Khi lắp đặt ATM thì tổ chức cung cấp dịch vụ cần đảm bảo bàn phím nhập mã PIN đáp ứng được các yêu cầu nào?

Nội dung chính

• Khi lắp đặt ATM thì tổ chức cung cấp dịch vụ cần đảm bảo bàn phím nhập mã PIN đáp ứng được các yêu cầu nào?
• Sau khi lắp đặt ATM thì việc giám sát, đảm bảo an ninh hệ thông ATM được tổ chức cung ứng dịch vụ thực hiện ra sao?
• Tổ chức cung cấp dịch vụ ATM có thể cập nhật hệ thống ATM thông quan hệ thông mạng Internet hay không?

Khi lắp đặt ATM thì tổ chức cung cấp dịch vụ cần đảm bảo bàn phím nhập mã PIN đáp ứng được các yêu cầu nào?

Căn cứ Điều 7 Thông tư 47/2014/TT-NHNN quy định về các yêu cầu kỹ thuật lắp đặt và an toàn vật lý ATM như sau:

Các yêu cầu kỹ thuật lắp đặt và an toàn vật lý ATM

...

3. Yêu cầu về két đựng tiền

a) Tổ chức cung cấp dịch vụ ATM trang bị két đựng tiền của ATM làm bằng vật liệu chịu được lực tác động lớn, chống được ăn mòn, tản nhiệt nhanh hoặc hấp thụ nhiệt chậm nhằm giảm thiểu mức độ hư hỏng vỏ két và tổn thất tiền bên trong do tác động lực, hóa chất và nhiệt từ bên ngoài;

b) Két đựng tiền của ATM phải được trang bị ít nhất hai khóa, do hai người nắm giữ.

4. Bàn phím nhập mã PIN phải đạt các yêu cầu nêu tại Điều 13 Thông tư này.

5. ATM phải có chứng nhận xuất xứ và có chứng nhận chất lượng của nhà sản xuất.

Dẫn chiếu Điều 13 Thông tư 47/2014/TT-NHNN quy định về yêu cầu đối với bàn phí nhập mã pin khi lắp đặt ATM như sau:

Các yêu cầu đối với bàn phím nhập số PIN

1. Bàn phím dùng để nhập số PIN phải tự hủy được các thông tin nhạy cảm lưu trữ trong đó bao gồm các khóa mã hóa, PIN, mã khóa bí mật và không thể khôi phục lại được thông tin này khi bị xâm nhập vật lý.

2. Âm thanh khi gõ một phím không phân biệt được với âm thanh khi gõ phím khác. Ngoài ra không thể xác định được bất kỳ ký tự PIN nào được nhập bằng cách theo dõi điện từ, điện năng tiêu thụ.

3. Số PIN phải được mã hóa ngay sau khi nhập xong (người dùng ấn Enter). Bộ nhớ đệm tự động được xóa sau khi giao dịch kết thúc hoặc hết thời gian chờ.

4. Các tính năng an toàn của bàn phím không bị thay đổi bởi điều kiện môi trường, điều kiện vận hành.

Như vậy, khi lắp đặt ATM thì tổ chức cung ứng dịch vụ ATM cần đảm bảo bàn phím dùng để nhập số PIN phải tự hủy được các thông tin nhạy cảm lưu trữ trong đó bao gồm các khóa mã hóa, PIN, mã khóa bí mật và không thể khôi phục lại được thông tin này khi bị xâm nhập vật lý.

Ngoài ra, bàn phím nhập mã pin còn phải đáp ứng được các chức năng như:

- Âm thanh khi gõ một phím không phân biệt được với âm thanh khi gõ phím khác. Ngoài ra không thể xác định được bất kỳ ký tự PIN nào được nhập bằng cách theo dõi điện từ, điện năng tiêu thụ.

- Số PIN phải được mã hóa ngay sau khi nhập xong. Bộ nhớ đệm tự động được xóa sau khi giao dịch kết thúc hoặc hết thời gian chờ.

- Các tính năng an toàn của bàn phím không bị thay đổi bởi điều kiện môi trường, điều kiện vận hành.

