A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei

A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei Budapest, 2005. február 22.

Kirner Attila Főosztályvezető PSZÁF Informatika Felügyeleti Főosztály [email protected]

2005. február 22.

PSZÁF Informatika Felügyeleti Főosztály

1/22

Tartalom • • • • • •

Informatikai elvárások Jogszabályok Informatikai rendszer védelme Pénztártitok Kiszervezés Adatvédelem 2005. február 22.


2/22

Informatikai elvárások - 1 A PSZÁF feladata, célja (1999. évi CXXIV.): • „A Felügyelet tevékenységének célja a pénz- és tőkepiac zavartalan és eredményes működésének, … elősegítése, a pénzügyi szolgáltatási … szervezet … prudens működésének, tulajdonosaik gondos joggyakorlásának folyamatos felügyelete útján.” • Az ügyfelek érdekvédelme • A pénz- és tőkepiaci viszonyok átláthatósága • A pénzpiacokkal szembeni bizalom erősítése • A tisztességes verseny fenntartása 2005. február 22.


3/22

Informatikai elvárások - 2 Az informatikai vizsgálatok négy fő területe: • Tervezés, vezetés, szervezet, szabályozás (stratégia, munkaszervezés, feladat- és felelősség elhatárolások, szabályozások rendszere és aktualitása, kockázatok felmérése és kezelése, projektek, minőségbiztosítás). • IT architektúra, beszerzés, fejlesztés, üzembehelyezés (mennyire támogatják az üzleti folyamatokat, rendszerkapcsolatok, fejlesztés- és változáskezelés, adatállományok integritása). • Üzemeltetés, informatikai támogatás (fizikai-, logikai- és adatbiztonság, jogosultságkezelés, help-desk, mentések és archiválások, BCP, DRP, külső szolgáltatások, oktatás). • Monitorozás, ellenőrzés (független ellenőrzés, naplófájlok). 2005. február 22.


4/22

Informatikai elvárások - 3 • Készüljön üzleti és IT stratégia (tudatos vezetés) • Kockázatelemzés, a veszélyforrások felmérése, a működési kockázatok rendszeres kiértékelése és a kontrollok kialakítása. • A szabályzatok aktualizálására fordítsanak gondot (Informatikai szabályzatok, BCP, DRP, Jogosultságkezelés, Mentések és archiválások rendje, Fejlesztés- és változáskezelés, stb.) • Nyilvántartások naprakészségének és a folyamatok dokumentálásának biztosítása. • A biztonság tudatosság erősítése, a biztonsági szempontok érvényesítése a fejlesztésekben, rendszeres oktatások és képzések szervezése, a Help-Desk funkció erősítése. • Belső IT szakértelem és külsősök feletti kontroll erősítése. • A független ellenőrzés fokozása, a beépített audit lehetőségek kihasználása, naplófájlok rendszeres kiértékelése. 2005. február 22.


5/22

Jogszabályok - 1 • • • • • • • • • • •

2004. évi XXII. - a befektetések védelméről 1999. évi CXXIV. - a PSZÁF-ról 1996. évi CXII. (Hpt) a hitelintézetekről. 2003. évi LX. (Bit) a biztosítóintézetekről. 2001. évi CXX. (Tpt) a tőkepiacról. 1997. évi LXXXII. (Mpt) a magánnyugdíjpénztárakról. 1993. évi XCVI. (Öpt) az önkéntes pénztárakról. 2004. évi CI. tv. – az adókról és járulékokról 1957. évi IV. (Áe) az államigazgatási eljárásról. 10/2001-es PSZÁF ajánlás a biztonsági feltételekről 1992. évi LXIII. - a személyes adatok védelméről 2005. február 22.


6/22

Jogszabályok – 2 •

44. § (1) A pénztár a pénztártevékenységet csak a … szükséges személyi feltételek, technikai, informatikai, műszaki felszereltség és a tevékenység végzésére alkalmas helyiségek birtokában kezdheti meg, továbbá rendelkeznie kell a jogszabályoknak megfelelő számviteli renddel és a biztonságos működéshez szükséges belső szabályzatokkal, valamint az egyes tevékenységek végzésében előírt pénzügyi követelmények teljesítéséhez szükséges pénzeszközökkel, tartalékokkal. • A 2004. évi XXII. tv. 1.§-ának (13/B. §) bevezetésének indoka: „ …, hogy az informatikai rendszerek központi szerepet töltenek be a hitelintézetek megbízható működésében.” • Hatálybalépés a 2004. évi CI. törvény alapján: 319. § Az Öpt. e törvénnyel megállapított 40/C-D. §-ainak rendelkezéseit 2006. január 1.-jétől kell alkalmazni. 321. § Az Mpt. e törvénnyel megállapított 77/A-B. §-ainak rendelkezéseit 2006. január 1.-jétől kell alkalmazni. 2005. február 22.


