IT eszközök selejtezése pénzügyi intézményekben: MNB, DORA és GDPR elvárások

A pénzügyi intézmény IT selejtezés és adatvédelem kérdése ma már nem pusztán üzemeltetési szempont: egy leselejtezett, nem megfelelően törölt szerver vagy laptop háromféle párhuzamos kockázatot hordoz egyszerre. Felügyeleti kockázatot, ha az MNB-vizsgálat hiányos selejtezési dokumentációt talál; adatvédelmi incidens-kockázatot, ha az eszközön maradó személyes adatok illetéktelen kezekbe kerülnek; és auditkockázatot, ha a DORA szerinti ICT kockázatkezelési keretrendszer nem fed le minden eszköz-életciklus fázist. Az MNB, a DORA és a GDPR együttes elvárásrendszere ezt a területet ma már egyértelműen a compliance-kérdések közé sorolja — miközben a gyakorlatban sokhelyütt még mindig operatív IT-feladatként kezelik.

Pénzügyi intézmény IT selejtezés: miért kritikus az adatvédelem és a compliance?

A bankok, biztosítók, befektetési vállalkozások és pénzforgalmi szolgáltatók IT eszközparkja életciklusának végén adathordozókat tartalmaz, amelyeken ügyfél-azonosítási adatok, tranzakciós naplók, belső kommunikáció, kockázatkezelési dokumentumok és hitelesítési információk egyaránt megtalálhatók lehetnek. Egy nem megfelelően megsemmisített merevlemez vagy SSD-meghajtó ebből a szempontból összemérhető súlyú kockázatot hordozhat, mint egy rosszindulatú szoftver által kompromittált szerver — azzal a lényeges különbséggel, hogy a fizikai eszköz kivonásakor az incidens nem generál riasztást, nem jelenik meg a biztonsági monitoringban, és az érintettség esetenként csak hónapokkal vagy évekkel később derül fény.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvánosan elérhető határozatai jelzik, hogy a hatósági figyelem Magyarországon is kiterjedt erre a területre. Ezzel párhuzamosan a DORA 2025. januári alkalmazhatóvá válása a pénzügyi szektort az ICT kockázatkezelési elvárások szempontjából tovább szigorította — és a rendelet logikájából levezetett megfelelőségi értelmezés az eszközök selejtezési folyamatát is ebbe a keretrendszerbe helyezi.

Az MNB informatikai biztonsági elvárásai és az eszközök életciklusa

A Magyar Nemzeti Bank 1/2025. számú ajánlása az informatikai rendszer védelméről az IT biztonságot átfogóan, az eszközök teljes életciklusára kiterjedő megközelítésben tárgyalja. Az ajánlás kitér az adathordozók és IT eszközök megsemmisítésének, visszaszolgáltatásának és selejtezésének rendjére, és elvárja, hogy a pénzügyi intézmények belső szabályzataikban rögzítsék az ezzel kapcsolatos eljárásokat.

Az ajánlás szellemében az adathordozók kivonásakor alkalmazott eljárásrendnek ki kell terjednie legalább a következőkre: az érintett eszközök körének meghatározása eszköztípusonként, az alkalmazott megsemmisítési módszer rögzítése, a végrehajtás felelősi rendje, és a folyamat dokumentálásának módja. A puszta belső szabályzat önmagában nem elegendő: az MNB helyszíni vizsgálatakor a végrehajtás dokumentáltsága, a megsemmisítési tanúsítványok kezelése és a harmadik féltől igénybe vett selejtezési szolgáltatások auditálhatósága is az értékelés tárgyává válhat.

A pénzügyi intézmények belső compliance tevékenysége során ezért célszerű különválasztani az IT eszközök selejtezési folyamatát a fizikai infrastruktúra általános felváltásától: az előbbi önálló szabályozói relevanciával bíró terület, amelynek kezelése koordinációt kíván az IT üzemeltetés, az adatvédelmi tisztviselő és a kockázatkezelési funkció között.

DORA: az ICT kockázatkezelés az eszközök teljes életciklusában

A Digitális Operatív Rugalmassági Rendelet — DORA (EU 2022/2554) — 2025. január 17-től kötelező érvénnyel alkalmazandó valamennyi, az Unió pénzügyi szektor szabályozása alá eső szervezetre, beleértve a bankokat, biztosítókat, befektetési vállalkozásokat, elektronikuspénz-intézményeket és pénzforgalmi szolgáltatókat. A rendelet 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amely kiterjed az ICT-vagyonelemek — így az adathordozók — osztályozására és kezelésére. Ebből a rendszertani megközelítésből levezetett megfelelőségi értelmezés, hogy a védelem és a megelőzési intézkedések nem érhetnek véget az eszköz aktív üzemeltetési fázisával: a biztonságos kivonás és a dokumentált megsemmisítés ennek a politikának logikus és elvárható eleme.

