În temeiul art. 26 alin. (7) şi 36 alin (1) din Legea nr. 91 din 29.05.2014 privind semnătura electronică şi documentul electronic (Monitorul Oficial al Republicii Moldova, 2014, nr.174-177, art. 397),
    1. Se aprobă:
    1) Regulamentul privind procedura de acreditare a prestatorilor de servicii de certificare în domeniul aplicării semnăturii electronice (conform Anexei nr. 1);
    2) Condiţiile speciale de activitate ale prestatorilor de servicii de certificare în domeniul aplicării semnăturii electronice (conform Anexei nr. 2);
    3) Regulamentul privind controlul de stat în domeniul aplicării semnăturii electronice (conform Anexei nr. 3);
    4) Regulamentul prestatorului de servicii de certificare în domeniul aplicării semnăturii electronice avansate calificate (conform Anexei nr. 4).
    2. Se abrogă:
    1) Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 13 din 03.04.2006 „Cu privire la aprobarea unor acte normative în domeniul organizării funcţionării centrelor de certificare a cheilor publice”, înregistrat la Ministerul Justiţiei în Registrul înregistrării de stat a actelor normative departamentale cu nr. 425 din 21 iunie 2006 (Monitorul Oficial al Republicii Moldova, 2006, nr. 102-105, art. 367);
    2) Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 118 din 08.12.2015 „Privind aprobarea modelului certificatului de acreditare în domeniul semnăturii electronice” (Monitorul Oficial al Republicii Moldova, 2015, nr. 340-346, art. 2531).
    3. Prezentul Ordin intră în vigoare la data publicării în Monitorul Oficial al Republicii Moldova.

    DIRECTORUL ADJUNCT
    AL SERVICIULUI DE INFORMAȚII
    ȘI SECURITATE                                                         Alexandru BALTAG

    Nr. 70. Chişinău, 15 iulie 2016.


    1. Prezentul Regulament este elaborat în conformitate cu prevederile Legii nr. 91 din 29 mai 2014 cu privire la semnătura electronică şi documentul electronic şi stabileşte procedura de acreditare a prestatorilor de servicii de certificare în domeniul aplicării semnăturii electronice (în continuare - prestator) la organul abilitat prin lege cu elaborarea şi promovarea politicii de stat şi cu exercitarea controlului în domeniul aplicării semnăturii electronice - Serviciul de Informaţii şi Securitate al Republicii Moldova (în continuare - organ competent).
    2. Prestatorii de servicii de certificare în domeniul aplicării semnăturii electronice avansate calificate se supun acreditării obligatorii.
    3. Prestatorii de servicii de certificare în domeniul aplicării semnăturii electronice simple şi a semnăturii electronice avansate necalificate beneficiază de dreptul de a trece procedura de acreditare la propria discreție.
    4. Pentru acreditare prestatorul prezintă următoarele documente:
    1) cererea de acreditare, conform modelului prevăzut în Anexa nr. 1 la prezentul Regulament, în care se indică:
    a) denumirea deplină a persoanei juridice, sediul şi forma juridică de organizare;
    b) funcția, numele, prenumele conducătorului persoanei juridice, numărul buletinului de identitate, numărul de identificare a persoanei fizice (IDNP);
    c) informaţii de contact (numărul de telefon, fax, adresa poștală, e-mail);
    2) copia documentelor de constituire a persoanei juridice.
    5. Prestatorul în domeniul aplicării semnăturii electronice avansate calificate prezintă, suplimentar documentelor menționate la pct. 4 din prezentul Regulament, următoarele documente:
    1) garanția bancară sau polița de asigurare (doar pentru prestatorii de servicii de certificare care prestează servicii persoanelor terţe);
    2) Regulamentele de funcţionare a prestatorului, aprobate de conducătorul persoanei juridice;
    3) copia ordinului cu privire la numirea angajaţilor în cadrul prestatorului de servicii şi a persoanelor împuternicite să semneze certificatele cheilor publice emis de conducătorul persoanei juridice, precum şi copia actelor de identitate ale acestor persoane;
    4) copia documentelor care certifică studiile şi calificările persoanelor cu funcţii de răspundere, obligațiunile funcționale ale celor implicați nemijlocit în prestarea serviciilor de certificare;
    5) Planul schematic al încăperilor şi ordinea de acces în încăperile cu regim special;
    6) modul de păstrare a copiilor de rezervă ale registrului certificatelor cheilor publice;
    7) ordinea de sincronizare cu Timpul Mondial Coordonat (UTC);
    8) copia licenței ce atestă dreptul de a desfășura activităţi în domeniul protecţiei criptografice a informaţiei (numai pentru prestatorii ce prestează servicii persoanelor terţe).
    6. Prestatorii serviciilor de certificare ce prestează servicii persoanelor terţe trebuie să dispună de resurse financiare necesare pentru repararea prejudiciului care ar putea fi cauzat titularilor certificatelor cheilor publice, utilizatorilor sau persoanelor terţe în urma neîndeplinirii sau îndeplinirii neconforme de către prestator a obligaţiilor sale.
    7. În scopul menționat la pct. 6 din prezentul Regulament, prestatorul în domeniul aplicării semnăturii electronice avansate calificate trebuie să prezinte în beneficiul organului competent o garanție bancară sau o poliță de asigurare în sumă de 300 000 lei.
    8. Cererea de acreditare şi documentele anexate la ea, redactate în limba de stat, se depun la sediul organului competent de către conducătorul persoanei juridice sau de către o altă persoană împuternicită. Documentele se depun în original sau în copii cu prezentarea originalelor spre verificare.
    9. Cererea de acreditare şi documentele anexate la ea se primesc conform borderoului a cărui copie se expediază (înmînează) solicitantului, cu mențiunea privind data primirii documentelor, autentificată prin semnătura persoanei responsabile.
    10. În baza documentelor specificate în pct. 4 și 5 ale prezentului Regulament, organul competent, în termen de pînă la 15 zile lucrătoare, efectuează un control complex privind respectarea de către prestatorul de servicii de certificare a cerinţelor în domeniul semnăturii electronice.
    11. În cadrul controlului complex organul competent este abilitat să verifice autenticitatea documentelor anexate la cererea de acreditare, să evalueze informațiile referitoare la procedurile de securitate şi de certificare utilizate, să verifice complexul tehnic şi de program a solicitantului.
    12. Interesele persoanei juridice care a depus cerere de acreditare sînt reprezentate de către conducătorul persoanei juridice sau de către alte persoane împuternicite în modul stabilit.
    13. În baza rezultatelor examinării cererii de acreditare și controlului complex, organul competent întocmește un aviz.
    14. În urma controlului complex privind respectarea cerințelor în domeniul semnăturii electronice şi pe baza avizului întocmit, conducătorul organului competent adoptă decizia privind acreditarea sau refuzul de a acredita prestatorul.
    15. În cazul adoptării deciziei privind acreditarea, prestatorului i se eliberează, în termen de 5 zile lucrătoare, certificatul de acreditare conform modelului prevăzut în Anexa nr. 2 la prezentul Regulament.
    16. Decizia privind refuzul înregistrării trebuie să conțină motive întemeiate de refuz şi referințe obligatorii la actele legislative şi normative care au fost încălcate. Decizia se comunică solicitantului în termen de 5 zile lucrătoare.
    17. Refuzul înregistrării nu poate împiedica depunerea repetată a documentelor în vederea înregistrării, dacă au fost înlăturate cauzele care au servit drept temei pentru refuzul înregistrării.
    18. Decizia privind refuzul acreditării poate fi atacată în instanța de contencios administrativ.
    19. Prestatorul de servicii de certificare se consideră acreditat din ziua emiterii certificatului de acreditare.
    20. În caz de survenire a modificărilor în documentele prezentate conform pct. 4 și 5 din prezentul Regulament, prestatorul de servicii, în termen de 10 zile lucrătoare, prezintă documentele respective organului competent.
    21. În caz de pierdere a certificatului de acreditare, prestatorului i se eliberează un duplicat al certificatului în termen de 5 zile lucrătoare de la data depunerii cererii corespunzătoare.
    22. Organul competent eliberează duplicatul certificatului de acreditare după prezentarea următoarelor documente:
    1) cererea de eliberare a duplicatului certificatului de acreditare, semnată de către conducătorul persoanei juridice;
    2) copia anunțului privind pierderea originalului certificatului de acreditare, publicat în Monitorul Oficial al Republicii Moldova.
    23. În urma examinării cererii de eliberare a duplicatului certificatului de acreditare se întocmește un aviz, pe baza căruia conducătorul organului competent adoptă decizia privind eliberarea sau refuzul de eliberare a duplicatului.
    24. Decizia motivată privind refuzul de eliberare a duplicatului certificatului se comunică solicitantului în scris, în termen de 5 zile lucrătoare.
    25. La întocmirea duplicatului certificatului de acreditare pe acesta se face mențiunea „Duplicat”.
    26. Copia duplicatului eliberat, precum şi materialele care au servit drept temei pentru eliberarea acestuia se anexează la dosarul de acreditare.
    27. Materialele referitoare la acreditarea prestatorilor se păstrează în dosare separate, care vor conține documentele specificate în pct. 4 și 5 din prezentul Regulament, însoțite de copia certificatului de acreditare.
    28. În dosarele de acreditare se anexează, de asemenea, toată corespondența ulterioară cu prestatorii în cauză, precum şi documentele referitoare la controalele efectuate.
    29. Dosarele de acreditare se păstrează în arhiva organului competent pe o durată prevăzută de legislația în vigoare.
    30. Organul competent eliberează, la solicitarea persoanelor abilitate şi în limitele prevăzute de legislație, informații şi copii de pe documentele din dosarul de acreditare.
    31. Pe baza deciziei privind acreditarea prestatorului, acestuia i se atribuie un număr de acreditare şi este înscris în Registrul prestatorilor de servicii de certificare în domeniul aplicării semnăturii electronice (în continuare - Registru).
    32. Numărul de acreditare este compus din 7 cifre, aabbccc, astfel:
    1) aa - nivelul de ierarhie al prestatorului de servicii de certificare;
    2) bb - anul înregistrării;
    3) ccc - numărul de ordine.
    33. Deținător al Registrului este organul competent, iar registrator al acestuia – prestatorul de servicii de certificare de nivel superior.
    34. În Registru se efectuează stocarea şi actualizarea următoarelor date:
    1) denumirea completă a persoanei juridice, numărul de identificare al unității de drept (IDNO), codul fiscal;
    2) numele, prenumele şi telefonul conducătorului persoanei juridice;
    3) denumirea, numărul şi data de acreditare a prestatorului;
    4) sediul, telefonul, faxul prestatorului;
    5) numele, prenumele, telefonul, adresa poștală electronică a conducătorului prestatorului;
    6) informații despre modificările şi completările operate în documentele specificate la pct. 4 şi 5 ale prezentului Regulament;
    7) data şi cauza încetării activității prestatorului inferior;
    8) alte date tehnice.
    35. Registrul se tine în conformitate cu cerințele prevăzute de Legea nr. 71 din 22.03.2007 cu privire la registre.
    36. Prestatorii sînt obligați să informeze organul competent, în termen de 10 zile lucrătoare, despre modificările sau completările datelor ce se conțin în Registru.
    37. Informația despre prestatorii acreditați, precum şi despre cei a căror activitate a încetat se publică de către organul competent pe pagina sa oficială web.

