheie privată - codul digital, cu caracter de unicitate, generat printr-un dispozitiv hardware şi/sau software specializat; f) cheie publică - codul digital, pereche a cheii private, necesar verificării mărcii temporale; g) date de verificare a mărcii temporale - datele în formă electronică, cum ar fi coduri sau chei publice, utilizate în scopul verificării unei mărci temporale; h) dispozitiv criptografic securizat - un dispozitiv hardware cu un înalt grad de fiabilitate, protejat împotriva modificărilor şi a utilizării neautorizate, care asigură un grad înalt de securitate a operaţiilor criptografice în conformitate cu cerinţele Legii nr. 455/2001 privind semnătura electronică, republicată, cu completările ulterioare; i) politica de marcare temporală - regulile şi principiile generale aplicate de furnizor în procesul de emitere şi administrare a mărcilor temporale; j) funcţie hash-code - algoritmul aplicat asupra unui document electronic, care creează o amprentă unică a acelui document; k) SHA - algoritm securizat de hash-code (Secure Hash Algorithm); l) RFC - documentele care au fost supuse analizei publice în cadrul unui proces coordonat de Grupul de lucru pentru ingineria internetului; m) extensie de tip critic pentru marcare temporală - extensia unui certificat calificat care trebuie procesată în mod obligatoriu de aplicaţia care îl utilizează, limitând folosirea cheii private asociate certificatului exclusiv la aplicarea semnăturii electronice extinse din cadrul unei mărci temporale. CAP. II Autoritatea de reglementare şi supraveghere ART. 3 În conformitate cu dispoziţiile art. 5 lit. f) pct. 15 din Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările ulterioare, ADR exercită atribuţiile care revin autorităţii de reglementare şi supraveghere în domeniul marcării temporale. ART. 4 (1) În cadrul Registrului furnizorilor de servicii de certificare prevăzut la art. 28 din Legea nr. 455/2001, republicată, cu completările ulterioare, ADR va crea o secţiune distinctă pentru înregistrarea furnizorilor de servicii de marcare temporală. (2) ADR gestionează Registrul furnizorilor de servicii de marcare temporală, denumit în continuare registru. Forma acestui registru este prevăzută în anexa nr. 1. (3) Actualizarea registrului se efectuează exclusiv de către personalul ADR desemnat în acest sens şi vizează toate modificările privind activitatea furnizorului, precum şi alte informaţii relevante furnizate de acesta. ART. 5 ADR va face publice, prin intermediul paginii de internet, următoarele date din registru: a) tipul furnizorului - persoană fizică sau juridică; b) numele şi prenumele sau denumirea furnizorului, după caz; c) forma de organizare a furnizorului persoană juridică - societate comercială, regie autonomă, instituţie publică, organizaţie neguvernamentală; d) domiciliul sau sediul - ţară, oraş, judeţ/sector, stradă, număr, bloc, scară, etaj, apartament, cod poştal, telefon, fax, e-mail, adresă în pagina web; e) cetăţenia, pentru persoana fizică, sau naţionalitatea, pentru persoana juridică; f) data la care şi-a început activitatea de furnizare de servicii de marcare temporală; g) cheia publică a furnizorului; h) descrierea politicii de marcare temporală a furnizorului; i) situaţia activităţii furnizorului - operaţională, suspendată, încetată, în curs de transferare, în curs de remediere a unor probleme identificate de ADR, cu indicarea termenului-limită; j) istoricul furnizorului - data de începere a activităţii, perioade de suspendare, alte situaţii asemănătoare. ART. 6 (1) ADR are obligaţia de a păstra confidenţialitatea informaţiilor primite de la furnizorul de servicii de marcare temporală, cu excepţia celor prevăzute de Legea nr. 451/2004 şi de prezentele norme tehnice ca fiind publice. (2) ADR poate încheia un acord de confidenţialitate asupra informaţiilor primite de la furnizorul de servicii de marcare temporală, la cererea acestuia. (3) Personalul cu atribuţii de control din cadrul ADR este obligat să păstreze confidenţialitatea datelor de care a luat cunoştinţă cu ocazia exercitării atribuţiilor de control în ceea ce priveşte activitatea furnizorilor de servicii de marcare temporală. CAP. III Furnizorii de servicii de marcare temporală SECŢIUNEA 1 Dispoziţii comune ART. 7 (1) Orice persoană care intenţionează să furnizeze servicii de marcare temporală are obligaţia să notifice ADR cu privire la data începerii activităţii. (2) Notificarea se va realiza prin completarea formularului-tip prevăzut în anexa nr. 2 şi va fi transmisă ADR cu 30 de zile înainte de începerea activităţii constând în furnizarea de servicii de marcare temporală. (3) Furnizorul are obligaţia de a transmite ADR, ca anexă la notificare, informaţiile şi documentele prevăzute la art. 6 alin. (2) din Legea nr. 451/2004 privind marca temporală, precum şi orice informaţii referitoare la activitatea de furnizare de servicii de marcare temporală stabilite de autoritate prin prezentele norme tehnice şi în anexa nr. 2. (4) În cazul în care nu sunt îndeplinite cerinţele privind forma şi conţinutul notificării prevăzute la alin. (2) şi (3), ADR, în termen de 10 zile de la primirea notificării, poate solicita în