Editura Bestpublishing

Ministerul Comunicaţiilor şi Societăţii Informaţionale

Ordinul nr. 488/2009
privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi normele de performanţă şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică

Publicat în Monitorul Oficial al României, Partea I nr. 487 din 14 iulie 2009

În temeiul prevederilor art. 4 alin. (1) pct. 59 şi ale art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare, precum şi ale art. 26 şi ale art. 30 alin. (1) din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice,
ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin.

Art. 1. - Prezentul ordin stabileşte procedura de verificare şi omologare de către Ministerul Comunicaţiilor şi Societăţii Informaţionale, denumit în continuare MCSI, a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi normele de performanţă şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică.
Art. 2. - În înţelesul prezentului ordin, următorii termeni se definesc astfel:
a) emitent al facturii în formă electronică - persoana fizică sau juridică ce emite facturi în formă electronică, în nume propriu ori în numele unor terţi;
b) sistem informatic - dispozitivul ori ansamblul de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor cu ajutorul unui program informatic şi care este destinat operaţiunilor de emitere a facturilor în formă electronică;
c) omologare - procesul de evaluare a sistemului informatic, care are ca rezultat emiterea de către ministrul comunicaţiilor şi societăţii informaţionale a ordinului de omologare;
d) ordin de omologare - ordinul emis de ministrul comunicaţiilor şi societăţii informaţionale care atestă conformitatea sistemului informatic cu normele de securizare a informaţiei prelucrate sau arhivate, precum şi cu prevederile Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice;
e) plan de securitate a sistemului informatic - documentul ce descrie totalitatea măsurilor tehnice şi administrative care sunt aplicate sistemului informatic de către emitentul facturii în formă electronică în vederea oferirii serviciului în condiţii de siguranţă.
Art. 3. - Emitentul facturii în formă electronică are obligaţia să folosească un sistem informatic omologat de MCSI. În acest sens, acesta va înainta MCSI o cerere scrisă prin care va solicita începerea procedurii de omologare a sistemului informatic. Forma şi conţinutul cererii sunt prevăzute în anexa nr. 1.
Art. 4. - (1) Emitentul facturii în formă electronică care solicită omologarea sistemului informatic are obligaţia să transmită MCSI următoarele documente, redactate în limba română:
a) cererea prevăzută la art. 3;
b) raportul de audit întocmit în condiţiile art. 5;
c) descrierea funcţională a sistemului informatic;
d) planul de securitate a sistemului informatic;
e) certificări privind securitatea sistemului informatic, acolo unde acestea există;
f) declaraţia pe propria răspundere a auditorului, prin care este exprimată independenţa sa faţă de emitentul facturii în formă electronică şi producătorul sistemului informatic auditat;
g) dacă este cazul, descrierea echipamentelor necesare realizării procesului de conversie, în situaţia în care emitentul de drept al facturii în formă electronică are un contract valabil încheiat în baza căruia beneficiază de servicii de conversie a facturilor emise pe suport hârtie în facturi în formă electronică;
h) dovada achitării tarifului de omologare prevăzut la art. 12.
(2) Pe parcursul procedurii de omologare, MCSI poate solicita completarea documentaţiei, acolo unde este necesar. În acest caz, cererea prevăzută la art. 3 este considerată realizată la data transmiterii către MCSI a documentelor solicitate.
(3) Documentele prevăzute la alin. (1) şi (2) se transmit la sediul MCSI în limba română în unul dintre următoarele moduri:
a) prin depunere, personal sau de către reprezentantul legal al solicitantului, sub luare de număr de înregistrare de la registratura MCSI;
b) printr-un serviciu poştal;
c) ca înscris în formă electronică, căruia i s-a încorporat, ataşat sau i s-a asociat logic o semnătură electronică extinsă, bazată pe un certificat calificat nesuspendat ori nerevocat la momentul respectiv şi generată cu ajutorul unui dispozitiv securizat de creare a semnăturii electronice.
(4) Este considerată dată a transmiterii, după caz, data înregistrării în registrul general de intrare-ieşire a corespondenţei al MCSI, data confirmării primirii documentelor la sediul MCSI printr-un serviciu poştal cu confirmare de primire sau data confirmării primirii înscrisului în formă electronică.
Art. 5. - (1) Auditul este realizat de către un auditor independent faţă de emitentul facturii în formă electronică şi faţă de producătorul sistemului informatic a cărui omologare se solicită.
(2) Condiţiile care trebuie îndeplinite de către auditori, obiectivele auditului, conţinutul minimal al raportului de audit şi setul minimal de teste care sunt aplicate sistemului informatic în cursul procesului de audit sunt prevăzute în anexa nr. 2.
(3) Raportul de audit poate fi realizat de o persoană fizică sau juridică, certificată ca auditor de sisteme informatice.
(4) În cazul în care sistemul informatic este situat în alt stat, auditarea acestuia se va face prin una dintre următoarele metode:
a) auditorul auditează în mod nemijlocit sistemul informatic din străinătate;
