📄 Jogszabály szövege
36/2015. (IX. 24.) MNB rendelete az értékpapírszámla, ügyfélszámla belépési azonosító és jelszó megképzésének módszertanáról, a kapcsolódó adatszolgáltatásról, valamint az adatbiztonsági követelményeket rögzítő szabályzat kötelező tartalmi elemeiről.
A tőkepiacról szóló 2001. évi CXX. törvény 451. § (3) bekezdés e) pontjában kapott felhatalmazás alapján,
a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 4. § (9) bekezdése szerinti feladatkörömben eljárva,
a 4. és a 13. § tekintetében a Magyar Nemzeti Bankról szóló 2013. évi CXXXIX. törvény 4. § (6) és (9) bekezdésében meghatározott
feladatkörömben eljárva a következőket rendelem el:
1. § E rendelet alkalmazásában:
1. értékpapírszámla: a tőkepiacról szóló 2001. évi CXX. törvény (a továbbiakban: Tpt.) 5. § (1) bekezdés 46. pontja
szerinti fogalom;
2. jelentés: a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető
tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény (a továbbiakban: Bszt.) 69. és 69/A. §-a szerinti
tájékoztatás;
3. lekérdező rendszer: a Magyar Nemzeti Bank (a továbbiakban: MNB) honlapján a Tpt. 142/A. § (1) bekezdése
szerinti tájékozódás lehetőségét biztosító megoldás;
4. számlatulajdonos: a számlavezetővel értékpapírszámla-szerződés alapján szerződő fél;
5. számlavezető: a Tpt. 140. § (1) bekezdése szerinti, értékpapírszámla vezetését végző szervezet;
6. tartós adathordozó: a Bszt. 4. § (2) bekezdés 65. pontja szerinti fogalom;
7. UTF-8: unicode karakterkódolási eljárás;
8. ügyfélszámla: a Tpt. 5. § (1) bekezdés 130. pontja szerinti fogalom.
2. § (1) A Tpt. 142/A. § (1) bekezdésében meghatározott belépési azonosító (a továbbiakban: belépési azonosító)
huszonnégy, decimális számjegyből álló szám, amelynek
a) első nyolc számjegye a számlavezető törzsszámával egyezik meg,
b) második nyolc számjegye a számlavezető által saját célra felhasználható belső kód,
c) harmadik nyolc számjegye a 00 000 001 és a 99 999 999 tartományba eső, véletlenszerű számsorozat eleme.
(2) A számlatulajdonoshoz egyedileg nem rendelhető értékpapírok összesített állományához kapcsolódó belépési
azonosító (1) bekezdés b) pontjában meghatározott második nyolc számjegye nyolc darab „0” karakterből áll.
(3) A Tpt. 142/A. § (1) bekezdésében meghatározott, a Bszt. 68. § (3) bekezdés i) pontja és 69/A. § d) pontja alapján
a jelentés adattartalmát képező jelszó (a továbbiakban: jelszó) UTF-8 kódolású, tizenkét alfanumerikus, nem
ékezetes karakterből – kis- és nagybetű, szám – álló, véletlenszerűen előállított kifejezés, amely tartalmaz legalább
egy kis- és egy nagy alfabetikus, valamint egy numerikus karaktert.
(4) A számlavezető a belépési azonosító (1) bekezdés c) pontja szerinti részéhez, valamint a jelszó előállításához
olyan algoritmusokat alkalmaz, amelyek biztosítják, hogy azok véletlenszerű sorozatok elemeit alkossák.
Az algoritmusokat a számlavezető szabadon választhatja meg.
(5) A számlavezető a belépési azonosító és a jelszó előállítását követően ellenőrzi a Tpt. 142/A. § (2) bekezdésben
foglaltak teljesülését.
3. § (1) A belépési azonosító előállítása az e rendelet hatálybalépését követő első jelentés előállításával egyidejűleg
történik.
(2) A jelszó előállítása az aktuális havi jelentés előállításával egyidejűleg történik.
4. § (1) A számlavezető a Tpt. 142/A. § (3) bekezdésében előírt, az értékpapírszámla- és ügyfélszámla egyenlegre és
adatokra vonatkozó anonimizált adatszolgáltatást (a továbbiakban: adatszolgáltatás) az 1. melléklet szerinti
táblaszerkezetben és tartalommal, a tőkepiaci szervezetek által a jegybanki információs rendszerhez elsődlegesen
a Magyar Nemzeti Bank felügyeleti feladatai ellátása érdekében teljesítendő adatszolgáltatási kötelezettségekről
szóló MNB rendeletben előírt módon küldi meg az MNB részére.
(2) A számlavezető az adatszolgáltatás alapjául szolgáló dokumentumokat, a számviteli, nyilvántartási, informatikai
rendszerekben tárolt információkat a tőkepiaci szervezetek által a jegybanki információs rendszerhez elsődlegesen
a Magyar Nemzeti Bank felügyeleti feladatai ellátása érdekében teljesítendő adatszolgáltatási kötelezettségekről
szóló MNB rendeletben meghatározott időtartamig őrzi meg.
5. § A Tpt. 142/A. § (5) bekezdése szerinti, adatbiztonsági követelményeket rögzítő szabályzat (a továbbiakban:
szabályzat) tartalmazza legalább
a) a belépési azonosító és a jelszó kezelésének folyamatát, valamint
b) a belépési azonosító és a jelszó számlatulajdonos felé történő átadásának rendjét.
