ID intern unic: 341136
Версия на русском
Republica Moldova
din 25.11.2011
cu privire la aprobarea Conceptului tehnic al sistemului
informaţional automatizat „Registrul de stat al operatorilor
de date cu caracter personal”
informaţional automatizat „Registrul de stat al operatorilor
de date cu caracter personal”
În temeiul pct.1) art.22 din Legea nr.467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat (Monitorul Oficial al Republicii Moldova, 2004, nr.6-12, art.44), cu modificările ulterioare, Guvernul HOTĂRĂŞTE:
1. Se aprobă Conceptul tehnic al sistemului informaţional automatizat „Registrul de stat al operatorilor de date cu caracter personal” (se anexează).
2. Centrul Naţional pentru Protecţia Datelor cu Caracter Personal:
va deţine şi administra sistemul informaţional automatizat „Registrul de stat al operatorilor de date cu caracter personal”;
va elabora şi va prezenta, în termen de pînă la 20 martie 2012, spre examinare proiectul de hotărîre a Guvernului privind aprobarea Regulamentului Registrului de stat al operatorilor de date cu caracter personal.
3. Finanţarea creării şi implementării sistemului informaţional automatizat de evidenţă a operatorilor de date cu caracter personal se va efectua din contul şi în limitele alocaţiilor aprobate în Legea bugetului de stat Cancelariei de Stat pentru implementarea Proiectului „e-Transformare a Guvernării”, precum şi în baza mijloacelor financiare ale donatorilor externi.
4. Ministerul Tehnologiei Informaţiei şi Comunicaţiilor va înregistra, în modul stabilit, resursa informaţională Registrul de stat al operatorilor de date cu caracter personal.
PRIM-MINISTRU Vladimir FILAT
Contrasemnează:
Ministrul tehnologiei informaţiei
şi comunicaţiilor Pavel Filip
Ministrul finanţelor Veaceslav Negruţa
Nr. 883. Chişinău, 25 noiembrie 2011.
1. Definiţia sistemului
1) Registrul de stat al operatorilor de date cu caracter personal (în continuare – Registrul) reprezintă un sistem informatic, obiectivul principal al căruia constă în automatizarea activităţii Centrului Naţional pentru Protecţia Datelor cu Caracter Personal (în continuare – Centrul) în vederea evidenţei tuturor operatorilor de date cu caracter personal, a bazelor de date, a sistemelor informaţionale şi informatice în care sînt stocate şi prelucrate datele cu caracter personal.
2) Registrul reprezintă instrumentul cheie al Centrului prin intermediul căruia vor fi realizate următoarele scopuri:
a) asigurarea unui nivel adecvat de protecţie a datelor cu caracter personal în Republica Moldova;
b) înregistrarea şi evidenţa tuturor operatorilor de date cu caracter personal, precum şi a bazelor de date, a sistemelor informaţionale şi informatice în care sînt stocate şi prelucrate datele cu caracter personal;
c) asigurarea dreptului la informare a subiecţilor de date cu caracter personal şi a oricărui solicitant de informaţii;
d) oferirea unor servicii de calitate operatorilor de date cu caracter personal.
2. Destinaţia sistemului
1) Registrul va asigura posibilitatea recepţionării şi procesării on-line a solicitărilor operatorilor de date cu caracter personal privind înregistrarea, modificarea sau radierea informaţiei privind bazele de date, sistemele informaţionale sau informatice deţinute de aceştia în care sînt stocate şi prelucrate date cu caracter personal.
2) Pentru subiecţii datelor cu caracter personal, autorităţile publice centrale şi locale şi persoanle juridice etc. Registrul va reprezenta o resursă informaţională cheie de furnizare a informaţiei publice privind operatorii de date cu caracter personal autorizaţi în prelucrarea datelor cu caracter personal, a bazelor de date, a sistemelor informaţionale şi informatice pentru care aceştia dispun de autorizarea de exploatare.
3) Pentru Centru, Registrul va reprezenta instrumentul cheie care va automatiza activitatea acestuia. Registrul va oferi facilităţi de recepţionare şi procesare on-line a solicitărilor din partea operatorilor de date cu caracter personal şi subiecţilor datelor cu caracter personal, eliberarea deciziilor, generării rapoartelor de analiză şi monitorizare a situaţiei la zi.
3. Noţiuni de bază
1) În sensul prezentului Concept tehnic, noţiunile şi definiţiile utilizate semnifică următoarele:
autoritate publică – orice structură organizatorică sau organ, instituite prin lege sau printr-un alt act normativ, care acţionează în regim de putere publică, în scopul realizării unui interes public;
credenţiale – set de atribute ce stabilesc identitatea şi autenticitatea utilizatorilor şi sistemelor în cadrul sistemelor informatice;
date – unităţi informaţionale elementare despre persoane, subiecte, fapte, evenimente, fenomene, procese, obiecte, situaţii etc., prezentate într-o formă care permite notificarea, comentarea şi procesarea lor;
integritatea datelor – stare a datelor, cînd acestea îşi păstrează conţinutul şi sînt interpretate univoc în cazuri de acţiuni aleatorii. Integritatea se consideră păstrată dacă datele nu au fost alterate sau deteriorate (şterse);
jurnalizare – funcţie de înregistrare a informaţiei despre evenimente. În cadrul sistemelor informatice înregistrările despre evenimente includ detalii despre data şi ora, utilizatorul, acţiunea întreprinsă;
M-Cloud – strategie a Centrului de Guvernare Electronică privind modul de consolidare tehnologică a serviciilor informaţionale;
metadate – modalitate de atribuire de valoare semantică datelor stocate în baza de date (date despre date);
obiect informaţional – reprezentare virtuală a entităţilor materiale şi nemateriale existente;
sistem informaţional – ansamblu de procedee şi mijloace de colectare, prelucrare şi transmitere a informaţiei necesare procesului de conducere (cuprinde tehnologiile manuale şi automatizate de prelucrare a datelor);
sistem informaţional automatizat (sistem informatic) – ansamblu de programe şi echipamente care asigură prelucrarea automată a datelor (componenta automatizată a sistemului informaţional);
tehnologie informatică şi de comunicaţie – termen comun care include toate tehnologiile utilizate pentru schimbul şi manipularea informaţiei;
veridicitatea datelor – nivel de corespundere a datelor, păstrate în memoria calculatorului sau în documente, stării reale a obiectelor din domeniul respectiv al sistemului, reflectate de aceste date.
4. Scopul şi obiectivele sistemului
1) Destinaţia primordială a Registrului este asigurarea Centrului cu o soluţie informatică performantă utilizată ca suport pentru automatizarea activităţii Centrului în vederea implementării prevederilor cadrului legal în domeniul protecţiei datelor cu caracter personal.
2) Totodată, sistemul informatic va efectua validarea automatizată a cererilor expediate de operatorul de date cu caracter personal privind înregistrarea, modificarea, radierea informaţiei în/din Registru. Soluţia informatică va înregistra automat totalitatea acţiunilor efectuate de utilizatori cu înregistrarea detaliată a datelor, a parametrilor informaţiilor şi cererilor solicitate.
3) Avantajul principal al Registrului constă în faptul că, în perspectivă, fiecare operator de date cu caracter personal va putea, prin intermediul unei interfeţe WEB, să expedieze solicitări de efectuare a operaţiunilor de înregistrare, modificare sau radiere a informaţiei în/din Registru şi să recepţioneze deciziile de aprobare sau respingere a solicitărilor expediate.
4) Pentru solicitanţii de informaţii Registrul va oferi o interfaţă publică WEB care va permite accesul şi vizualizarea informaţiei publice privind operatorii de date cu caracter personal şi a sistemelor informatice sau informaţionale a acestora.
5) În consecinţă, printre obiectivele majore ale soluţiei informatice elaborate sînt:
a) proiectarea şi implementarea unor tehnologii moderne de interacţiune între operatorii de date cu caracter personal, solicitanţii de informaţii, subiecţii datelor cu caracter personal şi Centrul;
b) asigurarea posibilităţii de lucru în reţea, pentru exploatarea eficientă a resurselor comune prin implementarea unei arhitecturi client-server multinivel;
c) creşterea vitezei de circulaţie a informaţiei, reducerea duratei ciclului de validare şi procesare a cererilor de înregistrare, modificare, radiere şi a timpului de răspuns;
d) utilizarea eficientă şi extensivă a tehnicii de calcul de care dispune Centrul;
e) controlul accesului la date şi asigurarea unei securităţi şi confidenţialităţi maxime a datelor colectate, care nu sînt publice, şi a utilizatorilor.
5. Principiile de bază ale sistemului
1) La proiectarea, realizarea şi implementarea sistemului informaţional automatizat trebuie să se ţină cont de următoarele principii generale:
a) principiul legalităţii: presupune crearea şi exploatarea sistemului informaţional automatizat în conformitate cu legislaţia naţională în vigoare, cu normele şi standardele internaţionale recunoscute în domeniu;
b) principiul divizării arhitecturii pe nivele: constă în proiectarea independentă a subsistemelor Registrului în conformitate cu standardele de interfaţă dintre nivele;
c) principiul independenţei de platformă: interfaţa utilizator a sistemului informaţional automatizat nu va impune o anumită platformă software şi hardware pentru calculatorul utilizatorului;
d) principiul datelor sigure: stipulează introducerea datelor în sistem doar prin canalele autorizate şi autentificate;
e) principiul securităţii informaţionale: presupune asigurarea unui nivel adecvat de integritate, selectivitate, accesibilitate şi eficienţă pentru protecţia datelor de pierderi, alterări, deteriorări şi de acces nesancţionat;
f) principiul accesibilităţii informaţiei cu caracter public: presupune implementarea procedurilor de asigurare a accesului solicitanţilor la informaţia cu caracter public furnizată de soluţia informatică;
g) principiul transparenţei: presupune proiectarea şi realizarea, conform principiului modular, cu utilizarea standardelor transparente în domeniul tehnologiilor informatice şi de telecomunicaţii;
h) principiul expansibilităţii: stipulează posibilitatea extinderii şi completării sistemului informaţional automatizat cu noi funcţii sau îmbunătăţirea celor existente;
i) principiul de prioritate a primei persoane / a centrului unic: presupune existenţa unei persoane responsabile de rang înalt, cu drepturi suficiente pentru luarea deciziilor şi coordonarea activităţilor în vederea creării şi exploatării sistemului;
j) principiul scalabilităţii: presupune asigurarea unei performanţe constante a soluţiei informatice la creşterea volumului de date şi a solicitării sistemului informatic;
k) principiul simplităţii şi comodităţii utilizării: presupune proiectarea şi realizarea tuturor aplicaţiilor, mijloacelor tehnice şi de program accesibile utilizatorilor Sistemului, bazate pe principii exclusiv vizuale, ergonomice şi logice de concepţie.
2) În particular, pentru arhitectura sistemului informaţional automatizat se insistă asupra respectării următoarelor principii primordiale:
a) implementarea unei soluţii client-server cu minimum 3 nivele;
b) acceptarea soluţiilor care vor furniza o interfaţă WEB pentru utilizatorul Registrului;
c) asigurarea unei securităţi adecvate a sistemului pentru a proteja informaţia şi subsistemele componente împotriva utilizării lor neautorizate sau a divulgării informaţiei cu caracter personal sau a celei cu accesibilitate limitată;
d) recunoaşterea informaţiei ca patrimoniu şi gestionarea ei adecvată;
e) dezvoltarea şi implementarea sistemelor TI oferind posibilitatea reutilizării lor pentru alte procese sau în perspectiva asigurării posibilităţii de dezvoltare de noi funcţionalităţi;
f) minimizarea numărului diferitelor tehnologii şi produse care oferă aceleaşi funcţionalităţi sau sînt similare conform destinaţiei;
g) asigurarea unei viteze performante de procesare a solicitărilor beneficiarilor;
h) pentru soluţia TI livrată trebuie să fie prevăzută capacitatea de restabilire în urma dezastrelor (asigurarea securităţii fizice a soluţiei informatice) ca parte componentă a planului de implementare.
6. Sarcinile realizate de sistem
Implementarea Registrului în cadrul Centrului va permite modernizarea sistemului informaţional existent prin automatizarea activităţii subdiviziunilor Centrului, precum şi o listă de beneficii aşteptate ca urmare a implementării şi exploatării Registrului:
a) creşterea eficienţei şi transparenţei activităţii Centrului;
b) reducerea inconvenienţelor aferente procesului de recepţionare a cererilor de înregistrare, modificare sau radiere a datelor din Registru;
c) asigurarea schimbului electronic de date cu terţe părţi;
d) popularizarea serviciilor de informare şi deservire a solicitărilor în regim on-line;
e) reducerea cheltuielilor de procesare a cererilor recepţionate de la operatorii de date cu caracter personal;
f) reducerea costurilor legate de prelucrarea informaţiei pe suport material tradiţional (hîrtie) prin trecerea la procesarea informaţiei exclusiv în format digital.
2) Crearea şi funcţionarea sistemului informatic sînt reglementate de următoarele acte legislative şi normative:
a) Convenţia pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, încheiată la Strasbourg la 28 ianuarie 1981;
b) Protocolul adiţional la Convenţia pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, cu privire la autorităţile de supraveghere şi fluxul transfrontalier al datelor, adoptat la Strasbourg la 8 noiembrie 2001;
c) Legea nr. 171-XIII din 6 iulie 1994 cu privire la secretul comercial (Monitorul Oficial al Republicii Moldova, 1994, nr. 13, art.126);
d) Legea nr. 982-XIV din 11 mai 2000 privind accesul la informaţie (Monitorul Oficial al Republicii Moldova, 2000, nr.88, art.664);
e) Legea nr. 1069-XIV din 22 iunie 2000 cu privire la informatică (Monitorul Oficial al Republicii Moldova, 2001, nr.73-74, art.547);
f) Legea nr. 467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat (Monitorul Oficial al Republicii Moldova, 2004, nr. 6-12, art.44);
g) Legea nr. 264-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală (Monitorul Oficial al Republicii Moldova, 2004, nr. 132-137, art.710);
h) Legea nr. 71-XVI din 22 martie 2007 cu privire la registre (Monitorul Oficial al Republicii Moldova, 2007, nr.70-73, art.314);
i) Legea comunicaţiilor electronice nr. 241-XVI din 15 noiembrie 2007 (Monitorul Oficial al Republicii Moldova, 2008, nr. 51-54, art.155);
j) Legea nr. 245-XVI din 27 noiembrie 2008 cu privire la secretul de stat (Monitorul Oficial al Republicii Moldova, 2009, nr. 45-46, art.123);
k) Legea nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal (Monitorul Oficial al Republicii Moldova, 2011, nr. 170-175, art.492);
l) Hotărîrea Guvernului nr. 735 din 11 iunie 2002 „Cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova” (Monitorul Oficial al Republicii Moldova, 2002, nr. 79-81, art.833);
m) Hotărîrea Guvernului nr. 632 din 8 iunie 2004 „Despre aprobarea Politicii de edificare a societăţii informaţionale în Republica Moldova” (Monitorul Oficial al Republicii Moldova, 2004, nr. 96-99, art.789);
n) Hotărîrea Guvernului nr. 840 din 26 iulie 2004 „Cu privire la crearea Sistemului de telecomunicaţii al autorităţilor administraţiei publice” (Monitorul Oficial al Republicii Moldova, 2004, nr. 130, art.1013);
o) Hotărîrea Guvernului nr. 255 din 9 martie 2005 „Privind Strategia Naţională de edificare a societăţii informaţionale – „Moldova electronică” (Monitorul Oficial al Republicii Moldova, 2005, nr.46-50, art.336);
p) Hotărîrea Guvernului nr. 945 din 5 septembrie 2005 „Cu privire la centrele de certificare a cheilor publice” (Monitorul Oficial al Republicii Moldova, 2005, nr. 123-125, art.1020);
q) Hotărîrea Guvernului nr. 320 din 28 martie 2006 „Pentru aprobarea Regulamentului privind ordinea de aplicare a semnăturii digitale în documentele electronice ale autorităţilor publice” (Monitorul Oficial al Republicii Moldova, 2006, nr. 51-54, art.350);
r) Hotărîrea Guvernului nr. 733 din 28 iunie 2006 „Cu privire la Concepţia guvernării electronice” (Monitorul Oficial al Republicii Moldova, 2006, nr. 106-111, art.799);
s) Hotărîrea Guvernului nr. 916 din 6 august 2007 „Cu privire la Concepţia Portalului Guvernamental” (Monitorul Oficial al Republicii Moldova, 2007, nr.127-130, art.952);
t) Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010 „Privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal” (Monitorul Oficial al Republicii Moldova, 2010, nr. 254-256, art.1282);
u) Ordinul nr. 94 din 17 septembrie 2009 al ministrului tehnologiei informaţiei şi comunicaţiilor cu privire la aprobarea unor reglementări tehnice (modul de evidenţă a serviciilor publice electronice, prestarea serviciilor publice electronice, asigurarea securităţii informaţionale la prestarea serviciilor publice electronice, determinarea costului de elaborare şi implementare a sistemelor informaţionale automatizate) (Monitorul Oficial al Republicii Moldova, 2010, nr.58-60, art.952);
v) Standardul Republicii Moldova SMV ISO CEI 15288:2009, „Ingineria sistemelor şi software-ului. Procesele ciclului de viaţă al sistemului”;
w) Reglementarea tehnică „Procesele ciclului de viaţă al software-lui” RT 38370656-002:2006 (Monitorul Oficial al Republicii Moldova, 2006, nr. 95-97, art.335);
x) alte legi, acte normative, standarde în vigoare în domeniul TIC.
3) În conformitate cu articolul 11 al Legii nr. 467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat, Registrul reprezintă o resursă informaţională de stat şi, în acest caz, conform articolului 21 al aceleiaşi legi, trebuie să se ţină cont de politica privind resursele informaţionale de stat, elaborată de Ministerul Tehnologiei Informaţiei şi Comunicaţiilor şi aprobată de către Guvern. În conformitate cu articolul 19 al aceleiaşi legi este necesară certificarea Registrului şi înregistrarea acestuia în Registrul de Stat al Resurselor şi Sistemelor Informaţionale de Stat, administrat de către Ministerul Tehnologiei Informaţiei şi Comunicaţiilor. În urma înregistrării proprietarului i se va elibera identificatorul Sistemului Informatic.
4) Constituie obiecte ale evidenţei şi controlului în cadrul Registrului operatorii de date cu caracter personal şi sistemele informatice sau informaţionale ale acestora, conform componentelor identificate prin Legea nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal.
5) În contextul asigurării accesului cetăţenilor la resursele informaţionale de stat sau prestarea serviciilor de către organele de stat prin intermediul dispozitivelor sau mijloacelor electronice a fost elaborată şi emisă de către Guvern Hotărîrea nr. 916 din 6 august 2007 „Cu privire la Concepţia Portalului Guvernamental”, care impune anumite cerinţe şi standarde în scopul asigurării unei interacţiuni informaţionale eficiente, operative şi calitative între componentele societăţii (Guvern, cetăţeni, mediul de afaceri şi societatea civilă). Această hotărîre stipulează că interacţiunea autorităţilor publice cu cetăţenii şi mediul de afaceri în procesul de prestare a serviciilor publice prin mijloace electronice trebuie să fie realizat prin intermediul unui singur gateway guvernamental – aşa-numitului “portal guvernamental”.
6) Portalul Guvernamental este un instrument de suport în activitatea guvernării electronice, ce asigură posibilitatea schimbului de informaţie între persoanele fizice şi juridice şi autorităţile publice prin intermediul reţelelor de comunicaţii, inclusiv Internet, reprezentînd un punct de acces la serviciile informaţionale.
7) În Concepţia privind Portalul Guvernamental este reflectată şi viziunea referitoare la modul de acces şi oferire a informaţiilor către cetăţeni, agenţi economici sau alte categorii de utilizatori. Astfel, Portalul Guvernamental pune la dispoziţia utilizatorului un instrument de acces la multitudinea de servicii oferite de autorităţile publice, conform principiului ghişeului unic, iar oferirea informaţiei cetăţeanului trebuie să-i permită utilizarea unui sistem unic de identificare de stat, să aibă acces la şirul de servicii oferite de Portal, fără necesitatea utilizării datelor de autentificare distincte pentru fiecare serviciu electronic distinct.
8) Concluziile de bază care reies din Concepţia Portalului Guvernamental şi de care trebuie să se ţină cont în procesul de elaborare a Registrului sînt următoarele:
a) orice informaţie sau serviciu electronic acordat cetăţenilor de către autorităţile publice trebuie să fie accesibile şi prin intermediul Portalului Guvernamental;
b) utilizarea unui sistem unic de identificare pentru toate serviciile disponibile de pe Portalul Guvernamental.
1) Sistemul informaţional automatizat va furniza utilizatorului o interfaţă Web de acces la Registru, accesibilă prin intermediul unui navigator Internet. Din punct de vedere funcţional, se va realiza o soluţie fiabilă atît în cazul creşterii numărului de utilizatori concurenţi ce folosesc resursele Registrului, cît şi în cazul creşterii volumului de informaţie gestionată de acesta.
2) Deoarece sistemele informatice ale autorităţilor publice nu sînt izolate, ci interacţionează între ele, soluţia informatică va oferi suport pentru integrarea cu alte subsisteme informatice şi aplicaţii folosind servicii Web – metodă aliniată tehnologic la tendinţele actuale în vederea cooperării pentru procedurile de examinare a cererilor sau diseminare a informaţiei.
