A cloud ERP biztonsága és megfelelőssége 2026-ban öt pillérre támaszkodik: tanúsított infrastruktúra (ISO 27001, SOC 2), GDPR-konform adatkezelés EU-hosztolással, a NIS2 és DORA irányelvek teljesítése, kockázatos műveletek DPIA-ja és az összes változás auditálható naplózása. Magyar és európai KKV-k számára ez igazolható dokumentációt, technikai intézkedéseket (2FA, titkosítás, megőrzési szabályzatok) és az ICT-szállítókkal szembeni szerződéses biztosítékokat jelent — ellenkező esetben 10 000 EUR-tól 10 millió EUR-ig vagy az árbevétel 2%-áig terjedő bírságok fenyegetnek.

A cloud ERP az elmúlt öt évben a „kockázatos alternatíva” státuszból az alapértelmezett választássá vált még a konzervatív iparágakban is, mint az építőipar, gyártás vagy egészségügy. Ezzel együtt megváltozott a szabályozási keret is — míg a 2018-as GDPR volt az „első hullám”, 2026 hozza a másodikat: NIS2, DORA, AI Act és az EDPB szigorított iránymutatásai. Ez a pillar cikk összefoglalja mindazt, amit egy KKV-nak tudnia kell, mielőtt cloud ERP rendszert választ, vezet be és üzemeltet — biztonsági és megfelelőségi szempontból.

A cikk tíz részre oszlik — a jogi kerettől a tanúsításokon, technikai intézkedéseken, auditnaplókon, szállítói átvilágításon át a valós Modulario-bevezetések gyakorlati példáiig. A végén megtalálja az indexet az egyes témáknak szentelt négy mélyebb cluster cikkel: ISO 27001 KKV-knak, NIS2 a gyakorlatban, DORA a pénzügyi szektornak és DPIA ERP/CRM-hez.

Miért vízválasztó 2026 a cloud ERP biztonsága szempontjából

Három tényező találkozik egy időablakban, alapvetően megváltoztatva a játékszabályokat:

  1. NIS2-transzpozíció. A 2023. évi LXIII. törvény (Magyarország) és más tagállami implementációk 2025/2026-tól hatályosak, és a szabályozott kört néhány tucat szervezetről ezrekre bővítik az EU-ban. Egy 50+ fős vállalat a gyártás, közlekedés, élelmiszer-elosztás, ICT-szolgáltatások vagy akár a digitális infrastruktúra szektorában nagy valószínűséggel érintett.

  2. DORA (Digital Operational Resilience Act). 2025. január 17-től hatályos. Nem csak a bankokat és a biztosítókat érinti, hanem azok ICT harmadik fél szolgáltatóit is — beleértve az ERP/CRM SaaS-szolgáltatókat, ha szabályozott szervezeteket szolgálnak ki. Ez azt jelenti, hogy az Ön ERP-szállítójának meg kell felelnie a DORA-követelményeknek, ha bankokkal vagy fintech ügyfelekkel dolgozik.

  3. EDPB-iránymutatások 2025 + AI Act. Az Európai Adatvédelmi Testület 2025-ben új iránymutatásokat adott ki az EU-n kívüli felhőtárhelyekről és a személyes adatokat feldolgozó AI-rendszerekről. Egyidejűleg az AI Act kötelezettségeket vezetett be a magas kockázatú AI-rendszerekhez (HR-pontozás, hitelpontozás), amelyek az ERP-modulok részét képezik.

Eredmény: a szabályozási nyomás 2026-ban lényegesen magasabb, mint valaha, és az ignorálás már nem életképes stratégia. Ugyanakkor a szolgáltatói ökoszisztéma is megérett — a modern, EU-natív ERP-platformok, mint a Modulario, „out of the box” nyújtják a megfelelőséget, ami sokszorosan olcsóbb, mint a saját infrastruktúra kiépítése.

Jogi keret: EU vs. CLOUD Act

A cloud ERP-kiválasztásnál a legtöbbet alábecsült téma a szolgáltató joghatósága. Ez nemcsak a szerverek fizikai helyére vonatkozik, hanem az anyavállalat székhelyére is.

CLOUD Act és Schrems II

Az amerikai CLOUD Act (2018) lehetővé teszi az USA szövetségi hatóságainak, hogy az USA-s vállalatoktól (beleértve európai leányvállalataikat) hozzáférést követeljenek az ügyféladatokhoz, függetlenül attól, hogy az adatok hol kerülnek tárolásra. Ez azt jelenti, hogy még ha az AWS Frankfurt Frankfurt kerületben tárolja az Ön adatait, az Amazon Web Services Inc. Seattleben jogilag kötelezhető lehet azok kiadására.

Az EU Bírósága ezt a Schrems II (C-311/18) ítéletben problémának ismerte el — az EU polgárainak személyes adatai számára az USA-ba való adattovábbítás esetén nem áll rendelkezésre egyenértékű védelem. Az EU-US adatvédelmi keretrendszer 2023 nyarán való megsemmisítése után a kritikus adatok egyetlen pragmatikus megoldása maradt: EU-natív, EU-kizárólagos joghatóságú szolgáltatók.

