Prezenta decizie stabileste procedura de verificare si omologare de catre Autoritatea Nationala pentru Comunicatii, denumita in continuare ANC, a sistemelor informatice destinate operatiunilor de emitere a facturilor in
forma electronica, precum si normele de performanta si securitate cu privire la sistemele informatice utilizate de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica.
Art. 2. – In intelesul prezentei decizii, urmatorii termeni se definesc astfel:
a) emitent al facturii in forma electronica – persoana, fizica sau juridica, care emite facturi in forma electronica, in nume propriu sau in numele unor terti;
b) sistem informatic – dispozitivul ori ansamblul de dispozitive interconectate sau aflate in relatie functionala, dintre care unul sau mai multe asigura prelucrarea automata a datelor cu ajutorul unui program informatic si care este destinat operatiunilor de emitere a facturilor in forma electronica;
c) omologare – procesul de evaluare a sistemului informatic, care are ca rezultat emiterea de catre presedintele ANC a deciziei de omologare;
d) decizie de omologare – decizia emisa de presedintele ANC care atesta conformitatea sistemului informatic cu normele de securizare a informatiei prelucrate sau arhivate, precum si cu prevederile Legii nr. 260/2007 privind inregistrarea operatiunilor comerciale prin mijloace electronice;
e) plan de securitate a sistemului informatic – documentul ce descrie totalitatea masurilor tehnice si administrative care sunt aplicate sistemului informatic de catre emitentul facturii in forma electronica in vederea oferirii serviciului in conditii de siguranta.
Art. 3. – Emitentul facturii in forma electronica are obligatia sa foloseasca un sistem informatic omologat de ANC. In acest sens, acesta va inainta ANC o cerere scrisa prin care va solicita inceperea procedurii de omologare a sistemului informatic. Forma si continutul cererii sunt prevazute in anexa nr. 1.
Art. 4. – (1) Emitentul facturii in forma electronica care solicita omologarea sistemului informatic are obligatia sa transmita ANC urmatoarele documente, redactate in limba romana:
a) cererea prevazuta la art. 3;
b) raportul de audit intocmit in conditiile art. 5;
c) descrierea functionala a sistemului informatic;
d) planul de securitate a sistemului informatic;
e) certificari privind securitatea sistemului informatic, acolo unde acestea exista;
f) declaratia pe propria raspundere a auditorului, prin care este exprimata independenta sa fata de emitentul facturii in forma electronica si producatorul sistemului informatic auditat;
g) daca este cazul, descrierea echipamentelor necesare realizarii procesului de conversie, in situatia in care emitentul de drept al facturii in forma electronica are un contract valabil incheiat in baza caruia beneficiaza de servicii de conversie a facturilor emise pe suport hartie in facturi in forma electronica;
h) dovada achitarii tarifului de omologare prevazut la art. 12.
(2) Pe parcursul procedurii de omologare, ANC poate solicita completarea documentatiei, acolo unde este necesar. In acest caz, cererea prevazuta la art. 3 este considerata realizata la data transmiterii catre ANC a documentelor solicitate.
(3) Documentele prevazute la alin. (1) si (2) se transmit la sediul central al ANC in limba romana in unul dintre urmatoarele moduri:
a) prin depunere, personal sau de catre reprezentantul legal al solicitantului, sub luare de semnatura;
b) printr-un serviciu postal;
c) ca inscris in forma electronica, caruia i s-a incorporat, atasat sau i s-a asociat logic o semnatura electronica extinsa, bazata pe un certificat calificat nesuspendat ori nerevocat la momentul respectiv si generata cu ajutorul unui dispozitiv securizat de creare a semnaturii electronice.
(4) Este considerata data a transmiterii, dupa caz, data inscrierii in registrul general de intrare-iesire a corespondentei al ANC, data confirmarii primirii documentelor la sediul central al ANC printr-un serviciu postal cu confirmare de primire sau data confirmarii primirii inscrisului in forma electronica.
Art. 5. – (1) Auditul este realizat de catre un auditor independent fata de emitentul facturii in forma electronica si fata de producatorul sistemului informatic a carui omologare se solicita.
(2) Conditiile care trebuie indeplinite de catre auditori, obiectivele auditului, continutul minimal al raportului de audit si setul minimal de teste care sunt aplicate sistemului informatic in cursul procesului de audit sunt prevazute in anexa nr. 2.
(3) Raportul de audit poate fi realizat de o persoana fizica sau juridica, certificata ca auditor de sisteme informatice.
