×

Az elektronikus aláírás

     

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2002. augusztus 15.) vegye figyelembe!

Megjelent A Munkaadó Lapja 54. számában (2002. augusztus 15.)
A törvényi, szabályozási háttér megteremtődött, hitelesítésszolgáltatók működnek, több szoftvergyártó kínál kész megoldást, tehát elvileg minden adott az elektronikus aláírás használatához. A digitális aláírás széles körű elterjedése azonban még várat magára. Cikkünkben a jelenlegi kínálatot tekintjük át.

Az elektronikus aláírásról szóló hatályos törvény, valamint az eddig elkészült rendeletek és a készülő jogszabályok arra utalnak, hogy az elektronikus aláírás használatának szabályozási korlátai hamarosan ledőlhetnek, így a jogkövetkezménnyel ellátott elektronikus okiratcsere szabad utat kap. A széles körű alkalmazás előtt azonban még néhány szabályozási, technikai és humán területen megteendő lépés a vállalatvezetők előtt áll.

A magyarországi szolgáltatók kínálatát a tanúsítványtípusaik és a hozzájuk kapcsolódó regisztrációs folyamatok mentén járjuk körbe. 2002 júniusában négy hitelesítésszolgáltató működik az elektronikus aláírás törvényi előírásai szerint: a Netlock Kft., a Matáv Rt., a GIRO Rt. és a Microsec Kft.

Az elektronikus aláírás és tanúsítványok használata

A tanúsítványalapú hitelesítés felhasználási lehetőségei zárt és nyílt hálózatok esetén – a teljesség igénye nélkül – a következőkben határozhatók meg:

– elektronikus kommunikáció, levelezés, amellyel biztosítható a kommunikáció hitelessége, sértetlensége és letagadhatatlansága;

– webes felület, szolgáltatás elérése, a különféle szolgáltatásokhoz, területekhez történő hozzáférés, minden esetben a felhasználó egyértelmű azonosítását követően;

– webes felületen hitelesített alkalmazások futtatása, amellyel a különféle alkalmazások futtatása előtt meggyőződhet a felhasználó azok eredetéről, hitelességéről (idetartozik a szervertanúsítvány is);

– megbízható szoftverdisztribúció, amelylyel a felhasználó képes a tanúsítvány által hitelesített szoftverek és a nem hitelesített szoftverek megkülönböztetésére, és ez alapján történő felhasználására vagy elvetésére;

– internet banking szolgáltatások, azaz banki tranzakciók, lekérdezések végrehajtása biztonságosan;

– elektronikus ügyintézés, adóbevallás, adatszolgáltatási kötelezettség teljesítése: gyorsan, kényelmesen a felhasználó egyértelmű azonosítása mellett;

– interneten keresztüli vásárlás, amellyel a vásárlás biztonsága növekszik, és amely a felek megbízható azonosításával a bizalom növekedésével járhat;

– beléptetőrendszer működtetése intelligens kártya segítségével, PIN-kóddal védett, biometrikus azonosítással a zárt területekre;

– számítógépes bejelentkezés (login), amellyel a felhasználó a hagyományos felhasználói név/jelszó páros helyett intelligens kártyája használatával jelentkezik be a munkaállomására;

– hálózatierőforrás-elérés, amikor a kártya birtokosához különböző hálózati erőforrások elérése rendelhető, vagy tiltható (fájlszerver, nyomtató);

– single sign on, ami azt jelenti, hogy egyszeri azonosítás után több rendszerhez történő hozzáférés, természetesen mindegyik rendszerhez a megfelelő jogosultságokkal;

– távoli elérés, amellyel a felhasználó külső helyszínről vagy otthonról – például virtuális magánhálózaton keresztül hozzáférhet a vállalat hálózatának bizonyos részeihez;

– biztonságos drót nélküli kommunikáció.

A hagyományos és az elektronikus levelezés eltérései

A hagyományos aláírási folyamat a következő:

1. Levél

2. Aláírás (hitelesítés)

3. Lezárt boríték

4. Postázás

5. Ellenőrzés

6. (Nem) Elfogadás

Az elektronikus aláírási folyamat ehhez képest a következő:

1. Levél

2. Aláírás (hitelesítés)

3. Titkosítás

4. Postázás

5. Ellenőrzés

6. (Nem) Elfogadás

Ha a hagyományos és digitális aláírási folyamatban a "Levél" és a "Postázás" sort kicserélnénk "Dokumentumra" és "Átadás/Továbbításra", akkor látható, hogy nemcsak a levelezésre, hanem az általános aláírási folyamatra is igaz ez a megfeleltetés.

Hitelesítés és ellenőrzés

Az első eltérés a hitelesítés és ellenőrzés vonatkozásában látható. Az üzleti életben megszokott dolog, hogy a vezető levelezését az adminisztratív feladatokért felelős alkalmazott bonyolítja, de az elektronikus aláírás esetén az egyik alapvető dolog, hogy a titkos kulcs – amivel az aláírást létre lehet hozni – csak az aláíró, jelen esetben a vezető kizárólagos birtokában lehet. Amennyiben ez ténylegesen megvalósul, akkor csak a vezető bonyolíthatja az elektronikus levelezést, ami felboríthatja a megszokott rendet, s ha nincs megfelelő szabályozás, akkor az is elképzelhető, hogy a vezető a titkár vagy titkárnő részére átadja a saját titkos kulcsát. Ez azonban komoly veszélyforrást jelenthet. Az ellenőrzés hagyományos esetben a kézírás, pecsét ellenőrzése, míg elektronikus esetben szoftveres úton a számítógép megjeleníti, hogy az elektronikus aláírás érvényes-e vagy sem. Itt nagyon fontos, hogy vírus és egyéb káros programoktól mentes környezetben történjen az ellenőrzés, mert ezekkel esetlegesen befolyásolható az ellenőrzés végeredménye. Megjegyezzük, hogy ilyen esetre már láttunk példát, tehát technikailag nem lehetetlen a megvalósítása.

