A Nemzeti Adó- és Vámhivatal elnöke által kiadott. 2077/2015. szabályzat. az elektronikus aláírások használatáról

Átírás

1 A Nemzeti Adó- és Vámhivatal elnöke által kiadott 2077/2015. szabályzat az elektronikus aláírások használatáról A Nemzeti Adó- és Vámhivatalnál (a továbbiakban: NAV) az elektronikus aláírások jogszerű, biztonságos és szakmai szabályoknak megfelelő használata érdekében, a Nemzeti Adó- és Vámhivatal Informatikai Biztonsági Szabályzatáról szóló 2087/2013. szabályzat (a továbbiakban: IBSZ) 2. mellékletének 24. pontja alapján az elektronikus aláírások igénylésének és alkalmazásának rendjét az alábbiak szerint szabályozom. I. Fejezet Általános rendelkezések 1. A szabályzat alkalmazása 1. A szabályzatot a Nemzeti Adó- és Vámhivatal szervezetéről és egyes szervek kijelöléséről szóló 273/2010. (XII. 9.) Korm. rendelet 1. -ában felsorolt központi szervekre, valamint a közép- és az alsó fokú szervekre, továbbá a NAV személyi állományának valamennyi tagjára (a továbbiakban: foglalkoztatott) kell alkalmazni. 2. A velük kötendő szerződés alapján biztosítani kell a szabályzat rendelkezéseinek érvényesülését a NAV-val szerződéses jogviszonyban álló magánszemélyek, jogi személyek, egyéb szervezetek és ezek alkalmazottai (a továbbiakban: külső munkavállalók) vonatkozásában, továbbá biztosítani kell, hogy az érintett személyek a szabályzatot (eseti kivonatát) a szükséges mértékben megismerjék; a polgári jogi szerződésnek erre vonatkozóan utalást kell tartalmaznia. 3. A szabályzatot az alábbi jogszabályok rendelkezéseinek figyelembevételével kell alkalmazni: a) az elektronikus aláírásról szóló évi XXXV. törvény (a továbbiakban: Eat.), b) az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről és az elektronikus kapcsolattartás egyes szabályairól szóló 78/2010. (III.25.) Korm. rendelet (a továbbiakban: 78/2010. Korm. rendelet), c) a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról szóló 83/2012. (IV.21.) Korm. rendelet (a továbbiakban: 83/2012. Korm. rendelet), d) egyes, az elektronikus ügyintézéshez kapcsolódó szervezetek kijelöléséről szóló 84/2012. (IV.21.) Korm. rendelet (a továbbiakban: 84/2012. Korm. rendelet), e) az elektronikus ügyintézés részletes szabályairól szóló 85/2012. (IV.21.) Korm. rendelet (a továbbiakban: 85/2012. Korm. rendelet), f) az Európai Parlament és a Tanács december 13-i 1999/93/EK irányelve az elektronikus aláírásra vonatkozó közösségi keretfeltételekről (2016. június 30. napjáig); g) az Európai Parlament és a Tanács július 23-i 910/2014/EU rendelete a belső piacon történő elektronikus tranzakciókhoz kapcsolódó elektronikus azonosításról és bizalmi szolgáltatásokról, valamint az 1999/93/EK irányelv hatályon kívül helyezéséről (2016. július 1. napjától).

2 2. Értelmező rendelkezések 4. A szabályzat alkalmazásában: a) aláírás-ellenőrző adat (nyilvános kulcs): olyan egyedi adat, amelyet az elektronikusan aláírt elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ (Eat ). b) aláírás-létrehozó adat (magánkulcs): olyan egyedi adat, amelyet az aláíró az elektronikus aláírás létrehozásához használ (Eat ). c) aláíró: elektronikus aláírást létrehozó természetes vagy jogi személy emberi beavatkozást igénylő vagy nem igénylő (gépi automatikus) eljárás útján. d) aláírás-létrehozó eszköz: olyan hardver, illetve szoftver eszköz, amelynek segítségével a felhasználó az aláírás-létrehozó adatok felhasználásával az elektronikus aláírást létrehozza, és amelynek három típusa van: da) biztonságos aláírás-létrehozó eszköznek nem minősülő (nem BALE) eszköz: olyan aláírás-létrehozó eszköz, amely a db) és dc) alpontokban meghatározott követelményeket nem teljesíti, db) biztonságos aláírás-létrehozó eszköz (BALE): olyan aláírás-létrehozó eszköz, amely megfelelő technikai és eljárási eszközökkel biztosítja legalább azt, hogy az aláírás készítéséhez használt aláírás-létrehozó adat aláírónként biztosan mindig különbözik és titkossága kellően biztosított, valamint kellő bizonyossággal garantálja, hogy az aláíráslétrehozó adat nem rekonstruálható, a jogosulatlan felhasználókkal szembeni védelem biztosított, illetve az aláírás nem hamisítható (Eat , 5. pontjai, valamint 1. számú melléklet), dc) hardveres kulcskezelő eszköz: olyan hardvereszköz, amely az elektronikus aláíráslétrehozó adat generálására, tárolására, mentésére, visszaállításra és aláírási műveletek végrehajtására alkalmas, a biztonságos aláírás-létrehozó eszközre vonatkozó, az Eat. szerinti követelményeket biztonságában vagy teljesítményében, illetve mindkettőben meghaladja (78/2010. Korm. rendelet 1. (2) bekezdés 3. pontja). e) elektronikus aláírás: elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat (Eat ). f) elektronikus aláírást alkalmazó rendszer: azon szakmai folyamatot támogató rendszer, amely az elektronikus aláírást alkalmazza. g) elektronikus dokumentum: elektronikus eszköz útján értelmezhető adategyüttes (Eat ). h) elektronikus aláírás hitelesítés-szolgáltató: elektronikus aláírással kapcsolatos hitelesítés-szolgáltatást nyújtó természetes személy, jogi személy vagy egyéb szervezet, amely a hitelesítés-szolgáltatás keretében azonosítja az igénylő személyét, tanúsítványt bocsát ki, nyilvántartásokat vezet, fogadja a tanúsítványokkal kapcsolatos változások adatait, valamint nyilvánosságra hozza a tanúsítványhoz tartozó szabályzatokat, az aláírás-ellenőrző adatokat és a tanúsítvány aktuális állapotára (különösen esetleges visszavonására) vonatkozó információkat (Eat és 6. (2) bekezdés). i) elektronikus aláírással kapcsolatos szolgáltatás: az Eat. 6. (1) bekezdése alapján a j) alpontban meghatározott szolgáltató által nyújtott: ia) hitelesítés-szolgáltatás, ib) időbélyegzés, ic) aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése, és/vagy id) elektronikus archiválás szolgáltatás

