Bejelentkezés

Aktuális híreink:
  • Pause
  • Previous
  • Next
1/10
 

MELASZ - Magyar Elektronikus Aláírás Szövetség

PSD2/FinTech vs. eIDAS/GovTech

E-mail Nyomtatás PDF
2018. szeptember 29. a nap, amelytől kezdődően az eIDAS rendelet alapján minden közigazgatási szolgáltatás, amely felhasználók beazonosítását írja elő, köteles elfogadni akár a más országok által szolgáltatott adatokat is, ha az azonosítás erősségének szintje megfelelő. Ez a határokon átívelő kommunikáció alapvető fontosságú az Egységes Digitális Piac (Digital Single Market, DSM) továbbfejlődése szempontjából.

Ezen alkalomból jelent meg a MELASZ (Magyar Elektronikus Aláírás Szövetség) és a FinTechZone által egy közösen írt cikk a hírportálon.


Újabb adatvagyon nyílik. Erre a "csodafegyverre" vártak a magyar bankok (is)

A közhiteles adatvagyon megnyitásával a webshopok kiszűrhetik a hamis rendeléseket, egyszerűbbé válik az online számlanyitás, könnyebbé válik a beiratkozás az oktatási intézményekbe és egyre kevesebb adatot kell megadnunk az elektronikus űrlapok kitöltéséhez. Az előírt közhiteles adatokon kívül a hazai piaci szereplők rövid időn belül automatizálhatják hozzáférésüket a céges és az egyéni vállalkozói adatokhoz is. Ez utóbbi a bankok számára "csodafegyver" lesz új online szolgáltatások elindításához.


A közhiteles adatbázisok megnyitása új dimenzióba emeli majd a távollévők között kötendő szerződések "bizalmi" szintjét, a csalások minimalizálása pedig kedvezményesebb árakat is eredményezhet pl. a webshopoknál. Egyelőre akadnak még adminisztratív és műszaki, üzemeltetési akadályok, de jogilag a közhiteles adatbázisokhoz való automatizált hozzáférésre már 2018. január 1-től lehetősége lenne a piaci szereplőknek is.

A szabályozás háttere

Az eIDAS (910/2014/EU Rendelet az Elektronikus Azonosítási és Bizalmi Szolgáltatásokról) kimondja, hogy meg kell nyitni a közigazgatás közhiteles adatbázisait a közigazgatási szakrendszerek és a piaci szereplők előtt – határon átnyúló ("cross-border") módon, az Európai Unión belül.

Az EU által kötelezően előírt 8+10+2 adat (attribútum) listája itt érhető el. Ezen felül Magyarországon ennél több közhiteles adat is érhetővé válik. A magyar nevezéktanban pl. TAJ és NAV okmányazonosító, illetve hamarosan a céges és egyéni vállalkozói teljes adatlap is elérhető lesz. (Ha belegondolunk, akkor ez a 8+10+2 lekérhető közhiteles adat sok folyamathoz elegendő lesz, pl. egy egyszerű, webshopos rendeléshez (viselt név, lakcím kell hozzá), vagy szerződés megkötéséhez is.)

Piaci szereplők hozzáférése a közhiteles adatbázisokhoz

A közhiteles adatbázisokhoz a közigazgatási szakrendszerek, illetve más, nem piaci szereplők már 2017. január 1. óta hozzáférhetnek (pl. Diákhitel Központ, lásd: "Egyedülálló újítás: hallgatói hiteligénylés személyes megjelenés nélkül").

A 451/2016. (XII. 19.) Korm. rendelet 68/A. § alapján a piaci szereplők a díjtáblázat szerinti díjak megfizetése ellenében hozzáférhetnek a közhiteles adatbázisokhoz. A műszaki specifikációk is adottak 2008 óta, mivel már egy bevált, az akadémiai szférában régóta használt protokollt írtak elő (OASIS SAML).

