docens BME Híradástechnikai Tanszék CrySyS Adat- és Rendszerbiztonság Laboratórium buttyan@hit.bme.hu, buttyan@crysys.hu



Hasonló dokumentumok
ELEKTRONIKUS ALÁÍRÁS E-JOG

194/2005. (IX. 22.) Korm. rendelet

a bizalmi felügyelet által vezetett nyilvántartások tartalmáról és a bizalmi szolgáltatás nyújtásával kapcsolatos bejelentésekről

2001. évi XXXV. törvény. az elektronikus aláírásról. A törvény hatálya, alapelvek, kivételek, értelmező rendelkezések

3/2005. (III. 18.) IHM rendelet. az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről

Gyakran ismétlődő kérdések az elektronikus aláírásról

NyugDíjcsomag Üzletszabályzat

Elektronikus aláírással kapcsolatos szolgáltatást nyújtók ellenőrzése évi beszámoló

A Z E L E K T R O N I K U S A L Á Í R Á S J O G I S Z A B Á L Y O Z Á S A.

SZOLGÁLTATÁSI SZERZŐDÉS

2001. évi XXXV. törvény az elektronikus aláírásról

2.1 Szakmai ismeretek

2. oldal 7. Elektronikus aláírás ellenőrzése: az elektronikus dokumentum aláíráskori, illetve ellenőrzéskori tartalmának összevetése, továbbá az aláír

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

Elektronikus hitelesítés a gyakorlatban

2001. évi XXXV. törvény. az elektronikus aláírásról. A törvény hatálya, alapelvek, kivételek, értelmező rendelkezések

Magyar joganyagok - 137/2016. (VI. 13.) Korm. rendelet - az elektronikus ügyintézés 2. oldal 2. elektronikus tájékoztatás szabálya: az elektronikus üg

10) A Hitelesítés Szolgáltató kijelenti, hogy megfelel a magyar közigazgatási elvárásoknak, beleértve a kapcsolódó ajánlásokat és specifikációkat is.

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hitelesítési rendekre december 7.

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Elektronikus aláírás. Miért van szükség elektronikus aláírásra? A nyiltkulcsú titkosítás. Az elektronikus aláírás m ködése. Hitelesít szervezetek.

TÁJÉKOZTATÓ. Elektronikus kapcsolattartás a látvány-csapatsportok támogatásának rendszerében. Alkalmazandó:

Elektronikus rendszerek a közigazgatásban

Matáv Minősített e-szignó

Az informatikai biztonság alapjai. 5. Előadás (Jogi szabályozás)

MÁSOLATKÉSZÍTÉSI REND

ELŐTERJESZTÉS. a Kormány részére

Az e-közigazgatás és az építésügy. Értelmező kódex szerkesztés alatt

T/ évi... törvény. az elektronikus aláírásról szóló évi XXXV. törvény módosításáról

TANÚSÍTVÁNY. tanúsítja, hogy a. Giesecke & Devrient GmbH, Germany által előállított és forgalmazott

Kereskedelmi, Szolgáltató és Tanácsadó Kft. Általános Szerződési Feltételek a Minősített Elektronikus Aláírással Kapcsolatos Szolgáltatásokhoz

Szabályzat a papíralapú dokumentumokról elektronikus úton történő másolat készítésének szabályairól

Másolatkészítési szabályzat

Elektronikus aláírással kapcsolatos szolgáltatást nyújtók ellenőrzése évi beszámoló

MÁV INFORMATIKA. Kereskedelmi, Szolgáltató és Tanácsadó Zártkörűen Működő Részvénytársaság

A HEVES MEGYEI KORMÁNYHIVATAL ELEKTRONIKUS ALÁÍRÁSI SZABÁLYZATA

NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Az ELO Iratkezelő Modul jogi háttere. dr. Fenyér Éva ügyvéd, iratkezelési jogi tanácsadó

1. oldal. együttes elnevezésük szerint: Szerződő Felek között, alulírott helyen és időben az alábbiak szerint:

NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. Szolgáltatási szabályzat minősített elektronikus aláírással kapcsolatos szolgáltatásokhoz (HSZSZ-M)

Magyar joganyagok - 30/2018. (II. 28.) Korm. rendelet - az egyéni védőeszközök meg 2. oldal 5. (1) A kijelölt szervezet a tárgyévben végzett megfelelő

A jogszabály mai napon hatályos állapota: /2005. (III. 11.) Korm. rendelet

Magyar Telekom. Minősített Időbélyegzés-szolgáltatás. Általános Szerződési Feltételek

HITELES MÁSOLATKÉSZÍTÉSI REND

Az elektronikus ügyintézés: a közigazgatási hatósági ügyek elektronikus úton történő ellátása, az eközben felmerülő tartalmi és formai kezelési

e-szignó Hitelesítés Szolgáltató nem minősített időbélyegzési rend

ÉRDI RENDŐRKAPITÁNYSÁG ELEKTRONIKUS ALÁÍRÁSI ÉS ELEKTRONIKUS BÉLYEGZÉSI SZABÁLYZATA

Elektronikus Aláírási Szabályzat. Elektronikus aláírással ellátott küldemények fogadása és elektronikus aláírással ellátott iratok kiadmányozása

Pénzváltási tevékenységet végző kiemelt közvetítővel kötött megbízási szerződés módosításának engedélyezése (új pénzváltó telephely engedélyezése)

24/2006. (V. 18.) IM rendelet az elektronikus cégbejegyzési eljárás és cégnyilvántartás egyes kérdéseiről

Szolgáltatási szabályzat fokozott biztonságú elektronikus aláírással kapcsolatos szolgáltatásokhoz (HSZSZ-F)

Elektronikus rendszerek a közigazgatásban

Elektronikus aláírás. Gaidosch Tamás. Állami Számvevőszék

Elektronikus rendszerek a közigazgatásban

Hitelesítési Rend nyilvános körben kibocsátott nem minősített tanúsítványokra (HR-NMT)

Tájékoztató. a NISZ Zrt. elektronikus aláírással kapcsolatos szolgáltatásairól

Rendelkezési nyilvántartás szolgáltatás részletes feltételei

RENDELKEZÉSI NYILVÁNTARTÁS SZOLGÁLTATÁS RÉSZLETES FELTÉTELEI

Hitelesítési Rend nyilvános körben kibocsátott minősített tanúsítványokra (HR-MTT)

h a t á r o z a t o t A Hatóság megállapítja, hogy a Szolgáltató megsértette az Eat. 7. (5) bekezdése szerinti kötelezettségét azzal, hogy

Telenor Magyarország Távközlési Zrt.

Üzletszabályzat. Advocatus Díjcsomag

Magyar joganyagok évi CCXXII. törvény - az elektronikus ügyintézés és a biza 2. oldal 6. belső nyilvántartás: olyan nyilvántartás, amelynek a

Jogszabály változás alkalmazása: 8/2018 (VIII.17.) ITM rendelet

BARCSI RENDŐRKAPITÁNYSÁG ELEKTRONIKUS ALÁÍRÁSI ÉS ELEKTRONIKUS BÉLYEGZÉSI SZABÁLYZATA

A Nemzeti Adó- és Vámhivatal elnöke által kiadott. 2077/2015. szabályzat. az elektronikus aláírások használatáról

eidas - AZ EURÓPAI PARLAMENT ÉS A TANÁCS 910/2014/EU RENDELETE

MÁV INFORMATIKA. Kereskedelmi, Szolgáltató és Tanácsadó Zártkörűen Működő Részvénytársaság

Szolgáltatási szabályzat a minősített elektronikus aláírással kapcsolatos szolgáltatásokhoz (HSZSZ-M)

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

SOMOGY MEGYEI RENDŐR-FŐKAPITÁNYSÁG ELEKTRONIKUS ALÁÍRÁSI ÉS ELEKTRONIKUS BÉLYEGZÉSI SZABÁLYZATA

Kereskedelmi, Szolgáltató és Tanácsadó Kft. PDF dokumentumok hitelességének ellenőrzése

