A szolgáltatók számlázó rendszerének auditálási kötelezettségét érintő témakörben folyamatosan zajlik az egyeztetés, mind az auditálási kötelezettséget jegyző állami szervezetekkel, mind pedig az auditálási procedúrát lefolytatni hivatott cégekkel (HunGuard Kft., CERTOP Kft.).
A mai ismereteink alapján ki kell jelentenünk, hogy magát az auditálást minden szolgáltatónak, kivétel nélkül le kell folytatni! Már most kaptunk olyan partnerektől érkező visszajelzéseket, mely szerint, ha nem rendelkeznek adott határidőn belül auditált számlázó rendszerrel, úgy bizonyos, a közintézményekhez fűződő szolgáltatói szerződések felmondásra kerülnek.
Amiben érdekvédelmi tevékenységünk alapján érdemi változást remélünk, az az auditálási véghatáridő kitolása valamint egy, a szakmát érintő utólagos kompenzáció kialakítása ( pl. EU források megítélésével )
A piaci közbeszédben számos, az auditálási folyamatokat, előfeltételeket és költségeket érintő feltevés hangzott már el. Ezeket a részleteket szeretnénk ezennel tisztázni:
A vonatkozó rendelkezés:
EHT 142. §-a számos új követelményt fogalmaz meg a számlázó rendszerek információbiztonságával kapcsolatban.
(3) Számla kiállítására csak olyan informatikai rendszer felhasználásával kerülhet sor, amely biztosítja a díjak hibátlan kiszámítását végző rendszerelemek zártságát, és megakadályozza a számlázási rendszerhez történő jogosulatlan hozzáférést, valamint a számlázási információk észrevétlen módosítását. A számlázási rendszernek továbbá meg kell felelnie az általános információbiztonsági zártsági követelményeknek is. Ennek érdekében a szolgáltatónak adminisztratív, fizikai és logikai intézkedésekkel biztosítani kell az általános információbiztonsági zártsági követelmények teljesülését.
(4) A (3) bekezdésben meghatározott követelményeknek való megfelelést a tanúsító szervezet által történő, a számlázási informatikai rendszerre vonatkozó tanúsítással kell igazolni. A számlázási rendszerre vonatkozó követelmények teljesülése kizárólag informatikai biztonsági funkciókat megvalósító szoftvertermékek és -rendszerek elfogadott hazai vagy nemzetközi informatikai biztonsági módszertanon alapuló tanúsítására akkreditált tanúsító szervezet által kiállított tanúsítvánnyal igazolható. A tanúsítvány a kiadását követő második naptári év utolsó napjáig érvényes.
Ezeken felül további hat bekezdés foglalkozik a zártsági követelményekkel az elektronikus hírközlésről törvényben, ezek , szükséges részeinek, részletes ismertetése történik a felkészítés során.
Az EHT-ben megfogalmazottak törvényi/szabályozási hátterét a 2013. évi L. trv. az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvény alapozza meg, melynek végrehajtási rendelete a 77/2013. (XII. 19.) NFM rendelet, ez tartalmazza az egyes követelmények tételes meghatározását. A teljes végrehajtási rendelet 800-nál több elvárást határoz meg, ezek közül az egyes kategóriákba tartozókra változó (kb 70-300) számú releváns.
Milyen besorolási csoportokat különböztetünk meg az auditálás során?
"Mikró" kategoria
"Mikró-Plusz" kategória
"Nagy" kategória
Milyen szempontok alapján kerülnek besorolásra a szervezetek?
1. A számlázó rendszerben havonta kibocsátott számlák száma legfeljebb 2 ezer db.
2. Nincs a számlázó rendszer környezetében üzemeltetett olyan egyéb informatikai rendszer, amelyek interfésszel rendelkeznek az internet vagy a számlázási rendszer felé.
3. Nincs egyéb modul a számlázó rendszerben a számla előállítását közvetlenül befolyásoló szoftver modulon kívül.
4. A számlázó rendszerben a havi össz-számla érték 10 mFt alatt van.
5. A számlázó rendszerben a belső felhasználók száma legfeljebb 3 fő.
6. Egy számítógépen (PC, vagy notebook) végzi az összes számlázással kapcsolatos tevékenységet, és maximum még 1 számítógépet tart fent biztonsági másolat céljából.
A szempontrendszer alapján ki hova tartozik?
"Mikró": Az a cég, aki az első 5-ből 4-nek megfelel és teljesíti a 6. követelményt is.
"Mikró-plusz": Az a cég, aki az első 5-ből 4-nek megfelel de NEM teljesíti a 6. követelményt.
"Nagy": Az a cég, aki az első 5-ből 3-nak vagy kevesebbnek felel meg, függetlenül a 6. ponttól.
Mit jelentenek az egyes kategóriák az auditálási folyamat szempontjából?
A legegyszerűbb, legkisebb kategória a "mikró", melynek biztonsági elvárásai a legkisebbek. A (valóban) mikró kategóriába tartozó szervezetek esetében a felkészítés és az audit egyszerűsített módszertan alapján rövid idő (felkészítés 1 nap, audit változó, cégfüggő) alatt megvalósítható.