b) auditorul îşi bazează raportul de audit pe certificări similare emise sau pe teste efectuate în statul în care se află sistemul informatic şi care au un grad de asigurare corespunzător, acoperind obiectivele şi ariile de control prevăzute în anexa nr. 2.
Art. 6. - (1) Ordinul de omologare este emis în termen de 30 de zile de la data transmiterii documentaţiei în condiţiile art. 4 alin. (1) sau (2), în urma verificării conformităţii sistemului informatic cu cerinţele stabilite în anexa nr. 2 alin. (2). Forma şi conţinutul ordinului de omologare sunt prevăzute în anexa nr. 3.
(2) Ordinul de omologare este valabil pe o perioadă de un an, procedura de reînnoire fiind similară cu cea de emitere.
(3) Pe întreaga perioadă de valabilitate a ordinului de omologare, MCSI are dreptul de a efectua verificări ale sistemului informatic omologat.
Art. 7. - (1) Emitentul facturii în formă electronică este obligat să notifice MCSI orice modificare a sistemului informatic care afectează documentaţia prezentată în conformitate cu art. 4 alin. (1) lit. c), d) şi g), în condiţiile prevăzute la art. 14 alin. (1) din Legea nr. 260/2007.
(2) MCSI avizează modificările aduse în maximum 30 de zile de la data transmiterii notificării, în condiţiile art. 4 alin. (4).
(3) În cazul în care MCSI consideră că modificările aduse sistemului informatic afectează performanţele acestuia în ceea ce priveşte cerinţele stabilite în anexa nr. 2 alin. (2), va solicita emitentului facturii în formă electronică declanşarea procedurii de reînnoire a omologării.
Art. 8. - MCSI are obligaţia de a păstra confidenţialitatea tuturor informaţiilor primite de la emitentul facturii în formă electronică care solicită omologarea sistemului informatic.
Art. 9. - (1) Emitentul facturii în formă electronică poate utiliza propria autoritate de marcare temporală, implementată în cadrul organizaţiei sale, dacă îndeplineşte următoarele condiţii:
a) foloseşte o bază de timp sincronizată cu Furnizorul unic de bază de timp, desemnat în conformitate cu Legea nr. 451/2004 privind marca temporală;
b)î ndeplineşte condiţiile stabilite de Legea nr. 451/2004, cu excepţia celor referitoare exclusiv la furnizarea de servicii de marcare temporală pentru terţi.
(2) Îndeplinirea condiţiilor prevăzute la alin. (1) se atestă prin raportul de audit.
Art. 10. - Persoanele care emit, transmit sau arhivează facturi în formă electronică pot externaliza aceste servicii în temeiul unui contract valabil încheiat cu un furnizor de servicii de facturare electronică, cu respectarea condiţiilor prevăzute la art. 13 din Legea nr. 260/2007.
Art. 11. - (1) MCSI poate retrage omologarea, în următoarele situaţii:
a) în cazul în care, în urma verificărilor efectuate în condiţiile art. 29 alin. (2) din Legea nr. 260/2007, constată neîndeplinirea de către emitentul facturii în formă electronică a obligaţiei de notificare a modificărilor efectuate asupra sistemului informatic;
b) în cazul în care, în urma verificărilor efectuate în conformitate cu art. 6 alin. (3), constată faptul că sistemul informatic nu mai îndeplineşte normele de performanţă şi securitate prevăzute în anexa nr. 4.
(2) În cazul în care constată una dintre situaţiile prevăzute la alin. (1), MCSI va comunica emitentului facturii în formă electronică deficienţele constatate, acordându-i un termen de 30 de zile pentru remedierea acestora.
(3) Dacă deficienţele constatate în condiţiile alin. (1) nu sunt remediate în termenul prevăzut la alin. (2), MCSI va retrage omologarea, prin emiterea unui ordin.
Art. 12. - (1) Cuantumul tarifului prevăzut la art. 26 alin. (5) din Legea nr. 260/2007 este de 9.000 lei.
(2) Termenul de plată a tarifului prevăzut la alin. (1) este anterior transmiterii documentelor prevăzute la art. 4 alin. (1) către MCSI.
(3) Plata tarifului de omologare se poate face:
a) prin decontare bancară, în contul MCSI;
b) în numerar, la casieria MCSI, cu respectarea plafonului zilnic stabilit prin Ordonanţa Guvernului nr. 15/1996 privind întărirea disciplinei financiar-valutare, aprobată cu modificări şi completări prin Legea nr. 131/1996, cu modificările ulterioare.
(4) În vederea îndeplinirii de către emitentul facturii în formă electronică care solicită omologarea sistemului informatic, în condiţiile prezentei decizii, a obligaţiei prevăzute la art. 4 alin. (1) lit. h), Direcţia economică, resurse umane şi administrativă din cadrul MCSI, prin serviciul de specialitate, emite o factură fără taxă pe valoarea adăugată, după încasarea cuantumului tarifului de omologare. Factura emisă de MCSI va conţine menţiunea expresă: "Factura a fost achitată cu O.P./Chitanţa nr. .../.......".
Art. 13. - Normele de performanţă şi securitate pe care trebuie să le îndeplinească sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică sunt prevăzute în anexa nr. 4.
Art. 14. - Anexele nr. 1-4 fac parte integrantă din prezentul ordin.
Art. 15. - (1) La data intrării în vigoare a prezentului ordin se abrogă Decizia preşedintelui Autorităţii Naţionale pentru Comunicaţii nr. 888/2008 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi normele de performanţă şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică, publicată în Monitorul Oficial al României, Partea I, nr. 699 din 14 octombrie 2008.
(2) Prezentul ordin se publică în Monitorul Oficial al României, Partea I.

