Decizia Autoritatii Nationale de Reglementare in Comunicatii nr. 896/2008 privind normele tehnice si metodologice pentru aplicarea Legii nr. 451/2004 privind marca temporala a fost publicata in Monitorul Oficial, Partea I, nr. 754 din 7.11.2008.
In temeiul prevederilor art. 8 alin. (1), (3) si (5) si ale art. 6 alin. (3) pct. 3 din Ordonanta de urgenta a Guvernului nr. 106/2008 privind infiintarea Autoritatii Nationale pentru Comunicatii, precum si ale art. 9 alin. (3) si ale art. 14 din Legea nr. 451/2004 privind marca temporala,
presedintele Autoritatii Nationale pentru Comunicatii emite prezenta decizie.
CAPITOLUL I
Dispozitii generale
Art. 1. – (1) Prezentele norme tehnice si metodologice se aplica activitatii de marcare temporala si stabilesc procedura de notificare a Autoritatii Nationale pentru Comunicatii in vederea inceperii furnizarii serviciilor de marcare temporala, procedurile de generare si verificare a marcilor temporale, precum si conditiile de creare si mentinere a registrului electronic de evidenta a furnizorilor de servicii de marcare temporala.
(2) Orice persoana fizica sau juridica poate beneficia de servicii de marcare temporala in conditiile Legii nr. 451/2004 privind marca temporala si ale prezentei decizii.
Art. 2. – In intelesul prezentei decizii, urmatorii termeni se definesc astfel:
a) ANC – Autoritatea Nationala pentru Comunicatii;
b) serviciu de marcare temporala – serviciul prin care unor date in forma electronica li se asociaza, printr-un mecanism de incredere, o marca temporala;
c) furnizor de servicii de marcare temporala (furnizor) – orice persoana, fizica sau juridica, care ofera servicii de marcare temporala in conformitate cu prevederile Legii nr. 451/2004 si ale prezentei decizii;
d) utilizator – orice persoana, fizica sau juridica, care, in baza unui contract incheiat cu un furnizor, beneficiaza de servicii de marcare temporala;
e) cheie privata – codul digital, cu caracter de unicitate, generat printr-un dispozitiv hardware si/sau software specializat;
f) cheie publica – codul digital, pereche a cheii private, necesar verificarii marcii temporale;
g) date de verificare a marcii temporale – date in forma electronica, cum ar fi coduri sau chei publice, utilizate in scopul verificarii unei marci temporale;
h) dispozitiv criptografic securizat – un dispozitiv hardware cu un inalt grad de fiabilitate, protejat impotriva modificarilor si a utilizarii neautorizate, care asigura un grad inalt de securitate a operatiilor criptografice in conformitate cu cerintele Legii nr. 455/2001 privind semnatura electronica;
i) politica de marcare temporala – regulile si principiile generale aplicate de furnizor in procesul de emitere si administrare a marcilor temporale;
j) functie hash-code – algoritmul aplicat asupra unui document electronic, care creeaza o amprenta unica a acelui document;
k) SHA – Algoritm Securizat de Hash-code (Secure Hash Algorithm);
l) RFC -documentele care au fost supuse analizei publice in cadrul unui proces coordonat de Grupul de lucru pentru ingineria internetului;
m) extensie de tip critic pentru marcare temporala – extensia unui certificat digital care trebuie procesata in mod obligatoriu de aplicatia care il utilizeaza, limitand folosirea cheii private asociate certificatului exclusiv la aplicarea semnaturii digitale din cadrul unei marci temporale.
CAPITOLUL II
Autoritatea de reglementare si supraveghere
Art. 3. – In conformitate cu dispozitiile art. 6 alin. (3) pct. 3 din Ordonanta de urgenta a Guvernului nr. 106/2008 privind infiintarea Autoritatii Nationale pentru Comunicatii, ANC exercita atributiile care revin autoritatii de reglementare si supraveghere in domeniul marcarii temporale.
Art. 4. – (1) In cadrul Registrului furnizorilor de servicii de certificare, prevazut la art. 28 din Legea nr. 455/2001, ANC va crea o sectiune distincta pentru inregistrarea furnizorilor de servicii de marcare temporala.
(2) ANC gestioneaza Registrul furnizorilor de servicii de marcare temporala, denumit in continuare registru. Forma acestui registru este prevazuta in anexa nr. 1, care face parte integranta din prezenta decizie.
(3) Actualizarea registrului se efectueaza exclusiv de catre personalul ANC desemnat in acest sens si vizeaza toate modificarile privind activitatea furnizorului, precum si alte informatii relevante furnizate de acesta.
