A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei Budapest, 2005. február 22. Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály kirner.attila@pszaf.hu 1/22
Tartalom Informatikai elvárások Jogszabályok Informatikai rendszer védelme Pénztártitok Kiszervezés Adatvédelem 2/22
Informatikai elvárások - 1 A PSZÁF feladata, célja (1999. évi CXXIV.): A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, elősegítése, a pénzügyi szolgáltatási szervezet prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján. Az ügyfelek érdekvédelme A pénz- és tőkepiaci viszonyok átláthatósága A pénzpiacokkal szembeni bizalom erősítése A tisztességes verseny fenntartása 3/22
Informatikai elvárások - 2 Az informatikai vizsgálatok négy fő területe: Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). 4/22
Informatikai elvárások - 3 Készüljön üzleti és IT stratégia (tudatos vezetés) Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok rendszeres kiértékelése és a kontrollok kialakítása. A szabályzatok aktualizálására fordítsanak gondot (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.) Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása. A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése. Belső IT szakértelem és külsősök feletti kontroll erősítése. A független ellenőrzés fokozása, a beépített audit lehetőségek kihasználása, naplófájlok rendszeres kiértékelése. 5/22
Jogszabályok - 1 2004. évi XXII. - a befektetések védelméről 1999. évi CXXIV. - a PSZÁF-ról 1996. évi CXII. (Hpt) a hitelintézetekről. 2003. évi LX. (Bit) a biztosítóintézetekről. 2001. évi CXX. (Tpt) a tőkepiacról. 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról. 1993. évi XCVI. (Öpt) az önkéntes pénztárakról. 2004. évi CI. tv. az adókról és járulékokról 1957. évi IV. (Áe) az államigazgatási eljárásról. 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 1992. évi LXIII. - a személyes adatok védelméről 6/22
Jogszabályok 2 44. (1) A pénztár a pénztártevékenységet csak a szükséges személyi feltételek, technikai, informatikai, műszaki felszereltség és a tevékenység végzésére alkalmas helyiségek birtokában kezdheti meg, továbbá rendelkeznie kell a jogszabályoknak megfelelő számviteli renddel és a biztonságos működéshez szükséges belső szabályzatokkal, valamint az egyes tevékenységek végzésében előírt pénzügyi követelmények teljesítéséhez szükséges pénzeszközökkel, tartalékokkal. A 2004. évi XXII. tv. 1. -ának (13/B. ) bevezetésének indoka:, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében. Hatálybalépés a 2004. évi CI. törvény alapján: 319. Az Öpt. e törvénnyel megállapított 40/C-D. -ainak rendelkezéseit 2006. január 1.-jétől kell alkalmazni. 321. Az Mpt. e törvénnyel megállapított 77/A-B. -ainak rendelkezéseit 2006. január 1.-jétől kell alkalmazni. 7/22
Informatikai rendszer védelme - 1 77/A. (1) A pénztárnak ki kell alakítania a tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről, (COBIT) területén. (2) A pénztár köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni (www.biztostu.hu, www.cramm.com, www.realpublishers.com, www.netrisk.com, www.riskcenter.com ) (3) A kockázatok figyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat. 8/22
Informatikai rendszer védelme - 2 77/A. (4) A pénztárnak ki kell dolgoznia az informatikai rendszerének biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie kell. Kontrollok: Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb. (www.isaca.hu) 9/22
Informatikai rendszer védelme - 3 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a) nyílvántartások, dokumentáltság, b) kontrollkörnyezet (ellenőrzések és eljárások), c) felhasználói adminisztráció (hozzáférések- és jogosultságok kezelése, naplózás, rendkívüli események), d) naplózás és alkalmas a naplózás rendszeres értékelésére, e) a távadatátvitel bizalmassága, sértetlensége, hitelessége, f) az adathordozók szabályozott és biztonságos kezeléséről, g) vírusvédelem, 10/22
Informatikai rendszer védelme - 4 77/A. (6) A pénztárnak meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: a) utasításokkal, előírásokkal, fejlesztési tervekkel, b) minden olyan dokumentációval, amely - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja, c) informatikai rendszerrel, tartalék berendezésekkel, szolgáltatások folytonosságát biztosító - megoldásokkal, d) az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását, 11/22
Informatikai rendszer védelme - 5 77/A. (6) A pénztárnak meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel (folytatás): e) biztonsági mentésekkel és mentési renddel és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről, f) alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat bármikor visszakereshetően, eredeti állapot szerint helyreállíthatóan megőrizzék, olyan módon, amely kizárja az utólagos módosítás lehetőségét. g) rendkívüli események kezelésére szolgáló tervvel. 12/22
