THÔNG TƯ

QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN CHO VIỆC CUNG CẤP DỊCH VỤ NGÂN HÀNG TRỰC TUYẾN

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005;

Căn cứ Luật an toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định 64/2001/NĐ-CP ngày 20 tháng 9 năm 2001 của Chính phủ về hoạt động thanh toán qua các tổ chức cung ứng dịch vụ thanh toán;

Căn cứ Nghị định số 26/2007/NĐ-CP ngày 25 tháng 2 năm 2007 của Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;

Căn cứ Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dung tiền mặt;

Căn cứ Nghị định số 156/2013/NĐ-CP ngày 11 tháng 11 năm 2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến như sau:

Chương I.

QUY ĐỊNH CHUNG

·         Phạm vi điều chỉnh và đối tượng áp dụng

·         Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến.

·         Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán cung cấp dịch vụ ngân hàng trực tuyến (sau đây gọi chung là đơn vị) tại Việt Nam.

·         Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

·         Dịch vụ ngân hàng trực tuyến là các dịch vụ do các đơn vị cung cấp cho phép khách hàng tự thực hiện giao dịch mà không cần có mặt trực tiếp tại quầy bằng việc sử dụng các thiết bị điện tử thông qua mạng Internet, dịch vụ viễn thông. Các dịch vụ ngân hàng trực tuyến gồm:

a) Tra cứu thông tin về đơn vị cung cấp dịch vụ và các dịch vụ của đơn vị.

b) Tra cứu thông tin khách hàng, tài khoản, truy vấn số dư và các thông tin khác của khách hàng.

c) Thực hiện các giao dịch tài chính trực tuyến như: dịch vụ về tài khoản, chuyển khoản, cấp tín dụng, thanh toán qua tài khoản.

d) Các dịch vụ khác theo quy định của Ngân hàng Nhà nước.

·         Hệ thống công nghệ thông tin ngân hàng trực tuyến là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ ngân hàng trực tuyến.

·         Khách hàng là các tổ chức, cá nhân sử dụng dịch vụ ngân hàng trực tuyến.

·         Mã khóa bí mật dùng một lần (One Time Password - OTP) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định.

·         Xác thực hai yếu tố là phương pháp xác thực yêu cầu hai yếu tố khác nhau và phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết cùng với những gì mà người dùng có.

·         Tài khoản đặc quyền là tài khoản truy cập vào hệ thống công nghệ thông tin nhằm thực hiện các công việc đặc biệt hoặc truy cập vào dữ liệu nhạy cảm. Tài khoản đặc quyền thường sử dụng cho việc cấu hình thiết bị, quản trị hệ thống, quản trị hệ điều hành, quản trị cơ sở dữ liệu hay quản trị ứng dụng nghiệp vụ.

·         Mã hóa điểm đầu đến điểm cuối (end to end encryption) là cơ chế mã hoá thông tin ở điểm đầu trước khi gửi đi và chỉ được giải mã sau khi nhận được tại điểm cuối trong quá trình trao đổi thông tin giữa các ứng dụng, các thiết bị trong hệ thống nhằm hạn chế rủi ro bị lộ, lọt thông tin trên đường truyền.

·         Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến

·         Hệ thống cung cấp dịch vụ ngân hàng trực tuyến được xếp hạng là hệ thống công nghệ thông tin quan trọng và tuân thủ theo quy định của Ngân hàng Nhà nước về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng.

·         Đảm bảo bí mật thông tin khách hàng; tính toàn vẹn dữ liệu giao dịch khách hàng và mọi giao dịch khách hàng phải được xác thực tối thiểu hai yếu tố.

·         Đảm bảo tính sẵn sàng của hệ thống công nghệ thông tin cho việc đảm bảo cung cấp dịch vụ ngân hàng trực tuyến một cách liên tục.

·         Bố trí nhân lực thực hiện việc quản trị, giám sát, vận hành hệ thống công nghệ thông tin và hỗ trợ khách hàng trong quá trình cung cấp dịch vụ ngân hàng trực tuyến.