"Bizalmas" dokumentumok

A másik fő kérdés a "Lezárt boríték" és a "Titkosítás" összehasonlítása esetén merül fel. A bizalmasság megőrzése érdekében az az általános gyakorlat, hogy az aláírt dokumentumokat lezárt borítékban a meghatározott címzettekhez juttatják el. Elektronikus esetben, ha e-mailben titkosítatlanul juttatják el a címzetthez az anyagot, az nem garantálja a bizalmasságot. Idevág az a mondás, amit gyakran hangoztatnak biztonsági szakértők, hogy amit az interneten keresztül kódolatlanul küldenek, az olyan, mintha egy nyílt postai levelezőlapon küldték volna.

A titkosítás használata

A megoldás erre a problémára a titkosítás használata, amely könnyen megvalósítható, és a papíralapú "lezárt borítéknál" erősebb megoldás. A titkosítással azért is érdemes még foglalkozni, mert a papíralapú dokumentumok is elektronikus formában készülnek el, és nagy részüket el is tárolják, általában mindenféle védelem nélkül.

Ezeket a problémákat kezelni csak megfelelő szabályozással, az alkalmazottak oktatásával, biztonsági tudatosságának növelésével lehet, így érhető el, hogy biztonságos elektronikus kommunikáció alakuljon ki.

Az elérhető biztonság

A legfontosabb kérdés, hogy létezik-e megfelelő biztonsági környezet? Az elektronikus aláírásról elmondhatjuk, hogy nem csodaszer, nem fog minden biztonsági problémára megoldást adni, hanem csak egy már meglévő és megfelelő biztonsági környezetbe illesztve emeli az elérhető biztonsági szintet. Több elemzés, tanulmány alapján azonban megállapíthatjuk, hogy Magyarországon még nem történtek meg mindenhol a szükséges lépések a megfelelő biztonsági környezet megteremtésére.

Az általános gyakorlat szerint eddig is elektronikus aláírás nélkül ment az elektronikus levelezés, a fontos, bizalmas anyagokat általában nem kódoltan továbbítják, de néhol léteznek erre saját biztonsági megoldások. Figyelembe kell venni azonban a kérdés vizsgálatánál, hogy a közvélemény sokkal magasabb szintű biztonsági elvárásokat támaszt az elektronikus aláírással szemben, mint a hagyományossal.

 

Az elektronikus aláírás fogalma

Az elektronikus aláírásról szóló 2001. évi XXXV. törvény elektronikus aláíráson az elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt és azzal elválaszthatatlanul összekapcsolt elektronikus adatot vagy dokumentumot ért. A törvény továbbá bevezeti a "minősített elektronikus aláírás" fogalmát is, valamint használja a "fokozott biztonságú elektronikus aláírás" terminológiát. Minősített az elektronikus aláírás akkor, ha fokozott biztonságú, biztonságos aláírás-létrehozó eszközzel készült, valamint az aláírás-ellenőrző adathoz létezik minősített tanúsítvány.

Teljes bizonyító erő

Fontos tudni, hogy csak a minősített elektronikus aláírással ellátott elektronikus okirat minősül teljes bizonyító erejű magánokiratnak, továbbá csak a fokozott biztonságú elektronikus aláírással ellátott elektronikus dokumentum elégítheti ki az írásba foglalás követelményét. (2002 első félévében ilyen jogkövetkezménnyel még elektronikus aláírás nem bírhatott, ugyanis a fokozott biztonságú elektronikus aláírás létrehozásának technikai feltételei még nem adottak.)

MAC

Minden olyan elektronikus eljárást, amely alkalmas hitelesítésre, elektronikus aláírásnak nevezünk. Ilyen lehet például a szimmetrikus kriptográfián alapuló MAC (Message Authentication Code). A MAC-kód képzése egy fix hosszúságú, az üzenetből képzett adat (digitális ujjlenyomat, hash) generálásán alapul, amelyet az üzenettel együtt küldenek az eredet és sértetlenség megállapítására. A hash-érték minden üzenetre más és más, és általában nem lehetséges a hash-értékből az eredeti üzenet tartalmát visszafejteni (egyirányúság). A hash képzésekor az üzenetet és a küldő által birtokolt titkot (titkos kulcs) egymás mellé teszik, és ebből generálódik a MAC, melyet az üzenettel együtt küldenek el. A fogadó az üzenetből és az általa birtokolt titokból szintén generálja a hash-értéket, és ha ez megegyezik az átküldöttel, akkor tudja, hogy egyrészt az üzenet küldője az, akinek a birtokában van ugyanez a titok, másrészt hogy az üzenet a küldés során nem változott meg. Bizalmasságot ez az eljárás nem biztosít.

Megjegyezzük, hogy a nyilvános kulcsú kriptográfiával ötvözött MAC alkalmas a letagadhatatlanság biztosítására is. Szimmetrikus kulcsokkal ugyanez nem biztosítható, hiszen ha két feladó ugyanazzal az üzenettel és ugyanazzal a titokkal képes ugyanazt a MAC-kódot előállítani, ez máris alapjául szolgálhat a küldés letagadására.

Digitális aláírás

A digitális aláírás ezzel szemben olyan adatsorozat, olyan elektronikus aláírás, amely tanúsítja az üzenet eredetiségét és sértetlenségét az aszimmetrikus vagy nyilvános kulcsú kriptográfia segítségével. A küldő az üzenetből generált hash-értéket a saját aláíró kulcsával bekódolja (aláírja), és ezt küldi el az üzenettel együtt. A fogadó az üzenetből szintén generálja a hash-értéket, majd az ellenőrző kulccsal dekódolja az üzenettel együtt kapott aláírást, amelyből szintén egy hash-érték lesz. Amennyiben a kettő egyezik, akkor tudjuk, hogy egyrészt az üzenet nem változott meg a küldés folyamán, másrészt olyan valaki küldte, akinek a birtokában van az ellenőrző kulcshoz tartozó aláíró kulcs is. Az aláíró kulcsot nevezzük titkos kulcsnak, az ellenőrző kulcsot pedig nyilvános kulcsnak. A kettő kriptográfiailag is összetartozik, azaz ha az aláíró kulcsot titokban tartjuk, akkor elméletileg biztosak lehetünk abban, hogy az aláíró kulcs nélkül a nevünkben nincs lehetőség aláírás létrehozására.

