Pe 14 iunie, în Monitorul Oficial se publica ORDIN  Nr. 553/2019 din 5 iunie 2019 privind reglementarea procedurii de avizare a instrumentelor de plată electronică cu acces la distanţă.

Pentru că proiectul a fost în consultare publică, pe 2 aprilie am trimis către MCSI punctul meu de vedere. Am constatat că s-a ținut cont de unele dintre observațiile mele legate de definirea termenilor (3 sau 4 🙂 ). Chiar dacă avem de a face cu o formă mai bună decît fostul Ordin 389, rămîn în continuare riscuri și despre unele dintre acestea voi scrie în continuare, în ordinea în care apar ele în documentul MCSI.

În primul rînd noul Ordin nu face nici o referire la Regulamentul 5 al BNR (cerințe prudențiale pentru instituțiile de credit, actualizat în urma PSD2). În acest Regulament sînd definiții și cerințe de bază pentru bănci.

ART. 4     cuprinde „Cerinţele minime de securitate ale sistemelor informatice pe care trebuie să le îndeplinească prestatorii de servicii de plată „. Însă în Anexa 3 este prezentată structura raportului de audit unde se precizează că „este responsabilitatea auditorului IT să exprime o opinie cu privire la conformitatea sistemelor informatice cu prevederile Ordinului ministrului comunicaţiilor şi societăţii      informaţionale nr. 553/2019„; că „raportul de audit IT a fost elaborat în conformitate cu standardul de audit utilizat,   respectiv ……………… (menţionarea acestuia)„. 

Simt nevoia (profesorului) să reiau cîteva aspecte despre care am mai scris în anii din urmă: termenul de audit este folosit de cele mai multe ori incorect.

Un audit al unui sistem informațional poate fi efectuat ca o examinare: un proces sistematic prin care o persoană competentă, independentă, obține și evaluează în mod obiectiv dovezile privind afirmațiile despre o entitate, eveniment, procese, operațiuni sau controale interne, în scopul formării unei opinii și furnizării unui raport cu privire la gradul în care afirmațiile se conformează unui set de standarde identificate.

Examinarea, ca tip de audit, este un proces de atestare care oferă cel mai înalt nivel de asigurare cu privire la declarațiile managementului: cuprinde
colectarea și evaluarea de dovezi suficiente și competente, efectuarea de teste și alte proceduri adecvate.

Standardele ISACA de audit și asigurare solicită auditorului să obțină probe suficiente, relevante și fiabile pentru a sprijini concluziile și opiniile auditului. Diferența care distinge un audit de o revizie este aceea că
examinarea (auditul) include un nivel de testare a dovezilor de audit suficient de detaliat pentru a sprijini verificarea și valabilitatea declarațiilor.

Revenind la Ordin, avem: „subiectul auditat„ reprezentat de instrumentul de plată, „criterii„ reprezentate de „cerințe minime de securitate„ și „opinia„ care se referă la „conformitatea„ cu cerințele Ordinului. Nu la „securitate„! Ar putea fi folosite și alte „criterii„? Bineînțeles, cerințele minime de securitate menționate în Ordin ar trebui completate cu alte criterii care să fie (pentru destinatarii raportului):

• obiective
• complete
• relevante
• măsurabile
• inteligibile
• recunoscute și acceptate
• disponibile public

„ Auditul a fost efectuat în conformitate cu Standardele de Audit și Asigurare SI și cu Instrucțiunile de Audit și Asigurare ISSI emise de către ISACA și liniile directoare aplicabile. Considerăm că dovezile obținute oferă o bază rezonabilă pentru concluziile și recomandările noastre prin raportare la obiectivele auditului„

Paragraful de mai sus exemplifică cerința din Anexa 3 a Ordinului.

Tot la Art. 4 pct 7 se menționează ca cerință de securitate „respectarea protecţiei datelor cu caracter personal în sistemele informatice „. Asta include „privacy by design & by default„, „risk based„ etc. Cu toate acestea, Art. 9 alin 1. lit. i impune „declaraţia pe propria răspundere a reprezentantului legal al prestatorului cu privire la respectarea, în cadrul procesului de furnizare a instrumentelor de plată electronică cu acces la distanţă, a cerinţelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor);„

Obiectivul auditorului este să determine dacă sînt în vigoare controalele corespunzătoare zonei examinate. În cazul datelor cu caracter personal, auditorul nu va mai identifica controale deoarece „conformitatea„ este dată de existența declarației pe proprie răspundere a managementului. „Criteriul„ la care se raportează auditorul este chiar în Ordin.

Cerința de securitate cu privire la „ gestionarea şi administrarea sistemului informatic„ încă nu îmi dau seama la ce se referă.

Ajung și la trei cerințe ce vizează pe lîngă bănci și pe furnizorii de servicii externalizate.

ART. 7

    Documentele elaborate în format electronic, aferente instrumentului de plată electronică cu acces la distanţă, vor fi arhivate conform legislaţiei naţionale privind arhivarea electronică, pe baza nomenclatorului arhivistic al prestatorului, în concordanţă cu cerinţele Legii Arhivelor Naţionale nr. 16/1996, republicată.

Art. 29

    (1) Prestatorul are obligaţia de a specifica în documentaţia de avizare următoarele informaţii şi documente, după caz:

    1. SR ISO/IEC 27001 sau certificări pentru standarde echivalente – pentru toţi furnizorii de servicii IT externalizate;

    2. certificări pentru furnizarea şi dezvoltarea de programe informatice software;

ART. 31

    (1) Prestatorul are obligaţia să se asigure că prevederile prezentului ordin sunt respectate de către toţi furnizorii de servicii IT externalizate, inclusiv în cazul externalizărilor în lanţ.

La Art. 7, acel „elaborate„ este cam nefericit folosit. Aplicația nu prea elaborează ci mai degrabă generează. De exemplu „extras de cont„. Dar și despre acesta nu putem spune că este întotdeauna „generat„ de aplicație…avem și core banking-ul pe undeva prin povestea asta.

La Art. 29 mi se pare excesivă cerința ca banca să se asigure că furnizorul furnizorului este certificat.

Cum „auditorul IT„ nu există ca profesie, urmează să îmi fac „ASIGURARE DE RĂSPUNDERE CIVILĂ PROFESIONALĂ A EXPERŢILOR CONTABILI, CONTABILILOR AUTORIZAŢI, AUDITORILOR ŞI CONSULTANŢILOR FISCALI„. 🙂