·         Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống công nghệ thông tin ngân hàng trực tuyến theo định kỳ hàng năm.

·         Xác định rủi ro, có biện pháp phòng ngừa, xử lý rủi ro trong cung cấp dịch vụ ngân hàng trực tuyến.

·         Cơ sở dữ liệu của hệ thống công nghệ thông tin ngân hàng trực tuyến không được đặt trên điện toán đám mây công cộng.

·         Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin ngân hàng trực tuyến phải có bản quyền, nguồn gốc, xuất xứ rõ ràng; trường hợp không còn hỗ trợ của nhà sản xuất, không có khả năng nâng cấp để cài đặt phần mềm phiên bản mới đơn vị phải có kế hoạch nâng cấp, thay thế kịp thời.

Chương II.

CÁC QUY ĐỊNH CỤ THỂ

Mục 1. HỆ THỐNG HẠ TẦNG KỸ THUẬT CÔNG NGHỆ THÔNG TIN

·         Hệ thống mạng, truyền thông

·         Chia tách hệ thống mạng thành các phân vùng, tối thiểu gồm: phân vùng kết nối với Internet, phân vùng DMZ (Demilitarized Zone), phân vùng kết nối nội bộ, phân vùng máy chủ (server farm).

·         Trang bị các giải pháp an ninh, bảo mật cho hệ thống công nghệ thông tin ngân hàng trực tuyến, tối thiểu gồm: thiết bị tường lửa (Firewall); phòng chống vi rút; phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ lớp ứng dụng (Application Firewall) và phòng chống tấn công xâm nhập (IDS/IPS).

·         Dữ liệu nhạy cảm không được lưu trữ tại phân vùng kết nối với Internet, phân vùng DMZ.

·         Kết nối từ bên ngoài vào hệ thống công nghệ thông tin ngân hàng trực tuyến phải thông qua phân vùng DMZ để kiểm soát an ninh, bảo mật. Kết nối giữa hệ thống công nghệ thông tin ngân hàng trực tuyến và các hệ thống công nghệ thông tin khác của đơn vị phải được kiểm soát bằng giải pháp tường lửa.

·         Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống công nghệ thông tin ngân hàng trực tuyến.

·         Kiểm tra chính sách an ninh bảo mật; quyền truy cập; các kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào mạng hệ thống mạng tối thiểu 3 tháng một lần.

·         Không cho phép kết nối từ mạng không dây nội bộ đến môi trường vận hành ngân hàng trực tuyến.

·         Hạn chế kết nối từ xa để thực hiện công tác quản trị hệ thống. Trường hợp bắt buộc phải kết nối từ xa, đơn vị phải sử dụng giao thức truyền thông được mã hóa và không lưu các mã khóa bí mật trong các phần mềm tiện ích.

·         Kết nối vào hệ thống mạng nội bộ thông qua mạng Internet để thực hiện công tác quản lý từ xa phải được tuân thủ các quy tắc sau:

a) Phải được sự chấp thuận của người có thẩm quyền trên cơ sở hồ sơ yêu cầu kết nối.

b) Phải sử dụng giao thức truyền thông được mã hóa.

c) Thiết bị kết nối phải được cài đặt các phần mềm đảm bảo an ninh bảo mật.

d) Phải sử dụng biện pháp xác thực hai yếu tố khi đăng nhập hệ thống.

đ) Giám sát và lưu giữ hồ sơ kết nối.

·         Hệ thống máy chủ và phần mềm hệ thống

·         Các máy chủ và các thiết bị đi kèm của hệ thống công nghệ thông tin ngân hàng trực tuyến phải đảm bảo đủ công suất, hiệu năng, tốc độ xử lý truy xuất đáp ứng yêu cầu của khách hàng sử dụng dịch vụ.

