Anunț privind consultarea pieței

Referitor la o aplicație informatică destinată confirmării statutului de persoană abilitată să semneze documente specifice construcțiilor, în vederea emiterii unui certificat pentru semnătura electronică

30 decembrie 2020

Ordinul Arhitecților din România (OAR) dorește să evalueze fezabilitatea ideii unui sistem informatic comun Autorităților Competente (AC) răspunzător de acordarea dreptului de semnătură profesioniștilor implicați în documentația de autorizare a lucrărilor de construcții.

Acest sistem va corespunde prevederilor OUG 140/2020 și a Ordinului nr. 4134/3875/2020 având rolul de ”sursă sigură de date” în procesul de emitere a certificatelor calificate de către emitenții autorizați la nivelul UE. OAR pleacă de la ipoteza că o entitate publică specializată (EPS) va sprijini acest proiect în limitele descrise și evaluează posibilitatea de a oferi acest sistem celorlalte AC, de a-și asuma mentenanța sa evolutivă, în timp ce EPS va asigura operarea sa.

Obiectul consultării

Obiectul consultării îl constituie livrarea aplicației, fără componente hardware.

Aspectele supuse consultării sunt:

1. Dacă există disponibilă o aplicație care corespunde cerințelor descrise;
2. Prețul și durata, ambele orientative, de creare a unei aplicații custom, cu transferarea drepturilor patrimoniale de proprietate intelectuală;
3. Costul și modalitatea sa de calcul pentru mentenanța evolutivă.

Durata consultării

Termenul de trimitere a răspunsurilor este 8 Ianuarie 2021.

Modalitatea consultării

Procesul de consultare a pieței se va desfășura în format electronic, accesând acest formular, sau prin email, folosind adresa cristian.oprea@oar.archi.

Este posibil să fie organizate evenimente individuale, online, pentru organizațiile interesate, în vederea lămuririi aspectelor supuse consultării.

Descrierea cadrului general, a necesităților și constrângerilor specifice

Necesitatea trecerii accelerate la utilizarea documentelor electronice, cu transmitere online, în cadrul echipelor de profesioniști (arhitecți, ingineri, urbaniști, etc.) implicați în realizarea dosarelor specifice intervențiilor asociate unei construcții a determinat apariția OUG 140 și a normelor subsecvente.

Această legislație introduce o variantă de certificat calificat cu particularitatea existenței în acesta a unor atribute standardizate specifice abilitării profesionale (dreptului de semnătură) recunoscute prin acte administrative ale Autorității Competente specifice. În acest sens, există 6 AC, iar OAR este autoritate competentă pentru arhitecți.

În vederea scrierii acestor atribute specifice în certificat, la momentul emiterii acestuia, este necesară dovedirea abilitării profesionale. Legislația menționată reglementează mai multe variante printre care și interogarea prin API, de către furnizorul de servicii de încredere, a unui sistem informatic al AC. Având în vedere dificultatea lucrului întru-un sistem mixt, electronic și letric, precum și timpul îndelungat necesar celorlalte AC (toate instituții publice) pentru achiziționarea propriilor sisteme, OAR are disponibilitatea susținerii unui sistem informatic multi-tenant utilizat în mod egal de toate AC, aflat în administrarea EPS. Astfel, este căutată o disponibilitate rapidă și simultană a certificatelor specifice tuturor categoriilor de persoane abilitate, respectiv posibilitatea existenței dosarului exclusiv în format digital.

În vederea respectării confidențialității datelor, un AC va avea acces doar la datele proprii, iar furnizorul soluției va livra un setup bazat pe mediu de dezvoltare, test și ulterior deployment condiționat de verificări din partea EPS. Infrastructura va fi, de principiu, bazată pe Open Source.

Aplicațiile Open Source, inclusiv motorul de baze de date, vor fi preluate în administrare de către EPS. EPS va pune la dispoziție dispozitive criptografice pentru semnare și va furniza un exemplu de cod specific utilizării acestora în vederea programării în aplicație.

În interfețele vizuale există disponibilitatea inserării siglei furnizorului aplicației.

Descriere tehnică și alte aspecte practice

Sistemul va avea o arhitectură Failover, bazată pe două mașini virtuale. Autentificarea în interfața aplicației se va face cu ajutorul certificatelor calificate sau 2FA. Autentificarea pentru apelurile API se va baza pe transport (spre exemplu IPSEC) și credențiale. Toate interacțiunile, inclusiv API, vor fi logate.

În esență, această aplicație asigură managementul câte unei liste pentru fiecare AC. Această listă conține date de identificare precum Nume și CNP și un set de atribute specifice. Structura acestui set trebuie să fie configurabilă extern aplicației, pentru fiecare listă, spre exemplu prin fișiere de configurare. O astfel de listă are un număr de records de ordinul zecilor de mii.

Pentru fiecare persoană (poziție de pe listă), aplicația va contabiliza certificatele emise (notificate).

Managementul datelor care compun lista se poate face manual (într-o interfață grafică simplă, prin introducere de date sau upload de fișiere xls, CSV) sau prin interoperabilitate (mirror / sincronizare) cu un alt server de date. Astfel se adaugă persoane, se modifică atribute, etc. Vor fi implementate constrângeri simple, de tipul atenționării introducerii aceleiași persoane de două ori. Analiza de business și scheme BPM vor fi livrate de OAR.

Datele vor fi accesate prin API de către orice furnizor calificat interesat să ofere astfel de certificate. De principiu, acesta va accesa un API folosind ca parametru date de identitate colectate de la persoana care solicită certificatul și va primi un răspuns în format XML, semnat calificat conform standardului XAdES.

După emiterea certificatului, furnizorul va accesa alt API prin care va îndeplini procedura de notificare, respectiv va uploada un set de date (document) pe baza unei structuri predefinite. Aplicația va asocia acest upload unei persoane din listă (căreia i s-a emis certificatul) și va contabiliza emiterea sa. Opțional, există interes pentru existența unei rutine care, periodic, să verifice validitatea (via OCSP) certificatului notificat încercând astfel să mențină o imagine corectă a certificatelor valide.

În procesul de management al datelor, dacă modificarea atributelor unei persoane ne aduce într-o stare de contradicție cu un certificat asociat acesteia (unul dintre atributele din certificat nu mai este valabil), aplicația va semnala acest lucru și va genera, pe baza unui template, un mesaj de solicitare revocare certificat. Acest mesaj va fi pus la dispoziția utilizatorului aplicației pentru a fi trimis manual, prin email.

Conținutul listei, toate datele, vor fi disponibile prin interoperabilitate pentru reutilizare în alte aplicații ale AC. Aplicația, la nivel de cod sursă și configurări, va fi auditată de către EPS în vederea asigurării cybersecurity.

Documente relevante

OUG 140/2020, care stabilește cadrul legal.

Norme de aplicare a OUG 140/2020.