Bảo vệ vùng lưu trữ dữ liệu thẻ ngân hàng
Theo quy định tại Điều 14 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:
1. Lưu trữ, phục hồi, hủy thông tin, dữ liệu thẻ
a) Thực hiện chính sách, thủ tục, quy trình lưu trữ và hủy dữ liệu chủ thẻ; hạn chế lượng dữ liệu, thời gian cần lưu trữ đáp ứng theo yêu cầu nghiệp vụ và quy định của pháp luật về lưu trữ; hàng quý thực hiện xác định và xóa an toàn dữ liệu chủ thẻ vượt quá thời gian cần lưu trữ; tuân thủ các quy định về lưu dữ liệu chủ thẻ, bao gồm các quy định về thời hạn bảo quản hồ sơ, tài liệu lưu trữ trong ngành ngân hàng;
b) Dữ liệu xác thực thẻ phải đảm bảo: Giữ bí mật trong hoạt động in ấn, phát hành thẻ; cá nhân hoặc tổ chức khi xử lý dữ liệu xác thực thẻ phải cam kết không tiết lộ thông tin; không lưu trữ dữ liệu xác thực thẻ sau khi đã xác thực, kể cả thông tin đã mã hóa tại giao dịch đến, các tập tin dữ liệu nhật ký, tập tin lịch sử, tập tin theo dõi, các bảng sơ đồ dữ liệu và các nội dung cơ sở dữ liệu;
c) Số thẻ phải được che giấu khi hiển thị và chỉ được hiển thị đầy đủ khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ; số thẻ phải đảm bảo không đọc được tại các nơi lưu trữ;
d) Đảm bảo số thẻ không đọc được tại các nơi lưu trữ bằng cách sử dụng một trong các phương pháp sau:
- Phương pháp sử dụng hàm băm một chiều (hàm hash) dựa trên thuật toán mã hóa mạnh;
- Phương pháp phân tách, cắt bớt dữ liệu đảm bảo không đọc được toàn bộ dữ liệu khi lưu trữ trên các tập tin, cơ sở dữ liệu, dữ liệu nhật ký;
- Sử dụng hệ thống mật mã sử dụng một lần, trong đó đảm bảo thiết bị nhận mã phải được giữ bí mật;
- Phương pháp mã hóa mạnh với quy trình và thủ tục quản lý khóa phải được tuân thủ;
- Sử dụng phương pháp mã hóa ổ đĩa trong đó đảm bảo thực hiện mã hóa các tập tin thông qua cơ chế riêng biệt và độc lập với cơ chế kiểm soát truy cập và xác thực trên nền hệ điều hành có sẵn.
2. Quy định mã hóa dữ liệu tại vùng lưu trữ dữ liệu thẻ
a) Các khóa dùng trong mã hóa phải được lưu trữ và có biện pháp đảm bảo an toàn tránh nguy cơ lộ thông tin:
- Giới hạn số lượng người có quyền truy cập đến khóa mã hóa;
- Lưu giữ các khóa riêng dùng để mã hóa, giải mã dữ liệu chủ thẻ trong mọi thời điểm theo một trong các phương thức sau:
+ Lưu trữ trong thiết bị chuyên dụng hoặc thiết bị bảo mật PIN trong giao dịch;
+ Lưu giữ khóa thành tối thiểu hai phần riêng biệt.
+ Thực hiện mã hóa khóa bằng thuật toán phải mạnh bằng hoặc mạnh hơn thuật toán dùng để mã hóa dữ liệu. Khóa để mã hóa khóa phải được lưu trữ tách biệt với khóa để mã hóa dữ liệu;
b) Ban hành quy trình thực hiện tất cả các công việc liên quan đến quản lý khóa và thủ tục mã hóa để mã hóa dữ liệu chủ thẻ bao gồm:
- Quá trình tạo ra các khóa mã hóa;
- Phân phối khóa mã hóa;
- Lưu giữ khóa mã hóa;
- Định kỳ thay đổi các khóa khi hết vòng đời sử dụng;
- Thay thế hoặc thu hồi các khóa khi có nghi ngờ bị lộ, bị sửa đổi.
c) Quản lý khóa mã hóa phải đáp ứng tối thiểu các yêu cầu sau:
- Nếu sử dụng các khóa mã hóa dưới dạng bản rõ (clear text) phải đảm bảo khóa này được chia thành nhiều phần quản lý bởi tối thiểu hai người, mỗi người giữ một phần khóa mã hóa;
- Ngăn ngừa việc thay thế các khóa mã hóa khi chưa được phép;
- Phải quy định rõ trách nhiệm của người giữ khóa mã hóa.
Trên đây là nội dung tư vấn về Bảo vệ vùng lưu trữ dữ liệu thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN.
Trân trọng!