(4) In cazul in care sistemul informatic este situat in alt stat, auditarea acestuia se va face prin una dintre urmatoarele metode:
a) auditorul auditeaza in mod nemijlocit sistemul informatic din strainatate;
b) auditorul isi bazeaza raportul de audit pe certificari similare emise sau pe teste efectuate in statul in care se afla sistemul informatic si care au un grad de asigurare corespunzator, acoperind obiectivele si ariile de control prevazute in anexa nr. 2.
Art. 6. – (1) Decizia de omologare este emisa in termen de 30 de zile de la data transmiterii documentatiei in conditiile art. 4 alin. (1) sau (2), in urma verificarii conformitatii sistemului informatic cu cerintele stabilite in anexa nr. 2 pct. II. Forma si continutul deciziei de omologare sunt prevazute in anexa nr. 3.
(2) Decizia de omologare este valabila pe o perioada de un an, procedura de reinnoire fiind similara cu cea de emitere.
(3) Pe intreaga perioada de valabilitate a deciziei de omologare, ANC are dreptul de a efectua verificari ale sistemului informatic omologat.
Art. 7. – (1) Emitentul facturii in forma electronica este obligat sa notifice ANC orice modificare a sistemului informatic care afecteaza documentatia prezentata in conformitate cu art. 4 alin. (1) lit. c), d) si g), in conditiile prevazute la art. 14 alin. (1) din Legea nr. 260/2007.
(2) ANC avizeaza modificarile aduse in maximum 30 de zile de la data transmiterii notificarii, in conditiile art. 4 alin. (4).
(3) In cazul in care ANC considera ca modificarile aduse sistemului informatic afecteaza performantele acestuia in ceea ce priveste cerintele stabilite in anexa nr. 2 pct. II, va solicita emitentului facturii in forma electronica declansarea procedurii de reinnoire a omologarii.
Art. 8. – ANC are obligatia de a pastra confidentialitatea tuturor informatiilor primite de la emitentul facturii in forma electronica care solicita omologarea sistemului informatic.
Art. 9. – (1) Emitentul facturii in forma electronica poate utiliza propria autoritate de marcare temporala, implementata in cadrul organizatiei sale, daca indeplineste urmatoarele conditii:
a) foloseste o baza de timp sincronizata cu Furnizorul unic de baza de timp, desemnat in conformitate cu Legea nr. 451/2004 privind marca temporala;
b) indeplineste conditiile stabilite de Legea nr. 451/2004, cu exceptia celor referitoare exclusiv la furnizarea de servicii de marcare temporala pentru terti.
(2) Indeplinirea conditiilor prevazute la alin. (1) se atesta prin raportul de audit.
Art. 10. – Persoanele care emit, transmit sau arhiveaza facturi in forma electronica pot externaliza aceste servicii in temeiul unui contract valabil incheiat cu un furnizor de servicii de facturare electronica, cu respectarea conditiilor prevazute la art. 13 din Legea nr. 260/2007.
Art. 11. – (1) ANC poate retrage omologarea in urmatoarele situatii:
a) in cazul in care, in urma verificarilor efectuate in conditiile art. 29 alin. (2) din Legea nr. 260/2007, constata neindeplinirea de catre emitentul facturii in forma electronica a obligatiei de notificare a modificarilor efectuate asupra sistemului informatic;
b) in cazul in care, in urma verificarilor efectuate in conformitate cu art. 6 alin. (4), constata faptul ca sistemul informatic nu mai indeplineste normele de performanta si securitate prevazute in anexa nr. 4.
(2) In cazul in care constata una dintre situatiile prevazute la alin. (1), ANC va comunica emitentului facturii in forma electronica deficientele constatate, acordandu-i un termen de 30 de zile pentru remedierea acestora.
(3) Daca deficientele constatate in conditiile alin. (1) nu sunt remediate in termenul prevazut la alin. (2), ANC va retrage omologarea, prin decizie a presedintelui ANC.
Art. 12. – (1) Cuantumul tarifului prevazut la art. 26 alin. (5) din Legea nr. 260/2007 este de 9.000 lei.
(2) Termenul de plata a tarifului prevazut la alin. (1) este anterior transmiterii documentelor prevazute la art. 4 alin. (1) catre ANC.
(3) Plata tarifului de omologare se poate face:
a) prin decontare bancara, in contul ANC;
b) in numerar, la casieria ANC, cu respectarea plafonului zilnic stabilit prin Ordonanta Guvernului nr. 15/1996 privind intarirea disciplinei financiar-valutare, aprobata, cu modificari si completari, prin Legea nr. 131/1996, cu modificarile ulterioare.
