MODIFICAT
HCNPF8/12 din 05.02.18, MO58-66/23.02.18 art.264

ÎNREGISTRAT:
ministrul justiţiei
nr. 671 din 17 aprilie 2009
_________ Vitalie PÎRLOG

  În vederea executării prevederilor art.6 alin.(1), alin.(4) şi alin.(11), art.7 alin.(7), art.8 alin.(2) şi alin.(4), art.17 alin.(3) subalin.1) lit.a)-d) şi lit.g), alin.(7) şi alin.(8), art.18 alin.(2) subalin.1) lit.b) din Legea nr.122-XVI din 29 mai 2008 privind birourile istoriilor de credit (republicată în Monitorul Oficial al Republicii Moldova, 2017, nr.316-321, art.546), în temeiul prevederilor art.1 alin.(1), art.3, art.4 alin.(1) şi alin.(2), art.8 lit.b), art.21 alin.(1), art.22 alin.(1) şi alin.(2) din Legea nr.192-XIV din 12.11.1998 „Privind Comisia Naţională a Pieţei Financiare” (republicată în Monitorul Oficial al Republicii Moldova, 2007, nr.117-126 BIS),
[Clauza modificată prin HCNPF8/12 din 05.02.18, MO58-66/23.02.18 art.264]

COMISIA NAȚIONALĂ A PIEȚEI FINANCIARE
HOTĂRĂŞTE:

    1. Se aprobă:
    Regulamentul privind sistemele informaţionale utilizate pentru crearea bazei de date a biroului istoriilor de credit, conform anexei nr.1;
    Regulamentul cu privire la modul de prezentare a informaţiilor la biroul istoriilor de credit şi de eliberare a raportului de credit, conform anexei nr.2;
    Regulamentul privind modul de raportare la Comisia Naţională a Pieţei Financiare de către birourile istoriilor de credit, conform anexei nr.3.
    2. Prezenta hotărîre intră în vigoare din data publicării.

    PREŞEDINTELE COMISIEI
    NAŢIONALE A PIEŢEI FINANCIARE           Mihail CIBOTARU

    Nr. 8/15. Chişinău, 26 februarie 2009.

Anexa nr.1
la Hotărîrea Comisiei Naţionale
a Pieţei Financiare
nr.8/15 din 26 februarie 2009

REGULAMENT
privind sistemele informaţionale utilizate pentru crearea
bazei de date a biroului istoriilor de credit
I. Noţiuni generale

    1. Regulamentul privind sistemele informaţionale utilizate pentru crearea bazei de date a biroului istoriilor de credit (în continuare - Regulament) stabileşte cerinţe faţă de organizarea sistemului informaţional în scopul formării şi utilizării istoriilor de credit, păstrării în condiţii de securitate a bazei de date a biroului istoriilor de credit (în continuare – birou), cerinţe minime faţă de utilizarea mijloacelor de protecţie la colectarea, păstrarea, stocarea, prelucrarea, transmiterea şi distrugerea (radierea) informaţiilor din istoriile de credit, cerinţe minime faţă de echipamentul tehnic şi de program şi este obligatoriu pentru toate persoanele juridice care deţin licenţă de activitate a biroului istoriilor de credit.
    2. În sensul prezentului Regulament se definesc următoarele noţiuni:
    complex de mijloace software şi hardware - totalitatea programelor şi mijloacelor tehnice care asigură realizarea proceselor informaţionale;
    mijloacele semnăturii digitale - mijloacele tehnice şi/sau de program ce asigură crearea cheii publice şi cheii private, crearea semnăturii digitale şi/sau verificarea autenticităţii acesteia;
    mijloacele de protecţie criptografică a informaţiei - mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii;
    protecţia informaţiei contra extorcării - ansamblu de măsuri îndreptate spre prevenirea răspîndirii neautorizate a informaţiei protejate prin canalele tehnice sau prin canalele secundare cu ajutorul mijloacelor tehnice speciale;
    protecţia informaţiei contra accesului neautorizat - ansamblu de măsuri orientate spre prevenirea, identificarea şi înlăturarea sustragerii informaţiei protejate prin încălcarea regulilor de acces stabilite de actele normative sau de proprietarul (deţinătorul) informaţiei;
    protecţia informaţiei contra acţiunilor neintenţionate - ansamblu de măsuri orientate spre prevenirea acţiunilor neintenţionate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informaţiei, dar care duc la distorsiunea, distrugerea, copierea, blocarea accesului la informaţie, precum şi la pierderea, distrugerea acesteia sau la defectarea suportului material al informaţiei;
    norme de securitate informaţională - totalitatea deciziilor documentate de administrare, îndreptate spre protejarea informaţiei, a mijloacelor tehnice şi de program ale sistemelor informaţionale;
    securitate informaţională – protecţia sistemului informaţional de acţiuni premeditate sau neintenţionate cu caracter natural sau artificial, care au ca rezultat cauzarea prejudiciului participanţilor la schimbul informaţional;
    sistem informaţional - totalitatea de resurse şi tehnologii informaţionale interdependente, de metode şi de personal, destinată păstrării, prelucrării şi furnizării de informaţie;
    suporturi materiale - suporturi magnetice, optice, laser sau alte suporturi al informaţiei electronice, pe care se creează, se fixează, se transmite, se recepţionează, se păstrează sau, în alt mod, se utilizează informaţia electronică şi care permit reproducerea şi folosirea ulterioară a acesteia. 

II. Obiectivele securităţii informaţionale

    3. Participanţii la schimbul informaţional (în continuare – participanţi) asigură măsuri de protecţie a informaţiei la transmiterea, colectarea, păstrarea, stocarea, prelucrarea şi distrugerea (radierea) datelor din istoriile de credit prin mijloace ce corespund cerinţelor de securitate informaţională stabilite de prezentul Regulament.
    4. Obiectivele de bază privind asigurarea securităţii informaţionale sînt:
    1) protecţia informaţiei (asigurarea integrităţii, confidenţialităţii şi disponibilităţii informaţiei) din istoriile de credit la colectarea, păstrarea, stocarea, prelucrarea, transmiterea şi distrugerea acesteia ;
    2) minimizarea impactului şi a timpului de restabilire în cazul incidentelor de securitate;
    3) gestiunea eficace a riscurilor de securitate;
    4) asigurarea continuităţii în activitate;
    5) asigurarea securităţii fizice a biroului, inclusiv a complexului de echipamente, de la deteriorare sau de încercările de modificare a funcţionării;
    6) conformarea cu actele legislative şi normative în vigoare.
    5. Ansamblul măsurilor şi al mijloacelor de protecţie a informaţiei trebuie să includă:
    1) protecţia criptografică a informaţiei, cu aplicarea mijloacelor de protecţie criptografică a informaţiei;
    2) protecţia informaţiei contra accesului neautorizat şi detectarea intruziunilor;
    3) controlul intern permanent al sistemului securităţii informaţionale;
    4) protecţia informaţiei contra acţiunilor neintenţionate, inclusiv copierea de rezervă şi arhivarea datelor;
    5) asigurarea accesibilităţii, inclusiv asigurarea continuităţii funcţionării complexului de echipamente tehnice şi de program al biroului;
    6) protecţia informaţiei contra extorcării prin canalele tehnice şi cele auxiliare;
    7) măsuri de securitate fizică a participanţilor.
    6. Modul de aplicare a măsurilor şi mijloacelor de protecţie a informaţiei trebuie planificat la etapa de proiectare a sistemului informaţional.

III. Cerinţe faţă de funcţionarea sistemului informaţional

    7. Sistemul informaţional se va elabora potrivit cerinţelor prezentului Regulament în conformitate cu Sarcina tehnică de elaborare, aprobată de conducător, care va conţine date despre procesul de elaborare, implementare şi deservire a sistemului, inclusiv etapele de elaborare, modul de introducere a modificărilor, primirea, testarea şi darea în exploatare, cerinţele faţă de documentarea fiecărei etape etc.
    8. Sistemul informaţional trebuie să asigure schimbul electronic de corespondenţă timp de 24 din 24 de ore.
    9. Schimbul electronic de corespondenţă între participanţi se efectuează numai cu utilizarea complexului software specializat, oferit de către birou.
    10. Corespondenţa electronică se semnează cu semnătură digitală, în conformitate cu legislaţia privind documentul electronic şi semnătura digitală.
    11. În cadrul schimbului electronic de corespondenţă participanţii trebuie să respecte succesiunea prescrisă de acţiuni şi să verifice autenticitatea corespondenţei electronice.
    12. În cadrul sistemului informaţional biroul este obligat permanent:
    1) să asigure funcţionarea eficientă şi neîntreruptă a sistemului informaţional şi nivelul stabilit de securitate la efectuarea schimbului electronic de corespondenţă între participanţi;
    2) să implementeze protecţia antivirus şi antispam;
    3) să efectueze deservirea tehnică a componentelor, să înlăture operativ şi la timp defecţiunile în funcţionarea sistemului informaţional;
    4) să ia măsuri de perfecţionare şi eficientizare a funcţionării sistemului informaţional;
    5) să efectueze controlul sistemului de securitate, să fixeze cazurile şi tentativele de încălcare a acestuia, precum şi să întreprindă măsurile ce se impun pentru prevenirea şi lichidarea consecinţelor;
    6) să acorde asistenţă persoanelor autorizate ale participanţilor referitor la utilizarea complexului de mijloace software şi hardware oferit, precum şi în alte probleme ce ţin de funcţionarea sistemului informaţional;
    7) să informeze participanţii despre modificările condiţiilor tehnice de funcţionare a sistemului informaţional.
    13. În scopul îndeplinirii atribuţiilor sale, biroul este în drept:
    1) să acorde asistenţă la crearea cheilor criptografice ale participanţilor, necesare pentru funcţionarea sistemului informaţional;
    2) să solicite înlăturarea cazurilor de încălcare a regulilor de exploatare a sistemului informaţional.
    14. În scopul funcţionării eficiente a sistemului informaţional, participantul (ce nu este birou) este obligat:
    1) să organizeze şi să amenajeze locuri de muncă pentru persoanele autorizate de prezentarea şi recepţionarea informaţiei din istoriile de credit;
    2) să asigure condiţiile necesare pentru păstrarea în siguranţă a cheilor criptografice, inclusiv a suporturilor materiale, precum şi pentru excluderea accesului terţelor persoane la cheile respective;
    3) să asigure respectarea condiţiilor de securitate şi regulilor de exploatare a sistemului informaţional;
    4) să utilizeze informaţia obţinută în rezultatul participării la schimbul informaţional doar în scopurile stabilite de Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit” ;
    5) să anunţe neîntîrziat, în formă verbală şi scrisă, persoana responsabilă a biroului în caz de depistare a încălcării securităţii sistemului informaţional.
    15. În scopul respectării cerinţelor prezentului Regulament la colectarea, păstrarea, stocarea, prelucrarea, transmiterea şi distrugerea (radierea) informaţiei din istoriilе de credit, biroul va elabora şi aproba norme privind funcţionarea sistemului informaţional, care vor conţine:
    1) drepturile şi obligaţiile biroului şi celorlalţi participanţi la schimbul informaţional în raport cu sistemul informaţional;
    2) procedura de expediere şi primire a corespondenţei electronice, precum şi utilizarea, modificarea, radierea ulterioară a acesteia;
    3) descrierea formatelor de date aprobate de către birou;
    4) ordinea de prezentare a raportului de credit;
    5) modul de accesare a resurselor informaţionale ale biroului;
    6) condiţiile generale de asigurare a securităţii sistemului informaţional, în concordanţă cu care se vor realiza activităţi şi implementa mijloace concrete de protecţie a informaţiei;
    7) procedurile de gestionare şi algoritmul acţiunilor în cazul compromiterii sistemului securităţii informaţionale;
    8) procedura de aducere la cunoştinţa participanţilor a normelor menţionate şi măsurilor de securitate informaţională, de acceptare şi asumare a obligaţiilor de respectare a acestora de către participanţi.
    16. Normele privind funcţionarea sistemului informaţional vor fi aduse la cunoştinţă tuturor participanţilor cu care este încheiat contract de prestare a serviciilor informaţionale, confirmîndu-se prin semnătura persoanei responsabile.
    17. La întocmirea şi prelucrarea corespondenţei electronice participanţii utilizează în mod obligatoriu mijloacele de protecţie criptografică a informaţiei.
    18. Mijloacele semnăturii digitale şi de criptare a corespondenţei electronice se determină în conformitate cu legislaţia în vigoare în domeniul semnăturii digitale şi cu cerinţele capitolului IX al prezentului Regulament.
    19. Fiecare participant desemnează o subdiviziune sau un colaborator (colaboratori) responsabil de asigurarea securităţii informaţionale la exploatarea sistemului informaţional.
    20. Orice situaţie de forţă majoră care poate influenţa în mod negativ realizarea funcţiilor biroului trebuie adusă, în formă scrisă, în termen de o zi, la cunoştinţa celorlalţi participanţi.
    21. Aranjamentul sistemului informaţional al biroului trebuie să fie flexibil, să permită dezvoltarea, fără modificări structurale, a configuraţiilor mijloacelor utilizate şi completarea cu noi funcţii şi resurse.

IV. Cerinţe faţă de conectarea (deconectarea)
participanţilor la sistemul informaţional

    22. Persoana responsabilă a biroului execută lucrările necesare de instalare a software-lui, a mijloacelor de protecţie criptografică a informaţiei la locurile de muncă autorizate ale participanţilor şi efectuează conectarea acestora la sistemul informaţional, cu semnarea între părţi a actului de dare în exploatare a locurilor de muncă.
    23. Evidenţa mijloacelor de protecţie criptografică a informaţiei şi a suporturilor materiale, utilizate de participanţi, este ţinută într-un registru special. Persoana autorizată a participantului semnează în registru pentru primirea suporturilor materiale de chei criptografice, precum şi confirmînd faptul că a luat cunoştinţă de regulile privind exploatarea sistemului informaţional în condiţii de securitate.
    24. Funcţionarea sistemului informaţional poate fi suspendată de birou în următoarele cazuri:
    1) în timpul efectuării lucrărilor profilactice ale complexului de mijloace software şi hardware ale sistemului;
    2) la apariţia circumstanţelor de forţă majoră;
    3) la încălcarea sistemului securităţii informaţionale, dacă aceasta prezintă pericol pentru funcţionarea sistemului informaţional;
    4) la încălcarea de către participant a obligaţiilor prevăzute de contractul de prestare a serviciilor informaţionale, actele legislative şi normative în vigoare.
    25. Lucrările profilactice în complexul de mijloace software şi hardware ale sistemului informaţional pot fi efectuate cu notificarea participanţilor cu 2 zile lucrătoare înainte de începerea lucrărilor, indicîndu-se termenele de finalizare a acestora.
    26. În cazul apariţiei circumstanţelor de forţă majoră, precum şi a avariilor sau a defecţiunilor în funcţionarea complexului de mijloace software şi hardware ale sistemului informaţional din vina terţelor persoane, este posibilă suspendarea funcţionării sistemului, cu notificarea ulterioară a participanţilor conectaţi.
    27. Excluderea participantului din sistemul informaţional se efectuează în temeiul cererii conducătorului acestuia, în cazul rezilierii contractului de prestare a serviciilor informaţionale. În termenul coordonat cu participantul se execută lucrările necesare de înlăturare a sofware-lui şi a mijloacelor de protecţie criptografică a informaţiei de la locul de muncă al participantului exclus, fiind semnat actul de excludere a acestuia.
    28. Suporturile materiale, care conţin cheile criptografice ale participantului exclus din sistemul informaţional, se distrug în prezenţa persoanei responsabile a participantului, făcîndu-se menţiunea respectivă în registrul special.

