În temeiul art. 4 alin. (4) lit. b) şi al art. 36 alin. (1) din Legea nr. 91 din 29.05.2014 privind semnătura electronică şi documentul electronic (Monitorul Oficial al Republicii Moldova, 2014, nr.174-177, art. 397),
    1. Se aprobă Regulamentul privind procedura de avizare a dispozitivelor de creare şi/sau verificare a semnăturii electronice şi a produselor asociate semnăturii electronice (se anexează).
    2. Prezentul ordin intră în vigoare la data publicării în Monitorul Oficial al Republicii Moldova.

    DIRECTORUL SERVICIULUI
    DE INFORMAȚII ȘI SECURITATE                             Mihai BALAN

    Nr. 25. Chişinău, 17 martie 2017.


    1. Prezentul Regulament este elaborat în conformitate cu prevederile Legii nr. 91-XV din 29 mai 2014 privind semnătura electronică şi documentul electronic, Normele tehnice în domeniul semnăturii electronice avansate calificate, aprobate prin Ordinul directorului Serviciului de Informaţii şi Securitate nr. 69 din 15.07.2016 şi Condiţiile speciale de activitate a prestatorilor de servicii de certificare în domeniul aplicării semnăturii electronice, aprobate prin Ordinul directorului Serviciului de Informaţii şi Securitate nr. 70 din 15.07.2016.
    2. Regulamentul stabileşte procedura avizării dispozitivelor securizate de creare a semnăturii electronice, dispozitivelor de verificare a semnăturii electronice şi/sau a produsului asociat semnăturii electronice (în continuare - dispozitivul şi/sau produsul), etapele și termenele pentru efectuarea avizării acestora de către organul competent în domeniul aplicării tuturor tipurilor de semnături electronice - Serviciul de Informaţii şi Securitate al Republicii Moldova (în continuare - organul competent).
    3. În sensul prezentului Regulament solicitantul avizării este prestatorul de servicii de certificare acreditat în domeniul aplicării semnăturii electronice avansate calificate, care solicită evaluarea și avizarea dispozitivului şi/sau produsului.
    4. Avizarea dispozitivelor şi/sau produselor prevede evaluarea conformităţii acestora cu cerinţele stabilite în ordinele directorului Serviciului de Informaţii şi Securitate nr. 69 și nr. 70 din 15.07.2016.
    5. Prestatorii de servicii de certificare acreditaţi în domeniul aplicării semnăturii electronice avansate calificate sunt obligaţi să avizeze la organul competent dispozitivele şi/sau produsele care urmează a fi utilizate pentru aplicarea semnăturii electronice avansate calificate.
    6. Părţile implicate în procesul de avizare sunt:
    1) solicitantul avizării;
    2) organul competent.
    7. Cererea de avizare a dispozitivelor şi/sau produselor se prezintă în formă liberă pe suport de hîrtie pe adresa organului competent.
    8. În cererea de avizare a dispozitivului şi/sau produsului se indică:
    1) datele de identitate ale solicitantului avizării;
    2) denumirea dispozitivului şi/sau produsului;
    3) versiunea dispozitivului şi/sau produsului;
    4) denumirea producătorului dispozitivului şi/sau produsului.
    9. La cererea de avizare a dispozitivelor şi/sau produselor solicitantul avizării anexează următoarele documente:
    1) declarația de conformitate a îndeplinirii cerinţelor de securitate stabilite de legislaţia Republicii Moldova, standardele, directivele, normele naţionale şi internaţionale, emisă de către prestator (se prezintă în original);
    2) certificatele de securitate a dispozitivului şi/sau a produsului;
    3) documentaţia tehnică care trebuie să conţină:
    a) instrucţiunea de exploatare;
    b) descrierea tehnică a dispozitivului şi/sau produsului;
    c) descrierea funcţiilor dispozitivului şi/sau produsului;
    d) standardele şi normele realizate la punerea în aplicare a dispozitivului şi/sau produsului;
    e) lista algoritmilor criptografici realizați.
    10. Instrucţiunea de exploatare trebuie să descrie:
    1) procedura de instalare, setare, configurare, mesajele de eroare potenţiale;
    2) cerinţele pentru partea tehnică:
    a) cerinţele pentru componentă fizică;
    b) cerinţele pentru componentă logică;
    c) cerinţele de securitate informaţională.
