Anexa nr.1
la Hotărîrea Consiliului de administraţie
al Băncii Naţionale a Moldovei
nr. ___ din _______ 2014

Regulament
privind sistemele automatizate de deservire la distanță

CAPITOLUL I. Generalităţi

1. Prevederi generale
1.1. În temeiul articolelor 11 alin.(1) și 44 din Legea cu privire la Banca Naţională a Moldovei nr. 548-XIII din 21 iulie 1995, articolelor 49 alin.(3), 93 alin.(2) lit. b) și 94 alin.(1) lit. c) din Legea cu privire la serviciile de plată şi moneda electronică nr. 114 din 18.05.2012 (în continuare Lege) se emite prezentul regulament, al cărui obiect îl constituie efectuarea tranzacţiilor electronice prin intermediul sistemelor automatizate de deservire la distanță.
1.2. În sensul prezentului regulament, sunt utilizate următoarele noţiuni:
autentificare electronică - proces de verificare a identităţii deţinătorului sistemului automatizat de deservire la distanță şi a autenticităţii tranzacţiilor electronice transmise/primite prin intermediul acestuia printr-o metodă care asigură un nivel adecvat de siguranţă privind identitatea utilizatorului şi autenticitatea tranzacţiilor (ex. semnătură digitală, identificator şi parolă, criptare simetrică, utilizarea cheilor de sesiune de o singură dată, metode biometrice etc.);
deţinător - client (persoană fizică sau juridică) al prestatorului de servicii de plată (în continuare PSP) care, în baza contractului încheiat cu prestatorul, deţine un mecanism de autentificare în utilizarea sistemului de gestiune a conturilor de plăți de la distanță;
mijloc de comunicaţie - complex de mijloace tehnice şi de program interdependente destinat asigurării schimbului de date între PSP şi deţinător;
numărul de referinţă al tranzacţiei - număr unic de identificare asociat fiecărei tranzacţii electronice, ce identifică univoc tranzacţia în cadrul unei anumite zile operaţionale;
sistem automatizat de deservire la distanță (în continuare – sistem ADD) – soluție informatică și/sau echipament, pus de PSP la dispoziția utilizatorilor serviciilor de plată. Această noțiune cuprinde următoarele tipuri de sisteme:

• sistemele de gestiune a conturilor de plăți de la distanță,
• sistemele terminalelor de plată în numerar,
• sistemele terminalelor multifuncționale automatizate de deservire;

sistem de gestiune a conturilor de plăți de la distanță (în continuare - sistem GCPD) - soluţie informatică, pusă la dispoziţie de către PSP clienţilor săi, ce permite deţinătorului prin intermediul unei aplicaţii informatice, a unei metode de autentificare electronică şi al unui mijloc de comunicaţie să aibă acces la distanţă la mijloacele aflate în contul de plăți al său în scopul:

• obţinerii de informaţii privind starea contului de plăți şi a operaţiunilor realizate;
• efectuării tranzacțiilor electronice în numele şi din ordinul deţinătorului din contul mijloacelor aflate în conturile de plăți;

terminal de plata în numerar (terminal cash-in) – dispozitiv automatizat pentru primirea de la plătitor (persoana fizica) a numerarului, care funcționează în regim autonom, fără prezența (participarea) persoanei fizice împuternicite a prestatorului de servicii de plată;
terminal multifuncțional automatizat de deservire - dispozitiv automatizat ce funcționează în regim autonom, utilizat pentru prestarea unui spectru lărgit de servicii de plată, care oferă un șir de funcționalități cum ar fi: primirea numerarului, accesarea sau operarea unui cont de plăți (inclusiv efectuarea operațiunilor de plată); retragerea numerarului; depunerea numerarului într-un cont de plăți, precum și altele;
tranzacţie electronică – operaţiune de plată efectuată în formă electronică (document electronic, mesaj electronic etc.) prin intermediul sistemului ADD şi protejată printr-un mecanism ce permite verificarea autenticităţii, integrităţii şi non-repudierii (imposibilităţii negării) acesteia;
utilizator al serviciilor de plata – persoana care folosește un serviciu de plată în calitate de plătitor, de beneficiar al plății sau în ambele calități; persoana care este deținător al monedei electronice.

