Tóm tắt nội dung
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về

Đang tải văn bản...

Thông tư 29/2011/TT-NHNN an toàn, bảo mật cho việc cung cấp dịch vụ internet

Số hiệu:	29/2011/TT-NHNN	Loại văn bản:	Thông tư
Nơi ban hành:	Ngân hàng Nhà nước	Người ký:	Nguyễn Toàn Thắng
Ngày ban hành:	21/09/2011	Ngày hiệu lực:	Đã biết
Ngày công báo:	Đã biết	Số công báo:	Đã biết
		Tình trạng:	Đã biết

Tính bảo mật dịch vụ ngân hàng trên Internet

Ngày 21/9/2011, Thống đốc Ngân hàng Nhà nước ban hành Thông tư số 29/2011/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

Đối tượng áp dụng của TT là các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp dịch vụ ngân hàng trên Internet. Theo đó, TT quy định các nguyên tắc chung đối với việc cung cấp dịch vụ ngân hàng trên Internet như nguyên tắc đảm bảo tính bí mật, tính sẵn sàng, tính toàn vẹn, nguyên tắc xác thực khách hàng và xác thực giao dịch; nguyên tắc bảo vệ khách hàng.

Như vậy, việc ban hành TT đã đáp ứng yêu cầu quản lý nhà nước của Ngân hàng Nhà nước đối với các dịch vụ ngân hàng trên Internet của các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, nhằm đảm bảo dịch vụ được cung cấp liên tục, an toàn và bảo vệ được quyền lợi của ngân hàng cũng như khách hàng sử dụng dịch vụ.

Thông tư này ban hành thay thế cho TT số 09/2003/TT-NHNN, và có hiệu lực thi hành kể từ ngày 04/11/2011.

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 29/2011/TT-NHNN	Hà Nội, ngày 21 tháng 09 năm 2011

THÔNG TƯ

QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT CHO VIỆC CUNG CẤP DỊCH VỤ NGÂN HÀNG TRÊN INTERNET

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định 64/2001/NĐ-CP ngày 20 tháng 9 năm 2001 của Chính phủ về hoạt động thanh toán qua các tổ chức cung ứng dịch vụ thanh toán;

Căn cứ Nghị định số 26/2007/NĐ-CP ngày 25 tháng 2 năm 2007 của Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;

Căn cứ Nghị định số 96/2008/NĐ-CP ngày 26 tháng 8 năm 2008 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Căn cứ Nghị định số 97/2008/NĐ-CP ngày 28 tháng 8 năm 2008 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet;

Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet như sau:

Chương 1.

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

2. Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp dịch vụ ngân hàng trên Internet (sau đây gọi chung là đơn vị cung cấp dịch vụ) tại Việt Nam.

Điều 2. Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Dịch vụ ngân hàng trên Internet (dịch vụ Internet Banking): là các dịch vụ ngân hàng được cung cấp thông qua mạng Internet, bao gồm:

a) Thông tin về đơn vị cung cấp dịch vụ và các dịch vụ của đơn vị.

b) Dịch vụ tra cứu thông tin như: tra cứu thông tin khách hàng, tài khoản, truy vấn số dư và các thông tin khác.

c) Thực hiện các giao dịch tài chính trực tuyến như: dịch vụ về tài khoản, chuyển khoản, cấp tín dụng, thanh toán qua tài khoản.

d) Các dịch vụ khác theo quy định của Ngân hàng Nhà nước.

2. Hệ thống Internet Banking: là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật phục vụ cho việc quản lý và cung cấp dịch vụ ngân hàng trên Internet.

3. Khách hàng: là các tổ chức, cá nhân liên quan đến sử dụng dịch vụ Internet Banking.

4. Xác thực hai yếu tố: là phương pháp xác thực yêu cầu hai yếu tố khác nhau để chứng minh tính đúng đắn của một danh tính. Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết như mã số khách hàng, mật khẩu, cùng với những gì mà người dùng có như mật khẩu sử dụng một lần (OTP), ma trận lưới ngẫu nhiên, dấu hiệu sinh trắc học, hoặc các thiết bị hỗ trợ khác để chứng minh danh tính.

5. Tài khoản đặc quyền: là tài khoản truy cập vào hệ thống công nghệ thông tin nhằm thực hiện các công việc đặc biệt hoặc truy cập vào dữ liệu nhạy cảm. Tài khoản đặc quyền thường sử dụng cho việc cấu hình thiết bị, quản trị hệ thống, quản trị hệ điều hành, quản trị cơ sở dữ liệu hay quản trị ứng dụng nghiệp vụ (ví dụ như các tài khoản root, supervisors, system, administrator).

Điều 3. Nguyên tắc chung đối với việc cung cấp dịch vụ ngân hàng trên Internet của đơn vị cung cấp dịch vụ

1. Đảm bảo tính bí mật

a) Đảm bảo bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng theo quy định của pháp luật.

b) Mật khẩu khách hàng, khóa mã hóa và các mã khóa khác phải được mã hóa trong quá trình giao dịch, trên đường truyền và lưu trữ tại đơn vị cung cấp dịch vụ.