V. Cerinţe referitoare la protecţia informaţiei
în cadrul sistemului informaţional

    29. Biroul trebuie să excludă posibilitatea divulgării informaţiei din baza de date a biroului, cu excepţiile prevăzute de Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit”.
    30. Regimul de confidenţialitate, în cazul operării cu informaţia care a devenit cunoscută biroului în rezultatul activităţii sale, trebuie să asigure:
    1) limitarea numărului persoanelor cu drept de acces la resursele informaţionale;
    2) ordinea de admitere controlată şi delimitarea funcţională a responsabilităţilor persoanelor ce au acces la informaţia din baza de date a biroului;
    3) identificarea şi autentificarea participanţilor cu utilizarea mijloacelor moderne de autentificare şi criptare a informaţiei;
    4) măsuri de protecţie a informaţiei în cadrul păstrării, prelucrării şi transmiterii acesteia prin intermediul canalelor de comunicaţii.
    31. Biroul va elabora şi aproba norme de securitate informaţională, care vor asigura respectarea regulilor, standardelor şi normelor general acceptate în domeniul securităţii informaţionale, şi vor include:
    1) categoriile resurselor informaţionale ale biroului cu indicarea nivelului necesar de securitate pentru fiecare categorie;
    2) modelul sistemului securităţii informaţionale şi principalele măsuri tehnico-organizatorice necesare de asigurare a funcţionării acestuia;
    3) planul de gestionare a riscurilor de securitate aferente sistemului informaţional ale biroului, care să cuprindă totalitatea măsurilor tehnico-organizatorice prevăzute pentru controlul acestor riscuri, inclusiv: analiza factorilor de risc (pericolelor) şi impactul acestora asupra obiectivelor de bază ale sistemului de securitate al biroului, descrierea mijloacelor de control (de prevenire, detectare şi restabilire) aferente riscurilor identificate, planul de tratare a riscurilor reziduale, desemnarea responsabilităţilor privind gestiunea riscurilor etc;
    4) planul de acţiuni privind menţinerea în funcţiune a sistemului de securitate a biroului, inclusiv planurile de continuitate a activităţii în situaţii de forţă majoră, cum ar fi calamităţi naturale, incendii, deconectarea energiei electrice, deterioarea liniilor de comunicare, dezordinea publică, greve, acţiuni militare;
    5) procedurile interne ce exclud cazurile de modificare nesancţionată a software-ului şi/sau a informaţiei din baza de date a biroului (ex.: politica privind controlul accesului, managementul modificărilor, managementul incidentelor de securitate, proceduri operaţionale de gestiune/administrare a resurselor informaţionale etc.);
    6) modul de păstrare a copiilor de rezervă ale resurselor informaţionale şi de program, cheilor private ale angajaţilor biroului sau cheilor secrete ale altor sisteme criptografice ale biroului etc;
    7) nomenclatorul, modul de arhivare şi de distrugere a informaţiei din baza de date a biroului;
    8) responsabilităţile personalului biroului privind asigurarea securităţii informaţionale;
    9) proceduri de control intern al biroului privind respectarea condiţiilor de securitate informaţională.
    32. Biroul trebuie să asigure copierea de rezervă, păstrarea şi restabilirea în caz de necesitate a informaţiei din baza de date a biroului şi altei informaţii necesare pentru activitatea sa, precum şi instalarea în caz de necesitate a echipamentelor tehnice suplimentare sau de rezervă.
    33. Biroul trebuie să asigure păstrarea copiei informaţiei din baza de date pe fişier electronic în casete arendate în băncile comerciale de pe teritoriul Republicii Moldova. Biroul este obligat să reînnoiască copia informaţiei pe fişier electronic cel puţin o dată în 30 de zile lucrătoare.

VI. Măsurile şi mijloacele de protecţie a informaţiei

    34. Pentru micşorarea riscurilor de extorcare a informaţiei din baza de date a biroului, inclusiv legate de utilizarea tehnologiilor informaţionale şi de comunicaţii, biroul elaborează şi implementează un set de măsuri de asigurare a securităţii sistemului informaţional, prin:
    1) gestiunea accesului;
    2) asigurarea integrităţii;
    3) asigurarea accesibilităţii;
    4) protecţia criptografică a informaţiei.
    35. Gestiunea accesului se realizează prin următoarele mijloace:
    1) delimitarea accesului la componentele sistemului informaţional în conformitate cu regulile de acces;
    2) verificarea identităţii persoanelor ce obţin acces la componentele sistemului informaţional;
    3) evidenţa şi înregistrarea evenimentelor de accesare (părăsire) a sistemului informaţional de către persoanele autorizate;
    4) înregistrarea tentativelor de lansare (stopare) a mijloacelor software şi hardware destinate să prelucreze resursele informaţionale;
    5) înregistrarea tentativelor de acces neautorizat al persoanelor la sistem, tentativelor de lansare neautorizată a mijloacelor software şi hardware sau de executare a operaţiilor, asigurînd blocarea tuturor operaţiunilor neautorizate şi înştiinţînd despre acest fapt administratorul de securitate;
    6) înregistrarea modificărilor drepturilor de acces al persoanelor şi înregistrarea tuturor ieşirilor de informaţie din sistemul informaţional (documente electronice, date etc.);
    7) ţinerea evidenţei resurselor informaţionale protejate ale biroului şi înregistrarea intrării/ieşirii suporturilor materiale ce conţin informaţie confidenţială;
    8) protejarea datelor “protocolate” (jurnalul de înregistrări, diverse fişiere) contra modificărilor.
    36. Integritatea se menţine prin stabilitatea mediului de aplicare a mijloacelor software şi hardware, prin integritatea informaţiei prelucrate, a mijloacelor tehnico-aplicative şi a mijloacelor de protecţie a informaţiei, realizîndu-se prin mijloacele sistemului de securitate fizică care asigură protecţia echipamentelor, a resurselor informaţionale şi a personalului biroului, care va include:
    1) gestionarea accesului în încăperile speciale ale biroului, fiind stabilite reguli de acces pentru persoanele cărora le este permis accesul în aceste încăperi;
    2) depistarea intruziunilor neautorizate la echipamentele biroului;
    3) protecţia prin mijloace tehnice şi de inginerie.
    37. Biroul trebuie să stabilească responsabilităţile angajaţilor legate de asigurarea securităţii fizice. Angajaţii biroului care au acces în încăperile speciale poartă răspundere personală pentru permiterea accesului persoanelor terţe în aceste încăperi.
    38. Asigurarea accesibilităţii se realizează prin următoarele mijloace:
    1) funcţionarea continuă a sistemului informaţional al biroului;
    2) păstrarea resurselor informaţionale ale biroului în condiţii de siguranţă conform cerinţelor prezentului Regulament, precum şi posibilitatea de restabilire a lor în caz de necesitate sau în cazul situaţiilor de forţă majoră;
    3) accesul permanent al participanţilor la resursele informaţionale ale biroului, corespunzător cu normele stabilite.
    39. Protecţia criptografică a informaţiei se realizează prin:
    1) criptarea informaţiei confidenţiale în sistemul informaţional şi în canalele de comunicaţii;
    2) controlul accesului personalului la operaţiile de criptare şi la cheile criptografice, în conformitate cu regulile de acces stabilite.

VII.  Cerinţele referitoare la echipamente

    40. Complexul de echipamente (mijloace software şi hardware) utilizat de birou trebuie să asigure executarea de către acesta a funcţiilor de formare, prelucrare, stocare şi prezentare a informaţiei din istoriile de credit.
    41. Exploatarea complexului de echipamente ale biroului se va efectua conform cerinţelor stabilite de normele de securitate a biroului.
    42. Fiecare mijloc al complexului de echipamente trebuie testat în privinţa posibilităţii de utilizare şi să fie însoţit de documentaţia tehnică.
    43. Capacitatea de funcţionare a mijloacelor ce fac parte din complexul de echipamente trebuie verificată periodic pe parcursul întregului ciclu de exploatare, cu consemnarea rezultatelor verificării.
    44. Toate mijloacele trebuie să fie asigurate cu posibilităţi de reparare. Pentru dispozitivele ce necesită deservire tehnică periodică trebuie elaborate instrucţiuni şi grafice de deservire tehnică. Toate echipamentele şi dispozitivele trebuie întreţinute în condiţii ce asigură integritatea acestora.
    45. Complexul de echipamente ale biroului   trebuie să asigure posibilitatea copierii de rezervă şi păstrării informaţiei din baza de date a biroului şi altei informaţii necesare pentru activitatea sa, restabilirii operative şi complete a informaţiei în caz de refuz al deservirii, de incidente sau erori în sisteme, precum şi instalării, în caz de necesitate, a resurselor tehnice suplimentare sau de rezervă.
    46. În activitatea sa biroul trebuie să utilizeze numai mijloace software şi hardware licenţiate şi/sau certificate.
    47. Biroul este obligat să asigure administrarea complexului de echipamente numai de către persoane autorizate să administreze, precum şi să excludă modificările nesancţionate ale configuraţiilor echipamentului, ale algoritmilor de funcţionare a mijloacelor software.
     48. Componentele noi sau modernizate ale echipamentelor tehnice şi de program trebuie să fie implementate numai în conformitate cu procedurile stabilite, cu respectarea cerinţelor privind asigurarea securităţii informaţionale.
    49. Personalul biroului urmează să fie instruit privind funcţionalitatea şi regulile de administrare (exploatare) a sistemului informaţional, a componentelor, a mijloacelor tehnice şi de program noi sau modernizate.

VIII. Cerinţe referitoare la protecţia resurselor informaţionale

    50. Resursele informaţionale ale biroului sînt formate din baza de date a biroului şi alte documente şi informaţii legate de activitatea în calitate de birou al istoriilor de credit.
    51. Resursa informaţională principală a biroului este baza de date, care reprezintă un ansamblu de documente electronice şi documente pe suport de hîrtie, incluzînd informaţia indicată în art.5 din Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit”.
    52. Resursele informaţionale ale biroului trebuie să fie clasificate şi definite pe categorii în funcţie de nivelul de confidenţialitate al acestora. Toată informaţia, datele şi documentele trebuie să fie prelucrate şi păstrate conform nivelului de clasificare şi categoriei acestei informaţii. Toata informaţia, datele şi documentele, clasificate ca fiind confidenţiale trebuie păstrate în condiţii speciale de protecţie.
    53. Biroul trebuie să fixeze termenele de utilizare şi păstrare a documentelor şi a informaţiei, să elaboreze nomenclatorul dosarelor, în care vor fi specificate tipurile documentelor principale şi perioada de păstrare a acestora.
    54. Biroul trebuie să asigure păstrarea în formă arhivată a următoarelor resurse informaţionale:
    1) istorii de credit din baza de date a biroului;
    2) jurnale de audit al complexului de echipamente;
    3) alte tipuri de documente stabilite de birou.
    55. Termenul de păstrare în formă arhivată a istoriilor de credit va fi de cel puţin 7 ani din data ultimei modificări a informaţiei despre obligaţiile debitorului, conţinute în istoria de credit.
    56. Pregătirea pentru distrugere şi efectuarea distrugerii documentelor arhivate se realizează de către o comisie, formată din angajaţii biroului, în modul stabilit de acesta.
    57. Biroul asigură accesul utilizatorilor istoriei de credit la informaţia conţinută în baza de date a istoriilor de credit prin intermediul corespondenţei electronice sau în formă scrisă în conformitate cu procedurile prevăzute de actele normative în vigoare.
    58. Accesul la documentele arhivate de birou se realizează în conformitate cu legislaţia în vigoare şi în modul prevăzut la pct.57.
    59. Utilizarea resurselor informaţionale ale biroului în scopuri personale de către angajaţii biroului este interzisă.
    60. Angajaţii biroului sînt obligaţi să cunoască riscurile legate de încălcarea regulilor de securitate a informaţiei cu care lucrează.
    61. Angajaţii biroului trebuie să semneze clauze de confidenţialitate, în condiţiile articolului 53 din Codul muncii al Republicii Moldova, precum şi, după caz, angajamente de nedivulgare a secretului comercial, valabile atît pentru perioada contractului individual de muncă încheiat, cît şi pentru perioada stabilită în contract după expirarea acţiunii acestuia.

