Các điểm mới của Thông tư 50 về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng

Các điểm mới của Thông tư 50 về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Hình từ Internet)

Ngân hàng Nhà nước Việt Nam ban hành Thông báo báo chí về việc ban hành Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Thông báo báo chí

Các điểm mới của Thông tư 50 về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng 

Theo đó, Thông tư 50/2024/TT-NHNN gồm 03 Chương, 04 Mục, 24 Điều, trong đó một số quy định mới so với Thông tư 35/2016/TT-NHNN như sau:

(1) Chương I. Quy định chung, gồm 03 Điều:

Quy định về phạm vi điều chỉnh, đối tượng áp dụng, giải thích các từ ngữ sử dụng trong Thông tư, nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking. 

Trong đó chỉnh sửa mở rộng phạm vi điều chỉnh bao gồm tất cả các hoạt động của các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, hoạt động cung ứng dịch vụ trung gian thanh toán và hoạt động thông tin tín dụng cung cấp cho khách hàng trên môi trường mạng; chỉnh sửa, bổ sung thêm đối tượng là các công ty cung cấp dịch vụ thông tin tín dụng.

(2) Chương II. Các quy định cụ thể, gồm 04 Mục, 16 Điều:

(i) Mục 1: Quy định các điều khoản cụ thể về Hạ tầng kỹ thuật của hệ thống Online Banking, bao gồm: Hệ thống mạng, truyền thông và an toàn, bảo mật (Điều 4); Hệ thống máy chủ và phần mềm hệ thống (Điều 5); Hệ quản trị cơ sở dữ liệu (Điều 6); Phần mềm ứng dụng Online Banking (Điều 7); Phần mềm ứng dụng Mobile Banking (Điều 8).

Thông tư đã bổ sung một số quy định tăng cường an ninh, an toàn đối với phần mềm ứng dụng Mobile Banking phù hợp với tỉnh hình phát triển công nghệ hiện nay, cụ thể: 

- Bổ sung quy định về việc cung cấp ứng dụng Mobile Banking trên các kho ứng dụng chính thức của các hãng cung cấp hệ điều hành cho thiết bị di động (khoản 1 Điều 8);

- Bổ sung quy định về bảo đảm an toàn cho ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng (khoản 3 và khoản 4 Điều 8); 

- Bổ sung quy định về khớp đúng thông tin sinh trắc học đối với khách hàng cá nhân lần đầu sử dụng phần mềm ứng dụng Mobile Banking trên thiết bị mới (khoản 6 Điều 8) (nội dung này đã quy định tại Quyết định 2345/QĐ-NHNN năm 2023).

Thông tư đã bổ sung quy định một số giải pháp tăng cường bảo đảm an toàn, bảo mật, phòng ngừa các sự cố an toàn thông tin xảy ra trong thời gian gần đây, cụ thể: 

- Bổ sung quy định về việc trang bị Tường lửa cơ sở dữ liệu (điểm b khoản 1 Điều 4);

- Bổ sung quy định về việc kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) đối với phần mềm hệ điều hành máy chủ và hệ quản trị cơ sở dữ liệu (điểm d khoản 1 Điều 5 và khoản 3 Điều 6).

(ii) Mục 2: Quy định về xác nhận giao dịch điện tử thông qua Hệ thống Online Banking, bao gồm các quy định: Truy cập phần mềm ứng dụng Online Banking (Điều 9); Xác nhận giao dịch (Điều 10) và Các hình thức xác nhận (Điều 11).

Thông tư đã quy định các hình thức xác nhận giao dịch điện tử bao gồm chữ ký điện tử và các hình thức xác nhận khác bằng phương tiện điện tử (như mã khóa bí mật, mã PIN, OTP, hai kênh, khớp đúng thông tin sinh trắc học, khớp đúng thông tin sinh trắc học thiết bị, FIDO, EMV 3DS hoặc các thao tác thể hiện sự xác nhận của khách hàng) được áp dụng trong giao dịch trực tuyến ngành Ngân hàng. 

Trong đó, Thông tư đã quy định cụ thể về hình thức xác nhận giao dịch đối với các giao dịch thanh trực tuyến (thay thế quy định tại Quyết định 2345/QĐ-NHNN năm 2023) và bổ sung quy định cụ thể đối với một số trường hợp đặc thủ như thanh toán thẻ trực tuyến; thanh toán thực hiện bằng phương thức xử lý xuyên suốt; giao dịch chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ vì điện tử, chủ động thanh toán từ thẻ của khách hàng; giao dịch thanh toán trực tuyến trên Cổng Dịch vụ công quốc gia, nộp tiền vào ngân sách nhà nước; giao dịch đăng ký tự động trích Nợ tài khoản thanh toán, tự động trích Nợ ví điện tử, tự động thanh toán từ thẻ của khách hàng; và các giao dịch trực tuyến khác.

(iii) Mục 3: Quy định về quản lý vận hành, bao gồm: Quản lý nhân sự quản trị, vận hành hệ thống Online Banking (Điều 12); Quản lý hoạt động của môi trường vận hành hệ thống Online Banking (Điều 13); Quản lý lỗ hồng, điểm yếu về mặt kỹ thuật (Điều 14); Hệ thống giám sát, theo dõi hoạt động của hệ thống Online Banking (Điều 15); Bảo đảm hoạt động liên tục (Điều 16).

(iv) Mục 4: Quy định về bảo vệ quyền lợi của khách hàng, bao gồm: Thông tin về dịch vụ Online Banking (Điều 17); Hướng dẫn khách hàng sử dụng dịch vụ Online Banking (Điều 18); Bảo mật thông tin khách hàng (Điều 19). 

Trong đó tại khoản 3 Điều 17 bổ sung quy định các đơn vị không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng để phòng chống tội phạm lừa đảo (phishing) khách hàng qua tin nhắn SMS, thư điện tử.

(3) Chương III. Điều khoản thi hành, gồm 05 Điều:

Quy định về Chế độ báo cáo (Điều 20); Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước (Điều 21); Hiệu lực thi hành (Điều 22); Quy định chuyển tiếp (Điều 23); Tổ chức thực hiện (Điều 24).

Về hiệu lực thi hành, Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/01/2025. Đối với một số quy định mới, để có thời gian cho các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức thông tin tín dụng tổ chức triển khai thực hiện và chỉnh sửa, cập nhật giải pháp công nghệ, tại Thông tư đã quy định hiệu lực đối với một số điều khoản như sau:

- Áp dụng từ ngày 01/07/2025 đổi với quy định tại điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8.

- Áp dụng từ ngày 01/01/2026 đối với quy định tại điểm b khoản 1 Điều 10.

- Áp dụng từ ngày 01/07/2026 đối với quy định tại điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20.