A piaci szereplőknek a hozzáféréshez egyrészt kérvényezniük kell a hálózathoz való csatlakozást az adott ország felelősénél (Magyarországon: NISZ, Nemzeti Infokommunikációs Szolgáltató Zrt.), másrészt rendelkezniük kell a felhasználó felhatalmazásával az adatai eléréséhez.

A közhiteles adatbázisok gyakorlati hasznosítása

Nem csak a PSD2 (Második Pénzforgalmi Irányelv) kapcsán megnyíló banki adatvagyonra, hanem a pontos, közhiteles adatok lekérdezésére alapozva is számos új szolgáltatást lehet majd kialakítani.

Az online bankszámlanyitáshoz, vagy a közmű szolgáltatókkal kötendő elektronikus szerződésekhez a természetes, vagy a jogi személy adatait már a közhiteles adatbázisból lehet majd feltölteni (a GDPR-nak, az Általános Adatvédelmi Rendeletnek megfelelően), így egyszerűbbé és gyorsabbá válhat az ügyintézés.

Az EU tervei szerint 2-3 éven belül az egészségügyi adatok is lekérdezhetők lesznek ugyanezen hálózaton keresztül, így az egészségbiztosítások esetén nem kell külön állapotfelmérésre elküldeni az új ügyfelet, hanem elég lesz lekérdezni a kórelőzmény adatait.

Összességében

A műszaki specifikációk és a jogi feltételek adottak. Ezen felül az is adott, hogy mi az a 8 természetes személyre és 10+2 jogi személyre vonatkozó adat, amit szolgáltatni kell.

Az adatok köre várhatóan bővülni fog, hiszen már most felmerült az állampolgárság, vagy az édesanyja születési neve attribútumok iránti igény. A piaci szereplők – többek között a bankok is – már nagyon várják a Belügyminisztérium által jóváhagyott csatlakozási engedélyeket, hogy elindulhassanak az új online szolgáltatások.

Mélyvíz: Összefüggések

Mi köze van az eIDAS rendeletnek a PSD2 irányelvhez?

1. mindkét területen megjelenik a felhasználók erős hitelesítése (Strong Customer Authentication, SCA) követelmény;

2. mindkét területen megjelenik az adathozzáférési jogosultságok felhasználó általi kezelése (Consent-based provisioning);

3. mindkét területen megjelenik az adatbázisok megnyitása szabványos felületeken keresztül és a felhasználói adatok elérhetősége harmadik felek – akár piaci szereplők – számára (Open Banking API és OASIS SAML);

4. mindkét területen megjelenik az adatok (pl. űrlapok, fizetési műveletek) hitelesítése.

(1) A felhasználók erős hitelesítése

Az erős felhasználó-hitelesítés a PSD2 irányelv esetén legalább kétfaktoros megoldás alkalmazását írja elő, ami védett a módosítás ellen és az adott tranzakcióhoz köthető. Ez megfelel az eIDAS végrehajtási rendeletében leírt közepes, azaz jelentős szintnek, ahol két, különböző megoldást kell alkalmazni. A jelszavak, kulcsok tárolására viszont ez a szint még engedi a szoftveres megoldásokat is, azaz akár egy mobilos, egyszeri jelszavas alkalmazás is elegendő lehet. (A magas biztonsági szinten azonban már mindenképpen hardveres megoldás szükséges, mint az eSzemélyi kártya.)

A kétfaktoros felhasználó-hitelesítés megjelenik több folyamatnál is, mint pl. banki szektor számára érdekes valós idejű ügyfél-átvilágítás kapcsán, ami akár az ügyfelekkel való rendszeres adategyeztetési követelményt is meg tudja oldani, ha a Proof-of-Presence (PoP) követelmény teljesül.

