2026.06.08.

DÁP eAláírás: az audit nem a projekt vége, hanem a tervezés része

A DÁP eAláírás bevezetésénél az audit nem az utolsó hétre marad - a bizonyíthatóságot, a láncmegfelelést és a felelősségi köröket már a tervezéskor kell rögzíteni.

A DÁP eAláírás bevezetésénél az egyik fő kihívás, hogy a pénzügyi szolgáltató már a tervezéskor úgy építse fel a folyamatot, hogy az később bizonyítható, dokumentálható és auditálható legyen. Szintén az elején érdemes átgondolni, hogy egyedül vagy IT beszállítóval vágjon bele a szolgáltató. Ezek voltak a FinTechZone és a Comnica legutóbbi DÁP-webinárjának egyik legfontosabb üzenetei.

A DÁP-csatlakozás kapcsán sok pénzügyi szolgáltató ma már nem nulláról indul. Az eAzonosítás, az informatikai zártsági elvárások és a kiberbiztonsági megfelelés több szervezetnél ismert terep.

A DÁP eAláírás azonban új szintet jelent:

itt már nem pusztán az ügyfél hiteles azonosításáról van szó, hanem arról, hogy az ügyfél a szolgáltató saját ügyintézési vagy szerződéskötési folyamatában, abból kilépés nélkül, a DÁP mobilalkalmazás jóváhagyásával hozzon létre minősített elektronikus aláírást.

A FinTechZone és a Comnica webinárjának panelbeszélgetésében Kayser Péter, a DÁP-hoz kapcsolódó audit- és tanúsítási folyamatok szakértője, valamint Jeney Gábor, a Comnica ügyvezető igazgatója mutatta be a DÁP eAzonosítás és a beágyazott DÁP eAláírás megfelelési kérdéseit.

A beszélgetés azt járta körbe, milyen auditokra, tanúsításokra és belső felkészülési lépésekre kell számítaniuk a pénzügyi szolgáltatóknak, milyen bevezetési forgatókönyvek látszanak, és hogyan érdemes tervezni az idővel, az erőforrásokkal és a felelősségi körökkel.

Nem ugyanaz az eAzonosítás és az eAláírás auditlogikája

Kayser Péter szerint az első fontos különbség, hogy az eAzonosításnál alapvetően kiberbiztonsági, illetve pénzügyi szervezeteknél zártsági megfelelés jelenik meg belépési feltételként. A pénzügyi szervezetek számára ez a 7/2024-es MK rendelet szerinti zártsági tanúsításban ragadható meg, amelyet a szektor szereplői jelentős részben már ismernek és rendszeresen teljesítenek.

A DÁP eAláírás viszont más logikát követ. Itt az eIDAS-alapú, ETSI-szabványokra épülő megfelelési kör is megjelenik.

A csatlakozási szabályzat alapján az érintett elektronikus információs rendszernek jelentős biztonsági osztályban legalább 95 pontos megfelelési eredményt kell elérnie. Emellett az aláírási lánc azon részeit is vizsgálni kell, amelyekben a partner rendszere, a „konnektor”-alkalmazás és a DÁP-rendszerek együttműködnek.

A pénzügyi szolgáltatók szempontjából a lényeg:

a zártsági audit vagy a kiberbiztonsági audit önmagában nem váltja ki az eIDAS/ETSI szerinti láncmegfelelés vizsgálatát. A két világ egymás mellett jelenik meg, de nem ugyanarra ad választ.

Három bevezetési út: saját fejlesztés, beszállítói fejlesztés, kész szolgáltatás

A megfelelési logika tisztázása után a következő kérdés már gyakorlati: milyen bevezetési modellben érdemes gondolkodnia egy pénzügyi szolgáltatónak? Jeney Gábor a bevezetési lehetőségeket három fő forgatókönyvre bontotta.

Az első, amikor a pénzügyi szolgáltató saját maga fejleszti le a DÁP eAláíráshoz szükséges rendszerelemeket, ügyfélfolyamatot és kapcsolódásokat. Ebben az esetben a szervezetnek nemcsak meg kell terveznie és le kell fejlesztenie a megoldást, hanem auditáltatnia, üzemeltetnie és folyamatosan karbantartania is kell.

A második lehetőség, amikor egy informatikai beszállító fejleszt le egy, a pénzügyi szolgáltató igényeire szabott megoldást. Ez csökkentheti a belső fejlesztési terhet, de a tanúsítási és üzemeltetési felelősség jelentős része továbbra is a pénzügyi szolgáltató oldalán maradhat.

A harmadik út a kész szolgáltatói megoldás. A Comnica példája ebbe a kategóriába tartozik: a szolgáltató olyan kapcsolóelemet – konnektort – biztosít, amely összekapcsolja a pénzügyi intézmény rendszereit a DÁP szolgáltatásokkal, elvégzi a szükséges aláírás előkészítő műveleteket, és a saját oldalán gondoskodik a kapcsolódó megfelelési (audit) követelmények teljesítéséről.

Jeney Gábor szerint ennek az a jelentősége, hogy egy pénzügyi szolgáltatónak nem feltétlenül kell minden elemet nulláról felépítenie.

Ugyanakkor Kayser Péter óvatosan árnyalta a képet:

egy előre elkészített, dokumentált, tesztelt és auditálásra felkészített elem sokat gyorsíthat, de önmagában nem szünteti meg az auditkötelezettséget. A saját folyamatba beépített teljes láncot továbbra is végig kell nézni.

A kulcskérdés: hol lesz az aláírási lánc kritikus pontja?

A panel egyik fontos tisztázása az SCA fogalmához kapcsolódott. A pénzügyi szektorban ez sokaknak a PSD2 szerinti erős ügyfél-hitelesítést jelenti, a DÁP eAláírásnál azonban másról van szó:

itt az SCA az aláírás-létrehozó alkalmazást (Signature Creation Application) jelöli. Ez az a szerepkör, amely az ügyfélfolyamatból érkező aláírási igényt a DÁP felé továbbítható aláírás-létrehozási kéréssé alakítja.

Ez a szerep azért lényeges, mert az ügyfél nem lép ki a pénzügyi szolgáltató folyamatából.

A banki vagy biztosítói rendszer indítja az aláírást, a jóváhagyás a DÁP alkalmazásban történik, a kapcsoló (konnektor) alkalmazás pedig kezeli az aláírási tranzakciót: például előállítja a dokumentum lenyomatát, kezeli az aláírási kérést és az aláírt dokumentum visszaadását.

Kayser Péter szerint az auditnak ezért azt kell igazolnia, hogy ez a láncrész hitelesen, változtatás nélkül, naplózhatóan és biztonságosan működik.

Azaz bizonyítható, hogy valóban az a dokumentum, azzal a tartalommal, azzal az ügyleti szándékkal és ügyféljóváhagyással került aláírásra, amelyet a pénzügyi szolgáltató folyamata indokolt.

Nem lesz bizalmi szolgáltató, de a saját láncrészt bizonyítani kell

A beszélgetés fontos megnyugtató üzenete volt, hogy a DÁP eAláírás integrálásával a csatlakozó pénzügyi szolgáltató nem válik bizalmi szolgáltatóvá.

Ez azonban nem jelenti azt, hogy a saját oldali felelőssége eltűnik. A teljes bizalmi szolgáltatási lánc több elemre bontható, és a kritikus kérdés az, hogy a pénzügyi szolgáltató folyamata hol és hogyan kapcsolódik ehhez a lánchoz.

A partneri oldalon nem a teljes szakrendszert kell ETSI szerint auditálni, hanem azt a vékony, de kulcsfontosságú metszetet, ahol az üzleti folyamatból aláírási tranzakció lesz, majd az aláírt eredmény visszakerül a partner rendszerébe.

Ezt a gyakorlatban olyan kérdésekkel kell bizonyítani, mint: honnan érkezik az aláírandó dokumentum, mikor válik véglegessé, ki indíthat aláírást, hogyan kapcsolódik az ügyleti cél az aláírási kéréshez, hova kerül vissza az aláírt dokumentum, és milyen naplózás alapján követhető vissza az esemény.

Az auditálhatóságot nem az utolsó héten kell kitalálni

A beszélgetés egyik legerősebb gyakorlati tanulsága az volt, hogy az auditálhatóság nem a projekt végén kezdődik.

Kayser Péter szerint nem az audit előtti héten kell elkezdeni a megfelelés dokumentálását. A bizonyíthatóságot, a naplózhatóságot, a felelősségi határokat és a vizsgálati kör pontos meghúzását már az architektúra és a fejlesztési folyamat tervezésekor figyelembe kell venni.

Az auditor alapvetően nem felkészítő szereplő: a kész terméket, illetve a kész láncot vizsgálja. Ezért a pénzügyi szolgáltatónak már a felkészülés során tudatosan kell kezelnie, mi tartozik a vizsgálati körbe, mely rendszerelemek érintettek, hol vannak a határpontok, és milyen bizonyítékokkal igazolható a működés.

Jeney Gábor ehhez kapcsolódva azt emelte ki, hogy a szolgáltatót vagy fejlesztőpartnert érdemes minél korábban bevonni.

A legrosszabb forgatókönyv, amikor az audit már elindult, és a beszállító „tegnapra” kap egy hosszú kérdéssort.

A külső partnerre nem utólagos adatszolgáltatóként, hanem a projektcsapat tagjaként érdemes tekinteni.

Mit tisztázzon egy pénzügyi szolgáltató holnap reggel?

A panel végén a beszélgetés gyakorlati ellenőrző listává sűríthető. Egy DÁP eAláírásra készülő pénzügyi szolgáltatónak legalább az alábbi kérdéseket érdemes feltennie:

Mely ügyfélfolyamatban akarjuk elsőként bevezetni a DÁP eAláírást, és pontosan milyen dokumentumot kell aláírni?
Hol keletkezik az aláírandó dokumentum, mikor válik véglegessé, és hogyan bizonyítjuk, hogy aláírás előtt nem módosult?
Ki vagy mi látja el az aláírás-létrehozó szerepet: saját rendszer, beszállítói fejlesztés vagy kész szolgáltatói megoldás?
Mely rendszerelemek kerülnek be a vizsgálati körbe, és hol húzódik a határ a zártsági/kiberbiztonsági megfelelés és az ETSI-alapú vizsgálat között?
Van-e házon belül elegendő szakértelem, projektvezetési kapacitás, informatikai és jogi erőforrás az önálló bevezetéshez, vagy célszerű külső megoldásra építeni?
Mikor vonjuk be a fejlesztőpartnert, az üzemeltetést, az informatikai biztonságot, a jogi és megfelelési területet, valamint az üzleti folyamatgazdát?
Képesek vagyunk-e végig bizonyítani az aláírási láncot: az ügyleti szándéktól a dokumentum lenyomatán és a DÁP-jóváhagyáson át az aláírt dokumentum visszaérkezéséig?

A DÁP eAláírás auditjának valódi tétje, hogy a pénzügyi szolgáltató, a technológiai partner és az auditor ugyanazt az aláírási láncot lássa maga előtt, nem pedig az, hogy „meglegyen a papír”.

Ha ez már a tervezéskor világos, az audit nem akadály, hanem a biztonságos és védhető bevezetés természetes része lehet.

A prezentációban is szereplő szakmai megjegyzés szerint a fenti értelmezés nem minősül jogi tanácsadásnak. A végső vizsgálati kört minden esetben a konkrét csatlakozási felépítés, a választott bevezetési modell és az érintett rendszerek alapján kell rögzíteni.

TechShow X. – Ahol a pénzügyi technológia és az üzlet találkozik

2016 óta a TechShow-család Magyarország pénzügyi szektorának meghatározó találkozópontja. Idén először a FinTechShow, PayTechShow és BankTechShow egy jubileumi eseményen egyesül.

TechShow X. — 2026. október 14-15.
Várkert Bazár, Budapest
Program és regisztráció a FinTechZone oldalán →

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

Cookie	Description
__cf_bm	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_fbp	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_ga	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	Ezt a sütit a Google Analytics telepítette. A süti feladata, hogy a weboldalt elemző riport elkészítése érdekében számolja a látogatókat, a munkameneteket, a kampány adatokat és nyomon kövesse az oldal használatát. A süti névtelenül, anonim módon tárolja az információkat és az egyedi látogatók azonosításához véletlengenerált számokat használ.
_ga_Y7GEW04PM5	This cookie is installed by Google Analytics.
_gat	Ezeket a sütiket a Google Universal Analytics telepítette annak érdekében, hogy a nagyforgalmú oldalakon az adatlekérések arányát csökkentse.
_gat_gtag_UA_68605700_2	Set by Google to distinguish users.
_gid	Ezt a sütit a Google Analytics telepítette. A süti információkat tárol arról, hogy a felhasználók hogyan használják a weboldalt, valamint segíti a weboldal működését, teljesítményét elemző riport elkészítését. A gyűjtött adatok körébe tartozik a weboldal látogatóinak száma, a forrás oldal, ahonnan a weboldalra jutottak a felhasználók és a látogatott oldalak. Az adatgyűjtésre anonim módon kerül sor.
browser_id	This cookie is used for identifying the visitor browser on re-visit to the website.
burst_uid	No description
CONSENT	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-advertisement	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-non-necessary	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
DEVICE_INFO	No description
test_cookie	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
vuid	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.
YSC	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_Y7GEW04PM5	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_68605700_2	1 minute	Set by Google to distinguish users.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Duration	Description
burst_uid	1 month	No description
DEVICE_INFO	5 months 27 days	No description

DÁP eAláírás: az audit nem a projekt vége, hanem a tervezés része

Nem ugyanaz az eAzonosítás és az eAláírás auditlogikája

Három bevezetési út: saját fejlesztés, beszállítói fejlesztés, kész szolgáltatás

A kulcskérdés: hol lesz az aláírási lánc kritikus pontja?

Nem lesz bizalmi szolgáltató, de a saját láncrészt bizonyítani kell

Az auditálhatóságot nem az utolsó héten kell kitalálni

Mit tisztázzon egy pénzügyi szolgáltató holnap reggel?

TechShow X. – Ahol a pénzügyi technológia és az üzlet találkozik

Kiemelt eseményünk

TechShow X.

Ne maradj le semmiről!

Szakmai tartalmak, események szakértőknek.

🔗 Kapcsolódó cikkek:

DÁP a gyakorlatban: 30 kérdés és válasz, amelyek nem fértek bele a webinárba

DÁP eAláírás, audit rendszertan és ügyfél-átvilágítás SASZ-szal – mire készüljön a pénzügyi szektor 2026-ban?

Új szolgáltatásokkal bővül a Digitális Állampolgárság Program (DÁP) – helyzetjelentés az IdomSofttól

Ne maradj le semmiről!