A jogszabály mai napon ( 2020.05.31. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

 

53/2015. (IX. 24.) BM rendelet

az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény végrehajtásához szükséges kapcsolódási, műszaki, technológiai, biztonsági előírásokról, követelményekről és a hitelesítési rendről

Az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény 21. § (2) bekezdés a)-c) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet 21. § 5. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. Értelmező rendelkezések

1. § E rendelet alkalmazásában:

1-3. * 

4. informatikai eszköz: az egységes elektronikuskártya-kibocsátási keretrendszer (a továbbiakban: NEK) működéséhez szükséges, az államháztartás számviteléről szóló rendelet szerinti informatikai eszköz,

5. * 

6. kártyaelfogadó terminál: a kártyaadat elektronikus hordozására képes eszközt olvasni és a kártyaadatokat feldolgozni képes hardver-szoftver eszköz,

7. kártyatest: adat elektronikus hordozására képes eszközt tartalmazó, meghatározott szabványú, több rétegű műanyag kártya,

8-10. * 

11. NEK biztonságos működését súlyosan veszélyeztető esemény: olyan biztonsági esemény, amelynek bekövetkezése esetén az állami működés szempontjából kritikus adat bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, emberi életek kerülhetnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be, súlyos bizalomvesztés következhet be az állammal, vagy az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek,

12. * 

2. § * 

2. A NEK kapcsolódás szükséges dokumentumai

3-13. § * 

II. FEJEZET

A NEK-HEZ VALÓ KAPCSOLÓDÁS

3-7. * 

14-40. § * 

III. FEJEZET

A NEK MŰSZAKI, TECHNOLÓGIAI, BIZTONSÁGI ELŐÍRÁSAI

8. Általános szabályok

41. § * 

42. § *  Bármilyen jellegű informatikai, biztonsági esemény vagy nem rendeltetésszerű használat esetén a működtető a 41. § (1) bekezdésében meghatározott szervezeteknek a NEK-hez csatlakoztatott, azzal együttműködő informatikai eszközeit - az üzemeltető egyidejű értesítésével - ideiglenesen felfüggesztheti, és vizsgálatot folytathat le.

9. A NEK kártyakibocsátókra vonatkozó műszaki, technológiai, biztonsági előírásai

43. § (1) *  A működtető a szolgáltatási szabályzat elfogadásával a kártyakibocsátót nyilvántartásba veszi, és számára kártyakibocsátói azonosító számot biztosít.

(2) A kártyakibocsátó a kártyaelfogadóval a 35. § (1) bekezdés b) pontja alapján megkötött szerződésben foglaltak szerint a Nektv. 19. §-a szerinti nyilvántartásból a kártyaelfogadónál ellenőrzött kártya vonatkozásában érvényességi státuszra és a kártyafelhasználóra, a kibocsátási célt képező jogosultságra vagy tényre vonatkozó adatot szolgáltat.

44. § (1) A kártyakibocsátás során keletkező naplóadatokat a kártyakibocsátó elektronikusan, zárt rendszerben, vagy archiválás szolgáltató igénybevételével archiválja.

(2) Az archivált naplóadatokat a kártyakibocsátó 10 évig köteles megőrizni.

10. A NEK kártya műszaki tulajdonságai

45. § (1) * 

(2) *  A kártya elektronikus egyedi azonosítója az adat elektronikus hordozására képes eszközről olvasható ki.

(3) A működtető egy elektronikus egyedi azonosítót csak egy elsődleges kártyához képezhet.

46. § A kártya ISO/IEC 7810 szabvány szerint meghatározott méretben kerül kiállításra.

47. § (1) Az adat elektronikus hordozására képes eszközzel szemben támasztott követelményeket a 3. melléklet határozza meg.

(2) *  Az adat elektronikus hordozására képes eszköz megfelelőségét a gyártótól történő beszállítás után a működtető, vagy - a működtetővel történő megállapodás alapján - a megszemélyesítő ellenőrzi.

48. § (1) *  A kártya adat elektronikus hordozására képes eszköze tartalmazza az adat elektronikus hordozására képes eszköz gyári azonosítóját, a kártya típusát, elektronikus egyedi azonosítóját, a kibocsátóra vonatkozó adatokat.

(2) *  A kártya adat elektronikus hordozására képes eszköze tartalmazza a kártya hitelességére vonatkozó biztonsági adatokat.

(3) A kártya arculati elemeit a kártyakibocsátó a szolgáltatási szabályzatának mellékletét képező, a kártya műszaki leírását tartalmazó dokumentumban határozza meg.