TÁJÉKOZTATÓ. 1. Hatósági képzést és vizsgáztatást végző szervek jegyzékébe vétel iránti kérelem

9.6 A tanúsítvány felfüggesztése, visszavonása vagy alkalmazási területének szűkítése

h a t á r o z a t o t

Tájékoztató az e-szignó Hitelesítés Szolgáltató ügyfelei számára

Azonosító: Verzió: 1.0 Első verzió hatálybalépése: Biztonsági besorolás: NYILVÁNOS

EDUCATIO Társadalmi Szolgáltató Közhasznú Társaság ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

Időbélyegzés Szolgáltatási Rend (ISZR)

Ta je koztato a la tva ny-csapatsportok ta mogata sa nak rendszere ben a 2013/14-es ta mogata si ido szakban bevezete sre keru lo elektronikus

Hitelesítési Rend nyilvános körben kibocsátott biztonságos aláírás-létrehozó eszköz alkalmazását megkövetelő minősített tanúsítványokra (HR-MTT+BALE)

2009. évi CXXXIII. törvény. a megfelelőségértékelő szervezetek tevékenységéről 1. Értelmező rendelkezések

EZ AZ ELŐTERJESZTÉS A KORMÁNY ÁLLÁSPONTJÁT NEM TÜKRÖZI

Időbélyegzési Rend. Minősített e-szignó Hitelesítés Szolgáltató. Számítástechnikai Fejlesztő Kft.

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

Tájékoztató a KryoNet E-számla programcsomaghoz szükséges tanúsítványról

Adatkezelési és Adatvédelmi Szabályzat

Szolgáltatási szabályzat a minősített elektronikus aláírással kapcsolatos szolgáltatásokhoz (HSZSZ-M)

union24 portál felhasználási útmutató

ADATVÉDELMI SZABÁLYZAT

Általános Szerződési Feltételek a PKI szolgáltatásokhoz (ÁSZF-PKI)

Szabó Zoltán PKI termékmenedzser

Azonosító: Verzió: 1.2 Első verzió hatálybalépése: Biztonsági besorolás: NYILVÁNOS

RENDŐRSÉGI OKTATÁSI ÉS KIKÉPZŐ KÖZPONT ELEKTRONIKUS ALÁÍRÁSI ÉS ELEKTRONIKUS BÉLYEGZÉSI SZABÁLYZATA

ÜGYFÉLTÁJÉKOZTATÓ A MINŐSÍTETT ELEKTRONIKUS ALÁÍRÁS MEZŐGAZDASÁGI ÉS VIDÉKFEJLESZTÉSI HIVATAL ÁLTALI ALKALMAZÁSÁRÓL

Szolgáltatási szabályzat titkosító tanúsítvány szolgáltatáshoz (HSZSZ-T)

Hosszú távú hiteles archiválás elektronikus aláírás segítségével. Krasznay Csaba BME Informatikai Központ

Neve:... Székhelye: ... Az rendezvény címe:...helyrajzi száma.: V. A rendezvénynek helyt adó építmény alapterülete:.m 2

Kereskedelmi, Szolgáltató és Tanácsadó Kft. Általános Szerződési Feltételek Fokozott Biztonságú Elektronikus Aláíráshitelesítés Szolgáltatáshoz

Átírás:

2001. évi XXXV. törvény az elektronikus aláírásról A biztonságos elektronikus kereskedelem alapjai (bmevihim219) Dr. Buttyán Levente docens BME Híradástechnikai Tanszék CrySyS Adat- és Rendszerbiztonság Laboratórium buttyan@hit.bme.hu, buttyan@crysys.hu Tartalom a törvény hatálya, alapelvek, definíciók az elektronikus aláírással kapcsolatos szolgáltatások jogkövetkezményei a szolgáltatások a szolgáltatások nyújtásának feltételei a hitelesítés-szolgáltatási tevékenység adatkezelés és adatvédelem az aláíró (jogai és kötelezettségei) a tanúsítvány felfüggesztése, ill. visszavonása a szolgáltató felelőssége a szolgáltató tevékenységének befejezése a Felügyelet (NHH) feladatai tanúsító szervezetek 2