 IX. Cerinţe faţă de utilizarea mijloacelor
de protecţie criptografică a informaţiei

    62. Biroul asigură securitatea informaţiei confidenţiale la colectare, păstrare, prelucrare şi transmitere prin canalele de comunicaţii, aplicînd tehnologiile de criptare a informaţiei cu utilizarea mijloacelor de     protecţie criptografică a informaţiei (MPCI).
    63. În scopul elaborării şi realizării măsurilor de asigurare a securităţii informaţiei şi utilizării MPCI, biroul trebuie să creeze o subdiviziune pentru protecţia criptografică a informaţiei (să numească un angajat), să elaboreze şi să aprobe reguli care să reglementeze procesele de pregătire, introducere, prelucrare, păstrare şi transmitere a informaţiei confidenţiale protejate cu MPCI.
    64. Subdiviziunea de protecţie criptografică:
    1) elaborează şi implementează sistemul de protecţie criptografică a informaţiei;
    2) elaborează regulile şi măsurile de asigurare a funcţionării şi securităţii MPCI utilizate;
    3) asigură păstrarea şi evidenţa suporturilor materiale ce conţin MPCI şi documentaţiei aferente, cheile private ale angajaţilor biroului sau cheile secrete ale altor sisteme criptografice ale biroului, altă informaţie confidenţială, precum şi evidenţa utilizatorilor ce folosesc nemijlocit MPCI;
    4) instruieşte utilizatorii MPCI privind regulile de lucru cu MPCI;
    5) controlează modalitatea de respectare de către utilizatori a normelor de utilizare a MPCI stabilite, precum şi a documentaţiei de exploatare şi tehnice aferente MPCI;
    6) verifică integritatea mijloacelor tehnice şi de program unde au fost instalate MPCI, precum şi integritatea MPCI;
    7) depistează faptele de încălcare a normelor de utilizare a MPCI şi întreprinde măsurile necesare de evitare a urmărilor acestor încălcări.
    65. Angajaţii subdiviziunii de protecţie criptografică sînt obligaţi:
    1) să respecte regimul de confidenţialitate în procesul de îndeplinire a obligaţiilor de serviciu;
    2) să depisteze la timp tentativele persoanelor terţe de a obţine date privind informaţia confidenţială, MPCI utilizate şi suporturile-cheie;
    3) să ia măsuri urgente de prevenire a cazurilor de divulgare şi de extorcare a informaţiei confidenţiale la utilizarea MPCI.
    66. Angajaţii subdiviziunii de protecţie criptografică trebuie să posede un nivel de calificare corespunzător.
    67. Biroul implementează şi exploatează MPCI conform documentaţiei tehnice şi de exploatare aferentă acestor mijloace şi în baza regulilor aprobate.
    68. Regulile ce reglementează modul de exploatare în siguranţă a MPCI trebuie să prevadă:
    1) drepturile şi obligaţiile angajaţilor ce exploatează MPCI;
    2) ordinea de amplasare, instalare, păstrare şi utilizare a MPCI şi a documentaţiei privind exploatarea acestora;
    3) ordinea de creare, evidenţă, distribuire, păstrare şi distrugere a cheilor criptografice;
    4) ordinea de cercetare a faptelor de încălcare a regulilor stabilite la utilizarea MPCI, a cheilor criptografice, precum şi măsurile de înlăturare a consecinţelor acestora;
    5) ordinea de control al respectării cerinţelor de asigurare a protecţiei informaţiei cu ajutorul MPCI.
    69. Condiţiile de implementare şi exploatare a MPCI trebuie să excludă posibilitatea accesului neautorizat la ele, modificarea, furtul şi difuzarea necontrolată a acestora.
    70. În caz de necesitate, pentru asigurarea integrităţii cheilor criptografice pot fi create copii de rezervă, care se păstrează conform normelor stabilite de asigurare a protecţiei contra accesului neautorizat şi acţiunilor neintenţionate.
    71. Angajaţii biroului poartă răspundere personală pentru integritatea şi securitatea cheilor criptografice.
    72. Subdiviziunea de protecţie criptografică ţine evidenţa suporturilor materiale de chei criptografice.
    73. Suporturile materiale de chei criptografice neutilizate sau scoase din uz sînt distruse de subdiviziunea de protecţie criptografică, prin distrugerea fizică a suportului material sau prin distrugerea garantată a informaţiei-cheie fără deteriorarea suportului (pentru utilizarea repetată a acestuia).
    74. Cheile criptografice ale MPCI trebuie schimbate periodic. Procedura de schimbare a cheilor criptografice se stabileşte de către birou.
    75. Dacă există suspiciuni privitoare la compromiterea cheilor criptografice sau MPCI, acestea sînt scoase imediat din uz, iar subdiviziunea de protecţie criptografică efectuează toate acţiunile de verificare a acestui fapt şi de înlăturare a urmărilor.

Anexa nr. 2
la Hotărîrea Comisiei Naţionale
a Pieţei Financiare
nr. 8/15 din 26 februarie 2009

REGULAMENT
cu privire la modul de prezentare a informaţiilor la biroul istoriilor
de credit şi de eliberare a raportului de credit
I. Noţiuni generale

    1. Regulamentul cu privire la modul de prezentare a informaţiilor la biroul istoriilor de credit şi de eliberare a raportului de credit (în continuare – Regulament) stabileşte modul, condiţiile şi cerinţele faţă de prezentarea informaţiilor de către sursele de formare a istoriilor de credit, faţă de prezentarea raportului de credit şi faţă de conţinutul acordului subiectului istoriei de credit.
    2. În sensul prezentului Regulament noţiunile utilizate au semnificaţia prevăzută la art. 2 din Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit” (în continuare – Lege). De asemenea, în sensul prezentului Regulament se definesc următoarele noţiuni:
    mijloace de protecţie criptografică a informaţiei - mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii;
    persoană autorizată – persoană fizică, salariat al sursei de formare a istoriei de credit sau al biroului istoriilor de credit, titular al certificatului cheii publice, căreia îi este delegat dreptul de a transmite informaţia în formă de document electronic.
    Noţiunile “cheie privată”, “cheie publică”, “certificat al cheii publice”, “document electronic”, “mijloacele semnăturii digitale”, “semnătură digitală” se utilizează în sensul noţiunilor definite în Legea nr. 264-XV din 15 iulie 2004 „Cu privire la documentul electronic şi semnătura digitală”.

II. Prezentarea informaţiilor de către
sursele de formare a istoriilor de credit

    3. În scopul prezentării informaţiilor conform art. 5 din Lege, sursele de formare a istoriilor de credit sînt obligate:
    1) să încheie contract de prestare a serviciilor informaţionale cu biroul istoriilor de credit;
    2) să primească acordul subiectului istoriei de credit;
    3) să prezinte informaţia la biroul istoriilor de credit în condiţiile, volumul şi modul stabilit de Lege, prezentul Regulament şi contractul de prestare a serviciilor informaţionale;
    4) să introducă corectări în informaţia transmisă la biroul istoriilor de credit, în cazul contestării acesteia de către subiectul istoriei de credit;
    5) să prezinte informaţia la biroul istoriilor de credit în strictă conformitate cu datele de care dispune despre subiectul istoriei de credit;
    6) să folosească resursele şi sistemele informaţionale în scopurile prevăzute de Lege, prezentul Regulament şi contractul de prestare a serviciilor informaţionale;
    7) să asigure condiţii adecvate pentru primirea şi prelucrarea informaţiei din contul surselor proprii;
    8) să informeze biroul istoriilor de credit despre orice modificare a datelor vis-a-vis de subiectul istoriei de credit în modul şi termenul prevăzut de contractul de prestare a serviciilor informaţionale.
    4. Sursele de formare a istoriei de credit prezintă, în conformitate cu Legea şi cu prezentul Regulament, toate informaţiile de care dispun din cele specificate la art. 5 din Lege, în privinţa tuturor debitorilor care şi-au dat acordul să prezinte informaţiile respective, la biroul istoriilor de credit cu care au încheiat contract privind prestarea serviciilor informaţionale.
    5. Forma de prezentare a informaţiei de către sursa de formare a istoriilor de credit este stabilită în contractul de prestare a serviciilor informaţionale şi poate fi:
    1) în formă scrisă, autentificată prin ştampila sursei de formare a istoriilor de credit şi prin semnătura conducătorului sau a adjunctului acestuia;
    2) în formă de document electronic, efectele juridice ale căruia sînt confirmate prin semnătură digitală în conformitate cu legislaţia.
    6. În cazul prezentării informaţiei la biroul istoriilor de credit în formă scrisă, sursa de formare a istoriei de credit va întreprinde următoarele:
    1) va desemna persoana (persoanele) autorizată de a pregăti şi a prezenta pe suport de hîrtie informaţia ce urmează a fi transmisă la biroul istoriilor de credit;
    2) va stabili modul de transmitere a informaţiei în condiţii de maximă siguranţă;
    3) va prezenta la biroul istoriilor de credit, cu care are încheiat contract de prestare a serviciilor informaţionale, informaţia privind persoana (persoanele) autorizată şi modul de transmitere a informaţiei.
    7. În cazul transmiterii informaţiei în formă de document electronic de către persoana autorizată a sursei de formare a istoriei de credit, se vor respecta cerinţele stabilite de legislaţie faţă de crearea şi utilizarea documentului electronic, aplicarea semnăturii digitale şi tehnologiile de criptare a informaţiei cu utilizarea mijloacelor de protecţie criptografică a informaţiei.
    8. În scopul delegării unei persoane autorizate cu dreptul de a transmite informaţia în formă de document electronic, sursa de formare a istoriei de credit va întreprinde următoarele:
    1) va desemna persoana (persoanele) autorizată de a transmite informaţia la biroul istoriilor de credit;
    2) va prezenta la biroul istoriilor de credit, cu care are încheiat contract de prestare a serviciilor informaţionale, informaţia privind persoana (persoanele) autorizată;
    3) va crea cheia privată şi cheia publică a persoanei (persoanelor) autorizate, utilizînd mijloacele semnăturii digitale şi va certifica cheia publică în conformitate cu legislaţia în vigoare;
    4) va transmite certificatul cheii publice a persoanei autorizate la biroul istoriilor de credit cu care are încheiat contract de prestare a serviciilor informaţionale.
    9. În cazul concedierii, demisiei, înlocuirii sau trecerii în altă funcţie a persoanei autorizate, sursa de formare a istoriei de credit, în ziua lucrătoare următoare, va prezenta la biroul istoriilor de credit, cu care are încheiat contract de prestare a serviciilor informaţionale, informaţia privind schimbarea persoanei (persoanelor) autorizate.
    10. Sursa de formare a istoriei de credit va asigura măsuri de maximă protecţie a informaţiei în cadrul transmiterii acesteia către biroul istoriilor de credit, în funcţie de modul de transmitere a acesteia. În cazul transmiterii informaţiei în formă scrisă pe suport de hîrtie, se vor folosi serviciile unei întreprinderi specializate.
    11. Sursa de formare a istoriilor de credit prezintă informaţie biroului istoriilor de credit doar cu condiţia existenţei acordului subiectului istoriei de credit în acest sens, întocmit conform prezentului Regulament.
    12. În cazul refuzului subiectului istoriei de credit să semneze acordul pentru prezentarea informaţiei la biroul istoriei de credit, sursa de formare a istoriei de credit va prezenta biroului istoriei de credit doar informaţia privind denumirea (numele) subiectului istoriei de credit, IDNO/IDNP al acestuia şi menţiunea “Lipseşte acordul”.
    13. Termenul de prezentare a informaţiei de către sursele de formare a istoriei de credit la biroul istoriilor de credit, conform art. 5 din Lege, este prevăzut în contractul de prestare a serviciilor informaţionale, dar nu va depăşi 30 de zile calendaristice din data executării acţiunii (survenirii evenimentului) la care se referă informaţia ce se conţine în istoria de credit, sau din ziua cînd sursa de formare a istoriei de credit a aflat sau a trebuit să afle despre executarea unei asemenea acţiuni (survenirea unui asemenea eveniment).
    14. Sursa de formare a istoriei de credit, după primirea acordului din partea subiectului istoriei de credit, va prezenta către biroul istoriilor de credit, cu care a încheiat contract de prestare a serviciilor informaţionale, informaţia din partea introductivă şi de bază din istoria de credit.
    15. Sursa de formare a istoriilor de credit va ţine evidenţa acordurilor primite ale subiecţilor istoriilor de credit colectate de sursă şi evidenţa demersurilor proprii adresate biroului istoriilor de credit în vederea primirii raportului de credit.
    16. Informaţia din partea de bază a istoriei de credit se prezintă de către sursa de formare a istoriilor de credit la biroul istoriilor de credit pe măsura formării acesteia.
    17. Suma minimă a obligaţiilor pentru fiecare debitor, ce se va raporta de către sursă la biroul istoriilor de credit, se va stabili la înţelegerea părţilor în contractul de prestare a serviciilor informaţionale, încheiat între sursa de formare a istoriilor de credit şi biroul istoriilor de credit, şi va fi nu mai mică de 100 lei MD.
    18. Sursele de formare a istoriilor de credit prezintă la biroul istoriilor de credit informaţiile, stipulate la art. 5 din Lege, referitoare la contractele de credit încheiate pînă la data intrării în vigoare a Legii, cu acordul sau indicaţia scrisă a subiectului respectiv al istoriei de credit privind prezentarea informaţiei menţionate.

