Comunica experienta
MonitorulJuridic.ro
Email RSS Trimite prin Yahoo Messenger pagina: ORDIN nr. 492 din 15 iunie 2009 privind normele tehnice si metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporala Twitter Facebook
Cautare document
Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!
X

ORDIN nr. 492 din 15 iunie 2009 privind normele tehnice si metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporala

EMITENT: MINISTERUL COMUNICATIILOR SI SOCIETATII INFORMATIONALE
PUBLICAT: MONITORUL OFICIAL nr. 433 din 25 iunie 2009
Comenteaza legea

În temeiul prevederilor art. 4 alin. (1) pct. 56 şi ale <>art. 6 alin. (6) din Hotãrârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societãţii Informaţionale, cu modificãrile şi completãrile ulterioare, precum şi ale art. 9 alin. (3) şi ale <>art. 14 din Legea nr. 451/2004 privind marca temporalã,

ministrul comunicaţiilor şi societãţii informaţionale emite prezentul ordin.

CAP. I
Dispoziţii generale

ART. 1
(1) Prezentele norme tehnice şi metodologice se aplicã activitãţii de marcare temporalã şi stabilesc procedura de notificare a Ministerului Comunicaţiilor şi Societãţii Informaţionale în vederea începerii furnizãrii serviciilor de marcare temporalã, procedurile de generare şi verificare a mãrcilor temporale, precum şi condiţiile de creare şi menţinere a registrului electronic de evidenţã a furnizorilor de servicii de marcare temporalã.
(2) Orice persoanã fizicã sau juridicã poate beneficia de servicii de marcare temporalã în condiţiile <>Legii nr. 451/2004 privind marca temporalã şi ale prezentului ordin.
ART. 2
În înţelesul prezentului ordin, urmãtorii termeni se definesc astfel:
a) MCSI - Ministerul Comunicaţiilor şi Societãţii Informaţionale;
b) serviciu de marcare temporalã - serviciul prin care unor date în formã electronicã li se asociazã, printr-un mecanism de încredere, o marcã temporalã;
c) furnizor de servicii de marcare temporalã (furnizor) - orice persoanã, fizicã sau juridicã, care oferã servicii de marcare temporalã în conformitate cu prevederile <>Legii nr. 451/2004 şi ale prezentului ordin;
d) utilizator - orice persoanã, fizicã sau juridicã, care, în baza unui contract încheiat cu un furnizor, beneficiazã de servicii de marcare temporalã;
e) cheie privatã - codul digital, cu caracter de unicitate, generat printr-un dispozitiv hardware şi/sau software specializat;
f) cheie publicã - codul digital, pereche a cheii private, necesar verificãrii mãrcii temporale;
g) date de verificare a mãrcii temporale - datele în formã electronicã, cum ar fi coduri sau chei publice, utilizate în scopul verificãrii unei mãrci temporale;
h) dispozitiv criptografic securizat - un dispozitiv hardware cu un înalt grad de fiabilitate, protejat împotriva modificãrilor şi a utilizãrii neautorizate, care asigurã un grad înalt de securitate a operaţiilor criptografice în conformitate cu cerinţele <>Legii nr. 455/2001 privind semnãtura electronicã;
i) politica de marcare temporalã - regulile şi principiile generale aplicate de furnizor în procesul de emitere şi administrare a mãrcilor temporale;
j) funcţie hash-code - algoritmul aplicat asupra unui document electronic, care creeazã o amprentã unicã a acelui document;
k) SHA - algoritm securizat de hash-code (Secure Hash Algorithm);
l) RFC - documentele care au fost supuse analizei publice în cadrul unui proces coordonat de Grupul de lucru pentru ingineria internetului;
m) extensie de tip critic pentru marcare temporalã - extensia unui certificat digital care trebuie procesatã în mod obligatoriu de aplicaţia care îl utilizeazã, limitând folosirea cheii private asociate certificatului exclusiv la aplicarea semnãturii digitale din cadrul unei mãrci temporale.

CAP. II
Autoritatea de reglementare şi supraveghere

ART. 3
În conformitate cu dispoziţiile <>art. 4 alin. (1) pct. 56 din Hotãrârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societãţii Informaţionale, cu modificãrile şi completãrile ulterioare, MCSI exercitã atribuţiile care revin autoritãţii de reglementare şi supraveghere în domeniul marcãrii temporale.
ART. 4
(1) În cadrul Registrului furnizorilor de servicii de certificare prevãzut la <>art. 28 din Legea nr. 455/2001 MCSI va crea o secţiune distinctã pentru înregistrarea furnizorilor de servicii de marcare temporalã.
(2) MCSI gestioneazã Registrul furnizorilor de servicii de marcare temporalã, denumit în continuare registru. Forma acestui registru este prevãzutã în anexa nr. 1, care face parte integrantã din prezentul ordin.
(3) Actualizarea registrului se efectueazã exclusiv de cãtre personalul MCSI desemnat în acest sens şi vizeazã toate modificãrile privind activitatea furnizorului, precum şi alte informaţii relevante furnizate de acesta.
ART. 5
MCSI va face publice, spre consultare, urmãtoarele date din registru:
a) tipul furnizorului - persoanã fizicã sau juridicã;
b) numele şi prenumele sau denumirea furnizorului, dupã caz;
c) forma de organizare a furnizorului persoanã juridicã - societate comercialã, regie autonomã, instituţie publicã, organizaţie neguvernamentalã;
d) domiciliul sau sediul - ţarã, oraş, judeţ/sector, stradã, numãr, bloc, scarã, etaj, apartament, cod poştal, telefon, fax, e-mail, adresã în pagina web;
e) cetãţenia, pentru persoana fizicã, sau naţionalitatea, pentru persoana juridicã;
f) data la care şi-a început activitatea de furnizare de servicii de marcare temporalã;
g) cheia publicã a furnizorului;
h) descrierea politicii de marcare temporalã a furnizorului;
i) situaţia activitãţii furnizorului - operaţionalã, suspendatã, încetatã, în curs de transferare, în curs de remediere a unor probleme identificate de MCSI, cu indicarea termenului-limitã;
j) istoricul furnizorului - data de începere a activitãţii, perioade de suspendare, alte situaţii asemãnãtoare.
ART. 6
(1) Informaţiile prevãzute la art. 5 sunt disponibile public prin intermediul paginii de internet a MCSI.
(2) Pe pagina de internet a MCSI se vor publica şi informaţii cu privire la <>Legea nr. 451/2004 , prezentele norme tehnice şi metodologice, informaţii generale cu privire la utilizarea mãrcilor temporale, informaţii actualizate din domeniul marcãrii temporale, trimiteri cãtre paginile de internet ale furnizorilor de servicii de marcare temporalã.
ART. 7
(1) MCSI are obligaţia de a pãstra confidenţialitatea tuturor informaţiilor primite de la furnizorul de servicii de marcare temporalã, cu excepţia celor prevãzute de <>Legea nr. 451/2004 şi de prezentul ordin ca fiind publice.
(2) MCSI poate încheia un acord de confidenţialitate asupra informaţiilor primite de la furnizorul de servicii de marcare temporalã, la cererea acestuia.
(3) Personalul cu atribuţii de control din cadrul MCSI este obligat sã pãstreze confidenţialitatea datelor de care a luat cunoştinţã cu ocazia exercitãrii atribuţiilor de control în ceea ce priveşte activitatea furnizorilor de servicii de marcare temporalã.

CAP. III
Furnizorii de servicii de marcare temporalã

SECŢIUNEA 1
Dispoziţii comune

ART. 8
(1) Cu 30 de zile înainte de începerea activitãţii, furnizorul de servicii de marcare temporalã va notifica MCSI prin completarea formularului prevãzut în anexa nr. 2, care face parte integrantã din prezentul ordin.
(2) Odatã cu efectuarea notificãrii prevãzute la alin. (1) furnizorii au obligaţia de a comunica MCSI informaţiile şi documentele prevãzute la <>art. 6 alin. (2) din Legea nr. 451/2004 şi în anexa nr. 2.
(3) În termen de 10 zile de la primirea notificãrii, MCSI poate solicita completarea documentaţiei prezentate, în conformitate cu alin. (2).
(4) Furnizorii au obligaţia de a comunica MCSI, cu cel puţin 30 de zile în avans, orice intenţie de modificare a procedurilor de securitate a sistemului informatic utilizat, cu precizarea datei şi a orei la care modificarea intrã în vigoare, precum şi obligaţia de a confirma, în termen de 24 de ore, modificarea efectuatã.
(5) În cazuri urgente în care securitatea serviciilor de marcare temporalã este afectatã furnizorii pot efectua modificãri ale procedurilor de securitate, urmând sã comunice MCSI, în termen de 24 de ore, modificãrile efectuate şi justificarea deciziei luate.
(6) Furnizorii de servicii de marcare temporalã sunt obligaţi sã respecte, pe parcursul desfãşurãrii activitãţii, procedurile de securitate şi de certificare declarate potrivit alin. (2)-(5). Aceştia vor furniza servicii de marcare temporalã în conformitate cu politica de marcare temporalã declaratã.
ART. 9
(1) Furnizorul este obligat sã genereze sau sã achiziţioneze o pereche funcţionalã cheie privatã - cheie publicã şi sã îşi protejeze cheia privatã prin utilizarea unui dispozitiv criptografic securizat, luând mãsurile necesare pentru a preveni pierderea, dezvãluirea, modificarea sau utilizarea neautorizatã a cheii sale private.
(2) Perechea funcţionalã prevãzutã la alin. (1) va fi folositã exclusiv în scopul aplicãrii semnãturii electronice asupra mãrcilor temporale emise.
(3) Cheia privatã nu poate fi dedusã în niciun fel din cheia sa publicã pereche.
(4) Furnizorul de servicii de marcare temporalã trebuie sã deţinã certificatul corespunzãtor cheii publice, pe baza cãruia se va putea verifica semnãtura asupra mãrcii temporale.
(5) Certificatul utilizat pentru marcarea temporalã va fi transmis MCSI, în formã electronicã, la data notificãrii începerii activitãţii.
ART. 10
(1) Furnizorii de servicii de marcare temporalã au obligaţia sã respecte dispoziţiile legale din domeniul prelucrãrii datelor cu caracter personal.
(2) La data începerii activitãţii de furnizare de servicii de marcare temporalã, furnizorul trebuie sã deţinã calitatea de operator de date personale şi sã depunã la MCSI o copie de pe certificatul doveditor, eliberat de Autoritatea Naţionalã de Supraveghere a Prelucrãrii Datelor cu Caracter Personal.
ART. 11
(1) Furnizorii de servicii de marcare temporalã au obligaţia de a crea şi de a menţine un registru electronic operativ de evidenţã a mãrcilor temporale.
(2) Registrul electronic operativ de evidenţã a mãrcilor temporale trebuie sã conţinã cel puţin urmãtoarele informaţii:
a) toate mãrcile temporale emise de cãtre furnizorul de servicii de marcare temporalã, cuprinzând, pe lângã marca temporalã propriu-zisã, şi date referitoare la marca temporalã şi la certificatul utilizat;
b) înregistrãri ale evenimentelor apãrute în sistemul informatic utilizat pentru generarea mãrcilor temporale.
(3) Informaţiile prevãzute la alin. (2) lit. a) trebuie sã fie disponibile permanent pentru consultare pe pagina de internet a furnizorului.
(4) Furnizorul de servicii de marcare temporalã are obligaţia de a transmite, la cerere, cãtre MCSI informaţiile prevãzute la alin. (2) lit. b).
(5) Structura şi condiţiile de exploatare ale Registrului electronic operativ de evidenţã a mãrcilor temporale sunt prevãzute în anexa nr. 3, care face parte integrantã din prezentul ordin.
ART. 12
(1) Furnizorii de servicii de marcare temporalã trebuie sã aducã la cunoştinţa tuturor utilizatorilor termenii şi condiţiile care privesc utilizarea serviciilor de marcare temporalã, şi anume:
a) datele de contact ale furnizorului;
b) politica de marcare temporalã aplicatã;
c) standardele tehnice aplicabile;
d) precizia timpului din mãrcile temporale;
e) orice limitãri în folosirea serviciului de marcare temporalã;
f) obligaţiile utilizatorului;
g) informaţii despre cum trebuie verificatã marca temporalã şi orice limitãri posibile asupra perioadei de valabilitate;
h) descrierea practicilor, procedurilor şi sistemelor care asigurã securitatea şi integritatea datelor, accesul autorizat permanent la acestea şi modalitãţile de prevenire a accesului neautorizat (codul de practici şi proceduri);
i) politica privind protecţia datelor cu caracter personal;
j) perioada de timp în care sunt pãstrate înregistrãrile referitoare la evenimente ale furnizorului;
k) disponibilitatea serviciilor.
(2) Aceste informaţii trebuie sã fie disponibile pe pagina de internet a furnizorului de servicii de marcare temporalã.
ART. 13
(1) Furnizorul de servicii de marcare temporalã trebuie sã îndeplineascã urmãtoarele condiţii:
a) sã dispunã de mijloace financiare şi de resurse materiale, tehnice şi umane corespunzãtoare pentru garantarea securitãţii, fiabilitãţii şi continuitãţii serviciilor oferite;
b) sã dovedeascã MCSI cã dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfãşurãrii activitãţii de marcare temporalã şi cã este capabil sã acopere pierderile suferite de cãtre o persoanã care îşi întemeiazã conduita pe efectele juridice ale mãrcilor temporale, în condiţiile prevãzute la <>art. 10 din Legea nr. 451/2004 , pânã la concurenţa echivalentului în lei al sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar dacã se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de cãtre furnizor a unei obligaţii prevãzute de lege. Furnizorul va trebui sã depunã la MCSI o scrisoare de garanţie din partea unei instituţii financiare de specialitate sau o poliţã de asigurare la o societate de asigurãri în favoarea MCSI, în valoare cel puţin egalã cu echivalentul în lei al sumei de 300.000 euro;
c) sã foloseascã personal având cunoştinţe de specialitate, experienţã şi calificare necesare pentru furnizarea serviciilor respective;
d) sã utilizeze numai dispozitive criptografice securizate pentru efectuarea operaţiilor criptografice implicate în procesul generãrii mãrcii temporale;
e) sã utilizeze un sistem informatic care sã respecte cerinţele de securitate prevãzute la <>art. 4 alin. (1) din Legea nr. 451/2004 ;
f) sã pãstreze toate informaţiile necesare pentru a putea face dovada marcãrii temporale în cazul unui eventual litigiu (înregistrãri ale mãrcilor temporale emise, documentaţia aferentã algoritmilor şi procedurilor de generare a mãrcilor temporale emise, alte documente) pentru o perioadã de minimum 10 ani de la data emiterii.
(2) În vederea îndeplinirii obligaţiei prevãzute la alin. (1) lit. e), furnizorul va publica documentaţia aferentã mecanismului implementat în vederea îndeplinirii acestei obligaţii, iar o copie a documentaţiei va fi transmisã MCSI.
ART. 14
Orice persoanã, fizicã sau juridicã, ce doreşte sã beneficieze de servicii de marcare temporalã trebuie:
a) sã furnizeze informaţiile referitoare la identitatea sa;
b) sã respecte limitãrile impuse de furnizorul de servicii de marcare temporalã.

SECŢIUNEA a 2-a
Mecanismul marcãrii temporale a documentelor

ART. 15
(1) Marcarea temporalã este realizatã cu respectarea urmãtoarelor etape:
a) utilizatorul transmite furnizorului o cerere de emitere a mãrcii temporale pentru un anumit document electronic. Cererea va conţine amprenta digitalã a documentului pentru care se face cererea, amprentã creatã prin intermediul aplicãrii unei funcţii hash-code asupra documentului;
b) într-un interval de timp stabilit prin politica de marcare temporalã, furnizorul de servicii de marcare temporalã executã urmãtoarele operaţiuni asupra amprentei digitale a documentului primit de la utilizator, folosind un sistem informatic sigur, care îndeplineşte cerinţele de securitate prevãzute la <>art. 4 din Legea nr. 451/2004 :
1. aplicã informaţia de timp, raportându-se la baza de timp;
2. aplicã celelalte date prevãzute de <>Legea nr. 451/2004 şi orice alte date prevãzute în politica sa de marcare temporalã care nu contravin prevederilor legale şi standardelor recunoscute în materie;
3. o semneazã electronic utilizând un certificat digital calificat;
c) în urma acestor operaţiuni rezultã marca temporalã care este transmisã utilizatorului.
(2) Autenticitatea mãrcii temporale poate fi verificatã de cãtre terţi pe baza documentului original, a mãrcii temporale, a cheii publice a furnizorului de servicii de marcare temporalã şi a funcţiei hash-code utilizate pentru crearea amprentei digitale a documentului.
ART. 16
(1) Furnizorul de servicii de marcare temporalã trebuie sã utilizeze informaţia de timp furnizatã de furnizorul unic de bazã de timp.
(2) Furnizorul unic de bazã de timp este Sistemul informatic pentru furnizarea orei oficiale a României, realizat de MCSI.
(3) Sursa de timp folositã de cãtre furnizorul de servicii de marcare temporalã trebuie sã fie sincronizatã cu referinţa de timp oferitã de furnizorul unic de bazã de timp, abaterea maximã admisã fiind de +/-1 secundã.
(4) Furnizorul de servicii de marcare temporalã are obligaţia de a lua toate mãsurile pentru calibrarea echipamentelor, astfel încât valoarea prevãzutã la alin. (3) sã nu fie depãşitã.
(5) În situaţia în care detecteazã cazuri în care au fost emise mãrci temporale cu depãşirea valorii prevãzute la alin. (3), furnizorul va transmite MCSI o înştiinţare în acest sens.
(6) Furnizorul are obligaţia de a pãstra datele care dovedesc respectarea valorii prevãzute la alin. (3) (de exemplu, logurile de sincronizare) şi de a le pune la dispoziţia MCSI, la cerere.
ART. 17
(1) Furnizorul de servicii de marcare temporalã este obligat sã punã la dispoziţia utilizatorilor software-ul necesar pentru utilizarea serviciului.
(2) Furnizorul trebuie sã ofere utilizatorilor urmãtoarele informaţii despre software-ul pus la dispoziţie:
a) condiţiile în care este disponibil software-ul;
b) instrucţiunile de folosire;
c) obligaţiile utilizatorului;
d) orice alte limitãri privind utilizarea software-ului.
(3) Software-ul pus la dispoziţie de cãtre furnizorul de servicii de marcare temporalã trebuie sã permitã utilizatorului sã verifice dacã marcarea temporalã a fost realizatã în mod corect, prin analiza automatã cel puţin a urmãtoarelor elemente:
a) structura mãrcii temporale;
b) amprenta din marca temporalã;
c) semnãtura electronicã a mãrcii temporale, respectiv validitatea certificatului folosit pentru semnare.
ART. 18
(1) Marca temporalã va avea structura stabilitã în anexa nr. 4, care face parte integrantã din prezentul ordin.
(2) De asemenea, marca temporalã trebuie sã includã:
a) un identificator pentru ţara în care furnizorul de servicii de marcare temporalã este stabilit, acolo unde este aplicabil;
b) un identificator pentru furnizorul de servicii de marcare temporalã, care va conţine cel puţin numãrul de ordine din registru;
c) un identificator pentru unitatea care emite mãrci temporale.
(3) Datele prevãzute la alin. (2) se vor introduce în marca temporalã folosindu-se câmpul "tsa" din cadrul structurii mãrcii temporale. Introducerea acestui câmp este obligatorie.
(4) MCSI va publica eventualele modificãri ale formatului descris în anexa nr. 4, pe baza evoluţiei tehnologiilor sau a normelor internaţionale recunoscute în domeniu.
ART. 19
(1) În vederea asigurãrii conformitãţii cu cerinţele <>Legii nr. 451/2004 şi ale prezentului ordin, se recomandã respectarea urmãtoarelor standarde şi recomandãri de cãtre furnizorii de servicii de marcare temporalã:
a) SR ETSI TS 101 861 V1.2.1: 2005 Profil de marcare temporalã;
b) SR ETSI TS 101 862 V1.3.2: 2005 Profil de certificat calificat;
c) SR ETSI TS 102 023 V1.2.1: 2005 Semnãturi electronice şi infrastructuri (ESI). Cerinţe privind politica pentru autoritãţile de marcare temporalã;
d) SR ISO/CEI 18014-1: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporalã. Partea 1: Cadru;
e) SR ISO/CEI 18014-2: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporalã. Partea 2: Mecanisme care produc mãrci temporale independente sau SR ISO/CEI 18014-3: 2005 Tehnologia informaţiei. Tehnici de securitate. Servicii de marcare temporalã. Partea 3: Mecanisme care produc mãrci temporale înlãnţuite;
f) SR ISO/CEI TR 14516: 2005 Tehnologia informaţiei. Tehnici de securitate. Îndrumãri pentru utilizarea şi administrarea serviciilor pãrţilor terţe de încredere;
g) Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP): IETF RFC 3161;
h) Cryptographic Message Syntax: IETF RFC 2630;
i) Internet X.509 Public Key Infrastructure Certificate and CRL Profile: IETF RFC 2459;
j) Date and Time on the Internet: Timestamps: IETF RFC 3339.
(2) Furnizorii au obligaţia de a pune la dispoziţia publicului, pe pagina proprie de internet, informaţii privind standardele pe care le aplicã în cadrul activitãţii propriu-zise de generare a mãrcii temporale şi procedurile de securitate utilizate.
ART. 20
Amprenta digitalã utilizatã în procesul de marcare temporalã, creatã prin intermediul aplicãrii unei funcţii hash-code asupra unui document în formã electronicã, trebuie sã aibã urmãtoarele caracteristici:
a) sã permitã identificarea unicã a documentului în formã electronicã, datoritã imposibilitãţii practice de a crea amprente identice pentru documente diferite;
b) sã nu permitã deducerea conţinutului documentului respectiv, datoritã imposibilitãţii practice de a reconstitui conţinutul documentului original pe baza amprentei.
ART. 21
Furnizorul foloseşte doar funcţia hash-code SHA1 (opţional SHA2) şi algoritmul de criptare RSA. Este interzisã folosirea teoremei chinezeşti a resturilor.
ART. 22
(1) Certificatul furnizorului de servicii de marcare temporalã trebuie sã fie emis de un furnizor de servicii de certificare acreditat în condiţiile <>Legii nr. 455/2001 .
(2) Certificatul furnizorului va conţine în mod obligatoriu extensia pentru marcare temporalã prevãzutã în standardele internaţionale în vigoare (RFC 3161 - protocol de marcã temporalã, secţiunea 2.3). Extensia trebuie sã fie de tip critic.
ART. 23
Marca temporalã va fi transmisã solicitantului prin mecanismele de transport prevãzute în standardul internaţional RFC 3161 - protocol de marcã temporalã, secţiunea a 3-a. Se va implementa în mod obligatoriu cel puţin protocolul HTTP.
ART. 24
(1) Serviciul de verificare a mãrcilor temporale se asigurã cãtre terţi şi este menţionat expres în contractul încheiat între furnizorul de servicii de marcã temporalã şi utilizator.
(2) Verificarea trebuie sã poatã fi realizatã automat, prin internet, fiind accesibilã oricãrei persoane fizice sau juridice care îşi bazeazã conduita pe efectele juridice ale unei mãrci temporale.

SECŢIUNEA a 3-a
Suspendarea sau încetarea activitãţii furnizorilor de servicii de marcare temporalã

ART. 25
(1) În conformitate cu prevederile <>art. 9 alin. (4) din Legea nr. 451/2004 , controlul respectãrii dispoziţiilor <>Legii nr. 451/2004 , precum şi ale prezentului ordin revine MCSI, care acţioneazã prin personalul de control de specialitate împuternicit în acest scop.
(2) MCSI are dreptul de a efectua controale asupra furnizorilor de servicii de marcare temporalã, din oficiu sau la solicitarea oricãrei persoane interesate.
(3) În vederea exercitãrii atribuţiilor de control, personalul împuternicit în acest scop este autorizat în limitele legii:
a) sã aibã acces liber, permanent, în orice loc în care se aflã echipamentele necesare furnizãrii serviciilor de marcare temporalã;
b) sã solicite orice document sau informaţie necesarã în vederea verificãrii respectãrii obligaţiilor ce incumbã furnizorului de servicii de marcare temporalã;
c) sã verifice punerea în aplicare a oricãror proceduri utilizate de cãtre furnizorul de servicii de marcare temporalã supus controlului;
d) sã sigileze orice echipamente necesare furnizãrii de servicii de marcare temporalã sau sã reţinã orice document care are legãturã cu aceastã activitate, pe o perioadã care nu poate depãşi 15 zile, dacã aceste mãsuri se impun.
ART. 26
(1) MCSI va dispune, prin ordin, suspendarea activitãţii furnizorului de servicii de marcare temporalã pânã la încetarea cauzelor care au determinat luarea mãsurii, în urmãtoarele situaţii:
a) furnizorul nu respectã politica de marcare temporalã şi procedurile de securitate declarate, într-un mod în care afecteazã securitatea procesului de marcare temporalã;
b) furnizorul încalcã obligaţia prevãzutã la <>art. 5 alin. (1) din Legea nr. 451/2004 ;
c) odatã cu aplicarea sancţiunilor contravenţionale prevãzute la <>art. 12 din Legea nr. 451/2004 ;
d) furnizorul nu respectã obligaţiile prevãzute la art. 8 alin. (4) şi art. 16;
e) furnizorul nu remediazã în termenul stabilit de MCSI orice alte deficienţe apãrute ca urmare a nerespectãrii prevederilor <>Legii nr. 451/2004 şi ale prezentului ordin şi constatate cu prilejul efectuãrii controalelor de cãtre MCSI.
(2) Odatã cu comunicarea ordinului de suspendare temporarã a activitãţii, MCSI comunicã furnizorului un termen în care trebuie sã remedieze problemele care au determinat luarea acestei mãsuri. Termenul nu poate fi mai mic de 30 de zile. Furnizorul poate solicita motivat prelungirea acestui termen.
(3) Suspendarea activitãţii înceteazã în momentul în care furnizorul face dovada încetãrii cauzelor care au determinat luarea mãsurii.
(4) Dacã furnizorul nu remediazã problemele care au determinat suspendarea în termenul stabilit în condiţiile alin. (2), MCSI va dispune, prin ordin, încetarea activitãţii acestuia.
(5) În perioada în care activitatea sa este suspendatã, furnizorul are obligaţia sã asigure continuarea funcţionãrii serviciului de verificare a mãrcilor temporale, precum şi consultarea în regim on-line a registrului electronic, cu excepţia cazului în care deficienţele se gãsesc la nivelul acestor sisteme.
ART. 27
(1) În cazul în care furnizorul intenţioneazã sã înceteze activitãţile legate de marcarea temporalã, va informa MCSI, cu cel puţin 30 de zile în avans, despre intenţia sa, respectiv despre existenţa şi natura împrejurãrii care justificã imposibilitatea de continuare a activitãţilor, prin completarea formularului prevãzut în anexa nr. 5, care face parte integrantã din prezentul ordin.
(2) Furnizorului îi revine obligaţia ca, în situaţia în care se aflã în imposibilitate de a continua activitãţile legate de marcarea temporalã şi nu a putut prevedea aceastã situaţie cu cel puţin 30 de zile înainte ca încetarea activitãţilor sã se producã, sã informeze MCSI în termen de 24 de ore din momentul în care a luat cunoştinţã sau trebuia şi putea sã ia cunoştinţã despre imposibilitatea continuãrii activitãţilor.
(3) Atât în cazul încetãrii activitãţii din iniţiativa sa, cât şi în cazul în care încetarea activitãţii a fost dispusã de MCSI, furnizorul de servicii de marcare temporalã va desemna alt furnizor de servicii de marcare temporalã, cãruia îi va transfera, în tot sau în parte, activitãţile sale. Transferul va opera în urmãtoarele condiţii:
a) furnizorul de servicii de marcare temporalã va înştiinţa fiecare utilizator, cu cel puţin 30 de zile în avans, despre intenţia sa de transferare a activitãţilor legate de marcarea temporalã cãtre un alt furnizor, menţionând identitatea acestuia;
b) furnizorul de servicii de marcare temporalã va face cunoscute utilizatorilor sãi posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate fi exercitat.
(4) Furnizorul aflat în unul dintre cazurile prevãzute la alin. (1) şi (2), ale cãrui activitãţi nu sunt preluate de un alt furnizor de servicii de marcare temporalã, este obligat sã depunã la MCSI informaţiile şi documentele prevãzute la <>art. 8 alin. (2) din Legea nr. 451/2004 , precum şi dovada revocãrii certificatului utilizat în procesul de marcare temporalã.

CAP. IV
Dispoziţii finale

ART. 28
(1) La data intrãrii în vigoare a prezentului ordin, <>Decizia preşedintelui Autoritãţii Naţionale pentru Comunicaţii nr. 896/2008 privind normele tehnice şi metodologice pentru aplicarea <>Legii nr. 451/2004 privind marca temporalã, publicatã în Monitorul Oficial al României, Partea I, nr. 754 din 7 noiembrie 2008, se abrogã.
(2) Prezentul ordin se publicã în Monitorul Oficial al României, Partea I.

Ministrul comunicaţiilor
şi societãţii informaţionale,
Gabriel Sandu

Bucureşti, 15 iunie 2009.
Nr. 492.


ANEXA 1

CONŢINUTUL ŞI STRUCTURA
Registrului furnizorilor de servicii de marcare temporalã


┌───┬──────────────────────────────────────────────────────────────────────────┐
│ 1.│Numãrul de ordine al înregistrãrii, generat automat                       │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 2.│Codul de identificare a furnizorului de servicii de marcare temporalã     │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 3.│Calitatea furnizorului: persoanã fizicã sau persoanã juridicã             │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 4.│Numele şi prenumele furnizorului (pentru persoana fizicã)/Denumirea       │
│   │(pentru persoana juridicã)                                                │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 5.│Adresa (ţarã, oraş, judeţ/sector, stradã, numãr, bloc, scara, etaj,       │
│   │apartament, cod poştal, telefon, fax, e-mail, adresa pagina web)          │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 6.│Codul unic de înregistrare la registrul comerţului (pentru persoana       │
│   │juridicã)                                                                 │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 7.│Data la care a început activitatea                                        │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 8.│Cheia publicã a certificatului digital folosit de furnizorul de servicii  │
│   │în procesul de marcare temporalã                                          │
├───┼──────────────────────────────────────────────────────────────────────────┤
│ 9.│Descrierea sistemelor furnizorului de servicii de marcare temporalã       │
├───┼──────────────────────────────────────────────────────────────────────────┤
│10.│Codul de proceduri şi practici al furnizorului de servicii de marcare     │
│   │temporalã                                                                 │
├───┼──────────────────────────────────────────────────────────────────────────┤
│11.│Descrierea politicii generale a furnizorului de servicii de marcare       │
│   │temporalã                                                                 │
├───┼──────────────────────────────────────────────────────────────────────────┤
│12.│Tipul garanţiei furnizorului                                              │
├───┼──────────────────────────────────────────────────────────────────────────┤
│13.│Societatea de asigurãri/Instituţia financiarã care garanteazã capacitatea │
│   │financiarã a furnizorului                                                 │
├───┼──────────────────────────────────────────────────────────────────────────┤
│14.│Suma asiguratã/Suma acoperitã prin scrisoarea de garanţie                 │
├───┼──────────────────────────────────────────────────────────────────────────┤
│15.│Situaţii critice: câmp ce poate conţine referiri la ultima situaţie       │
│   │criticã (de exemplu, întreruperea temporarã a activitãţii din cauza       │
│   │unor probleme tehnice, modificarea procedurilor, sancţiuni etc.)          │
├───┼──────────────────────────────────────────────────────────────────────────┤
│16.│Data şi ora ultimei actualizãri a registrului                             │
├───┼──────────────────────────────────────────────────────────────────────────┤
│17.│Situaţia furnizorului (operaţional, suspendat, activitatea încetatã,      │
│   │în curs de transferare a activitãţii etc.)                                │
├───┼──────────────────────────────────────────────────────────────────────────┤
│18.│Motivul suspendãrii/reluãrii/încetãrii activitãţii (dacã este cazul)      │
└───┴──────────────────────────────────────────────────────────────────────────┘




ANEXA 2

FORMULAR DE NOTIFICARE
pentru furnizorii de servicii de marcare temporalã



┌──────────────────────────────────┬────────┬────────┬──────────┬────────┬─────┐
│Furnizor de servicii de marcare   │Ţara    │Oraş    │Sector    │Str.    │Nr.  │
│temporalã persoanã fizicã/juridicã├────────┼────────┼──────────┼────────┼─────┤
│                                  │        │        │          │        │     │
├──────────────────────────────────┼────────┼────────┼──────────┼────────┴─────┤
│                                  │Bl.     │Et.     │Ap.       │Cod poştal    │
│                                  ├────────┼────────┼──────────┼──────────────┤
│                                  │        │        │          │              │
│Domiciliul sau sediul             ├────────┼────────┼──────────┼──────────────┤
│                                  │Tel.    │Fax     │E-mail    │Web           │
│                                  ├────────┼────────┴──────────┼──────────────┤
│                                  │        │                   │              │
├──────────────────────────────────┴────────┼───────────────────┴──────────────┤
│Cod de înregistrare la registrul comerţului│Tip societate                     │
├───────────────────────────────────────────┼──────────────────────────────────┤
│                                           │                                  │
├───────────────────────────────────────────┼──────────────────────────────────┤
│Banca                                      │Nr. cont bancar                   │
├───────────────────────────────────────────┼──────────────────────────────────┤
│                                           │                                  │
├───────────────────────────────────────────┼──────────────────────────────────┤
│Naţionalitate                              │Cetãţenie                         │
├───────────────────────────────────────────┼──────────────────────────────────┤
│                                           │                                  │
├──────────────────────────────────┬────────┴─────────┬─────────────┬──────────┤
│Data începerii activitãţii        │                  │             │          │
├──────────────────────────────────┼──────────────────┼─────────────┼──────────┤
│Opis documente anexate            │                  │             │          │
└──────────────────────────────────┴──────────────────┴─────────────┴──────────┘



ÎNŞTIINŢARE - ANGAJAMENT

Subsemnatul, .......(numele şi prenumele/denumirea)......, înştiinţez Ministerul Comunicaţiilor şi Societãţii Informaţionale (MCSI) referitor la desfãşurarea serviciilor de marcare temporalã menţionate în prezentul document, cu începere de la data de ................. .
Mã angajez sã îmi desfãşor activitatea în conformitate cu prevederile <>Legii nr. 451/2004 privind marca temporalã, ale Ordinului ministrului comunicaţiilor şi societãţii informaţionale nr. 492/2009 privind normele tehnice şi metodologice pentru aplicarea <>Legii nr. 451/2004 privind marca temporalã, precum şi cu standardele europene şi internaţionale în domeniu.
Mã oblig sã acopãr prejudiciile pe care le-aş putea cauza utilizatorilor, în condiţiile prevãzute la <>art. 10 din Legea nr. 451/2004 .
De asemenea, mã angajez sã comunic utilizatorilor instrucţiunile practice de marcare temporalã, precum şi termenele şi condiţiile de utilizare a serviciilor de marcare temporalã.
Anexez la prezenta urmãtoarea documentaţie:
1. contractul de închiriere/actul de proprietate pentru sediu;
2. adeverinţã din partea administraţiei finanţelor publice privind plata la zi a taxelor şi impozitelor cãtre stat;
3. certificat de bonitate sau scrisoare de garanţie din partea bãncii, prin care persoana fizicã/juridicã desfãşoarã plãţi şi încasãri curente;
4. o scrisoare de garanţie în valoare de .........., în favoarea MCSI, la .....(numele instituţiei financiare)....... /o poliţã de asigurare la .....(numele societãţii de asigurare)......, în favoarea MCSI, în valoare de ......... *);
5. certificatul calificat folosit în activitatea de marcare temporalã;
6. politica de marcare temporalã aplicatã;
7. descrierea generalã a sistemului informatic utilizat pentru desfãşurarea activitãţii de marcare temporalã, însoţitã de o declaraţie de conformitate cu prevederile <>art. 4 alin. (1) din Legea nr. 451/2004 ;
8. descrierea practicilor, procedurilor şi sistemelor care asigurã securitatea şi integritatea datelor, accesul autorizat permanent la acestea şi modalitãţile de prevenire a accesului neautorizat (codul de practici şi proceduri);
9. politica referitoare la protecţia datelor cu caracter personal;
10. certificatul care dovedeşte calitatea de operator de date cu caracter personal.



Furnizor, Din partea MCSI,
............. ......................
Data şi ora Am primit documentaţia menţionatã.
.............

----------
*) Se va opta pentru una dintre cele douã variante, în conformitate cu prevederile art. 13 alin. (1) lit. b) din prezentul ordin.


ANEXA 3

CONŢINUTUL MINIMAL
al Registrului electronic operativ
de evidenţã a mãrcilor temporale

I. Registrul electronic operativ de evidenţã a mãrcilor temporale va cuprinde:
1. Lista tuturor mãrcilor temporale emise de cãtre furnizorul de servicii de marcare temporalã, cuprinzând urmãtoarele informaţii:
A. Date referitoare la marca temporalã


┌────┬────────────────────────────────────────────────────────────────────┐
│Nr. │              Categorie de date                                     │
│crt.│                                                                    │
├────┼────────────────────────────────────────────────────────────────────┤
│ 1. │Identificator unic                                                  │
├────┼────────────────────────────────────────────────────────────────────┤
│ 2. │Data şi ora la care marca temporalã a fost aplicatã                 │
├────┼────────────────────────────────────────────────────────────────────┤
│ 3. │Cod de identificare utilizator                                      │
├────┼────────────────────────────────────────────────────────────────────┤
│ 4. │Amprenta documentului supusã marcãrii temporale                     │
├────┼────────────────────────────────────────────────────────────────────┤
│ 5. │Identificarea algoritmului utilizat pentru generarea amprentei      │
└────┴────────────────────────────────────────────────────────────────────┘



B. Date referitoare la furnizor/certificatul furnizorului


┌────┬─────────────────────────────────────────┬─────────────────────────────┐
│ 1. │Nume                                     │Subject Name                 │
├────┼─────────────────────────────────────────┼─────────────────────────────┤
│ 2. │Data emiterii                            │                             │
├────┼─────────────────────────────────────────┼─────────────────────────────┤
│ 3. │Valabilitate                             │                             │
├────┼─────────────────────────────────────────┼─────────────────────────────┤
│ 4. │Date de identificare ale furnizorului    │                             │
│    │de servicii de certificare superior      │IssuerName, SerialNumber     │
└────┴─────────────────────────────────────────┴─────────────────────────────┘



C. Marca temporalã emisã
2. Înregistrãri ale evenimentelor apãrute în sistemul informatic utilizat pentru generarea mãrcilor temporale:
- sincronizãrile cu baza de timp;
- schimbarea cheilor criptografice;
- opriri ale sistemului;
- incidente de securitate.
II. Regimul de acces la informaţiile cuprinse în Registrul electronic operativ de evidenţã a mãrcilor temporale
- Informaţiile prevãzute la pct. 1 vor fi disponibile permanent pentru consultare pe pagina de internet a furnizorului de servicii de marcare temporalã.
- Informaţiile prevãzute la pct. 2 vor fi fãcute publice în conformitate cu politica de marcare temporalã a furnizorului şi vor fi furnizate, la cerere, Ministerului Comunicaţiilor şi Societãţii Informaţionale.


ANEXA 4

CONŢINUTUL ŞI STRUCTURA MĂRCII TEMPORALE



┌─────────────────────────┬─────────────────────────┬───────────────┬──────────┐
│          Nume           │   Explicaţie detaliatã  │Structura ASN1 │Observaţii│
├─────────────────────────┴─────────────────────────┴───────────────┴──────────┤
│A. Informaţii despre marca temporalã propriu-zisã                             │
│(TSTInfo)                                                                     │
├─────────────────────────┬─────────────────────────┬───────────────┬──────────┤
│Versiune                 │                         │INTEGER        │          │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Politica                 │                         │OID            │          │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Amprenta de marcat       │Hash-ul + algoritmul     │messageImprint │          │
│                         │de hash                  │               │          │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Numãr serial unic        │                         │INTEGER        │          │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Momentul exact de timp   │UTC, notaţie "zulu"      │GeneralizedTime│          │
│al emiterii              │                         │               │          │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Precizie                 │Secunde, milisecunde,    │Accuracy       │ opţional │
│                         │microsecunde             │               │          │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Numãr aleatoriu (Nonce)  │                         │INTEGER        │ opţional │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Numele furnizorului      │                         │GeneralName    │ opţional │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Extensii                 │                         │Extensions     │ opţional │
├─────────────────────────┴─────────────────────────┴───────────────┴──────────┤
│B. Semnãtura furnizorului                                                     │
│(ContentInfo ce încapsuleazã o structurã signedData)                          │
├─────────────────────────┬─────────────────────────┬───────────────┬──────────┤
│                         │Semnãtura propriu-zisã   │               │          │
│                         │(SignatureValue),însoţitã│               │          │
│Info semnãturã           │de datele de identificare│ signerInfo    │          │
│                         │ale semnatarului         │               │          │
│                         │(SignerIdentifier)       │               │          │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Certificatul furnizorului│                         │ certs         │ opţional │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
├─────────────────────────┴─────────────────────────┴───────────────┴──────────┤
│C. Statutul PKI (PKIStatusInfo)                                               │
├─────────────────────────┬─────────────────────────┬───────────────┬──────────┤
│Codul de status PKI      │                         │PKIStatus      │          │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Mesajul text PKI         │                         │PKIFreeText    │ opţional │
├─────────────────────────┼─────────────────────────┼───────────────┼──────────┤
│Informaţii despre        │                         │PKIFailureInfo │ opţional │
│eroarea PKI              │                         │               │          │
└─────────────────────────┴─────────────────────────┴───────────────┴──────────┘




ANEXA 5

FORMULAR DE INFORMARE
cu privire la încetarea activitãţii unui furnizor
de servicii de marcare temporalã


┌──────────────────────────────────────┬───────────────────────────────────────┐
│Nume furnizor                         │Codul din registrul furnizorilor       │
│                                      │de servicii                            │
├──────────────────────────────────────┤                                       │
│                                      │                                       │
├──────────────────────────────────────┴───────────────────────────────────────┤
│Motivele încetãrii activitãţii:                                               │
│                                                                              │
│                                                                              │
├──────────────────────────────────────┬───────────────────────────────────────┤
│Data la care a înştiinţat MCSI        │Data încetãrii activitãţii             │
│                                      │                                       │
├──────────────────────────────────────┼───────────────────────────────────────┤
│Numele furnizorului care va prelua    │Codul din registrul furnizorilor       │
│activitatea                           │de servicii                            │
├──────────────────────────────────────┤                                       │
│                                      │                                       │
├──────────────────────────────────────┴───────────────────────────────────────┤
│Mãsuri luate referitoare la utilizatori:                                      │
│                                                                              │
├──────────────────────────────────────────────────────────────────────────────┤
│                                                                              │
└──────────────────────────────────────────────────────────────────────────────┘



------------
Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016

Tags: Monitorul Oficial, Acte Monitorul Oficial, Ordin, Alte Institutii, ORDIN nr. 492 din 15 iunie 2009

Comentarii


Maximum 3000 caractere.
Da, doresc sa primesc informatii despre produsele, serviciile etc. oferite de Rentrop & Straton.

Cod de securitate


Fii primul care comenteaza.
MonitorulJuridic.ro este un proiect:
Rentrop & Straton
Banner5

Atentie, Juristi!

5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR"


Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016
x
DESCARCATI GRATUIT
Raportul Special
"5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR"
Da, vreau informatii despre produsele Rentrop&Straton. Sunt de acord ca datele personale sa fie prelucrate conform Regulamentul UE 679/2016