scris furnizorului îndeplinirea acestora. (5) Notificarea este considerată realizată în conformitate cu prevederile legale numai în condiţiile în care au fost îndeplinite toate cerinţele privind forma şi conţinutul. (6) Furnizorii au obligaţia de a comunica ADR, cu cel puţin 30 de zile în avans, orice intenţie de modificare a procedurilor de securitate a sistemului informatic utilizat, cu precizarea datei şi a orei la care modificarea intră în vigoare, precum şi obligaţia de a confirma, în termen de 24 de ore, modificarea efectuată. (7) În cazuri urgente în care securitatea serviciilor de marcare temporală este afectată, furnizorii pot efectua modificări ale procedurilor de securitate, urmând să comunice ADR, în termen de 24 de ore, modificările efectuate şi justificarea deciziei luate. (8) Furnizorii de servicii de marcare temporală sunt obligaţi să respecte, pe parcursul desfăşurării activităţii, procedurile de securitate şi de certificare declarate potrivit alin. (2)-(5). Aceştia vor furniza servicii de marcare temporală în conformitate cu politica de marcare temporală declarată. ART. 8 (1) Furnizorul este obligat să genereze sau să achiziţioneze o pereche funcţională cheie privată - cheie publică şi să îşi protejeze cheia privată prin utilizarea unui dispozitiv criptografic securizat, luând măsurile necesare pentru a preveni pierderea, dezvăluirea, modificarea sau utilizarea neautorizată a cheii sale private. (2) Perechea funcţională prevăzută la alin. (1) va fi folosită exclusiv în scopul aplicării semnăturii electronice asupra mărcilor temporale emise. (3) Cheia privată nu poate fi dedusă în niciun fel din cheia sa publică pereche. (4) Furnizorul de servicii de marcare temporală trebuie să deţină certificatul corespunzător cheii publice, pe baza căruia se va putea verifica semnătura asupra mărcii temporale. (5) Certificatul utilizat pentru marcarea temporală va fi transmis ADR şi în formă electronică, odată cu notificarea începerii activităţii. ART. 9 Furnizorii de servicii de marcare temporală au obligaţia să respecte dispoziţiile legale din domeniul prelucrării datelor cu caracter personal. ART. 10 (1) Furnizorii de servicii de marcare temporală au obligaţia de a crea şi de a menţine un registru electronic operativ de evidenţă a mărcilor temporale. (2) Registrul electronic operativ de evidenţă a mărcilor temporale trebuie să conţină cel puţin următoarele informaţii: a) toate mărcile temporale emise de către furnizorul de servicii de marcare temporală, cuprinzând, pe lângă marca temporală propriu-zisă, şi date referitoare la marca temporală şi la certificatul utilizat; b) înregistrări ale evenimentelor apărute în sistemul informatic utilizat pentru generarea mărcilor temporale. (3) Informaţiile prevăzute la alin. (2) lit. a) trebuie să fie disponibile permanent pentru consultare pe pagina de internet a furnizorului. (4) Furnizorul de servicii de marcare temporală are obligaţia de a transmite, la cerere, către ADR informaţiile prevăzute la alin. (2) lit. b). (5) Structura şi condiţiile de exploatare ale Registrului electronic operativ de evidenţă a mărcilor temporale sunt prevăzute în anexa nr. 3. ART. 11 (1) Furnizorii de servicii de marcare temporală trebuie să aducă la cunoştinţa tuturor utilizatorilor termenii şi condiţiile care privesc utilizarea serviciilor de marcare temporală, şi anume: a) datele de contact ale furnizorului; b) politica de marcare temporală aplicată; c) standardele tehnice aplicabile; d) precizia timpului din mărcile temporale; e) orice limitări în folosirea serviciului de marcare temporală; f) obligaţiile utilizatorului; g) informaţii despre cum trebuie verificată marca temporală şi orice limitări posibile asupra perioadei de valabilitate; h) descrierea practicilor, procedurilor şi sistemelor care asigură securitatea şi integritatea datelor, accesul autorizat permanent la acestea şi modalităţile de prevenire a accesului neautorizat (codul de practici şi proceduri); i) politica privind protecţia datelor cu caracter personal; j) perioada de timp în care sunt păstrate înregistrările referitoare la evenimente ale furnizorului; k) disponibilitatea serviciilor. (2) Informaţiile prevăzute la alin. (1) vor fi disponibile pe pagina de internet a furnizorului de servicii de marcare temporală. ART. 12 (1) Furnizorul de servicii de marcare temporală trebuie să îndeplinească următoarele condiţii: a) să dispună de mijloace financiare şi de resurse materiale, tehnice şi umane corespunzătoare pentru garantarea securităţii, fiabilităţii şi continuităţii serviciilor oferite; b) să dovedească ADR că dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfăşurării activităţii de marcare temporală şi că este capabil să acopere pierderile suferite de către o persoană care îşi întemeiază conduita pe efectele juridice ale mărcilor temporale, în condiţiile prevăzute la art. 10 din Legea nr. 451/2004, până la concurenţa echivalentului în lei al sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de către furnizor a unei obligaţii prevăzute de lege. Furnizorul va trebui să depună la ADR o scrisoare de garanţie din partea unei instituţii financiare de specialitate sau o poliţă de