2. Đảm bảo tính sẵn sàng

a) Cam kết khả năng hoạt động liên tục của hệ thống Internet Banking một cách công khai, rõ ràng và được nêu rõ trong hợp đồng cung cấp dịch vụ với khách hàng. Cam kết này tối thiểu phải bao gồm cam kết về tổng thời gian dừng hệ thống trong năm, khoảng thời gian cung cấp dịch vụ trong ngày, thời gian phục hồi hệ thống sau khi gặp sự cố.

b) Đáp ứng đủ nguồn lực về hạ tầng công nghệ thông tin và nhân sự đảm bảo cung cấp dịch vụ Internet Banking liên tục đúng như cam kết của đơn vị cung cấp dịch vụ với khách hàng.

c) Xây dựng, ban hành và tuân thủ các quy trình của hệ thống Internet Banking.

d) Sử dụng các công cụ giám sát, theo dõi hiệu năng của hệ thống chính và hệ thống dự phòng đảm bảo hoạt động liên tục.

3. Đảm bảo tính toàn vẹn

a) Đảm bảo tính toàn vẹn của thông tin trong quá trình xử lý, lưu trữ và truyền nhận giữa đơn vị cung cấp dịch vụ và khách hàng.

b) Kết hợp các biện pháp an ninh về mặt hành chính và kỹ thuật trong:

- Truy cập vật lý;

- Truy cập lô gíc;

- Quá trình nhập, xử lý, truyền dẫn, kết xuất, lưu trữ, khôi phục dữ liệu.

4. Xác thực khách hàng và xác thực giao dịch

a) Đảm bảo xác thực và nhận dạng được khách hàng khi khách hàng truy cập và sử dụng dịch vụ Internet Banking.

b) Sử dụng xác thực hai yếu tố trên hệ thống Internet Banking khi thực hiện giao dịch thanh toán và các giao dịch quan trọng như: tạo kết nối giữa các tài khoản, đăng ký thanh toán cho bên thứ ba, thay đổi hạn mức giao dịch trong ngày, thay đổi thông tin tài khoản liên quan đến dữ liệu cá nhân của khách hàng (như địa chỉ cơ quan hoặc nhà riêng, số điện thoại liên lạc, địa chỉ thư điện tử và các thông tin khác nhằm xác thực khách hàng).

5. Bảo vệ khách hàng

a) Cung cấp đầy đủ thông tin về quyền lợi và nghĩa vụ của khách hàng trước khi ký kết hợp đồng cung cấp dịch vụ với khách hàng. Trong hợp đồng cung cấp dịch vụ phải nêu rõ việc đơn vị cung cấp dịch vụ đảm bảo các khoản nêu ra tại Điều này đối với khách hàng. Đơn vị cung cấp dịch vụ chịu trách nhiệm thực hiện đầy đủ các điều khoản thuộc trách nhiệm của mình nêu trong hợp đồng cung cấp dịch vụ ký kết với khách hàng.

b) Trong hợp đồng cung cấp dịch vụ, đơn vị cung cấp dịch vụ phải nêu rõ trách nhiệm bảo mật các thông tin cá nhân của khách hàng khi sử dụng dịch vụ Internet Banking; nêu rõ cách thức ngân hàng thu thập; sử dụng thông tin khách hàng, cam kết không bán, tiết lộ, rò rỉ các thông tin đó.

c) Có biện pháp đảm bảo an toàn, bảo mật trong trường hợp đơn vị cung cấp dịch vụ phân phối phần mềm cho khách hàng qua môi trường Internet.

d) Chịu trách nhiệm kiểm tra, cảnh báo và thực hiện các biện pháp phòng, chống giả mạo website cung cấp dịch vụ Internet Banking của đơn vị cung cấp dịch vụ; đồng thời có trách nhiệm thông báo phương thức xác định website thật đến khách hàng.

Chương 2.

CÁC QUY ĐỊNH CỤ THỂ

Điều 4. Chính sách về an toàn, bảo mật hệ thống

Xây dựng, ban hành các quy định an toàn, bảo mật cho hệ thống Internet Banking phù hợp với quy định về an toàn, bảo mật hệ thống công nghệ thông tin của Nhà nước, ngành Ngân hàng và quy chế an toàn bảo mật công nghệ thông tin của đơn vị. Định kỳ tối thiểu mỗi năm một lần, đơn vị phải rà soát, chỉnh sửa, hoàn thiện các quy định này đảm bảo sự phù hợp, đầy đủ và có hiệu quả của quy định.

Điều 5. Quản lý nguồn nhân lực

1. Lựa chọn đội ngũ cán bộ có đủ tư cách đạo đức, trình độ, năng lực đáp ứng được yêu cầu về chuyên môn nghiệp vụ và công nghệ khi phân công nhiệm vụ liên quan đến hệ thống Internet Banking.

2. Các nhiệm vụ quản trị hệ thống; phát triển, bảo trì phần mềm ứng dụng và vận hành hệ thống phải được phân công cho từng bộ phận, cá nhân khác nhau. Đảm bảo kiểm soát chéo và không một cá nhân nào có toàn quyền trên hệ thống hoặc có thể tự khởi tạo, can thiệp vào các giao dịch của hệ thống Internet Banking. Có quy định trách nhiệm và phân quyền rõ ràng cho từng nhóm bộ phận, cá nhân nêu trên. Tài khoản đặc quyền trên hệ thống Internet Banking phải được thiết kế để chỉ có thể truy cập được khi có khóa của ít nhất hai người và phải được kiểm soát chặt chẽ đối với mọi hoạt động của tài khoản này.

3. Có quy định cụ thể, rõ ràng và thực hiện đầy đủ công tác quản lý, giám sát nhân sự bên thứ ba khi truy cập vào hệ thống Internet Banking. Các yêu cầu về an toàn, bảo mật và thỏa thuận cần xác định rõ trong hợp đồng với bên thứ ba.

