Badak Béla okl. könyvvizsgáló badak@bmentor.hu Információvédelem az elektronikus bevallás és üzleti titok szempontjából Badak Béla okl. könyvvizsgáló badak@bmentor.hu

Tartalom Informatikai biztonság Elektronikus ügyintézés Külső kockázat Személyi kockázat Védekezés módjai Üzleti titok

Informatikai biztonság Informatikai biztonság elemei Informatikai rendszer fizikai környezete és infrastruktúrája Hardverrendszer Szoftverrendszer Kommunikációs, hálózati rendszerek Adathordozók Dokumentumok és dokumentáció Személyi környezet (külső és belső)

Illetéktelen használata Személyek Szakképzetlenség Villámvédelem Adat Tápáramellátás Üzemzavar Bosszúállás Tűz és vagyonvédelem Légkondicionálás Tűz, illetéktelen behatolás Haszonszerzés Épület, szerver szoba Dokumentáció hiány Üzleti titok kiadás Külső támadások Szakszerűtlen tervezés Szakszerűtlen üzemeltetés Céges erőforrások Illetéktelen használata Vírus Illetéktelen rácsatlakozás Illetéktelen hozzáférés Illetéktelen Használat, másolás Illetéktelen Szoftver installáció

Informatikai biztonság Jelen előadásban a következő veszélyforrásokat emelném ki: 1. Elektronikus ügyintézés által felvetett problémák 2. Külső kockázatok 3. Személyi kockázatok Vége

Elektronikus ügyintézés Az elektronikus bevallás megjelenése új problémákat generál. 1. Internet és hálózat probléma a. Hogyan építsem fel a belső hálózatomat, amely megfelelő védelmet nyújt. b. Milyen külső fenyegetések vannak, és ezekre mi a megoldás

Elektronikus ügyintézés A társaságok a havi adó- és járulékbevallás benyújtására 2007. évtől elektronikus formában kötelezettek. A bevallás feltétele az okmányirodai regisztráció. Az okmányirodai regisztrációt annak a magánszemélynek kell elvégeznie, aki az elektronikus bevallásokat el fogja küldeni az adóhatósághoz: 

Elektronikus ügyintézés - ez a személy lehet az adózó önmaga (adószámmal rendelkező magánszemély, egyéni vállalkozó esetén), - az adózó törvényes képviselője (pl. egy Kft. ügyvezetője), - továbbá valamennyi adózó tekintetében annak meghatalmazottja, megbízottja (pl. könyvelő, adótanácsadó stb.) is.

Elektronikus bevallás felelőssége Ha saját maga nyújtja be akkor ő a kockázatviselő. Többen is regisztráltathatják magukat a képviseletre, akkor a felelősség megoszlik. Esetleges kár esetén utólag kell bizonyítani, ki a felelős.

Elektronikus bevallás felelőssége Megbízás esetén: Ha az adózó állandó meghatalmazottja olyan gazdasági társaság alkalmazottja, tagja, amely számviteli, könyvviteli szolgáltatásra vagy adótanácsadásra jogosult, a mulasztási bírságot a gazdasági társasággal szemben kell megállapítani. 2003. évi XCII. Törvény Az adózás rendjéről  7§ (3 bek,)

Elektronikus bevallás felelőssége A felelősség meghatározásából következik: Jelentős kockázat hárul a könyvviteli szolgáltatást végző társaságokra az - állandó képviseletre szóló megbízás esetén - alkalmazottak által hanyagságból vagy szándékosan rosszul beadott bevallások vagy adatszolgáltatások miatt.

Elektronikus bevallás felelőssége Ezen kockázatok jelentősen megnőnek egy esetleges alkalmazotti távozás esetén (üzleti titok védelme). Amennyiben tudomása volt az ügyfelek elektronikus ügyintézéséhez szükséges kódokról, azokat azonnal változtatni kell. Ezt a változtatást megfelelően dokumentálni és meg kell őrizni.