Felmerülhet a kérdés, hogy miért nem az egész üzenetből, miért csak egy fix hosszúságú (128-160 bit) lenyomatából képezzük az aláírást? Ennek több oka van. Egyrészt, ha a teljes üzenetet kódolva kellene elküldeni az eredeti (kódolatlan) üzenettel, az megduplázná a sávszélességigényt. Másrészt a nyilvános kulcsú algoritmusok futási ideje meglehetősen lassú, a sok várakozás pedig a felhasználói rendszert használhatatlanná teszi. Harmadrészt, ha a kódolt és az eredeti üzenetet egymás mellett postázzuk, a támadók azonnal lehallgathatják az üzenetet és annak kódolt változatát is, amiből könnyebben támadhatják a kódolási rendszerünket, visszafejthetik az aláíró kulcsokat.

Összefoglalva a fentieket kijelenthetjük, hogy minden digitális aláírás egyben elektronikus aláírás is, de nem minden elektronikus aláírás lesz digitális aláírás.

Hiányzó kapcsolatok, alkalmazások

Az elektronikus aláírást sok esetben nem könnyű alkalmazni a hiányzó kapcsolatok, alkalmazások miatt, használati lehetősége általában csak a levelezésre és a kódolt internetes oldalak megnézésére korlátozódik, mivel legelterjedtebben a levelező- és böngészőprogramok támogatják az elektronikus aláírás és tanúsítvány használatát. Az egyéb lehetőségek kihasználásához különféle segédprogramokra, alkalmazásokba beépülő pluginokra lenne szükség.

Biztonságos aláíró eszközök használata

A biztonságos használathoz ajánlott biztonságos aláíró eszközök használata, például csipkártya és kártyaolvasó, vagy USB token elterjedése most kezdődik. Hátrányuk, hogy jelenleg még drágák, és a csipkártya esetében a kényelmes használathoz több helyen is szükséges kártyaolvasó (munkahely, otthon stb.), a USB token a hatékony és könnyű használathoz pedig még fejlesztésre szorul. Itt érdemes megemlíteni, hogy a számítástechnikában már megszokott, az idővel bekövetkező eszközárcsökkenések is hozzájárulhatnak a nagyobb elterjedéshez, amihez persze a felhasználói szám növekedése is hozzájárul.

A tanúsítványok ára

Természetesen a tanúsítványokért is fizetni kell, ami ugyancsak visszatartó erő a hagyományos aláírással szemben, főként ha az árért még nem kapjuk meg a megfelelő és elvárt teljesítményt.

Netlock Kft.

A Netlockot a Hírközlési Főfelügyelet (HíF) 2001. október 20-tól nyilvánította "fokozott biztonságú szolgáltatóvá". A Netlock a törvény által felsorolt mindhárom szolgáltatás végzésére (tanúsítványkiadás, időbélyegzés és privát kulcs elhelyezés) bejegyeztette magát. Ez tehát azt jelenti, hogy regisztrációs és hitelesítő funkciót végez, amely közben négy hitelesítési osztályban ad ki tanúsítványokat – de valójában csak három az, ami tényleges kötelezettségvállalás igazolására használható közülük. A cég támogatja a csak tanúsítványt kérőket is, de lehetővé teszi, hogy más cég saját használatra virtuális szolgáltatót hozzon létre nála, melynek csupán a rendelkezésre állását biztosítja, az adminisztrációs feladatok a megrendelő cégre áthárítódnak. A láncolt CA-tanúsítvány lehetővé teszi bármely vállalati CA bekapcsolását a Netlock által felülhitelesítettek körébe.

Teszt osztályú tanúsítványok

A teszt tanúsítvány a hálózatbiztonsági szolgáltatások tesztelési céljaira kiadott tanúsítvány. A teszt szinten a hitelesítésszolgáltató nem végez és nem vesz igénybe entitásazonosító szolgáltatásokat. A teszt tanúsítvány csak a megadott elektronikus cím létezését biztosítja az érintett felek számára, semmi többet. Érvényességi időtartama 1 hónap, igénylése on-line módon történik. Felelősséget érte a Netlock nem vállal.

"C" osztályú tanúsítványok

A "C" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát korlátozott, részben emberi beavatkozással történt ellenőrzési lépéseken keresztül azonosította a hitelesítésszolgáltató. Használata elektronikus levelezéshez, kisebb kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlja a kft. Felelősséget 50 000 forintig vállal az ilyen típusú tanúsítványokra. A "C" osztályú tanúsítványok kiadását általában az igazolványok másolatának bemutatása előzi meg.

"B" osztályú tanúsítványok

A "B" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát szigorúbb ellenőrzési lépések során azonosította a hitelesítésszolgáltató. Használatát elektronikus levelezéshez, közepes kockázatú tranzakciókhoz, on-line szolgáltatások igénybevételéhez, szoftver forrásának ellenőrzéséhez ajánlja a cég. Felelősséget 500 000 Forintig vállal az ilyen típusú tanúsítványokra. A "B" osztályú tanúsítványok kiadását magánszemélyeknél több névre szóló igazolvány, közüzemi számlák bemutatása előzi meg.

"A" osztályú tanúsítványok

Az "A" osztályú tanúsítvány olyan személyeknek, szervezeteknek vagy szervereknek kiadott tanúsítvány, amely alanyát szigorú ellenőrzési lépések során azonosította a hitelesítésszolgáltató. Használata nagy értékű tranzakcióknál, pénzügyi utasítások és információk ellenőrzésénél, szerződéskötéseknél ajánlott a Netlock szerint. Felelősséget 5 000 000 forintig vállal ezekre a tanúsítványokra. Az "A" osztályú tanúsítványok kiadását – ahol lehetséges – közjegyzői nyilatkozat ellenőrzése előzi meg.

Tanúsítványtípusok

Személyes aláíró és titkosító tanúsítványok

Személyes tanúsítványokat természetes személy igényelhet a saját nevében.

Meghatalmazásos aláíró és titkosító tanúsítványok

Meghatalmazásos (névjegykártyás) tanúsítványokat természetes személy igényelhet egy adott szervezet tagjaként. A szervezet – többek között – lehet gazdálkodó szervezet, hivatal, önkormányzat, egyesület, alapítvány. A tanúsítványban szerepel a személy szervezetben betöltött funkciója is.

Szervezet-aláíró és -titkosító tanúsítványok

Szervezettanúsítványokat szervezet vagy annak szervezeti egysége igényelhet saját nevében. A szervezet – többek között – lehet gazdálkodó szervezet, hivatal, önkormányzat, egyesület, alapítvány.