3 j) elektronikus aláírással kapcsolatos szolgáltatást nyújtó szolgáltató: elektronikus aláírással kapcsolatos szolgáltatást nyújtó természetes személy, jogi személy vagy egyéb szervezet (Eat pont). k) kormányzati hitelesítés-szolgáltató: az a hitelesítés-szolgáltató, aki a 83/2012. Korm. rendelet 74. -ában meghatározott hitelesítés-szolgáltatáshoz kapcsolódó feladatokat kijelölt kormányzati hitelesítés-szolgáltatóként a 83/2012. Korm. rendelet 172. (1) bekezdése alapján kizárólagos joggal látja el; a feladatok ellátására a 84/2012. Korm. rendelet 4. gb) alpontja a NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.-t jelölte ki. l) közigazgatási gyökér-hitelesítésszolgáltató: a Nemzeti Média- és Hírközlési Hatóság azon szervezeti egysége, amely elektronikus aláírásával hitelesíti a NAV által használt aláíráshoz tartozó tanúsítvánnyal szemben meghatározott követelményeknek megfelelő tanúsítványt kibocsátó hitelesítés-szolgáltató nyilvános kulcsát, és erről közigazgatási gyökértanúsítványt bocsát ki (78/2010. Korm. rendelet 3. (1) és (2) bekezdései). m) időbélyegző: elektronikus dokumentumhoz végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett (Eat ). n) szakmai felügyeletet ellátó szervezeti egység: az elektronikus aláírást alkalmazó rendszer rendeltetésszerű működését szakmai oldalról biztosító központi hivatali főosztály. o) szakmai kapcsolattartó: a szakmai felügyeletet ellátó szervezeti egység kijelölt foglalkoztatottja. p) technikai-műszaki kapcsolattartó: az Informatikai Intézet (a továbbiakban: INIT) azon szervezeti egysége, amely az elektronikus aláírást alkalmazó rendszer üzemeltetésében érintett és a kapcsolódó informatikai támogatási feladatokat végzi. q) tanúsítvány: a hitelesítés-szolgáltató által kibocsátott igazolás, amely az aláírásellenőrző adatot egy meghatározott személyhez kapcsolja és igazolja e személy személyazonosságát vagy valamely más tény fennállását, ideértve a hatósági (hivatali) jelleget (Eat ). 5. A részletes fogalmi táblát és magyarázatot az 1. melléklet tartalmazza. 3. Tanúsítvány és elektronikus aláírás típusok 6. Elektronikus aláírások típusai biztonsági szintek alapján az Eat. vonatkozó rendelkezéseinek figyelembe vételével: a) fokozott biztonságú elektronikus aláírás: elektronikus aláírás, amely aa) alkalmas az aláíró azonosítására, ab) egyedülállóan az aláíróhoz köthető, ac) olyan eszközzel hozták létre, amelyek kizárólag az aláíró befolyása alatt állnak, ad) a dokumentum tartalmához olyan módon kapcsolódik, hogy minden az aláírás elhelyezését követően a dokumentumon tett módosítás érzékelhető; b) minősített tanúsítványon alapuló fokozott biztonságú elektronikus aláírás: olyan fokozott biztonságú elektronikus aláírás, amelyhez a minősített hitelesítés-szolgáltató az Eat. 2. számú mellékletében foglalt követelményeknek megfelelő, minősített tanúsítványt bocsát ki; c) minősített elektronikus aláírás: olyan fokozott biztonságú elektronikus aláírás, amelyet az aláíró biztonságos aláírás-létrehozó eszközzel hozott létre, és amelynek hitelesítése céljából minősített hitelesítés-szolgáltató minősített tanúsítványt bocsát ki

