Từ khoá: Số Hiệu, Tiêu đề hoặc Nội dung ngắn gọn của Văn Bản...

Đăng nhập

Đang tải văn bản...

Thông tư 47/2014/TT-NHNN yêu cầu kỹ thuật an toàn bảo mật trang thiết bị phục vụ thanh toán thẻ ngân hàng

Số hiệu: 47/2014/TT-NHNN Loại văn bản: Thông tư
Nơi ban hành: Ngân hàng Nhà nước Người ký: Nguyễn Toàn Thắng
Ngày ban hành: 31/12/2014 Ngày hiệu lực: Đã biết
Ngày công báo: Đã biết Số công báo: Đã biết
Tình trạng: Đã biết

Cài đặt hệ thống báo động cho máy ATM

Thông tư 47/2014/TT-NHNN yêu cầu tổ chức cung cấp dịch vụ ATM trang bị hệ thống báo động cho ATM nhằm phòng chống mở cửa, di dời và đập phá máy trái phép.

Theo đó, các thiết bị báo động ngoài việc phát tín hiệu báo động tại chỗ, phải gửi cảnh báo về trung tâm giám sát.

Đồng thời, trang bị thiết bị cảm biến cho ATM đặt bên ngoài để cảnh báo tác động nhiệt từ các thiết bị khò hàn và nhận biết các lực tác động với cường độ lớn hoặc liên tục từ bên ngoài lên thân vỏ máy.

Ngoài ra, Thông tư còn đưa ra các quy định về két đựng tiền của máy ATM, cụ thể:

- Phải làm bằng vật liệu chịu được lực tác động lớn, chống ăn mòn, tản nhiệt nhanh hoặc hấp thụ nhiệt chậm;

- Trang bị ít nhất hai khóa, do hai người nắm giữ.

Thông tư 47 có hiệu lực từ ngày 01/04/2015.

NGÂN HÀNG NHÀ NƯỚC
VIỆT NAM
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
----------------

Số: 47/2014/TT-NHNN

Hà Nội, ngày 31 tháng 12 năm 2014

THÔNG TƯ

QUY ĐỊNH CÁC YÊU CẦU KỸ THUẬT VỀ AN TOÀN BẢO MẬT ĐỐI VỚI TRANG THIẾT BỊ PHỤC VỤ THANH TOÁN THẺ NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dùng tiền mặt;

Căn cứ Nghị định số 156/2013/NĐ-CP ngày 11 tháng 11 năm 2013 quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ tin học;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Thông tư này quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng tại Việt Nam.

2. Thông tư này áp dụng đối với các tổ chức hoạt động thẻ, bao gồm:

a) Tổ chức phát hành thẻ (viết tắt là TCPHT);

b) Tổ chức thanh toán thẻ (viết tắt là TCTTT);

c) Tổ chức cung ứng dịch vụ trung gian thanh toán (viết tắt là TCTGTT) có trang thiết bị phục vụ thanh toán thẻ ngân hàng.

Điều 2. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Trang thiết bị phục vụ thanh toán thẻ bao gồm các thiết bị, phần mềm sử dụng cho việc tiếp nhận, xử lý các giao dịch thẻ.

2. ATM (Automated Teller Machine) đặt bên ngoài là ATM đặt tại nơi công cộng và nơi không có người giám sát trực tiếp thiết bị.

3. Máy POS (Point Of Sale) là thiết bị chấp nhận thẻ được sử dụng để thực hiện giao dịch thẻ tại các đơn vị chấp nhận thẻ (viết tắt là ĐVCNT).

4. Máy mPOS (Mobile Point Of Sale) là máy POS bao gồm phần mềm và thiết bị chuyên dụng tích hợp với thiết bị thông tin di động.

5. Thẻ ngân hàng (sau đây gọi tắt là thẻ) bao gồm thẻ từ và thẻ chip

a) Thẻ từ là loại thẻ mà các thông tin của thẻ và chủ thẻ được mã hóa và lưu trữ trong dải băng từ ở mặt sau của thẻ;

b) Thẻ chip là loại thẻ được gắn vi mạch máy tính hoặc mạch tích hợp để nhận dạng, lưu trữ thông tin và giao dịch của chủ thẻ, xử lý vi mô khác.

6. Số thẻ là dãy số dùng để xác định tổ chức phát hành và chủ thẻ.

7. Dữ liệu thẻ bao gồm dữ liệu chủ thẻ và dữ liệu xác thực thẻ.

a) Dữ liệu chủ thẻ bao gồm các dữ liệu chính sau: số thẻ; tên của chủ thẻ (đối với thẻ định danh); ngày có hiệu lực của thẻ; mã dịch vụ (3 (ba) hoặc 4 (bốn) số trên bề mặt thẻ để xác định quyền hạn trên giao dịch (nếu có));

b) Dữ liệu xác thực thẻ bao gồm các dữ liệu sau: toàn bộ dữ liệu trên dải băng từ đối với thẻ từ hoặc dữ liệu trên vi mạch máy tính, mạch tích hợp của thẻ chip; dãy số giá trị hoặc mã xác thực thẻ được in trên thẻ; mã số xác định chủ thẻ (PIN) hoặc khối mã số xác định chủ thẻ (PIN block).

8. Môi trường dữ liệu chủ thẻ là môi trường bao gồm các trang thiết bị và quy trình xử lý, truyền dẫn, lưu trữ dữ liệu thẻ.

9. Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (128 bit); TDES (112 bit); RSA (2048 bit); ECC (160 bit); ElGamal (2048 bit).

10. Dữ liệu nhật ký là các dữ liệu được hệ thống thanh toán thẻ hoặc con người tạo ra để lưu lại các quá trình giao dịch, hoạt động của hệ thống bằng hình thức điện tử, văn bản để phục vụ hoạt động giám sát, tra soát, khiếu nại.

11. Người có thẩm quyền tại văn bản này được hiểu là người đại diện theo pháp luật của tổ chức hoặc người được người đại diện theo pháp luật của tổ chức ủy quyền.

12. Tổ chức hỗ trợ hoạt động thẻ là các tổ chức, cá nhân có chuyên môn được tổ chức hoạt động thẻ thuê hoặc hợp tác nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống thanh toán thẻ.

Chương II

CÁC YÊU CẦU KỸ THUẬT CHUNG

Điều 3. Thiết lập và quản lý cấu hình thiết bị an ninh mạng

1. Các yêu cầu về thiết lập và quản lý cấu hình thiết bị an ninh mạng:

a) Việc thiết lập và thay đổi cấu hình thiết bị an ninh mạng phải được kiểm thử và được người có thẩm quyền phê duyệt trước khi thực hiện;

b) Sơ đồ kết nối hệ thống mạng phải được thiết kế đáp ứng yêu cầu:

- Tách biệt giữa vùng dữ liệu chủ thẻ và các vùng mạng khác bao gồm cả vùng mạng không dây;

- Tách biệt chức năng của máy chủ theo nguyên tắc các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ quản lý tên miền phải để trên các máy chủ khác nhau (có thể là các máy chủ ảo trên một máy chủ vật lý);

- Có tường lửa tại các điểm kết nối giữa các vùng của hệ thống mạng;

- Sơ đồ mạng phải mô tả được toàn bộ đường đi của dữ liệu chủ thẻ.

c) Phân định trách nhiệm và quyền hạn đối với bộ phận, cá nhân trong quản lý, cấu hình các thiết bị an ninh mạng bằng văn bản;

d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt;

đ) Quy định bằng văn bản các cổng, dịch vụ, giao thức sử dụng trên hệ thống mạng bao gồm cả những cổng, giao thức, dịch vụ không an toàn. Triển khai đầy đủ các giải pháp an ninh khi sử dụng các cổng, dịch vụ và giao thức không an toàn;

e) Thực hiện đánh giá lại các chính sách thiết lập trên thiết bị an ninh mạng tối thiểu 02 lần/năm nhằm loại bỏ các chính sách không sử dụng, hết thời hạn hoặc thiết lập sai chính sách, đảm bảo chính sách được thiết lập trên thiết bị đúng với các chính sách đã được người có thẩm quyền phê duyệt.

2. Cấu hình thiết bị an ninh mạng

a) Giới hạn các truy cập đến môi trường dữ liệu chủ thẻ, chỉ chấp nhận các truy cập thực sự cần thiết và kiểm soát được;

b) Giới hạn các truy cập đến thiết bị mạng và thiết bị an ninh mạng khớp đúng với trách nhiệm của cá nhân, bộ phận được quy định tại Điểm c Khoản 1 Điều này;

c) Các tập tin cấu hình phải được đồng bộ với cấu hình đang hoạt động của thiết bị và được lưu trữ an toàn theo chế độ mật để tránh các truy cập trái phép;

d) Thực hiện thiết lập chức năng giám sát trạng thái gói tin hoặc lọc dữ liệu tự động trên thiết bị tường lửa hoặc định tuyến để phát hiện các gói tin không hợp lệ.

3. Kiểm soát các truy cập trực tiếp từ Internet đến môi trường dữ liệu chủ thẻ

a) Thiết lập vùng trung gian cung cấp dịch vụ ra ngoài Internet (xác định rõ các máy chủ, dịch vụ, địa chỉ IP, cổng, giao thức được phép truy cập). Việc kết nối ra, vào giữa Internet và môi trường dữ liệu chủ thẻ phải kết nối qua vùng trung gian cung cấp dịch vụ;

b) Thực hiện các biện pháp chống giả mạo để ngăn chặn và loại bỏ các khả năng giả mạo địa chỉ IP nguồn;

c) Không cho phép các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet khi chưa được người có thẩm quyền phê duyệt.

4. Yêu cầu thiết lập phần mềm tường lửa trên tất cả các thiết bị, máy tính cá nhân có kết nối đến dữ liệu thẻ

a) Các chính sách an ninh trên phần mềm tường lửa chỉ cho phép thực hiện các hoạt động đủ phục vụ cho nhu cầu xử lý các quy trình nghiệp vụ;

b) Đảm bảo các thiết lập trên phần mềm tường lửa là đang hoạt động;

c) Đảm bảo người dùng không thể thay đổi cấu hình phần mềm tường lửa trên thiết bị.

Điều 4. Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ

1. Thay đổi hoặc vô hiệu hóa các tham số và chức năng mặc định của hệ thống (tài khoản, mã khóa bí mật, tham số hệ điều hành, phần mềm, ứng dụng không sử dụng; tham số trên máy POS không sử dụng; chuỗi ký tự mặc định trong giao thức giám sát mạng (giao thức SNMP)).

2. Thay đổi các tham số mặc định (khóa mã hóa trong mạng không dây; các mã khóa bí mật; chuỗi ký tự mặc định trong giao thức SNMP tại các môi trường mạng không dây có kết nối đến dữ liệu thẻ).

3. Chỉ bật hoặc cài đặt các chức năng mặc định (dịch vụ, giao thức, các chương trình nền) khi có nhu cầu sử dụng.

4. Loại bỏ các chức năng, dịch vụ, tập tin, ổ đĩa không cần thiết. Thực hiện thêm các biện pháp an toàn bổ sung (các công nghệ SSH, S-FTP, SSL, IPSec VPN) khi sử dụng các dịch vụ, giao thức không an toàn để truyền dữ liệu trên mạng (chia sẻ tệp tin (File Sharing), NetBIOS, Telnet, FTP).

Điều 5. An toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ

1. Thực hiện nhận dạng các lỗ hổng bảo mật bằng công cụ dò quét và các nguồn thông tin của các tổ chức an ninh mạng bên ngoài có uy tín để xác định mức độ ảnh hưởng của các lỗ hổng bảo mật mới đối với hệ thống thanh toán thẻ, bao gồm các mức độ ảnh hưởng: mức độ cao; mức độ trung bình; mức độ thấp.