Điều 6. Mạng truyền thông

1. Có biện pháp phân tách các phân vùng mạng để đảm bảo kiểm soát được các truy cập hệ thống.

2. Có biện pháp phát hiện và phòng chống xâm nhập, phòng chống phát tán mã độc hại cho hệ thống.

3. Xây dựng và thực hiện phương án dự phòng cho các vị trí quan trọng có mức độ ảnh hưởng cao tới hệ thống mạng hoặc có khả năng gây tê liệt toàn bộ hệ thống mạng của đơn vị khi xảy ra sự cố.

4. Các kết nối không dây phải sử dụng các biện pháp xác thực đảm bảo an toàn.

5. Đảm bảo yêu cầu về băng thông đối với việc cung cấp dịch vụ Internet Banking.

6. Cập nhật các bản vá lỗi hệ thống, cập nhật cấu hình cho các thiết bị mạng và các thiết bị bảo mật tối thiểu sáu tháng một lần. Trong trường hợp phát hiện lỗi hệ thống phải thực hiện cập nhật ngay.

7. Các trang thiết bị mạng, an ninh, bảo mật, phần mềm chống vi rút, công cụ phân tích, quản trị mạng được cài đặt trong mạng của đơn vị phải có bản quyền và nguồn gốc, xuất xứ rõ ràng.

Điều 7. Phần cứng và phần mềm hệ thống

1. Đảm bảo có hạ tầng máy chủ và các thiết bị đi kèm phục vụ hệ thống Internet Banking (sau đây gọi là máy chủ Internet Banking) đủ công suất, đạt hiệu năng yêu cầu, đảm bảo tốc độ xử lý truy xuất đáp ứng yêu cầu của khách hàng sử dụng dịch vụ.

2. Yêu cầu đối với máy chủ Internet Banking

a) Có tính năng sẵn sàng cao, cơ chế dự phòng linh hoạt để đảm bảo tính hoạt động liên tục.

b) Được đặt ở nơi được bảo vệ an toàn và được giám sát chặt chẽ.

c) Tách biệt lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác.

3. Yêu cầu đối với phần mềm hệ thống:

a) Được rà soát, cập nhật các phiên bản vá lỗi phần mềm hệ thống theo khuyến cáo của nhà cung cấp tối thiểu sáu tháng một lần.

b) Lập danh mục các phần mềm được phép cài đặt trên máy chủ Internet Banking và định kỳ tối thiểu ba tháng một lần cập nhật, kiểm tra, đảm bảo tuân thủ danh mục này.

Điều 8. Phần mềm ứng dụng

1. Các yêu cầu chung

a) Các yêu cầu an toàn, bảo mật của nghiệp vụ phải được xác định trước và tổ chức, triển khai vào toàn bộ chu trình phát triển phần mềm từ khâu phân tích, thiết kế đến triển khai vận hành và bảo trì.

b) Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa và lưu trữ, sử dụng theo chế độ “Mật”.

c) Trước khi triển khai chương trình ứng dụng mới, phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

d) Phải xác định, thống kê được các hoạt động và giao dịch bất thường phát sinh trong hệ thống.

2. Kiểm tra thử nghiệm phần mềm ứng dụng

a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm cho các ứng dụng cung cấp dịch vụ Internet Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng.

b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào và các lỗ hổng bảo mật trong quá trình kiểm tra thử nghiệm hệ thống.

c) Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm.

d) Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt phổ biến như Internet Explorer, Mozilla, Firefox, Google Chrome.

đ) Tiến hành thử nghiệm trên môi trường riêng biệt và không ảnh hưởng đến hoạt động bình thường của nghiệp vụ. Lập báo cáo kết quả thử nghiệm trình cấp có thẩm quyền phê duyệt trước khi đưa vào sử dụng.

e) Việc sử dụng dữ liệu cho quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.

3. Quản lý và nâng cấp phiên bản

a) Đối với mỗi yêu cầu thay đổi phần mềm, phải phân tích đánh giá ảnh hưởng của việc thay đổi đối với các hệ thống hiện tại cũng như các nghiệp vụ và các hệ thống công nghệ thông tin có liên quan khác của đơn vị.

b) Các phiên bản phần mềm bao gồm cả chương trình nguồn cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên trong việc thao tác với các tập tin.

c) Thông tin về các phiên bản, thời gian cập nhật, người cập nhật các phiên bản phải được lưu lại.

d) Mỗi phiên bản được nâng cấp phải được kiểm tra thử nghiệm các tính năng an toàn, bảo mật và tính ổn định trước khi triển khai chính thức.

đ) Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được cấp có thẩm quyền phê duyệt.

e) Các phiên bản phần mềm sau khi thử nghiệm thành công phải được quản lý chặt chẽ; tránh bị sửa đổi bất hợp pháp và sẵn sàng cho việc triển khai.

g) Đi kèm với phiên bản phần mềm mới phải có các chỉ dẫn rõ ràng về nội dung thay đổi, hướng dẫn cập nhật phần mềm và các thông tin liên quan khác và phải được thông qua cấp có thẩm quyền phê duyệt trước khi triển khai cho khách hàng.

4. Kiểm soát chương trình nguồn

a) Kiểm tra mã nguồn, nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật (back-door).

b) Chỉ định cụ thể các cá nhân quản lý chương trình nguồn của hệ thống Internet Banking.

c) Việc truy cập tới chương trình nguồn phải được sự phê chuẩn của cấp có thẩm quyền và được theo dõi, ghi nhật ký.

d) Chương trình nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt.

