Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ ngân hàng

Theo quy định tại Điều 18 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:

1. Theo dõi và giám sát toàn bộ truy cập tới tài nguyên và dữ liệu chủ thẻ

a) Thực hiện ghi dữ liệu nhật ký toàn bộ truy cập đến các thiết bị phục vụ thanh toán thẻ để lưu vết tất cả các hành vi của người sử dụng;

b) Thực hiện tự động ghi dữ liệu nhật ký truy cập đến toàn bộ thiết bị phục vụ thanh toán thẻ để xác định lại các sự kiện sau:

- Tất cả truy cập của người sử dụng đến dữ liệu chủ thẻ;

- Tất cả hành động của người sử dụng có tài khoản đặc quyền;

- Các truy cập đến toàn bộ dữ liệu nhật ký;

- Các cố gắng truy cập không được phép vào hệ thống;

- Quản lý người sử dụng (bao gồm các sự kiện tạo mới tài khoản và nâng quyền quản trị, các thay đổi hoặc xóa tài khoản của tài khoản quản trị);

- Khởi tạo, chấm dứt hoặc tạm ngừng việc ghi dữ liệu nhật ký;

- Khởi tạo hoặc xóa các dữ liệu, tài nguyên, chức năng, dịch vụ trên thiết bị phục vụ thanh toán thẻ.

c) Dữ liệu nhật ký của mỗi sự kiện (quy định tại Điểm b Khoản 1 Điều này) bao gồm tối thiểu các thông tin sau:

- Định danh người sử dụng;

- Loại sự kiện;

- Ngày, tháng và thời gian;

- Trạng thái thành công hoặc thất bại;

- Nguồn gốc của sự kiện;

- Tên hoặc định danh của dữ liệu, tài nguyên hoặc chức năng, dịch vụ bị ảnh hưởng bởi sự kiện.

d) Phải có hệ thống đồng bộ thời gian đối với hệ thống máy chủ, hệ thống ATM phục vụ thanh toán thẻ;

đ) Bảo vệ các dữ liệu nhật ký:

- Giới hạn quyền được xem dữ liệu nhật ký tối thiểu theo nhu cầu công việc;

- Bảo vệ các tập tin dữ liệu nhật ký nhằm tránh sửa đổi trái phép;

- Sao lưu dữ liệu nhật ký đến các máy chủ tập trung hoặc phương tiện mang tin;

e) Tổ chức hoạt động thẻ phải sử dụng công cụ để giám sát tính toàn vẹn của tập tin dữ liệu nhật ký hoặc phần mềm phát hiện thay đổi dữ liệu nhật ký;

g) Tổ chức hoạt động thẻ phải tiến hành xem xét, đánh giá các dữ liệu nhật ký và các sự kiện an ninh trên toàn bộ thiết bị phục vụ thanh toán thẻ để xác định hoạt động bất thường, hoạt động nghi ngờ bằng cách sử dụng các công cụ phân tích, khai thác và cảnh báo dựa trên dữ liệu nhật ký, cụ thể như sau:

- Tổ chức hoạt động thẻ phải đánh giá hàng ngày tối thiểu các nội dung dữ liệu nhật ký sau:

+ Toàn bộ các sự kiện về an toàn bảo mật;

+ Các dữ liệu nhật ký của hệ thống lưu trữ, xử lý, truyền nhận thông tin thẻ;

+ Các dữ liệu nhật ký của các trang thiết bị an toàn bảo mật cho hệ thống (các thiết bị tường lửa, hệ thống phát hiện xâm nhập, phòng chống xâm nhập, các máy chủ xác thực).

- Tổ chức hoạt động thẻ phải đánh giá toàn bộ dữ liệu nhật ký theo quy chế an toàn bảo mật và quy định về quản lý rủi ro của đơn vị. Đánh giá dữ liệu nhật ký tối thiểu 01 lần/năm;

- Trong quá trình đánh giá dữ liệu nhật ký, phải theo dõi xử lý các sự kiện ngoại lệ và sự kiện bất thường đã phát hiện được.

h) Dữ liệu nhật ký phải được lưu trữ trực tuyến tối thiểu 03 tháng để sẵn sàng truy cập và sao lưu tối thiểu 01 năm.

2. Kiểm tra về an ninh hệ thống thanh toán thẻ

a) Tổ chức hoạt động thẻ phải thực hiện kiểm soát các điểm truy cập mạng không dây. Có danh sách các điểm truy cập không dây (nếu có) được phép kết nối vào mạng của đơn vị, giải thích rõ mục đích sử dụng và được người có thẩm quyền phê duyệt. Định kỳ hàng quý rà soát các điểm truy cập mạng không dây kết nối vào mạng nội bộ của đơn vị;

b) Tổ chức hoạt động thẻ phải dò quét, đánh giá các lỗ hổng bảo mật hệ thống công nghệ thông tin từ bên trong và bên ngoài mạng đơn vị tối thiểu 01 lần/quý và ngay sau khi có bất cứ thay đổi quan trọng nào trong hệ thống (bao gồm: bổ sung thêm các thiết bị; thay đổi mô hình mạng; các thay đổi chính sách truy cập của thiết bị tường lửa; nâng cấp, cập nhật hệ điều hành, ứng dụng). Thực hiện khắc phục ngay các lỗ hổng bảo mật ở mức độ cao được xác định theo Khoản 1 Điều 5 Thông tư này;

c) Tổ chức hoạt động thẻ phải tổ chức diễn tập kịch bản thử nghiệm xâm nhập theo các yêu cầu sau:

- Thử nghiệm xâm nhập toàn bộ các hệ thống có lưu trữ, xử lý dữ liệu chủ thẻ;

- Thực hiện thử nghiệm xâm nhập từ bên trong và bên ngoài hệ thống ít nhất 01 lần/năm và ngay sau khi có sự thay đổi quan trọng trong hệ thống hoặc phát hiện được các lỗ hổng sau khi dò quét;

- Thử nghiệm xâm nhập hệ thống dựa trên các hướng dẫn của các tổ chức uy tín về hoạt động thử nghiệm xâm nhập và an toàn bảo mật;

- Thử nghiệm xâm nhập khai thác các lỗ hổng được liệt kê tại Khoản 5 Điều 5 của Thông tư này;

- Thử nghiệm xâm nhập đối với cả mức mạng và mức ứng dụng;

- Đánh giá và xem xét các mối đe dọa và lỗ hổng bảo mật đã xảy ra trong 12 tháng qua;

- Lưu trữ theo chế độ mật kết quả thử nghiệm xâm nhập và kết quả hành động khắc phục;

- Các lỗ hổng có thể bị khai thác được phát hiện được trong quá trình thử nghiệm xâm nhập phải được khắc phục và kiểm tra lại đảm bảo các lỗ hổng được khắc phục.

d) Tổ chức hoạt động thẻ phải sử dụng hệ thống phát hiện và phòng chống xâm nhập để phát hiện và ngăn chặn các xâm nhập trái phép vào hệ thống mạng, giám sát toàn bộ các truy cập đến môi trường dữ liệu chủ thẻ và cảnh báo cho người quản trị các nguy cơ bị xâm phạm. Các thiết bị phòng chống xâm nhập phải được cập nhật các dấu hiệu mã độc mới từ nhà cung cấp;

đ) Tổ chức hoạt động thẻ phải kiểm tra tính toàn vẹn đối với các dữ liệu quan trọng (các tập tin hệ thống, các tập tin cấu hình, các tập tin nội dung) tối thiểu hàng tháng.

Trên đây là nội dung tư vấn về Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN.

Trân trọng!