asigurare la o societate de asigurări în favoarea ADR, în valoare cel puţin egală cu echivalentul în lei al sumei de 300.000 euro; c) să folosească personal având cunoştinţe de specialitate, experienţă şi calificare necesare pentru furnizarea serviciilor respective; d) să utilizeze numai dispozitive criptografice securizate pentru efectuarea operaţiilor criptografice implicate în procesul generării mărcii temporale; e) să utilizeze un sistem informatic care să respecte cerinţele de securitate prevăzute la art. 4 alin. (1) din Legea nr. 451/2004; f) să păstreze toate informaţiile necesare pentru a putea face dovada marcării temporale în cazul unui eventual litigiu (înregistrări ale mărcilor temporale emise, documentaţia aferentă algoritmilor şi procedurilor de generare a mărcilor temporale emise, alte documente) pentru o perioadă de minimum 10 ani de la data emiterii. (2) În vederea îndeplinirii obligaţiei prevăzute la alin. (1) lit. e), furnizorul de servicii de marcare temporală va publica documentaţia aferentă mecanismului implementat în vederea îndeplinirii acestei obligaţii, iar o copie a documentaţiei va fi transmisă ADR odată cu notificarea începerii activităţii. (3) Prin excepţie de la prevederile alin. (1) lit. b), pentru instituţiile prevăzute la art. 1 alin. (3), cuantumul garanţiei se stabileşte prin acorduri între părţi, la propunerea conducerii instituţiilor respective, proporţional cu prejudiciile create în anul anterior, stabilite prin decizii judecătoreşti definitive. Certificatul asociat mărcii temporale va conţine menţiuni referitoare la limitări privind utilizarea acestuia. ART. 13 Orice persoană, fizică sau juridică, ce doreşte să beneficieze de servicii de marcare temporală trebuie: a) să furnizeze informaţiile referitoare la identitatea sa; b) să respecte limitările impuse de furnizorul de servicii de marcare temporală. SECŢIUNEA a 2-a Mecanismul marcării temporale a documentelor ART. 14 (1) Marcarea temporală este realizată cu respectarea următoarelor etape: a) utilizatorul transmite furnizorului o cerere de emitere a mărcii temporale pentru un anumit document electronic. Cererea va conţine amprenta digitală a documentului pentru care se face cererea, amprentă creată prin intermediul aplicării unei funcţii hash-code asupra documentului; b) într-un interval de timp stabilit prin politica de marcare temporală, furnizorul de servicii de marcare temporală execută următoarele operaţiuni asupra amprentei digitale a documentului primit de la utilizator, folosind un sistem informatic sigur, care îndeplineşte cerinţele de securitate prevăzute la art. 4 din Legea nr. 451/2004: 1. aplică informaţia de timp, raportându-se la baza de timp; 2. aplică celelalte date prevăzute de Legea nr. 451/2004 şi orice alte date prevăzute în politica sa de marcare temporală care nu contravin prevederilor legale şi standardelor recunoscute în materie; 3. semnează electronic cu semnătură electronică extinsă bazată pe un certificat calificat; c) în urma acestor operaţiuni rezultă marca temporală care este transmisă utilizatorului. (2) Autenticitatea mărcii temporale poate fi verificată de către terţi pe baza documentului original, a mărcii temporale, a cheii publice a furnizorului de servicii de marcare temporală şi a funcţiei hash-code utilizate pentru crearea amprentei digitale a documentului. ART. 15 (1) Furnizorul de servicii de marcare temporală trebuie să utilizeze informaţia de timp furnizată de furnizorul unic de bază de timp. (2) Furnizorul unic de bază de timp este Sistemul informatic pentru furnizarea orei oficiale a României. (3) Sursa de timp folosită de către furnizorul de servicii de marcare temporală trebuie să fie sincronizată cu referinţa de timp oferită de furnizorul unic de bază de timp, abaterea maximă admisă fiind de +/–1 secundă. (4) Furnizorul de servicii de marcare temporală are obligaţia de a lua toate măsurile pentru calibrarea echipamentelor, astfel încât valoarea prevăzută la alin. (3) să nu fie depăşită. (5) În situaţia în care detectează cazuri în care au fost emise mărci temporale cu depăşirea valorii prevăzute la alin. (3), furnizorul va transmite ADR o înştiinţare în acest sens. (6) Furnizorul are obligaţia de a păstra datele care dovedesc respectarea valorii prevăzute la alin. (3) şi de a le pune la dispoziţia ADR, la cerere. ART. 16 (1) Furnizorul de servicii de marcare temporală este obligat să pună la dispoziţia utilizatorilor software-ul necesar pentru utilizarea serviciului. (2) Furnizorul trebuie să ofere utilizatorilor următoarele informaţii despre software-ul pus la dispoziţie: a) condiţiile în care este disponibil software-ul; b) instrucţiunile de folosire; c) obligaţiile utilizatorului; d) orice alte limitări privind utilizarea software-ului. (3) Software-ul pus la dispoziţie de către furnizorul de servicii de marcare temporală trebuie să permită utilizatorului să verifice dacă marcarea temporală a fost realizată în mod corect, prin analiza automată cel puţin a următoarelor elemente: a) structura mărcii temporale; b) amprenta din marca temporală; c) semnătura electronică a mărcii temporale, respectiv validitatea certificatului folosit pentru semnare. ART. 