2. Clasificarea sistemelor automatizate de deservire la distanță
2.1. În baza funcţionalității şi a riscurilor implicate, sistemele ADD vor fi divizate de PSP în sisteme informaţionale (utilizate în scopul obţinerii de informaţii privind starea contului de plăți şi operaţiunile realizate), caracterizate prin riscuri potenţiale de nivel jos şi sisteme tranzacţionale (utilizate în scopul efectuării operațiunilor de plată), caracterizate prin riscuri potenţiale de nivel înalt.
2.2. După tipul aplicaţiei/echipamentului utilizat şi al mijlocului de comunicaţie, sistemele ADD vor fi clasificate de PSP în felul următor:
a) pc-payments;
b) internet (browser)-payments;
c) mobile-payments;
d) telephone-payments;
e) terminal-payments.
2.3. Sistemele ADD de tip pc-payments se bazează pe o aplicaţie program a PSP instalată la staţiile de lucru la sediul deţinătorului şi pot utiliza în calitate de mijloc de comunicaţie atât reţele private cât şi reţeaua Internet.
2.4. Sistemele ADD de tip internet (browser)-payments oferă deţinătorului posibilitatea efectuării tranzacţiilor electronice prin intermediul unei pagini web operate de către PSP, fără preinstalarea aplicaţiei program a PSP (sau stocarea unor date) la partea client.
2.5. Sistemele ADD tip mobile-payments prevăd că în procesul efectuării unei tranzacții electronice informația și instrucțiunile de plată sunt transmise și/sau confirmate de deținător către PSP al său prin utilizarea unui dispozitiv mobil și a unor servicii oferite de operatorii de telecomunicații.
2.6. Sistemele ADD de tip telephone-payments se bazează pe metoda vocală de transmitere a informaţiei prin intermediul operatorului deservirii telefonice (Call Center) sau prin autoservire, utilizând telefonul cu culegere prin taste (Touch Tone Telephone) şi a mijloacelor telefoniei computerizate (cum sunt de ex. tehnologiile IVR (Interactiv Voice Response), Speech to Text, Text to Speech).
2.7. Sistemele ADD tip terminal-payments reprezintă sistemele terminalelor de plată în numerar și terminalelor multifuncționale automatizate de deservire.

CAPITOLUL II. Cerințe privind utilizarea sistemelor automatizate de deservire la distanță

3. Cerinţe privind utilizarea sistemelor de gestiune a conturilor de plăți de la distanță
3.1. Sistemul GCPD va fi pus la dispoziţia clientului numai în baza unui contract încheiat, conform prevederilor art. 41 pct. (2) din Lege.
3.2. Contractul încheiat între PSP şi deţinător va cuprinde cel puțin informațiile prevăzute la art. 42 din Lege.
3.3. PSP care oferă clienților săi un sistem GCPD are obligația de a plasa pe pagina sa Web, într-o formă ușor accesibilă, următoarele informații:
a) tipul sistemului GCPD și descrierea succintă a funcționalităților lui;
b) descrierea succintă a mecanismelor prevăzute în scopul asigurării confidenţialităţii, autenticităţii, integrităţii şi non-repudierii tranzacţiilor electronice;
c) tipurile de tranzacții electronice ce pot fi efectuate prin sistemul GCPD şi condiţiile de prezentare la PSP a documentelor justificative, autorizațiilor, notificațiilor, în cazul în care prezentarea a astfel de documente la efectuarea plăţilor/transferurilor este prevăzută de actele normative în vigoare;
d) toate comisioanele pe care deținătorul sistemului GCPD trebuie să le plătească PSP și specificarea acestora după tip și valoare;
e) specificarea mijloacelor de asistența dedicată (linie telefonica fierbinte etc.), operabile pe parcursul timpului de accesibilitate a sistemului GCPD, pentru notificarea situaţiilor de urgenţă (divulgare, pierderea controlului asupra informaţiei sensibile a sistemului etc.) sau solicitarea schimbării parolei sau altei informaţii sensibile ca urmare a cunoaşterii acesteia de către persoane neautorizate.

CAPITOLUL III. Furnizarea serviciilor specifice sistemelor automatizate de deservire la distanță