2. Đảm bảo toàn bộ các thiết bị phục vụ thanh toán thẻ được cập nhật các bản vá lỗ hổng bảo mật đã được công bố từ các nhà sản xuất. Đối với các bản vá các lỗ hổng bảo mật mức độ cao phải được cài đặt trong thời gian sớm nhất và không quá 01 tháng kể từ khi nhà sản xuất công bố bản vá.

3. Phát triển các phần mềm ứng dụng trong lĩnh vực thẻ đảm bảo tuân thủ các quy định của pháp luật và các chuẩn mực phát triển phần mềm ứng dụng được áp dụng rộng rãi trong lĩnh vực công nghệ thông tin. Trong chu trình phát triển phần mềm phải tích hợp với các yêu cầu đảm bảo an toàn thông tin và tối thiểu đáp ứng các yêu cầu sau:

a) Tách biệt môi trường phát triển và kiểm thử với môi trường vận hành;

b) Không sử dụng dữ liệu thẻ trong môi trường vận hành cho môi trường kiểm thử;

c) Loại bỏ toàn bộ dữ liệu và tài khoản kiểm thử trước khi đưa phần mềm vào sử dụng;

d) Đánh giá, xem xét lại mã nguồn phần mềm ứng dụng để phát hiện, khắc phục lỗ hổng bảo mật tiềm tàng trước khi đưa vào sử dụng. Nhân sự thực hiện đánh giá phải độc lập với nhân sự phát triển mã nguồn ứng dụng.

4. Thực hiện các thủ tục kiểm soát sự thay đổi khi cập nhật các bản vá lỗ hổng bảo mật, thay đổi phần mềm ứng dụng:

a) Xây dựng tài liệu đánh giá tác động đến toàn bộ hệ thống và được người có thẩm quyền phê duyệt trước khi thực hiện;

b) Không được làm ảnh hưởng đến tính an toàn bảo mật của hệ thống;

c) Thực hiện sao lưu, có kế hoạch dự phòng trước khi thực hiện thay đổi.

5. Khi phát triển mã nguồn ứng dụng cần kiểm tra, loại bỏ các lỗ hổng bảo mật trong ứng dụng, bao gồm:

a) Các lỗ hổng chèn mã lệnh truy vấn cơ sở dữ liệu (SQL injection), câu lệnh hệ điều hành (OS injection), các phương tiện lưu trữ dữ liệu khác;

b) Lỗi tràn bộ nhớ đệm;

c) Lỗi mã hóa không an toàn trong lưu trữ dữ liệu;

d) Lỗi không an toàn trong truyền thông;

đ) Rò rỉ thông tin qua thông báo lỗi (error handling);

e) Các nguy cơ chèn mã, đoạn mã javascript, jscript, DHTML, các thẻ HTML;

g) Các kiểm soát truy cập không đúng;

h) Các hình thức tấn công chiếm quyền xác thực của người sử dụng trên một website thông qua một website giả mạo khác (Cross Site Request Forgery);

i) Lỗi trong quản lý phiên truy cập (session ID);

k) Các lỗ hổng bảo mật được xác định có mức độ cao được quy định tại Khoản 1 Điều này.

6. Các ứng dụng cung cấp dịch vụ trên các môi trường mạng bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác) phải có các biện pháp để xử lý các mối đe dọa và lỗ hổng bảo mật, bao gồm:

a) Đánh giá an toàn bảo mật tối thiểu 01 lần/quý hoặc sau khi có sự thay đổi bằng các công cụ đánh giá tự động hoặc thủ công;

b) Thực hiện các giải pháp kỹ thuật tự động phát hiện và phòng chống tấn công bằng thiết bị tường lửa ứng dụng web (Web Application Firewall).

7. Phần mềm hệ thống thanh toán thẻ phải có tính năng lọc, không chấp nhận thanh toán cho các giao dịch không được phép thực hiện theo quy định của pháp luật.

Điều 6. Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ

1. Việc truy cập vào ứng dụng thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học.

2. Việc truy cập từ xa vào hệ thống mạng phải được xác thực bằng tối thiểu hai phương thức quy định tại Khoản 1 Điều này.

3. Mã hóa toàn bộ mã khóa bí mật trên đường truyền và khi lưu trữ bằng các phương pháp mã hóa mạnh.

4. Thực hiện các biện pháp kiểm soát tài khoản vận hành và tài khoản quản trị:

a) Cấp phát tài khoản truy cập riêng biệt, phân quyền tương ứng cho từng cá nhân làm nhiệm vụ vận hành và quản trị các thiết bị phục vụ thanh toán thẻ;

b) Kiểm soát việc thêm mới, xóa, sửa các định danh, thông tin tài khoản người sử dụng đúng mục tiêu quản lý;

c) Thu hồi quyền truy cập ngay khi người sử dụng hết hạn sử dụng hoặc chuyển công việc khác hoặc không làm nhiệm vụ vận hành, quản trị;

d) Thẩm tra, xác nhận lại danh tính người sử dụng khi nhận được yêu cầu gián tiếp qua email, điện thoại trước khi thay đổi, phục hồi lại mã khóa bí mật tài khoản;

đ) Tài khoản cấp phát lần đầu phải thiết lập mã khóa bí mật và mã khóa bí mật đó trên các tài khoản phải khác nhau. Tài khoản chỉ được hoạt động khi người dùng thay đổi mã khóa bí mật ban đầu;

e) Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian;

g) Việc cấp tài khoản truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ phải được giới hạn về thời gian, phải được người có thẩm quyền phê duyệt và được giám sát hoạt động;

h) Không được chia sẻ hoặc dùng chung tài khoản để truy cập hệ thống;

i) Tài khoản phải được thay đổi mã khóa bí mật tối thiểu 01 lần/quý; mã khóa bí mật phải có độ dài tối thiểu 07 (bảy) ký tự, bao gồm cả ký tự chữ và số (ngoại trừ PIN); mã khóa bí mật không được sử dụng lặp lại trong bốn lần gần nhất;

k) Số lần nhập sai mã khóa bí mật tối đa được phép không quá 03 (ba) lần. Có biện pháp khóa tài khoản tự động khi nhập sai mã khóa bí mật quá số lần quy định. Thời gian phục hồi tài khoản bị khóa sau khi nhập sai mã khóa bí mật tối thiểu 30 phút hoặc theo yêu cầu;

l) Phiên làm việc với hệ thống thanh toán thẻ ở trạng thái chờ quá 15 phút hệ thống phải yêu cầu xác thực lại để vào hệ thống;

m) Phổ biến và đào tạo các chính sách, quy trình truy cập và xác thực tài khoản vào hệ thống, đảm bảo các tổ chức, cá nhân liên quan nắm rõ được quyền hạn, trách nhiệm khi được cấp tài khoản truy cập.

5. Ban hành chính sách và thủ tục xác thực tài khoản truy cập, trong đó phải bao gồm các nội dung:

a) Hướng dẫn lựa chọn và bảo vệ thông tin xác thực, mã khóa bí mật;

b) Hướng dẫn không dùng lại mã khóa bí mật đã sử dụng trước đó;

c) Hướng dẫn thay đổi mã khóa bí mật định kỳ hoặc ngay khi có nghi ngờ mã khóa bí mật bị lộ.

6. Quản lý truy cập cơ sở dữ liệu thanh toán thẻ

a) Chỉ người quản trị cơ sở dữ liệu được trực tiếp truy cập cơ sở dữ liệu;

b) Người sử dụng khác khi truy cập cơ sở dữ liệu phải thông qua các chương trình ứng dụng có kiểm soát quyền hạn xem, nhập, xóa, thay đổi thông tin;

c) Không sử dụng các tài khoản truy cập cơ sở dữ liệu của chương trình ứng dụng cho cá nhân hoặc các tiến trình khác;

d) Mã khóa bí mật của tài khoản truy cập cơ sở dữ liệu của ứng dụng phải được mã hóa trên ứng dụng và trong cơ sở dữ liệu;

đ) Mọi thao tác trên cơ sở dữ liệu phải được ghi nhật ký và nhật ký phải được lưu giữ tối thiểu 01 năm.

Chương III

CÁC YÊU CẦU KỸ THUẬT ĐỐI VỚI ATM

Điều 7. Các yêu cầu kỹ thuật lắp đặt và an toàn vật lý ATM

1. Yêu cầu về lắp đặt ATM

a) Tổ chức hoạt động thẻ có cung cấp dịch vụ ATM (sau đây gọi chung là tổ chức cung cấp dịch vụ ATM) phải đảm bảo các yêu cầu về việc lắp đặt ATM theo quy định của Ngân hàng Nhà nước Việt Nam về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của ATM.

b) Đối với ATM đặt bên ngoài

Ngoài các yêu cầu tại Điểm a Khoản 1 Điều này, tổ chức cung cấp dịch vụ ATM thực hiện thêm các biện pháp đảm bảo an toàn cho ATM đặt bên ngoài đối với những nguy cơ mất an toàn vật lý sau:

- Có biện pháp đảm bảo ATM tránh bị kéo để di dời trái phép;

- Che giấu các thành phần, bộ phận ATM không cần thiết để lộ ra bên ngoài.

2. Yêu cầu về hệ thống báo động

a) Tổ chức cung cấp dịch vụ ATM trang bị thiết bị cảm biến cho ATM đặt bên ngoài để cảnh báo tác động nhiệt từ các thiết bị khò hàn và nhận biết các lực tác động với cường độ lớn, hoặc liên tục từ bên ngoài lên thân vỏ máy;

b) Tổ chức cung cấp dịch vụ ATM trang bị các thiết bị báo động cho ATM nhằm phòng chống:

- Mở cửa máy trái phép;

- Di dời trái phép khỏi khu vực đặt máy;

- Đập phá máy trái phép. Các thiết bị báo động ngoài việc phát tín hiệu báo động tại chỗ, phải gửi cảnh báo về trung tâm giám sát.

3. Yêu cầu về két đựng tiền

a) Tổ chức cung cấp dịch vụ ATM trang bị két đựng tiền của ATM làm bằng vật liệu chịu được lực tác động lớn, chống được ăn mòn, tản nhiệt nhanh hoặc hấp thụ nhiệt chậm nhằm giảm thiểu mức độ hư hỏng vỏ két và tổn thất tiền bên trong do tác động lực, hóa chất và nhiệt từ bên ngoài;

b) Két đựng tiền của ATM phải được trang bị ít nhất hai khóa, do hai người nắm giữ.

4. Bàn phím nhập mã PIN phải đạt các yêu cầu nêu tại Điều 13 Thông tư này.

5. ATM phải có chứng nhận xuất xứ và có chứng nhận chất lượng của nhà sản xuất.

Điều 8. Các yêu cầu kỹ thuật về phần mềm, đường truyền, liên thông cho ATM

1. Tổ chức cung cấp dịch vụ ATM phải đảm bảo các yêu cầu về phần mềm của ATM

a) Hệ điều hành máy ATM phải có bản quyền, được hỗ trợ bởi nhà cung cấp và được cập nhật bản vá lỗi kịp thời;

b) Hệ điều hành được cài đặt hoặc thiết lập phải đảm bảo phân tách các quyền khác nhau: quyền được sử dụng thiết bị lưu trữ ngoài; quyền được phép thay đổi cấu hình và chạy các ứng dụng, dịch vụ;

c) Phần mềm giao dịch trên ATM phải được thiết lập tính năng thông báo bằng hình ảnh hoặc âm thanh để cảnh báo người dùng các biện pháp an toàn trước khi nhập số PIN hoặc để thông báo người dùng nhận thẻ, nhận tiền sau khi thực hiện giao dịch;

d) Phần mềm điều khiển thiết bị, phần mềm giao dịch phải được thiết lập các tính năng chống lại việc lộ thông tin thẻ, thất thoát tiền do sai sót, gian lận hoặc do yếu tố lỗi kỹ thuật, các tính năng bao gồm:

- Khi phần mềm điều khiển thiết bị chi tiền hoặc phần mềm ghi nhật ký giao dịch điện tử không hoạt động, ATM phải tự động dừng hoạt động chức năng rút tiền và tự động thông báo lỗi về trung tâm;

- Phần mềm giao dịch trên ATM phải thiết lập tính năng bắt buộc người dùng phải nhập lại số PIN khi thực hiện giao dịch rút tiền tiếp theo; có thông báo nhắc nhở người dùng các biện pháp an toàn trước khi nhập số PIN và nhận thẻ sau khi thực hiện giao dịch.