Szervertanúsítvány

Szervertanúsítványt internetcímmel (ún. host névvel) rendelkező, szervert üzemeltető természetes személy vagy szervezet igényelhet.

WAP Gateway tanúsítvány

WAP Gateway tanúsítványt WAP Gateway eszközt üzemeltető természetes személy vagy szervezet igényelhet.

VPN-tanúsítvány

VPN-tanúsítványt VPN-eszközt üzemeltető természetes személy vagy szervezet igényelhet.

Láncolt Hitelesítés Szolgáltató tanúsítvány

Egy adott szervezet a szervezet alkalmazottai számára történő tanúsítványkibocsátást lehetővé tevő tanúsítvány.

Árak

A tanúsítványok árai 400 Ft/hótól 3000 Ft/hóig terjedhetnek, típustól és regisztrációs erősségtől függően.

Magyar Távközlési Rt.

A Matáv Rt. jelenleg anyavállalata, a Deutsche Telekom eszközeit és know-how-ját adaptálja a magyarországi viszonyokra. A szolgáltatás értékesítését e-Szignó néven kezdte meg a HíF 2001. december 21-i regisztrációját követően. A törvényben meghatározott szolgáltatások közül csak kettőt nyújt, időbélyegzéssel nem foglalkozik – a cikk írásának pillanatában. A kibocsátott tanúsítványok száma 2000 júniusában 2-3 ezer között van, az ügyfélkör gyakorlatilag a Kereskedelmi és Hitelbank internet banking ügyfeleit jelenti.

Szolgáltatásának lényege, hogy a Matáv egy interneten keresztül elérhető számítástechnikai rendszert – egy Web-CA-t létesít és üzemeltet az ügyfél (például bank, nagyvállalat) számára, amely felhasználható digitális tanúsítványok kibocsátására a bank ügyfelei vagy a vállalat dolgozói, partnerei részére.

Tehát a Matáv mint szolgáltató virtuális CA-kat (VCA) definiál és bocsát rendelkezésre a saját eszközein keresztül minden ügyfelének, akik úgynevezett közvetítőként biztosítják egy webfelületen keresztül a szolgáltatás tartalommal való feltöltését, az egyedi ügyfélszerződésben leírt igényeik alapján elkészített tanúsítványtípusok használatával. Ennek megfelelően a regisztrációs szervezet is kétszintű, mivel helyi viszonylatban a Local Registration Authorityt (LRA) képviselő operátorok betanítását és tanúsítvánnyal ellátását a Matáv Master Registration Authorityjének (MRA) munkatársai végzik.

Matáv-tanúsítványok

Tanúsítványtípusokat külön a Matáv nem határoz meg az MRA, CA, LRA és BatchRA – a nagy mennyiségű, általában automatikus tanúsítványigényléseknél használható megoldás – profilokon kívül, ellenben szolgáltatási szabályzatában megadja az általa kezelhető legbővebb tanúsítvány mezőit, és kijelenti, hogy a kibocsátott tanúsítványtípusokat a tanúsítványmezők adatai alapján lehet azonosítani. A kibocsátott tanúsítványok típusát közvetítőnként határozzák meg, és azt az egyedi ügyfélszerződés, illetve a tanúsítványszabályzat rögzíti, melyben minden esetben szabályozzák

– azt, hogy a tanúsítvány az aláírót saját nevében történő elektronikus aláírásra, vagy más személy (szervezet) nevében történő elektronikus aláírásra jogosítja-e fel;

– a kulcshasználat lehetőségeit – például elektronikus aláírás, ügyfél-azonosítás, titkosítás stb.;

– a tanúsítványok felhasználásának korlátait és egyben a tanúsítványok használatához kapcsolódó jogkövetkezményeket, valamint

– az aláíró és az aláírás-ellenőrző feleket terhelő kötelezettségeket.

Díjak

A Matáv díjairól explicit információ nem lelhető fel. A szolgáltatási szabályzatban leírtak szerint a szolgáltatás érvényes díjait és fizetési feltételeit a közvetítővel kötött egyedi ügyfélszerződés rögzíti. Sejteni azért lehet, hogy a Matáv üzletpolitikája a nagy cégeknek kedvez, azaz a nagy tételben tanúsítványt rendelők bizonyosan számíthatnak jelentős kedvezményekre, így a darabonkénti ár nem mond semmit ebben az esetben. Azt lehet csupán tudni, hogy a szolgáltatás díjazása során alkalmazott díjelemeket az alábbiakban felsoroltak közül választják ki.

VCA létrehozásához, megvalósításához és üzemeltetéséhez kapcsolódó díjtételek

Egyszeri felállítási, testreszabási díj, amely egyszeri díjtétel, magában foglalja az egyedi ügyfélszerződésben meghatározott paraméterekkel rendelkező VCA felállítását, valamint 2 fő LRA-operátor kártyáját (a kapcsolódó kulcspárral és tanúsítvánnyal), olvasóját és oktatását.

A havi üzemeltetési díj az a havonta számlázandó díjtétel, amely magában foglalja az egyedi ügyfélszerződésben meghatározott paraméterekkel rendelkező VCA üzemeltetését. A konzultáció díja úgynevezett opcionális díjtétel, amely tartalmazza az egyedi ügyfélszerződésben rögzített, közvetítő által igényelt konzultációs tevékenység díját, a szolgáltatás létesítése és üzemeltetése során.

Kártyás tanúsítványokhoz kapcsolódó díjtételek

Csipkártya (+ telepítő) díja: egyszeri, kártyánként fizetendő díjtétel, amelyet akkor számláznak, ha a tanúsítvány, illetve a magánkulcs tárolásához a közvetítő csipkártyát rendelt meg.

Kártyaperszonalizálás díja: egyszeri, kártyánként fizetendő díjtétel, mely magában foglalja a kulcsok és a tanúsítvány elhelyezését a kártyán, valamint a kártya egyoldali indent nyomással történő perszonalizálását. Akkor kerül számlázásra, ha a tanúsítvány, illetve a magánkulcs tárolásához a közvetítő kártyát rendelt meg. A perszonalizációs rendszer szállítója a Cardnet Rt., auditálója a HunGuard Kft.

