IT-compliance mint fogyasztóvédelem?

Egyrészt megfigyelhető egy bizonyos fokú befelé fordulás, ami a határvédelem mindenhatóságát megkérdőjelezve felértékeli a belső folyamatok monitorozását. Másrészt maga a cél is kiegészült, hiszen az önvédelem többé már nem kizárólagos küldetése az informatikai biztonsági osztályoknak. A fejlettebb gazdaságokban megjelentek azok a törvényi szabályozások, amelyek főleg az állam, de a befektetők érdekeit is védve arra kényszerítik a cégeket, hogy megbízható folyamatokat működtessenek. Magyarul, bizonyos vállalatok kötelezően vállalják, hogy az általuk közölt adatok valósak, azokat sem alkalmazott, sem külső személy nem képes manipulálni.

A szabályozás alá vont vállalatok köre az USA-ban jelenleg a társadalombiztosítási és egészségügyi adatokat kezelő szervezetekre (HIPPA), a tőzsdei társaságokra (SOX) és az online kereskedelmi tranzakciókat bonyolító szervezetekre (PCI) terjed ki. Az európai szabályozás kis lemaradással követi az amerikait: a tőzsdén jegyzett vállalatok informatikai auditját előíró EU 8. direktíva (EuroSOX) már megjelent, a közösségi ajánlás szintjén pedig bizonyos auditkötelezettség a pénzügyi szervezetekre is létezik. Utóbbi törvényi implementációja alapján például a hazai szabályozást ellátó PSZÁF rendszeresen végez auditot a pénzügyi szektor tagjainál.

Van azonban még hová fejlődni, különösen a hazai jogi környezetnek. Az IT-compliance következő lépése itthon valószínűleg a bizonyos mérlegfőösszeget elérő vállalatok pénzügyi auditjának kiterjesztése lesz magára a pénzügyi adatokat szolgáltató informatikai rendszerre. Erre az elektronikus számlázás és adóbevallás miatt mindenképpen szükség lesz. Úgy tűnik azonban, hogy itt megállunk, a hazai jogalkotás célja egyelőre nem lép túl az állam érdekeinek a védelmén.

Ki törődik akkor a fogyasztóval? Mikor lehet majd egy hazai tőzsdei kisbefektető biztos abban, hogy a BÉT-en jegyzett társaságok valós pénzügyi adatokat szolgáltatnak? Mikor lehet majd biztos abban egy átlagalkalmazott, hogy valamely hosszú távú megtakarítási célú biztosítása valóban annyi hasznot hozott, amennyiről az éves egyenlegértesítője szól? Mikor lehet majd biztos egy átlagpolgár abban, hogy a közüzemi számlái a valós fogyasztása alapján lettek kiállítva? Ma már minden elektronikusan történik, a véletlen vagy szándékos hibáknak alapesetben még csak nyoma sem marad a rendszerben. A fogyasztó reklamációja esetén mit tud lobogtatni a szolgáltató? Egy - esetleg hibás adatokat tartalmazó - adatbázist.

Pedig az említett problémák megoldása is csak a kezdetét jelentené egy átfogó fogyasztóvédelmi szabályozásnak. Gondoljunk csak bele, hogy ma egy vállalatnak semmilyen retorziótól nem kell tartania, ha a hanyagul kezelt IT-biztonság miatt feltörik a hálózatát, és adatokat lopnak a rendszeréből. Pedig ott a saját titkain kívül az ügyfelek banki adataitól kezdve beszállítók üzleti titkain át egészen az alkalmazottak személyes adataiig minden megtalálható. Ezekért a vállalatoknak felelősséggel kellene tartozniuk. Mint fogyasztó elvárnám például, hogy csak olyan vállalkozás fogadhasson el bankkártyát, amely törvényi előírás szerint auditált informatikai folyamatokat működtet. De mint üzleti partner is szeretnék biztos lenni abban, hogy a rólam szóló információk nem kerülnek illetéktelen kezekbe.

Megoldás lehetne elvileg az önszabályozás. Az ISO 9000-es minőségügyi szabványcsoport elterjedése példaértékű, hiszen jogi előírások nélkül, pusztán a minősítés "reklám értéke" elegendő volt ahhoz, hogy ma már szinte kötelezőnek számítson valamilyen ISO 9xxx audit. Természetesen létezik az informatikai rendszerek biztonságára és annak auditjára vonatkozó szabványcsoport is, az ISO 27 000. Egyelőre úgy látszik azonban, hogy a fogyasztók számára ennek az üzenete nem annyira egyértelmű, mint az ISO 9000-é. A labda most a jogalkotók térfelén van, és reméljük, nem arra várnak, hogy egy szaftos botrány késztesse őket cselekvésre.