A jogszabály mai napon ( 2019.08.21. ) hatályos állapota.
A jelek a bekezdések múltbeli és jövőbeli változásait jelölik.

 

53/2015. (IX. 24.) BM rendelet

az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény végrehajtásához szükséges kapcsolódási, műszaki, technológiai, biztonsági előírásokról, követelményekről és a hitelesítési rendről

Az egységes elektronikuskártya-kibocsátási keretrendszerről szóló 2014. évi LXXXIII. törvény 21. § (2) bekezdés a)-c) pontjában kapott felhatalmazás alapján, a Kormány tagjainak feladat- és hatásköréről szóló 152/2014. (VI. 6.) Korm. rendelet 21. § 5. pontjában meghatározott feladatkörömben eljárva a következőket rendelem el:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. Értelmező rendelkezések

1. § E rendelet alkalmazásában:

1-3. * 

4. informatikai eszköz: az egységes elektronikuskártya-kibocsátási keretrendszer (a továbbiakban: NEK) működéséhez szükséges, az államháztartás számviteléről szóló rendelet szerinti informatikai eszköz,

5. * 

6. kártyaelfogadó terminál: a kártyaadat elektronikus hordozására képes eszközt olvasni és a kártyaadatokat feldolgozni képes hardver-szoftver eszköz,

7. kártyatest: adat elektronikus hordozására képes eszközt tartalmazó, meghatározott szabványú, több rétegű műanyag kártya,

8-10. * 

11. NEK biztonságos működését súlyosan veszélyeztető esemény: olyan biztonsági esemény, amelynek bekövetkezése esetén az állami működés szempontjából kritikus adat bizalmassága, sértetlensége vagy rendelkezésre állása sérülhet, emberi életek kerülhetnek közvetlen veszélybe, személyi sérülések nagy számban következhetnek be, súlyos bizalomvesztés következhet be az állammal, vagy az érintett szervezettel szemben, alapvető emberi, vagy a társadalom működése szempontjából kiemelt jogok sérülhetnek,

12. * 

2. § * 

2. A NEK kapcsolódás szükséges dokumentumai

3-13. § * 

II. FEJEZET

A NEK-HEZ VALÓ KAPCSOLÓDÁS

3-7. * 

14-40. § * 

III. FEJEZET

A NEK MŰSZAKI, TECHNOLÓGIAI, BIZTONSÁGI ELŐÍRÁSAI

8. Általános szabályok

41. § * 

42. § *  Bármilyen jellegű informatikai, biztonsági esemény vagy nem rendeltetésszerű használat esetén a működtető a 41. § (1) bekezdésében meghatározott szervezeteknek a NEK-hez csatlakoztatott, azzal együttműködő informatikai eszközeit - az üzemeltető egyidejű értesítésével - ideiglenesen felfüggesztheti, és vizsgálatot folytathat le.

9. A NEK kártyakibocsátókra vonatkozó műszaki, technológiai, biztonsági előírásai

43. § (1) *  A működtető a szolgáltatási szabályzat elfogadásával a kártyakibocsátót nyilvántartásba veszi, és számára kártyakibocsátói azonosító számot biztosít.

(2) A kártyakibocsátó a kártyaelfogadóval a 35. § (1) bekezdés b) pontja alapján megkötött szerződésben foglaltak szerint a Nektv. 19. §-a szerinti nyilvántartásból a kártyaelfogadónál ellenőrzött kártya vonatkozásában érvényességi státuszra és a kártyafelhasználóra, a kibocsátási célt képező jogosultságra vagy tényre vonatkozó adatot szolgáltat.

44. § (1) A kártyakibocsátás során keletkező naplóadatokat a kártyakibocsátó elektronikusan, zárt rendszerben, vagy archiválás szolgáltató igénybevételével archiválja.

(2) Az archivált naplóadatokat a kártyakibocsátó 10 évig köteles megőrizni.

10. A NEK kártya műszaki tulajdonságai

45. § (1) * 

(2) *  A kártya elektronikus egyedi azonosítója az adat elektronikus hordozására képes eszközről olvasható ki.

(3) A működtető egy elektronikus egyedi azonosítót csak egy elsődleges kártyához képezhet.

46. § A kártya ISO/IEC 7810 szabvány szerint meghatározott méretben kerül kiállításra.

47. § (1) Az adat elektronikus hordozására képes eszközzel szemben támasztott követelményeket a 3. melléklet határozza meg.

(2) *  Az adat elektronikus hordozására képes eszköz megfelelőségét a gyártótól történő beszállítás után a működtető, vagy - a működtetővel történő megállapodás alapján - a megszemélyesítő ellenőrzi.