7/22

Informatikai rendszer védelme - 1 77/A. § (1) A pénztárnak ki kell alakítania a tevékenységének ellátásához használt informatikai rendszer biztonságával kapcsolatos szabályozási rendszerét és gondoskodnia kell az informatikai rendszer kockázatokkal arányos védelméről, … (COBIT) területén. (2) A pénztár köteles az informatikai rendszer biztonsági kockázatelemzését szükség szerint, de legalább kétévente felülvizsgálni és aktualizálni (www.biztostu.hu, www.cramm.com, www.realpublishers.com, www.netrisk.com, www.riskcenter.com )

(3) A … kockázatok figyelembevételével meg kell határozni a szervezeti és működési rendeket, a felelősségi, nyilvántartási és tájékoztatási szabályokat, a folyamatba épített ellenőrzési követelményeket és szabályokat. 2005. február 22.


8/22

Informatikai rendszer védelme - 2 77/A. § (4) A pénztárnak ki kell dolgoznia az informatikai rendszerének biztonságos működtetését felügyelő informatikai ellenőrző rendszert és azt folyamatosan működtetnie kell. Kontrollok: Mindazon irányelvek, folyamatok, eljárások, gyakorlatok, napi rutinok és szervezeti struktúrák (kontrollkörnyezet), amelyek biztosítják az eszközök működtetését, védelmét valamint az üzleti célok elérésének és a váratlan események megelőzésének, észlelésének és kijavításának ésszerű biztosítását teszik lehetővé. Pl. szabályzatok, vezetői ellenőrzés, standard eljárások, független auditok, stb. (www.isaca.hu) 2005. február 22.


9/22

Informatikai rendszer védelme - 3 77/A. § (5) A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: • • • • • • •

a) nyílvántartások, dokumentáltság, b) kontrollkörnyezet (ellenőrzések és eljárások), c) felhasználói adminisztráció (hozzáférések- és jogosultságok kezelése, naplózás, rendkívüli események), d) naplózás és alkalmas a naplózás rendszeres értékelésére, e) a távadatátvitel bizalmassága, sértetlensége, hitelessége, f) az adathordozók szabályozott és biztonságos kezeléséről, g) vírusvédelem, 2005. február 22.


10/22

Informatikai rendszer védelme - 4 77/A. § (6) A pénztárnak … meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel: a) … utasításokkal, előírásokkal, fejlesztési tervekkel, b) minden olyan dokumentációval, amely … - még a szállító, illetőleg a rendszerfejlesztő tevékenységének megszűnése után is - biztosítja, c) … informatikai rendszerrel, … tartalék berendezésekkel, … szolgáltatások folytonosságát biztosító - megoldásokkal, d) … az alkalmazási környezet biztonságos elkülönítését a fejlesztési és tesztelési környezettől, valamint a megfelelő változáskövetés és változáskezelés fenntartását, 2005. február 22.


11/22

Informatikai rendszer védelme - 5 77/A. § (6) A pénztárnak … meg kell valósítania a biztonsági kockázatelemzés alapján indokolt védelmi intézkedéseket és rendelkeznie kell legalább a következőkkel (folytatás): e) … biztonsági mentésekkel és mentési renddel … és tűzbiztos módon kell tárolni, valamint gondoskodni kell a mentések forrásrendszerrel azonos szintű hozzáférés védelméről, f) … alkalmas adattároló rendszerrel, amely biztosítja, hogy az archivált anyagokat … bármikor visszakereshetően, eredeti állapot szerint helyreállíthatóan megőrizzék, olyan módon, amely kizárja az utólagos módosítás lehetőségét. g) … rendkívüli események kezelésére szolgáló tervvel. 2005. február 22.


12/22

Informatikai rendszer védelme - 6 77/A. § (7) A pénztárnál mindenkor rendelkezésre kell állnia: a) az … rendszer felépítésének és működtetésének az ellenőrzéséhez szükséges rendszerleírásoknak és modelleknek, b) … az adatok szintaktikai szabályainak, az adatok tárolási szerkezetének, c) az informatikai rendszer elemeinek a pénztár által meghatározott biztonsági osztályokba sorolási rendszerének, d) az adatokhoz történő hozzáférési rend meghatározásának, e) az adatgazda és a rendszergazda kijelölését tartalmazó okiratnak, f) az alkalmazott szoftver eszközök jogtisztaságát bizonyító szerződéseknek, g) az informatikai rendszert alkotó ügyviteli, üzleti szoftvereszközök teljes körű és naprakész nyilvántartásának. 2005. február 22.


13/22

Informatikai rendszer védelme - 7 77/A. § (8) A szoftvereknek együttesen alkalmasnak kell lenni legalább: a) a működéshez szükséges és jogszabályban előírt adatok nyilvántartására, b) a tárolt adatok ellenőrzéséhez való felhasználására, c) a biztonsági kockázattal arányos logikai védelemre és a sérthetetlenség védelmére. (9) A pénztár belső szabályzatában meg kell határozni az egyes munkakörök betöltéséhez szükséges informatikai ismeretet. 2005. február 22.