Definíciók aláírás-létrehozó adat: olyan egyedi adat, amit az aláíró az aláírás létrehozásához használ (privát kulcs) aláírás-ellenőrző adat: olyan egyedi adat, amit az elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ (nyilvános kulcs) aláírás-létrehozó eszköz: olyan hardver, illetve szoftver eszköz, melynek segítségével az aláíró az aláírás-létrehozó adat felhasználásával az elektronikus aláírást létrehozza (pl. smart kártya) elektronikus aláírás: elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelelt és azzal elválaszthatatlanul összekapcsolt elektronikus adat 3 Definíciók időbélyegző: elektronikus dokumentumhoz végérvényesen hozzárendelt, azzal logikailag összekapcsolt igazolás, mely tartalmazza a bélyegzés időpontját, s amely a dokumentum tartalmához oly módon kapcsolódik, hogy azon az igazolás kiadását követő minden módosítás érzékelhető hitelesítés-szolgáltató (HSz): hitelesítés szolgáltatást végző személy vagy szervezet (CA) tanúsítvány: hitelesítés-szolgáltató által kibocsátott igazolás amely az aláírás ellenőrző adatot egy meghatározott személyhez kapcsolja, és igazolja a személy személyazonosságát 4

Definíciók minősített hitelesítés-szolgáltató: a Felügyelet által minősítettként nyilvántartásba vett hitelesítés szolgáltató a minősített szolgáltatóra vonatkozó követelményeket lásd később minősített tanúsítvány: olyan tanúsítvány melyet minősített szolgáltató adott ki fokozott biztonságú elektronikus aláírás: a következő követelményeknek megfelelő elektronikus aláírás: alkalmas az aláíró azonosítására és egyedülállóan hozzá köthető olyan eszközzel hozták létre, mely kizárólag az aláíró befolyása alatt áll a dokumentum tartalmához oly módon kapcsolódik, hogy azon minden az aláírás elhelyezését követő módosítás érzékelhető minősített elektronikus aláírás: olyan fokozott biztonségú aláírás, amely biztonságos aláírás-létrehozó eszközzel (BALE) készült, és amelynek hitelesítése céljából minősített tanúsítványt bocsátottak ki 5 Alapelv elektronikus aláírás, ill. elektronikus irat vagy dokumentum elfogadását (beleértve bizonyítási eszközként történő alkalmazását) megtagadni, joghatás kiváltására való alkalmasságát kétségbe vonni nem lehet kizárólag amiatt, hogy az aláírás illetve irat vagy dokumentum elektronikus formában létezik * minősített tanúsítványt bármely bírósági vagy államigazgatási eljárásban el kell fogadni * kivételek és korlátozásak 6

Szolgáltatások 1. (elektronikus aláírás) hitelesítés-szolgáltatás a HSz azonosítja az igénylő személyét tanúsítványt bocsát ki nyilvántartásokat vezet fogadja a tanúsítványokkal kapcsolatos változásokat nyilvánosságra hozza a tanúsítványhoz tartozó szabályzatokat, az aláírás-ellenőrző adatokat, és a tanúsítvány aktuális állapotára (különösen a visszavonásra) vonatkozó információkat 2. időbélyegzés 3. aláírás-létrehozó eszközön aláírás-létrehozó adat elhelyezése a szolgáltatásokat egyenként vagy azok közül többet együttesen is lehet nyújtani 7 A szolgáltatásnyújtás feltételei fokozott biztonságú szolgálatás belföldi lakhelyű természetes személy vagy belföldi székhelyű jogi személy 30 nappal a működés megkezdése előtt be kell jelenteni a Felügyeletnél a bejelentéshez csatolni kell a szolgáltatási szabályzatot aláírás vagy időbélyegző előállításához csak a Felügyeletnél nyilvántartásba vett (a tanúsításra jogosult szervezetek által kiadott igazolással rendelkező) aláíró eszköz használható minősített szolgálatás ua mint a fokozott biztonságú szolgáltatás + minősítést kell szerezni a Felügyelettől lásd bővebben később 8