·         Yêu cầu đối với máy chủ

a) Hiệu năng sử dụng trung bình hàng tháng tối đa 80% công suất thiết kế.

b) Có tính năng sẵn sàng cao: mỗi hệ thống máy chủ ứng dụng, cơ sở dữ liệu phải có tối thiểu một máy chủ dự phòng tại chỗ.

c) Lắp đặt tại địa điểm được bảo vệ an toàn, phải có người trực bảo vệ 24/7.

d) Tách biệt lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác và máy chủ cơ sở dữ liệu phải đặt trong phân vùng máy chủ của hệ thống mạng.

·         Yêu cầu đối với phần mềm hệ thống

a) Kiểm tra, cập nhật các phiên bản vá lỗi kịp thời theo khuyến cáo của nhà sản xuất và tối thiểu sáu tháng một lần.

b) Lập danh mục các phần mềm được phép cài đặt trên máy chủ và định kỳ tối thiểu ba tháng một lần cập nhật, kiểm tra, đảm bảo tuân thủ danh mục này.

·         Hệ quản trị cơ sở dữ liệu

·         Hệ quản trị cơ sở dữ liệu phải đáp ứng được yêu cầu hoạt động ổn định; xử lý, lưu trữ được khối lượng dữ liệu lớn theo yêu cầu nghiệp vụ; có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu.

·         Rà soát, cập nhật các bản vá, các bản sửa lỗi hệ quản trị cơ sở dữ liệu tối thiểu sáu tháng một lần hoặc ngay sau khi có khuyến cáo của nhà cung cấp.

·         Sao lưu dự phòng đối với cơ sở dữ liệu, bản dữ liệu sao lưu phải được cập nhật không quá một giờ so với dữ liệu chính thức và phải cất trữ, quản lý an toàn.

·         Có biện pháp giám sát, ghi nhật ký truy cập cơ sở dữ liệu và các thao tác khi truy cập cơ sở dữ liệu.

·         Phần mềm ứng dụng

·         Các yêu cầu an toàn, bảo mật của nghiệp vụ phải được xác định trước và tổ chức, triển khai trong quá trình phát triển phần mềm: phân tích, thiết kế, kiểm thử,  vận hành chính thức và bảo trì. Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa và lưu trữ, sử dụng theo chế độ “Mật”.

·         Kiểm soát chương trình nguồn

a) Kiểm tra mã nguồn, nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật (back-door).

b) Chỉ định cụ thể các cá nhân quản lý chương trình nguồn của hệ thống ứng dụng ngân hàng trực tuyến.

c) Việc truy cập tới chương trình nguồn phải được sự phê chuẩn của cấp có thẩm quyền và được theo dõi, ghi nhật ký.

d) Chương trình nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt.

đ) Đơn vị phải yêu cầu bên cung cấp ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng mua ngoài đối với trường hợp không được bàn giao chương trình nguồn.

·         Kiểm tra thử nghiệm phần mềm ứng dụng

a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm cho các ứng dụng ngân hàng trực tuyến, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng.

b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào.

c) Đánh giá, rò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng chống các kiểu tấn công: Injection (SQL, Xpath, LDAP…), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Brute-Force.

d) Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm.

đ) Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt (ứng dụng web) và phiên bản phần mềm hệ thống của thiết bị di động (ứng dụng mobile); có cơ chế kiểm tra, thông báo cho người dùng chạy ứng dụng trên các trình duyệt, phiên bản phần mềm hệ thống đã được kiểm tra và thử nghiệm an toàn.

e) Việc sử dụng dữ liệu cho quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.

·         Trước khi triển khai phần mềm ứng dụng mới, phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

·         Quản lý và nâng cấp phiên bản phần mềm ứng dụng

a) Phân tích đánh giá ảnh hưởng của việc thay đổi đối với hệ thống hiện tại và các hệ thống có liên quan khác của đơn vị cho mỗi yêu cầu thay đổi phần mềm.

b) Các phiên bản phần mềm bao gồm cả chương trình nguồn cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên trong việc thao tác với các tập tin.

c) Thông tin về các phiên bản, thời gian cập nhật, người cập nhật các phiên bản phải được lưu lại.

d) Mỗi phiên bản được nâng cấp phải được kiểm tra thử nghiệm các tính năng an toàn, bảo mật, mức độ rủi ro và tính ổn định trước khi triển khai chính thức.