14/22

Pénztártitok - 1 78. § (2) Pénztártitok minden olyan, a pénztártagról a pénztár vagy a pénztári szolgáltató szervezet rendelkezésére álló, a tevékenysége folytán tudomására jutó tény, információ vagy adat, amely a pénztártag személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, tulajdonosi, üzleti kapcsolataira, valamint egyéni számláján nyilvántartott összegre, járulékbefizetéseire és a részére járó nyugdíjszolgáltatásra vonatkozik. A pénztártagok nyilvántartható személyes adatainak körét a törvény 2. számú melléklete tartalmazza. A pénztár üzleti és pénztártitkot kizárólag a pénztári tevékenység folytatásával összefüggésben kezelhet. 2005. február 22.


15/22

Pénztártitok - 2 79. § (2) A pénztártitok csak akkor adható ki harmadik személynek, ha a) a pénztártag vagy annak törvényes képviselője a rá vonatkozó kiszolgáltatható adatkört pontosan megjelölve közokiratban vagy teljes bizonyító erejű magánokiratban erre felhatalmazást ad, b) a törvény a pénztártitok megtartásának kötelezettsége alól felmentést ad, 2005. február 22.


16/22

Pénztártitok - 3 79. § (1) A pénztártitok és üzleti titok megtartásának kötelezettsége nem áll fenn a … l) a gazdálkodás nyilvántartásához szükséges adatok tekintetében a gazdálkodás nyilvántartását végző szolgáltatóval, továbbá a kiszervezett tevékenység végzéséhez szükséges adatok tekintetében a kiszervezett tevékenységet végzővel szemben, e szerveknek a pénztárhoz intézett írásbeli megkeresése esetén

2005. február 22.


17/22

Kiszervezés - 1 77/B. § (1) A pénztár a tevékenységéhez kapcsolódó, illetve jogszabály által végezni rendelt olyan tevékenységét, amelynek során adatkezelés vagy adatfeldolgozás valósul meg, kiszervezheti a 73. § (1) bekezdésében foglaltaknak megfelelően. A kiszervezett tevékenységet végző a 79. § (1) bekezdése alapján adatkezelést végezhet. Adatkezelésen és adatfelhasználáson a személyes adaton, illetve pénztártitkot képező adaton elvégzett, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvényben meghatározott tevékenységeket kell érteni. 2005. február 22.


18/22

Kiszervezés - 2 77/B. § (2) A kiszervezett tevékenységet végzőnek - a kockázattal arányos mértékben - rendelkeznie kell mindazon személyi, tárgyi és biztonsági feltételekkel, amelyeket jogszabály a kiszervezett tevékenységet illetően a pénztárra vonatkozóan előír (3) A nyilvántartás kiszervezésére vonatkozó szerződésnek tartalmaznia kell … (4) A pénztárnak rendelkeznie kell … rendkívüli helyzetek kezelésére kidolgozott intézkedési tervvel … köteles negyedévente az adatállomány teljes körű mentésének egy példányát a pénztár részére átadni. 2005. február 22.


19/22

Kiszervezés - 3 77/B. § (5) A pénztár ellenőrző bizottsága köteles a kiszervezett tevékenység szerződésben foglaltaknak megfelelő végzését legalább évente megvizsgálni. (6) A pénztár felelős azért, hogy a kiszervezett tevékenységet végző a tevékenységet a jogszabályi előírások betartásával és az ilyen tevékenységet végző személyektől általában elvárható gondossággal végezze. (7) A Felügyelet … a tevékenység kiszervezését megtilthatja, illetve más szolgáltatóval való szerződéskötésre kötelezhet. (8) Az a kiszervezett tevékenységet végző, amely egyidejűleg több pénztár részére végez kiszervezett tevékenységet, köteles az … tényt, adatot, információt elkülönítetten … kezelni. 2005. február 22.


20/22

Kiszervezés - 4 77/B. § (9) A … közreműködőt abban az esetben alkalmazhat, ha az igénybe vett közreműködő megfelel a (2) bekezdésben előírtaknak, és a közöttük létrejövő szerződés … biztosítja a kiszervezett tevékenység … ellenőrzését. (10) A pénztár vezető tisztségviselője … (összeférhetetlenség!) (11) A pénztár a kiszervezett tevékenységek körét az alapszabályban köteles feltüntetni. (12) A pénztár, illetve a pénztár nyilvántartását végző szolgáltató informatikai rendszerének fejlesztésére, üzemeltetésére megbízott szervezet, illetve személy - kizárólag … szükséges mértékben - az informatikai rendszerben tárolt adatokat megismerheti. 2005. február 22.


21/22

Adatvédelem - 1 Az 1992. évi LXIII. Tv. (Adatvédelmi törvény) módosulása: • 31/A§ (1) ... belső adatvédelmi felelőst kell kinevezni vagy megbízni b) a pénzügyi szervezeteknél • 31/A§ (2) A belső adatvédelmi felelős: • a) közreműködik az adatkezelési döntésekben • b) ellenőrzi az adatbiztonsági követelmények • c) kivizsgálja a bejelentéseket • d) elkészíti az adatvédelmi szabályzatot • e) vezeti az adatvédelmi nyilvántartást (28§-30§) • f) gondoskodik az adatvédelmi oktatásról 2005. február 22.


22/22

A pénztárak informatikai tevékenységének jogi szabályozása és felügyeleti követelményei

Recommend Documents