2. Yêu cầu đường truyền cho ATM

Tổ chức cung cấp dịch vụ ATM thiết lập đường truyền cho ATM phải ngăn chặn được các truy cập Internet trừ các kết nối về trung tâm để thực hiện giao dịch. Việc cập nhật bản vá lỗi hệ điều hành, phần mềm phòng chống virus và các cập nhật khác tại ATM phải được thực hiện tại chỗ hoặc thông qua hệ thống tập trung nội bộ.

3. Yêu cầu về kết nối liên thông hệ thống thanh toán thẻ

Hợp đồng, thỏa thuận kết nối liên thông hệ thống thanh toán thẻ qua ATM phải quy định dữ liệu được mã hóa và trách nhiệm của các bên trong việc đảm bảo tính bí mật của khóa dùng cho mã hóa. Khóa dùng cho mã hóa phải thay đổi tối thiểu 01 lần/năm.

Điều 9. Các yêu cầu về giám sát, an ninh hệ thống ATM

1. Tổ chức cung cấp dịch vụ ATM phải trang bị phần mềm quản lý tập trung, theo dõi đầy đủ tức thời về tình trạng của ATM.

2. Tổ chức cung cấp dịch vụ ATM có biện pháp kỹ thuật, hành chính để quản lý chặt chẽ hệ thống ATM, phát hiện kịp thời các truy cập bất hợp pháp, lắp đặt trái phép thiết bị sao chép thông tin thẻ hoặc ghi hình các thao tác người sử dụng

a) Có hệ thống giám sát giao dịch trên hệ thống thanh toán thẻ, liên tục theo dõi nhằm phát hiện giao dịch thanh toán thẻ đáng ngờ, gian lận dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần nhập PIN sai quá quy định và các dấu hiệu bất thường khác để kịp thời xử lý và cảnh báo cho chủ thẻ;

b) Hình ảnh ghi được của camera phải đủ rõ nét để phục vụ yêu cầu giải quyết tra soát, khiếu nại.

3. Dữ liệu nhật ký trên ATM phải được sẵn sàng truy cập trong thời gian tối thiểu 03 tháng và lưu trữ tối thiểu 01 năm.

4. Tổ chức cung cấp dịch vụ ATM đảm bảo các yêu cầu khác về an toàn hoạt động ATM theo quy định của Ngân hàng Nhà nước Việt Nam về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của ATM.

Chương IV

CÁC YÊU CẦU KỸ THUẬT ĐỐI VỚI MÁY POS

Điều 10. Các yêu cầu đối với máy POS

1. TCTTT, TCTGTT và ĐVCNT phải có thỏa thuận rõ về trách nhiệm của ĐVCNT, bao gồm:

a) Quản lý, bảo vệ, lắp đặt máy POS tại nơi an toàn. Có biện pháp phòng chống việc sử dụng trái phép, trộm cắp máy POS, lắp đặt các thiết bị đọc trộm dữ liệu thẻ trên máy POS;

b) Lắp đặt nguồn điện, đường truyền đúng theo yêu cầu kỹ thuật của nhà sản xuất;

c) Máy POS phải có tên và logo của TCTTT.

2. Máy POS phải có chứng nhận xuất xứ và có chứng nhận chất lượng của nhà sản xuất.

3. Trên tất cả các máy POS phải có số điện thoại liên hệ của TCTTT và tổ chức cung cấp dịch vụ hỗ trợ (nếu có).

4. Bàn phím nhập mã PIN phải đạt các yêu cầu nêu tại Điều 13 Thông tư này.

5. TCTTT, TCPHT phải có hệ thống giám sát, cảnh báo các giao dịch bất thường (số lượng, giá trị, thời gian, địa điểm giao dịch).

Điều 11. Các yêu cầu đối với máy mPOS

1. TCTTT, TCTGTT và ĐVCNT phải có thỏa thuận rõ về tiêu chuẩn kỹ thuật và trách nhiệm kiểm tra giám sát hoạt động của máy mPOS đáp ứng tối thiểu các yêu cầu sau:

a) Yêu cầu đối với thiết bị thông tin di động cài đặt phần mềm mPOS

- Thiết bị không bị bẻ khóa (jailbreaking hoặc rooting), tắt các kết nối không cần thiết cho việc sử dụng thanh toán;

- Thiết lập thêm các tính năng bảo mật phòng chống bị mất, trộm cắp (tính năng theo dõi vị trí qua GPS, mã hóa ổ đĩa lưu trữ). Đồng thời, ĐVCNT phải quản lý thông tin về số serial, phiên bản phần mềm của thiết bị.

b) Yêu cầu đối với phần mềm mPOS;

- Phần mềm mPOS được cài đặt theo hướng dẫn của đơn vị cung cấp giải pháp hoặc TCTTT;

- Phần mềm mPOS không được phép thanh toán khi thiết bị mPOS không kết nối được về trung tâm thanh toán thẻ và không được lưu trữ các giao dịch thẻ;

- Màn hình mPOS phải hiển thị tình trạng sẵn sàng phục vụ để người dùng biết;

- Hóa đơn thanh toán được gửi đến khách hàng qua email, SMS hoặc được in ra (khi có yêu cầu), trong đó số thẻ phải được che giấu (chỉ hiển thị tối đa 06 (sáu) số đầu và 04 (bốn) số cuối).

2. TCTTT phải công bố danh sách các ĐVCNT đã đăng ký sử dụng máy mPOS để chấp nhận thanh toán trên website của đơn vị hoặc các phương tiện truyền thông khác (nếu có).

Chương V

BẢO VỆ DỮ LIỆU THẺ

Điều 12. Chính sách an toàn bảo mật thông tin thẻ

1. Tổ chức hoạt động thẻ phải lập và cập nhật danh sách các trang thiết bị phục vụ thanh toán thẻ và mô tả chức năng liên quan đến hệ thống thanh toán thẻ.

2. Tổ chức hoạt động thẻ phải thiết lập, công bố, duy trì và phổ biến chính sách an toàn bảo mật trong toàn đơn vị. Đánh giá chính sách an toàn bảo mật ít nhất 01 lần/năm và cập nhật chính sách khi thiết bị phục vụ thanh toán thẻ có thay đổi.

3. Tổ chức hoạt động thẻ phải thực hiện quy trình đánh giá rủi ro ít nhất 01 lần/năm và ngay sau khi hệ thống có thay đổi về sơ đồ mạng, an ninh bảo mật, bổ sung hệ thống máy chủ dịch vụ hoặc bổ sung, sửa đổi nghiệp vụ.

4. Tổ chức hoạt động thẻ phải xây dựng và triển khai thực hiện quy định về việc sử dụng các công nghệ có rủi ro cao (các truy cập từ xa, mạng không dây, sử dụng các thiết bị di động, email và Internet). Nội dung quy định bao gồm các yêu cầu sau:

a) Phải được người có thẩm quyền phê duyệt trước khi sử dụng;

b) Phải được xác thực bằng tài khoản và mã khóa bí mật hoặc phương pháp xác thực khác trước khi sử dụng;

c) Liệt kê và giám sát hoạt động toàn bộ danh sách các thiết bị, công nghệ và người dùng được cấp quyền sử dụng;

d) Có phương pháp để xác định dễ dàng và thuận tiện người sở hữu, thông tin liên hệ và mục đích sử dụng của thiết bị (bằng cách dán nhãn, ghi mã vạch hoặc kiểm kê các thiết bị);

đ) Xác định phạm vi áp dụng công nghệ có rủi ro cao;

e) Xác định các vị trí hệ thống mạng sử dụng công nghệ có rủi ro cao;

g) Đối với các truy cập từ xa phải tự động ngắt kết nối phiên làm việc một thời gian cụ thể khi hệ thống không hoạt động;

h) Chỉ kích hoạt truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ khi thực sự cần thiết theo yêu cầu và đồng thời phải vô hiệu hóa truy cập ngay sau phiên làm việc kết thúc;

i) Khi cấp quyền truy cập từ xa vào dữ liệu chủ thẻ phải thực hiện các biện pháp kỹ thuật cấm sao chép, di chuyển và lưu trữ dữ liệu chủ thẻ vào các ổ cứng, phương tiện mang tin, thiết bị ngoại vi. Đối với trường hợp đặc biệt cần thực hiện sao chép, di chuyển, lưu trữ dữ liệu chủ thẻ bằng truy cập từ xa, phải quy định rõ ràng trách nhiệm bảo vệ dữ liệu chủ thẻ theo các quy định tại Thông tư này.

5. Tổ chức hoạt động thẻ phải quy định rõ ràng trách nhiệm bảo vệ an toàn bảo mật dữ liệu thẻ đối với các tổ chức, cá nhân thuộc đơn vị mình và các bên liên quan.

6. Phân công nhiệm vụ trong quản lý đảm bảo an toàn thông tin thẻ

a) Giám sát và phân tích các thông tin, cảnh báo về rủi ro an ninh thông tin và chuyển thông tin đến bộ phận có trách nhiệm để phối hợp giải quyết;

b) Có biện pháp ứng phó sự cố kịp thời để kiểm soát được mọi tình huống;

c) Quản lý tài khoản người dùng trên hệ thống;

d) Giám sát và kiểm soát toàn bộ truy cập đến dữ liệu;

đ) Việc phân công được lập thành văn bản.

7. Tổ chức hoạt động thẻ phải thực hiện đào tạo nhận thức về an ninh bảo mật thẻ cho nhân viên khi mới tuyển dụng và định kỳ ít nhất 01 lần/năm cho toàn bộ nhân viên; phải kiểm tra, kiểm soát đảm bảo nhân viên trong đơn vị nhận thức được các chính sách an toàn bảo mật thẻ.

8. Tổ chức hoạt động thẻ phải thiết lập và duy trì quy trình, chính sách quản lý tổ chức hỗ trợ hoạt động thẻ có chia sẻ dữ liệu hoặc có ảnh hưởng đến an toàn bảo mật dữ liệu thẻ. Quy trình, chính sách quản lý đáp ứng tối thiểu các yêu cầu sau:

a) Cập nhật danh sách tổ chức hỗ trợ hoạt động thẻ;

b) Tổ chức hoạt động thẻ phải thực hiện lựa chọn các tổ chức hỗ trợ hoạt động thẻ trước khi ký kết, thỏa thuận hợp đồng. Quá trình lựa chọn phải thể hiện rõ yêu cầu của đơn vị đối với tổ chức hỗ trợ hoạt động thẻ, hồ sơ đáp ứng yêu cầu của tổ chức hỗ trợ hoạt động thẻ phải đáp ứng an toàn bảo mật thông tin thẻ;

c) Hợp đồng với các tổ chức hỗ trợ hoạt động thẻ phải quy định rõ trách nhiệm của tổ chức hỗ trợ hoạt động thẻ tuân thủ các quy định có liên quan tại Thông tư này. Phải có cam kết bằng văn bản các điều khoản và trách nhiệm trong đó tổ chức hỗ trợ hoạt động thẻ cung cấp dịch vụ có trách nhiệm đảm bảo an toàn bảo mật thông tin thẻ trong các dịch vụ mình cung cấp hoặc lưu giữ, xử lý, trao đổi thông tin. Cam kết phải nêu rõ phạm vi cung cấp và dịch vụ được tổ chức hỗ trợ hoạt động thẻ cung cấp;

d) Tổ chức hoạt động thẻ phải tổ chức quản lý, cập nhật thông tin về các tổ chức hỗ trợ hoạt động thẻ đáp ứng theo các yêu cầu Thông tư này.