đ) Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được cấp có thẩm quyền phê duyệt.

e) Các phiên bản phần mềm sau khi thử nghiệm thành công phải được quản lý chặt chẽ; tránh bị sửa đổi bất hợp pháp và sẵn sàng cho việc triển khai.

g) Có các chỉ dẫn rõ ràng về nội dung thay đổi, hướng dẫn cập nhật phần mềm, các thông tin liên quan khác và phải được thông qua cấp có thẩm quyền phê duyệt trước khi triển khai phiên bản mới cho khách hàng.

·         Các tín năng bắt buộc của phần mềm ứng dụng

a) Dữ liệu nhạy cảm khi truyền trên môi trường mạng Internet được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối.

b) Đảm bảo tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi bất hợp pháp phải được phát hiện trong quá trình xử lý giao dịch, lưu trữ dữ liệu.

c) Có cơ chế kiểm soát phiên giao dịch và thời gian truy cập website, ứng dụng. Trường hợp người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định nhưng không quá năm phút, hệ thống tự động ngắt phiên giao dịch hoặc áp dụng các biện pháp bảo vệ khác.

d) Có chức năng che giấu (mask) đối với việc hiển thị các mã khóa bí mật.

·         Phần mềm trên thiết bị di động

Phần mềm ngân hàng trực tuyến trên thiết bị di động phải đảm bảo tuân thủ các quy định tại Điều 7 Thông tư này và các yêu cầu sau:

·         Chương trình nguồn phải được mã hóa và không có khả năng dịch ngược.

·         Phần mềm phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động.

·         Khi truy cập phần mềm phải được xác thực. Trường hợp xác thực sai năm lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng tiếp tục sử dụng.

·         Phần mềm phải mã hóa toàn bộ dữ liệu truyền nhận với máy chủ ứng dụng ngân hàng trực tuyến theo phương thức mã hóa dữ liệu điểm đầu đến điểm cuối.

·         Có biện pháp ngăn chặn phần mềm ứng dụng khác xâm nhập tới vùng bộ nhớ đệm được hệ điều hành thiết bị di động cấp cho phần mềm ứng dụng ngân hàng trực tuyến.

·         Hệ thống quản trị, giám sát, theo dõi hoạt động của hệ thống

·         Có hệ thống giám sát, theo dõi hoạt động của hệ thống công nghệ thông tin ngân hàng trực tuyến.

·         Có phần mềm theo dõi, cảnh báo các giao dịch đáng ngờ, bất thường.

·         Có phòng điều khiển để thực hiện việc quản trị, giám sát, theo dõi hoạt động của hệ thống công nghệ thông tin ngân hàng trực tuyến đáp ứng yêu cầu sau:

a) Phải độc lập với môi trường lắp đặt hệ thống, có thiết bị kiểm soát vào/ra.

b) Nhân sự vào/ra, làm việc trong phòng phải được sự chấp thuận của người có thẩm quyền.

c) Truy cập hệ thống để thực hiện công tác quản trị, vận hành và bảo trì phải được thực hiện thông qua các thiết bị trong phòng điều khiển. Trường hợp cần truy cập từ xa hoặc trực tiếp trên thiết bị phải có sự phê duyệt của người có thẩm quyền.

d) Truy cập từ bên ngoài vào các thiết bị bên trong phòng điều khiển phải áp dụng các biện pháp xác thực hai yếu tố.

