Online Banking là gì? Cần tuân thủ nguyên tắc nào để bảo đảm an toàn, bảo mật hệ thống thông tin khi cung cấp dịch vụ?

Dịch vụ Online Banking là gì?

Theo quy định tại Điều 1, Điều 2 Thông tư 50/2024/TT-NHNN như sau:

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh

Thông tư này quy định các yêu cầu bảo đảm an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng, bao gồm:

a) Hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

b) Hoạt động cung ứng dịch vụ trung gian thanh toán;

c) Hoạt động thông tin tín dụng.

2. Đối tượng áp dụng

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).

Điều 2. Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Dịch vụ trực tuyến trong ngành Ngân hàng (gọi tắt là dịch vụ Online Banking) là dịch vụ quy định tại khoản 1 Điều 1 Thông tư này được các đơn vị cung cấp cho khách hàng trên môi trường mạng để thực hiện các giao dịch điện tử (gọi tắt là giao dịch), không bao gồm các giao dịch trực tiếp tại các đơn vị chấp nhận thanh toán qua thiết bị chấp nhận thẻ tại điểm bán, qua Mã phản hồi nhanh (Quick Response Code - QR Code) hiển thị từ phía khách hàng.

2. Hệ thống Online Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an toàn, bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Online Banking, do đơn vị thiết lập, quản trị, vận hành hoặc thuê bên thứ ba thiết lập, quản trị, vận hành.

…

Theo đó, Dịch vụ Online Banking là tên gọi tắt của "Dịch vụ trực tuyến trong ngành Ngân hàng". Dịch vụ Online Banking là các dịch vụ được các đơn vị cung cấp cho khách hàng trên môi trường mạng để thực hiện các giao dịch điện tử, các dịch vụ đó gồm:

- Hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

- Hoạt động cung ứng dịch vụ trung gian thanh toán;

- Hoạt động thông tin tín dụng.

Dịch vụ Online Banking không bao gồm các giao dịch trực tiếp tại các đơn vị chấp nhận thanh toán qua thiết bị chấp nhận thẻ tại điểm bán, qua Mã phản hồi nhanh (Quick Response Code - QR Code) hiển thị từ phía khách hàng.

Các đơn vị cung cấp dịch vụ Online Banking là các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán và công ty thông tin tín dụng.

Các nguyên tắc nào cần phải tuân thủ để bảo đảm an toàn, bảo mật hệ thống thông tin khi cung cấp dịch vụ Online Banking nào năm 2025?

Căn cứ quy định tại Điều 3 Thông tư 50/2024/TT-NHNN thì các đơn vị cung cấp dịch vụ Online Banking phải tuân thủ 08 nguyên tắc sau để bảo đảm an toàn, bảo mật hệ thống thông tin khi cung cấp dịch vụ Online Banking. Các nguyên tắc đó là:

Nguyên tắc 1: 

- Hệ thống Online Banking phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, đối với hệ thống thông tin cung cấp dịch vụ chuyển mạch tài chính, dịch vụ bù trừ điện tử phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 4 trở lên.

Hiện nay, việc bảo đảm an toàn hệ thống thông tin cấp độ đang được quy định bởi Nghị định 85/2016/NĐ-CP. 

- Tuân thủ Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ và quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.

Nguyên tắc 2: 

- Bảo đảm tính bí mật, tính toàn vẹn của thông tin khách hàng; 

- Bảo đảm tính sẵn sàng của hệ thống Online Banking để cung cấp dịch vụ một cách liên tục.

Nguyên tắc 3: Các giao dịch của khách hàng được phân loại và đánh giá mức độ rủi ro tối thiểu theo: nhóm khách hàng, hành vi sử dụng của khách hàng, loại giao dịch, hạn mức giao dịch (nếu có) và tuân thủ các quy định của pháp luật liên quan. Trên cơ sở đó, đơn vị cung cấp các hình thức xác nhận giao dịch phù hợp cho khách hàng lựa chọn, tuân thủ tối thiểu các quy định sau:

- Áp dụng tối thiểu 1 trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư 50/2024/TT-NHNN khi thay đổi thông tin định danh khách hàng;

- Áp dụng tối thiểu 1 hoặc kết hợp các hình thức xác nhận giao dịch theo quy định tại Thông tư 50/2024/TT-NHNN; trường hợp văn bản quy phạm pháp luật hướng dẫn về các dịch vụ quy định tại khoản 1 Điều 1 Thông tư 50/2024/TT-NHNN có quy định về hình thức xác nhận giao dịch thì thực hiện theo văn bản quy phạm pháp luật đó;

- Đối với giao dịch gồm nhiều bước, phải thực hiện xác nhận giao dịch tại bước phê duyệt cuối cùng.

Nguyên tắc 4: Thực hiện kiểm tra, đánh giá an toàn, bảo mật hệ thống Online Banking định kỳ hàng năm.

Nguyên tắc 5: Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ Online Banking.

Nguyên tắc 6: Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. 

Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới. Trong thời gian chưa nâng cấp, thay thế, đơn vị phải có biện pháp tăng cường bảo đảm an toàn, bảo mật hệ thống Online Banking.

Nguyên tắc 7: Đối với các hệ thống cung cấp dịch vụ cổng thanh toán điện tử, dịch vụ hỗ trợ thu hộ, chi hộ, không phải tuân thủ các quy định tại khoản 7, khoản 9, khoản 10 Điều 7 và Mục 2 Chương II (các Điều 9, 10 và Điều 11) Thông tư 50/2024/TT-NHNN.

Nguyên tắc 8: Hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi bảo đảm an toàn, bảo mật theo quy định của Thông tư 50/2024/TT-NHNN và các quy định của pháp luật liên quan.

Trên đây là các nguyên tắc cần phải tuân thủ để bảo đảm an toàn, bảo mật hệ thống thông tin khi cung cấp dịch vụ Online Banking đến khách hàng.