17 (1) Marca temporală va avea structura stabilită în anexa nr. 4. (2) De asemenea, marca temporală trebuie să includă: a) un identificator pentru ţara în care furnizorul de servicii de marcare temporală este stabilit, acolo unde este aplicabil; b) un identificator pentru furnizorul de servicii de marcare temporală, care va conţine cel puţin numărul de ordine din registru; c) un identificator pentru unitatea care emite mărci temporale. (3) Datele prevăzute la alin. (2) se vor introduce în marca temporală folosindu-se câmpul „tsa“ din cadrul structurii mărcii temporale. Introducerea acestui câmp este obligatorie. (4) ADR va publica eventualele modificări ale formatului descris în anexa nr. 4, pe baza evoluţiei tehnologiilor sau a normelor internaţionale recunoscute în domeniu. ART. 18 (1) În vederea asigurării conformităţii cu cerinţele Legii nr. 451/2004 şi ale prezentelor norme tehnice, se recomandă respectarea următoarelor standarde şi recomandări de către furnizorii de servicii de marcare temporală: a) SR ETSI TS 101 861 V1.2.1: 2005 Profil de marcare temporală sau versiuni ulterioare; b) SR ETSI TS 101 862 V1.3.2: 2005 Profil de certificat calificat sau versiuni ulterioare; c) SR ETSI TS 102 023 V1.2.1: 2005 Semnături electronice şi infrastructuri (ESI) sau versiuni ulterioare. Cerinţe privind politica pentru autorităţile de marcare temporală; d) SR ISO/CEI 18014-1: 2005 Tehnologia informaţiei sau versiuni ulterioare. Tehnici de securitate. Servicii de marcare temporală. Partea 1: Cadru; e) SR ISO/CEI 18014-2: 2005 Tehnologia informaţiei sau versiuni ulterioare. Tehnici de securitate. Servicii de marcare temporală. Partea 2: Mecanisme care produc mărci temporale independente sau SR ISO/CEI 18014-3: 2005 sau versiuni ulterioare Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporală. Partea 3: Mecanisme care produc mărci temporale înlănţuite; f) SR ISO/CEI TR 14516: 2005 Tehnologia informaţiei sau versiuni ulterioare. Tehnici de securitate. Îndrumări pentru utilizarea şi administrarea serviciilor părţilor terţe de încredere; g) Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP): IETF RFC 3161; h) Cryptographic Message Syntax: IETF RFC 2630; i) Internet X.509 Public Key Infrastructure Certificate and CRL Profile: IETF RFC 2459; j) Date and Time on the Internet: Timestamps: IETF RFC 3339. (2) Furnizorii au obligaţia de a pune la dispoziţia publicului, pe pagina proprie de internet, informaţii privind standardele pe care le aplică în cadrul activităţii propriu-zise de generare a mărcii temporale şi procedurile de securitate utilizate. (3) Instituţiile prevăzute la art. 1 alin. (3) au obligaţia de a pune la dispoziţia beneficiarilor, pe pagina proprie de internet, informaţii privind standardele pe care le aplică în cadrul activităţii propriu-zise de generare a mărcii temporale şi procedurile de securitate utilizate. ART. 19 (1) Amprenta digitală utilizată în procesul de marcare temporală, creată prin intermediul aplicării unei funcţii hash-code asupra unui document în formă electronică, trebuie să aibă următoarele caracteristici: a) să permită identificarea unică a documentului în formă electronică, datorită imposibilităţii practice de a crea amprente identice pentru documente diferite; b) să nu permită deducerea conţinutului documentului respectiv, datorită imposibilităţii practice de a reconstitui conţinutul documentului original pe baza amprentei. (2) Furnizorul foloseşte doar funcţia hash-code SHA1 (opţional SHA2) şi algoritmul de criptare RSA. Este interzisă folosirea teoremei chinezeşti a resturilor. ART. 20 (1) Certificatul furnizorului de servicii de marcare temporală trebuie să fie emis de un furnizor de servicii de certificare acreditat în condiţiile Legii nr. 455/2001 privind semnătura electronică, republicată, cu completările ulterioare. (2) Certificatul furnizorului va conţine în mod obligatoriu extensia pentru marcare temporală prevăzută în standardele internaţionale în vigoare (RFC 3161 - protocol de marcă temporală, secţiunea 2.3). Extensia trebuie să fie de tip critic. ART. 21 Marca temporală va fi transmisă solicitantului prin mecanismele de transport prevăzute în standardul internaţional RFC 3161 - protocol de marcă temporală, secţiunea a 3-a. Se va implementa în mod obligatoriu cel puţin protocolul HTTP. ART. 22 (1) Serviciul de verificare a mărcilor temporale se asigură către terţi şi este menţionat expres în contractul încheiat între furnizorul de servicii de marcă temporală şi utilizator. (2) Verificarea trebuie să poată fi realizată automat, online, fiind accesibilă oricărei persoane fizice sau juridice care îşi bazează conduita pe efectele juridice ale unei mărci temporale. (3) Instituţiile prevăzute la art. 1 alin. (3) vor aduce la cunoştinţa personalului propriu existenţa şi modul de funcţionare a Serviciului de verificare a mărcilor temporale prin documentele aferente procedurilor interne stabilite. Verificarea mărcilor temporale se va face, pentru persoanele ce justifică accesul la documentul căruia i-a fost ataşată o marcă temporală de către sistem, printr-o procedură distinctă, în afara sistemului informatic acreditat pentru gestionarea informaţiilor