Mục 2. XÁC THỰC GIAO DỊCH TRONG DỊCH VỤ NGÂN HÀNG TRỰC TUYẾN

·         Xác thực khách hàng truy cập dịch vụ ngân hàng trực tuyến

·         Việc truy cập vào tài khoản người dùng phải được xác thực tối thiểu bằng tên đăng nhập và mã khóa bí mật đáp ứng các yêu cầu sau:

a) Tên đăng nhập phải có độ dài tối thiểu sáu ký tự; không được sử dụng toàn bộ ký tự trùng nhau hoặc liên tục theo thứ tự trong bảng chữ cái, chữ số; không được trùng với số chứng minh nhân dân, số căn cước công dân, số hộ chiếu, số điện thoại di động, địa chỉ email, số tài khoản thanh toán và số thẻ tín dụng.

b) Mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt; không được trùng với tên đăng nhập; không được tạo thành từ chuỗi ký tự trùng nhau hoặc liên tục theo thứ tự trong bảng chữ cái, chữ số; không được trùng với ba lần thay đổi gần nhất trước đó. Thời gian hiệu lực của mã khóa bí mật tối đa sáu tháng.

·         Bắt buộc khách hàng phải thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp khách hàng nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định, nhưng không được quá năm lần.

·         Phân loại giao dịch theo hạn mức thanh toán

·         Giao dịch loại A: các giao dịch thanh toán có số tiền dưới 5.000.000 (năm triệu) đồng và tổng số tiền thanh toán trong ngày dưới 20.000.000 (hai mươi triệu) đồng.

·         Giao dịch loại B: các giao dịch thanh toán có số tiền từ 5.000.000 (năm triệu) đồng đến dưới 50.000.000 (năm mươi triệu) đồng và tổng số tiền thanh toán trong ngày dưới 200.000.000 (hai trăm triệu) đồng.

·         Giao dịch loại C: các giao dịch thanh toán có số tiền từ 50.000.000 (năm mươi triệu) đồng đến dưới 200.000.000 (hai trăm triệu) đồng và tổng số tiền thanh toán trong ngày dưới 500.000.000 (năm trăm triệu) đồng.

·         Giao dịch loại D:

a) Các giao dịch thanh toán có số tiền từ 200.000.000 (hai trăm triệu) đồng trở lên.

b) Các giao dịch khác không được nêu trong Điều này.

·         Yêu cầu xác thực theo loại giao dịch

·         Giao dịch loại A: tối thiểu áp dụng một trong các giải pháp xác thực sau:

a) Sử dụng OTP được tạo từ ma trận lưới ngẫu nhiên.

b) Sử dụng SMS OTP.

·         Giao dịch loại B: tối thiểu áp dụng một trong các giải pháp xác thực sau:

a) Sử dụng OTP được tạo từ thiết bị (token).

b) Sử dụng OTP được tạo từ phần mềm cài trên thiết bị di động.

·         Giao dịch loại C: tối thiểu áp dụng một trong các giải pháp xác thực sau:

a) Sử dụng OTP có chức năng ký giao dịch được tạo bởi thiết bị (token) hoặc phần mềm (cài trên thiết bị di động) từ mã giao dịch do hệ thống ứng dụng ngân hàng trực tuyến thông báo.

b) Sử dụng giải pháp xác thực hai chiều: hệ thống gửi thông tin về giao dịch đến thiết bị di động của khách hàng để khách hàng xác nhận thực hiện hoặc không thực hiện giao dịch.

·         Giao dịch loại D: tối thiểu áp dụng một trong các giải pháp sau:

a) Chữ ký số.

b) Dấu hiệu nhận dạng sinh trắc học của khách hàng: khuôn mặt, ánh mắt, giọng nói, mạch máu.

c) Các giải pháp xác thực khác có tiêu chuẩn, tính năng bảo mật tương đương hoặc cao hơn và phải được sự chấp thuận của Ngân hàng Nhà nước.

·         Yêu cầu đối với các biện pháp xác thực giao dịch

·         Xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử

a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng bảo mật.

b) Thời gian có hiệu lực tối đa của một OTP không quá 3 phút.