III. Prezentarea raportului de credit

    19. Utilizatorul istoriei de credit sau subiectul istoriei de credit este în drept să solicite informaţia conţinută în istoria de credit, adresîndu-se cu un demers către biroul istoriilor de credit.
    20. Demersul utilizatorului istoriei de credit va conţine următoarele rechizite:
    1) În cazul subiectului – persoană fizică:
    a) numele (numele de familie, prenumele, patronimicul), data naşterii;
    b) seria şi numărul actului de identitate;
    c) numărul de identificare personal (IDNP);
    d) menţiunea privind existenţa acordului subiectului istoriei de credit;
    e) forma prezentării raportului de credit (scrisă sau în format electronic cu aplicarea semnăturii digitale);
    f) informaţia necesară pentru identificarea autorului demersului: denumirea deplină şi abreviată (dacă există), numărul de identificare de stat (IDNO), data prezentării demersului de către utilizatorul istoriei de credit.
    2) În cazul subiectului – persoană juridică:
    a) denumirea deplină şi abreviată (dacă există);
    b) adresa (sediul) organului executiv permanent al persoanei juridice (în cazul lipsei unui organ executiv permanent – a altui organ sau a persoanei împuternicite să acţioneze fără procură în numele persoanei juridice), altă informaţie de contact cu persoana juridică (telefon, fax, adresa poştei electronice);
    c) IDNO al persoanei juridice;
    d) informaţia despre reorganizarea persoanei juridice, care conţine date referitoare la persoana juridică reorganizată menţionate la lit.a)-c);
    e) menţiunea privind existenţa acordului subiectului istoriei de credit;
    f) forma prezentării raportului de credit (scrisă sau în format electronic cu aplicarea semnăturii digitale);
    g) informaţia necesară pentru identificarea autorului demersului: denumirea deplină şi abreviată (dacă există), IDNO, data depunerii demersului de către utilizatorul istoriei de credit.
    21. Demersul solicitantului subiect al istoriei de credit va conţine următoarele rechizite:
    1) În cazul solicitantului – persoană fizică:
    a) numele (numele de familie, prenumele, patronimicul), data naşterii;
    b) seria şi numărul actului de identitate;
    c) numărul de identificare (IDNP);
    d) forma prezentării raportului de credit (scrisă sau în format electronic cu aplicarea semnăturii digitale);
    e) semnătura solicitantului.
    2) În cazul solicitantului – persoană juridică:
    a) denumirea deplină şi abreviată (dacă există) a solicitantului;
    b) adresa (sediul) organului executiv permanent al persoanei juridice (în cazul lipsei unui organ executiv permanent – a altui organ sau a persoanei împuternicite să acţioneze fără procură în numele persoanei juridice), altă informaţie de contact cu persoana juridică (telefon, fax, adresa poştei electronice);
    c) IDNO al persoanei juridice;
    d) informaţia despre reorganizarea persoanei juridice, care conţine date referitoare la persoana juridică reorganizată menţionate la lit. a)-c);
    e) forma prezentării raportului de credit (scrisă sau în format de document electronic cu aplicarea semnăturii digitale);
    f) semnătura conducătorului organului executiv permanent al persoanei juridice (în cazul lipsei unui organ executiv permanent – a altui organ sau a persoanei împuternicite să acţioneze fără procură în numele persoanei juridice).
    22. Pentru toate cazurile de întocmire a demersului în formă de document electronic se vor respecta cerinţele stabilite de legislaţie faţă de crearea şi utilizarea documentului electronic şi aplicarea semnăturii digitale.
    23. Biroul istoriilor de credit efectuează identificarea utilizatorului sau subiectului istoriei de credit după cum urmează:
    a. Identificarea persoanei fizice se efectuează în baza actului de identitate. În caz că s-a adresat reprezentantul utilizatorului sau subiectului istoriei de credit, se verifică actul de identitate al acestuia şi/sau procura (mandatul), întocmită în conformitate cu legislaţia în vigoare.
    b. Identificarea persoanei juridice se efectuează prin verificarea informaţiei din certificatul înregistrării de stat a persoanei juridice, a extrasului din registrul de stat ce identifică conducătorul organului executiv permanent (în cazul lipsei unui organ executiv permanent – a altui organ sau a persoanei împuternicite să acţioneze fără procură în numele persoanei juridice), precum şi a actului de identitate al persoanei ce a semnat demersul.
    24. Raportul de credit prezentat utilizatorului istoriilor de credit va conţine informaţia indicată în art. 5 din Lege, cu excepţia informaţiei din partea suplimentară a istoriei de credit, şi anume a informaţiei referitoare la sursa de formare a istoriei de credit şi utilizatorii istoriei de credit, precum şi a informaţiei privind numele (denumirea) şi adresa creditorului (specificate la art.5 alin.(3) diviziunea 2) lit.a) pct.(iv) şi alin.(7) diviziunea 2) lit.a) pct.(iv) din Lege).
     25. Raportul de credit prezentat subiectului istoriei de credit va cuprinde toată informaţia indicată în art. 5 din Lege şi deţinută de biroul istoriilor de credit, inclusiv informaţia, colectată în conformitate cu Legea, privind sursele formării istoriei de credit şi privind utilizatorii istoriei de credit date.
    26. În cazul prezentării raportului de credit în formă scrisă, acesta se autentifică prin ştampila biroului istoriilor de credit şi prin semnătura conducătorului biroului istoriilor de credit sau a adjunctului acestuia.
    27. În cazul prezentării raportului de credit în formă de document electronic, efectele juridice ale acestuia se confirmă prin semnătură digitală în conformitate cu legislaţia.
    28. Termenul de prezentare a raportului de credit către utilizatorul acestuia se indică în contractul de prestare a serviciilor informaţionale, dar nu va depăşi 10 zile calendaristice de la data depunerii la biroul istoriilor de credit a demersului privind prezentarea raportului.
    29. Termenul de prezentare a raportului de credit către subiectul istoriei de credit nu va depăşi 10 zile calendaristice de la data depunerii la biroul istoriilor de credit a demersului privind prezentarea raportului.
    30. Utilizatorul istoriei de credit poate solicita raportul de credit de la biroul istoriilor de credit numai cu condiţia existenţei acordului subiectului istoriei de credit, întocmit în conformitate cu prevederile prezentului Regulament.
     31. Biroul istoriilor de credit este în drept în orice timp să solicite de la utilizatorul istoriei de credit exemplarul original al acordului primit de către utilizatorul istoriei de credit sau copia lui autentificată în modul prevăzut de legislaţie pentru autentificarea copiilor de pe documentele pe suport de hîrtie.
    32. La prezentarea către utilizatorul istoriei de credit a raportului de credit, biroul istoriilor de credit introduce în partea suplimentară a istoriei de credit informaţia referitoare la utilizatorii istoriei de credit, şi anume: denumirea deplină şi abreviată (dacă există), IDNO, data depunerii demersului de către utilizatorul istoriei de credit.
    33. Biroul istoriilor de credit este obligat să ţină evidenţa demersurilor adresate în vederea prezentării raportului de credit, precum şi a persoanelor care le-au primit.
    34. Utilizatorii istoriilor de credit şi alte persoane care au primit, în conformitate cu Legea, acces la informaţia ce se conţine în istoria de credit sînt obligaţi să nu divulge informaţia respectivă terţilor.

IV. Corectarea informaţiei din istoria de credit

    35. Sursa de formare a istoriei de credit este obligată să corecteze atît erorile generate de sistemul informaţional, cît şi orice alte erori constatate ulterior şi să retransmită informaţia privind subiectul istoriei de credit, respectînd termenele prevăzute de prezentul Regulament şi contractul de prestare a serviciilor informaţionale.
    36. În cazul depistării unor informaţii eronate prezentate, sursa de formare a istoriei de credit este obligată să corecteze erorile pentru toate perioadele în care acestea au fost comise sau pentru care au avut un impact şi să transmită repetat informaţia, sesizînd despre aceasta biroul istoriilor de credit cu care are încheiat contract de prestare a serviciilor informaţionale printr-o scrisoare oficială care să includă explicaţii despre modificările efectuate.
    37. Subiectul istoriei de credit este în drept să conteste, total sau parţial, informaţiile conţinute în istoria sa de credit prin depunerea la biroul istoriilor de credit, unde se păstrează istoria de credit menţionată, a unei cereri privind modificarea şi/sau completarea acestei istorii de credit.
    38. Biroul istoriilor de credit, în decurs de 3 zile calendaristice de la data primirii cererii menţionate la pct. 37, este obligat, în scopul verificării suplimentare a informaţiilor ce se conţin în istoria de credit, să solicite de la sursa de formare a istoriei de credit o astfel de verificare.
    39. Pe durata efectuării unei asemenea verificări, biroul istoriilor de credit va face în istoria de credit o menţiune despre acest fapt.
    40. Sursa de formare a istoriei de credit, în termen de 15 zile calendaristice, efectuează verificarea informaţiei în partea contestată şi, în cazul confirmării contestaţiilor depuse, o modifică, cu retransmiterea biroului istoriilor de credit a informaţiei corectate, sau menţine istoria de credit fără modificări, informînd biroul istoriilor de credit despre rezultatele verificării.
    41. După primirea informaţiei de la sursa de formare a istoriei de credit privind corectarea sau menţinerea fără modificări a istoriei de credit, biroul istoriilor de credit va informa în scris subiectul istoriei de credit despre rezultatele examinării cererii depuse. Termenul în care se va informa subiectul istoriei de credit despre rezultatele examinării nu va depăşi 30 de zile calendaristice de la primirea cererii acestuia.
    42. Informaţia conţinută în istoria de credit, care deja a fost contestată şi veridicitatea căreia în urma verificării nu s-a confirmat, nu va fi verificată în viitor în mod repetat.
    43. În cazul refuzului biroului istoriilor de credit de a satisface cererea subiectului istoriei de credit, în răspuns se vor expune motivele argumentate privind refuzul.
    44. Subiectul istoriei de credit este în drept să conteste refuzul biroului istoriilor de credit de a satisface cererea privind modificarea şi/sau completarea istoriei de credit, precum şi neprezentarea, în termenul menţionat în pct. 41 al prezentului Regulament, a răspunsului scris privind rezultatele examinării cererii sale, prin depunerea unei cereri la Comisia Naţională a Pieţei Financiare şi/sau instanţa de judecată, în conformitate cu legislaţia.

V. Modul de întocmire a acordului subiectului
istoriei de credit

    45. Formarea şi utilizarea istoriilor de credit se efectuează cu respectarea existenţei acordului subiectului istoriei de credit.
    46. Acordul subiectului istoriei de credit poate fi exprimat în formă scrisă sau în formă de document electronic cu respectarea cerinţelor stabilite de legislaţie faţă de crearea şi utilizarea documentului electronic şi aplicarea semnăturii digitale.
    47. Acordurile subiecţilor istoriilor de credit se păstrează de către sursa şi utilizatorul informaţiei în conformitate cu cerinţele legislaţiei şi documentele interne, ce determină regulile de păstrare a documentelor.
    48. Acordul subiectului istoriei de credit persoană fizică poate fi semnat de reprezentantul acestuia, care acţionează în baza procurii (mandatului), întocmită în corespundere cu legislaţia în vigoare.
    49. Acordul subiectului istoriei de credit persoană juridică se semnează de administratorul acestuia, împuternicirile căruia sînt confirmate prin Extrasul din Registrul de stat al persoanelor juridice şi întreprinzătorilor individuali şi documentele de constituire.
    50. Sursa de formare a istoriei de credit şi utilizatorul istoriei de credit efectuează identificarea persoanei ce a semnat acordul în modul prevăzut de pct. 23 din prezentul Regulament.
    51. Pentru prezentarea informaţiei la biroul istoriei de credit, formarea istoriei de credit şi/sau eliberarea raportului de credit în lipsa acordului subiectului istoriei de credit, precum şi pentru întocmirea incorectă a acestuia, sursa de formare a istoriei de credit, biroul istoriilor de credit, utilizatorul istoriei de credit, care a înaintat demers de prezentare a raportului de credit, sau persoanele responsabile ale acestora poartă răspundere în conformitate cu art.17 din Legea nr.17-XVI din 15 februarie 2007 „Cu privire la protecţia datelor cu caracter personal”.
    52. Acordul primit de utilizatorul istoriei de credit este valabil în termen de o lună.
    53. Acordul primit de utilizatorul istoriei de credit care a acordat credit subiectului istoriei de credit este valabil pe tot termenul de acţiune a contractului de credit, încheiat cu subiectul respectiv al istoriei de credit în decursul termenului menţionat la pct. 52.
    54. Acordul subiectului istoriilor de credit se perfectează ca document separat, sub forma indicată în anexele nr. 1 şi nr. 2 la prezentul Regulament.

    anexa nr.1

    anexa nr.2

 Anexa nr. 3
la Hotărîrea Comisiei Naţionale
a Pieţei Financiare
nr. 8/15 din 26 februarie 2009

REGULAMENT
privind modul de raportare la Comisia Naţională a Pieţei Financiare
de către birourile istoriilor de credit
I. Noţiuni generale

1. Regulamentul privind modul de raportare la Comisia Naţională a Pieţei Financiare de către birourile istoriilor de credit (în continuare – Regulament) stabileşte modul, termenul şi volumul prezentării informaţiilor şi datelor de către birourile istoriilor de credit la Comisia Naţională a Pieţei Financiare (în continuare – Comisia Naţională), în scopul efectuării măsurilor de control şi revizie asupra activităţii birourilor istoriilor de credit.
2. Noţiunile utilizate în prezentul Regulament au semnificaţia prevăzută la art.2 din Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit”.

II. Componenţa rapoartelor şi modul de prezentare
la Comisia Naţională

    3. Birourile istoriilor de credit prezintă la Comisia Naţională următoarele rapoarte:
    1) Raportul privind numărul istoriilor de credit conţinute în baza de date a biroului istoriilor de credit, întocmit conform anexei nr.2.
    2) Raportul privind numărul contractelor de credit încheiate de sursele formării istoriilor de credit, întocmit conform anexei nr.3.
    3) Raportul privind numărul rapoartelor de credit prezentate, întocmit conform anexei nr.4.
    4) Raportul privind numărul contractelor de prestare a serviciilor informaţionale încheiate cu sursele de formare/utilizatorii istoriilor de credit, întocmit conform anexei nr.5.
    4. Rapoartele indicate în pct.3 al prezentului Regulament se vor prezenta trimestrial, pînă la data de 25 a lunii următoare trimestrului de gestiune, pe suport de hîrtie şi în format electronic.
    5. Se consideră drept dată a raportării data transmiterii efective la Comisia Naţională a tuturor rapoartelor, anexate la foaia de titlu, sau data expedierii lor, indicată pe ştampila întreprinderii poştale. Foaia de titlu va conţine informaţia indicată în anexa nr.1.
    6. Corespunderea datelor din informaţia prezentată în formă electronică cu cele din informaţia prezentată pe suport de hîrtie este asigurată de persoanele cu funcţii de răspundere ale biroului istoriilor de credit.
    7. În formularele rapoartelor se completează toţi indicatorii prevăzuţi. În cazul lipsei datelor, la rubricile rîndurilor sau coloanelor corespunzătoare ale formularelor se înscrie cratima (-). Totodată, biroul indică motivul lipsei acestor indicatori.
    8. În rapoartele prezentate pe suport de hîrtie nu se permit rectificări (corectări) sau ştersături. În cazul completării eronate rectificările urmează a fi autentificate de persoanele care au semnat raportul şi indicată data rectificării.
    9. Rapoartele se şnuruiesc şi se numerotează, iar pe foaia de titlu se fac menţiuni privind rapoartele prezentate şi numărul total de file incluse în ele.
    10. Rapoartele se semnează de conducătorul sau, în lipsa acestuia, de adjunctul contucătorului biroului istoriilor de credit, precum şi de persoana responsabilă pentru întocmirea rapoartelor, şi se autentifică cu ştampila biroului.
    11. Persoanele cu funcţii de răspundere ale biroului istoriilor de credit, care au semnat rapoartele, poartă răspundere pentru autenticitatea datelor incluse în ele în conformitate cu prevederile legislaţiei.
    12. Biroul istoriilor de credit este obligat să corecteze erorile generate de sistemul informaţional, precum şi orice alte erori constatate ulterior, şi să retransmită raportul la Comisia Naţională, respectînd termenele de raportare prevăzute de prezentul Regulament.
    13. În cazul depistării unor informaţii eronate prezentate pentru careva perioade de raportare, biroul istoriilor de credit este obligat să corecteze erorile pentru toate perioadele gestionare în care au fost depistate erori şi să retransmită raportul la Comisia Naţională prin intermediul unei scrisori oficiale, în care se includ explicaţii despre modificările efectuate.