đ) Trong trường hợp đơn vị cung cấp dịch vụ mua phần mềm từ bên thứ ba mà không được bàn giao chương trình nguồn, đơn vị cung cấp dịch vụ phải yêu cầu bên thứ ba ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng bàn giao cho đơn vị cung cấp dịch vụ.

Điều 9. An toàn cơ sở dữ liệu

1. Chỉ được sử dụng các hệ quản trị cơ sở dữ liệu có bản quyền và xuất xứ, nguồn gốc rõ ràng và đã được kiểm nghiệm qua thực tế hoạt động nghiệp vụ của các tổ chức tương tự trong hoặc ngoài nước.

2. Hệ quản trị cơ sở dữ liệu sử dụng cho hệ thống Internet Banking phải đáp ứng được yêu cầu hoạt động ổn định; xử lý, lưu trữ được khối lượng dữ liệu lớn theo yêu cầu nghiệp vụ; có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu.

3. Rà soát, cập nhật các bản vá, các bản sửa lỗi hệ quản trị cơ sở dữ liệu tối thiểu sáu tháng một lần hoặc ngay sau khi có khuyến cáo của nhà cung cấp.

4. Xây dựng phương án sao lưu, dự phòng đối với cơ sở dữ liệu, đảm bảo các hệ thống Internet Banking hoạt động liên tục khi xảy ra sự cố với cơ sở dữ liệu.

5. Thực hiện phân quyền và có quy định chặt chẽ với từng cá nhân truy cập đến cơ sở dữ liệu. Phải ghi nhật ký đối với các truy cập cơ sở dữ liệu, các thao tác đối với cấu hình cơ sở dữ liệu.

6. Có giải pháp ngăn chặn các hình thức tấn công cơ sở dữ liệu.

Điều 10. Mã hóa dữ liệu

1. Lựa chọn thuật toán mã hóa đáp ứng yêu cầu đảm bảo tính bí mật và khả năng xử lý của hệ thống Internet Banking.

2. Thuận toán mã hóa đang sử dụng phải được định kỳ mỗi năm một lần kiểm tra, đánh giá lại mức độ an toàn và xử lý kịp thời những yếu điểm nếu có.

3. Không để một cá nhân thực hiện toàn bộ quá trình tạo khóa mã hóa. Các khóa mã hóa phải được khởi tạo, thay đổi, phân phối, lưu trữ một cách an toàn.

4. Phải bảo đảm khôi phục được các thông tin đã mã hóa khi cần thiết.

5. Có những quy định chặt chẽ về việc thu hồi các khóa mã hóa, bao gồm cả việc hủy khóa và phục hồi khóa.

Điều 11. Quản lý nhật ký

1. Ghi nhật ký các sự kiện sau đối với hệ thống Internet Banking:

a) Quá trình truy cập hệ thống.

b) Các thao tác cấu hình hệ thống.

c) Các sự kiện xác thực.

d) Các sự kiện cấp, thu hồi quyền truy cập hệ thống và sử dụng dịch vụ.

đ) Xử lý giao dịch.

e) Các truy cập bất thường.

2. Ghi nhật ký giao dịch của khách hàng và giám sát các giao dịch tài chính trên hệ thống Internet Banking.

3. Các nhật ký của hệ thống Internet Banking phải được lưu trữ, bảo vệ an toàn và truy xuất được khi cần thiết. Thời gian lưu nhật ký tối thiểu là 03 năm.

4. Kiểm tra nhật ký truy cập để phát hiện, phòng ngừa những truy cập bất thường, bất hợp pháp tối thiểu mỗi tháng một lần.

Điều 12. Quản lý sự cố

1. Xây dựng quy trình quản lý sự cố, trong đó phải quy định rõ trách nhiệm của các bộ phận liên quan, chi tiết các bước thực hiện bao gồm cả việc thông báo cho khách hàng và báo cáo Ngân hàng Nhà nước.

2. Quy trình quản lý sự cố phải được rà soát, cập nhật các sự cố và phương án xử lý tối thiểu sáu tháng một lần.

3. Áp dụng các giải pháp kỹ thuật để phát hiện, xử lý kịp thời các cuộc tấn công từ chối dịch vụ như sử dụng thiết bị tường lửa; thiết bị phát hiện và ngăn chặn xâm nhập; các thiết bị chuyên dụng cảnh báo tấn công, làm lệch hướng lưu lượng mạng; lọc gói tin khi bị tấn công.

4. Yêu cầu bên thứ ba cung cấp quy trình xử lý sự cố cho các dịch vụ do bên thứ ba cung cấp liên quan đến hệ thống Internet Banking.

Điều 13. Hướng dẫn khách hàng

1. Ban hành quy định nêu rõ quyền, nghĩa vụ của khách hàng và của đơn vị cung cấp dịch vụ đối với việc cung cấp, sử dụng dịch vụ Internet Banking.

2. Hướng dẫn cho khách hàng các nội dung tự bảo đảm an toàn trong quá trình sử dụng dịch vụ Internet Banking như:

a) Cách đặt mật khẩu và bảo vệ mật khẩu.

b) Không chia sẻ các thiết bị lưu trữ mật khẩu, chữ ký số.

c) Không đặt tùy chọn của trình duyệt web cho phép lưu lại tên và mật khẩu người dùng.

d) Thoát khỏi hệ thống Internet Banking khi không sử dụng.

đ) Thận trọng, hạn chế dùng máy tính công cộng, mạng không dây công cộng để truy cập vào hệ thống Internet Banking.

e) Cách thức truy cập địa chỉ ứng dụng dịch vụ Internet Banking của đơn vị.

g) Thông báo cho đơn vị cung cấp dịch vụ các lỗi và sự cố trong quá trình sử dụng dịch vụ.

h) Cảnh báo các rủi ro khác.

