23/2005. (XI. 23.) MNB rendelet

az elszámolásforgalom lebonyolítására vonatkozó tárgyi, technikai, biztonsági és üzletmenet folytonossági követelményekről

A Magyar Nemzeti Bankról szóló 2001. évi LVIII. törvény 60. §-a (1) bekezdésének hd) pontja alapján fennálló jogkörömben eljárva a következőket rendelem el:

Általános rendelkezések

1. §

(1) A rendelet hatálya a hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény (a továbbiakban: Hpt.) 3. §-a (2) bekezdésének b) pontja szerinti elszámolásforgalmi ügyletet a Magyar Köztársaság területén végző szervezetre (a továbbiakban e rendelet alkalmazásában: hitelintézeti elszámolóház) terjed ki.

(2) E rendeletnek a hitelintézeti elszámolóházra vonatkozó szabályait a Magyar Nemzeti Bankra (a továbbiakban: MNB), mint országos fizetési és elszámolási rendszert működtető szervezetre is megfelelően alkalmazni kell.

(3) A rendeletben foglalt követelmények teljesítése az elszámolásforgalmi tevékenység végzésének a feltétele. A rendeletben foglalt követelmények teljesítését az MNB felvigyázási és jegybanki ellenőrzési tevékenysége keretében ellenőrzi.

2. §

E rendelet alkalmazásában

a) akcióterv: a krízishelyzetre való felkészülési feltételeket, a krízishelyzetre vonatkozó válaszlépéseket, alternatív, illetve visszaállítási és ellenőrző eljárásokat tartalmazó, rendszeresen aktualizálandó terv;

b) biztonság: a hitelintézeti elszámolóház működésének zavartalan állapota, amelyben az elszámolásforgalmi tevékenység folyamatosan, korlátozásoktól mentesen végezhető;

c) biztonsági kockázat: a rendkívüli eseményekből eredő károk veszélye (mértéke a rendkívüli események bekö-vetkezési valószínűségének és a bekövetkezéskor várhatóan keletkező károk nagyságának függvénye);

d) biztonsági tevékenység: azon tervezési, szervezési, irányítási, végrehajtási és ellenőrzési feltételekről való intézményes gondoskodás, amely a hitelintézeti elszámolóház saját tulajdonú eszközeinek, más fontos értékeinek, érdekeinek, a munkavállalók személyi tulajdonának és személyes biztonságának védelmét, továbbá a hitelintézeti elszámolóház területén a rendkívüli események és krízishelyzetek megelőzését, illetve elhárítását szolgálják;

e) biztonságpolitika: azon elvek, követelmények, elvárások összessége, amelyek érvényesítését a hitelintézeti elszámolóház szükségesnek tartja a biztonság fenntartása érdekében;

f) elektronikai védelem: a biztonsági tevékenység végzését támogató elektronikus vagyonvédelmi rendszerek összessége;

g) elektronikus vagyonvédelmi rendszer: elektronikus jelző- vagy képi megfigyelőrendszer, illetve egyéb, jel és kép továbbítását lehetővé tevő, fény- és/vagy hangjelzést adó, belépési jogok automatizált kezelését biztosító elektronikus berendezések, műszaki megoldások összessége;

h) krízishelyzet: bekövetkezett rendkívüli esemény nyomán kialakult, a szokásos napi tevékenységtől eltérő, azonnali eljárást igénylő helyzet;

i) mechanikai-fizikai védelem: a hitelintézeti elszámolóház elhelyezésére szolgáló épület (épületrész), valamint a védendő helyiségek illetéktelen behatolás elleni fokozott védelmét, a védendő értékek biztonságos tárolásának kialakítását szolgáló építészeti-műszaki követelmények és eszközök;

j) rendkívüli esemény: mindazon emberi magatartások, természeti vagy technikai eredetű események, amelyek a hitelintézeti elszámolóház lényeges erőforrásainak, rendszereinek hibáját, károsodását, működésük megszűnését okozva fenyegetést jelenthetnek vagy jelentenek a hitelintézeti elszámolóház biztonságára, magukban hordozzák személyek életének, testi épségének vagy egészségének veszélyeztetését vagy vagyoni kár keletkezésének a lehetőségét, vagy amelyek következtében az életben, testi épségben vagy egészségben károsodás vagy vagyoni kár következik be;

