Digitális Állampolgárság Program – a biztonságosság jogi és technikai garanciái (4. rész)


Sokan aggódnak a DÁP mobilalkalmazás biztonsága miatt, ebben a cikkben összegyűjtöm azokat a jogi és technikai garanciákat, amik a biztonságosságát hivatottak biztosítani.

A módosított eIDAS rendelet 5a.-5f. cikkei alapján a Digitális Állampolgárság Program az ún. európai digitális személyiadat-tárcát hivatott megvalósítani. Ez uniós kötelezettség, aminek uniós jogi biztosítékai vannak, ezek:

1. Bizottsági bejelentés: a Bizottság részére az ezt megvalósító szoftvert ténylegesen a működési mechanizmusa megismertetésével be kell jelenteni (ami a kölcsönös tagállami elismerés kötelezettségének alapját is képezi).

2. Nyílt forráskód: az európai digitális személyiadat-tárcát megvalósító alkalmazásnak nyílt forráskódúnak kell lennie (eIDAS 5a. cikk (3) bekezdés), azaz bárki által megismerhető módon közé kell tenni az alkalmazás programkódját, amiből megállapítható, hogy hogyan működik (és az nem tartalmaz rosszindulatú kódrészleteket).

3. Általános uniós adatvédelmi garanciák:DÁP-nak, mint európai digitális személyiadat-tárcának biztosítania kell a GDPR  követelményeit, kiegészítve az eIDAS által mellérendelt speciális adatvédelmi követelményekkel.

4. Általános uniós hálózatbiztonsági garanciák: a DÁP-nak a NIS2 előírásait is teljesítenie kell.

5. Mobileszköz működési garanciák:

a) Operációs rendszer szintű biztonság
A mobileszközökkel szembeni követelmény az ún. sandboxing technológia biztosítása operációs rendszer szintjén az alkalmazások működése során, azaz minden egyes mobilalkalmazás egy saját „homokozó”-környezetben kell fusson, ami a felhasználó kifejezett hozzájárulása nélkül egyetlen alkalmazás sem férhet hozzá más alkalmazásban tárolt adatokhoz.

b) Alkalmazásbolti garancia
Ahhoz, hogy egy alkalmazás elérhető legyen egy mobileszközön, az adott eszköz gyártója által engedélyezett alkalmazás”bolt”ban közzé kell tenni (Apple iOS: AppStore, Google Android: PlayStore). Itt az üzemeltető azonban csak előzetes üzemeltetői vizsgálat után tesz közzé bármit is, aminek során meggyőződik arról, hogy nincs az adott alkalmazásban rosszindulatú kód, és az alkalmazás megfelel az adott szolgáltató által közzé tett irányelveknek.

c) Felhasználói engedélyek
Az operációs rendszer szintű védelem következménye, hogy az alkalmazás a kifejezett felhasználói engedélyek hiányában a mobileszköz hardver komponenseihez (kamera, mikrofon, gps) sem férhet hozzá. Az alkalmazásnak meg kell jelenítenie ezeket a hozzáférési kérelmeket, és az engedélyeket a felhasználó bármikor visszavonhatja.

A DÁP-ról, valamint a szabályozási kereteket adó jogszabályok változásiaról szóló írásainkat, interjúinkat és podcastokat  itt gyűjtöttük össze, és folyamatosan frissítjük  

A DÁP alkalmazás jelenleg az alábbi engedélyeket kéri (amik bármikor visszavonhatóak):

1. Értesítések engedélyezése. Erre azért van szükség, hogy pl. a regisztráció sikerességéről az alkalmazás a felhasználót értesíteni tudja.

2. Kamera hozzáférés. Erre azért van szükség, hogy egyrészről a regisztráció során a személyi igazolványunkat le tudjuk fényképezni, másrészt azért, hogy a regisztrációt követően az ún. eAzonosítási funkció használatakor a számítógép kijelzőjén megjelenő qr-kódot le tudjuk olvasni.

3. Helyadat (gps) hozzáférés. Erre kizárólag a kormányablakban történő időpontfoglalási funkció használatához van szükség, hogy az applikáció meg tudja keresni, melyik a hozzánk legközelebb eső kormányablak.

De mi van, ha ellopják a telefonom?

1. Az adatainkhoz nem férnek hozzá, mert

a) ahhoz, hogy a DÁP applikáció engedje a regisztrációt, a telefonon be kell kapcsolni a képernyőzárat (ami lehet PIN-kód vagy biometria),

b) a DÁP applikációt is le kell zárni PIN-kóddal (és lehet biometriával is, természetesen ezt is külön kell az applikáció számára engedélyezni).

Fentiek alapján jól látható, hogy hacsak nem a bkv-n menet közben lopják el a kezünkből a telefont, úgy hogy a telefon is ÉS épp a DÁP applikáció is fel van oldva (vagyis éppen abban csinálunk valamit), akkor annak esélye, hogy hozzáférjenek a DÁP appban tárolt adatainkhoz, közelít a nullához. (Jók látható, hogy biztos védekezés, ha nyilvános helyen nem használjuk a DÁP applikációt, ha nem muszáj.)

2. Ha mégis elvesztjük, vagy ellopják a telefont, akkor

a) már minden készülék gyártója biztosít lehetőséget az eszköz távoli törlésére, amivel a DÁP applikáció is törlésre kerül

b) a DÁP regisztrációkor kapunk egy törlőkódot, amivel töröltetni tudjuk az adott eszközhöz tartozó DÁP regisztrációkat (és új regisztrációt tudunk csinálni az új eszközünkön).

Fentiek alapján a DÁP biztonságát több jogi és technológia garancia is hivatott biztosítani.

 A cikk szerzője dr. Kósa Ferenc ügyvéd, a  VI. Wolters Kluwer Jogászdíj Közönségdíjasa, a Magyar Elektronikus Aláírás Szövetség Egyesület elnöke.


Kapcsolódó cikkek

2024. december 6.

NMHH podcast: az online tér kockázatai – a gyermekek online biztonsága

Új évaddal jelentkezik decembertől az NMHH Podcast. A Nemzeti Média- és Hírközlési Hatóság (NMHH) sorozata ezúttal a gyermekek online biztonságával, valamint az ehhez kapcsolódó legfrissebb trendekkel és követendő példákkal foglalkozik. Az első adás már fel is került a hatóság közösségimédia-felületeire. a sorozat műsorvezetője pedig ezúttal is Kántor Endre, az NMHH Podcast első, a mesterséges intelligencia kihívásaival foglalkozó sorozatának házigazdája.

2024. december 5.

Új szereplők, új szerepek: jogi innovációs tanácsadó

A gazdasági szereplőkkel szemben fokozódó elvárás, hogy naprakész válaszokat adjanak a gyorsan változó környezetben az erőforrásaik optimalizálása mellett. A megoldást a rohamosan fejlődő technológiák kihasználása jelentheti, az ezek közötti eligazodásban, valamint az implementálásban nyújthat segítséget egy jogi innovációs tanácsadó.