ForgatókönyvCLOUD Act kockázatGDPR-megfelelőség
US-szolgáltató + US-adatközpontMagasProblémás
US-szolgáltató + EU-adatközpont (AWS Frankfurt, Azure DE)KözepesKözepes, SCC + TIA szükséges
EU-szolgáltató + EU-adatközpontNincsTeljes
EU-szolgáltató + EU-adatközpont + ISO 27001 + DPANincsTeljes + auditálható

A Modulario az utolsó kategóriába tartozik — EU-beli vállalat, kizárólag EU-hosztolás, ISO 27001 tanúsítás, szabványosított DPA.

Miért fontos ez a magyar KKV-k számára

Sok KKV azt gondolja, hogy a CLOUD Act „nem érinti őket, mert nem bank”. A valóság azonban:

  • B2B-szerződések. A nagy ügyfelek (autóipari, energetikai, pénzügyi szektorban működő vállalatok, közigazgatás) 2026-ban megkövetelik a DPA-t, ahol a szállító kifejezetten megerősíti, hogy nem tartozik a CLOUD Act hatálya alá. Enélkül nem megy át a szállítói átvilágításon.
  • Érzékeny munkavállalói adatok. Az EU-polgárok bér-, egészségügyi és HR-adatai a legszigorúbban szabályozottak közé tartoznak. US-szolgáltatónál való tárolásuk TIA (Transfer Impact Assessment) nélkül a GDPR 44–49. cikkének megsértése.
  • Szektorspecifikus szabályozás. A közigazgatás, az egészségügy és a pénzügyi szektor 2026-ban de facto tiltja az US-felhőt az elsődleges adatokhoz.

Az EU-kizárólagos joghatóság Modulario általi kezeléséről bővebben a Biztonság oldalon és az esettanulmányokban olvashat.

ISO 27001: miért ez a mai minimális standard

Az ISO/IEC 27001 az információbiztonsági irányítási rendszer (ISMS) nemzetközi szabványa. Cloud ERP-szolgáltató számára 2026-ban ez de facto a belépési korlát — ISO 27001 nélkül a legtöbb közép- és összes nagyvállalat szállítói átvilágításán nem jutnak tovább.

Mit jelent a tanúsítás a gyakorlatban

Az ISO 27001 nem csupán papír. A tényleges audit fedezi:

  • Szabályzatokat és eljárásokat (114 kontroll az A. mellékletben): a munkavállaló belépésétől a válságkezelésen át a hardver kivonásáig.
  • Kockázatelemzést minden eszközre (szerver, adatbázis, emberi erőforrás, szállító).
  • Technikai intézkedéseket: titkosítás, hálózatszegregáció, monitoring, MFA, biztonsági mentés.
  • Szervezeti intézkedéseket: képzések, magatartási kódex, szállítómenedzsment, incidenskezelés.
  • Rendszeres auditokat: belső évente 1×, külső surveillance audit évente 1×, újratanúsítás 3 évente.

A Modulario 2024-ben szerezte meg az ISO 27001 tanúsítást, és a teljes dokumentációt aktívan karbantartja. Az audit menetének részletes leírása, hogy ez mit jelentett a csapat számára és milyen előnyökkel jár az ügyfelek számára, az ISO 27001 KKV-knak: mit jelent és mikor éri meg cluster cikkben található.

Az ISO 27001 és a SOC 2 kapcsolata

Az USA-ban a SOC 2 (Service Organization Control) dominál, az EU-ban az ISO 27001. Ezek komplementerek — a SOC 2 egy könyvvizsgáló cégtől érkező éves jelentés, amely értékeli a trust services criteria-t (biztonság, elérhetőség, bizalmasság, feldolgozás integritása, adatvédelem), míg az ISO 27001 a rendszer tanúsítványa. Az ideális szállítónak mindketteje megvan; a magyarországi KKV-k számára azonban az ISO 27001 a prioritás, mert az EU B2B átvilágításban is nemzetközileg elismert.

GDPR a cloud ERP kontextusában

A GDPR (EU 2016/679 rendelet) a cloud ERP-bevezetéseknél számos olyan sajátossággal rendelkezik, amelyeket a megszokott checklist nem fed le.

Szerepek: adatkezelő vs. adatfeldolgozó

ERP/CRM-rendszernél az Ön ügyfele az adatkezelő (controller), Ön mint ERP-szolgáltató az adatfeldolgozó (processor). Ezt a viszonyt a GDPR 28. cikke szerinti DPA-ban (adatfeldolgozási megállapodásban) kell rögzíteni, amely meghatározza:

  • a feldolgozás tárgyát, időtartamát és jellegét,
  • a személyes adatok típusait és az érintett személyek kategóriáit,
  • a feldolgozó kötelezettségeit (titoktartás, technikai intézkedések, alprocesszálók, auditok),
  • az alprocesszálók listáját (AWS, Sentry, e-mail-szolgáltató stb.) az adatkezelő kifejezett hozzájárulásával.

A Modulario minden szerződéssel szabványosított DPA-t biztosít — ügyvédnél folytatott további tárgyalás nélkül.

Megőrzési szabályzatok: mi új 2026-ban

A 2000. évi C. törvény (számviteli törvény) és egyéb adóügyi és irattározási törvények eltérő határidőket írnak elő a különböző adattípusokra:

AdatkategóriaMegőrzés (HU)Megjegyzés
Számlák, számviteli bizonylatok8 évSzámviteli törvény
Bérlapok és nyilvántartás50 évTársadalombiztosítás
Munkaszerződés, személyzeti aktá50 év megszűnéstőlLevéltári törvény
Marketing-hozzájárulásokVisszavonásig / 24 hónapGDPR + ePrivacy
Hozzáférési naplók (auditnapló)Min. 6 hónap, ajánlott 3 évNIS2 + szektorspecifikus
Biztonsági mentési pillanatképekA megőrzési szabályzat szerintKonzisztens az elsődlegesekkel

Az ERP-nek lehetővé kell tennie a megőrzési idő lejárta utáni automatikus törlést, miközben nem törli azokat az adatokat, amelyekre a jogi kötelezettség teljesítéséhez még szükség van. A Modulario ezt attribútum szintű, konfigurálható megőrzési szabályzatokon keresztül oldja meg.

Az érintett személyek kérései (DSAR)

A GDPR 15–22. cikke hozzáférési, helyesbítési, törlési, adathordozhatósági és korlátozási jogot biztosít a természetes személyeknek. Az ERP-nek lehetővé kell tennie egyetlen személyre vonatkozó összes személyes adat exportálását strukturált formátumban 30 napon belül. A Modularioban ez natív funkció, auditálható naplóval.

NIS2: a kiberbiztonsági szabályozás új hulláma

A NIS2 irányelv (EU 2022/2555) 2023. január 16-án lépett hatályba, és a tagállamoknak 2024. október 17-ig kellett azt nemzeti jogba átültetni. Magyarországon a 2023. évi LXIII. törvény valósítja meg a transzpozíciót.

Kire vonatkozik a NIS2

A NIS2 az eredeti 2016-os NIS1 irányelvet 19-ről 18 szektorra bővíti, amelyek essential és important entities kategóriákra oszlanak. KKV-k számára a kulcsváltozás:

  • A szabályozott szektorokban működő közepes vállalkozások (50–250 alkalmazott / 10–50 millió EUR árbevétel) automatikusan szabályozottak.
  • A szektorok magukban foglalják: gyártás, élelmiszer-elosztás, közlekedés, hulladékgazdálkodás, digitális infrastruktúra, ICT-szolgáltatások, közigazgatás, egészségügy, kutatás.
  • A kisebb vállalkozások mentessége szűk — ha az ellátási láncban „kritikus” szolgáltató, az nem alkalmazható.

Fő kötelezettségek

A szabályozott szervezetnek:

  1. Kiberbiztonsági kockázatokat kell kezelnie — kockázatfelmérés, intézkedések, dokumentáció.
  2. Technikai és szervezeti intézkedéseket kell bevezetnie: MFA, titkosítás, biztonsági mentés, incidensre való reagálás, BCP/DRP, ellátási lánc biztonsága.
  3. Incidenseket kell jelentenie az NBSZ-nek (Nemzeti Biztonsági Szakszolgálat, Magyarország) 24 órán belül (korai figyelmeztetés) / 72 órán belül (incidensbejelentés) / 1 hónapon belül (záró jelentés).
  4. Az ellátási láncot kell kezelnie — bizonyítani, hogy a kulcsfontosságú ICT-szállítók (beleértve a SaaS ERP-t) megfelelő intézkedésekkel rendelkeznek.

Szankciók: akár 10 millió EUR vagy a globális árbevétel 2%-a (essential entities), 7 millió EUR / 1,4% (important entities). A vezető tisztségviselők személyes felelőssége a NIS2-ben explicit.

A NIS2 részletes értelmezése KKV-k számára, beleértve a gyakorlati lépéseket, a NIS2 irányelv a gyakorlatban: kit érint és mik a vállalat kötelezettségei cluster cikkben található.

DORA: a pénzügyi szektornak és ICT-szállítóiknak

A Digital Operational Resilience Act (EU 2022/2554 rendelet) 2025. január 17-től hatályos, és közvetlenül alkalmazandó (nincs szükség transzpozícióra). Szabályozott pénzügyi szervezetekre vonatkozik — bankokra, biztosítókra, befektetési cégekre, kriptoplatformokra, fizetési intézményekre — de az ICT harmadik fél kockázatán keresztüli hatálya az ERP/CRM SaaS-szállítókra is kiterjed.

A DORA öt pillére

  1. ICT-kockázatkezelés — átfogó keretrendszer, igazgatósági szintű felelősség.
  2. Incidenskezelés — bejelentés, osztályozás, koordináció.
  3. Digitális működési rezilienciatesztelés — beleértve a nagy szervezetek threat-led penetration testing (TLPT)-jét.
  4. ICT harmadik fél kockázatkezelése — szállítói nyilvántartás, kritikus funkciók, szerződéses követelmények.
  5. Információmegosztás — önkéntes, de támogatott.

