Đề xuất nguyên tắc an toàn, bảo mật của dịch vụ Online Banking

13/06/2024 15:15 PM

Nội dung về nguyên tắc an toàn, bảo mật của dịch vụ Online Banking được đề cập tại dự thảo Thông tư của Ngân hàng Nhà nước Việt Nam.

Đề xuất về nguyên tắc an toàn, bảo mật của dịch vụ Online Banking

Đề xuất nguyên tắc an toàn, bảo mật của dịch vụ Online Banking (Hình từ internet)

Ngân hàng Nhà nước Việt Nam đang lấy ý kiến dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Giải thích một số từ ngữ theo dự thảo Thông tư

Theo khoản 6 và 7 Điều 2 của dự thảo Thông tư đã nêu giải thích như sau:

- Mã khóa bí mật dùng một lần (One Time Password - OTP) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch Online Banking.

- Xác thực đa yếu tố là phương pháp xác thực yêu cầu tối thiểu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Xác thực đa yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mã khóa bí mật,…) cùng với những gì mà người dùng có (thẻ thông minh, thiết bị token, thiết bị di động) hoặc những dấu hiệu sinh trắc học của người dùng để xác minh danh tính.

Đề xuất về nguyên tắc an toàn, bảo mật của dịch vụ Online Banking

Theo Điều 3 của dự thảo Thông tư đề cập quy định về nguyên tắc chung đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Online Banking như sau:

- Hệ thống Online Banking phải tuân thủ theo quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ và quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.

- Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Online Banking để cung cấp dịch vụ một cách liên tục.

- Các giao dịch của khách hàng được đánh giá mức độ rủi ro tối thiểu theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch (nếu có) và trên cơ sở đó cung cấp hình thức xác thực giao dịch phù hợp cho khách hàng lựa chọn, tuân thủ các quy định sau:

+ Áp dụng xác thực đa yếu tố khi thay đổi thông tin định danh khách hàng;

+ Áp dụng các hình thức xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quy định tại dự thảo Thông tư này;

+ Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.

- Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Online Banking theo định kỳ hàng năm.

- Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.

- Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.

Hiện hành, tại Điều 3 Thông tư 35/2016/TT-NHNN sửa đổi, bổ sung bởi Thông tư 35/2018/TT-NHNN quy định về nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking như sau:

- Hệ thống Internet Banking là hệ thống thông tin quan trọng theo quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.

- Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.

- Các thông tin giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn. Biện pháp xác thực giao dịch phải đáp ứng:

+ Áp dụng tối thiểu biện pháp xác thực đa thành tố khi thay đổi thông tin định danh khách hàng;

+ Áp dụng các biện pháp xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quyết định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ;

+ Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.

- Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.

- Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.

- Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.

Xem thêm tại dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Lê Nguyễn Anh Hào

Chia sẻ bài viết lên facebook 1,023

Các tin khác
Điện thoại: (028) 3930 3279 (06 lines)
E-mail: info@ThuVienPhapLuat.vn
Đơn vị chủ quản: Công ty cổ phần LawSoft. Giấy phép số: 32/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 15/05/2019 Địa chỉ: Tầng 3, Tòa nhà An Phú Plaza, 117-119 Lý Chính Thắng, Phường Võ Thị Sáu, Quận 3, Thành phố Hồ Chí Minh, Việt Nam Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3935 2079