4. Cerinţe privind furnizarea serviciilor specifice sistemelor automatizate de deservire la distanță
4.1. Sistemele automatizate de deservire la distanță de orice tip (conform p. 2.2) cu funcționalități tranzacționale, prin intermediul cărora PSP intenţionează să presteze servicii de plată clienţilor săi, urmează să fie înregistrate de către Banca Naţională a Moldovei conform cerinţelor prezentului regulament. PSP vor presta servicii de plată prin intermediul acestor sisteme după primirea confirmării de înregistrare din partea Băncii Naţionale a Moldovei.
4.2. Pentru înregistrarea unui sistem automatizat de deservire la distanță, PSP, cel puţin cu 30 de zile calendaristice înainte de data preconizată de lansare a sistemului sau la data depunerii declarației pentru eliberarea licenței pentru activitatea de prestare a serviciilor de plată în conformitate cu art. 14 din Lege, prezintă la Banca Naţională a Moldovei un demers la care anexează următoarea informaţie:
a) descrierea funcţională a sistemului automatizat de deservire la distanță (tipul sistemului, toate avizele/certificările primite de la producătorul/furnizorul produsului program (software), provenienţa sistemului, tipurile operaţiunilor de plată care vor fi efectuate prin intermediul acestuia etc.);
b) descrierea proceselor interne ale PSP aferente prestării serviciilor de plată (înregistrare clienţi, gestiune acces utilizatori, efectuare tranzacţii, monitorizare sistem, gestiune incidente etc.), cu ataşarea documentelor interne relevante aprobate în cadrul PSP (ex. acte normative interne, instrucţiuni, contracte-cadru etc.);
c) planul de gestiune a riscurilor de securitate aferente utilizării sistemului ADD, semnat de conducerea PSP. Planul de gestiune a riscurilor trebuie să conţină:
- descrierea complexă a ameninţărilor identificate ce pot duce la compromiterea confidenţialităţii, autenticităţii, integrităţii şi non-repudierii datelor aferente utilizării sistemului ADD;
- impactul asupra PSP şi clienţilor sistemului ADD, în cazul realizării ameninţării;
- descrierea măsurilor de securitate (administrative, organizatorice, tehnice) implementate pentru contracararea ameninţărilor (măsuri de prevenire, detectare, corective);
- descrierea riscurilor reziduale (ce nu sunt acoperite de măsurile de securitate implementate) şi a măsurilor preconizate de PSP pentru gestiunea acestora;
- responsabilitatea pentru revizuirea şi menţinerea în stare actuală a planului de gestiune a riscurilor de securitate;
d) prezentarea programului de instruire şi perfecţionare a personalului PSP implicat în gestionarea sistemelor ADD;
e) raport de audit, efectuat conform standardelor internaționale de audit în mediul sistemelor informaționale computerizate, care va exprima opinia de audit fără rezerve a unui auditor independent privind suficienţa şi eficienţa măsurilor de securitate implementate aferente utilizării sistemului ADD şi conformarea la cerinţele BNM. Opinia de audit trebuie să fie emisă de o companie specializată în activitatea de audit şi consultanţă, întocmită şi semnată de către un auditor certificat CISA. Opinia de audit trebuie să prezinte concluziile echipei de audit pentru fiecare din următoarele criterii de audit:

• complexitatea procedurilor interne aferente proceselor legate de sistemul ADD (instrucţiuni, norme, ghiduri etc.);
• asigurarea confidenţialităţii şi integrităţii datelor în cadrul procesului de utilizare a sistemului ADD;
• asigurarea autenticităţii şi non-repudierii tranzacţiilor electronice;
• asigurarea continuităţii funcționării sistemului ADD;
• monitorizarea evenimentelor critice şi depistarea situaţiilor neordinare, conservarea probelor şi gestiunea incidentelor;
• controlul proceselor interne aferente utilizării, menţinerii şi dezvoltării sistemului ADD.

Raportul de audit trebuie să fie întocmit ca rezultat al unui audit complex, efectuat cu respectarea principiului obligaţiunii de diligenţă (due diligence), care presupune obţinerea şi documentarea de către echipa de audit a probelor de audit suficiente, relevante şi credibile pentru fundamentarea concluziilor de audit. În raportul de audit trebuie să se facă referinţă la aceste probe de audit. PSP va prezenta la BNM o copie a raportului de audit.
4.3. Banca Naţională a Moldovei examinează informaţia prezentată de către PSP şi în decurs de 30 zile calendaristice din ziua înregistrării demersului la Banca Naţională notifică PSP privind rezultatele examinării. În funcţie de rezultatele examinării, Banca Naţională a Moldovei va atribui un cod unic sistemului de gestiune a conturilor de plăți de la distanță sau va suspenda atribuirea codului unic, cerând PSP înlăturarea neajunsurilor constatate.
4.4. PSP este obligat să înlăture toate neajunsurile constatate de către Banca Naţională a Moldovei expuse în avizul cu privire la rezultatele examinării demersului pentru înregistrarea sistemului ADD şi să comunice despre acest fapt, anexând probele relevante cu cel puţin 15 zile până la lansarea sistemului ADD.

CAPITOLUL IV. Supravegherea activităţii prestatorilor de servicii de plată privind utilizarea sistemelor automatizate de deservire la distanță

5. Modul de supraveghere
5.1. Supravegherea activităţii PSP privind utilizarea sistemelor ADD este efectuată de către Banca Naţională a Moldovei prin efectuarea controalelor pe teren în vederea asigurării respectării actelor normative în vigoare şi examinarea informaţiilor prezentate de către PSP conform prevederilor prezentului regulament.
5.2. În scopul supravegherii activităţii PSP în cadrul sistemelor ADD, Banca Naţională a Moldovei este în drept să ceară, iar PSP este obligat să prezinte orice informaţii ce se referă la utilizarea sistemelor ADD.
5.3. PSP, în termen de 10 zile calendaristice după apariţia modificărilor în informaţia prezentată anterior la Banca Naţională a Moldovei în conformitate cu p.4.2. din regulament, notifică Banca Naţională despre aceste modificări.
5.4. În cazul încetării furnizării serviciilor de plăți prin intermediul sistemelor ADD, PSP informează în scris Banca Naţională a Moldovei, în termen de 10 zile calendaristice din data luării deciziei corespunzătoare.