Hétpecsét: "Információvédelem Menedzselése LXII. Szakmai Fórum"

A Hétpecsét Információbiztonsági Egyesület 2014. szeptember 17-i, 62. ülésén Dr. Ködmön István alelnök az információvédelem aktualitásairól, a fórumok szervezéséről, a meghirdetett pályázatokról, az információbiztonsági kultúra terjesztéséről szólt; közte a Hétpecsétes történetek c. könyv második kötetének javított kiadásáról, amely az ITBN 2014 rendezvényre jelenik meg. Az első kötet az egyesület honlapjáról letölthető.

Az Informatikai Biztonság Napja (ITBN) tízedik alkalommal kerül megrendezésre 2014.szeptember 23-24. között. Keleti Artúr főszervező, vezető biztonsági szakember invitált részvételre. A rendezvény a magántitok és a lehallgatás témakörét járja körül elsősorban. http://www.itbn.hu/index.php/hu

Szeip Attila, a K&H Bank Zrt. munkatársa DSS változások / Bankkártya biztonság / a kártyás azonosítás trendjei

címmel tartotta előadását. Az internetes, és a 3D secure vásárlás, különös tekintettel annak NFC alapú megoldása került napjaink előterébe.

http://en.wikipedia.org/wiki/3-D_Secure , http://hu.wikipedia.org/wiki/Near_Field_Communication

Az internetes vásárlás az un. card-not-present transaction, „távoli vásárlás" kategóriába tartozik, azaz a kártya nincs jelen az eladónál, de a kártya-azonosító adatokra szükség van a netes vásárláshoz. Ehhez kell egy kibocsátó bank, ahol a kártyát igénylem. http://en.wikipedia.org/wiki/Card_not_present_transaction

A (debit) kártyák mögött általában ott áll a számlavezetés, a hitelkártyáknál pedig hitelkártya-szám van nyitva, ahol nem kötelező a számlavezetés, a kártya mögött van az automatikus egyszámla.

A kártya (leendő) birtokosa ezt megigényli, s a kártya-tulajdonos kibocsájtja számára bekerül a tárcájába, s így nyílik lehetősége internetes vásárlásra. Az internetes honlapról való vásárlási lehetőséget (payment gateway function) az illető kereskedők alakítják ki, banki közreműködéssel. http://en.wikipedia.org/wiki/Payment_gateway

Vásárláskor megtörténik az adatok bevitele a kereskedő oldalán, ezután indul egy információ-kérés a kereskedő oldaláról a tranzakcióval kapcsolatosan. Ez az info-kérés a kereskedőtől az elfogadó bankon keresztül megy a kártya-társaság felé. A kártyatársaság ezt a tranzakció kérést eljuttatja a kártya-kibocsátó, számlavezető bankhoz, ahol megtörténik a tranzakcióval kapcsolatos autorizáció (felhatalmazás) és autentikáció (azonosítás). http://www.tankonyvtar.hu/en/tartalom/tamop412A/0007_d3_hitelkerelem_jav_scorm/4_3_3_autorizacio_felhatalmazas_folyamata_knqQLg6m4m26OXpo.html

http://netpedia.hu/autentikacio

A bank ilyenkor ellenőrzi a kártya érvényességét és fedezet-képességét, ezután ad egy válaszüzenetet. Elutasító válasz-üzenet esetén befejeződik a folyamat, elfogadó esetben a válaszüzenet megérkezik a kereskedőhöz, aki a vásárlást ezután megtörténtnek jegyzi, s erről a kártyabirtokos részére visszaigazolást ad, a kibocsátó bank pedig megterheli a kártyabirtokos számláját.

A folyamat kockázatát legtöbb esetben a bank viseli, hiszen a tranzakcióval kapcsolatos csalás esetén, a hazai szabályzás szerint, 45 ezer Ft-ig lehet a kártya-birtokost terhelni. A bank idevágó igényei, ill. a kártyabirtokosok védelmében az internet alapú tranzakciót sokkal erősebb biztonsági elemekkel kívánták ellátni, erre szolgál

a 3D Secure. Ennek többféle megvalósítása lehetséges.

A fent vázolt eljárási menetbe beiktatnak egy hozzáférés-ellenőrző kiszolgáló számítógépet (access controll server).

