|
Kính gửi:
|
- Các tổ chức tín dụng;
- Chi nhánh ngân hàng nước ngoài;
- Các tổ chức cung ứng dịch vụ trung gian thanh toán;
- Các công ty thông tin tín dụng.
|
Ngày 31/10/2024, Thống đốc Ngân hàng Nhà nước Việt
Nam (NHNN) đã ký ban hành Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo
mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng. Thông tư số
50/2024/TT-NHNN có hiệu lực thi hành từ ngày 01/01/2025, thay thế Thông tư
35/2016/TT-NHNN ngày 29/12/2016 của Thống đốc NHNN quy định về an toàn, bảo mật
cho việc cung cấp dịch vụ ngân hàng trên Internet (sửa đổi, bổ sung tại Thông
tư 35/2018/TT-NHNN). Nhằm phổ biến, quán triệt các đơn vị thực hiện theo Thông
tư số 50/2024/TT-NHNN , Ngân hàng Nhà nước Việt Nam hướng dẫn một số điểm mới được
sửa đổi, bổ sung tại Thông tư số 50/2024/TT-NHNN , cụ thể như sau:
1. Bổ sung đối tượng và phạm vi
áp dụng
- Bổ sung đối tượng là các công ty cung cấp dịch vụ
thông tin tín dụng.
- Bổ sung phạm vi không chỉ các hoạt động ngân
hàng, hoạt động cung ứng dịch vụ trung gian thanh toán trên Internet mà bao gồm
tất cả các hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín
dụng, chi nhánh ngân hàng nước ngoài, dịch vụ trung gian thanh toán của tổ chức
cung ứng dịch vụ trung gian thanh toán, dịch vụ thông tin tín dụng của công ty
thông tin tín dụng cung cấp trên môi trường mạng cho khách hàng.
2. Bổ sung quy định về xác nhận
giao dịch và các hình thức xác nhận giao dịch điện tử theo Luật Giao dịch điện
tử năm 2023
Theo Luật Giao dịch điện tử năm 2023, tại khoản 4 Điều 22 có quy định “Việc sử dụng các hình thức
xác nhận khác bằng phương tiện điện tử để thể hiện sự chấp thuận của chủ thể
ký đối với thông điệp dữ liệu mà không phải là chữ ký điện tử thực hiện theo
quy định khác của pháp luật có liên quan”.
Thông tư số 50/2024/TT-NHNN đã bổ sung quy định về
xác nhận giao dịch điện tử (gọi tắt là xác nhận giao dịch) tại khoản
8 Điều 2 và quy định các hình thức xác nhận tại Điều 11
để làm cơ sở pháp lý cho việc ứng dụng các hình thức xác nhận bằng phương tiện
điện tử mà không phải là chữ ký điện tử vào các giao dịch điện tử trong ngành
Ngân hàng.
Thông tư 50/2024/TT-NHNN đã đưa các nội dung tại
Quyết định 2345/QĐ-NHNN ngày 18/12/2023 về việc triển khai các giải pháp an
toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng vào Thông
tư.
Bên cạnh đó, Thông tư 50/2024/TT-NHNN đã bổ sung
quy định về các hình thức xác nhận giao dịch đối với các giao dịch khác (ngoài
giao dịch thanh toán qua tài khoản, ví điện tử quy định tại Quyết định
2345/QĐ-NHNN): giao dịch thanh toán thẻ trực tuyến (điểm c khoản
1 Điều 10 và 02 Phụ lục 03, 04); giao dịch qua phương thức xử lý xuyên suốt
(điểm b khoản 1 Điều 10); giao dịch thanh toán trực tuyến
trên Cổng Dịch vụ công quốc gia, nộp tiền vào ngân sách nhà nước (điểm
đ khoản 1 Điều 10); giao dịch trích nợ tự động (điểm d khoản
1 Điều 10); giao dịch đăng ký tự động trích nợ tự động (khoản
2 Điều 10) và các loại giao dịch khác (khoản 3 Điều 10).
Tại Thông tư 50/2024/TT-NHNN đã quy định rõ về việc
xác nhận giao dịch trong trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp
siêu nhỏ áp dụng chế độ kế toán đơn giản: phân loại giao dịch và áp dụng hình
thức xác nhận giao dịch tương tự khách hàng cá nhân.