Elektronikus bevallás felelőssége Számviteli szolgáltatást végző társaságoknál amennyiben több társaságtól kaptak állandó képviseletre megbízást, ki kell dolgozni egy olyan nyilvántartást, amelyben rögzítve van: - az egyes társaságok ügyintézési jogosultsága,

Elektronikus bevallás felelőssége - a belépéshez szükséges jelszó , - ki jogosult használni, - vészhelyzet - pl. baleset- esetén hogyan lehet hozzáférni. Természetesen ezen nyilvántartás megfelelő karbantartásáról – új ügyfelek, jelszó cserék, stb. - megfelelően gondoskodni kell. Hozzáférés problémája.

Elektronikus bevallás felelőssége Alapos átgondolást igényel az alkalmazottak esetében a kockázat kezelése. Kinek milyen információt adunk meg, és azt hogyan védjük. A vállalkozás üzleti titkának védelme a a számviteli szolgáltatást végző társaság törvényi kötelessége.

Elektronikus bevallás felelőssége Az alkalmazottak esetleges mulasztása esetén az okozott kár többszöröse lehet annak az összegnek, ameddig nem szándékos károkozás esetén felelőssé tehetők. ( eltérő a munkaszerződés és kollektív szerződés ) Nem szándékos károkozás- bizonyítás problémája.

Elektronikus bevallás felelőssége Megbízó oldaláról több probléma merül fel: a. Károkozás esetén a kártérítés kérdése. Ha a számviteli szolgáltatást végző cég Kft. formában működik, általában nincs számottevő vagyon. A Megbízó számára kevés a biztosíték nagyobb kár esetén.

Elektronikus bevallás felelőssége b. Állandó megbízás visszavonása Csak akkor lép hatályba, ha bejelenti az APEH-nál. A visszavonás tényét írásban, a megbízás lejárati idejének pontos rögzítésével kell közölni, és átvetetni. Vissza

Külső kockázatok Az elektronikus bevallás beadásához állandó Internet kapcsolat szükséges. Új igény: Könyvelési adatokat tartalmazó gép vagy hálózat összekötése az Internettel. Feltétlenül megoldandó: Az adatok megfelelő színvonalú mentése.

Külső kockázatok Lehetséges külső fenyegetések: 1. Vírusok Megfelelően frissített folyamatos vírusvédelmi rendszer kell. A vírusvédelmi rendszer kritikus pontja a vírusinformációk folyamatos frissítése.

Külső kockázatok Át kell gondolni a levelező rendszer és az Internet végpontjait, és minden végpontot védeni kell. A védelem lehet az egyes végpontokra telepített vírusvédelmi és tűzfal rendszer, vagy központilag megoldva a vírusvédelem és tűzfal is.

Külső kockázatok 2. Külső betörések Az állandó Internet kapcsolat megnöveli a külső betörések esélyeit. Megfelelő színvonalú tűzfalrendszer kiépítése szükséges, amely elrejti a külső hálózat elől a belső információkat. Zár és betörés probléma. Tökéletes védelem nem létezik. Vissza

Személyi kockázatok 1. Személyi problémák Belső emberek jelentette veszélyforrások Legnagyobb probléma: Általában rejtve marad, és az okozott kár sem mindig számszerűsíthető.

Személyi kockázatok a. Szándékos károkozás Lehetséges kárforrások a. Szándékos károkozás Pl. bosszú (adattörlés, adatlopás) b. Haszonszerzés miatti károkozás Pl. számlázás során a vevővel összejátszva feleznek az engedményen

Személyi kockázatok c. Üzleti titok jogosulatlan kézbe adása Általában külső megkeresésre anyagi ellenérték vagy bosszú miatt d. Szerzői jogok megsértése (illegálisan használt programok munkahelyi gépeken)

Személyi kockázatok f. Közvetett károkozás e. Illegális tevékenység miatt hatósági beavatkozás kára. Pl. vizsgálat idejére lefoglalt számítógépek és adatok pótlása f. Közvetett károkozás - Internet nem munkavégzés céljából történő használata, kockázatos programok települése, kémprogramok

Személyi kockázatok - Illegális adatok letöltése - Céges erőforrások saját célra történő használata. Pl. letöltött filmek DVD-re írása.