A hitelesítés-szolgáltatási tevékenység a HSz köteles tájékoztatni a szolgáltatást igénylőt a szolgáltatás felhasználásának módjáról, biztonsági fokáról, a szolgáltatási szabályzatról, egyéb korlátozásokról a HSz a minősített tanúsítványban meghatározhatja a tanúsítvány felhasználásának tárgybeli, földrajzi, vagy egyéb korlátait, ill az egy alkalommal vállalható kötelezettség legnagyobb értékét a HSz azonosítja az igénylő személyét, majd saját aláírásával aláírt tanúsítvánnyal hitelesíti az igénylő aláírását a HSz biztosítja, hogy az aláírás-létrehozó adat és az aláírás-ellenőrző adat egyedi legyen, és egymáshoz tartozzon (feltéve hogy mindkettő a HSz-től származik) 9 A hitelesítés-szolgáltatási tevékenység a HSz fogadja és feldolgozza a tanúsítványokkal kapcsolatos változások adatait a HSz nyilvántartást vezet a tanúsítványok aktuális állapotáról (felfüggesztéséről vagy visszavonásáról) a HSz közcélú távközlő hálózatok segítségével bárki számára folyamatosan elérhető módon közzéteszi: visszavont tanúsítványok nyilvántartását az aláírás-ellenőrző adatokat saját szabályzatait a HSz a tanúsítványokkal kapcsolatos minden információt a tanúsítvány érvényességének lejártától legalább 5 évig megőriz a HSz tevékenységi köréből csak az új tanúsítványok kiadását szüneteltetheti 10

A minősített tanúsítvány tartalma annak megjelölése, hogy a tanúsítvány minősített a HSz és székhelyének azonosítója az aláíró neve (vagy álneve, ennek jelzésével) az aláíró speciális jellemzői, a szándékolt felhasználástól függően az aláírás-ellenőrző adat a tanúsítvány érvényességi idejének kezdete és vége a tanúsítvány azonosító kódja a kibocsátó HSz (fokozott biztonságú) aláírását a tanúsítvány felhasználásának korlátait 11 Az aláíró (jogai és kötelezettségei) az aláíró jogosult az aláírás-létrehozó adatot birtokolni a tanúsítvány felfüggesztését vagy visszavonását kérni az aláíró köteles a HSz-t tájékoztatni az azonosításhoz szükséges adatokról az aláírás-létrehozó adat elvesztéséről vagy annak illetéktelen személyhez való kerüléséről minden egyéb észlelt rendellenességről a tanúsítvánnyal összefüggő bármilyen jogvita megindulásáról az aláíró az aláírás-létrehozó adatot kizárólag aláírás létrehozására használhatja, beleértve a tanúsítványban jelzett korlátozásokat 12

A tanúsítvány felfüggesztése ill. visszavonása a HSz felfüggeszti a tanúsítványt, ha az aláíró ezt kéri a szolgáltatással kapcsolatos rendellenességről szerez tudomást megalapozottan feltételezhető, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy az aláírás-létrehozó adat nem az aláíró kizárólagos tulajdonában van a Felügyelet így rendelkezik a HSz visszavonja a tanúsítványt és ezt közzéteszi, ha az aláíró ezt kéri a szolgáltatással kapcsolatos rendellenesség nem orvosolható tudomására jut, hogy a tanúsítványban foglalt adatok nem felelnek meg a valóságnak, vagy az aláírás-létrehozó adat nem az aláíró kizárólagos tulajdonában van a Felügyelet így rendelkezik a HSz tevékenységét befejezte 13 A szolgáltató felelőssége a HSz felelős a minősített elektronikus aláírással vagy időbélyegzővel, illetve az ezzel ellátott dokumentummal okozott kárért, ha olyan aláíró eszközt használ, mely nincs a Felügyelet nyilvántartásában a szolgáltatást nem a korábban leírtaknak megfelelően nyújtja a felfüggesztéseket és visszavonásokat nem a korábban leírtak szerint végzi a bizonyítási teher a HSz-en van a szabályok megtartását neki kell bizonyítania 14

