A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei

Hasonló dokumentumok
Felügyeleti ajánlás az informatikai rendszerekről

IT vizsgálatok tapasztalatai a biztosítóknál

Biztonsági kihívások napjainkban avagy általános áttekintés az IT biztonsággal kapcsolatos feladatokról

IT vizsgálatok tapasztalatai a pénzügyi szervezeteknél

II. Az Adatvédelmi tv. 1. -ának 4.a) pontja határozza meg az adatkezelés fogalmát:

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

IT felügyeleti elvárások és követelmények

Biztonsági kihívások napjainkban kontrollok szerepe az információ biztonságban

A TÁRKI Társadalomkutatási Intézet Zrt. Adatvédelmi és Adatbiztonsági Szabályzata

az informatikai rendszer védelméről

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

ŐRANGYAL KÖZÖSSÉGI TARTALÉK TÁMOGATÁSI SZERZŐDÉS. amely létrejött egyrészről

1999. évi CXXIV. törvény. a Pénzügyi Szervezetek Állami Felügyeletéről

A CRD prevalidáció informatika felügyelési vonatkozásai

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Informatikai Biztonsági szabályzata

ADATVÉDELMI SZABÁLYZAT

1) Mennyi ideig kötelesek megőrizni a magánnyugdíjpénztárak a társadalombiztosítási nyugdíjrendszerbe visszalépett tagok iratait?

INFORMATIKAI SZABÁLYZAT

A Pénzügyi Szervezetek Állami Felügyelete elnökének 17/2012. számú utasítása. Belső adatvédelmi és adatbiztonsági szabályzat

A Kar FEUVE rendszere

A Bankok Bázel II megfelelésének informatikai validációja

Természetes személy(ek) minősített befolyás szerzésének engedélyezésére irányuló kérelem esetén

1036 Budapest, Perc utca 2. Tel: Honlap: Adatvédelmi tájékoztató

A pénztári rendszert érintő évi jogszabályi

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

IT üzemeltetés és IT biztonság a Takarékbankban

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Agócs Gábor. MKVK PTT Elnök december 11. Tartalom. A külön kiegészítő jelentés javasolt szerkezete és tartalma

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

Informatikai prevalidációs módszertan

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

A M A G Y A R K Ö Z T Á R S A S Á G H I V A T A L O S L A P J A

A Magyar Nemzeti Bank elnökének 19/2009. (VIII. 6.) MNB rendelete

Adatvédelmi tájékoztató Készült:

1.) Közfeladatot ellátó szerv szervezeti ábrája és azok feladatleírása - szervezeti ábra külön dokumentumban

Informatikai és Biztonsági Szabályzat. I. Bevezető rendelkezések

A SZEMÉLYES ADATOK VÉDELME. Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében

A ZALA MEGYEI KATASZTRÓFAVÉDEMI IGAZGATÓ. 5/2016. számú INTÉZKEDÉSE

Adatvédelmi Szabályzat

GYŐR-SZOL Győri Közszolgáltató és Vagyongazdálkodó Zrt. Tartalomjegyzék

Általános rendelkezések

A DEBRECENI SZAKKKÉPZÉSI CENTRUM ADATVÉDELMI SZABÁLYZATA

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

SZ-06 Belső ellenőrzési szabályzat

AZ ADATFELDOLGOZÁSI TEVÉKENYSÉG ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI

A közfelügyelet és a minőségellenőrzés aktuális kérdései

AZ ADATFELDOLGOZÁSI TEVÉKENYSÉG ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI KÖNYVELŐIRODÁK RÉSZÉRE

Jogalkotási előzmények

1. ÁLTALÁNOS RENDELKEZÉSEK

A januártól életbe lépő jogszabály jelentős változást hoz a köztulajdonú szervezetek irányításával kapcsolatos követelményekben, elsősorban

ADATKEZELÉSI TÁJÉKOZTATÓ

A minőség-ellenőrzés tapasztalatai a pénz- és tőkepiac könyvvizsgálóinál

"31. A jegyző és az aljegyző" "Az aljegyző. 56/A. (1) A polgármester a jegyző javaslatára pályázat alapján aljegyzőt nevez ki.