A 3D Secure-ban való vásárlásra a bankkártya birtokosa maga regisztrálja magát a bankkártya kibocsátónál, vagy a bankkártya kibocsátó ezt internetes vásárlásra kötelező módon előírja. Ez utóbbi esetben tapasztalhatjuk, hogy a tranzakciót nem tudjuk kezdeményezni, mert nincs 3D secure regisztrációnk…

A tranzakció menete alapvetően 3D secure esetben is a klasszikus eljárást követi, de az access controll szerverbe olyan információk kerülnek, melyeket a kibocsátó bank kérdez, ill. állít be a kártyabirtokos részére. Ezen információk az egyes bankok és pénzintézetek esetében nagy eltérést mutatnak. Lehet közöttük jelszó, vagy weblapra szóló sajátos üzenet (jelmondat, fénykép, stb.), amely akkor tűnik fel, ha átér a banki oldalra a tranzakció, s akkor érezzük magunkat biztonságban, amikor ezt megkaptuk. Ez jelzi, hogy nem kerültünk valamilyen „áldozati" körbe… , hogy pl. egy rosszakaratú domén-átírányítással nem a kibocsátó bank honlapjára kerültünk. Továbbiakban az elfogadó oldalra fel kell mennünk, payment gateway internetes vásárlási funkciót kell keresni a kereskedőnél, amennyiben ez megvan, akkor azon a felületen elindulunk. Ahhoz, hogy egy ilyen biztonsági vásárlás megtörténhessen, a kereskedőnél ki kell egészíteni a payment gateway-t egy plug-in funkcióval, ez biztosítja, vagy ez kötelezi, minősíti a kereskedőt arra, hogy ő ugyanúgy 3D secure módon képes a tranzakciót lebonyolítani. Itt egy biztonsági elemeket tartalmazó, kiegészítő lépéssorozat zajlik; ugyanis a kártyatársaságnál is van egy directory szerver, amely a kizárólag 3D sec tranzakcióra jogosított kártyák listáján az adott kártyát ellenőrzi a BIN (bank identification number) alapján. https://www.2checkout.com/ecommerce-glossary/bank-identification-number Ennek alapján rögtön tudja a bankról a kártyatársaság, hogy a kibocsátó bank alapvetően 3D sec-et ír elő a vásárlásra, ezt a kereskedői oldal eredetileg nem tudja, ezért kérdést tesz fel a kártyatársaság felé, s nem a kártyatársaság autorizációját indítja, hanem először az autentikációs folyamatot. Ez megtörténik a directory szerver felé, megkapja: „igen, ez a kártya 3D-ben működik".(Amennyiben nemleges választ kap, akkor az eredeti módon történik a tranzakció.) Az info a kártyatársaságon keresztül elmegy a kibocsátóhoz, s kér a kártyakibocsátón keresztül egy autentikációs folyamatot,

ez a folyamat beindít a kártyabirtokos felé egy egyedi, csak erre a tranzakcióra vonatkozó üzenetet, vagy jelszótartalmat, ami sok mindent tartalmazhat. Lehet ez pl. SMS üzenet, e-mail, vagy valamilyen fix üzenet. Ezt megkapja a kártyabirtokos, megadja a kereskedői oldal felületén, ill. banki oldalon is, s abban a pillanatban, ha ez az autentikáció megtörtént, akkor egy PAR (payer autentication response) üzenettel digitálisan aláírásra kerül a tranzakció. Ebből kap maga a kereskedő az un. merchant plug-in-en keresztül, és kap a directory szerver is.

A kártya tranzakció innen normál módon zajlik tovább, megtörténik az autorizáció, fedezetvizsgálat, s ha rendben van, akkor a tranzakció lebonyolításra került, megkapta a kártyabirtokos az igazolást, s (remélhetően) később az árut is megkapja.

Miért 3D, honnan az elnevezés? A vásárlás három dimenziója van az eljárásban, három társaság, három szegmens lép be a vásárlás azonosítási folyamatába. Nem tévesztendő össze a bankkártyás azonosításoknál előforduló

triple-des kifejezéssel, ami a post termináloknál és ATM-eknél történő pin-bevitelről szól… http://En.wikipedia.org/wiki/Triple_DES

A kártyatársaságok az itt tárgyalt védelmeket viszonylag hasonló módon dolgozták ki.

Nem mindegy, hogy ki, és hogyan felel a vásárlás során elkövetett hibákért, ill. visszaélésekért. Amennyiben a kibocsátó nem 3D-ben indít, akkor ő viseli a károkat, ha az elfogadó 3D-ben lett volna képes tranzakciót lebonyolítani, ill. ha a kibocsátó 3D-ben, de az elfogadó nem 3D-ben, vagy amikor mindkettő képes rá, akkor az alapszabály lép életbe, akkor a kibocsájtónak kell viselnie a tranzakcióval kapcsolatos kockázatokat.