A szolgáltató tevékenységének befejezése 60 nappal a tevékenység befejezése előtt a HSz-nek értesítenie kell az ügyfeleit (a kiadott tanúsítványokban megjelölt aláírókat) és a Felügyeletet ettől kezdve új tanúsítványokat nem adhat ki 20 nappal a befejezés előtt a HSz köteles minden általa kiadott tanusítványt visszavonni ki kell jelölnie azt a HSz-t amely tevékenységét átveszi (különösen a visszavont tanusítványok nyilvántartását) ha a HSz fenti kötelességeinek nem tesz eleget, akkor a Felügyelet gondoskodik az új HSz kijelöléséről, és a kiadott tanúsítványok visszavonásáról 15 A Felügyelet feladatai minősítés a minősítéssel kapcsolatos eljárás során a felügyelet megvizsgálja a HSz technikai, működési, és személyi feltételek meglétét és folyamatos biztosítását (pl. büntetlen előélet és szakképzetség) a működési szabályoknak és a szolgáltatási szabályzatnak való megfelelést ha a HSz megfelel, akkor a Felügyelet minősített szolgáltatóként nyilvántartásba veszi nyilvántartások vezetése és közzé tétele minősített szolgáltatók fokozott biztonságú szolgáltatók aláírás-létrehozó eszközök aláírás-létrehozó eszközök tanusítására kijelölt szervezetek minősített HSz által kibocsátott tanúsítványtípusok megnevezése 16

A Felügyelet feladatai szolgáltatók ellenőrzése, intézkedések a Felügyelet jogosult ellenőrizni, hogy a HSz megfelel-e a törvény, a jogszabályok, és a szolgáltatási szabályzat előírásainak a Felügyelet helyszíni ellenőrzést tarthat, mely során helyiségekbe léphet be, iratokat, adathordozókat, tárgyakat, munkafolyamatokat vizsgálhat meg, felvilágosítást, nyilatkozatokat kérhet a Felügyelet évente legalább egyszer átfogó ellenőrzést tart intézkedések felhívhatja a HSz figyelmét az előírások betartására megtilthatja bizonyos technológiák és eljárások használatát elrendelheti új tanúsítvány kibocsátásának szüneteltetését elrendelheti korábban kiadott tanúsítványok visszavonását bírságot szabhat ki törölheti a szolgáltatót a minősített szolgáltatók közül 17 A Felügyelet feladatai bírságok kiszabása a bírság összege 100 eft 10000 eft-ig terjedhet, ha a HSz minősített szolgáltatónak adja ki magát anélkül, hogy a Felügyelet minősítette volna a HSz nem védi megfelelően saját aláírás-létrehozó adatát nem őrzi meg a tanúsítvány kibocsátásával kapcsolatos adatokat egyébként a bírság 50 eft 5000 eftüg terjedhet vezető tisztségviselőkkel szemben kiszabott bírság 50 eft 1000 eft-ig terjedhet 18

Tanusító szervezetek aláíró eszközök és egyéb aláírási termékek tanúsítására jogosult szervezetek és magánszemélyek a tanusító szervezeteket a Kijelölési Bizottság jelöli ki a szervezetek kijelölési kérelme alapján a Kijelölő Bizottság a Miniszterelnöki Hivatal Informatikai Kormánybiztosságához tartozik, és 5 tagból áll a tanúsító szervezet előírásoknak való megfelelését a bizottság által felkért szakértők végzik 19 16/2001 MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és azok szolgáltatóira vonatkozó részletes követelményekről 20