clasificate secret de stat. Procedura va fi auditată şi publicată pe pagina proprie de internet a furnizorului de servicii de marcare temporală din cadrul instituţiilor din domeniul apărării, ordinii publice şi siguranţei naţionale. SECŢIUNEA a 3-a Acreditarea furnizorilor de marcare temporală ART. 23 (1) În termen de 30 de zile de la data transmiterii unei notificări în conformitate cu prevederile legale, ADR acreditează persoana în cauză ca furnizor de servicii de marcare temporală şi înscrie în registru menţiunea în acest sens. (2) Acreditarea se realizează prin decizie a preşedintelui ADR, care va avea forma şi conţinutul prevăzute în anexa nr. 6. (3) Acreditarea se acordă pe o perioadă de 3 ani. (4) În cazul neîndeplinirii cerinţelor de acreditare, ADR va comunica persoanei care intenţiona să furnizeze servicii de marcare temporală motivul neacordării acreditării. SECŢIUNEA a 4-a Suspendarea sau încetarea activităţii furnizorilor de servicii de marcare temporală ART. 24 (1) În conformitate cu prevederile art. 9 alin. (4) din Legea nr. 451/2004 şi cele ale art. 5 lit. f) pct. 13 din Hotărârea Guvernului nr. 89/2020, controlul respectării dispoziţiilor Legii nr. 451/2004, precum şi ale prezentei decizii revine ADR, care acţionează prin personalul de control de specialitate împuternicit în acest scop. (2) ADR are dreptul de a efectua controale asupra furnizorilor de servicii de marcare temporală, din oficiu sau la solicitarea oricărei persoane interesate. (3) În vederea exercitării atribuţiilor de control, personalul împuternicit în acest scop este autorizat în limitele legii: a) să aibă acces liber, permanent, în orice loc în care se află echipamentele necesare furnizării serviciilor de marcare temporală; b) să solicite orice document sau informaţie necesară în vederea verificării respectării obligaţiilor ce incumbă furnizorului de servicii de marcare temporală; c) să verifice punerea în aplicare a oricăror proceduri utilizate de către furnizorul de servicii de marcare temporală supus controlului; d) să sigileze orice echipamente necesare furnizării de servicii de marcare temporală sau să reţină orice document care are legătură cu această activitate, pe o perioadă care nu poate depăşi 15 zile, dacă aceste măsuri se impun. SECŢIUNEA a 5-a Măsuri tranzitorii ART. 25 (1) Furnizorii de servicii de marcare temporală deja înscrişi în registrul furnizorilor la data publicării prezentelor norme tehnice trebuie să îşi actualizeze şi să redepună documentaţia de acreditare la ADR în termen de 12 luni de la data publicării prezentelor norme tehnice. (2) ADR va dispune, prin decizie, suspendarea activităţii furnizorului de servicii de marcare temporală până la încetarea cauzelor care au determinat luarea măsurii, în următoarele situaţii: a) furnizorul nu respectă politica de marcare temporală şi procedurile de securitate declarate, într-un mod în care afectează securitatea procesului de marcare temporală; b) furnizorul încalcă obligaţia prevăzută la art. 5 alin. (1) din Legea nr. 451/2004; c) odată cu aplicarea sancţiunilor contravenţionale prevăzute la art. 12 din Legea nr. 451/2004; d) furnizorul nu respectă obligaţiile prevăzute la art. 7 alin. (6) şi art. 15; e) furnizorul nu remediază în termenul stabilit de ADR orice alte deficienţe apărute ca urmare a nerespectării prevederilor Legii nr. 451/2004 şi ale prezentelor norme tehnice şi constatate cu prilejul efectuării controalelor de către ADR. (3) Odată cu comunicarea deciziei de suspendare temporară a activităţii, ADR comunică furnizorului un termen în care trebuie să remedieze problemele care au determinat luarea acestei măsuri. Termenul nu poate fi mai mic de 30 de zile. Furnizorul poate solicita motivat prelungirea acestui termen. (4) Suspendarea activităţii încetează în momentul în care furnizorul face dovada încetării cauzelor care au determinat luarea măsurii. (5) Dacă furnizorul nu remediază problemele care au determinat suspendarea în termenul stabilit în condiţiile alin. (2), ADR va dispune, prin decizie, încetarea activităţii acestuia. (6) În perioada în care activitatea sa este suspendată, furnizorul are obligaţia să asigure continuarea funcţionării serviciului de verificare a mărcilor temporale, precum şi consultarea în regim on-line a registrului electronic, cu excepţia cazului în care deficienţele se găsesc la nivelul acestor sisteme. ART. 26 (1) În cazul în care furnizorul intenţionează să înceteze activităţile legate de marcarea temporală, va informa ADR, cu cel puţin 30 de zile în avans, despre intenţia sa, respectiv despre existenţa şi natura împrejurării care justifică imposibilitatea de continuare a activităţilor, prin completarea formularului prevăzut în anexa nr. 5. (2) Furnizorului îi revine obligaţia ca, în situaţia în care se află în imposibilitate de a continua activităţile legate de marcarea temporală şi nu a putut prevedea această situaţie cu cel puţin 30 de zile înainte ca încetarea activităţilor să se producă, să informeze ADR în termen de 24 de ore din momentul în care a luat cunoştinţă sau trebuia şi putea să ia cunoştinţă despre imposibilitatea continuării activităţilor. (3) Atât în cazul încetării activităţii