Mit jelent ez a SaaS ERP számára

Ha ERP-t bankoknak, biztosítóknak vagy fintech ügyfeleknek értékesít, szüksége van:

  • Explicit DORA-záradékokkal rendelkező szerződések megkötésére (auditigény, kilépési stratégia, al-outsourcing szabályok, adatok helye).
  • Tesztkörnyezetek biztosítására TLPT és működési rezilienciatesztekhez.
  • Üzletmenet-folytonossági terv (BCP) és katasztrófa-elhárítási terv (DRP) meghatározott RTO/RPO-val.
  • Adatok EU-beli elhelyezésének igazolására.

A pénzügyi szektoron kívüli KKV-ügyfelek számára a DORA közvetlenül nem vonatkozik, de a DORA-ready ICT-szállítók magasabb érettségi szintet kínálnak, amelyből a nem pénzügyi vállalatok is profitálnak.

A DORA-követelmények teljes ellenőrző listája a DORA a pénzügyi szektor és az ERP számára cluster cikkben található.

Auditnapló: az auditálható biztonság szíve

Auditnapló nélkül nincs GDPR-megfelelőség, NIS2-bejelentés, SOC 2/ISO 27001-audit, sem törvényszéki képesség incidens után. Az auditnapló mindannak technikai gerince.

Mit kell tartalmaznia az auditnaplónak

Cloud ERP-hez minimális terjedelem:

  • Ki — felhasználói fiók (beleértve az API-kat, technikai fiókokat).
  • Mikor — UTC-időbélyeg másodpercnyi pontossággal, ideálisan ezredmásodpercekkel.
  • Mit — konkrét rekord (entity ID, attribútum), korábbi és új érték.
  • Honnan — IP-cím, user agent, session ID.
  • Művelet — read / create / update / delete / export.
  • Eredmény — success / failure / authorization denied.

Az audtinapló legyen nem módosítható (vagy legalább append-only módosításészleléssel), titkosított és az alkalmazás adatbázisán kívül tárolva (általában csak írható naplótároló).

Modulario auditnapló

A Modulario natív auditnaplót biztosít minden modul minden változásához — a számlázástól a raktáron át a HR-ig. A naplók elérhetők a UI-n (adminisztrátoroknak) és API-n keresztül (SIEM-integrációkhoz). A megőrzés konfigurálható, alapértelmezés 12 hónap.

Gyakorlati példa: ha valaki a Pénzügy modulban megváltoztatja a számla összegét a kiállítás után, az auditnapló mindkét verziót megőrzi + a felhasználó azonosítását + az időbélyeget. ÁFA-ellenőrzésnél vagy belső auditnál teljes nyomvonalat kap.

DPIA: mikor kötelező és hogyan kell elvégezni

A DPIA (adatvédelmi hatásvizsgálat) a GDPR 35. cikke értelmében kötelező, amikor a személyes adatok feldolgozása valószínűleg magas kockázatot jelent az érintett személyek jogaira és szabadságaira nézve. ERP/CRM kontextusában ez különösen vonatkozik:

  • Munkavállalók szisztematikus megfigyelésére (olvasók, kamerarendszerek HR-modulhoz kapcsolva).
  • Érzékeny kategóriák feldolgozására (egészségügyi adatok, biometria) nagy léptékben.
  • Jogi hatással bíró automatizált döntéshozatalra (HR-pontozás, hitelpontozás).
  • Gyermekekre vagy sérülékeny csoportokra vonatkozó nagy mennyiségű adatra.
  • Technológiák innovatív alkalmazására (AI, személyek azonosítására alkalmas IoT-érzékelők).

A DPIA struktúrája

A DPIA-nak a 35. cikk (7) bekezdése szerint tartalmaznia kell:

  1. A feldolgozás szisztematikus leírását.
  2. A szükségesség és arányosság értékelését.
  3. Az érintett személyekre vonatkozó kockázatok értékelését.
  4. A kockázatok mérséklésére irányuló intézkedéseket.

ERP/CRM Modulario-bevezetéséhez DPIA-sablont biztosítunk előre meghatározott kontrollokkal és a technikai intézkedések leírásával (titkosítás, auditnapló, szerepköralapú hozzáférés, megőrzés). Az ügyfél kiegészíti a saját sajátosságaival (feldolgozási típusok, jogalap, érintett személyek).

Az ERP/CRM-bevezetés teljes DPIA-útmutatója + sablon + gyakori hibák a DPIA ERP és CRM rendszerekhez: mikor kötelező és hogyan kell elvégezni cluster cikkben található.

AI Act és az ERP-vel való metszéspontja

Az EU mesterséges intelligenciáról szóló rendelete (AI Act, 2024/1689) 2024 augusztusában lépett hatályba fokozatos bevezetéssel — egyes gyakorlatok tilalma 2025 februárjától, a magas kockázatú rendszerekre vonatkozó kötelezettségek 2026 augusztusától érvényesek. Az AI funkciókkal rendelkező cloud ERP és CRM számára ez több közvetlen hatással jár.