(4) In vederea indeplinirii de catre emitentul facturii in forma electronica care solicita omologarea sistemului informatic, in conditiile prezentei decizii, a obligatiei prevazute la art. 4 alin. (1) lit. h), Directia economica din cadrul ANC, prin serviciul de specialitate, emite o factura fara taxa pe valoarea adaugata, dupa incasarea cuantumului tarifului de omologare. Factura emisa de ANC va contine mentiunea expresa: „Factura a fost achitata cu O.P./Chitanta nr. …/…….”.
Art. 13. – Normele de performanta si securitate pe care trebuie sa le indeplineasca sistemele informatice utilizate de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica sunt prevazute in anexa nr. 4.
Art. 14. – Anexele nr. 1-4 fac parte integranta din prezenta decizie.
ANEXA Nr. 1
CERERE
de omologare a sistemului informatic
Nr.*) ........................................
Data: ........................................
+ - - - - - - - - - - - - - - - - - - - - - - +
| Loc rezervat ANC |
Catre | |
AUTORITATEA NATIONALA PENTRU COMUNICATII | |
+------------------------------------------------------------------------+ - - - - - - - - - - - - - - - - - - - - - - +
|Denumire/Nume si prenume: |
+------------------+-------------------------------------------------+-------------------------------------------------+
|Statut: |[ ] persoana juridica |[ ] persoana fizica |
+------------------+-------------------------------------------------+-----------+----------+----------+---------------+
|Sediu/domiciliu: |Strada: |nr. |bl. |sc. |ap. |
| +-------------------------------------------------+-----------+----------+----------+---------------+
| |Localitate: |Cod postal: |
| +-------------------------------------------------+-------------------------------------------------+
| |Judetul/Sectorul: |
| +------------------------------------+--------------------------------------------------------------+
| |Telefon: |Fax: |
| +------------------------------------+--------------------------------------------------------------+
| |E-mail: |Pagina de internet: |
+------------------+------------------------------------+------------+-----------+----------+----------+---------------+
|Domiciliul fiscal:|Strada: |nr. |bl. |sc. |ap. |
| +-------------------------------------------------+-----------+----------+----------+---------------+
| |Localitate: |Cod postal: |
| +-------------------------------------------------+-------------------------------------------------+
| |Judetul/Sectorul: |
| +------------------------------------+--------------------------------------------------------------+
| |Telefon: |Fax: |
+------------------+------------------------------------+--------------------------------------------------------------+
|Cod de identificare fiscala/Cod unic de inregistrare | |
|(pentru persoane juridice): | |
+-------------------------------------------------------+--------------------------------------------------------------+
|CNP (pentru persoane fizice): | |
+-------------------------------------------------------+--------------------------------------------------------------+
|Cont: |Banca: |
+------------------+------------------------------------+------------------+-------------------------------------------+
|Reprezentant |Nume: |Functie: |
|legal: +----------------------------+--------------------------+-------------------------------------------+
| |Telefon: |Fax: |E-mail: |
+------------------+----------------------------+--------------------------+-------------------------------------------+
|Persoana de |Nume: |Functie: |
|contact: +----------------------------+--------------------------+-------------------------------------------+
| |Telefon: |Fax: |E-mail: |
+------------------+----------------------------+--------------------------+-------------------------------------------+
Solicit eliberarea/reinnoirea deciziei de omologare a sistemului informatic destinat operatiunilor de emitere a facturilor in forma electronica.
Atasez prezentei cereri urmatoarele documente:
[ ] raportul de audit;
[ ] descrierea functionala a sistemului informatic;
[ ] planul de securitate a sistemului informatic;
[ ] certificari din punctul de vedere al securitatii sistemului informatic;
[ ] declaratia pe propria raspundere a auditorului, prin care este exprimata independenta sa fata de subsemnatul si de producatorul sistemului informatic auditat;
[ ] daca este cazul, descrierea echipamentelor necesare realizarii procesului de conversie, in situatia in care emitentul de drept al facturii in forma electronica are un contract valabil incheiat in baza caruia beneficiaza de servicii de conversie a facturilor emise pe suport hartie in facturi in forma electronica;
[ ] dovada achitarii tarifului de omologare.
Semnatura reprezentantului legal si stampila solicitantului
……………………………………………
___________
*) Numarul de iesire din registrul de intrari-iesiri al solicitantului si data de inregistrare.