4 7. A 78/2010. Korm. rendelet és a 85/2012. Korm. rendelet alapján a közigazgatási felhasználásra vonatkozó követelményeknek megfelelő elektronikus aláírás (a kormányzati hitelesítés-szolgáltató terminológiája szerint Ket.-es e-aláírás): a) ügyintézői e-aláírás: az ügyintézésben közreműködő, az ügyintéző saját nevében, hivatalosan használt elektronikus aláírás, ide nem értve a NAV nevében történő kiadmányozás esetét; b) kiadmányozói e-aláírás: a NAV nevében kiadmányozásra feljogosított természetes személy által, a NAV nevében használt elektronikus aláírás; c) külön jogszabályban meghatározott védelem alá eső tisztséget betöltő, valamint fontos és bizalmas munkakört betöltő személyek által használt elektronikus aláírás; d) szervezeti (gépi) e-aláírás: a hatályos jogszabályok rendelkezéseit és a NAV-ban kialakult gyakorlatot szem előtt tartva főszabály szerint olyan legalább fokozott biztonságú elektronikus aláírás, amely elektronikus dokumentumok vagy kommunikáció NAV általi hitelesítésére szolgál és amelyet egy informatikai eszköz (NAV számítógépes rendszere) automatikusan, közvetlen személyi beavatkozás nélkül helyez el a dokumentumon vagy használ a kommunikáció hitelesítésére. 8. A kormányzati hitelesítés-szolgáltató által, annak Szolgáltatási Szabályzataiban meghatározott tanúsítványok/elektronikus aláírások: a) előfizetői tanúsítvány tulajdonosa (alanya) szerint: aa) személyes tanúsítvány: az aláíró olyan természetes személy, akit magánszemélyként regisztrálnak és ennek megfelelően kerül feltüntetésre a tanúsítványban, ab) munkatársi tanúsítvány: az aláíró természetes személy, aki egy szervezethez tartozik és azt képviseli valamilyen minőségben, ennek megfelelően kerül regisztrálásra, illetve feltüntetésre a tanúsítványban (ebben az esetben az előfizető jogi személy vagy szervezet, az aláíró pedig a szervezet munkatársa, tisztségviselője), ac) szervezeti vagy eszköz tanúsítvány: az aláíró nem természetes személy, hanem egy szervezet vagy általa működtetett eszköz (gépi aláírás esetén), amely ennek megfelelően kerül regisztrálásra és feltüntetésre a tanúsítványban; b) szolgáltatói tanúsítvány: a kormányzati hitelesítés-szolgáltató által saját célra, a szolgáltatások nyújtásához kapcsolódóan kibocsátott tanúsítvány; c) teszt tanúsítvány: a kormányzati hitelesítés-szolgáltató által, kizárólag tesztelési célból kiadott tanúsítvány. 9. A hatályos jogszabályok alapján, a NAV az elektronikus aláírások használata során az alábbiak figyelembe vételével köteles eljárni: a) elektronikus aláírás (amely az Eat. szerint nem tartozik annak hatálya alá): a hatósági eljárások során nem alkalmazható, kizárólag egyéb, elektronikus kapcsolattartás és kommunikáció során használható, figyelemmel arra, hogy a jogszabályokban elektronikus aláírások közigazgatási felhasználhatóságával kapcsolatban támasztott követelményeknek (műszaki-technikai, biztonsági, hitelességi) nem felel meg; b) fokozott biztonságú elektronikus aláírás: használata jogszabályi előírás alapján kötelező, amennyiben elektronikus aláírás és tanúsítvány használatára vonatkozó jogszabályi rendelkezés vagy hivatali döntés alapján a NAV hatósági eljárásaiban az elektronikus kapcsolattartás során elektronikus aláírást köteles vagy kíván használni; - 4 -

5 c) minősített tanúsítványon alapuló fokozott biztonságú elektronikus aláírás és minősített elektronikus aláírás: használata jogszabályi előírás alapján nem kötelező, azonban a szakmai felügyeletet ellátó szervezeti egység dönthet annak alkalmazásáról azzal, hogy a minősített tanúsítvány, illetve a minősített elektronikus aláírás alkalmazásának szükségességét, indokoltságát figyelemmel a gazdaságossági és egyéb szempontokra köteles konkrétan meghatározni. 10. A 9. pont szerinti, a NAV részéről alkalmazandó és alkalmazható tanúsítványokat, elektronikus aláírásokat a 6-8. pontokban foglalt besorolások alapján összevető táblázatokat a 2. melléklet tartalmazza. 4. Kormányzati hitelesítés-szolgáltató kizárólagossága 11. A 83/2012. Korm. rendelet előírásai alapján kizárólag a kormányzati hitelesítésszolgáltatótól igényelhetőek az alábbi szolgáltatások: a) elektronikus aláírási tanúsítvány: aa) a kiadmányozásra jogosultak, ab) a külön jogszabályban meghatározott védelem alá eső tisztséget betöltő személyek, ac) a nemzetbiztonsági ellenőrzés alá eső jogviszonyban álló személyek részére, valamint ad) gépi elektronikus aláíráshoz; b) titkosítási célú tanúsítvány: aa) a kiadmányozásra jogosultak, ab) a külön jogszabályban meghatározott védelem alá eső tisztséget betöltő személyek, valamint ac) nemzetbiztonsági ellenőrzés alá eső jogviszonyban álló személyek részére; c) időbélyegzés-szolgáltatás. 12. A 11. pontban nem szereplő tanúsítványok igénylése céljából a NAV figyelembe véve a beszerezni tervezett tanúsítvány, elektronikus aláírás paramétereit is bármely hitelesítésszolgáltatóhoz fordulhat. 13. Amennyiben a kormányzati hitelesítés-szolgáltató az igényelt szolgáltatást olyan elérhetőség és rendelkezésre állás mellett képes csak nyújtani, amely a NAV eljárási cselekményeit, valamint a hatósági eljárások lefolytatását akadályozza, erről a kormányzati hitelesítésszolgáltató tájékoztatja a NAV-ot. 14. A tájékoztatás keretében a kormányzati hitelesítés-szolgáltató a NAV kérésére nyilatkozik a 13. pontban leírt, jogszabályokban foglaltak nem teljesüléséről és a szolgáltatás követelményeknek megfelelő nyújtásának várható időpontjáról. 15. A NAV a 13. és 14. pontokban foglaltak figyelembe vételével a 11. pontban említett tanúsítványok, elektronikus aláírások esetén is jogosult a kormányzati hitelesítésszolgáltatótól eltérő hitelesítés-szolgáltatóhoz fordulni

