Capitolul iii - Furnizarea serviciilor de certificare - Legea 455/2001 privind semnătura electronică - Republicată
M.Of. 316
Ieşit din vigoare Versiune de la: 18 August 2022
CAPITOLUL III:Furnizarea serviciilor de certificare
SECŢIUNEA 1:Dispoziţii comune
Art. 12
(1)Furnizarea serviciilor de certificare nu este supusă niciunei autorizări prealabile şi se desfăşoară în concordanţă cu principiile concurenţei libere şi loiale, cu respectarea actelor normative în vigoare.
(2)Furnizarea serviciilor de certificare de către furnizorii stabiliţi în statele membre ale Uniunii Europene se face în condiţiile prevăzute în Acordul european instituind o asociere între România, pe de o parte, Comunităţile Europene şi statele membre ale acestora, pe de altă parte.
Art. 13
(1)Cu 30 de zile înainte de începerea activităţilor legate de certificarea semnăturilor electronice persoanele care intenţionează să furnizeze servicii de certificare au obligaţia de a notifica autoritatea de reglementare şi supraveghere specializată în domeniu cu privire la data începerii acestor activităţi.
(2)Odată cu efectuarea notificării prevăzute la alin. (1), furnizorii de servicii de certificare au obligaţia de a comunica autorităţii de reglementare şi supraveghere specializate în domeniu toate informaţiile referitoare la procedurile de securitate şi de certificare utilizate, precum şi orice alte informaţii cerute de autoritatea de reglementare şi supraveghere specializată în domeniu.
(3)Furnizorii de servicii de certificare au obligaţia de a comunica autorităţii de reglementare şi supraveghere specializate în domeniu, cu cel puţin 10 zile înainte, orice intenţie de modificare a procedurilor de securitate şi de certificare, cu precizarea datei şi orei la care modificarea intră în vigoare, precum şi obligaţia de a confirma în termen de 24 de ore modificarea efectuată.
(4)În cazurile de urgenţă, în care securitatea serviciilor de certificare este afectată, furnizorii pot efectua modificări ale procedurilor de securitate şi de certificare, urmând să comunice, în termen de 24 de ore, autorităţii de reglementare şi supraveghere specializate în domeniu modificările efectuate şi justificarea deciziei luate.
(5)Furnizorii de servicii de certificare sunt obligaţi să respecte, pe parcursul desfăşurării activităţii, procedurile de securitate şi de certificare declarate, potrivit alin. (2), (3) şi (4).
Art. 14
(1)Furnizorul de servicii de certificare va asigura accesul la toate informaţiile necesare utilizării corecte şi în condiţii de siguranţă a serviciilor sale. Informaţiile respective vor fi furnizate anterior naşterii oricărui raport contractual cu persoana care solicită un certificat sau, după caz, la cererea unui terţ care se prevalează de un asemenea certificat.
(2)Informaţiile prevăzute la alin. (1) vor fi formulate în scris, într-un limbaj accesibil, şi vor fi transmise prin mijloace electronice, în condiţii care să permită stocarea şi reproducerea lor.
(3)Informaţiile prevăzute la alin. (1) vor face referire cel puţin la:
a)procedura ce trebuie urmată în scopul creării şi verificării semnăturii electronice;
b)tarifele percepute;
c)modalităţile şi condiţiile concrete de utilizare a certificatelor, inclusiv limitele impuse utilizării acestora, cu condiţia ca aceste limite să poată fi cunoscute de terţi;
d)obligaţiile care incumbă, potrivit prezentei legi, titularului certificatului şi furnizorului de servicii de certificare;
e)existenţa unei acreditări, dacă este cazul;
f)condiţiile contractuale de eliberare a certificatului, inclusiv eventualele limitări ale răspunderii furnizorului de servicii de certificare;
g)căile de soluţionare a litigiilor;
h)orice alte informaţii stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
(4)Furnizorul de servicii de certificare va transmite solicitantului un exemplar al certificatului.
(5)Din momentul acceptării certificatului de către solicitant, furnizorul de servicii de certificare va înscrie certificatul în registrul prevăzut la art. 17.
Art. 15
(1)Persoanele fizice care prestează, conform legii, în nume propriu, servicii de certificare, precum şi personalul angajat al furnizorului de servicii de certificare, persoană fizică sau juridică, sunt obligate să păstreze secretul informaţiilor încredinţate în cadrul activităţii lor profesionale, cu excepţia celor în legătură cu care titularul certificatului acceptă să fie publicate sau comunicate terţilor.
