1. Ordinul nr. 553 din 5 iunie 2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanţă.

2. Documentele necesare pentru eliberarea avizului:

a)cererea adresată MCSI, conform modelului prevăzut în anexa nr. 1 din Ordinul nr. 553 din 5 iunie 2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanţă.

b)licenţa de funcţionare/autorizaţia acordată de BNR sau notificarea transmisă către BNR de autoritatea competentă din statul membru de origine;

c)descrierea funcţională a sistemului informatic şi a aplicaţiei software prin intermediul cărora este furnizat instrumentul de plată electronică cu acces la distanţă;

d)planul de securitate al sistemului informatic, semnat de către prestatorii de servicii de plată prevăzuţi la art. 1 din Ordinul 553/2019, cuprinzând descrierea măsurilor tehnice şi organizatorice prevăzute pentru asigurarea cerinţelor cuprinse la art. 4.

e)declaraţia reprezentantului legal din care să rezulte efectuarea testelor de penetrare menţionate la art. 8 din Ordinul 553/2019, perioada de efectuare a testelor, precum şi datele de identificare ale echipei de testare;

f)certificările profesionale ale echipei de testare, recunoscute internaţional. Certificările profesionale agreate pentru efectuarea testelor de penetrare acceptate trebuie să fie în termenul de valabilitate şi să se regăsească în lista prevăzută în anexa nr. 2 din Ordinul 553/2019.

g)raportul de audit

h)declaraţia pe propria răspundere, din care să rezulte independenţa auditorului faţă de sistemul informatic auditat şi faţă de prestatorul auditat;

i)declaraţia pe propria răspundere a reprezentantului legal al prestatorului cu privire la respectarea, în cadrul procesului de furnizare a instrumentelor de plată electronică cu acces la distanţă, a cerinţelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);

j)ordinul de acreditare ca administrator de arhivă electronică, în conformitate cu prevederile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică, republicată, sau contractul încheiat cu un administrator de arhivă electronică acreditat.

3. Lista auditorilor IT este gestionată de către MCSI şi publicată pe site-ul acestuia. (Lista poate fi accesată aici)

Auditorul IT care intenţionează să presteze servicii de audit IT pentru prestatorii cărora le sunt incidente prevederile Ordinului 553/2019 are obligaţia înscrierii în Lista auditorilor IT.

4. Documentele necesare pentru înscrierea în Lista auditorilor IT sunt următoarele:

1.cererea adresată MCSI, conform modelului prevăzut în anexa nr. 4 din Ordinul 553/2019.

2.datele de identificare ale auditorului IT:

a)numele complet/denumirea şi adresa/sediul – adresa completă;

b)adresa unde îşi desfăşoară activitatea;

c)telefon/fax, e-mail, adresa paginii de internet;

d)certificat de înregistrare la Oficiul Naţional al Registrului Comerţului;

3.pentru auditorul IT persoană fizică certificată şi pentru reprezentantul societăţii de audit IT, care vor semna raportul de audit, se depun următoarele documente:

a)actul de identitate al auditorului IT, în copie;

b)curriculum vitae al auditorului IT, datat şi semnat, cu prezentarea experienţei profesionale în auditarea IT a sistemelor informatice;

c)dovada deţinerii uneia dintre certificările profesionale specifice domeniului de audit al sistemelor informatice, menţionate în anexa nr. 5 din Ordinul 553/2019 (certificatul de auditor, în copie semnată şi cu menţiunea „Conform cu originalul”);

d)dovada experienţei în audit IT, concretizată în participarea la minimum cinci misiuni de audit în domeniul securităţii sistemelor informatice aparţinând prestatorilor de servicii de plată, cu un total de cel puţin 30 de zile;

e)certificat constatator emis de Oficiul Naţional al Registrului Comerţului, cu starea la zi a persoanei juridice, nu mai vechi de 30 de zile, în original;

f)certificatul de cazier judiciar şi certificatul de cazier fiscal, aflate în termenul de valabilitate, în original;

g)contractul de asigurare de răspundere civilă profesională a auditorului IT, pentru suma asigurată de minimum 100.000 euro, valabil la data epunerii documentaţiei, în copie semnată şi cu menţiunea „Conform cu originalul”.

 

Situaţii centralizatoare privind utilizarea instrumentelor de plată cu acces la distanţă (eBanking)

2014 / 2013 / 2012 / 2011 / 2010 / 2009