6 II. Fejezet A tanúsítványok/elektronikus aláírások alkalmazására vonatkozó igény felmerülése 5. A tanúsítvány/elektronikus aláírás használatával érintett szakmai folyamatok meghatározása 16. A szakmai felügyeletet ellátó szervezeti egység dönt arról, hogy az általa irányított/felügyelt szakmai és/vagy funkcionális folyamat vagy rendszer tekintetében elektronikus aláírási tanúsítvány alkalmazását szükségesnek tartja jogszabályi kötelezettség vagy más elvárás teljesítése céljából. 17. A 16. pontban foglaltakon túl a szakmai felügyeletet ellátó szervezeti egység dönt az alkalmazni tervezett tanúsítvány, elektronikus aláírás típusáról is a 6-8. pontokban rögzítettek figyelembe vételével. 18. A 16. és 17. pontokban rögzített döntések meghozatala előtt a szakmai felügyeletet ellátó szervezeti egység konzultál az INIT-tel a szakmai igény technikai megvalósíthatósága kapcsán. 6. Felhasználói kör meghatározása és a felhasználói jegyzék összeállítása 19. A szakmai felügyeletet ellátó szervezeti egység a 21. pontban előírt felhasználói jegyzék összeállítása érdekében felmérést készít, amely során az általa irányított/felügyelt szakmai és/vagy funkcionális folyamat vagy rendszer tekintetében alkalmazni tervezett elektronikus aláírási tanúsítványok várható felhasználóinak száma területi (régió/megye) és szakterületi (szakmai/funkcionális stb.) bontásban keretszámok formájában kerül meghatározásra. 20. Új tanúsítványok, elektronikus aláírások iránti igény kizárólag a 19. pontban meghatározott felmérés során kialakult keretszám figyelembe vételével kezdeményezhető. 21. A felhasználói jegyzék azon, elektronikus aláírási tanúsítványt igénylő NAV foglalkoztatottak (a továbbiakban: felhasználó) igényléshez szükséges alapadatait tartalmazó kimutatás, amely a 78/2010. Korm. rendelet szerint két típusú elektronikus aláíráshoz (a kormányzati hitelesítés-szolgáltató terminológiája szerint egy tanúsítvány: munkatársi tanúsítvány) kapcsolódhat: a) a Nemzeti Adó- és Vámhivatal Szervezeti és Működési Szabályzatáról szóló 23/2011. (VI. 30.) NGM utasításban foglalt döntési és kiadmányozási jogkör delegálásával a 7. pont b) alpontban meghatározott kiadmányozói e-aláírás, valamint b) az egyes eljárások végrehajtása érdekében alkalmazott, 7. pont a) alpontban meghatározott ügyintézői e-aláírás. 22. A felhasználói jegyzéket a felméréssel érintett területi (főigazgatók/igazgatók) és szakterületi vezetők (főosztályvezetők/osztályvezetők) javaslatára a 19. pontban jelzett felhasználói kört meghatározó felmérés figyelembe vételével a szakmai felügyeletet ellátó szervezeti egység állítja össze és biztosítja az összeállított felhasználói jegyzék továbbítását a feladatkörrel rendelkező szakmai kapcsolattartó felé. 23. A szakmai felügyeletet ellátó szervezeti egység szükség esetén gondoskodik a 22. pontban meghatározott felhasználói jegyzék aktualizálásáról

7 24. A 23. pontban rögzített aktualizálás a felhasználó jogviszonyát, jogállását (ügyintéző, kiadmányozó) és feladatkörét érintő változás esetén haladéktalanul, míg az egyéb adatok esetén évente történik. 25. A 24. pontban rögzített jogviszonyt és jogállást érintő változás miatti aktualizálás az Emberi Erőforrás-kezelő Rendszer Interfészből (a továbbiakban: Személyügyi Interfész rendszer) legyűjtés útján történik, amelynek eredményét az aktualizálás érdekében az INIT megküldi a szakmai felügyeletet ellátó szervezeti egység részére. 26. Amennyiben a felhasználónak sem a jogviszonya, sem a jogállása tekintetében változás nem történik, azonban feladatköre úgy módosul, hogy továbbiakban az elektronikus aláírás használatára nem jogosult, a felhasználó közvetlen vezetője hivatalos úton köteles a változást haladéktalanul jelezni a szakmai felügyeletet ellátó szervezeti egység felé az aktualizálás érdekében. 27. A 24. pontban jelzett egyéb adatok esetében a felhasználói jegyzék aktualizálása a humánpolitikai szakterület részéről feladatkörrel rendelkező szervezeti egység által átadott adatok alapján történik. 28. A szakmai felügyeletet ellátó szervezeti egység biztosítja a pontok szerint aktualizált felhasználói jegyzék továbbítását a feladatkörrel rendelkező szakmai kapcsolattartó felé. 29. A felhasználónak rendelkeznie kell az elektronikus levelező rendszer használatáról szóló NAV rendelkezésben meghatározott, külső hivatali levelezésre alkalmas nav.gov.hu kiterjesztésű levelezési címmel, amelyet a tanúsítványt, elektronikus aláírást igénylő dokumentumon is szerepeltetni kell. Amennyiben a felhasználó még nem rendelkezik ilyen levelezési címmel, úgy annak megképzését a felhasználó az Informatikai Szolgáltatások Jegyzéke rendszeren (a továbbiakban: ISZJ) keresztül a Felhasználói Jogosultságkezelési Szabályzatban előírt igénylési rendnek megfelelően kezdeményezi. 7. Szakmai kapcsolattartó kijelölése 30. A szakmai kapcsolattartót a szakmai felügyeletet ellátó szervezeti egység jelöli ki. 31. Amennyiben egy tanúsítvány, elektronikus aláírás csoport felhasználása (pl. a beszerzéssel érintett tanúsítványok, elektronikus aláírások száma, nagyságrendje vagy a beszerezni tervezett tanúsítvány jellege miatt) több folyamatban, több szervezeti egység/több szakterület által érintetten valósul meg, úgy a szakmai kapcsolattartó az érintettek konszenzusa alapján kerül kijelölésre. III. Fejezet A tanúsítványok/elektronikus aláírások beszerzése és használata 8. A tanúsítvány, elektronikus aláírás újraelosztása és új beszerzés menete 32. Az elektronikus aláírási tanúsítványra vonatkozó szakmai igény megjelenését követően a szakmai kapcsolattartó az INIT-tel együttműködve megvizsgálja, hogy az biztosítható-e a NAV rendelkezésére álló keretből

