A szabályozás kötelezően érvényes a 250 millió eurót meghaladó éves forgalmú magyar és külföldi kereskedelmi láncokra, valamint a fizetésfeldolgozási és vásárlói adatkezelési tevékenységekben résztvevő e-commerce platformokra. Ez az oldal konkrét, iparág-specifikus útmutatót nyújt a POS-rendszerek, fizetési infrastruktúra és szállítói ellátási lánc biztonságáról.
Azok a kereskedelmi vállalkozások és e-commerce operátorok, amelyek éves forgalma meghaladja a 250 millió eurót, vagy jelentős számú vásárlói személyes adatot (név, cím, fizetési információ) kezelnek és feldolgozzák. A szabályozás vonatkozik a fizetéseldolgozást végző harmadik felek (payment service provider-ek) integrációjára is, függetlenül azok méretétől, amennyiben a kiskereskedelmi vállalkozás működésének kritikus részét képezik.
A szervezetnek biztosítania kell, hogy az összes fizetéseldolgozási rendszer (POS-terminál, online kassza, mobilalkalmazás) megfeleljen a PCI-DSS és NIS2 követelményeknek egyaránt. Ez magában foglalja a régi POS-terminálok (7+ évesek) fázisokba ásott felváltását, a fizetési adatok végponttól végpontig történő titkosítását, valamint az összes fizetési tranzakció naplózását és monitorozását. A szervezet felelős annak biztosításáért, hogy a szállító által biztosított POS-szoftver és firmware-frissítések követik a legújabb biztonsági szabványokat.
A kereskedelmi láncnak kötelezően kell kezelnie az adatvédelmi incidens-jelentést a SZTFH-hoz 72 órán belül, ha a megsértés vásárlói személyes adatokra nézve magas kockázatot jelent. Az adatok titkosításéről, hozzáférés-korlátozásáról és törlési eljárásairól dokumentált politika szükséges. A hűségprogram adatbázisait rendszeres biztonsági vizsgálatnak (penetration testing) kell alávetni legalább évente, és a lejárt vagy szükségtelen vásárlói adatokat haladéktalanul ki kell törölni.
Az összes szállító, amely hozzáféréssel rendelkezik a leltár-kezelő rendszerekhez, raktárkezelő szoftverekhez vagy vásárlói adatokhoz, szerződésben megkötött biztonsági követelményeket (SLA) kell teljesítsen. A szervezetnek legalább évente auditálnia kell ezeket a szállítókat, és biztosítania kell, hogy erős jelszókezelést, többfaktoros hitelesítést (MFA) és naplózást alkalmazzanak. A szállítók fizikai és logikai hozzáféréseit szigorúan korlátozni kell és dokumentálni szükséges.
Amennyiben egy kibertámadás, rendszerhiba vagy biztonsági incidens a nagyobb kereskedelmi lánc vagy e-commerce platform 15 percnél hosszabb üzemszünetét okozza, azt azonnal (4 órán belül) jelezni kell az SZTFH-hoz. Az incidensjelentésnek tartalmaznia kell az esemény típusát, az érintett rendszereket, az előzetes kár becslését és a helyreállítás tervét. Az ismételt incidensekről (ugyanaz az infrastruktúra-elem 6 hónapon belül ismét megsérül) fokozott vizsgálat szükséges.
A szervezetnek formalizált ISMS-t kell létrehoznia az ISO 27001 vagy azzal egyenértékű szabvány alapján, amely kiterjedjen az összes kritikus rendszerre (fizetéseldolgozás, vásárlói adatok, szállítói interfészek). Az ISMS auditálásáról évente legalább egy alkalommal független harmadik féltől külső auditot kell végezni. A sebezhetőség-felméréseket (vulnerability assessments) negyedévenként, míg a penetration testingeket legalább évente kell elvégezni.
Nem, a 250 millió eurót elérő szöveg nem vonatkozik rá. Azonban, ha fizetéseldolgozást vagy jelentős vásárlói adatkezelést végez, és a logisztikai ellátási lánc működésszünetei 50 millió eurósnál nagyobb piaci hatással járnának, akkor az SZTFH szektoriális értékelése alapján még besorolható lehet fontos entitásnak. Javasolt az SZTFH-val konzultálni.
Az incidensről azonnal (4 órán belül) írásban kell értesítenie az SZTFH-ot, melynek tartalmaznia kell a zárt pénztárgépek számát, az érintett üzleteket, az üzemszünet hosszát és a helyreállítási cselekmények leírását. Egyidejűleg külső biztonsági tanácsadóval szükséges a root cause analysis elvégzése, és 10 nap alatt korrekciós tervet kell benyújtani az SZTFH-hoz.
A Kiberbiztonsági tv 50. § szerinti szankciók legfeljebb a vállalkozás éves forgalmának 2%-a (nagy platformok esetén tipikusan 5-50 millió euró), valamint reputációs kár, ügyfélvesztés és állami kártérítési kötelezettség merülhet fel. A SZTFH a megsértés súlyosságát, ismételődését és a szervezet előzetes compliance-magatartását veszi figyelembe az ítélethozatalban.