« Home « Kết quả tìm kiếm

Thông tư số 29/2011/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet

Tóm tắt Xem thử

- Quy định về an toàn, bảo mật cho việc cung cấp.
- dịch vụ ngân hàng trên Internet.
- Căn cứ Nghị định 64/2001/NĐ-CP ngày 20 tháng 9 năm 2001 của Chính phủ về hoạt động thanh toán qua các tổ chức cung ứng dịch vụ thanh toán;.
- Căn cứ Nghị định số 26/2007/NĐ-CP ngày 25 tháng 2 năm 2007 của Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;.
- Căn cứ Nghị định số 97/2008/NĐ-CP ngày 28 tháng 8 năm 2008 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet;.
- Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet như sau:.
- QUY ĐỊNH CHUNG.
- Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.
- Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp dịch vụ ngân hàng trên Internet (sau đây gọi chung là đơn vị cung cấp dịch vụ) tại Việt Nam.
- Dịch vụ ngân hàng trên Internet (dịch vụ Internet Banking): là các dịch vụ ngân hàng được cung cấp thông qua mạng Internet, bao gồm: a) Thông tin về đơn vị cung cấp dịch vụ và các dịch vụ của đơn vị.
- b) Dịch vụ tra cứu thông tin như: tra cứu thông tin khách hàng, tài khoản, truy vấn số dư và các thông tin khác.
- c) Thực hiện các giao dịch tài chính trực tuyến như: dịch vụ về tài khoản, chuyển khoản, cấp tín dụng, thanh toán qua tài khoản.
- d) Các dịch vụ khác theo quy định của Ngân hàng Nhà nước.
- Hệ thống Internet Banking: là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật phục vụ cho việc quản lý và cung cấp dịch vụ ngân hàng trên Internet.
- Khách hàng: là các tổ chức, cá nhân liên quan đến sử dụng dịch vụ Internet Banking.
- Tài khoản đặc quyền: là tài khoản truy cập vào hệ thống công nghệ thông tin nhằm thực hiện các công việc đặc biệt hoặc truy cập vào dữ liệu nhạy cảm.
- Nguyên tắc chung đối với việc cung cấp dịch vụ ngân hàng trên Internet của đơn vị cung cấp dịch vụ.
- b) Mật khẩu khách hàng, khóa mã hóa và các mã khóa khác phải được mã hóa trong quá trình giao dịch, trên đường truyền và lưu trữ tại đơn vị cung cấp dịch vụ.
- Đảm bảo tính sẵn sàng a) Cam kết khả năng hoạt động liên tục của hệ thống Internet Banking một cách công khai, rõ ràng và được nêu rõ trong hợp đồng cung cấp dịch vụ với khách hàng.
- Cam kết này tối thiểu phải bao gồm cam kết về tổng thời gian dừng hệ thống trong năm, khoảng thời gian cung cấp dịch vụ trong ngày, thời gian phục hồi hệ thống sau khi gặp sự cố.
- b) Đáp ứng đủ nguồn lực về hạ tầng công nghệ thông tin và nhân sự đảm bảo cung cấp dịch vụ Internet Banking liên tục đúng như cam kết của đơn vị cung cấp dịch vụ với khách hàng.
- c) Xây dựng, ban hành và tuân thủ các quy trình của hệ thống Internet Banking.
- d) Sử dụng các công cụ giám sát, theo dõi hiệu năng của hệ thống chính và hệ thống dự phòng đảm bảo hoạt động liên tục.
- Đảm bảo tính toàn vẹn a) Đảm bảo tính toàn vẹn của thông tin trong quá trình xử lý, lưu trữ và truyền nhận giữa đơn vị cung cấp dịch vụ và khách hàng.
- Xác thực khách hàng và xác thực giao dịch a) Đảm bảo xác thực và nhận dạng được khách hàng khi khách hàng truy cập và sử dụng dịch vụ Internet Banking.
- b) Sử dụng xác thực hai yếu tố trên hệ thống Internet Banking khi thực hiện giao dịch thanh toán và các giao dịch quan trọng như: tạo kết nối giữa các tài khoản, đăng ký thanh toán cho bên thứ ba, thay đổi hạn mức giao dịch trong ngày, thay đổi thông tin tài khoản liên quan đến dữ liệu cá nhân của khách hàng (như địa chỉ cơ quan hoặc nhà riêng, số điện thoại liên lạc, địa chỉ thư điện tử và các thông tin khác nhằm xác thực khách hàng).