Tanúsítványokhoz tartozó díjtételek

Tanúsítványok éves díja: tanúsítványonként számlázott éves díjtétel. A Matáv az egész évi díjat a tanúsítvány kiadásakor számlázza egy összegben. A tanúsítvány éves díja magában foglalja a tanúsítvány korlátlan használatának lehetőségét az érvényességi időn belül. Tranzakciós díj a tanúsítvány használatához kapcsolódóan nincs. A tanúsítvány visszavonása esetén az éves díjból nincs visszatérítés. A tanúsítvány érvényességi időtartama – az egyedi ügyfélszerződés alapján – egy évnél rövidebb időszak is lehet. Az ennek megfelelő árakat az egyedi ügyfélszerződés tartalmazza.

Tanúsítványok regisztrációs díja: opcionális egyszeri, tanúsítványonként számlázandó díjtétel, melyet akkor számláz a Matáv, ha az aláírók tanúsítványkérelemben rögzített adatainak ellenőrzését, az adategyeztetési tevékenységet és a tanúsítványkérelmek jóváhagyását (LRA operátori funkciók) az egyedi ügyfélszerződésben rögzített feltételekkel a szolgáltató végzi.

Egyéb hitelesítésszolgáltatáshoz kapcsolódó díjak

Egyéb egyszeri vagy havi díjtételek, melyek akkor számlázandók, ha az egyedi ügyfélszerződésben rögzített módon a szolgáltató a közvetítő részére más szolgáltatásokat is biztosít (például közvetítő munkatársainak oktatása, vagy oktatási kurzusok aláíróknak, végfelhasználók részére biztosított ügyfélszolgálati tevékenység havidíja stb.).

 

Nyilvános kulcsú tanúsítvány

A nyilvános kulcsú tanúsítvány olyan adatsorozat, amely kapcsolatot teremt egy aszimmetrikus kulcspár egyik tagja (nyilvános kulcs) és egy azt birtokló entitás tulajdonságai között. Entitás lehet ebben a körben természetes személy, hardveres eszköz vagy szoftveres eljárás, processz. A tanúsítványok használata ott válik szükségessé, ahol valakinek megbízható módon igazolnia kell azt, hogy az elektronikus kötelezettségfelvállalás ténylegesen megtörtént, jogszerű. Megfigyelhetjük, hogy a fokozott biztonságú elektronikus aláírásnak (írásbeliség) nem feltétele a hozzá kapcsolódó tanúsítvány megléte, ellenben a teljes bizonyító erejű magánokiratnak már igen, sőt, itt már a legmagasabb szintű, minősített tanúsítvánnyal kell rendelkeznie az aláírónak.

Hogyan lehet tanúsítványhoz hozzájutni? Ennek a kérdésnek a megválaszolásához el kell különítenünk a vállalati belső használatot a külső kommunikációtól. Ugyanis a belső digitális aláírási rendszer elfogadása csak a vállalaton belül biztosított, felső vezetői utasítás alapján, így ennek nem kell a törvényi előírásoknak megfelelnie, viszont a külső elfogadhatósága megkérdőjelezhető, illetve további intézkedéseket követel meg. A külső kommunikációban használatos tanúsítványokat célszerű olyan cégektől beszerezni (hitelesítésszolgáltatók, certificate authority, CA), akik nyilvánosan és a törvényi szabályozásnak megfelelően végzik tevékenységüket, hiszen elfogadhatóságuk nagyságrendekkel magasabb, mint egy belső vállalati rendszeré. Azonban elképzelhető hibrid megoldás is, hiszen nem minden vállalati dolgozónak van arra szüksége, hogy vállalaton kívülre hitelesen aláírhasson, viszont a belső kommunikációban általában minden dolgozó részt vesz. Ennek megfelelően, ha a külső elfogadhatóság is szempont, ott szolgáltatótól származó tanúsítványok használata javasolt, míg a belső kommunikációban megfelelő lehet a saját építésű és üzemeltetésű digitálisaláírás-rendszer is. Természetesen a megvalósítási költségek nagymértékben függnek a cég méretétől is. Kisebb cég számára is megoldás lehet a tanúsítványok bérlése.

GIRO Elszámolásforgalmi Rt.

A GIRO Rt.-vel szerződést kötött pénzügyi intézmények, a Magyar Nemzeti Bank, a Magyar Államkincstár és a KELER Rt. lesz a GIRO által kibocsátott tanúsítványok alkalmazó közössége.

A tanúsítvány megszerzése

A tanúsítvány megszerzéséhez a bankoknál vezetett számlák tulajdonosainak a saját bankjuknál kell érdeklődniük. A GIRO a hitelesítési szolgáltatását a pénzintézetek – mint regisztrációs szervezetek – bevonásával nyújtja. A tanúsítványigénylést tehát a honos bank fogja befogadni és elbírálni.

Azonnal felmerül a kérdés, hogy ha több banknál is szeretnénk elektronikusan intézni bankügyeinket, vajon mindannyiszor újra kell-e regisztráltatni magunkat, vagy ha egyszer beléptünk a GIRO-s tanúsítvánnyal rendelkező ügyfelek táborába, szabadon mozoghatunk-e a továbbiakban a bankok között? Elképzelhető, hogy a bankok közösen megállapodnak abban, hogy a másik pénzintézet által végzett ügyfél-regisztrációt elfogadják mindenkire nézve érvényesnek. Nyilván bizonyos korlátozások mellett így alakulna ki, hogy milyen feltételek mellett lehetnének a pénzintézetek az ügyfelek számára "átjárhatóak". A Bankszövetség már dolgozik a bankok által közösen elfogadható tanúsítványszabványon, így a tanúsítvány felhasználási lehetősége várhatóan független lesz a regisztráció helyétől. A GIRO Rt. 2002 júniusáig még nem bocsátott ki egyetlen nyilvános tanúsítványt sem, de hamarosan várható az első ügyfél, a pénzintézetekkel kötendő megállapodások függvényében.