3) Ca urmare a faptului că natura informaţiei procesate şi stocate în Registru este atît publică, cît şi cu accesibilitate limitată, soluţia informatică livrată va permite realizarea de conexiuni securizate între staţiile client şi serverul de aplicaţie.
4) Ţinînd cont de obiectivele şi funcţionalităţile înaintate Registrului este oportună implementarea unei arhitecturi client-server de minimum 3 nivele. Implementarea unei arhitecturi client-server de 3 nivele pentru Registru asigură posibilitatea ca nivelul client (cel mai dependent de platforma software şi hardware) să fie uşor de implementat prin intermediul unui explorator Internet. În aşa caz va dispărea dependenţa de platforma instalată pe calculatorul client (utilizatorii vor putea lucra atît de pe staţii UNIX, cît şi de pe staţii Windows).
5) Graniţele dintre nivele sînt logice, nu fizice, ele putînd rula pe acelaşi calculator server. Condiţia este ca sistemul să fie bine structurat, iar frontierele fiecărui nivel bine definite şi reprezentate practic de interfeţele obiectelor componente. Acestea sînt impuse de managerul sistemului, în funcţie de condiţiile specifice fiecărei aplicaţii.
6) După cum se vede în figura 1 arhitectura Registrului delimitează patru contururi:
a) conturul intern al Centrului, care include atît serverele ce găzduiesc componentele Registrului, cît şi staţiile de lucru ale angajaţilor şi infrastructura informatică a Centrului;
b) conturul operatorului de date cu caracter personal, care se află la distanţă şi utilizează mijloacele de calcul proprii pentru expedierea formularului cererii de efectuare a înregistrărilor/modificărilor/radierilor în/din Registru prin intermediul reţelei Internet;
c) conturul autorităţilor publice, care sînt multiple şi reprezintă sisteme informatice ale acestora. Acestea, de asemenea, utilizează reţeaua Internet pentru interconectare;
d) conturul solicitanţilor de informaţii, care reprezintă totalitatea utilizatorilor Internet cu acces nelimitat la compartimentele publice ale Registrului.
Figura 1. Arhitectura sistemului informaţional automatizat
7) Utilizatorul Internet are acces prin intermediul reţelei globale Internet la compartimentele publice ale Registrului privind deciziile de înregistrare, modificare, suspendare sau radiere a informaţiilor aferente operatorilor de date cu caracter personal şi a sistemelor informaţionale şi informatice deţinute de aceştia.
8) Pentru a interacţiona cu Registrul, operatorul de date cu caracter personal se conectează prin intermediul unei conexiuni sigure şi efectuează autorizarea, utilizînd numele utilizator+parola şi/sau certificatul digital emis de o autoritate de certificare recunoscută în Republica Moldova. Odată fiind autorizat, expeditorul va perfecta şi expedia cererea de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru. În cazul semnării digitale a documentelor expediate, solicitarea va fi expediată spre procesare imediat ce a fost semnată. Dacă operatorul de date cu caracter personal nu dispune de semnătură digitală emisă de o autoritate de certificare recunoscută în Republica Moldova, va recepţiona prin email cererea validată de sistem pe care o va imprima, semna, ştampila şi prezenta personal la Centru.
9) La nivelul Centrului vor fi 3 nivele de acces:
a) funcţionarul Centrului;
b) conducerea Centrului;
c) administratorul de sistem.
10) Pentru procesarea cererilor expediate de operatorii de date cu caracter personal Registrul va interacţiona cu un şir de sisteme informatice externe.
11) Din categoria sistemelor informatice externe ar putea fi menţionate:
a) Registrul de Stat al Populaţiei – pentru verificarea codurilor IDNP conţinute în cererile privind existenţa unei asemenea persoane şi admisibilitatea utilizării unui asemenea cod IDNP (persoana nu este decedată, combinaţia nume+prenume+IDNP coincide etc.);
b) Registrul de Stat al Unităţilor de Drept – pentru verificarea codurilor IDNO sau codurilor fiscale conţinute în formularul privind existenţa unei asemenea persoane juridice şi admisibilitatea utilizării codului (persoana juridică nu este radiată etc.);
c) Serverul autorităţii de certificare – reprezintă serviciul extern de verificare a certificatelor digitale care poate aparţine Centrului de Telecomunicaţii Speciale. Dacă vor fi folosite asemenea certificate, atunci la prima accesare prin intermediul acestui certificat şi validării sale Registrul va păstra lista certificatelor publice validate şi acceptate;
d) sisteme informatice ale altor autorităţi publice – reprezintă totalitatea sistemelor informatice care corespund altor autorităţi publice utilizate pentru verificarea veridicităţii actelor prezentate de operatorii de date cu caracter personal.
12) Din categoria sistemelor informatice interne ar putea fi menţionate:
a) Registrul Operatorilor de Date cu Caracter Personal care este obiectivul primordial al prezentei Concepţii;
b) Serverul cu credenţiale – ar putea fi un server de generare a certificatelor digitale interne sau care conţine lista certificatelor publice eliberate de entităţi externe verificate şi validate.
13) Dat fiind faptul că la moment Centrul nu dispune de infrastructură de servere, soluţia informatică ar putea fi găzduită iniţial în cadrul serviciului M-Cloud, administrat de Întreprinderea de Stat „Centrul de Telecomunicaţii Speciale”.
8. Funcţionalităţile de bază ale sistemului
1) Totalitatea funcţionalităţilor livrate de Registru şi actorii care beneficiază de ele sînt redate în figura 2. După cum se vede din figura 2 sistemul informatic va interacţiona cu 9 grupuri de actori:
a) utilizator Internet – reprezintă totalitatea utilizatorilor – solicitanţi de informaţie, care explorează conţinutul public al Registrului prin intermediul interfeţei WEB livrate de acesta;
b) operator de date cu caracter personal – reprezintă totalitatea entităţilor care utilizează facilităţile on-line ale Registrului în vederea expedierii cererilor de înregistrare, modificare sau radiere a datelor în/din Registru;
c) funcţionar al Centrului – reprezintă totalitatea utilizatorilor autorizaţi ai Centrului cu funcţii de examinare a cererilor expediate de operatorii de date cu caracter personal;
d) conducerea Centrului – reprezintă totalitatea utilizatorilor autorizaţi ai Centrului cu funcţii de decizie în privinţa cererilor expediate de operatorii de date cu caracter personal;
e) funcţionar extern – reprezintă utilizatorii autorizaţi ai altor autorităţi publice cu funcţii de examinare a veridicităţii actelor expediate de operatorii de date cu caracter personal;
f) administrator al Registrului – reprezintă utilizatorul cu drepturi totale de administrare şi acces la funcţionalităţile Registrului;
g) RSP – Registrul de Stat al Populaţiei, sistem informatic utilizat pentru validarea datelor de identificare aferente persoanelor fizice conţinute în cererile expediate de operatorii de date cu caracter personal;
h) RSUD – Registrul de Stat al Unităţilor de Drept, sistem informatic utilizat pentru validarea conţinutului cererii (date de identificare a persoanelor juridice) expediate de operatorii de date cu caracter personal;
i) SI al AP – sistemele informatice ale autorităţilor publice utilizate pentru validarea actelor ataşate la cererea operatorului de date cu caracter personal.
Figura 2. Funcţiile business ale sistemului informaţional automatizat
2) În conformitate cu schema descrisă în figura 2 actorii Registrului au acces la următoarele funcţionalităţi:
a) UC01. Explorează interfaţa WEB publică a Registrului. Funcţionalitate disponibilă public tuturor utilizatorilor Internet – solicitanţi de informaţie, prin intermediul cărora aceştia pot formula interogări la baza de date în vederea căutării informaţiei cu caracter public sau extrage informaţie depersonalizată;
b) UC02. Înregistrează profil în Registru. Reprezintă o funcţionalitate disponibilă operatorilor de date cu caracter personal utilizată la momentul primei înregistrări în sistem (necesară creării contului şi parolei de acces);
c) UC03. Perfectează şi expediază cereri. Reprezintă o funcţionalitate disponibilă operatorilor de date cu caracter personal utilizată pentru perfectarea şi expedierea cererilor de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru;
d) UC04. Ataşează copii acte. Reprezintă o funcţionalitate disponibilă operatorilor de date cu caracter personal utilizată pentru ataşarea copiilor electronice ale actelor anexate la cererile de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru;
e) UC05. Validează înregistrările. Reprezintă o funcţionalitate automatizată a Registrului prin intermediul căreia sistemul informatic va verifica în mod automat corectitudinea datelor incluse în cererile de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru;
f) UC06. Recepţionează notificări. Reprezintă o funcţionalitate disponibilă operatorilor de date cu caracter personal utilizată pentru recepţionarea mesajelor de notificare privind acceptarea/respingerea cererii sau recepţionarea versiunii electronice a cererii completate şi validate pentru a fi imprimată, ştampilată şi prezentată personal la Centru. Versiunea electronică a cererii va conţine un cod bară prin intermediul căruia va putea fi regăsită rapid în Registru;
g) UC07. Prezintă originalele actelor. Este o procedură prin intermediul căreia operatorul de date cu caracter personal prezintă, iar funcţionarul Centrului verifică autenticitatea actelor prezentate şi recepţionează cererile în original pe format de hîrtie. Funcţionarul Centrului va scana codul bară al cererii în original pentru regăsirea rapidă a replicii electronice a acesteia în Registru în vederea validării acesteia şi demarării procedurilor de examinare a ei;
h) UC08. Examinează cereri. Reprezintă o funcţionalitate disponibilă funcţionarului Centrului utilizată pentru examinarea şi procesarea cererilor de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru expediate de operatorii de date cu caracter personal;
i) UC09. Extrage metadate aferente documentelor. Reprezintă o funcţionalitate disponibilă funcţionarului Centrului utilizată pentru introducerea în Registru a metadatelor aferente actelor expediate de operatorii de date cu caracter personal;
j) UC10. Defineşte detalii emitere decizie. Reprezintă o funcţionalitate disponibilă funcţionarului Centrului utilizată pentru introducerea în Registru a totalităţii datelor aferente deciziei de acceptare sau refuz a cererii, în baza cărora va fi imprimată decizia;
k) UC11. Extrage rapoarte. Este o funcţionalitate accesibilă funcţionarilor de diferite nivele ai Centrului care permite generarea rapoartelor planificate şi ad-hoc privind conţinutul informaţional al sistemului informatic şi activitatea utilizatorilor. Rapoartele în cauză sînt utile pentru analiza bazei informaţionale a sistemului, performanţei activităţii funcţionarilor în particular şi Centrului în general şi anticiparea problemelor de securitate informaţională.
l) UC12. Decizie de procesare a cererii. Reprezintă o funcţionalitate disponibilă nivelului managerial al Centrului utilizată pentru perfectarea deciziei de acceptare sau refuz a cererii expediate de operatorul de date cu caracter personal. Sistemul informatic va aplica semnătura digitală pe decizie pentru a fi expediată ulterior operatorului de date cu caracter personal prin e-mail;
m) UC13. Eliberează/publică decizia. Reprezintă o funcţionalitate disponibilă nivelului managerial al Centrului utilizată pentru imprimarea deciziei pe format de hîrtie (ştampilată şi semnată) sau generarea fişierului pe care va fi aplicată semnătura digitală;
n) UC14. Înregistrează decizia în Registru. Reprezintă o funcţionalitate disponibilă nivelului managerial al Centrului utilizată pentru introducerea datelor privind solicitarea de înregistrare/modificare/radiere conţinute în cererea operatorului de date cu caracter personal. Procedura este automatizată şi se efectuează de către Sistem în funcţie de decizia decidentului Centrului;
o) UC15. Examinează acte. Reprezintă o funcţionalitate disponibilă reprezentantului autorităţii publice externe prin intermediul căreia acesta examinează informaţiile despre operatorul de date cu caracter personal şi documentele scanate anexate de acesta la cererea expediată Centrului. Funcţionarul autorităţii publice externe înscrie note despre rezultatele examinării şi confirmă sau infirmă veridicitatea documentului;
p) UC16. Extrage automat date. Registrul extrage în regim automat date din sistemele informatice ale altor autorităţi. Datele sînt necesare pentru completarea deciziei. Extragerea automată a datelor se face în baza a cel puţin un identificator obţinut din informaţia aferentă actelor ataşate cererii. În funcţie de protocolul de interoperare este posibil să fie necesare cîteva atribute specificate manual de angajatul Centrului. Datele obţinute (inclusiv răspunsul negativ sau eroarea de conectare) sînt anexate la decizia emisă de Centru;
q) UC17. Administrează utilizatori. Reprezintă o funcţionalitate destinată Administratorului Registrului prin intermediul căreia acesta administrează lista şi integritatea credenţialelor angajaţilor Centrului, inclusiv a nivelului managerial, a reprezentanţilor altor autorităţi care examinează şi vizează documente, a sistemelor externe pentru care comunicarea se face cu certificat digital;
r) UC18. Administrează nomenclatoare şi metadate. Reprezintă o funcţionalitate destinată Administratorului Registrului prin intermediul căreia acesta administrează totalitatea nomenclatoarelor şi metadatelor aferente Registrului (inclusiv interfaţa utilizator al sistemului informatic);
s) UC19. Alte activităţi administrative. Reprezintă o funcţionalitate destinată Administratorului Registrului care cuprinde toate operaţiunile de administrare şi asigurare a funcţionalităţii Registrului care nu au fost descrise în alte funcţionalităţi.
9. Mecanismul de raportare, audit şi statistică ale sistemului
1) Sistemul va avea implementate funcţionalităţi destinate auditului/jurnalizării pe larg utilizat în industrie. Acesta este configurabil pentru a jurnaliza mai multe sau mai puţine nivele de evenimente tehnice şi business.
2) Sistemul informaţional automatizat va oferi posibilitatea generării automate a documentelor bazate pe şabloane predefinite. Anumitor tipuri de documente, configurabile în funcţie de specificul activităţii, li se vor putea asocia anumite formate predefinite. În momentul creării unui document de tipul respectiv, utilizatorul trebuie să poată specifica anumite informaţii, sistemul completînd, în mod automat, şablonul corespunzător tipului de document.
3) Sistemul de raportare a Registrului va delimita 3 categorii de rapoarte:
a) documentele de intrare – pentru fiecare tip se va crea cîte un şablon, în baza căruia va fi inserată informaţia relevantă documentului (de exemplu: formularele cererilor);
b) documentele de ieşire – pentru fiecare tip se va crea cîte un şablon, în baza căruia va fi inserată informaţia relevantă documentului (de exemplu: deciziile Centrului);
c) Rapoarte de performanţă – reprezintă o categorie de rapoarte statice (de regulă, implementate fizic în conţinutul sistemului informatic) îndreptată spre auditul şi analiza activităţii sistemului informaţional. La această categorie de rapoarte s-ar putea referi: trasarea drumului fluxurilor de lucru; raportul de performanţă a funcţionarului, raportul de performanţă a subdiviziunii, raportul de performanţă a funcţionarului în ansamblu (numărul de cereri primite, numărul de cereri procesate, numărul de cereri în întîrziere, indicatorii de productivitate etc.); raportul sarcinilor critice, care va extrage sarcinile ce au depăşit termenul-limită de execuţie, cu indicarea verigii unde s-a blocat, persoanele responsabile etc. La această categorie de rapoarte ar fi binevenită inspirarea din principiile rapoartelor similare furnizate de sistemele informatice de monitorizare a problemelor de calitate (MANTIS, BUGZILLA etc.).
4) Ţinînd cont de principiul de asigurare a transparenţei activităţii autorităţii publice, soluţia informatică va oferi mecanism de generare a rapoartelor prin intermediul interfeţei WEB publice a Registrului.
10. Interfaţa utilizator a sistemului informaţional automatizat
1) Registrul trebuie să ofere o interfaţă ergonomică, intuitivă şi accesibilă tuturor tipurilor de utilizatori. Sistemul trebuie să posede un design grafic inedit, agreabil, echilibrat şi distinct. Pentru uşurinţa utilizatorilor soluţia informatică va dispune de un sistem de ajutor contextual on-line (versiunea în limba de stat - obligatorie), la nivelul fiecărei interfeţe WEB de utilizare.
2) În funcţie de utilizator (dreptul şi rolurile acestora) sistemul informatic va furniza o interfaţă inedită fiecărui utilizator.
3) Utilizatorii sistemului informaţional automatizat vor dispune de 6 nivele de acces la interfaţa program:
a) Nivel acces Utilizator Internet – nivel de acces prin intermediul interfeţei publice WEB care conţine totalitatea funcţionalităţilor necesare explorării compartimentului public al Registrului;
b) Nivel acces Operator de date cu caracter personal – nivel de acces cu acces autorizat prin intermediul numelui utilizator+parolă sau certificat digital la interfaţa WEB caracteristică operatorului de date cu caracter personal, cu un set minim de funcţionalităţi, care va permite redactarea şi expedierea cererilor de efectuare a înregistrărilor, modificărilor sau revocărilor sau vizualizarea tuturor cererilor expediate, a notificărilor recepţionate şi deciziilor adoptate de Centru;
c) Nivel acces funcţionar al Centrului – nivel caracteristic funcţionarilor Centrului care vor autoriza accesul prin utilizator+parolă şi/sau certificat digital. Acest tip de utilizatori vor procesa totalitatea cererilor expediate de operatorii de date cu caracter personal;
d) Nivel acces conducător al Centrului – nivel caracteristic managerilor Centrului care vor autoriza accesul prin utilizator+parolă şi/sau certificat digital. Acest tip de utilizator va aproba decizia de procesare a totalităţii cererilor expediate de operatori de date cu caracter personal;
e) Nivel acces AP – nivel caracteristic autorităţilor publice din Moldova care vor trebui să confirme sau infirme veridicitatea documentelor expediate de operatori de date cu caracter personal;
f) Nivel acces administrator – nivel caracteristic utilizatorului de cel mai înalt nivel. Aceştia îşi vor autoriza accesul prin certificat digital şi locaţie fizică de conectare. Acest nivel, dat fiind rolul său de a administra buna funcţionare a soluţiei informatice, va asigura acces la toate funcţionalităţile interfeţei utilizator şi conţinutul bazei de date livrat de interfaţa utilizator.
4) Registrul va poseda o interfaţă bilingvă în limba de stat şi limba rusă. Versiunea obligatorie şi implicită este cea în limba de stat. Opţional se va realiza o versiune în limba engleză a interfeţei.
5) Sistemul informatic trebuie să deţină integrat funcţii de căutare conform criteriilor metadatelor cererilor, deciziilor sau notificărilor (căutare cereri, decizii, notificări sau toate 3; căutare conform tipului de cerere; căutare conform perioadei calendaristice, căutare conform rezultatului deciziei etc.). Procedurile de regăsire a informaţiei şi înregistrărilor vor fi realizate prin intermediul unor căutări simple (specificarea unor şiruri de căutare) sau a unor căutări de complexitate mai ridicată, prin intermediul cărora se poate realiza o filtrare mai exactă a informaţiei (formulare Query by Example (QBE) – interpelare conform exemplului). Indiferent de natura informaţiei căutate utilizatorul va folosi aceeaşi metodă de interogare şi regăsire a informaţiei pentru oricare compartiment al produsului informatic.
6) Adiţional la modulul de căutare realizat în baza principiului QBE care va da posibilitatea de a defini interogări sofisticate în mod vizual, interfaţa trebuie să ofere posibilitatea de a prezenta rezultatele căutării prin asigurarea posibilităţii filtrării informaţiilor în lista de rezultate ale căutării.
7) Interfaţa utilizator a sistemului informatic trebuie să asigure filtrarea înregistrărilor ce corespund criteriului de căutare prezentate utilizatorilor în funcţie de drepturile lor de acces.
8) Mărimile indexate (valori din clasificatoare, nomenclatoare) trebuie să poată fi filtrate prin alegerea valorii din liste predefinite. Pentru cîmpurile de tip numeric sau dată calendaristică trebuie să existe posibilitatea filtrării conform valorii exacte a caracteristicii căutate (Exemplu: 1 ianuarie 2009 – toate înregistrările cu dată specificată) sau conform criteriilor logice (de exemplu: <01.01.2010 – toate înregistrările cu dată mai veche decît 1 ianuarie 2010, > 1 ianuarie 2008 – toate înregistrările cu dată mai recentă de 1 ianuarie 2008).
9) De asemenea, trebuie să existe posibilitatea filtrării rezultatelor conform măştii (de exemplu, filtrarea după IDNO), conform modelului: 1006600043* - toate secvenţele care se încep cu şirul de caractere „1006600043”, *ESCU - toate secvenţele care se sfîrşesc cu şirul de caractere „ESCU” sau *ORAR* - toate secvenţele care au în conţinut şirul de caractere „ORAR”.
10) Conţinutul oricărui tabel cu rezultate trebuie să poată fi exportat în format XLS, CSV şi PDF.