9. Tổ chức hoạt động thẻ phải xây dựng quy trình và thực hiện ứng phó các sự cố để đảm bảo xử lý được ngay khi có sự cố xảy ra. Quy trình ứng phó sự cố đáp ứng tối thiểu các yêu cầu sau:

a) Vai trò, trách nhiệm, truyền thông và liên lạc của các cá nhân, tổ chức trong trường hợp xảy ra xâm phạm hệ thống;

b) Có kịch bản cụ thể để ứng phó sự cố;

c) Có kịch bản phục hồi và đảm bảo hoạt động liên tục;

d) Có kịch bản sao lưu dữ liệu;

đ) Kiểm thử quy trình tối thiểu 01 lần/năm;

e) Phân công nhân sự cụ thể để sẵn sàng ứng phó sự cố 24/7;

g) Thực hiện các chương trình đào tạo cho nhân viên để đáp ứng công việc ứng phó sự cố về an toàn bảo mật thẻ;

h) Quy trình ứng phó sự cố bao gồm cả các cảnh báo từ hệ thống giám sát an ninh (các hệ thống phát hiện, phòng chống xâm nhập, thiết bị tường lửa và hệ thống giám sát tính toàn vẹn của các tệp tin dữ liệu);

i) Thực hiện sửa đổi và hoàn thiện quy trình ứng phó sự cố thông qua bài học kinh nghiệm và đáp ứng sự phát triển về công nghệ thông tin.

Điều 13. Các yêu cầu đối với bàn phím nhập số PIN

1. Bàn phím dùng để nhập số PIN phải tự hủy được các thông tin nhạy cảm lưu trữ trong đó bao gồm các khóa mã hóa, PIN, mã khóa bí mật và không thể khôi phục lại được thông tin này khi bị xâm nhập vật lý.

2. Âm thanh khi gõ một phím không phân biệt được với âm thanh khi gõ phím khác. Ngoài ra không thể xác định được bất kỳ ký tự PIN nào được nhập bằng cách theo dõi điện từ, điện năng tiêu thụ.

3. Số PIN phải được mã hóa ngay sau khi nhập xong (người dùng ấn Enter). Bộ nhớ đệm tự động được xóa sau khi giao dịch kết thúc hoặc hết thời gian chờ.

4. Các tính năng an toàn của bàn phím không bị thay đổi bởi điều kiện môi trường, điều kiện vận hành.

Điều 14. Bảo vệ vùng lưu trữ dữ liệu thẻ

1. Lưu trữ, phục hồi, hủy thông tin, dữ liệu thẻ

a) Thực hiện chính sách, thủ tục, quy trình lưu trữ và hủy dữ liệu chủ thẻ; hạn chế lượng dữ liệu, thời gian cần lưu trữ đáp ứng theo yêu cầu nghiệp vụ và quy định của pháp luật về lưu trữ; hàng quý thực hiện xác định và xóa an toàn dữ liệu chủ thẻ vượt quá thời gian cần lưu trữ; tuân thủ các quy định về lưu dữ liệu chủ thẻ, bao gồm các quy định về thời hạn bảo quản hồ sơ, tài liệu lưu trữ trong ngành ngân hàng;

b) Dữ liệu xác thực thẻ phải đảm bảo: Giữ bí mật trong hoạt động in ấn, phát hành thẻ; cá nhân hoặc tổ chức khi xử lý dữ liệu xác thực thẻ phải cam kết không tiết lộ thông tin; không lưu trữ dữ liệu xác thực thẻ sau khi đã xác thực, kể cả thông tin đã mã hóa tại giao dịch đến, các tập tin dữ liệu nhật ký, tập tin lịch sử, tập tin theo dõi, các bảng sơ đồ dữ liệu và các nội dung cơ sở dữ liệu;

c) Số thẻ phải được che giấu khi hiển thị và chỉ được hiển thị đầy đủ khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ; số thẻ phải đảm bảo không đọc được tại các nơi lưu trữ;

d) Đảm bảo số thẻ không đọc được tại các nơi lưu trữ bằng cách sử dụng một trong các phương pháp sau:

- Phương pháp sử dụng hàm băm một chiều (hàm hash) dựa trên thuật toán mã hóa mạnh;

- Phương pháp phân tách, cắt bớt dữ liệu đảm bảo không đọc được toàn bộ dữ liệu khi lưu trữ trên các tập tin, cơ sở dữ liệu, dữ liệu nhật ký;

- Sử dụng hệ thống mật mã sử dụng một lần, trong đó đảm bảo thiết bị nhận mã phải được giữ bí mật;

- Phương pháp mã hóa mạnh với quy trình và thủ tục quản lý khóa phải được tuân thủ;

- Sử dụng phương pháp mã hóa ổ đĩa trong đó đảm bảo thực hiện mã hóa các tập tin thông qua cơ chế riêng biệt và độc lập với cơ chế kiểm soát truy cập và xác thực trên nền hệ điều hành có sẵn.

2. Quy định mã hóa dữ liệu tại vùng lưu trữ dữ liệu thẻ

a) Các khóa dùng trong mã hóa phải được lưu trữ và có biện pháp đảm bảo an toàn tránh nguy cơ lộ thông tin:

- Giới hạn số lượng người có quyền truy cập đến khóa mã hóa;

- Lưu giữ các khóa riêng dùng để mã hóa, giải mã dữ liệu chủ thẻ trong mọi thời điểm theo một trong các phương thức sau:

+ Lưu trữ trong thiết bị chuyên dụng hoặc thiết bị bảo mật PIN trong giao dịch;

+ Lưu giữ khóa thành tối thiểu hai phần riêng biệt.

+ Thực hiện mã hóa khóa bằng thuật toán phải mạnh bằng hoặc mạnh hơn thuật toán dùng để mã hóa dữ liệu. Khóa để mã hóa khóa phải được lưu trữ tách biệt với khóa để mã hóa dữ liệu;

b) Ban hành quy trình thực hiện tất cả các công việc liên quan đến quản lý khóa và thủ tục mã hóa để mã hóa dữ liệu chủ thẻ bao gồm:

- Quá trình tạo ra các khóa mã hóa;

- Phân phối khóa mã hóa;

- Lưu giữ khóa mã hóa;

- Định kỳ thay đổi các khóa khi hết vòng đời sử dụng;

- Thay thế hoặc thu hồi các khóa khi có nghi ngờ bị lộ, bị sửa đổi.

c) Quản lý khóa mã hóa phải đáp ứng tối thiểu các yêu cầu sau:

- Nếu sử dụng các khóa mã hóa dưới dạng bản rõ (clear text) phải đảm bảo khóa này được chia thành nhiều phần quản lý bởi tối thiểu hai người, mỗi người giữ một phần khóa mã hóa;

- Ngăn ngừa việc thay thế các khóa mã hóa khi chưa được phép;

- Phải quy định rõ trách nhiệm của người giữ khóa mã hóa.

Điều 15. Mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài

1. Sử dụng các phương thức mã hóa và các giao thức bảo mật thích hợp (tối thiểu các giao thức SSL/TLS, SSH, IPSEC) để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác).

2. Khi gửi số thẻ đến người sử dụng thông qua thông điệp điện tử, số phải được mã hóa bằng phương pháp mã hóa mạnh.

Điều 16. Hạn chế quyền truy cập đến dữ liệu thẻ

1. Các truy cập và xử lý trên dữ liệu thẻ phải đảm bảo được phân quyền đúng và ở mức tối thiểu đủ để thực hiện nhiệm vụ của từng cá nhân.

2. Xây dựng chính sách hạn chế quyền truy cập từ xa, từ vùng mạng bên ngoài vào hệ thống. Giám sát hoạt động, ghi nhật ký thời gian truy cập vào hệ thống.

3. Việc cấp quyền truy cập các hệ thống thanh toán thẻ phải được người có thẩm quyền phê duyệt bằng văn bản.

4. Thiết lập biện pháp, hệ thống kiểm soát truy cập cho toàn bộ các thiết bị phục vụ thanh toán thẻ, đảm bảo giới hạn các truy cập theo đúng chức trách, nhiệm vụ được giao; các truy cập không hợp lệ phải bị loại bỏ.

Điều 17. Hạn chế quyền truy cập vật lý tới dữ liệu thẻ

1. Thực hiện các kiểm soát ra, vào tới khu vực đặt hệ thống thanh toán thẻ, trung tâm dữ liệu thẻ, các môi trường vật lý có dữ liệu thẻ:

a) Thiết lập kiểm soát các điểm kết nối mạng có dây và không dây tại các khu vực công cộng đảm bảo giới hạn quyền truy cập. Kiểm soát việc truy cập vật lý các thiết bị di động, các thiết bị truyền thông, thiết bị mạng và các đường điện thoại, viễn thông;

b) Sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu thủ thẻ. Các dữ liệu giám sát phải được lưu trữ tối thiểu 03 tháng.

2. Xây dựng thủ tục để nhận biết được nhân viên và các cá nhân bên ngoài (tổ chức hỗ trợ hoạt động thẻ, khách) đến làm việc bao gồm:

a) Thủ tục để nhận biết nhân viên mới, cá nhân bên ngoài;

b) Thủ tục để thay đổi các yêu cầu truy cập và thu hồi quyền truy cập của nhân viên khi thôi việc, các cá nhân bên ngoài khi hết hạn.

3. Kiểm soát truy cập vật lý đối với nhân viên khi đến phòng máy chủ, khu vực in ấn phát hành thẻ, nơi lưu trữ, xử lý dữ liệu chủ thẻ đáp ứng yêu cầu sau:

a) Truy cập phải được cấp quyền dựa trên yêu cầu công việc của mỗi cá nhân;

b) Quyền truy cập phải được thu hồi ngay khi công việc kết thúc, tất cả các công cụ dùng để truy cập (chìa khóa, thẻ truy cập) phải được thu hồi hoặc vô hiệu hóa.

4. Thực hiện các thủ tục để nhận diện và cấp phép cho các cá nhân bên ngoài khi ra vào khu vực lưu trữ, xử lý dữ liệu chủ thẻ

a) Các cá nhân bên ngoài phải được cho phép trước khi vào và được giám sát toàn thời gian tại khu vực lưu trữ, xử lý dữ liệu chủ thẻ;

b) Các cá nhân bên ngoài phải được nhận diện bằng thẻ hoặc phương thức khác có thời hạn hiệu lực và phải nhận diện được bằng mắt thường;

c) Các cá nhân bên ngoài phải được yêu cầu thu hồi thẻ hoặc phương thức nhận diện khác trước khi rời khỏi đơn vị hoặc khi hết thời gian hiệu lực;

d) Nhật ký ra, vào của cá nhân bên ngoài phải được lưu giữ bằng các hình thức văn bản hoặc điện tử tối thiểu 01 năm.