    anexa nr.1

    anexa nr.2


    1. Condițiile speciale de activitate (în continuare - condiții speciale) ale prestatorilor de servicii de certificare în domeniul aplicării semnăturii electronice (în continuare – prestatori) sînt elaborate în conformitate cu prevederile Legii nr. 91 din 29 mai 2014 cu privire la semnătura electronică şi documentul electronic.
    2. Condițiile speciale stabilesc cerințele generale fată de prestatori şi infrastructura acestora, organizarea procedurilor de bază ale prestatorilor, fată de sistemul de gestionare a securității informaționale, precum şi măsurile specifice în procedura de înregistrare, organizare şi control al activității prestatorilor.
    3. Condițiile speciale reprezintă un document de reglementare în domeniul semnăturii electronice şi sînt obligatorii pentru toate persoanele juridice care prestează servicii de certificare ale cheilor publice şi alte servicii ce țin de semnătura electronică.
    4. În sensul prezentului document se definesc următoarele noțiuni:
    utilizatorul semnăturii electronice- persoana fizică sau juridică, precum şi dispozitivul sau aplicația care utilizează serviciile prestatorului;
    identificare– atribuirea unui identificator subiecților şi obiectelor de acces şi/sau compararea identificatorului prezentat cu lista identificatorilor atribuiți;
    autentificare– verificarea apartenenței identificatorului atribuit subiectului de acces, confirmarea autenticității;
    integritate - certitudine, necontradictorialitate şi actualitatea informației, protecția ei de distrugere şi modificare neautorizată;
    accesibilitate - posibilitate de a obține informația solicitată sau a accesa serviciul de informare într-o perioadă satisfăcătoare de timp;
    confidențialitate– protejarea informației contra divulgării neautorizate;
    mijloacele de protecție criptografică a informației (MPCI)- mijloace tehnice, de program şi tehnica-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informației, destinate să asigure integritatea şi confidențialitatea informației în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicații;
    lista certificatelor revocate - lista certificatelor cheilor publice a căror valabilitate a fost suspendată sau a încetat înainte de expirarea termenului de valabilitate, întocmită de prestator;
    protecția tehnică şi criptografică a informației - protecția informației cu aplicarea metodelor matematice (criptografice) speciale, a mijloacelor de program, tehnice, tehnico-aplicative sau de alt gen, precum şi a procedurilor tehnico-organizatorice;
    protecția informației de scurgeri - ansamblu de măsuri îndreptate spre prevenirea răspîndirii neautorizate a informației protejate prin canalele tehnice sau prin canalele secundare cu ajutorul mijloacelor tehnice speciale;
    protecția informației contra accesului neautorizat - ansamblu de măsuri orientate spre prevenirea obținerii informației protejate de către subiectul interesat, cu încălcarea drepturilor sau regulilor de acces la informația protejată, stabilite de actele juridice sau de proprietarul (deținătorul) informației;
    protecția informației contra acțiunilor neintenționate - ansamblu de măsuri orientate spre prevenirea acțiunilor neintenționate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informației, dar care duc la distorsiunea, distrugerea, copierea, blocarea accesului la informație, precum şi la pierderea, distrugerea acesteia sau la defectarea suportului material al informației;
politică de securitate - totalitatea deciziilor documentate de administrare, îndreptate spre protejarea informației, a mijloacelor tehnice şi de program ale sistemelor informaționale.
    5. Prestatorul prestează servicii obligatorii şi neobligatorii în domeniul semnăturii electronice.
    6. Serviciul de certificare al cheilor publice ale persoanelor fizice este un serviciu obligatoriu.
    7. Prestatorul poate presta următoarele servicii neobligatorii suplimentare:
    1) certificarea cheilor publice ale serviciilor prestate în sfera informațională şi servicii informaționale e-mail, VPN (Virtual Private Network), web etc.;
    2) aplicarea mărcii temporale;
    3) alte servicii în domeniul semnăturii electronice.
    8. În procesul prestării serviciilor de certificare a cheilor publice ale persoanelor fizice, prestatorul trebuie să asigure realizarea următoarelor proceduri:
    1) înregistrarea persoanei fizice;
    2) crearea (emiterea) certificatului cheii publice a persoanei fizice;
    3) suspendarea valabilității certificatului cheii publice a persoanei fizice;
    4) restabilirea valabilității certificatului cheii publice a persoanei fizice;
    5) revocarea certificatului cheii publice a persoanei fizice;
    6) publicarea certificatelor cheilor publice;
    7) distribuirea informației privind certificatele suspendate şi revocate (listelor certificatelor revocate).
    9. Prestatorul asigură procesul de administrare (gestionare) a certificatelor cheilor publice prin realizarea complexă a procedurilor specificate.
    10. Obiectele utilizate de către prestator în domeniul semnăturii electronice avansate calificate trebuie să aparțină acestuia cu titlul de proprietate.
    11. Prestatorul de servicii de certificare în domeniul semnăturii electronice avansate calificate trebuie să utilizeze dispozitivele securizate de creare a semnăturii electronice, dispozitivele de verificare a semnăturii electronice şi produsul asociat semnăturii electronice care posedă certificat de conformitate, eliberat conform prevederilor legislației în vigoare.
    12. Organizarea regimului intern de activitate al prestatorului trebuie să excludă posibilitatea accesului fizic neautorizat la dispozitivele securizate de creare a semnăturii electronice, dispozitivele de verificare a semnăturii electronice şi produsul asociat semnăturii electronice, utilizarea sau modificarea neautorizată a acestora.
    13. Prestatorul trebuie să creeze condițiile necesare pentru asigurarea securității cheilor publice şi private ale prestatorului şi a registrului certificatelor cheilor publice.
    14. Prestatorul trebuie să asigure utilizarea cheii private numai pentru semnarea certificatelor cheilor publice şi a listelor certificatelor revocate emise de către prestator.
    15. Prestatorul trebuie să excludă posibilitatea de utilizare a cheii private a  prestatorului dacă are motive să presupună că a fost încălcată confidențialitatea respectivei chei private.
    16. Prestatorul trebuie să elaboreze şi să aprobe politica de certificare, care să includă un set de reguli ce stabilesc utilizarea certificatului emis de prestator conform cerințelor de securitate stabilite.
    17. Prestatorul trebuie să elaboreze şi aprobe Regulamentul prestatorului de servicii de certificare, care să stabilească condițiile organizatorice, tehnice şi de alt nivel ale activității prestatorului în procesul de prestare a serviciilor de certificare.
    18. Regulamentul prestatorului de servicii de certificare trebuie să conțină:
    1) lista serviciilor prestate de prestator şi modalitatea de prestare a acestora;
    2) funcțiile, obligațiile şi drepturile  prestatorului;
    3) drepturile şi obligațiile utilizatorilor semnăturii electronice;
    4) obligațiile financiare ale prestatorului;
    5) responsabilitățile părților;
    6) activitățile tehnicо-organizatorice de asigurare a securității prestatorului, inclusiv politica de confidențialitate;
    7) procedurile de asigurare a activității prestatorului;
    8) ordinea de publicare şi distribuire a informației;
    9) modalitatea de accesare a resurselor informaționale ale prestatorului;
    10) modul de arhivare a informației documentate;
    11) procedurile prestatorului de gestionare a cheilor;
    12) algoritmul acțiunilor în cazul compromiterii cheii private a prestatorului şi a utilizatorului semnăturii electronice;
    13) descrierea formatelor de date aprobate de către prestator;
    14) structura certificatului cheii publice a prestatorului;
    15) structura certificatelor cheilor publice ale utilizatorilor semnăturii electronice;
    16) structura listei certificatelor revocate;
    17) ordinea de sincronizare a timpului;
    18) modalitatea de soluționare a situațiilor litigioase în domeniul aplicării semnăturii electronice;
    19) ordinea de înștiințare a utilizatorilor semnăturii electronice privind politica de certificare şi conținutul Regulamentului prestatorului.
    19. Politica de certificare şi Regulamentul prestatorului de servicii de certificare trebuie să corespundă recomandărilor IETF (Internet Engineering Task Force) RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework).
    20. Prestatorul trebuie să excludă posibilitatea divulgării informaţiei de înregistrare a utilizatorilor semnăturii electronice, cu excepția informației ce se utilizează pentru identificarea certificatelor cheilor publice ale acestora şi care este publicată prin includerea acesteia în certificatele utilizatorilor semnăturii electronice.
    21. Regimul de confidențialitate, în cazul operării cu informația încredințată sau care a devenit cunoscută prestatorului de servicii de certificare în domeniul semnăturii electronice avansate calificate, trebuie să asigure:
    1) limitarea numărului persoanelor cu funcții de răspundere cu drept de acces la informația confidențială;
    2) ordinea de admitere controlată a persoanelor cu funcții de răspundere la realizarea activităților legate de informația confidențială;
    3) delimitarea funcțională a responsabilităților persoanelor cu funcții de răspundere;
    4) identificarea şi autentificarea utilizatorilor semnăturii electronice cu utilizarea mijloacelor moderne de autentificare şi a protocoalelor criptografice;
    5) delimitarea accesului subiecților la diferite obiecte şi/sau la funcțiile speciale ale prestatorului pe baza identificării subiecților şi a delimitării funcționale a acestora;
    6) securitatea păstrării, prelucrării şi transmisiei informației confidențiale prin intermediul canalelor de comunicații.
    22. Prestatorul trebuie sa asigure administrarea accesului subiecților la diferite obiecte şi/sau la funcțiile speciale ale prestatorului pe baza identificării subiecților şi a delimitării funcționale a acestora.
    23. Prestatorul trebuie să asigure copierea de rezervă, păstrarea şi restabilirea informației critice pentru activitatea sa, precum şi instalarea în caz de necesitate a resurselor tehnice suplimentare sau de rezervă.
    24. Prestatorul trebuie să dispună de personal calificat suficient pentru funcționarea şi asigurarea securității.
    25. Prestatorul de servicii de certificare în domeniul semnăturii electronice avansate calificate trebuie să-şi realizeze funcțiile pe baza principiului delimitării privilegiilor (responsabilităților) persoanelor cu funcții de răspundere: administratorul de înregistrări, administratorul de certificare, administratorul de securitate şi administratorul de sistem.
    26. Administratorul de înregistrări este responsabil de corectitudinea (autenticitatea) informației, de completare a certificatului cheii publice şi înregistrarea titularilor certificatelor cheilor publice în procesul creării, suspendării sau restabilirii valabilității şi revocării certificatelor cheilor publice.
    27. Administratorul de certificare este responsabil pentru crearea, suspendarea sau restabilirea valabilității şi revocarea certificatelor cheilor publice, ținerea registrului certificatelor cheilor publice, păstrarea şi utilizarea în siguranță a cheii sale private.
    28. Administratorul de securitate este responsabil de funcționarea corespunzătoare a sistemului complex de protecție a informației, precum şi de elaborarea şi implementarea politicii de securitate a  prestatorului.
    29. Administratorul de sistem este responsabil de administrarea, funcționarea corespunzătoare şi asigurarea securității complexului tehnic de program al prestatorului.
    30. În caz de necesitate, prestatorul poate crea funcții suplimentare, inclusiv de operatori.
    31. Operatorii realizează activități de deservire zilnică a complexului tehnic de program al prestatorului (copierea şi restabilirea sistemului, gestionarea arhivelor, introducerea informației etc.).
    32. Prestatorul trebuie să excludă cumularea funcțiilor de administrator de înregistrare, administrator de certificare, administrator de securitate, administrator de sistem şi operator.
    33. Prestatorul trebuie să sincronizeze activitatea serviciilor sale, inclusiv a mijloacelor tehnice şi de program conform destinației, cu Timpul Universal Coordonat (UTC). Se recomandă utilizarea a două surse independente UTC. Este permisă sincronizarea cu Greenwich Mean Time - GMT.
    34. Persoanele fizice sînt înregistrate de către administratorul de înregistrări, care administrează datele titularului certificatului cheii publice.
    35. Administratorul de înregistrări efectuează identificarea persoanei fizice ce a înaintat cererea de certificare a cheii sale publice în conformitate cu procedurile aprobate de către prestator.
    36. Administratorul de înregistrări trebuie să stabilească:
    1) corespunderea procesului de completare şi înaintare a cererii cu prevederile Legii cu privire la documentul electronic şi semnătura electronică, ale Regulamentului prestatorului de servicii de certificare şi ale altor documente normative în domeniul semnăturii electronice;
    2) autenticitatea şi valabilitatea informației prezentate în cerere;
    3) corespunderea informației prezentate în cererea sub formă de document electronic şi a celei din cererea sub formă de document pe suport de hîrtie;
    4) respectarea drepturilor persoanelor terțe.
    37. Administratorul de înregistrări trebuie să se asigure că persoana fizică ce a prezentat cererea de certificare a cheii publice este posesorul cheii private corespunzătoare.
    38. Documentele electronice ale administratorului de înregistrări trebuie să fie semnate cu semnătură electronică, să includă marcă temporală, care stabilește momentul creării documentului electronic, şi să fie transmise utilizînd sistemele ce asigură confidențialitatea mesajelor.
    39. Prestatorul de servicii de certificare trebuie să asigure protecția informației confidențiale a titularilor certificatelor cheilor publice.
    40. Prestatorul creează şi emite certificate ale cheilor publice în conformitate cu procedurile aprobate de prestator.
    41. Prestatorul trebuie să elaboreze şi să aprobe politica şi procedurile de certificare a cheilor publice, în conformitate cu normele tehnice stabilite în domeniul semnăturii electronice.
    42. Certificatul cheii publice a persoanei fizice este creat de către administratorul de certificare.
    43. Administratorul de certificare trebuie să verifice integritatea şi autenticitatea datelor transmise de către administratorul de înregistrări, precum şi corespunderea acestora cu standardul certificatelor cheilor publice stabilit.
    44. Prestatorul trebuie să asigure autenticitatea informației care se conține în certificatul cheii publice, precum şi integritatea certificatului.
    45. Certificatul cheii publice trebuie să corespundă profilurilor aprobate de prestator, corespunzătoare politicii de certificare.
    46. Prestatorul trebuie să înscrie certificatul cheii publice în registrul certificatelor nu mai tîrziu de data şi ora începerii termenului de valabilitate al certificatului.
    47. Cheia privată a administratorului de certificare trebuie să fie utilizată numai pentru semnarea certificatelor cheilor publice şi a listelor certificatelor revocate (CRL) emise de acesta.
    48. Prestatorul suspendă, restabilește valabilitatea sau revocă certificatul cheii publice în cazurile stabilite de actele normative în domeniul semnăturii  electronice.
    49. Prestatorul trebuie să elaboreze şi să aprobe procedurile de suspendare, restabilire a valabilității şi revocare a certificatelor cheii publice în conformitate cu normele tehnice stabilite din domeniul semnăturii  electronice.
    50. Prestatorul trebuie să elaboreze şi să aprobe proceduri sigure de autentificare a persoanei ce a declarat intenția de a suspenda, restabili valabilitatea sau de a revoca certificatul său al cheii publice, precum şi proceduri de confirmare a valabilității cererii de suspendare, restabilire a valabilității sau revocare a certificatului cheii publice.
    51. Prestatorul suspendă imediat valabilitatea certificatului cheii publice dacă are motive să presupună că a fost încălcată confidențialitatea cheii private a titularului certificatului sau informația înscrisă în certificatul cheii publice nu corespunde realității.
    52. Prestatorul revocă certificatul cheii publice în cazul stabilirii încălcării confidențialității cheii private a titularului certificatului sau a neveridicității datelor incluse în certificatul cheii publice.
    53. Suspendarea, restabilirea valabilității şi revocarea certificatului cheii publice se efectuează de către administratorul de certificare sub supravegherea obligatorie a administratorului de securitate sau a altei persoane cu funcții de răspundere, numită de conducătorul prestatorului.
    54. Prestatorul trebuie să înscrie datele despre certificatul suspendat sau revocat în lista certificatelor revocate în decursul a 3 ore de lucru, indicînd data şi timpul includerii, cauza suspendării sau revocării acestuia.
    55. Prestatorul trebuie să excludă posibilitatea restabilirii valabilității certificatului cheii publice revocat.
    56. Certificatul cheii publice suspendat a cărui valabilitate a fost restabilită se exclude din lista certificatelor revocate în maximum 3 ore de lucru.
    57. Prestatorul trebuie să asigure o procedură de emitere la timp a listei reînnoite a certificatelor revocate.
    58. Prestatorul trebuie să elaboreze şi să aprobe procedura de informare a titularului certificatului cheii publice despre suspendarea, restabilirea valabilității sau revocarea certificatului.
    59. Distribuirea (publicarea) certificatelor cheilor publice se efectuează în conformitate cu procedurile stabilite de prestator, iar accesul persoanelor terțe poate fi limitat, dacă acest fapt este solicitat de titularul certificatului.
    60. Prestatorul trebuie să elaboreze şi să aprobe politica de control al accesului la certificatele cheilor publice emise.
    61. Accesul la certificatele cheilor publice trebuie să fie acordat numai persoanelor ce au acest drept, conform regulilor stabilite de politica de securitate a  prestatorului sau de către titularii certificatelor.
    62. Prestatorul trebuie să ofere oricărei persoane informația referitoare la statutul certificatelor cheilor publice.
    63. Prestatorul trebuie să prezinte informația referitoare la statutul certificatelor cheilor publice în regim de timp real (on-line), precum şi pe alte căi stabilite de prestator, inclusiv prin distribuirea listelor certificatelor revocate pentru abonați (off-line).
    64. Prestatorul trebuie să asigure integritatea şi autenticitatea mesajelor în procesul de verificare al statutului certificatelor cheilor publice. Toate răspunsurile referitoare la starea certificatelor trebuie semnate cu semnătura electronică a prestatorului.
    65. Prestatorul poate cere ca persoanele terțe să semneze cu semnătura  electronică solicitările referitoare la statutul certificatelor cheilor publice.
    66. Prestatorul poate răspunde solicitărilor referitoare la statutul certificatului cheii publice utilizînd datele reînnoite în timpul ultimei înștiințări a utilizatorilor.
    67. Prestatorul trebuie să facă publice certificatele sale ale cheilor publice.
    68. Informația inclusă în registrul certificatelor cheilor publice trebuie să fie protejată contra accesului neautorizat, modificării sau distrugerii.
    69. Prestatorul trebuie să stabilească modalitățile de acces cu drept de înregistrare sau modificare a registrului certificatelor cheilor publice pentru persoanele ce au acest drept conform obligațiilor sale de serviciu.
    70. Prestatorul trebuie să utilizeze mecanisme de autentificare a subiecților, care au acces la informația corespunzătoare din registrul certificatelor cheilor publice.
    71. Încăperile restatorului trebuie să asigure funcționarea stabilă a complexului tehnic de program, a sistemelor de telecomunicații şi a altor componente tehnice, a sistemelor de energie electrică, termică şi de apeduct, de aer condiționat, antiincendiare, să asigure protecția personalului şi să contribuie la prevenirea sustragerii, pierderii, modificării neautorizate a datelor, precum şi a distrugerii acestora sau a mijloacelor tehnico-aplicative.
    72. Încăperile prestatorului trebuie să corespundă cerințelor normelor de igienă, securitate a muncii şi protecție a mediului înconjurător, stabilite de legislația în vigoare.
    73. Încăperile prestatorului trebuie să fie amplasate în perimetrul de securitate (perimetru unde are drept de acces numai personalul organizației a cărei parte este prestatorul) şi să fie echipate corespunzător cu cerințele de asigurare a securității.
    74. Din categoria încăperilor cu regim special (în continuare - încăperi speciale) ale prestatorului fac parte încăperile unde se instalează mijloacele tehnice de bază ale complexului tehnic de program (încăperi pentru servere), unde se păstrează suporturile materiale ce conțin: copiile de rezervă ale registrului certificatelor cheilor publice, copiile de rezervă ale resurselor de sistem şi de program, cheile private ale angajaților prestatorului sau cheile secrete ale altor sisteme criptografice ale  prestatorului.
    75. Încăperile speciale ale prestatorului trebuie:
    1) să corespundă condițiilor de maximă securitate, stabilite de prezentele Condiții speciale, pentru asigurarea securității fizice şi protecției tehnice a informației;
    2) să corespundă cerințelor IETF RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policyand Certification Practices Framework şi AICA/CICA Web Trust Program for Certification Authorities;
    3) să fie dotate cu mijloace autonome şi sisteme automate de semnalizare antiincendiu, stingere a incendiului şi înlăturare a fumului conform normativelor NCM.E.03.03-2003 „Dotarea clădirilor şi instalațiilor cu sisteme autonome de semnalizare şi stingere a incendiilor” şi NCM.E.03.05-2004 „Instalații autonome de stingere şi semnalizare a incendiilor. Normativ pentru proiectare”;
    4) să corespundă cerințelor în vigoare, în Republica Moldova privind proiectarea şi exploatarea rețelei electrice, conform normelor cuprinse în Regulile de instalare a dispozitivelor electrice, Regulile privind exploatarea tehnică a dispozitivelor electrice ale consumatorilor şi Regulile privind tehnici de securitate la exploatarea dispozitivelor electrice ale consumatorilor;
    5) să asigure funcționarea mijloacelor tehnice principale pentru o perioadă de cel puțin 30 minute din momentul stopării furnizării energiei electrice de la sursa de bază;