·         Xác thực bằng OTP tạo ra bởi phần mềm trên thiết bị di động

a) Chỉ rõ đường dẫn trên website của đơn vị để khách hàng tải (download) phần mềm. Trường hợp đường dẫn trên website, kho ứng dụng của bên thứ ba thì đơn vị phải yêu cầu bên thứ ba ký cam kết bảo mật, có biện pháp chống giả mạo ứng dụng của đơn vị.

b) Trực tiếp cung cấp mã khóa bí mật để kích hoạt phần mềm tạo OTP cho khách hàng tại quầy giao dịch và có giải pháp đảm bảo phần mềm chỉ có thể được sử dụng trên thiết bị của khách hàng đã đăng ký với đơn vị.

c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai ba lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng tiếp tục sử dụng.

d) Thời gian có hiệu lực tối đa của một OTP được tạo bởi phần mềm không quá 2 phút.

·         Xác thực bằng OTP trên thiết bị tạo khóa (OTP token)

a) Thời gian có hiệu lực tối đa của một OTP không quá 2 phút.

b) Thiết bị tạo OTP phải được kiểm soát truy cập.

·         Xác thực bằng chữ ký số: giải pháp sử dụng chữ ký số để xác thực khách hàng phải là giải pháp được Cơ quan có thẩm quyền tại Việt Nam cấp phép hoặc chấp thuận.

·         Xác thực bằng dấu hiệu nhận dạng sinh trắc học: dấu hiệu nhận dạng sinh trắc học phải là dấu hiệu duy nhất gắn với mỗi khách hàng và không thể giả mạo.

Mục 3. QUẢN LÝ VẬN HÀNH

·         Quản lý nhân sự quản trị, vận hành hệ thống ngân hàng trực tuyến

·         Có nhân sự giám sát, theo dõi hoạt động của hệ thống, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng và nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao dịch đáng ngờ, bất thường.

·         Rà soát, kiểm tra các tài khoản truy cập, quyền truy cập của nhân sự vận hành tối thiểu mỗi tháng một lần và loại bỏ ngay các quyền truy cập không phù hợp với nhiệm vụ được phân công.

·         Nhân sự quản trị, giám sát và vận hành hệ thống công nghệ thông tin ngân hàng trực tuyến phải tham gia các khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.

·         Quản lý hoạt động của môi trường vận hành ngân hàng trực tuyến

·         Không cài đặt, lưu trữ phần mềm phát triển ứng dụng, mã nguồn ứng dụng trên môi trường vận hành.

·         Các máy tính của nhân sự hỗ trợ vận hành phải được đặt trong vùng mạng kết nối nội bộ, được cài đặt phần mềm phòng chống vi rút và phải thiết lập chính sách tự động khóa màn hình sau một khoảng thời gian không sử dụng do đơn vị quy định, nhưng không quá 5 phút.

·         Thiết lập chính sách cấm truy cập Internet đối với các máy tính nội bộ trong môi trường vận hành.

·         Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật

·         Có biện pháp phòng chống, tự động dò tìm, phát hiện các thay đổi của website, ứng dụng ngân hàng trực tuyến.

·         Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống công nghệ thông tin ngân hàng trực tuyến.

·         Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.

·         Thực hiện dò quét lỗ hổng, điểm yếu về mặt kỹ thuật; đánh giá rủi ro và áp dụng biện pháp xử lý; lập báo cáo kết quả đánh giá, xử lý.

·         Rà soát, kiểm tra việc cập nhật các bản vá lỗi của phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng tối thiểu sáu tháng một lần.

·         Đánh giá an ninh bảo mật đối với hệ thống công nghệ công nghệ thông tin  ngân hàng trực tuyến tối thiểu mỗi năm một lần.

·         Quản lý sự cố bảo mật thông tin

·         Có giải pháp quản lý, phân tích nhật ký hệ thống để phát hiện các truy cập bất hợp pháp.