5. Phương tiện chứa dữ liệu sao lưu của hệ thống thanh toán thẻ phải bảo quản tại nơi an toàn. Địa điểm bảo quản phải được kiểm tra đảm bảo các điều kiện an toàn ít nhất 01 lần/năm.

6. Đảm bảo an toàn các tài sản vật lý, các thông tin, hồ sơ quan trọng liên quan đến hoạt động thẻ, phương tiện mang tin. Kiểm soát việc vận chuyển phương tiện mang tin đảm bảo an toàn dữ liệu thẻ. Phải được người có thẩm quyền phê duyệt trước khi bàn giao, di chuyển, phân phối các phương tiện mang tin.

7. Thực hiện kiểm soát chặt chẽ việc lưu trữ và truy cập tới phương tiện mang tin. Tiến hành kiểm kê tài sản, các phương tiện mang tin tối thiểu 01 lần/năm.

8. Các thiết bị đọc dữ liệu thẻ phải được giám sát bảo vệ đảm bảo các yêu cầu sau:

a) Thường xuyên cập nhật danh sách các thiết bị, các thông tin về nhà sản xuất, mẫu thiết bị, nơi đặt thiết bị, mã thiết bị (serial, product number);

b) Định kỳ kiểm tra các bề mặt của thiết bị nhằm phát hiện giả mạo hoặc các thành phần bị gắn thêm vào bằng cách kiểm tra các đặc điểm để nhận dạng hoặc số serial của thiết bị;

c) Người quản lý, sử dụng thiết bị phải được đào tạo để nhận biết các nguy cơ giả mạo hoặc thay thế trên thiết bị nhằm đánh cắp thông tin thẻ. Nội dung đào tạo bao gồm:

- Xác minh danh tính tổ chức hỗ trợ hoạt động thẻ trước khi cho phép tham gia vào quá trình sửa chữa, bảo trì, khắc phục lỗi của thiết bị;

- Kiểm tra, xác minh thiết bị trước khi cho phép cài đặt, thay thế hoặc hoàn trả thiết bị;

- Nhận biết được nguy cơ, hành vi đáng ngờ xung quanh thiết bị;

- Báo cáo các nguy cơ, hành vi giả mạo hoặc thay thế trái phép thiết bị đến người có thẩm quyền.

9. Phá hủy hồ sơ, tài liệu chứa dữ liệu thẻ bằng hình thức cắt thành các miếng nhỏ, đốt hoặc nghiền nát đảm bảo dữ liệu thẻ không thể đọc hoặc tái tạo lại. Phương tiện mang tin điện tử chứa thông tin chủ thẻ được hủy bằng các chương trình xóa dữ liệu chuyên dụng hoặc bằng các biện pháp hủy vật lý, khử từ đảm bảo dữ liệu chủ thẻ không thể đọc và khôi phục.

Điều 18. Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ

1. Theo dõi và giám sát toàn bộ truy cập tới tài nguyên và dữ liệu chủ thẻ

a) Thực hiện ghi dữ liệu nhật ký toàn bộ truy cập đến các thiết bị phục vụ thanh toán thẻ để lưu vết tất cả các hành vi của người sử dụng;

b) Thực hiện tự động ghi dữ liệu nhật ký truy cập đến toàn bộ thiết bị phục vụ thanh toán thẻ để xác định lại các sự kiện sau:

- Tất cả truy cập của người sử dụng đến dữ liệu chủ thẻ;

- Tất cả hành động của người sử dụng có tài khoản đặc quyền;

- Các truy cập đến toàn bộ dữ liệu nhật ký;

- Các cố gắng truy cập không được phép vào hệ thống;

- Quản lý người sử dụng (bao gồm các sự kiện tạo mới tài khoản và nâng quyền quản trị, các thay đổi hoặc xóa tài khoản của tài khoản quản trị);

- Khởi tạo, chấm dứt hoặc tạm ngừng việc ghi dữ liệu nhật ký;

- Khởi tạo hoặc xóa các dữ liệu, tài nguyên, chức năng, dịch vụ trên thiết bị phục vụ thanh toán thẻ.

c) Dữ liệu nhật ký của mỗi sự kiện (quy định tại Điểm b Khoản 1 Điều này) bao gồm tối thiểu các thông tin sau:

- Định danh người sử dụng;

- Loại sự kiện;

- Ngày, tháng và thời gian;

- Trạng thái thành công hoặc thất bại;

- Nguồn gốc của sự kiện;

- Tên hoặc định danh của dữ liệu, tài nguyên hoặc chức năng, dịch vụ bị ảnh hưởng bởi sự kiện.

d) Phải có hệ thống đồng bộ thời gian đối với hệ thống máy chủ, hệ thống ATM phục vụ thanh toán thẻ;

đ) Bảo vệ các dữ liệu nhật ký:

- Giới hạn quyền được xem dữ liệu nhật ký tối thiểu theo nhu cầu công việc;

- Bảo vệ các tập tin dữ liệu nhật ký nhằm tránh sửa đổi trái phép;

- Sao lưu dữ liệu nhật ký đến các máy chủ tập trung hoặc phương tiện mang tin;

e) Tổ chức hoạt động thẻ phải sử dụng công cụ để giám sát tính toàn vẹn của tập tin dữ liệu nhật ký hoặc phần mềm phát hiện thay đổi dữ liệu nhật ký;

g) Tổ chức hoạt động thẻ phải tiến hành xem xét, đánh giá các dữ liệu nhật ký và các sự kiện an ninh trên toàn bộ thiết bị phục vụ thanh toán thẻ để xác định hoạt động bất thường, hoạt động nghi ngờ bằng cách sử dụng các công cụ phân tích, khai thác và cảnh báo dựa trên dữ liệu nhật ký, cụ thể như sau:

- Tổ chức hoạt động thẻ phải đánh giá hàng ngày tối thiểu các nội dung dữ liệu nhật ký sau:

+ Toàn bộ các sự kiện về an toàn bảo mật;

+ Các dữ liệu nhật ký của hệ thống lưu trữ, xử lý, truyền nhận thông tin thẻ;

+ Các dữ liệu nhật ký của các trang thiết bị an toàn bảo mật cho hệ thống (các thiết bị tường lửa, hệ thống phát hiện xâm nhập, phòng chống xâm nhập, các máy chủ xác thực).

- Tổ chức hoạt động thẻ phải đánh giá toàn bộ dữ liệu nhật ký theo quy chế an toàn bảo mật và quy định về quản lý rủi ro của đơn vị. Đánh giá dữ liệu nhật ký tối thiểu 01 lần/năm;

- Trong quá trình đánh giá dữ liệu nhật ký, phải theo dõi xử lý các sự kiện ngoại lệ và sự kiện bất thường đã phát hiện được.

h) Dữ liệu nhật ký phải được lưu trữ trực tuyến tối thiểu 03 tháng để sẵn sàng truy cập và sao lưu tối thiểu 01 năm.

2. Kiểm tra về an ninh hệ thống thanh toán thẻ

a) Tổ chức hoạt động thẻ phải thực hiện kiểm soát các điểm truy cập mạng không dây. Có danh sách các điểm truy cập không dây (nếu có) được phép kết nối vào mạng của đơn vị, giải thích rõ mục đích sử dụng và được người có thẩm quyền phê duyệt. Định kỳ hàng quý rà soát các điểm truy cập mạng không dây kết nối vào mạng nội bộ của đơn vị;

b) Tổ chức hoạt động thẻ phải dò quét, đánh giá các lỗ hổng bảo mật hệ thống công nghệ thông tin từ bên trong và bên ngoài mạng đơn vị tối thiểu 01 lần/quý và ngay sau khi có bất cứ thay đổi quan trọng nào trong hệ thống (bao gồm: bổ sung thêm các thiết bị; thay đổi mô hình mạng; các thay đổi chính sách truy cập của thiết bị tường lửa; nâng cấp, cập nhật hệ điều hành, ứng dụng). Thực hiện khắc phục ngay các lỗ hổng bảo mật ở mức độ cao được xác định theo Khoản 1 Điều 5 Thông tư này;

c) Tổ chức hoạt động thẻ phải tổ chức diễn tập kịch bản thử nghiệm xâm nhập theo các yêu cầu sau:

- Thử nghiệm xâm nhập toàn bộ các hệ thống có lưu trữ, xử lý dữ liệu chủ thẻ;

- Thực hiện thử nghiệm xâm nhập từ bên trong và bên ngoài hệ thống ít nhất 01 lần/năm và ngay sau khi có sự thay đổi quan trọng trong hệ thống hoặc phát hiện được các lỗ hổng sau khi dò quét;

- Thử nghiệm xâm nhập hệ thống dựa trên các hướng dẫn của các tổ chức uy tín về hoạt động thử nghiệm xâm nhập và an toàn bảo mật;

- Thử nghiệm xâm nhập khai thác các lỗ hổng được liệt kê tại Khoản 5 Điều 5 của Thông tư này;

- Thử nghiệm xâm nhập đối với cả mức mạng và mức ứng dụng;

- Đánh giá và xem xét các mối đe dọa và lỗ hổng bảo mật đã xảy ra trong 12 tháng qua;

- Lưu trữ theo chế độ mật kết quả thử nghiệm xâm nhập và kết quả hành động khắc phục;

- Các lỗ hổng có thể bị khai thác được phát hiện được trong quá trình thử nghiệm xâm nhập phải được khắc phục và kiểm tra lại đảm bảo các lỗ hổng được khắc phục.

d) Tổ chức hoạt động thẻ phải sử dụng hệ thống phát hiện và phòng chống xâm nhập để phát hiện và ngăn chặn các xâm nhập trái phép vào hệ thống mạng, giám sát toàn bộ các truy cập đến môi trường dữ liệu chủ thẻ và cảnh báo cho người quản trị các nguy cơ bị xâm phạm. Các thiết bị phòng chống xâm nhập phải được cập nhật các dấu hiệu mã độc mới từ nhà cung cấp;

đ) Tổ chức hoạt động thẻ phải kiểm tra tính toàn vẹn đối với các dữ liệu quan trọng (các tập tin hệ thống, các tập tin cấu hình, các tập tin nội dung) tối thiểu hàng tháng.

Điều 19. Yêu cầu về đảm bảo hoạt động liên tục

1. Tổ chức hoạt động thẻ xây dựng quy trình khắc phục sự cố, quản lý rủi ro đối với hệ thống thanh toán thẻ, định kỳ tiến hành rà soát, cập nhật quy trình tối thiểu 01 lần/năm.

2. Hệ thống công nghệ thông tin phục vụ cho hoạt động thanh toán thẻ phải đảm bảo khả năng dự phòng tại chỗ và dự phòng thảm họa. Hệ thống dự phòng thảm họa phải thay thế hệ thống chính trong thời gian không quá 04 giờ kể từ khi hệ thống chính bị sự cố.

3. Tối thiểu 02 lần/năm, hệ thống thanh toán thẻ phải được chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng để đảm bảo tính đồng nhất và sẵn sàng của hệ thống dự phòng.

Chương VI

ĐIỀU KHOẢN THI HÀNH

Điều 20. Chế độ báo cáo

Các tổ chức hoạt động thẻ có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) như sau:

1. Báo cáo định kỳ hàng năm về việc thực hiện các quy định tại Thông tư này:

a) Thời hạn gửi báo cáo trước ngày 15 tháng 11 hàng năm;

b) Hình thức gửi báo cáo và mẫu báo cáo theo hướng dẫn của Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học).