Az NFC használatáról

Az érintés nélküli fizetést alapvetően NFC alapú szabványra építve lehet megvalósítani, az NFC a bankkártyás fizetéshez kötődik. A near-field-communication nem bankkártyás fizetés, nem fizetési metódus, csak egyfajta kommunikáció. Bankkártyával, vagy mobillal való fizetőképes szolgáltatássá tételéhez kiegészítésekkel kell ellátni, az NFC önmagában egy szabvány. Az ISO 1443 NFC IT1 alapjára épül, létezik az IT2 is, mindkettő azonosításra szolgáló rádiófrekvenciás RFID azonosítást tesz lehetővé. A két megoldás hatótávolságában különbözik, az NFC

2-4 cm, vagy 0-4 cm-en belül működik, a másik 1cm és 3-5-10 méter távolságról is képes azonosításra. Alapvetően az egyik fizetésre, a másik áru-azonosításra használatos.

Ahhoz, hogy egy bankkártya képes legyen ilyen NFC-alapú tranzakcióra, ahhoz az EMV chip mellé egy antennát is be kell vezetni. A megoldás szabványosítva van. Alapvetően az NFC antenna az EMV chipből olvas ki adatokat, amikor a bankkártyámat odateszem a pos terminálhoz, ugyanolyan hatású, mintha bedugtam volna a kártyát, ugyanazt az adatsort, azonosítást hajtja végre. Ez a kombináció szükséges, hogy egy bankkártya NFC alapú fizetésre képes legyen, szükséges, hogy maga az elfogadó berendezés is el legyen látva olyan antennával, amely ennek a kommunikációját képes venni. A pos berendezésekben aktív antenna működik, a kártyában lévő pedig a passzív elem, egymás közötti kommunikációjukkal válik lehetővé a tranzakció. Ez csak akkor indulhat, ha a pos terminál „indítást" kap, önmagában a pos terminál, ha csak úgy odateszem a kártyát, nem képes az infót levenni.

A chip-decision kifejezés értelmezése: a tranzakció lebonyolítása történhet online, vagy offline megoldásban, ezt a kártya kibocsájtója dönti el, s teszi rá a kártyára a képességet, hogy csak online fizetést tegyen lehetővé, vagy offline tranzakciót is lehetővé tegyen, ill. utóbbit hányszor és miként. Az ilyen offline használati esetszámot 3-5 közöttire szokták beállítani, utána arra kényszeríti a kártyaterminált elfogadó berendezés a kártyát, hogy a következő tranzakció érintéses módon történjen. Így válik lehetővé a kártyánál lévő számláló lenullázása, ill. az értékhatárokat, amelyeket a kibocsátó esetleg időközben megváltoztatott, le lehessen tölteni a kártyára. Magyarországon ez a határ ma 5 ezer Ft., ez alatt általában pin és egyéb azonosítás nélkül el lehet követni kontakt-mentes tranzakciót, fölötte valamiféle azonosításra szükség van. Az ide vonatkozó értékhatárokat az egyes országok, vagy országokra értelmezve állapítja meg a kártyatársaság.

A kontaktus nélküli fizetési megoldás az okos mobil eszközök részévé válik. Jellemző módon, egy NFC alapú kontakt-mentes elemet kell bevinni ezekbe a secur kommunikáció lehetővé tételére a tranzakció során. Az antennát általában az eszköz hátoldalába építik be. Az iPhon 6-os sorozatát a gyártó most látta el először NFC-vel, ilyen fizetésre alkalmassá téve.

dr. Pók László ügyvéd (Szecskay Ügyvédi Iroda) előadása Köthetünk-e email útján szerződést? címet viselte.

A rövid válasz; igen, bizonyos esetekben.

Mikor tehetik meg az üzleti felek, hogy e-mailben állapodjanak meg?

2014-ben lépett hatályba az új Polgári Törvénykönyv, a 2013-as 5.sz. törvény március 15-től hatályos. Ezen időpont előtt kötött szerződésekre a fő szabály; ezekre a régi PTK szabályrendszere vonatkozik. Amennyiben ezeknek a szerződéseknek módosítása születik (hosszabb távú szerződés esetén; bármikor), akkor alapesetben arra is a régi PTK vonatkozik. Amennyiben a felek időközben előnyösebbnek minősítik magukra nézve az új PTK-t, akkor egy módosítással bármikor áttérhetnek az új PTK hatálya alá. A március 15. után kötött szerződések értelemszerűen az új PTK alá tartoznak, de a felek a szerződésben részletesen leírhatják, miben kívánnak eltérni az új PTK-ban szereplő szabályoktól. Az e-mailre vonatkozó szabályrendszer vizsgálatakor is ezen viszonylatok lényegesek.