ANEXA Nr. 2
CONDITII
privind auditorii, obiectivele auditului, continutul minimal al
raportului de audit si setul minimal de teste care sunt aplicate
sistemului informatic in cursul procesului de audit
I. Conditii privind auditorii sistemelor informatice
Persoana fizica sau angajatul persoanei juridice care realizeaza auditul trebuie sa fie certificata/certificat ca auditor de sisteme informatice de catre un organism general recunoscut in domeniu (ISACA – Asociatia de Audit si Control al Sistemelor Informatice/Information Systems Audit and Control Association).
Auditorul trebuie sa fie un tert, care nu are raporturi de munca cu persoana fizica sau juridica auditata, nu are interese financiare in legatura cu aceasta si nu a fost implicat in ultimii 3 ani in proiecte de consultanta care au ori au avut efect asupra sistemului auditat.
II. Obiectivele auditului
Scopul auditului il constituie evaluarea sistemului informatic destinat operatiunilor de emitere a facturilor in forma electronica, precum si evaluarea masurilor organizatorice implementate in vederea operarii sistemului informatic de catre emitentul de facturi in forma electronica, in ceea ce priveste indeplinirea urmatoarelor cerinte:
1. sistemul informatic permite emiterea facturilor respectand formatul si continutul stabilite de actele normative speciale;
2. sistemul informatic permite emiterea facturilor continand semnatura electronica a emitentului facturii si marca temporala care certifica momentul emiterii, in conditiile anexei nr. 4 la ordin;
3. sunt respectate urmatoarele principii privind securitatea operatiunii de emitere a facturilor in forma electronica:
a) confidentialitatea si integritatea datelor folosite in procesul de emitere a facturilor in forma electronica;
b) protectia datelor cu caracter personal, inclusiv respectarea conditiilor legale referitoare la prelucrarea datelor cu caracter personal;
c) continuitatea serviciului de facturare oferit clientilor;
d) controlul accesului la sistemul de facturare electronica.
III. Continutul minimal al raportului de audit
1. Introducere
1.1. Elementele de identificare a auditorului, inclusiv prezentarea dovezii indeplinirii conditiilor de la pct. I;
1.2. Perioada in care a fost efectuat auditul;
1.3. Echipa de audit (pentru fiecare persoana se va preciza pozitia in cadrul echipei de audit, calificari, certificari, anexandu-se documentele doveditoare).
2. Metodologia utilizata
2.1. Standardele pe baza carora s-a desfasurat procesul de audit;
2.2. Planul de audit folosit;
2.3. Descrierea metodelor prin care sunt evaluate obiectivele de audit.
3. Descrierea sistemului auditat
3.1. Descrierea entitatii auditate, cu prezentarea generala a sistemului informatic destinat operatiunilor de emitere a facturilor in forma electronica (inclusiv a aplicatiilor software utilizate) si a sistemelor informatice cu care acesta se afla in relatie de interdependenta (prin relatie de interdependenta intelegandu-se faptul ca respectivele sisteme nu isi pot indeplini in mod separat functiile); se vor descrie componentele sistemului informatic utilizat in procesul de facturare: aplicatie/server/ sistem de operare/detalii configurare/locatie/Administrare;
3.2. Analiza riscurilor implicate de activitatea de facturare si a posibilelor vulnerabilitati ale sistemului informatic auditat fata de aceste riscuri;
3.3. Identificarea interdependentelor sistemului de facturare cu celelalte sisteme informatice ale entitatii audiate, precum si cu sisteme informatice apartinand tertilor, cu precizarea vulnerabilitatilor determinate de aceste interdependente. In cazul existentei unui sistem informatic integrat, care asigura si alte procese ale entitatii auditate, se va determina intinderea partii din sistemul informatic integrat care implica riscuri de securitate in ceea ce priveste activitatea de emitere a facturilor in forma electronica;
3.4. Descrierea fluxului datelor care sunt folosite la intocmirea facturii electronice, cu identificarea momentului intrarii acestor date in sistemul informatic destinat operatiunilor de emitere a facturilor in forma electronica. Se vor identifica aplicatiile utilizate si persoanele implicate: activitate/date de intrare/date de iesire/responsabil/aplicatie.
4. Evaluarea sistemului informatic destinat operatiunilor de emitere a facturilor in forma electronica in raport cu obiectivele urmarite de audit
4.1. Analiza fiecarei amenintari de securitate si a tipului de raspuns necesar in ceea ce priveste urmatoarele componente:
a) echipamentele hardware (inclusiv in ceea ce priveste accesul persoanelor autorizate/neautorizate la acestea);
b) aplicatiile software rulate de catre sistemul informatic;
c) masurile organizatorice: politicile aplicate si procedurile folosite, inclusiv politica de personal;
4.2. Testele efectuate in conformitate cu pct. III, inclusiv constatarile si recomandarile aferente;
4.3. Prezentarea masurilor luate de entitatea auditata pentru minimizarea vulnerabilitatilor sistemului informatic, masuri care pot afecta procesul de emitere a facturilor in forma electronica.
5. Opinia de audit
5.1. Datele de identificare a persoanei fizice sau juridice care are responsabilitatea juridica asupra auditului;
5.2. Numele auditorului care semneaza opinia si data semnarii;
5.3. Afirmatia de conformare a emitentului de facturi in forma electronica cu obiectivele auditate (opinie pozitiva), de conformare partiala cu obiectivele auditate, indicand punctele care trebuie imbunatatite (opinie cu rezerve/calificata), sau de neindeplinire a obiectivelor auditate (opinie negativa).
IV. Arii minime de control in cadrul procesului de audit
1. Indeplinirea cerintelor legale referitoare la continutul facturii, semnatura electronica si marca temporala
1.1. Sistemul permite respectarea cerintelor legale referitoare la forma si continutul facturilor emise;
1.2. Certificatul calificat aferent semnaturii electronice a emitentului facturii in forma electronica contine informatii privind identificatorul fiscal si numarul notificarii inregistrate la Ministerul Economiei si Finantelor;
1.3. Certificatul calificat aferent semnaturii electronice a persoanelor care presteaza servicii de emitere a facturilor in forma electronica pentru terti contine informatii privind calitatea de furnizor de servicii si datele sale de identificare;
1.4. Emitentul tine evidenta facturilor electronice emise intr-un registru electronic de evidenta a facturilor in forma electronica, operarea in acest registru realizandu-se conform regulilor de operare a registrelor similare pe suport hartie, completate cu normele metodologice emise de Ministerul Economiei si Finantelor;
1.5. Semnatura electronica extinsa atasata facturii in forma electronica este generata folosind dispozitive securizate de creare a semnaturii electronice;
1.6. Marca temporala atasata facturii in forma electronica este generata respectand prevederile Legii nr. 451/2004 privind marca temporala;
1.7. Accesul la dispozitivul de semnare este controlat.
2. Conversia facturilor emise initial pe suport hartie (acolo unde este cazul)
2.1. Sistemul informatic folosit pentru conversia facturilor emise initial pe suport hartie permite reproducerea informatiilor continute de factura emisa initial pe suport hartie cu un grad inalt de precizie.
2.2. Procedurile implementate asigura corectarea manuala a informatiilor reproduse.
2.3. Sistemul informatic folosit pentru conversia facturilor emise initial pe suport hartie si procedurile utilizate asigura inscrierea precizarii: „prezenta factura este conforma cu originalul emis initial pe suport hartie avand seria …, nr. …, din data de …, emisa de …”.
2.4. Sistemul informatic folosit pentru conversia facturilor emise initial pe suport hartie si procedurile utilizate asigura atasarea semnaturii electronice a furnizorului de servicii de facturare electronica, precum si a marcii temporale certificand momentul conversiei atat in cazul facturilor individuale, cat si in cazul in care conversia se face pentru un pachet sau lot de facturi.
3. Securitate
3.1. Accesul la aplicatia de facturare este restrictionat prin mecanisme de autentificare;
3.2. Aplicatia de facturare mentine un jurnal de acces si operare;
3.3. Accesul utilizatorilor la date nu este permis decat prin intermediul aplicatiei;
3.4. Parolele de acces ale utilizatorilor sunt stocate in forma criptata;
3.5. Modul de utilizare a aplicatiei este descris intr-un manual;
3.6. Sunt aplicate masurile de securizare specifice sistemului de operare;
3.7. Masina pe care ruleaza aplicatia este amplasata intr-o incinta securizata;
3.8. Actualizarile de aplicatie sau de sistem de operare sunt aplicate numai dupa o testare prealabila;
3.9. Testele efectuate inainte de utilizarea aplicatiei si de aplicarea eventualelor actualizari sunt documentate;
3.10. Programul de interfata cu sistemul contabil mentine un jurnal de transfer;
3.11. Modul de functionare a interfetei cu sistemul contabil este documentat.
4. Masuri organizatorice
4.1. Personalul este instruit in aspecte generale privind securitatea informatiei, inclusiv protectia la atacuri de tipul ingineriei sociale;
4.2. Exista o procedura de identificare si raportare a incidentelor de securitate;
4.3. Jurnalele de acces si operare ale aplicatiei sunt verificate periodic;
4.4. Exista clauze de confidentialitate semnate cu furnizorii si angajatii;
4.5. Echipamentele sunt asigurate prin contracte de garantie si reparatii;
4.6. Exista suport pentru aplicatie acordat de furnizor;
4.7. Conturile de acces sunt individuale si revizuite periodic;
4.8. Parola de utilizare a conturilor de acces este confidentiala;
4.9. Configuratia aplicatiei si a serverului pe care ruleaza este documentata.
ANEXA Nr. 3
DECIZIE
de omologare a sistemului informatic
In temeiul prevederilor art. 8 alin. (1), (3) si (5) din Ordonanta de urgenta a Guvernului nr. 106/2008 privind infiintarea Autoritatii Nationale pentru Comunicatii si ale art. 26 din Legea nr. 260/2007 privind inregistrarea operatiunilor comerciale prin mijloace electronice,
avand in vedere dispozitiile Deciziei presedintelui Autoritatii Nationale pentru Comunicatii nr. 888/2008 privind procedura de verificare si omologare a sistemelor informatice destinate operatiunilor de emitere a facturilor in forma electronica, precum si Referatul de aprobare al Directiei IT si protectia informatiilor, inregistrat la Autoritatea Nationala pentru Comunicatii cu nr. …/…,
presedintele Autoritatii Nationale pentru Comunicatii emite prezenta decizie.
Art. 1. – In urma indeplinirii procedurii de omologare a sistemului informatic destinat operatiunilor de emitere a facturilor in forma electronica apartinand …………………………………, (denumirea solicitantului) Autoritatea Nationala pentru Comunicatii atesta faptul ca acest sistem indeplineste cerintele Legii nr. 260/2007 privind inregistrarea operatiunilor comerciale prin mijloace electronice si ale Deciziei presedintelui Autoritatii Nationale pentru Comunicatii nr. 888/2008 privind procedura de verificare si omologare a sistemelor informatice destinate operatiunilor de emitere a facturilor in forma electronica.
Art. 2. – Prezenta decizie se comunica …………………… . (denumirea solicitantului)
Presedinte,
……………………………………………
ANEXA Nr. 4
NORME DE PERFORMANTA SI SECURITATE
cu privire la sistemele informatice utilizate de persoanele care emit,
transmit sau arhiveaza facturi, chitante si bonuri
fiscale in forma electronica
I. Utilizarea unor sisteme informatice sigure joaca un rol esential in procesul de inregistrare a operatiunilor comerciale prin mijloace electronice, reprezentand elementul-cheie pentru asigurarea unor servicii care sa respecte principiile cerute de lege: garantarea autenticitatii, a originii si a integritatii continutului.
Prezentul document stabileste normele minimale de performanta si securitate care trebuie indeplinite de catre sistemele informatice utilizate de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica, carora le sunt aplicabile prevederile Legii nr. 260/2007 privind inregistrarea operatiunilor comerciale prin mijloace electronice. Normele de performanta si securitate sunt aplicabile proceselor de emitere, transmitere si arhivare a facturilor, chitantelor si bonurilor fiscale realizate prin intermediul sistemelor informatice, completandu-se cu celelalte acte normative in vigoare.
Capacitatea sistemelor informatice de a emite facturi in forma electronica respectand aceste principii, precum si conformitatea acestora cu prevederile legale vor fi garantate in urma unui proces de omologare, finalizat prin emiterea unei decizii de omologare a sistemului informatic. In cursul procedurii de omologare se va verifica respectarea conditiilor minimale de performanta si securitate corespunzatoare procesului de emitere a facturilor in forma electronica (cap. III pct. 1 din prezentele norme).
In continuare, prin documente contabile electronice se intelege facturi, chitante si bonuri fiscale in forma electronica, astfel cum acestea sunt definite la art. 4 din Legea nr. 260/2007.
II. Sistemul informatic utilizat de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica va trebui sa indeplineasca urmatoarele cerinte minime de securitate, referitoare la:
a) confidentialitatea si integritatea comunicatiilor;
b) confidentialitatea si integritatea datelor;
c) autenticitatea partilor;
d) protectia datelor cu caracter personal;
e) continuitatea serviciilor oferite clientilor;
f) impiedicarea, detectarea si monitorizarea accesului neautorizat in sistem;
g) restaurarea informatiilor gestionate de sistem in cazul unor calamitati naturale si evenimente imprevizibile;
h) gestionarea si administrarea sistemului informatic;
i) orice alte activitati sau masuri tehnice intreprinse pentru exploatarea in siguranta a sistemului.
III. Sistemul informatic utilizat de persoanele care emit, transmit sau arhiveaza facturi, chitante si bonuri fiscale in forma electronica trebuie sa asigure respectarea cerintelor legale stabilite prin actele normative speciale pentru fiecare dintre cele 3 procese ale activitatii de inregistrare a operatiunilor comerciale prin mijloace electronice:
1. procesul de emitere a documentelor contabile electronice:
a) procesul de generare a documentelor contabile electronice;
b) procesul de generare a semnaturii electronice si a marcii temporale pentru documentele contabile electronice;
c) procesul de conversie a documentelor contabile electronice – acolo unde este cazul;
2. procesul de transmitere a documentelor contabile electronice;
3. procesul de arhivare a documentelor contabile electronice.
1. Procesul de emitere a documentelor contabile electronice
a) Procesul de generare a documentelor contabile electronice
Sistemul informatic utilizat va trebui sa permita respectarea continutului documentelor contabile electronice stabilit prin acte normative speciale si includerea in documentele contabile electronice a informatiilor stabilite prin aceste acte normative.
Sistemul informatic trebuie sa permita emiterea documentelor contabile electronice intr-un format static, fara posibilitatea de modificare a documentului respectiv.
b) Procesul de generare a semnaturii electronice si a marcii temporale pentru documentele contabile electronice
Generarea semnaturii electronice si aplicarea marcii temporale pentru documentele contabile electronice trebuie sa fie facute in mod automat. Sistemul informatic nu trebuie sa permita emiterea documentului contabil electronic in absenta acestor doua elemente.
Semnatura electronica extinsa atasata documentului contabil electronic trebuie generata folosindu-se dispozitive securizate de creare a semnaturii electronice, astfel cum sunt definite la art. 4 pct. 8 din Legea nr. 455/2001 privind semnatura electronica, si sa se bazeze pe un certificat calificat emis in conditiile Legii nr. 455/2001 de catre un furnizor acreditat.
Certificatul va fi emis special in scopul desfasurarii activitatii de inregistrare a operatiunilor comerciale prin mijloace electronice si va contine atributele specifice ale semnatarului prevazute la art. 9 alin. (2) din Legea nr. 260/2007, alaturi de celelalte informatii prevazute in Legea nr. 455/2001.
Furnizorii de servicii de facturare electronica care emit facturi in forma electronica in numele unor terti, in conditiile art. 17 din Legea nr. 260/2007, vor folosi propriul certificat aferent semnaturii electronice aplicate facturilor. Certificatul va trebui sa indice informatiile prevazute la art. 17 alin. (2) din Legea nr. 260/2007. Furnizorii de servicii pot folosi acelasi certificat pentru emiterea de documente contabile electronice in numele mai multor terti.
Sistemul informatic trebuie sa fie capabil sa realizeze marcarea temporala a documentelor contabile electronice. Procesul de marcare temporala trebuie sa fie conform cu cerintele Legii nr. 451/2004 privind marca temporala.
c) Procesul de conversie a documentelor contabile electronice
Procesul de conversie a documentelor contabile electronice reprezinta reproducerea in forma electronica de catre un furnizor de servicii de facturare electronica a informatiilor continute in factura emisa pe suport hartie.
Furnizorii de servicii de facturare electronica care presteaza si servicii de conversie in forma electronica a facturilor emise pe suport hartie, in conditiile art. 18 din Legea nr. 260/2007, trebuie sa foloseasca sisteme informatice care sa permita reproducerea informatiilor continute de factura emisa initial pe suport hartie cu un grad inalt de precizie. Erorile aparute trebuie corectate prin verificarea manuala a corectitudinii informatiilor reproduse. In cazul reproducerii prin scanare, informatiile continute in factura emisa initial pe suport hartie trebuie sa fie lizibile.
Factura in forma electronica rezultata in urma conversiei din format material dobandeste calitatea de document justificativ, avand acelasi regim juridic ca si factura originala din care s-a facut conversia.
Prevederile privind conversia in forma electronica a facturilor emise initial pe suport hartie sunt aplicabile si documentelor aferente tranzactiilor inregistrate prin intermediul caselor de marcat.