Art. 5. – ANC va face publice, spre consultare, urmatoarele date din registru:
a) tipul furnizorului – persoana fizica sau juridica;
b) numele si prenumele sau denumirea furnizorului, dupa caz;
c) forma de organizare a furnizorului persoana juridica – societate comerciala, regie autonoma, institutie publica, organizatie neguvernamentala;
d) domiciliul sau sediul – tara, oras, judet/sector, strada, numar, bloc, scara, etaj, apartament, cod postal, telefon, fax, e-mail, adresa in pagina web;
e) cetatenia, pentru persoana fizica, sau nationalitatea, pentru persoana juridica;
f) data la care si-a inceput activitatea de furnizare de servicii de marcare temporala;
g) cheia publica a furnizorului;
h) descrierea politicii de marcare temporala a furnizorului;
i) situatia activitatii furnizorului – operationala, suspendata, incetata, in curs de transferare, in curs de remediere a unor probleme identificate de ANC, cu indicarea termenului-limita;
j) istoricul furnizorului – data de incepere a activitatii, perioade de suspendare, alte situatii asemanatoare.
Art. 6. – (1) Informatiile prevazute la art. 5 din prezenta decizie sunt disponibile public, prin intermediul paginii de internet a ANC.
(2) Pe pagina de internet a ANC se vor publica si informatii cu privire la Legea nr. 451/2004, prezentele norme tehnice si metodologice, informatii generale cu privire la utilizarea marcilor temporale, informatii actualizate din domeniul marcarii temporale, trimiteri catre paginile de internet ale furnizorilor de servicii de marcare temporala.
Art. 7. – (1) ANC are obligatia de a pastra confidentialitatea tuturor informatiilor primite de la furnizorul de servicii de marcare temporala, cu exceptia celor prevazute de Legea nr. 451/2004 si de prezenta decizie ca fiind publice.
(2) ANC poate incheia un acord de confidentialitate asupra informatiilor primite de la furnizorul de servicii de marcare temporala, la cererea acestuia.
(3) Personalul cu atributii de control din cadrul ANC este obligat sa pastreze confidentialitatea datelor de care a luat cunostinta cu ocazia exercitarii atributiilor de control in ceea ce priveste activitatea furnizorilor de servicii de marcare temporala.
CAPITOLUL III
Furnizorii de servicii de marcare temporala
SECŢIUNEA 1
Dispozitii comune
Art. 8. – (1) Cu 30 de zile inainte de inceperea activitatii, furnizorul de servicii de marcare temporala va notifica ANC, prin completarea formularului prevazut in anexa nr. 2, care face parte integranta din prezenta decizie.
(2) Odata cu efectuarea notificarii prevazute la alin. (1), furnizorii au obligatia de a comunica ANC informatiile si documentele prevazute la art. 6 alin. (2) din Legea nr. 451/2004 si in anexa nr. 2.
(3) In termen de 10 zile de la primirea notificarii, ANC poate solicita completarea documentatiei prezentate, in conformitate cu alin. (2).
(4) Furnizorii au obligatia de a comunica ANC, cu cel putin 30 de zile in avans, orice intentie de modificare a procedurilor de securitate a sistemului informatic utilizat, cu precizarea datei si a orei la care modificarea intra in vigoare, precum si obligatia de a confirma in termen de 24 de ore modificarea efectuata.
(5) In cazuri urgente, in care securitatea serviciilor de marcare temporala este afectata, furnizorii pot efectua modificari ale procedurilor de securitate, urmand sa comunice ANC, in termen de 24 de ore, modificarile efectuate si justificarea deciziei luate.
(6) Furnizorii de servicii de marcare temporala sunt obligati sa respecte, pe parcursul desfasurarii activitatii, procedurile de securitate si de certificare declarate potrivit alin. (2)-(5). Acestia vor furniza servicii de marcare temporala in conformitate cu politica de marcare temporala declarata.
Art. 9. – (1) Furnizorul este obligat sa genereze sau sa achizitioneze o pereche functionala cheie privata-cheie publica si sa isi protejeze cheia privata prin utilizarea unui dispozitiv criptografic securizat, luand masurile necesare pentru a preveni pierderea, dezvaluirea, modificarea sau utilizarea neautorizata a cheii sale private.
(2) Perechea functionala prevazuta la alin. (1) va fi folosita exclusiv in scopul aplicarii semnaturii electronice asupra marcilor temporale emise.
(3) Cheia privata nu poate fi dedusa in niciun fel din cheia sa publica pereche.
(4) Furnizorul de servicii de marcare temporala trebuie sa detina certificatul corespunzator cheii publice, pe baza caruia se va putea verifica semnatura asupra marcii temporale.
(5) Certificatul utilizat pentru marcarea temporala va fi transmis ANC, in forma electronica, la data notificarii inceperii activitatii.
Art. 10. – (1) Furnizorii de servicii de marcare temporala au obligatia sa respecte dispozitiile legale din domeniul prelucrarii datelor cu caracter personal.