Bevezetés előtt az új tőkeszabályozás

Információbiztonság irányítása

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

INFORMATIKAI SZABÁLYZAT

Könyvvizsgálói különjelentések feldolgozásának tapasztalatai 2012

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatvédelmi tájékoztató

Szerződés munkáltatói hozzájárulásról

ISO 27001, mint lehetséges megoldási lehetőség a megfelelésre Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft március 22.

Fókuszban az információbiztonság

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

A könyvvizsgáló kapcsolatrendszere. Kapcsolatrendszer elemei. Szabályozási háttér. Dr. Kántor Béla

ADATKEZELÉSI TÁJÉKOZTATÓ

A jogszabály mai napon hatályos állapota: /2005. (III. 11.) Korm. rendelet

Zipernowsky Károly Műszaki Szakközépiskola Informatikai Védelmi Szabályzata

Agócs Gábor MKVK PTT Elnök június MKVK Pénz és Tőkepiaci Tagozat rendezvénye

Neszmély Község Polgármesteri Hivatala

Panaszkezelési szabályzat

Csanytelek Község Önkormányzat évi Ellenőrzési Programja

A Magyar Nemzeti Bank 7/2017. (VII.5.) számú ajánlása. az informatikai rendszer védelméről. I. Az ajánlás célja és hatálya

8/2011. sz. Szabályzat FOLYAMATBA ÉPÍTETT ELŐZETES ÉS UTÓLAGOS VEZETŐI ELLENŐRZÉS RENDSZERE

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

30 MB INFORMATIKAI PROJEKTELLENŐR

Az Újhartyáni Német Nemzetiségi Általános Iskola IRATKEZELÉSI ÉS ADATKEZELÉSI SZABÁLYZATA

INFORMATIKAI FŐOSZTÁLY. 1. Az Informatikai Főosztály funkcionális feladatai tekintetében:

ADATKEZELÉSI TÁJÉKOZTATÓ

FORS Faktor Zrt. PANASZKEZELÉSI SZABÁLYZAT

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Hozamfelosztási és Hozamelszámolási Szabályzat

Muha Lajos. Az információbiztonsági törvény értelmezése

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

A MAGYAR SZABADALMI HIVATAL ALAPTEVÉKENYSÉGÉBE TARTOZÓ MUNKAKÖRÖK JEGYZÉKE

1997. évi CLVI. törvény. a közhasznú szervezetekről1

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Kiegészítő melléklet A Vitalitás Egészségpénztár évi beszámolójához

Nemzetközi elvárások a belső ellenőrzés területén IAIS ICP

Az Osztrák Nemzeti Idegenforgalmi Képviselet (Österreich Werbung Marketing Kft.) adatvédelmi szabályzata

16/2011.sz. Szabályzat. Csákvár Nagyközség Polgármesteri Hivatalának Informatikai Szabályzata

A L A P K E Z E L É S I S Z A B Á L Y Z A T A

I. A HIVATAL FELADATAI

2013 L. - tapasztalatok Antidotum 2015

NYILATKOZAT a vállalatirányítási gyakorlatról a Budapesti Értéktőzsde Részvénytársaság által közzétett Felelős Vállalatirányítási Ajánlások alapján

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Átírás:

A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei Budapest, 2005. február 22. Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály kirner.attila@pszaf.hu 1/22

Tartalom Informatikai elvárások Jogszabályok Informatikai rendszer védelme Pénztártitok Kiszervezés Adatvédelem 2/22

Informatikai elvárások - 1 A PSZÁF feladata, célja (1999. évi CXXIV.): A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, elősegítése, a pénzügyi szolgáltatási szervezet prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján. Az ügyfelek érdekvédelme A pénz- és tőkepiaci viszonyok átláthatósága A pénzpiacokkal szembeni bizalom erősítése A tisztességes verseny fenntartása 3/22

Informatikai elvárások - 2 Az informatikai vizsgálatok négy fő területe: Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). 4/22

Informatikai elvárások - 3 Készüljön üzleti és IT stratégia (tudatos vezetés) Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok rendszeres kiértékelése és a kontrollok kialakítása. A szabályzatok aktualizálására fordítsanak gondot (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.) Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása. A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése. Belső IT szakértelem és külsősök feletti kontroll erősítése. A független ellenőrzés fokozása, a beépített audit lehetőségek kihasználása, naplófájlok rendszeres kiértékelése. 5/22