Védekezés módjai A védekezés szinte mindig megelőző jellegű. 1. Saját szabályozás 2. Üzleti titok védelme A társaságok rendelkezésére áll egy törvényi segítség az üzleti titok kezelésére vonatkozóan.

Saját szabályozás Néhány általános szabály amelyek betartásával csökkenthetőek a kockázatok: - Gondoskodni kell az informatikai rendszer megfelelő felügyeletéről. Ez lehet belső vagy külső. - Pontosan meg kell határozni a jogosultságok kérdését személyenként.

Védekezés módjai - Az ügyviteli rendszerek jelszóval védettek és naplózó funkcióval ellátottak legyenek. - A jelszavakat meghatározott időnként központilag cserélni kell. - Kell lennie központi stratégiának váratlan esetre.

Védekezés módjai - Az adatok mentését soha nem tároljuk azonos helyen az eredeti adatokkal. Pl. tűzkár - Titoktartási nyilatkozat minden olyan alkalmazott esetén aki hozzáfér számunkra fontos adatokhoz, vagy titokvédelmi szabályzat a cég egészére vonatkozóan.

Védekezés módjai - Egyértelművé kell tenni azon adatok körét, amelyet üzleti titokká nyilvánítottunk, és annak kockázatát, ha valaki ezt megsérti (a cégvezetés kötelessége).

Védekezés módjai - Korlátozni kell az egyes számítógépekben található kiegészítőket. (Pl. Ha nincs cd-író, nagy mennyiségű adatot nem lehet kiírni.) - Az adathozzáféréseknél csak azok a dolgozók hozzáférése legyen megadva, akik azzal dolgoznak.

Védekezés módjai - Ha központi szerver van , akkor a munkaállomásoknak csak korlátozott, a munkához szükséges jogosultság adható. - Megfelelő szintű fizikai védelemről is gondoskodni kell.

Üzleti titok 2. Üzleti titok a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldás vagy adat, amelynek nyilvánosságra hozatala, illetéktelenek által történő megszerzése vagy felhasználása a jogosult jogszerű pénzügyi, gazdasági vagy piaci érdekeit sértené, vagy veszélyeztetné, és amelynek titokban tartása érdekében a jogosult a szükséges intézkedéseket megtette.

Üzleti titok Üzleti titokkal való visszaélés: Személyhez fűződő jogokat sért, aki üzleti titok birtokába jut, és azt jogosulatlanul nyilvánosságra hozza vagy azzal egyéb módon visszaél.

Üzleti titok Üzleti titok tisztességtelen módon való megszerzésének minősül az is, ha az üzleti titkot a jogosult hozzájárulása nélkül, a vele - a titok megszerzése idején vagy azt megelőzően - bizalmi viszonyban vagy üzleti kapcsolatban álló személy közreműködésével szerezték meg.

Üzleti titok a. Bizalmi viszony különösen : - a munkaviszony, - a munkavégzésre irányuló egyéb jogviszony Pl. számviteli szolgáltatás - tagsági viszony - felügyelő bizottsági tagság - Könyvvizsgáló

Üzleti titok b. Üzleti kapcsolat: - az üzletkötést megelőző tájékoztatás - tárgyalás - ajánlattétel (akkor is, ha azt nem követi szerződéskötés) - megvalósult szerződés, vagy annak bármilyen okból meghiúsult végrehajtása

Üzleti titok Munkaviszony : A munkavállaló köteles a munkája során tudomására jutott üzleti titkot, valamint a munkáltatóra, illetve a tevékenységére vonatkozó alapvető fontosságú információkat megőrizni.

Üzleti titok A munkáltató kötelessége, hogy az üzleti titkainak védelme érdekében szabályzatban, vagy egyéb módon (pl. munkaköri leírás, titokvédelmi nyilatkozat) rögzítse a munkavállalóra vonatkozó jogokat és kötelezettségeket.