din iniţiativa sa, cât şi în cazul în care încetarea activităţii a fost dispusă de ADR, furnizorul de servicii de marcare temporală va desemna alt furnizor de servicii de marcare temporală, căruia îi va transfera, în tot sau în parte, activităţile sale. Transferul va opera în următoarele condiţii: a) furnizorul de servicii de marcare temporală va înştiinţa fiecare utilizator, cu cel puţin 30 de zile în avans, despre intenţia sa de transferare a activităţilor legate de marcarea temporală către un alt furnizor, menţionând identitatea acestuia; b) furnizorul de servicii de marcare temporală va face cunoscute utilizatorilor săi posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate fi exercitat. (4) Furnizorul aflat în unul dintre cazurile prevăzute la alin. (1) şi (2), ale cărui activităţi nu sunt preluate de un alt furnizor de servicii de marcare temporală, este obligat să depună la ADR informaţiile şi documentele prevăzute la art. 8 alin. (2) din Legea nr. 451/2004, precum şi dovada revocării certificatului utilizat în procesul de marcare temporală. CAP. IV Dispoziţii finale ART. 27 Anexele cu nr. 1-6 fac parte integrantă din prezentele norme tehnice. ANEXA 1 la normele tehnice CONŢINUTUL ŞI STRUCTURA Registrului furnizorilor de servicii de marcare temporală
┌───┬──────────────────────────────────┐
│1. │Numărul de ordine al │
│ │înregistrării, generat automat │
├───┼──────────────────────────────────┤
│ │Codul de identificare a │
│2. │furnizorului de servicii de │
│ │marcare temporală │
├───┼──────────────────────────────────┤
│3. │Calitatea furnizorului: persoană │
│ │fizică sau persoană juridică │
├───┼──────────────────────────────────┤
│ │Numele şi prenumele furnizorului │
│4. │(pentru persoana fizică)/Denumirea│
│ │(pentru persoana juridică) │
├───┼──────────────────────────────────┤
│ │Adresa (ţară, oraş, judeţ/sector, │
│5. │stradă, număr, bloc, scara, etaj, │
│ │apartament, cod poştal, telefon, │
│ │fax, e-mail, adresa pagina web) │
├───┼──────────────────────────────────┤
│ │Codul unic de înregistrare la │
│6. │registrul comerţului (pentru │
│ │persoana juridică) │
├───┼──────────────────────────────────┤
│7. │Data la care a început activitatea│
├───┼──────────────────────────────────┤
│ │Cheia publică a certificatului │
│8. │calificat folosit de furnizorul de│
│ │servicii în procesul de marcare │
│ │temporală │
├───┼──────────────────────────────────┤
│9. │Descrierea sistemelor furnizorului│
│ │de servicii de marcare temporală │
├───┼──────────────────────────────────┤
│ │Codul de proceduri şi practici al │
│10.│furnizorului de servicii de │
│ │marcare temporală │
├───┼──────────────────────────────────┤
│ │Descrierea politicii generale a │
│11.│furnizorului de servicii de │
│ │marcare temporală │
├───┼──────────────────────────────────┤
│12.│Tipul garanţiei furnizorului │
├───┼──────────────────────────────────┤
│ │Societatea de asigurări/Instituţia│
│13.│financiară care garantează │
│ │capacitatea financiară a │
│ │furnizorului │
├───┼──────────────────────────────────┤
│14.│Suma asigurată/Suma acoperită prin│
│ │scrisoarea de garanţie │
├───┼──────────────────────────────────┤
│ │Situaţii critice: câmp ce poate │
│ │conţine referiri la ultima │
│ │situaţie critică (de exemplu, │
│15.│întreruperea temporară a │
│ │activităţii din cauza unor │
│ │probleme tehnice, modificarea │
│ │procedurilor, sancţiuni etc.) │
├───┼──────────────────────────────────┤
│16.│Data şi ora ultimei actualizări a │
│ │registrului │
├───┼──────────────────────────────────┤
│ │Situaţia furnizorului │
│17.│(operaţional, suspendat, │
│ │activitatea încetată, în curs de │
│ │transferare a activităţii etc.) │
├───┼──────────────────────────────────┤
│ │Motivul suspendării/reluării/ │
│18.│încetării activităţii (dacă este │
│ │cazul) │
└───┴──────────────────────────────────┘
ANEXA 2 la normele tehnice FORMULAR DE NOTIFICARE pentru furnizorii de servicii de marcare temporală
┌────────────┬────┬────┬──────┬────┬───┐
│Furnizor de │ │ │ │ │ │
│servicii de │Ţara│Oraş│Sector│Str.│Nr.│
│marcare │ │ │ │ │ │
│temporală ├────┼────┼──────┼────┼───┤
│persoană │ │ │ │ │ │
│fizică/ │ │ │ │ │ │
│juridică │ │ │ │ │ │
├────────────┼────┼────┼──────┼────┴───┤
│ │Bl. │Et. │Ap. │Cod │
│ │ │ │ │poştal │
│ ├────┼────┼──────┼────┬───┤
│Domiciliul │ │ │ │ │ │
│sau sediul ├────┼────┼──────┼────┼───┤
│ │Tel.│Fax │E-mail│Web │ │
│ ├────┼────┼──────┼────┼───┤
│ │ │ │ │ │ │
├────────────┴────┼────┴──────┴────┴───┤
│Cod de │ │
│înregistrare la │Tip societate │
│registrul │ │
│comerţului │ │
├─────────────────┼────────────────────┤
│ │ │
├─────────────────┼────────────────────┤
│Banca │Nr. cont bancar │
├─────────────────┼────────────────────┤
│ │ │
├─────────────────┼────────────────────┤
│Naţionalitate │Cetăţenie │
├─────────────────┼────────────────────┤
│ │ │
├────────────┬────┴────┬──────┬────────┤
│Data │ │ │ │
│începerii │ │ │ │
│activităţii │ │ │ │
├────────────┼─────────┼──────┼────────┤
│Opis │ │ │ │
│documente │ │ │ │
│anexate │ │ │ │
└────────────┴─────────┴──────┴────────┘