ANEXA Nr. 1

CERERE
de omologare a sistemului informatic

Nr. *).......................................
Data ........................................

Solicit eliberarea/reînnoirea Ordinului de omologare a sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică.
Ataşez prezentei cereri următoarele documente:
|_| raportul de audit;
|_| descrierea funcţională a sistemului informatic;
|_| planul de securitate a sistemului informatic;
|_| certificări din punctul de vedere al securităţii sistemului informatic;
|_| declaraţia pe propria răspundere a auditorului, prin care este exprimată independenţa sa faţă de subsemnatul şi de producătorul sistemului informatic auditat;
|_| dacă este cazul, descrierea echipamentelor necesare realizării procesului de conversie, în situaţia în care emitentul de drept al facturii în formă electronică are un contract valabil încheiat în baza căruia beneficiază de servicii de conversie a facturilor emise pe suport hârtie în facturi în formă electronică;
|_| dovada achitării tarifului de omologare.

          Semnătura reprezentantului legal şi ştampila solicitantului
                                      ...................................
___________
*) Numărul de ieşire din registrul de intrări-ieşiri al solicitantului şi data de înregistrare.

ANEXA Nr. 2

CONDIŢII
privind auditorii, obiectivele auditului, conţinutul minimal al
raportului de audit şi setul minimal de teste care sunt
aplicate sistemului informatic în cursul procesului de audit