Üzleti titok A munkavállaló ezen túlmenően sem közölhet illetéktelen személlyel olyan adatot, amely munkaköre betöltésével összefüggésben jutott a tudomására, és amelynek közlése a munkáltatóra vagy más személyre hátrányos következménnyel járna.

Üzleti titok Ezen kötelezettsége, ha a munkaszerződésben rögzítik távozása után adott ideig fennállhat. Gyakran előfordul, hogy az alkalmazott távozása után viszi magával elektronikus formában pl. vevői és szállítói adatokat, árakat stb. A titoktartás nem terjed ki a közérdekű adatok nyilvánosságára.

Üzleti titok Tagsági jogviszony A társasági törvény biztosítja a tagnak a társaság működésére vonatkozó információkhoz való hozzáférés jogát. A tagra ugyanúgy vonatkozik az üzleti titok védelme, mint más bizalmi viszonyos szereplőre.

Üzleti titok Felügyelő bizottság, könyvvizsgáló Feladataik során hozzáférnek a társaság adataihoz, de rájuk a társasági törvény külön szabályozza az információ kezelés módját .

Üzleti titok Üzleti kapcsolat Nehezen ellenőrizhető, néhány példa a tipikus esetekre: Az üzleti titok megsértésének bűntettét valósítja meg a bérmunkát végző cég alkalmazottja, aki jogosulatlanul magához veszi, majd később felhasználja a gyártási technológiára vonatkozó adatokat.

Üzleti titok Üzleti titok megsértését követi el az, aki közreműködik a szabadalmazott termék gyártásában, majd egy olyan másik cégnél vállal állást, amely jogosulatlanul felhasználja a termék összetételére és gyártási technológiájára vonatkozó, általa ismert titkos adatokat.

Üzleti titok Aki jogtalan előnyszerzés végett, vagy másnak vagyoni hátrányt okozva üzleti titkot jogosulatlanul megszerez, felhasznál, mással közöl vagy nyilvánosságra hoz, bűntettet követ el, és három évig terjedő szabadságvesztéssel büntetendő.

Üzleti titok A megfogalmazásból következik: Az üzleti titok megszerzése akkor tiltott, ha az tisztességtelen módon történik. Tisztességtelen megszerzésnek minősül az, ha a jogosult által a titok tartása érdekében megtett szükséges intézkedések kijátszásával történik. A megfogalmazásból következik: Ha nincs semmilyen intézkedés az adatok védelmére, akkor azokat nem lehet kijátszani. (nincs jogi felelősség)

Üzleti titok Minta példa munkaszerződésre: MUNKAKÖRI LEÍRÁS (…… dolgozó részére) Munkahely: Szervezeti egység: A munkavégzés helye: Ellátandó munkakör: Az adott munkakör képesítési, ill. végzettségi követelményei: Függelmi kapcsolatai: A munkáltatói jogkör gyakorlója: A munkairányítói jogkör gyakorlója (közvetlen felettese): Helyettesítője: Helyettesít:

Üzleti titok Feladatköre: Felelőssége (utasítási, kiadmányozási jogkörrel felruházott esetén annak tartalmáért, e jogkör hiányában a kapott utasítás végrehajtásáért): A munkavállaló kötelezettséget vállal arra, hogy tevékenysége során a munkáltató működéséről, gazdasági eredményeiről, kapcsolatairól szerzett valamennyi adatot, információt, tényt, eljárási módot és egyéb ismeretet üzleti titokként megőriz mind munkaszerződése hatálya alatt, mind az azt követő 1, azaz Egy éven keresztül. Munkaideje: Kötött kötetlen Rugalmas folyamatos A kívánt rész aláhúzandóH-Cs: ……-……-ig, P: ……-……-igtörzsidő: ……-……-ig Döntési jogköre: Utasítási jogköre: Ellenőrzési jogköre:

Üzleti titok Kiadmányozási jogköre: dátum (munkáltató géppel írott neve) munkáltató aláírása Tudomásul vettem: (munkavállaló géppel írott neve) munkavállaló aláírása

Köszönöm a figyelmet.