În primăvara anului trecut a început revizuirea Ordinului 389 emis de MCSI (procedura de eliberare a avizului Ministerului Comunicațiilor și Societății Informaționale pentru instrumentele de plată electronică cu acces la distanță furnizate de către prestatorii de servicii de plată autorizați de Banca Națională a României, de tip internet-banking, home-banking, phone-banking sau mobile-banking). În perioada de consultări publice am transmis cîteva observații. Pe unele dintre ele (în general definiții) le-am regăsit în versiunea adoptată (Ordinul 553 din 14 iunie 2019), pe cele de fond însă nu.

Consider că, în cazul reglementărilor de orice fel, cel mai greu este ”să unești punctele”: să identifici și să înțelegi cum interacționează între ele componentele sistemului pe care dorești să îl controlezi/reglementezi. Iar în cazul în care vrei să reglementezi într-un domeniu unde deja există reglementări, este nevoie de timp și analiză. Nu poți să faci abstracție de ceea ce există, nu poți să faci abstracție de ceea ce este dovedit funcțional și să inovezi non-sensuri sub forma unor formalisme fără valoare și care nu rezolvă nimic.

Să ne întoarcem însă puțin în timp.

Cu un an mai înainte (2018), BNR publica Regulamentul nr. 3 – monitorizarea infrastructurilor pieței financiare și a instrumentelor de plată. Acest Regulament stabilește cerințe pentru ”punerea în circulație, emiterea și monitorizarea instrumentelor de plată”.

Tot în 2018, la final de an, este promulgată LEGEA nr. 362 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice (Legea prin care se transpun cerințele din Directiva NIS). Băncile intră sub incidența acestei legi.

În 2015 era aprobată Directiva Uniunii Europene nr. 2366/2015 privind serviciile de plată în cadrul pieţei interne – Payments Services Directive (PSD2), cu termen de transpunere în legislația națională 31.12.2018…În luna mai 2019, înainte deci de publicarea de către MCSI a Ordinului, Autoritatea Națională pentru Protecția Consumatorilor lansează în consultare publică proiectul ordonanței de urgență privind serviciile de plată. În decembrie 2019 apare și Legea nr. 209/2019 privind serviciile de plată și pentru modificarea unor acte normative (a se vedea SECȚIUNEA 1 Gestionarea riscurilor operaționale și de securitate și raportarea incidentelor). Pînă la apariția acestei legi, Autoritatea Bancară Europeană a publicat mai multe ghiduri care tratează subiectul riscuri și securitate IT.

Cum nu am expertiză să emit opinii juridice, mă voi limita la aspectele tehnice ce țin de audit, menționînd doar cîteva ”formalisme” fără sens din Ordinul MCSI.

În raportul de audit, auditorul trebuie să preia „rezultatul obținut în urma efecturării testului de penetrare „:

Conform raportului privind testul de penetrare se consemnează următoarele elemente:

– nr. de înregistrare/data raportului privind testele de penetrare;

– perioada în care s-au desfășurat testele de penetrare;

– descrierea metodologiei/tehnicilor utilizate;

– menționarea rezultatelor obținute în urma testului;

– concluziile raportului;

– recomandările adresate entității și răspunsul managementului entității.

În același timp însă, pentru eliberarea avizului este necesară și „declarația reprezentantului legal din care să rezulte efectuarea testelor de penetrare menționate la art. 8, perioada de efectuare a testelor, precum și datele de identificare ale echipei de testare;„

Auditorul trebuie să știe CtrlC-CtrlV.

Ordinul menționează la Art. 4 ”Cerințele minime de securitate ale sistemelor informatice pe care trebuie să le îndeplinească prestatorii de servicii de plată”. Printre aceste cerințe se numără și ”respectarea protecției datelor cu caracter personal în sistemele informatice;”. Înțeleg că Ordinul ”întărește” prin această ”cerință” obligația legală conform GDPR. Însă pentru eliberarea avizului, MCSI solicită și ”declarația pe propria răspundere a reprezentantului legal al prestatorului cu privire la respectarea, în cadrul procesului de furnizare a instrumentelor de plată electronică cu acces la distanță, a cerințelor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor);”

Pînă acum avem deci două declarații pe proprie răspundere cu privire la respectarea de către management a obligațiilor legale și pe care auditorul le bifează.

Anexa 1 a Ordinului prezintă structura/conținutul formal ”Raportului de audit” care va include cel puțin afirmațiile:

– că „este responsabilitatea auditorului IT să exprime o opinie cu privire la conformitatea sistemelor informatice cu prevederile Ordinului ministrului comunicațiilor și societății informaționale nr. 553/2019“;

– că „raportul de audit IT a fost elaborat în conformitate cu standardul de audit utilizat, respectiv …………………………. (menționarea acestuia)“.

Evidențiez doar că opinia auditorului este cu privire la ”conformitatea sistemelor informatice cu prevederile Ordinului”….Așa cum este scris acest Ordin, toate sistemele informatice vor fi conforme! 🙂

Tot în această Anexă se cere ca în Raportul de audit să se regăsească și ”asumarea responsabilității conducerii entității privind auditul efectuat asupra sistemelor informatice”….Cum nu se oferă nici o explicație mă întreb dacă această cerință se referă de fapt la ceea ce știe orice auditor: responsabilitatea cu privire la implementarea sistemului de control intern (inclusiv a respectării cerințelor legale și identificarea fraudelor) este a managementului. Iar acest lucru este o mențiune obligatorie în orice raport de audit.

Ar mai fi multe de spus despre acest Ordin. Poate într-un episod următor. Pînă atunci băncile vor pune în forme diferite, în dosare diferite, lucruri pe care deja sînt obligate să le raporteze BNR.

Există un singur articol clar, dar care de fapt este o repetare de responsabilități:

Prestatorii au obligația de a implementa măsuri de securitate informatică, de a monitoriza continuu și de a evalua anual riscurile operaționale generate de utilizarea sistemelor informatice prin intermediul cărora este furnizat instrumentul de plată electronică cu acces la distanță, cu respectarea legislației interne și a reglementărilor comunitare.

PS: fac cinste cu un vin bun oricui identifică ”controalele generale sau specifice” care ar trebui ”implementate conform prevederilor Ordinului ministrului comunicațiilor și societății informaționale nr. 553/2019.” și pe care trebuie să le revizuiască auditorul.