A DORA logikája az ICT kockázatot az eszközök teljes életciklusában értelmezi: a beszerzéstől, a konfiguráción és üzemeltetésen át a kivonásig. Egy eszköz kivezetése — legyen szó laptopról, szerverről, mobileszközről, hálózati berendezésről vagy adattároló meghajtóról — ezért az intézmény ICT kockázatkezelési keretrendszerébe illeszkedő, dokumentálható folyamattá kell váljon.

Külső selejtezési partner bevonása esetén az intézménynek háromszintű minősítési kérdést kell megválaszolni. Első szint: egyáltalán ICT-szolgáltatónak minősül-e a partner (azaz technológiai jellegű adatkezelési vagy adattörlési szolgáltatást nyújt-e, nem csupán fizikai logisztikát)? Második szint: az általa érintett tevékenység kritikus vagy fontos funkciót támogat-e az intézmény működésében? Harmadik szint: fennállhat-e koncentrációs kockázat, amely a DORA szerinti kritikus ICT-harmadik fél besorolást vonja maga után? Egy alkalmi, könnyen helyettesíthető törlési partner jellemzően nem minősül kritikus ICT third-party-nak — de a minősítési döntést, az elvégzett due diligence-t és az indoklást dokumentálni kell. Ha a partner mégis ICT third-party-nak minősül, a DORA 28. cikke szerinti szerződéses minimumelvárások (kötelező záradékok, auditjog, kilépési terv, adatlokáció, alvállalkozói lánc) is alkalmazandók.

Minden esetben — függetlenül a partnerminősítéstől — az elvégzett selejtezési munkának auditálható dokumentációval és megsemmisítési tanúsítvánnyal kell zárulnia.

A GDPR korlátozott tárolhatóság elvének hatása az IT selejtezési folyamatokra

A GDPR személyes adatok kezelésére vonatkozó elvei közül a korlátozott tárolhatóság elve (5. cikk (1) bekezdés e) pont) és a törléshez való jog (17. cikk) szorosan kapcsolódik az IT eszközök selejtezésének kérdéséhez. A korlátozott tárolhatóság elve értelmében a személyes adatokat csak addig szabad megőrizni, amíg az adatkezelési célhoz szükséges. Ez az elv az adathordozók fizikai megszűnésekor is érvényesítendő: ha egy eszközön személyes adatok maradnak, az adatkezelési cél megszűnése nem szűnteti meg automatikusan az adatvédelmi felelősséget. A GDPR 5. cikk (1) f) pontja (integritás és bizalmasság elve), a 24. cikk (az adatkezelő felelőssége) és a 32. cikk (az adatbiztonság technikai-szervezési intézkedései) szintén kötelezettséget teremt arra, hogy az adatkezelés teljes életciklusában — a selejtezést is beleértve — megfelelő biztonsági intézkedések legyenek érvényben.

A pénzügyi szektorban ez a kötelezettség összetett képet mutat. A banki megőrzési kötelezettségek — jellemzően 5–10 éves időszakokra — korlátozhatják a törlési jog közvetlen érvényesíthetőségét az aktív adatkezelési időszak alatt. Azonban a megőrzési kötelezettség lejártát követően a biztonságos megsemmisítés már nem ajánlott legjobb gyakorlat, hanem jogi kötelezettség. Ennek elmulasztása nemcsak GDPR-jogsértés alapját képezheti — amelyért a NAIH akár érzékeny mértékű bírságot is kiszabhat —, de adatvédelmi incidensként is bejelentendővé válhat, ha az adatok illetéktelen kezekbe kerülnek.

A pénzügyi intézmények adatvédelmi tisztviselőinek (DPO) ezért célszerű az IT eszközök selejtezési tervét az adatkezelési nyilvántartással összevetni, és gondoskodni arról, hogy a kivont eszközökön tárolt adatok törlése az adatkezelési nyilvántartásban rögzített megőrzési idővel összhangban történjen.

Tanúsított adattörlés és fizikai megsemmisítés: mikor melyik a megfelelő megközelítés?

A pénzügyi szektorbeli eszközök körében a két alapvető megsemmisítési módszer — szoftveres adattörlés és fizikai megsemmisítés — közötti választást több tényező együttesen határozza meg.