    11. Descrierea tehnică a dispozitivului şi/sau produsului trebuie să conţină:
    1) stabilirea destinaţiei, componentelor, funcționalității;
    2) infrastructura de bază necesară pentru funcţionarea dispozitivului şi/sau produsului cu descrierea detaliată;
    3) referirea la actele legislative, standardele naţionale şi internaţionale;
    4) descrierea exploatării pas cu pas şi structura jurnalelor de audit, dacă acest lucru este prevăzut de producătorul/furnizorul dispozitivului respectiv;
    5) imagini care exemplifică în mod ilustrativ textul.
    12. Descrierea funcţiilor dispozitivului şi/sau produsului trebuie să conţină:
    1) descrierea funcţionalităţii de bază a dispozitivului şi/sau produsului în ansamblu şi/sau în mod individual;
    2) descrierea funcţionalităţii interfeţei;
    3) descrierea procedurii de aplicare a semnăturii electronice;
    4) descrierea formatului semnăturii electronice.
    13. Dispozitivele şi/sau produsele se prezintă pentru avizare cu un set de aplicaţii necesare pentru organizarea funcţionării în regim autonom de test în cadrul organului competent.
    14. Produsul asociat semnăturii electronice se prezintă pentru avizare cu un dispozitiv de creare a semnăturii electronice avizat sau prezentat pentru avizare de rînd cu produsul dat, care conţine cheia privată şi publică, precum şi certificatul cheii publice, creat şi eliberat în scopul testării acestui produs.
    15. Dispozitivul şi/sau produsul, avizarea căruia se solicită, se anexează la cererea de avizare.
    16. În cazul în care prezentarea pentru avizare a dispozitivului şi/sau a produsului către organul competent este imposibilă tehnic, sau creează impedimente în activitatea solicitantului avizării, acesta este obligat să asigure condiţii necesare pentru examinarea dispozitivului şi/sau produsului de către reprezentanţii organului competent în edificiul amplasării dispozitivului şi/sau produsului respectiv.
    17. Anexele la cererea de avizare, cu excepţia declaraţiei de conformitate, pot fi prezentate pe suport de hîrtie sau în format electronic, însoţite de rezultatul funcţiei hash (cel puţin SHA-1) pentru fiecare fişier în parte din pachetul de instalare a produsului asociat semnăturii electronice.
    18. Organul competent, în termen de cel mult 30 de zile calendaristice de la solicitare, examinează documentele prezentate, efectuează verificarea dispozitivelor şi/sau produselor şi adoptă decizia privind avizarea acestora sau privind refuzul de avizare.
    19. Termenul avizării poate fi prelungit o singură dată cu cel mult 30 de zile calendaristice, în cazul prezentării documentelor suplimentare de către solicitantul avizării.
    20. Organul competent examinează conformitatea documentelor prezentate cu dispozitivul şi/sau produsul solicitat a fi avizat. În cazul în care documentele nu sunt complete și/sau nu întrunesc condițiile stipulate în prezentul Regulament, solicitantul este anunțat prin telefon şi poşta electronică de contact, indicate în cererea de avizare, privind necesitatea completării cu documentele necesare în termen de cel mult 15 zile calendaristice din data recepţionării anunţului dat în format electronic. La solicitarea prestatorului de servicii de certificare, solicitarea se transmite suplimentar în scris.
    21. Drept temei pentru refuzul avizării dispozitivelor şi/sau produselor serveşte necorespunderea cerinţelor specificate de prezentul Regulament şi/sau neprezentarea documentelor necesare în termenele stabilite.
    22. Decizia privind refuzul avizării poate fi contestată în instanţa de judecată în modul stabilit de lege.
    23. După examinarea materialelor prezentate de către solicitant, organul competent efectuează verificarea dispozitivului şi/sau produsului.
    24. Toate versiunile dispozitivelor şi/sau produselor se consideră ca fiind versiuni diferite ale acestora şi sunt supuse evaluării în parte. În acest caz, procesul de avizare nu poate fi considerat ca o confirmare a compatibilităţii versiunilor anterioare.
    25. Procesul de verificare se desfăşoară conform următoarelor etape:
    1) examinarea materialelor prezentate de solicitant;
    2) verificarea funcţionalităţii dispozitivului şi/sau a produsului;
    3) evaluarea securităţii dispozitivului şi/sau a produsului;
    4) verificarea algoritmilor criptografici realizaţi.
    26. Dacă dispozitivul şi/sau produsul corespunde cerinţelor legislației în domeniul semnăturii electronice, organul competent eliberează solicitantului aviz, conform Anexei la prezentul Regulament.