ÎNŞTIINŢARE-ANGAJAMENT Subsemnatul, .........................................................., (numele şi prenumele/denumirea) înştiinţez Autoritatea pentru Digitalizarea României (ADR) referitor la desfăşurarea serviciilor de marcare temporală menţionate în prezentul document, cu începere de la data de ................................... . Mă angajez să îmi desfăşor activitatea în conformitate cu prevederile Legii nr. 451/2004 privind marca temporală, ale Deciziei preşedintelui Autorităţii pentru Digitalizarea României nr. 549/2020 privind normele tehnice pentru aplicarea Legii nr. 451/2004 privind marca temporală, precum şi cu standardele europene şi internaţionale în domeniu. Mă oblig să acopăr prejudiciile pe care le-aş putea cauza utilizatorilor, în condiţiile prevăzute la art. 10 din Legea nr. 451/2004. De asemenea, mă angajez să comunic utilizatorilor instrucţiunile practice de marcare temporală, precum şi termenele şi condiţiile de utilizare a serviciilor de marcare temporală. Anexez la prezenta următoarea documentaţie: 1. contractul de închiriere/actul de proprietate pentru sediu; 2. adeverinţă din partea administraţiei finanţelor publice privind plata la zi a taxelor şi impozitelor către stat; 3. certificat de bonitate sau scrisoare de garanţie din partea băncii, prin care persoana fizică/juridică desfăşoară plăţi şi încasări curente; 4. o scrisoare de garanţie în valoare de ...................., în favoarea ADR, la ....................(numele instituţiei financiare)................./ o poliţă de asigurare la .............(numele societăţii de asigurare)..............., în favoarea ADR, în valoare de..................*^); *^) Se va opta pentru una dintre cele două variante, în conformitate cu prevederile art. 13 alin. (1) lit. b) din normele tehnice. 5. certificat constatator eliberat de către oficiul registrului comerţului, nu mai vechi de 30 de zile, în care să se specifice datele de identificare ale firmei şi administratorul; 6. copie a cărţii de identitate a administratorului societăţii/reprezentantului legal, înscris în certificatul constatator; 7. împuternicire şi copie a cărţii de identitate pentru persoana delegată să semneze în numele administratorului/reprezentantului legal; 8. certificatul calificat folosit în activitatea de marcare temporală; 9. politica de marcare temporală aplicată; 10. descrierea generală a sistemului informatic utilizat pentru desfăşurarea activităţii de marcare temporală, însoţită de o declaraţie de conformitate cu prevederile art. 4 alin. (1) din Legea nr. 451/2004; 11. descrierea practicilor, procedurilor şi sistemelor care asigură securitatea şi integritatea datelor, accesul autorizat permanent la acestea şi modalităţile de prevenire a accesului neautorizat (codul de practici şi proceduri); 12. politica referitoare la protecţia datelor cu caracter personal; 13. declaraţia pe propria răspundere a reprezentantului legal al furnizorului de marcare temporală cu privire la respectarea Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, precum şi a cerinţelor Legii nr. 190/2018 privind măsuri de punere în aplicare a regulamentului menţionat anterior, cu modificările ulterioare, în procesul de furnizare a serviciilor de marcare temporală; 14. plan de continuitate a afacerii şi recuperare în caz de dezastru; 15. lista standardelor în baza cărora operaţiile sunt efectuate, evaluate sau certificate pentru a fi conforme. Furnizor, ............... Data şi ora .................... ANEXA 3 la normele tehnice CONŢINUTUL MINIMAL al Registrului electronic operativ de evidenţă a mărcilor temporale I. Registrul electronic operativ de evidenţă a mărcilor temporale va cuprinde: 1. Lista tuturor mărcilor temporale emise de către furnizorul de servicii de marcare temporală, cuprinzând următoarele informaţii: A. Date referitoare la marca temporală
┌────┬─────────────────────────────────┐
│Nr. │Categorie de date │
│crt.│ │
├────┼─────────────────────────────────┤
│1. │Identificator unic │
├────┼─────────────────────────────────┤
│2. │Data şi ora la care marca │
│ │temporală a fost aplicată │
├────┼─────────────────────────────────┤
│3. │Cod de identificare utilizator │
├────┼─────────────────────────────────┤
│4. │Amprenta documentului supusă │
│ │marcării temporale │
├────┼─────────────────────────────────┤
│ │Identificarea algoritmului │
│5. │utilizat pentru generarea │
│ │amprentei │
└────┴─────────────────────────────────┘
B. Date referitoare la furnizor/certificatul furnizorului
┌──┬─────────────────────────┬─────────┐
│1.│Nume │Subject │
│ │ │Name │
├──┼─────────────────────────┼─────────┤
│2.│Data emiterii │ │
├──┼─────────────────────────┼─────────┤
│3.│Valabilitate │ │
├──┼─────────────────────────┼─────────┤
│ │Date de identificare ale │Issuer │
│4.│furnizorului de servicii │Name, │
│ │de certificare superior │Serial │
│ │ │Number │
└──┴─────────────────────────┴─────────┘
C. Marca temporală emisă 2. Înregistrări ale evenimentelor apărute în sistemul informatic utilizat pentru generarea mărcilor temporale: - sincronizările cu baza de timp; – schimbarea cheilor criptografice; – opriri ale sistemului; – incidente de securitate. II. Regimul de acces la informaţiile cuprinse în Registrul electronic operativ de evidenţă a mărcilor temporale - Informaţiile prevăzute la pct. 1 vor fi disponibile permanent pentru consultare pe pagina de internet a furnizorului de servicii de marcare temporală. – Informaţiile prevăzute la pct. 2 vor fi făcute publice în conformitate cu politica de marcare temporală a furnizorului şi vor fi furnizate, la cerere, Autorităţii pentru Digitalizarea României. ANEXA 4 la normele tehnice CONŢINUTUL ŞI STRUCTURA MĂRCII TEMPORALE