3. Bổ sung quy định về áp dụng
một số tiêu chuẩn quốc tế
a) Tiêu chuẩn khớp đúng thông tin sinh trắc học
Tiêu chuẩn khớp đúng thông tin sinh trắc học quy định
tại khoản 5 Điều 11:
“5. Hình thức xác nhận khớp đúng thông tin sinh
trắc học là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học
của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách
hàng đã thu thập, lưu trữ tại đơn vị theo quy định của Thống đốc Ngân hàng Nhà
nước. Hình thức khớp đúng thông tin sinh trắc học phải đáp ứng tối thiểu yêu cầu:
a) Trường hợp áp dụng hình thức khớp đúng thông
tin sinh trắc học sử dụng khuôn mặt:
(i) Có độ chính xác được xác định theo tiêu chuẩn
quốc tế như sau (hoặc tương đương): Có tỷ lệ từ chối sai < 5% với tỷ lệ chấp
nhận sai < 0,01% theo tiêu chuẩn FIDO Biometric Requirement (áp dụng đối với
tập mẫu tối thiểu 10.000 mẫu);
(ii) Có khả năng phát hiện tấn công giả mạo
thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD)
dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital
Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 -
Biometric presentation attack detection hoặc FIDO Biometric Requirements) để
phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.
b) Trường hợp áp dụng các hình thức khớp đúng
thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách
hàng theo tiêu chuẩn tương đương;
c) Giải pháp phát hiện tấn công giả mạo thông
tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) theo
quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ
ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học
được Liên minh FIDO (FIDO Alliance) công nhận;
d) Trường hợp khách hàng xác nhận bằng hình thức
khớp đúng thông tin sinh trắc học quá số lần sai liên tiếp do đơn vị quy định
(nhưng không quá 10 lần); khóa chức năng thực hiện xác nhận giao dịch bằng hình
thức khớp đúng thông tin sinh trắc học, chỉ mở khóa khi khách hàng yêu cầu và
phải kiểm tra khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo;
đ) Thời gian thực hiện khớp đúng thông tin sinh
trắc học tối đa 03 phút.
Thời hạn đáp ứng quy định tại điểm
c khoản 5 Điều 11 từ ngày 01/07/2026.
b) Tiêu chuẩn về hình thức xác nhận FIDO:
Tiêu chuẩn về hình thức xác nhận FIDO được quy định
tại khoản 7 Điều 11:
“7. Hình thức xác nhận FIDO (Fast IDentity
Online) là hình thức xác nhận theo tiêu chuẩn về xác nhận giao dịch sử dụng thuật
toán khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật
được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do Liên
minh FIDO (FIDO Alliance) ban hành. Hình thức xác nhận FIDO phải đáp ứng yêu cầu:
a) Khóa bí mật được lưu giữ an toàn trên thiết bị
của khách hàng. Khách hàng sử dụng hình thức xác nhận bằng mã PIN hoặc khớp
đúng thông tin sinh trắc học thiết bị để truy cập, sử dụng khóa bí mật khi thực
hiện giao dịch;
b) Khóa công khai được lưu trữ an toàn tại đơn vị
và được liên kết với tài khoản giao dịch điện tử của khách hàng;
c) Giải pháp do đơn vị tự triển khai hoặc sử dụng
của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức được Liên minh
FIDO (FIDO Alliance) công nhận.”.
Thời hạn đáp ứng quy định tại điểm
c khoản 7 Điều 11 từ ngày 01/07/2026.
4. Bổ sung quy định về an toàn,
bảo mật đối với phương thức xử lý xuyên suốt giữa hệ thống của khách hàng doanh
nghiệp với hệ thống Online Banking.
Thông tư số 50/2024/TT-NHNN đã bổ sung quy định áp
dụng đối với phương thức xử lý xuyên suốt giữa hệ thống của khách hàng doanh
nghiệp (như ERP) với hệ thống Online Banking như sau:
- Khoản 7 Điều 2 bổ sung định
nghĩa: 7. Phương thức xử lý xuyên suốt (Straight-Through Processing) là
phương thức trao đổi thông tin, dữ liệu, tài liệu hai chiều tự động, thông qua
kết nối an toàn giữa hệ thống thông tin của khách hàng với hệ thống Online
Banking.
- Khoản 8 Điều 7 bổ sung quy định
về an toàn bảo mật đối với phần mềm Online Banking xử lý giao dịch xuyên suốt:
“8. Các yêu cầu đối với phương thức xử lý xuyên
suốt:
a) Đơn vị chỉ cung cấp dịch vụ Online Banking bằng
phương thức xử lý xuyên suốt cho khách hàng là tổ chức. Đơn vị có trách nhiệm lựa
chọn, thẩm định, giám sát, quản lý và có thỏa thuận với khách hàng khi cung cấp
dịch vụ Online Banking bằng phương thức xử lý xuyên suốt;
b) Phần mềm ứng dụng Online Banking phải có chức
năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm chống gian
lận, giả mạo;
c) Không bắt buộc áp dụng nội dung quy định tại điểm
c, điểm đ, điểm e, điểm g, điểm h khoản 6 và điểm a khoản 7 Điều này.”.
- Điểm b khoản 1 Điều 10 bổ
sung quy định về xác nhận giao dịch qua phương thức xử lý xuyên suốt: “Đối với
giao dịch thanh toán thực hiện bằng phương thức xử lý xuyên suốt, đơn vị thực
hiện xác nhận giao dịch tối thiểu bằng một trong các hình thức xác nhận quy định
tại khoản 7, khoản 8 khoản 9 Điều 11 Thông tư này”.
Điểm b khoản 1 Điều 10 có hiệu
lực thi hành kể từ ngày 01/01/2026.
5. Bổ sung quy định về an toàn,
bảo mật đối với phần mềm ứng dụng Mobile Banking
Thông tư số 50/2024/TT-NHNN bổ sung một số quy định
tăng cường an ninh, an toàn đối với phần mềm ứng dụng Mobile Banking phù hợp với
tình hình phát triển công nghệ hiện nay. Cụ thể:
- Khoản 1 Điều 8 bổ sung quy định
về việc cung cấp ứng dụng Mobile Banking trên các kho ứng dụng chính thức của
các hãng cung cấp hệ điều hành cho thiết bị di động.
- Khoản 3 và khoản 4 Điều 8 bổ
sung quy định về bảo đảm an toàn cho ứng dụng Mobile Banking đã cài đặt trong
thiết bị di động của khách hàng. Cụ thể:
“3. Có biện pháp bảo vệ, chống can thiệp vào luồng
trao đổi dữ liệu trên ứng dụng Mobile Banking và giữa ứng dụng Mobile Banking với
máy chủ cung cấp dịch vụ Online Banking.
4. Triển khai các giải pháp nhằm phòng, chống,
phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt
trong thiết bị di động của khách hàng”.
Khoản 3 và khoản 4 Điều 8 có hiệu
lực thi hành kể từ ngày 01/7/2025.
- Khoản 6 Điều 8 bổ sung quy định
về khớp đúng thông tin sinh trắc học đối với khách hàng cá nhân lần đầu sử dụng
phần mềm ứng dụng Mobile Banking trên thiết bị mới (đã quy định tại Quyết định
2345/QĐ-NHNN).
6. Bổ sung một số quy định nhằm
tăng cường bảo đảm an toàn thông tin
Thông tư số 50/2024/TT-NHNN đã bổ sung một số quy định
mới nhằm tăng cường bảo đảm an toàn, bảo mật, phòng ngừa các sự cố an toàn
thông tin xảy ra trong thời gian gần đây, cụ thể:
- Điểm b khoản 1 Điều 4 bổ sung
quy định về việc trang bị Tường lửa cơ sở dữ liệu, có hiệu lực thi hành kể từ
ngày 01/07/2025.
- Điểm d khoản 1 Điều 5 và khoản 3 Điều
6 bổ sung quy định về việc kiểm tra, nâng cao mức độ an toàn, bảo mật
(hardening) đối với phần mềm hệ điều hành máy chủ và hệ quản trị cơ sở dữ liệu.
- Khoản 3 Điều 17 bổ sung quy định
“Đơn vị không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa
đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp
theo yêu cầu của khách hàng” để góp phần giảm thiểu tình trạng tội phạm lừa
đảo (phishing) khách hàng qua tin nhắn SMS, thư điện tử.
Chi tiết các nội dung thay đổi của Thông tư số
50/2024/TT-NHNN so với Thông tư 35/2016/TT-NHNN (sửa đổi, bổ sung tại Thông tư
35/2018/TT-NHNN) tại Bảng so sánh đính kèm.
Trên đây là một số nội dung hướng dẫn triển khai
Thông tư số 50/2024/TT-NHNN , Ngân hàng Nhà nước Việt Nam đề nghị các đơn vị
trong ngành Ngân hàng tổ chức triển khai thực hiện.
Thông tin đầu mối hỗ trợ hướng dẫn thực hiện Thông
tư số 50/2024/TT-NHNN: Phòng An ninh thông tin - Cục Công nghệ thông tin - Ngân
hàng Nhà nước Việt Nam, số điện thoại: 024.38354775, email: cntt8@sbv.gov.vn.
Trân trọng./.
|
Nơi nhận:
- Như trên;
- Thống đốc (để b/c);
- PTĐ Phạm Tiến Dũng (để b/c);
- Lưu: VT, CNTT (HMTIẾN).
Đính kèm:
- Bảng so sánh Thông tư.
|
TL. THỐNG ĐỐC
Q. CỤC TRƯỞNG CỤC CÔNG NGHỆ
THÔNG TIN
Lê Hoàng Chính Quang
|
Đã cập nhật Luật Đất đai 2024 mới nhất