- Bảo vệ khách hàng a) Cung cấp đầy đủ thông tin về quyền lợi và nghĩa vụ của khách hàng trước khi ký kết hợp đồng cung cấp dịch vụ với khách hàng.
- Trong hợp đồng cung cấp dịch vụ phải nêu rõ việc đơn vị cung cấp dịch vụ đảm bảo các khoản nêu ra tại Điều này đối với khách hàng.
- Đơn vị cung cấp dịch vụ chịu trách nhiệm thực hiện đầy đủ các điều khoản thuộc trách nhiệm của mình nêu trong hợp đồng cung cấp dịch vụ ký kết với khách hàng.
- b) Trong hợp đồng cung cấp dịch vụ, đơn vị cung cấp dịch vụ phải nêu rõ trách nhiệm bảo mật các thông tin cá nhân của khách hàng khi sử dụng dịch vụ Internet Banking.
- c) Có biện pháp đảm bảo an toàn, bảo mật trong trường hợp đơn vị cung cấp dịch vụ phân phối phần mềm cho khách hàng qua môi trường Internet.
- d) Chịu trách nhiệm kiểm tra, cảnh báo và thực hiện các biện pháp phòng chống giả mạo website cung cấp dịch vụ Internet Banking của đơn vị cung cấp dịch vụ.
- Chính sách về an toàn, bảo mật hệ thống.
- Xây dựng, ban hành các quy định an toàn, bảo mật cho hệ thống Internet Banking phù hợp với quy định về an toàn, bảo mật hệ thống công nghệ thông tin của Nhà nước, ngành Ngân hàng và quy chế an toàn bảo mật công nghệ thông tin của đơn vị.
- Định kỳ tối thiểu mỗi năm một lần, đơn vị phải rà soát, chỉnh sửa, hoàn thiện các quy định này đảm bảo sự phù hợp, đầy đủ và có hiệu quả của quy định.
- Lựa chọn đội ngũ cán bộ có đủ tư cách đạo đức, trình độ, năng lực đáp ứng được yêu cầu về chuyên môn nghiệp vụ và công nghệ khi phân công nhiệm vụ liên quan đến hệ thống Internet Banking.
- Các nhiệm vụ quản trị hệ thống.
- phát triển, bảo trì phần mềm ứng dụng và vận hành hệ thống phải được phân công cho từng bộ phận, cá nhân khác nhau.
- Đảm bảo kiểm soát chéo và không một cá nhân nào có toàn quyền trên hệ thống hoặc có thể tự khởi tạo, can thiệp vào các giao dịch của hệ thống Internet Banking.
- Tài khoản đặc quyền trên hệ thống Internet Banking phải được thiết kế để chỉ có thể truy cập được khi có khóa của ít nhất hai người và phải được kiểm soát chặt chẽ đối với mọi hoạt động của tài khoản này.
- Có quy định cụ thể, rõ ràng và thực hiện đầy đủ công tác quản lý, giám sát nhân sự bên thứ ba khi truy cập vào hệ thống Internet Banking.
- Có biện pháp phân tách các phân vùng mạng để đảm bảo kiểm soát được các truy cập hệ thống.
- Có biện pháp phát hiện và phòng chống xâm nhập, phòng chống phát tán mã độc hại cho hệ thống.
- Xây dựng và thực hiện phương án dự phòng cho các vị trí quan trọng có mức độ ảnh hưởng cao tới hệ thống mạng hoặc có khả năng gây tê liệt toàn bộ hệ thống mạng của đơn vị khi xảy ra sự cố.
- Đảm bảo yêu cầu về băng thông đối với việc cung cấp dịch vụ Internet Banking.
- Trong trường hợp phát hiện lỗi hệ thống phải thực hiện cập nhật ngay.
- Các trang thiết bị mạng, an ninh, bảo mật, phần mềm chống vi rút, công cụ phân tích, quản trị mạng được cài đặt trong mạng của đơn vị phải có bản quyền và nguồn gốc, xuất xứ rõ ràng.
- Phần cứng và phần mềm hệ thống.
