Đã có Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng?

Nội dung chính

• Đã có Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng?
• Việc thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng phải đạt yêu cầu tối thiểu nào?
• Thông tư 50/2024/TT-NHNN có hiệu lực khi nào?

Đã có Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng?

Ngày 31/10/2024, Ngân hàng nhà nước Việt Nam ban hành Thông tư 50/2024/TT-NHNN quy định về an toàn bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Theo đó, Thông tư 50/2024/TT-NHNN quy định các yêu cầu bảo đảm an toàn bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng, bao gồm:

- Hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

- Hoạt động cung ứng dịch vụ trung gian thanh toán;

- Hoạt động thông tin tín dụng.

Thông tư 50/2024/TT-NHNN áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tin dụng (sau đây gọi chung là đơn vị).

Đồng thời, các văn bản sau đây hết hiệu lực kể từ ngày Thông tư 50/2024/TT-NHNN có hiệu lực:

- Thông tư 35/2016/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;

- Thông tư 35/2018/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam sửa đổi, bổ sung một số điều của Thông tư 35/2016/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

Đã có Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng? (Hình từ Internet)

Việc thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng phải đạt yêu cầu tối thiểu nào?

Căn cứ Điều 4 Thông tư 50/2024/TT-NHNN quy định về hệ thống mạng, truyền thông và an toàn, bảo mật

Điều 4. Hệ thống mạng, truyền thông và an toàn, bảo mật

Đơn vị phải thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật đạt yêu cầu tối thiểu sau:

1. Có các giải pháp an toàn, bảo mật tối thiểu gồm:

a) Tưởng lửa ứng dụng hoặc giải pháp bảo vệ có tính năng tương đương

b) Tường lửa cơ sở dữ liệu hoặc giải pháp bảo vệ có tính năng tương đương;

[....]

Như vậy, đơn vị phải thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật đạt yêu cầu tối thiểu sau:

(1) Có các giải pháp an toàn, bảo mật tối thiểu gồm:

- Tưởng lửa ứng dụng hoặc giải pháp bảo vệ có tính năng tương đương

- Tường lửa cơ sở dữ liệu hoặc giải pháp bảo vệ có tính năng tương đương;

- Giải pháp phòng, chống tấn công từ chối dịch vụ (DoS – Denial of Service attack), tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service attack) đối với các hệ thống cung cấp dịch vụ trực tiếp trên Internet;

- Hệ thống quản lý và phân tích sự kiện an toàn thông tin.

(2) Thông tin khách hàng (thông tin nhận biết khách hàng, thông tin giao dịch của khách hàng) không được lưu trữ tại phân vùng kết nối Internet và phân vùng trung gian giữa mạng nội bộ và mạng Intemet (phần vùng DMZ).

(3) Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Online Banking

(4) Kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quân trị chỉ được thực hiện trong trường hợp không thể kết nối từ mạng nội bộ và bảo đảm an toàn, tuân thủ các quy định sau:

- Phải được cấp có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thúc kết nối;

- Phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương

- Thiết bị kết nối phải được cài đặt các phần mềm bảo đảm an toàn, bảo

- Phải áp dụng tối thiểu hai trong các hình thức xác nhận quy định tại khoản 1, khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư 50/2024/TT-NHNN khi đăng nhập hệ thống

- Sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mà khóa bí mật tại các phần mềm tiện ích.

(5) Đường truyền kết nối mạng cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.

Thông tư 50/2024/TT-NHNN có hiệu lực khi nào?

Căn cứ Điều 22 Thông tư 50/2024/TT-NHNN quy định cụ thể như sau:

Điều 22. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2025, trừ trường hợp quy định tại khoản 2, khoản 3, khoản 4 Điều này.

2. Điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8 có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2025.

2026.

3. Điểm b khoản 1 Điều 10 có hiệu lực thi hành kể từ ngày 01 tháng 01 năm

4. Điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20 có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2026.

5. Các văn bản sau đây hết hiệu lực kể từ ngày Thông tư này có hiệu lực:

a) Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;

b) Thông tư số 35/2018/TT-NHNN ngày 24 tháng 12 năm 2018 của Thống đốc Ngân hàng Nhà nước Việt Nam sửa đổi, bổ sung một số điều của Thông tư SỐ 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

6. Bãi bỏ Điều 25 của Thông tư số 09/2020/TT-NHNN ngày 21 tháng 10 năm 2020 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.

Như vậy, Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ 1/1/2025, trừ trường hợp:

- Điểm b khoản 1 Điều 4 Thông tư 50/2024/TT-NHNN, điểm d khoản 9 Điều 7 Thông tư 50/2024/TT-NHNN, khoản 3 và khoản 4 Điều 8 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 1/7/2025.

- Điểm b khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 1/1/2026.

- Điểm c khoản 5 Điều 11 Thông tư 50/2024/TT-NHNN, điểm c khoản 7 Điều 11 Thông tư 50/2024/TT-NHNN, điểm b (iv) khoản 1 Điều 20 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 1/7/2026.