·         Có biện pháp ghi nhận, theo dõi và xử lý các sự cố an ninh thông tin. Định kỳ hàng tháng phải đánh giá, tìm nguyên nhân và chủ động thực hiện các biện pháp phòng tránh tái diễn.

·         Phải có biện pháp bảo vệ nhật ký giao dịch, nhật ký hệ thống, nhật ký sự cố, kết quả xử lý và các tài liệu, bằng chứng liên quan.

·         Đảm bảo hoạt động liên tục

·         Xây dựng hệ thống dự phòng thảm họa cho hệ thống chính thức, đảm bảo có thể thay thế hệ thống chính trong thời gian tối đa hai giờ kể từ khi hệ thống chính thức ngừng hoạt động.

·         Phân tích, xác định các tình huống có thể gây mất an ninh thông tin và gián đoạn hoạt động của hệ thống công nghệ thông tin ngân hàng trực tuyến. Xác định, đánh giá mức độ rủi ro, khả năng có thể xảy ra đối với từng tình huống tối thiểu ba tháng một lần. Lập danh sách các tình huống có mức độ rủi ro, khả năng có thể xảy ra theo các cấp độ cao, trung bình, chấp nhận được và thấp.

·         Xây dựng phương án (quy trình, kịch bản) xử lý khắc phục các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao và trung bình theo Khoản 2 Điều này. Xác định thời gian dừng hoạt động tối đa để phục hồi hệ thống, phục hồi dữ liệu cho phương án xử lý đối với từng tình huống. Tổ chức phổ biến phương án xử lý đến các nhân sự có liên quan để hiểu rõ nhiệm vụ, công việc cần phải thực hiện khi xử lý.

·         Bố trí nguồn nhân lực, tài chính và các phương tiện kỹ thuật để tổ chức diễn tập theo định kỳ tối thiểu sáu tháng một lần phương án xử lý với các tình huống có mức độ rủi ro, khả năng xảy ra cao. Tổ chức thực hiện diễn tập tấn công thử nghiệm để kiểm tra, đánh giá mức độ đảm bảo an ninh của hệ thống.

·         Kiểm tra hoạt động của hệ thống dự phòng theo định kỳ tối thiểu mỗi tháng một lần đảm bảo sự sẵn sàng cho hoạt động liên tục.

·         Lập kế hoạch và tiến hành diễn tập các biện pháp đảm bảo hoạt động kinh doanh liên tục, lưu giữ các hồ sơ có liên quan và tổ chức đánh giá kết quả diễn tập.

Mục 4. BẢO VỆ KHÁCH HÀNG

·         Thông tin về dịch vụ ngân hàng trực tuyến

·         Thông tin về dịch vụ ngân hàng trực tuyến cho khách hàng trước khi đăng ký sử dụng dịch vụ, tối thiểu gồm:

a) Cách thức cung cấp dịch vụ: phần mềm trên website, phần mềm trên thiết bị di động.

b) Hạn mức giao dịch và các biện pháp xác thực giao dịch.

c) Điều kiện về trang thiết bị khi sử dụng dịch vụ: thiết bị tạo OTP; số điện thoại di động/thư điện tử; chữ ký số; thiết bị di động để cài đặt phần mềm.

d) Các rủi ro liên quan đến việc sử dụng dịch vụ ngân hàng trực tuyến.

·         Thông tin cho khách hàng về hợp đồng cung cấp, sử dụng dịch vụ ngân hàng trực tuyến, tối thiểu gồm:

a) Quyền lợi và nghĩa vụ của khách hàng sử dụng dịch vụ ngân hàng trực tuyến.

b) Trách nhiệm của đơn vị trong bảo mật các thông tin cá nhân của khách hàng; cách thức đơn vị thu thập, sử dụng thông tin khách hàng; cam kết không bán, tiết lộ, rò rỉ các thông tin khách hàng.

c) Các trường hợp đơn vị phải bồi thường thiệt hại cho khách hàng.

d) Cam kết khả năng đảm bảo hoạt động liên tục của hệ thống công nghệ thông tin ngân hàng trực tuyến.