k) üzletmenet folytonossági terv: a krízishelyzet kezelésére szolgáló akciótervek rendszere;

l) védendő helyiség: a hitelintézeti elszámolóház minden olyan helyisége, ahol az elszámolásforgalom lebonyolítását végző informatikai rendszer üzemel, továbbá minden olyan - a hitelintézeti elszámolóház által a titokvédelem szempontjából fontosnak minősített - helyiség, ahol üzleti vagy banktitkot, illetve személyes adatokat tartalmazó iratokat, adathordozókat tárolnak, vagy üzleti vagy banktitoknak minősülő, illetve személyes adatokat dolgoznak fel vagy kezelnek.

Az elszámolásforgalom lebonyolításának tárgyi, technikai feltételei

3. §

(1) A hitelintézeti elszámolóház csak olyan épületben vagy épületrészben működhet,

a) amely a hitelintézeti elszámolóház saját tulajdonában áll, vagy

b) amelyet a hitelintézeti elszámolóház határozatlan időtartamú, a bérbeadót legalább egyéves felmondási idő biztosítására kötelező szerződéssel bérel.

(2) Az elszámolásforgalmat lebonyolító informatikai rendszerek, valamint az elszámolásforgalom zavartalanságát biztosító egyéb eszközök folyamatos áramellátása érdekében a hitelintézeti elszámolóháznak tartalék áramforrással kell rendelkeznie.

(3) Az elszámolásforgalom lebonyolításához szükséges üzenetközvetítés folyamatossága érdekében a hitelintézeti elszámolóháznak biztosítania kell

a) legalább két független távközlési csatorna rendelkezésre állását, ha a hitelintézeti elszámolóház áll szerződéses jogviszonyban a telekommunikációs szolgáltatókkal,

b) legalább két független csatlakozási lehetőséget, ha a távközlési szolgáltatás rendelkezésre állásáról a hitelintézeti elszámolóház ügyfelei gondoskodnak.

Az elszámolásforgalom lebonyolításának biztonsági feltételei

1. Személyi biztonsági feltételek

4. §

(1) A hitelintézeti elszámolóháznak - a (2) bekezdésben meghatározott kivétellel - biztonsági szervezetet kell működtetnie vagy biztonságért felelős személyt kell alkalmaznia.

(2) A hitelintézeti elszámolóháznak nem kell biztonsági szervezetet működtetnie vagy biztonságért felelős személyt alkalmaznia, amennyiben a biztonsági tevékenység teljes körének végzésére a vállalkozás keretében végzett személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól, a Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamaráról szóló 1998. évi IV. törvény hatálya alá tartozó gazdasági társaságot, illetőleg egyéni vállalkozót bíz meg.

(3) A biztonsági szervezet vezetőjévé az nevezhető ki vagy a biztonságáért felelős személy az lehet, aki

a) a hitelintézeti elszámolóházzal munkaviszonyban áll,

b) rendőrtiszti vagy katonai főiskolai vagy egyetemi végzettséggel, illetve egyéb egyetemi vagy főiskolai és felsőfokú biztonsági szakképesítést nyújtó végzettséggel, és

c) legalább hároméves biztonsági, védelmi területen szerzett vezetői gyakorlattal rendelkezik.

(4) A biztonsági szervezet vezetője végzi a biztonsági szervezet szakmai irányítását. A biztonsági szervezet vagy a biztonságért felelős személy feladatai a következők:

a) ellátja a biztonsági tevékenység körébe tartozó feladatokat,

b) végzi, illetőleg szervezi és felügyeli a munkavállalók támadás vagy egyéb vészhelyzet esetén követendő magatartására vonatkozó oktatást,

c) elemzéseket végez, és javaslatokat tesz a megfelelő védelmi intézkedésekre és a biztonsággal összefüggő szabályokra,

d) felelős a biztonságpolitika és a biztonsági szabályzat szakmai tartalmáért, aktualizálásáért,

e) ellenőrzi a biztonsági előírások végrehajtását.

(5) A biztonsági szervezet vezetője vagy a biztonságért felelős személy a hitelintézeti elszámolóház első számú vezetőjének közvetlen irányítása alatt végzi tevékenységét.