(1) Condiţii privind auditorii sistemelor informatice
Persoana fizică sau angajatul persoanei juridice care realizează auditul trebuie să fie certificată/certificat ca auditor de sisteme informatice de către un organism general recunoscut în domeniu (ISACA - Asociaţia de Audit şi Control al Sistemelor Informatice/Information Systems Audit and Control Association).
Auditorul trebuie să fie un terţ, care nu are raporturi de muncă cu persoana fizică sau juridică auditată, nu are interese financiare în legătură cu aceasta şi nu a fost implicat în ultimii 3 ani în proiecte de consultanţă care au ori au avut efect asupra sistemului auditat.
(2) Obiectivele auditului
Scopul auditului îl constituie evaluarea sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică, precum şi evaluarea măsurilor organizatorice implementate în vederea operării sistemului informatic de către emitentul de facturi în formă electronică, în ceea ce priveşte îndeplinirea următoarelor cerinţe:
1. sistemul informatic permite emiterea facturilor respectând formatul şi conţinutul stabilite de actele normative speciale;
2. sistemul informatic permite emiterea facturilor conţinând semnătura electronică a emitentului facturii şi marca temporală care certifică momentul emiterii, în condiţiile anexei nr. 4 la ordin;
3. sunt respectate următoarele principii privind securitatea operaţiunii de emitere a facturilor în formă electronică:
a) confidenţialitatea şi integritatea datelor folosite în procesul de emitere a facturilor în formă electronică;
b) protecţia datelor cu caracter personal, inclusiv respectarea condiţiilor legale referitoare la prelucrarea datelor cu caracter personal;
c) continuitatea serviciului de facturare oferit clienţilor;
d) controlul accesului la sistemul de facturare electronică.
(3) Conţinutul minimal al raportului de audit
1. Introducere
1.1. elementele de identificare a auditorului, inclusiv prezentarea dovezii îndeplinirii condiţiilor de la alin. (1);
1.2. perioada în care a fost efectuat auditul;
1.3. echipa de audit (pentru fiecare persoană se va preciza poziţia în cadrul echipei de audit, calificări, certificări, anexându-se documentele doveditoare).
2. Metodologia utilizată
2.1. standardele pe baza cărora s-a desfăşurat procesul de audit;
2.2. planul de audit folosit;
2.3. descrierea metodelor prin care sunt evaluate obiectivele de audit.
3. Descrierea sistemului auditat
3.1. descrierea entităţii auditate, cu prezentarea generală a sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică (inclusiv a aplicaţiilor software utilizate) şi a sistemelor informatice cu care acesta se află în relaţie de interdependenţă (prin relaţie de interdependenţă înţelegându-se faptul că respectivele sisteme nu îşi pot îndeplini în mod separat funcţiile); se vor descrie componentele sistemului informatic utilizat în procesul de facturare: aplicaţie/server/ sistem de operare/detalii configurare/locaţie/administrare;
3.2. analiza riscurilor implicate de activitatea de facturare şi a posibilelor vulnerabilităţi ale sistemului informatic auditat faţă de aceste riscuri;
3.3. identificarea interdependenţelor sistemului de facturare cu celelalte sisteme informatice ale entităţii audiate, precum şi cu sisteme informatice aparţinând terţilor, cu precizarea vulnerabilităţilor determinate de aceste interdependenţe. În cazul existenţei unui sistem informatic integrat, care asigură şi alte procese ale entităţii auditate, se va determina întinderea părţii din sistemul informatic integrat care implică riscuri de securitate în ceea ce priveşte activitatea de emitere a facturilor în formă electronică;
3.4. descrierea fluxului datelor care sunt folosite la întocmirea facturii electronice, cu identificarea momentului intrării acestor date în sistemul informatic destinat operaţiunilor de emitere a facturilor în formă electronică. Se vor identifica aplicaţiile utilizate şi persoanele implicate: activitate/date de intrare/date de ieşire/responsabil/aplicaţie.
4. Evaluarea sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică în raport cu obiectivele urmărite de audit
4.1. analiza fiecărei ameninţări de securitate şi a tipului de răspuns necesar în ceea ce priveşte următoarele componente:
a) echipamentele hardware (inclusiv în ceea ce priveşte accesul persoanelor autorizate/neautorizate la acestea);
b) aplicaţiile software rulate de către sistemul informatic;
c) măsurile organizatorice: politicile aplicate şi procedurile folosite, inclusiv politica de personal;
4.2. testele efectuate în conformitate cu alin. (3), inclusiv constatările şi recomandările aferente;