·         Hướng dẫn khách hàng sử dụng dịch vụ ngân hàng trực tuyến

·         Xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị trong thực hiện các giao dịch ngân hàng trực tuyến. Cung cấp và hướng dẫn sử dụng các quy trình, tài liệu này cho khách hàng.

·         Hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng dịch vụ ngân hàng trực tuyến, tối thiểu gồm các nội dung sau:

a) Bảo vệ bí mật mã khóa bí mật, mã OTP và không chia sẻ các thiết bị lưu trữ các mã này.

b) Cách thiết lập mã khóa bí mật và thay đổi mã khóa bí mật tài khoản truy cập theo định kỳ tối thiểu sáu tháng một lần hoặc khi bị lộ, nghi bị lộ.

c) Không dùng máy tính công cộng để truy cập, thực hiện giao dịch ngân hàng trực tuyến.

d) Không lưu lại tên đăng nhập và mã khóa bí mật trên các trình duyệt web.

đ) Thoát khỏi hệ thống ứng dụng ngân hàng trực tuyến khi không sử dụng.

e) Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo website.

g) Cài đặt, sử dụng phần mềm diệt vi rút trên thiết bị cá nhân sử dụng để giao dịch ngân hàng trực tuyến.

h) Lựa chọn các giải pháp xác thực có mức độ an toàn, bảo mật phù hợp với nhu cầu của khách hàng về giá trị giao dịch thanh toán.

i) Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ ngân hàng trực tuyến.

·         Cung cấp cho khách hàng đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng. Chỉ dẫn khách hàng phối hợp, trao đổi thông tin hai chiều:

a) Thông báo cho đơn vị phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ.

b) Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường, đáng ngờ.

c) Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo mã OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khoá bảo mật tạo chữ ký số; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.

·         Bảo mật thông tin khách hàng

·         Áp dụng các biện pháp đảm bảo an toàn, bảo mật cơ sở dữ liệu khách hàng. Dữ liệu nhạy cảm của khách hàng khi lưu trữ, truyền trên mạng Internet phải được mã hóa hoặc che dấu (mask).

·         Thiết lập quyền truy cập vừa đủ cho nhân sự thực hiện nhiệm vụ khi truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.

·         Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu về thông tin khách hàng; ngăn chặn rò rỉ, lộ lọt dữ liệu.

Chương III.

ĐIỀU KHOẢN THI HÀNH

·         Hiệu lực thi hành

·         Thông tư này có hiệu lực thi hành kể từ ngày 01/3/2017 và thay thế Thông tư 29/2011/TT-NHNN ngày 21/9/2011 của Thống đốc Ngân hàng Nhà nước Việt Nam về việc ban hành Quy định việc đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

·         Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các đơn vị phản ánh kịp thời về Ngân hàng Nhà nước để xem xét, bổ sung, sửa đổi.

·         Trách nhiệm thi hành

·         Cục Công nghệ tin học có trách nhiệm:

a) Theo dõi, tổng hợp báo cáo Thống đốc tình hình thực hiện việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến của các đơn vị theo quy định tại Thông tư này.

b) Hàng năm lập kế hoạch và kiểm tra việc thực hiện Thông tư này tại các đơn vị.

c) Chủ trì, phối hợp với các đơn vị liên quan thuộc Ngân hàng Nhà nước xử lý các vướng mắc phát sinh trong quá trình triển khai thực hiện Thông tư này.

·         Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm phối hợp với Cục Công nghệ tin học kiểm tra, giám sát việc thi hành Thông tư này và xử lý vi phạm hành chính đối với hành vi vi phạm theo quy định của pháp luật.

·         Chánh Văn phòng, Cục trưởng Cục Công nghệ tin học và Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Giám đốc Ngân hàng Nhà nước chi nhánh các tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán cung cấp dịch vụ ngân hàng trực tuyến chịu trách nhiệm thi hành Thông tư này./.