    27. Dispozitivul şi/sau produsul se consideră avizat din ziua emiterii avizului.
    28. În cazul adoptării deciziei privind refuzul avizării, organul competent, în termen de 10 zile calendaristice din momentul luării deciziei de refuz, notifică în scris prestatorul de servicii de certificare despre decizia luată, cu indicarea cauzelor refuzului.
    29. Decizia privind refuzul avizării trebuie să conțină motivele întemeiate de refuz şi referințe obligatorii la actele legislative şi normative care au fost încălcate.
    30. Refuzul avizării nu împiedică depunerea repetată a cererii de avizare, dacă au fost înlăturate cauzele care au servit drept temei pentru refuzul avizării.
    31. Dispozitivele și/sau produsele, care nu au obţinut avizarea organului competent, nu pot fi utilizate pentru crearea și/sau verificarea semnăturii electronice avansate calificate.
    32. În cazul compromiterii ori apariţiei unei bănuieli rezonabile privind neconformarea dispozitivului și/sau produsului avizat cerinţelor stabilite, organul competent este în drept să retragă avizul acestuia.
    33. În caz de deteriorare sau pierdere a avizului, prestatorului de servicii de certificare i se eliberează, în termen de 5 zile lucrătoare, în baza cererii depuse, un duplicat al avizului.
    34. Organul competent eliberează duplicatul avizului după prezentarea următoarelor documente:
    1) cererea de eliberare a duplicatului avizului, semnată de către conducătorul persoanei juridice;
    2) copia anunțului privind pierderea originalul avizului, publicat în Monitorul Oficial al Republicii Moldova.
    35. În urma examinării cererii de eliberare a duplicatului avizului se întocmește o notă argumentată, în baza căreia conducătorul organului competent adoptă decizia privind eliberarea sau refuzul de eliberare a duplicatului.
    36. Decizia motivată privind refuzul de eliberare a duplicatului avizului se comunică solicitantului în scris, în termen de 5 zile lucrătoare.
    37. La întocmirea duplicatului avizului pe acesta se face mențiunea „Duplicat”.
    38. Copia duplicatului avizului eliberat, precum şi materialele care au servit drept temei pentru eliberarea acestuia, se păstrează la organul competent.
    39. Materialele referitoare la avizarea dispozitivelor şi/sau a produselor se păstrează în Registrul dispozitivelor de creare şi/sau verificare a semnăturii electronice şi produselor asociate semnăturii electronice (în continuare – Registrul de avizare).
    40. Registrul de avizare se păstrează în arhiva organului competent, pe durata prevăzută de legislația în vigoare.
    41. Organul competent eliberează, la solicitarea persoanelor abilitate şi în limitele prevăzute de legislație, informații şi copii de pe documentele din Registrul de avizare.
    42. În baza deciziei privind avizarea dispozitivelor și/sau a produselor, avizului i se atribuie un număr, care se înscrie în Registrul de avizare. În Registrul de avizare se conțin documentele specificate în Capitolul II din prezentul Regulament, însoțite de copia avizului sau copia refuzului avizării.
    43. Numărul de avizare este compus din 7 cifre, aabbccc, unde:
    1) aa – stabileşte nivelul de ierarhie al prestatorului de servicii de certificare care a solicitat avizare dispozitivelor şi/sau produselor;
    2) bb – stabileşte anul avizării dispozitivului şi/sau a produsului;
    3) ccc – stabileşte numărul de ordine.
    44. În Registrul de avizare se efectuează stocarea şi actualizarea informaţiei referitor la:
    1) dispozitivele de creare a semnăturii electronice;
    2) dispozitivele de verificare a semnăturii electronice;
    3) dispozitivele de creare și verificare a semnăturii electronice;
    4) produsele asociate semnăturii electronice.
    45. Registrul de avizare se ţine în conformitate cu cerințele prevăzute de Legea nr. 71 din 22.03.2007 cu privire la registre.
    46. Prestatorii de servicii de certificare acreditaţi în domeniul aplicării semnăturii electronice avansate calificate sunt obligați să informeze organul competent, în termen de 10 zile lucrătoare, despre modificările sau completările datelor ce se supun introducerii în Registrul de avizare.
    47. Informaţia despre dispozitivul şi/sau produsul avizat, precum şi despre cele cu avizarea retrasă se publică de către organul competent pe pagina sa web oficială.