(2)Obligaţia prevăzută la alin. (1) incumbă şi personalului autorităţii de reglementare şi supraveghere specializate în domeniu, precum şi persoanelor împuternicite de aceasta.
(3)Încălcarea obligaţiei prevăzute la alin. (1) şi (2) constituie infracţiune şi se pedepseşte cu închisoare de la 3 luni la 2 ani sau cu amendă.
Art. 16
(1)Autoritatea de reglementare şi supraveghere specializată în domeniu şi furnizorii de servicii de certificare au obligaţia să respecte dispoziţiile legale privitoare la prelucrarea datelor cu caracter personal.
(2)Furnizorii de servicii de certificare nu pot colecta date cu caracter personal decât de la persoana care solicită un certificat sau, cu consimţământul expres al acesteia, de la terţi. Colectarea se face doar în măsura în care aceste informaţii sunt necesare în vederea eliberării şi conservării certificatului. Datele pot fi colectate şi utilizate în alte scopuri doar cu consimţământul expres al persoanei care solicită certificatul.
(3)Atunci când se utilizează un pseudonim, identitatea reală a titularului nu poate fi divulgată de către furnizorul de servicii de certificare decât cu consimţământul titularului sau la cererea unei autorităţi publice competente.
Art. 17
(1)Furnizorii de servicii de certificare au obligaţia de a crea şi de a menţine un registru electronic de evidenţă a certificatelor eliberate.
(2)Registrul electronic de evidenţă a certificatelor eliberate trebuie să facă menţiune despre:
a)data şi ora exactă la care certificatul a fost eliberat;
b)data şi ora exactă la care expiră certificatul;
c)dacă este cazul, data şi ora exactă la care certificatul a fost suspendat sau revocat, inclusiv cauzele care au condus la suspendare sau la revocare.
(3)Registrul electronic de evidenţă a certificatelor eliberate trebuie să fie disponibil permanent pentru consultare, inclusiv în regim on-line.
SECŢIUNEA 2:Furnizarea serviciilor de certificare calificată
Art. 18
(1)Certificatul calificat va cuprinde următoarele menţiuni:
a)indicarea faptului că certificatul a fost eliberat cu titlu de certificat calificat;
b)datele de identificare a furnizorului de servicii de certificare, precum şi cetăţenia acestuia, în cazul persoanelor fizice, respectiv naţionalitatea acestuia, în cazul persoanelor juridice;
c)numele semnatarului sau pseudonimul acestuia, identificat ca atare, precum şi alte atribute specifice ale semnatarului, dacă sunt relevante, în funcţie de scopul pentru care este eliberat certificatul calificat;
d)codul personal de identificare a semnatarului;
e)datele de verificare a semnăturii, care corespund datelor de creare a semnăturii aflate sub controlul exclusiv al semnatarului;
f)indicarea începutului şi sfârşitului perioadei de valabilitate a certificatului calificat;
g)codul de identificare a certificatului calificat;
h)semnătura electronică extinsă a furnizorului de servicii de certificare care eliberează certificatul calificat;
i)dacă este cazul, limitele utilizării certificatului calificat sau limitele valorice ale operaţiunilor pentru care acesta poate fi utilizat;
j)orice alte informaţii stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
(2)Fiecărui semnatar i se va atribui de către furnizorul de servicii de certificare un cod personal care să asigure identificarea unică a semnatarului.
(3)Generarea codului personal de identificare şi a codului de identificare a certificatului calificat se va face pe baza reglementărilor stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
(4)La solicitarea titularului furnizorul de servicii de certificare va putea înscrie în certificatul calificat şi alte informaţii decât cele menţionate la alin. (1), cu condiţia ca acestea să nu fie contrare legii, bunelor moravuri sau ordinii publice, şi numai după o prealabilă verificare a exactităţii acestor informaţii.
(5)Certificatul calificat va indica în mod expres faptul că este utilizat un pseudonim, atunci când titularul se identifică printr-un pseudonim.
Art. 19
(1)La eliberarea certificatelor calificate furnizorii de servicii de certificare au obligaţia de a verifica identitatea solicitanţilor exclusiv pe baza actelor de identitate.
(2)La eliberarea fiecărui certificat calificat furnizorii au obligaţia să emită două copii de pe acesta, pe suport de hârtie, dintre care un exemplar este pus la dispoziţie titularului, iar celălalt este păstrat de către furnizori o perioadă de 10 ani.