Jogszabályok - 1 2004. évi XXII. - a befektetések védelméről 1999. évi CXXIV. - a PSZÁF-ról 1996. évi CXII. (Hpt) a hitelintézetekről. 2003. évi LX. (Bit) a biztosítóintézetekről. 2001. évi CXX. (Tpt) a tőkepiacról. 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról. 1993. évi XCVI. (Öpt) az önkéntes pénztárakról. 2004. évi CI. tv. az adókról és járulékokról 1957. évi IV. (Áe) az államigazgatási eljárásról. 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 1992. évi LXIII. - a személyes adatok védelméről 6/22

Jogszabályok 2 44. (1) A pénztár a pénztártevékenységet csak a szükséges személyi feltételek, technikai, informatikai, műszaki felszereltség és a tevékenység végzésére alkalmas helyiségek birtokában kezdheti meg, továbbá rendelkeznie kell a jogszabályoknak megfelelő számviteli renddel és a biztonságos működéshez szükséges belső szabályzatokkal, valamint az egyes tevékenységek végzésében előírt pénzügyi követelmények teljesítéséhez szükséges pénzeszközökkel, tartalékokkal. A 2004. évi XXII. tv. 1. -ának (13/B. ) bevezetésének indoka:, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében. Hatálybalépés a 2004. évi CI. törvény alapján: 319. Az Öpt. e törvénnyel megállapított 40/C-D. -ainak rendelkezéseit 2006. január 1.-jétől kell alkalmazni. 321. Az Mpt. e törvénnyel megállapított 77/A-B. -ainak rendelkezéseit 2006. január 1.-jétől kell alkalmazni. 7/22

Informatikai rendszer védelme - 1 77/A. (1) A pénztárnak ki kell alakítania a tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről, (COBIT) területén. (2) A pénztár köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni (www.biztostu.hu, www.cramm.com, www.realpublishers.com, www.netrisk.com, www.riskcenter.com ) (3) A kockázatok figyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat. 8/22

Informatikai rendszer védelme - 2 77/A. (4) A pénztárnak ki kell dolgoznia az informatikai rendszerének biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie kell. Kontrollok: Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb. (www.isaca.hu) 9/22

Informatikai rendszer védelme - 3 77/A. (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a) nyílvántartások, dokumentáltság, b) kontrollkörnyezet (ellenőrzések és eljárások), c) felhasználói adminisztráció (hozzáférések- és jogosultságok kezelése, naplózás, rendkívüli események), d) naplózás és alkalmas a naplózás rendszeres értékelésére, e) a távadatátvitel bizalmassága, sértetlensége, hitelessége, f) az adathordozók szabályozott és biztonságos kezeléséről, g) vírusvédelem, 10/22

Informatikai rendszer védelme - 4 77/A. (6) A pénztárnak meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: a) utasításokkal, előírásokkal, fejlesztési tervekkel, b) minden olyan dokumentációval, amely - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja, c) informatikai rendszerrel, tartalék berendezésekkel, szolgáltatások folytonosságát biztosító - megoldásokkal, d) az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását, 11/22

Informatikai rendszer védelme - 5 77/A. (6) A pénztárnak meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel (folytatás): e) biztonsági mentésekkel és mentési renddel és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről, f) alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat bármikor visszakereshetően, eredeti állapot szerint helyreállíthatóan megőrizzék, olyan módon, amely kizárja az utólagos módosítás lehetőségét. g) rendkívüli események kezelésére szolgáló tervvel. 12/22

Informatikai rendszer védelme - 6 77/A. (7) A pénztárnál mindenkor rendelkezésre kell állnia: a) az rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, b) az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, c) az informatikai rendszer elemeinek a pénztár által meghatározott biztonsági osztályokba sorolási rendszerének, d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak, f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának. 13/22

Informatikai rendszer védelme - 7 77/A. (8) A szoftvereknek együttesen alkalmasnak kell lenni legalább: a) a működéshez szükséges és jogszabályban előírt adatok nyilvántartására, b) a tárolt adatok ellenőrzéséhez való felhasználására, c) a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére. (9) A pénztár belső szabályzatában meg kell határozni az egyes munkakörök betöltéséhez szükséges informatikai ismeretet. 14/22