11. A kártyaelfogadóra irányadó műszaki, technológiai követelmények

49. § (1) A kártyakibocsátóval kötött szerződés alapján a kártyaelfogadó a kártyakibocsátó szolgáltatási szabályzatában foglaltak szerint, a kártya műszaki tulajdonságainak ismeretében kártyaelfogadó terminált alakít ki és működtet.

(2) *  A kártyaelfogadó a kártyával kompatibilis kártyaelfogadó terminállal végzi a kártyaműveleteket.

50. § A kártyaelfogadás folyamatának részletes ismertetését a kártyaelfogadói szolgáltatási szabályzat tartalmazza.

51. § A kártyaelfogadónak minden NEK kártya elfogadóhelyén rendelkeznie kell a Nektv. 20. § (1) bekezdése szerinti érvényesség ellenőrzésére alkalmas eszközzel.

52. § (1) A kártya érvényességének megállapítása a kártyakibocsátó azonosítását követően, a kártyakibocsátó szolgáltatási szabályzatában foglaltak alapján, a kártyatestre felvitt adatok és biztonsági elemek, valamint az adat elektronikus hordozására képes eszközön tárolt adatok és biztonsági funkciók kezelésével, valamint a kártya érvényességének és kibocsátási jogosultság fennállásának ellenőrzésével valósul meg.

(2) * 

53. § *  (1) A kártya elektronikus olvasásának műszaki és biztonsági követelményeit a 6. melléklet határozza meg.

(2) A kártya elektronikus olvasására jogosult a 6. mellékletben meghatározott követelmények szerint köteles eljárni.

54-55. § * 

12. A megszemélyesítést végző minősítése során vizsgálandó műszaki és biztonsági követelmények

56. § A megszemélyesítő által az adat elektronikus hordozására képes eszközre írt adatok minősített tanúsítványon alapuló elektronikus aláírással védettek.

57. § (1) A megszemélyesítő hiteles, minősített tanúsítványon alapuló elektronikus aláírással és időbélyeggel védett naplógyűjtő és elemző rendszert működtet.

(2) *  A megszemélyesítőnek meg kell felelnie az 5. mellékletben foglalt követelményeknek.

IV. FEJEZET

ZÁRÓ RENDELKEZÉSEK

13. Hatálybalépés

58. § Ez a rendelet a kihirdetését követő nyolcadik napon lép hatályba.

14. Átmeneti rendelkezések

59. § (1) A Nektv. 23. § (3) bekezdés a) pontjában meghatározott adatokat a Nektv. 13. § (1) bekezdés a) pontja szerinti szerződés megkötését követő 3 napon belül kell megküldeni.

(2) A Nektv. 23. § (3) bekezdés b) pontjában meghatározott adatokat haladéktalanul elektronikus úton kell megküldeni az (1) bekezdésben meghatározott szerződés megkötését követően.

(3) A működtető az adatokat az átvételt követően haladéktalanul bejegyzi a NEK központi nyilvántartásába.

(4) A működtető a bejegyzést követően - kapcsolati kód képzése céljából - a kártyafelhasználó természetes személyazonosító adatait haladéktalanul átadja a személyiadat- és lakcímnyilvántartás adatkezelőjének.

(5) A személyiadat- és lakcímnyilvántartás adatkezelője az általa képzett kapcsolati kódot 3 napon belül elektronikus úton átadja a működtetőnek, aki bejegyzi a NEK központi nyilvántartásába.

60. § A Nektv. 23. § (4) bekezdésében meghatározott adatokat elektronikus úton haladéktalanul meg kell küldeni.

61. § A Nektv. hatálybalépése előtt kiállított oktatási igazolványok tekintetében az adat elektronikus hordozására képes eszköz kezelésével és az azon történő adatrögzítéssel összefüggő feladatokat a működtető által meghatározott szervezet végzi a működési rendben foglaltak szerint.

62. § *  E rendelet tervezetének a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról szóló, 2015. szeptember 9-i (EU) 2015/1535 európai parlamenti és tanácsi irányelv 5-7. cikke szerinti előzetes bejelentése megtörtént.

1. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

2. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

3. melléklet az 53/2015. (IX. 24.) BM rendelethez

Az adat elektronikus hordozására képes eszközzel szembeni követelmények

Az adat elektronikus hordozására képes eszköz:

- megfelel az ISO/IEC 14443 Type A, vagy azzal egyenértékű szabványnak,

- kompatibilis az NFC (ISO/IEC 18092) szabványban foglaltakkal,

- legalább 4 kilobájt belső memóriával rendelkezik,

- memóriája egyedi kulcsokkal védett szektorokra tagolt, rendelkezik minimum 128 bites autentikációs kulccsal.

4. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

5. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

A megszemélyesítés műszaki, technológiai, informatikai és biztonsági követelményei

1. A megszemélyesítést végzőnek a megszemélyesítési tevékenység vonatkozásában az alábbi tanúsítványokkal, engedélyekkel és igazolásokkal kell rendelkeznie:

a) MSZ EN ISO 9001:2015 Minőségirányítási rendszerek. Követelmények - akkreditált tanúsító szervezet által kibocsátott tanúsítvány;

b) MSZ ISO/IEC 27001:2014 Információbiztonsági Irányítási Rendszer - akkreditált tanúsító szervezet által kibocsátott tanúsítvány;

c) a minősített adat kezelése esetén a kezelt minősített adat szintjének megfelelő Telephely Biztonsági Tanúsítvány (TBT);

d) MSZ EN ISO 14001:2005 Környezetközpontú Irányítási Rendszer - akkreditált tanúsító szervezet által kibocsátott tanúsítvány.

2. A megszemélyesítést végzővel szembeni műszaki követelmények:

a) a megszemélyesítést végzőnek a NEK kártyák elsődleges megszemélyesítésére és a kibocsátással összefüggő postázási és minőség-ellenőrzési feladatok végrehajtására egymástól elkülönült, zárható helyiségekkel kell rendelkeznie;

b) a megszemélyesítő a karbantartásokat és javításokat ütemezetten hajthatja végre, köteles dokumentálni és felülvizsgálni a karbantartásokról és javításokról készült feljegyzéseket a gyártó vagy a forgalmazó specifikációinak és a szervezeti követelményeknek megfelelően.

3. A megszemélyesítést végzőnek rendelkeznie kell

a) a megszemélyesítendő kártyák mennyiségének, minőségének megfelelő, valamint a megszemélyesítési tevékenység folyamatos és zavartalan folytatását biztosító vizuális és elektronikus megszemélyesítő kapacitással;

b) a megszemélyesítéshez szükséges, elektronikus aláírás létrehozására alkalmas, valamint a biztonságos kulcstárolást és kulcshasználatot biztosító informatikai eszközökkel;

c) a működtetővel és a kártyakibocsátóval történő kapcsolattartásra alkalmas informatikai rendszerrel;

d) olyan biztonságos belső informatikai infrastruktúrával és hálózattal, amely biztosítja a kibocsátandó kártyára vonatkozó biztonsági előírásoknak és feltételeknek megfelelő csatlakozást;

e) a megszemélyesítéshez kártyanyilvántartó rendszerrel;

f) zárt, védett informatikai hálózattal;

g) a munkafolyamatok végrehajtásához szükséges - a munkafolyamatoknak megfelelő - hardver és szoftver eszközökkel;

h) olyan szoftverekkel és kapcsolódó dokumentációval, amelyek megfelelnek a rájuk vonatkozó szerződésbeli elvárásoknak és jogszabályoknak;

i) a kártyamegszemélyesítő folyamatban használt olyan elektronikus információs rendszerrel, amely egyedileg azonosítja és hitelesíti a szervezet felhasználóit, valamint a felhasználók által végzett tevékenységet naplózza;

j) olyan naplózási eljárásrenddel, amely a naplózásra és elszámoltathatóságra vonatkozó szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő.

4. A megszemélyesítő

a) a megszemélyesítést, a minőség-ellenőrzést, a postázásra előkészítést, a postázást, a selejtezést és a megsemmisítést mint munkafolyamatokat komplex logisztikai rendszerben egymástól jól elkülöníthető és ellenőrizhető módon végzi,

b) biztosítja a munkafolyamatok végrehajtásához szükséges eszközöknek (megszemélyesítő berendezés, számítógép-konfiguráció, nyomtató stb.) a megszemélyesítési szerződésben vállalt feladatok ellátásához szükséges mértékben és állapotban történő rendelkezésre állását,

c) a szolgáltatási szabályzatában meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt felhasználószintű és rendszerszintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal,

d) köteles megvizsgálni az elektronikus információs rendszerben tervezett változtatásoknak az információbiztonságra való hatását, még a változtatások megvalósítása előtt,

e) a naplóbejegyzéseket a jogszabályban és a szolgáltatási szabályzatában meghatározott megőrzési követelményeknek megfelelő időtartamig megőrzi a biztonsági események utólagos kivizsgálásának biztosítása érdekében,

f) azonosítja, belső eljárásrendje alapján kijavítja vagy kijavíttatja az elektronikus információs rendszere hibáit,

g) sérülékenységtesztet végez a szolgáltatási szabályzatában meghatározottak szerinti gyakorisággal vagy véletlenszerűen, valamint olyan esetben, amikor lehetséges új sérülékenység merül fel az elektronikus információs rendszerrel vagy alkalmazásaival kapcsolatban.

5. A megszemélyesítő tevékenység végzésének biztonsági feltételei:

a) a megszemélyesítő a szolgáltatási szabályzatában köteles meghatározni az informatikai biztonságpolitikát, valamint a felülvizsgálatának és módosításának szabályait,

b) a megszemélyesítő az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg,

c) a megszemélyesítő a szolgáltatási szabályzatában foglaltak szerint engedélyezi az elektronikus információs rendszerének kapcsolódását más elektronikus információs rendszerekhez,

d) a megszemélyesítő a szolgáltatási szabályzatában foglaltak szerint dokumentálja az egyes kapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus információk típusát,

e) a megszemélyesítő a szolgáltatási szabályzatában meghatározza az elektronikus információs rendszerek szempontjából érintett létesítményekre vagy helyiségekre érvényes fizikai védelmi eljárásrendet, az elektronikus információs rendszereknek helyt adó létesítményekbe belépésre jogosultak pontos körét,

f) a megszemélyesítő kizárólag a be- és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést, naplózza a fizikai belépéseket, valamint ellenőrzés alatt tartja a létesítményen belüli, belépésre

jogosultak által elérhető helyiségeket, kíséri a létesítménybe eseti belépésre jogosultakat, és figyelemmel kíséri a tevékenységüket,

g) a megszemélyesítő a szolgáltatási szabályzatában meghatározott ideig, de legalább 5 évig megőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt látogatói belépésekről szóló információkat,

h) a megszemélyesítő nyilvántartást vezet a fizikai belépést ellenőrző eszközről,

i) a megszemélyesítő folyamatosan ellenőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt fizikai hozzáféréseket annak érdekében, hogy észlelje a fizikai biztonsági eseményt, és reagáljon arra,

j) a megszemélyesítő a szolgáltatási szabályzatában meghatározza az alapfeladatként biztosítandó szolgáltatásokat és alapfunkciókat, valamint az ezekhez kapcsolódó vészhelyzeti követelményeket; jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket,

k) a megszemélyesítő köteles védeni a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását a tárolási helyszíneken,

l) a megszemélyesítő gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően,

m) a megszemélyesítő az elektronikus információs rendszerét annak belépési és kilépési pontjain védi a kártékony kódok ellen, felderíti és megsemmisíti azokat,

n) a megszemélyesítő a biankó-, a megszemélyesített és a selejt okmányok/kártyák tárolására külön-külön zárható, tűzbiztos tárolóegységeket vagy trezort biztosít,

o) a megszemélyesítő a megszemélyesítésben használt helyiségeket biztonsági kamerával, beléptető rendszerrel, riasztóval, tűzjelző berendezéssel és elektromos tüzek oltására alkalmas tűzoltó készülékkel köteles felszerelni.

6. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

A kártya elektronikus olvasásának műszaki és biztonsági követelményei

1. A kártyaelfogadó terminállal szembeni követelmények

1.1. A kártyaelfogadó terminál összetevői:

1.1.1. RFID kártyaolvasó,

1.1.2. kulcsok tárolását és a kriptográfiai műveleteket végző biztonsági hardver elem (a továbbiakban: SAM),

1.1.3. kártyaolvasót és az SAM-et vezérlő szoftver vagy hardver modul, és

1.1.4. opcionálisan hálózati kommunikációt megvalósító komponens.

1.2. A kártyaelfogadó terminál kötelező jellemzői:

1.2.1. Az RFID kártyaolvasó proximity kártyák kezelésére alkalmas kártyaolvasó egység, illetve mobileszköz, amely alkalmas - a 3. mellékletben foglaltaknak megfelelően - az adat elektronikus hordozására képes eszközzel való biztonságos együttműködésre.

1.2.2. Az SAM

1.2.2.1. tárolja és kezeli a 128 bites AES kulcsokat,

1.2.2.2. garantálja, hogy a tárolt kulcs ne legyen megismerhető,

1.2.2.3. képes a 3. mellékletben meghatározott követelményeknek megfelelő kártyákkal történő autentikációra, kulcsdiverzifikációra és az adatok olvasására az általa kezelt kulcsok segítségével,

1.2.2.4. beépített védelemmel rendelkezik az illetéktelen felhasználás megakadályozására, és

1.2.2.5. támogatja a tárolt kulcsok utólagos biztonságos frissítését.

1.2.3. A vezérlő modul

1.2.3.1. vezérli a kártyaelfogadás teljes folyamatát, amelynek során párhuzamos kapcsolatot tart fenn a kártyaolvasóval és az SAM-mel, valamint opcionálisan a hálózati komponenssel,

1.2.3.2. a sértetlenség és hitelesség igazolására opcionálisan képes az SHA256, valamint az ECC algoritmusok használatára.

1.2.4. A hálózati kommunikációs komponens - ha a működtető vagy a kártyakibocsátó nyilvántartása felé kommunikációt kezdeményez - alkalmas a távoli szerverek közötti biztonságos, hitelesített és rejtjelezett kommunikációra.

2. A biztonsági hardver elem igénylésének, nyilvántartásának és kezelésének szabályai

2.1. A kártyaelfogadó az SAM-re vonatkozó igényt a működtetőhöz nyújtja be a működtető által biztosított igénylőlap használatával.

2.2. A működtető az üzemeltető útján gondoskodik a terminálnak az SAM kártyaelfogadó által kezelhető kulcsokkal történő felprogramozásáról, egyedi azonosítóval való ellátásáról és opcionálisan elfogadó-specifikus speciális kulcsok átadásáról. A működtető nyilvántartja a felprogramozott SAM-eket, azok nyilvántartási állapotát, az azokon tárolt kulcsokat és a rajtuk végzett műveleteket, biztosítja a kezelt kártyatípus frissített kulcskészletének elérését. Az SAM igénylés állapota lehet nyitott, ellenőrzés alatt, jóváhagyott, gyártásra átadott, lezárt és törölt.

2.3. A működtető a honlapján teszi közzé az SAM-re vonatkozó tájékoztató listaárat. Az SAM rendelkezésre bocsátása és megszemélyesítése térítés ellenében történik, amelynek végleges díját az üzemeltetővel kötött szerződés határozza meg.

2.4. A működtető az SAM-eket a kártyaelfogadónak a hiánytalan és hibátlan igénylés beérkezésétől számított 90 napon belül adja át, amely határidőbe az üzemeltető által lefolytatott közbeszerzési eljárás időtartama nem számít be.

2.5. Tesztelési célból szervezetenként legfeljebb 10 db SAM igényelhető, aminek szükségességét az igénylőlapon indokolva kell igazolni.

2.6. A felprogramozott SAM a kártyaelfogadó tulajdonába kerül, azonban azt sem használatba, sem tulajdonba nem adhatja át harmadik félnek a működtető előzetes, írásbeli hozzájárulása nélkül.

2.7. A kártyaelfogadó köteles az általa kezelt SAM biztonságos kezeléséről gondoskodni. A kártyaelfogadónak a biztonsági elem beépített védelmének feloldásához használt kulcsok kezelése során az alábbi elvárásoknak kell megfelelnie:

2.7.1. a kártyaelfogadó nyilvántartja, hogy mely SAM-hez, mely kulcs használandó, a működtető által biztosított egyedi kulcs alapján;

2.7.2. a kártyaelfogadó szabályzatában rögzíti a biztonsági elemek és a kulcs kezelésére vonatkozó eljárásrendeket, a szabályzat lefedi a biztonsági elemek és a kulcsok teljes életciklusát;

2.7.3. kártyaelfogadónak szabályzatban meg kell határoznia azon személyek körét, akik a kulcshoz hozzáférnek.

2.8. A kártyaelfogadó a kulcsot a biztonsági elemtől a szerver oldalon folyamatosan elkülönítve tárolja.

A kártyaelfogadónak ellenőriznie kell a felhasználás előtt, hogy a biztonsági elem továbbra is a kártyaelfogadó birtokában van, annak használata jogszerű és megfelel az igénylés céljának. A kártyaelfogadó nyilvántartja a biztonsági elem aktív, inaktív, működőképes, működésképtelen vagy letiltott állapotát és a biztonsági elemen végzett műveleteket, valamint köteles ezen adatokban bekövetkezett változásokat a működtetőnek haladéktalanul jelezni. A működtető a kártyaelfogadó által jelzett változásokat nyilvántartja.

2.9. A korábbi igénylésben rögzített céltól eltérő felhasználás esetén a kártyaelfogadó köteles új igénylést benyújtani a működtetőhöz az általa biztosított igénylőlap útján.

2.10. A kártyaelfogadó köteles az illetéktelen hozzáférést és felhasználást haladéktalanul jelenteni a működtetőnek.

2.11. A kártyaelfogadó köteles a működtető által biztosított utólagos kulcsfrissítési metódus valamelyikét saját környezetébe illeszteni, és ennek megfelelően a publikált kulcsfrissítést elvégezni.


  Vissza az oldal tetejére