    anexa nr.1

    anexa nr.2

    anexa nr.3

    anexa nr.4

    anexa nr.5

*HCNPFM8/15/2009 ^{Versiunea originala} ID intern unic: 374481 Версия на русском	Fişa actului juridic
Republica Moldova
COMISIA NAŢIONALĂ A PIEŢEI FINANCIARE
HOTĂRÎRE Nr. 8/15 din 26.02.2009
cu privire la aprobarea unor regulamente
Publicat : 08.05.2009 în Monitorul Oficial Nr. 86-88 art Nr : 363 Data intrarii in vigoare : 08.05.2009
MODIFICAT HCNPF8/12 din 05.02.18, MO58-66/23.02.18 art.264 ÎNREGISTRAT: ministrul justiţiei nr. 671 din 17 aprilie 2009 _________ Vitalie PÎRLOG   În vederea executării prevederilor art.6 alin.(1), alin.(4) şi alin.(11), art.7 alin.(7), art.8 alin.(2) şi alin.(4), art.17 alin.(3) subalin.1) lit.a)-d) şi lit.g), alin.(7) şi alin.(8), art.18 alin.(2) subalin.1) lit.b) din Legea nr.122-XVI din 29 mai 2008 privind birourile istoriilor de credit (republicată în Monitorul Oficial al Republicii Moldova, 2017, nr.316-321, art.546), în temeiul prevederilor art.1 alin.(1), art.3, art.4 alin.(1) şi alin.(2), art.8 lit.b), art.21 alin.(1), art.22 alin.(1) şi alin.(2) din Legea nr.192-XIV din 12.11.1998 „Privind Comisia Naţională a Pieţei Financiare” (republicată în Monitorul Oficial al Republicii Moldova, 2007, nr.117-126 BIS), [Clauza modificată prin HCNPF8/12 din 05.02.18, MO58-66/23.02.18 art.264] COMISIA NAȚIONALĂ A PIEȚEI FINANCIARE HOTĂRĂŞTE: 1. Se aprobă: Regulamentul privind sistemele informaţionale utilizate pentru crearea bazei de date a biroului istoriilor de credit, conform anexei nr.1; Regulamentul cu privire la modul de prezentare a informaţiilor la biroul istoriilor de credit şi de eliberare a raportului de credit, conform anexei nr.2; Regulamentul privind modul de raportare la Comisia Naţională a Pieţei Financiare de către birourile istoriilor de credit, conform anexei nr.3. 2. Prezenta hotărîre intră în vigoare din data publicării. PREŞEDINTELE COMISIEI NAŢIONALE A PIEŢEI FINANCIARE Mihail CIBOTARU Nr. 8/15. Chişinău, 26 februarie 2009. Anexa nr.1 la Hotărîrea Comisiei Naţionale a Pieţei Financiare nr.8/15 din 26 februarie 2009 REGULAMENT privind sistemele informaţionale utilizate pentru crearea bazei de date a biroului istoriilor de credit I. Noţiuni generale 1. Regulamentul privind sistemele informaţionale utilizate pentru crearea bazei de date a biroului istoriilor de credit (în continuare - Regulament) stabileşte cerinţe faţă de organizarea sistemului informaţional în scopul formării şi utilizării istoriilor de credit, păstrării în condiţii de securitate a bazei de date a biroului istoriilor de credit (în continuare – birou), cerinţe minime faţă de utilizarea mijloacelor de protecţie la colectarea, păstrarea, stocarea, prelucrarea, transmiterea şi distrugerea (radierea) informaţiilor din istoriile de credit, cerinţe minime faţă de echipamentul tehnic şi de program şi este obligatoriu pentru toate persoanele juridice care deţin licenţă de activitate a biroului istoriilor de credit. 2. În sensul prezentului Regulament se definesc următoarele noţiuni: complex de mijloace software şi hardware - totalitatea programelor şi mijloacelor tehnice care asigură realizarea proceselor informaţionale; mijloacele semnăturii digitale - mijloacele tehnice şi/sau de program ce asigură crearea cheii publice şi cheii private, crearea semnăturii digitale şi/sau verificarea autenticităţii acesteia; mijloacele de protecţie criptografică a informaţiei - mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii; protecţia informaţiei contra extorcării - ansamblu de măsuri îndreptate spre prevenirea răspîndirii neautorizate a informaţiei protejate prin canalele tehnice sau prin canalele secundare cu ajutorul mijloacelor tehnice speciale; protecţia informaţiei contra accesului neautorizat - ansamblu de măsuri orientate spre prevenirea, identificarea şi înlăturarea sustragerii informaţiei protejate prin încălcarea regulilor de acces stabilite de actele normative sau de proprietarul (deţinătorul) informaţiei; protecţia informaţiei contra acţiunilor neintenţionate - ansamblu de măsuri orientate spre prevenirea acţiunilor neintenţionate, provocate de erorile utilizatorului, defectele mijloacelor tehnico-aplicative, fenomenele naturii sau alte cauze ce nu au ca scop direct modificarea informaţiei, dar care duc la distorsiunea, distrugerea, copierea, blocarea accesului la informaţie, precum şi la pierderea, distrugerea acesteia sau la defectarea suportului material al informaţiei; norme de securitate informaţională - totalitatea deciziilor documentate de administrare, îndreptate spre protejarea informaţiei, a mijloacelor tehnice şi de program ale sistemelor informaţionale; securitate informaţională – protecţia sistemului informaţional de acţiuni premeditate sau neintenţionate cu caracter natural sau artificial, care au ca rezultat cauzarea prejudiciului participanţilor la schimbul informaţional; sistem informaţional - totalitatea de resurse şi tehnologii informaţionale interdependente, de metode şi de personal, destinată păstrării, prelucrării şi furnizării de informaţie; suporturi materiale - suporturi magnetice, optice, laser sau alte suporturi al informaţiei electronice, pe care se creează, se fixează, se transmite, se recepţionează, se păstrează sau, în alt mod, se utilizează informaţia electronică şi care permit reproducerea şi folosirea ulterioară a acesteia.  II. Obiectivele securităţii informaţionale 3. Participanţii la schimbul informaţional (în continuare – participanţi) asigură măsuri de protecţie a informaţiei la transmiterea, colectarea, păstrarea, stocarea, prelucrarea şi distrugerea (radierea) datelor din istoriile de credit prin mijloace ce corespund cerinţelor de securitate informaţională stabilite de prezentul Regulament. 4. Obiectivele de bază privind asigurarea securităţii informaţionale sînt: 1) protecţia informaţiei (asigurarea integrităţii, confidenţialităţii şi disponibilităţii informaţiei) din istoriile de credit la colectarea, păstrarea, stocarea, prelucrarea, transmiterea şi distrugerea acesteia ; 2) minimizarea impactului şi a timpului de restabilire în cazul incidentelor de securitate; 3) gestiunea eficace a riscurilor de securitate; 4) asigurarea continuităţii în activitate; 5) asigurarea securităţii fizice a biroului, inclusiv a complexului de echipamente, de la deteriorare sau de încercările de modificare a funcţionării; 6) conformarea cu actele legislative şi normative în vigoare. 5. Ansamblul măsurilor şi al mijloacelor de protecţie a informaţiei trebuie să includă: 1) protecţia criptografică a informaţiei, cu aplicarea mijloacelor de protecţie criptografică a informaţiei; 2) protecţia informaţiei contra accesului neautorizat şi detectarea intruziunilor; 3) controlul intern permanent al sistemului securităţii informaţionale; 4) protecţia informaţiei contra acţiunilor neintenţionate, inclusiv copierea de rezervă şi arhivarea datelor; 5) asigurarea accesibilităţii, inclusiv asigurarea continuităţii funcţionării complexului de echipamente tehnice şi de program al biroului; 6) protecţia informaţiei contra extorcării prin canalele tehnice şi cele auxiliare; 7) măsuri de securitate fizică a participanţilor. 6. Modul de aplicare a măsurilor şi mijloacelor de protecţie a informaţiei trebuie planificat la etapa de proiectare a sistemului informaţional. III. Cerinţe faţă de funcţionarea sistemului informaţional 7. Sistemul informaţional se va elabora potrivit cerinţelor prezentului Regulament în conformitate cu Sarcina tehnică de elaborare, aprobată de conducător, care va conţine date despre procesul de elaborare, implementare şi deservire a sistemului, inclusiv etapele de elaborare, modul de introducere a modificărilor, primirea, testarea şi darea în exploatare, cerinţele faţă de documentarea fiecărei etape etc. 8. Sistemul informaţional trebuie să asigure schimbul electronic de corespondenţă timp de 24 din 24 de ore. 9. Schimbul electronic de corespondenţă între participanţi se efectuează numai cu utilizarea complexului software specializat, oferit de către birou. 10. Corespondenţa electronică se semnează cu semnătură digitală, în conformitate cu legislaţia privind documentul electronic şi semnătura digitală. 11. În cadrul schimbului electronic de corespondenţă participanţii trebuie să respecte succesiunea prescrisă de acţiuni şi să verifice autenticitatea corespondenţei electronice. 12. În cadrul sistemului informaţional biroul este obligat permanent: 1) să asigure funcţionarea eficientă şi neîntreruptă a sistemului informaţional şi nivelul stabilit de securitate la efectuarea schimbului electronic de corespondenţă între participanţi; 2) să implementeze protecţia antivirus şi antispam; 3) să efectueze deservirea tehnică a componentelor, să înlăture operativ şi la timp defecţiunile în funcţionarea sistemului informaţional; 4) să ia măsuri de perfecţionare şi eficientizare a funcţionării sistemului informaţional; 5) să efectueze controlul sistemului de securitate, să fixeze cazurile şi tentativele de încălcare a acestuia, precum şi să întreprindă măsurile ce se impun pentru prevenirea şi lichidarea consecinţelor; 6) să acorde asistenţă persoanelor autorizate ale participanţilor referitor la utilizarea complexului de mijloace software şi hardware oferit, precum şi în alte probleme ce ţin de funcţionarea sistemului informaţional; 7) să informeze participanţii despre modificările condiţiilor tehnice de funcţionare a sistemului informaţional. 13. În scopul îndeplinirii atribuţiilor sale, biroul este în drept: 1) să acorde asistenţă la crearea cheilor criptografice ale participanţilor, necesare pentru funcţionarea sistemului informaţional; 2) să solicite înlăturarea cazurilor de încălcare a regulilor de exploatare a sistemului informaţional. 14. În scopul funcţionării eficiente a sistemului informaţional, participantul (ce nu este birou) este obligat: 1) să organizeze şi să amenajeze locuri de muncă pentru persoanele autorizate de prezentarea şi recepţionarea informaţiei din istoriile de credit; 2) să asigure condiţiile necesare pentru păstrarea în siguranţă a cheilor criptografice, inclusiv a suporturilor materiale, precum şi pentru excluderea accesului terţelor persoane la cheile respective; 3) să asigure respectarea condiţiilor de securitate şi regulilor de exploatare a sistemului informaţional; 4) să utilizeze informaţia obţinută în rezultatul participării la schimbul informaţional doar în scopurile stabilite de Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit” ; 5) să anunţe neîntîrziat, în formă verbală şi scrisă, persoana responsabilă a biroului în caz de depistare a încălcării securităţii sistemului informaţional. 15. În scopul respectării cerinţelor prezentului Regulament la colectarea, păstrarea, stocarea, prelucrarea, transmiterea şi distrugerea (radierea) informaţiei din istoriilе de credit, biroul va elabora şi aproba norme privind funcţionarea sistemului informaţional, care vor conţine: 1) drepturile şi obligaţiile biroului şi celorlalţi participanţi la schimbul informaţional în raport cu sistemul informaţional; 2) procedura de expediere şi primire a corespondenţei electronice, precum şi utilizarea, modificarea, radierea ulterioară a acesteia; 3) descrierea formatelor de date aprobate de către birou; 4) ordinea de prezentare a raportului de credit; 5) modul de accesare a resurselor informaţionale ale biroului; 6) condiţiile generale de asigurare a securităţii sistemului informaţional, în concordanţă cu care se vor realiza activităţi şi implementa mijloace concrete de protecţie a informaţiei; 7) procedurile de gestionare şi algoritmul acţiunilor în cazul compromiterii sistemului securităţii informaţionale; 8) procedura de aducere la cunoştinţa participanţilor a normelor menţionate şi măsurilor de securitate informaţională, de acceptare şi asumare a obligaţiilor de respectare a acestora de către participanţi. 16. Normele privind funcţionarea sistemului informaţional vor fi aduse la cunoştinţă tuturor participanţilor cu care este încheiat contract de prestare a serviciilor informaţionale, confirmîndu-se prin semnătura persoanei responsabile. 17. La întocmirea şi prelucrarea corespondenţei electronice participanţii utilizează în mod obligatoriu mijloacele de protecţie criptografică a informaţiei. 18. Mijloacele semnăturii digitale şi de criptare a corespondenţei electronice se determină în conformitate cu legislaţia în vigoare în domeniul semnăturii digitale şi cu cerinţele capitolului IX al prezentului Regulament. 19. Fiecare participant desemnează o subdiviziune sau un colaborator (colaboratori) responsabil de asigurarea securităţii informaţionale la exploatarea sistemului informaţional. 20. Orice situaţie de forţă majoră care poate influenţa în mod negativ realizarea funcţiilor biroului trebuie adusă, în formă scrisă, în termen de o zi, la cunoştinţa celorlalţi participanţi. 21. Aranjamentul sistemului informaţional al biroului trebuie să fie flexibil, să permită dezvoltarea, fără modificări structurale, a configuraţiilor mijloacelor utilizate şi completarea cu noi funcţii şi resurse. IV. Cerinţe faţă de conectarea (deconectarea) participanţilor la sistemul informaţional 22. Persoana responsabilă a biroului execută lucrările necesare de instalare a software-lui, a mijloacelor de protecţie criptografică a informaţiei la locurile de muncă autorizate ale participanţilor şi efectuează conectarea acestora la sistemul informaţional, cu semnarea între părţi a actului de dare în exploatare a locurilor de muncă. 23. Evidenţa mijloacelor de protecţie criptografică a informaţiei şi a suporturilor materiale, utilizate de participanţi, este ţinută într-un registru special. Persoana autorizată a participantului semnează în registru pentru primirea suporturilor materiale de chei criptografice, precum şi confirmînd faptul că a luat cunoştinţă de regulile privind exploatarea sistemului informaţional în condiţii de securitate. 24. Funcţionarea sistemului informaţional poate fi suspendată de birou în următoarele cazuri: 1) în timpul efectuării lucrărilor profilactice ale complexului de mijloace software şi hardware ale sistemului; 2) la apariţia circumstanţelor de forţă majoră; 3) la încălcarea sistemului securităţii informaţionale, dacă aceasta prezintă pericol pentru funcţionarea sistemului informaţional; 4) la încălcarea de către participant a obligaţiilor prevăzute de contractul de prestare a serviciilor informaţionale, actele legislative şi normative în vigoare. 