Art. 20
În vederea emiterii certificatelor calificate furnizorii de servicii de certificare trebuie să îndeplinească următoarele condiţii:
a)să dispună de mijloace financiare şi de resurse materiale, tehnice şi umane corespunzătoare pentru garantarea securităţii, fiabilităţii şi continuităţii serviciilor de certificare oferite;
b)să asigure operarea rapidă şi sigură a înregistrării informaţiilor prevăzute la art. 17, în special operarea rapidă şi sigură a unui serviciu de suspendare şi revocare a certificatelor calificate;
c)să asigure posibilitatea de a se determina cu precizie data şi ora exactă a eliberării, a suspendării sau a revocării unui certificat calificat;
d)să verifice, cu mijloace corespunzătoare şi conforme dispoziţiilor legale, identitatea şi, dacă este cazul, atributele specifice ale persoanei căreia îi este eliberat certificatul calificat;
e)să folosească personal cu cunoştinţe de specialitate, experienţă şi calificare, necesare pentru furnizarea serviciilor respective, şi, în special, competenţă în domeniul gestiunii, cunoştinţe de specialitate în domeniul tehnologiei semnăturii electronice şi o practică suficientă în ceea ce priveşte procedurile de securitate corespunzătoare; de asemenea, să aplice procedurile administrative şi de gestiune adecvate şi care corespund standardelor recunoscute;
f)să utilizeze produse asociate semnăturii electronice, cu un înalt grad de fiabilitate, care sunt protejate împotriva modificărilor şi care asigură securitatea tehnică şi criptografică a desfăşurării activităţilor de certificare a semnăturii electronice;
g)să adopte măsuri împotriva falsificării certificatelor şi să garanteze confidenţialitatea în cursul procesului de generare a datelor de creare a semnăturilor, în cazul în care furnizorii de servicii de certificare generează astfel de date;
h)să păstreze toate informaţiile cu privire la un certificat calificat pentru o perioadă de minimum 10 ani de la data încetării valabilităţii certificatului, în special pentru a putea face dovada certificării în cadrul unui eventual litigiu;
i)să nu stocheze, să nu reproducă şi să nu dezvăluie terţilor datele de creare a semnăturii, cu excepţia cazului în care semnatarul solicită aceasta;
j)să utilizeze sisteme fiabile pentru stocarea certificatelor calificate, astfel încât: numai persoanele autorizate să poată introduce şi modifica informaţiile din certificate; exactitatea informaţiei să poată fi verificată; certificatele să poată fi consultate de terţi doar în cazul în care există acordul titularului acestora; orice modificare tehnică, care ar putea pune în pericol aceste condiţii de securitate, să poată fi identificată de persoanele autorizate;
k)orice alte condiţii stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
Art. 21
Furnizorii de servicii de certificare calificată sunt obligaţi să folosească numai dispozitive securizate de creare a semnăturii electronice.
Art. 22
(1)Furnizorul de servicii de certificare calificată trebuie să dispună de resurse financiare pentru acoperirea prejudiciilor pe care le-ar putea cauza cu prilejul desfăşurării activităţilor legate de certificarea semnăturilor electronice.
(2)Asigurarea se realizează fie prin subscrierea unei poliţe de asigurare la o societate de asigurări, fie prin intermediul unei scrisori de garanţie din partea unei instituţii financiare de specialitate, fie printr-o altă modalitate stabilită prin decizie a autorităţii de reglementare şi supraveghere specializate în domeniu.
(3)Suma asigurată şi suma acoperită prin scrisoarea de garanţie sunt stabilite de autoritatea de reglementare şi supraveghere specializată în domeniu.
SECŢIUNEA 3:Suspendarea şi încetarea valabilităţii certificatelor
Art. 23
(1)Orice furnizor de servicii de certificare are obligaţia de a suspenda certificatul în termen de 24 de ore din momentul în care a luat cunoştinţă sau trebuia şi putea să ia cunoştinţă despre apariţia oricăruia dintre următoarele cazuri:
a)la cererea semnatarului, după o prealabilă verificare a identităţii acestuia;
b)în cazul în care o hotărâre judecătorească dispune suspendarea;
c)în cazul în care informaţiile conţinute în certificat nu mai corespund realităţii, dacă nu se impune revocarea certificatului;
d)în orice alte situaţii care constituie cazuri de suspendare a certificatelor eliberate, potrivit procedurilor de securitate şi de certificare declarate de furnizor în baza art. 13.
