Biztonsági dokumentáció

Beszállítói biztonsági és üzemeltetési csomag.

A KészletCenter bevezetéséhez, üzemeltetéséhez és ügyféloldali biztonsági egyeztetéséhez készült összefoglaló. Célja, hogy a döntéshozók, rendszergazdák és adatvédelmi felelősök gyorsan átlássák a működési kereteket.

Hatályos: 2026. május 24.B2B / beszállítói tájékoztatóNem NIS2 tanúsítás

Cél és hatókör

Ez a dokumentum a KészletCenter szoftver biztonsági és üzemeltetési kereteit foglalja össze. Kifejezetten olyan B2B egyeztetésekhez készült, ahol az ügyfél informatikai, adatvédelmi vagy beszerzési oldalról szeretné látni, hogyan kezelhető a rendszer kontrollált módon.

A KészletCenter jellemzően helyi hálózaton futtatott, böngészőből elérhető üzemi készletkontroll rendszer. Az alapértelmezett működés nem publikus felhőszolgáltatás, nem fizetési rendszer, nem egészségügyi rendszer és nem kritikus infrastruktúra-üzemeltetési platform.

A dokumentáció célja a beszállítói bizalom támogatása. Nem minősül jogi szakvéleménynek, kiberbiztonsági tanúsítványnak, NIS2 auditjelentésnek vagy hatósági megfelelőségi igazolásnak.

NIS2 és kiberbiztonsági pozicionálás

A NIS2 irányelv és a magyar kiberbiztonsági szabályozás elsősorban meghatározott ágazatokra, szervezettípusokra és méretkategóriákra vonatkozó kötelezettségeket ír elő. A KészletCenter weboldalon bemutatott szoftver önmagában nem állítja, hogy NIS2 tanúsított vagy NIS2 auditált szolgáltatás.

A KészletCenter ugyanakkor több olyan működési elemet támogat, amely egy NIS2 vagy beszállítói biztonsági elvárásokkal rendelkező ügyfél belső kontrollrendszerébe illeszthető: szerepkörök, jogosultságok, auditnapló, mentési rend, frissítési eljárás, távoli támogatási szabályozás, helyi üzemeltetési kontroll.

Figyelembe vett főbb jogi keretek: NIS2 irányelv, 2024. évi LXIX. törvény Magyarország kiberbiztonságáról, 418/2024. (XII. 23.) Korm. rendelet, GDPR, Infotv..

Adatforrások és adatgyűjtési korlátok

A KészletCenter alapműködése nem vizsgálja át az ügyfél számítógépét, nem gyűjt adatot más programokból, nem olvas be önállóan fájlokat, e-maileket vagy külső rendszereket, és nem végez háttérben futó, rejtett adatgyűjtést.

A szoftver azokkal az adatokkal dolgozik, amelyeket az ügyfél vagy a jogosultsággal rendelkező felhasználók rögzítenek, importálnak, illetve amelyek a rendszer használata során keletkeznek, például igénylések, jóváhagyások, kiadások, készletmozgások, riportadatok és naplózott műveletek.

A rendszer rendeltetése üzemi készletkontroll és segédanyag-kezelés. Nem célja különleges személyes adatok, magánjellegű tartalmak vagy más szoftverekből származó, nem átadott adatok kezelése.

Biztonsági alapelvek

Terület	Elvárás	KészletCenter megközelítés
Hozzáférés	Csak jogosult felhasználó érje el a rendszert.	Név szerinti felhasználók, szerepkörök, adminisztrátori jogosultságok, inaktív felhasználók kezelése.
Felelősségi nyom	Legyen visszakereshető, ki mit kért, hagyott jóvá vagy adott ki.	Igénylés, jóváhagyás, kiadás, készletmozgás és fontos műveletek naplózható folyamata.
Helyi üzemeltetés	Az ügyfél kontrollálja a belső hálózatot, gépet és hozzáféréseket.	Helyi gépen vagy szerveren futtatható modell, belső hálózati eléréssel.
Mentés	Legyen rendszeres, ellenőrzött mentés és visszaállítási lehetőség.	Az adatbázis és kapcsolódó konfiguráció mentési rendje ügyféloldali üzemeltetési feladatként dokumentálható.
Távoli támogatás	Hozzáférés csak jóváhagyással, célhoz kötötten történjen.	E-mailes bejelentésből induló, egyeztetett visszahívásos és ügyfél által jóváhagyott távoli munkamenet.
Adatvédelem	Személyes és céges adatok kezelése legyen célhoz kötött.	Külön adatkezelési, távoli támogatási és licencfeltétel oldal készült.

Mentési és visszaállítási eljárás

A mentés célja, hogy hardverhiba, emberi hiba, frissítési probléma, adatbázis-sérülés vagy más üzemeltetési esemény esetén a rendszer ésszerű időn belül visszaállítható legyen.

Lépés	Javasolt gyakorlat	Megjegyzés
Mentési kör meghatározása	Adatbázis, konfiguráció, import/export fájlok, egyedi beállítások és szükséges dokumentumok azonosítása.	A pontos kör telepítésenként eltérhet.
Gyakoriság	Legalább napi mentés aktív használat mellett; nagy forgalmú környezetben gyakoribb mentés javasolt.	A mentési gyakoriság az adatvesztési kockázattól függ.
Tárolás	A mentés lehetőleg ne csak ugyanazon a gépen legyen; javasolt külön meghajtó, szerver, NAS vagy kontrollált mentési tárhely.	Az ügyfél informatikai szabályzata irányadó.
Hozzáférés	Mentésekhez csak kijelölt rendszergazda vagy felelős férjen hozzá.	A mentések gyakran tartalmazhatnak üzleti és személyes adatokat.
Visszaállítási próba	Időszakos próba vagy legalább dokumentált ellenőrzés javasolt.	A nem próbált mentés üzleti kockázat.
Frissítés előtti mentés	Verziófrissítés, tömeges import vagy adatbázis-művelet előtt külön mentés készüljön.	Ez csökkenti a visszagörgetési kockázatot.

A mentés technikai kialakítása, időzítése, őrzési ideje és visszaállítási próbája alapértelmezés szerint az ügyfél vagy az ügyfél informatikai üzemeltetőjének felelőssége, kivéve ha erről külön szolgáltatási megállapodás rendelkezik.

Frissítési és verziókezelési eljárás

A frissítés célja hibajavítás, funkcionalitás bővítése, jogszabályi vagy biztonsági változás követése, illetve ügyféligény alapján módosított működés átadása.

Frissítési igény vagy kiadási verzió azonosítása.
Ügyféloldali időpont egyeztetése, különösen aktív üzemi használat esetén.
Frissítés előtti mentés készítése vagy meglétének ellenőrzése.
Frissítés telepítése, alapfunkciók ellenőrzése, kritikus folyamatok próbája.
Esetleges hibák rögzítése és javítása.
Verzió és változás rövid dokumentálása.

Nagyobb módosításnál, importnál, integrációnál vagy kritikus ügyfélkörnyezetben tesztkörnyezet, próbaadatbázis vagy előzetes jóváhagyási folyamat javasolt.

Jogosultságkezelési leírás

A jogosultságkezelés célja, hogy minden felhasználó csak azokhoz a funkciókhoz és adatokhoz férjen hozzá, amelyek a munkájához szükségesek.

Kontroll	Ajánlott szabály	Ügyféloldali felelős
Név szerinti fiók	Lehetőleg minden felhasználó saját azonosítóval dolgozzon, ne közös belépéssel.	Ügyfél admin / rendszergazda
Szerepkörök	Raktár, jóváhagyó, vezető, admin és egyedi jogosultságok elkülönítése.	Ügyfél folyamatgazda
Adminisztrátori jog	Csak kijelölt személy kapjon admin jogosultságot.	Ügyfél vezetés / IT
Belépők és kilépők	Új munkatárs jogosultsága jóváhagyással jöjjön létre; kilépő vagy áthelyezett dolgozó hozzáférését időben módosítani kell.	Ügyfél HR / vezető / admin
Jelszó és hozzáférés	Jelszókezelési szabályokat az ügyfél belső IT politikája alapján érdemes meghatározni.	Ügyfél IT
Időszakos felülvizsgálat	Legalább negyedévente vagy szervezeti változáskor jogosultsági felülvizsgálat javasolt.	Ügyfél folyamatgazda

Távoli támogatási eljárás

A távoli támogatás e-mailes bejelentésből vagy előzetes egyeztetésből indul. A támogatás célja lehet telepítés, beállítás, rövid betanítás, frissítés, hibakeresés vagy működési tanácsadás.

Ügyfél bejelentést küld, vagy időpontot egyeztet.
A feladat célja, várható időigénye és adatérintettsége tisztázásra kerül.
Az ügyfél elindítja a jóváhagyott távoli támogatási eszközt.
A kapcsolat csak az ügyfél aktív jóváhagyásával indul.
Az ügyfél a munkamenet alatt lehetőség szerint jelen van.
A munkamenet lezárásra kerül, szükség esetén rövid összefoglaló készül.

Részletes feltételek: Távoli támogatás.

Incidenskezelési alapeljárás

Incidensnek minősülhet például jogosulatlan hozzáférés gyanúja, adatbázis-sérülés, adatvesztés, hibás frissítés, téves tömeges import, gyanús naplóbejegyzés vagy olyan technikai esemény, amely a rendszer biztonságát, rendelkezésre állását vagy adatpontosságát érintheti.

Szakasz	Teendő	Cél
Észlelés	Ügyfél vagy szolgáltató rögzíti az esemény időpontját, leírását és érintett körét.	A tények megőrzése és a helyzet tisztázása.
Elszigetelés	Szükség esetén hozzáférés korlátozása, érintett felhasználó tiltása, rendszer ideiglenes leállítása vagy hálózati elkülönítés.	Kárterjedés csökkentése.
Vizsgálat	Naplók, friss változások, importok, felhasználói műveletek, mentések és környezeti tényezők áttekintése.	Ok és hatás meghatározása.
Helyreállítás	Javítás, konfiguráció visszaállítása, mentésből történő visszaállítás vagy adattisztítás.	Üzemszerű működés visszaállítása.
Utólagos intézkedés	Tanulságok, megelőző lépések, jogosultság vagy folyamat módosítása.	Ismétlődés megelőzése.
Adatvédelmi értékelés	Személyes adat érintettsége esetén az ügyfél adatvédelmi felelőse dönt a szükséges GDPR lépésekről.	Jogszabályi kötelezettségek kezelése.

A hatósági bejelentés, érintetti tájékoztatás vagy NIS2 szerinti incidensbejelentés kötelezettségének megítélése alapértelmezés szerint az ügyfél, illetve az ügyfél kijelölt felelősének feladata.

Felelősségi mátrix

Terület	KészletCenter	Ügyfél
Szoftver funkciói	Funkciók átadása, hibajavítás, támogatás az ajánlat szerint.	Használati szabályok, folyamatgazda kijelölése, belső oktatás támogatása.
Hardver és hálózat	Ajánlott gépigény és telepítési támogatás.	Gép, szerver, hálózat, operációs rendszer, vírusvédelem, tűzfal és jogosultságok biztosítása.
Mentés	Mentési kör és javasolt eljárás ismertetése.	Mentés kialakítása, futtatása, őrzése, visszaállítási próba.
Jogosultság	Jogosultsági funkciók és támogatás.	Felhasználók létrehozása, módosítása, tiltása, felülvizsgálata.
Távoli támogatás	Egyeztetett, célhoz kötött segítségnyújtás.	Hozzáférés jóváhagyása, bizalmas ablakok bezárása, munkamenet felügyelete.
Adatvédelem	Weboldali és támogatási adatkezelési tájékoztatás.	Saját adatkezelői kötelezettségek, belső szabályzatok, érintetti jogok kezelése.

Kapcsolódó dokumentumok

A dokumentumok tájékoztató jellegűek. Nagyobb ügyfél, érzékenyebb adatkezelés, integráció vagy külön megfelelőségi követelmény esetén egyedi szerződéses, adatfeldolgozói és műszaki mellékletek készülhetnek.