- Đảm bảo có hạ tầng máy chủ và các thiết bị đi kèm phục vụ hệ thống Internet Banking (sau đây gọi là máy chủ Internet Banking) đủ công suất, đạt hiệu năng yêu cầu, đảm bảo tốc độ xử lý truy xuất đáp ứng yêu cầu của khách hàng sử dụng dịch vụ.
- Yêu cầu đối với máy chủ Internet Banking a) Có tính năng sẵn sàng cao, cơ chế dự phòng linh hoạt để đảm bảo tính hoạt động liên tục.
- Yêu cầu đối với phần mềm hệ thống: a) Được rà soát, cập nhật các phiên bản vá lỗi phần mềm hệ thống theo khuyến cáo của nhà cung cấp tối thiểu sáu tháng một lần.
- b) Lập danh mục các phần mềm được phép cài đặt trên máy chủ Internet Banking và định kỳ tối thiểu ba tháng một lần cập nhật, kiểm tra, đảm bảo tuân thủ danh mục này.
- b) Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa và lưu trữ, sử dụng theo chế độ “Mật”.
- c) Trước khi triển khai chương trình ứng dụng mới, phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.
- d) Phải xác định, thống kê được các hoạt động và giao dịch bất thường phát sinh trong hệ thống.
- Kiểm tra thử nghiệm phần mềm ứng dụng a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm cho các ứng dụng cung cấp dịch vụ Internet Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng.
- b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào và các lỗ hổng bảo mật trong quá trình kiểm tra thử nghiệm hệ thống.
- Quản lý và nâng cấp phiên bản a) Đối với mỗi yêu cầu thay đổi phần mềm, phải phân tích đánh giá ảnh hưởng của việc thay đổi đối với các hệ thống hiện tại cũng như các nghiệp vụ và các hệ thống công nghệ thông tin có liên quan khác của đơn vị.
- b) Chỉ định cụ thể các cá nhân quản lý chương trình nguồn của hệ thống Internet Banking.
- đ) Trong trường hợp đơn vị cung cấp dịch vụ mua phần mềm từ bên thứ ba mà không được bàn giao chương trình nguồn, đơn vị cung cấp dịch vụ phải yêu cầu bên thứ ba ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng bàn giao cho đơn vị cung cấp dịch vụ.
- Hệ quản trị cơ sở dữ liệu sử dụng cho hệ thống Internet Banking phải đáp ứng được yêu cầu hoạt động ổn định.
- Rà soát, cập nhật các bản vá, các bản sửa lỗi hệ quản trị cơ sở dữ liệu tối thiểu sáu tháng một lần hoặc ngay sau khi có khuyến cáo của nhà cung cấp.
- Xây dựng phương án sao lưu, dự phòng đối với cơ sở dữ liệu, đảm bảo các hệ thống Internet Banking hoạt động liên tục khi xảy ra sự cố với cơ sở dữ liệu.
- Lựa chọn thuật toán mã hóa đáp ứng yêu cầu đảm bảo tính bí mật và khả năng xử lý của hệ thống Internet Banking.
- Ghi nhật ký các sự kiện sau đối với hệ thống Internet Banking: a) Quá trình truy cập hệ thống.
- b) Các thao tác cấu hình hệ thống.
- d) Các sự kiện cấp, thu hồi quyền truy cập hệ thống và sử dụng dịch vụ.
- Ghi nhật ký giao dịch của khách hàng và giám sát các giao dịch tài chính trên hệ thống Internet Banking.
- Các nhật ký của hệ thống Internet Banking phải được lưu trữ, bảo vệ an toàn và truy xuất được khi cần thiết.
- Áp dụng các giải pháp kỹ thuật để phát hiện, xử lý kịp thời các cuộc tấn công từ chối dịch vụ như sử dụng thiết bị tường lửa.
- Yêu cầu bên thứ ba cung cấp quy trình xử lý sự cố cho các dịch vụ do bên thứ ba cung cấp liên quan đến hệ thống Internet Banking.
- Ban hành quy định nêu rõ quyền, nghĩa vụ của khách hàng và của đơn vị cung cấp dịch vụ đối với việc cung cấp, sử dụng dịch vụ Internet Banking.
- Hướng dẫn cho khách hàng các nội dung tự bảo đảm an toàn trong quá trình sử dụng dịch vụ Internet Banking như: a) Cách đặt mật khẩu và bảo vệ mật khẩu.
- d) Thoát khỏi hệ thống Internet Banking khi không sử dụng.