GIRO-tanúsítványfajták

A GIRO fokozott biztonságúnak nevezett, szolgáltatói és teszt osztályú tanúsítványokat fog kibocsátani. A szolgáltatói és teszt osztályú tanúsítványok kibocsátását és kezelését a GIRO nem nyilvános szolgáltatás keretében tervezi végezni. A szolgáltatási szabályzatban a fokozott biztonságúnak nevezett tanúsítványok kezelését találhatjuk meg. A fokozott biztonságú tanúsítvány olyan személyeknek, szervezeteknek vagy eszközöknek kiadott tanúsítvány, amely alanyát szigorú ellenőrzési lépések során azonosította a szolgáltató. Használatát pénzügyi tranzakcióknál, utasításoknál és információk eredetiségének és sértetlenségének ellenőrzésénél ajánlja a GIRO.

A GIRO felelőssége

Az általános szerződési feltételek rendelkeznek a felelősségvállalás mértékéről. E szerint a GIRO az olyan – bizonyított – vagyoni károkért, amelyek felelősségi körében keletkeztek, kártérítést fizet a következő káreseményenkénti felső határokkal:

– a fokozott biztonságú, a magánszemély részére kiadott személyi tanúsítványok esetében 100 000 forint/tanúsítvány, de összesen legfeljebb 50 000 000 forint;

– a fokozott biztonságú, szervezet részére kiadott tanúsítványok esetében 250 000 forint/tanúsítvány, de összesen legfeljebb 100 000 000 forint;

– a fokozott biztonságú eszköztanúsítványok esetében 250 000 forint/tanúsítvány, de összesen legfeljebb 50 000 000 forint.

A felelősség felvállalhatóságához a GIRO nem fogad el más által generált titkos kulcsot, azt minden esetben saját maga fogja újonnan generálni ügyfelei számára.

A GIRO díjai

Az ügyfelek által fizetendő díjakat a szolgáltatási szabályzat szerint – az általános szerződési feltételeknek megfelelően – a regisztrációs szervezet által közzétett díjszabás tartalmazza. Ilyen szervezettel azonban a GIRO Rt.-nek még nem volt a cikk írásának idején érvényes szolgáltatási szerződése. A díjszabást az teheti érdekessé, hogy a szolgáltató nyereségéből a tulajdonos bankok részesednek, így egyrészről érdekeltek a relatíve magas díjtételekben, másrészről a díjat a banki ügyfelek fogják megfizetni, így az alacsony díjak potenciális ügyfeleket – vagyis más oldalról jelentkező bevételt – jelenthetnek a kiélezett pénzpiaci versenyben.

MICROSEC Számítástechnikai Fejlesztő Kft.

A MICROSEC Kft. az Igazságügyi Minisztérium Cégnyilvántartási és Céginformációs Szolgálatát működteti. Ezen belül a MICROSEC E-SZIGNÓ Hitelesítés-Szolgáltatót a MICROSEC Kft. azért hozta létre, hogy megteremtse az elektronikus (köz)okiratok hiteles kibocsátásának lehetőségét, elősegítse az elektronikus aláírással rendelkező iratok nem peres eljárásokban, így a cégeljárásban történő alkalmazhatóságát, biztosítsa az ügyfélbarát elektronikus ügyvitel megvalósításához szükséges igazságügyi infrastruktúrát, támogassa a biztonságos elektronikus kereskedelmet, és kielégítse ügyfeleinek szakmai, üzleti és személyes digitális aláírás iránti igényeit. Ennek a szolgáltatásnak a keretén belül a bankok a cégbíróságoknak benyújtott elektronikus okirataikon elhelyezett digitális aláírásaik hitelességét a MICROSEC-től kapott tanúsítványokkal igazolják.

Az adatszolgáltatás formája

A számlát vezető pénzügyi intézménynek a pénzforgalmi számlára vonatkozó adatokkal kapcsolatos bejegyzési, illetve változásbejegyzési kérelmeiket, elektronikus levélben szabványos elektronikus okirati formában kell megküldeniük a cégbíróságok elektronikus ügyfélfogadó irodái számára. Az elektronikus ügyfélfogadó irodák automatái a küldemény átvételéről a feladókat digitális elismervény megküldésével értesítik. A digitális elismervények alkalmasak arra, hogy hitelt érdemlő módon igazolják a küldemények megérkezésének időpontját, illetve a küldemények átvételének tényét. A bejegyzési kérelem elektronikus nyomtatványában feltüntetett adatokat a pénzintézetek képviseletére feljogosított személyeknek a kérelem benyújtását megelőzően digitális aláírásukkal kell ellátniuk. Az elektronikus okiratokon feltüntetett képviselő szerepkörnek megfelelő digitális aláírásoknak rendelkeznie kell a Hírközlési Felügyeleten bejegyzett fokozott biztonságú hitelesítésszolgáltató által kiállított érvényes tanúsítvánnyal.

A Microsec E-SZIGNÓ hitelesítési szintjeinek megfelelő hitelesítési osztályok

 

Az aláíró azonosságának igazolása

Microsec E-SZIGNÓ titkos kulcsának védelme

Hitelesítést aláíró (és kérelmező) titkos kulcsának védelme

Kivitelezett vagy tervezett felhasználói alkalmazások

1. szint

automatizált egyértelmű elnevezés és e-mail cím kutatása

hitelt érdemlő hardver

kódoló szoftver (PIN-védelem) ajánlott, de nem követelmény

webböngészés és bizonyos e-mail használat

2. szint

ua., mint az 1. szint, plusz automatizált bejegyzési adatellenőrzés és automatizált címellenőrzés

hitelt érdemlő hardver

kódoló szoftver (PIN-védelem) követelmény on-line előfizetés, jelszócsere és szoftver érvényesítése

egyéni, vállalaton belüli és vállalatok közötti e-mail

3. szint

ua., mint az 1. szint, plusz személyes jelenlét és személyazonosító dokumentumok, plusz 2. szintű automatizált személyazonosság ellenőrzés egyének esetén; plusz3. szintű üzleti adatok (vagy akták) ellenőrzése szervezetek esetén

hitelt érdemlő hardver

kódoló szoftver (PIN-védelem) kötelező; hardver token ajánlott, de nem követelmény

személyes bankszolgáltatás, tagsági alapú on-line szolgáltatások, tartalom integritásszolgáltatások, szoftverérvényesítés

 

Figyelem! Kérjük, az értelmezésénél a megjelenés időpontját (2002. augusztus 15.) vegye figyelembe!

dr. Horváth István
tanszékvezető, habilitált egyetemi docens, ügyvéd
ELTE ÁJK
dr. Bérces Kamilla
munkajogász
 
Dr. Petrovics Zoltán
egyetemi adjunktus
ELTE ÁJK és NKE
dr. Kártyás Gábor
habilitált egyetemi docens
PPKE JAK
dr. Takács Gábor
ügyvezető
Opus Simplex
dr. Monzák-Magyar Éva
munkajogász
 

Olvasócentrikus tartalom

„Az olvasó kérdez, a szerkesztő válaszol” évszázados műfaját mi kizárólagossá tettük. A honlapon fellelhető tartalmat a Google-hoz hasonló egyszerűen használható keresőrendszerrel láttunk el.

