Hợp đồng sử dụng dịch vụ công nghệ thông tin với bên thứ ba trong hoạt động ngân hàng phải có những nội dung nào?
- Nguyên tắc chung về sử dụng dịch vụ công nghệ thông tin của bên thứ ba trong hoạt động ngân hàng được quy định như thế nào?
- Hợp đồng sử dụng dịch vụ công nghệ thông tin với bên thứ ba trong hoạt động ngân hàng phải có những nội dung nào?
- Trong hoạt động ngân hàng khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba thì khi nào phải gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước?
Nguyên tắc chung về sử dụng dịch vụ công nghệ thông tin của bên thứ ba trong hoạt động ngân hàng được quy định như thế nào?
Căn cứ theo Điều 32 Thông tư 09/2020/TT-NHNN quy định như sau:
Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba
Khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba, tổ chức bảo đảm các nguyên tắc sau đây:
1. Không làm suy giảm khả năng cung cấp dịch vụ liên tục của tổ chức cho khách hàng.
2. Không làm suy giảm việc kiểm soát quy trình nghiệp vụ của tổ chức.
3. Không làm thay đổi trách nhiệm của tổ chức trong việc bảo đảm an toàn thông tin.
4. Dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo đảm an toàn thông tin của tổ chức.
Hoạt động ngân hàng (Hình từ Internet)
Hợp đồng sử dụng dịch vụ công nghệ thông tin với bên thứ ba trong hoạt động ngân hàng phải có những nội dung nào?
Căn cứ theo Điều 35 Thông tư 09/2020/TT-NHNN quy định như sau:
Hợp đồng sử dụng dịch vụ với bên thứ ba
Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba triển khai cho các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng phải có tối thiểu những nội dung sau:
1. Cam kết của bên thứ ba về bảo đảm an toàn thông tin bao gồm:
a) Không sao chép, thay đổi, sử dụng hay cung cấp dữ liệu của tổ chức sử dụng dịch vụ cho cá nhân, tổ chức khác, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật; trong trường hợp này, bên thứ ba phải thông báo cho tổ chức sử dụng dịch vụ trước khi cung cấp dữ liệu, trừ khi việc thông báo sẽ vi phạm pháp luật Việt Nam;
b) Phổ biến cho nhân sự của bên thứ ba tham gia thực hiện hợp đồng các quy định về bảo đảm an toàn thông tin của tổ chức, thực hiện các biện pháp giám sát bảo đảm tuân thủ.
2. Quy định cụ thể thời gian tối đa có thể gián đoạn dịch vụ và thời gian khắc phục sự cố, các yêu cầu liên quan đến bảo đảm hoạt động liên tục (dự phòng tại chỗ, sao lưu dữ liệu, dự phòng thảm họa), các yêu cầu liên quan đến năng lực xử lý, tính toán, lưu trữ, các biện pháp thực hiện khi chất lượng dịch vụ không được bảo đảm.
3. Trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm của bên thứ ba đối với dịch vụ mà tổ chức sử dụng.
4. Dữ liệu phát sinh trong quá trình sử dụng dịch vụ là tài sản của tổ chức. Khi chấm dứt sử dụng dịch vụ:
a) Bên thứ ba thực hiện trả lại hoặc hỗ trợ chuyển toàn bộ dữ liệu triển khai và dữ liệu phát sinh trong quá trình sử dụng dịch vụ về cho tổ chức;
b) Bên thứ ba cam kết hoàn thành việc xóa toàn bộ dữ liệu của tổ chức trong một khoảng thời gian xác định.
5. Bên thứ ba phải thông báo cho tổ chức khi phát hiện nhân sự vi phạm quy định về an toàn thông tin đối với dịch vụ mà tổ chức sử dụng.