- đ) Thận trọng, hạn chế dùng máy tính công cộng, mạng không dây công cộng để truy cập vào hệ thống Internet Banking.
- e) Cách thức truy cập địa chỉ ứng dụng dịch vụ Internet Banking của đơn vị.
- g) Thông báo cho đơn vị cung cấp dịch vụ các lỗi và sự cố trong quá trình sử dụng dịch vụ.
- BÁO CÁO.
- Các đơn vị cung cấp dịch vụ có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) theo quy định tại Điều 15, Điều 16 Thông tư này.
- Báo cáo cung cấp dịch vụ Internet Banking: a) Đối với các đơn vị đã cung cấp dịch vụ trước ngày Thông tư này có hiệu lực: Các đơn vị gửi báo cáo trong vòng 10 ngày làm việc kể từ ngày Thông tư này có hiệu lực.
- b) Đối với các đơn vị cung cấp dịch vụ sau khi Thông tư này có hiệu lực: Các đơn vị gửi báo cáo tối thiểu trước 10 ngày làm việc trước khi cung cấp chính thức dịch vụ Internet Banking.
- Báo cáo năm: Các đơn vị cung cấp dịch vụ phải gửi Báo cáo năm trước ngày 15 tháng 3 hàng năm.
- Báo cáo đột xuất: Các đơn vị cung cấp dịch vụ phải gửi Báo cáo đột xuất khi xảy ra các sự cố mất an toàn hoặc ảnh hưởng đến hoạt động của hệ thống Internet Banking trong vòng 05 ngày kể từ thời điểm phát sinh sự cố hoặc phát hiện sự cố.
- Báo cáo cung cấp dịch vụ Internet Banking bao gồm các nội dung sau: a) Địa chỉ website cung cấp dịch vụ.
- b) Các sản phẩm, dịch vụ hiện đang cung cấp.
- c) Ngày cung cấp chính thức.
- d) Đơn vị cung cấp sản phẩm hệ thống Internet Banking.
- đ) Bên thứ ba được thuê hoặc cùng hợp tác xây dựng, vận hành hệ thống Internet Banking.
- các hoạt động liên quan đến hệ thống Internet Banking có sự tham gia của bên thứ ba và hình thức tham gia của các bên thứ ba này.
- Báo cáo năm bao gồm các nội dung sau: a) Các sản phẩm, dịch vụ Internet Banking hiện đang cung cấp.
- b) Những thay đổi của sản phẩm, dịch vụ Internet Banking kể từ lần báo cáo trước.
- d) Số lượng khách hàng sử dụng dịch vụ Internet Banking và tỷ lệ tăng trưởng khách hàng so với cùng kỳ năm trước.
- d) Đánh giá rủi ro, ảnh hưởng đối với hệ thống Internet Banking và các hệ thống khác có liên quan.
- e) Các biện pháp đơn vị đã tiến hành để khắc phục sự cố, ngăn chặn và phòng ngừa rủi ro.
- Thông tư số 09/2003/TT-NHNN ngày 5/8/2003 của Thống đốc Ngân hàng Nhà nước hướng dẫn thực hiện một số quy định tại Nghị định số 55/2001/NĐ-CP ngày của Chính phủ về quản lý, cung cấp và sử dụng Internet và Thông tư số 01/2008/TT-NHNN ngày 10/3/2008 sửa đổi bổ sung Thông tư số 09/2003/TT-NHNN hết hiệu lực kể từ ngày Thông tư này có hiệu lực thi hành.
- Cục Công nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thi hành Thông tư này của các đơn vị cung cấp dịch vụ.
- Hàng năm thông qua báo cáo của các đơn vị hoặc thực hiện kiểm tra tại chỗ để đánh giá việc tuân thủ quy định và đảm bảo an toàn, bảo mật cho hệ thống Internet Banking của các đơn vị.
- tổng hợp, báo cáo Thống đốc tình hình về an toàn, bảo mật dịch vụ Internet Banking của hệ thống ngân hàng Việt Nam.
- Chánh Văn phòng, Cục trưởng Cục Công nghệ tin học và Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Giám đốc Ngân hàng Nhà nước chi nhánh các tỉnh, thành phố trực thuộc Trung ương.
- Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp dịch vụ Internet Banking chịu trách nhiệm thi hành Thông tư này./.