Az AI Act kockázati kategóriái

KategóriaPéldák az ERP/CRM-benKötelezettségek
TiltottMunkavállalói szociális pontozás HR-döntésekhez, valós idejű biometrikus azonosítás megfigyeléshezTilalom
Magas kockázatúJelöltpontozás AI-jal, ügyfél-hitelpontozás, műszakbeosztás prediktív tervezéseMegfelelőség-értékelés, regisztráció, monitoring, átláthatóság
Korlátozott kockázatChatbotok, dokumentum-összefoglalás AI-jal, hangulatelemzésÁtláthatóság (tájékoztassa a felhasználót)
Minimális kockázatSpam-szűrő, automatikus termékkategorizációNincs specifikus kötelezettség

Átfedés a GDPR DPIA-val

Az ERP-ben személyes adatokat feldolgozó magas kockázatú AI-rendszerekhez kombinált DPIA + AI megfelelőség-értékelés szükséges. Ez nemcsak az érintett személyekre vonatkozó kockázatok dokumentálását jelenti, hanem a modell technikai dokumentációját, adatkészleteit, torzítását, pontosságát és robusztusságát is.

Modulario AI-modulok

A Modulario AI-funkciói (szövegjavaslatok, dokumentum-összefoglalás, anomáliafelismerés a könyvelésben) korlátozott kockázatú kategóriára lettek tervezve — tájékoztatják a felhasználót, hogy a kimenet AI által generált, a felhasználónak mindig van override-lehetősége. Így elkerüljük a magas kockázatú rendszerek összetett szabályozását, és az ügyfélnek nem kell AI megfelelőség-értékelést végeznie.

Ha az ügyfél magas kockázatú AI use case-t igényel (HR-pontozás, automatizált hiteldöntések), dokumentációt és megfelelőség-értékelési támogatást biztosítunk, de felhívjuk a figyelmet a szabályozási követelményekre.

Szállítói átvilágítás: hogyan válasszon biztonságos szállítót

Mielőtt cloud ERP-szolgáltatóval szerződést köt, ellenőrizze legalább ezeket a pontokat:

TerületKulcskérdésElfogadható válasz
JoghatóságAz anyavállalat székhelye?EU
HosztolásHol vannak az adatközpontok?EU (DE, FR, NL, PL)
TanúsításokISO 27001 / SOC 2?Aktív ISO 27001 tanúsítás
DPAKész sablon?Igen, 2026-ra frissítve
AlprocesszálókNyilvános lista?Igen + előzetes jóváhagyás az újakhoz
AuditnaplóNatív? Megőrzés?Min. 12 hónap, nem módosítható
2FA / SSOKötelező az adminisztrátoroknak?Igen, SAML/OIDC-támogatás
TitkosításTárolásban + átvitelben?AES-256, TLS 1.3
Biztonsági mentés / DRRTO / RPO?RTO < 8 ó, RPO < 1 ó
Incidensre való reagálásSLA a bejelentésre?< 24 óra
Kilépési stratégiaAdatexport szabványos formátumban?Igen (CSV, JSON, API)
GDPR DSARNatív támogatás?Igen, < 30 nap

Tipp: Kérjen a szolgáltatótól biztonsági fehér könyvet vagy trust centert. Ha nincs, az piros jelzés.

Titkosítás, kulcsok és biztonsági zónák

A titkosítás 2026-ban már alapkövetelmény — egyetlen komoly SaaS-szolgáltató sem kínálhat kereskedelmi bevezetést titkosítás nélkül, akár tárolásban, akár átvitelben. A kérdés azonban megváltozott: ki tartja a kulcsokat és hogyan vannak kezelve?

Titkosítás tárolásban

Cloud ERP-ben három praktikus modell létezik:

  1. Szolgáltató által kezelt kulcsok (alapértelmezett). A kulcsokat a SaaS-szolgáltató kezeli, a felhasználó nem látja azok forgatását vagy tárolását. Legegyszerűbb, legkevesebb kontroll. Alkalmas a KKV-k 90%-ának.
  2. Ügyfél által kezelt kulcsok (BYOK). Az ügyfél saját kulcsokat generál a saját KMS-én keresztül (AWS KMS, Azure Key Vault, HashiCorp Vault) és azokat átadja a szolgáltatónak. Nagyobb kontroll, de összetettebb üzemeltetés. Alkalmas szabályozott szektoroknak.
  3. Saját kulcs megtartása (HYOK). Az ügyfél saját HSM-ben tárolja a kulcsokat, a szolgáltató biztonságos API-n keresztül csatlakozik kérésenként. A legnagyobb kontroll, de lényegesen lassabb és drágább. Alkalmas rendkívül érzékeny use case-ekhez.

A Modulario alapértelmezés szerint szolgáltató által kezelt AES-256 kulcsokat biztosít 90 naponkénti átlátható forgatással. Szabályozott ügyfelek számára BYOK-lehetőséget kínálunk igény esetén.

Titkosítás átvitelben

A TLS 1.3 2026-ban minimum. A TLS 1.0 és 1.1 2020 óta elavult, a TLS 1.2 csak régi kliensek esetén tolerálható. A mikroszolgáltatások közötti belső kommunikációhoz belső PKI-n keresztüli tanúsítvány-forgatással rendelkező mTLS (mutual TLS) használatos.

A Modulario belső összes service-to-service híváshoz mTLS-t, a külső API-khoz és UI-hoz TLS 1.3-t használ. A HSTS preload az összes nyilvános domain esetén aktiválva van.

Biztonsági mentések titkosítása és nem módosíthatósága

A biztonsági mentések a ransomware-támadások gyakori célpontjai — ha a támadó mind az elsődleges adatokat, mind a biztonsági mentéseket titkosítja, a helyreállítás váltságdíj nélkül lehetetlen. Modern szabvány:

  • Titkosított biztonsági mentések (az elsődleges adatokhoz hasonlóan, de gyakran eltérő kulccsal).
  • Nem módosítható tárhely (S3 Object Lock, Azure Immutable Blob) — a megőrzési időszak alatt nem törölhető és nem módosítható.
  • Air-gapped másolatok — geográfiailag és hálózatilag elkülönítve az éles rendszertől.

Modulario biztonsági mentési architektúra: napi teljes pillanatképek + óránkénti növekményes, AES-256 titkosítással, multi-regionális replikációval (DE + CZ régió), 30 napos megőrzéssel, 7 napos nem módosítható tárolással.

Azonosítás, hitelesítés és jogosultságkezelés

Három réteg, amelyeket gyakran összekevernek, de mindegyik más problémát old meg:

Hitelesítés (ki vagy)

  • Jelszó + 2FA (TOTP/WebAuthn) — minimum 2026-ra.
  • SSO SAML 2.0-n vagy OIDC-n keresztül — vállalati bevezetésekhez. A Modulario támogatja: Azure AD, Google Workspace, Okta, Keycloak, Auth0, ADFS.
  • Passkeys (WebAuthn/FIDO2) — jelszó nélküli, adathalászat-rezisztens hozzáférés. A Modulario 2025-től támogatja.
  • Hardver tokenek (YubiKey) — rendkívül érzékeny hozzáférésekhez.

Jogosultságkezelés (mit tehet)

  • Szerepköralapú hozzáférés-vezérlés (RBAC) — a felhasználónak van szerepköre, a szerepkörnek jogosultságai vannak. Standard az esetek 95%-ában.
  • Attribútumalapú hozzáférés-vezérlés (ABAC) — részletes jogosultságok attribútumok szerint (idő, helyszín, rekordtípus, érzékenységi jelölés). Fejlett.
  • Mező szintű biztonság — az entitás egyes attribútumai csak kiválasztott szerepkörök számára láthatók (pl. bérek a személyzeti aktában).

A Modulario hibrid RBAC + attribútumalapú jogosultságokat alkalmaz, mező szintű biztonsággal az érzékeny moduloknál (HR, pénzügy).

Identitás-audit

Minden hitelesítést, jogosultságkezelési döntést és jogosultságváltozást naplózni kell. NIS2/DORA-incidens esetén a szabályozó első kérdése: „kinek volt hozzáférése az érintett adatokhoz abban az időpontban?”

Biztonsági mentés, BCP és DRP: három fogalom, amely nem szinonima

Biztonsági mentés

Más helyen tárolt adatmásolat. Adatveszteség utáni helyreállításra szolgál (technikai hiba, emberi hiba, ransomware). Két metrikával definiálva:

  • RPO (Recovery Point Objective) — maximálisan elfogadható adatveszteség. Modulario alapértelmezett RPO < 1 óra (óránkénti növekményes mentések).
  • RTO (Recovery Time Objective) — maximálisan elfogadható helyreállítási idő. Modulario alapértelmezett RTO < 8 óra (általában < 2 óra).

Üzletmenet-folytonossági terv (BCP)

Terv arra, hogyan folytatja a vállalat a működést incidens közben és után. Nem csak az IT-t fedi le, hanem az embereket, a szállítókat, a kommunikációt és az alternatív folyamatokat is.

KKV számára a minimális BCP tartalmaz:

  • A kritikus folyamatok listáját és helyreállítási prioritásukat
  • A kulcsszemélyek és szállítók elérhetőségét
  • Alternatív munkavégzési helyszíneket (otthoni munkavégzés terve)
  • Kommunikációs tervet ügyfelek és szabályozók felé
  • BCP tesztelést legalább évente 1× (asztali gyakorlat)

Katasztrófa-elhárítási terv (DRP)

A BCP technikai része — hogyan állítja vissza konkrétan az IT-rendszereket. Cloud ERP-ügyfelek számára a DRP nagy részét a szolgáltató végzi el; az ügyfélnek saját DRP-re van szüksége az on-premise rendszerekhez és integrációkhoz.

A Modulario DR-tesztet évente 2× végzünk dokumentált eredményekkel, amelyeket auditok során megosztunk az ügyfelekkel.

Incidensre való reagálás és törvényszéki informatika

Elkészített folyamat nélkül nem tartja be a NIS2/DORA 24 órás, a GDPR 72 órás bejelentési határidejét, sem a belső SLA-t az ügyfél felé.

Az incidensre való reagálási folyamat struktúrája

  1. Észlelés — automatizált monitoring (SIEM, anomáliafelismerés) + kézi bejelentések (munkavállalók, ügyfelek).
  2. Triage — osztályozás (súlyosság, hatókör, kategória).
  3. Elszigetelés — a terjedés azonnali megakadályozása (kompromittált fiók elszigetelése, IP blokkolása, modul leállítása).
  4. Felszámolás — az ok eltávolítása (patch, kulcsforgatás, fiók visszaállítása).
  5. Helyreállítás — rendszerek visszaállítása és az integritás ellenőrzése.
  6. Incidens utáni felülvizsgálat — gyökérok-elemzés, tanulságok, intézkedések frissítése.

Törvényszéki képesség

Incidens után meg kell tudni válaszolni:

  • Mikor történt? (idővonal)
  • Mely adatok érintődtek? (hatókör)
  • Mi az oka? (gyökérok)
  • Hogyan lehet megelőzni a jövőben? (korrekció)

Elegendő megőrzéssel rendelkező nem módosítható auditnapló nélkül a törvényszéki elemzés lehetetlen. A Modulario auditnaplója integrált és exportálható az ügyfél SIEM-rendszereibe (Splunk, Elastic, QRadar).

Kommunikáció incidens esetén

  • Belső — felsővezetés, jogi, PR, IT, érintett csapatok.
  • Szabályozók felé — NBSZ (NIS2), NAIH (GDPR), MNB (DORA a pénzügyi szektorra).
  • Ügyfelek és érintett személyek felé — átláthatóan, időben, a szerződéses SLA és a GDPR 34. cikke szerint.

Az incidensre való reagálási forgatókönyvben elkészített kommunikációs sablon kritikus órákat takarít meg.

Gyakorlati alkalmazás: biztonság a Modularioban

Hogy ez ne maradjon elvont szinten, íme a fentiek konkrét áttekintése a Modulariobeli megvalósításban:

  • EU-natív joghatóság — EU-beli vállalat, az elsődleges adatoknál nincs US alprocesszáló.
  • ISO 27001 tanúsítás — 2024-től aktív, évente újraauditált.
  • EU-hosztolás — Frankfurt + Prága (multi-regionális HA-hoz), nem kerülnek adatok az EU-n kívülre.
  • Natív auditnapló minden modulban, 12 hónapos megőrzéssel, konfigurálható.
  • Szerepköralapú hozzáférés-vezérlés — attribútum szintű részletes jogosultságok, konfigurálható szerepkörök.
  • 2FA / SSO — TOTP, WebAuthn, SAML 2.0, OIDC.
  • Titkosítás — AES-256 tárolásban, TLS 1.3 átvitelben.
  • DPA + alprocesszálói lista — nyilvánosan elérhető, szabványosított.
  • Biztonsági mentés — napi teljes + óránkénti növekményes, 30 napos megőrzés, multi-regionális replikáció.
  • DSAR-támogatás — személyes adatok exportálása kérésre 30 napon belül UI-n keresztül.
  • GDPR-megőrzési szabályzatok — automatizált modulonként (számlák 8 év, HR típus szerint, marketing 24 hónap).

A meg nem felelés költségei: miért éri meg a befektetés

A biztonsági és megfelelőségi beruházások első pillantásra tiszta költségnek tűnnek. A valós számítás azonban megmutatja, hogy a meg nem felelés 3–10×-szer drágább, mint a megfelelés. Íme egy modellpélda egy közepes méretű, 80 alkalmazottat foglalkoztató, 12 millió EUR forgalmú magyar vállalatra:

TételMegfelelőségi forgatókönyvMeg nem felelőségi forgatókönyv
ISO 27001 megvalósítás + audit15 000 EUR / első év0 EUR
GDPR folyamat + DPA5 000 EUR / év0 EUR
ISO surveillance audit3 000 EUR / év0 EUR
Kiberfedezet8 000 EUR / év16 000 EUR / év (magasabb díj)
Munkavállalói képzés2 000 EUR / év0 EUR
Megfelelőség összesen33 000 EUR / év16 000 EUR / év
GDPR-bírság kockázata (5% valószínűség)0 EUR25 000 EUR (átlagos bírság × valószínűség)
NIS2-bírság kockázata (3%)0 EUR30 000 EUR (várható érték)
Ransomware kockázata (12%)5 000 EUR (biztonsági mentésből való helyreállítás)60 000 EUR (állásidő + váltságdíj + hírnév)
Elveszett pályázatok (ISO/DPA-t igénylő)0 EUR100 000 EUR / év (modell: 3 elveszett pályázat)
Kockázattal súlyozott összesen38 000 EUR / év231 000 EUR / év

6:1 arány a megfelelőség javára — és ez még nem számítja a nem mérhető előnyöket, mint a hírnév, az ügyfelek bizalma, a befektetőszerző képesség.