8646 oldalnyi terjedelem

A honlap mögött több mint 8646 A4-es oldalnyi munkaügyi „okosság” van. 2008 óta 5134 olvasói kérdésre 5134 választ adtak szakértőink.

Sokoldalú keresőrendszer

8646 oldalnyi terjedelmet csak „okos” keresővel lehet feltárni. Szerkesztőink a jellemző tartalom alapján címkézik a cikkeket – e láthatatlan címkék is segítik olvasóinkat a megfelelő tartalom megtalálásában.

7 napos válaszadási garancia

Még a 8646 oldalnyi terjedelem sem garancia arra, hogy egy egyedi munkaügyi problémára választ találjanak előfizetőink – viszont a honlap főoldalán feltett kérdéseikre 7 napon belül választ adnak szerkesztőink e-mailben.

Nem csak munkaügy – adózás és társadalombiztosítás is

Szerzőink a válaszadásnál a munkaügyi vonatkozásokon túl kitérnek a kérdések adózási vonatkozásaira is (ha vannak), azért, mert meggyőződésünk, hogy ezzel is az előfizetőink pénzügyi eredményességét szolgáljuk.

Szerkesztőink vezető munkaügyi szakemberek

17 éve főszerkesztője a lapnak dr. Horváth István, aki kiemelkedő képességű szerkesztői-szerzői csapattal küzdött meg eddig a 5134 olvasói kérdéssel.

Globális informatikai hiba miatti munkakiesés

A július 19-i Crowdstrike frissítési hiba a Windowsra a cégünket is érintette, a számítógépeken nem tudtunk dolgozni. Erre a napra mit kell fizetnie a cégünknek? Az irodai és műszakos...

Tovább a teljes cikkhez

Munkáltatói jogkörgyakorlás – a jogalap

Az Mt. 20. §-ának (2) bekezdése értelmében a munkáltatói joggyakorlás rendjét – a jogszabályok keretei között – a munkáltató határozza meg. Az Mt. 31. §-a alapján alkalmazandó...

Tovább a teljes cikkhez

Munkáltatói joggyakorlás – a jogosult utólagos jóváhagyása

Az Mt. 20. §-ának (3) bekezdése értelmében, ha a munkáltatói jogkört nem az arra jogosított személy (szerv, testület) gyakorolta, eljárása érvénytelen, kivéve, ha a jogkör...

Tovább a teljes cikkhez

Cégjegyzésre jogosultak – és a munkáltatói jogkörgyakorlás

Egy társaság képviseletére a cégjegyzék értelmében annak két képviselője együttesen jogosult. Van-e akadálya annak, hogy a munkáltatói jogkör gyakorlásának rendjét úgy alakítsa...

Tovább a teljes cikkhez

Polgármester – ha nem kaphat képviselői tiszteletdíjat

Helyi – megyei jogú városi – önkormányzatnál a foglalkoztatási jogviszonyban álló polgármester illetményére, illetve képviselői tiszteletdíjának egyidejű megállapítására...

Tovább a teljes cikkhez

Áthelyezés hiánya és orvoslása

Járási hivatal kormányablakosztályán dolgozó kormányzati szolgálati jogviszonyban álló alkalmazott áthelyezéssel átvehető-e közös önkormányzati hivatalhoz közszolgálati...

Tovább a teljes cikkhez

Próbaidő kikötése óvodaigazgató részére

Önkormányzati fenntartású óvodában igazgatói megbízás betöltésére jelentkezett egy kolléganő. A 401/2023. Korm. rendelet a Púétv. 7. §-a (2) bekezdésének b) pontja szerint nem...

Tovább a teljes cikkhez

Köznevelési foglalkoztatotti jogviszony nyugdíj mellett

Dajka munkakörre vonatkozik a kérdésünk. Önkormányzati fenntartású óvodánk dajkája nyugdíjba vonul a 40 év jogosultsági idővel, december 31-ével. Az intézményvezető szeretné...

Tovább a teljes cikkhez

Munkaadói utasítás – korlátok és minősítés

A munkáltató utasítási joga az Mt. 52. §-a (1) bekezdésének c) pontjában foglaltakból fakad? Mi ennek a korlátja, határa? Például a munkáltató egyoldalúan meghatározhatja a...

Tovább a teljes cikkhez

Cégjegyzésre jogosultak – és a munkáltatói jogkörgyakorlás

Egy társaság képviseletére a cégjegyzék értelmében annak két képviselője együttesen jogosult. Van-e akadálya annak, hogy a munkáltatói jogkör gyakorlásának rendjét úgy alakítsa...

Tovább a teljes cikkhez

Polgármester – ha nem kaphat képviselői tiszteletdíjat

Helyi – megyei jogú városi – önkormányzatnál a foglalkoztatási jogviszonyban álló polgármester illetményére, illetve képviselői tiszteletdíjának egyidejű megállapítására...

Tovább a teljes cikkhez

Áthelyezés hiánya és orvoslása

Járási hivatal kormányablakosztályán dolgozó kormányzati szolgálati jogviszonyban álló alkalmazott áthelyezéssel átvehető-e közös önkormányzati hivatalhoz közszolgálati...

Tovább a teljes cikkhez

Próbaidő kikötése óvodaigazgató részére

Önkormányzati fenntartású óvodában igazgatói megbízás betöltésére jelentkezett egy kolléganő. A 401/2023. Korm. rendelet a Púétv. 7. §-a (2) bekezdésének b) pontja szerint nem...

Tovább a teljes cikkhez

Köznevelési foglalkoztatotti jogviszony nyugdíj mellett

Dajka munkakörre vonatkozik a kérdésünk. Önkormányzati fenntartású óvodánk dajkája nyugdíjba vonul a 40 év jogosultsági idővel, december 31-ével. Az intézményvezető szeretné...

