Chính sách an toàn bảo mật thông tin thẻ ngân hàng

Theo quy định tại Điều 12 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:

1. Tổ chức hoạt động thẻ phải lập và cập nhật danh sách các trang thiết bị phục vụ thanh toán thẻ và mô tả chức năng liên quan đến hệ thống thanh toán thẻ.

2. Tổ chức hoạt động thẻ phải thiết lập, công bố, duy trì và phổ biến chính sách an toàn bảo mật trong toàn đơn vị. Đánh giá chính sách an toàn bảo mật ít nhất 01 lần/năm và cập nhật chính sách khi thiết bị phục vụ thanh toán thẻ có thay đổi.

3. Tổ chức hoạt động thẻ phải thực hiện quy trình đánh giá rủi ro ít nhất 01 lần/năm và ngay sau khi hệ thống có thay đổi về sơ đồ mạng, an ninh bảo mật, bổ sung hệ thống máy chủ dịch vụ hoặc bổ sung, sửa đổi nghiệp vụ.

4. Tổ chức hoạt động thẻ phải xây dựng và triển khai thực hiện quy định về việc sử dụng các công nghệ có rủi ro cao (các truy cập từ xa, mạng không dây, sử dụng các thiết bị di động, email và Internet). Nội dung quy định bao gồm các yêu cầu sau:

a) Phải được người có thẩm quyền phê duyệt trước khi sử dụng;

b) Phải được xác thực bằng tài khoản và mã khóa bí mật hoặc phương pháp xác thực khác trước khi sử dụng;

c) Liệt kê và giám sát hoạt động toàn bộ danh sách các thiết bị, công nghệ và người dùng được cấp quyền sử dụng;

d) Có phương pháp để xác định dễ dàng và thuận tiện người sở hữu, thông tin liên hệ và mục đích sử dụng của thiết bị (bằng cách dán nhãn, ghi mã vạch hoặc kiểm kê các thiết bị);

đ) Xác định phạm vi áp dụng công nghệ có rủi ro cao;

e) Xác định các vị trí hệ thống mạng sử dụng công nghệ có rủi ro cao;

g) Đối với các truy cập từ xa phải tự động ngắt kết nối phiên làm việc một thời gian cụ thể khi hệ thống không hoạt động;

h) Chỉ kích hoạt truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ khi thực sự cần thiết theo yêu cầu và đồng thời phải vô hiệu hóa truy cập ngay sau phiên làm việc kết thúc;

i) Khi cấp quyền truy cập từ xa vào dữ liệu chủ thẻ phải thực hiện các biện pháp kỹ thuật cấm sao chép, di chuyển và lưu trữ dữ liệu chủ thẻ vào các ổ cứng, phương tiện mang tin, thiết bị ngoại vi. Đối với trường hợp đặc biệt cần thực hiện sao chép, di chuyển, lưu trữ dữ liệu chủ thẻ bằng truy cập từ xa, phải quy định rõ ràng trách nhiệm bảo vệ dữ liệu chủ thẻ theo các quy định tại Thông tư này.

5. Tổ chức hoạt động thẻ phải quy định rõ ràng trách nhiệm bảo vệ an toàn bảo mật dữ liệu thẻ đối với các tổ chức, cá nhân thuộc đơn vị mình và các bên liên quan.

6. Phân công nhiệm vụ trong quản lý đảm bảo an toàn thông tin thẻ

a) Giám sát và phân tích các thông tin, cảnh báo về rủi ro an ninh thông tin và chuyển thông tin đến bộ phận có trách nhiệm để phối hợp giải quyết;

b) Có biện pháp ứng phó sự cố kịp thời để kiểm soát được mọi tình huống;

c) Quản lý tài khoản người dùng trên hệ thống;

d) Giám sát và kiểm soát toàn bộ truy cập đến dữ liệu;

đ) Việc phân công được lập thành văn bản.

7. Tổ chức hoạt động thẻ phải thực hiện đào tạo nhận thức về an ninh bảo mật thẻ cho nhân viên khi mới tuyển dụng và định kỳ ít nhất 01 lần/năm cho toàn bộ nhân viên; phải kiểm tra, kiểm soát đảm bảo nhân viên trong đơn vị nhận thức được các chính sách an toàn bảo mật thẻ.

8. Tổ chức hoạt động thẻ phải thiết lập và duy trì quy trình, chính sách quản lý tổ chức hỗ trợ hoạt động thẻ có chia sẻ dữ liệu hoặc có ảnh hưởng đến an toàn bảo mật dữ liệu thẻ. Quy trình, chính sách quản lý đáp ứng tối thiểu các yêu cầu sau:

a) Cập nhật danh sách tổ chức hỗ trợ hoạt động thẻ;

b) Tổ chức hoạt động thẻ phải thực hiện lựa chọn các tổ chức hỗ trợ hoạt động thẻ trước khi ký kết, thỏa thuận hợp đồng. Quá trình lựa chọn phải thể hiện rõ yêu cầu của đơn vị đối với tổ chức hỗ trợ hoạt động thẻ, hồ sơ đáp ứng yêu cầu của tổ chức hỗ trợ hoạt động thẻ phải đáp ứng an toàn bảo mật thông tin thẻ;

c) Hợp đồng với các tổ chức hỗ trợ hoạt động thẻ phải quy định rõ trách nhiệm của tổ chức hỗ trợ hoạt động thẻ tuân thủ các quy định có liên quan tại Thông tư này. Phải có cam kết bằng văn bản các điều khoản và trách nhiệm trong đó tổ chức hỗ trợ hoạt động thẻ cung cấp dịch vụ có trách nhiệm đảm bảo an toàn bảo mật thông tin thẻ trong các dịch vụ mình cung cấp hoặc lưu giữ, xử lý, trao đổi thông tin. Cam kết phải nêu rõ phạm vi cung cấp và dịch vụ được tổ chức hỗ trợ hoạt động thẻ cung cấp;

d) Tổ chức hoạt động thẻ phải tổ chức quản lý, cập nhật thông tin về các tổ chức hỗ trợ hoạt động thẻ đáp ứng theo các yêu cầu Thông tư này.

9. Tổ chức hoạt động thẻ phải xây dựng quy trình và thực hiện ứng phó các sự cố để đảm bảo xử lý được ngay khi có sự cố xảy ra. Quy trình ứng phó sự cố đáp ứng tối thiểu các yêu cầu sau:

a) Vai trò, trách nhiệm, truyền thông và liên lạc của các cá nhân, tổ chức trong trường hợp xảy ra xâm phạm hệ thống;

b) Có kịch bản cụ thể để ứng phó sự cố;

c) Có kịch bản phục hồi và đảm bảo hoạt động liên tục;

d) Có kịch bản sao lưu dữ liệu;

đ) Kiểm thử quy trình tối thiểu 01 lần/năm;

e) Phân công nhân sự cụ thể để sẵn sàng ứng phó sự cố 24/7;

g) Thực hiện các chương trình đào tạo cho nhân viên để đáp ứng công việc ứng phó sự cố về an toàn bảo mật thẻ;

h) Quy trình ứng phó sự cố bao gồm cả các cảnh báo từ hệ thống giám sát an ninh (các hệ thống phát hiện, phòng chống xâm nhập, thiết bị tường lửa và hệ thống giám sát tính toàn vẹn của các tệp tin dữ liệu);

i) Thực hiện sửa đổi và hoàn thiện quy trình ứng phó sự cố thông qua bài học kinh nghiệm và đáp ứng sự phát triển về công nghệ thông tin.

Trên đây là nội dung tư vấn về Chính sách an toàn bảo mật thông tin thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN.

Trân trọng!