Các biện pháp kiểm soát tài khoản vận hành và tài khoản quản trị thẻ ngân hàng
Theo quy định tại Khoản 4 Điều 6 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:
a) Cấp phát tài khoản truy cập riêng biệt, phân quyền tương ứng cho từng cá nhân làm nhiệm vụ vận hành và quản trị các thiết bị phục vụ thanh toán thẻ;
b) Kiểm soát việc thêm mới, xóa, sửa các định danh, thông tin tài khoản người sử dụng đúng mục tiêu quản lý;
c) Thu hồi quyền truy cập ngay khi người sử dụng hết hạn sử dụng hoặc chuyển công việc khác hoặc không làm nhiệm vụ vận hành, quản trị;
d) Thẩm tra, xác nhận lại danh tính người sử dụng khi nhận được yêu cầu gián tiếp qua email, điện thoại trước khi thay đổi, phục hồi lại mã khóa bí mật tài khoản;
đ) Tài khoản cấp phát lần đầu phải thiết lập mã khóa bí mật và mã khóa bí mật đó trên các tài khoản phải khác nhau. Tài khoản chỉ được hoạt động khi người dùng thay đổi mã khóa bí mật ban đầu;
e) Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian;
g) Việc cấp tài khoản truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ phải được giới hạn về thời gian, phải được người có thẩm quyền phê duyệt và được giám sát hoạt động;
h) Không được chia sẻ hoặc dùng chung tài khoản để truy cập hệ thống;
i) Tài khoản phải được thay đổi mã khóa bí mật tối thiểu 01 lần/quý; mã khóa bí mật phải có độ dài tối thiểu 07 (bảy) ký tự, bao gồm cả ký tự chữ và số (ngoại trừ PIN); mã khóa bí mật không được sử dụng lặp lại trong bốn lần gần nhất;
k) Số lần nhập sai mã khóa bí mật tối đa được phép không quá 03 (ba) lần. Có biện pháp khóa tài khoản tự động khi nhập sai mã khóa bí mật quá số lần quy định. Thời gian phục hồi tài khoản bị khóa sau khi nhập sai mã khóa bí mật tối thiểu 30 phút hoặc theo yêu cầu;
l) Phiên làm việc với hệ thống thanh toán thẻ ở trạng thái chờ quá 15 phút hệ thống phải yêu cầu xác thực lại để vào hệ thống;
m) Phổ biến và đào tạo các chính sách, quy trình truy cập và xác thực tài khoản vào hệ thống, đảm bảo các tổ chức, cá nhân liên quan nắm rõ được quyền hạn, trách nhiệm khi được cấp tài khoản truy cập.
Trên đây là nội dung tư vấn về Các biện pháp kiểm soát tài khoản vận hành và tài khoản quản trị thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN.
Trân trọng!