2. Báo cáo đột xuất khi xảy ra vụ việc mất an toàn đối với hệ thống thanh toán thẻ:

a) Thời hạn gửi báo cáo: Trong vòng 10 ngày kể từ ngày vụ việc được phát hiện;

b) Nội dung báo cáo bao gồm: ngày, địa điểm phát sinh vụ việc; nguyên nhân vụ việc; đánh giá rủi ro, ảnh hưởng đối với hệ thống thanh toán thẻ và nghiệp vụ tại nơi xảy ra vụ việc và những địa điểm khác có liên quan;

c) Các biện pháp tổ chức đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro; kiến nghị, đề xuất.

Điều 21. Hiệu lực thi hành

Thông tư này có hiệu lực thi hành kể từ ngày 01/04/2015.

Điều 22. Quy định chuyển tiếp

Tổ chức hoạt động thẻ có các trang thiết bị thanh toán thẻ đã được lắp đặt trước ngày Thông tư này có hiệu lực phải rà soát, xây dựng các phương án xử lý, trong đó, nêu rõ các yêu cầu chưa đáp ứng, biện pháp và thời hạn thực hiện để đáp ứng đầy đủ các yêu cầu tại Thông tư và gửi Ngân hàng Nhà nước (Cục Công nghệ tin học) trước ngày 01/07/2015.

Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) xem xét phương án xử lý, yêu cầu tổ chức hoạt động thẻ sửa đổi, bổ sung phương án xử lý bao gồm cả thời hạn thực hiện (nếu thấy chưa đáp ứng được yêu cầu hoặc chưa đảm bảo tính khả thi) và các biện pháp trong phương án xử lý; giám sát thực hiện phương án xử lý của các tổ chức hoạt động thẻ.

Tổ chức hoạt động thẻ có trách nhiệm thực hiện phương án xử lý, sửa đổi, bổ sung và thực hiện phương án xử lý theo ý kiến của Ngân hàng Nhà nước Việt Nam (nếu có).

Điều 23. Trách nhiệm tổ chức thực hiện

1. Cục Công nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thực hiện Thông tư này và gửi kết quả kiểm tra cho các đơn vị liên quan để xử lý.

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm thanh tra, giám sát các tổ chức, cá nhân có liên quan trong việc thực hiện Thông tư này và xử lý vi phạm theo quy định của pháp luật.

3. Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương có trách nhiệm kiểm tra, giám sát, xử lý vi phạm theo thẩm quyền đối với hoạt động ATM, POS trên địa bàn theo các quy định tại Thông tư này và gửi kết quả kiểm tra về Ngân hàng Nhà nước Việt Nam (qua Cục Công nghệ tin học).

4. Thủ trưởng các đơn vị liên quan thuộc Ngân hàng Nhà nước Việt Nam; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) các tổ chức hoạt động thẻ có trách nhiệm tổ chức thực hiện Thông tư này.

Nơi nhận:
- Như Khoản 4 Điều 23;
- Ban lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu: VP, CNTH, PC.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC




Nguyễn Toàn Thắng

THE STATE BANK OF
VIETNAM
--------

SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
----------------

No: 47/2014/TT-NHNN

Hanoi, December 31,2014

 

CIRCULAR

DEFINING THE TECHNICAL REQUIREMENTS FOR CONFIDENTIALITY AND SAFETY OF EQUIPMENT SERVING BANK CARD PAYMENT

Pursuant to the Law on the State bank of Vietnam No. 46/2010 / QH12 dated June 16, 2010;

Pursuant to the Law on credit institutions No. 47/2010 / QH12 dated June 16, 2010;

Pursuant to the Law on Electronic transaction No. 51/2005 / QH11 dated November 29, 2005;

Pursuant to the Government's Decree No. 35/2007 / ND-CP dated March 8, 2007 on electronic transactions in banking operations;

Pursuant to the Government's Decree No. 101/2012 / ND-CP dated November 22, 2012 of on non-cash payments;

Pursuant to Decree No. 156/2013 / ND-CP dated November 11, 2013 defining the functions, tasks, entitlements and organizational structure of the State Bank of Vietnam;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

The Governor of the State bank of Vietnam promulgates the Circular defining the technical requirements for confidentiality and safety of equipment serving bank card payment

Chapter I

GENERAL PROVISIONS

Article 1. Scope of regulation and regulated entities

1. This Circular defines the technical requirements for confidentiality and safety of equipment serving bank card payment

2. This Circular shall be applied organizations which have card operations (hereinafter referred to as card organizations), including:

a) Organizations issuing cards ( hereafter referred to as issuers)

b) Organizations making payment of card ( hereafter referred to as payment organizations )

c) Organizations providing the intermediary payment services ( hereafter referred to as providers) having equipment for bank card payment.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

In this Circular, these terms below shall be construed as follows:

1. Equipment serving the card payment includes equipment, software used for receiving, processing card transactions.

2. Outside ATM (Automated Teller Machine) is ATM located in public places and places without direct supervisors.

3. POS (Point Of Sale) is a card-receiving equipment used for card transactions at the card accepting units ( hereafter referred to as accepting units.

4. mPOS (Mobile Point Of Sale) is a POS machine including software and specialized equipment integrated with mobile communication devices.

5. Bank card (hereinafter referred to as card) includes magnetic card and chip card

a) Magnetic cards are cards from which the information of the cardholder and the card is encrypted and stored in the magnetic stripe on the back of the card;

b) Chip cards are cards mounted computer chips or integrated circuits for identification, storage and trading information of the cardholder, or other micro processes.

6. Card number is a sequence of numbers used to identify issuers and cardholders.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

a) The cardholder data includes the following main data: card number; cardholder's name (for identity cards); the effective date of the card; service code 3 (three) or 4 (four) on the surface of the card to determine jurisdiction of the transaction (if any));

b) Card authentication data includes the following data: all data on the magnetic stripe for magnetic card or data on computer chips, integrated circuit of chip card; the range of value numbers ​​or card authentication code printed on the card; cardholder’s personal identification number (PIN) or personal identification number block ( PIN block) of the cardholder.

8. Data cardholder environment is environment including equipment and processes, transmission, storage of card data.

9. Powerful encryption is an encryption method based on the algorithm tested, widely accepted in the world with a minimum key length of 112 (one hundred and twelve) bits and appropriate key management techniques. The minimum algorithms include: AES (128 bit); TDES (112 bit); RSA (2048 bit); ECC (160 bit); ElGamal (2048 bit).

10. Diary data is data created by card payment system or human to save the transaction process, the operation of the system under the form of electronic, documents to serve monitoring , investigation, and complaints.

11. Competent persons in this Circular mean legal representatives of organizations or the legal representatives of authorizing organizations.

12. Organizations supporting card operations ( hereafter referred to as card-supporting organization ) are organizations and individuals with expertise hired or cooperated by card-supporting organizations to provide technical services or goods for card payment systems.

Chapter II

GENERAL TECHNICAL REQUIREMENTS

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

1. Requirements for configuration management and establishment of network security devices

a) Establishing and changing the configuration of network security devices must be tested and approved by competent persons prior to implementation;

b) Network connected schematic must be designed to meet the requirements:

- The cardholder data and other network areas, including the wireless network, must be separated;

- Server’s functions must be separated on the principle that the application server, database server, domain name managing server must be on different servers (which may be virtual servers on a physical server );

- There is a firewall at the point of connection between regions of the network;

- The network diagram must describe the entire path of cardholder data.

c) Responsibilities and powers of departments, individuals in management, configuration of network security devices shall be distributed in writing;

d) Internal Internet Protocol address (IP address) and routing information shall not be provided for other organizations without the approval of competent persons ;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

e) Establishment policies on network security devices shall be revaluated at least 02 times / year to remove the unused, expired or wrongly established policies, policies shall be ensured to be established on the device correct with the policies approved by competent persons.

2. Configuration of network security devices

a) Access to cardholder data environment shall be restricted, only really necessary and controllable access shall be accepted;

b) Access to network devices and network security devices shall be restricted in accordance with the responsibility of individuals, departments specified at Point c, Clause 1 of this Article;

c) Configuration files must be synchronized with the active configuration of the device and stored safely under the regulations of confidentiality to avoid unauthorized access;

d) Monitoring function of status of data packets must be set up or data on the firewall device or router must be filtered automatically to detect invalid packets.

3. Control of direct access from the Internet to the cardholder data environment

a) Service providing intermediary areas outside the Internet must be set up (specify the server, service, IP address, port, accessible protocol ). Connecting in and out between Internet and cardholder data environment must be via service providing intermediary areas ;

b) Measures against forge to prevent and remove capabilities of IP source address forge must be carried out;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

4. Requirements for firewall software establishment on all devices, personal computers connected to the data card.

a) The security policy on the firewall software only allows activities catering for the needs to handle the operation process;

b) Establishment on the firewall software must be ensured to be active;

c) That users can not change firewall software configuration on the device must be ensured.

Article 4. Change, removal or disabling parameters, default functionalities of equipment systems serving card payment

1. Parameters and default functionality of the system (accounts, secret keys, parameters of operating system, software, unused applications, the parameters on unused POS; default character string in Simple Network Management Protocol (SNMP)) shall be changed or disabled.

2. Default parameters ( encryption key in wireless networks, the secret key; default character string in the SNMP protocol in the wireless network environment is connected to a data card) shall be changed.

3. Default functionalities (services, protocols, background programs) shall only be turned on or set up when there is using demand.

4. Unnecessary functions, services, files, drives shall be removed . Additional safety measures (SSH , S-FTP, SSL, IPSec VPN technologies) shall be carried out when using unsafe services, protocols to transfer data on the network (File Sharing, NetBIOS, Telnet, FTP).

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

1. Security holes shall be identified by scanning tools and information resources of the reputable outside network security organizations to determine the impact of new security vulnerabilities for card payment system, including the extent of impact: high; moderate; low level.

2. All equipment for card payment shall be ensured to be updated patches of security holes launched from the manufacturer. Patches of security holes with high degree must be installed in the shortest time and within 01 month after the manufacturer launches the patches.

3. Development of the application software in the field of cards must be ensured to comply with the law and development standards of the application software widely applied in the field of information technology. The software development cycle must integrate with the information safety requirements and at least meet the following requirements:

a) The development and test environment must be separated with the operational environment;

b) The data card in the operating environment must not used for the test environment;

c) All test data and account shall be removed before putting the software in use;

d) The source code of application software shall be revaluated and reviewed to detect and fix potential security holes before they are put to use. Evaluating persons must be different from persons developing application source code.

4. Procedures for control of changes in updating the patches of security holes and changes in application software shall be carried out:

a) Evaluation material impacting to the entire system shall be designed and approved by competent persons before implementation;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

c) Backups shall be carried out and backup plan shall be made before making changes

5. Application source codes needing to test, remove security holes in applications shall be developed, including:

a) SQL injection, OS injection, other data storage devices;

b) Buffer overflow;

c) Errors in unsafe encryption in data storage ;

d) Unsafe error unsafe in the media;

dd) Leakage of information through an error message (error handling);

e) Risks of inserting javascript, jscript, DHTML codes, HTML cards;

g) Incorrect access controls;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

i) Error in session ID;

k) Security holes identified with high levels specified in paragraph 1 of this Article.

6. Service provision applications on the external network (Internet, wireless network, mobile communications network and other networks) must be taken measures to deal with the threats and security holes, including:

a) The security and confidentiality shall be evaluated at least 01 time / quarter or after a change in the automatic or manual assessment tools;

b) Technical solutions to automatically detect and prevent attacks by Web Application Firewall shall be applied.

7. Card payment system software must have filtering, do not accept payment for transactions which are not allowed to make in accordance with the law.

Article 6. Requirements for allocation and control of accounts to access card payment systems

1. Accessing card payment application must be authenticated by at least one of the following methods: secret keys, authentication card, equipment and biometric .