A tanúsított szoftveres adattörlés HDD meghajtók esetén elismert és auditálható megközelítés, amennyiben széles körben hivatkozott útmutató — például a NIST SP 800-88 Rev. 1 (Guidelines for Media Sanitization) — szerint kerül elvégzésre, és az eljárás tanúsítvánnyal zárul. Ez lehetővé teszi az eszközök fizikai újrahasznosítását vagy értékesítését, miközben a megsemmisítés szabályozói szempontból igazolható.

SSD meghajtók, flash-alapú tárolóeszközök, Hardware Security Module-ok (HSM) és kriptográfiai adatokat hordozó eszközök esetén a helyzet összetettebb. Az SSD-technológia sajátosságai — különösen a wear leveling és az over-provisioning mechanizmusok — következtében a szoftveres felülírás nem garantálja, hogy minden adatblokk elérhetővé válik az eljárás számára. A NIST SP 800-88 Rev. 1 SSD esetén két elfogadható utat nevez meg: a kriptográfiai törlést (Cryptographic Erase), amely akkor érvényes, ha a tárolás teljes időtartama alatt hardveres titkosítás volt érvényes; illetve a validált eszközspecifikus sanitize eljárást, ha az gyártói tanúsítással igazolható. Ahol sem a kriptográfiai törlés, sem az eszközspecifikus sanitize nem alkalmazható megbízhatóan, pénzügyi intézményi környezetben — ahol az adatok érzékenysége és az incidens következménye magasabb az átlagosnál — a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést.

A belső szabályzatnak az eszköztípusonkénti megközelítést rögzítenie kell: laptop (HDD vs. SSD típus szerint), szerver, mobileszköz, hálózati berendezés, HSM — mindegyik esetén meghatározva az alkalmazott módszert és az elvárt dokumentációs szintet.

A selejtezési folyamat felelősségi rendje: az 1-2-3 védelmi vonal modell

Banki kontextusban a selejtezési folyamat nemcsak IT-üzemeltetési feladat, hanem a három védelmi vonal mindegyikén megjelenő kontrollterület. Az első vonal (IT operations) felelős az eljárásrend tényleges végrehajtásáért: az eszközök azonosításáért, a megfelelő törlési vagy megsemmisítési módszer alkalmazásáért, és a megsemmisítési tanúsítványok begyűjtéséért. A második vonal (IT Risk / Compliance funkció) feladata az eljárásrend megfelelőségének ellenőrzése, a DORA- és MNB-elvárásokhoz való illeszkedés értékelése, a tanúsítványok dokumentált kezelése, és a DORA 28. cikke szerinti partnerminősítési döntések fenntartása. A harmadik vonal (belső audit) kockázatalapú audit terv szerint, rendszeresen végez mintavételes ellenőrzést: visszaellenőrzi, hogy az elvégzett megsemmisítések tanúsítványai konzisztensek-e az eszköznyilvántartással (CMDB), és hogy a külső partnernél végzett audit-jog ténylegesen érvényesíthető. A vezető testület (igazgatóság / felügyelő bizottság) szintjén az ICT kockázatkezelési keretrendszer részeként a selejtezési folyamat megfelelőségéről rendszeres jelentés szükséges.

A védelmi vonal struktúra expliciten szerepeltetése a selejtezési eljárásrendben és az ICT kockázatkezelési dokumentációban elvárható egy SREP-értékelés során.

A selejtezési dokumentáció és a szabályozói felkészültség

A megfelelőség szempontjából a tényleges megsemmisítés módszere mellett annak dokumentáltsága legalább olyan súlyú kérdés. Az MNB helyszíni vizsgálatai, illetve a DORA szerinti belső ICT kockázatkezelési ellenőrzések során felkészültséget jelent, ha az intézmény rendelkezik a következőkkel:

• a selejtezési eljárásrendet rögzítő, hatályos és jóváhagyott belső szabályzat,
• az elvégzett selejtezésekről kiállított tanúsítványok, amelyek tartalmazzák a megsemmisítés módszerét, az érintett eszközök azonosítóit, az elvégzés dátumát és a felelős aláírását,
• a harmadik feles selejtezési partnerek minősítésére, szerződéses elvárásaira és teljesítményük dokumentálására vonatkozó eljárásrend,
• a DORA szerinti ICT kockázatkezelési keretrendszerbe illeszkedő eszköz-életciklus kezelési dokumentáció,
• a DORA 28. cikk szerinti partnerminősítési értékelés és annak indoklása (kritikalitás, helyettesíthetőség, koncentrációs kockázat).

A megsemmisítési tanúsítványok megőrzési idejét az intézmény iratmegőrzési szabályzatának, a Számviteli törvény (2000. évi C. törvény 169. §) szerinti bizonylati megőrzési kötelezettségnek (jellemzően 8 év), szerződéses kötelezettségeinek és jogérvényesítési szempontoknak megfelelően — jellemzően a jogi és compliance funkció koordinálásával — kell meghatározni. A konkrét megőrzési idő intézményi szinten a fenti szempontok alapján, az alkalmazandó jogszabályi keret figyelembevételével határozható meg.

Azok az intézmények, amelyek az IT eszközök selejtezését eddig kizárólag IT üzemeltetési feladatként kezelték, most indokolt mérlegelniük, hogy ez a terület illeszkedik-e a jelenlegi compliance és kockázatkezelési keretrendszerbe. Ha a megsemmisítési dokumentáció hiányos, a partnerminősítési döntés nincs rögzítve, vagy az eljárásrend nincs összhangban a DORA és az MNB 1/2025. ajánlás elvárásaival, a szükséges intézkedések köre meghatározható — és egy átfogó, auditálható folyamat kialakítható.

Ha szeretné felmérni, hogy intézménye selejtezési dokumentációja megfelel-e az aktuális MNB és DORA elvárásoknak, kérjen auditálható adattörlési folyamatértékelést: Ajánlatkérés

Gyakori kérdések

Mit takar pontosan a DORA ICT védelmi politikákra vonatkozó elvárása az eszközök selejtezése kapcsán?

A DORA (EU 2022/2554) 9. cikke az ICT védelmi és megelőzési politikák keretét rögzíti, amelybe az ICT-vagyonelemek osztályozása és kezelése is beletartozik. A rendszer logikájából levezetett megfelelőségi értelmezés szerint a védelmi intézkedéseknek ki kell terjedniük az eszközök teljes életciklusára — beleértve a kivonást és a dokumentált megsemmisítést is.

Milyen eszköztípusoknál indokolt a fizikai megsemmisítés?

SSD meghajtók, flash-alapú tárolók, Hardware Security Module-ok (HSM) és kriptográfiai kulcsokat hordozó eszközök esetén a szoftveres törlés technológiai sajátosságai miatt nem mindig garantálja az összes adatblokk elérhetőségét. Ahol az eszközspecifikus validált sanitize eljárás nem igazolható, a fizikai megsemmisítés jelenti a legkisebb kockázatú és legkönnyebben auditálható megközelítést pénzügyi intézményi környezetben.

Hogyan kapcsolódik a GDPR a pénzügyi intézményi IT selejtezési folyamathoz?

A GDPR korlátozott tárolhatóság elvének (5. cikk (1) e) pont) és a törlési jognak (17. cikk) az együttes olvasata szerint a személyes adatokat az adatkezelési cél megszűnését vagy a megőrzési kötelezettség lejártát követően biztonságosan meg kell semmisíteni. Az integritás és bizalmasság elvéből (5. cikk (1) f) pont) és az adatkezelői felelősség szabályaiból (24. és 32. cikk) levezetett elvárás, hogy a selejtezési folyamat dokumentált, ellenőrizhető és arányos biztonsági intézkedésekkel kivitelezett legyen.

Mit ellenőrizhet az MNB az informatikai biztonsági helyszíni vizsgálat során az IT selejtezés kapcsán?

Az MNB 1/2025. ajánlása alapján a vizsgálat kiterjedhet a selejtezési eljárásrendek meglétére és naprakészségére, az elvégzett megsemmisítések tanúsítványaira, a harmadik feles selejtezési szolgáltatók minősítésére és a szerződéses elvárásokra, valamint az IT eszközök életciklus-kezelési dokumentációjára.

Elfogad-e a szabályozó szoftveres adattörlést fizikai megsemmisítés helyett?

Igen, HDD meghajtók esetén, amennyiben az alkalmazott eljárás elismert szabványon — például NIST SP 800-88 Rev. 1 — alapul, és a végrehajtás auditálható tanúsítvánnyal igazolt. SSD-k és flash-alapú tárolók esetén pénzügyi intézményi környezetben sok esetben a fizikai megsemmisítés a legkisebb kockázatú és legkönnyebben auditálható megoldás, különösen ott, ahol az eszközspecifikus validált sanitize eljárás nem igazolható.

Milyen dokumentumokat érdemes előkészíteni egy MNB-vizsgálatra az IT selejtezés kapcsán?

Az intézménynek rendelkezésre kell bocsátania a selejtezési eljárásrendet rögzítő belső szabályzatot, az elvégzett megsemmisítések tanúsítványait (eszközazonosítóval, módszerrel, dátummal, aláírással), a harmadik feles partnerekkel kötött szerződések releváns részeit, valamint az ICT kockázatkezelési keretrendszer eszközök életciklusára vonatkozó fejezetét.