    6) să fie echipate cu mijloace de ventilare şi condiționare a aerului care posedă certificat de conformitate, eliberat conform prevederilor legislației în vigoare.
    76. În încăperile destinate pentru păstrarea documentației şi a copiilor de rezervă ale registrului certificatelor cheilor publice trebuie să fie instalate dulapuri metalice.
    77. Complexul tehnic de program al prestatorului trebuie să asigure executarea de către prestator a funcțiilor de certificare a cheilor publice şi să corespundă normelor tehnice în domeniul semnăturii  electronice.
    78. Exploatarea complexului tehnic de program al prestatorului trebuie efectuată conform cerințelor stabilite de asigurare a securității.
    79. Mijloacele tehnice ale complexului tehnic de program, utilizate de prestator, trebuie să fie proprietate a prestatorului.
    80. Fiecare mijloc tehnic trebuie să fie înregistrat şi testat în privința posibilității de utilizare şi fiecare mijloc tehnic sau de program trebuie să fie însoțit de documentația tehnică.
    81. Capacitatea de funcționare a mijloacelor tehnice trebuie verificată periodic pe parcursul întregului ciclu de exploatare, iar rezultatele verificării vor fi consemnate.
    82. Toate mijloacele tehnice trebuie să fie asigurate cu posibilități de reparare. Pentru dispozitivele ce necesită deservire tehnică periodică trebuie elaborate instrucțiuni şi grafice de deservire tehnică. Toate echipamentele şi dispozitivele de control-măsurare trebuie întreținute în condiții ce asigură integritatea acestora.
    83. Complexul tehnic de program al prestatorului trebuie să asigure posibilitatea copierii de rezervă şi păstrării informației critice pentru activitatea  prestatorului, restabilirii operative şi complete a informației în caz de refuz al deservirii, de incidente sau erori în sisteme, precum şi instalării, în caz de necesitate, a resurselor tehnice suplimentare sau de rezervă.
    84. În activitatea sa prestatorul trebuie să utilizeze numai soft licențiat sau liber distribuit.
    85. Prestatorul este obligat să asigure administrarea complexului tehnic de program sau a subsistemelor acestuia numai de către persoane împuternicite să administreze, precum şi să excludă modificările neautorizate ale configurațiilor echipamentului, ale setărilor de sistem, ale algoritmilor de funcționare a mijloacelor de program, modificarea fluxurilor informaționale sau proceselor susținute.
    86. Prestatorul trebuie să dispună de un număr de angajați, cu calificare, experiență şi pregătire profesională care să permită realizarea întregului spectru de funcții privind prestarea serviciilor în domeniul semnăturii electronice.
    87. Încadrarea personalului prestatorului trebuie să fie prezentată în structura organizatorică şi nomenclatorul de funcții, aprobate de conducătorul persoanei juridice. Nivelul de calificare a fiecărui specialist trebuie dovedit documentar.
    88. Pentru fiecare specialist al prestatorului trebuie definite condițiile concrete privind nivelul de studii, de cunoștințe tehnice şi experiență de lucru în domeniul dat. De asemenea, vor fi stabilite obligațiile de serviciu, funcțiile, drepturile, responsabilitățile şi cerințele fată de regimul de confidențialitate.
    89. Fiecare angajat al prestatorului este obligat să cunoască şi să îndeplinească obligațiile sale de serviciu, periodic să-şi sporească nivelul de calificare, să studieze profesiile complementare profilului activității de bază.
    90. Prestatorul trebuie să verifice şi să evalueze periodic nivelul de calificare al specialiștilor săi şi să asigure sporirea acestuia.
    91. În cazul lipsei specialiștilor proprii pentru realizarea activităților specifice, prestatorul poate implica angajați ai altor organizații, cu asigurarea cerințelor de securitate stabilite.
    92. Angajații prestatorului trebuie să semneze clauze de confidențialitate, în condițiile articolului 53 al Codului muncii al Republicii Moldova, precum şi, după caz, angajamente de nedivulgare a secretului comercial, valabile atît pentru perioada contractului individual de muncă încheiat, cît şi pentru perioada stabilită în contract după expirarea acțiunii acestuia.
    93. Resursele informaționale ale prestatorului sînt registrul certificatelor cheilor publice şi documentele de serviciu ale prestatorului.
    94. Resursele informaționale ale prestatorului sînt ținute sub formă de documente pe suport de hîrtie şi sub formă de documente electronice, păstrate pe suporturi materiale.
    95. Resursa informațională principală a prestatorului este registrul certificatelor cheilor publice, care reprezintă un ansamblu de documente electronice şi documente pe suport de hîrtie incluzînd:
    1) cererile de certificare a cheilor publice ale utilizatorilor semnăturii electronice;
    2) certificatele cheilor publice ale utilizatorilor semnăturii electronice;
    3) deciziile de suspendare, restabilire a valabilității sau revocare a certificatelor cheilor publice ale utilizatorilor semnăturii electronice;
    4) listele certificatelor revocate.
    96. Documentația prestatorului trebuie să corespundă standardului internațional ISO 15489 „Informația şi documentația - gestionarea documentației”.
    97. În formă arhivată vor fi păstrate următoarele resurse informaționale ale prestatorului:
    1) registrul certificatelor cheilor publice;
    2) jurnale de audit al complexului tehnic de program;
    3) alte tipuri de documente stabilite de prestator.
    98. Termenul de păstrare în formă arhivată a registrului certificatelor cheilor publice va fi de cel puțin 10 ani din momentul revocării ultimului certificat inclus în registru.
    99. Pregătirea pentru distrugere şi efectuarea distrugerii documentelor arhivate se realizează de o comisie, formată din angajații prestatorului, în conformitate cu legislația în vigoare.
    100. Lucrările de pregătire pentru distrugere şi ulterior de distrugere a documentelor ce nu sînt supuse arhivării se efectuează de către angajații  prestatorului ce gestionează documentele, în modul stabilit de conducătorul prestatorului.
    101. Prestatorul asigură accesul utilizatorilor semnăturii electronice la registrul certificatelor cheilor publice prin intermediul:
    1) resurselor electronice oficiale ale prestatorului (portalul web);
    2) poștei electronice;
    3) rezolvării solicitărilor utilizatorilor semnăturii electronice conform procedurilor aprobate de prestator.
    102. Accesul la documentele din arhivă ale prestatorului se realizează în conformitate cu legislația în vigoare.
    103. Obiectivele de bază privind asigurarea securității prestatorului sînt:
    1) protecția informației confidențiale la depozitarea, prelucrarea şi transmiterea acesteia (chei criptografice, mijloace de protecție criptografică a informației, date cu caracter personal protejate conform legislației în vigoare, informație despre parole etc.);
    2) verificarea integrităţii informaţiei confidenţiale şi publice (informația despre titulari inclusă în certificatele cheilor publice, informația despre certificatele cheilor publice suspendate sau revocate, componentele aplicative distribuite liber şi documentele aferente etc.);
    3) verificarea integrităţii componentelor de program şi de aparataj ale complexului tehnic de program;
    4) asigurarea continuităţii în activitate;
    5) asigurarea securităţii fizice a prestatorului.
    104. Sistemul de securitate a prestatorului trebuie:
    1) să protejeze informaţia referitor la titularii certificatelor cheilor publice prin intermediul asigurării confidenţialităţii, integrităţii şi asigurării accesului securizat la registrul certificatelor cheilor publice;
    2) să asigure securitatea infrastructurii şi a resurselor informaţionale ale prestatorului;
    3) să stabilească responsabilităţi referitor la securitatea informaţională;
    4) să minimizeze riscurile referitoare la utilizarea tehnologiilor informaţionale;
    5) să asigure capacitatea prestatorului de a continua activitatea în cazuri excepţionale sau alte situaţii critice.
    105. Ansamblul măsurilor şi al mijloacelor de protecţie a informaţiei în cadrul prestatorului trebuie să includă următoarele subsisteme:
    1) subsistemul de protecţie criptografică a informaţiei, care include mijloacele de protecţie criptografică a informaţiei;
    2) subsistemul de protecţie a informaţiei contra accesului neautorizat;
    3) subsistemul de audit activ al securităţii informaţionale;
    4) subsistemul de detectare a intruziunilor;
    5) subsistemul de protecţie a informaţiei contra acţiunilor neintenţionate, inclusiv subsistemul de copiere de rezervă şi arhivare a datelor;
    6) subsistemul de asigurare a integrităţii informaţiei, componentelor de program şi de aparataj ale complexului tehnic de program al prestatorului, inclusiv prin metode criptografice;
    7) subsistemul de asigurare a accesibilităţii, inclusiv subsistemul de asigurare a continuităţii funcţionării complexului tehnic de program al prestatorului;
    8) subsistemul de protecţie a echipamentului complexului tehnic de program al prestatorului contra scurgerii de informaţii prin canalele tehnice şi cele auxiliare;
    9) subsistemul securităţii fizice.
    106. Prestatorul trebuie să elaboreze condiţiile de asigurare a securităţii proprii, criteriile şi indicatorii de evaluare a nivelului de securitate, în concordanță cu care realizează activităţi şi implementează mijloace concrete de protecţie a informaţiei.
    107. Prestatorul trebuie să elaboreze şi să aprobe procedurile interne de activitate, care să asigure funcţionarea securizată a prestatorului.
    108. Orice situaţie de forţă majoră care poate influenţa în mod negativ realizarea procedurilor obligatorii ale prestatorului trebuie adusă la cunoştinţa titularilor certificatelor cheilor publice.
    109. Prestatorul trebuie să elaboreze şi să aprobe politica de securitate proprie, care va reflecta viziunea asupra problemei securităţii informaţionale a prestatorului, ansamblul de măsuri pentru asigurarea acesteia, responsabilităţile angajaţilor şi mecanismele de control al stării securităţii informaţionale.
    110. Politica de securitate trebuie să asigure respectarea regulilor, standardelor şi normelor general acceptate în domeniul securităţii informaţionale şi trebuie să includă:
    1) categoriile resurselor prestatorului cu indicarea nivelului necesar de securitate pentru fiecare categorie;
    2) analiza riscurilor prestatorului, ce pot apărea la utilizarea tehnologiilor informaţionale şi de telecomunicaţii;
    3) modelul de securitate a prestatorului;
    4) alegerea unui sistem complex de asigurare a securităţii prestatorului;
    5) principalele măsuri tehnico-organizatorice necesare pentru asigurarea securităţii prestatorului;
    6) condiţiile impuse mijloacelor tehnice de protecţie a informaţiei;
    7) enumerarea mijloacelor tehnice de protecţie a informaţiei;
    8) planul de acţiuni privind menţinerea regimului de securitate a prestatorului, inclusiv planurile de continuitate în activitate;
    9) responsabilităţile personalului prestatorului privind asigurarea securităţii;
    10) proceduri de control al prestatorului privind respectarea condiţiilor de securitate;
    11) procedura de aducere la cunoştinţa utilizatorilor semnăturii electronice a Regulamentului prestatorului de servicii de certificare şi a politicii de securitate, de acceptare a obligaţiilor de respectare a prevederilor Regulamentului şi a politicii de securitate de către utilizatori;
    12) înştiinţarea utilizatorilor semnăturii electronice despre nivelul de securitate al prestatorului.
    111. Prestatorul trebuie să elaboreze şi să aprobe sistemul de acordare a drepturilor de acces la resursele prestatorului, conform procedurilor de acces stabilite.
    112. Prestatorul trebuie să analizeze toate componentele infrastructurii proprii (resurse aplicative şi tehnice, mijloace de protecţie a informaţiei etc.) din punctul de vedere al riscurilor, să planifice şi să realizeze activităţi de minimizare şi evitare a riscurilor depistate.
    113. Prestatorul trebuie să implementeze instrumente automatizate de analiză a sistemelor informaţionale şi de comunicaţii electronice , precum şi a proceselor de afaceri ale prestatorului, pentru depistarea vulnerabilităţilor în sistemul de securitate.
    114. Prestatorul trebuie să elaboreze şi să aprobe planul de acţiuni pentru asigurarea continuităţii activităţii, plan care va fi analizat şi revizuit periodic pe baza analizei activităţii curente şi a rezultatelor testării în diferite situaţii excepţionale posibile.
    115. Prestatorul trebuie să creeze şi să menţină sistemul de securitate fizică care să asigure protecţia infrastructurii, a resurselor informaţionale şi a personalului prestatorului, să fie flexibil în cazul modificării cerinţelor de securitate înaintate, să permită adăugarea de noi funcţionalităţi şi să fie simplu în utilizare.
    116. Sistemul de securitate fizică a prestatorului trebuie să includă următoarele subsisteme:
    1) gestionarea accesului la diferite obiecte fizice;
    2) depistarea intruziunilor neautorizate la obiectele fizice;
    3) gestionarea, analiza şi înregistrarea informaţiei;
    4) protecţia tehnică şi de inginerie (protecţia pasivă);
    5) înştiinţarea şi asigurarea conexiunii în caz de situaţii excepţionale.
    117. Prestatorul de servicii de certificare trebuie să stabilească şi să precizeze responsabilităţile angajaţilor legate de asigurarea securităţii fizice.
    118. Informaţia privind amplasarea subsistemelor complexului tehnic de program al prestatorului este confidenţială.
    119. Echipamentul special şi tehnic de inginerie, protecţia şi regimul de acces în încăperile speciale ale prestatorului trebuie să asigure securitatea informaţiei confidenţiale şi a cheilor criptografice, accesul controlat în aceste încăperi, precum şi accesul la mijloacele tehnice şi cheile criptografice.
    120. Prestatorul trebuie să-şi clasifice încăperile cu regim special de acces, să stabilească reguli de acces şi să aprobe lista persoanelor cărora le este permis accesul în aceste încăperi.
    121. Accesul angajaţilor prestatorului în încăperile speciale se efectuează conform instrucţiunilor şi ordinelor în vigoare ale prestatorului.
    122. Accesul fizic în încăperile speciale ale prestatorului trebuie să fie posibil numai în urma controlului dublu şi conform drepturilor de acces stabilite.
    123. Angajaţii prestatorului care au acces în încăperile speciale poartă răspundere personală pentru permiterea accesului persoanelor terţe în aceste încăperi.
    124. Încăperile speciale vor fi dotate în mod obligatoriu cu sisteme de control al accesului şi monitorizare video, care trebuie să permită supravegherea accesului persoanelor în aceste încăperi.
    125. Încăperile speciale se dotează în mod obligatoriu cu sisteme de pază pe mai multe linii şi semnalizare de alarmă, în conformitate cu normele metodologice şi tehnice de proiectare şi montare a sistemelor de alarmare împotriva efracției, aprobate prin Hotărîrea Guvernului nr. 667 din 8 iulie 2005 „Cu privire la măsurile de realizare a Legii nr. 283-XV din 4 iulie 2003 privind activitatea particulară de detectiv şi de pază”.
    126. La amplasarea mijloacelor tehnice, prestatorul trebuie să asigure protecţia lor contra accesului neautorizat, furt, incendii, inundaţii, cîmpuri electromagnetice puternice şi alte riscuri posibile.
    127. Încăperile destinate pentru amplasarea personalului prestatorului, precum şi alte încăperi de serviciu trebuie să fie echipate cu:
    1) sisteme de pază, alarmă şi semnalizare antiincendiară;
    2) sisteme de control al accesului, care să permită supravegherea accesului personalului prestatorului în anumite încăperi.
    128. În cazul amplasării încăperilor de serviciu sau a altor încăperi la parter şi la ultimul etaj, precum şi în cazul existenţei balcoanelor, scărilor antiincendiare etc., la ferestrele încăperilor respective trebuie să fie instalate gratii din interior.
    129. Pentru micşorarea riscurilor legate de utilizarea tehnologiei informaţiei şi comunicaţiilor electronice, prestatorul elaborează şi implementează un set de măsuri de asigurare a securităţii sistemelor sale informaţionale şi de comunicaţii electronice(mijloace de program şi tehnice, reţele de comunicaţii, echipament de reţea, informaţii prelucrate, depozitate şi transmise), prin funcţionarea următoarelor subsisteme de securitate:
    1) subsistemul de gestiune a accesului;
    2) subsistemul de înregistrare şi evidenţă (audit);
    3) subsistemul de asigurare a integrităţii;
    4) subsistemul de asigurare a accesibilităţii;
    5) subsistemul de protecţie criptografică.
    130. Subsistemul de gestiune a accesului:
    1) asigură delimitarea accesului la obiectele informaţionale şi la funcţiile sistemelor informaţionale corespunzător cu regulile de acces, bazate pe atributele de acces;
    2) efectuează verificarea identităţii subiecţilor ce obţin acces la componentele sistemelor informaţionale;
    3) verifică accesul subiecţilor la resursele protejate corespunzător cu nivelurile de acces stabilite;
    4) gestionează fluxurile informaţionale şi aplică sigla de confidenţialitate;
    5) fixează cazurile de acces cu succes sau cu eşec.
    131. Subsistemul de înregistrare şi evidenţă:
    1) înregistrează evenimentele de accesare (părăsire) a sistemului de către subiect conform următorilor parametri:
    a) data şi timpul tentativei de accesare (părăsire);
    b) identificatorul subiectului de acces;
    c) rezultatul tentativei de accesare (părăsire) - succes sau eşec;
    2) înregistrează tentativele de lansare (stopare) a aplicaţiilor şi a proceselor destinate să prelucreze resursele protejate conform următorilor parametri:
    a) data şi timpul tentativei de lansare;
    b) denumirea (identificatorul) aplicaţiei sau procesului;
    c) identificatorul subiectului de acces;
    d) rezultatul tentativei de lansare - succes sau eşec;
    3) înregistrează tentativele de obţinere a drepturilor de acces (de executare a operaţiilor) pentru aplicaţii şi procese la resursele protejate conform următorilor parametri:
    a) data şi timpul tentativei de obţinere a accesului (executare a operaţiei);
    b) denumirea (identificatorul) aplicaţiei sau procesului;
    c) identificatorul subiectului de acces;
    d) specificaţiile resursei protejate (identificator, nume logic, nume fişier, număr etc.);
    e) tipul operaţiei solicitate (citire, înregistrare, ştergere, montare etc.);
    f) rezultatul tentativei de obţinere a accesului (executare a operaţiei) - succes sau eşec;
    4) înregistrează tentativele de acces neautorizat al subiecţilor în sistem, tentativele de lansare neautorizată a aplicaţiilor (proceselor) sau de executare a operaţiilor, asigurînd blocarea tuturor operaţiunilor neautorizate şi înştiinţînd despre acest fapt administratorul securitate;
    5) înregistrează modificările drepturilor de acces al subiecţilor şi statutul obiectelor de acces conform următorilor parametri:
    a) data şi timpul modificării drepturilor;
    b) identificatorul administratorului care a operat modificările;
    c) identificatorul subiectului de acces şi noile drepturi sau specificaţiile obiectului de acces şi noul său statut;
    6) înregistrează toate ieşirile de informaţie din sistem (documente electronice, date etc.) conform următorilor parametri:
    a) data şi timpul ieşirilor de date;
    b) denumirea informaţiei şi calea spre ea;
    c) specificaţiile dispozitivului ce a eliberat informaţia (numele logic);
    d) identificatorul subiectului de acces care a solicitat informaţia;
    e) volumul documentului eliberat (număr de pagini, foi, copii) şi rezultatul eliberării de informaţie (succes, eşec);
    7) ţine evidenţa resurselor protejate ale prestatorului, înregistrează intrarea/ieşirea suporturilor materiale ce conţin informaţii confidenţiale;
    8) protejează datele „protocolate” (jurnalul de înregistrări, fişiere log etc.) contra modificărilor;
    9) identifică şi arată evenimentele curente.
    132. Subsistemul de asigurare al integrităţii menţine stabilitatea mediului aplicativ, integritatea informaţiei prelucrate, a mijloacelor tehnico-aplicative şi a mijloacelor de protecţie a informaţiei.
    133. Subsistemul de asigurare a accesibilităţii:
    1) asigură funcţionarea continuă a sistemelor informaţionale şi de comunicaţii ale prestatorului;
    2) asigură păstrarea garantată a resurselor informaţionale ale prestatorului, precum şi posibilitatea de restabilire a lor în caz de necesitate sau în cazul situaţiilor de forţă majoră;
    3) asigură utilizatorilor sistemului acces permanent la resursele informaţionale ale prestatorului, corespunzător cu normele stabilite de acces la informaţie.
    134. Subsistemul de protecţie criptografică:
    1) realizează criptarea informaţiei confidenţiale în sistemul informaţional şi de comunicaţii electronice;
    2) asigură controlul accesului subiecţilor la operaţiile de criptare şi la cheile criptografice, corespunzător cu regulile de acces stabilite.
    135. Arhitectura sistemelor informaţionale şi de comunicaţii ale prestatorului şi a subsistemelor acestora trebuie să fie destul de flexibilă, să permită dezvoltarea simplă, fără modificări structurale, a configuraţiilor mijloacelor utilizate şi completarea de noi funcţii şi resurse.
    136. Sistemele informaţionale şi de comunicaţii ale prestatorului trebuie să fie însoţite de documentaţie care să asigure exploatarea lor calificată.
    137. Componentele critice ale sistemelor informaţionale şi de comunicaţii ale prestatorului trebuie să includă sisteme de rezervă şi de repornire în cazul încălcării regimului de securitate sau refuzului (deficienţei) de deservire.
    138. Sistemele informaţionale şi de comunicaţii, componentele lor, mijloacele tehnice şi de program ale prestatorului trebuie să corespundă normelor stabilite de politica de securitate informaţională, iar prestatorii de servicii (producătorii, furnizorii etc.) trebuie să asigure suportul tehnic necesar.
    139. Prestatorul trebuie să asigure protecţia sistemelor informaţionale şi de comunicaţii proprii contra acţiunilor aplicaţiilor malefice (sistemul de protecţie antivirus).
    140. Prestatorul trebuie să-şi clasifice resursele sistemului informaţional, să stabilească procedurile de acces şi să aprobe lista persoanelor cu drept de acces la resursele specifice ale sistemului informaţional şi de comunicaţii.
    141. Prestatorul trebuie să elaboreze, să aprobe şi să implementeze mecanismele şi procedurile necesare de delimitare şi control al accesului logic şi fizic la echipamentele sistemelor informaţionale şi de comunicaţii.