2. The remote access to the network system must be authenticated by at least two methods specified in paragraph 1 of this Article.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

4. Measures to control operating accounts and administration accounts shall be carried out:

a) Separate access account shall be allocated , management and operation of equipment for card payments shall be decentralized to each corresponding individual ;

b) Adding, deleting, rectifying identification, information of users right to management objectives shall be controlled;

c) Access right shall be revoked as soon as the user expires his/ her terms of use or transfers his/her job or no longer works in operation or management;

d) The identity of the user shall be verified and confirmed when receiving indirect requests via email, telephone before the change or recovery of the account secret key ;

dd) The initial allocation account must be established a secret key and such secret key must be different on different accounts ; Such account may only be activated when the user changes the initial secret key;

e) Withdrawal, removal or disabling of unused, expired accounts or accounts not activated for a period of time shall be stipulated and carried out;

g) Allocating the remote access account to a card operation support organization must be limited in time, approved by the competent persons and monitored its operations;

h) Accounts shall not be shared to access the system;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

k) The times of secret key entered incorrectly shall be a maximum of three (03) times. There are measures to lock the account automatically when the secret key is entered wrongly more than the specified times. Time for locked account recovery after the secret key is entered wrongly shall be at least 30 minutes or at request ;

l) If the session with the card payment system on hold is more than 15 minutes, the system shall require again the authentication to access the system;

m) Access policies, procedures and account authentication to the system shall be disseminated and trained, involved organizations and individuals shall be ensured to understand their entitlements and responsibilities when they are allocated the access account.

5. Policies and procedures for access account authentication shall be issued, including the following contents:

a) Guidelines on selection and protection of authentication information, secret key;

b) Guidelines on not using the previously used secret key ;

c) Guidelines on periodical change of secret key or in case of a doubt of leakage of secret keys.

6. Card payment database access shall be managed

a) Only the administrator of database may directly access the database;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

c) The account to access the database of application programs shall not be used for individuals or other processes;

d) Secret key of the database access account of application must be encrypted on the application and in the database;

dd) All operations on the database must be logged and the log must be at least 01 year.

Chapter III

TECHNICAL REQUIREMENTS FOR ATM

Article 7. Technical requirements for installation and physical safety of ATM

1. Requirements for installation of ATM

a) Card operation organization providing ATM services (hereinafter referred to as organizations providing ATM services) must meet the requirements for the installation of ATM prescribed by the State Bank of Vietnam on equipment, management, operation and operation safety of the ATM.

b) For ATM located outside

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Safety measures shall be taken to avoid the ATM being dragged for unauthorized removal;

- Components, parts of the ATM unneccessary to be disclosed outside shall be hidden.

2. Requirements for the alarm system

a) Organizations providing ATM services shall provide sensors for ATM located outside to warn the heat impact from the blowtorch and identify forces with great or external intensity on machine body;

b) Organization providing ATM services shall provide alarm equipments for ATM to prevent:

- Opening machine doors unauthorizedly

- Moving from the machine area illegally ;

- Demolishing machines unauthorizedly . In addition to signaling alarms on the spot, the alarm device must send a warning to the monitoring center.

3. Requirements for the safe

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) ATM safe must be equipped with at least two locks and keys, kept by two people.

4. The keyboard to enter a PIN must meet the requirements specified in Article 13 of this Circular.

5. ATM must have origin certificates and quality certificates of the manufacturer.

Article 8. Technical requirements for software, transmission, connection to ATM

1. Organizations providing ATM services must meet the requirements for ATM software

a) The ATM operating system must have the copyright, supported by the provider and updated timely patches;

b) The operating system installed or set up must ensure the separation of the different rights: the right to use external storage device; the right to change the configuration and run applications and services;

c) Transaction software in ATM must be set up to notify in the image or sound to alert the user of safety measures before entering a PIN or to notify the user to get card or money after the transaction;

d) Device driver software, transaction software must be set up the feature of anti disclosure of card information , loss of money due to errors, fraud or technical defects, including :

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Transaction software in ATM must be set up features forcing users to re-enter their PIN when making subsequent withdrawals; having notices reminding the user of safety measures before entering the PIN and receiving cards after the transaction.

2. Transmission requirements for ATM

Organizations providing ATM services shall set up transmission for ATM which must prevent access form the Internet except for connections to the center to perform transactions. Updating the operating system error’s patches, anti-virus software and other updates in ATM have been made on spot or through internal focusing system.

3. Requirements for interconnection of card payment system

Contracts, agreements of interconnection of card payment system through ATM must define the encrypted data and responsibilities of the parties in confidentiality of keys used for encryption. Encryption keys shall be changed at least 01 time / year.

Article 9. Requirements for supervision and security of ATM system

1. Organizations providing ATM services must equip the software of centralized management, instant full track of the status of ATM.

2. Organization providing ATM services shall have technical measures, administration to closely manage the ATM system, timely detect unauthorized access, unauthorized installation of equipment to copy the card information or record the user’s operation

a) Having monitoring system of transactions on the card payment system, continuously monitoring to detect suspicious or fraud card payment transactions based on time, geographical location, transactions frequency , transaction’s sum of money, times of PIN wrongly entered beyond the regulations and other unusual signs for timely processing and alerting the cardholder;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

3. Diary data on ATM must be ready to be accessed within at least 03 months and stored at least 01 year.

4. Organization providing ATM services must satisfy other requirements for operation safety of ATM under the provisions of State Bank of Vietnam of equipping, managing, operating and ensuring the operation safety of the ATM.

Chapter IV

TECHNICAL REQUIREMENTS FOR POS

Article 10. Technical requirements for POS

1. Payment organizations, providers, card accepting units must have a clear agreement in responsibilities of the card accepting units, including:

a) POS shall be managed and installed in a safe place. There are measures to prevent the unauthorized use, theft of POS. Equipment to illegally read the data on POS shall be installed ;

b) Power, transmission line in accordance with the technical requirements of the manufacturer shall be installed;

c) POS must have a name and logo of the payment organization.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

3. There must be the contact phone number of the payment organizations and organizations providing support services (if any) on all POS.

4. The keyboard to enter a PIN must meet the requirements specified in Article 13 of this Circular.

5. The payment organizations, issuers must have a system of monitoring and warning unusual transactions (quantity, value, time and place of transaction).

Article 11. Requirements for mPOS

1. Payment organizations, providers, card accepting units must have a clear agreement in technical standards and responsibilities of inspection and supervision the operation of Mpos at least meeting the following requirements:

a) Requirements for the mobile communication device installed mPOS software.

- Devices are not jailbroken, rooted, or turned off unneccessary connections for use for payment;

- Security features to prevent loss, theft (location tracking via GPS, encrypting storage drive) shall be additionally installed. Simultaneously, card accepting units must manage information about the serial number, software version of the device.

b) Requirements for mPOS software;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- mPOS software shall not be allowed to make payment when mPOS device can not connected to the card payment center and are not allowed to store card transactions;

- The mPOS’s screen must display the status ready to serve for the user to know;

- The bill shall be sent to customers via email, SMS or printed out (upon request), in which the card number must be concealed (only display a maximum of 06 (six) first numbers and 04 (of four) last numbers).

2. Payment organizations must declare the list of card accepting units registered for using mPOS to accept payments on their website or other media (if any)

Chapter V

CARD DATA SECURITY

Article 12. Policy on confidentiality and safety of card information

1. Card organizations must make and update the list of equipment for payment card and describe the functions related to the payment card system.

2. Card organizations must establish, declare, maintain and disseminate the safety and confidentiality policy throughout the unit, assess the safety and confidentiality policy at least 01 time / year and update the policy when equipment for card payments have errors.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

4. Card organizations must make and commence regulations on the use of high-risk technologies (remote access, wireless network, use of mobile devices, email and Internet ). Content of regulations shall include the following requirements:

a) High-risk technologies must be approved by competent persons before being used;

b) High-risk technologies must be authenticated by account and secret keys or other authentication methods before being used;

c) All lists of equipment, technology and the user granted the right to enjoyment right to use shall be enumerated and monitored ;

d) There shall be a method to identify easily and conveniently the owner, contact information and use purpose of the instruments (by labeling, recording the barcode or inventory equipment);

dd) The scope of application of high-risk technologies shall be determined;

e) The location of network using high-risk technologies shall be determined;

g) For remote access, the session must be automatically disconnected for a specific time when the system does not work;

h) Remote access may only be activated to card-supporting organizations when really necessary as required and concurrently the access shall be disabled immediately after the session ends;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

5. Card organizations must clearly define the responsibility to protect the safety and confidentiality of card data for organizations and individuals of their units and parties involved.

6. Task of managing card information safety shall be assigned as follows

a) Information, warning about the risk of information security shall be monitored and analyzed and information shall be transferred to the department in charge for coordination and resolution;

b) Measures of timely emergency response to control all situations shall be made;

c)User accounts shall be managed on the system;

d) All access to data shall be monitored and controlled ;

dd) The assignment shall be made in writing.

7. Card organizations must train the awareness about security and confidentiality of card for new employees when recruiting them and train periodically at least 01 time / year for all employees; control and ensure their employees to know about the card safety and confidentiality policies.

8. Card organizations shall establish and maintain process and policies for management of card-supporting organizations sharing card data or having influence on the safety and confidentiality of the card data. Process and policies for management shall meet the following minimum requirements:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) Card organization shall select organizations supporting cards before signing the contract. The selection process must clearly reflect their requirements to support organizations supporting cards, records of meeting the requirements of card organizations must meet the safety and confidentiality of the card information;

c) Contracts with organizations supporting cards must specify the responsibility of the organization supporting cards in compliance with the provisions related in this Circular. There must be a written commitment to terms and responsibilities in which organizations supporting cards shall ensure the safety and confidentiality of the card information in the service they provide, store, process or exchange information. The commitment must specify the scope of supply and services provided by organizations supporting cards ;

d) Card organizations must manage and update information on meeting the requirements of this Circular of organizations supporting cards .

9. Card organizations must develop the process and response emergency to ensure to handle as soon as the emergency occurs. Process for emergency response shall meet the following minimum requirements:

a) The role, responsibility, communication and contacts of individuals and organizations in case of infringement of the system shall be included;

b) Specific scenarios for emergency response shall be included;

c) Scenarios in recovery and ensuring the continuous operation shall be included;

d) Scenarios in backing up the data shall be included;

dd) Process test at least 01 time / year shall be included;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

g) Running of training programs for staff to meet emergency response in card safety and confidentiality shall be included;

Warnings from security monitoring system (the system of detecting, intrusion prevention, firewall devices and systems monitoring the integrity of the data files) shall be included;

i) Modification and improvement of the process of emergency response through experience and meet the development of information technology shall be included.

Article 13. Requirements for keypad for PIN

1. The keypad used to enter the PIN must itself delete stored sensitive information including encryption keys, PIN, secret keys and can not restore this information in case of physical intrusion.

2. The sound of typing a key shall be indistinguishable from the sound of typing another key . It is also unable to identify any PIN character entered by monitoring the electromagnetic or power consumption.

3. The PIN must be encrypted as soon as being entered (users press Enter). Cache shall be automatically cleared after the transaction ends or timeout is over.