Az idevágó szabályzás nem változott sokat a régi PTK-hoz képest.

Hogyan jön létre a szerződés? Polgárjogi értelemben; az egyik fél tesz egy ajánlatot, a másik fél pedig elfogadja.

Újdonság; ha írásbeli szerződést kell kötni, akkor az ajánlatnak és az elfogadásnak is írásban kell megszületnie.

Az új PTK újdonságot jelent:

az ajánlattól eltérő tartalmú elfogadás tekintetében

a szokások és gyakorlat tekintetében, amennyiben a felek között már volt kapcsolat és bizonyos szokások és gyakorlat kialakultak, ilyenkor ez hogyan válik, vagy nem válik a szerződés részévé

az előszerződések szabályai módosulásával.

Az ajánlatban a lényeges elemeket rögzíteni kell, hogy a másik fél azok alapján tudjon az elfogadásról dönteni.

Előfordulhat, hogy a másik fél azt válaszolja, elfogadom az ajánlatot, de pl. a házat nem 10 millióért, hanem 5-ért veszem meg. Ilyen alapon létrejött szerződés méltánytalan lenne, mert az elfogadás lényeges kérdésben tér el az eredeti ajánlattól. Az elfogadást ez esetben új ajánlatnak kell tekinteni, ilyenkor az eredeti ajánlat adója dönt, hogy elfogadja-e ezt. Amennyiben nem lényeges kérdésben van eltérés, pl., hogy nem március 15-én, hanem 16-án szeretnénk beköltözni a lakásba, akkor a szerződés részévé válik ez a lényegtelen eltérés, létrejön a kicsit módosított szerződés, kivéve akkor, ha az ajánlat kizárja annak a lehetőségét, hogy az ajánlattól eltérő elfogadás szülessen, vagy pedig, ha ez nem történik meg, akkor utólag, késedelem nélkül tiltakozik az eredeti ajánlat tevője.

Javasolható, hogy szerződéses ajánlat megtételekor fontos számunkra, hogy azokkal, és csak azokkal a feltételekkel jöjjön létre a szerződés, ami az ajánlatban szerepel, akkor mindenképpen az ajánlatban fontos és célszerű utalni arra, hogy az eltérő ajánlatot nem fogadjuk el.

Amennyiben a felek között már volt korábban kapcsolat, bizonyos szokások, valamilyen gyakorlat meghonosodott ebben a kapcsolatrendszerben, akkor ezek a szerződés részévé válnak automatikusan, tehát fontos, hogy ha szerződést kötünk, akkor erről a kérdésről rendelkezzünk. Adott esetben el akarunk térni a korábbi gyakorlattól, pl. mindig 30 napra fizettük a számlát, de most valamiért 15 napos fizetési határidőre van szükség, akkor ezt a szerződésben mindenképpen rendezni kell. Amennyiben pl. olyan szerződésről van szó, amit majd e-mail útján kötnek meg a felek, nagyon gyakori, hogy az emberek e-mailben lezserebben fogalmaznak, nem gondolják végig, túl hamar elküldik, nem térnek ki minden részletre, s ez később visszaüthet, ha valamilyen vita adódik.

Az írásbeliség, ill. az alakiság kérdése a PTK-ban:

fő szabály szerint, jogilag ajánlatot háromféleként tudunk tenni, írásban, szóban, vagy pedig ráutaló magatartással.

A ráutaló magatartás azt jelenti, hogy a magatartásunkkal fejezzük ki a szándékunkat, pl., ha nem rendeltem semmit, de valaki leszállít nekem egy tévét, s én azt kifizetem, akkor egy szó nélkül létrejött a szerződés, hogy én megvettem azt a tévét.

A hallgatás kérdése; hogyan kell értelmezni azt, ha nem teszek nyilatkozatot egy adott viszonyrendszerben. Az új PTK-ban van erre szabály; fontos, hogy a felek erről rendelkezzenek. Amennyiben a felek a szerződésükben kifejezetten kikötik, hogy pl. ha küldök egy megrendelést és a másik fél nem jelez vissza két napon belül, akkor úgy tekintem, hogy ő azt a megrendelést a benne foglalt feltételekkel teljesíteni tudja, ez működőképes és a másik félnek ezt teljesítenie kell. Ha viszont kifejezetten rögzítik a szerződésben, hogy a hallgatás nem hoz létre semmiféle kötelezettséget, azaz kifejezetten meg kell erősítenie, hogy „igen, megkaptam a megrendelést, tudomásul veszem és teljesítem", akkor a hallgatásból nem következik az, hogy bármilyen kötelezettségem lenne.