A mikró-plusz kategóriába tartozó szervezetek követelményei a "nagy" kategóriába tartozó szervezetek elvárásainak könnyített változatát tartalmazza, ez már jelentős többlet munkát jelent mint a vizsgált mind a vizsgáló szervezet esetében, így ennek költségei jóval magasabbak mint a mikró kategória esetében.
Akik sem a mikró sem a mikró-plusz kategóriába tartoznak azok esetében a szükséges biztonsági szint és az ehhez tartozó követelmények meghatározása az auditorral közös egyeztetés során, egyedi módon kerül meghatározásra.
Mekkora költségvonzata van az egyes auditálási szinteknek?
"Mikró": A teljes auditálási költség 300-400 ezer Ft közötti összegre rúg, ezt az auditor cég határozza meg pontosan. ( itt fontos megjegyezni, hogy "mikró" kategóriát kizárólag a HunGuard kezel, ilyen csoportként, ennek megfelelően, ezen az áron, kizárólag csak náluk lehetséges auditáltatni )
"Mikró-plusz": Tapasztalataink szerint, ebben a méretben, az auditálási költség 1 millió Ft körüli összegre rúg ( pontos árat kizárólag az auditor cég adhat )
"Nagy": A kategória auditálási költsége számos ismérv alapján kalkulálódik, összege pedig a 2 millió Ft-tól egészen az 5.5 milló Ft-ig terjedhet. ( pontos árat kizárólag az auditor cég adhat )
Az auditálás menete:
Azoknak a cégeknek, akik a "mikró" kategóriába tartoznak, van a legegyszerűbb dolga. A teljes folyamat egy csoportos felkészítésen való részvétel során előkészíthető, majd ezt követő néhány lépést után beadható az auditáláshoz szükséges dokumentáció. Ilyen felkészítő tevékenységet végez a Andrews Kft. A közös felkészítés során, 15 fős csoportokba szerveződve, egy 1 napos foglalkozás keretén belül zajlik az előkészítés, ahol a résztvevő minden, az auditáláshoz nélkülözhetetlen kérdésre választ kap, illetve minden, az előkészítéshez fontos feladatot elvégez. Az elkészült anyag beadását követően, maga az auditálás már automatikus, melynek végén, az auditált cég kézhez kapja az auditálást igazoló certifikátumot.
Fontos azonban a sorrendiség! Aki "mikró" kategóriában kívánja auditáltatni magát ( megfelelve a fent említett követelményrendszernek ), a csoportos előkészítést megelőzően, be kell, hogy jelentkezzen a HunGuard Kft.-nél, ide vonatkozó igényével. A csoportos felkészítés kizárólag ezt követően nyer létjogosultságot!
A csoportos felkszítés egyszeri díja 50,000. Ft + ÁFA.
A szervezett, hatékony regisztráció érdekében, szeretnénk a cégek jelentkezését, és a felkszítési kurzus lebonyolítását segíteni.
Ennek érdekében, egyfelelő minden költségvonzat nélkül, helyet biztosítunk a mindenkori felkészítő tanfolyamoknak, másrészt pedig vállaljuk a regisztrációs procedúra lebonyolítását.
Arra kérünk tehát minden "mikró" kategóriába tartozó céget, aki részt kíván venni a tanfolyamon, hogy töltse ki a következő adatközlő űrlapot!: ADATKÖZLŐ ŰRLAP
Az űrlapon megadott elérhetőségeken keresztül, kollégánk pár napon belül felveszi az érdeklődökkel a kapcsolatot, a további részletek vonatkozásában.
Fontos megjegyeznünk, hogy maga a felkészítő kurzus nem előfeltétele az auditálásnak, azonban mindenképp megkönnyíti az auditálandó cég helyzetét, biztosítva ezzel a sikeres auditálást!
Minden olyan cégnek, aki nem fér bele a "mikró" kategóriába, egyedi ajánlatot kell kérnie a két auditáló cég valamelyikétől ( HunGuard Kft., CERTOP Kft. ) Természetesen az ő auditálási folyamataik támogatásában is segítséget tud nyújtani az Andrews Kft., így akinek ilyen jellegű igénye merülne fel, az keresse őket bátran, elérhetőségeik bármelyikén!
Véghatáridők:
Az érvényben lévő rendelkezés értelmében, a szolgáltatók számlázórendszerének auditálását, jelen állás szerint 2015. Június 30-ig minden cég esetén le kell folytatni.
Mind a "mikró" mind az egyéb kategóriába tartozó szervezetek számára fontos információ, hogy az egyes tanúsítószervezetek működési szabályzatukból eredően 21 napnál rövidebb idő alatt nem végezhetnek el egy adott tanúsítási folyamatot, tehát aki nem jelentkezik időben auditra az könnyen kicsúszhat a törvényi határidőből.
A fentiekből adódóan a csoportos felkészítéseken való részvétel utolsó lehetséges időpontja Május 18-a. A visszajelzésekből azt is megtudtuk, hogy aki Június 10-ig nem jelentkezik be a HunGuard-nál auditálási igényével, az már most biztos, hogy kicsúszik a törvény szabta, jelenleg érvényben lévő határidőből.
Kérünk minden szolgáltatót, hogy saját érdekében, valamilyen módon mindenképpen tegye meg az auditálással kapcsolatos első lépéseket!