A Modulario ebben a modellben további megtakarítást biztosít — mivel ISO 27001 tanúsított platformot kínálunk auditnaplóval, EU-hosztolással és szabványosított DPA-val, az ügyfélnek nem kell saját infrastruktúrát kiépítenie, és évi 8–15 000 EUR-t takarít meg a technikai rétegen.

Cluster index: mélyebben az egyes témákban

Ez a pillar cikk széles témakört fed le. Ha valamelyik terület részletesebben érdekli, tekintse meg ezeket a cluster cikkeket:

Összefoglalás és ajánlások

A cloud ERP biztonsága és megfelelőssége 2026-ban nem „nice-to-have” — ez a létezés előfeltétele. A nyomás minden irányból érkezik: szabályozók (NIS2, DORA, GDPR), B2B ügyfelek (szállítói átvilágítás), biztosítók (kiberfedezet bizonyítékokat igényel), bankok (DORA harmadik fél kockázatán keresztül).

Magyar KKV-k számára három pragmatikus út létezik:

  1. Saját fejlesztés: saját IT-csapat, on-premise / privát felhő, saját tanúsítás. Költség: évente százezer EUR. Csak 200+ fős, érzékeny adatokkal rendelkező nagyvállalatoknak alkalmas.
  2. Non-EU SaaS vásárlása: olcsó, gyors, de CLOUD Act kockázattal és problémás GDPR-megfeleléssel. Csak nem kritikus use case-ekhez alkalmas.
  3. EU-natív SaaS vásárlása ISO 27001-gyel: a legésszerűbb választás a KKV-k 95%-a számára. „Out of the box” megfelelőség, kiszámítható költségek, EU-kizárólagos joghatóság.

A Modulario a harmadik kategóriába tartozik. Ha érdekli, hogyan érhetné el konkrétan a GDPR + NIS2-ready állapotot 6–8 hét alatt 6–12 hónap helyett, tekintse meg biztonsági intézkedéseinket vagy lépjen kapcsolatba velünk ingyenes konzultáció keretében.

Gyakran ismételt kérdések

Minden KKV-nak szüksége van ISO 27001-re? Nem, az ISO 27001 általánosan nem kötelező. Azonban de facto kötelezővé válik nagy B2B ügyfelekkel (autóipar, bankok, közigazgatás) való üzleteléskor és NIS2 által szabályozott szektorokban az intézkedések megfelelőségének igazolásakor. KKV-k számára gyakran hatékonyabb olyan ERP/SaaS-szolgáltatót választani, amely már rendelkezik ISO 27001-gyel, mint belső megoldást kiépíteni.

Mi a különbség a NIS2 és a DORA között? A NIS2 egy horizontális irányelv az EU 18 szektorának kiberbiztonságára (gyártás, közlekedés, energetika, egészségügy, ICT…). A DORA csak a pénzügyi szektorra vonatkozó ágazati rendelet, de a gyakorlatban szigorúbb és közvetlen hatással van az ICT-szállítókra. Egyes szervezetek mindkét hatály alá esnek — egy bank egyaránt NIS2 essential entity és DORA financial entity, ahol a DORA élvez elsőbbséget (lex specialis).

Elegendő az EU-ban hosztolt cloud ERP a GDPR teljesítéséhez? Az EU-ban való hosztolás szükséges, de nem elégséges feltétel. Ezen felül szüksége van: DPA-ra a szolgáltatóval (GDPR 28. cikk), az alprocesszálók listájára, megőrzési szabályzatokra, auditnaplóra, DSAR-támogatásra, technikai intézkedésekre (titkosítás, 2FA, RBAC) és folyamati intézkedésekre (incidensre való reagálás, szállítómenedzsment). Ideálisan a szolgáltató ISO 27001 tanúsítványa mint megfelelőség bizonyítéka.

Mikor szükséges DPIA egy új ERP-modul bevezetésekor? Mindig, amikor az új modul magas kockázatot jelent: érzékeny kategóriák nagy léptékű feldolgozása, munkavállalók szisztematikus megfigyelése, automatizált döntéshozatal vagy innovatív technológiák (AI-pontozás, biometria). Standard könyvelési vagy raktármodulhoz általában nem szükséges DPIA, de a kockázatelemzés dokumentálása javasolt. Részletes útmutató a DPIA cluster cikkben található.

Mik a maximális bírságok 2026-ban? GDPR: 20 millió EUR vagy a globális éves forgalom 4%-a (a magasabb érték). NIS2: 10 millió EUR vagy az árbevétel 2%-a (essential), 7 millió EUR vagy 1,4% (important). DORA: a jogsértés fennállásának ideje alatt napi árbevétel legfeljebb 1%-a (legfeljebb 6 hónapig). AI Act: 35 millió EUR vagy forgalom 7%-a tiltott gyakorlatok esetén. A NIS2 és a DORA értelmében a vezető tisztségviselők személyes felelőssége is fennáll.