8 33. Amennyiben az igény a 32. pontban foglaltak szerint nem teljesíthető, a szükséges beszerzés megindítását a szakmai kapcsolattartó által előkészített javaslat alapján a szakmai felügyeletet ellátó szervezeti egység a 22. és 28. pontokban foglaltaknak megfelelően megküldött felhasználói jegyzék továbbításával kezdeményezi a feladatkörrel rendelkező KH Informatikai Fejlesztési Főosztálynál (a továbbiakban: IFF). 34. Az IFF az érvényes gazdálkodási NAV rendelkezéseknek megfelelően elkészíti a beszerzést kezdeményező dokumentumokat és a beszerzés megindítása céljából továbbítja azokat a KH Vagyongazdálkodási Főosztály (a továbbiakban: VGF) részére. 35. A beszerzési eljárás lefolytatását követően a VGF vagy a jogszabályban rögzített beszerzési értékhatár átlépése esetén a feladatkörrel rendelkező KH Közbeszerzési Főosztály elkészíti a kizárólagos vagy választott hitelesítés-szolgáltatóval megkötésre kerülő szerződés tervezetet, amely legalább a szakmai kapcsolattartó személyét, elérhetőségét és mellékletben a tanúsítvánnyal, elektronikus aláírással érintett felhasználói kört (tételesen, összes adat feltüntetésével vagy kizárólag a felhasználók létszámának szerepeltetésével) tartalmazza. 36. Az igénylés teljesítéséhez és a szerződés megkötéséhez szükséges, a hitelesítés-szolgáltató által elvárt kötelezően kitöltendő űrlapok, nyomtatványok az ISZJ rendszerben külön almappában érhetőek el. 37. A szerződés megkötéséről a VGF haladéktalanul értesíti az IFF-et, a szakmai kapcsolattartót és az INIT-et. 38. Amennyiben valamely okból nem kezdeményezhető beszerzés (pl. nem áll rendelkezésre finanszírozási keret), úgy a VGF erről haladéktalanul tájékoztatja az IFF-et, a szakmai kapcsolattartót és az INIT-et. 39. A tájékoztatást követően az érintett szakmai területek és az informatikai szakterület képviselői egyeztetés keretében ismételten megvizsgálják az újraelosztás lehetőségeit. 9. Regisztráció és a tanúsítvány átvétele 40. A tanúsítvány kiadás feltétele a regisztráció, amely az alábbiak szerint történhet: a) hitelesítés-szolgáltatónál történő személyes megjelenéssel, b) helyszíni ellenőrzéssel (azaz kiszállási díj ellenében a NAV által megadott helyszínen szolgáltató általi megjelenéssel), c) a NAV feladatkörrel rendelkező humánpolitikai szervezete által, a NAV személyzeti nyilvántartása alapján, valamint d) a jogszabályok által biztosított további regisztrációs lehetőségek szerint, amelyek azonban a NAV viszonylatában mellőzendőek. 41. A 40. pont a)-b) alpontjai esetében a regisztrációt a hitelesítés-szolgáltatónak benyújtott igényléssel a NAV képviselője (szakmai kapcsolattartó) kezdeményezheti, aki a bemutatott kinevezési okirat vagy a Magyar Közlönyben megjelent kinevezési döntés alapján igazolja képviseleti jogosultságát. A jogszabály által, a kezdeményező személyek tekintetében biztosított egyéb lehetőségek a NAV viszonylatában mellőzendőek

9 42. Főszabály szerint a regisztrációt követően azonnal, ugyanazon a helyszínen kerül sor a szakmai kapcsolattartó jelenlétében az aláírás-létrehozó adat, eszköz, illetve a tanúsítványok átadására. 43. Amennyiben nem csoportos, hanem egyedi regisztrációra kerül sor valamely felhasználó tekintetében, úgy a szakmai kapcsolattartó 42. pontban foglalt személyes jelenléte a regisztráció során mellőzhető azzal, hogy a felhasználó a regisztrációt követően haladéktalanul tájékoztatja a szakmai kapcsolattartót annak megtörténtéről, valamint az aláírás-létrehozó adat, eszköz, illetve tanúsítvány átvételéről. 44. A regisztrációt követően a hitelesítés-szolgáltató a szakmai kapcsolattartó útján tájékoztatja a NAV-ot a tanúsítvány kibocsátásának és az aláírás-létrehozó adat előállításának tényéről. 45. A szakmai kapcsolattartó a 42. és 43. pontokban hivatkozott aláírás-létrehozó adat és tanúsítvány átvételét a szakmai felügyelet egyidejű tájékoztatása mellett írásban igazolja a hitelesítés-szolgáltató felé. 46. Az átvételre későbbi időpontban kerülhet sor az alábbi esetekben: a) a felhasználó az egyeztetett időpontban külső körülmény miatt (pl. betegség) az azonosítás és átvétel érdekében nem jelent meg, vagy b) az adat, eszköz, tanúsítvány átvétel jogszabályban biztosított lehetőség szerint a regisztrációt követően azonnal nem történik meg. 47. A 46. pontban foglaltak esetén a szakmai kapcsolattartó új időpontot kezdeményez a hitelesítés-szolgáltatónál az ismételt azonosításra és/vagy átvételre. 48. A 47. pontban meghatározott ismételt azonosításra és/vagy átvételre biztosított időpontban a felhasználó megjelenése kötelező, figyelemmel arra, hogy annak eredménytelensége esetén az igényelt tanúsítvány jogszabályi előírás alapján a hitelesítés-szolgáltató által visszavonásra kerül. 49. A hitelesítés-szolgáltató által az elektronikus aláírást létrehozó eszközhöz biztosított alkalmazások informatikai/műszaki szempontból történő bevizsgálását az IBSZ rendelkezéseinek megfelelően és a technikai-műszaki kapcsolattartó koordinálása mellett az INIT végzi el. 50. Az INIT általi bevizsgálást követően az IFÜF az INIT által küldött megkeresés alapulvételével az IBSZ rendelkezéseinek megfelelően biztonsági szempontból jóváhagyja az alkalmazás NAV-ban történő alkalmazását. 51. A biztonsági szempontú jóváhagyást követően az INIT gondoskodik az alkalmazás felhasználók munkaállomásain történő rendelkezésre állásáról. 52. Az 51. pontban foglaltak előkészítéséhez a szakmai kapcsolattartó a technikai-műszaki kapcsolattartó rendelkezésére bocsátja az érintett felhasználói jegyzéket. 53. Az aktivált kulcsokkal és tanúsítványokkal kapcsolatos felhasználói jogosultságok beállítását a technikai-műszaki kapcsolattartó koordinációja mellett az INIT üzemeltetési-támogatási feladatokat ellátó szervezeti egysége hajtja végre

10 54. A felhasználói jogosultságok beállítását követően az elektronikus aláírás dokumentumon történő elhelyezése az alábbiak szerint történhet: a) személyes kezdeményezésre, nem automatikus módon, közvetlen személyi felügyelet mellett, b) személyes kezdeményezésre, de informatikai eszköz útján automatikus módon, közvetlen személyi felügyelet nélkül, vagy c) személyes kezdeményezés nélkül, informatikai eszköz útján automatikus módon, közvetlen személyi felügyelet nélkül. 10. A tanúsítvány érvényességének felfüggesztése, illetve visszavonása 55. A szakmai felügyeletet ellátó szervezeti egység a jogszabályban meghatározott esetekben, illetve a szakmai kapcsolattartó és/vagy a felhasználó javaslatára dönt a tanúsítvány felfüggesztéséről. 56. A tanúsítvány felfüggesztését a szakmai kapcsolattartó a felfüggesztési kód birtokában a szakmai felügyeletet ellátó szervezeti egység döntése alapján kezdeményezi a szolgáltatónál. 57. A tanúsítvány felfüggesztésének időtartama alatt a tanúsítvány dokumentumhitelesítésre nem alkalmas. 58. Amennyiben a felfüggesztésre okot adó körülmény megszűnik, úgy a szakmai kapcsolattartó a szakmai felügyeletet ellátó szervezeti egység döntése alapján kezdeményezi a hitelesítésszolgáltatónál a tanúsítvány visszaállítását. A hitelesítés-szolgáltató általi visszaállítást követően a tanúsítvány a dokumentumhitelesítésre ismételten alkalmas. 59. A tanúsítvány visszavonásáról a szakmai felügyeletet ellátó szervezeti egység dönt a jogszabályban meghatározott esetekben, illetve a szakmai kapcsolattartó és/vagy a felhasználó javaslatára. 60. A tanúsítvány visszavonását a szakmai kapcsolattartó a szakmai felügyeletet ellátó szervezeti egység döntése alapján kezdeményezi a hitelesítés-szolgáltatónál. 61. A tanúsítvány visszavonását követően a tanúsítvány dokumentumhitelesítésre a továbbiakban nem alkalmas. 11. Az aláírás-létrehozó eszközzel kapcsolatos rendkívüli esetekben követendő eljárás 62. A 4. pont d) alpontban meghatározott aláírás-létrehozó eszköz (pl. BALE) hibája vagy sérülése esetén a szakmai kapcsolattartó a szakmai felügyeletet ellátó szervezeti egység jóváhagyásával és egyidejű tájékoztatása mellett kezdeményezi az érintett aláírás-létrehozó eszköz cseréjét. 63. A 4. pont d) alpontban meghatározott aláírás-létrehozó eszköz (pl. BALE) kapcsán felmerülő egyéb rendkívüli esetben (pl. elvesztés) a szakmai kapcsolattartó a szakmai felügyeletet ellátó szervezeti egység jóváhagyásával kezdeményezi az érintett tanúsítvány felfüggesztését

11 64. Amennyiben a rendkívüli helyzet az érintett aláírás-létrehozó eszköz felfüggesztését követő 15 munkanapon belül továbbra is fennáll, a szakmai kapcsolattartó a szakmai felügyeletet ellátó szervezeti egység jóváhagyásával kezdeményezi az érintett tanúsítvány visszavonását a hitelesítés-szolgáltatónál a 10. címben foglaltaknak megfelelően. 65. Amennyiben a rendkívüli helyzet az érintett aláírás-létrehozó eszköz felfüggesztését követő 15 munkanapon belül megszűnik, úgy a szakmai kapcsolattartó az 58. pontban foglaltaknak megfelelően jár el. 66. A felhasználó közvetlen vezetőjén keresztül köteles a 62. és 63. pontokban foglalt rendkívüli esetek fennállásáról a szakmai kapcsolattartót haladéktalanul tájékoztatni. 67. A szakmai kapcsolattartó az pontokban rögzített rendkívüli esetekben történő eljárásához a technikai-műszaki kapcsolattartó útján az INIT közreműködését kérheti. 12. A tanúsítványok, elektronikus aláírások kihasználtságának felülvizsgálata 68. A tanúsítványok, elektronikus aláírások kihasználtságának felülvizsgálatával kapcsolatos feladatokat hat hónaponként rendszeresen, a szakmai felügyeletet ellátó szervezeti egység látja el. 69. Az INIT a felülvizsgálat lefolytatásához szükséges adatokat félévente a szakmai felügyeletet ellátó szervezeti egység rendelkezésére bocsátja. 70. A szakmai felügyeletet ellátó szervezeti egység a felülvizsgálat elvégzéséhez a rendelkezésére álló és a 69. pontban foglalt adatokon túl adatokat kérhet be a 19. pontban meghatározott felméréssel érintett területi (főigazgatók/igazgatók) és szakterületi vezetőktől (főosztályvezetők/osztályvezetők), valamint az INIT-től. 71. Amennyiben a felülvizsgálat eredménye alapján a fel nem használt vagy a kiosztott, de nem aktív tanúsítványok száma eléri vagy meghaladja az összes tanúsítvány 10 %-át, a szakmai felügyeletet ellátó szervezeti egység dönt a területi kvóták módosításáról, valamint az inaktív tanúsítványok felfüggesztéséről, illetve visszavonásáról. IV. Fejezet Közzététel, hozzáférhetővé tétel és nyilvántartás 13. Közzétételi és hozzáférhetővé tételi kötelezettség jogszabályi előírás alapján 72. A NAV a 83/2012. Korm. rendelet 76. (1) bekezdésében, a 85/2012. Korm. rendelet 29. (2) bekezdésében, valamint a 78/2010. Korm. rendelet 12. (5) és 13. (4) bekezdéseiben foglaltak alapján köteles a NAV internetes honlapján az alábbi adatok közzétételéről gondoskodni: a) a NAV elektronikus aláírási szabályzata, b) az ügyfelekkel kapcsolattartásra feljogosított természetes személyek családi és utóneve, c) a kiadmányozásra való jogosultság, d) az aláírási tanúsítványokra vonatkozó nyilvános adatok és az automatizált ellenőrzéshez szükséges cím,