25. Lucrările profilactice în complexul de mijloace software şi hardware ale sistemului informaţional pot fi efectuate cu notificarea participanţilor cu 2 zile lucrătoare înainte de începerea lucrărilor, indicîndu-se termenele de finalizare a acestora. 26. În cazul apariţiei circumstanţelor de forţă majoră, precum şi a avariilor sau a defecţiunilor în funcţionarea complexului de mijloace software şi hardware ale sistemului informaţional din vina terţelor persoane, este posibilă suspendarea funcţionării sistemului, cu notificarea ulterioară a participanţilor conectaţi. 27. Excluderea participantului din sistemul informaţional se efectuează în temeiul cererii conducătorului acestuia, în cazul rezilierii contractului de prestare a serviciilor informaţionale. În termenul coordonat cu participantul se execută lucrările necesare de înlăturare a sofware-lui şi a mijloacelor de protecţie criptografică a informaţiei de la locul de muncă al participantului exclus, fiind semnat actul de excludere a acestuia. 28. Suporturile materiale, care conţin cheile criptografice ale participantului exclus din sistemul informaţional, se distrug în prezenţa persoanei responsabile a participantului, făcîndu-se menţiunea respectivă în registrul special. V. Cerinţe referitoare la protecţia informaţiei în cadrul sistemului informaţional 29. Biroul trebuie să excludă posibilitatea divulgării informaţiei din baza de date a biroului, cu excepţiile prevăzute de Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit”. 30. Regimul de confidenţialitate, în cazul operării cu informaţia care a devenit cunoscută biroului în rezultatul activităţii sale, trebuie să asigure: 1) limitarea numărului persoanelor cu drept de acces la resursele informaţionale; 2) ordinea de admitere controlată şi delimitarea funcţională a responsabilităţilor persoanelor ce au acces la informaţia din baza de date a biroului; 3) identificarea şi autentificarea participanţilor cu utilizarea mijloacelor moderne de autentificare şi criptare a informaţiei; 4) măsuri de protecţie a informaţiei în cadrul păstrării, prelucrării şi transmiterii acesteia prin intermediul canalelor de comunicaţii. 31. Biroul va elabora şi aproba norme de securitate informaţională, care vor asigura respectarea regulilor, standardelor şi normelor general acceptate în domeniul securităţii informaţionale, şi vor include: 1) categoriile resurselor informaţionale ale biroului cu indicarea nivelului necesar de securitate pentru fiecare categorie; 2) modelul sistemului securităţii informaţionale şi principalele măsuri tehnico-organizatorice necesare de asigurare a funcţionării acestuia; 3) planul de gestionare a riscurilor de securitate aferente sistemului informaţional ale biroului, care să cuprindă totalitatea măsurilor tehnico-organizatorice prevăzute pentru controlul acestor riscuri, inclusiv: analiza factorilor de risc (pericolelor) şi impactul acestora asupra obiectivelor de bază ale sistemului de securitate al biroului, descrierea mijloacelor de control (de prevenire, detectare şi restabilire) aferente riscurilor identificate, planul de tratare a riscurilor reziduale, desemnarea responsabilităţilor privind gestiunea riscurilor etc; 4) planul de acţiuni privind menţinerea în funcţiune a sistemului de securitate a biroului, inclusiv planurile de continuitate a activităţii în situaţii de forţă majoră, cum ar fi calamităţi naturale, incendii, deconectarea energiei electrice, deterioarea liniilor de comunicare, dezordinea publică, greve, acţiuni militare; 5) procedurile interne ce exclud cazurile de modificare nesancţionată a software-ului şi/sau a informaţiei din baza de date a biroului (ex.: politica privind controlul accesului, managementul modificărilor, managementul incidentelor de securitate, proceduri operaţionale de gestiune/administrare a resurselor informaţionale etc.); 6) modul de păstrare a copiilor de rezervă ale resurselor informaţionale şi de program, cheilor private ale angajaţilor biroului sau cheilor secrete ale altor sisteme criptografice ale biroului etc; 7) nomenclatorul, modul de arhivare şi de distrugere a informaţiei din baza de date a biroului; 8) responsabilităţile personalului biroului privind asigurarea securităţii informaţionale; 9) proceduri de control intern al biroului privind respectarea condiţiilor de securitate informaţională. 32. Biroul trebuie să asigure copierea de rezervă, păstrarea şi restabilirea în caz de necesitate a informaţiei din baza de date a biroului şi altei informaţii necesare pentru activitatea sa, precum şi instalarea în caz de necesitate a echipamentelor tehnice suplimentare sau de rezervă. 33. Biroul trebuie să asigure păstrarea copiei informaţiei din baza de date pe fişier electronic în casete arendate în băncile comerciale de pe teritoriul Republicii Moldova. Biroul este obligat să reînnoiască copia informaţiei pe fişier electronic cel puţin o dată în 30 de zile lucrătoare. VI. Măsurile şi mijloacele de protecţie a informaţiei 34. Pentru micşorarea riscurilor de extorcare a informaţiei din baza de date a biroului, inclusiv legate de utilizarea tehnologiilor informaţionale şi de comunicaţii, biroul elaborează şi implementează un set de măsuri de asigurare a securităţii sistemului informaţional, prin: 1) gestiunea accesului; 2) asigurarea integrităţii; 3) asigurarea accesibilităţii; 4) protecţia criptografică a informaţiei. 35. Gestiunea accesului se realizează prin următoarele mijloace: 1) delimitarea accesului la componentele sistemului informaţional în conformitate cu regulile de acces; 2) verificarea identităţii persoanelor ce obţin acces la componentele sistemului informaţional; 3) evidenţa şi înregistrarea evenimentelor de accesare (părăsire) a sistemului informaţional de către persoanele autorizate; 4) înregistrarea tentativelor de lansare (stopare) a mijloacelor software şi hardware destinate să prelucreze resursele informaţionale; 5) înregistrarea tentativelor de acces neautorizat al persoanelor la sistem, tentativelor de lansare neautorizată a mijloacelor software şi hardware sau de executare a operaţiilor, asigurînd blocarea tuturor operaţiunilor neautorizate şi înştiinţînd despre acest fapt administratorul de securitate; 6) înregistrarea modificărilor drepturilor de acces al persoanelor şi înregistrarea tuturor ieşirilor de informaţie din sistemul informaţional (documente electronice, date etc.); 7) ţinerea evidenţei resurselor informaţionale protejate ale biroului şi înregistrarea intrării/ieşirii suporturilor materiale ce conţin informaţie confidenţială; 8) protejarea datelor “protocolate” (jurnalul de înregistrări, diverse fişiere) contra modificărilor. 36. Integritatea se menţine prin stabilitatea mediului de aplicare a mijloacelor software şi hardware, prin integritatea informaţiei prelucrate, a mijloacelor tehnico-aplicative şi a mijloacelor de protecţie a informaţiei, realizîndu-se prin mijloacele sistemului de securitate fizică care asigură protecţia echipamentelor, a resurselor informaţionale şi a personalului biroului, care va include: 1) gestionarea accesului în încăperile speciale ale biroului, fiind stabilite reguli de acces pentru persoanele cărora le este permis accesul în aceste încăperi; 2) depistarea intruziunilor neautorizate la echipamentele biroului; 3) protecţia prin mijloace tehnice şi de inginerie. 37. Biroul trebuie să stabilească responsabilităţile angajaţilor legate de asigurarea securităţii fizice. Angajaţii biroului care au acces în încăperile speciale poartă răspundere personală pentru permiterea accesului persoanelor terţe în aceste încăperi. 38. Asigurarea accesibilităţii se realizează prin următoarele mijloace: 1) funcţionarea continuă a sistemului informaţional al biroului; 2) păstrarea resurselor informaţionale ale biroului în condiţii de siguranţă conform cerinţelor prezentului Regulament, precum şi posibilitatea de restabilire a lor în caz de necesitate sau în cazul situaţiilor de forţă majoră; 3) accesul permanent al participanţilor la resursele informaţionale ale biroului, corespunzător cu normele stabilite. 39. Protecţia criptografică a informaţiei se realizează prin: 1) criptarea informaţiei confidenţiale în sistemul informaţional şi în canalele de comunicaţii; 2) controlul accesului personalului la operaţiile de criptare şi la cheile criptografice, în conformitate cu regulile de acces stabilite. VII.  Cerinţele referitoare la echipamente 40. Complexul de echipamente (mijloace software şi hardware) utilizat de birou trebuie să asigure executarea de către acesta a funcţiilor de formare, prelucrare, stocare şi prezentare a informaţiei din istoriile de credit. 41. Exploatarea complexului de echipamente ale biroului se va efectua conform cerinţelor stabilite de normele de securitate a biroului. 42. Fiecare mijloc al complexului de echipamente trebuie testat în privinţa posibilităţii de utilizare şi să fie însoţit de documentaţia tehnică. 43. Capacitatea de funcţionare a mijloacelor ce fac parte din complexul de echipamente trebuie verificată periodic pe parcursul întregului ciclu de exploatare, cu consemnarea rezultatelor verificării. 44. Toate mijloacele trebuie să fie asigurate cu posibilităţi de reparare. Pentru dispozitivele ce necesită deservire tehnică periodică trebuie elaborate instrucţiuni şi grafice de deservire tehnică. Toate echipamentele şi dispozitivele trebuie întreţinute în condiţii ce asigură integritatea acestora. 45. Complexul de echipamente ale biroului trebuie să asigure posibilitatea copierii de rezervă şi păstrării informaţiei din baza de date a biroului şi altei informaţii necesare pentru activitatea sa, restabilirii operative şi complete a informaţiei în caz de refuz al deservirii, de incidente sau erori în sisteme, precum şi instalării, în caz de necesitate, a resurselor tehnice suplimentare sau de rezervă. 46. În activitatea sa biroul trebuie să utilizeze numai mijloace software şi hardware licenţiate şi/sau certificate. 47. Biroul este obligat să asigure administrarea complexului de echipamente numai de către persoane autorizate să administreze, precum şi să excludă modificările nesancţionate ale configuraţiilor echipamentului, ale algoritmilor de funcţionare a mijloacelor software.   48. Componentele noi sau modernizate ale echipamentelor tehnice şi de program trebuie să fie implementate numai în conformitate cu procedurile stabilite, cu respectarea cerinţelor privind asigurarea securităţii informaţionale. 49. Personalul biroului urmează să fie instruit privind funcţionalitatea şi regulile de administrare (exploatare) a sistemului informaţional, a componentelor, a mijloacelor tehnice şi de program noi sau modernizate. VIII. Cerinţe referitoare la protecţia resurselor informaţionale 50. Resursele informaţionale ale biroului sînt formate din baza de date a biroului şi alte documente şi informaţii legate de activitatea în calitate de birou al istoriilor de credit. 51. Resursa informaţională principală a biroului este baza de date, care reprezintă un ansamblu de documente electronice şi documente pe suport de hîrtie, incluzînd informaţia indicată în art.5 din Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit”. 52. Resursele informaţionale ale biroului trebuie să fie clasificate şi definite pe categorii în funcţie de nivelul de confidenţialitate al acestora. Toată informaţia, datele şi documentele trebuie să fie prelucrate şi păstrate conform nivelului de clasificare şi categoriei acestei informaţii. Toata informaţia, datele şi documentele, clasificate ca fiind confidenţiale trebuie păstrate în condiţii speciale de protecţie. 53. Biroul trebuie să fixeze termenele de utilizare şi păstrare a documentelor şi a informaţiei, să elaboreze nomenclatorul dosarelor, în care vor fi specificate tipurile documentelor principale şi perioada de păstrare a acestora. 54. Biroul trebuie să asigure păstrarea în formă arhivată a următoarelor resurse informaţionale: 1) istorii de credit din baza de date a biroului; 2) jurnale de audit al complexului de echipamente; 3) alte tipuri de documente stabilite de birou. 55. Termenul de păstrare în formă arhivată a istoriilor de credit va fi de cel puţin 7 ani din data ultimei modificări a informaţiei despre obligaţiile debitorului, conţinute în istoria de credit. 56. Pregătirea pentru distrugere şi efectuarea distrugerii documentelor arhivate se realizează de către o comisie, formată din angajaţii biroului, în modul stabilit de acesta. 57. Biroul asigură accesul utilizatorilor istoriei de credit la informaţia conţinută în baza de date a istoriilor de credit prin intermediul corespondenţei electronice sau în formă scrisă în conformitate cu procedurile prevăzute de actele normative în vigoare. 58. Accesul la documentele arhivate de birou se realizează în conformitate cu legislaţia în vigoare şi în modul prevăzut la pct.57. 59. Utilizarea resurselor informaţionale ale biroului în scopuri personale de către angajaţii biroului este interzisă. 60. Angajaţii biroului sînt obligaţi să cunoască riscurile legate de încălcarea regulilor de securitate a informaţiei cu care lucrează. 61. Angajaţii biroului trebuie să semneze clauze de confidenţialitate, în condiţiile articolului 53 din Codul muncii al Republicii Moldova, precum şi, după caz, angajamente de nedivulgare a secretului comercial, valabile atît pentru perioada contractului individual de muncă încheiat, cît şi pentru perioada stabilită în contract după expirarea acţiunii acestuia.  IX. Cerinţe faţă de utilizarea mijloacelor de protecţie criptografică a informaţiei 62. Biroul asigură securitatea informaţiei confidenţiale la colectare, păstrare, prelucrare şi transmitere prin canalele de comunicaţii, aplicînd tehnologiile de criptare a informaţiei cu utilizarea mijloacelor de protecţie criptografică a informaţiei (MPCI). 63. În scopul elaborării şi realizării măsurilor de asigurare a securităţii informaţiei şi utilizării MPCI, biroul trebuie să creeze o subdiviziune pentru protecţia criptografică a informaţiei (să numească un angajat), să elaboreze şi să aprobe reguli care să reglementeze procesele de pregătire, introducere, prelucrare, păstrare şi transmitere a informaţiei confidenţiale protejate cu MPCI. 64. Subdiviziunea de protecţie criptografică: 1) elaborează şi implementează sistemul de protecţie criptografică a informaţiei; 2) elaborează regulile şi măsurile de asigurare a funcţionării şi securităţii MPCI utilizate; 3) asigură păstrarea şi evidenţa suporturilor materiale ce conţin MPCI şi documentaţiei aferente, cheile private ale angajaţilor biroului sau cheile secrete ale altor sisteme criptografice ale biroului, altă informaţie confidenţială, precum şi evidenţa utilizatorilor ce folosesc nemijlocit MPCI; 4) instruieşte utilizatorii MPCI privind regulile de lucru cu MPCI; 5) controlează modalitatea de respectare de către utilizatori a normelor de utilizare a MPCI stabilite, precum şi a documentaţiei de exploatare şi tehnice aferente MPCI; 6) verifică integritatea mijloacelor tehnice şi de program unde au fost instalate MPCI, precum şi integritatea MPCI; 7) depistează faptele de încălcare a normelor de utilizare a MPCI şi întreprinde măsurile necesare de evitare a urmărilor acestor încălcări. 