Ez az útmutató az alkalmazotti és bérlistadatokat több szervezet számára kezelő szoftverszállítók és szolgáltatók számára készült. Megtudhatja, hogyan teljesítheti az SZTFH által előírt kiberbiztonsági követelményeket és az adatvédelem mellett a digitális szolgáltatott bírságokat elkerülheti.
HR szoftverszállítók és bérlista-szolgáltatók, amelyek legalább 50 munkavállalóval rendelkező szervezetek számára kezelik az alkalmazotti személyes és fizetési adatokat, valamint több ügyfél adatait egyidejűleg tárolják vagy feldolgozzák. Az Annex II szerinti fontos entitás besorolása alá tartoznak azok a digitális szolgáltatók, amelyek kritikus infrastruktúrához vagy jelentős számú uniós felhasználóhoz kapcsolódnak, függetlenül a mérettől.
Implementálni kell titkosítást az adatátvitele során és az adatbázisban, többtényezős hitelesítést (MFA) az adminisztratív felhasználók számára, valamint szállítói biztonsági auditorokat kell végezni legalább évente. Az alkalmazotti személyes adatok (név, szja-szám, bankadatok) kettős jogi védelmet élveznek: a GDPR adatvédelmi és a NIS2 kiberbiztonsági előírásokat egyaránt teljesíteni kell.
Ha az Ön platformján egy biztonsági incidens több ügyfél bérlistaadatait érinti, 24 órán belül be kell jelentenie az SZTFH-nak, majd az érintett ügyfeleket is haladéktalanul értesítenie kell. A bejelentésben fel kell tüntetni a megsértett adatok körét, az érintett alkalmazottak számát és a szerv által javasolt reparatív intézkedéseket.
Szóban forgó többügyfelős platformok adatait logikai és fizikai szinteken egyértelműen el kell szigetelni, hogy egyik ügyfél se férhessen hozzá másik adataihoz. Azonos kiszolgálón vagy adatbázison több ügyfél adatát tároljuk, akkor kötelezően alkalmazni kell ügyfél-specifikus titkosítási kulcsokat és hozzáférés-ellenőrzéseket (RBAC). Az adatbázis szintjén row-level security vagy particionálási eljárások szükségesek.
Minden adminisztratív felhasználónak kötelezően hardver-alapú többtényezős hitelesítés (pl. FIDO2 biztonsági kulcs) szükséges, nem pedig szoftver-alapú MFA. Az összes bérlista- és alkalmazotti adat-módosítást részletes audit naplóban kell rögzíteni, beleértve a felhasználót, az időpontot, a művelet típusát és a megváltozott adatokat. A naplók legalább 18 hónapig megőrzendők és rendszeres felülvizsgálatot kell végezni az anomáliák felderítésére.
Az Ön szolgáltatáslánca minden alszállítójára (felhőszolgáltatók, harmadik fél analitikai eszközök) szállítói biztonsági értékeléseket kell végezni. Az ügyfélszerzződésekbe be kell építeni az adatok teljes törlésének garanciáját a kontraktus végén: az összes ügyfél-adat (beleértve a szaporított másolatokat és biztonsági mentéseket) 30 napon belül véglegesen törölni kell, amit írásban kell igazolni.
A GDPR az alkalmazotti személyes adatok kezelésének jogszerűségét és a felhasználók jogait védi, míg az NIS2 a biztonsági intézkedéseket és az incidens-bejelentési folyamatot szabályozza. Az Ön cégnél mindkettő egyaránt érvényes: GDPR-nak való megfelelőség az adatkezelésről, NIS2-nak való megfelelőség a biztonsági intézkedésekről és az incidensi kezeléséről szól. Az incidens-bejelentésben az SZTFH-nak kell értesíteni az adatsértésről (NIS2), az érintetteket pedig a GDPR szerint kell tájékoztatni.
Javasolt az FIDO2-kompatibilis biztonsági kulcsok beszerzése (pl. YubiKey), amelyeket az összes adminisztratív fiók számára kötelezővé kell tenni. Ezek költsége felhasználónként 40-60 euró körül mozog. A hardver-alapú MFA ellentétben a szoftver-alapú megoldásokkal nem lehet phishing útján ellopni, ezért az SZTFH ezt az elvárt biztonsági szint a payroll-rendszerekhez. Az implementálást fázisban elvégezheti: először az legmagasabb szintű hozzáféréssel rendelkező felhasználóknál, majd fokozatosan kiterjesztheti az összes adminisztratív felhasználóra.
Az SZTFH akár 20 millió euró vagy az éves globális bevétel 4%-áig terjedő bírsággal sújthatja az Annex II szerinti fontos entitásokat. A gyakorlatban az első szintű jogsértésekért (dokumentáció hiánya, audit naplók) kevesebb bírság kerülhet kiszabásra, de az incidensi bejelentések mulasztása vagy súlyos adatszivárgások esetén maximális büntetésre lehet számítani. Egy bérlista-biztonsági incidens, amely több ügyfél adatait érintette és nem jelentette be az SZTFH-nak, közvetlenül maximális bírsághoz vezethet, mivel az alkalmazotti adatok különösen szenzitívek.