Az is fontos, hogy a nyilatkozatok mikor hatályosulnak. Nyilvánvaló, hogy ha jelenlévők közötti nyilatkozatról van szó, akkor ez azonnal hatályosul, hiszen a másik fél azonnal tudomást szerez a nyilatkozat tartalmáról, s azonnal tud rá reagálni. Jelenlévők alatt nem feltétlenül földrajzi értelemben vett jelenlétet kell érteni, egy videokonferencia

telefonhívás is a jelenlévők közötti nyilatkozat-váltásnak minősül. A távollévők között még a megérkezéssel hatályosul a nyilatkozatok körüli ajánlati kötöttség is. Itt megérkezésről és nem tudomás-szerzésről van szó! Pl. megérkezik az adott félhez az irat, de nem olvassa el, attól az még hatályosul és nem lehet arra hivatkozni, hogy nem vette észre és emiatt csúszott ki valamilyen határidőből.

A ráutaló magatartással is csak a tudomás-szerzéssel hatályosul az aktus. A PTK, érzékelve a technológiai fejlődést és az info-kommunikáció szerepének növekedését a kapcsolatokban, az előre nem látható új technológiák belépését, olyan szabályokat próbál alkotni, amelyek a keretek teremtik meg és ezekkel az új technológiákat beillesztve megválaszolni az újonnan felmerülő kérdéseket.

Egy szerződésről akkor mondhatjuk, hogy írásba foglaltuk, ha a lényeges tartalma írásban szerepel, plusz aláírás kerül az irat végére. A lényeges tartalom szerződésről szerződésre változik.

Fontos, hogy a fokozott biztonságú, elektronikus aláírással ellátott elektronikus dokumentum is írásban tett nyilatkozatnak, írásbelinek minősül.

A PTK szerint, az a forma alkalmas arra, hogy írásbelinek tekintsük, ami három kritériumnak megfelel:

a tartalom változatlan módon visszaidézhető

a nyilatkozat tevő személye egyértelműen azonosítható

a nyilatkozat időpontja azonosítható.

A PTK nem sorolja fel, hogy mi számít írásbelinek, hanem a kritérium rendszert állítja fel.

Fontos javaslat; a szerződésben érdemes az alakiságot rendezni, rögzíteni azt, hogy ha olyan a szerződéses viszonyunk, hogy bármilyen kommunikációt, vagy bármilyen szerződéses információt csak írásban szeretnénk elfogadni, akkor ezt magában a szerződésben rögzítenünk kell.

Az új PTK szerint; az e-mail nem felel meg az írásbeliség követelményeinek, e-mailben tett nyilatkozat nem minősül írásbelinek. Csak azt lehet azonosítani, kinek a postafiókjából indult, de azt már nem, hogy ki az, akihez ez a postafiók tartozik. Ennek ellenére, elég gyakran használják a felek és el is fogadják egymás között.

Amennyiben szerződéses nyilatkozatra megállapodunk, hogy elfogadjuk az e-mailt, akkor az ebben a viszonyban jól működhet. Amennyiben jogszabály, vagy a felek előírják az írásos nyilatkozatot, akkor ennek a kritériumnak az e-mail nem felel meg, nem elegendő.

Amennyiben e-mailben küldünk át egy eredeti, aláírt irat beszkennelt fájlját, a szkennelt példány másolatnak tekinthető.

Gyakran előfordul a szkennelt aláírás, iratokon szkennelt aláírást, bélyegzőt helyeznek el. Ez polgárjogi szempontból nem minősül aláírásnak, nem lehet megállapítani kitől származik, így nem fogadható el írásba foglalt iratnak.

Amennyiben a szerződést nem kötelező írásba foglalni és van egy szkennelt aláírással ellátott iratunk, akkor tekinthetjük úgy, hogy ráutaló magatartással létrejött a szerződés.

A fax az új PTK-ban nem került nevesítésre.

Összefoglalva: az e-mail nem minősül írásbeli nyilatkozatnak, a szerződésben kell rögzíteni, hogy ragaszkodunk-e az írásbeliséghez.

Angolszász területen az e-mailt bíróilag elfogadják szerződés alapjaként, akár nemzetközi kapcsolatokban is.

Harmat Lajos