6. § A számlavezető a szabályzatban a belépési azonosító és a jelszó kezelésének folyamatára vonatkozóan
meghatározza
a) a belépési azonosító és a jelszó előállításának, tárolásának, megőrzésének, valamint törlésének szabályait,
b) a belépési azonosító és a jelszó előállítási folyamatára vonatkozó eljárásokat,
c) a belépési azonosító és a jelszó 2. § (5) bekezdése szerinti ellenőrzésére vonatkozó eljárásokat,
d) a bizalmasság biztosításához rendelt technikai intézkedéseket és az elvárt adatbiztonsági szintet biztosító
beállításokat, valamint
e) a d) pont teljesítésére vonatkozó időszakos adatbiztonsági ellenőrzés folyamatát.
7. § (1) A belépési azonosító a számlatulajdonos adataihoz kapcsolódóan olyan különálló állományban kerül tárolásra,
amelynek hozzáférése a számlatulajdonos adataihoz beállított hozzáféréstől függetlenül állítható be.
(2) Az aktuális havi jelentéshez, illetve az MNB felé átadandó aktuális havi adatokhoz kapcsolódó jelszó olyan különálló
állományban kerül tárolásra, amelynek hozzáférése az aktuális havi jelentéshez, illetve az MNB felé átadandó aktuális
havi adatokhoz beállított hozzáférésektől függetlenül állítható be.
8. § A számlavezető biztosítja, hogy a belépési azonosító és a jelszó az ügyféladatokra vonatkozóan a pénzügyi
intézmények, a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelmére
vonatkozó jogszabályi rendelkezésekben előírtakkal legalább azonos adatbiztonsági védelemben részesüljön.
Ennek érdekében a számlavezető
a) a belépési azonosítónál és a jelszónál alkalmazott konkrét képzési és tárolási eljárásához kapcsolódóan
meghatározza, és a szabályzatban rögzíti azon természetes személyek és technikai felhasználók körét, akik
vagy amelyek a megképzett belépési azonosítókhoz és jelszavakhoz hozzáférhetnek, valamint
b) kidolgozza, és a szabályzatban rögzíti azokat a hozzáférés-jogosultsági szabályokat (érintett erőforrások,
felhasználók, csoportbeosztások, az erőforrásokhoz rendelt hozzáférési jogosultsági beállítások), amelyek
biztosítják, hogy a belépési azonosítóhoz és a jelszóhoz csak azon felhasználók férhessenek hozzá,
akiknek feltétlenül szükséges, és kizárólag olyan műveleti jogosultsággal, amely munkájuk elvégzéséhez
elengedhetetlen.
9. § A számlavezető a szabályzatban a belépési azonosító és a jelszó számlatulajdonos felé történő átadásának rendjére
vonatkozóan meghatározza
a) az átadás folyamatát,
b) az átadás folyamatában alkalmazott adatbiztonsági előírásokat, valamint
c) a számlatulajdonosok számára a rendszer biztonságos használatára vonatkozó szabályok megismertetésének
módját. 10. § (1) A számlavezető a belépési azonosítót a jelentéstől elkülönítve adja át a számlatulajdonosnak.
(2) A belépési azonosító átadása
a) írásban,
b) más tartós adathordozón, vagy
c) a számlavezető által meghatározott honlapon
történhet.
(3) A belépési azonosítónak más tartós adathordozón vagy a honlapon történő átadása a papíron történő átadás
helyett akkor választható, ha az értesítési módokra vonatkozóan a számlatulajdonos ezen átadási módokhoz
szerződésben hozzájárulását adta, és megjelölte, hogy az átadásra melyik tartós adathordozót, illetve a honlapon
történő átadást választotta. Amennyiben a belépési azonosító a jelentéssel azonos értesítési csatornán kerül
átadásra, a számlatulajdonos külön nyilatkozatától el lehet tekinteni.
(4) Tartós adathordozón történő átadás esetén az adathordozón nem szerepelhet egyidejűleg a belépési azonosító és
a jelszó.
(5) A belépési azonosító honlapon történő átadása esetén a belépési azonosító eléréséhez rendelt ügyfél hitelesítési
eljárás nem lehet alacsonyabb biztonságú, mint a számlakivonatok eléréséhez alkalmazott hitelesítési eljárás.
(6) A belépési azonosító honlapon keresztüli átadása esetében szükséges a kétfaktoros, ún. „erős” felhasználói
hitelesítés alkalmazása.
(7) A belépési azonosító adathálózaton keresztül történő átadása esetén a belépési azonosítót rejtjelezett állományban
vagy a számlavezető és a számlatulajdonos között kiépített rejtjelezett csatornán kell átadni.
(8) A belépési azonosító nyomtatása és borítékolása, tartós adathordozóra történő rögzítése, valamint honlapon
történő átadása során a folyamat zártságának biztosításával és lehető legmagasabb szintű automatizálásával kell
az adatok biztonságát garantálni.
(9) A jelszó átadása kizárólag a jelentés átadásával valósítható meg.
11. § A számlavezető a belépési azonosító, illetve a jelszó minden átadásakor tájékoztatja a számlatulajdonost
a) a belépési azonosító és a jelszó bizalmas kezelésének a fontosságáról,
b) a belépési azonosító és a jelszó pótlásának eljárásáról,
c) az ügyféloldali biztonság [kártékony szoftverek (pl. vírusok) elleni végponti védelmi szoftver, tűzfal
alkalmazásának] jelentőségéről,
d) a nem saját gépről történő, valamint a nyilvános internet pontokon keresztüli lekérdezések veszélyeiről,
kockázatairól. 12. § Ez a rendelet 2016. január 1-jén lép hatályba.
13. § Az adatszolgáltatást első alkalommal 2016. január 31. napjára vonatkozóan kell elkészíteni.
Dr. Matolcsy György s. k.,
a Magyar Nemzeti Bank elnöke
MI-magyarázat a hivatalos jogszabályszöveg alapján. Tájékoztató jellegű, nem helyettesíti a jogi tanácsadást.