6. Hợp đồng sử dụng dịch vụ điện toán đám mây, ngoài các nội dung quy định tại các khoản 1, 2, 3, 4, 5 Điều này, phải bổ sung thêm những nội dung sau:
a) Bên thứ ba phải cung cấp báo cáo kiểm toán tuân thủ công nghệ thông tin do tổ chức kiểm toán độc lập thực hiện hàng năm trong thời gian thực hiện hợp đồng;
b) Bên thứ ba phải cung cấp: công cụ kiểm soát chất lượng dịch vụ đám mây; quy trình giám sát, kiểm soát chất lượng dịch vụ đám mây;
c) Bên thứ ba phải minh bạch các vị trí (thành phố, quốc gia) đặt trung tâm dữ liệu bên ngoài lãnh thổ Việt Nam triển khai dịch vụ cho tổ chức;
d) Trách nhiệm bảo vệ dữ liệu, chống truy cập dữ liệu trái phép trên kênh phân phối dịch vụ từ bên thứ ba đến tổ chức;
đ) Bên thứ ba phải hỗ trợ, hợp tác điều tra trong trường hợp có yêu cầu từ các cơ quan nhà nước có thẩm quyền của Việt Nam theo quy định của pháp luật;
e) Dữ liệu của tổ chức phải được tách biệt với dữ liệu của khách hàng khác sử dụng trên cùng nền tảng kỹ thuật do bên thứ ba cung cấp.
Như vậy hợp đồng sử dụng dịch vụ công nghệ thông tin với bên thứ ba trong hoạt động ngân hàng phải có những nội dung như quy định trên.
Trong hoạt động ngân hàng khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba thì khi nào phải gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước?
Căn cứ theo Điều 33 Thông tư 09/2020/TT-NHNN quy định như sau:
Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
Trước khi sử dụng dịch vụ của bên thứ ba triển khai cho các hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin có xử lý thông tin cá nhân của khách hàng, tổ chức thực hiện:
...
3. Trường hợp thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin xử lý thông tin khách hàng, tổ chức thực hiện đánh giá rủi ro theo quy định tại khoản 1 Điều này và gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin).
Như vậy trong hoạt động ngân hàng khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba thì phải gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin) trong trường hợp thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ cấp độ 3 trở lên.
Hoạt động ngân hàng gồm các hoạt động nào? Tổ chức tín dụng nào được thực hiện tất cả hoạt động ngân hàng?
Chi nhánh ngân hàng nước ngoài phải được phép thực hiện hoạt động ngân hàng tại nước đặt trụ sở chính thì mới được cấp Giấy phép thành lập?
Công ty tài chính chuyên ngành được tư vấn về hoạt động ngân hàng không? Nguyên tắc tư vấn về hoạt động ngân hàng?
Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên trong hoạt động ngân hàng được lưu trực tuyến bao nhiêu tháng?
Tổ chức quản lý nguồn nhân lực của an toàn hệ thống thông tin trong hoạt động ngân hàng như thế nào?
Hệ thống thông tin cấp độ 5 trong hoạt động ngân hàng phải có tiêu chí nào? Tài sản thông tin trên hệ thống có những thông tin nào?
Thiết bị di động có phải là tài sản vật lý trong bảo đảm an toàn hệ thống thông tin trong hoạt động ngân hàng không?
Vật mang tin là gì? Trước khi sử dụng vật mang tin trong hoạt động ngân hàng thì có cần phải kiểm tra diệt mã độc không?
Tài sản phần mềm là một loại tài sản công nghệ thông tin trong hoạt động ngân hàng đúng không theo quy định?
Để an toàn tài sản vật lý trong hoạt động ngân hàng thì tài sản này phải được bố trí và lắp đặt ở đâu?
Đặt câu hỏi
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Người trung gian trong giao dịch điện tử là gì? Người nhận thông điệp dữ liệu có bao gồm người trung gian chuyển thông điệp dữ liệu?
- Bảo vệ chế độ hôn nhân và gia đình được quy định như thế nào? Xử lý việc kết hôn trái pháp luật được quy định như thế nào?
- Người cao tuổi có được làm trưởng thôn không? Độ tuổi tối đa được bầu làm Trưởng thôn là bao nhiêu?
- Xác định di sản thừa kế là quyền sử dụng đất do Hội đồng Thẩm phán Toà án nhân dân tối cao hướng dẫn theo Nghị quyết 02 thế nào?
- Thông báo tạm dừng tuyển dụng công chức Bộ Tư pháp năm 2024 thế nào? Cơ quan nào giải quyết khiếu nại trong quá trình tổ chức thi tuyển công chức?