(2) Az adathozzáférési jogosultságok

Nem volt véletlen, hogy a GDPR rendelet 2018. május 25-én élesedett (a korábbi adatvédelmi irányelv hatályának elvesztésével), hiszen szükség volt egy jogilag erősebb (irányelv helyett rendeleti) szintű és komolyabb szankciókat is meghatározó szabályozásra, amely alapján az érintett, igazolható módon a hozzájárulását tudja adni személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Igaz, hogy végrehajtási rendeletek és műszaki specifikációk hiányában a legtöbb GDPR követelmény megmaradt keretszabály szintjén, de a hozzájárulást mind a PSD2 irányelv, mind az eIDAS rendelet komolyan veszi.

A közigazgatási szakrendszerek (public service provider) számára ingyenesen kell biztosítani a felhasználó hitelesítését és ennek kapcsán a beazonosításhoz szükséges adatok, attribútumok lekérdezését, azonban a piaci szereplők (private service provider) csak díj megfizetése, illetve a felhasználó által megadott hozzájárulás ellenében vehetik igénybe ugyanezen szolgáltatást.

(3) Az adatbázisok megnyitása

Az erős felhasználó-hitelesítés után a felhasználó engedélyezheti a szolgáltatás számára, hogy több más adatát, attribútumát is lekérdezze a Know-Your-Customer (KYC) követelménynek való megfelelés érdekében.

A banki adatbázisok is értékes adatokat tartalmaznak a felhasználókról magukról, illetve azok vásárlási szokásairól, fizetési hajlandóságáról, hitelképességéről (Account and Transaction API), de a közigazgatásban elérhetővé válnak olyan adatforrások (pl. a Személyiadat- és Lakcímnyilvántartás vagy az eSzemélyi okmányon tárolt adatok), amelyek közhitelesnek, azaz jogilag megbízhatóbbnak számítanak.

Minden EU tagállamnak tudnia kell szolgáltatni néhány természetes személyre, illetve jogi személyre (pl. cégekre) és azok képviselőire vonatkozó közhiteles attribútumot határokon átívelően, aminek révén könnyebbé válhat az egyes szolgáltatások kinyitása más országok felé (pl. online onboarding folyamat: máltai banknál számlanyitás magyar állampolgár számára vagy valós idejű ügyfél-átvilágítás, adategyeztetés videochat rendszeren keresztül születési adatok, viselt név, lakcím, állampolgárság lekérdezése révén).

(4) Az adatok hitelesítése

Maga az eIDAS rendelet a korábbi e-aláírási irányelv jogutódja, azaz a dokumentumok, űrlapok hitelesítése továbbra is a szabályozás középpontjában áll.

A PSD2 irányelv az e-aláírásról közvetlenül nem ír, de külön cikkben jelenik meg a fizetési műveletek hitelesítésének és teljesítésének bizonyítása, ami akár blokkláncba (blockchain) szervezve is megvalósítható. Ehhez kézenfekvő lehet az e-aláírási technológia alkalmazása, akár az eSzemélyi kártya révén, ami nem csak a hazai, de tagállamok közötti hiteles dokumentumközlekedtetéshez is megfelelő jogilag.

Honnan indult és hová tart az eIDAS rendelet mögötti háttérrendszer?

Az eIDAS rendelet kapcsán a közigazgatási szektorban (GovTech) most elinduló rendszereket korábban Shibboleth név alatt az akadémiai szektorban (EduTech) már sikerrel bevezették – eduID azonosítóval tudnak bejelentkezni és akár más intézmények tanulmányaihoz hozzáférni -, de a következő néhány évben csatlakozni fog az egészségügyi szektor (HealthTech) is a CBH irányelv miatt. Ezek mellett jelenik meg – hasonló célkitűzésekkel, de kicsit más műszaki megoldással – a banki szektor (FinTech) a PSD2 irányelv révén.

Mindegyik szektornál egységes felhasználó-hitelesítési, beléptetési lehetőségek lesznek elérhetők, illetve egységes adathozzáférési jogosultságkezelés. A közös, határokon átívelő kommunikációs hálózaton egyre többféle adat válik elérhetővé, amelyek többféle folyamatot, szolgáltatást tudnak majd megtámogatni.

