Hạn chế quyền truy cập vật lý tới dữ liệu thẻ ngân hàng
Theo quy định tại Điều 17 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:
1. Thực hiện các kiểm soát ra, vào tới khu vực đặt hệ thống thanh toán thẻ, trung tâm dữ liệu thẻ, các môi trường vật lý có dữ liệu thẻ:
a) Thiết lập kiểm soát các điểm kết nối mạng có dây và không dây tại các khu vực công cộng đảm bảo giới hạn quyền truy cập. Kiểm soát việc truy cập vật lý các thiết bị di động, các thiết bị truyền thông, thiết bị mạng và các đường điện thoại, viễn thông;
b) Sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu thủ thẻ. Các dữ liệu giám sát phải được lưu trữ tối thiểu 03 tháng.
2. Xây dựng thủ tục để nhận biết được nhân viên và các cá nhân bên ngoài (tổ chức hỗ trợ hoạt động thẻ, khách) đến làm việc bao gồm:
a) Thủ tục để nhận biết nhân viên mới, cá nhân bên ngoài;
b) Thủ tục để thay đổi các yêu cầu truy cập và thu hồi quyền truy cập của nhân viên khi thôi việc, các cá nhân bên ngoài khi hết hạn.
3. Kiểm soát truy cập vật lý đối với nhân viên khi đến phòng máy chủ, khu vực in ấn phát hành thẻ, nơi lưu trữ, xử lý dữ liệu chủ thẻ đáp ứng yêu cầu sau:
a) Truy cập phải được cấp quyền dựa trên yêu cầu công việc của mỗi cá nhân;
b) Quyền truy cập phải được thu hồi ngay khi công việc kết thúc, tất cả các công cụ dùng để truy cập (chìa khóa, thẻ truy cập) phải được thu hồi hoặc vô hiệu hóa.
4. Thực hiện các thủ tục để nhận diện và cấp phép cho các cá nhân bên ngoài khi ra vào khu vực lưu trữ, xử lý dữ liệu chủ thẻ
a) Các cá nhân bên ngoài phải được cho phép trước khi vào và được giám sát toàn thời gian tại khu vực lưu trữ, xử lý dữ liệu chủ thẻ;
b) Các cá nhân bên ngoài phải được nhận diện bằng thẻ hoặc phương thức khác có thời hạn hiệu lực và phải nhận diện được bằng mắt thường;
c) Các cá nhân bên ngoài phải được yêu cầu thu hồi thẻ hoặc phương thức nhận diện khác trước khi rời khỏi đơn vị hoặc khi hết thời gian hiệu lực;
d) Nhật ký ra, vào của cá nhân bên ngoài phải được lưu giữ bằng các hình thức văn bản hoặc điện tử tối thiểu 01 năm.
5. Phương tiện chứa dữ liệu sao lưu của hệ thống thanh toán thẻ phải bảo quản tại nơi an toàn. Địa điểm bảo quản phải được kiểm tra đảm bảo các điều kiện an toàn ít nhất 01 lần/năm.
6. Đảm bảo an toàn các tài sản vật lý, các thông tin, hồ sơ quan trọng liên quan đến hoạt động thẻ, phương tiện mang tin. Kiểm soát việc vận chuyển phương tiện mang tin đảm bảo an toàn dữ liệu thẻ. Phải được người có thẩm quyền phê duyệt trước khi bàn giao, di chuyển, phân phối các phương tiện mang tin.
7. Thực hiện kiểm soát chặt chẽ việc lưu trữ và truy cập tới phương tiện mang tin. Tiến hành kiểm kê tài sản, các phương tiện mang tin tối thiểu 01 lần/năm.
8. Các thiết bị đọc dữ liệu thẻ phải được giám sát bảo vệ đảm bảo các yêu cầu sau:
a) Thường xuyên cập nhật danh sách các thiết bị, các thông tin về nhà sản xuất, mẫu thiết bị, nơi đặt thiết bị, mã thiết bị (serial, product number);
b) Định kỳ kiểm tra các bề mặt của thiết bị nhằm phát hiện giả mạo hoặc các thành phần bị gắn thêm vào bằng cách kiểm tra các đặc điểm để nhận dạng hoặc số serial của thiết bị;
c) Người quản lý, sử dụng thiết bị phải được đào tạo để nhận biết các nguy cơ giả mạo hoặc thay thế trên thiết bị nhằm đánh cắp thông tin thẻ. Nội dung đào tạo bao gồm:
- Xác minh danh tính tổ chức hỗ trợ hoạt động thẻ trước khi cho phép tham gia vào quá trình sửa chữa, bảo trì, khắc phục lỗi của thiết bị;
- Kiểm tra, xác minh thiết bị trước khi cho phép cài đặt, thay thế hoặc hoàn trả thiết bị;
- Nhận biết được nguy cơ, hành vi đáng ngờ xung quanh thiết bị;
- Báo cáo các nguy cơ, hành vi giả mạo hoặc thay thế trái phép thiết bị đến người có thẩm quyền.
9. Phá hủy hồ sơ, tài liệu chứa dữ liệu thẻ bằng hình thức cắt thành các miếng nhỏ, đốt hoặc nghiền nát đảm bảo dữ liệu thẻ không thể đọc hoặc tái tạo lại. Phương tiện mang tin điện tử chứa thông tin chủ thẻ được hủy bằng các chương trình xóa dữ liệu chuyên dụng hoặc bằng các biện pháp hủy vật lý, khử từ đảm bảo dữ liệu chủ thẻ không thể đọc và khôi phục.
Trên đây là nội dung tư vấn về Hạn chế quyền truy cập vật lý tới dữ liệu thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN.
Trân trọng!