48. § (1) *  A kártya adat elektronikus hordozására képes eszköze tartalmazza az adat elektronikus hordozására képes eszköz gyári azonosítóját, a kártya típusát, elektronikus egyedi azonosítóját, a kibocsátóra vonatkozó adatokat.

(2) *  A kártya adat elektronikus hordozására képes eszköze tartalmazza a kártya hitelességére vonatkozó biztonsági adatokat.

(3) A kártya arculati elemeit a kártyakibocsátó a szolgáltatási szabályzatának mellékletét képező, a kártya műszaki leírását tartalmazó dokumentumban határozza meg.

11. A kártyaelfogadóra irányadó műszaki, technológiai követelmények

49. § (1) A kártyakibocsátóval kötött szerződés alapján a kártyaelfogadó a kártyakibocsátó szolgáltatási szabályzatában foglaltak szerint, a kártya műszaki tulajdonságainak ismeretében kártyaelfogadó terminált alakít ki és működtet.

(2) *  A kártyaelfogadó a kártyával kompatibilis kártyaelfogadó terminállal végzi a kártyaműveleteket.

50. § A kártyaelfogadás folyamatának részletes ismertetését a kártyaelfogadói szolgáltatási szabályzat tartalmazza.

51. § A kártyaelfogadónak minden NEK kártya elfogadóhelyén rendelkeznie kell a Nektv. 20. § (1) bekezdése szerinti érvényesség ellenőrzésére alkalmas eszközzel.

52. § (1) A kártya érvényességének megállapítása a kártyakibocsátó azonosítását követően, a kártyakibocsátó szolgáltatási szabályzatában foglaltak alapján, a kártyatestre felvitt adatok és biztonsági elemek, valamint az adat elektronikus hordozására képes eszközön tárolt adatok és biztonsági funkciók kezelésével, valamint a kártya érvényességének és kibocsátási jogosultság fennállásának ellenőrzésével valósul meg.

(2) * 

53-55. § * 

12. A megszemélyesítést végző minősítése során vizsgálandó műszaki és biztonsági követelmények

56. § A megszemélyesítő által az adat elektronikus hordozására képes eszközre írt adatok minősített tanúsítványon alapuló elektronikus aláírással védettek.

57. § (1) A megszemélyesítő hiteles, minősített tanúsítványon alapuló elektronikus aláírással és időbélyeggel védett naplógyűjtő és elemző rendszert működtet.

(2) *  A megszemélyesítőnek meg kell felelnie az 5. mellékletben foglalt követelményeknek.

IV. FEJEZET

ZÁRÓ RENDELKEZÉSEK

13. Hatálybalépés

58. § Ez a rendelet a kihirdetését követő nyolcadik napon lép hatályba.

14. Átmeneti rendelkezések

59. § (1) A Nektv. 23. § (3) bekezdés a) pontjában meghatározott adatokat a Nektv. 13. § (1) bekezdés a) pontja szerinti szerződés megkötését követő 3 napon belül kell megküldeni.

(2) A Nektv. 23. § (3) bekezdés b) pontjában meghatározott adatokat haladéktalanul elektronikus úton kell megküldeni az (1) bekezdésben meghatározott szerződés megkötését követően.

(3) A működtető az adatokat az átvételt követően haladéktalanul bejegyzi a NEK központi nyilvántartásába.

(4) A működtető a bejegyzést követően - kapcsolati kód képzése céljából - a kártyafelhasználó természetes személyazonosító adatait haladéktalanul átadja a személyiadat- és lakcímnyilvántartás adatkezelőjének.

(5) A személyiadat- és lakcímnyilvántartás adatkezelője az általa képzett kapcsolati kódot 3 napon belül elektronikus úton átadja a működtetőnek, aki bejegyzi a NEK központi nyilvántartásába.

60. § A Nektv. 23. § (4) bekezdésében meghatározott adatokat elektronikus úton haladéktalanul meg kell küldeni.

61. § A Nektv. hatálybalépése előtt kiállított oktatási igazolványok tekintetében az adat elektronikus hordozására képes eszköz kezelésével és az azon történő adatrögzítéssel összefüggő feladatokat a működtető által meghatározott szervezet végzi a működési rendben foglaltak szerint.

62. § *  E rendelet tervezetének a műszaki szabályokkal és az információs társadalom szolgáltatásaira vonatkozó szabályokkal kapcsolatos információszolgáltatási eljárás megállapításáról szóló, 2015. szeptember 9-i (EU) 2015/1535 európai parlamenti és tanácsi irányelv 5-7. cikke szerinti előzetes bejelentése megtörtént.

1. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

2. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

3. melléklet az 53/2015. (IX. 24.) BM rendelethez

Az adat elektronikus hordozására képes eszközzel szembeni követelmények

Az adat elektronikus hordozására képes eszköz:

- megfelel az ISO/IEC 14443 Type A, vagy azzal egyenértékű szabványnak,

- kompatibilis az NFC (ISO/IEC 18092) szabványban foglaltakkal,

- legalább 4 kilobájt belső memóriával rendelkezik,

- memóriája egyedi kulcsokkal védett szektorokra tagolt, rendelkezik minimum 128 bites autentikációs kulccsal.

4. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

5. melléklet az 53/2015. (IX. 24.) BM rendelethez * 

A megszemélyesítés műszaki, technológiai, informatikai és biztonsági követelményei

1. A megszemélyesítést végzőnek a megszemélyesítési tevékenység vonatkozásában az alábbi tanúsítványokkal, engedélyekkel és igazolásokkal kell rendelkeznie:

a) MSZ EN ISO 9001:2015 Minőségirányítási rendszerek. Követelmények - akkreditált tanúsító szervezet által kibocsátott tanúsítvány;

b) MSZ ISO/IEC 27001:2014 Információbiztonsági Irányítási Rendszer - akkreditált tanúsító szervezet által kibocsátott tanúsítvány;

c) a minősített adat kezelése esetén a kezelt minősített adat szintjének megfelelő Telephely Biztonsági Tanúsítvány (TBT);

d) MSZ EN ISO 14001:2005 Környezetközpontú Irányítási Rendszer - akkreditált tanúsító szervezet által kibocsátott tanúsítvány.

2. A megszemélyesítést végzővel szembeni műszaki követelmények:

a) a megszemélyesítést végzőnek a NEK kártyák elsődleges megszemélyesítésére és a kibocsátással összefüggő postázási és minőség-ellenőrzési feladatok végrehajtására egymástól elkülönült, zárható helyiségekkel kell rendelkeznie;

b) a megszemélyesítő a karbantartásokat és javításokat ütemezetten hajthatja végre, köteles dokumentálni és felülvizsgálni a karbantartásokról és javításokról készült feljegyzéseket a gyártó vagy a forgalmazó specifikációinak és a szervezeti követelményeknek megfelelően.

3. A megszemélyesítést végzőnek rendelkeznie kell

a) a megszemélyesítendő kártyák mennyiségének, minőségének megfelelő, valamint a megszemélyesítési tevékenység folyamatos és zavartalan folytatását biztosító vizuális és elektronikus megszemélyesítő kapacitással;

b) a megszemélyesítéshez szükséges, elektronikus aláírás létrehozására alkalmas, valamint a biztonságos kulcstárolást és kulcshasználatot biztosító informatikai eszközökkel;

c) a működtetővel és a kártyakibocsátóval történő kapcsolattartásra alkalmas informatikai rendszerrel;

d) olyan biztonságos belső informatikai infrastruktúrával és hálózattal, amely biztosítja a kibocsátandó kártyára vonatkozó biztonsági előírásoknak és feltételeknek megfelelő csatlakozást;

e) a megszemélyesítéshez kártyanyilvántartó rendszerrel;

f) zárt, védett informatikai hálózattal;

g) a munkafolyamatok végrehajtásához szükséges - a munkafolyamatoknak megfelelő - hardver és szoftver eszközökkel;

h) olyan szoftverekkel és kapcsolódó dokumentációval, amelyek megfelelnek a rájuk vonatkozó szerződésbeli elvárásoknak és jogszabályoknak;

i) a kártyamegszemélyesítő folyamatban használt olyan elektronikus információs rendszerrel, amely egyedileg azonosítja és hitelesíti a szervezet felhasználóit, valamint a felhasználók által végzett tevékenységet naplózza;

j) olyan naplózási eljárásrenddel, amely a naplózásra és elszámoltathatóságra vonatkozó szabályzat és az ehhez kapcsolódó ellenőrzések megvalósítását segíti elő.