Aki – akár piaci szereplőként – csatlakozik ezekhez a rendszerekhez, az nem csak a fizetési folyamatokat tudja megújítani, de a megrendelési, számlázási, szállítási lépésekhez is hozzá tudja tenni a közhiteles adatforrásokból származó adatokat, az egészségügyi szolgáltatásokat pedig akár a kórelőzmény adatok lekérdezésével, elemzésével tudja még tovább okosítani.


Az alábbi táblázat egy kis kiegészítés, amin jól látszik, hogy bár a területek különbözők, de a mögöttes jogszabályokból fakadó szempontrendszer nagyon hasonló.


Kapcsolódó anyagok:


Módosítás: ( 2018. október 08. hétfő, 06:23 )
 

A Magyar Elektronikus Aláírás Szövetség közleménye

E-mail Nyomtatás PDF
Szeptember 15. a Demokrácia Nemzetközi Napja. Az ENSZ 70 éves Emberi Jogok Egyetemes Nyilatkozata szerint pedig a nép akaratának titkos szavazáson alapuló választásokon kell kifejezésre jutnia.

A Magyar Elektronikus Aláírás Szövetség nem csak ezen apropók miatt indította el idén zárult elektronikus népszavazási projektjét: az elmúlt néhány évben megváltozott jogi környezet és a műszaki szempontok elemzésével annak összetett vizsgálatát tűzte ki, hogy Magyarországon a népszavazási folyamat mely lépései és milyen módon bonyolíthatók le elektronikusan.

A projekt eredményeként létrejött tanulmányok szerint a műszaki és logikai megoldások kellő alapot kínálnak az e-népszavazás hazai bevezetéséhez. Az új jogi környezet viszont hiába biztosítja az ügyintézési folyamatok elektronikus útra terelését, a népszavazási és választási eljárás elektronizálásának lehetősége bizonytalan. A helyi népszavazás kezdeményezése és az aláírásgyűjtés során könnyebb lehet az elektronizálás, míg országos esetben, illetve magánál a szavazásnál papír alapú aláírás szükséges. Az eljárás alapjának tekinthető elektronikus aláírást viszont jogilag és műszakilag is támogatja az állam, hiszen az eSzemélyi okmánnyal a saját kezű aláírással egyenértékű aláírás hozható létre.

A Szövetség szerint a népszavazás elektronikus úton történő kiterjesztése a népakarat szélesebb körű kifejezésével a demokrácia erősödését eredményezné.


/MTI OS/

Kapcsolódó anyagok:

e-(Nép)Szavazás projekt összefoglalója
http://melasz.hu/lang-hu/remository?func=startdown&id=214

e-(Nép)Szavazás jogi összefoglalója
http://melasz.hu/lang-hu/remository?func=startdown&id=215

e-(Nép)Szavazás jogi elemzése I.
http://melasz.hu/lang-hu/remository?func=startdown&id=210

e-(Nép)Szavazás jogi elemzése II.
http://melasz.hu/lang-hu/remository?func=startdown&id=211

e-(Nép)Szavazás jogi elemzése III.
http://melasz.hu/lang-hu/remository?func=startdown&id=212

e-(Nép)Szavazás műszaki elemzése
http://melasz.hu/lang-hu/remository?func=startdown&id=206

e-(Nép)Szavazás logikai elemzése
http://melasz.hu/lang-hu/remository?func=startdown&id=216

e-(Nép)Szavazás NVI kérdések
http://melasz.hu/lang-hu/remository?func=startdown&id=217

e-(Nép)Szavazás NVI válaszok
http://melasz.hu/lang-hu/remository?func=startdown&id=218

Módosítás: ( 2018. szeptember 15. szombat, 09:03 )
 