65. Angajaţii subdiviziunii de protecţie criptografică sînt obligaţi: 1) să respecte regimul de confidenţialitate în procesul de îndeplinire a obligaţiilor de serviciu; 2) să depisteze la timp tentativele persoanelor terţe de a obţine date privind informaţia confidenţială, MPCI utilizate şi suporturile-cheie; 3) să ia măsuri urgente de prevenire a cazurilor de divulgare şi de extorcare a informaţiei confidenţiale la utilizarea MPCI. 66. Angajaţii subdiviziunii de protecţie criptografică trebuie să posede un nivel de calificare corespunzător. 67. Biroul implementează şi exploatează MPCI conform documentaţiei tehnice şi de exploatare aferentă acestor mijloace şi în baza regulilor aprobate. 68. Regulile ce reglementează modul de exploatare în siguranţă a MPCI trebuie să prevadă: 1) drepturile şi obligaţiile angajaţilor ce exploatează MPCI; 2) ordinea de amplasare, instalare, păstrare şi utilizare a MPCI şi a documentaţiei privind exploatarea acestora; 3) ordinea de creare, evidenţă, distribuire, păstrare şi distrugere a cheilor criptografice; 4) ordinea de cercetare a faptelor de încălcare a regulilor stabilite la utilizarea MPCI, a cheilor criptografice, precum şi măsurile de înlăturare a consecinţelor acestora; 5) ordinea de control al respectării cerinţelor de asigurare a protecţiei informaţiei cu ajutorul MPCI. 69. Condiţiile de implementare şi exploatare a MPCI trebuie să excludă posibilitatea accesului neautorizat la ele, modificarea, furtul şi difuzarea necontrolată a acestora. 70. În caz de necesitate, pentru asigurarea integrităţii cheilor criptografice pot fi create copii de rezervă, care se păstrează conform normelor stabilite de asigurare a protecţiei contra accesului neautorizat şi acţiunilor neintenţionate. 71. Angajaţii biroului poartă răspundere personală pentru integritatea şi securitatea cheilor criptografice. 72. Subdiviziunea de protecţie criptografică ţine evidenţa suporturilor materiale de chei criptografice. 73. Suporturile materiale de chei criptografice neutilizate sau scoase din uz sînt distruse de subdiviziunea de protecţie criptografică, prin distrugerea fizică a suportului material sau prin distrugerea garantată a informaţiei-cheie fără deteriorarea suportului (pentru utilizarea repetată a acestuia). 74. Cheile criptografice ale MPCI trebuie schimbate periodic. Procedura de schimbare a cheilor criptografice se stabileşte de către birou. 75. Dacă există suspiciuni privitoare la compromiterea cheilor criptografice sau MPCI, acestea sînt scoase imediat din uz, iar subdiviziunea de protecţie criptografică efectuează toate acţiunile de verificare a acestui fapt şi de înlăturare a urmărilor. Anexa nr. 2 la Hotărîrea Comisiei Naţionale a Pieţei Financiare nr. 8/15 din 26 februarie 2009 REGULAMENT cu privire la modul de prezentare a informaţiilor la biroul istoriilor de credit şi de eliberare a raportului de credit I. Noţiuni generale 1. Regulamentul cu privire la modul de prezentare a informaţiilor la biroul istoriilor de credit şi de eliberare a raportului de credit (în continuare – Regulament) stabileşte modul, condiţiile şi cerinţele faţă de prezentarea informaţiilor de către sursele de formare a istoriilor de credit, faţă de prezentarea raportului de credit şi faţă de conţinutul acordului subiectului istoriei de credit. 2. În sensul prezentului Regulament noţiunile utilizate au semnificaţia prevăzută la art. 2 din Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit” (în continuare – Lege). De asemenea, în sensul prezentului Regulament se definesc următoarele noţiuni: mijloace de protecţie criptografică a informaţiei - mijloace tehnice, de program şi tehnico-aplicative, sisteme şi complexe de sisteme ce realizează algoritmi de conversie criptografică a informaţiei, destinate să asigure integritatea şi confidenţialitatea informaţiei în procesul de prelucrare, depozitare şi transmitere a acesteia prin canalele de comunicaţii; persoană autorizată – persoană fizică, salariat al sursei de formare a istoriei de credit sau al biroului istoriilor de credit, titular al certificatului cheii publice, căreia îi este delegat dreptul de a transmite informaţia în formă de document electronic. Noţiunile “cheie privată”, “cheie publică”, “certificat al cheii publice”, “document electronic”, “mijloacele semnăturii digitale”, “semnătură digitală” se utilizează în sensul noţiunilor definite în Legea nr. 264-XV din 15 iulie 2004 „Cu privire la documentul electronic şi semnătura digitală”. II. Prezentarea informaţiilor de către sursele de formare a istoriilor de credit 3. În scopul prezentării informaţiilor conform art. 5 din Lege, sursele de formare a istoriilor de credit sînt obligate: 1) să încheie contract de prestare a serviciilor informaţionale cu biroul istoriilor de credit; 2) să primească acordul subiectului istoriei de credit; 3) să prezinte informaţia la biroul istoriilor de credit în condiţiile, volumul şi modul stabilit de Lege, prezentul Regulament şi contractul de prestare a serviciilor informaţionale; 4) să introducă corectări în informaţia transmisă la biroul istoriilor de credit, în cazul contestării acesteia de către subiectul istoriei de credit; 5) să prezinte informaţia la biroul istoriilor de credit în strictă conformitate cu datele de care dispune despre subiectul istoriei de credit; 6) să folosească resursele şi sistemele informaţionale în scopurile prevăzute de Lege, prezentul Regulament şi contractul de prestare a serviciilor informaţionale; 7) să asigure condiţii adecvate pentru primirea şi prelucrarea informaţiei din contul surselor proprii; 8) să informeze biroul istoriilor de credit despre orice modificare a datelor vis-a-vis de subiectul istoriei de credit în modul şi termenul prevăzut de contractul de prestare a serviciilor informaţionale. 4. Sursele de formare a istoriei de credit prezintă, în conformitate cu Legea şi cu prezentul Regulament, toate informaţiile de care dispun din cele specificate la art. 5 din Lege, în privinţa tuturor debitorilor care şi-au dat acordul să prezinte informaţiile respective, la biroul istoriilor de credit cu care au încheiat contract privind prestarea serviciilor informaţionale. 5. Forma de prezentare a informaţiei de către sursa de formare a istoriilor de credit este stabilită în contractul de prestare a serviciilor informaţionale şi poate fi: 1) în formă scrisă, autentificată prin ştampila sursei de formare a istoriilor de credit şi prin semnătura conducătorului sau a adjunctului acestuia; 2) în formă de document electronic, efectele juridice ale căruia sînt confirmate prin semnătură digitală în conformitate cu legislaţia. 6. În cazul prezentării informaţiei la biroul istoriilor de credit în formă scrisă, sursa de formare a istoriei de credit va întreprinde următoarele: 1) va desemna persoana (persoanele) autorizată de a pregăti şi a prezenta pe suport de hîrtie informaţia ce urmează a fi transmisă la biroul istoriilor de credit; 2) va stabili modul de transmitere a informaţiei în condiţii de maximă siguranţă; 3) va prezenta la biroul istoriilor de credit, cu care are încheiat contract de prestare a serviciilor informaţionale, informaţia privind persoana (persoanele) autorizată şi modul de transmitere a informaţiei. 7. În cazul transmiterii informaţiei în formă de document electronic de către persoana autorizată a sursei de formare a istoriei de credit, se vor respecta cerinţele stabilite de legislaţie faţă de crearea şi utilizarea documentului electronic, aplicarea semnăturii digitale şi tehnologiile de criptare a informaţiei cu utilizarea mijloacelor de protecţie criptografică a informaţiei. 8. În scopul delegării unei persoane autorizate cu dreptul de a transmite informaţia în formă de document electronic, sursa de formare a istoriei de credit va întreprinde următoarele: 1) va desemna persoana (persoanele) autorizată de a transmite informaţia la biroul istoriilor de credit; 2) va prezenta la biroul istoriilor de credit, cu care are încheiat contract de prestare a serviciilor informaţionale, informaţia privind persoana (persoanele) autorizată; 3) va crea cheia privată şi cheia publică a persoanei (persoanelor) autorizate, utilizînd mijloacele semnăturii digitale şi va certifica cheia publică în conformitate cu legislaţia în vigoare; 4) va transmite certificatul cheii publice a persoanei autorizate la biroul istoriilor de credit cu care are încheiat contract de prestare a serviciilor informaţionale. 9. În cazul concedierii, demisiei, înlocuirii sau trecerii în altă funcţie a persoanei autorizate, sursa de formare a istoriei de credit, în ziua lucrătoare următoare, va prezenta la biroul istoriilor de credit, cu care are încheiat contract de prestare a serviciilor informaţionale, informaţia privind schimbarea persoanei (persoanelor) autorizate. 10. Sursa de formare a istoriei de credit va asigura măsuri de maximă protecţie a informaţiei în cadrul transmiterii acesteia către biroul istoriilor de credit, în funcţie de modul de transmitere a acesteia. În cazul transmiterii informaţiei în formă scrisă pe suport de hîrtie, se vor folosi serviciile unei întreprinderi specializate. 11. Sursa de formare a istoriilor de credit prezintă informaţie biroului istoriilor de credit doar cu condiţia existenţei acordului subiectului istoriei de credit în acest sens, întocmit conform prezentului Regulament. 12. În cazul refuzului subiectului istoriei de credit să semneze acordul pentru prezentarea informaţiei la biroul istoriei de credit, sursa de formare a istoriei de credit va prezenta biroului istoriei de credit doar informaţia privind denumirea (numele) subiectului istoriei de credit, IDNO/IDNP al acestuia şi menţiunea “Lipseşte acordul”. 13. Termenul de prezentare a informaţiei de către sursele de formare a istoriei de credit la biroul istoriilor de credit, conform art. 5 din Lege, este prevăzut în contractul de prestare a serviciilor informaţionale, dar nu va depăşi 30 de zile calendaristice din data executării acţiunii (survenirii evenimentului) la care se referă informaţia ce se conţine în istoria de credit, sau din ziua cînd sursa de formare a istoriei de credit a aflat sau a trebuit să afle despre executarea unei asemenea acţiuni (survenirea unui asemenea eveniment). 14. Sursa de formare a istoriei de credit, după primirea acordului din partea subiectului istoriei de credit, va prezenta către biroul istoriilor de credit, cu care a încheiat contract de prestare a serviciilor informaţionale, informaţia din partea introductivă şi de bază din istoria de credit. 15. Sursa de formare a istoriilor de credit va ţine evidenţa acordurilor primite ale subiecţilor istoriilor de credit colectate de sursă şi evidenţa demersurilor proprii adresate biroului istoriilor de credit în vederea primirii raportului de credit. 16. Informaţia din partea de bază a istoriei de credit se prezintă de către sursa de formare a istoriilor de credit la biroul istoriilor de credit pe măsura formării acesteia. 17. Suma minimă a obligaţiilor pentru fiecare debitor, ce se va raporta de către sursă la biroul istoriilor de credit, se va stabili la înţelegerea părţilor în contractul de prestare a serviciilor informaţionale, încheiat între sursa de formare a istoriilor de credit şi biroul istoriilor de credit, şi va fi nu mai mică de 100 lei MD. 18. Sursele de formare a istoriilor de credit prezintă la biroul istoriilor de credit informaţiile, stipulate la art. 5 din Lege, referitoare la contractele de credit încheiate pînă la data intrării în vigoare a Legii, cu acordul sau indicaţia scrisă a subiectului respectiv al istoriei de credit privind prezentarea informaţiei menţionate. III. Prezentarea raportului de credit 19. Utilizatorul istoriei de credit sau subiectul istoriei de credit este în drept să solicite informaţia conţinută în istoria de credit, adresîndu-se cu un demers către biroul istoriilor de credit. 20. Demersul utilizatorului istoriei de credit va conţine următoarele rechizite: 1) În cazul subiectului – persoană fizică: a) numele (numele de familie, prenumele, patronimicul), data naşterii; b) seria şi numărul actului de identitate; c) numărul de identificare personal (IDNP); d) menţiunea privind existenţa acordului subiectului istoriei de credit; e) forma prezentării raportului de credit (scrisă sau în format electronic cu aplicarea semnăturii digitale); f) informaţia necesară pentru identificarea autorului demersului: denumirea deplină şi abreviată (dacă există), numărul de identificare de stat (IDNO), data prezentării demersului de către utilizatorul istoriei de credit. 2) În cazul subiectului – persoană juridică: a) denumirea deplină şi abreviată (dacă există); b) adresa (sediul) organului executiv permanent al persoanei juridice (în cazul lipsei unui organ executiv permanent – a altui organ sau a persoanei împuternicite să acţioneze fără procură în numele persoanei juridice), altă informaţie de contact cu persoana juridică (telefon, fax, adresa poştei electronice); c) IDNO al persoanei juridice; d) informaţia despre reorganizarea persoanei juridice, care conţine date referitoare la persoana juridică reorganizată menţionate la lit.a)-c); e) menţiunea privind existenţa acordului subiectului istoriei de credit; f) forma prezentării raportului de credit (scrisă sau în format electronic cu aplicarea semnăturii digitale); g) informaţia necesară pentru identificarea autorului demersului: denumirea deplină şi abreviată (dacă există), IDNO, data depunerii demersului de către utilizatorul istoriei de credit. 21. Demersul solicitantului subiect al istoriei de credit va conţine următoarele rechizite: 1) În cazul solicitantului – persoană fizică: a) numele (numele de familie, prenumele, patronimicul), data naşterii; b) seria şi numărul actului de identitate; c) numărul de identificare (IDNP); d) forma prezentării raportului de credit (scrisă sau în format electronic cu aplicarea semnăturii digitale); e) semnătura solicitantului. 