Tovább a teljes cikkhez

Munkaadói utasítás – korlátok és minősítés

A munkáltató utasítási joga az Mt. 52. §-a (1) bekezdésének c) pontjában foglaltakból fakad? Mi ennek a korlátja, határa? Például a munkáltató egyoldalúan meghatározhatja a...

Tovább a teljes cikkhez

Munkáltató által előírt végzettség megszerzése

A munkáltató a munkavállalóval munkaviszonyt létesített, és a munkakörre előírt egy meghatározott végzettséget. Egy év elteltével a munkáltató jogosult-e erre a munkakörre...

Tovább a teljes cikkhez

Pihenőnap-áthelyezés munkaidőkeret hiányában

Általános munkarend szerinti foglalkoztatás esetén jogszerű-e az, hogy egy hétköznapra eső munkanapot pihenőnappá tegyen a munkáltató, és helyette valamely szombaton dolgoztassa azt...

Tovább a teljes cikkhez

Időarányos szabadság számítása

Az augusztusi diákmunkánál 1 munkanap szabadság jár a diákoknak, hiszen 2024. 08. 01-től 2024. 08. 21-ig (15 munkanap) tart a program. A számítás: 20 munkanap alapszabadság és 5...

Tovább a teljes cikkhez

Online változat

Nyomtatott változat

Egyedi adathordozó

7 napon belüli válaszadás

Plusz kreditpontok díjmentesen

Tematikus videók

Céginformáció (feketelista.hu)

Online változat

A Munkaügyi Levelek jelen online változata (előfizetés) két alapfunkciót lát el: a főoldalon található kereső segítségével kereshetővé teszi a honlap 2008 óta megjelent teljes tartalmát; az ugyanott található kérdezőmező segítségével pedig kérdés intézhető a szerkesztőséghez. Az online változat tartalma 2-3 hetente bővül a nyomtatott lapként megjelenő – azzal teljesen egyező – tartalommal. Az online változatban is kizárólagosan az olvasó kérdez – a szerkesztőség válaszol szerkezetben találhatók a cikkek, jelenleg összesen 5134 cikk (kérdés-válasz). A Munkaügyi Levelek előfizetői (igénylés esetén) egyedi adathordozón is megkapják a lap teljes tartalmát a tárgyévet követő első negyedévben.

Nyomtatott változat

A Munkaügyi Leveleket a hatályos munkaügyi szabályozásnak megfelelő igény hívta életre. A 2-3 hetente ma is megjelenő nyomtatott változat tartalma kizárólagosan az olvasó kérdez – a szerkesztőség válaszol logikára épül fel. Tartalomjegyzékét az olvasói kérdések képezik, melyek rövid címmel vannak ellátva – így a lap tartalma akár egy perc alatt áttekinthető. A nyomtatott változat (előfizetés) tartalmával folyamatosan bővül az azzal tartalmilag egyező jelen online változat. A lap első száma 2008. május 19-én jelent meg, legfrissebb lapszáma az 268-ik lapszám, amely az 5134-ik cikkel zárul. A szerkesztőség tagjait lásd itt. A nyomtatott változat
címlapja itt 
Munkaügyi Levelek legfrissebb szám
látható.
A Munkaügyi Levelek előfizetői (igénylés esetén) egyedi adathordozón is megkapják a lap teljes tartalmát a tárgyévet követő első negyedévben.

Egyedi adathordozó

A Munkaügyi Levelek teljes tartalma megjelenik minden naptári évet követő első negyedévben, melyet a lap előfizetői az előfizetés jogán (igénylés esetén) kapnak meg egyedi adathordozón lévő alkalmazás formájában.
Az alkalmazás mindig a 2008. május 19-én megjelent első lapszámtól a legutolsó naptári év decemberéig bezárólag tartalmazza valamennyi cikket, amely ebben az időintervallumban megjelent. Az alkalmazás tartalma így mindig az utolsó hozzáfűzött naptári év tartalmával bővül. Az alkalmazás egyszerű keresővel van ellátva, amelynek segítségével ugyanúgy kereshető a Munkaügyi Levelek tartalma, mint annak online változatáé. .
Az alkalmazás futtatásához szükséges rendszerkövetelmények:
minimális hardverigény: optikai meghajtóval rendelkező számítógép, minimum 500 MB szabad tárhely, az operációs rendszer Windows 7 vagy annál magasabb verzió. Az alkalmazás indítása után csak a képernyőn megjelenő utasításokat kell követni.

7 napon belüli válaszadás

Előfizetőink számára nyújtott személyi szolgáltatás, amely során egyedi munkaügyi kérdéseikre, problémáikra 7 naptári napon belül e-mailben írásos választ kapnak szerkesztőinktől. A szolgáltatás igénybevételéhez lásd: Tudnivalók kérdezőknek.

Plusz kreditpontok díjmentesen

A könyvvizsgáló, adótanácsadó, adószakértő és mérlegképes könyvelő előfizetőink társhonlapunkon, a kotelezotovabbkepzes.hu-n díjmentesen szerezhetnek újabb kreditpontokat a honlap tananyagainak megtekintésével. A kotelezotovabbkepzes.hu használata előzetes regisztrációhoz kötött, amely a személyes e-mail-cím megadásával elvégezhető a https://kotelezotovabbkepzes.hu/ regisztracio/ oldalon a tananyagok megtekintése előtt.

Tematikus videók

Külföldi munkavállalók foglalkoztatása – a munkaerő-áramlással kapcsolatos legfontosabb adózási és társadalombiztosítási kérdések Megnézem

ÁRULKODÓ JELEK ADÓELLENŐRZÉSKOR
Az adóhatósági vizsgálatok gyakorlata
Megnézem

MIKOR, MIRE, MIÉRT ÉS MIT LÉP A NAV?
Eltérő adózói magatartásra eltérő NAV reagálás
Megnézem

Összes korábbi konferenciánk videón Megnézem

Céginformáció (feketelista.hu)

A feketelista.hu 10 közhiteles állami nyilvántartás összevonásával létrejött cégnyilvántartás, amely az adószám segítségével összekapcsolja és céghez köti az utolsó öt évben nyilvánosságra hozott különféle hatósági eljárásokat és törvénysértéseket.
Megnézem