4.3. prezentarea măsurilor luate de entitatea auditată pentru minimizarea vulnerabilităţilor sistemului informatic, măsuri care pot afecta procesul de emitere a facturilor în formă electronică.
5. Opinia de audit
5.1. datele de identificare a persoanei fizice sau juridice care are responsabilitatea juridică asupra auditului;
5.2. numele auditorului care semnează opinia şi data semnării;
5.3. afirmaţia de conformare a emitentului de facturi în formă electronică cu obiectivele auditate (opinie pozitivă), de conformare parţială cu obiectivele auditate, indicând punctele care trebuie îmbunătăţite (opinie cu rezerve/calificată), sau de neîndeplinire a obiectivelor auditate (opinie negativă).
(4) Arii minime de control în cadrul procesului de audit
1. Îndeplinirea cerinţelor legale referitoare la conţinutul facturii, semnătura electronică şi marca temporală
1.1. sistemul permite respectarea cerinţelor legale referitoare la forma şi conţinutul facturilor emise;
1.2. certificatul calificat aferent semnăturii electronice a emitentului facturii în formă electronică conţine informaţii privind identificatorul fiscal şi numărul notificării înregistrate la Ministerul Finanţelor Publice;
1.3. certificatul calificat aferent semnăturii electronice a persoanelor care prestează servicii de emitere a facturilor în formă electronică pentru terţi conţine informaţii privind calitatea de furnizor de servicii şi datele sale de identificare;
1.4. emitentul ţine evidenţa facturilor electronice emise într-un registru electronic de evidenţă a facturilor în formă electronică, operarea în acest registru realizându-se conform regulilor de operare a registrelor similare pe suport hârtie, completate cu normele metodologice emise de Ministerul Finanţelor Publice;
1.5. semnătura electronică extinsă ataşată facturii în formă electronică este generată folosind dispozitive securizate de creare a semnăturii electronice;
1.6. marca temporală ataşată facturii în formă electronică este generată respectând prevederile Legii nr. 451/2004 privind marca temporală;
1.7. accesul la dispozitivul de semnare este controlat.
2. Conversia facturilor emise iniţial pe suport hârtie (acolo unde este cazul)
2.1. sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie permite reproducerea informaţiilor conţinute de factura emisă iniţial pe suport hârtie cu un grad înalt de precizie;
2.2. procedurile implementate asigură corectarea manuală a informaţiilor reproduse;
2.3. sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigură înscrierea precizării: "prezenta factură este conformă cu originalul emis iniţial pe suport hârtie având seria......... nr. ...., din data de..., emisă de...";
2.4. sistemul informatic folosit pentru conversia facturilor emise iniţial pe suport hârtie şi procedurile utilizate asigură ataşarea semnăturii electronice a furnizorului de servicii de facturare electronică, precum şi a mărcii temporale certificând momentul conversiei atât în cazul facturilor individuale, cât şi în cazul în care conversia se face pentru un pachet sau lot de facturi.
3. Securitate
3.1. accesul la aplicaţia de facturare este restricţionat prin mecanisme de autentificare;
3.2. aplicaţia de facturare menţine un jurnal de acces şi operare;
3.3. accesul utilizatorilor la date nu este permis decât prin intermediul aplicaţiei;
3.4. parolele de acces ale utilizatorilor sunt stocate în formă criptată;
3.5. modul de utilizare a aplicaţiei este descris într-un manual;
3.6. sunt aplicate măsurile de securizare specifice sistemului de operare;
3.7. maşina pe care rulează aplicaţia este amplasată într-o incintă securizată;
3.8. actualizările de aplicaţie sau de sistem de operare sunt aplicate numai după o testare prealabilă;
3.9. Testele efectuate înainte de utilizarea aplicaţiei şi de aplicarea eventualelor actualizări sunt documentate;
3.10. Programul de interfaţă cu sistemul contabil menţine un jurnal de transfer;
3.11. Modul de funcţionare a interfeţei cu sistemul contabil este documentat.
4. Măsuri organizatorice
4.1. Personalul este instruit în aspecte generale privind securitatea informaţiei, inclusiv protecţia la atacuri de tipul ingineriei sociale;
4.2. Există o procedură de identificare şi raportare a incidentelor de securitate;
4.3. Jurnalele de acces şi operare ale aplicaţiei sunt verificate periodic;
4.4. Există clauze de confidenţialitate semnate cu furnizorii şi angajaţii;
4.5. Echipamentele sunt asigurate prin contracte de garanţie şi reparaţii;
4.6. Există suport pentru aplicaţie acordat de furnizor;
4.7. Conturile de acces sunt individuale şi revizuite periodic;
4.8. Parola de utilizare a conturilor de acces este confidenţială;
4.9. Configuraţia aplicaţiei şi a serverului pe care rulează este documentată.