Népszerű az elektronikus aláírás az EU-ban

E-mail Nyomtatás PDF


Az európai politikusok is felfedezték az elektronikus aláírásban rejlő előnyöket. 2017 október 25-én Strasbourgban Matti Maasikas, Észtország EU-ügyekkel foglalkozó miniszterhelyettese és Antonio Tajani, az Európai Parlament elnöke aláírtak egy új európai jogszabályt elektronikus formában.  Az aláíráshoz az Európai Parlament Elektronikus Aláíró Konzolját használták, mely európai fejlesztésű és az alább ismertetett DSS építőkockára épült. Az aláírási ceremóniáról készült video-felvétel itt megtekinthető.

Ebből adódóan ez az aláírási ceremónia jelentős mérföldkőnek számít Európa digitalizálásában, a belső piacon folytatott elektronikus tranzakciók elektronikus azonosítására és bizalomra irányuló szolgáltatásairól szóló 910/2014 / EU rendelet (eIDAS-rendelet) végrehajtásában és a CEF által kidolgozott eAláírás építőelem további közösségi felhasználhatóságának bemutatásában.

Az európai létesítményekhez való kapcsolódás projektje (Connecting European Facilities, CEF) számos építőkockát tett már közzé az elektronikus aláírások támogatására, melyeket az Európai Bizottság működtet határon átnyúló eszközökként:

  • Elektronikus Aláírási Szolgáltatások (Digital Signature Services, DSS), nyílt forráskódú programkönyvtár az elektronikus aláírások és bélyegzők létrehozásához és ellenőrzéséhez.
  • Bizalmi Lista Böngésző (Trusted List Browser), mellyel minden európai polgár megtalálhatja a számára szükséges minősített bizalmi szolgáltatásokat.
  • Bizalmi Lista Menedzser (Trusted List Manager), mely segíti a Nemzeti Média- és Hírközlési Hatóságot a magyar bizalmi lista szabványos és gépi úton olvasható formájának létrehozásában és szerkesztésében.
  • Technikai segédletek (Technical specifications) és kapcsolódó szabványok (az Európai Telekommuniklációs Szabványosítási Intézet, ETSI kezelésében), melyek részletezik az eIDAS rendeletben lefektetett követelményeket az elektronikus aláírások és bélyegzők vonatkozásában.
  • Pénzügyi támogatások (Grant funding), az eAláírás építőelem további felhasználásainak támogatására.
Joggal bízhatunk tehát abban, hogy az elektronikus aláírás hamarosan az e-Kormányzás (e-Government) szerves részévé fog válni politikai szinten is az Európai Unióban az európai politikusok közötti hiteles elektronikus kommunikáció újabb eszközeként.
Módosítás: ( 2017. november 03. péntek, 16:25 )
 

MELASZ Állásfoglalás Az elektronikus aláírások és bélyegzők tanúsítványaival kapcsolatos teendőkről az EIDAS transzformáció kapcsán

E-mail Nyomtatás PDF

2016. július 1-jétől kell alkalmazni az elektronikus hitelesítésre vonatkozó új Európai Uniós jogszabályt, az eIDAS-t, ami egységes keretet határoz meg az elektronikus hitelesítésre és ügyintézésre az EU területén. Ezzel egy időben lép hatályba az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (Eüt.), valamint a hozzá kapcsolódó BM rendeletek.

Ezen jogszabályi előírásokat értelmezve adja ki a Magyar Elektronikus Aláírás Szövetség állásfoglalását az elektronikus aláírások ellenőrzésére szolgáló, eat. szerint kibocsátott tanúsítványokkal kapcsolatos teendőkről, azzal a céllal, hogy a bizalmi szolgáltatók számára egységes jogszabályi és szabvány értelmezést, s ezek alapján legjobb gyakorlatot javasoljon, és az Ügyfelek tájékozódását segítse.


 
Oldal 1 / 3
Hungarian (formal)