    142. Accesul angajaţilor prestatorului la resursele sistemelor informaţionale şi de comunicaţii trebuie să fie acordat pe baza instrucţiunilor şi ordinelor aprobate de prestator corespunzător drepturilor de acces.
    143. Prestatorul trebuie să stabilească şi să documenteze procedurile privind administrarea şi utilizarea resurselor de program şi de sistem.
    144. Sistemele informaţionale şi de comunicaţii noi sau modernizate, componentele acestora, mijloacele tehnice şi de program trebuie să fie implementate numai în conformitate cu procedurile stabilite, cu respectarea cerinţelor privind asigurarea securităţii informaţionale.
    145. Prestatorul trebuie să elaboreze şi să aprobe instrucţiuni de implementare a sistemelor informaţionale şi de comunicaţii noi sau de modificare a celor existente, a componentelor acestora, a mijloacelor tehnice şi de program.
    146. Personalul responsabil al prestatorului trebuie să fie instruit privind funcţionalitatea şi regulile de administrare (exploatare) a sistemelor informaţionale şi de comunicaţii, a componentelor, a mijloacelor tehnice şi de program noi sau modernizate.
    147. Toate modificările de configurare a sistemelor informaţionale şi de comunicaţii în ansamblu, a componentelor acestora, a mijloacelor tehnice şi de program trebuie să fie testate pînă la implementarea acestora în mediul operaţional. Decizia despre modificare trebuie luată numai după realizarea unei evaluări a riscurilor referitoare la implementarea modificărilor respective.
    148. Prestatorul trebuie să elaboreze şi să aprobe proceduri formale de control al modificărilor în sistemul informaţional şi de comunicaţii, al modificărilor componentelor acestuia, al mijloacelor tehnice şi de program.
    149. Prestatorul trebuie să utilizeze conexiuni şi mecanisme securizate şi controlabile, care să asigure integritatea şi confidențialitatea informaţiei la transmiterea prin intermediul reţelelor publice.
    150. Prestatorul trebuie să implementeze mecanisme de ecranare a reţelelor, pentru a proteja sistemele informaţionale şi de comunicaţii interne, precum şi resursele prestatorului de servicii de certificare în general.
    151. Personalul responsabil al prestatorului (administratorii sistem) este obligat să efectueze controlul zilnic al stării sistemelor informaţionale şi de comunicaţii, al componentelor acestora, sistemelor operaţionale şi aplicative, precum şi al instrumentelor de securitate.
    152. Prestatorul asigură securitatea informaţiei confidenţiale la depozitare, prelucrare şi transmitere prin canalele de comunicaţii, aplicînd tehnologiile de criptare a informaţiei cu utilizarea mijloacelor de protecţie criptografică a informaţiei (în continuare - MPCI).
    153. În scopul elaborării şi realizării măsurilor de asigurare a securităţii informaţiei şi utilizării MPCI, prestatorul trebuie să creeze o subdiviziune pentru protecţia criptografică a informaţiei, fie să numească un angajat responsabil de protecţia criptografică a informaţiei, care va exercita atribuţiile şi obligaţiile subdiviziunii, să elaboreze şi să aprobe instrucţiuni care să reglementeze procesele de pregătire, introducere, prelucrare, păstrare şi transmitere a informaţiei confidenţiale protejate cu MPCI.
    154. Subdiviziunea de protecţie criptografică:
    1) elaborează şi implementează sistemul de protecţie criptografică a informaţiei confidenţiale al prestatorului;
    2) elaborează instrucţiunile şi măsurile de asigurare a funcţionării şi securităţii MPCI utilizate;
    3) asigură păstrarea şi evidenţa purtătorilor materiali de informaţie confidenţială, MPCI şi documentaţiei aferente, purtătorilor materiali de informaţie-cheie, precum şi evidenţa utilizatorilor ce folosesc nemijlocit MPCI;
    4) instruiește utilizatorii MPCI privind regulile de lucru cu MPCI;
    5) controlează modalitatea de respectare de către utilizatori a normelor de utilizare a MPCI stabilite, precum şi a documentaţiei de exploatare şi tehnice aferente MPCI;
    6) verifică integritatea resurselor de program şi de sistem ale mijloacelor tehnice unde au fost instalate MPCI, precum şi integritatea MPCI;
    7) depistează faptele de încălcare a normelor de utilizare a MPCI şi întreprinde măsurile necesare de evitare a urmărilor acestor încălcări.
    155. Angajaţii subdiviziunii de protecţie criptografică sînt obligaţi:
    1) să respecte regimul de confidenţialitate în procesul de îndeplinire a obligaţiilor de serviciu;
    2) să depisteze la timp tentativele persoanelor terţe de a obţine date privind informaţia confidenţială, MPCI utilizate şi suporturile-cheie;
    3) să ia măsuri urgente de prevenire a cazurilor de divulgare a informaţiei confidenţiale şi de scurgere a informaţiei la utilizarea MPCI.
    156. Angajaţii subdiviziunii de protecţie criptografică trebuie să posede un nivel de calificare corespunzător şi să activeze conform fişei de post.
    157. Prestatorul implementează şi exploatează MPCI conform documentaţiei tehnice şi de exploatare aferentă acestor mijloace, pe baza instrucţiunilor aprobate, precum şi în conformitate cu prezentele Condiţii speciale.
    158. Instrucţiunile ce reglementează modul de exploatare în siguranţă a MPCI trebuie să prevadă:
    1) drepturile şi obligaţiile angajaţilor prestatorului ce exploatează MPCI;
    2) ordinea de amplasare, instalare, păstrare şi utilizare a MPCI şi a documentaţiei privind exploatarea acestora;
    3) ordinea de creare, evidenţă, distribuire, păstrare şi distrugere a cheilor criptografice;
    4) ordinea de cercetare a faptelor de încălcare a regulilor stabilite la utilizarea MPCI, a cheilor criptografice, precum şi măsurile de înlăturare a consecinţelor;
    5) ordinea de control al respectării cerinţelor de asigurare a protecţiei informaţiei cu ajutorul MPCI.
    159. Condiţiile de implementare şi exploatare a MPCI trebuie să excludă posibilitatea accesului neautorizat la ele, modificarea, furtul şi difuzarea necontrolată a acestora.
    160. MPCI utilizate de prestator trebuie să fie verificate periodic pe parcursul întregului ciclu de funcţionare.
    161. MPCI trebuie să fie inventariate. MPCI de tip aplicativ sînt supuse evidenţei împreună cu mijloacele tehnice pe care le rulează.
    162. În caz de necesitate, pentru asigurarea integrităţii cheilor criptografice pot fi create copii de rezervă, care se păstrează conform normelor stabilite de asigurare a protecţiei contra accesului neautorizat şi acţiunilor neintenţionate.
    163. Angajaţii prestatorului poartă răspundere personală pentru integritatea şi securitatea cheilor criptografice.
    164. Subdiviziunea de protecţie criptografică ţine evidenţa suporturilor materiale de chei criptografice.
    165. Suporturile materiale de chei criptografice neutilizate sau scoase din uz sînt distruse de subdiviziunea de protecţie criptografică.
    166. Distrugerea cheilor criptografice se efectuează prin distrugerea fizică a suportului material sau prin distrugerea garantată a informaţiei-cheie fără deteriorarea suportului (pentru utilizarea repetată a acestuia).
    167. Cheile criptografice ale MPCI trebuie schimbate periodic. Procedura de schimbare a cheilor criptografice se stabileşte de către prestator.
    168. Dacă există suspiciuni privitoare la compromiterea cheilor criptografice sau MPCI, acestea sînt scoase imediat din uz, iar subdiviziunea de protecţie criptografică efectuează toate acțiunile de verificare a acestui fapt şi înlăturare a urmărilor.
    169. Prestatorul asigură protecţia informaţiei confidenţiale prin utilizarea tehnologiilor şi mijloacelor speciale de prevenire a scurgerii informaţiei prin canalele tehnice.
    170. Prestatorul trebuie să excludă prezenţa necontrolată a persoanelor sau a mijloacelor de transport, precum şi instalarea întîmplătoare a antenelor, într-o zonă de 15 metri de la locul amplasării mijloacelor tehnice principale ale complexului tehnic de program (în continuare - perimetru controlat).
    171. Încăperile pentru servere ale prestatorului trebuie să fie protejate contra scurgerii informaţiei din cauza emisiilor electromagnetice prin ecranarea încăperilor sau instalarea sistemelor de bruiaj electromagnetic.
    172. În cazul ecranării încăperilor, trebuie asigurată continuitatea conexiunii electrice a materialului tuturor părților ecranului: pereţi, tavan, podea, ferestre şi uși. Materialul pentru uși trebuie să posede un contact electric sigur cu ecranul încăperii pe toată suprafața, construcțiile de ecranare trebuie să posede prize de pămînt care să fie amplasate în perimetrul controlat.
    173. Prestatorul trebuie să asigure protecţia informaţiei contra scurgerii, prin intermediul rețelei electrice şi încrucișarea reţelelor electrice ale obiectului cu instalarea filtrelor de protecţie care să blocheze (bruieze) semnalul.
    174. În încăperile prestatorului, unde sînt amplasate mijloacele tehnice ce prelucrează informaţie confidenţială trebuie exclusă sau limitată instalarea altor dispozitive electrice, radio sau de alt gen.
    175. Utilajul pe liniile care au ieșire în afara perimetrului controlat trebuie instalate la o distanță de cel puțin de
3 metri de la mijloacele tehnice principale ale complexului tehnic de program al prestatorului.
    176. Suficientă măsurilor de protecţie tehnică realizate, precum şi necesitatea instalării mijloacelor tehnice speciale suplimentare se stabilesc conform rezultatului cercetărilor speciale şi de evaluare a nivelului de protejare al obiectului.
    177. Resursele informaţionale ale prestatorului trebuie să fie clasificate şi definite pe categorii în funcție de nivelul de securitate al acestora.
    178. Toată informaţia, datele şi documentele trebuie să fie prelucrate şi păstrate conform nivelului de clasificare şi categoriei acestei informaţii.
    179. Toata informaţia, datele şi documentele, clasificate ca fiind confidenţiale, trebuie păstrate într-un mediu sigur separat.
    180. Prestatorul trebuie să ia măsuri de protecţie a datelor cu caracter personal conform legislației Republicii Moldova.
    181. Registrul certificatelor cheilor publice trebuie păstrat şi gestionat în condiţii care îi vor asigura integritatea, accesibilitatea şi confidenţialitatea.
    182. Prestatorul trebuie să creeze copii de rezervă ale registrului certificatelor cheilor publice, precum şi pentru altă informaţie critică.
    183. Copiile de rezervă se păstrează în încăperi speciale ale prestatorului.
    184. Documentele prestatorului trebuie să fie protejate contra pierderii, distrugerii şi falsificării.
    185. Prestatorul trebuie să fixeze termenele de utilizare şi păstrare a documentelor şi a informaţiei, să elaboreze nomenclatorul dosarelor, în care vor fi specificate tipurile documentelor principale şi perioada de păstrare a acestora.
    186. Utilizarea resurselor informaţionale ale prestatorului în scopuri personale de către angajații prestatorului este interzisă.
    187. Angajaţii prestatorului sînt obligaţi să cunoască riscurile legate de încălcarea securităţii informaţiei cu care lucrează.
    188. Prestatorul trebuie să creeze sistemul de administrare a securităţii informaţionale, să realizeze monitorizarea permanentă a sistemului de securitate informaţională şi să gestioneze riscurile.
    189. Pentru administrarea securităţii informaţionale se recomandă standardul internațional ISO/IEC 17799-2005 „Tehnologii informaţionale. Cod de practici privind administrarea securităţii informaţionale”.
    190. Prestatorul este obligat să efectueze o dată în doi ani un control complex al activităţii sale.
    191. Controlul complex al activităţii prestatorului se efectuează de către organul abilitat cu elaborarea şi promovarea politicii de stat şi cu exercitarea controlului în domeniul aplicării semnăturii electronice - Serviciului de Informaţii şi Securitate al Republicii Moldova (în continuare - organ competent), cu atragerea, după caz, a specialiștilor în domeniu.
    192. La iniţiativa prestatorului, controlul complex al activităţii acestuia poate fi realizat de către organizații specializate de audit şi de consultare în domeniul tehnologiilor informaţionale, din contul prestatorului, cu atragerea reprezentantului organului competent.
    193. Se recomandă ca organizaţia ce realizează controlul complex al activităţii prestatorului de servicii de certificare să corespundă următoarelor cerințe:
    1) să posede personal cu calificare atestată prin certificate de auditori în domeniul sistemelor informaţionale (standarde internaționale CISA sau CISM);
    2) să posede experiență de audit în domeniul tehnologiilor informaţionale de minimum 2 ani.
    194. Organizaţia ce realizează controlul complex al activităţii prestatorului trebuie:
    1) să asigure independentă controlului efectuat;
    2) să efectueze controlul în conformitate cu normele şi standardele de audit în domeniul tehnologiilor informaţionale şi de securitate a sistemelor informaţionale;
    3) să utilizeze o metodologie de audit bazată pe evaluarea riscurilor şi pe procedurile corespunzătoare de evaluare a măsurilor de gestionare a riscurilor;
    4) să asigure confidenţialitatea informaţiei obținute în urma controlului.
    195. Organizaţia ce realizează controlul complex al activităţii  prestatorului trebuie să întocmească un act de verificare şi o încheiere.
    196. Actul de verificare se semnează de către persoana responsabilă care a efectuat controlul activităţii  prestatorului, reprezentantul organului competent şi conducătorul persoanei juridice în cadrul căreia îşi desfășoară activitatea prestatorul.
    197. Încheierea se întocmește pe baza actului de verificare şi reprezintă documentul care atestă (infirmă) concordanţa activităţii prestatorului cu normele stabilite în domeniul semnăturii  electronice.
    198. Încheierea trebuie să cuprindă:
    1) evaluarea calității şi continuităţii serviciilor în domeniul semnăturii  electronice prestate de către prestator;
    2) corespunderea activităţii prestatorului cu standardele, normele tehnice şi alte documente normative din domeniul semnăturii electronice;
    3) corespunderea activităţii prestatorului cu prevederile Regulamentului prestatorului de servicii de certificare, politicii de certificare şi politicii de securitate;
    4) corespunderea activităţii prestatorului cu funcţiile şi obligaţiile stabilite;
    5) concordanţa procedurilor principale ale prestatorului cu cerinţele înaintate;
    6) concordanţa activităţii prestatorului cu cerinţele de asigurare a securităţii prestatorului;
    7) concluzii privind suficiența măsurilor de asigurare a confidenţialităţii, a integrităţii şi accesibilităţii informaţiei şi a serviciilor informaţionale;
    8) evaluarea calității şi complexității procedurilor interne ale prestatorului;
    9) analiza funcțiilor de gestionare a riscurilor prestatorului;
    10) respectarea procedurilor de asigurare a continuităţii în activitate a prestatorului;
    11) corespunderea complexului tehnic de program al prestatorului cu cerinţele înaintate;
    12) evaluarea măsurilor întreprinse pentru remedierea celor constatate în urma auditului precedent.
    199. Rezultatele controlului complex al activităţii prestatorului (copia actului şi încheierii), efectuat de către o organizație specializată de audit şi de consultare în domeniul tehnologiilor informaţionale, se prezintă organului competent.
    200. Prestatorul trebuie să efectueze periodic auditul intern al activităţii sale, în conformitate cu Regulamentul privind efectuarea auditului intern.
    201. Pentru prestarea serviciilor de certificare, prestatorul trebuie să îndeplinească procedura de acreditare conform normelor stabilite şi să certifice cheia sa publică la prestatorul ierarhic superior.
    202. Pentru înregistrarea prestatorului, persoana juridică care creează prestator de servicii de certificare este obligată să asigure îndeplinirea următoarelor condiţii:
    1) să creeze (numească) o subdiviziune pentru realizarea funcțiilor prestatorului;
    2) să formeze un stat de personal, cu calificarea necesară pentru prestarea serviciilor de certificare şi a altor servicii în domeniul semnăturii electronice;
    3) să amenajeze încăperi speciale, precum şi alte încăperi de lucru ale prestatorului conform condiţiilor referitoare la încăperile prestatorului stabilite în prezentele Condiţii speciale;
    4) să creeze complexul tehnic de program al prestatorului în conformitate cu normele tehnice din domeniul semnăturii electronice şi conform prezentelor Condiţii speciale;
    5) să numească administratorul de certificare, administratorul de înregistrări, administratorul de securitate şi administratorul de sistem;
    6) să creeze sistemul de securitate al prestatorului în conformitate cu prezentele Condiţii speciale;
    7) să creeze o subdiviziune (să numească un angajat) responsabilă de protecţia criptografică a informaţiei în cadrul prestatorului;
    8) să elaboreze şi să aprobe baza normativă a prestatorului necesară pentru prestarea serviciilor de certificare, care include următoarele documente obligatorii:
    a) politica de certificare a prestatorului;
    b) Regulamentul prestatorului de servicii de certificare;
    c) politica de securitate a  prestatorului;
    d) politica de acordare şi control al accesului la resursele prestatorului;
    e) planul de gestionare a riscurilor;
    f) planul de asigurare a continuităţii activităţii prestatorului;
    g) procedurile de restabilire a activităţii prestatorului;
    h) instrucţiuni ce reglementează securitatea şi exploatarea MPCI;
    i) regulamentul privind efectuarea auditului intern al prestatorului.
    9) să obțină o garanție bancară la o bancă înregistrată pe teritoriul Republicii Moldova sau o poliță de asigurare la o companie de asigurări înregistrată în Republica Moldova în favoarea organului competent pentru o sumă 3000 000 lei.
    203. În procesul înregistrării, prestatorul trebuie să treacă procedura unui control complex în conformitate cu cerinţele de control al activităţii  prestatorului, stabilite în prezentele Condiţii speciale.
    204. Reorganizarea prestatorului se efectuează prin formele prevăzute de legislație, funcţiile acestuia fiind transmise unei alte persoane juridice.
    205. Transmiterea prestatorului se efectuează:
    1) în baza contractului de transmitere a prestatorului;
    2) pe baza deciziei de reorganizare a persoanei juridice.
    206. Persoana juridică trebuie să anunțe organul competent despre decizia privind transmiterea prestatorului în termen de cel puțin de 30 de zile pînă la momentul transmiterii.
    207. Persoana juridică trebuie să anunțe toți prestatorii de servicii de certificare ierarhic inferioare şi utilizatorii semnăturii electronice despre decizia privind transmiterea prestatorului şi despre necesitatea reîncheierii contractelor de deservire cu noul centru de certificare în termen de cel puțin de 30 zile pînă la momentul transmiterii.
    208. Prin decizia persoanelor juridice interesate se creează comisia de transmitere a prestatorului.
    209. În componenta comisiei de transmitere a prestatorului trebuie să intre:
    1) reprezentanții persoanelor juridice;
    2) reprezentantul organului competent;
    3) alte persoane, stabilite de părți.
    210. În procesul de transmitere, prestatorul trebuie:
    1) să distrugă cheile private ale persoanelor împuternicite ale prestatorului fără a le atinge confidenţialitatea, în conformitate cu cerinţele stabilite de organul competent;
    2) să transmită registrul certificatelor cheilor publice.
    211. Registrul certificatelor cheilor publice sub formă de documente electronice se transmite pe suporturi materiale, iar registrul certificatelor cheilor publice sub formă de documente pe suport de hîrtie se transmite sub formă de arhivă a documentelor pe suporturi de hîrtie.
    212. Certificatele cheilor publice eliberate de către prestator continuă să fie valabile pînă la expirarea termenului de valabilitate.
    213. La încheierea lucrărilor comisiei se întocmește actul de primire-predare, conform căruia persoana juridică căreia i-a fost transmis prestatorul devine succesorul de drepturi al prestatorului. Actul se semnează de membrii comisiei şi se aprobă de către conducătorii persoanelor juridice interesate.
    214. Prestatorul poate fi lichidat:
    1) la iniţiativa persoanei juridice care a creat prestatorul;
    2) la iniţiativa organului competent, în cazul încălcării normelor în domeniul semnăturii electronice;
    3) în cazul lichidării persoanei juridice care a creat prestatorul.
    215. Persoana juridică trebuie să anunțe organul competent despre decizia de lichidare a prestatorului de servicii de certificare în termen de cel puțin de 30 de zile pînă la momentul lichidării.
    216. Utilizatorii semnăturii electronice vor fi înștiințați despre decizia de lichidare a prestatorului într-o perioadă de cel puțin 30 de zile pînă la momentul lichidării.
    217. Procedura de lichidare a prestatorului la iniţiativa persoanei juridice care a creat prestatorul se inițiază prin ordinul conducătorului persoanei juridice.
    218. Prin ordinul conducătorului persoanei juridice care lichidează prestatorul se creează comisia de lichidare, în sarcina căreia intră desfășurarea procedurii de lichidare.
    219. Lichidarea prestatorului la iniţiativa organului competent este efectuată, în conformitate cu legislația în vigoare, în baza încheierii organului competent privind încălcarea legislației în domeniul semnăturii electronice. Prin ordinul organului competent, se creează comisia de lichidare.
    220. În componenta comisiei de lichidare trebuie să intre:
    1) conducătorul persoanei juridice ce a creat prestatorul;
    2) reprezentantul organului competent;
    3) alte persoane, numite prin ordin.
    221. În procesul de lichidare, prestatorul trebuie:
    1) să distrugă cheile private ale persoanelor împuternicite ale prestatorului fără a le atinge confidenţialitatea în conformitate cu cerinţele stabilite de către organul competent;
    2) să revoce certificatele cheilor publice ale utilizatorilor semnăturii  electronice eliberate de prestatorul aflat în curs de lichidare;
    3) să publice statutul certificatelor cheilor publice;
    4) să transmită spre păstrare organului competent registrul certificatelor cheilor publice.
    222. Registrul certificatelor cheilor publice sub formă de documente electronice se transmite pe suporturi materiale, iar registrul certificatelor cheilor publice sub formă de documente pe suport de hîrtie se transmite sub formă de arhivă a documentelor pe suporturi de hîrtie, fapt ce se consemnează în actul de primire-predare, semnat de către conducătorul persoanei juridice şi reprezentantul organului competent, responsabil pentru păstrare. Registrul certificatelor cheilor publice se păstrează în formă arhivată în conformitate cu legislația în vigoare.
    223. Comisia de lichidare întocmește un act, în urma căruia prestatorul de servicii de certificare își încetează existenta.