ANEXA Nr. 3

ORDIN
de omologare a sistemului informatic

În baza Referatului de aprobare al Direcţiei1 ................, înregistrat la Ministerul Comunicaţiilor şi Societăţii Informaţionale sub nr. ........................../...............................,
având în vedere prevederile art. 26 din Legea nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice şi ale Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 488/2009 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi normele de performanţă şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică,
în temeiul art. 4 alin. (1) pct. 59 şi al art. 6 alin. (6) din Hotărârea Guvernului nr. 12/2009 privind organizarea şi funcţionarea Ministerului Comunicaţiilor şi Societăţii Informaţionale, cu modificările şi completările ulterioare,
ministrul comunicaţiilor şi societăţii informaţionale emite prezentul ordin.

Art. 1. - În urma îndeplinirii procedurii de omologare a sistemului informatic destinat operaţiunilor de emitere a facturilor în formă electronică aparţinând ....................................... (denumirea solicitantului), Ministerul Comunicaţiilor şi Societăţii Informaţionale atestă faptul că acest sistem îndeplineşte cerinţele Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice şi ale Ordinului ministrului comunicaţiilor şi societăţii informaţionale nr. 488/2009 privind procedura de verificare şi omologare a sistemelor informatice destinate operaţiunilor de emitere a facturilor în formă electronică, precum şi normele de performanţă şi securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică.
Art. 2. - Prezentul ordin se comunică ......................... (denumirea solicitantului).
___________
1 Se va menţiona denumirea direcţiei de specialitate din cadrul Ministerului Comunicaţiilor şi Societăţii Informaţionale care îndeplineşte atribuţiile de punere în aplicare a Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice.

ANEXA Nr. 4

NORME DE PERFORMANŢĂ ŞI SECURITATE
cu privire la sistemele informatice utilizate de persoanele care emit,
transmit sau arhivează facturi, chitanţe şi
bonuri fiscale în formă electronică