Chương 3.

BÁO CÁO

Điều 14. Yêu cầu chung

Các đơn vị cung cấp dịch vụ có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) theo quy định tại Điều 15, Điều 16 Thông tư này.

Điều 15. Các loại báo cáo

1. Báo cáo cung cấp dịch vụ Internet Banking:

a) Đối với các đơn vị đã cung cấp dịch vụ trước ngày Thông tư này có hiệu lực: Các đơn vị gửi báo cáo trong vòng 10 ngày làm việc kể từ ngày Thông tư này có hiệu lực.

b) Đối với các đơn vị cung cấp dịch vụ sau khi Thông tư này có hiệu lực: Các đơn vị gửi báo cáo tối thiểu trước 10 ngày làm việc trước khi cung cấp chính thức dịch vụ Internet Banking.

2. Báo cáo năm:

Các đơn vị cung cấp dịch vụ phải gửi Báo cáo năm trước ngày 15 tháng 3 hàng năm.

3. Báo cáo đột xuất:

Các đơn vị cung cấp dịch vụ phải gửi Báo cáo đột xuất khi xảy ra các sự cố mất an toàn hoặc ảnh hưởng đến hoạt động của hệ thống Internet Banking trong vòng 05 ngày kể từ thời điểm phát sinh sự cố hoặc phát hiện sự cố.

Điều 16. Nội dung báo cáo

1. Báo cáo cung cấp dịch vụ Internet Banking bao gồm các nội dung sau:

a) Địa chỉ website cung cấp dịch vụ.

b) Các sản phẩm, dịch vụ hiện đang cung cấp.

c) Ngày cung cấp chính thức.

d) Đơn vị cung cấp sản phẩm hệ thống Internet Banking.

đ) Bên thứ ba được thuê hoặc cùng hợp tác xây dựng, vận hành hệ thống Internet Banking; các hoạt động liên quan đến hệ thống Internet Banking có sự tham gia của bên thứ ba và hình thức tham gia của các bên thứ ba này.

e) Các tài liệu bao gồm: hạ tầng công nghệ thông tin và truyền thông, nhân lực, quy trình kỹ thuật nghiệp vụ, các phương án xử lý rủi ro và các vấn đề liên quan khác theo quy định tại Chương II của Thông tư này.

2. Báo cáo năm bao gồm các nội dung sau:

a) Các sản phẩm, dịch vụ Internet Banking hiện đang cung cấp.

b) Những thay đổi của sản phẩm, dịch vụ Internet Banking kể từ lần báo cáo trước.

c) Những thay đổi của tài liệu quy định tại Điểm e, Khoản 1, Điều 16 kể từ lần báo cáo trước.

d) Số lượng khách hàng sử dụng dịch vụ Internet Banking và tỷ lệ tăng trưởng khách hàng so với cùng kỳ năm trước.

đ) Những sự cố đã phát sinh trong kỳ. Sự cố rủi ro được báo cáo theo nhóm rủi ro, các thiệt hại và biện pháp xử lý đã áp dụng.

e) Kiến nghị, đề xuất.

3. Báo cáo đột xuất bao gồm các nội dung sau:

a) Ngày, địa điểm phát sinh sự cố.

b) Mô tả sơ bộ về sự cố, tình trạng khi xảy ra sự cố.

c) Nguyên nhân sự cố.

d) Đánh giá rủi ro, ảnh hưởng đối với hệ thống Internet Banking và các hệ thống khác có liên quan.

đ) Tình hình thiệt hại.

e) Các biện pháp đơn vị đã tiến hành để khắc phục sự cố, ngăn chặn và phòng ngừa rủi ro.

g) Kiến nghị, đề xuất.

Chương 4.

ĐIỀU KHOẢN THI HÀNH

Điều 17. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 04 tháng 11 năm 2011.

2. Thông tư số 09/2003/TT-NHNN ngày 5/8/2003 của Thống đốc Ngân hàng Nhà nước hướng dẫn thực hiện một số quy định tại Nghị định số 55/2001/NĐ-CP ngày 23/08/2001 của Chính phủ về quản lý, cung cấp và sử dụng Internet và Thông tư số 01/2008/TT-NHNN ngày 10/3/2008 sửa đổi bổ sung Thông tư số 09/2003/TT-NHNN hết hiệu lực kể từ ngày Thông tư này có hiệu lực thi hành.

3. Trong quá trình thực hiện nếu có vấn đề phát sinh, vướng mắc, các tổ chức, cá nhân liên quan phản ánh kịp thời về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học tại địa chỉ số 64 Nguyễn Chí Thanh, Đống Đa, Hà Nội) để xem xét, xử lý.

Điều 18. Trách nhiệm thi hành

1. Cục Công nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thi hành Thông tư này của các đơn vị cung cấp dịch vụ. Hàng năm thông qua báo cáo của các đơn vị hoặc thực hiện kiểm tra tại chỗ để đánh giá việc tuân thủ quy định và đảm bảo an toàn, bảo mật cho hệ thống Internet Banking của các đơn vị; tổng hợp, báo cáo Thống đốc tình hình về an toàn, bảo mật dịch vụ Internet Banking của hệ thống ngân hàng Việt Nam.

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm phối hợp với Cục Công nghệ tin học kiểm tra, giám sát việc thi hành Thông tư này và xử lý vi phạm hành chính đối với hành vi vi phạm theo quy định của pháp luật.