(2) La data inceperii activitatii de furnizare de servicii de marcare temporala, furnizorul trebuie sa detina calitatea de operator de date personale si sa depuna la ANC o copie de pe certificatul doveditor, eliberat de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal.
Art. 11. – (1) Furnizorii de servicii de marcare temporala au obligatia de a crea si mentine un registru electronic operativ de evidenta a marcilor temporale.
(2) Registrul electronic operativ de evidenta a marcilor temporale trebuie sa contina cel putin urmatoarele informatii:
a) toate marcile temporale emise de catre furnizorul de servicii de marcare temporala, cuprinzand, pe langa marca temporala propriu-zisa, si date referitoare la marca temporala si la certificatul utilizat;
b) inregistrari ale evenimentelor aparute in sistemul informatic utilizat pentru generarea marcilor temporale.
(3) Informatiile prevazute la alin. (2) lit. a) trebuie sa fie disponibile permanent pentru consultare pe pagina de internet a furnizorului.
(4) Furnizorul de servicii de marcare temporala are obligatia de a transmite, la cerere, catre ANC informatiile prevazute la alin. (2) lit. b).
(5) Structura si conditiile de exploatare ale registrului electronic operativ de evidenta a marcilor temporale sunt prevazute in anexa nr. 3, care face parte integranta din prezenta decizie.
Art. 12. – (1) Furnizorii de servicii de marcare temporala trebuie sa aduca la cunostinta tuturor utilizatorilor termenii si conditiile care privesc utilizarea serviciilor de marcare temporala, si anume:
a) datele de contact ale furnizorului;
b) politica de marcare temporala aplicata;
c) standardele tehnice aplicabile;
d) precizia timpului din marcile temporale;
e) orice limitari in folosirea serviciului de marcare temporala;
f) obligatiile utilizatorului;
g) informatii despre cum trebuie verificata marca temporala si orice limitari posibile asupra perioadei de valabilitate;
h) descrierea practicilor, procedurilor si sistemelor care asigura securitatea si integritatea datelor, accesul autorizat permanent la acestea si modalitatile de prevenire a accesului neautorizat (codul de practici si proceduri);
i) politica privind protectia datelor cu caracter personal;
j) perioada de timp in care sunt pastrate inregistrarile referitoare la evenimente ale furnizorului;
k) disponibilitatea serviciilor.
(2) Aceste informatii trebuie sa fie disponibile pe pagina de internet a furnizorului de servicii de marcare temporala.
Art. 13. – (1) Furnizorul de servicii de marcare temporala trebuie sa indeplineasca urmatoarele conditii:
a) sa dispuna de mijloace financiare si de resurse materiale, tehnice si umane corespunzatoare pentru garantarea securitatii, fiabilitatii si continuitatii serviciilor oferite;
b) sa dovedeasca ANC ca dispune de resursele financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfasurarii activitati de marcare temporala si ca este capabil sa acopere pierderile suferite de catre o persoana care isi intemeiaza conduita pe efectele juridice ale marcilor temporale, in conditiile prevazute la art. 10 din Legea nr. 451/2004, pana la concurenta echivalentului in lei al sumei de 10.000 euro pentru fiecare risc asigurat. Riscul asigurat este fiecare prejudiciu produs, chiar daca se produc mai multe asemenea prejudicii ca urmare a neindeplinirii de catre furnizor a unei obligatii prevazute de lege. Furnizorul va trebui sa depuna la ANC o scrisoare de garantie din partea unei institutii financiare de specialitate sau o polita de asigurare la o societate de asigurari, in favoarea ANC, in valoare cel putin egala cu echivalentul in lei al sumei de 300.000 euro;
c) sa foloseasca personal avand cunostinte de specialitate, experienta si calificare necesare pentru furnizarea serviciilor respective;
d) sa utilizeze numai dispozitive criptografice securizate pentru efectuarea operatiilor criptografice implicate in procesul generarii marcii temporale;
e) sa utilizeze un sistem informatic care sa respecte cerintele de securitate prevazute la art. 4 alin. (1) din Legea nr. 451/2004;
f) sa pastreze toate informatiile necesare pentru a putea face dovada marcarii temporale in cazul unui eventual litigiu (inregistrari ale marcilor temporale emise, documentatia aferenta algoritmilor si procedurilor de generare a marcilor temporale emise, alte documente) pentru o perioada de minimum 10 ani de la data emiterii.
(2) In vederea indeplinirii obligatiei prevazute la alin. (1) lit. e), furnizorul va publica documentatia aferenta mecanismului implementat in vederea indeplinirii acestei obligatii, iar o copie a documentatiei va fi transmisa ANC.
Art. 14. – Orice persoana, fizica sau juridica, care doreste sa beneficieze de servicii de marcare temporala trebuie:
a) sa furnizeze informatiile referitoare la identitatea sa;
b) sa respecte limitarile impuse de furnizorul de servicii de marcare temporala