2. Tárgyi biztonsági feltételek

5. §

(1) A hitelintézeti elszámolóháznak a biztonság tárgyi feltételeit a tevékenységéhez kapcsolódó biztonsági kockázatok felmérése alapján, azokkal arányos módon és a vagyonbiztosításhoz szükséges követelmények figyelembevételével kell megteremtenie.

(2) A hitelintézeti elszámolóháznak a biztonsággal kapcsolatos minden információt, tényt, megoldást és adatot, ideértve a biztonság céljából megteremtett tárgyi, technikai feltételeket és ezek műszaki dokumentumait is, üzleti titokként kell kezelnie.

6. §

(1) A hitelintézeti elszámolóház a biztonsági szabályzatában foglaltak alapján - a (2) és (3) bekezdésben foglaltak figyelembevételével - köteles gondoskodni az elhelyezésére szolgáló épület (épületrész) és védendő helyiségek mechanikai-fizikai védelméről.

(2) A hitelintézeti elszámolóház elhelyezésére szolgáló épületnek (épületrésznek), függetlenül attól, hogy az a hitelintézeti elszámolóház kizárólagos használatában áll-e, a külső határoló felületek tekintetében meg kell felelnie a Magyar Biztosítók Szövetsége (a továbbiakban: MABISZ) által közzétett "Betöréses lopás- és rablásbiztosítás technikai feltételei" című ajánlásban meghatározott részleges mechanikai-fizikai védelem követelményeinek.

(3) A védendő helyiségek határoló felületei minőségének meg kell felelnie a (2) bekezdésben említett ajánlásban meghatározott teljes körű mechanikai-fizikai védelem követelményeinek.

7. §

(1) A védendő helyiségeket a mechanikai-fizikai védelmen túlmenően elektronikai védelemmel is el kell látni.

(2) Elektronikus vagyonvédelmi rendszereket csak

a) a biztonsági szervezet vezetője, a biztonságért felelős személy, illetve a hitelintézeti elszámolóház szervezeti és működési szabályzatában meghatározott személy által jóváhagyott terv alapján lehet telepíteni,

b) a külön jogszabályban előírt szakvizsgával rendelkező személy tervezhet, telepíthet és tarthat karban.

(3) Az elektronikus vagyonvédelmi rendszerek programozásához és a kezelői jogosultság kiadásához szükséges kódoknak a biztonsági szervezet vezetőjénél, a biztonságért felelős személynél vagy az általuk írásban felhatalmazott személynél, illetve a hitelintézeti elszámolóház szervezeti és működési szabályzatában meghatározott személynél rendelkezésre kell állnia, a biztonságos őrzés és a hozzáférési jogosultság szabályozása mellett.

(4) A hitelintézeti elszámolóháznak automatikus távjelzés továbbítására alkalmas összeköttetés kiépítéséről és folyamatos működtetéséről kell gondoskodnia az elektronikus vagyonvédelmi rendszerek központja és valamely távfelügyeleti szolgáltatást nyújtó vagyonvédelmi társaság fogadó központja között.

8. §

(1) A mechanikai-fizikai, illetve elektronikai védelem kialakítására csak az Európai Unióban elfogadott minősítő szervezet, vagy a MABISZ által kiadott biztonságtechnikai megfelelőségi tanúsítvánnyal rendelkező eszközöket lehet alkalmazni.

(2) A hitelintézeti elszámolóház kizárólagos használatában lévő épületben, illetve épületrészben üzemelő védendő helyiség mechanikai-fizikai és elektronikai védelmét be kell illeszteni az épület egészének, illetve az épületrésznek a védelmi rendszerébe.

9. §

(1) A hitelintézeti elszámolóháznak

a) a működését biztosító, a napi teendők ellátásához már nem szükséges iratokat, adathordozókat (számítógépes programok biztonsági másolata, archivált adatok, biztonsági mentések stb.) zárható és legalább 30 perces tűzál-lóságú elkülönített helyiségben kell tárolnia,

b) az iratok és adathordozók egy másik példányát zárható és legalább 30 perces tűzállóságú, az a) pontban említettől különböző, elkülönített helyiségben kell őriznie.

(2) A hitelintézeti elszámolóháznak iratkezelési szabályzatban kell meghatároznia azoknak az iratoknak és adathordozóknak a körét, amelyek tárolásáról és őrzéséről az (1) bekezdésben foglaltak szerint kell gondoskodnia.