Khi lắp đặt ATM thì tổ chức cung cấp dịch vụ cần đảm bảo bàn phím nhập mã PIN đáp ứng được các yêu cầu nào? (Hình từ Internet)

Sau khi lắp đặt ATM thì việc giám sát, đảm bảo an ninh hệ thông ATM được tổ chức cung ứng dịch vụ thực hiện ra sao?

Căn cứ Điều 9 Thông tư 47/2014/TT-NHNN quy định về các yêu cầu về giám sát, an ninh hệ thống ATM như sau:

Các yêu cầu về giám sát, an ninh hệ thống ATM

1. Tổ chức cung cấp dịch vụ ATM phải trang bị phần mềm quản lý tập trung, theo dõi đầy đủ tức thời về tình trạng của ATM.

2. Tổ chức cung cấp dịch vụ ATM có biện pháp kỹ thuật, hành chính để quản lý chặt chẽ hệ thống ATM, phát hiện kịp thời các truy cập bất hợp pháp, lắp đặt trái phép thiết bị sao chép thông tin thẻ hoặc ghi hình các thao tác người sử dụng

a) Có hệ thống giám sát giao dịch trên hệ thống thanh toán thẻ, liên tục theo dõi nhằm phát hiện giao dịch thanh toán thẻ đáng ngờ, gian lận dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần nhập PIN sai quá quy định và các dấu hiệu bất thường khác để kịp thời xử lý và cảnh báo cho chủ thẻ;

b) Hình ảnh ghi được của camera phải đủ rõ nét để phục vụ yêu cầu giải quyết tra soát, khiếu nại.

3. Dữ liệu nhật ký trên ATM phải được sẵn sàng truy cập trong thời gian tối thiểu 03 tháng và lưu trữ tối thiểu 01 năm.

4. Tổ chức cung cấp dịch vụ ATM đảm bảo các yêu cầu khác về an toàn hoạt động ATM theo quy định của Ngân hàng Nhà nước Việt Nam về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của ATM.

Theo đó, khi lắp đặt xong ATM thi tổ chức cung ứng dịch vụ ATM sẽ thực hiện theo dõi tình trạng máy thông qua phần mềm quản lý tập trung kết hợp với biện pháp kỹ thuật, hành chính để quản lý chặt chẽ hệ thống ATM, phát hiện kịp thời các truy cập bất hợp pháp, lắp đặt trái phép thiết bị sao chép thông tin thẻ hoặc ghi hình các thao tác người sử dụng

Tổ chức có thể lắp đặt hệ thống giám sát giao dịch trên hệ thống thanh toán thẻ, liên tục theo dõi nhằm phát hiện giao dịch thanh toán thẻ đáng ngờ, gian lận dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần nhập PIN sai quá quy định và các dấu hiệu bất thường khác để kịp thời xử lý và cảnh báo cho chủ thẻ.

Dữ liệu nhật ký trên ATM phải được sẵn sàng truy cập trong thời gian tối thiểu 03 tháng và lưu trữ tối thiểu 01 năm.

Tổ chức cung cấp dịch vụ ATM có thể cập nhật hệ thống ATM thông quan hệ thông mạng Internet hay không?

Căn cứ Điều 6 Thông tư 47/2014/TT-NHNN quy định về các yêu cầu kỹ thuật về phần mềm, đường truyền, liên thông cho ATM như sau:

Các yêu cầu kỹ thuật về phần mềm, đường truyền, liên thông cho ATM

...

2. Yêu cầu đường truyền cho ATM

Tổ chức cung cấp dịch vụ ATM thiết lập đường truyền cho ATM phải ngăn chặn được các truy cập Internet trừ các kết nối về trung tâm để thực hiện giao dịch. Việc cập nhật bản vá lỗi hệ điều hành, phần mềm phòng chống virus và các cập nhật khác tại ATM phải được thực hiện tại chỗ hoặc thông qua hệ thống tập trung nội bộ.

...

Theo đó, tổ chức cung ứng dịch vụ ATM chỉ có thể cập bản vá lỗi hệ điều hành, phần mềm phòng chống virus và các cập nhật khác tại ATM phải được thực hiện tại chỗ hoặc thông qua hệ thống tập trung nội bộ.

Như vậy tổ chức cung cấp dịch vụ ATM có thể cập nhật hệ thống ATM thông quan hệ thông mạng Internet nhưng phải đảm bảo yêu cầu về hệ thống tập trung nội bộ.