I. Utilizarea unor sisteme informatice sigure joacă un rol esenţial în procesul de înregistrare a operaţiunilor comerciale prin mijloace electronice, reprezentând elementul-cheie pentru asigurarea unor servicii care să respecte principiile cerute de lege: garantarea autenticităţii, a originii şi a integrităţii conţinutului.
Prezentul document stabileşte normele minimale de performanţă şi securitate care trebuie îndeplinite de către sistemele informatice utilizate de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică, cărora le sunt aplicabile prevederile Legii nr. 260/2007 privind înregistrarea operaţiunilor comerciale prin mijloace electronice. Normele de performanţă şi securitate sunt aplicabile proceselor de emitere, transmitere şi arhivare a facturilor, chitanţelor şi bonurilor fiscale realizate prin intermediul sistemelor informatice, completându-se cu celelalte acte normative în vigoare.
Capacitatea sistemelor informatice de a emite facturi în formă electronică respectând aceste principii, precum şi conformitatea acestora cu prevederile legale vor fi garantate în urma unui proces de omologare, finalizat prin emiterea unei decizii de omologare a sistemului informatic. În cursul procedurii de omologare se va verifica respectarea condiţiilor minimale de performanţă şi securitate corespunzătoare procesului de emitere a facturilor în formă electronică (cap. III pct. 1 din prezentele norme).
În continuare, prin documente contabile electronice se înţelege facturi, chitanţe şi bonuri fiscale în formă electronică, astfel cum acestea sunt definite la art. 4 din Legea nr. 260/2007.
II. Sistemul informatic utilizat de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică va trebui să îndeplinească următoarele cerinţe minime de securitate, referitoare la:
a) confidenţialitatea şi integritatea comunicaţiilor;
b) confidenţialitatea şi integritatea datelor;
c) autenticitatea părţilor;
d) protecţia datelor cu caracter personal;
e) continuitatea serviciilor oferite clienţilor;
f) împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem;
g) restaurarea informaţiilor gestionate de sistem în cazul unor calamităţi naturale şi evenimente imprevizibile;
h) gestionarea şi administrarea sistemului informatic;
i) orice alte activităţi sau măsuri tehnice întreprinse pentru exploatarea în siguranţă a sistemului.
III. Sistemul informatic utilizat de persoanele care emit, transmit sau arhivează facturi, chitanţe şi bonuri fiscale în formă electronică trebuie să asigure respectarea cerinţelor legale stabilite prin actele normative speciale pentru fiecare dintre cele 3 procese ale activităţii de înregistrare a operaţiunilor comerciale prin mijloace electronice:
1. procesul de emitere a documentelor contabile electronice:
a) procesul de generare a documentelor contabile electronice;
b) procesul de generare a semnăturii electronice şi a mărcii temporale pentru documentele contabile electronice;
c) procesul de conversie a documentelor contabile electronice - acolo unde este cazul;
2. procesul de transmitere a documentelor contabile electronice;
3. procesul de arhivare a documentelor contabile electronice.
1. Procesul de emitere a documentelor contabile electronice
a) Procesul de generare a documentelor contabile electronice
Sistemul informatic utilizat va trebui să permită respectarea conţinutului documentelor contabile electronice stabilit prin acte normative speciale şi includerea în documentele contabile electronice a informaţiilor stabilite prin aceste acte normative.
Sistemul informatic trebuie să permită emiterea documentelor contabile electronice într-un format static, fără posibilitatea de modificare a documentului respectiv.
b) Procesul de generare a semnăturii electronice şi a mărcii temporale pentru documentele contabile electronice
Generarea semnăturii electronice şi aplicarea mărcii temporale pentru documentele contabile electronice trebuie să fie făcute în mod automat. Sistemul informatic nu trebuie să permită emiterea documentului contabil electronic în absenţa acestor două elemente.
Semnătura electronică extinsă ataşată documentului contabil electronic trebuie generată folosindu-se dispozitive securizate de creare a semnăturii electronice, astfel cum sunt definite la art. 4 pct. 8 din Legea nr. 455/2001 privind semnătura electronică, şi să se bazeze pe un certificat calificat emis în condiţiile Legii nr. 455/2001 de către un furnizor acreditat.
Certificatul va fi emis special în scopul desfăşurării activităţii de înregistrare a operaţiunilor comerciale prin mijloace electronice şi va conţine atributele specifice ale semnatarului prevăzute la art. 9 alin. (2) din Legea nr. 260/2007, alături de celelalte informaţii prevăzute în Legea nr. 455/2001.
Furnizorii de servicii de facturare electronică care emit facturi în formă electronică în numele unor terţi, în condiţiile art. 17 din Legea nr. 260/2007, vor folosi propriul certificat aferent semnăturii electronice aplicate facturilor. Certificatul va trebui să indice informaţiile prevăzute la art. 17 alin. (2) din Legea nr. 260/2007. Furnizorii de servicii pot folosi acelaşi certificat pentru emiterea de documente contabile electronice în numele mai multor terţi.
Sistemul informatic trebuie să fie capabil să realizeze marcarea temporală a documentelor contabile electronice. Procesul de marcare temporală trebuie să fie conform cu cerinţele Legii nr. 451/2004 privind marca temporală.
c) Procesul de conversie a documentelor contabile electronice
Procesul de conversie a documentelor contabile electronice reprezintă reproducerea în formă electronică de către un furnizor de servicii de facturare electronică a informaţiilor conţinute în factura emisă pe suport hârtie.