3. Chánh Văn phòng, Cục trưởng Cục Công nghệ tin học và Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Giám đốc Ngân hàng Nhà nước chi nhánh các tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp dịch vụ Internet Banking chịu trách nhiệm thi hành Thông tư này./.

Nơi nhận:
- Như Khoản 3 Điều 18;
- Ban lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu: VP, CNTH, PC.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC

Nguyễn Toàn Thắng

Bài liên quan:
Tính bảo mật dịch vụ ngân hàng trên Internet
>> Xem thêm

THE STATE BANK OF VIETNAM -------	SOCIALIST REPUBLIC OF VIET NAM Independence - Freedom - Happiness ---------------
No.: 29/2011/TT-NHNN	Hanoi, September 21, 2011

CIRCULAR

DEFINING SAFETY, CONFIDENTIALITY OVER PROVISION FOR BANKING SERVICE ON THE INTERNET

Pursuant to the Law on the State Bank of Vietnam No.46/2010/QH12 dated June 16, 2010;

Pursuant to the Law on Credit Institutions No.47/2010/QH12 dated June 16, 2010;

Pursuant to the Law on E-Transactions No.51/2005/QH11 dated November 29, 2005;

Pursuant to the Decree No.35/2007/ND-CP dated March 08, 2007 of the Government on E-transactions in the banking activities;

Pursuant to the Decree No.64/2001/ND-CP dated September 20, 2001 of the Government on payment activities via payment service providing organizations;

Pursuant to the Decree No.26/2007/ND-CP dated February 25, 2007 of the Government detailing the implementation of the Electronic Transaction Law on digital signatures and digital signature certification services;

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

Pursuant to the Decree No.97/2008/ND-CP dated August 28, 2008 of the Government on the management, provision and use of internet services and electronic information on the internet;

The State Bank of Vietnam defines the safety, confidentiality over provision for banking service on the internet as follows:

Chapter 1.

GENERAL PROVISIONS

Article 1. Scope of governing and subjects of application

1. This circular specifies the requirements to ensure safety, confidentiality for the provision for banking services on the Internet.

This Circular applies to all credit institutions, branches of foreign banks providing for banking services on the Internet (hereinafter collectively referred to as the service providers) in Vietnam.

Article 2. Interpretation of terms

In this Circular, the following terms shall be construed as follows:

...

a) Information on service providers and services of the providers.

b) Service to look up information such as looking up information of customers, accounts, balance inquiry, and other information.

c) Carrying out online financial transactions, such as account services, wire transfer, credit, and payment via account.

d) Other services as prescribed by the State Bank.

2. Internet Banking system: means a structured set of hardware equipment, software, databases, security and communications networks systems for the management and provision for banking services on the Internet.

3. Clients: mean the organizations, individuals related to use of Internet Banking services.

4. Two-factor authentication: means the authentication method requiring two different factors to prove the correctness of an identity. Two-factor authentication based on the information that the user knows, such as customer number, password, along with something that user has such as one-time password (OTP), random matrix, signs of biometrics, or other supportive devices to prove an identity.

5. Privileged account: means the account accessing into the information technology system to perform special works or access to sensitive data. Privilege accounts are often used for device configuration, system administration, operating system administration, database administration, or professional applications management (such as the root accounts, supervisors, system, and administrator).

Article 3. General principles for the provision of banking services on the Internet by the service providers

...

a) Ensure confidentiality of information relating to accounts, deposits, assets, and customers’ transactions in accordance with the law regulations.

b) Customers’ passwords, encryption keys and other key encryptions must be encrypted during the transaction, on the transmission line and stored in the service providers.

2. Assurance of availability

a) Commit the continuous operational capability of the Internet Banking system openly, clearly and to be stated clearly in the service providing contracts with customers. This commitment must include at least a commitment of total time to suspend the system in a year, the time of service provision per day, the time to restore system after the trouble.

b) Meet sufficient resources of the information technology infrastructure and human resources to ensure the continuity in service provision of Internet Banking in accordance with commitment of the service providers to their customers.

c) Develop, promulgate and observe the processes of the Internet Banking system.

d) Use the tools monitoring, tracking the performance of the primary system and the backup system to ensure their continuous operation.

3. Assurance of the integrity

a) Ensure the integrity of information during the processing, storage and transfer between service providers and their customers.

...

- Physical access;

- Logical access;

- The process of access, processing, transmission, dump, storage, recovery of data.

4. Client authentication and transaction authentication

a) Ensure authentication and identify customers when they access and use Internet Banking services.

b) Use two-factor authentication on the Internet Banking system as performing payment transactions and other important transactions such as the connection creation between accounts, payment registration to a third party, change of the transaction limit in a day, change of the account information related to personal data of customers (such as address of offices or home, telephone numbers, email addresses and other information to verify customers).

5. Consumer protection

a) Provide for sufficient information on the rights and obligations of the customers before signing the contracts to provide services with customers. In the service providing contract, it must specify that the service provider shall ensure the terms set out in this Article for the customer. The service providers must fully comply with the terms of their responsibilities stated in the service contracts signed with their customers.

b) In the service providing contract, the service provider must specify the security responsibilities of the personal information of customers when they use the Internet Banking service; specify clearly the method that the bank to collect and use customer’s information, commit not selling, disclosing or leaking such information.

...

d) To be responsible for checking, warning and implementing measures to prevent and combat fake websites of providing for Internet Banking service of the service provider; at the same time to notify the method to determine the real website to customers.

Chapter 2.

