Bảo đảm an toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ ngân hàng thì cần làm gì?

Nội dung chính

• Trang thiết bị phục vụ thanh toán thẻ ngân hàng gồm những gì?
• Cần làm gì để bảo đảm an toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ ngân hàng?
• Muốn loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ ngân hàng thì cần làm gì?

Trang thiết bị phục vụ thanh toán thẻ ngân hàng gồm những gì?

Căn cứ theo Điều 2 Thông tư 47/2014/TT-NHNN có quy định:

Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Trang thiết bị phục vụ thanh toán thẻ bao gồm các thiết bị, phần mềm sử dụng cho việc tiếp nhận, xử lý các giao dịch thẻ.

2. ATM (Automated Teller Machine) đặt bên ngoài là ATM đặt tại nơi công cộng và nơi không có người giám sát trực tiếp thiết bị.

3. Máy POS (Point Of Sale) là thiết bị chấp nhận thẻ được sử dụng để thực hiện giao dịch thẻ tại các đơn vị chấp nhận thẻ (viết tắt là ĐVCNT).

4. Máy mPOS (Mobile Point Of Sale) là máy POS bao gồm phần mềm và thiết bị chuyên dụng tích hợp với thiết bị thông tin di động.

...

Theo đó thì trang thiết bị phục vụ thanh toán thẻ bao gồm các thiết bị, phần mềm sử dụng cho việc tiếp nhận, xử lý các giao dịch thẻ.

Trang thiết bị phục vụ thanh toán thẻ ngân hàng (Hình từ Internet)

Cần làm gì để bảo đảm an toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ ngân hàng?

Căn cứ theo Điều 5 Thông tư 47/2014/TT-NHNN (Bổ sung bởi khoản 5 Điều 1 Thông tư 20/2020/TT-NHNN) thì để bảo đảm an toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ ngân hàng cần thực hiện như sau:

- Thực hiện nhận dạng các lỗ hổng bảo mật bằng công cụ dò quét và các nguồn thông tin của các tổ chức an ninh mạng bên ngoài có uy tín để xác định mức độ ảnh hưởng của các lỗ hổng bảo mật mới đối với hệ thống thanh toán thẻ, bao gồm các mức độ ảnh hưởng: mức độ cao; mức độ trung bình; mức độ thấp.

- Đảm bảo toàn bộ các thiết bị phục vụ thanh toán thẻ được cập nhật các bản vá lỗ hổng bảo mật đã được công bố từ các nhà sản xuất. Đối với các bản vá các lỗ hổng bảo mật mức độ cao phải được cài đặt trong thời gian sớm nhất và không quá 01 tháng kể từ khi nhà sản xuất công bố bản vá.

- Phát triển các phần mềm ứng dụng trong lĩnh vực thẻ đảm bảo tuân thủ các quy định của pháp luật và các chuẩn mực phát triển phần mềm ứng dụng được áp dụng rộng rãi trong lĩnh vực công nghệ thông tin.

- Thực hiện các thủ tục kiểm soát sự thay đổi khi cập nhật các bản vá lỗ hổng bảo mật, thay đổi phần mềm ứng dụng.

- Khi phát triển mã nguồn ứng dụng cần kiểm tra, loại bỏ các lỗ hổng bảo mật trong ứng dụng

- Các ứng dụng cung cấp dịch vụ trên các môi trường mạng bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác) phải có các biện pháp để xử lý các mối đe dọa và lỗ hổng bảo mật

- Phần mềm hệ thống thanh toán thẻ phải có tính năng lọc, không chấp nhận thanh toán cho các giao dịch không được phép thực hiện theo quy định của pháp luật.

- Thường xuyên rà soát bảo đảm các trang thiết bị phần cứng, phần mềm được hỗ trợ kỹ thuật từ nhà sản xuất.

Muốn loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ ngân hàng thì cần làm gì?

Theo Điều 4 Thông tư 47/2014/TT-NHNN (Bổ sung bởi khoản 4 Điều 1 Thông tư 20/2020/TT-NHNN) thì khi muốn loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ ngân hàng thì cần:

- Thay đổi hoặc vô hiệu hóa các tham số và chức năng mặc định của hệ thống (tài khoản, mã khóa bí mật, tham số hệ điều hành, phần mềm, ứng dụng không sử dụng; tham số trên máy POS không sử dụng; chuỗi ký tự mặc định trong giao thức giám sát mạng (giao thức SNMP)).

- Thay đổi các tham số mặc định (khóa mã hóa trong mạng không dây; các mã khóa bí mật; chuỗi ký tự mặc định trong giao thức SNMP tại các môi trường mạng không dây có kết nối đến dữ liệu thẻ).

- Chỉ bật hoặc cài đặt các chức năng mặc định (dịch vụ, giao thức, các chương trình nền) khi có nhu cầu sử dụng.

- Loại bỏ các chức năng, dịch vụ, tập tin, ổ đĩa không cần thiết. Thực hiện thêm các biện pháp an toàn bổ sung (các công nghệ SSH, S-FTP, SSL, IPSec VPN) khi sử dụng các dịch vụ, giao thức không an toàn để truyền dữ liệu trên mạng (chia sẻ tệp tin (File Sharing), NetBIOS, Telnet, FTP).

- Mã hóa tất cả các kết nối truy cập quản trị từ xa bằng phương pháp mã hóa mạnh.