A szolgáltatókra vonatkozó követelmények szolgáltatási szabályzat a fokozott biztonságú szolgáltatónak (beleértve a minősített szolgáltatót is) tevékenységének megkezdése előtt szolgáltatási szabályzatot kell készítenie ezt a szolgáltatás megkezdésével egyidejűleg nyilvánosságra kell hozni (nyitott helyiség, Internet) a minősített szolgáltatás igénybevevőjét a szolgáltatási szerződés megkötése előtt tájékoztatni kell a szolgáltatási szabályzat tartalmáról és elérhetőségéről tevékenység befejezése a HSz informatikai rendszerében foglalt adatokról teljeskörű mentést kell végezni és azt minősített időbélyegzővel ellátni pénzügyi követelmények vagy bankgarancia (fokozott bizt: 3 MFt, minősített: 25 MFt) vagy letét (fokozott bizt: 3 MFt, minősített: 25 MFt) vagy kezesség (fokozott bizt: 100 MFt tőkéjű gazdasági társaság, minősített: 500 MFt tőkéjű gazdasági társaság) 21 A szolgáltatási szabályzat tartalma a HSz adatai (név, telephely, stb.) a Felügyeletnél történt nyilvántartásba-vétel dátuma verzió szám a szabályzat hatályba lépésének és megszűnésének dátuma a HSz által használt elektronikus aláírási termékek listája, és nyilatkozat, hogy ezeket a Felügyelet nyilvántartásba vette ügyfélszolgálat elérhetősége a HSz által vállalt rendelkezésre állási idők (pl. visszavonási nyilvántartás) tájékoztató a HSz által nyújtott szolgáltatásokról, a kibocsátott tanúsítványtípusokról, a kiadott tanúsítványok joghatásairól, a felhasználás feltételeiről, az aláíró és az ellenőrző felek kötelezettségeiről tájékoztató a tanúsítvány visszavonásának jogkövetkezményeiről tájékoztató arról hogyan kezeli a HSz a személyes adatokat 22

A minősített szolgáltatókra vonatkozó követelmények szolgáltatási szabályzat további elemei a folyamatos rendelkezésre állás biztosításának módja tevékenység befejezése utáni eljárás leírása annak leírását, hogy a HSz milyen módon felel meg az üzemeltetési és hozzáférési biztonsági követelményeknek milyen termékeket használ a szolgáltatás nyújtásához miként kívánja a karbantartási és telepítési hibákat elkerülni az üzemeltetés ellenőrzéséhez milyen eljárásokat alkalmaz hogyan gondoskodik az archivált adatok védelméről az informatikai rendszer hozzáférési jogosultságai (ki, mikor, hogyan?) rendkívüli üzemeltetési helyzet esetén követendő eljárások felfüggesztési ill visszavonási kérelem hitelesítésének módja... a szolgáltatói kulcsok menedszmentjének módja az aláírás-létrehozó adatok létrehozásának módja referencia időforrások megnevezése bizalmi munkakörök megnevezése és leírása 23 A minősített szolgáltatókra vonatkozó követelmények szolgáltatások rendelkezésre állásának biztosítása felelősségbiztosítás káreseményenként legalább 50 MFt-ig terjedő fedezet személyzeti biztonsági követelmények bizalmi munkakört csak megfelelő végzettséggel és szakmai tapasztalattal lehet betölteni (felső fokú végzettség + 3 év szakmai tapasztalat vagy középfokú végzettség + 5 év szakmai tapasztalat) bizalmi munkakörök: biztonsági tisztviselő (a szolgáltatás biztonságáért felelős) rendszeradminisztrátor (szolgáltatással kapcsolatos általános informatikai teendők) rendszerüzemeltető (folyamatos üzem, mentés, helyreállítás) egy személy nem tölthet be több bizalmi munkakört naplózni kell mely személyek milyen biztonsággal kapcsolatos tevékenységeket végeztek 24