12 e) az időpont megjelölésével azon tény, ha egy tanúsítvány visszavonásra került vagy egyéb okból már nem alkalmas a NAV nevében történő eljárásra (korábbi állapotok megjelenítése), f) az elektronikus kapcsolattartás keretében elfogadott elektronikus dokumentumformátumok. 73. A közzétételről az IFÜF a központi tanúsítvány nyilvántartás, valamint a szakmai kapcsolattartó útján a szakmai felügyeletet ellátó szervezeti egység és az INIT által átadott adatok alapján a NAV Közérdekű Adatok Közzétételi Szabályzatáról szóló NAV rendelkezésben foglalt előírások (Egyedi Közzétételi Listában történő megjelenítés) szerint gondoskodik. 74. A közzétett adatok naprakészsége érdekében a szakmai kapcsolattartó útján a szakmai felügyeletet ellátó szervezeti egység és az INIT az átadott adatok változása esetén haladéktalanul tájékoztatja az IFÜF-öt. 75. Az IFÜF a tájékoztatást követő 5 munkanapon belül intézkedik a változások közzétételéről a 73. pontban foglaltak szerint. 76. A 72. pont a) és f) alpontjai kivételével az adatok közzétételhez szükséges rendelkezésre állásáért a szakmai kapcsolattartó közreműködésével az érintett szakmai felügyeletet ellátó szervezeti egységek felelősek. 77. A 72. pont f) alpontban meghatározott adatok megfelelőségéért az INIT felelős. 78. A közzétett adatokat a 78/2010. Korm. rendelet 12. (7) bekezdése, a 13. (5) bekezdése, valamint a 16. alapján a jogszabályban meghatározott időtartamig hozzáférhetővé kell tenni. 79. A tanúsítvány használatra alkalmatlanná válásától számított 10 évig kell a honlapon hozzáférhetővé tenni a 72. pont b), d) és e) alpontjaiban meghatározott információkat. 80. A 7. pont b) és c) alpontjában meghatározott elektronikus aláírási tanúsítványok alkalmatlanná válásától számított 20 évig kell a honlapon hozzáférhetővé tenni a 72. pont b)- e) alpontokban meghatározott információkat. 81. A NAV az elektronikus aláírás-létrehozó adatokra vonatkozó iratokat, a kapcsolódó tanúsítványokat, az elektronikus aláírások tárgyában kiadott NAV rendelkezéseket az Iratkezelési Szabályzatban foglaltaknak megfelelően a maradandó értékű köziratokra vonatkozó szabályok szerint megőrzi, továbbá a helyi megőrzési idő letelte után az illetékes levéltárnak átadja, azok nem selejtezhetőek. 14. Központi tanúsítvány nyilvántartás 82. A központi tanúsítvány nyilvántartással kapcsolatos feladatokat az IFÜF látja el. 83. A központi tanúsítvány nyilvántartás naprakészsége érdekében a 84. pontban felsorolt a tanúsítvány, elektronikus aláírás igénylése, beszerzése és használata kapcsán keletkező, valamint a használat során módosuló adatokról a szakmai felügyelet, a szakmai kapcsolattartók és az INIT haladéktalanul kötelesek tájékoztatni az IFÜF-öt

13 84. A központi tanúsítvány nyilvántartás két részre bontható, amelyek az alábbi minimális adattartalommal rendelkeznek: a) általános adatok: aa) a tanúsítvány adatai (nyilvános adatok, azonosító adatok, státusz, érvényességi idő kezdete és vége, valamint az automatizált ellenőrzéshez szükséges cím), ab) a tanúsítvány típusának meghatározása a 6-8. pontokban foglaltaknak megfelelően, ac) összes tanúsítvány száma, összes felhasználó száma, ad) az aláírást létrehozó eszköz, tanúsítvány kibocsátója, ae) a kulcsgeneráló, af) az elektronikus aláírás használatának várható kezdő időpontja, kapcsolódó szerződés adatai, ag) a szakmai felügyeletet ellátó szervezeti egység megnevezése, a szakmai kapcsolattartók neve, és elérhetőségeik, ah) az üzemeltetésben informatikai támogató feladatot ellátó szervezeti egység megnevezése, technikai-műszaki kapcsolattartó neve, valamint elérhetőségeik; ai) az érintett rendszer, alkalmazás, modul, valamint az érintett szakmai munkafolyamat megjelölése, aj) a kapcsolódó NAV rendelkezések, ak) érintettsége esetén a humánpolitikai szakterület részéről feladatkörrel rendelkező szervezeti egység megnevezése, a kijelölt kapcsolattartó neve és elérhetőségeik. b) egyes felhasználókra vonatkozó adatok: ba) a felhasználó által használt tanúsítvány típus azonosítása három jellemző alapján, bb) a felhasználó technikai azonosító száma (TASZ), bc) a felhasználó-tanúsítvány kapcsolat státusza, bd) a felhasználó levelezési címe, be) tanúsítvány érvényessége kezdetének és végének dátuma. 85. A 84. pont b) alpontban rögzített, egyes felhasználókra vonatkozó adatokat a Pillér Kft. és a szakmai kapcsolattartó által szolgáltatott adatok alapján a Személyügyi Interfész rendszer kezeli az erre a célra kialakított funkcionalitással. 86. A Személyügyi Interfész rendszer a 85. pontban rögzítettek alapján validálja a NAV alkalmazásai számára az elektronikus aláírás/tanúsítvány használatára vonatkozó jogosultságot. 15. A szakmai kapcsolattartó által vezetett nyilvántartás 87. A szakmai kapcsolattartó a szakmai felügyeletet ellátó szervezeti egység egyetértésével egy adott beszerzés keretében igényelt tanúsítvány felhasználása tekintetében önálló nyilvántartást vezethet a tanúsítványok, elektronikus aláírások érvényességének, használatának nyomon követése érdekében. 88. A szakmai kapcsolattartó által vezetett nyilvántartás az alábbi minimális adattartalommal rendelkezhet: a) felhasználó neve, technikai azonosító száma (TASZ), munkaköre/rendfokozata, b) szervezeti egység (szakterületi szint), c) a 6-8. pontokban foglaltak szerint a tanúsítvány típusának meghatározása és darabszáma,

14 d) tanúsítvány státusza, lejárati ideje, e) a szolgáltatóval kötött szerződés száma, időbeli hatálya. V. Fejezet Kapcsolódó rendelkezések 89. Az egyes szakmai és/vagy funkcionális folyamat vagy rendszer kapcsán használt tanúsítványok, elektronikus aláírások igénylésére és alkalmazására vonatkozó speciális előírásokat a szakmai felügyeletet ellátó szervezeti egység elnöki körlevél formájában határozza meg, amelyben a szabályzat elveinek megjelenítése minimálisan kötelező. 90. A 89. pontban jelzett elnöki körlevelekben a szabályzatban alkalmazott fogalmaktól eltérni nem lehet. 91. A 89. pontban jelzett elnöki körleveleket az IFÜF, a gazdálkodási szakterület és az INIT előzetesen véleményezi. 92. A NAV számára előállított elektronikus aláíró kulcsokhoz kapcsolódó, Pillér Kft. által ellátott feladatok tekintetében az INIT a szakmai munka támogatására szolgáló ajánlást tartalmazó segédletet állít össze, amelyet az érintett szakmai felügyeletet ellátó szervezeti egységek, az IFÜF, az IFF, a gazdálkodási szakterület, valamint érintettsége esetén a humánpolitikai szakterület előzetesen véleményez. VI. Fejezet Átmeneti és záró rendelkezések 93. A szabályzat a kiadmányozás napját követő 5. munkanaptól érvényes. 94. A szabályzat évente történő felülvizsgálatát és a felülvizsgálat során felmerülő szükséges módosításokat az IFÜF a szakmai felügyeletet ellátó szervezeti egységek, az IFF, a gazdálkodási szakterület, az INIT, valamint a humánpolitikai szakterület közreműködésével végzi el. 95. A központi tanúsítvány nyilvántartás kialakításához szükséges információkat a szakmai felügyeletet ellátó szervezeti egységek, a szakmai kapcsolattartók, a technikai-műszaki kapcsolattartók, az IFF, a gazdálkodási szakterület, valamint érintettsége esetén a humánpolitikai szakterület az IFÜF rendelkezésére bocsátja az alábbi bontásban: a) a 84. pont a) alpontban meghatározott központi tanúsítvány nyilvántartás állandó adatai tekintetében a szabályzat érvényességének kezdő napját követő 20 munkanapon belül, b) a 84. pont b) alpontban meghatározott központi tanúsítvány nyilvántartás egyes felhasználókra vonatkozó adatai tekintetében a szabályzat érvényességének kezdő napját követő 60 munkanapon belül. 96. A 95. pont a) alpontjában jelzett adat rendelkezésre bocsátási kötelezettség teljesíthetősége érdekében a megküldés elvárt formája és módja tekintetében az IFÜF végrehajtást segítő körlevelet bocsát ki a szabályzat érvényességének kezdő napját követő 5 munkanapon belül

15 97. A 85. és 86. pontok alapján a Személyügyi Interfész rendszer 84. pont ba) alpontban rögzített adatsorral történő kiegészítéséről az INIT a Személyügyi Interfész rendszer felett szakmai felügyeletet ellátó szervezeti egység egyetértésével az IFÜF fejlesztési javaslata alapján, a szabályzat érvényességének kezdő napját követő egy hónapon belül gondoskodik. 98. A 95. pont szerint rendelkezésre bocsátott adatok alapján az IFÜF a 13. címben rögzített közzétételi kötelezettség első alkalommal történő teljesítése érdekében az alábbiak szerint jár el: a) a 84. pont a) alpontjában meghatározott központi tanúsítvány nyilvántartás állandó adatait a NAV honlapján a szabályzat érvényességének kezdő napját követő 40 munkanapon belül, b) a 84. pont b) alpontjában meghatározott központi tanúsítvány nyilvántartás egyes felhasználókra vonatkozó adatait a NAV honlapján a szabályzat érvényességének kezdő napját követő 75 munkanapon belül teszi közzé. 99. Az V. Fejezetben meghatározott NAV rendelkezéseket és segédletet december 31. napjáig kell kiadni. 1. melléklet.docx 2. melléklet.xls Budapest, március 12. dr. Vida Ildikó s.k. elnök