4. A megszemélyesítő

a) a megszemélyesítést, a minőség-ellenőrzést, a postázásra előkészítést, a postázást, a selejtezést és a megsemmisítést mint munkafolyamatokat komplex logisztikai rendszerben egymástól jól elkülöníthető és ellenőrizhető módon végzi,

b) biztosítja a munkafolyamatok végrehajtásához szükséges eszközöknek (megszemélyesítő berendezés, számítógép-konfiguráció, nyomtató stb.) a megszemélyesítési szerződésben vállalt feladatok ellátásához szükséges mértékben és állapotban történő rendelkezésre állását,

c) a szolgáltatási szabályzatában meghatározott gyakorisággal mentést végez az elektronikus információs rendszerben tárolt felhasználószintű és rendszerszintű információkról, összhangban a helyreállítási időre és a helyreállítási pontokra vonatkozó célokkal,

d) köteles megvizsgálni az elektronikus információs rendszerben tervezett változtatásoknak az információbiztonságra való hatását, még a változtatások megvalósítása előtt,

e) a naplóbejegyzéseket a jogszabályban és a szolgáltatási szabályzatában meghatározott megőrzési követelményeknek megfelelő időtartamig megőrzi a biztonsági események utólagos kivizsgálásának biztosítása érdekében,

f) azonosítja, belső eljárásrendje alapján kijavítja vagy kijavíttatja az elektronikus információs rendszere hibáit,

g) sérülékenységtesztet végez a szolgáltatási szabályzatában meghatározottak szerinti gyakorisággal vagy véletlenszerűen, valamint olyan esetben, amikor lehetséges új sérülékenység merül fel az elektronikus információs rendszerrel vagy alkalmazásaival kapcsolatban.

5. A megszemélyesítő tevékenység végzésének biztonsági feltételei:

a) a megszemélyesítő a szolgáltatási szabályzatában köteles meghatározni az informatikai biztonságpolitikát, valamint a felülvizsgálatának és módosításának szabályait,

b) a megszemélyesítő az elektronikus információs rendszer biztonságáért felelős személyt nevez ki vagy bíz meg,

c) a megszemélyesítő a szolgáltatási szabályzatában foglaltak szerint engedélyezi az elektronikus információs rendszerének kapcsolódását más elektronikus információs rendszerekhez,

d) a megszemélyesítő a szolgáltatási szabályzatában foglaltak szerint dokumentálja az egyes kapcsolatokat, az interfészek paramétereit, a biztonsági követelményeket és a kapcsolaton keresztül átvitt elektronikus információk típusát,

e) a megszemélyesítő a szolgáltatási szabályzatában meghatározza az elektronikus információs rendszerek szempontjából érintett létesítményekre vagy helyiségekre érvényes fizikai védelmi eljárásrendet, az elektronikus információs rendszereknek helyt adó létesítményekbe belépésre jogosultak pontos körét,

f) a megszemélyesítő kizárólag a be- és kilépési pontokon biztosítja a belépésre jogosultak számára a fizikai belépést, naplózza a fizikai belépéseket, valamint ellenőrzés alatt tartja a létesítményen belüli, belépésre

jogosultak által elérhető helyiségeket, kíséri a létesítménybe eseti belépésre jogosultakat, és figyelemmel kíséri a tevékenységüket,

g) a megszemélyesítő a szolgáltatási szabályzatában meghatározott ideig, de legalább 5 évig megőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt látogatói belépésekről szóló információkat,

h) a megszemélyesítő nyilvántartást vezet a fizikai belépést ellenőrző eszközről,

i) a megszemélyesítő folyamatosan ellenőrzi az elektronikus információs rendszereknek helyt adó létesítményekbe történt fizikai hozzáféréseket annak érdekében, hogy észlelje a fizikai biztonsági eseményt, és reagáljon arra,

j) a megszemélyesítő a szolgáltatási szabályzatában meghatározza az alapfeladatként biztosítandó szolgáltatásokat és alapfunkciókat, valamint az ezekhez kapcsolódó vészhelyzeti követelményeket; jelöli a vészhelyzeti szerepköröket, felelősségeket, a kapcsolattartó személyeket,

k) a megszemélyesítő köteles védeni a mentett információk bizalmasságát, sértetlenségét és rendelkezésre állását a tárolási helyszíneken,

l) a megszemélyesítő gondoskodik az elektronikus információs rendszer utolsó ismert állapotba történő helyreállításáról és újraindításáról egy összeomlást, kompromittálódást vagy hibát követően,

m) a megszemélyesítő az elektronikus információs rendszerét annak belépési és kilépési pontjain védi a kártékony kódok ellen, felderíti és megsemmisíti azokat,

n) a megszemélyesítő a biankó-, a megszemélyesített és a selejt okmányok/kártyák tárolására külön-külön zárható, tűzbiztos tárolóegységeket vagy trezort biztosít,

o) a megszemélyesítő a megszemélyesítésben használt helyiségeket biztonsági kamerával, beléptető rendszerrel, riasztóval, tűzjelző berendezéssel és elektromos tüzek oltására alkalmas tűzoltó készülékkel köteles felszerelni.


  Vissza az oldal tetejére