AcasăDocument
NORME TEHNICE SI METODOLOGICE din 13 decembrie 2001
pentru aplicarea Legii nr. 455/2001 privind semnatura electronică
În vigoare
Previzualizare publică. Creează cont gratuit pentru versiuni istorice și notificări.
Jurisprudență și comentarii disponibile în Ortexo Pro.
CAPITOL
Capitolul 1 Dispoziții generale
ART
Articolul 1
Paragraf
Orice persoană, fizica sau juridică, aflată pe teritoriul României poate beneficia de servicii de certificare în vederea utilizării semnăturii electronice în sensul definit a art. 4 din Legea nr. 455/2001 privind semnătura electronică, denumita în continuare lege.
ART
Articolul 2
Alineatul (1)
În înțelesul prezentelor norme tehnice și metodologice, termenii utilizați au următoarele definiții:
litera a)
client - beneficiarul serviciilor de certificare, care, în baza unui contract încheiat cu un furnizor de servicii de certificare, denumit în continuare furnizor, deține o pereche funcțională cheie publică-cheie privată și are o identitate probată printr-un certificat digital emis de acel furnizor;
litera b)
hash-code - funcție care returnează amprenta unui document electronic;
litera c)
cheie privată - un cod digital cu caracter de unicitate, generat printr-un dispozitiv hardware și/sau software specializat. În contextul semnăturii digitale cheia privată reprezintă datele de creare a semnăturii electronice, asa cum apar ele definite în lege;
litera d)
cheia publică - cod digital, perechea cheii private necesară verificării semnăturii electronice. În contextul semnăturii digitale cheia publică reprezintă datele de verificare a semnăturii electronice, asa cum apar ele definite în lege;
litera e)
mecanismul de creare a semnăturii electronice asupra documentului se aplică o funcție hash-code, obtinandu-se amprenta documentului. Printr-un algoritm se aplică cheia privată peste amprenta documentului, rezultând semnătura electronică;
litera f)
mecanismul de verificare a semnăturii electronice se bazează pe utilizarea cheii publice, a funcției hash-code și a semnăturii electronice primite. Verificarea semnăturii este o operație automată;
litera g)
pagina web - document electronic, disponibil prin internet.
Alineatul (2)
În înțelesul prezentelor norme, abrevierile utilizate au următoarele semnificații:
litera a)
ETSI - Institutul European de Standarde în Telecomunicații;
litera b)
RFC - desemnează documente care au fost supuse analizei publice în cadrul unui proces coordonat de Grupul de Lucru pentru Ingineria Internetului;
litera c)
FIPS - desemnează standarde federale emise de Institutul Național de Standarde și Tehnologie din Statele Unite ale Americii;
litera d)
IEEE - Institutul de Inginerie Electrica și Electronică;
litera e)
ITSEC - desemnează standardele și criteriile europene de evaluare a securității sistemelor informatice;
litera f)
RSA - algoritmul de criptare cu cheie publică, dezvoltat de cercetătorii Rivest, Shamir și Adleman;
litera g)
DSA - Algoritmul de Semnătura Digitală;
litera h)
SHA - Algoritm Securizat de Hash-code;
litera i)
PKI - Infrastructura de chei publice;
litera j)
RTF - format de document ce permite alinierea texului, introducerea unor caractere speciale, utilizarea culorilor și a fonturilor de dimensiuni diferite, precum și inserarea altor obiecte;
litera k)
PDF - format ce permite transferarea documentelo electronice fără a afecta aranjarea în pagina; documentele pot conține text, imagini și sunete;
litera l)
Post-Script - format de document utilizat în specia pentru tipărire la imprimante Post-Script.
litera m)
TXT - format de document conținând exclusiv text
CAPITOL
Capitolul 2 Autoritatea de reglementare și supraveghere
ART
Articolul 3
Alineatul (1)
Autoritatea de reglementare și supraveghere, denumita în continuare autoritate, generează sau achiziționează o pereche funcțională cheie privată-cheie publică și trebuie să își protejeze cheia sa privată, utilizând un sistem fiabil și luând precautiile necesare pentru a preveni pierderea, dezvaluirea, modificarea sau utilizarea neautorizata a cheii sale private.
Alineatul (2)
Cheia privată nu poate fi dedusă în nici un fel din cheia sa publică pereche.
ART
Articolul 4
Paragraf
Autoritatea gestionează Registrul furnizorilor de servicii de certificare, denumit în continuare registru
ART
Articolul 5
Paragraf
Conținutul informațional și structura registrului sunt prezentate în anexa nr. 1.
ART
Articolul 6
Alineatul (1)
Actualizarea registrului se face exclusiv de către autoritate și urmărește toate modificările survenite în statutul furnizorului - acreditare, terminarea perioadei de acreditare, suspendare, imbogatirea tipurilor de certificate oferite.
Alineatul (2)
După fiecare actualizare autoritatea transmite furnizorului o copie de pe documentul prevăzut la pct. 43 din anexa nr. 1.
ART
Articolul 7
Alineatul (1)
Autoritatea gestionează datele utilizând un sistem informatic în măsură să asigure securitatea sistemelor comunicațiilor, tranzacțiilor și datelor.
Alineatul (2)
În acest sens se utilizează o soluție ce asigură managementul unei baze de date replicate, garantându-se accesul permanent prin Internet. Standardele recunoscute sunt ultimele versiuni ale ISO/IEC 15408-1,2,3 și ISO 17799 sau standardele care le înlocuiesc.
Paragraf
Art. 7 a fost modificat de pct. 1 al art. I din HOTĂRÂREA nr. 2.303 din 14 decembrie 2004 publicată în MONITORUL OFICIAL nr. 1.279 din 30 decembrie 2004.
ART
Articolul 8
Paragraf
Autoritatea face publice, spre consultare următoarele date din registru:
litera a)
tipul furnizorului - persoana fizica sau juridică;
litera b)
numele sau denumirea furnizorului;
litera c)
data la care și-a început activitatea;
litera d)
cheia publică a furnizorului;
litera e)
indicații privind acreditarea - acreditat sau neacreditat;
litera f)
perioada de acreditare - început/sfârșit;
litera g)
indicații privind dreptul de a emite certificate calificate;
litera h)
descrierea politicii generale a furnizorului;
litera i)
forma de organizare a furnizorului - societate comercială, regie autonomă, instituție publică, organizație neguvernamentala, alte tipuri;
litera j)
adresa sau sediul - țara, oraș, județ/sector, strada număr, bloc, scara, etaj, apartament, cod poștal;
litera k)
naționalitatea, pentru persoana juridică;
litera l)
cetățenia, pentru persoana fizica;
litera m)
telefon, fax, e-mail, adresa în pagina web;
litera n)
categoriile de servicii destinate publicului: tipul de certificate, mod de utilizare, pentru fiecare tip de certificate
litera o)
tipurile de dispozitive de creare a semnăturii electronice utilizate;
litera p)
situația dispozitivelor - dacă sunt omologate sau nu;
litera q)
situația furnizorului: operațional, suspendat, activitatea incetata, în curs de transferare a activității, în curs de remediere a unor probleme identificate de autoritate indicând termenul limita;
litera r)
istoric al furnizorului: data de începere a activității, perioade de suspendare, perioade în care a avut dreptul de a emite certificate calificate, alte asemenea situații.
ART
Articolul 9
Alineatul (1)
Informațiile prevăzute la art. 8 din prezentele norme tehnice și metodologice sunt disponibile public, prin Internet, în pagina web a autorității.
Alineatul (2)
Pagina web va mai conține informații cu privire la legea semnăturii electronice, normele tehnice și metodologice privind aplicarea legii semnăturii electronice, informații generale cu privire la utilizarea semnăturii electronice, informații noi din domeniul semnăturii electronice, trimiteri către paginile web ale furnizorilor de servicii de certificare.
Alineatul (3)
Autoritatea va publică permanent tehnologiile Internet prin care se pot consulta informațiile prevăzute la alin. (1) și (2).
CAPITOL
Capitolul 3 Furnizorii de servicii de certificare
SECTIUNE
Secţiunea 1 Dispoziții comune
ART
Articolul 10
Alineatul (1)
Un furnizor este obligat sa genereze sau sa achiziționeze o pereche funcțională cheie privată-cheie publică și să își protejeze cheia sa privată, utilizând un sistem fiabil și luând precautiile necesare pentru a preveni pierderea, dezvaluirea, modificarea sau utilizarea neautorizata a cheii sale private.
Alineatul (2)
Cheia privată nu poate fi dedusă în nici un fel din cheia sa publică pereche.
ART
Articolul 11
Alineatul (1)
Înainte de începerea activității furnizorul va notifica autoritatea, conform formularului prevăzut în anexa nr. 2.
Alineatul (2)
Toate datele vor fi înaintate autorității pe suport de hârtie și în format electronic, documentul electronic fiind semnat digital de către furnizor și prezentat în unul dintre următoarele formate: RTF, PDF, TXT și Post-Script.
ART
Articolul 12
Alineatul (1)
Înregistrarea în registru se face pe baza unei cereri individuale.
Alineatul (2)
La primirea cererii autoritatea include datele furnizorului în registru și generează pentru acesta un cod de identificare format prin alipirea anului, lunii și datei de începere a activității și a numărului de ordine al furnizorului.
SECTIUNE
Secţiunea a 2-a Furnizarea serviciilor de certificare calificată
ART
Articolul 13
Alineatul (1)
Furnizorul poate furniza servicii de certificare bazate pe certificate simple și calificate.
Alineatul (2)
Certificatul calificat va avea structura conformă cu anexa nr. 3, potrivit ETSI TS 101 862 v. 1.2.1. (2001-06), RFC 2459 și cu Recomandările ITU-T X. 509.
Alineatul (3)
Autoritatea va publică eventualele modificări ale formatului descris, pe baza evoluției tehnologiilor sau a normelor internaționale recunoscute în domeniu.
Alineatul (4)
Certificatul are și o rubrica de extensii. Lista celor mai uzuale extensii este prevăzută în anexa nr. 4.
Alineatul (5)
Codul de identificare a certificatului calificat se formează prin alipirea codului de identificare a furnizorului și a numărului de ordine al certificatului.
Alineatul (6)
Codul personal de identificare a semnatarului rezultă prin alipirea codului de identificare a furnizorului, initialele numelui sau pseudonimului semnatarului și numărul de ordine al acestuia în lista clienților cu aceleași inițiale.
ART
Articolul 14
Alineatul (1)
În vederea emiterii de certificate calificate furnizorul trebuie să îndeplinească condițiile enunțate la art. 20-22 din lege.
Alineatul (2)
Furnizorul trebuie să dovedească autorității ca dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfășurării activități de certificare și trebuie să fie capabil sa acopere pierderile suferite de către o persoană care își întemeiază conduita pe efectele juridice ale certificatelor calificate, până la concurenta echivalentului în lei al sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar dacă se produc mai multe asemenea prejudicii ca urmare a neîndeplinirii de către furnizor a unei obligații prevăzute de lege. Furnizorul va trebui sa depună o scrisoare de garanție din partea unei instituti financiare de specialitate sau o polița de asigurare la o societate de asigurări, în favoarea autorității, în valoare cel puțin egala cu echivalentul în lei al sumei de 500.000 euro; scrisoarea de garanție are forma prevăzută în anexa nr. 5.
Alineatul (3)
Furnizorul trebuie să asigure un nivel corespunzător de securitate a comunicațiilor, tranzacțiilor și datelor, standardele recunoscute fiind ISO/IEC 15408-1,2,3, ISO 17799, ETSI TS 101 456 v1.1.1 (2000-12), ITSEC-E3 FIPS 140-1 sau ultimele versiuni ale acestora ori standardele care le înlocuiesc.
Paragraf
Alin. (3) al art. 14 a fost modificat de pct. 2 al art. I din HOTĂRÂREA nr. 2.303 din 14 decembrie 2004 publicată în MONITORUL OFICIAL nr. 1.279 din 30 decembrie 2004.
Alineatul (4)
Furnizorul trebuie să asigure operarea rapida a registrului de evidenta a certificatelor, conform art. 20 lit. b) din lege; structura registrului este prezentată în anexa nr. 6.
Alineatul (5)
Furnizorul trebuie să folosească numai dispozitive securizate de creare a semnăturii electronice.
Alineatul (6)
Autoritatea verifica datele conținute în documentația depusa, în termen de maximum 10 zile, în raport cu standardele recunoscute și cu prezentele norme tehnice și metodologice.
Alineatul (7)
Autoritatea trebuie să informeze furnizorul, în termen de maximum 10 zile, cu privire la îndeplinirea condițiilor și să solicite, dacă e cazul, completarea documentației.
Alineatul (8)
În cazul în care toate criteriile sunt îndeplinite, autoritatea emite decizia prin care furnizorul dobândește dreptul de a furniza servicii de certificare calificată și actualizează registrul înscriind noul statut al furnizorului. Decizia este comunicată furnizorului pe suport de hârtie și în format electronic, semnat digital de autoritate.
Alineatul (9)
Dacă documentația nu a fost completată sau nu îndeplinește condițiile, autoritatea emite o decizie motivată prin care respinge solicitarea furnizorului de a i se acordă dreptul de furnizare de servicii de certificare calificată Decizia este comunicată furnizorului pe suport de hârtie și în format electronic, semnat digital de autoritate.
ART
Articolul 15
Paragraf
În cazul în care nu mai sunt îndeplinite condițiile prevăzute la art. 20-22 din lege, autoritatea va lua decizia de suspendare a dreptului furnizorului în cauza de a emite certificate calificate, până la remedierea neajunsurilor și îndeplinirea tuturor condițiilor legale. Decizia este comunicată furnizorului pe suport de hârtie și în format electronic, semnat digital de autoritate.
SECTIUNE
Secţiunea a 3-a Acreditarea voluntara
ART
Articolul 16
Alineatul (1)
Furnizorul care dorește să își desfășoare activitatea ca furnizor acreditat trebuie să solicite obținerea acreditării din partea autorității.
Alineatul (2)
În acest sens furnizorul trebuie să îndeplinească toate condițiile necesare emiterii de certificate calificate și sa utilizeze dispozitive securizate de generare a semnăturii electronice, omologate de o agenție de omologare agreată de autoritate.
Alineatul (3)
Verificările se fac atât asupra declarațiilor conținute în documentația depusa la autoritate, cat și asupra concordanței dintre sistemele, procedurile și practicile afirmate și cele existente în realitate.
Alineatul (4)
Auditul este realizat de autoritate sau de o terta parte numita de aceasta, conform normelor europene pentru acest gen de activitate.
Alineatul (5)
Autoritatea trebuie să informeze în termen de maximum 30 de zile furnizorul cu privire la îndeplinirea condițiilor și să solicite, dacă e cazul, completarea documentației.
ART
Articolul 17
Alineatul (1)
În cazul în care se constată că toate criteriile sunt îndeplinite, autoritatea decide acreditarea furnizorului.
Alineatul (2)
Decizia de acreditare, condițiile și efectele suspendării sau ale retragerii sunt comunicate furnizorului pe suport de hârtie și în format electronic, semnat digital de autoritate.
Alineatul (3)
La cererea furnizorului autoritatea actualizează registrul prin înscrierea noului statut de furnizor acreditat. Se introduc informații despre garanții, omologarea dispozitivelor, agenția de omologare, perioada de acreditare.
ART
Articolul 18
Alineatul (1)
Durata acreditării este de 3 ani și se poate reînnoi.
Alineatul (2)
Procedura de reinnoire este identică cu cea de obținere a acreditării.
ART
Articolul 19
Paragraf
Suspendarea deciziei de acreditare se face în următoarele cazuri:
litera a)
se constată că furnizorul nu mai îndeplinește una sau mai multe dintre condițiile prevăzute pentru acordarea deciziei de acreditare. În acest caz autoritatea notifica furnizorului și stabilește un interval de timp de maximum 30 de zile în care furnizorul trebuie să remedieze deficientele semnalate;
litera b)
declanșarea procedurii falimentului furnizorului.
ART
Articolul 20
Paragraf
Autoritatea retrage decizia de acreditare în următoarele cazuri:
litera a)
dacă furnizorul nu remediaza deficientele prevăzute aart. 19 lit. a), în termenul acordat de către autoritate;
litera b)
dacă intervine o hotărâre judecătorească definitivă și revocabila prin care se declara falimentul furnizorului.
SECTIUNE
Secţiunea a 4-a Agrearea agențiilor de omologare
ART
Articolul 21
Alineatul (1)
Decizia de agreare a agențiilor de omologare se face pe baza unei cereri a agenției către autoritate și în urma verificării condițiilor menționate în normele europene pentru acest gen de activitate.
Alineatul (2)
Decizia de agreare este valabilă 1 an și se poate reînnoi.
Alineatul (3)
Decizia se retrage în cazul în care se constată că agenția nu mai îndeplinește condițiile prevăzute la alin. (1) și (2). Autoritatea transmite agenției o nota explicativă în care descrie motivele retragerii deciziei de agreare.
CAPITOL
Capitolul 4 Proceduri de utilizare a semnăturii electronice
ART
Articolul 22
Paragraf
Principiul de funcționare și procedurile de utilizare a semnăturii electronice sunt prevăzute în anexa nr. 7.
ART
Articolul 23
Paragraf
Orice persoană, fizica sau juridică, care dorește ca un furnizor sa îi elibereze un certificat trebuie:
litera a)
sa furnizeze informațiile cerute pentru tipul de certificat dorit, conform formularului prevăzut înanexa nr. 8;
litera b)
sa genereze sau sa achiziționeze o pereche funcțională cheie privată-cheie publică; cheia privată nu poate fi dedusă în nici un fel din cheia sa publică pereche;
litera c)
sa probeze functionalitatea perechii cheie privată-cheie publică;
litera d)
sa protejeze cheia privată de furturi, deteriorări, modificări ale conținutului sau alte compromiteri ale acesteia este interzisă duplicarea cheii private;
litera e)
sa propună un nume sau un pseudonim distinct pentru identificare;
litera f)
sa supună examinării furnizorului: cererea de furnizare a unui certificat, acordul de a respecta obligațiile în calitate de client și cheia sa publică.
ART
Articolul 24
Paragraf
La primirea cererii de eliberare a certificatului furnizorul în cauza va verifica, înainte de eliberarea certificatului, următoarele aspecte:
litera a)
dacă solicitantul certificatului este persoana identificata în cerere, prin procedura adecvată categoriei din care face parte certificatul;
litera b)
dacă solicitantul certificatului deține cheia privată corespunzătoare cheii publice listate în certificat;
litera c)
dacă informația listata în certificat este exactă.
ART
Articolul 25
Alineatul (1)
Durata verificării informațiilor din cerere și a eliberării certificatului nu poate depăși:
litera a)
o zi lucrătoare, pentru certificatele simple;
litera b)
5 zile lucrătoare, pentru certificatele calificate.
Alineatul (2)
Termenele prevăzute la alin. (1) se calculează din momentul primirii de către furnizorul în cauza a tuturor informațiilor cerute pentru acest scop.
ART
Articolul 26
Paragraf
Furnizorul nu poate emite un certificat fără consimțământul expres al celui pe numele căruia este emis.
ART
Articolul 27
Paragraf
Durata valabilității unui certificat este de maximum 1 an de la data comunicării către client.
ART
Articolul 28
Paragraf
Certificatul poate fi transmis solicitantului în următoarele modalități:
litera a)
personal;
litera b)
prin posta, cu confirmare de primire;
litera c)
prin posta electronică - numai pentru certificate simple; observațiile, dacă exista, se comunică pe aceeași cale furnizorului.
ART
Articolul 29
Paragraf
Prin acceptarea certificatului clientul:
litera a)
își asuma responsabilitatea controlului cheii sale private și a luării unor măsuri pentru a preveni pierderea dezvaluirea, modificarea sau utilizarea neautorizata a acesteia;
litera b)
certifica veridicitatea informațiilor conținute în certificat;
litera c)
se angajează sa folosească certificatul exclusiv în scopuri autorizate, conform legii;
litera d)
nu are dreptul de a utiliza cheia sa privată corespunzătoare cheii publice listate în certificat, pentru semnarea altor certificate, decât în cazurile în care acest lucru a fost prevăzut expres în contractul semnat cu furnizorul sau.
ART
Articolul 30
Alineatul (1)
Furnizorul gestionează direct cheile publice ale clienților persoane fizice și persoane juridice. Gestionarea cheilor publice presupune implicit acordarea tuturor serviciilor de certificare prevăzute în contractul cu clienții.
Alineatul (2)
Serviciile de certificare se referă la emiterea, verificarea, suspendarea, reînnoirea, revocarea și furnizarea de informații cu privire la certificatele emise, precum și depozitarea sigura a acestora pe durata valabilității lor, la care se adauga o perioadă de minimum 10 ani de la data încetării valabilității certificatului, conform prevederilor art. 20 lit. h) din lege.
Alineatul (3)
Serviciile de verificare a semnăturilor electronice se asigura automat, prin Internet, asemenea servicii fiind menționate expres în contract.
ART
Articolul 31
Alineatul (1)
Arhivele unui furnizor aflat în cazul prevăzut la art. 24 alin. (4) din lege sunt preluate de autoritate.
Alineatul (2)
Formularul de informare cu privire la încetarea activității unui furnizor de servicii de certificare este prevăzut în anexa nr. 9.
Alineatul (3)
În cazul în care autoritatea dispune încetarea activității unui furnizor și nu exista un alt furnizor care să îi preia activitatea, aceasta va asigura revocarea certificatelor, dacă nu a fost deja realizată de către furnizor, pe cheltuiala furnizorului; autoritatea va prelua și va menține arhivele și registrul electronic, fără conectare permanenta la Internet.
ART
Articolul 32
Paragraf
Un furnizor poate solicita unui alt furnizor eliberarea unui certificat, cel de-al doilea furnizor gestionand astfel cheia publică a primului. Aceasta situație este prevăzută în anexa nr. 10.
CAPITOL
Capitolul 5 Detalii tehnice
SECTIUNE
Secţiunea 1 Datele de creare a semnăturii
ART
Articolul 33
Paragraf
Generarea datelor de creare a semnăturii electronice a autorității se face utilizând un sistem izolat, fiabil, proiectat special în acest scop, protejat împotriva utilizării neautorizate.
ART
Articolul 34
Paragraf
Autoritatea va folosi pentru semnătura electronică algoritmul RSA.
ART
Articolul 35
Alineatul (1)
Lungimea minima a cheii private utilizate de un semnatar pentru crearea semnăturii electronice extinse trebuie să fie de minim:
litera a)
1.024 de biti pentru algoritmul RSA;
litera b)
1.024 de biti pentru algoritmul DSA;
litera c)
160 de biti pentru algoritmul DSA bazat pe curbe eliptice.
Alineatul (2)
Lungimea nu include secventa de 0 biti de pe cele mai semnificative poziții.
Alineatul (3)
Generarea repetată de date de creare a semnăturii electronice nu trebuie să coboare nivelul de siguranță a acesteia, fiind obligatorie condiția de unicitate. Se exclud procedeele de generare a datelor de creare a semnăturii electronice care, prin utilizare repetată, ar putea reduce calitatea cheii.
ART
Articolul 36
Alineatul (1)
Numărul minim de biti din datele de creare a semnăturii electronice determinați pe baza unor numere real aleatoare tehnice este de:
litera a)
1.024 de biti pentru algoritmul RSA;
litera b)
1.024 de biti pentru algoritmul DSA;
litera c)
160 de biti pentru algoritmul DSA bazat pe curbe eliptice.
Alineatul (2)
Este interzisă utilizarea numerelor pseudoaleatorii ca punct de pornire în generarea datelor de creare a semnăturii.
Alineatul (3)
Dacă sistemul de generare este utilizat pentru obținerea cheilor mai multor semnatari, calitatea elementelor generate trebuie verificata statistic cel puțin o dată pe luna. Rezultatele testelor efectuate trebuie înregistrate. În cazul în care rezultatul testului este negativ, toate certificatele emise de la data ultimului test vor fi revocate.
ART
Articolul 37
Alineatul (1)
Dacă datele de creare a semnăturii sunt generate de furnizorul de servicii de certificare, acesta trebuie să asigure confidențialitatea acestora, precum și a datelor pe baza cărora s-au generat cheile.
Alineatul (2)
Aceleași prevederi se aplică în cazul operațiunilor de transferare a datelor de creare a semnăturii în dispozitivele de creare a semnăturii, precum și a datelor de identificare a semnatarului necesare în cazul utilizării dispozitivului.
ART
Articolul 38
Paragraf
Dacă datele de creare a semnăturii sunt generate de un terț, acesta trebuie să utilizeze dispozitive de generare fiabile, protejate împotriva utilizării neautorizate. Fiecare acces la dispozitivul de generare a datelor de creare a semnăturii trebuie monitorizat.
SECTIUNE
Secţiunea a 2-a Sisteme și proceduri utilizate pentru crearea semnăturii electronice
ART
Articolul 39
Paragraf
Autoritatea folosește doar funcția hash-code SHA-1 și algoritmul de criptare RSA. Este interzisă utilizarea teoremei chinezesti a resturilor.
ART
Articolul 40
Alineatul (1)
În vederea obținerii unei semnături electronice extinse se pot utiliza următoarele funcții hash-code;
litera a)
RIPEMD - 160;
litera b)
Funcția SHA-1.
Alineatul (2)
Pot fi folosite numere pseudoaleatorii pentru a mari lungimea amprentei documentului. Algoritmii de criptare a amprentei, în cazul semnăturii electronice extinse, sunt
litera a)
RSA;
litera b)
DSA;
litera c)
DSA pe curbe eliptice. Algoritmul recunoscut este cel prevăzut în standardul ISO/IEC 14883-3, anexa A.2.2, IEEE standard P1363, secțiunile 5.3.3 și 5.3.4.-----------Lit. c) a alin. (2) al art. 40 a fost modificată de pct. 3 alart. I din HOTĂRÂREA nr. 2.303 din 14 decembrie 2004publicată în MONITORUL OFICIAL nr. 1.279 din 30 decembrie 2004.
Paragraf
Lit. c) a alin. (2) al art. 40 a fost modificată de pct. 3 al art. I din HOTĂRÂREA nr. 2.303 din 14 decembrie 2004 publicată în MONITORUL OFICIAL nr. 1.279 din 30 decembrie 2004.
Alineatul (3)
În cazul algoritmilor ce implica numere aleatorii se pot utiliza numere pseudoaleatorii.
Alineatul (4)
Se considera echivalente și alte proceduri de creare a semnăturii, dacă oferă același nivel de securitate certificat de un organism autorizat recunoscut.
ART
Articolul 41
Paragraf
Dacă pentru declanșarea procedurii de creare a semnăturii electronice se folosește o metoda de acces anume proiectata pentru a preveni utilizarea neautorizata, codul respectiv nu mai trebuie folosit în alt scop.
ART
Articolul 42
Paragraf
Formatul semnăturii electronice trebuie să corespundă prevederilor legale în domeniu - PKCS#7 Standard de sintaxa al mesajelor criptate.
ART
Articolul 43
Paragraf
Rezultatul verificării unei semnături electronice extinse este sigur doar dacă se utilizează un dispozitiv de verificare a semnăturii electronice specificat de către furnizorul de servicii de certificare care a emis certificatul pe baza căruia se face validarea semnăturii.
SECTIUNE
Secţiunea a 3-a Certificatele calificate
ART
Articolul 44
Paragraf
În cazul reînnoirii unui certificat calificat se emite un nou certificat cu aceleași date de identificare și de verificare a semnăturii electronice, dar cu alte date de valabilitate.
ART
Articolul 45
Paragraf
Formatul certificatului calificat, conform art. 13, trebuie să fie descris de către furnizor utilizând un limbaj formal standard - CCITT sau Recomandările ITU-T X.208 -, într-un document atașat notificării către autoritate.
ART
Articolul 46
Paragraf
Registrul electronic de evidenta a certificatelor eliberate trebuie să corespundă unui format recunoscut internațional. Următoarele standarde sunt recomandate:
litera a)
1988 CCITT (ITU-T) X.500/ISO IS9594;
litera b)
RFC 2587 Internet X.509 Infrastructura de chei publice LDAPv2;
litera c)
RFC 2587 Internet X.509 Infrastructura de chei publice - certificate și profil CRL;
litera d)
RFC 2589 - LDAPv3 Extensii pentru servicii de director dinamic.
SECTIUNE
Secţiunea a 4-a Revocarea certificatelor și marcarea timpului
ART
Articolul 47
Paragraf
Furnizorul trebuie să informeze clienții și terții care pot influența atributele clientului, înscrise în certificatul calificat, cu privire la modul prin care pot solicita revocarea certificatului.
ART
Articolul 48
Paragraf
Abrogat.
Paragraf
Art. 48 a fost modificat de pct. 4 al art. I din HOTĂRÂREA nr. 2.303 din 14 decembrie 2004 publicată în MONITORUL OFICIAL nr. 1.279 din 30 decembrie 2004.
CAPITOL
Capitolul 6 Alte prevederi
ART
Articolul 49
Paragraf
Autoritatea trebuie să verifice un furnizor cel puțin o dată la 2 ani sau când se modifica procedurile de lucru.
ART
Articolul 50
Alineatul (1)
Autoritatea dispune suspendarea activității furnizorului până la încetarea cauzelor care au determinat luarea măsurii în următoarele situații:
litera a)
furnizorul a încălcat obligațiile de confidențialitate prevăzute la art. 15 alin. (1) din lege;
litera b)
furnizorul nu notifica autoritatea în condițiile prevăzute la art. 13 alin. (1) și (2) din lege;
litera c)
complementar cu aplicarea sancțiunii contravenționale prevăzute la art. 45 din lege;
litera d)
furnizorul nu plătește în termenul stabilit despăgubirile la plata cărora a fost obligat printr-o decizie definitivă și revocabila a unei instanțe judecătorești;
litera e)
furnizorul nu achită, în cel mult 10 zile, costul operațiunilor prevăzute laart. 31 alin. (3).
Alineatul (2)
În această perioadă autoritatea efectuează verificarea furnizorului și comunică neajunsurile identificate Autoritatea stabilește un interval de timp de maximum 30 de zile, în care furnizorul trebuie să rezolve problemele cu care se confrunta.
Alineatul (3)
Dacă furnizorul nu remediaza deficientele în termenul acordat, autoritatea dispune încetarea activității acestuia și/sau retragerea deciziei de acreditare și/sau suspendarea dreptului de a emite certificate calificate, în funcție de problemele identificate și de tipul de servicii oferite de furnizor.
Alineatul (4)
În perioada în care are activitatea suspendată, furnizorul are obligația să asigure serviciile de suspendare revocare și verificare a certificatelor, precum și consultarea prin Internet a registrului electronic, cu excepția cazului în care deficientele se găsesc la nivelul acestor sisteme.
ART
Articolul 51
Paragraf
În cazurile prevăzute la art. 50 alin. (1) lit. d) și e) autoritatea are dreptul de a emite pretenții asupra scrisorii de garanție sau a poliței de asigurare, în limita prejudiciului creat.
ART
Articolul 52
Alineatul (1)
Dispozitivele de creare a semnăturii electronice constituie produse asociate semnăturii electronice în sensul art. 4 pct. 15 din lege.
Alineatul (2)
Produsele asociate semnăturii electronice sunt prezumate sa îndeplinească condițiile prevăzute la art. 4 pct. 8 și la art. 20 lit. f) din lege, în cazul în care sunt conforme cu cel puțin unul dintre:
litera a)
standardele române sau părțile relevante ale acestora, care adopta acele standarde europene armonizate ale căror numere de referința au fost publicate în Jurnalul Oficial al Comunităților Europene, în măsura în care condițiile în cauza sunt acoperite de aceste standarde;
litera b)
standardele europene armonizate ale căror numere de referința au fost publicate în Jurnalul Oficial a Comunităților Europene, în măsura în care condițiile în cauza sunt acoperite de aceste standarde;
litera c)
standardele române sau părțile relevante ale acestora, adoptate potrivit dispozițiilor legale în vigoare, în măsura în care condițiile în cauza sunt acoperite de aceste standarde și nu exista standarde române din categoria celor prevăzute lalit. a), care să fie aplicabile.
Alineatul (3)
Lista standardelor prevăzute la alin. (2) se publică prin ordin al ministrului comunicațiilor și tehnologie informatiei.
ART
Articolul 53
Paragraf
Dispozitivele securizate de creare a semnăturii electronice, recunoscute ca fiind conforme cu cerințele anexei III a Directivei 1999/93/EC de un organism desemnat de unul dintre statele membre ale Uniuni Europene să efectueze determinări ale conformității acestor dispozitive, sunt considerate omologate în sensul art. 11 alin. (2) din lege.
ART
Articolul 54
Paragraf
În conformitate cu art. 40 din lege certificatul calificat, eliberat de către un furnizor înregistrat într-unul dintre statele membre ale Uniunii Europene, este recunoscut ca fiind echivalent din punct de vedere al efectelor juridice cu certificatul calificat eliberat de un furnizor de servicii de certificare cu domiciliul sau cu sediul în România, în baza acordului european de asociere dintre România, pe de o parte, și Comunitatea Europeană și statele membre, pe de altă parte.
ART
Articolul 55
Paragraf
Anexele nr. 1-10 fac parte integrantă din prezentele norme tehnice și metodologice.
ANX
Anexa nr. 1 nr
PRE PRE_898
[Imagine S_PRE ID: N/A]
Paragraf
La punctele 10, 11 și 12 furnizorul trebuie să se refere la:
litera a)
procedura de solicitare a certificatului;
litera b)
tipuri de pseudonime admise, dacă e cazul;
litera c)
metoda de includere în certificat a atributelor suplimentare;
litera d)
orele de program;
litera e)
modul de generare a datelor de creare a semnăturii furnizorului;
litera f)
formatul datelor de creare a semnăturii furnizorului;
litera g)
procedura de generare a datelor de creare a semnăturii clienților;
litera h)
formatul datelor de creare a semnăturii clienților;
litera i)
funcțiile hash și procedurile de criptare folosite;
litera j)
lista cuprinzând produsele asociate semnăturii electronice folosite și recomandate;
litera k)
formatul documentelor ce pot fi semnate electronic
litera l)
formatul și perioada de valabilitate a certificatelor;
litera m)
standarde tehnice și metode de acces la registru electronic de evidenta a certificatelor eliberate;
litera n)
intervalele de timp în care se oferă servicii de ștampilare electronică a datei și orei, dacă este cazul, conformart. 52din normele tehnice și metodologice;
litera o)
metode detaliate de verificare a semnăturilor;
litera p)
descrierea practicilor, procedurilor și sistemelor care asigura securitatea și integritatea datelor, accesul autoriza permanent la acestea și care previn orice acces neautorizat
litera q)
politicile de personal;
litera r)
structura personalului;
litera s)
parteneriate și politica în domeniu.
ANX
Anexa nr. 2 nr
PRE PRE_963
[Imagine S_PRE ID: N/A]
ANX
Anexa nr. 3 nr
PRE PRE_969
[Imagine S_PRE ID: N/A]
ANX
Anexa nr. 4 nr
PRE PRE_975
[Imagine S_PRE ID: N/A]
ANX
Anexa nr. 5 nr
NTA
Notă
Paragraf
la normele tehnice și metodologice
Paragraf
ANTETUL INSTITUȚIEI FINANCIARE
Paragraf
Data ................................................
Paragraf
Subiect .............................................
Paragraf
Aceasta scrisoare confirma ca ....../(instituție financiară)/..... garantează irevocabil efectuarea plății/plăților ordonate de ........../(FSC)/....... până la limita de ........./(minimum 500.000 euro).... din contul ............/(contul FSC)....... .
Paragraf
Aceasta garanție se referă la condițiile prevăzute în legea și în normele metodologice privind aplicarea semnăturii electronice. Aceasta scrisoare de garanție este valida până la data de ......................../(data limita de valabilitate a scrisorii de garanție)/............
Paragraf
Pentru verificări, contactati ............./(contact instituție financiară)/.......... .
Paragraf
(semnătura împuternicitului FSC).
ANX
Anexa nr. 6 nr
PRE PRE_1011
[Imagine S_PRE ID: N/A]
ANX
Anexa nr. 7 nr
Paragraf
la normele tehnice și metodologic
Paragraf
Reprezentarea grafica a gestionării și utilizării cheilor publice și private pentru servicii de certificare, se găsește în Monitorul Oficial al României, Partea I, nr. 847 din 28 decembrie 2001, la pagina 16.
punctul 1.
Client, deținător al unui Certificat; 2 - Registrul Furnizorilor de servicii de Certificare (RFSC) ținut de ARS; 3, 4 - Furnizorii de Servicii de Certificare (pot exista mai mulți, în exemplu sunt doar doi furnizori; FSC1 și FSC2); 5 - Destinatarul unui document semnat electronic; 6 - RC1 Registrul electronic de evidenta a certificatelor eliberate de către FSC1.
Paragraf
Faza I: Înființarea ARS și a RFSC
Paragraf
Faza II: Clientul consulta RFSC, își alege (în urma analizei informațiilor puse la dispoziție de furnizori conform Art. 14 din Lege) FSC din cele existente (în cazul nostru alege FSC1) și semnează contractul cu acesta. Clientului i se eliberează certificatul (creat pe baza datelor din formularul de solicitare a certificatului) și dispozitivul de creare a semnăturii electronice; Certificatul este inclus în RC1.
Paragraf
Faza III: Clientul expediază documentul ce poarta semnătura sa electronică. Cel ce îl receptioneaza verifica semnătura folosind cheia publică a clientului (din certificatul acestuia) Suplimentar, pentru o mai mare siguranța, el poate consulta RFSC pentru a obține cheia publică a FSC1 (necesară verificării semnăturii FSC1 de pe certificatul clientului).
ANX
Anexa nr. 8 nr
PRE PRE_1030
[Imagine S_PRE ID: N/A]
ANX
Anexa nr. 9 nr
PRE PRE_1036
[Imagine S_PRE ID: N/A]
ANX
Anexa nr. 10 nr
Paragraf
la normele tehnice și metodologice
Paragraf
Reprezentarea grafica a structurii ierarhica a FSC, se găsește în Monitorul Oficial al României Partea I, nr. 847 din 28 decembrie 2001, la pagina 21.
punctul 1.
Client, deținător al unui Certificat; 2 - Registrul Furnizorilor de Servicii de Certificare (RFSC) ținut de ARS; 3, 4 - Furnizori de Servicii de Certificare (FSC2 gestionează cheia publică a FSC1; 5 - Destinatarul unui document semnat electronic; 6 - RC1 Registrul electronic de evidenta a certificatelor eliberate de către FSC1.
Paragraf
Faza I: FSC1 solicita FSC2 eliberarea unui certificat. FSC2 gestionează cheia publică a FSC1
Paragraf
Faza II: Clientul expediază documentul ce poarta semnătura sa electronică. Cel ce îl receptioneaza verifica semnătura folosind cheia publică a clientului (din certificatul acestuia) Suplimentar, pentru o mai mare siguranța, el poate consulta PFSC pentru a obține cheia publică a FSC1 (necesară verificării semnăturii FSC1 de pe certificatul clientului). Alternativ, clientul poate verifica semnătura FSC1 de pe certificatul clientului accesand certificatul FSC1 emis de FSC2 (aflat pe nivelul ierarhic superior). La rândul ei, semnătura FSC2 de pe certificatul FSC1 poate fi verificata apelând la RFSC sau la un FSC care gestionează cheia FSC2 samd.
Vrei mai mult?
Accesează jurisprudența, primește notificări la modificări și folosește AI-ul complet.
Începe gratuit