2) În cazul solicitantului – persoană juridică: a) denumirea deplină şi abreviată (dacă există) a solicitantului; b) adresa (sediul) organului executiv permanent al persoanei juridice (în cazul lipsei unui organ executiv permanent – a altui organ sau a persoanei împuternicite să acţioneze fără procură în numele persoanei juridice), altă informaţie de contact cu persoana juridică (telefon, fax, adresa poştei electronice); c) IDNO al persoanei juridice; d) informaţia despre reorganizarea persoanei juridice, care conţine date referitoare la persoana juridică reorganizată menţionate la lit. a)-c); e) forma prezentării raportului de credit (scrisă sau în format de document electronic cu aplicarea semnăturii digitale); f) semnătura conducătorului organului executiv permanent al persoanei juridice (în cazul lipsei unui organ executiv permanent – a altui organ sau a persoanei împuternicite să acţioneze fără procură în numele persoanei juridice). 22. Pentru toate cazurile de întocmire a demersului în formă de document electronic se vor respecta cerinţele stabilite de legislaţie faţă de crearea şi utilizarea documentului electronic şi aplicarea semnăturii digitale. 23. Biroul istoriilor de credit efectuează identificarea utilizatorului sau subiectului istoriei de credit după cum urmează: a. Identificarea persoanei fizice se efectuează în baza actului de identitate. În caz că s-a adresat reprezentantul utilizatorului sau subiectului istoriei de credit, se verifică actul de identitate al acestuia şi/sau procura (mandatul), întocmită în conformitate cu legislaţia în vigoare. b. Identificarea persoanei juridice se efectuează prin verificarea informaţiei din certificatul înregistrării de stat a persoanei juridice, a extrasului din registrul de stat ce identifică conducătorul organului executiv permanent (în cazul lipsei unui organ executiv permanent – a altui organ sau a persoanei împuternicite să acţioneze fără procură în numele persoanei juridice), precum şi a actului de identitate al persoanei ce a semnat demersul. 24. Raportul de credit prezentat utilizatorului istoriilor de credit va conţine informaţia indicată în art. 5 din Lege, cu excepţia informaţiei din partea suplimentară a istoriei de credit, şi anume a informaţiei referitoare la sursa de formare a istoriei de credit şi utilizatorii istoriei de credit, precum şi a informaţiei privind numele (denumirea) şi adresa creditorului (specificate la art.5 alin.(3) diviziunea 2) lit.a) pct.(iv) şi alin.(7) diviziunea 2) lit.a) pct.(iv) din Lege). 25. Raportul de credit prezentat subiectului istoriei de credit va cuprinde toată informaţia indicată în art. 5 din Lege şi deţinută de biroul istoriilor de credit, inclusiv informaţia, colectată în conformitate cu Legea, privind sursele formării istoriei de credit şi privind utilizatorii istoriei de credit date. 26. În cazul prezentării raportului de credit în formă scrisă, acesta se autentifică prin ştampila biroului istoriilor de credit şi prin semnătura conducătorului biroului istoriilor de credit sau a adjunctului acestuia. 27. În cazul prezentării raportului de credit în formă de document electronic, efectele juridice ale acestuia se confirmă prin semnătură digitală în conformitate cu legislaţia. 28. Termenul de prezentare a raportului de credit către utilizatorul acestuia se indică în contractul de prestare a serviciilor informaţionale, dar nu va depăşi 10 zile calendaristice de la data depunerii la biroul istoriilor de credit a demersului privind prezentarea raportului. 29. Termenul de prezentare a raportului de credit către subiectul istoriei de credit nu va depăşi 10 zile calendaristice de la data depunerii la biroul istoriilor de credit a demersului privind prezentarea raportului. 30. Utilizatorul istoriei de credit poate solicita raportul de credit de la biroul istoriilor de credit numai cu condiţia existenţei acordului subiectului istoriei de credit, întocmit în conformitate cu prevederile prezentului Regulament. 31. Biroul istoriilor de credit este în drept în orice timp să solicite de la utilizatorul istoriei de credit exemplarul original al acordului primit de către utilizatorul istoriei de credit sau copia lui autentificată în modul prevăzut de legislaţie pentru autentificarea copiilor de pe documentele pe suport de hîrtie. 32. La prezentarea către utilizatorul istoriei de credit a raportului de credit, biroul istoriilor de credit introduce în partea suplimentară a istoriei de credit informaţia referitoare la utilizatorii istoriei de credit, şi anume: denumirea deplină şi abreviată (dacă există), IDNO, data depunerii demersului de către utilizatorul istoriei de credit. 33. Biroul istoriilor de credit este obligat să ţină evidenţa demersurilor adresate în vederea prezentării raportului de credit, precum şi a persoanelor care le-au primit. 34. Utilizatorii istoriilor de credit şi alte persoane care au primit, în conformitate cu Legea, acces la informaţia ce se conţine în istoria de credit sînt obligaţi să nu divulge informaţia respectivă terţilor. IV. Corectarea informaţiei din istoria de credit 35. Sursa de formare a istoriei de credit este obligată să corecteze atît erorile generate de sistemul informaţional, cît şi orice alte erori constatate ulterior şi să retransmită informaţia privind subiectul istoriei de credit, respectînd termenele prevăzute de prezentul Regulament şi contractul de prestare a serviciilor informaţionale. 36. În cazul depistării unor informaţii eronate prezentate, sursa de formare a istoriei de credit este obligată să corecteze erorile pentru toate perioadele în care acestea au fost comise sau pentru care au avut un impact şi să transmită repetat informaţia, sesizînd despre aceasta biroul istoriilor de credit cu care are încheiat contract de prestare a serviciilor informaţionale printr-o scrisoare oficială care să includă explicaţii despre modificările efectuate. 37. Subiectul istoriei de credit este în drept să conteste, total sau parţial, informaţiile conţinute în istoria sa de credit prin depunerea la biroul istoriilor de credit, unde se păstrează istoria de credit menţionată, a unei cereri privind modificarea şi/sau completarea acestei istorii de credit. 38. Biroul istoriilor de credit, în decurs de 3 zile calendaristice de la data primirii cererii menţionate la pct. 37, este obligat, în scopul verificării suplimentare a informaţiilor ce se conţin în istoria de credit, să solicite de la sursa de formare a istoriei de credit o astfel de verificare. 39. Pe durata efectuării unei asemenea verificări, biroul istoriilor de credit va face în istoria de credit o menţiune despre acest fapt. 40. Sursa de formare a istoriei de credit, în termen de 15 zile calendaristice, efectuează verificarea informaţiei în partea contestată şi, în cazul confirmării contestaţiilor depuse, o modifică, cu retransmiterea biroului istoriilor de credit a informaţiei corectate, sau menţine istoria de credit fără modificări, informînd biroul istoriilor de credit despre rezultatele verificării. 41. După primirea informaţiei de la sursa de formare a istoriei de credit privind corectarea sau menţinerea fără modificări a istoriei de credit, biroul istoriilor de credit va informa în scris subiectul istoriei de credit despre rezultatele examinării cererii depuse. Termenul în care se va informa subiectul istoriei de credit despre rezultatele examinării nu va depăşi 30 de zile calendaristice de la primirea cererii acestuia. 42. Informaţia conţinută în istoria de credit, care deja a fost contestată şi veridicitatea căreia în urma verificării nu s-a confirmat, nu va fi verificată în viitor în mod repetat. 43. În cazul refuzului biroului istoriilor de credit de a satisface cererea subiectului istoriei de credit, în răspuns se vor expune motivele argumentate privind refuzul. 44. Subiectul istoriei de credit este în drept să conteste refuzul biroului istoriilor de credit de a satisface cererea privind modificarea şi/sau completarea istoriei de credit, precum şi neprezentarea, în termenul menţionat în pct. 41 al prezentului Regulament, a răspunsului scris privind rezultatele examinării cererii sale, prin depunerea unei cereri la Comisia Naţională a Pieţei Financiare şi/sau instanţa de judecată, în conformitate cu legislaţia. V. Modul de întocmire a acordului subiectului istoriei de credit 45. Formarea şi utilizarea istoriilor de credit se efectuează cu respectarea existenţei acordului subiectului istoriei de credit. 46. Acordul subiectului istoriei de credit poate fi exprimat în formă scrisă sau în formă de document electronic cu respectarea cerinţelor stabilite de legislaţie faţă de crearea şi utilizarea documentului electronic şi aplicarea semnăturii digitale. 47. Acordurile subiecţilor istoriilor de credit se păstrează de către sursa şi utilizatorul informaţiei în conformitate cu cerinţele legislaţiei şi documentele interne, ce determină regulile de păstrare a documentelor. 48. Acordul subiectului istoriei de credit persoană fizică poate fi semnat de reprezentantul acestuia, care acţionează în baza procurii (mandatului), întocmită în corespundere cu legislaţia în vigoare. 49. Acordul subiectului istoriei de credit persoană juridică se semnează de administratorul acestuia, împuternicirile căruia sînt confirmate prin Extrasul din Registrul de stat al persoanelor juridice şi întreprinzătorilor individuali şi documentele de constituire. 50. Sursa de formare a istoriei de credit şi utilizatorul istoriei de credit efectuează identificarea persoanei ce a semnat acordul în modul prevăzut de pct. 23 din prezentul Regulament. 51. Pentru prezentarea informaţiei la biroul istoriei de credit, formarea istoriei de credit şi/sau eliberarea raportului de credit în lipsa acordului subiectului istoriei de credit, precum şi pentru întocmirea incorectă a acestuia, sursa de formare a istoriei de credit, biroul istoriilor de credit, utilizatorul istoriei de credit, care a înaintat demers de prezentare a raportului de credit, sau persoanele responsabile ale acestora poartă răspundere în conformitate cu art.17 din Legea nr.17-XVI din 15 februarie 2007 „Cu privire la protecţia datelor cu caracter personal”. 52. Acordul primit de utilizatorul istoriei de credit este valabil în termen de o lună. 53. Acordul primit de utilizatorul istoriei de credit care a acordat credit subiectului istoriei de credit este valabil pe tot termenul de acţiune a contractului de credit, încheiat cu subiectul respectiv al istoriei de credit în decursul termenului menţionat la pct. 52. 54. Acordul subiectului istoriilor de credit se perfectează ca document separat, sub forma indicată în anexele nr. 1 şi nr. 2 la prezentul Regulament. anexa nr.1 anexa nr.2  Anexa nr. 3 la Hotărîrea Comisiei Naţionale a Pieţei Financiare nr. 8/15 din 26 februarie 2009 REGULAMENT privind modul de raportare la Comisia Naţională a Pieţei Financiare de către birourile istoriilor de credit I. Noţiuni generale 1. Regulamentul privind modul de raportare la Comisia Naţională a Pieţei Financiare de către birourile istoriilor de credit (în continuare – Regulament) stabileşte modul, termenul şi volumul prezentării informaţiilor şi datelor de către birourile istoriilor de credit la Comisia Naţională a Pieţei Financiare (în continuare – Comisia Naţională), în scopul efectuării măsurilor de control şi revizie asupra activităţii birourilor istoriilor de credit. 2. Noţiunile utilizate în prezentul Regulament au semnificaţia prevăzută la art.2 din Legea nr.122-XVI din 29 mai 2008 „Privind birourile istoriilor de credit”. II. Componenţa rapoartelor şi modul de prezentare la Comisia Naţională 3. Birourile istoriilor de credit prezintă la Comisia Naţională următoarele rapoarte: 1) Raportul privind numărul istoriilor de credit conţinute în baza de date a biroului istoriilor de credit, întocmit conform anexei nr.2. 2) Raportul privind numărul contractelor de credit încheiate de sursele formării istoriilor de credit, întocmit conform anexei nr.3. 3) Raportul privind numărul rapoartelor de credit prezentate, întocmit conform anexei nr.4. 4) Raportul privind numărul contractelor de prestare a serviciilor informaţionale încheiate cu sursele de formare/utilizatorii istoriilor de credit, întocmit conform anexei nr.5. 4. Rapoartele indicate în pct.3 al prezentului Regulament se vor prezenta trimestrial, pînă la data de 25 a lunii următoare trimestrului de gestiune, pe suport de hîrtie şi în format electronic. 5. Se consideră drept dată a raportării data transmiterii efective la Comisia Naţională a tuturor rapoartelor, anexate la foaia de titlu, sau data expedierii lor, indicată pe ştampila întreprinderii poştale. Foaia de titlu va conţine informaţia indicată în anexa nr.1. 6. Corespunderea datelor din informaţia prezentată în formă electronică cu cele din informaţia prezentată pe suport de hîrtie este asigurată de persoanele cu funcţii de răspundere ale biroului istoriilor de credit. 7. În formularele rapoartelor se completează toţi indicatorii prevăzuţi. În cazul lipsei datelor, la rubricile rîndurilor sau coloanelor corespunzătoare ale formularelor se înscrie cratima (-). Totodată, biroul indică motivul lipsei acestor indicatori. 8. În rapoartele prezentate pe suport de hîrtie nu se permit rectificări (corectări) sau ştersături. În cazul completării eronate rectificările urmează a fi autentificate de persoanele care au semnat raportul şi indicată data rectificării. 9. Rapoartele se şnuruiesc şi se numerotează, iar pe foaia de titlu se fac menţiuni privind rapoartele prezentate şi numărul total de file incluse în ele. 10. Rapoartele se semnează de conducătorul sau, în lipsa acestuia, de adjunctul contucătorului biroului istoriilor de credit, precum şi de persoana responsabilă pentru întocmirea rapoartelor, şi se autentifică cu ştampila biroului. 11. Persoanele cu funcţii de răspundere ale biroului istoriilor de credit, care au semnat rapoartele, poartă răspundere pentru autenticitatea datelor incluse în ele în conformitate cu prevederile legislaţiei. 12. Biroul istoriilor de credit este obligat să corecteze erorile generate de sistemul informaţional, precum şi orice alte erori constatate ulterior, şi să retransmită raportul la Comisia Naţională, respectînd termenele de raportare prevăzute de prezentul Regulament. 13. În cazul depistării unor informaţii eronate prezentate pentru careva perioade de raportare, biroul istoriilor de credit este obligat să corecteze erorile pentru toate perioadele gestionare în care au fost depistate erori şi să retransmită raportul la Comisia Naţională prin intermediul unei scrisori oficiale, în care se includ explicaţii despre modificările efectuate. anexa nr.1 anexa nr.2 anexa nr.3 anexa nr.4 anexa nr.5