Informatikai rendszer védelme - 6 77/A. (7) A pénztárnál mindenkor rendelkezésre kell állnia: a) az rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, b) az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, c) az informatikai rendszer elemeinek a pénztár által meghatározott biztonsági osztályokba sorolási rendszerének, d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak, f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának. 13/22
Informatikai rendszer védelme - 7 77/A. (8) A szoftvereknek együttesen alkalmasnak kell lenni legalább: a) a működéshez szükséges és jogszabályban előírt adatok nyilvántartására, b) a tárolt adatok ellenőrzéséhez való felhasználására, c) a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére. (9) A pénztár belső szabályzatában meg kell határozni az egyes munkakörök betöltéséhez szükséges informatikai ismeretet. 14/22
Pénztártitok - 1 78. (2) Pénztártitok minden olyan, a pénztártagról a pénztár vagy a pénztári szolgáltató szervezet rendelkezésére álló, a tevékenysége folytán tudomására jutó tény, információ vagy adat, amely a pénztártag személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, tulajdonosi, üzleti kapcsolataira, valamint egyéni számláján nyilvántartott összegre, járulékbefizetéseire és a részére járó nyugdíjszolgáltatásra vonatkozik. A pénztártagok nyilvántartható személyes adatainak körét a törvény 2. számú melléklete tartalmazza. A pénztár üzleti és pénztártitkot kizárólag a pénztári tevékenység folytatásával összefüggésben kezelhet. 15/22
Pénztártitok - 2 79. (2) A pénztártitok csak akkor adható ki harmadik személynek, ha a) a pénztártag vagy annak törvényes képviselője a rá vonatkozó kiszolgáltatható adatkört pontosan megjelölve közokiratban vagy teljes bizonyító erejű magánokiratban erre felhatalmazást ad, b) a törvény a pénztártitok megtartásának kötelezettsége alól felmentést ad, 16/22
Pénztártitok - 3 79. (1) A pénztártitok és üzleti titok megtartásának kötelezettsége nem áll fenn a l) a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végző szolgáltatóval, továbbá a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzővel szemben, e szerveknek a pénztárhoz intézett írásbeli megkeresése esetén 17/22
Kiszervezés - 1 77/B. (1) A pénztár a tevékenységéhez kapcsolódó, illetve jogszabály által végezni rendelt olyan tevékenységét, amelynek során adatkezelés vagy adatfeldolgozás valósul meg, kiszervezheti a 73. (1) bekezdésében foglaltaknak megfelelően. A kiszervezett tevékenységet végző a 79. (1) bekezdése alapján adatkezelést végezhet. Adatkezelésen és adatfelhasználáson a személyes adaton, illetve pénztártitkot képező adaton elvégzett, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvényben meghatározott tevékenységeket kell érteni. 18/22
Kiszervezés - 2 77/B. (2) A kiszervezett tevékenységet végzőnek - a kockázattal arányos mértékben - rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, amelyeket jogszabály a kiszervezett tevékenységet illetően a pénztárra vonatkozóan előír (3) A nyilvántartás kiszervezésére vonatkozó szerződésnek tartalmaznia kell (4) A pénztárnak rendelkeznie kell rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel köteles negyedévente az adatállomány teljes körű mentésének egy példányát a pénztár részére átadni. 19/22
Kiszervezés - 3 77/B. (5) A pénztár ellenőrző bizottsága köteles a kiszervezett tevékenység szerződésben foglaltaknak megfelelő végzését legalább évente megvizsgálni. (6) A pénztár felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és az ilyen tevékenységet végző személyektől általában elvárható gondossággal végezze. (7) A Felügyelet a tevékenység kiszervezését megtilthatja, illetve más szolgáltatóval való szerződéskötésre kötelezhet. (8) Az a kiszervezett tevékenységet végző, amely egyidejűleg több pénztár részére végez kiszervezett tevékenységet, köteles az tényt, adatot, információt elkülönítetten kezelni. 20/22
Kiszervezés - 4 77/B. (9) A közreműködőt abban az esetben alkalmazhat, ha az igénybe vett közreműködő megfelel a (2) bekezdésben előírtaknak, és a közöttük létrejövő szerződés biztosítja a kiszervezett tevékenység ellenőrzését. (10) A pénztár vezető tisztségviselője (összeférhetetlenség!) (11) A pénztár a kiszervezett tevékenységek körét az alapszabályban köteles feltüntetni. (12) A pénztár, illetve a pénztár nyilvántartását végző szolgáltató informatikai rendszerének fejlesztésére, üzemeltetésére megbízott szervezet, illetve személy - kizárólag szükséges mértékben - az informatikai rendszerben tárolt adatokat megismerheti. 21/22
Adatvédelem - 1 Az 1992. évi LXIII. Tv. (Adatvédelmi törvény) módosulása: 31/A (1)... belső adatvédelmi felelőst kell kinevezni vagy megbízni b) a pénzügyi szervezeteknél 31/A (2) A belső adatvédelmi felelős: a) közreműködik az adatkezelési döntésekben b) ellenőrzi az adatbiztonsági követelmények c) kivizsgálja a bejelentéseket d) elkészíti az adatvédelmi szabályzatot e) vezeti az adatvédelmi nyilvántartást (28-30 ) f) gondoskodik az adatvédelmi oktatásról 22/22