    1. Regulamentul privind controlul de stat în domeniul aplicării semnăturii electronice stabileşte modul efectuării controlului prestatorilor de servicii de certificare acreditați în Republica Moldova (în continuare – prestator), privind respectarea prevederilor actelor normative în domeniul semnăturii electronice la prestarea serviciilor de certificare şi alte servicii conexe (în continuare - servicii), precum şi controlul privind aplicarea semnăturii electronice de către autoritățile publice.
    2. Funcţiile organului competent în domeniul aplicării semnăturii electronice, sînt exercitate de către Serviciul de Informaţii şi Securitate al Republicii Moldova (în continuare – organul competent).
    3. Controlul respectării actelor normative în domeniul semnăturii electronice şi aplicării semnăturii electronice de autoritățile publice se efectuează de organul competent prin coordonarea proiectelor de acte normative, care determină modalitatea aplicării semnăturii electronice de către autoritatea publică.
    4. În sensul prezentului Regulament se definesc următoarele noțiuni:
    control de stat al respectării actelor normative în domeniul semnăturii electronice (în continuare - control în domeniul semnăturii electronice) – activitatea organului competent, în limita competenței sale, de depistare şi prevenire a încălcărilor actelor normative în domeniul semnăturii electronice de către prestatorii de servicii;
    control complex - controlul respectării cerinţelor stabilite de cadrul normativ în domeniul semnăturii electronice la acordarea sau prelungirea acreditării prestatorilor, care se realizează pe două dimensiuni - evaluarea informațiilor referitoare la procedurile de securitate şi de certificare utilizate și verificarea complexului tehnic şi de program;
    monitorizare - totalitatea acţiunilor, întreprinse de organul competent, prin analiza permanentă sau periodică a informaţiei general accesibile privind activitatea prestatorului la prestarea serviciilor, în scopul depistării încălcărilor actelor normative în domeniul semnăturii electronice, fără intervenție în activitatea acestuia.
    5. Controlul în domeniul semnăturii electronice se efectuează de organul competent prin:
    1) efectuarea monitorizării activităţii de prestare a serviciilor în domeniul semnăturii electronice în conformitate cu actele legislative ce reglementează domeniul dat;
    2) efectuarea controlului complex privind respectarea cerinţelor stabilite de legislația în vigoare la prestarea serviciilor de certificare, la acordarea sau prelungirea acreditării;
    3) efectuarea controalelor planificate, inopinate sau repetate a prestatorilor.
    6. Organul competent efectuează monitorizarea prin analiza:
    1) materialelor controalelor precedente, în scopul efectuării unei eventuale verificări a direcțiilor de activitate la care au fost depistate anterior încălcări;
    2) conținutului şi funcționalității resurselor informaţionale accesibile ale prestatorului de servicii de certificare, cu referire la corespunderea cerinţelor actelor normative în domeniul semnăturii electronice;
    3) structurii certificatelor cheii publice, emise de prestator, conform cerinţelor actelor normative în domeniul semnăturii electronice;
    4) nomenclatorului şi ordinii prestării serviciilor, prin utilizarea resurselor informaţionale ale prestatorului de servicii sau părților terţe;
    5) rapoartelor anuale prezentate de prestator în conformitate cu punctul 15 al prezentului Regulament;
    6) regulamentelor de activitate a prestatorului;
    7) altor informaţii referitor la funcţionarea, organizarea şi prestarea serviciilor de către prestator.
    7. Organul competent organizează şi efectuează verificări planificate, inopinate sau repetate a prestatorilor.
    8. Verificările se efectuează cu scopul prevenirii prealabile, depistării sau înlăturării încălcărilor de la prevederile actelor normative în domeniul semnăturii electronice, înlăturării cauzelor şi circumstanțelor care au determinat şi favorizat încălcările, precum şi înlăturării consecinţelor acestor încălcări.
    9. Verificările se efectuează de către Comisia de control în domeniul semnăturii electronice (în continuare - Comisia).
    10. Comisia se creează în cadrul organului competent în baza ordinului conducătorului.
    11. Componenta nominală a Comisiei se stabileşte pentru fiecare caz în parte.
    12. În componenta Comisiei, care urmează să efectueze verificarea prestatorilor de servicii de certificare de nivel al doilea, pot fi antrenați şi reprezentanții prestatorului de servicii de certificare de nivel superior.
    13. Persoanele care sînt incluse în componenta Comisiei trebuie să posede cunoștințele necesare şi experiență de lucru în domeniul aplicării semnăturii electronice şi întocmirii documentelor electronice, să dispună de dreptul de acces la materialele documentare, la mijloacele tehnice şi de program necesare pentru desfășurarea activităţii Comisiei.
    14. Ordinul privind crearea Comisiei şi efectuarea verificării conține:
    1) denumirea organului competent;
    2) denumirea subiectului verificării;
    3) sediul subiectului verificării;
    4) componenta Comisiei, cu indicarea numelui şi prenumelui membrilor ei;
    5) data demarării şi data finalizării verificării;
    6) tipul verificării (planificată, inopinată sau repetată);
    7) temeiul verificării;
    8) informaţii despre controlul precedent (tipul verificării şi data efectuării).
    15. Pînă la 1 februarie a fiecărui an, prestatorii sînt obligaţi să prezinte organului competent raportul pe anul precedent privind prestarea serviciilor, care va conține în mod obligatoriu:
    1) numărul contractelor încheiate de prestare a serviciilor (pe categorii aparte: cu persoane fizice, persoane juridice, organe ale administrației publice centrale şi locale);
    2) informaţii despre serviciile prestate de prestator;
    3) numărul certificatelor cheii publice emise şi revocate în perioada raportată cu indicarea cauzelor revocării;
    4) numărul contractelor de colaborare în domeniul semnăturii electronice încheiate cu prestatori din alte tari;
    5) cazuri de despăgubiri ale pierderilor utilizatorilor semnăturii electronice sau a unor persoane terţe, ca rezultat al îndeplinirii necorespunzătoare a obligaţiilor de prestare a serviciilor;
    6) numărul de cauze judiciare, la care au participat în calitate de reclamant, pîrît, intervenient, dacă acestea au vizat într-un oarecare mod prestarea serviciilor; obiectul cauzelor; hotărîrea instanței;
    7) cazurile de încălcare a actelor normative în domeniul semnăturii electronice, depistate şi înlăturate de prestator, cauzele apariției acestora şi acțiunile întreprinse pentru înlăturarea încărcărilor;
    8) alte acţiuni realizate la prestarea serviciilor.
    16. În scopul realizării verificării Comisia are dreptul:
    1) să beneficieze de acces liber la materialele documentare, pe suport de hîrtie şi în format electronic, necesare pentru desfășurarea lucrărilor ce țin de prestarea serviciilor, precum şi la sistemele de distribuție de aplicaţii soft, la mijloacele de program şi tehnice instalate;
    2) să obțină informaţii complete despre condiţiile şi modul exploatării mijloacelor tehnice de program;
    3) să obțină de la persoanele responsabile şi de la personalul prestatorului informațiile privind prestarea serviciilor ce țin de obiectul controlului;
    4) să obțină orice alte informaţii, ce țin de prestarea serviciilor;
    5) la acces liber în încăperile subiectului verificării în decursul zilei lucrătoare (în perioada controlului);
    6) să solicite şi să i se acorde un birou de serviciu, cu acces separat, dotat cu mobilier, computator, safeu, pe durata verificării.
    17. Dacă nu există posibilitatea acordării unei încăperi izolate Comisiei, cu acordul președintelui Comisiei, conducătorul subiectului verificării acordă membrilor Comisiei loc de lucru izolat, dotat în măsura în care s-ar asigura condiţii corespunzătoare pentru activitatea Comisiei.
    18. În cazul depistării încălcărilor actelor normative în domeniul semnăturii electronice, conducerea subiectului verificării este obligată să întreprindă măsuri imediate de înlăturare şi prevenire a lor în continuare.
    19. Pînă la demararea verificării, membrii Comisiei sînt obligaţi să prezinte conducătorului sau persoanei împuternicite a subiectului verificării documentele de identificare în calitate de persoane de răspundere ale organului competent, precum şi să prezinte copia ordinului privind controlul prestatorului.
    20. Comisia nu are dreptul să efectueze control fără prezentarea ordinului privind controlul şi fără documente de identitate ale membrilor Comisiei.
    21. La efectuarea controlului Comisia va ţine cont de următoarele principii:
    1) legalitatea şi respectarea competenței stabilite de lege;
    2) neadmiterea aplicării sancțiunilor care nu sînt stabilite de lege;
    3) tratarea dubiilor, apărute la aplicarea legislației, în favoarea prestatorului;
    4) efectuarea controlului pe cheltuielile statului;
    5) prescrierea recomandărilor pentru înlăturarea încălcărilor constatate în urma controlului;
    6) dreptul prestatorului de a contesta acțiunile organului competent, inclusiv în instanța de judecată.
    22. Controalele planificate se efectuează în conformitate cu termenele de efectuare a acestora, stabilite de actele normative în domeniul semnăturii electronice, în baza informaţiei obținute de organul competent în cadrul activităţii sale de monitorizare sau la iniţiativa prestatorului.
    23. Planul controalelor, elaborat şi aprobat de organul competent, se coordonează în privința termenelor efectuării cu conducerea subiectului de control.
    24. Controlul inopinat a prestatorilor se efectuează la decizia organului competent în cazul:
    1) depistării de organul competent a faptelor încălcării actelor normative în domeniul semnăturii electronice;
    2) adresării în scris din partea prestatorului către organul competent privind solicitarea efectuării verificării inopinate;
    3) depistării şi confirmării datelor neveridice, declarate în rapoartele anuale ale prestatorului în conformitate cu punctul 15 al prezentului Regulament;
    4) neprezentării de către prestator, în termenul stabilit, a raportului anual în conformitate cu punctul 15 al prezentului Regulament;
    5) recepționării cererilor şi reclamațiilor argumentate, adresate în formă scrisă, organului competent referitoare la încălcările şi la îndeplinirea necorespunzătoare a obligaţiilor prevăzute de lege de către prestator;
    6) la cererea instanței judecătorești.
    25. Prestatorul este informat despre efectuarea controlului inopinat în ziua demarării controlului.
    26. Controalele repetate se efectuează doar în scopul verificării executării prescripției privind lichidarea încălcărilor prevederilor actelor normative, indicate în actul de control precedent (planificat sau inopinat). Controlul repetat se consideră parte componentă a controlului precedent.
    27. Controlul se efectuează doar în perioada stabilită în ordinul privind demararea controlului.
    28. Termenul de efectuare a controlului planificat şi a controlului inopinat nu poate depăși 10 zile lucrătoare, iar a celui repetat – 5 zile lucrătoare. În cazul controalelor inopinate, termenul poate fi prelungit cu încă 10 zile lucrătoare de către conducătorul organului competent în baza unei decizii motivate, adusă la cunoştinţa prestatorului supus controlului, care poate fi contestată de către acesta.
    29. Conducătorul subiectului verificării are dreptul să nu admită membrii Comisiei la efectuarea verificării în cazul nerespectării prevederilor pct. 19 al prezentului Regulament.
    30. În baza rezultatelor controlului se întocmește un act de control în 2 exemplare, unul dintre care se expediază/înmînează, în termen de cel mult 5 zile lucrătoare după încheierea controlului efectuat, prestatorului, iar al doilea se păstrează la organul competent. În cazul în care prestatorul nu este de acord cu rezultatele controlului efectuat, în termen de 10 zile lucrătoare de la data primirii actului de control, acesta poate prezenta în scris organului competent argumentarea dezacordului, anexînd documentele de rigoare.
    31. Actul de control trebuie se conțină următoarele date:
    1) componenta Comisiei;
    2) data şi locul întocmirii actului;
    3) tipul verificării (planificată, inopinată sau repetată);
    4) denumirea subiectului verificării;
    5) descrierea structurii organizaționale a subiectului verificării;
    6) locul efectuării verificării (sediul subiectului verificării);
    7) numele şi prenumele conducătorului subiectului verificării;
    8) numele şi prenumele conducătorului prestatorului;
    9) data şi numărul ordinului în temeiul căruia a fost efectuată verificarea;
    10) data şi timpul demarării şi finalizării verificării;
    11) rezultatele verificării precedente;
    12) circumstanțele reale, încălcările depistate şi neajunsurile constatate de către Comisie, cu menționarea faptului dacă acestea afectează prestarea serviciilor în domeniul semnăturii electronice şi activitatea subiectului verificării;
    13) lista activităților efectuate de către Comisie;
    14) faptele de obstrucționare a verificării (dacă au avut loc);
    15) concluziile Comisiei.
    32. Alte informaţii, precum şi copiile documentelor se reflectă în anexele la actul de control.
    33. Membrul Comisiei, care nu este de acord cu concluziile Comisiei menționate în actul de control, semnează actul cu mențiunea privind existenta opiniei separate şi expune opinia separată, care se anexează la actul de control.
    34. Dacă conducătorul sau persoana împuternicită a subiectului verificării are obiecții referitor la faptele şi concluziile expuse în actul de control, semnează actul cu mențiunea „Obiecții, care se anexează la actul de control”. Obiecțiile se întocmesc ca document separat, se autentifică prin semnătura conducătorului sau persoanei împuternicite a subiectului verificării şi se anexează la actul de control.
    35. Dacă conducătorul sau persoana împuternicită a subiectului verificării refuză să ia cunoștință cu actul de control sau să-l semneze, președintele Comisiei menționează despre aceasta în actul de control, fapt confirmat prin semnătura președintelui şi al unuia din membrii Comisiei.
    36. În cazul în care se depistează încălcări ale obligaţiilor prevăzute de legislația în vigoare, organul competent emite, în baza actului de control, prescripția privind lichidarea acestor încălcări, cu înaintarea recomandărilor privind modul de remediere a tuturor încălcărilor depistate, precum şi avertizarea despre posibila suspendare sau retragere a acreditării dacă acestea nu vor fi lichidate în termenul stabilit.
    37. Prescripția se întocmește în două exemplare. Un exemplar, în termen de 5 zile lucrătoare de la data întocmirii prescripției, se prezintă conducătorului subiectului verificării sau persoanei împuternicite, iar al doilea exemplar cu semnătura conducătorului sau persoanei împuternicite a subiectului verificării, cu termenii coordonați de înlăturare a încălcărilor depistate rămîne la organul competent.
    38. În cazul refuzului conducătorului sau al persoanei împuternicite a subiectului verificării de a primi prescripția, aceasta se remite prin scrisoare cu aviz de recepție.
    39. Termenul minim stabilit de organul competent pentru lichidarea încălcărilor depistate constituie 10 zile lucrătoare, iar cel maxim – 30 de zile lucrătoare după primirea prescripției expediate/înmînate împreună cu actul de control.
    40. În cazuri excepţionale şi la solicitarea oficială a prestatorului, termenul pentru lichidarea încălcărilor poate fi prelungit cu cel mult 20 de zile lucrătoare.
    41. Prestatorul care a primit prescripția privind lichidarea încălcărilor este obligat, în termenul indicat în prescripție, să comunice organului competent informaţia privind lichidarea încălcărilor.
    42. Organul competent organizează activitatea Comisiei în ce privește efectuarea controlului repetat, după expirarea termenului stabilit în prescripție, pentru stabilirea înlăturării încălcărilor depistate anterior.
    43. În cazul constatării semnelor de compromitere a cheilor private ale prestatorului, în cazul încălcării obligaţiilor prevăzute de legislație, precum şi în cazul neînlăturării, în termenul stabilit, a datelor eronate din certificatele cheilor publice, organul competent poate aplica măsuri de suspendare sau retragere a acreditării prestatorului în conformitate cu legislația în vigoare.
    44. Acreditarea poate fi suspendată sau retrasă în conformitate cu legislația în domeniul reglementării activităţii de întreprinzător și în condițiile indicate în Legea nr. 91 din 29 mai 2014 privind semnătura electronică şi documentul electronic.
    45. Informațiile despre rezultatele controlului se publică, de către organul competent, pe pagina web oficială.
    46. Conducătorul subiectului verificării are dreptul de a depune la organul competent reclamații în scris despre încălcările actelor normative în domeniul semnăturii electronice şi prezentului Regulament, comise de către Comisie, sau să conteste acțiunile Comisiei în instanța judecătorească.


    1. Prezentul Regulament este elaborat în conformitate cu prevederile Legii nr.91 din 29 mai 2014 cu privire la semnătura electronică şi documentul electronic.
    2. Regulamentul stabileşte condiţiile generale de organizare a activităţii Prestatorului de servicii de certificare a cheilor publice de nivel superior (în continuare - Prestator superior), precizează funcţiile, obligaţiile şi drepturile acestuia, mecanismul şi procedurile aplicate de către Prestatorul superior la administrarea infrastructurii ierarhice unice a cheilor publice (Public Key Infrastructure, PKI), precum şi modul de conlucrare cu prestatorii de servicii de certificare în domeniul aplicării semnăturii electronice avansate calificate de nivelul al doilea (în continuare - Prestatorii inferiori) şi cu utilizatorii semnăturii electronice avansate calificate, precum şi măsurile tehnico-organizatorice de bază pentru asigurarea securităţii.
    3. Regulamentul este un act normativ în domeniul aplicării semnăturii electronice avansate calificate, obligatoriu pentru toate persoanele fizice şi juridice ce utilizează semnătura electronică sau desfășoară activităţi în domeniul semnăturii electronice avansate calificate.
    4. Prestatorul superior este o subdiviziune structurală a Serviciului de Informaţii şi Securitate al Republicii Moldova (în continuare - Serviciul) care îşi desfășoară activitatea în domeniul protecţiei criptografice şi tehnice a informaţiei.
    5. Prestatorul superior îndeplinește următoarele funcţii:
    1) certifică cheile publice ale Prestatorilor inferiori;
    2) suspendă şi restabilește valabilitatea, revocă certificatele cheilor publice emise de către Prestatorul superior;
    3) întocmește şi gestionează Registrul certificatelor cheilor publice ale Prestatorilor inferiori (în continuare - Registrul certificatelor cheilor publice);
    4) confirmă autenticitatea şi valabilitatea certificatelor cheilor publice ale Prestatorilor inferiori.
    6. Pentru îndeplinirea funcțiilor sale, Prestatorul superior:
    1) asigură crearea şi eliberarea certificatelor cheilor publice pe baza cererii depuse din partea Prestatorilor inferiori, sub formă de document electronic semnat cu semnătura electronică şi/sau sub formă de document pe suport de hîrtie semnat cu semnătura olografă, în conformitate cu procedurile stabilite de prezentul Regulament;
    2) suspendă şi revocă certificatele cheilor publice ale Prestatorilor inferiori, precum și restabilește valabilitatea certificatelor suspendate, în cazurile şi conform procedurilor stabilite de prezentul Regulament;
    3) ţine evidenţa Prestatorilor inferiori;
    4) gestionează Registrul certificatelor cheilor publice, asigură actualizarea acestuia și accesul public la Registru;
    5) asigură conlucrarea cu Prestatorii inferiori în cadrul infrastructurii ierarhice unice a cheilor publice;
    6) acordă asistența metodică și practică Prestatorilor inferiori;
    7) confirmă autenticitatea şi valabilitatea certificatelor cheilor publice ale Prestatorilor inferiori;
    8) confirmă autenticitatea şi valabilitatea certificatelor cheilor publice emise de către Prestatorii inferiori, în cazurile prevăzute de prezentul Regulament;
    9) desfășoară activitatea în domeniul protecţiei criptografice şi tehnice a informaţiei;
    10) creează sistemele informaţionale şi de comunicaţii ale Prestatorului superior, asigură funcţionarea, securitatea, deservirea şi modernizarea lor, efectuează auditul intern permanent al securităţii şi funcționalității acestor sisteme.
    7. Prestatorul superior este obligat:
    1) să-şi desfășoare activitatea în strictă conformitate cu legislația şi cerinţele stabilite de organul competent responsabil de elaborarea şi promovarea politicii de stat şi de exercitarea controlului în domeniul aplicării tuturor tipurilor de semnături electronice (în continuare - organul competent);
    2) să utilizeze dispozitivele de creare şi/sau de verificare a semnăturii şi produsele asociate semnăturii electronice care dispun de confirmarea corespunderii cu cerințele prevăzute de legislația în vigoare;
    3) să utilizeze dispozitivele de creare şi/sau de verificare a semnăturii şi produsele asociate semnăturii electronice în conformitate cu documentația de exploatare;
    4) să organizeze regimul interior de funcţionare astfel încît să se excludă posibilitatea accesului persoanelor terţe la dispozitivele de creare şi/sau de verificare a semnăturii şi produsele asociate semnăturii electronice, la modificarea şi utilizarea lor neautorizată;
    5) să asigure securitatea cheilor private şi să creeze condiţiile necesare pentru excluderea accesului neautorizat la cheile private;
    6) să administreze suporturile materiale de chei private în conformitate cu cerinţele stabilite de organul competent;
    7) să utilizeze cheia privată a Prestatorului superior numai la semnarea certificatelor cheilor publice eliberate de acesta şi a listelor certificatelor revocate;
    8) să creeze certificatul cheii publice a Prestatorului superior şi lista certificatelor revocate în conformitate cu cerinţele stabilite de organul competent şi de prezentul Regulament;
    9) să nu utilizeze cheia privată pentru crearea semnăturii electronice avansate calificate dacă are motive să presupună că este încălcată confidenţialitatea cheii private;
    10) să revoce sau să suspende imediat valabilitatea certificatului cheii publice a Prestatorului superior în cazul în care are motiv să creadă că a fost încălcată confidenţialitatea cheii private, precum şi în cazul în care informațiile cuprinse în certificatul cheii publice nu corespund realității;
    11) să primească cererile de certificare a cheilor publice de la Prestatorii inferiori în conformitate cu procedurile stabilite de prezentul Regulament;
    12) să verifice autenticitatea datelor stipulate în cererea de certificare a cheii publice în baza documentelor ce confirmă aceste date, să asigure corespunderea informațiilor din certificatul cheii publice cu informațiile prezentate de către titularul certificatului cheii publice;
    13) să asigure unicitatea informaţiei de înregistrare a prestatorilor inferiori în Registrul certificatelor cheilor publice;
    14) să nu divulge informațiile cu accesibilitate limitată şi alte informaţii protejate de lege;
    15) să verifice unicitatea cheilor publice certificate;
    16) să asigure unicitatea numerelor de înregistrare ale certificatelor cheilor publice eliberate;
    17) să creeze certificatul cheii publice a Prestatorilor inferiori, conform cerinţelor stabilite de organul competent şi de prezentul Regulament;
    18) să introducă certificatul cheii publice în Registrul certificatelor cheilor publice nu mai tîrziu de data şi ora la care începe să curgă termenul de valabilitate a certificatului;
    19) să elibereze certificatele cheilor publice către Prestatorii inferiori în conformitate cu procedurile stabilite de prezentul Regulament;
    20) să suspende şi să revoce certificatele cheilor publice, precum și să restabilească valabilitatea certificatelor cheilor publice suspendate a Prestatorului inferior în cazurile şi conform procedurilor stabilite de prezentul Regulament;
    21) să înscrie datele privind certificatul cheii publice revocat sau suspendat în lista certificatelor revocate în termen de 3 ore de lucru, precizînd data, ora şi cauza revocării sau suspendării valabilității certificatului, efectuînd mențiunile respective în Registrul certificatelor cheilor publice;
    22) să excludă din lista certificatelor revocate datele privind certificatul cheii publice suspendat în termen de
    3 ore de lucru din momentul restabilirii valabilității acestuia, efectuînd mențiunile respective în Registrul certificatelor cheilor publice;
    23) să înștiințeze din timp Prestatorul inferior despre suspendarea valabilității sau revocarea certificatului cheii publice, în cazurile şi conform procedurilor stabilite de prezentul Regulament;
    24) să înștiințeze Prestatorul inferior despre faptele de care a luat cunoștință Prestatorul superior și care pot influenţa esențial asupra posibilității utilizării ulterioare a certificatului cheii publice de către Prestatorul inferior;
    25) să înștiințeze Prestatorul inferior despre faptele care au devenit cunoscute Prestatorului superior și care fac imposibilă utilizarea în continuare a cheii private, precum și despre revocarea certificatului cheii publice, ce aparține acestuia;
    26) să păstreze certificatul cheii publice a Prestatorului inferior, precum şi alte informaţii despre acest certificat nu mai puțin de 15 ani de la data revocării sau expirării termenului de valabilitate a certificatului;
    27) să asigure actualizarea Registrului certificatelor cheilor publice şi posibilitatea accesului public la acesta, inclusiv în regimul timpului real, să întreprindă măsurile necesare pentru asigurarea securităţii Registrului;
    28) să pună la dispoziția Prestatorilor inferiori datele din Registrul certificatelor cheilor publice privind certificatele revocate sau suspendate;
    29) să creeze şi să păstreze copia de rezervă a Registrului certificatelor cheilor publice în conformitate cu cerinţele stabilite de organul competent;
    30) să asigure posibilitatea de stabilire cu exactitate a datei şi a orei eliberării, suspendării valabilității certificatului cheii publice sau revocării acestuia;
    31) la cererea utilizatorilor semnăturii electronice avansate calificate, să confirme autenticitatea şi valabilitatea certificatelor cheilor publice ale Prestatorilor inferiori;
    32) la cererea instanței de judecată, a altor persoane şi organe ce dispun de acest drept în temeiul legii sau în alte cazuri prevăzute de legislația în domeniul aplicării semnăturii electronice, să confirme autenticitatea şi valabilitatea certificatelor cheilor publice eliberate de Prestatorii inferiori şi să prezinte, pe suport de hîrtie, copiile certificatelor cheilor publice incluse în Registrul certificatelor cheilor publice;
    33) să sincronizeze activitatea Prestatorului superior, inclusiv a mijloacelor tehnice şi/sau de program conform destinației, cu Timpul Mondial Coordonat (UTC). Se permite sincronizarea serviciilor conform Timpului Greenwich (Greenwich Mean Team, GMT), fără trecerea la ora de vară;
    34) să amplaseze mijloacele tehnice şi/sau de program, destinate pentru certificarea cheilor publice, în încăperi speciale şi să asigure securitatea acestora;
    35) să dispună de personal cu studii superioare în domeniul tehnologiei informaţiei şi/sau al securităţii informaţionale, cu nivel corespunzător de competente şi experiență de gestionare şi expertizare în domeniul semnăturii electronice.
    8. Prestatorul superior are dreptul:
    1) să creeze certificatul cheii publice său şi să îndeplinească procedura de eliberare către sine a certificatului cheii publice;
    2) să refuze eliberarea certificatului cheii publice către Prestatorul inferior, precizînd motivele refuzului, în cazurile:
    a) prezentării în cererea de certificare a cheilor publice a unor informaţii neveridice, ce nu corespund realității;
    b) încălcării prevederilor legislației în domeniul aplicării semnăturii electronice;
    c) la afectarea confidențialității cheii private;
    d) încălcării drepturilor unor terți în procesul de întocmire sau de depunere a cererii de certificare;
    3) să confirme autenticitatea şi valabilitatea certificatelor cheilor publice ale utilizatorilor semnăturii electronice avansate calificate;
    4) să suspende valabilitatea sau să revoce certificatul cheii publice a Prestatorului inferior în cazurile şi în modul prevăzute de legislație şi de prezentul Regulament.
    9. Prestatorul superior îndeplinește următoarele proceduri:
    1) generarea perechilor de chei a Prestatorului superior, certificarea cheilor publice a Prestatorilor inferiori;
    2) suspendarea valabilității certificatului cheii publice a prestatorilor inferiori;
    3) revocarea certificatului cheii publice a Prestatorilor inferiori;
    4) confirmarea autenticității şi valabilității certificatului cheii publice.
    10. Certificarea cheii publice a Prestatorului superior se realizează conform următoarelor proceduri:
    1) crearea certificatului cheii publice a Prestatorului superior se realizează de însuși Prestatorul superior, în temeiul împuternicirilor stabilite de legislația în domeniul aplicării semnăturii electronice.
    2) Prestatorul superior creează cheia sa privată şi cea publică conform cerinţelor stabilite de organul competent;
    3) Prestatorul superior creează certificatul cheii publice sub formă de document electronic pe care îl semnează cu cheia sa privată;
    4) Certificatul cheii publice a Prestatorului superior sub formă de document electronic trebuie să corespundă standardului SM ISO/CEI 9594-8:2014 Tehnologia informaţiei. Interconexiunea sistemelor deschise. Linie directoare, standardului Uniunii Internaționale de Telecomunicaţii ITU-T X.509, versiunea 3, şi recomandării IETF (Internet Engineering Task Force) RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Revocation List (CRL) (RFC 3280).
    11. După crearea certificatului cheii publice sub formă de document electronic, Prestatorul superior creează certificatul cheii sale publice sub formă de document pe suport de hîrtie, cu următorul conţinut:
    1) numărul unic de înregistrare a certificatului cheii publice;
    ) denumirea Prestatorului superior care a eliberat certificatul cheii publice cu numărul de identitate a persoanei juridice (IDNO);
    3) datele de identitate şi alte date ale titularului certificatului cheii publice, în funcție de scopul pentru care se eliberează certificatul;
    4) cheia publică;
    5) data şi ora la care începe să curgă termenul de valabilitate a certificatului cheii publice;
    6) data şi ora la care se încetează termenul de valabilitate a certificatului cheii publice;
    7) datele despre algoritmul criptografic al semnăturii electronice;
    8) restricțiile privind utilizarea certificatului cheii publice şi/sau limitele valorii operaţiunilor în care acesta poate fi utilizat, dacă acestea se aplică;
    9) alte informaţii prevăzute de legislație.
    12. Structura certificatului cheii publice a Prestatorului superior este prezentată în Anexa nr. 1 la prezentul Regulament.
    13. Certificatul cheii publice a Prestatorului superior pe suport de hîrtie se semnează cu semnătura olografă a persoanei cu atribuții corespunzătoare conform fişei postului, se aprobă de directorul Serviciului şi se autentifică cu ștampila Serviciului.
    14. Certificatul cheii publice a Prestatorului superior, sub formă de document electronic, este valabil în următoarele condiţii:
    1) informațiile cuprinse în certificat corespund informațiilor precizate în certificatul aprobat al cheii publice pe suport de hîrtie;
    2) certificatul este semnat cu cheia privată a Prestatorului superior, care corespunde cheii publice precizate în certificat.
    15. În scopul recunoașterii internaționale a certificatelor cheilor publice eliberate în cadrul infrastructurii cheilor publice din Republica Moldova, se admite certificarea cheii publice a Prestatorului superior de către prestatorul internațional de servicii de certificare .
    16. Certificatul cheii publice a Prestatorului superior se păstrează în Registrul certificatelor cheilor publice sub formă de document pe suport de hîrtie şi sub formă de document electronic.
    17. Suspendarea valabilității certificatului cheii publice a Prestatorului superior se realizează prin decizia organului competent în cazul:
    1) încălcării legislației în domeniul aplicării semnăturii electronice;
    2) cererii Prestatorului superior;
    3) pierderii cheii private;
    4) existenţei motivelor să creadă că a fost încălcată confidenţialitatea cheii private;
    5) existenţei motivelor de a presupune că informațiile cuprinse în certificatul cheii publice nu corespund realității.
    18. Valabilitatea certificatului cheii publice a Prestatorului superior se suspendă prin dispoziția directorului Serviciului, pe o durată de pînă la 30 de zile.
    19. Certificatul cheii publice a Prestatorilor superior a cărui valabilitate a fost suspendată, în termen de 3 ore de lucru, se înscrie în lista certificatelor revocate a Prestatorului superior și se emite lista actualizată a certificatelor revocate şi efectuează mențiunile respective în registrul certificatelor cheilor publice.
    20. Ora suspendării valabilității certificatului cheii publice a Prestatorilor superior se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    21. Lista certificatelor revocate a Prestatorului superior este un document electronic şi trebuie să corespundă standardului SM ISO/CEI 9594-8:2014 Tehnologia informaţiei. Interconexiunea sistemelor deschise. Linie directoare, standardului Uniunii Internaționale de Telecomunicaţii ITU-T X.509, versiunea 2, şi recomandării IETF RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Revocation List (CRL) (RFC 3280).
    22. Structura listei certificatelor revocate este prezentată în Anexa nr. 2 la prezentul Regulament.
    23. În cazul suspendării valabilității certificatului cheii publice a Prestatorului superior, prin dispoziția directorului Serviciului, este creată comisia pentru efectuarea unei cercetări de serviciu.
    24. Din componenta Comisiei fac parte:
    1) reprezentanții organului competent;
    2) conducătorul Prestatorului superior;
    3) alte persoane care posedă cunoștințe şi experiența necesară în domeniul aplicării semnăturii electronice şi întocmirii documentelor electronice.
    25. Persoanele care fac parte din componenta Comisiei beneficiază de acces liber la materialele documentare, pe suport de hîrtie şi în format electronic, necesare pentru desfășurarea lucrărilor ce țin de prestarea serviciilor de certificare, precum şi la sistemele de distribuție de program, la mijloacele de program şi mijloacele tehnice instalate.
    26. Comisia examinează, la nivel tehnico-organizatoric, împrejurările ce au dus la suspendarea valabilității certificatului cheii publice a Prestatorului superior, stabileşte cauzele şi urmările situației create, identifică măsurile necesare pentru soluționarea acesteia.
    27. Durata de activitate a Comisiei nu poate depăși 30 de zile din ziua suspendării valabilității certificatului cheii publice a Prestatorului superior.
    28. În termen de 5 zile pînă la expirarea termenului pe care a fost suspendată valabilitatea certificatului cheii publice a Prestatorului superior, Comisia întocmește un act, indicînd împrejurările ce au dus la suspendarea valabilității certificatului cheii publice, cauzele şi urmările situației create, măsurile necesare pentru soluționarea acesteia şi recomandările privind restabilirea valabilității sau revocarea certificatului cheii publice a Prestatorului superior.
    29. Pe baza rezultatelor stabilite de Comisie, în termen de 5 zile pînă la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice a Prestatorului superior, prin dispoziția directorului Serviciului se adoptă decizia privind restabilirea valabilității sau revocarea cheii publice a Prestatorului superior.
    30. În cazul în care pînă la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice nu se adoptă decizia privind restabilirea valabilității acestuia, certificatul cheii publice se revocă.
    31. Certificatul cheii publice a Prestatorului superior a cărui valabilitate a fost restabilită, în termen de 3 ore de lucru, va fi radiat din lista certificatelor revocate, şi Prestatorul superior va emite lista actualizată a certificatelor revocate.
    32. Ora restabilirii valabilității certificatului cheii publice a Prestatorului superior se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    33. Certificatul cheii publice a Prestatorului superior se revocă pe baza deciziei organului competent în următoarele cazuri:
    1) în cazul încălcării confidenţialităţii cheii private (compromiterea cheii private) sau pierderii acesteia;
    2) la depistarea unor informaţii neveridice în cererea de certificare a cheii publice sau în certificatul cheii publice;
    3) la modificarea certificatului cheii publice;
    4) la cererea Prestatorului superior;
    5) la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice şi în lipsa unei cereri din partea titularului certificatului cheii publice privind restabilirea valabilității acestuia;
    6) la solicitarea organului competent, în cazul încălcării legislației în vigoare.
    34. Revocarea certificatului cheii publice a Prestatorului superior din motivele indicate la punctul 37 literele a) şi b) din prezentul Regulament se va face numai după suspendarea prealabilă a valabilității certificatului.
    35. Decizia privind revocarea certificatului cheii publice a Prestatorului superior se perfectează prin dispoziția directorului Serviciului.
    36. Certificatul revocat al cheii publice a Prestatorului superior, în termen de 3 ore de lucru, se înscrie în lista certificatelor revocate, şi Prestatorul superior emite lista actualizată a certificatelor revocate.
    37. Ora revocării certificatului cheii publice a Prestatorului superior se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    38. În cazul revocării certificatului cheii publice din motivul expirării termenului de valabilitate, certificatul dat nu se înscrie în lista certificatelor revocate.
    39. După primirea certificatului de acreditare, Prestatorul inferior creează cheia sa privată şi cea publică în conformitate cu cerinţele stabilite de organul competent.
    40. Cheia publică al Prestatorului inferior se certifică de către Prestatorul superior în conformitate cu prezentul Regulament.
    41. Pentru certificarea cheii publice a Prestatorului inferior, aceasta prezintă prin reprezentantul acestuia Prestatorului superior următoarele documente şi informaţii:
    1) cererea de certificare a cheii publice în formă electronică semnată cu semnătură electronică şi/sau în formă de document pe suport de hîrtie, semnat cu semnătura olografă a solicitantului (Anexa nr. 3 la prezentul Regulament);
    2) cererea de certificare a cheii publice sub formă de document electronic semnat cu semnătura electronica avansată calificată a Prestatorului inferior cu utilizarea cheii private ce corespunde cheii publice supuse certificării - pe suport material;
    3) copia şi originalul ordinului conducătorului Prestatorului inferior cu privire la numirea reprezentantului sau conducătorului nemijlocit al Prestatorului inferior;
    4) copia şi originalul buletinului de identitate al reprezentantului sau conducătorului nemijlocit al Prestatorului inferior;
    5) suportul material al certificatului cheii publice sub formă de document electronic, ce trebuie să corespundă cerinţelor stabilite de organul competent.
    42. Cererea de certificare a cheii publice a Prestatorului inferior trebuie să conțină:
    1) datele de identitate şi alte date ale Prestatorului inferior, în funcție de scopul pentru care se eliberează certificatul, precum şi informațiile necesare pentru comunicarea cu acesta;
    2) cheia publică ce urmează a fi certificată.
    43. Cererea de certificare a cheii publice a Prestatorului inferior sub formă de document electronic trebuie să corespundă standardului PKCS=10: Certification Request Syntax Specification Version 1.7 şi recomandării IETF (Internet Engineering Task Force) RFC 2986 Certification Request Syntax Specification.
    44. Structura cererii de certificare a cheii publice a Prestatorului inferior sub formă de document electronic este prezentată în Anexa nr. 4 la prezentul Regulament.
    45. Prestatorul superior, în baza documentelor prezentate de către Prestatorul inferior, efectuează controlul prealabil.
    46. La efectuarea controlului prealabil, Prestatorul superior trebuie să urmărească îndeplinirea următoarelor condiţii:
    1) respectarea de către solicitant a prevederilor legislației în vigoare în domeniul aplicării semnăturii electronice la întocmirea şi înaintarea cererii de certificare a cheii publice;
    2) respectarea de către solicitant a drepturilor unor terți în procesul de întocmire sau de depunere a cererii de certificare a cheii publice;
    3) corespunderea informațiilor cuprinse în cererea de certificare a cheii publice sub formă de document electronic cu informațiile cuprinse în cererea respectivă sub formă de document pe suport de hîrtie;
    4) valabilitatea informațiilor prezentate în cererea de certificare a cheilor publice.
    47. În cazul îndeplinirii de către solicitant a tuturor condiţiilor prevăzute la punctul 46 al prezentului Regulament, Prestatorul superior înregistrează cererea Prestatorului inferior. În caz contrar, refuză înregistrarea cererii Prestatorului inferior şi restituie solicitantului documentele prezentate.
    48. Decizia privind refuzul de înregistrare a cererii Prestatorul inferior poate fi atacată la organul competent sau în instanța de judecată. Refuzul nu împiedică depunerea repetată a cererii, dacă au fost înlăturate cauzele care au servit drept temei pentru refuz.
    49. În cazul înregistrării cererii, Prestatorul superior ia decizia despre certificarea cheii publice a Prestatorului inferior în termen de 3 zile lucrătoare din data înregistrării cererii.
    50. În cazul depistării unor încălcări ale legislației în domeniul aplicării semnăturii electronice, Prestatorul superior ia decizia privind refuzul certificării cheii publice, indicînd obligatoriu motivele refuzului.
    51. Decizia privind refuzul de certificare a cheii publice poate fi atacată la organul competent sau în instanța de judecată competentă şi nu împiedică depunerea repetată a cererii, dacă au fost înlăturate cauzele care au servit drept temei pentru refuz.
    52. În cazul deciziei de aprobare privind certificarea cheii publice, Prestatorul superior creează certificatul cheii publice a Prestatorului inferior sub formă de document pe suport de hîrtie, în două exemplare.
    53. Certificatul cheii publice a Prestatorului inferior trebuie să conțină:
    1) numărul unic de înregistrare a certificatului cheii publice;
    2) datele de identificare ale Prestatorului superior;
    3) datele de identificare şi alte date ale Prestatorului inferior, în funcție de scopul pentru care se eliberează certificatul, precum şi informațiile necesare pentru comunicarea cu acesta;
    4) cheia publică a Prestatorului inferior;
    5) data şi ora la care începe să curgă termenul de valabilitate al certificatului cheii publice şi data şi ora la care acest termen încetează;
    6) datele despre algoritmul criptografic al semnăturii;
    7) domeniile de aplicare a semnăturii electronice;
    8) semnătura electronică a Prestatorului superior, emitentului certificatului;
    9) alte date, în conformitate cu standardele tehnice şi cerinţele stabilite de organul competent.
    54. Certificatul cheii publice a Prestatorului inferior sub formă de document electronic trebuie să corespundă standardului SM ISO/CEI 9594-8:2014 Tehnologia informaţiei. Interconexiunea sistemelor deschise. Linie directoare, standardului Uniunii Internaționale de Telecomunicaţii ITU-T X.509, versiunea 3, şi recomandării IETF (Internet Engineering Task Force) RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Revocation List (CRL) (RFC 3280).
    55. Structura certificatului cheii publice a Prestatorului inferior este prezentată în Anexa nr. 5 la prezentul Regulament.
    56. Prestatorul superior creează certificatul cheii publice a Prestatorului inferior sub formă de document electronic, corespunzător certificatului pe suport de hîrtie, şi îl semnează cu semnătura electronică.
    57. Certificatul cheii publice a Prestatorului inferior sub formă de document electronic este valabil cu condiția că conține date ce corespund informațiilor cuprinse în certificatul corespunzător pe suport de hîrtie.
    58. Termenul de valabilitate a cheii private a Prestatorului inferior este de 5 ani. Începutul perioadei de valabilitate a cheii private se consideră data şi ora la care începe termenul de valabilitate al certificatului cheii publice ce-i corespunde.
    59. Termenul de valabilitate al certificatului cheii publice, ce corespunde cheii private a Prestatorului inferior, constituie 10 de ani.
    60. Certificatul cheii publice a Postatorului inferior sub formă de document pe suport de hîrtie, în două exemplare, se semnează cu semnătura olografă a reprezentantului Prestatorului şi se autentifică cu ștampila organului competent.
    61. Prestatorului inferior i se eliberează:
    1) un exemplar al certificatului cheii publice a Prestatorului inferior sub formă de document pe suport de hîrtie, semnat și autentificat cu ștampila;
    2) suportul material ce conține următoarele documente electronice:
    a) certificatul cheii publice a Prestatorului inferior;
    b) certificatul cheii publice a Prestatorului superior;
    c) lista actualizată a certificatelor revocate;
    3) documentul pe suport de hîrtie, conţinînd datele de identitate ale Prestatorului inferior și fraza-cheie pentru autentificarea la distanță a reprezentantului acestuia.
    62. Certificatul cheii publice a Prestatorului inferior se păstrează în Registrul certificatelor cheilor publice sub formă de document electronic şi document pe suport de hîrtie.
    63. Suspendarea valabilității certificatului cheii publice a Prestatorului inferior se efectuează:
    1) la cererea Prestatorului inferior;
    2) în baza deciziei organului competent;
    3) în baza deciziei Prestatorului superior.
    64. Prestatorul inferior poate cere suspendarea valabilității certificatului cheii publice ce-i aparține dacă are motive să presupună că a fost încălcată confidenţialitatea cheii private, precum şi în cazul în care informațiile cuprinse în certificatul cheii publice nu corespund realității.
    65. Cererea de suspendare a valabilității certificatului cheii publice a Prestatorului inferior (conform Anexei nr. 6 la prezentul Regulament) se depune sub formă de document pe suport de hîrtie sau document electronic.
    66. În cazuri excepţionale, cînd este necesară suspendarea urgentă a valabilității certificatului cheii publice a Prestatorului inferior, cererea poate fi prezentată verbal, cu confirmarea ulterioară a acesteia sub formă de document pe suport de hîrtie sau document electronic, în termen de o zi lucrătoare.
    67. Cererea de suspendare a valabilității certificatului cheii publice a Prestatorului inferior trebuie să conțină:
    1) datele de identitate ale Prestatorului inferior;
    2) numărul certificatului cheii publice a cărui valabilitate se suspendă;
    3) termenul pentru care se suspendă valabilitatea certificatului cheii publice;
    4) motivul suspendării valabilității certificatului cheii publice;
    5) data semnării cererii, semnătura reprezentantului sau conducătorului nemijlocit al Prestatorului inferior.
    68. Cererea de suspendare a valabilității certificatului cheii publice sub formă de document pe suport de hîrtie se depune Prestatorului superior personal de către reprezentantul Prestatorului inferior, iar sub formă de document electronic - prin intermediul sistemului de schimb electronic de documente.
    69. Cererea de suspendare a valabilității certificatului cheii publice în formă verbală se transmite de către reprezentantul Prestatorului inferior prin mijloacele legăturii telefonice.
    70. Prestatorul superior efectuează autentificarea Prestatorului inferior care solicită suspendarea valabilității certificatului cheii publice ce-i aparține. Autentificarea se realizează conform:
    1) datelor din buletinul de identitate al solicitantului;
    2) certificatului cheii publice, prin confirmarea autenticității cererii de suspendare a valabilității certificatului cheii publice sub formă de document electronic;
    3) frazei-cheie pentru autentificarea la distanță, comunicată la telefon de către reprezentantul Prestatorului inferior.
    71. Prestatorul superior ia decizia privind suspendarea valabilității certificatului în termen de 3 ore de lucru din momentul primirii cererii de suspendare a valabilității certificatului cheii publice a Prestatorului inferior.
    72. Ora suspendării valabilității certificatului cheii publice a Prestatorului inferior se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    73. Prestatorul superior comunică în scris Prestatorului inferior despre decizia privind suspendarea valabilității certificatului cheii publice sau despre refuzul de suspendare, cu precizarea motivelor refuzului, în termen de 3 zile lucrătoare.
    74. Valabilitatea certificatului cheii publice a Prestatorului inferior se suspendă prin decizia organului competent, perfectată sub formă de dispoziție a directorului Serviciului.
    75. Dacă Prestatorul superior are motive să presupună că a fost încălcată confidenţialitatea cheii private a Prestatorului inferior sau informațiile cuprinse în certificatul cheii publice nu corespund realității, Prestatorul superior este în drept să ia unilateral decizia privind suspendarea valabilității certificatului cheii publice corespunzătoare.
    76. În cazul suspendării valabilității certificatului cheii publice a Prestatorului inferior pe baza deciziei organului competent sau a Prestatorului superior, Prestatorul superior informează imediat, prin mijloacele legăturii telefonice, Prestatorul inferior despre suspendarea valabilității certificatului cheii publice a acestuia, comunicînd ulterior în scris decizia în termen de 3 zile lucrătoare.
    77. Valabilitatea certificatului cheii publice a Prestatorului inferior se suspendă pentru o perioadă de pînă la 30 de zile.
    78. Certificatul cheii publice a Prestatorului inferior al cărui valabilitate a fost suspendată, în termen de 3 ore de lucru, va fi înscris în lista certificatelor revocate, iar Prestatorul superior va emite lista actualizată a certificatelor revocate.
    79. În cazul în care pînă la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice nu a fost luată decizia privind restabilirea valabilității acestuia, certificatul cheii publice se revocă.
    80. Restabilirea valabilității certificatului cheii publice a Prestatorului inferior se efectuează:
    1) la cererea Prestatorului inferior;
    2) în baza deciziei organului competent;
    3) în baza deciziei Prestatorului superior.
    81. Cererea de restabilire a valabilității certificatului cheii publice a Prestatorului inferior (conform Anexei nr. 7 la prezentul Regulament) reprezintă un document pe suport de hîrtie semnat cu semnătura olografă a reprezentantului sau conducătorului nemijlocit al Prestatorului inferior.
    82. Cererea de restabilire a valabilității certificatului cheii publice a Prestatorului inferior se depune Prestatorului superior, nu mai tîrziu de 5 zile lucrătoare pînă la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice.
    83. Cererea de restabilire a valabilității certificatului cheii publice a Prestatorului inferior trebuie să conțină:
    1) datele de identitate ale Prestatorului inferior;
    2) numărul certificatului cheii publice a cărui valabilitate a fost suspendată;
    3) termenul pentru care a fost suspendată valabilitatea certificatului cheii publice;
    4) motivul suspendării valabilității certificatului cheii publice;
    5) justificarea restabilirii valabilității certificatului cheii publice;
    6) data semnării cererii, semnătura reprezentantului sau conducătorului nemijlocit al Prestatorului inferior.
    84. Prestatorul superiorii decizia de restabilire a valabilității certificatului în termen de 5 zile lucrătoare din data primirii cererii de restabilire a valabilității certificatului cheii publice.
    85. Prestatorul superior comunică în scris Prestatorului inferior despre decizia privind restabilirea sau privind refuzul de restabilire a valabilității certificatului cheii publice, indicînd motivele refuzului, în termen de 3 zile lucrătoare.
    86. Valabilitatea certificatului cheii publice a Prestatorului inferior, suspendată pe baza deciziei organului competent, se restabilește prin decizia organului competent, perfectată sub formă de dispoziție a directorului Serviciului.
    87. În cazul în care valabilitatea certificatului cheii publice a Prestatorului inferior a fost suspendată pe baza deciziei Prestatorului superior, Prestatorul superior este în drept să ia unilateral decizia privind restabilirea valabilității certificatului cheii publice corespunzător.
    88. În cazul restabilirii valabilității certificatului cheii publice a Prestatorului inferior pe baza deciziei organului competent sau a Prestatorului superior, Prestatorul superior informează în scris Prestatorul inferior despre restabilirea valabilității certificatului în termen de 3 zile lucrătoare.
    89. Certificatul cheii publice a Prestatorului inferior a cărui valabilitate a fost restabilită, în termen de 3 ore de lucru, va fi radiat din lista certificatelor revocate, iar Prestatorul superior va emite lista actualizată a certificatelor revocate.
    90. Ora restabilirii valabilității certificatului cheii publice a Prestatorului inferior se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    91. Certificatul cheii publice a Prestatorului inferior se revocă:
    1) la cererea Prestatorului inferior;
    2) pe baza deciziei organului competent;
    3) la încălcarea confidenţialităţii cheii private sau în cazul faptului constatat de compromitere a cheii private;
    4) la depistarea unor informaţii neveridice în cererea de certificare a cheii publice sau în certificatul cheii publice;
    5) la introducerea unor modificări în certificatul cheii publice;
    6) la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice, dacă nu a fost adoptată decizia de restabilire a valabilității acestuia;
    7) la expirarea termenului de valabilitate a certificatului cheii publice.
    92. Prestatorul inferior poate cere revocarea certificatului cheii publice ce-i aparține în cazul faptelor constatate de încălcare a confidenţialităţii cheii sale private sau în cazul în care informațiile cuprinse în certificat nu corespund realității, precum şi în alte cazuri prevăzute de Regulamentul Prestatorului inferior.
    93. Cererea de revocare a certificatului cheii publice a Prestatorului inferior (conform Anexei nr. 8 la prezentul Regulament) reprezintă un document pe suport de hîrtie semnat cu semnătura olografă a reprezentantului sau conducătorului nemijlocit a Prestatorului inferior.
    94. Cererea de revocare a certificatului cheii publice se depune Prestatorului superior personal de către reprezentantul sau conducătorul nemijlocit al Prestatorului inferior.
    95. Cererea de revocare a certificatului cheii publice a Prestatorului inferior trebuie să conțină:
    1) datele de identitate ale Prestatorului inferior;
    2) numărul certificatului cheii publice care se cere a fi revocat;
    3) motivul revocării certificatului cheii publice;
    4) data semnării cererii, semnătura reprezentantului sau a conducătorului nemijlocit al Prestatorului inferior.
    96. Prestatorul superiorii decizia privind revocarea certificatului în termen de 3 zile lucrătoare din momentul primirii cererii de revocare a certificatului cheii publice a Prestatorului inferior.
    97. Prestatorul superior comunică în scris Prestatorului inferior despre decizia de revocare a certificatului cheii publice sau despre refuzul revocării certificatului, indicînd motivele refuzului, în termen de 3 zile lucrătoare.
    98. Certificatul cheii publice a Prestatorului inferior se revocă pe baza deciziei organului competent, perfectată sub formă de dispoziție a directorului Serviciului.
    99. Prestatorul superior este în drept să ia unilateral decizia privind revocarea certificatului cheii publice al Prestatorului inferior:
    1) în cazul faptului constatat de compromitere a cheii private;
    2) la depistarea unor informaţii neveridice în cererea de certificare a cheii publice sau în certificatul cheii publice;
    3) la introducerea unor modificări în certificatul cheii publice;
    4) la expirarea termenului pentru care a fost suspendată valabilitatea certificatului cheii publice, dacă nu a fost adoptată decizia de restabilire a valabilității acestuia;
    5) la expirarea termenului de valabilitate a certificatului cheii publice.
    100. În cazul revocării certificatului cheii publice a Prestatorului inferior pe baza deciziei organului competent sau a Prestatorului superior, Prestatorul superior informează imediat, prin mijloacele legăturii telefonice, Prestatorul inferior despre revocarea certificatului cheii publice a acestuia, comunicînd ulterior în scris despre această decizie în termen de 3 zile lucrătoare.
    101. Certificatul cheii publice revocat al Prestatorului inferior în termen de 3 ore de lucru se înscrie în lista certificatelor revocate, iar Prestatorul superior emite lista actualizată a certificatelor revocate.
    102. Ora revocării certificatului cheii publice a Prestatorului inferior se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul This Update).
    103. În cazul revocării certificatului cheii publice pe motivul expirării termenului de valabilitate a acestuia, certificatul nu se înscrie în lista certificatelor revocate.
    104. Prestatorul superior confirmă autenticitatea şi valabilitatea certificatelor cheilor publice:
    1) ale Prestatorilor inferiori - la cererea utilizatorilor semnăturii electronice avansate calificate;
    2) eliberate de către Prestatorii inferiori - la cererea instanței de judecată, a altor persoane şi organe care au acest drept în temeiul legii sau în alte cazuri prevăzute de legislația în domeniul aplicării semnăturii electronice.
    105. Prestatorul superior asigură utilizatorilor semnăturii electronice avansate calificate posibilitatea de a stabili de sine stătător autenticitatea şi valabilitatea certificatului cheii publice a Prestatorului inferior prin:
    1) acordarea accesului liber la documentele electronice conținute în Registrul certificatelor cheilor publice;
    2) difuzarea liberă şi publicarea listei certificatelor revocate, sub formă de document electronic.
    106. Cererea utilizatorului semnăturii electronice avansate calificate de confirmare a autenticității şi valabilității certificatului cheii publice reprezintă un document pe suport de hîrtie semnat cu semnătura olografă a solicitantului (conform Anexei nr. 9 la prezentul Regulament).
    107. Cererea se depune Prestatorului superior împreună cu suportul material conţinînd certificatul cheii publice sub formă de document electronic a cărui autenticitate şi valabilitate trebuie confirmată.
    108. Prestatorul superior transmite solicitantului, în termen de 3 zile lucrătoare, un proces-verbal privind rezultatele verificării autenticității şi valabilității certificatului cheii publice, care va conține:
    1) timpul şi locul verificării;
    2) cauza verificării;
    3) datele Prestatorului superior;
    4) conținutul şi rezultatele verificării;
    5) evaluarea rezultatelor verificării şi concluziile corespunzătoare;
    6) alte date stabilite de Prestatorul superior.
    109. Prestatorul superior poate refuza solicitantului să verifice autenticitatea şi valabilitatea certificatului cheii publice a Prestatorului inferior dacă nu au fost prezentate toate documentele electronice necesare sau dacă suportul material este deteriorat.
    110. Termenul de valabilitate a cheii private a Prestatorului superior este de 10 ani. Începutul perioadei de valabilitate a cheii private se consideră data şi ora la care începe termenul de valabilitate a certificatului cheii publice ce-i corespunde.
    111. Termenul de valabilitate a certificatului cheii publice, ce corespunde cheii private a Prestatorului superior, constituie 20 de ani.
    112. La expirarea termenului de valabilitate a cheii private a Prestatorului superior, cheia privată se distruge. Se creează din nou cheia privată şi cea publică, precum şi certificatul cheii publice.
    113. Schimbarea planificată a cheii private şi a cheii publice corespunzătoare, ce aparțin Prestatorului superior, se efectuează nu mai devreme de 9 ani şi 11 luni, şi nu mai tîrziu de 9 ani şi 12 luni de la data la care începe termenul de valabilitate a cheii private a Prestatorului superior.
    114. Schimbarea în afara acestui termen a cheilor se efectuează în cazul compromiterii sau pericolului de compromitere a cheii private a Prestatorului superior.
    115. Procedurile de schimbare planificată a cheilor se realizează în conformitate cu cerinţele stabilite de organul competent.
    116. Cheia privată a Prestatorului superior se utilizează exclusiv pentru semnarea cu semnătura electronică a:
    1) certificatului cheii publice a Prestatorului superior;
    2) certificatelor cheilor publice ale Prestatorilor inferiori;
    3) listelor certificatelor revocate.
    117. Cheia privată a Prestatorului superior se păstrează şi se utilizează în condiţii ce exclud încălcarea confidenţialităţii acesteia.
    118. Accesul la suportul material al cheii private al Prestatorului superior se efectuează cu autorizarea minimum a doi reprezentanți ai Prestatorului superior în așa mod, încît în cazul absenței cel puțin a uneia dintre aceste persoane, accesul la cheia privată să fie imposibil de realizat. În cazul absenței temporare a persoanelor respective, accesul se realizează în prezenţa persoanelor care le înlocuiesc.
    119. Personalul, conform fișelor de post:
    1) utilizează cheia sa privată evitînd încălcarea confidenţialităţii cheii private;
    2) poartă răspundere pentru organizarea accesului sigur la suportul material al cheii private şi utilizării autorizate a cheii;
    3) poartă răspundere personală pentru utilizarea sigură a cheii sale private.
    120. Resursa informaţională de bază a Prestatorului superior este Registrul certificatelor cheilor publice.
    121. Registrul certificatelor cheilor publice reprezintă totalitatea documentelor pe suport de hîrtie şi a documentelor electronice, cuprinzînd:
    1) certificatele cheilor publice ale Prestatorului superior;
    2) deciziile privind suspendarea şi restabilirea valabilității, revocarea certificatelor cheilor publice ale Prestatorului superior;
    3) cererile de certificare a cheilor publice ale Prestatorilor inferiori;
    4) certificatele cheilor publice ale Prestatorilor inferiori;
    5) cererile de suspendare şi restabilire a valabilității, de revocare a certificatelor cheilor publice ale Prestatorilor inferiori;
    6) listele certificatelor revocate.
    122. În arhiva Prestatorului superior se păstrează următoarele resurse informaţionale:
    1) Registrul certificatelor cheilor publice;
    2) registrele de audit ale complexului tehnic şi/sau de program al Prestatorului superior;
    3) documentele de serviciu ale Prestatorului superior, conform criteriilor stabilite de organul competent.
    123. Termenul de păstrare a documentelor de arhivă ale Prestatorului superior constituie 20 de ani.
    124. Pregătirea pentru distrugere şi distrugerea documentelor de arhivă se efectuează de către o comisie formată din angajați ai Prestatorului superior şi angajați ai organului competent.
    125. Pregătirea pentru distrugere şi distrugerea documentelor care nu necesită a fi păstrate în arhivă se efectuează de către angajații Prestatorului superior, desemnați de organul competent.
    126. Protecţia resurselor informaţionale ale Prestatorului superior se efectuează în conformitate cu legislația în vigoare şi cerinţele stabilite de organul competent.
    127. Modul de realizare a accesului la resursele informaţionale ale Prestatorului superior, inclusiv a accesului la documentele de arhivă, se reglementează de prevederile legislației în vigoare, de cerinţele stabilite de organul competent şi de prezentul Regulament.
    128. Accesul utilizatorilor semnăturii electronice avansate calificate la Registrul certificatelor cheilor publice se efectuează prin intermediul:
    1) resursei informaţionale electronice oficiale a Prestatorului superior pe adresa: www.pki.sis.md;
    2) poștei electronice: pki@sis.md;
    3) cererii scrise a utilizatorului semnăturii electronice avansate calificate în conformitate cu procedurile stabilite de prezentul Regulament. Adresa poștală: MD-2004, Republica Moldova, mun. Chișinău, bd Stefan cel Mare şi Sfînt nr. 166, Prestatorul de servicii de certificare de nivel superior.
    129. Prestatorul superior publică pe paginile resursei informaţionale electronice:
    1) lista actualizată a certificatelor revocate sub formă de document electronic;
    2) copiile electronice ale certificatelor cheilor publice, pe suport de hîrtie, ale Prestatorului superior şi ale Prestatorilor inferiori, în format PDF;
    3) certificatele cheilor publice ale Prestatorilor superiori şi ale Prestatorilor inferiori sub formă de documente electronice.
    130. Prestatorul superior creează şi exploatează complexul tehnic şi/sau de program care include următoarele componente:
    1) serviciul certificare;
    2) serviciul înregistrare;
    3) serviciul registru;
    4) serviciul control etalonat al semnăturii electronice.
    131. Serviciul certificare reprezintă componentul tehnologic de bază al complexului tehnic şi/sau de program al Prestatorului superior care asigură:
    1) crearea certificatului cheii publice a Prestatorului superior sub formă de document electronic;
    2) crearea certificatului cheii publice a Prestatorilor inferiori sub formă de document electronic;
    3) crearea listei certificatelor revocate.
    132. Responsabilitatea pentru exploatarea complexului tehnic şi/sau de program o poartă personalul Prestatorului superior conform fișelor de post.
    133. Serviciul înregistrare reprezintă componentul tehnologic al complexului tehnic de program al Prestatorului superior care asigură înregistrarea Prestatorilor inferiori.
    134. Serviciul registru reprezintă componentul tehnologic al complexului tehnic de program al Prestatorului superior care asigură:
    1) păstrarea certificatelor cheilor publice ale Prestatorului superior;
    2) păstrarea certificatelor cheilor publice ale Prestatorilor inferiori;
    3) păstrarea cererilor de certificare a cheilor publice;
    4) păstrarea informaţiei de înregistrare a Prestatorilor inferiori;
    5) publicarea şi difuzarea listelor certificatelor revocate;
    6) accesul la certificatele cheilor publice valabile şi la listele certificatelor revocate;
    7) păstrarea altor informaţii ce țin de activitatea Prestatorului superior.
    135. Serviciul control etalonat al semnăturii electronice reprezintă componentul tehnologic al complexului tehnic şi/sau de program al Prestatorului superior care asigură confirmarea autenticității certificatelor cheilor publice şi a altor documente electronice.
    136. Mijloacele tehnice de asigurare a funcţionării complexului tehnic şi/sau de program al Prestatorului superior includ:
    1) echipamentul de server;
    2) echipamentul de comunicaţii;
    3) locurile de muncă computerizate ale personalului Prestatorului superior;
    4) dispozitivele de imprimare pe suport de hîrtie;
    5) alte echipamente auxiliare.
    137. În componenta complexului tehnic şi/sau de program al Prestatorului superior funcționează mijloacele de protecţie criptografică a informaţiei, inclusiv:
    1) dispozitivele de creare şi/sau de verificare a semnăturii electronice şi produsele asociate semnăturii electronice;
    2) complexele tehnice şi/sau de program de protejare contra accesului neautorizat şi de asigurare a integrităţii mijloacelor tehnice de program.
    138. Complexul tehnic de program trebuie să corespundă cerinţelor stabilite de organul competent şi parametrilor tehnici indicați în Anexa nr. 10 la prezentul Regulament.
    139. Informațiile care se prelucrează şi se păstrează la Prestatorul superior sînt protejate prin lege.
    140. Informațiile care se păstrează în registrele de audit ale Prestatorului superior sînt cu accesibilitate limitată.
    141. Nu sînt confidenţiale informațiile ce se conţin în certificatele cheilor publice ale prestatorilor de servicii de certificare precum şi în listele certificatelor revocate.
    142. Prestatorul superior asigură integritatea şi controlul accesului la informațiile protejate de lege în conformitate cu legislația Republicii Moldova.
    143. Măsurile tehnico-inginerești de protecţie a informaţiei trebuie să asigure posibilitatea funcţionării neîntrerupte, pe o durată îndelungată, a complexului tehnic şi/sau de program al Prestatorului superior.
    144. Serverele serviciului certificare, serviciului înregistrare şi serviciului registru se instalează în încăperi pentru servere, pe suporturi speciale.
    145. Încăperile pentru servere ale Prestatorului superior se dotează cu sisteme de control al accesului.
    146. Accesul în încăperile pentru servere ale Prestatorului superior se efectuează în conformitate cu cerinţele stabilite de organul competent.
    147. Alte mijloace tehnice din complexul tehnic şi/sau de program al Prestatorului superior se instalează în încăperile de serviciu ale Prestatorului superior.
    148. Încăperile pentru servere şi de serviciu trebuie să fie dotate cu mijloace de ventilare şi de condiționare a aerului care să asigure respectarea parametrilor optimi ai regimului de temperatură şi umiditate.
    149. Securitatea antiincendiară a încăperilor Prestatorului superior se asigură în conformitate cu normele şi cerinţele stabilite de legislația în vigoare.
    150. Mijloacele tehnice ale Prestatorului superior trebuie să fie conectate la rețeaua de alimentare cu electricitate garantată.
    151. Complexul tehnic şi/sau de program al Prestatorului superior trebuie să asigure controlul integrităţii mijloacelor tehnice şi/sau de program.
    152. Responsabilitatea pentru îndeplinirea măsurilor de verificare a integrităţii mijloacelor tehnice şi de program ale complexului tehnic de program al Prestatorului superior o poartă personalul acestuia.
    153. Mijloacele complexului tehnic şi/sau de program al Prestatorului superior trebuie să asigure copierea de rezervă a informaţiei critic importante, pe măsura necesității.
    154. În cadrul accesului la procedurile Prestatorului superior se utilizează separarea funcțională a personalului care deservește complexul tehnic şi/sau de program al Prestatorului.
    155. Serverele serviciului certificare, serviciului înregistrare şi serviciului registru, precum şi locurile de lucru ale personalului Prestatorului superior se echipează cu mijloacele tehnice şi/sau de program de protecţie contra accesului neautorizat.
    156. Accesul personalului la serverele serviciului certificare, serviciului înregistrare şi serviciului registru pentru îndeplinirea lucrărilor reglementare se efectuează în prezenţa persoanelor responsabile de exploatarea complexului de program corespunzător.
    157. Organizarea accesului la mijloacele tehnice din complexul tehnic şi/sau de program al Prestatorului superior care se află în încăperile de serviciu este pusă în sarcina Prestatorului superior responsabil pentru exploatarea acestor mijloace tehnice.
    158. Măsurile organizatorice de protecţie a informaţiei trebuie să asigure:
    1) integritatea documentelor şi a bunurilor materiale;
    2) depistarea şi reținerea persoanelor neautorizate care încearcă să pătrundă în clădirea (încăperile) Prestatorului superior.
    159. Prestatorul superior exercită următoarele funcţii:
    1) administrarea înregistrării, avînd ca sarcini de bază: prestatorilor inferiori, pregătirea solicitărilor pentru crearea certificatelor cheilor publice, eliberarea certificatelor cheilor publice către persoanele împuternicite ale centrelor de certificare de nivelul al doilea;
    2) administrarea certificării, avînd ca sarcini de bază: crearea, suspendarea şi restabilirea valabilității, revocarea certificatelor cheilor publice, întocmirea şi publicarea (emiterea) listei certificatelor revocate;
    3) administrarea securităţii, avînd ca sarcini de bază: controlul securităţii tuturor procedurilor şi mecanismelor Prestatorului superior, asigurarea securităţii componentelor complexului tehnic de program al Prestatorului superior;
    4) administrarea sistemelor, avînd ca sarcini de bază: instalarea, configurarea şi întreținerea funcţionării serviciului certificare, serviciului înregistrare şi serviciului registru;
    5) organizarea activităţii Prestatorului superior.
    160. Interacțiunea Prestatorilor inferiori şi a utilizatorilor semnăturii electronice avansate calificate cu Prestatorul superior se efectuează în conformitate cu procedurile stabilite de prezentul Regulament şi cu cerinţele în domeniul semnăturii electronice.
    161. Prestatorul superior asigură accesul prestatorilor inferiori şi al utilizatorilor semnăturii electronice avansate calificate la Registrul certificatelor cheilor publice în conformitate cu prezentul Regulament.
    162. Prestatorul superior publică lista actualizată a certificatelor revocate şi o transmite în mod automatizat Prestatorilor inferiori.
    163. În vederea interacțiunii, Prestatorul superior prezintă Prestatorilor inferiori datele lui de contact (numărul de telefon, fax, adresa poștală, adresa poștei electronice).
    164. În cazul revocării certificatului cheii publice al Prestatorului superior, se revocă concomitent şi certificatele Prestatorilor inferiori.
    165. Utilizatorii semnăturii electronice folosesc certificatul cheii publice al Prestatorului superior în procesul verificării autenticității semnăturii electronice avansate calificate în documentul electronic.
    166. Situaţii litigioase apărute în procesul interacțiunii Prestatorilor inferiori şi a utilizatorilor semnăturii electronice avansate calificate cu Prestatorul superior sînt supuse soluționării în conformitate cu prezentul Regulament, în special situațiile litigioase care apar în legătură cu:
    1) contestarea de către Prestatorul inferior sau de către utilizatorul semnăturii electronice avansate calificate a valabilității şi autenticității certificatului cheii publice al Prestatorului superior;
    2) contestarea de către utilizatorul semnăturii electronice avansate calificate a valabilității şi autenticității certificatului cheii publice al Prestatorului inferior;
    3) contestarea împuternicirilor Prestatorului superior;
    4) contestarea împuternicirilor Prestatorilor inferiori;
    5) contestarea domeniului de aplicare a semnăturii electronice şi a altor restricții indicate în certificatele cheilor publice eliberate de către Prestatorul superior;
    6) neîncrederea fată de dispozitivele de creare şi/sau de verificarea a semnăturii electronice şi produsele asocial semnăturii electronice utilizate de către Prestatorul superior;
    7) alte cazuri de apariție a situaţiilor litigioase în legătură cu aplicarea semnăturii electronice avansate calificate.
    167. Situația litigioasă se soluționează în regim de lucru de către părțile interesate în conformitate cu Regulamentul de soluționare a situaţiilor litigioase în domeniul aplicării semnăturii electronice, aprobat de organul competent.
    168. În cazul în care situația litigioasă este considerată de către părți ca fiind soluționată, se întocmește un proces-verbal privind soluționarea situației litigioase, care se semnează de către părți.
    169. În cazul imposibilității de soluționare a situației litigioase în regim de lucru, părțile se pot adresa în instanța de judecată, conform procedurilor prevăzute de legislație.
    170. În cadrul interacțiunii cu Prestatorul superior, Prestatorul inferior are dreptul:
    1) să creeze cheia privată şi cheia publică, folosind dispozitivele securizate de creare a semnăturii electronice;
    2) să depună cererea de certificare a cheii publice;
    3) să depună cererile de revocare, suspendare şi restabilire a valabilității certificatului cheii publice în perioada de valabilitate a cheii private corespunzătoare;
    4) să obțină accesul la Registrul certificatelor cheilor publice;
    5) să utilizeze certificatul cheii publice a Prestatorului superior pentru verificarea autenticității semnăturii electronice avansate calificate în certificatele cheilor publice eliberate de către Prestatorul superior;
    6) să obțină lista certificatelor revocate a Prestatorului superior;
    7) să aplice lista certificatelor revocate a Prestatorului superior pentru determinarea valabilității certificatului cheii publice a Prestatorului superior;
    8) să obțină copia certificatului cheii publice a Prestatorului superior pe suport de hîrtie;
    9) să se adreseze către Prestatorul superior pentru confirmarea autenticității şi valabilității certificatului cheii publice a Prestatorilor inferiori;
    10) să obțină asistenta metodică de la Prestatorul superior.
    171. În cadrul interacțiunii cu Prestatorul superior, Prestatorul inferior este obligat:
    1) să respecte cerinţele legislației în domeniul aplicării semnăturii electronice;
    2) să prezinte informațiile în volumul determinat de prezentul Regulament;
    3) să excludă accesul unei alte persoane la cheia sa privată, să întreprindă măsuri pentru prevenirea compromiterii cheii private;
    4) să aplice cheia sa privată în conformitate cu domeniile de aplicare a semnăturii electronice şi alte restricții indicate în certificatul cheii publice;
    5) să comunice imediat Prestatorului superior despre compromiterea propriei chei private;
    6) să nu utilizeze cheia sa privată dacă are motive să presupună că aceasta a fost compromisă;
    7) să nu utilizeze cheia sa privată în perioada examinării cererii de certificare a cheii publice corespunzătoare, a cererilor de revocare, suspendare sau restabilire a valabilității certificatului cheii publice corespunzătoare;
    8) să nu utilizeze cheia sa privată dacă valabilitatea certificatului cheii publice ce-i corespunde este suspendată sau dacă certificatul a fost revocat.
    172. În cadrul interacțiunii cu Prestatorul superior utilizatorul semnăturii electronice avansate calificate are dreptul:
    1) să obțină lista certificatelor revocate a Prestatorului superior;
    2) să obțină accesul la Registrul certificatelor cheilor publice;
    3) să aplice lista certificatelor revocate a Prestatorului superior pentru verificarea valabilității certificatelor cheilor publice ale Prestatorilor inferiori;
    4) să aplice certificatul cheii publice a Prestatorului superior pentru confirmarea autenticității certificatului cheii publice a Prestatorilor inferiori;
    5) să se adreseze către Prestatorul superior pentru confirmarea autenticității şi valabilității certificatelor cheilor publice ale Prestatorului superior şi ale Prestatorilor inferiori.
    173. Reorganizarea şi lichidarea Prestatorului superior se efectuează în conformitate cu legislația.
    174. La reorganizarea Prestatorului superior şi transmiterea funcțiilor lui la o altă instituție, prin decizia comună a conducătorilor instituțiilor interesate se creează o comisie de transmitere a Prestatorului superior.
    175. În componenta Comisiei de transmitere a Prestatorului superior se includ:
    1) reprezentanții părților;
    2) reprezentantul Prestatorului superior;
    3) reprezentantul organului competent;
    4) alte persoane desemnate de către părți.
    176. La încheierea lucrărilor, Comisia întocmește actul de predare-primire, în conformitate cu care instituției succesoare i se transmite Registrul certificatelor cheilor publice, precum şi drepturile şi obligaţiile Prestatorului superior. Actul se semnează de către toți membrii Comisiei şi se aprobă de către conducătorii instituțiilor implicate.
    177. Registrul certificatelor cheilor publice sub formă de documente electronice se transmite pe suporturi materiale, iar Registrul certificatelor cheilor publice sub formă de documente pe suport de hîrtie se transmite sub formă de arhivă a documentelor pe suporturi de hîrtie.
    178. La transmiterea Prestatorului superior, cheile private ale acestuia se distrug, fără a se încălca confidenţialitatea lor, în conformitate cu cerinţele stabilite de organul competent, iar certificatele cheilor publice corespunzătoare, transmise unui alt Prestator superior, continuă să fie valabile pînă la expirarea termenului lor.
    179. La lichidarea Prestatorului superior, prin ordinul directorului Serviciului se creează comisia de lichidare, în sarcina căreia se pune realizarea procedurii de lichidare în conformitate cu legislația în vigoare şi cerinţele stabilite de organul competent.
    180. În componenta comisiei de lichidare se includ:
    1) reprezentantul Prestatorului superior;
    2) reprezentantul organului competent;
    3) alte persoane indicate în ordin.
    181. La încheierea lucrărilor, Comisia întocmește actul de lichidare, potrivit căruia Prestatorul superior îşi încetează activitatea, iar Registrul certificatelor cheilor publice se transmite organului competent şi se păstrează în arhivă conform legislației.
    182. Registrul certificatelor cheilor publice al Prestatorului superior lichidat, sub formă de documente electronice, se transmite organului competent pe suporturi materiale, iar Registrul certificatelor cheilor publice pe suport de hîrtie se transmite sub formă de arhivă a documentelor pe suporturi de hîrtie, pe baza actului de primire-predare. Actul se semnează de către Prestatorul superior, reprezentantul organului competent responsabil de păstrare şi se aprobă de către directorul Serviciului.
    183. În cazul lichidării Prestatorului superior, cheile private ale acestuia se distrug, fără a se încălca confidenţialitatea cheilor, iar certificatele cheilor publice corespunzătoare se revocă.

    anexa nr.1

    anexa nr.2

    anexa nr.3

    anexa nr.4

    anexa nr.5

    anexa nr.6

    anexa nr.7

    anexa nr.8

    anexa nr.9

    anexa nr.10