A minősített szolgáltatókra vonatkozó követelmények szolgáltatói kulcspár kezelése a szolgáltatói magánkulcs létrehozását, használatát, mentését, fizikailag védett környezetben, legalább két bizalmi munkakört betöltő személy együttes részvételével kell végezni szolgáltatói nyilvános kulcs bárki számára folyamatosan elérhető kell legyen, azt az Interneten is elérhetővé kell tenni üzemeltetési és hozzáférési biztonság a hozzáférési jogosultságok megadásával, módosításával és visszavonásával kapcsolatos tevékenységeket legalább két bizalmi munkakört betöltő személy részvételével kell végrehajtani fizikai és környezeti biztonság az aláírási termékeket és azokat a helyiségeket ahol ilyen termékek vannak fizikailag védeni kell a belépések időpontját, a tartózkodás célját, kilépések időpontját naplóban kell rögzíteni 25 A minősített szolgáltatókra vonatkozó követelmények aláírási termékek a minősített szolgáltatás nyújtásához használt aláírási termékeket elkülönítve kell kezelni az egyéb tevékenységhez használt termékektől minden használt terméket kockázatelemzésnek kell alávetni, és ez alapján biztonsági osztályokba sorolni folyamatos üzemmenet biztonsági mentések készítése, szükség esetén a teljes informatikai rendszer helyreállítása a mentéseket védeni kell a módosítások ellen, ill. az ellen, hogy jogosulatlan személyek a mentett állományokhoz hozzáférjenek naplózás minden a szolgáltatás nyújtásával vagy az informatikai rendszerrel kapcsolatos eseményt naplózni kell biztosítani kell, hogy a napló ne legyen törölhető vagy módosítható a naplóról rendszeresen mentést kell készíteni 26

A minősített szolgáltatókra vonatkozó követelmények archiválás a tanúsítványokkal kapcsolatos információkat a törvényben előírt ideig archiválni kell az archivált állományt védeni kell a módosítástól ezért azt időpecséttel és minősített aláírással kell ellátni időszinkronizáció a tanúsítvány nyilvántartásban, a visszavonási nyilvántartásban, és a naplóban feltüntetett időt olyan gyakorisággal kell szinkronizálni a szolgáltatási szabályzatban megadott referencia időforráshoz, hogy a saját idő és a referencia időforrás közti eltérés ne haladja meg az 1s et 27 A minősített szolgáltatókra vonatkozó követelmények tájékoztatási kötelezettség a tanúsítványt igénylő személyt tájékoztatni kell az aláírás-létrehozó adat használatával kapcsolatos biztonsági intézkedésekről az aláírás-létrehozó eszköz használatáról az aláíró és az aláírást ellenőrizni kívánó felek felelősségéről a tanúsítványok felfüggesztésének, visszavonásának módjáról a tanusítványok kibocsátásának körülményeiről a tanúsítvány érvényességi idejéről a szolgáltatási szabályzat tartalmáról és elérhetőségéről a tanúsítvánnyal kapcsolatos korlátozásokról a szolgáltatói nyilvános kulcsról, annak elérhetőségéről a szolgáltatási díjról a tanúsítvány érvényességi ideje legfeljebb 2 év 28

A minősített szolgáltatókra vonatkozó követelmények aláírás-létrehozó eszköz minősített HSz az aláírás-létrehozó adatot csak a szolgáltatást igénybe vevő aláírás-létrehozó eszközében tárolhatja ha az aláírás-létrehozó adatot az aláírás-létrehozó eszközön kívül hozzák létre, akkor annak aláírás-létrehozó eszközön kívüli másolatát azonnal törölni kell, amint az aláírás-létrehozó adat az aláírás létrehozó eszközbe került a HSz az aláírás-létrehozó eszközt, valamint a hozzáférést biztosító ellenőrző adatot (pl, PIN) közvetlenül az igénylőnek adja át, erről a naplóban feljegyzést készít tanúsítványok visszavonása, felfüggesztése a kérelmező visszavonási vagy felfüggesztési jogosultságáról meg kell győződni a visszavonási és felfüggesztési kérelmek prioritást élveznek, a szolgáltatónak ezeket kell először feldolgoznia 29 További dokumentumok 15/2001 MeHVM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról A Kormány 151/2001 rendelete a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 2/2002 MeHVM irányelve a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről ezen előírások a szolgáltatókra nem kötelezőek,... amennyiben azonban egy minősítést kérelmező HSz ezen előírásoknak igazoltan megfelel a Felügyelet megadja a minősítést 30

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés