HG nr. 1129/2008 privind procedura de autorizare a furnizorilor de servicii publice de autentificare electronica

In temeiul art. 108 din Constitutia Romaniei, republicata, si avand in vedere prevederile art. 2 si ale art. 8 alin. (1) lit. b) din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare,
Guvernul Romaniei adopta prezenta hotarare.

Art. 1. — In sensul prezentei hotarari, termenii si expresiile de mai jos au urmatoarele semnificatii:
a) HTTP — protocol de transfer al informatiilor prin internet, folosit pe larg pentru navigarea pe web;
b) HTTPS — protocol HTTP securizat, folosit pentru criptarea transferului de informatii;
c) identificare fizica — procesul de recunoastere unica a unei persoane in baza informatiilor cu caracter personal din documentele sale de identitate valabile, emise de autoritatile competente conform legii;
d) identificare electronica — procesul de recunoastere a unei persoane, prin mijloace electronice, in baza informatiilor cu caracter personal detinute de un furnizor de servicii;
e) mijloc de identificare electronica — ansamblul de informatii si dispozitivul sau procedura informatica prin care se poate face la distanta dovada identitatii unei persoane in vederea oferirii
unui acces la informatii sau servicii electronice;
f) autentificare electronica – procedeul folosit de aplicatii software de recunoastere la distanta a identitatii unei persoane, prin tehnici si mijloace de identificare electronica, in vederea obtinerii anumitor drepturi in cadrul aplicatiei in baza identitatii acesteia;
g) solicitant — persoana fizica ce acceseaza prin internet, prin intermediul unui sistem informatic, informatii publice, servicii comerciale sau administrative;
h) furnizor de servicii publice de autentificare electronica — urnizorul unui serviciu de autentificare electronica efectuat in mod obisnuit contra unei remuneratii, la distanta, prin intermediul echipamentului electronic si al unor servicii de prelucrare, inclusiv comprimarea numerica, precum si stocarea datelor necesare autentificarii, la cererea destinatarului serviciilor;
i) consumator de identitate electronica — aplicatia informatica ce ruleaza pe echipamentele de calcul ale institutiilor care ofera informatii publice si servicii electronice si care primesc cereri din partea solicitantilor, persoane fizice, autentificate electronic de catre terti furnizori de servicii;
j) adresa MAC — adresa fizica, reprezentand un sir de caractere numerice, ce identifica in mod unic un echipament de comunicatie intr-o retea;
k) identificatorul solicitantului — sirul de caractere alfanumerice care este asociat in mod unic de catre un furnizor de servicii de autentificare electronica unui solicitant.
Art. 2. — (1) In vederea asigurarii accesului eficient al cetatenilor la informatii si servicii destinate publicului si furnizate prin mijloace electronice, se pot autoriza in calitate de furnizor de servicii publice de autentificare electronica acele persoane juridice care, in virtutea desfasurarii activitatii pentru care au fost autorizate in conditiile legii, opereaza cu baze de date ce contin date personale, in urmatoarele conditii:
a) furnizorul detine calitatea de operator de date cu caracter personal in conformitate cu Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare;
b) furnizorul utilizeaza in realizarea serviciului un sistem informatic in masura sa asigure securitatea sistemelor comunicatiilor, tranzactiilor si datelor personale, in conformitate cu certificatul BS ISO/IEC 27001:2005 pentru sistemul de management al securitatii sistemului informatic;
c) furnizorul detine datele de identificare ale persoanelor, obtinute cu acordul acestora, in conditiile legii, si o copie de pe un act de identitate care a fost confruntata cu originalul in cadrul
procesului de identificare fizica;
d) furnizorul ofera serviciul de autentificare folosind protocolul deschis, public, gratuit, descentralizat si securizat, cunoscut in literatura de specialitate sub denumirea OpenID;
e) autentificarea electronica se realizeaza folosindu-se simultan minimum doua dintre metodele de verificare prevazute la alin. (2);
f) schimbul de date realizat in momentul autentificarii intre solicitant, consumatorii de identitate electronica si furnizorii serviciului indeplineste cerinte-standard de integritate si confidentialitate (protocol HTTPS);
g) furnizorul mentine un registru electronic cu un istoric pentru minimum 12 luni al tuturor solicitarilor de autentificare electronica, indiferent de rezultatul procesului de autentificare, in care se vor trece date minimale;
h) furnizorul asigura sincronizarea ceasului sistemelor de calcul la un sistem unic de referinta, care este ora exacta a Romaniei furnizata de serverul de timp oficial timp.mcti.ro
(2) Metodele de verificare prin intermediul carora se realizeaza autentificarea electronica sunt:
a) metoda care necesita cunoasterea unei informatii (pereche nume utilizator si parola sau cod PIN);
b) metoda care necesita detinerea fizica a unui dispozitiv (token, certificat digital PKI, telefon mobil, smartcard, generator de parole unice, alt sistem de comunicatii) simultan cu verificarea posesiei acestuia la momentul autentificarii;
c) metoda care implica verificarea datelor biometrice (amprenta, scanare iris, semnatura, amprenta vocala sau altele) ale persoanei la momentul autentificarii.
(3) Datele minimale care trebuie inregistrate potrivit alin. (1) lit. g) sunt:
a) data si ora la care a fost solicitat serviciul de autentificare;
b) adresa de internet a serverului care a solicitat serviciul de autentificare;
c) numele serviciului electronic (aplicatiei) care a facut solicitarea;
d) adresa de internet si, in masura in care este disponibil tehnic, adresa MAC sau alt identificator unic al dispozitivului de cuplare in retea a solicitantului;
e) identificatorul solicitantului;
f) rezultatul procesului de autentificare (succes sau esec).
Art. 3. — (1) Persoana juridica interesata de dobandirea calitatii de furnizor de servicii publice de autentificare electronica notifica Ministerul Comunicatiilor si Tehnologiei Informatiei in termen de 10 zile de la data implementarii sistemului de autentificare electronica, conform formularului al carui model se aproba prin ordin al ministrului comunicatiilor si tehnologiei informatiei in termen de 30 de zile de la intrarea in vigoare a prezentei hotarari. Dosarul de autorizare va cuprinde cererea de autorizare, copie a certificatului de inregistrare fiscala, copii ale documentelor care atesta calitatea de operator de date cu caracter personal, copie a certificatului BS ISO/IEC 27001:2005 pentru sistemul de management al securitatii sistemului informatic, descrierea solutiilor tehnice folosite pentru implementarea serviciului.
(2) Ministerul Comunicatiilor si Tehnologiei Informatiei verifica indeplinirea de catre persoana juridica a conditiilor tehnice de implementare a sistemului de furnizare a serviciului de autentificare electronica, precum si respectarea conditiilor prevazute la art. 2 si autorizeaza furnizarea serviciilor publice de autentificare electronica de catre solicitant, in termen de 15 zile de la notificarea prevazuta la alin. (1).
(3) Autorizarea prevazuta la alin. (2) se realizeaza de Ministerul Comunicatiilor si Tehnologiei Informatiei prin emiterea unui certificat-tip, al carui model se aproba prin ordin al ministrului comunicatiilor si tehnologiei informatiei in termen de 30 de zile de la intrarea in vigoare a prezentei hotarari.
(4) Certificatul-tip se comunica furnizorului de servicii publice de autentificare electronica in termen de cel mult 5 zile de la emitere si confera acestuia dreptul de a incepe furnizarea serviciilor de acest tip. Certificatul este valabil pentru 3 ani.
(5) Ministerul Comunicatiilor si Tehnologiei Informatiei publica pe pagina de internet proprie, intr-o sectiune dedicata, lista furnizorilor de servicii publice de autentificare electronica autorizati.
Art. 4. — (1) In cadrul procesului de autentificare electronica, dupa efectuarea cu succes a identificarii prin internet, furnizorul de servicii publice de autentificare electronica are obligatia de a afisa solicitantului datele personale ale acestuia pe care furnizorul le detine in baza sa de date si care urmeaza a fi transmise, denumirea consumatorului de identitate electronica si denumirea serviciului electronic ce va prelucra datele personale ale solicitantului si va cere in mod explicit atat confirmarea veridicitatii datelor personale, cat si acordul pentru transmiterea lor in vederea accesarii serviciilor electronice pentru care a fost solicitata autentificarea.
(2) Responsabilitatea pentru exactitatea datelor transmise catre consumatorul de identitate electronica cade exclusiv in sarcina solicitantului. Furnizorul de servicii publice de autentificare electronica nu raspunde pentru datele personale care s-au schimbat ulterior procesului identificarii fizice sau care au fost preluate gresit in cadrul acestui proces, fara culpa furnizorului de servicii publice de autentificare electronica.
(3) In cazul in care datele personale ale solicitantului aflate in baza de date a furnizorului de servicii publice de autentificare electronica nu concorda cu datele reale sau in cazul in care solicitantul nu este de acord cu transmiterea datelor sale personale in forma detinuta de catre furnizor catre consumatorul de identitate electronica, solicitantul trebuie sa aiba posibilitatea de a refuza continuarea operatiunii de autentificare si de a informa furnizorul de servicii publice de autentificare electronica despre aceasta situatie. In acest caz, procedura de autentificare este oprita si datele personale ale solicitantului nu vor mai fi transmise catre consumatorul de identitate electronica.
(4) Consumatorul de identitate electronica poate cere solicitantului, prin intermediul furnizorului de servicii publice de identificare electronica, acele date personale strict necesare rezolvarii cererii acestuia transmise in forma electronica, fara a exceda numarul si tipul datelor personale care sunt cerute solicitantului prin procedura clasica, stabilita prin acte normative specifice.
(5) Solicitantii persoane fizice au dreptul de acces, interventie si opozitie asupra datelor personale stocate pe serverele proprii ale consumatorului de identitate electronica, precum si celelalte drepturi prevazute de Legea nr. 677/2001, cu modificarile si completarile ulterioare.
(6) Solicitantul poate cere in orice moment furnizorului de servicii publice de autentificare electronica intreruperea furnizarii serviciului de autentificare electronica aferent identitatii sale sau
reluarea procesului de identificare fizica si de actualizare a bazelor de date ale furnizorului in cazul in care datele sale personale s-au schimbat.
Art. 5. — (1) Este interzisa stocarea pe serverele proprii ale consumatorului de identitate electronica a datelor personale ale solicitantului pentru utilizarea acestora in alte scopuri decat acelea pentru care solicitantul a apelat la serviciile electronice.
(2) La indeplinirea scopurilor urmarite sau la expirarea termenelor legale de arhivare datele vor fi sterse.


PRIM-MINISTRU
CALIN POPESCU-TARICEANU
Contrasemneaza:
p. Ministrul comunicatiilor si tehnologiei informatiei,
Constantin Teodorescu,
secretar de stat
Presedintele Autoritatii Nationale de Supraveghere
a Prelucrarii Datelor cu Caracter Personal,
Georgeta Basarabescu
Ministrul economiei si finantelor,
Varujan Vosganian
Bucuresti, 18 septembrie 2008.
Nr. 1.129.