Următoarele entităţi sînt interesate sau trebuie implicate în elaborarea şi buna funcţionare a Registrului:
a) Centrul, în calitate de organism principal în obligaţiunea căruia intră instituirea şi administrarea Registrului, suportul metodologic şi organizatoric pentru înregistrarea operatorilor de date cu caracter personal, monitorizarea situaţiei la zi privind respectarea procedurilor de înregistrare a operatorilor de date cu caracter personal etc.;
b) operatorii de date cu caracter personal – persoane fizice sau juridice care au obligaţia legală de a se înregistra în Registru;
c) Centrul de Guvernare Electronică în calitate de organism abilitat cu activităţi de e-Transformare. Centrul de Guvernare Electronică este finanţatorul principal al proiectului şi va lua parte activă pe perioada implementării şi punerii în exploatare a sistemului informatic, inclusiv validarea şi acceptarea propunerilor de soluţie şi a soluţiei livrate. Centru de Guvernare Electronică, de asemenea, coordonează lucrările privind Portalul Guvernamental şi soluţia M-Cloud de care Registrul trebuie să ţină cont;
d) autorităţile publice (ministere, agenţii, servicii etc.) în calitate de entităţi care eliberează acte ce trebuie anexate de operatorii de date cu caracter personal la cererile expediate în adresa Centrului şi veridicitatea cărora trebuie controlată;
e) Ministerul Tehnologiei Informaţiei şi Comunicaţiilor în calitate de organ principal de politici şi norme privind elaborarea şi implementarea resurselor informaţionale de stat;
f) Întreprinderea de Stat „Centrul de Telecomunicaţii Speciale” în calitate de entitate care va asigura asistenţa şi mijloacele tehnice necesare implementării şi funcţionării Registrului. De asemenea, Întreprinderea de Stat „Centrul de Telecomunicaţii Speciale” va reprezenta entitatea care va prelua soluţia informatică şi va asista implementarea şi administrarea sistemul informatic;
g) persoane fizice şi juridice în calitate de beneficiari ai conţinutului public al Registrului;
h) angajaţii autorităţilor publice vor utiliza sistemul pentru îndeplinirea obligaţiilor de serviciu şi trebuie să fie informaţi, consultaţi şi instruiţi pentru a asigura capacităţile de lucru şi performanţele scontate.
12. Operatorul sistemului
Operatorul resursei informaţionale este Centrul. Rolul de deţinător al sistemului reflectă aspectul administrativ şi cel tehnologic ce ţine de competenţa Centrului. Centrul este responsabil de buna funcţionare a serviciului şi informare a beneficiarilor asupra proceselor de procesare a formularelor acestora expediate on-line.
13. Administratorul sistemului
1) Registrul va fi găzduit în M-Cloud, iar administrarea serviciului va fi împărţită între Administratorul M-Cloud şi Centru. Responsabilităţile Administratorului M-Cloud vor fi reglementate de un contract SLA (Service Level Agreement).
2) Administratorul sistemului are acces deplin la toate funcţionalităţile sistemului, fişierele şi bazele de date aferente sistemului, încăperile în care se află echipamentul şi utilajul pe care rulează aplicaţiile software sau care asigură securitatea datelor Registrului.
3) Responsabilităţile Administratorului sînt:
a) asigurarea funcţionării normale a sistemului informatic, garantînd accesibilitatea, securitatea şi integritatea datelor;
b) gestiunea certificatelor digitale de acces a utilizatorilor (aprobare, respingere etc.);
c) monitorizează activitatea utilizatorilor în sistem;
d) la cererea în scris a proprietarului Registrului, Administratorul face modificări în funcţionalităţile sistemului (în limitele posibilităţilor admise de sistem) etc.;
e) efectuează administrarea tehnică a infrastructurii sistemului informatic care prevede:
administrarea şi asigurarea funcţionalităţii echipamentelor tehnice pe care rulează aplicaţiile software, inclusiv cel de securizare a perimetrului reţelei şi accesului la date;
dispunerea sau închirierea canalelor de acces în bandă largă la Internet şi reţeaua guvernamentală;
administrarea serverului WEB de aplicaţii prin intermediul căruia se prestează serviciile incluse în Registru.
14. Utilizatorii şi rolurile acestora în sistem
1) Rolurile umane sau alte sisteme ce interacţionează cu Registrul sînt prezentate în figura 3.
Figura 3. Rolurile Registrului
2) Solicitantul de informaţie – actor uman care reprezintă totalitatea utilizatorilor – solicitanţi de informaţie, care explorează conţinutul public al Registrului prin intermediul interfeţei WEB livrate de acesta. Actorul în cauză are următoarele roluri distincte:
a) accesează interfaţa WEB de explorare a conţinutului public al Registrului;
b) formulează interogări de căutare a răspunsului la problemele sale;
c) accesează deciziile emise de Centru.
3) Operatorul de date cu caracter personal – reprezintă totalitatea entităţilor care utilizează facilităţile on-line ale Registrului în vederea expedierii cererilor de înregistrare, modificare sau radiere a datelor în/din Registru, avînd următoarele roluri:
a) redactează şi expediază cereri de înregistrare / modificare / radiere din Registru şi actele doveditoare aferente cererilor;
b) descarcă decizii aferente operatorului datelor cu caracter personal.
4) Funcţionar al Centrului – actor uman care reprezintă totalitatea utilizatorilor autorizaţi ai Centrului cu funcţii de examinare a cererilor expediate de operatorii de date cu caracter personal care dispune de următoarele roluri distincte:
a) examinează cererile parvenite din partea operatorilor de date cu caracter personal;
b) verifică corectitudinea informaţiei conţinute în cerere;
c) completează formularul cererii cu metadate aferente actelor doveditoare anexate la cerere;
d) perfectează proiectul deciziei de înregistrare / modificare / radiere a datelor din Registru.
5) Conducerea Centrului – actor uman care reprezintă totalitatea utilizatorilor autorizaţi ai Centrului cu funcţii de decizie în privinţa cererilor expediate de operatorii de date cu caracter personal. Acest tip de actor dispune de următoarele roluri:
a) examinează cererile parvenite din partea operatorilor de date cu caracter personal;
b) aprobă / respinge proiectul deciziei de înregistrare / modificare / radiere a datelor din Registru;
c) publică decizia în Registru;
d) extrage rapoartele aferente exploatării Registrului.
6) Funcţionar extern – actor uman care reprezintă totalitatea utilizatorilor autorizaţi ce aparţin altor autorităţi publice cu funcţii de examinare a veridicităţii actelor expediate de operatorii de date cu caracter personal:
examinează şi stabileşte veridicitatea actului doveditor prezentat de operatorul de date cu caracter personal.
7) Administratorul Registrului – actor uman, abilitat cu delimitarea utilizatorilor sistemului, configuraţia Registrului, precum şi cu startarea componentelor sistemului. Dacă mediul tehnologic în care va funcţiona Registrul include capabilităţi suficiente pentru îndeplinirea lucrărilor de administrare, implementarea acestora în sistem este opţională. Categoria respectivă de actori are următoarele roluri distincte:
a) foloseşte necondiţionat toate funcţionalităţile Registrului;
b) vizualizează orice înregistrare din baza de date;
c) administrează serverul de aplicaţii;
d) administrează baza de date în producţie;
e) administrează profilurile utilizatorilor;
f) administrează sistemul de nomenclatoare şi metadate;
g) efectuează copii de rezervă a bazei de date.
8) Registrul este sistemul informaţional automatizat ce urmează să fie dezvoltat (Registrul operatorilor de date cu caracter personal ).
9) RSP – Registrul de Stat al Populaţiei, sistem informatic utilizat pentru validarea datelor de identificare aferente persoanelor fizice conţinute în cererile expediate de operatorii de date cu caracter personal.
10) RSUD – Registrul de Stat al Unităţilor de Drept, sistem informatic utilizat pentru validarea conţinutului cererii (date de identificare a persoanelor juridice) expediate de operatorii de date cu caracter personal .
11) SI al AP – sistemele informatice ale autorităţilor publice utilizate pentru validarea actelor ataşate la cererea operatorului de date cu caracter personal sau care vor servi în calitate de sursă de informaţie pe parcursul examinării dosarelor cererilor de înregistrare, modificare sau radiere.
1) Sistemul informaţional automatizat va stoca un şir de documente de intrare prezentate de operatorii de date cu caracter personal şi autorităţile publice pentru perfectarea deciziei privind înregistrarea, modificarea sau radierea informaţiei în/din Registru.
2) Pentru realizarea unei istorii, Registrul va forma un dosar electronic pentru fiecare solicitare a operatorului de date cu caracter personal care va conţine atît copiile scanate ale documentelor prezentate, cît şi metadatele aferente acestora.
3) Din categoria documentelor de intrare fac parte:
a) cererile de înregistrare;
b) actele ce confirmă necesitatea înregistrării;
c) cererile de modificare a informaţiei;
d) actele ce confirmă necesitatea efectuării modificărilor;
e) cererile de radiere;
f) actele ce confirmă necesitatea efectuării radierii.
16. Documentele de ieşire ale sistemului
1) Sistemul informaţional automatizat va genera şi prezenta un şir de documente de ieşire privitor la deciziile Centrului de a efectua sau refuza înregistrarea, modificarea sau radierea, ori privitor la rezultatele controalelor efectuate la operatorii de date cu caracter personal care vizează respectarea cadrului legal în vigoare privind protecţia datelor cu caracter personal.
2) Pentru realizarea unei istorii, Registrul va stoca istoria interacţiunii cu operatorul de date cu caracter personal, ataşînd la profilul acestuia totalitatea documentelor de ieşire care-l vizează.
3) Din categoria documentelor de ieşire s-ar putea menţiona:
a) decizia de înregistrare;
b) decizia de refuz a înregistrării;
c) decizia de efectuare a modificărilor;
d) decizia de refuz a modificărilor;
e) decizia de radiere;
f) decizia de refuz a radierii;
g) decizia de autorizare a operaţiunilor de prelucrare a datelor cu caracter personal;
h) decizia de refuz a autorizării operaţiunilor de prelucrare a datelor cu caracter personal;
i) deciziile aferente activităţii Centrului ce afectează operatorii de date cu caracter personal de suspendare, blocare a prelucrărilor de date, prescripţii etc.;
j) rapoartele extrase;
k) fişa operatorului de date cu caracter personal cu istoria aferentă acestuia.
17. Documentele tehnologice ale sistemului
Din categoria documentelor tehnologice stocate în Registru fac parte:
a) confirmările din partea sistemelor informatice ale autorităţilor publice sau angajaţilor acestora privind veridicitatea documentelor prezentate.
b) înregistrările fişierelor log privind interacţiunea utilizatorilor cu Registrul;
c) certificatele digitale ale utilizatorilor care se autentifică în sistem.
Analizînd domeniul modelat (asigurarea funcţionalităţii Registrului) pot fi delimitate totalitatea obiectelor informaţionale de care trebuie să se ţină cont la elaborarea sistemului informaţional automatizat. În figura 4 sînt delimitate totalitatea obiectelor informaţionale care vor sta la baza conceperii Registrului. După cum se vede din această figură există 5 categorii de obiecte informaţionale de care trebuie să se ţină cont în procesul de proiectare şi realizare a sistemului informatic: cereri de înregistrare, cereri de modificare, cereri de radiere, acte doveditoare anexate la cereri şi decizii ale Centrului.
Figura 4. Funcţiile business ale Sistemului informaţional automatizat
a) Cererea de înregistrare
Reprezintă una din cele 3 tipuri de cereri expediate de operatorii de date cu caracter personal către Centru în vederea înregistrării primare a lor şi creării profilului acestora în sistem pentru perfectarea şi expedierea on-line ulterioară a solicitărilor de efectuare a modificărilor sau radierilor în Registru.
b) Cererea de modificare
Reprezintă una din cele 3 tipuri de cereri expediate de operatorii de date cu caracter personal către Centru în vederea modificării informaţiei stocate în Registru cu referinţă la operatorii de date cu caracter personal, precum şi la sistemele informatice şi informaţionale gestionate de aceştia.
c) Cererea de radiere
Reprezintă una din cele 3 tipuri de cereri expediate de operatorii de date cu caracter personal către Centru în vederea radierii din Registru a înregistrărilor cu referinţă la operatorii de date cu caracter personal, precum şi la sistemele informatice şi informaţionale gestionate de aceştia.
d) Actele doveditoare
Reprezintă copii scanate ale actelor doveditoare pe care operatorul de date cu caracter personal le anexează cererilor de înregistrare, modificare sau radiere.
e) Deciziile Centrului
Reprezintă totalitatea deciziilor emise de Autoritatea naţională de protecţie a datelor cu caracter personal ca rezultat al procesării cererilor expediate de operatorii datelor cu caracter personal sau ca rezultat al controalelor efectuate de Centru.
19. Fluxurile informaţionale ale sistemului
1) Pentru asigurarea funcţionalităţii Registrului este necesară implementarea a 7 categorii de fluxuri informaţionale disponibile diferitelor categorii de utilizatori ai sistemului informatic.
2) Trebuie implementate următoarele fluxuri informaţionale:
a) perfectarea şi expedierea cererii de înregistrare. Reprezintă fluxul utilizat de operatorul de date cu caracter personal pentru expedierea solicitării primare de creare a profilului său şi introducerii informaţiei în Registru;
b) perfectarea şi expedierea cererii de modificare. Reprezintă fluxul utilizat de operatorul de date cu caracter personal pentru expedierea solicitării de efectuare a modificărilor în Registru. Accesul la acest flux e asigurat doar după autorizarea solicitantului de modificări;
c) perfectarea şi expedierea cererii de radiere. Reprezintă fluxul utilizat de operatorul de date cu caracter personal pentru expedierea solicitării de radiere a informaţiei din Registru. Accesul la acest flux este asigurat doar după autorizarea solicitantului de radiere;
d) aprobarea copiilor actelor. Reprezintă fluxul utilizat de emitentul actelor doveditoare anexate de operatorul de date cu caracter personal pentru verificarea veridicităţii acestora. Preponderent se va face automatizat prin colaborarea cu sistemele informatice ale autorităţilor publice corespunzătoare sau manual de angajaţii autorităţilor publice;
e) procesarea dosarului cererii. Reprezintă fluxul utilizat de angajaţii Centrului în vederea procesării solicitărilor expediate de operatorii de date cu caracter personal. Va conţine toată business logica aferentă procesului de pregătire a deciziei;
f) perfectarea deciziei. Reprezintă fluxul utilizat de conducerea Centrului în vederea emiterii deciziei aferente solicitărilor expediate de operatorii de date cu caracter personal. Va conţine toată business logica aferentă procesului de generare a deciziei;
g) extragerea deciziei din Registru. Reprezintă fluxul utilizat de utilizatorii Internet în vederea extragerii deciziilor emise de Centru privitor la operatorii de date cu caracter personal. Documentele prezentate vor fi depersonalizate şi li se va aplica în mod automat semnătura digitală a autorităţii.
20. Scenarii de bază ale sistemului
1) Scenariul de expediere a cererii de înregistrare
În conformitate cu scenariul din figura 5, operatorul de date cu caracter personal accesează interfaţa publică de perfectare a cererii de înregistrare a profilului acestuia în Registru.
Pentru aceasta operatorul de date cu caracter personal se conectează la componenta on-line a Registrului destinată completării şi expedierii cererii de înregistrare, completează toate cîmpurile obligatorii ale formularului şi eventual cele opţionale.
Soluţia informatică va verifica interactiv corectitudinea completării formularului, în baza restricţiilor conţinute în sistemul de metadate a sistemului informatic sau a datelor conţinute în Registrul de stat al populaţiei şi Registrul de stat al unităţilor de drept.
Odată completat, formularul va putea fi semnat digital de către operatorul de date cu caracter personal pentru a fi expediat către Centru.
Figura 5. Scenariul expedierii cererii de înregistrare
După recepţionarea formularului Sistemul va trimite la adresa e-mail de contact indicată de operatorul de date cu caracter personal un mesaj de confirmare a valabilităţii adresei e-mail. După confirmarea în timp util a valabilităţii adresei e-mail de către solicitant (activarea referinţei hipertext expediate la adresa e-mail a solicitantului) adresa e-mail de contact este validată, iar cererea de înregistrare trimisă spre procesare în sistem (în cazul în care confirmarea valabilităţii adresei e-mail nu este efectuată în timp utili, solicitarea operatorului de date cu caracter personal este eliminată din baza de date).
Totodată, operatorului de date cu caracter personal îi este expediat, la adresa e-mail de contact, formularul cererii de înregistrare completat, anexat ca fişier PDF la mesajul e-mail.
Pentru operaţiunile de prelucrare a datelor cu caracter personal efectuate de către operatorii de date cu caracter personal, care în virtutea legii, necesită verificarea prealabilă (sau pentru care sistemul, în mod automat, va solicita procedura în cauză ca urmare a valorilor metadatelor inserate în cererea de modificare) Registrul va notifica angajaţii Centrului privind obligativitatea efectuării unei verificări prealabile a cererii de înregistrare.
Funcţionarul Centrului va expedia la adresa e-mail a operatorului de date cu caracter personal lista cu documente ce trebuie prezentate la Centru.
Operatorul de date cu caracter personal va imprima, ştampila şi semna fişierul cu formularul completat recepţionat la adresa e-mail şi va pregăti şi legaliza totalitatea documentelor doveditoare solicitate de Centru, după care se va prezenta la Centru pentru a valida înregistrarea.
Angajatul Centrului va scana codul bară al cererii (sau va introduce codul acesteia) pentru regăsirea rapidă a acesteia şi va aviza valabilitatea şi corectitudinea documentelor recepţionate de la operatorul de date cu caracter personal. Dacă operatorul de date cu caracter personal nu se prezintă în termen util la Centru pentru a livra documentele solicitate validării preliminare, responsabilul de verificarea prealabilă va înscrie informaţia corespunzătoare utilizată ulterior în procesul de perfectare şi adoptare a deciziei (acceptare sau respingere a înregistrării).
Ca rezultat al verificării prealabile angajatul Centrului va perfecta o decizie de autorizare a operaţiunilor de prelucrare a datelor cu caracter personal. Soluţionarea favorabilă conţinută în decizia respectivă va servi drept condiţie de adoptare a deciziei de înregistrare a cererii operatorului de date cu caracter personal în procedura de procesare a cererii de înregistrare.
După obţinerea deciziei de autorizare a procesării cererii de înregistrare aceasta urmează totalitatea fazelor tehnologice pînă la elaborarea proiectului de decizie. Proiectul de decizie (accept de înregistrare sau refuz) este expediat spre coordonarea finală către conducerea Centrului care, analizîndu-l, îl remite spre reprocesare (în cazul depistării unor careva erori de procedură sau de altă natură) sau adoptă decizia.
În cazul unei decizii favorabile, Sistemul va insera înregistrările corespunzătoare în Registru şi va crea profilul operatorului de date cu caracter personal cu care acesta se va conecta ulterior pentru solicitarea modificărilor sau radierilor (numele utilizatorului şi parola de acces la profil vor fi preluate din formatul electronic al cererii completate iniţial).
Pentru decizia cu refuz profilul nu va fi creat, ci vor fi inserate menţiunile corespunzătoare privind refuzul înregistrării.
2) Scenariul de expediere a cererii de modificare
În conformitate cu scenariul din figura 6, operatorul de date cu caracter personal se autorizează în sistem pentru perfectare a cererii de înregistrare a modificărilor în Registru.
Pentru aceasta operatorul de date cu caracter personal se conectează la componenta on-line a Registrului destinată completării şi expedierii cererii de efectuare a modificărilor, completează toate cîmpurile obligatorii ale formularului şi eventual cele opţionale.
Operatorii de date cu caracter personal vor dispune de o interfaţă comodă de completare a cererii de solicitare a modificărilor gen asistent unde vor putea defini vizual şi rapid totalitatea modificărilor ce trebuie efectuate. Pe lîngă modificări, operatorul de date cu caracter personal va avea posibilitatea de a expedia copiile actelor doveditoare pentru efectuarea modificărilor.
Figura 6. Scenariul expedierii cererii de modificare
Odată completat, formularul şi documentele doveditoare anexate vor putea fi semnate digital de către operatorul de date cu caracter personal pentru a fi expediate către Centru.
După recepţionarea formularului, Sistemul va pune în producţie procesarea acestuia şi va trimite la adresa e-mail de contact a operatorului de date cu caracter personal formularul cererii de solicitare a modificărilor completat anexat ca fişier PDF la mesajul e-mail.
Pentru operaţiunile de prelucrare a datelor cu caracter personal efectuate de către operatorii de date cu caracter personal care, în virtutea legii, necesită verificarea prealabilă (sau pentru care sistemul, în mod automat, va solicita procedura în cauză ca urmare a valorilor metadatelor inserate în cererea de modificare) Registrul va notifica funcţionarii Centrului despre obligativitatea efectuării unei verificări prealabile a cererii de înregistrare.
Angajatul Centrului va expedia la adresa e-mail a operatorului de date cu caracter personal lista cu documente ce trebuie prezentate la Centru.
Operatorul de date cu caracter personal va imprima, ştampila şi semna fişierul cu formularul completat recepţionat la adresa e-mail şi va pregăti şi legaliza totalitatea documentelor doveditoare solicitate de Centru, după care se va prezenta la Centru pentru a valida cererea de solicitare a modificărilor.
Funcţionarul Centrului va scana codul bară al cererii (sau va introduce codul acesteia) pentru regăsirea rapidă a acesteia şi va aviza valabilitatea şi corectitudinea documentelor recepţionate de la operatorul de date cu caracter personal. Dacă operatorul de date cu caracter personal nu se prezintă în termen util la Centru pentru a livra documentele solicitate validării preliminare, responsabilul de verificarea prealabilă va înscrie informaţia corespunzătoare utilizată ulterior în procesul de perfectare şi adoptare a deciziei (acceptare sau respingere a înregistrării).
Ca rezultat al verificării prealabile funcţionarul Centrului va perfecta o decizie de autorizare a operaţiunilor de prelucrare a datelor cu caracter personal. Soluţionarea favorabilă conţinută în decizia respectivă va servi drept condiţie de adoptare a deciziei de înregistrare a cererii de modificare a operatorului de date cu caracter personal în procedura de procesare a cererii de înregistrare.
După obţinerea deciziei de autorizare a procesării cererii de modificare, aceasta urmează totalitatea fazelor tehnologice pînă la formarea proiectului de decizie. Proiectul de decizie (accept de modificare sau refuz) este expediat spre coordonarea finală către conducerea Centrului care, analizîndu-l, îl remite spre reprocesare (în cazul depistării unor careva erori de procedură sau de altă natură) sau adoptă decizia.
În cazul unei decizii favorabile, Sistemul va insera modificările corespunzătoare în Registru. Pentru decizia cu refuz vor fi inserate menţiunile corespunzătoare privind refuzul procesării modificărilor.
3) Scenariul expedierii cererii de radiere
În conformitate cu scenariul din figura 7, operatorul de date cu caracter personal se autorizează în sistem pentru perfectare a cererii de radiere a informaţiei din Registru.
Pentru aceasta operatorul de date cu caracter personal se conectează la componenta on-line a Registrului destinată completării şi expedierii cererii de efectuare a radierilor, completează toate cîmpurile obligatorii ale formularului şi eventual cele opţionale.
Operatorii de date cu caracter personal vor dispune de o interfaţă comodă de completare a cererii de solicitare a radierilor gen asistent, unde vor putea defini vizual şi rapid totalitatea modificărilor ce trebuie efectuate. Pe lîngă solicitările de radiere, operatorul de date cu caracter personal va avea posibilitatea de a expedia copiile actelor doveditoare pentru efectuarea radierilor din Registru.
Odată completat, formularul şi documentele doveditoare anexate vor putea fi semnate digital de către operatorul de date cu caracter personal pentru a fi expediate către Centru.
După recepţionarea formularului, Sistemul va trimite la adresa e-mail de contact a operatorului de date cu caracter personal formularul cererii de solicitare a radierilor completat anexat ca fişier PDF la mesajul e-mail.
Figura 7. Scenariul expedierii cererii de radiere
Spre deosebire de procedura de înregistrare şi cea de solicitare a modificărilor, în cazul solicitării de radiere obligatoriu se va trece prin mecanismul de verificare a cererii de efectuare a radierii din Registru.
Angajatul Centrului va expedia la adresa e-mail a operatorului de date cu caracter personal lista cu documente ce trebuie prezentate la Centru, necesare procesului de procesare prealabilă a dosarului de radiere.
Operatorul de date cu caracter personal va imprima, ştampila şi semna fişierul cu formularul completat recepţionat la adresa e-mail şi va pregăti şi legaliza totalitatea documentelor doveditoare solicitate de Centru după care se va prezenta la Centru pentru a valida cererea de solicitare a modificărilor.
Funcţionarul Centrului va scana codul bară al cererii (sau va introduce codul acesteia) pentru regăsirea rapidă a acesteia şi va aviza valabilitatea şi corectitudinea documentelor recepţionate de la operatorul de date cu caracter personal. Dacă operatorul de date cu caracter personal nu se prezintă în termen util la Centru pentru a livra documentele solicitate validării preliminare, responsabilul de verificarea prealabilă va înscrie informaţia corespunzătoare utilizată ulterior în procesul de perfectare şi adoptare a deciziei (acceptare sau respingere a radierii).
După obţinerea deciziei de autorizare a procesării cererii de radiere, aceasta urmează totalitatea fazelor tehnologice pînă la elaborarea proiectului de decizie. Proiectul de decizie (accept de radiere sau refuz) este expediat spre coordonare finală către conducerea Centrului care, analizîndu-l, îl remite spre reprocesare (în cazul depistării unor careva erori de procedură sau de altă natură) sau adoptă decizia.
În cazul unei decizii favorabile, Sistemul va efectua radierile din Registru. Pentru decizia de refuz vor fi inserate menţiunile corespunzătoare privind refuzul procesării modificărilor.
4) Scenariul de procesare a dosarului cererii
În cazul în care operatorul de date cu caracter personal expediază cererea fără a o semna digital, acesta se va prezenta personal la Centru pentru a valida solicitările. Angajatul Centrului va scana cererea şi după regăsirea acesteia în zona tampon va aproba trecerea acesteia în baza de date în producţie (dacă e cazul), pentru procesare ulterioară.
Funcţionarul Centrului se va autoriza pentru a se conecta la Registru în scopul procesării cererilor parvenite spre procesare. Funcţionarul Centrului va examina corectitudinea conţinutului cererilor parvenite, va analiza actele doveditoare şi va introduce metadatele aferente acestora în Registru.
După aplicarea unor mecanisme automatizate de verificare a integrităţii formularelor procesate (verificare IDNP, IDNO etc.) cu sistemele informatice ale altor autorităţi publice şi verificarea veridicităţii documentelor doveditoare, cererea obţine statutul de procesată cu menţiunea de aprobare sau respingerea acesteia (conform rezultatelor verificării). Angajatul va completa totalitatea datelor aferente proiectului de decizie.
Componenta în cauză va permite introducerea unor proiecte de decizii ce vizează operatorul de date cu caracter personal, create ca urmare a activităţii Centrului.
5) Scenariul de aprobare a copiilor actelor
Nu se pune scopul verificării exhaustive a documentelor doveditoare expediate de operatorii de date cu caracter personal. În cazul în care verificarea nu poate fi efectuată în mod automat, aceasta se face selectiv.
Registrul va utiliza 2 regimuri de verificare a valabilităţii actelor doveditoare:
a) automat, prin confruntarea metadatelor aferente actului cu datele livrate de sistemele informatice ale autorităţilor emitente;
b) manual, prin oferirea unei interfeţe reprezentatului autorităţilor publice pentru examinarea copiei actului şi validarea sau nevalidarea acestuia.
6) Scenariul de perfectare a deciziei
Decidentul din cadrul Centrului (conducerea) se va autoriza pentru a se conecta la Registru, în scopul vizării proiectelor de decizie aferente cererilor parvenite spre procesare. Conducătorul Centrului va examina corectitudinea conţinutului cererilor parvenite, va analiza actele doveditoare şi proiectul deciziei.
În cazul depistării unor probleme, conducătorul va nota problema şi va restitui decizia spre o procesare suplimentară. Dacă cererea este procesată corect va aplica semnătura digitală pe decizie pentru a o face valabilă.
O dată aprobată decizia, vor fi efectuate înscrierile în Registru, iar operatorului de date cu caracter personal îi va fi expediată prin e-mail notificarea cu fişierul semnat al deciziei.
7) Scenariul de extragere a deciziei din Registru
Registrul va oferi mai multe posibilităţi de extragere a deciziilor aferente operatorilor de date cu caracter personal .
Acestea vor fi disponibile prin intermediul interfeţei publice a Registrului. Astfel, utilizatorul va putea explora conţinutul Registrului, utilizînd mecanismul de navigare şi sistemul de nomenclatoare şi clasificatoare, sau va putea formula interogări de căutare a deciziilor în baza datelor de identificare a acestora. Informaţia prezentată în interfaţa publică nu va conţine date cu caracter personal, ci doar informaţie cu caracter public.
În cazul operatorilor de date cu caracter personal, aceştia vor putea accesa deciziile din profilul lor în cadrul Registrului. Ei se vor conecta la contul lor şi vor putea accesa într-o zonă specială totalitatea deciziilor aferente lor. Acestea vor putea fi descărcate sub formă de fişiere pe care este aplicată semnătura digitală a Centrului şi vor putea fi utilizate în calitate de document oficial.
21. Clasificatoarele şi nomenclatoarele sistemului
1) În scopul asigurării veridicităţii şi reducerii volumului informaţiei stocate în Registru se vor utiliza clasificatoare şi nomenclatoare care pot fi divizate în trei grupuri:
a) internaţionale;
b) naţionale (CUATM, CAEM, FOJ, CFP etc.);
c) interne (interfaţă, utilizatori, grupuri de utilizatori, categorii de documente, categorii de decizii etc.).
2) Clasificatoarele şi nomenclatoarele interne se vor elabora şi utiliza în cadrul Registrului numai în absenţa clasificatoarelor internaţionale şi naţionale aprobate.
22. Interacţiunea cu alte sisteme informatice
Pentru asigurarea funcţionalităţii în condiţii optime a Registrului este necesară realizarea interacţiunii cu 4 categorii de sisteme informatice:
1) Interacţiunea cu sistemele informatice ale Î.S. „Centrului de Telecomunicaţii Speciale”
Această interacţiune va fi utilizată pentru realizarea mecanismelor de semnătură digitală, care oferă posibilitatea verificării identităţii unui utilizator, stabileşte dacă acesta are dreptul să trimită documente, protejează conţinutul informaţiei trimise, care nu mai poate fi modificat după ce a fost semnat. Toate acestea vor fi realizate prin utilizarea următoarelor servicii, oferite de Centrul de Telecomunicaţii Speciale:
a) verificarea certificatului;
b) verificarea semnăturii;
c) cererea şi recepţionarea mărcii de timp.
Funcţiile mărcii de timp se folosesc la etapa expedierii documentelor. Mărcile de timp sînt obţinute de către sistem de la programul-client, conectat la serviciul de stat Time-Stamping.
De asemenea, se va realiza interacţiunea cu Portalul Guvernamental gestionat de Centrul de Telecomunicaţii Speciale în vederea asigurării accesului la resursele Registrului prin intermediul Portalului.
2) Interacţiunea cu Registrul de Stat al Populaţiei
Această interacţiune va fi utilizată pentru a valida înregistrările cererilor de efectuare a înregistrărilor, modificărilor sau radierilor (care conţin date despre persoane fizice), în scopul validării acestora privind corectitudinea combinaţiilor de IDNP, nume, prenume, act de identitate etc.
3) Interacţiunea cu Registrul de Stat al unităţilor de drept
Această interacţiune va fi utilizată pentru a valida înregistrările cererilor de efectuare a înregistrărilor, modificărilor sau radierilor (care conţin date despre persoane juridice) în scopul validării acestora privind corectitudinea combinaţiilor de IDNO, denumire, cod CUATM, cod CAEM etc.
4) Interacţiunea cu sistemele informatice ale altor autorităţi publice
Această interacţiune va fi utilizată pentru a verifica veridicitatea actelor prezentate de operatorii de date cu caracter personal în conformitate cu informaţia stocată în sistemele informatice ale autorităţilor publice.
2) Registrul publică cîteva interfeţe şi pentru acestea este realizată cîte o implementare, şi anume:
a) Serviciul WEB Depun cerere, care interacţionează cu lumea externa şi va fi accesat iniţial direct prin intermediul site-ului web al Centrului (http://www.datepersonale.md). Ulterior se planifică integrarea acestui serviciu şi în Portalul Guvernamental.
b) Serviciul WEB Extrage rapoarte, care interacţionează cu lumea externă şi va fi accesat iniţial direct prin intermediul site-ului web al Centrului (http://www.datepersonale.md). Ulterior se planifică integrarea acestui serviciu şi în Portalul Guvernamental.
c) Serviciul WEB Examinează cereri, care permite funcţionarilor Centrului şi reprezentanţilor externi să examineze integral sau parţial cererea depusă de solicitanţi.
d) Serviciul WEB Pregăteşte decizia, reprezintă mijlocul ce permite Centrului să verifice corectitudinea documentelor recepţionate şi să completeze setul de metadate necesar pentru emiterea deciziei.
e) Serviciul WEB Perfectează decizia, oferă posibilitate conducerii Centrului sa examineze cererile şi documentele aferente acestora, proiectele de decizii pentru a le aproba sau a le întoarce spre procesare suplimentară în cazul depistării problemei.
f) Serviciul WEB Extrage decizii, oferă utilizatorilor Internet – solicitanţilor de informaţii posibilitatea de a găsi, vizualiza şi salva deciziile emise de Centru.
Figura 8. Componentele Sistemului informaţional automatizat
2) Asigurarea securităţii informaţionale va include totalitatea măsurilor juridice, organizatorice, economice şi tehnologice, orientate spre prevenirea pericolelor securităţii resurselor şi infrastructurii informaţionale.
3) Pot fi delimitate următoarele probleme de asigurare a securităţii informaţionale cu care se va confrunta Registrul:
a) asigurarea confidenţialităţii informaţiei (prevenirea obţinerii informaţiilor de către persoanele care nu au drepturile şi competenţele respective);
b) asigurarea integrităţii logice a datelor (prevenirea introducerii, actualizării şi ştergerii nesancţionate a informaţiei sau introducere a datelor denaturate);
c) asigurarea securităţii infrastructurii informaţionale de tentative de a defecta sau de a modifica funcţionarea acesteia.
4) Mecanismele principale de securitate informaţională utilizate vor fi:
a) autentificarea şi autorizarea informaţiei;
b) administrarea accesului la informaţie;
c) înregistrarea acţiunilor utilizatorilor sistemului informatic ;
d) criptarea informaţiei;
e) auditul informatic;
f) procedurile de restabilire, în caz de dezastru.
5) Veriga cea mai sensibilă la risc în sistemul de securitate este factorul uman. Din aceste considerente, instruirea personalului la capitolul însuşirii metodicii rezistenţei la ameninţări informatice este un element foarte important.
6) În procesul de elaborare al Registrului, pentru asigurarea securităţii informaţionale se va ţine cont de algoritmii şi protocoalele existente pe piaţă cu respectarea cadrului legal al Republicii Moldova, inclusiv:
a) Legea nr. 982-XIV din 11 mai 2000 privind accesul la informaţie;
b) Legea nr. 467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat;
c) Legea nr. 246-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală;
d) Ordinul Serviciului de Informaţii şi Securitate nr. 64 din 7 decembrie 2006 privind aprobarea normelor tehnice în sfera semnăturii digitale;
e) Hotărîrea Guvernului nr.320 din 28 martie 2006 „Pentru aprobarea Regulamentului privind ordinea de aplicare a semnăturii digitale în documentele electronice ale autorităţilor publice”.
7) Adiţional vor fi proiectate acţiuni organizatorice, tehnologice şi de program în conformitate cu standardele internaţionale aprobate ca naţionale în Republica Moldova: SM GOST R ISO/CEI 15408:2009, SM ISO/CEI 17799:2004 şi SMV ISO/CEI 27002:2009.
8) Reieşind din cele expuse, accesul la resursele Registrului trebuie să fie asigurat şi autorizat prin intermediul unui sistem de utilizatori şi parole şi/sau autorizare prin certificat digital. Cu toate acestea, utilizatorii vor poseda drepturi distincte de acces, în funcţie de nivelul de securitate căruia îi corespund. Pentru fiecare grup de acces trebuie să existe posibilitatea de a defini rolurile şi drepturile utilizatorilor (chiar şi pînă la nivelul de acces la interfaţa utilizatorilor).
9) Accesul la informaţia bazei de date trebuie să fie limitat, în funcţie de drepturile şi rolurile specifice grupurilor de acces. În acest caz, fiecare grup de utilizatori va avea acces la o interfaţă personalizată (diferită de cea a altor grupuri), pentru vizualizarea şi gestionarea informaţiei bazei de date, precum şi de manipulare cu datele.
10) Indiferent de nivelul de acces al utilizatorului (administrator sau angajat al Centrului) nici un grup de acces nu trebuie să posede dreptul de a suprima direct înregistrările bazei de date. Suprimarea fizică trebuie să fie anticipată de o marcare la ştergere. Numai după marcarea la ştergere aceste înregistrări vor putea fi suprimate fizic de către utilizatorii cu drepturi de administrator.
11) Orice modificare potenţial periculoasă: modificarea informaţiei unei înregistrări, marcarea la ştergere, adăugarea unor înregistrări noi etc. trebuie să fie documentată în registre electronice speciale (fişiere log), arătînd momentul de timp şi utilizatorul care a efectuat modificarea potenţial periculoasă. În caz că modificările potenţial periculoase nu vor implica suprimarea fizică a datelor pentru fiecare înregistrare va fi posibil de văzut utilizatorul care a efectuat ultima modificare. În consecinţă, sistemul informatic proiectat va dispune de un instrument eficient care va da posibilitatea de a efectua o analiză a comportamentului utilizatorilor (sau a productivităţii lor).
12) La nivel fizic politica de asigurare a securităţii informaţionale trebuie să fie realizată prin intermediul unor module automate de generare a copiilor de rezervă a fişierelor şi bazelor de date aflate în producţie. Administratorii Registrului trebuie să dispună de posibilitatea de a-şi defini politica de generare automată a copiilor de rezervă.
13) În vederea asigurării unui nivel adecvat al securităţii informaţionale a Registrului se consideră binevenită elaborarea şi implementarea unei politici de asigurare a securităţii informaţionale. Această politică va detalia totalitatea compartimentelor de securitate, rolurile, drepturile şi obligaţiile fiecărui actor al sistemului informatic. Pentru elaborarea politicii de asigurare a securităţii informaţionale ar fi cazul contractării serviciilor externe de la experţi sau companii certificate în domeniu.
14) Politica de securitate va fi adusă la cunoştinţa fiecărui utilizator şi semnată de acesta. Fiecare utilizator va cunoaşte obligaţiile de serviciu în materie de respectare a securităţii informaţionale şi totalitatea procedurilor formale pe care trebuie să le respecte în strictă concordanţă cu politica de securitate.
15) Pentru asigurarea veridicităţii informaţiei se va crea o politică care va defini mecanismele de validare a informaţiei introduse în cadrul sistemului informatic sau extrase din acesta.
16) Centrul va dispune de personal calificat cu efectuarea auditului securităţii informaţionale, verificării şi instruirii continue în materie de asigurare a securităţii informaţionale.
a) Etapa de elaborare a sistemului informaţional automatizat – va fi divizată în faze coordonate cu părţile implicate (Centrul de Guvernare Electronică, Centrul Naţional pentru Protecţia Datelor cu Caracter Personal, Centrul de Telecomunicaţii Speciale) în elaborarea Registrului.
Elaboratorul:
în baza termenilor de referinţă, determină şi analizează cerinţele, proiectează structura sistemului informatic şi creează proiectul tehnic;
dezvoltă codul aplicaţiei şi integrează modulele acesteia în prima versiune a sistemului software (se va face o primă prezentare părţilor, demonstrînd existenta tuturor funcţionalităţilor înaintate de către termenii de referinţă);
face testarea sistemului în regim de laborator (testare internă) şi pregăteşte documentaţia de însoţire (se prezintă funcţionalităţile sistemului cu corectările şi ajustările la obiecţiile făcute în subetapa precedentă, se prezintă setul documentaţiei tehnice etc.);
b) Etapa de implementare a sistemului va începe odată cu aprobarea procesului-verbal de acceptare de către proprietarul sistemului software în varianta prezentată şi semnarea actului de predare-primire în exploatare experimentală. La această etapă elaboratorul testează sistemul în condiţiile de exploatare experimentală, depistează şi înlătură erorile, problemele de performanţă etc. La această etapă elaboratorul pregăteşte versiunea finală a sistemului informatic pasibilă a fi dată în exploatare.
c) Etapa de instruire va începe odată cu implementarea soluţiei informatice şi va cuprinde instruirea a cîte 2 administratori de sistem, 20 utilizatori de diferite niveluri de acces din cadrul Centrului.
d) Darea în exploatare a sistemului începe odată cu semnarea actului de punere în exploatare a sistemului software şi începere a utilizării.
e) Etapa de mentenanţă a sistemului este perioada în care elaboratorul sistemului îşi asumă obligaţia faţă de proprietar să-l asiste în menţinerea capacităţii sistemului software de a presta servicii, precum şi modificarea produsului software, păstrînd integritatea lui. Această etapă poate fi oricît de lungă după durată, în funcţie de înţelegerile contractuale.
1. Se aprobă Conceptul tehnic al sistemului informaţional automatizat „Registrul de stat al operatorilor de date cu caracter personal” (se anexează).
2. Centrul Naţional pentru Protecţia Datelor cu Caracter Personal:
va deţine şi administra sistemul informaţional automatizat „Registrul de stat al operatorilor de date cu caracter personal”;
va elabora şi va prezenta, în termen de pînă la 20 martie 2012, spre examinare proiectul de hotărîre a Guvernului privind aprobarea Regulamentului Registrului de stat al operatorilor de date cu caracter personal.
3. Finanţarea creării şi implementării sistemului informaţional automatizat de evidenţă a operatorilor de date cu caracter personal se va efectua din contul şi în limitele alocaţiilor aprobate în Legea bugetului de stat Cancelariei de Stat pentru implementarea Proiectului „e-Transformare a Guvernării”, precum şi în baza mijloacelor financiare ale donatorilor externi.
4. Ministerul Tehnologiei Informaţiei şi Comunicaţiilor va înregistra, în modul stabilit, resursa informaţională Registrul de stat al operatorilor de date cu caracter personal.
PRIM-MINISTRU Vladimir FILAT
Contrasemnează:
Ministrul tehnologiei informaţiei
şi comunicaţiilor Pavel Filip
Ministrul finanţelor Veaceslav Negruţa
Nr. 883. Chişinău, 25 noiembrie 2011.
Aprobat
prin Hotărîrea Guvernului nr.883
din 25 noiembrie 2011
prin Hotărîrea Guvernului nr.883
din 25 noiembrie 2011
CONCEPTUL TEHNIC
al sistemului informaţional automatizat „Registrul
de stat al operatorilor de date cu caracter personal”
al sistemului informaţional automatizat „Registrul
de stat al operatorilor de date cu caracter personal”
Capitolul I. Dispoziţii generale
Conceptul tehnic al sistemului informaţional automatizat „Registrul de stat al operatorilor de date cu caracter personal” transpune art. 21 din Directiva 95/46 CE a Parlamentului European şi a Consiliului din 24 octombrie 1995 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Jurnalul Oficial al Comunităţilor Europene (JOCE) nr.L 281 din 23 noiembrie 1995.1. Definiţia sistemului
1) Registrul de stat al operatorilor de date cu caracter personal (în continuare – Registrul) reprezintă un sistem informatic, obiectivul principal al căruia constă în automatizarea activităţii Centrului Naţional pentru Protecţia Datelor cu Caracter Personal (în continuare – Centrul) în vederea evidenţei tuturor operatorilor de date cu caracter personal, a bazelor de date, a sistemelor informaţionale şi informatice în care sînt stocate şi prelucrate datele cu caracter personal.
2) Registrul reprezintă instrumentul cheie al Centrului prin intermediul căruia vor fi realizate următoarele scopuri:
a) asigurarea unui nivel adecvat de protecţie a datelor cu caracter personal în Republica Moldova;
b) înregistrarea şi evidenţa tuturor operatorilor de date cu caracter personal, precum şi a bazelor de date, a sistemelor informaţionale şi informatice în care sînt stocate şi prelucrate datele cu caracter personal;
c) asigurarea dreptului la informare a subiecţilor de date cu caracter personal şi a oricărui solicitant de informaţii;
d) oferirea unor servicii de calitate operatorilor de date cu caracter personal.
2. Destinaţia sistemului
1) Registrul va asigura posibilitatea recepţionării şi procesării on-line a solicitărilor operatorilor de date cu caracter personal privind înregistrarea, modificarea sau radierea informaţiei privind bazele de date, sistemele informaţionale sau informatice deţinute de aceştia în care sînt stocate şi prelucrate date cu caracter personal.
2) Pentru subiecţii datelor cu caracter personal, autorităţile publice centrale şi locale şi persoanle juridice etc. Registrul va reprezenta o resursă informaţională cheie de furnizare a informaţiei publice privind operatorii de date cu caracter personal autorizaţi în prelucrarea datelor cu caracter personal, a bazelor de date, a sistemelor informaţionale şi informatice pentru care aceştia dispun de autorizarea de exploatare.
3) Pentru Centru, Registrul va reprezenta instrumentul cheie care va automatiza activitatea acestuia. Registrul va oferi facilităţi de recepţionare şi procesare on-line a solicitărilor din partea operatorilor de date cu caracter personal şi subiecţilor datelor cu caracter personal, eliberarea deciziilor, generării rapoartelor de analiză şi monitorizare a situaţiei la zi.
3. Noţiuni de bază
1) În sensul prezentului Concept tehnic, noţiunile şi definiţiile utilizate semnifică următoarele:
autoritate publică – orice structură organizatorică sau organ, instituite prin lege sau printr-un alt act normativ, care acţionează în regim de putere publică, în scopul realizării unui interes public;
credenţiale – set de atribute ce stabilesc identitatea şi autenticitatea utilizatorilor şi sistemelor în cadrul sistemelor informatice;
date – unităţi informaţionale elementare despre persoane, subiecte, fapte, evenimente, fenomene, procese, obiecte, situaţii etc., prezentate într-o formă care permite notificarea, comentarea şi procesarea lor;
integritatea datelor – stare a datelor, cînd acestea îşi păstrează conţinutul şi sînt interpretate univoc în cazuri de acţiuni aleatorii. Integritatea se consideră păstrată dacă datele nu au fost alterate sau deteriorate (şterse);
jurnalizare – funcţie de înregistrare a informaţiei despre evenimente. În cadrul sistemelor informatice înregistrările despre evenimente includ detalii despre data şi ora, utilizatorul, acţiunea întreprinsă;
M-Cloud – strategie a Centrului de Guvernare Electronică privind modul de consolidare tehnologică a serviciilor informaţionale;
metadate – modalitate de atribuire de valoare semantică datelor stocate în baza de date (date despre date);
obiect informaţional – reprezentare virtuală a entităţilor materiale şi nemateriale existente;
sistem informaţional – ansamblu de procedee şi mijloace de colectare, prelucrare şi transmitere a informaţiei necesare procesului de conducere (cuprinde tehnologiile manuale şi automatizate de prelucrare a datelor);
sistem informaţional automatizat (sistem informatic) – ansamblu de programe şi echipamente care asigură prelucrarea automată a datelor (componenta automatizată a sistemului informaţional);
tehnologie informatică şi de comunicaţie – termen comun care include toate tehnologiile utilizate pentru schimbul şi manipularea informaţiei;
veridicitatea datelor – nivel de corespundere a datelor, păstrate în memoria calculatorului sau în documente, stării reale a obiectelor din domeniul respectiv al sistemului, reflectate de aceste date.
4. Scopul şi obiectivele sistemului
1) Destinaţia primordială a Registrului este asigurarea Centrului cu o soluţie informatică performantă utilizată ca suport pentru automatizarea activităţii Centrului în vederea implementării prevederilor cadrului legal în domeniul protecţiei datelor cu caracter personal.
2) Totodată, sistemul informatic va efectua validarea automatizată a cererilor expediate de operatorul de date cu caracter personal privind înregistrarea, modificarea, radierea informaţiei în/din Registru. Soluţia informatică va înregistra automat totalitatea acţiunilor efectuate de utilizatori cu înregistrarea detaliată a datelor, a parametrilor informaţiilor şi cererilor solicitate.
3) Avantajul principal al Registrului constă în faptul că, în perspectivă, fiecare operator de date cu caracter personal va putea, prin intermediul unei interfeţe WEB, să expedieze solicitări de efectuare a operaţiunilor de înregistrare, modificare sau radiere a informaţiei în/din Registru şi să recepţioneze deciziile de aprobare sau respingere a solicitărilor expediate.
4) Pentru solicitanţii de informaţii Registrul va oferi o interfaţă publică WEB care va permite accesul şi vizualizarea informaţiei publice privind operatorii de date cu caracter personal şi a sistemelor informatice sau informaţionale a acestora.
5) În consecinţă, printre obiectivele majore ale soluţiei informatice elaborate sînt:
a) proiectarea şi implementarea unor tehnologii moderne de interacţiune între operatorii de date cu caracter personal, solicitanţii de informaţii, subiecţii datelor cu caracter personal şi Centrul;
b) asigurarea posibilităţii de lucru în reţea, pentru exploatarea eficientă a resurselor comune prin implementarea unei arhitecturi client-server multinivel;
c) creşterea vitezei de circulaţie a informaţiei, reducerea duratei ciclului de validare şi procesare a cererilor de înregistrare, modificare, radiere şi a timpului de răspuns;
d) utilizarea eficientă şi extensivă a tehnicii de calcul de care dispune Centrul;
e) controlul accesului la date şi asigurarea unei securităţi şi confidenţialităţi maxime a datelor colectate, care nu sînt publice, şi a utilizatorilor.
5. Principiile de bază ale sistemului
1) La proiectarea, realizarea şi implementarea sistemului informaţional automatizat trebuie să se ţină cont de următoarele principii generale:
a) principiul legalităţii: presupune crearea şi exploatarea sistemului informaţional automatizat în conformitate cu legislaţia naţională în vigoare, cu normele şi standardele internaţionale recunoscute în domeniu;
b) principiul divizării arhitecturii pe nivele: constă în proiectarea independentă a subsistemelor Registrului în conformitate cu standardele de interfaţă dintre nivele;
c) principiul independenţei de platformă: interfaţa utilizator a sistemului informaţional automatizat nu va impune o anumită platformă software şi hardware pentru calculatorul utilizatorului;
d) principiul datelor sigure: stipulează introducerea datelor în sistem doar prin canalele autorizate şi autentificate;
e) principiul securităţii informaţionale: presupune asigurarea unui nivel adecvat de integritate, selectivitate, accesibilitate şi eficienţă pentru protecţia datelor de pierderi, alterări, deteriorări şi de acces nesancţionat;
f) principiul accesibilităţii informaţiei cu caracter public: presupune implementarea procedurilor de asigurare a accesului solicitanţilor la informaţia cu caracter public furnizată de soluţia informatică;
g) principiul transparenţei: presupune proiectarea şi realizarea, conform principiului modular, cu utilizarea standardelor transparente în domeniul tehnologiilor informatice şi de telecomunicaţii;
h) principiul expansibilităţii: stipulează posibilitatea extinderii şi completării sistemului informaţional automatizat cu noi funcţii sau îmbunătăţirea celor existente;
i) principiul de prioritate a primei persoane / a centrului unic: presupune existenţa unei persoane responsabile de rang înalt, cu drepturi suficiente pentru luarea deciziilor şi coordonarea activităţilor în vederea creării şi exploatării sistemului;
j) principiul scalabilităţii: presupune asigurarea unei performanţe constante a soluţiei informatice la creşterea volumului de date şi a solicitării sistemului informatic;
k) principiul simplităţii şi comodităţii utilizării: presupune proiectarea şi realizarea tuturor aplicaţiilor, mijloacelor tehnice şi de program accesibile utilizatorilor Sistemului, bazate pe principii exclusiv vizuale, ergonomice şi logice de concepţie.
2) În particular, pentru arhitectura sistemului informaţional automatizat se insistă asupra respectării următoarelor principii primordiale:
a) implementarea unei soluţii client-server cu minimum 3 nivele;
b) acceptarea soluţiilor care vor furniza o interfaţă WEB pentru utilizatorul Registrului;
c) asigurarea unei securităţi adecvate a sistemului pentru a proteja informaţia şi subsistemele componente împotriva utilizării lor neautorizate sau a divulgării informaţiei cu caracter personal sau a celei cu accesibilitate limitată;
d) recunoaşterea informaţiei ca patrimoniu şi gestionarea ei adecvată;
e) dezvoltarea şi implementarea sistemelor TI oferind posibilitatea reutilizării lor pentru alte procese sau în perspectiva asigurării posibilităţii de dezvoltare de noi funcţionalităţi;
f) minimizarea numărului diferitelor tehnologii şi produse care oferă aceleaşi funcţionalităţi sau sînt similare conform destinaţiei;
g) asigurarea unei viteze performante de procesare a solicitărilor beneficiarilor;
h) pentru soluţia TI livrată trebuie să fie prevăzută capacitatea de restabilire în urma dezastrelor (asigurarea securităţii fizice a soluţiei informatice) ca parte componentă a planului de implementare.
6. Sarcinile realizate de sistem
Implementarea Registrului în cadrul Centrului va permite modernizarea sistemului informaţional existent prin automatizarea activităţii subdiviziunilor Centrului, precum şi o listă de beneficii aşteptate ca urmare a implementării şi exploatării Registrului:
a) creşterea eficienţei şi transparenţei activităţii Centrului;
b) reducerea inconvenienţelor aferente procesului de recepţionare a cererilor de înregistrare, modificare sau radiere a datelor din Registru;
c) asigurarea schimbului electronic de date cu terţe părţi;
d) popularizarea serviciilor de informare şi deservire a solicitărilor în regim on-line;
e) reducerea cheltuielilor de procesare a cererilor recepţionate de la operatorii de date cu caracter personal;
f) reducerea costurilor legate de prelucrarea informaţiei pe suport material tradiţional (hîrtie) prin trecerea la procesarea informaţiei exclusiv în format digital.
Capitolul II. Spaţiul juridico-normativ al funcţionării sistemului
1) Baza normativ-legislativă, care va contribui la realizarea Registrului o constituie legislaţia naţională în vigoare, tratatele internaţionale şi recomandările europene şi internaţionale în domeniu.2) Crearea şi funcţionarea sistemului informatic sînt reglementate de următoarele acte legislative şi normative:
a) Convenţia pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, încheiată la Strasbourg la 28 ianuarie 1981;
b) Protocolul adiţional la Convenţia pentru protecţia persoanelor referitor la prelucrarea automatizată a datelor cu caracter personal, cu privire la autorităţile de supraveghere şi fluxul transfrontalier al datelor, adoptat la Strasbourg la 8 noiembrie 2001;
c) Legea nr. 171-XIII din 6 iulie 1994 cu privire la secretul comercial (Monitorul Oficial al Republicii Moldova, 1994, nr. 13, art.126);
d) Legea nr. 982-XIV din 11 mai 2000 privind accesul la informaţie (Monitorul Oficial al Republicii Moldova, 2000, nr.88, art.664);
e) Legea nr. 1069-XIV din 22 iunie 2000 cu privire la informatică (Monitorul Oficial al Republicii Moldova, 2001, nr.73-74, art.547);
f) Legea nr. 467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat (Monitorul Oficial al Republicii Moldova, 2004, nr. 6-12, art.44);
g) Legea nr. 264-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală (Monitorul Oficial al Republicii Moldova, 2004, nr. 132-137, art.710);
h) Legea nr. 71-XVI din 22 martie 2007 cu privire la registre (Monitorul Oficial al Republicii Moldova, 2007, nr.70-73, art.314);
i) Legea comunicaţiilor electronice nr. 241-XVI din 15 noiembrie 2007 (Monitorul Oficial al Republicii Moldova, 2008, nr. 51-54, art.155);
j) Legea nr. 245-XVI din 27 noiembrie 2008 cu privire la secretul de stat (Monitorul Oficial al Republicii Moldova, 2009, nr. 45-46, art.123);
k) Legea nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal (Monitorul Oficial al Republicii Moldova, 2011, nr. 170-175, art.492);
l) Hotărîrea Guvernului nr. 735 din 11 iunie 2002 „Cu privire la sistemele speciale de telecomunicaţii ale Republicii Moldova” (Monitorul Oficial al Republicii Moldova, 2002, nr. 79-81, art.833);
m) Hotărîrea Guvernului nr. 632 din 8 iunie 2004 „Despre aprobarea Politicii de edificare a societăţii informaţionale în Republica Moldova” (Monitorul Oficial al Republicii Moldova, 2004, nr. 96-99, art.789);
n) Hotărîrea Guvernului nr. 840 din 26 iulie 2004 „Cu privire la crearea Sistemului de telecomunicaţii al autorităţilor administraţiei publice” (Monitorul Oficial al Republicii Moldova, 2004, nr. 130, art.1013);
o) Hotărîrea Guvernului nr. 255 din 9 martie 2005 „Privind Strategia Naţională de edificare a societăţii informaţionale – „Moldova electronică” (Monitorul Oficial al Republicii Moldova, 2005, nr.46-50, art.336);
p) Hotărîrea Guvernului nr. 945 din 5 septembrie 2005 „Cu privire la centrele de certificare a cheilor publice” (Monitorul Oficial al Republicii Moldova, 2005, nr. 123-125, art.1020);
q) Hotărîrea Guvernului nr. 320 din 28 martie 2006 „Pentru aprobarea Regulamentului privind ordinea de aplicare a semnăturii digitale în documentele electronice ale autorităţilor publice” (Monitorul Oficial al Republicii Moldova, 2006, nr. 51-54, art.350);
r) Hotărîrea Guvernului nr. 733 din 28 iunie 2006 „Cu privire la Concepţia guvernării electronice” (Monitorul Oficial al Republicii Moldova, 2006, nr. 106-111, art.799);
s) Hotărîrea Guvernului nr. 916 din 6 august 2007 „Cu privire la Concepţia Portalului Guvernamental” (Monitorul Oficial al Republicii Moldova, 2007, nr.127-130, art.952);
t) Hotărîrea Guvernului nr. 1123 din 14 decembrie 2010 „Privind aprobarea Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal” (Monitorul Oficial al Republicii Moldova, 2010, nr. 254-256, art.1282);
u) Ordinul nr. 94 din 17 septembrie 2009 al ministrului tehnologiei informaţiei şi comunicaţiilor cu privire la aprobarea unor reglementări tehnice (modul de evidenţă a serviciilor publice electronice, prestarea serviciilor publice electronice, asigurarea securităţii informaţionale la prestarea serviciilor publice electronice, determinarea costului de elaborare şi implementare a sistemelor informaţionale automatizate) (Monitorul Oficial al Republicii Moldova, 2010, nr.58-60, art.952);
v) Standardul Republicii Moldova SMV ISO CEI 15288:2009, „Ingineria sistemelor şi software-ului. Procesele ciclului de viaţă al sistemului”;
w) Reglementarea tehnică „Procesele ciclului de viaţă al software-lui” RT 38370656-002:2006 (Monitorul Oficial al Republicii Moldova, 2006, nr. 95-97, art.335);
x) alte legi, acte normative, standarde în vigoare în domeniul TIC.
3) În conformitate cu articolul 11 al Legii nr. 467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat, Registrul reprezintă o resursă informaţională de stat şi, în acest caz, conform articolului 21 al aceleiaşi legi, trebuie să se ţină cont de politica privind resursele informaţionale de stat, elaborată de Ministerul Tehnologiei Informaţiei şi Comunicaţiilor şi aprobată de către Guvern. În conformitate cu articolul 19 al aceleiaşi legi este necesară certificarea Registrului şi înregistrarea acestuia în Registrul de Stat al Resurselor şi Sistemelor Informaţionale de Stat, administrat de către Ministerul Tehnologiei Informaţiei şi Comunicaţiilor. În urma înregistrării proprietarului i se va elibera identificatorul Sistemului Informatic.
4) Constituie obiecte ale evidenţei şi controlului în cadrul Registrului operatorii de date cu caracter personal şi sistemele informatice sau informaţionale ale acestora, conform componentelor identificate prin Legea nr. 133 din 8 iulie 2011 privind protecţia datelor cu caracter personal.
5) În contextul asigurării accesului cetăţenilor la resursele informaţionale de stat sau prestarea serviciilor de către organele de stat prin intermediul dispozitivelor sau mijloacelor electronice a fost elaborată şi emisă de către Guvern Hotărîrea nr. 916 din 6 august 2007 „Cu privire la Concepţia Portalului Guvernamental”, care impune anumite cerinţe şi standarde în scopul asigurării unei interacţiuni informaţionale eficiente, operative şi calitative între componentele societăţii (Guvern, cetăţeni, mediul de afaceri şi societatea civilă). Această hotărîre stipulează că interacţiunea autorităţilor publice cu cetăţenii şi mediul de afaceri în procesul de prestare a serviciilor publice prin mijloace electronice trebuie să fie realizat prin intermediul unui singur gateway guvernamental – aşa-numitului “portal guvernamental”.
6) Portalul Guvernamental este un instrument de suport în activitatea guvernării electronice, ce asigură posibilitatea schimbului de informaţie între persoanele fizice şi juridice şi autorităţile publice prin intermediul reţelelor de comunicaţii, inclusiv Internet, reprezentînd un punct de acces la serviciile informaţionale.
7) În Concepţia privind Portalul Guvernamental este reflectată şi viziunea referitoare la modul de acces şi oferire a informaţiilor către cetăţeni, agenţi economici sau alte categorii de utilizatori. Astfel, Portalul Guvernamental pune la dispoziţia utilizatorului un instrument de acces la multitudinea de servicii oferite de autorităţile publice, conform principiului ghişeului unic, iar oferirea informaţiei cetăţeanului trebuie să-i permită utilizarea unui sistem unic de identificare de stat, să aibă acces la şirul de servicii oferite de Portal, fără necesitatea utilizării datelor de autentificare distincte pentru fiecare serviciu electronic distinct.
8) Concluziile de bază care reies din Concepţia Portalului Guvernamental şi de care trebuie să se ţină cont în procesul de elaborare a Registrului sînt următoarele:
a) orice informaţie sau serviciu electronic acordat cetăţenilor de către autorităţile publice trebuie să fie accesibile şi prin intermediul Portalului Guvernamental;
b) utilizarea unui sistem unic de identificare pentru toate serviciile disponibile de pe Portalul Guvernamental.
Capitolul III. Spaţiul funcţional al sistemului
7. Arhitectura sistemului1) Sistemul informaţional automatizat va furniza utilizatorului o interfaţă Web de acces la Registru, accesibilă prin intermediul unui navigator Internet. Din punct de vedere funcţional, se va realiza o soluţie fiabilă atît în cazul creşterii numărului de utilizatori concurenţi ce folosesc resursele Registrului, cît şi în cazul creşterii volumului de informaţie gestionată de acesta.
2) Deoarece sistemele informatice ale autorităţilor publice nu sînt izolate, ci interacţionează între ele, soluţia informatică va oferi suport pentru integrarea cu alte subsisteme informatice şi aplicaţii folosind servicii Web – metodă aliniată tehnologic la tendinţele actuale în vederea cooperării pentru procedurile de examinare a cererilor sau diseminare a informaţiei.