SPECIFIC PROVISION

Article 4. Policy on safety and confidentiality of the systems

Develop and promulgate regulations on safety and confidentiality for Internet Banking system in accordance with regulations on safety, confidentiality for information technology system of the State, banking sector and the regulations on safety and confidentiality of information technology of the units. Periodically at least once a year, the unit must review, modify and perfect these regulations to ensure the suitableness, fullness, and effect of the regulations.

Article 5. Human Resource Management

1. Selecting officials who have the morality, educational level, ability to meet the requirements of professional skill and technology when be assigned tasks related to Internet Banking system.

2. The tasks of system administration; development and maintenance of application software and the system operation must be assigned to each division, different individuals. Ensure the cross control and there is no person to have full rights on the system or can initiate, intervene in the transactions of the Internet Banking system. Having provision for responsibilities and clear decentralization for each group of division or individual listed above. Privileged account on the Internet Banking system must be designed to be accessible only when having key of at least two people and must be strictly controlled over all operations of this account.

3. Having specific, clear regulations, and full implementing the management and supervision of personnel of the third party as accessing to the Internet Banking system. The requirements for safety, security, and agreements need to be specified in contracts with third parties.

...

1. To take measures to separate the network partitions to ensure the control of system access.

2. To take measures to detect and prevent intrusion, spreading of malicious code to the system.

3. To develop and implement backup plans for key positions having a high impact level to the network system or that potentially cause cripple for the entire network system of the units when the incident occurs.

4. The wireless connection must used authentication measures to ensure safety.

5. To guarantee bandwidth requirements for Internet Banking services.

6. To update the system patches, update the configuration of network devices and security devices at least every six months. In case of system error detection, it must perform the immediate update.

7. The equipment of network, security, confidentiality, anti-virus software, analysis tools, network management installed in the unit’s network must have the copyright and clear source and origin.

Article 7. Hardware and software of system

1. It must have the server infrastructure and associated equipment for Internet Banking System (hereinafter referred to as Internet Banking server) of full capacity, achieving performance as required, ensuring the access processing speed to meet customers’ needs using the service.

...

a) To have high availability features, flexible backup mechanism to ensure continuous operation.

b) To be put in the place where is protected safely and supervised strictly.

c) To separate the logic or physic with the servers operating other professional skills.

3. Requirements for system software:

a) To be reviewed and updated the versions, error patch of system software as recommended by the supplier at least every six months.

b) To make a list of software permitted to install on Internet Banking server and periodically at least every three months to update, inspect, ensure the compliance with this list.

Article 8. Software of application

1. General requirements

a) The requirements for safety, security of operations must be determined before and organizing to implement into the entire cycle of software development from analysis and design stage to the stage of operation and maintenance.

...

c) Prior to deploying new applications, it must assess the risks of the deployment process for professional operations, relevant information technology systems and making and implementing plans to limit, overcome the risks.

d) It must be identified, made statistics of activities and abnormal transactions arising in the system.

2. Inspection of the application software test

a) Developing and approving plans and testing scenario for applications offering Internet Banking services, which clearly states the conditions of safety, security required to be met.

b) Detecting and eliminating errors, frauds that can occur when entering input data and security vulnerabilities in the process of inspecting the system test.

c) Writing down the errors and process to deal with errors, especially errors on safety and security in the reports on inspection of the test.

d) Inspection of the test of safety, security features must be taken on the popular browsers like Internet Explorer, Mozilla, Firefox, Google Chrome.

đ) Conducting the test on separate environment and not affecting the normal operation of business; preparing the reports of test results to submit to the competent authorities for approval before being put into use.

e) The use of data for the test process is required to take precaution measures for preventing to be benefited or confused.

...

a) For each requirement to change software, it must analyze and assess the impact of changes to the existing systems as well as business and other relevant information technology systems of the units.

b) The software versions include the source program required to be centrally managed, stored, kept secret and have decentralization mechanisms for each member in the manipulation with the files.

c) Information of the versions, update time, the update person of versions must be saved.

d) Each upgraded version must be inspected the test of safety, security features and stability before the official deployment.

đ) The upgrade of version must be based on test results and must be approved by the competent authorities.

e) After the software versions are successfully tested, they must be managed closely; to avoid illegally modified and ready for deployment.

g) Along with the new software version, it must have clear instructions on the changed contents, software update, and other relevant information and must be approved by the competent authority prior to the deployment to customers.

4. Source program control

a) To check the source code, to remove the malicious code sections, the security vulnerabilities (back-door).

...

c) The access to the source program must be approved by the competent authorities and to be monitored and logged.

d) The source program must be kept safely in at least two separate locations.

đ) In case the service provider purchases software from a third party without being handed over the source program, the service provider must require the third party to sign agreement not containing malicious code in the software application delivered to the service provider.

Article 9. Database safe

1. Only use the database management system having copyright and clear origin and has been tested through actual operations of similar domestic or abroad organizations.

2. Database management system used for Internet Banking system must meet the requirements of stable operation; processing, storage of much data volumes by business requirements; with mechanisms to protect and decentralize access to the database resources.

3. To review, update the patches, the error modifications of database management system at least once every six months or right after the supplier's recommendations.

4. To formulate plans of backup, reserve for database to ensure the Internet Banking system of continuous operation when the incident for the database occurs.

5. To decentralize and define strictly for each individual accessing to database. It must log for database access, manipulation for the database configuration.

...

Article 10. Data Encryption

1. To select the encryption algorithm meeting the requirements to ensure the confidentiality and handling capabilities of the Internet Banking system.

2. The encryption algorithm being used must be periodically checked once a year, review the safety level and handle timely weaknesses if any.

3. Not to let an individual perform the entire process of creating the encryption key. The encryption key must be created, modified, distributed, and stored safely.