4. The safety features of the keypad shall not be altered by environmental conditions, operating conditions.

Article 14. Protection of card data storage area

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

a) Policies, procedures, processes for storage and cancellation of cardholder data shall be implemented; the amount of data, storage time shall be limited to meet requirements for operation and provisions of the law on storage; cardholder data expiring the storage shall be identified and deleted safely quarterly; provisions of the cardholder data storage including the provisions on the term to maintain records, stored documents in the banking sector shall be complied ;

b) Card authentic data must ensure that the secret of card printing and issuance shall be kept; individuals or organizations that handle card authentication must commit not to disclose the information and not to store the card authentication data including the information encrypted in the transactions, diary data files, history files, tracking files, data diagrams and contents of the database;

c) The card number must be concealed when being displayed and may only be displayed fully when requested by competent agencies or legitimate owners of the card; card number must not be read in the repository;

d) The card number must be ensured not to be read in the repository by using one of the following methods:

- Using one-way hash function based on powerful encryption algorithms;

- Splitting, cutting data to ensure full data shall not be read when stored in files, databases, diary data;

- Using encryption system used once which ensures the code receiving device must be kept secretly;

- Complying the strong encryption method with processes and procedures for key management;

- Using the disk encryption method which ensures the encryption of files through a separate and independent mechanism from the mechanism of access control and authentication based the available operating system .

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

a) Keys used to encrypt must be stored and safety measures to avoid the risk of release of information shall be made:

- The number of people entitled to access to the encryption key shall be limited;

- Private keys shall be stored to encrypt, decrypt cardholder data in all times by one of the following methods:

Storing in specialized equipment or PIN security device in transactions;

Storing keys into at least two separate parts.

Encrypting by algorithm which is as strong as or stronger than the algorithm used to encrypt the data. Encryption keys must be stored separately from keys used to encrypt data;

b) Process for all the work related to key management and encryption procedures shall be issued to encrypt cardholder data, including:

- Process of creating the encryption key;

- Distribution of encryption keys;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Periodical change of the key of which useful life expires;

- Replacement or revocation keys which are in doubt about disclosure or change.

c) Management of encryption keys must meet the following minimum requirements: :

- If an encryption key is used under clear text form, this encryption key must be ensured to be divided into many parts managed by at least two people, each of whom keep a part of the encryption key;

- Replacement of the encryption key without permission shall be prevented;

- Responsibilities of the holder of the encryption key shall be specified

Article 15. Encryption of card on transmission over external network

1. Methods of encryption and appropriate security protocols (minimum of SSL / TLS, SSH, IPSEC protocols) shall be used to protect card authenticated data during transmission of information through the network connected to external networks (Internet, wireless network, mobile communications network and other networks).

2. When the card number is sent to the user via electronic messages, it must be encrypted by the powerful encryption method.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

1. The access and process on the card data must ensure proper decentralization and be kept to the minimum which is enough to fulfill responsibilities of each individual.

2. Policies that restrict remote access, access from external network area into the system shall be developed. Operations shall be monitored, the time of access to the system shall be recorded.

3. Granting of right to access to the card payment system must be approved in writing by competent persons .

4. Measures and access control systems for all the equipment for card payments shall be established, access shall be restricted in accordance with the responsibilities and tasks assigned; Invalid access must be rejected.

Article 17: Restriction of physical access to card data

1. Control of moving out and in the area to put the card payment system, card data center, the physical environment of data card shall be taken:

a) Control of points of wired and wireless network connection in public areas shall be established to ensure the access restriction. Physical access to mobile devices, communications equipment, network equipment and telephone, telecommunication lines shall be controlled;

b) Camera shall be used or other measures shall be taken to monitor physical access to the server room area, releasing and printing area, processing and storage area of holder data. The monitoring data must be archived for at least 03 months.

2. Procedures for identifying external employees and individuals (organizational supporting card, visitors) coming for work shall be developed, including:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) The procedure for changes of the access request and revocation of right to access of employees if the employees resign, external individuals if the right to access expires .

3. Physical access for employees when they go to server rooms, card releasing and printing area, cardholder data storing and processing area shall be controlled under the following requirements :

a) Access shall be granted based on job requirements of each individual;

b) Access rights shall be revoked as soon as the job is finished, all of the equipment used to access (keys, access cards) must be revoked or disabled.

4. Procedures for identifying and licensing for external individuals when they move in and out the cardholder data storing and processing area shall be taken.

a) External individuals must gain permission before they come in the cardholder data storing and processing area and be monitored full-time there;

b) External individuals must been identified by valid card or other methods and to identified with the naked eye;

c) External individuals shall be required for revocation of the card or other identification methods before leaving the unit or the card or other identification methods expire their period of validity;

d) Out and in records of external individuals must be kept under the written or electronic form for at least 01 year.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

6. The safety of physical assets, information, important documents relating to the operation of cards, information-carrying means must be ensured. Transport of information-carrying means to ensure the card data safety must be controlled. Information-carrying means must be approved by competent persons before being transferred, moved and distributed .

7. The storage and access to information-carrying means must be strictly controlled. Inventory of assets, the information-carrying means must be carried out at least 01 time/ year.

8. Data card readers must be monitored and protected to meet the following requirements:

a) Lists of equipment, information about the manufacturer, equipment samples, places of equipment, equipment code (serial, product number) shall be regularly updated;

b) The equipment surface shall be periodically examined to detect forgery or added additional components by examining the characteristics for identification or serial number of the equipment;

c) The manager and user of equipment must be trained to recognize the risk of forgery or replacement on the equipment to steal card information. The training content shall include :

- The identification of card supporters shall be verified before they are permitted to participate in the process of repair, maintenance, troubleshoot the equipment;

- Equipment must be checked and verified before being allowed its installation, replacement or refund;

- Risks and suspicious behaviors around the equipment shall be identified;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

9. Records and documents containing the card data shall be destroyed under the form of cut into small pieces, burned or crushed to ensure the data card can not be read or reconstructed again. Electronic information-carrying equipment containing cardholder information shall be canceled by dedicated data deleting programs or destroyed by physical cancellation measures, demagnetization to ensure the cardholder data can not be read and restored.

Article 18. Monitoring, protection and check on equipment for card payment

1. All access to resources and cardholder data shall be tracked and monitored

a) Full access to the equipment for the card payment shall be recorded to keep track of all acts of users;

b) Access to all equipment for card payments shall be automatically recorded to redefine the following events:

- All access to cardholder data of users;

- All actions of users having privileged accounts ;

- Access to all diary data;

- Attempts to unauthorized access to the system;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Initiation, termination or suspension of recording data ;

- Initiation or deletion of data, resources, functions, services on equipment for card payments.

c) Diary data of each event (prescribed in point b, Paragraph 1 of this Article) shall include at least the following information:

- Identification of the user;

- Types of event;

- Date and time;

- Success or failure status ;

- The origin of the event;

- The name or identification of the data, resources or functions or services affected by the event.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

dd) Diary data shall be protected:

- Restriction of the minimum right to view the diary data according to job requirements ;

- Protection of diary data files in order to avoid unauthorized modifications;

- Backing up of dairy data to the centralized servers or information-carrying means;

e) Card organizations must use instruments to monitor the integrity of diary data files or software of detection of change of diary data;

g) Card organizations must conduct a review and evaluation of diary data and security events across all equipment for card payment to identify unusual, suspicious activities by use of analytical, developing and alerting instruments based on diary data, as follows:

- Card organizations must assess daily at least contents of diary data, as follows:

All facts about the safety and confidentiality;

Diary data of storage, processing, transfer and receiving system of card information;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Card organizations must assess the entire diary data according to regulations on safety and confidentiality and regulations on risk management of the unit. Assessment of diary data shall be at least 01 time / year;

- During the assessment of diary data, card organizations must monitor and handle the exception events and extraordinary events detected.

h) Diary data must be stored online at least 03 months to be ready for access and backup for at least 01 year.

2. Card payment system security shall be inspected

a) Card organizations must control access points of wireless network, have a list explaining clearly the use purpose and approved by competent persons of wireless access points (if any) allowed to connect to the network of units, and quarterly review the wireless access points connected to the internal network of the unit;

b) Card organizations must scan, assess of security holes of information technology systems from inside and outside the network at least 01 time/ quarter and immediately after any significant change in the system (including adding devices, changing network model, changing access policies of firewall devices, upgrading, updating the operating system, applications). Remedy of security holes at a high level is determined under paragraph 1 of Article 5 of this Circular;

c) Card organizations must organize rehearsals of access test scenario according to the following requirements:

- Test the access to all system of storage, processing of the cardholder data;

- Test the access from inside and outside the system at least 01 time / year and immediately after having significant changes in the system or detecting holes after scanning;

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

- Test the access in developing the holes listed in paragraph 5 of Article 5 of this Circular;

- Test the access for both network and application level;

- Assess and review threats and holes that happened in the past 12 months;

- Store under confidentiality regulations on test results of access and the results of remedy;

- Holes which can be developed detected during access test must be remedied and checked to guarantee the holes’ remedy.

d) Card organizations must use the system of access detection and prevention to detect and prevent unauthorized access to the network, monitor all access to cardholder data environment and alert to the administrator of risks of access. Access prevention devices must be updated with new signs of code from suppliers;

e) Card organizations must inspect the integrity for important data (system files, configuration files, content files) at least monthly.

Article 19. Requirements for continuous operation guarantee

1. Card organizations shall establish the process for troubleshooting, risk management for card payment systems, conduct periodic review and update the process at least 01 time / year.

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

3. Card payment system must be transferred at least 02 times / year from the main system to the backup system to ensure consistency and availability of the backup systems.

Chapter VI

IMPLEMENTATION

Article 20. Reports

Card organizations shall submit reports to the State Bank of Vietnam (Information Technology Administration ) as follows:

1. Annual reports on the implementation of the provisions of this Circular:

a) Deadline for reports is before November 15 each year;

b) Report submission forms and report samples shall be under the guidance of the State Bank of Vietnam (Information Technology Administration )

2. Extraordinary reports on unsafety of card payment systems:

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

b) Contents of the report include date and place of the case ; cause of the case; assessment of risk and impact for card payment systems and operations at the place of the case and other related locations;

c) Measures have been taken to prevent, remedy and prevent risks or proposed by the organization.

Article 21. Effect

This Circular takes effect from the April 01,2015.

Article 22. Transitional provisions

Card organizations having card payment equipment which has been installed prior to the effective date of this Circular must review, set up plans for handling which specify the requirements that are not met, measures and duration of implementation to meet fully the requirements of the Circular and submit to the State bank (Information Technology Administration ) before July 01, 2015.

The State Bank of Vietnam (Information Technology Administration ) shall review handling plans, request card organizations to modify and complete the handling plan including the implementation duration (if it has not met the requirements or feasibility ) and measures in the handling plan; monitor the implementation of the handling plan of the card organizations .

Card organizations shall be responsible for the implementation of the handling plan, modify, complete and implement the handling plans in accordance with opinions of the State Bank of Vietnam (if any).

Article 23. Responsibilities for implementation

...

...

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

2. Bank Supervision and Inspection Agency shall be responsible for inspection, monitoring involved organizations and individuals in the implementation of this Circular and having actions against violations in accordance with law.

3. Branches of the State bank in central-affiliated cities and provinces shall be responsible for inspection, monitoring, handling violations within their competence for operations of ATM, POS in administrative divisions under the provisions of this Circular and submit test results to the State Bank of Vietnam (through the Information Technology Administration ).

4. Heads of the related units under the State Bank of Vietnam; Director of branches of the State bank in central-affiliated cities and provinces ; President of the Board of Directors , General Director (Director) of card organizations card shall be responsible for the implementation of this Circular.

 

 

 PP. GOVERNOR
DEPUTY GOVERNOR




Nguyen Toan Thang

 

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


Thông tư 47/2014/TT-NHNN ngày 31/12/2014 quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành

Bạn Chưa Đăng Nhập Thành Viên!


Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...


Nếu chưa là Thành Viên, mời Bạn Đăng ký Thành viên tại đây


41.363

DMCA.com Protection Status
IP: 18.226.186.153
Hãy để chúng tôi hỗ trợ bạn!