Pénztártitok - 1 78. (2) Pénztártitok minden olyan, a pénztártagról a pénztár vagy a pénztári szolgáltató szervezet rendelkezésére álló, a tevékenysége folytán tudomására jutó tény, információ vagy adat, amely a pénztártag személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, tulajdonosi, üzleti kapcsolataira, valamint egyéni számláján nyilvántartott összegre, járulékbefizetéseire és a részére járó nyugdíjszolgáltatásra vonatkozik. A pénztártagok nyilvántartható személyes adatainak körét a törvény 2. számú melléklete tartalmazza. A pénztár üzleti és pénztártitkot kizárólag a pénztári tevékenység folytatásával összefüggésben kezelhet. 15/22

Pénztártitok - 2 79. (2) A pénztártitok csak akkor adható ki harmadik személynek, ha a) a pénztártag vagy annak törvényes képviselője a rá vonatkozó kiszolgáltatható adatkört pontosan megjelölve közokiratban vagy teljes bizonyító erejű magánokiratban erre felhatalmazást ad, b) a törvény a pénztártitok megtartásának kötelezettsége alól felmentést ad, 16/22

Pénztártitok - 3 79. (1) A pénztártitok és üzleti titok megtartásának kötelezettsége nem áll fenn a l) a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végző szolgáltatóval, továbbá a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzővel szemben, e szerveknek a pénztárhoz intézett írásbeli megkeresése esetén 17/22

Kiszervezés - 1 77/B. (1) A pénztár a tevékenységéhez kapcsolódó, illetve jogszabály által végezni rendelt olyan tevékenységét, amelynek során adatkezelés vagy adatfeldolgozás valósul meg, kiszervezheti a 73. (1) bekezdésében foglaltaknak megfelelően. A kiszervezett tevékenységet végző a 79. (1) bekezdése alapján adatkezelést végezhet. Adatkezelésen és adatfelhasználáson a személyes adaton, illetve pénztártitkot képező adaton elvégzett, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvényben meghatározott tevékenységeket kell érteni. 18/22

Kiszervezés - 2 77/B. (2) A kiszervezett tevékenységet végzőnek - a kockázattal arányos mértékben - rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, amelyeket jogszabály a kiszervezett tevékenységet illetően a pénztárra vonatkozóan előír (3) A nyilvántartás kiszervezésére vonatkozó szerződésnek tartalmaznia kell (4) A pénztárnak rendelkeznie kell rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel köteles negyedévente az adatállomány teljes körű mentésének egy példányát a pénztár részére átadni. 19/22

Kiszervezés - 3 77/B. (5) A pénztár ellenőrző bizottsága köteles a kiszervezett tevékenység szerződésben foglaltaknak megfelelő végzését legalább évente megvizsgálni. (6) A pénztár felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és az ilyen tevékenységet végző személyektől általában elvárható gondossággal végezze. (7) A Felügyelet a tevékenység kiszervezését megtilthatja, illetve más szolgáltatóval való szerződéskötésre kötelezhet. (8) Az a kiszervezett tevékenységet végző, amely egyidejűleg több pénztár részére végez kiszervezett tevékenységet, köteles az tényt, adatot, információt elkülönítetten kezelni. 20/22

Kiszervezés - 4 77/B. (9) A közreműködőt abban az esetben alkalmazhat, ha az igénybe vett közreműködő megfelel a (2) bekezdésben előírtaknak, és a közöttük létrejövő szerződés biztosítja a kiszervezett tevékenység ellenőrzését. (10) A pénztár vezető tisztségviselője (összeférhetetlenség!) (11) A pénztár a kiszervezett tevékenységek körét az alapszabályban köteles feltüntetni. (12) A pénztár, illetve a pénztár nyilvántartását végző szolgáltató informatikai rendszerének fejlesztésére, üzemeltetésére megbízott szervezet, illetve személy - kizárólag szükséges mértékben - az informatikai rendszerben tárolt adatokat megismerheti. 21/22

Adatvédelem - 1 Az 1992. évi LXIII. Tv. (Adatvédelmi törvény) módosulása: 31/A (1)... belső adatvédelmi felelőst kell kinevezni vagy megbízni b) a pénzügyi szervezeteknél 31/A (2) A belső adatvédelmi felelős: a) közreműködik az adatkezelési döntésekben b) ellenőrzi az adatbiztonsági követelmények c) kivizsgálja a bejelentéseket d) elkészíti az adatvédelmi szabályzatot e) vezeti az adatvédelmi nyilvántartást (28-30 ) f) gondoskodik az adatvédelmi oktatásról 22/22

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés