Kiểm tra về an ninh hệ thống thanh toán thẻ ngân hàng
Theo quy định tại Khoản 2 Điều 18 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:
a) Tổ chức hoạt động thẻ phải thực hiện kiểm soát các điểm truy cập mạng không dây. Có danh sách các điểm truy cập không dây (nếu có) được phép kết nối vào mạng của đơn vị, giải thích rõ mục đích sử dụng và được người có thẩm quyền phê duyệt. Định kỳ hàng quý rà soát các điểm truy cập mạng không dây kết nối vào mạng nội bộ của đơn vị;
b) Tổ chức hoạt động thẻ phải dò quét, đánh giá các lỗ hổng bảo mật hệ thống công nghệ thông tin từ bên trong và bên ngoài mạng đơn vị tối thiểu 01 lần/quý và ngay sau khi có bất cứ thay đổi quan trọng nào trong hệ thống (bao gồm: bổ sung thêm các thiết bị; thay đổi mô hình mạng; các thay đổi chính sách truy cập của thiết bị tường lửa; nâng cấp, cập nhật hệ điều hành, ứng dụng). Thực hiện khắc phục ngay các lỗ hổng bảo mật ở mức độ cao được xác định theo Khoản 1 Điều 5 Thông tư này;
c) Tổ chức hoạt động thẻ phải tổ chức diễn tập kịch bản thử nghiệm xâm nhập theo các yêu cầu sau:
- Thử nghiệm xâm nhập toàn bộ các hệ thống có lưu trữ, xử lý dữ liệu chủ thẻ;
- Thực hiện thử nghiệm xâm nhập từ bên trong và bên ngoài hệ thống ít nhất 01 lần/năm và ngay sau khi có sự thay đổi quan trọng trong hệ thống hoặc phát hiện được các lỗ hổng sau khi dò quét;
- Thử nghiệm xâm nhập hệ thống dựa trên các hướng dẫn của các tổ chức uy tín về hoạt động thử nghiệm xâm nhập và an toàn bảo mật;
- Thử nghiệm xâm nhập khai thác các lỗ hổng được liệt kê tại Khoản 5 Điều 5 của Thông tư này;
- Thử nghiệm xâm nhập đối với cả mức mạng và mức ứng dụng;
- Đánh giá và xem xét các mối đe dọa và lỗ hổng bảo mật đã xảy ra trong 12 tháng qua;
- Lưu trữ theo chế độ mật kết quả thử nghiệm xâm nhập và kết quả hành động khắc phục;
- Các lỗ hổng có thể bị khai thác được phát hiện được trong quá trình thử nghiệm xâm nhập phải được khắc phục và kiểm tra lại đảm bảo các lỗ hổng được khắc phục.
d) Tổ chức hoạt động thẻ phải sử dụng hệ thống phát hiện và phòng chống xâm nhập để phát hiện và ngăn chặn các xâm nhập trái phép vào hệ thống mạng, giám sát toàn bộ các truy cập đến môi trường dữ liệu chủ thẻ và cảnh báo cho người quản trị các nguy cơ bị xâm phạm. Các thiết bị phòng chống xâm nhập phải được cập nhật các dấu hiệu mã độc mới từ nhà cung cấp;
đ) Tổ chức hoạt động thẻ phải kiểm tra tính toàn vẹn đối với các dữ liệu quan trọng (các tập tin hệ thống, các tập tin cấu hình, các tập tin nội dung) tối thiểu hàng tháng.
Trên đây là nội dung tư vấn về Kiểm tra về an ninh hệ thống thanh toán thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN.
Trân trọng!
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Học sinh được nghỉ bao nhiêu ngày Tết 2025? Học kỳ 2 năm học 2024 - 2025 bắt đầu khi nào?
- Tên gọi Hà Nội có từ khi nào? Phía Bắc Thủ đô Hà Nội tiếp giáp với tỉnh thành nào?
- Còn bao nhiêu ngày thứ 2 nữa đến Tết 2025? Đếm ngược ngày Tết Âm lịch 2025?
- Trường công lập được Nhà nước giao đất không thu tiền sử dụng đất có được phép chuyển sang thuê đất thu tiền hằng năm để kinh doanh không?
- Từ 1/1/2025, tài liệu ôn luyện kiểm tra phục hồi điểm GPLX được đăng tải trên đâu?