┌────────────┬──────────────────┬───────────────┬──────────┐
│Nume │Explicaţie │Structura ASN1 │Observaţii│
│ │detaliată │ │ │
├────────────┴──────────────────┴───────────────┴──────────┤
│A. Informaţii despre marca temporală propriu-zisă │
│(TSTInfo) │
├────────────┬──────────────────┬───────────────┬──────────┤
│Versiune │ │INTEGER │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Politica │ │OID │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Amprenta de │Hash-ul + │messagelmprint │ │
│marcat │algoritmul de hash│ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Număr serial│ │INTEGER │ │
│unic │ │ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Momentul │ │ │ │
│exact de │UTC, notaţie │GeneralizedTime│ │
│timp al │„zulu“ │ │ │
│emiterii │ │ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│ │Secunde, │ │ │
│Precizie │milisecunde, │Accuracy │opţional │
│ │microsecunde │ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Număr │ │ │ │
│aleatoriu │ │INTEGER │opţional │
│(Nonce) │ │ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Numele │ │GeneralName │opţional │
│furnizorului│ │ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Extensii │ │Extensions │opţional │
├────────────┴──────────────────┴───────────────┴──────────┤
│B. Semnătura furnizorului │
│(ContentInfo ce încapsulează o structură signedData) │
├────────────┬──────────────────┬───────────────┬──────────┤
│ │Semnătura │ │ │
│ │propriu-zisă │ │ │
│Info │(SignatureValue), │ │ │
│semnătură │însoţită de datele│signerInfo │ │
│ │de identificare │ │ │
│ │ale semnatarului │ │ │
│ │(Signerldentifier)│ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Certificatul│ │certs │opţional │
│furnizorului│ │ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│ │ │ │ │
├────────────┴──────────────────┴───────────────┴──────────┤
│C. Statutul PKI (PKIStatusInfo) │
├────────────┬──────────────────┬───────────────┬──────────┤
│Codul de │ │PKIStatus │ │
│status PKI │ │ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Mesajul text│ │PKIFreeText │opţional │
│PKI │ │ │ │
├────────────┼──────────────────┼───────────────┼──────────┤
│Informaţii │ │ │ │
│despre │ │PKIFailureInfo │opţional │
│eroarea PKI │ │ │ │
└────────────┴──────────────────┴───────────────┴──────────┘
ANEXA 5 la normele tehnice FORMULAR DE INFORMARE cu privire la încetarea activităţii unui furnizor de servicii de marcare temporală
┌───────────────────┬──────────────────┐
│Nume furnizor │Codul din │
│ │registrul │
├───────────────────┤furnizorilor de │
│ │servicii │
│ │ │
├───────────────────┴──────────────────┤
│Motivele încetării activităţii: │
├───────────────────┬──────────────────┤
│Data la care a │Data încetării │
│înştiinţat ADR │activităţii │
├───────────────────┼──────────────────┤
│Numele furnizorului│Codul din │
│care va prelua │registrul │
│activitatea │furnizorilor de │
│ │servicii │
├───────────────────┴──────────────────┤
│Măsuri luate referitoare la │
│utilizatori: │
└──────────────────────────────────────┘
ANEXA 6 la normele tehnice DECIZIE privind acreditarea ........................... ca furnizor de servicii de marcare temporală Având în vedere: - Hotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările ulterioare; – Legea nr. 455/2001 privind semnătura electronică, republicată, cu modificările şi completările ulterioare; – Normele tehnice şi metodologice pentru aplicarea Legii nr. 455/2001 privind semnătura electronică, aprobate prin Hotărârea Guvernului nr. 1.259/2001, cu modificările ulterioare; – Legea nr. 451/2004 privind marca temporală; – Decizia privind aprobarea Normelor tehnice de aplicare a Legii nr. 451/2004 privind marca temporală nr. 549/2020 - Notificarea nr./data, înregistrată la ADR cu nr./data; – Nota nr. /data privind analiza documentaţiei în vederea obţinerii acreditării ca furnizor de servicii de marcare temporală, în temeiul art. 8 alin. (4) dinHotărârea Guvernului nr. 89/2020 privind organizarea şi funcţionarea Autorităţii pentru Digitalizarea României, cu modificările ulterioare, preşedintele Autorităţii pentru Digitalizarea României emite prezenta decizie. ART. 1 Începând cu data emiterii prezentei decizii, ....................................... dobândeşte calitatea de furnizor de servicii de marcare temporală. ART. 2 Acreditarea se acordă pe o perioadă de 3 ani de la data emiterii prezentei decizii şi poate fi reînnoită conform legislaţiei în vigoare. ART. 3 Prezenta decizie a fost emisă în 3 (trei) exemplare originale, din care unul se comunică .......................................... . Preşedintele Autorităţii pentru Digitalizarea României, .............................................. Bucureşti, Nr. ............................. ----
Newsletter GRATUIT
Aboneaza-te si primesti zilnic Monitorul Oficial pe email
Comentarii
Fii primul care comenteaza.