4. It must ensure to recover encrypted information when necessary.

5. It must have the strict rules on the recovery of encryption keys, including the key destruction and the key restoration.

Article 11. Management of diaries

1. Logging the following events for Internet Banking system:

a) The system access process.

...

c) The events of authentication.

d) The events of grant and revocation of the right to access system and to use service.

đ) Transaction processing.

e) The unusual accesses.

2. Logging customers’ transactions and monitoring financial transactions on the Internet Banking system.

3. The log of the Internet Banking system to be stored, protected safely, and accessible when needed. Time for saving log is at least 03 years.

4. To check the access logs to detect, prevent the abnormal, illegal accesses for at least once a month.

Article 12. Incident management

1. To formulate the incident management process, which must clearly define the responsibilities of related departments, details the steps taken, including notification to the customers and report to the State Bank.

...

3. To apply the technical solutions to detect and handle timely the attacks into the denied services such as use of firewall devices; equipment to detect and prevent intrusion; the specialized equipment warning strike, diverting of network traffic; filter the information packets as being attacked.

4. To request third parties to provide troubleshooting procedures for the services provided by third parties relating to Internet Banking system.

Article 13. Guidance for customer

1. To promulgate regulations in which clearly state the rights and obligations of customers and of the service providers for the provision and use of Internet Banking services.

2. To guide customers the contents of self-ensuring safety in the use of Internet Banking services such as:

a) Method to set a password and protect password.

b) Not sharing the storage equipment of passwords, digital signatures.

c) Not placing options of web browser to allow the user name and password archiving.

d) Escape from the Internet Banking system when not using.

...

e) Method to access to applicable address of the Internet Banking service of the units.

g) Notice to the service providers of errors and incidents in the course of using the service.

h) Warning of the other risks.

Chapter 3.

REPORT

Article 14. General requirements

The service providers are responsible for submitting reports to the State Bank of Vietnam (Department of Information Technology) as prescribed in Article 15, Article 16 of this Circular.

Article 15. The types of report

1. Report on provision for Internet Banking services:

...

b) For the units that provide services after the effective date of this Circular: The units send the reports at least 10 days prior to the official provision of Internet Banking services.

2. Annual reports:

The service providers must submit annual reports before March 15 every year.

3. Irregular reports:

The service providers shall submit irregular reports when the unsafe incidents occur or affecting the operation of the Internet Banking system within 05 days from the time of the accident or of incident detection.

Article 16. Contents of report

1. Report on Internet Banking services includes the following:

a) Address of website to provide for services.

b) The products and services currently offered.

...

d) Unit providing for Internet Banking system products.

đ) The third parties hired or coordinating together with to set up and operate Internet Banking system; the activities related to Internet Banking system with the participation of third parties and forms of participation of third parties.

e) The documents include information technology infrastructure and communications, human resources, process of business technique, the plans for dealing with risk, and other related matters as prescribed in Chapter II of this Circular.

2. The annual report includes the following contents:

a) The products and services of Internet Banking being supplied.

b) The changes of the products, Internet Banking services since the last report.

c) The changes of the documents prescribed at Point e, Clause 1, Article 16 since the last report.

d) Number of customers using the Internet Banking services and customer growth rate compared to the same period of the last year.

đ) The problems have arisen in the period. Incidents are reported at risk group, the damage and remedial measures adopted.

...

3. Irregular report includes the following contents:

a) Date and place where the incidents occur.

b) Preliminary description of the incidents, the status of the incidents when they occur.

c) The cause of the problem.

d) Assessment of risk, the impact toward Internet Banking system and other involved systems.

đ) The situation of the damage.

e) The measures that the unit was taken to overcome the problem; prevent and stop risks.

g) Recommendations and proposals.

Chapter 4.

...

Article 17. Effect

1. This Circular takes effect as from November 04, 2011.

2. The Circular No.09/2003/TT-NHNN dated 05/08/2003 of the State Bank Governor guiding the implementation of some provisions of Decree No.55/2001/ND-CP dated 23/08/2001 of the Government on management, provision and use of Internet and the Circular No.01/2008/TT-NHNN dated 10/03/2008 amending, supplementing the Circular No.09/2003/TT-NHNN shall be invalid since the effective date of this Circular.

3. In the course of implementation, if problems arise, concerned organizations and individuals should promptly reflect to the State Bank of Vietnam (Department of Information Technology at No.64 Nguyen Chi Thanh, Dong Da, Hanoi, Vietnam) for review and settlement.

Article 18. Responsibility for implementation

1. The Information Technology Department is responsible for monitoring and inspecting the implementation of this Circular of the service providers. Each year, through the reports of the units or performance of the site inspection to assess the compliance with provisions and ensure safety, security for Internet Banking system of the units; synthesizing and reporting to the Governor situation of safety, security of Internet Banking services of Vietnam's banking system.

2. Agency inspectors, bank supervisors are responsible for coordinating with the Department of Information Technology to inspect and supervise the implementation of this Circular and handling administrative violations for the violations under the provisions of law.

3. Chief of Office, Director of Information Technology and the heads of units of the Vietnam State Bank, Directors of State Bank-branches in provinces and cities directly under the Central Government, Chairmen of the Management Boards, Chairmen of the members’ Councils, general directors (directors) of credit institutions, branches of foreign banks providing for Internet Banking services shall implement this Circular./.

...

FOR THE GOVERNOR
DEPUTY GOVERNOR

Nguyen Toan Thang

Bạn Chưa Đăng Nhập Thành Viên!

Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...