10. §

(1) A hitelintézeti elszámolóháznak a működés szempontjából stratégiai fontosságúnak minősített épületben, illetve épületrészben 24 órás őrszolgálatot kell biztosítania.

(2) Az őrszolgálatot ellátó személy szolgálati helyét a helyi adottságok és a hitelintézeti elszámolóház biztonságpolitikája alapján kell meghatározni. Gondoskodni kell arról, hogy az őrszolgálatot ellátó személy szükség esetén a tűzoltóságot távjelzéssel vagy távközlési vonalon keresztül, illetve a rendőrséget távközlési vonalon keresztül haladéktalanul értesíthesse.

(3) Ha a hitelintézeti elszámolóház által stratégiai fontosságúnak minősített épületrész olyan épületben található, amely épület tulajdonosa vagy üzemeltetője az egész épületre vonatkozóan a rendeletben foglaltaknak megfelelően biztosítja az őrszolgálatot, akkor nem szükséges külön őrszolgálatról gondoskodni.

Üzletmenet folytonosság

11. §

(1) A hitelintézeti elszámolóháznak olyan - a lehetséges, a biztonságot fenyegető rendkívüli eseményekben realizálódó biztonsági kockázatok teljes körének felmérésén és elemzésén alapuló - tesztelt üzletmenet folytonossági tervvel kell rendelkeznie, amely az intézkedésre jogosult, felelős személyek megnevezésével részletes akcióterveket tartalmaz a rendkívüli esemény bekövetkeztekor a biztonság lehető leggyorsabb helyreállítására, illetve a folyamatos üzletmenet biztosításával az elszámolásforgalmi tevékenység krízishelyzetben történő folytatására.

(2) Az üzletmenet folytonossági tervben meg kell határozni, hogy az elszámolásforgalmi tevékenység krízishelyzetben történő folytatását biztosító erőforrások, rendszerek egészét, illetve egyes elemeit, illetőleg az üzletmenet folytonosságát szolgáló akcióterveket milyen tesztkörnyezetben és milyen gyakorisággal kell tesztelni, valamint hogy hogyan kell gondoskodni az akciótervek rendszeres, szabályozott keretek között folytatott aktualizálásáról.

Biztonságpolitika, biztonsági szabályzat

12. §

(1) Az elszámolásforgalmi tevékenység biztonságos végzése érdekében a hitelintézeti elszámolóháznak meg kell határoznia a biztonságpolitikáját és a biztonság feltételeire vonatkozó elveket.

(2) A hitelintézeti elszámolóháznak a biztonságpolitikája alapján, a biztonsági kockázatokat és azok változásait figyelembe vevő, részletes védelmi intézkedéseket tartalmazó biztonsági szabályzattal kell rendelkeznie.

(3) A biztonsági szabályzatnak a következőket kell tartalmaznia:

a) a biztonsági szervezet vagy a biztonságért felelős személy feladatai, hatásköre,

b) a biztonság tárgyi feltételeinek megvalósításához szükséges anyagok, eszközök, berendezések, eljárások, technika, az alkalmazandó műszaki specifikáció (ajánlás, szabvány, illetőleg műszaki engedély) feltüntetésével együtt, és a védelem formái szerinti csoportosításban,

c) a stratégiai fontosságúnak minősített épület (épületrészek) köre,

d) a védendő helyiségek köre,

e) a rendkívüli események kezelésének általános és speciális szabályai,

f) a munkavállalók számára meghatározott, a biztonságért való általános és speciális felelősségi rend,

g) a munkavállalókra vonatkozó személyi védelmi intézkedések, kiemelve a fokozott veszélynek kitett munkakörök (személyek) védelmét,

h) a munkavállalók biztonsági oktatásának rendje.

Záró rendelkezések

13. §

(1) Ez a rendelet 2006. január 1-jén lép hatályba.

(2)[1]

(3) Az e rendelet hatálybalépésekor már a Magyar Köztársaság területén elszámolásforgalmi tevékenységet végző hitelintézeti elszámolóház legkésőbb a rendelet hatálybalépésétől számított 6 hónapon belül köteles az e rendeletben meghatározott követelményeknek eleget tenni.

Járai Zsigmond s. k.,

a Magyar Nemzeti Bank elnöke