3) Ca urmare a faptului că natura informaţiei procesate şi stocate în Registru este atît publică, cît şi cu accesibilitate limitată, soluţia informatică livrată va permite realizarea de conexiuni securizate între staţiile client şi serverul de aplicaţie.
4) Ţinînd cont de obiectivele şi funcţionalităţile înaintate Registrului este oportună implementarea unei arhitecturi client-server de minimum 3 nivele. Implementarea unei arhitecturi client-server de 3 nivele pentru Registru asigură posibilitatea ca nivelul client (cel mai dependent de platforma software şi hardware) să fie uşor de implementat prin intermediul unui explorator Internet. În aşa caz va dispărea dependenţa de platforma instalată pe calculatorul client (utilizatorii vor putea lucra atît de pe staţii UNIX, cît şi de pe staţii Windows).
5) Graniţele dintre nivele sînt logice, nu fizice, ele putînd rula pe acelaşi calculator server. Condiţia este ca sistemul să fie bine structurat, iar frontierele fiecărui nivel bine definite şi reprezentate practic de interfeţele obiectelor componente. Acestea sînt impuse de managerul sistemului, în funcţie de condiţiile specifice fiecărei aplicaţii.
6) După cum se vede în figura 1 arhitectura Registrului delimitează patru contururi:
a) conturul intern al Centrului, care include atît serverele ce găzduiesc componentele Registrului, cît şi staţiile de lucru ale angajaţilor şi infrastructura informatică a Centrului;
b) conturul operatorului de date cu caracter personal, care se află la distanţă şi utilizează mijloacele de calcul proprii pentru expedierea formularului cererii de efectuare a înregistrărilor/modificărilor/radierilor în/din Registru prin intermediul reţelei Internet;
c) conturul autorităţilor publice, care sînt multiple şi reprezintă sisteme informatice ale acestora. Acestea, de asemenea, utilizează reţeaua Internet pentru interconectare;
d) conturul solicitanţilor de informaţii, care reprezintă totalitatea utilizatorilor Internet cu acces nelimitat la compartimentele publice ale Registrului.
7) Utilizatorul Internet are acces prin intermediul reţelei globale Internet la compartimentele publice ale Registrului privind deciziile de înregistrare, modificare, suspendare sau radiere a informaţiilor aferente operatorilor de date cu caracter personal şi a sistemelor informaţionale şi informatice deţinute de aceştia.
8) Pentru a interacţiona cu Registrul, operatorul de date cu caracter personal se conectează prin intermediul unei conexiuni sigure şi efectuează autorizarea, utilizînd numele utilizator+parola şi/sau certificatul digital emis de o autoritate de certificare recunoscută în Republica Moldova. Odată fiind autorizat, expeditorul va perfecta şi expedia cererea de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru. În cazul semnării digitale a documentelor expediate, solicitarea va fi expediată spre procesare imediat ce a fost semnată. Dacă operatorul de date cu caracter personal nu dispune de semnătură digitală emisă de o autoritate de certificare recunoscută în Republica Moldova, va recepţiona prin email cererea validată de sistem pe care o va imprima, semna, ştampila şi prezenta personal la Centru.
9) La nivelul Centrului vor fi 3 nivele de acces:
a) funcţionarul Centrului;
b) conducerea Centrului;
c) administratorul de sistem.
10) Pentru procesarea cererilor expediate de operatorii de date cu caracter personal Registrul va interacţiona cu un şir de sisteme informatice externe.
11) Din categoria sistemelor informatice externe ar putea fi menţionate:
a) Registrul de Stat al Populaţiei – pentru verificarea codurilor IDNP conţinute în cererile privind existenţa unei asemenea persoane şi admisibilitatea utilizării unui asemenea cod IDNP (persoana nu este decedată, combinaţia nume+prenume+IDNP coincide etc.);
b) Registrul de Stat al Unităţilor de Drept – pentru verificarea codurilor IDNO sau codurilor fiscale conţinute în formularul privind existenţa unei asemenea persoane juridice şi admisibilitatea utilizării codului (persoana juridică nu este radiată etc.);
c) Serverul autorităţii de certificare – reprezintă serviciul extern de verificare a certificatelor digitale care poate aparţine Centrului de Telecomunicaţii Speciale. Dacă vor fi folosite asemenea certificate, atunci la prima accesare prin intermediul acestui certificat şi validării sale Registrul va păstra lista certificatelor publice validate şi acceptate;
d) sisteme informatice ale altor autorităţi publice – reprezintă totalitatea sistemelor informatice care corespund altor autorităţi publice utilizate pentru verificarea veridicităţii actelor prezentate de operatorii de date cu caracter personal.
12) Din categoria sistemelor informatice interne ar putea fi menţionate:
a) Registrul Operatorilor de Date cu Caracter Personal care este obiectivul primordial al prezentei Concepţii;
b) Serverul cu credenţiale – ar putea fi un server de generare a certificatelor digitale interne sau care conţine lista certificatelor publice eliberate de entităţi externe verificate şi validate.
13) Dat fiind faptul că la moment Centrul nu dispune de infrastructură de servere, soluţia informatică ar putea fi găzduită iniţial în cadrul serviciului M-Cloud, administrat de Întreprinderea de Stat „Centrul de Telecomunicaţii Speciale”.
8. Funcţionalităţile de bază ale sistemului
1) Totalitatea funcţionalităţilor livrate de Registru şi actorii care beneficiază de ele sînt redate în figura 2. După cum se vede din figura 2 sistemul informatic va interacţiona cu 9 grupuri de actori:
a) utilizator Internet – reprezintă totalitatea utilizatorilor – solicitanţi de informaţie, care explorează conţinutul public al Registrului prin intermediul interfeţei WEB livrate de acesta;
b) operator de date cu caracter personal – reprezintă totalitatea entităţilor care utilizează facilităţile on-line ale Registrului în vederea expedierii cererilor de înregistrare, modificare sau radiere a datelor în/din Registru;
c) funcţionar al Centrului – reprezintă totalitatea utilizatorilor autorizaţi ai Centrului cu funcţii de examinare a cererilor expediate de operatorii de date cu caracter personal;
d) conducerea Centrului – reprezintă totalitatea utilizatorilor autorizaţi ai Centrului cu funcţii de decizie în privinţa cererilor expediate de operatorii de date cu caracter personal;
e) funcţionar extern – reprezintă utilizatorii autorizaţi ai altor autorităţi publice cu funcţii de examinare a veridicităţii actelor expediate de operatorii de date cu caracter personal;
f) administrator al Registrului – reprezintă utilizatorul cu drepturi totale de administrare şi acces la funcţionalităţile Registrului;
g) RSP – Registrul de Stat al Populaţiei, sistem informatic utilizat pentru validarea datelor de identificare aferente persoanelor fizice conţinute în cererile expediate de operatorii de date cu caracter personal;
h) RSUD – Registrul de Stat al Unităţilor de Drept, sistem informatic utilizat pentru validarea conţinutului cererii (date de identificare a persoanelor juridice) expediate de operatorii de date cu caracter personal;
i) SI al AP – sistemele informatice ale autorităţilor publice utilizate pentru validarea actelor ataşate la cererea operatorului de date cu caracter personal.
Figura 2. Funcţiile business ale sistemului informaţional automatizat
2) În conformitate cu schema descrisă în figura 2 actorii Registrului au acces la următoarele funcţionalităţi:
a) UC01. Explorează interfaţa WEB publică a Registrului. Funcţionalitate disponibilă public tuturor utilizatorilor Internet – solicitanţi de informaţie, prin intermediul cărora aceştia pot formula interogări la baza de date în vederea căutării informaţiei cu caracter public sau extrage informaţie depersonalizată;
b) UC02. Înregistrează profil în Registru. Reprezintă o funcţionalitate disponibilă operatorilor de date cu caracter personal utilizată la momentul primei înregistrări în sistem (necesară creării contului şi parolei de acces);
c) UC03. Perfectează şi expediază cereri. Reprezintă o funcţionalitate disponibilă operatorilor de date cu caracter personal utilizată pentru perfectarea şi expedierea cererilor de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru;
d) UC04. Ataşează copii acte. Reprezintă o funcţionalitate disponibilă operatorilor de date cu caracter personal utilizată pentru ataşarea copiilor electronice ale actelor anexate la cererile de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru;
e) UC05. Validează înregistrările. Reprezintă o funcţionalitate automatizată a Registrului prin intermediul căreia sistemul informatic va verifica în mod automat corectitudinea datelor incluse în cererile de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru;
f) UC06. Recepţionează notificări. Reprezintă o funcţionalitate disponibilă operatorilor de date cu caracter personal utilizată pentru recepţionarea mesajelor de notificare privind acceptarea/respingerea cererii sau recepţionarea versiunii electronice a cererii completate şi validate pentru a fi imprimată, ştampilată şi prezentată personal la Centru. Versiunea electronică a cererii va conţine un cod bară prin intermediul căruia va putea fi regăsită rapid în Registru;
g) UC07. Prezintă originalele actelor. Este o procedură prin intermediul căreia operatorul de date cu caracter personal prezintă, iar funcţionarul Centrului verifică autenticitatea actelor prezentate şi recepţionează cererile în original pe format de hîrtie. Funcţionarul Centrului va scana codul bară al cererii în original pentru regăsirea rapidă a replicii electronice a acesteia în Registru în vederea validării acesteia şi demarării procedurilor de examinare a ei;
h) UC08. Examinează cereri. Reprezintă o funcţionalitate disponibilă funcţionarului Centrului utilizată pentru examinarea şi procesarea cererilor de efectuare a înregistrărilor, modificărilor şi radierilor în/din Registru expediate de operatorii de date cu caracter personal;
i) UC09. Extrage metadate aferente documentelor. Reprezintă o funcţionalitate disponibilă funcţionarului Centrului utilizată pentru introducerea în Registru a metadatelor aferente actelor expediate de operatorii de date cu caracter personal;
j) UC10. Defineşte detalii emitere decizie. Reprezintă o funcţionalitate disponibilă funcţionarului Centrului utilizată pentru introducerea în Registru a totalităţii datelor aferente deciziei de acceptare sau refuz a cererii, în baza cărora va fi imprimată decizia;
k) UC11. Extrage rapoarte. Este o funcţionalitate accesibilă funcţionarilor de diferite nivele ai Centrului care permite generarea rapoartelor planificate şi ad-hoc privind conţinutul informaţional al sistemului informatic şi activitatea utilizatorilor. Rapoartele în cauză sînt utile pentru analiza bazei informaţionale a sistemului, performanţei activităţii funcţionarilor în particular şi Centrului în general şi anticiparea problemelor de securitate informaţională.
l) UC12. Decizie de procesare a cererii. Reprezintă o funcţionalitate disponibilă nivelului managerial al Centrului utilizată pentru perfectarea deciziei de acceptare sau refuz a cererii expediate de operatorul de date cu caracter personal. Sistemul informatic va aplica semnătura digitală pe decizie pentru a fi expediată ulterior operatorului de date cu caracter personal prin e-mail;
m) UC13. Eliberează/publică decizia. Reprezintă o funcţionalitate disponibilă nivelului managerial al Centrului utilizată pentru imprimarea deciziei pe format de hîrtie (ştampilată şi semnată) sau generarea fişierului pe care va fi aplicată semnătura digitală;
n) UC14. Înregistrează decizia în Registru. Reprezintă o funcţionalitate disponibilă nivelului managerial al Centrului utilizată pentru introducerea datelor privind solicitarea de înregistrare/modificare/radiere conţinute în cererea operatorului de date cu caracter personal. Procedura este automatizată şi se efectuează de către Sistem în funcţie de decizia decidentului Centrului;
o) UC15. Examinează acte. Reprezintă o funcţionalitate disponibilă reprezentantului autorităţii publice externe prin intermediul căreia acesta examinează informaţiile despre operatorul de date cu caracter personal şi documentele scanate anexate de acesta la cererea expediată Centrului. Funcţionarul autorităţii publice externe înscrie note despre rezultatele examinării şi confirmă sau infirmă veridicitatea documentului;
p) UC16. Extrage automat date. Registrul extrage în regim automat date din sistemele informatice ale altor autorităţi. Datele sînt necesare pentru completarea deciziei. Extragerea automată a datelor se face în baza a cel puţin un identificator obţinut din informaţia aferentă actelor ataşate cererii. În funcţie de protocolul de interoperare este posibil să fie necesare cîteva atribute specificate manual de angajatul Centrului. Datele obţinute (inclusiv răspunsul negativ sau eroarea de conectare) sînt anexate la decizia emisă de Centru;
q) UC17. Administrează utilizatori. Reprezintă o funcţionalitate destinată Administratorului Registrului prin intermediul căreia acesta administrează lista şi integritatea credenţialelor angajaţilor Centrului, inclusiv a nivelului managerial, a reprezentanţilor altor autorităţi care examinează şi vizează documente, a sistemelor externe pentru care comunicarea se face cu certificat digital;
r) UC18. Administrează nomenclatoare şi metadate. Reprezintă o funcţionalitate destinată Administratorului Registrului prin intermediul căreia acesta administrează totalitatea nomenclatoarelor şi metadatelor aferente Registrului (inclusiv interfaţa utilizator al sistemului informatic);
s) UC19. Alte activităţi administrative. Reprezintă o funcţionalitate destinată Administratorului Registrului care cuprinde toate operaţiunile de administrare şi asigurare a funcţionalităţii Registrului care nu au fost descrise în alte funcţionalităţi.
9. Mecanismul de raportare, audit şi statistică ale sistemului
1) Sistemul va avea implementate funcţionalităţi destinate auditului/jurnalizării pe larg utilizat în industrie. Acesta este configurabil pentru a jurnaliza mai multe sau mai puţine nivele de evenimente tehnice şi business.
2) Sistemul informaţional automatizat va oferi posibilitatea generării automate a documentelor bazate pe şabloane predefinite. Anumitor tipuri de documente, configurabile în funcţie de specificul activităţii, li se vor putea asocia anumite formate predefinite. În momentul creării unui document de tipul respectiv, utilizatorul trebuie să poată specifica anumite informaţii, sistemul completînd, în mod automat, şablonul corespunzător tipului de document.
3) Sistemul de raportare a Registrului va delimita 3 categorii de rapoarte:
a) documentele de intrare – pentru fiecare tip se va crea cîte un şablon, în baza căruia va fi inserată informaţia relevantă documentului (de exemplu: formularele cererilor);
b) documentele de ieşire – pentru fiecare tip se va crea cîte un şablon, în baza căruia va fi inserată informaţia relevantă documentului (de exemplu: deciziile Centrului);
c) Rapoarte de performanţă – reprezintă o categorie de rapoarte statice (de regulă, implementate fizic în conţinutul sistemului informatic) îndreptată spre auditul şi analiza activităţii sistemului informaţional. La această categorie de rapoarte s-ar putea referi: trasarea drumului fluxurilor de lucru; raportul de performanţă a funcţionarului, raportul de performanţă a subdiviziunii, raportul de performanţă a funcţionarului în ansamblu (numărul de cereri primite, numărul de cereri procesate, numărul de cereri în întîrziere, indicatorii de productivitate etc.); raportul sarcinilor critice, care va extrage sarcinile ce au depăşit termenul-limită de execuţie, cu indicarea verigii unde s-a blocat, persoanele responsabile etc. La această categorie de rapoarte ar fi binevenită inspirarea din principiile rapoartelor similare furnizate de sistemele informatice de monitorizare a problemelor de calitate (MANTIS, BUGZILLA etc.).
4) Ţinînd cont de principiul de asigurare a transparenţei activităţii autorităţii publice, soluţia informatică va oferi mecanism de generare a rapoartelor prin intermediul interfeţei WEB publice a Registrului.
10. Interfaţa utilizator a sistemului informaţional automatizat
1) Registrul trebuie să ofere o interfaţă ergonomică, intuitivă şi accesibilă tuturor tipurilor de utilizatori. Sistemul trebuie să posede un design grafic inedit, agreabil, echilibrat şi distinct. Pentru uşurinţa utilizatorilor soluţia informatică va dispune de un sistem de ajutor contextual on-line (versiunea în limba de stat - obligatorie), la nivelul fiecărei interfeţe WEB de utilizare.
2) În funcţie de utilizator (dreptul şi rolurile acestora) sistemul informatic va furniza o interfaţă inedită fiecărui utilizator.
3) Utilizatorii sistemului informaţional automatizat vor dispune de 6 nivele de acces la interfaţa program:
a) Nivel acces Utilizator Internet – nivel de acces prin intermediul interfeţei publice WEB care conţine totalitatea funcţionalităţilor necesare explorării compartimentului public al Registrului;
b) Nivel acces Operator de date cu caracter personal – nivel de acces cu acces autorizat prin intermediul numelui utilizator+parolă sau certificat digital la interfaţa WEB caracteristică operatorului de date cu caracter personal, cu un set minim de funcţionalităţi, care va permite redactarea şi expedierea cererilor de efectuare a înregistrărilor, modificărilor sau revocărilor sau vizualizarea tuturor cererilor expediate, a notificărilor recepţionate şi deciziilor adoptate de Centru;
c) Nivel acces funcţionar al Centrului – nivel caracteristic funcţionarilor Centrului care vor autoriza accesul prin utilizator+parolă şi/sau certificat digital. Acest tip de utilizatori vor procesa totalitatea cererilor expediate de operatorii de date cu caracter personal;
d) Nivel acces conducător al Centrului – nivel caracteristic managerilor Centrului care vor autoriza accesul prin utilizator+parolă şi/sau certificat digital. Acest tip de utilizator va aproba decizia de procesare a totalităţii cererilor expediate de operatori de date cu caracter personal;
e) Nivel acces AP – nivel caracteristic autorităţilor publice din Moldova care vor trebui să confirme sau infirme veridicitatea documentelor expediate de operatori de date cu caracter personal;
f) Nivel acces administrator – nivel caracteristic utilizatorului de cel mai înalt nivel. Aceştia îşi vor autoriza accesul prin certificat digital şi locaţie fizică de conectare. Acest nivel, dat fiind rolul său de a administra buna funcţionare a soluţiei informatice, va asigura acces la toate funcţionalităţile interfeţei utilizator şi conţinutul bazei de date livrat de interfaţa utilizator.
4) Registrul va poseda o interfaţă bilingvă în limba de stat şi limba rusă. Versiunea obligatorie şi implicită este cea în limba de stat. Opţional se va realiza o versiune în limba engleză a interfeţei.
5) Sistemul informatic trebuie să deţină integrat funcţii de căutare conform criteriilor metadatelor cererilor, deciziilor sau notificărilor (căutare cereri, decizii, notificări sau toate 3; căutare conform tipului de cerere; căutare conform perioadei calendaristice, căutare conform rezultatului deciziei etc.). Procedurile de regăsire a informaţiei şi înregistrărilor vor fi realizate prin intermediul unor căutări simple (specificarea unor şiruri de căutare) sau a unor căutări de complexitate mai ridicată, prin intermediul cărora se poate realiza o filtrare mai exactă a informaţiei (formulare Query by Example (QBE) – interpelare conform exemplului). Indiferent de natura informaţiei căutate utilizatorul va folosi aceeaşi metodă de interogare şi regăsire a informaţiei pentru oricare compartiment al produsului informatic.
6) Adiţional la modulul de căutare realizat în baza principiului QBE care va da posibilitatea de a defini interogări sofisticate în mod vizual, interfaţa trebuie să ofere posibilitatea de a prezenta rezultatele căutării prin asigurarea posibilităţii filtrării informaţiilor în lista de rezultate ale căutării.
7) Interfaţa utilizator a sistemului informatic trebuie să asigure filtrarea înregistrărilor ce corespund criteriului de căutare prezentate utilizatorilor în funcţie de drepturile lor de acces.
8) Mărimile indexate (valori din clasificatoare, nomenclatoare) trebuie să poată fi filtrate prin alegerea valorii din liste predefinite. Pentru cîmpurile de tip numeric sau dată calendaristică trebuie să existe posibilitatea filtrării conform valorii exacte a caracteristicii căutate (Exemplu: 1 ianuarie 2009 – toate înregistrările cu dată specificată) sau conform criteriilor logice (de exemplu: <01.01.2010 – toate înregistrările cu dată mai veche decît 1 ianuarie 2010, > 1 ianuarie 2008 – toate înregistrările cu dată mai recentă de 1 ianuarie 2008).
9) De asemenea, trebuie să existe posibilitatea filtrării rezultatelor conform măştii (de exemplu, filtrarea după IDNO), conform modelului: 1006600043* - toate secvenţele care se încep cu şirul de caractere „1006600043”, *ESCU - toate secvenţele care se sfîrşesc cu şirul de caractere „ESCU” sau *ORAR* - toate secvenţele care au în conţinut şirul de caractere „ORAR”.
10) Conţinutul oricărui tabel cu rezultate trebuie să poată fi exportat în format XLS, CSV şi PDF.
Capitolul IV. Structura organizaţională a sistemului
11. Organizaţiile implicate în elaborarea şi funcţionarea sistemuluiUrmătoarele entităţi sînt interesate sau trebuie implicate în elaborarea şi buna funcţionare a Registrului:
a) Centrul, în calitate de organism principal în obligaţiunea căruia intră instituirea şi administrarea Registrului, suportul metodologic şi organizatoric pentru înregistrarea operatorilor de date cu caracter personal, monitorizarea situaţiei la zi privind respectarea procedurilor de înregistrare a operatorilor de date cu caracter personal etc.;
b) operatorii de date cu caracter personal – persoane fizice sau juridice care au obligaţia legală de a se înregistra în Registru;
c) Centrul de Guvernare Electronică în calitate de organism abilitat cu activităţi de e-Transformare. Centrul de Guvernare Electronică este finanţatorul principal al proiectului şi va lua parte activă pe perioada implementării şi punerii în exploatare a sistemului informatic, inclusiv validarea şi acceptarea propunerilor de soluţie şi a soluţiei livrate. Centru de Guvernare Electronică, de asemenea, coordonează lucrările privind Portalul Guvernamental şi soluţia M-Cloud de care Registrul trebuie să ţină cont;
d) autorităţile publice (ministere, agenţii, servicii etc.) în calitate de entităţi care eliberează acte ce trebuie anexate de operatorii de date cu caracter personal la cererile expediate în adresa Centrului şi veridicitatea cărora trebuie controlată;
e) Ministerul Tehnologiei Informaţiei şi Comunicaţiilor în calitate de organ principal de politici şi norme privind elaborarea şi implementarea resurselor informaţionale de stat;
f) Întreprinderea de Stat „Centrul de Telecomunicaţii Speciale” în calitate de entitate care va asigura asistenţa şi mijloacele tehnice necesare implementării şi funcţionării Registrului. De asemenea, Întreprinderea de Stat „Centrul de Telecomunicaţii Speciale” va reprezenta entitatea care va prelua soluţia informatică şi va asista implementarea şi administrarea sistemul informatic;
g) persoane fizice şi juridice în calitate de beneficiari ai conţinutului public al Registrului;
h) angajaţii autorităţilor publice vor utiliza sistemul pentru îndeplinirea obligaţiilor de serviciu şi trebuie să fie informaţi, consultaţi şi instruiţi pentru a asigura capacităţile de lucru şi performanţele scontate.
12. Operatorul sistemului
Operatorul resursei informaţionale este Centrul. Rolul de deţinător al sistemului reflectă aspectul administrativ şi cel tehnologic ce ţine de competenţa Centrului. Centrul este responsabil de buna funcţionare a serviciului şi informare a beneficiarilor asupra proceselor de procesare a formularelor acestora expediate on-line.
13. Administratorul sistemului
1) Registrul va fi găzduit în M-Cloud, iar administrarea serviciului va fi împărţită între Administratorul M-Cloud şi Centru. Responsabilităţile Administratorului M-Cloud vor fi reglementate de un contract SLA (Service Level Agreement).
2) Administratorul sistemului are acces deplin la toate funcţionalităţile sistemului, fişierele şi bazele de date aferente sistemului, încăperile în care se află echipamentul şi utilajul pe care rulează aplicaţiile software sau care asigură securitatea datelor Registrului.
3) Responsabilităţile Administratorului sînt:
a) asigurarea funcţionării normale a sistemului informatic, garantînd accesibilitatea, securitatea şi integritatea datelor;
b) gestiunea certificatelor digitale de acces a utilizatorilor (aprobare, respingere etc.);
c) monitorizează activitatea utilizatorilor în sistem;
d) la cererea în scris a proprietarului Registrului, Administratorul face modificări în funcţionalităţile sistemului (în limitele posibilităţilor admise de sistem) etc.;
e) efectuează administrarea tehnică a infrastructurii sistemului informatic care prevede:
administrarea şi asigurarea funcţionalităţii echipamentelor tehnice pe care rulează aplicaţiile software, inclusiv cel de securizare a perimetrului reţelei şi accesului la date;
dispunerea sau închirierea canalelor de acces în bandă largă la Internet şi reţeaua guvernamentală;
administrarea serverului WEB de aplicaţii prin intermediul căruia se prestează serviciile incluse în Registru.
14. Utilizatorii şi rolurile acestora în sistem
1) Rolurile umane sau alte sisteme ce interacţionează cu Registrul sînt prezentate în figura 3.
2) Solicitantul de informaţie – actor uman care reprezintă totalitatea utilizatorilor – solicitanţi de informaţie, care explorează conţinutul public al Registrului prin intermediul interfeţei WEB livrate de acesta. Actorul în cauză are următoarele roluri distincte:
a) accesează interfaţa WEB de explorare a conţinutului public al Registrului;
b) formulează interogări de căutare a răspunsului la problemele sale;
c) accesează deciziile emise de Centru.
3) Operatorul de date cu caracter personal – reprezintă totalitatea entităţilor care utilizează facilităţile on-line ale Registrului în vederea expedierii cererilor de înregistrare, modificare sau radiere a datelor în/din Registru, avînd următoarele roluri:
a) redactează şi expediază cereri de înregistrare / modificare / radiere din Registru şi actele doveditoare aferente cererilor;
b) descarcă decizii aferente operatorului datelor cu caracter personal.
4) Funcţionar al Centrului – actor uman care reprezintă totalitatea utilizatorilor autorizaţi ai Centrului cu funcţii de examinare a cererilor expediate de operatorii de date cu caracter personal care dispune de următoarele roluri distincte:
a) examinează cererile parvenite din partea operatorilor de date cu caracter personal;
b) verifică corectitudinea informaţiei conţinute în cerere;
c) completează formularul cererii cu metadate aferente actelor doveditoare anexate la cerere;
d) perfectează proiectul deciziei de înregistrare / modificare / radiere a datelor din Registru.
5) Conducerea Centrului – actor uman care reprezintă totalitatea utilizatorilor autorizaţi ai Centrului cu funcţii de decizie în privinţa cererilor expediate de operatorii de date cu caracter personal. Acest tip de actor dispune de următoarele roluri:
a) examinează cererile parvenite din partea operatorilor de date cu caracter personal;
b) aprobă / respinge proiectul deciziei de înregistrare / modificare / radiere a datelor din Registru;
c) publică decizia în Registru;
d) extrage rapoartele aferente exploatării Registrului.
6) Funcţionar extern – actor uman care reprezintă totalitatea utilizatorilor autorizaţi ce aparţin altor autorităţi publice cu funcţii de examinare a veridicităţii actelor expediate de operatorii de date cu caracter personal:
examinează şi stabileşte veridicitatea actului doveditor prezentat de operatorul de date cu caracter personal.
7) Administratorul Registrului – actor uman, abilitat cu delimitarea utilizatorilor sistemului, configuraţia Registrului, precum şi cu startarea componentelor sistemului. Dacă mediul tehnologic în care va funcţiona Registrul include capabilităţi suficiente pentru îndeplinirea lucrărilor de administrare, implementarea acestora în sistem este opţională. Categoria respectivă de actori are următoarele roluri distincte:
a) foloseşte necondiţionat toate funcţionalităţile Registrului;
b) vizualizează orice înregistrare din baza de date;
c) administrează serverul de aplicaţii;
d) administrează baza de date în producţie;
e) administrează profilurile utilizatorilor;
f) administrează sistemul de nomenclatoare şi metadate;
g) efectuează copii de rezervă a bazei de date.
8) Registrul este sistemul informaţional automatizat ce urmează să fie dezvoltat (Registrul operatorilor de date cu caracter personal ).
9) RSP – Registrul de Stat al Populaţiei, sistem informatic utilizat pentru validarea datelor de identificare aferente persoanelor fizice conţinute în cererile expediate de operatorii de date cu caracter personal.
10) RSUD – Registrul de Stat al Unităţilor de Drept, sistem informatic utilizat pentru validarea conţinutului cererii (date de identificare a persoanelor juridice) expediate de operatorii de date cu caracter personal .
11) SI al AP – sistemele informatice ale autorităţilor publice utilizate pentru validarea actelor ataşate la cererea operatorului de date cu caracter personal sau care vor servi în calitate de sursă de informaţie pe parcursul examinării dosarelor cererilor de înregistrare, modificare sau radiere.
Capitolul V. Documentele sistemului
15. Documentele de intrare ale sistemului1) Sistemul informaţional automatizat va stoca un şir de documente de intrare prezentate de operatorii de date cu caracter personal şi autorităţile publice pentru perfectarea deciziei privind înregistrarea, modificarea sau radierea informaţiei în/din Registru.
2) Pentru realizarea unei istorii, Registrul va forma un dosar electronic pentru fiecare solicitare a operatorului de date cu caracter personal care va conţine atît copiile scanate ale documentelor prezentate, cît şi metadatele aferente acestora.
3) Din categoria documentelor de intrare fac parte:
a) cererile de înregistrare;
b) actele ce confirmă necesitatea înregistrării;
c) cererile de modificare a informaţiei;
d) actele ce confirmă necesitatea efectuării modificărilor;
e) cererile de radiere;
f) actele ce confirmă necesitatea efectuării radierii.
16. Documentele de ieşire ale sistemului
1) Sistemul informaţional automatizat va genera şi prezenta un şir de documente de ieşire privitor la deciziile Centrului de a efectua sau refuza înregistrarea, modificarea sau radierea, ori privitor la rezultatele controalelor efectuate la operatorii de date cu caracter personal care vizează respectarea cadrului legal în vigoare privind protecţia datelor cu caracter personal.
2) Pentru realizarea unei istorii, Registrul va stoca istoria interacţiunii cu operatorul de date cu caracter personal, ataşînd la profilul acestuia totalitatea documentelor de ieşire care-l vizează.
3) Din categoria documentelor de ieşire s-ar putea menţiona:
a) decizia de înregistrare;
b) decizia de refuz a înregistrării;
c) decizia de efectuare a modificărilor;
d) decizia de refuz a modificărilor;
e) decizia de radiere;
f) decizia de refuz a radierii;
g) decizia de autorizare a operaţiunilor de prelucrare a datelor cu caracter personal;
h) decizia de refuz a autorizării operaţiunilor de prelucrare a datelor cu caracter personal;
i) deciziile aferente activităţii Centrului ce afectează operatorii de date cu caracter personal de suspendare, blocare a prelucrărilor de date, prescripţii etc.;
j) rapoartele extrase;
k) fişa operatorului de date cu caracter personal cu istoria aferentă acestuia.
17. Documentele tehnologice ale sistemului
Din categoria documentelor tehnologice stocate în Registru fac parte:
a) confirmările din partea sistemelor informatice ale autorităţilor publice sau angajaţilor acestora privind veridicitatea documentelor prezentate.
b) înregistrările fişierelor log privind interacţiunea utilizatorilor cu Registrul;
c) certificatele digitale ale utilizatorilor care se autentifică în sistem.
Capitolul VI. Spaţiul informaţional al sistemului
18. Obiectele informaţionale ale sistemuluiAnalizînd domeniul modelat (asigurarea funcţionalităţii Registrului) pot fi delimitate totalitatea obiectelor informaţionale de care trebuie să se ţină cont la elaborarea sistemului informaţional automatizat. În figura 4 sînt delimitate totalitatea obiectelor informaţionale care vor sta la baza conceperii Registrului. După cum se vede din această figură există 5 categorii de obiecte informaţionale de care trebuie să se ţină cont în procesul de proiectare şi realizare a sistemului informatic: cereri de înregistrare, cereri de modificare, cereri de radiere, acte doveditoare anexate la cereri şi decizii ale Centrului.
a) Cererea de înregistrare
Reprezintă una din cele 3 tipuri de cereri expediate de operatorii de date cu caracter personal către Centru în vederea înregistrării primare a lor şi creării profilului acestora în sistem pentru perfectarea şi expedierea on-line ulterioară a solicitărilor de efectuare a modificărilor sau radierilor în Registru.
b) Cererea de modificare
Reprezintă una din cele 3 tipuri de cereri expediate de operatorii de date cu caracter personal către Centru în vederea modificării informaţiei stocate în Registru cu referinţă la operatorii de date cu caracter personal, precum şi la sistemele informatice şi informaţionale gestionate de aceştia.
c) Cererea de radiere
Reprezintă una din cele 3 tipuri de cereri expediate de operatorii de date cu caracter personal către Centru în vederea radierii din Registru a înregistrărilor cu referinţă la operatorii de date cu caracter personal, precum şi la sistemele informatice şi informaţionale gestionate de aceştia.
d) Actele doveditoare
Reprezintă copii scanate ale actelor doveditoare pe care operatorul de date cu caracter personal le anexează cererilor de înregistrare, modificare sau radiere.
e) Deciziile Centrului
Reprezintă totalitatea deciziilor emise de Autoritatea naţională de protecţie a datelor cu caracter personal ca rezultat al procesării cererilor expediate de operatorii datelor cu caracter personal sau ca rezultat al controalelor efectuate de Centru.
19. Fluxurile informaţionale ale sistemului
1) Pentru asigurarea funcţionalităţii Registrului este necesară implementarea a 7 categorii de fluxuri informaţionale disponibile diferitelor categorii de utilizatori ai sistemului informatic.
2) Trebuie implementate următoarele fluxuri informaţionale:
a) perfectarea şi expedierea cererii de înregistrare. Reprezintă fluxul utilizat de operatorul de date cu caracter personal pentru expedierea solicitării primare de creare a profilului său şi introducerii informaţiei în Registru;
b) perfectarea şi expedierea cererii de modificare. Reprezintă fluxul utilizat de operatorul de date cu caracter personal pentru expedierea solicitării de efectuare a modificărilor în Registru. Accesul la acest flux e asigurat doar după autorizarea solicitantului de modificări;
c) perfectarea şi expedierea cererii de radiere. Reprezintă fluxul utilizat de operatorul de date cu caracter personal pentru expedierea solicitării de radiere a informaţiei din Registru. Accesul la acest flux este asigurat doar după autorizarea solicitantului de radiere;
d) aprobarea copiilor actelor. Reprezintă fluxul utilizat de emitentul actelor doveditoare anexate de operatorul de date cu caracter personal pentru verificarea veridicităţii acestora. Preponderent se va face automatizat prin colaborarea cu sistemele informatice ale autorităţilor publice corespunzătoare sau manual de angajaţii autorităţilor publice;
e) procesarea dosarului cererii. Reprezintă fluxul utilizat de angajaţii Centrului în vederea procesării solicitărilor expediate de operatorii de date cu caracter personal. Va conţine toată business logica aferentă procesului de pregătire a deciziei;
f) perfectarea deciziei. Reprezintă fluxul utilizat de conducerea Centrului în vederea emiterii deciziei aferente solicitărilor expediate de operatorii de date cu caracter personal. Va conţine toată business logica aferentă procesului de generare a deciziei;
g) extragerea deciziei din Registru. Reprezintă fluxul utilizat de utilizatorii Internet în vederea extragerii deciziilor emise de Centru privitor la operatorii de date cu caracter personal. Documentele prezentate vor fi depersonalizate şi li se va aplica în mod automat semnătura digitală a autorităţii.
20. Scenarii de bază ale sistemului
1) Scenariul de expediere a cererii de înregistrare
În conformitate cu scenariul din figura 5, operatorul de date cu caracter personal accesează interfaţa publică de perfectare a cererii de înregistrare a profilului acestuia în Registru.
Pentru aceasta operatorul de date cu caracter personal se conectează la componenta on-line a Registrului destinată completării şi expedierii cererii de înregistrare, completează toate cîmpurile obligatorii ale formularului şi eventual cele opţionale.
Soluţia informatică va verifica interactiv corectitudinea completării formularului, în baza restricţiilor conţinute în sistemul de metadate a sistemului informatic sau a datelor conţinute în Registrul de stat al populaţiei şi Registrul de stat al unităţilor de drept.
Odată completat, formularul va putea fi semnat digital de către operatorul de date cu caracter personal pentru a fi expediat către Centru.
După recepţionarea formularului Sistemul va trimite la adresa e-mail de contact indicată de operatorul de date cu caracter personal un mesaj de confirmare a valabilităţii adresei e-mail. După confirmarea în timp util a valabilităţii adresei e-mail de către solicitant (activarea referinţei hipertext expediate la adresa e-mail a solicitantului) adresa e-mail de contact este validată, iar cererea de înregistrare trimisă spre procesare în sistem (în cazul în care confirmarea valabilităţii adresei e-mail nu este efectuată în timp utili, solicitarea operatorului de date cu caracter personal este eliminată din baza de date).
Totodată, operatorului de date cu caracter personal îi este expediat, la adresa e-mail de contact, formularul cererii de înregistrare completat, anexat ca fişier PDF la mesajul e-mail.
Pentru operaţiunile de prelucrare a datelor cu caracter personal efectuate de către operatorii de date cu caracter personal, care în virtutea legii, necesită verificarea prealabilă (sau pentru care sistemul, în mod automat, va solicita procedura în cauză ca urmare a valorilor metadatelor inserate în cererea de modificare) Registrul va notifica angajaţii Centrului privind obligativitatea efectuării unei verificări prealabile a cererii de înregistrare.
Funcţionarul Centrului va expedia la adresa e-mail a operatorului de date cu caracter personal lista cu documente ce trebuie prezentate la Centru.
Operatorul de date cu caracter personal va imprima, ştampila şi semna fişierul cu formularul completat recepţionat la adresa e-mail şi va pregăti şi legaliza totalitatea documentelor doveditoare solicitate de Centru, după care se va prezenta la Centru pentru a valida înregistrarea.
Angajatul Centrului va scana codul bară al cererii (sau va introduce codul acesteia) pentru regăsirea rapidă a acesteia şi va aviza valabilitatea şi corectitudinea documentelor recepţionate de la operatorul de date cu caracter personal. Dacă operatorul de date cu caracter personal nu se prezintă în termen util la Centru pentru a livra documentele solicitate validării preliminare, responsabilul de verificarea prealabilă va înscrie informaţia corespunzătoare utilizată ulterior în procesul de perfectare şi adoptare a deciziei (acceptare sau respingere a înregistrării).
Ca rezultat al verificării prealabile angajatul Centrului va perfecta o decizie de autorizare a operaţiunilor de prelucrare a datelor cu caracter personal. Soluţionarea favorabilă conţinută în decizia respectivă va servi drept condiţie de adoptare a deciziei de înregistrare a cererii operatorului de date cu caracter personal în procedura de procesare a cererii de înregistrare.
După obţinerea deciziei de autorizare a procesării cererii de înregistrare aceasta urmează totalitatea fazelor tehnologice pînă la elaborarea proiectului de decizie. Proiectul de decizie (accept de înregistrare sau refuz) este expediat spre coordonarea finală către conducerea Centrului care, analizîndu-l, îl remite spre reprocesare (în cazul depistării unor careva erori de procedură sau de altă natură) sau adoptă decizia.
În cazul unei decizii favorabile, Sistemul va insera înregistrările corespunzătoare în Registru şi va crea profilul operatorului de date cu caracter personal cu care acesta se va conecta ulterior pentru solicitarea modificărilor sau radierilor (numele utilizatorului şi parola de acces la profil vor fi preluate din formatul electronic al cererii completate iniţial).
Pentru decizia cu refuz profilul nu va fi creat, ci vor fi inserate menţiunile corespunzătoare privind refuzul înregistrării.
2) Scenariul de expediere a cererii de modificare
În conformitate cu scenariul din figura 6, operatorul de date cu caracter personal se autorizează în sistem pentru perfectare a cererii de înregistrare a modificărilor în Registru.
Pentru aceasta operatorul de date cu caracter personal se conectează la componenta on-line a Registrului destinată completării şi expedierii cererii de efectuare a modificărilor, completează toate cîmpurile obligatorii ale formularului şi eventual cele opţionale.
Operatorii de date cu caracter personal vor dispune de o interfaţă comodă de completare a cererii de solicitare a modificărilor gen asistent unde vor putea defini vizual şi rapid totalitatea modificărilor ce trebuie efectuate. Pe lîngă modificări, operatorul de date cu caracter personal va avea posibilitatea de a expedia copiile actelor doveditoare pentru efectuarea modificărilor.
Odată completat, formularul şi documentele doveditoare anexate vor putea fi semnate digital de către operatorul de date cu caracter personal pentru a fi expediate către Centru.
După recepţionarea formularului, Sistemul va pune în producţie procesarea acestuia şi va trimite la adresa e-mail de contact a operatorului de date cu caracter personal formularul cererii de solicitare a modificărilor completat anexat ca fişier PDF la mesajul e-mail.
Pentru operaţiunile de prelucrare a datelor cu caracter personal efectuate de către operatorii de date cu caracter personal care, în virtutea legii, necesită verificarea prealabilă (sau pentru care sistemul, în mod automat, va solicita procedura în cauză ca urmare a valorilor metadatelor inserate în cererea de modificare) Registrul va notifica funcţionarii Centrului despre obligativitatea efectuării unei verificări prealabile a cererii de înregistrare.
Angajatul Centrului va expedia la adresa e-mail a operatorului de date cu caracter personal lista cu documente ce trebuie prezentate la Centru.
Operatorul de date cu caracter personal va imprima, ştampila şi semna fişierul cu formularul completat recepţionat la adresa e-mail şi va pregăti şi legaliza totalitatea documentelor doveditoare solicitate de Centru, după care se va prezenta la Centru pentru a valida cererea de solicitare a modificărilor.