(2)Orice furnizor de servicii de certificare are obligaţia de a revoca certificatul în termen de 24 de ore din momentul în care a luat cunoştinţă sau trebuia şi putea să ia cunoştinţă despre apariţia oricăruia dintre următoarele cazuri:
b)la decesul sau instituirea tutelei speciale cu privire la semnatar;
a)la cererea semnatarului, după o prealabilă verificare a identităţii acestuia;
b)la decesul sau instituirea tutelei speciale cu privire la semnatar;c)în cazul în care o hotărâre judecătorească definitivă dispune revocarea;
d)dacă se dovedeşte în mod neîndoielnic că certificatul a fost emis în baza unor informaţii eronate sau false;
e)în cazul în care informaţiile esenţiale conţinute în certificat nu mai corespund realităţii;
f)atunci când confidenţialitatea datelor de creare a semnăturii a fost încălcată;
g)în cazul în care certificatul a fost utilizat în mod fraudulos;
h)în orice alte situaţii care constituie cazuri de revocare a certificatelor eliberate, potrivit procedurilor de securitate şi de certificare declarate de furnizor în baza art. 13.
(3)Furnizorul de servicii de certificare îl va informa de urgenţă pe titular despre suspendarea sau revocarea certificatului, împreună cu motivele care au stat la baza deciziei sale.
(4)Furnizorul de servicii de certificare va înscrie menţiunea de suspendare sau de revocare a certificatului în registrul electronic de evidenţă a certificatelor eliberate prevăzut la art. 17, în termen de 24 de ore din momentul în care a luat cunoştinţă sau trebuia şi putea să ia cunoştinţă despre adoptarea deciziei respective.
(5)Suspendarea sau revocarea va deveni opozabilă terţilor de la data înscrierii sale în registrul electronic de evidenţă a certificatelor.
Art. 24
(1)În cazul în care furnizorul de servicii de certificare intenţionează să înceteze activităţile legate de certificarea semnăturilor electronice sau află că va fi în imposibilitate de a continua aceste activităţi, el va informa, cu cel puţin 30 de zile înainte de încetare, autoritatea de reglementare şi supraveghere specializată în domeniu despre intenţia sa, respectiv despre existenţa şi natura împrejurării care justifică imposibilitatea de continuare a activităţilor.
(2)Furnizorului de servicii de certificare îi revine obligaţia ca, în situaţia în care se află în imposibilitate de a continua activităţile legate de certificarea semnăturilor electronice şi nu a putut prevedea această situaţie cu cel puţin 30 de zile înainte ca încetarea activităţilor să se producă, să informeze autoritatea de reglementare şi supraveghere specializată în domeniu, în termen de 24 de ore din momentul în care a luat cunoştinţă sau trebuia şi putea să ia cunoştinţă despre imposibilitatea continuării activităţilor. Informarea trebuie să se refere la existenţa şi natura împrejurării care justifică imposibilitatea de continuare a activităţilor.
(3)Furnizorul de servicii de certificare poate transfera, în tot sau în parte, activităţile sale unui alt furnizor de servicii de certificare. Transferul va opera potrivit următoarelor condiţii:
a)furnizorul de servicii de certificare va înştiinţa fiecare titular de certificate neexpirate, cu cel puţin 30 de zile înainte, despre intenţia sa de transferare a activităţilor legate de certificarea semnăturilor electronice către un alt furnizor de servicii de certificare;
b)furnizorul de servicii de certificare va menţiona identitatea furnizorului de servicii de certificare căruia intenţionează să îi transfere activităţile sale;
c)furnizorul de servicii de certificare va face cunoscute fiecărui titular de certificat posibilitatea de a refuza acest transfer, precum şi termenul şi condiţiile în care refuzul poate fi exercitat; în lipsa unei acceptări exprese a titularului, în termenul precizat de furnizorul de servicii de certificare, certificatul va fi revocat de către acesta din urmă.
(4)Furnizorul de servicii de certificare, aflat în unul dintre cazurile prevăzute la alin. (1) şi (2), ale cărui activităţi nu sunt preluate de un alt furnizor de servicii de certificare, va revoca certificatele în termen de 30 de zile de la data înştiinţării titularilor de certificate şi va lua măsurile necesare pentru asigurarea conservării arhivelor sale, precum şi pentru asigurarea prelucrării datelor personale, în condiţiile legii.
(5)Sunt considerate cazuri de imposibilitate de continuare a activităţilor legate de certificarea semnăturilor electronice, în înţelesul prezentului articol, dizolvarea sau lichidarea, voluntară ori judiciară, falimentul, precum şi orice altă cauză de încetare a activităţii, cu excepţia aplicării sancţiunilor prevăzute la art. 33 alin. (2) şi (3).