2. Procesul de transmitere a documentelor contabile electronice
Utilizarea semnaturii electronice si a marcii temporale garanteaza integritatea documentelor contabile electronice, orice modificare asupra continutului unui document determinand pierderea valabilitatii semnaturii electronice si, prin consecinta, a documentului.
Modalitatea de transmitere a documentelor contabile electronice este stabilita de comun acord de catre emitentul si beneficiarul acestora. De asemenea, prin acordul partilor se va stabili nivelul de securitate care va fi utilizat. Astfel, emitentul si beneficiarul documentelor contabile electronice pot stabili prin acord transmiterea criptata a acestora sau orice alte masuri de securitate considerate necesare.
3. Procesul de arhivare a documentelor contabile electronice
In procesul de arhivare a documentelor contabile electronice se vor aplica dispozitiile Legii nr. 135/2007 privind arhivarea documentelor in forma electronica.
Autenticitatea si integritatea continutului facturii in forma electronica, precum si asigurarea accesului la aceasta trebuie sa fie garantate pe toata durata legala de stocare a facturii.
Verificarea semnaturilor electronice atasate documentelor contabile electronice permite validarea faptului ca aceste doua caracteristici – autenticitatea si integritatea – sunt indeplinite.
Sistemul informatic trebuie sa permita arhivarea atat a documentului contabil electronic, cat si a tuturor datelor necesare verificarii semnaturii electronice si marcii temporale atasate facturii, pe toata durata legala de stocare a acesteia.
Asigurarea posibilitatii validarii semnaturii electronice si a marcii temporale folosite in procesul de emitere a documentelor contabile electronice presupune ca, la data efectuarii verificarii, sa fie disponibile urmatoarele informatii:
1. certificatul utilizat pentru semnarea documentului contabil electronic si pentru emiterea marcii temporale;
2. lista certificatelor revocate;
3. algoritmii folositi in procesele criptografice.
Posibilitatea de verificare pe termen lung a autenticitatii documentului contabil electronic (prin validarea semnaturii electronice si a marcii temporale aplicate) se bazeaza pe urmatoarele 3 elemente:
1. determinarea momentului crearii documentului;
2. determinarea faptului ca momentul in care certificatul pe care se bazeaza semnatura documentului a expirat sau a fost revocat a fost ulterior momentului in care documentul a fost creat si semnat;
3. pastrarea in conditii de securitate a documentului, mai ales in cazul in care, dupa data semnarii, algoritmul sau cheia privata folosita la semnare a fost compromis/compromisa.
Sistemul informatic trebuie sa permita pastrarea informatiilor din care este constituit documentul contabil electronic fara niciun fel de alterare pe toata aceasta perioada. Emitentul documentului contabil electronic poate decide asupra oricarui mediu de stocare a facturilor care sa garanteze respectarea conditiilor de mai sus. Este recomandabila folosirea unor dispozitive de stocare permanenta care sa nu permita stergerea, rescrierea sau modificarea datelor.
Arhivarea trebuie realizata cu ajutorul unor echipamente informatice adecvate si in amplasamente avand facilitati speciale care asigura securitatea si accesibilitatea informatiilor arhivate. Se vor asigura operatiuni de back-up periodic al informatiilor stocate. Este necesara asigurarea securitatii informatiilor stocate in ceea ce priveste atat accesul fizic la echipamentele folosite, cat si accesul de la distanta, evitandu-se aparitia breselor de securitate.
IV. Standarde recomandate
ETSI TS 101 903, XML Advanced Electronic Signatures (XAdES);
ETSI TS 101 733, Electronic Signatures and Infrastructures (ESI); Electronic Signature Formats;
ITU-T Recommendation X.509 (2001) | ISO/IEC 9594-8: 2001 – Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks;
ITU-T Recommendation X.520 (2001) | ISO/IEC 9594-6:2001 – Information technology – Open Systems Interconnection – The Directory: Selected attribute types;
ITU-T Recommendation X.521 (2001) | ISO/IEC 9594-7:2001 – Information technology – Open Systems Interconnection – The Directory: Selected object classes;
ETSI TS 101 862: Qualified Certificates profile V1.3.2 (2004-06);
IETF RFC 3280 – Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List;
Pentru a asigura cerinta de interoperabilitate, se recomanda folosirea urmatoarelor formate pentru facturile electronice:
– formate compatibile cu limbajul de marcare XML (Extensible Markup Language);
– PDF – Portable Document Format.