Funcţionarul Centrului va scana codul bară al cererii (sau va introduce codul acesteia) pentru regăsirea rapidă a acesteia şi va aviza valabilitatea şi corectitudinea documentelor recepţionate de la operatorul de date cu caracter personal. Dacă operatorul de date cu caracter personal nu se prezintă în termen util la Centru pentru a livra documentele solicitate validării preliminare, responsabilul de verificarea prealabilă va înscrie informaţia corespunzătoare utilizată ulterior în procesul de perfectare şi adoptare a deciziei (acceptare sau respingere a înregistrării).
Ca rezultat al verificării prealabile funcţionarul Centrului va perfecta o decizie de autorizare a operaţiunilor de prelucrare a datelor cu caracter personal. Soluţionarea favorabilă conţinută în decizia respectivă va servi drept condiţie de adoptare a deciziei de înregistrare a cererii de modificare a operatorului de date cu caracter personal în procedura de procesare a cererii de înregistrare.
După obţinerea deciziei de autorizare a procesării cererii de modificare, aceasta urmează totalitatea fazelor tehnologice pînă la formarea proiectului de decizie. Proiectul de decizie (accept de modificare sau refuz) este expediat spre coordonarea finală către conducerea Centrului care, analizîndu-l, îl remite spre reprocesare (în cazul depistării unor careva erori de procedură sau de altă natură) sau adoptă decizia.
În cazul unei decizii favorabile, Sistemul va insera modificările corespunzătoare în Registru. Pentru decizia cu refuz vor fi inserate menţiunile corespunzătoare privind refuzul procesării modificărilor.
3) Scenariul expedierii cererii de radiere
În conformitate cu scenariul din figura 7, operatorul de date cu caracter personal se autorizează în sistem pentru perfectare a cererii de radiere a informaţiei din Registru.
Pentru aceasta operatorul de date cu caracter personal se conectează la componenta on-line a Registrului destinată completării şi expedierii cererii de efectuare a radierilor, completează toate cîmpurile obligatorii ale formularului şi eventual cele opţionale.
Operatorii de date cu caracter personal vor dispune de o interfaţă comodă de completare a cererii de solicitare a radierilor gen asistent, unde vor putea defini vizual şi rapid totalitatea modificărilor ce trebuie efectuate. Pe lîngă solicitările de radiere, operatorul de date cu caracter personal va avea posibilitatea de a expedia copiile actelor doveditoare pentru efectuarea radierilor din Registru.
Odată completat, formularul şi documentele doveditoare anexate vor putea fi semnate digital de către operatorul de date cu caracter personal pentru a fi expediate către Centru.
După recepţionarea formularului, Sistemul va trimite la adresa e-mail de contact a operatorului de date cu caracter personal formularul cererii de solicitare a radierilor completat anexat ca fişier PDF la mesajul e-mail.
Spre deosebire de procedura de înregistrare şi cea de solicitare a modificărilor, în cazul solicitării de radiere obligatoriu se va trece prin mecanismul de verificare a cererii de efectuare a radierii din Registru.
Angajatul Centrului va expedia la adresa e-mail a operatorului de date cu caracter personal lista cu documente ce trebuie prezentate la Centru, necesare procesului de procesare prealabilă a dosarului de radiere.
Operatorul de date cu caracter personal va imprima, ştampila şi semna fişierul cu formularul completat recepţionat la adresa e-mail şi va pregăti şi legaliza totalitatea documentelor doveditoare solicitate de Centru după care se va prezenta la Centru pentru a valida cererea de solicitare a modificărilor.
Funcţionarul Centrului va scana codul bară al cererii (sau va introduce codul acesteia) pentru regăsirea rapidă a acesteia şi va aviza valabilitatea şi corectitudinea documentelor recepţionate de la operatorul de date cu caracter personal. Dacă operatorul de date cu caracter personal nu se prezintă în termen util la Centru pentru a livra documentele solicitate validării preliminare, responsabilul de verificarea prealabilă va înscrie informaţia corespunzătoare utilizată ulterior în procesul de perfectare şi adoptare a deciziei (acceptare sau respingere a radierii).
După obţinerea deciziei de autorizare a procesării cererii de radiere, aceasta urmează totalitatea fazelor tehnologice pînă la elaborarea proiectului de decizie. Proiectul de decizie (accept de radiere sau refuz) este expediat spre coordonare finală către conducerea Centrului care, analizîndu-l, îl remite spre reprocesare (în cazul depistării unor careva erori de procedură sau de altă natură) sau adoptă decizia.
În cazul unei decizii favorabile, Sistemul va efectua radierile din Registru. Pentru decizia de refuz vor fi inserate menţiunile corespunzătoare privind refuzul procesării modificărilor.
4) Scenariul de procesare a dosarului cererii
În cazul în care operatorul de date cu caracter personal expediază cererea fără a o semna digital, acesta se va prezenta personal la Centru pentru a valida solicitările. Angajatul Centrului va scana cererea şi după regăsirea acesteia în zona tampon va aproba trecerea acesteia în baza de date în producţie (dacă e cazul), pentru procesare ulterioară.
Funcţionarul Centrului se va autoriza pentru a se conecta la Registru în scopul procesării cererilor parvenite spre procesare. Funcţionarul Centrului va examina corectitudinea conţinutului cererilor parvenite, va analiza actele doveditoare şi va introduce metadatele aferente acestora în Registru.
După aplicarea unor mecanisme automatizate de verificare a integrităţii formularelor procesate (verificare IDNP, IDNO etc.) cu sistemele informatice ale altor autorităţi publice şi verificarea veridicităţii documentelor doveditoare, cererea obţine statutul de procesată cu menţiunea de aprobare sau respingerea acesteia (conform rezultatelor verificării). Angajatul va completa totalitatea datelor aferente proiectului de decizie.
Componenta în cauză va permite introducerea unor proiecte de decizii ce vizează operatorul de date cu caracter personal, create ca urmare a activităţii Centrului.
5) Scenariul de aprobare a copiilor actelor
Nu se pune scopul verificării exhaustive a documentelor doveditoare expediate de operatorii de date cu caracter personal. În cazul în care verificarea nu poate fi efectuată în mod automat, aceasta se face selectiv.
Registrul va utiliza 2 regimuri de verificare a valabilităţii actelor doveditoare:
a) automat, prin confruntarea metadatelor aferente actului cu datele livrate de sistemele informatice ale autorităţilor emitente;
b) manual, prin oferirea unei interfeţe reprezentatului autorităţilor publice pentru examinarea copiei actului şi validarea sau nevalidarea acestuia.
6) Scenariul de perfectare a deciziei
Decidentul din cadrul Centrului (conducerea) se va autoriza pentru a se conecta la Registru, în scopul vizării proiectelor de decizie aferente cererilor parvenite spre procesare. Conducătorul Centrului va examina corectitudinea conţinutului cererilor parvenite, va analiza actele doveditoare şi proiectul deciziei.
În cazul depistării unor probleme, conducătorul va nota problema şi va restitui decizia spre o procesare suplimentară. Dacă cererea este procesată corect va aplica semnătura digitală pe decizie pentru a o face valabilă.
O dată aprobată decizia, vor fi efectuate înscrierile în Registru, iar operatorului de date cu caracter personal îi va fi expediată prin e-mail notificarea cu fişierul semnat al deciziei.
7) Scenariul de extragere a deciziei din Registru
Registrul va oferi mai multe posibilităţi de extragere a deciziilor aferente operatorilor de date cu caracter personal .
Acestea vor fi disponibile prin intermediul interfeţei publice a Registrului. Astfel, utilizatorul va putea explora conţinutul Registrului, utilizînd mecanismul de navigare şi sistemul de nomenclatoare şi clasificatoare, sau va putea formula interogări de căutare a deciziilor în baza datelor de identificare a acestora. Informaţia prezentată în interfaţa publică nu va conţine date cu caracter personal, ci doar informaţie cu caracter public.
În cazul operatorilor de date cu caracter personal, aceştia vor putea accesa deciziile din profilul lor în cadrul Registrului. Ei se vor conecta la contul lor şi vor putea accesa într-o zonă specială totalitatea deciziilor aferente lor. Acestea vor putea fi descărcate sub formă de fişiere pe care este aplicată semnătura digitală a Centrului şi vor putea fi utilizate în calitate de document oficial.
21. Clasificatoarele şi nomenclatoarele sistemului
1) În scopul asigurării veridicităţii şi reducerii volumului informaţiei stocate în Registru se vor utiliza clasificatoare şi nomenclatoare care pot fi divizate în trei grupuri:
a) internaţionale;
b) naţionale (CUATM, CAEM, FOJ, CFP etc.);
c) interne (interfaţă, utilizatori, grupuri de utilizatori, categorii de documente, categorii de decizii etc.).
2) Clasificatoarele şi nomenclatoarele interne se vor elabora şi utiliza în cadrul Registrului numai în absenţa clasificatoarelor internaţionale şi naţionale aprobate.
22. Interacţiunea cu alte sisteme informatice
Pentru asigurarea funcţionalităţii în condiţii optime a Registrului este necesară realizarea interacţiunii cu 4 categorii de sisteme informatice:
1) Interacţiunea cu sistemele informatice ale Î.S. „Centrului de Telecomunicaţii Speciale”
Această interacţiune va fi utilizată pentru realizarea mecanismelor de semnătură digitală, care oferă posibilitatea verificării identităţii unui utilizator, stabileşte dacă acesta are dreptul să trimită documente, protejează conţinutul informaţiei trimise, care nu mai poate fi modificat după ce a fost semnat. Toate acestea vor fi realizate prin utilizarea următoarelor servicii, oferite de Centrul de Telecomunicaţii Speciale:
a) verificarea certificatului;
b) verificarea semnăturii;
c) cererea şi recepţionarea mărcii de timp.
Funcţiile mărcii de timp se folosesc la etapa expedierii documentelor. Mărcile de timp sînt obţinute de către sistem de la programul-client, conectat la serviciul de stat Time-Stamping.
De asemenea, se va realiza interacţiunea cu Portalul Guvernamental gestionat de Centrul de Telecomunicaţii Speciale în vederea asigurării accesului la resursele Registrului prin intermediul Portalului.
2) Interacţiunea cu Registrul de Stat al Populaţiei
Această interacţiune va fi utilizată pentru a valida înregistrările cererilor de efectuare a înregistrărilor, modificărilor sau radierilor (care conţin date despre persoane fizice), în scopul validării acestora privind corectitudinea combinaţiilor de IDNP, nume, prenume, act de identitate etc.
3) Interacţiunea cu Registrul de Stat al unităţilor de drept
Această interacţiune va fi utilizată pentru a valida înregistrările cererilor de efectuare a înregistrărilor, modificărilor sau radierilor (care conţin date despre persoane juridice) în scopul validării acestora privind corectitudinea combinaţiilor de IDNO, denumire, cod CUATM, cod CAEM etc.
4) Interacţiunea cu sistemele informatice ale altor autorităţi publice
Această interacţiune va fi utilizată pentru a verifica veridicitatea actelor prezentate de operatorii de date cu caracter personal în conformitate cu informaţia stocată în sistemele informatice ale autorităţilor publice.
Capitolul VII. Spaţiul tehnologic al sistemului
1) Registrul este format din unul sau mai multe servere dedicate serviciului (figura 8). Serverele găzduiesc în primul rînd Registrul, care realizează logica de business din spatele sistemului informatic şi interacţiunea cu alte subsisteme.2) Registrul publică cîteva interfeţe şi pentru acestea este realizată cîte o implementare, şi anume:
a) Serviciul WEB Depun cerere, care interacţionează cu lumea externa şi va fi accesat iniţial direct prin intermediul site-ului web al Centrului (http://www.datepersonale.md). Ulterior se planifică integrarea acestui serviciu şi în Portalul Guvernamental.
b) Serviciul WEB Extrage rapoarte, care interacţionează cu lumea externă şi va fi accesat iniţial direct prin intermediul site-ului web al Centrului (http://www.datepersonale.md). Ulterior se planifică integrarea acestui serviciu şi în Portalul Guvernamental.
c) Serviciul WEB Examinează cereri, care permite funcţionarilor Centrului şi reprezentanţilor externi să examineze integral sau parţial cererea depusă de solicitanţi.
d) Serviciul WEB Pregăteşte decizia, reprezintă mijlocul ce permite Centrului să verifice corectitudinea documentelor recepţionate şi să completeze setul de metadate necesar pentru emiterea deciziei.
e) Serviciul WEB Perfectează decizia, oferă posibilitate conducerii Centrului sa examineze cererile şi documentele aferente acestora, proiectele de decizii pentru a le aproba sau a le întoarce spre procesare suplimentară în cazul depistării problemei.
f) Serviciul WEB Extrage decizii, oferă utilizatorilor Internet – solicitanţilor de informaţii posibilitatea de a găsi, vizualiza şi salva deciziile emise de Centru.
Capitolul VIII. Asigurarea securităţii
informaţionale a sistemului
1) Prin securitatea informaţională se înţelege protecţia resurselor informaţionale şi infrastructurii de acţiuni intenţionate sau accidentale, cu caracter natural sau artificial, al căror rezultat cauzează daune participanţilor la procesul de schimb de informaţie.informaţionale a sistemului
2) Asigurarea securităţii informaţionale va include totalitatea măsurilor juridice, organizatorice, economice şi tehnologice, orientate spre prevenirea pericolelor securităţii resurselor şi infrastructurii informaţionale.
3) Pot fi delimitate următoarele probleme de asigurare a securităţii informaţionale cu care se va confrunta Registrul:
a) asigurarea confidenţialităţii informaţiei (prevenirea obţinerii informaţiilor de către persoanele care nu au drepturile şi competenţele respective);
b) asigurarea integrităţii logice a datelor (prevenirea introducerii, actualizării şi ştergerii nesancţionate a informaţiei sau introducere a datelor denaturate);
c) asigurarea securităţii infrastructurii informaţionale de tentative de a defecta sau de a modifica funcţionarea acesteia.
4) Mecanismele principale de securitate informaţională utilizate vor fi:
a) autentificarea şi autorizarea informaţiei;
b) administrarea accesului la informaţie;
c) înregistrarea acţiunilor utilizatorilor sistemului informatic ;
d) criptarea informaţiei;
e) auditul informatic;
f) procedurile de restabilire, în caz de dezastru.
5) Veriga cea mai sensibilă la risc în sistemul de securitate este factorul uman. Din aceste considerente, instruirea personalului la capitolul însuşirii metodicii rezistenţei la ameninţări informatice este un element foarte important.
6) În procesul de elaborare al Registrului, pentru asigurarea securităţii informaţionale se va ţine cont de algoritmii şi protocoalele existente pe piaţă cu respectarea cadrului legal al Republicii Moldova, inclusiv:
a) Legea nr. 982-XIV din 11 mai 2000 privind accesul la informaţie;
b) Legea nr. 467-XV din 21 noiembrie 2003 cu privire la informatizare şi la resursele informaţionale de stat;
c) Legea nr. 246-XV din 15 iulie 2004 cu privire la documentul electronic şi semnătura digitală;
d) Ordinul Serviciului de Informaţii şi Securitate nr. 64 din 7 decembrie 2006 privind aprobarea normelor tehnice în sfera semnăturii digitale;
e) Hotărîrea Guvernului nr.320 din 28 martie 2006 „Pentru aprobarea Regulamentului privind ordinea de aplicare a semnăturii digitale în documentele electronice ale autorităţilor publice”.
7) Adiţional vor fi proiectate acţiuni organizatorice, tehnologice şi de program în conformitate cu standardele internaţionale aprobate ca naţionale în Republica Moldova: SM GOST R ISO/CEI 15408:2009, SM ISO/CEI 17799:2004 şi SMV ISO/CEI 27002:2009.
8) Reieşind din cele expuse, accesul la resursele Registrului trebuie să fie asigurat şi autorizat prin intermediul unui sistem de utilizatori şi parole şi/sau autorizare prin certificat digital. Cu toate acestea, utilizatorii vor poseda drepturi distincte de acces, în funcţie de nivelul de securitate căruia îi corespund. Pentru fiecare grup de acces trebuie să existe posibilitatea de a defini rolurile şi drepturile utilizatorilor (chiar şi pînă la nivelul de acces la interfaţa utilizatorilor).
9) Accesul la informaţia bazei de date trebuie să fie limitat, în funcţie de drepturile şi rolurile specifice grupurilor de acces. În acest caz, fiecare grup de utilizatori va avea acces la o interfaţă personalizată (diferită de cea a altor grupuri), pentru vizualizarea şi gestionarea informaţiei bazei de date, precum şi de manipulare cu datele.
10) Indiferent de nivelul de acces al utilizatorului (administrator sau angajat al Centrului) nici un grup de acces nu trebuie să posede dreptul de a suprima direct înregistrările bazei de date. Suprimarea fizică trebuie să fie anticipată de o marcare la ştergere. Numai după marcarea la ştergere aceste înregistrări vor putea fi suprimate fizic de către utilizatorii cu drepturi de administrator.
11) Orice modificare potenţial periculoasă: modificarea informaţiei unei înregistrări, marcarea la ştergere, adăugarea unor înregistrări noi etc. trebuie să fie documentată în registre electronice speciale (fişiere log), arătînd momentul de timp şi utilizatorul care a efectuat modificarea potenţial periculoasă. În caz că modificările potenţial periculoase nu vor implica suprimarea fizică a datelor pentru fiecare înregistrare va fi posibil de văzut utilizatorul care a efectuat ultima modificare. În consecinţă, sistemul informatic proiectat va dispune de un instrument eficient care va da posibilitatea de a efectua o analiză a comportamentului utilizatorilor (sau a productivităţii lor).
12) La nivel fizic politica de asigurare a securităţii informaţionale trebuie să fie realizată prin intermediul unor module automate de generare a copiilor de rezervă a fişierelor şi bazelor de date aflate în producţie. Administratorii Registrului trebuie să dispună de posibilitatea de a-şi defini politica de generare automată a copiilor de rezervă.
13) În vederea asigurării unui nivel adecvat al securităţii informaţionale a Registrului se consideră binevenită elaborarea şi implementarea unei politici de asigurare a securităţii informaţionale. Această politică va detalia totalitatea compartimentelor de securitate, rolurile, drepturile şi obligaţiile fiecărui actor al sistemului informatic. Pentru elaborarea politicii de asigurare a securităţii informaţionale ar fi cazul contractării serviciilor externe de la experţi sau companii certificate în domeniu.
14) Politica de securitate va fi adusă la cunoştinţa fiecărui utilizator şi semnată de acesta. Fiecare utilizator va cunoaşte obligaţiile de serviciu în materie de respectare a securităţii informaţionale şi totalitatea procedurilor formale pe care trebuie să le respecte în strictă concordanţă cu politica de securitate.
15) Pentru asigurarea veridicităţii informaţiei se va crea o politică care va defini mecanismele de validare a informaţiei introduse în cadrul sistemului informatic sau extrase din acesta.
16) Centrul va dispune de personal calificat cu efectuarea auditului securităţii informaţionale, verificării şi instruirii continue în materie de asigurare a securităţii informaţionale.
Capitolul IX. Implementarea sistemului
Activităţile de proiectare, realizare, testare şi implementare a tuturor compartimentelor Registrului trebuie să fie realizate de către întreprinderi şi instituţii specializate ce posedă licenţele necesare pentru îndeplinirea lucrărilor corespunzătoare şi va cuprinde următoarele etape:a) Etapa de elaborare a sistemului informaţional automatizat – va fi divizată în faze coordonate cu părţile implicate (Centrul de Guvernare Electronică, Centrul Naţional pentru Protecţia Datelor cu Caracter Personal, Centrul de Telecomunicaţii Speciale) în elaborarea Registrului.
Elaboratorul:
în baza termenilor de referinţă, determină şi analizează cerinţele, proiectează structura sistemului informatic şi creează proiectul tehnic;
dezvoltă codul aplicaţiei şi integrează modulele acesteia în prima versiune a sistemului software (se va face o primă prezentare părţilor, demonstrînd existenta tuturor funcţionalităţilor înaintate de către termenii de referinţă);
face testarea sistemului în regim de laborator (testare internă) şi pregăteşte documentaţia de însoţire (se prezintă funcţionalităţile sistemului cu corectările şi ajustările la obiecţiile făcute în subetapa precedentă, se prezintă setul documentaţiei tehnice etc.);
b) Etapa de implementare a sistemului va începe odată cu aprobarea procesului-verbal de acceptare de către proprietarul sistemului software în varianta prezentată şi semnarea actului de predare-primire în exploatare experimentală. La această etapă elaboratorul testează sistemul în condiţiile de exploatare experimentală, depistează şi înlătură erorile, problemele de performanţă etc. La această etapă elaboratorul pregăteşte versiunea finală a sistemului informatic pasibilă a fi dată în exploatare.
c) Etapa de instruire va începe odată cu implementarea soluţiei informatice şi va cuprinde instruirea a cîte 2 administratori de sistem, 20 utilizatori de diferite niveluri de acces din cadrul Centrului.
d) Darea în exploatare a sistemului începe odată cu semnarea actului de punere în exploatare a sistemului software şi începere a utilizării.
e) Etapa de mentenanţă a sistemului este perioada în care elaboratorul sistemului îşi asumă obligaţia faţă de proprietar să-l asiste în menţinerea capacităţii sistemului software de a presta servicii, precum şi modificarea produsului software, păstrînd integritatea lui. Această etapă poate fi oricît de lungă după durată, în funcţie de înţelegerile contractuale.