Furnizorii de servicii de facturare electronică care prestează şi servicii de conversie în formă electronică a facturilor emise pe suport hârtie, în condiţiile art. 18 din Legea nr. 260/2007, trebuie să folosească sisteme informatice care să permită reproducerea informaţiilor conţinute de factura emisă iniţial pe suport hârtie cu un grad înalt de precizie. Erorile apărute trebuie corectate prin verificarea manuală a corectitudinii informaţiilor reproduse. În cazul reproducerii prin scanare, informaţiile conţinute în factura emisă iniţial pe suport hârtie trebuie să fie lizibile.
Factura în formă electronică rezultată în urma conversiei din format material dobândeşte calitatea de document justificativ, având acelaşi regim juridic ca şi factura originală din care s-a făcut conversia.
Prevederile privind conversia în formă electronică a facturilor emise iniţial pe suport hârtie sunt aplicabile şi documentelor aferente tranzacţiilor înregistrate prin intermediul caselor de marcat.
2. Procesul de transmitere a documentelor contabile electronice
Utilizarea semnăturii electronice şi a mărcii temporale garantează integritatea documentelor contabile electronice, orice modificare asupra conţinutului unui document determinând pierderea valabilităţii semnăturii electronice şi, prin consecinţă, a documentului.
Modalitatea de transmitere a documentelor contabile electronice este stabilită de comun acord de către emitentul şi beneficiarul acestora. De asemenea, prin acordul părţilor se va stabili nivelul de securitate care va fi utilizat. Astfel, emitentul şi beneficiarul documentelor contabile electronice pot stabili prin acord transmiterea criptată a acestora sau orice alte măsuri de securitate considerate necesare.
3. Procesul de arhivare a documentelor contabile electronice
În procesul de arhivare a documentelor contabile electronice se vor aplica dispoziţiile Legii nr. 135/2007 privind arhivarea documentelor în formă electronică.
Autenticitatea şi integritatea conţinutului facturii în formă electronică, precum şi asigurarea accesului la aceasta trebuie să fie garantate pe toată durata legală de stocare a facturii.
Verificarea semnăturilor electronice ataşate documentelor contabile electronice permite validarea faptului că aceste două caracteristici - autenticitatea şi integritatea - sunt îndeplinite.
Sistemul informatic trebuie să permită arhivarea atât a documentului contabil electronic, cât şi a tuturor datelor necesare verificării semnăturii electronice şi mărcii temporale ataşate facturii, pe toată durata legală de stocare a acesteia.
Asigurarea posibilităţii validării semnăturii electronice şi a mărcii temporale folosite în procesul de emitere a documentelor contabile electronice presupune ca, la data efectuării verificării, să fie disponibile următoarele informaţii:
1. certificatul utilizat pentru semnarea documentului contabil electronic şi pentru emiterea mărcii temporale;
2. lista certificatelor revocate;
3. algoritmii folosiţi în procesele criptografice.
Posibilitatea de verificare pe termen lung a autenticităţii documentului contabil electronic (prin validarea semnăturii electronice şi a mărcii temporale aplicate) se bazează pe următoarele 3 elemente:
1. determinarea momentului creării documentului;
2. determinarea faptului că momentul în care certificatul pe care se bazează semnătura documentului a expirat sau a fost revocat a fost ulterior momentului în care documentul a fost creat şi semnat;
3. păstrarea în condiţii de securitate a documentului, mai ales în cazul în care, după data semnării, algoritmul sau cheia privată folosită la semnare a fost compromis/compromisă.
Sistemul informatic trebuie să permită păstrarea informaţiilor din care este constituit documentul contabil electronic fără niciun fel de alterare pe toată această perioadă. Emitentul documentului contabil electronic poate decide asupra oricărui mediu de stocare a facturilor care să garanteze respectarea condiţiilor de mai sus. Este recomandabilă folosirea unor dispozitive de stocare permanentă care să nu permită ştergerea, rescrierea sau modificarea datelor.
Arhivarea trebuie realizată cu ajutorul unor echipamente informatice adecvate şi în amplasamente având facilităţi speciale care asigură securitatea şi accesibilitatea informaţiilor arhivate. Se vor asigura operaţiuni de back-up periodic al informaţiilor stocate. Este necesară asigurarea securităţii informaţiilor stocate în ceea ce priveşte atât accesul fizic la echipamentele folosite, cât şi accesul de la distanţă, evitându-se apariţia breşelor de securitate.
IV. Standarde recomandate
- ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES);
- ETSI TS 101 733, Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats;
- ITU-T Recommendation X.509 (2001) | ISO/IEC 9594-8: 2001 - Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks;
- ITU-T Recommendation X.520 (2001) | ISO/IEC 9594-6:2001 - Information technology - Open Systems Interconnection - The Directory: Selected attribute types;
- ITU-T Recommendation X.521 (2001) | ISO/IEC 9594-7:2001 - Information technology - Open Systems Interconnection - The Directory: Selected object classes;
- ETSI TS 101 862: Qualified Certificates profile V1.3.2 (2004-06);
- IETF RFC 3280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List.
Pentru a asigura cerinţa de interoperabilitate se recomandă folosirea următoarelor formate pentru facturile electronice:
- formate compatibile cu limbajul de marcare XML (Extensible Markup Language);
- PDF - Portable Document Format.

BEST PUBLISHING - 22 iulie 2009