Trong hoạt động ngân hàng thì hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng phải đáp ứng tiêu chuẩn nào?

Nội dung chính

• Trong hoạt động ngân hàng thì hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng phải đáp ứng tiêu chuẩn nào?
• Ghi và lưu trữ nhật ký về hệ thống thông tin từ cấp độ 2 trở lên trong hoạt động ngân hàng gồm những nội dung nào?
• Đối với hệ thống thông tin xử lý giao dịch khách hàng trong hoạt động ngân hàng cần phải đáp ứng những yêu cầu nào?

Trong hoạt động ngân hàng thì hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng phải đáp ứng tiêu chuẩn nào?

Căn cứ theo khoản 1 Điều 25 Thông tư 09/2020/TT-NHNN quy định như sau:

Quản lý hệ thống thông tin cung cấp dịch vụ giao dịch trực tuyến

1. Hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng phải tuân thủ tiêu chuẩn TCVN 11930:2017 (tiêu chuẩn Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ) và các yêu cầu sau:

a) Bảo đảm tính toàn vẹn của dữ liệu trao đổi với khách hàng trong giao dịch trực tuyến;

b) Dữ liệu trên đường truyền phải bảo đảm tính bí mật và phải được truyền đầy đủ, đúng địa chỉ và có biện pháp bảo vệ để phát hiện các thay đổi hoặc sao chép trái phép;

c) Đánh giá cấp độ rủi ro trong giao dịch trực tuyến theo đối tượng khách hàng, loại giao dịch, hạn mức giao dịch để cung cấp giải pháp xác thực giao dịch phù hợp theo quy định của Ngân hàng Nhà nước;

d) Trang thông tin điện tử giao dịch trực tuyến phải được áp dụng các biện pháp chứng thực chống giả mạo và ngăn chặn, chống sửa đổi trái phép.

...

Như vậy trong hoạt động ngân hàng thì hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng phải đáp ứng Tiêu chuẩn quốc gia TCVN 11930:2017.

Ngoài những tiêu chuẩn được quy định trong Tiêu chuẩn quốc gia TCVN 11930:2017 thì hệ thống thông tin cung cấp dịch vụ trực tuyến cho khách hàng trong hoạt động ngân hàng còn phải đáp ứng các yêu cầu được quy định tại khoản 1 Điều 25 Thông tư 09/2020/TT-NHNN.

Hoạt động ngân hàng (Hình từ Internet)

Ghi và lưu trữ nhật ký về hệ thống thông tin từ cấp độ 2 trở lên trong hoạt động ngân hàng gồm những nội dung nào?

Căn cứ theo khoản 1 Điều 26 Thông tư 09/2020/TT-NHNN quy định như sau:

Giám sát và ghi nhật ký hoạt động của hệ thống thông tin

Tổ chức thực hiện giám sát và ghi nhật ký hoạt động của hệ thống thông tin từ cấp độ 2 trở lên như sau:

1. Ghi và lưu trữ nhật ký về hoạt động của hệ thống thông tin và người sử dụng, các lỗi phát sinh, các sự cố an toàn thông tin nếu hệ thống hỗ trợ, tối thiểu bao gồm:

a) Thông tin kết nối mạng (firewall log);

b) Thông tin đăng nhập;

c) Thông tin thay đổi cấu hình;

d) Thông tin truy cập dữ liệu và dịch vụ quan trọng (nếu có);

đ) Thông tin các lỗi phát sinh trong quá trình hoạt động;

e) Thông tin cảnh báo từ các thiết bị;

g) Thông tin hiệu năng hoạt động của thiết bị (đối với hệ thống thông tin từ cấp độ 3 trở lên).

2. Dữ liệu nhật ký của các hệ thống thông tin cấp độ 2 phải được lưu trực tuyến tối thiểu 1 tháng và sao lưu tối thiểu 6 tháng. Dữ liệu nhật ký của các hệ thống thông tin từ cấp độ 3 trở lên phải được lưu trực tuyến tối thiểu 3 tháng theo hình thức tập trung và sao lưu tối thiểu một năm.

3. Có phương án giám sát, cảnh báo khi có thay đổi thông tin bí mật lưu trên hệ thống lưu trữ/phương tiện lưu trữ của các hệ thống thông tin từ cấp độ 4 trở lên.

4. Bảo vệ các chức năng ghi nhật ký và thông tin nhật ký, chống giả mạo, thay đổi và truy cập trái phép; bảo đảm người quản trị hệ thống và người sử dụng không thể xóa hay sửa đổi nhật ký hệ thống ghi lại các hoạt động của chính họ.

5. Thực hiện việc đồng bộ thời gian giữa các hệ thống thông tin.

Như vậy ghi và lưu trữ nhật ký về hệ thống thông tin từ cấp độ 2 trở lên trong hoạt động ngân hàng gồm tối thiếu 7 nội dung như quy định tại khoản 1 Điều này.

Đối với hệ thống thông tin xử lý giao dịch khách hàng trong hoạt động ngân hàng cần phải đáp ứng những yêu cầu nào?

Căn cứ theo khoản 4 Điều 20 Thông tư 09/2020/TT-NHNN quy định như sau:

Trách nhiệm quản lý và quy trình vận hành của tổ chức

...

4. Đối với hệ thống thông tin xử lý giao dịch khách hàng phải đáp ứng yêu cầu sau:

a) Không để một cá nhân được đồng thời thực hiện các công việc khởi tạo và phê duyệt một giao dịch;

b) Áp dụng xác thực đa yếu tố tại bước phê duyệt cuối cùng khi thực hiện giao dịch tài chính phát sinh chuyển tiền điện tử liên ngân hàng có giá trị từ 100 triệu đồng trở lên (ngoại trừ hệ thống thanh toán xuyên suốt (Straight Though Process) đã có biện pháp xác thực tự động giao dịch giữa các hệ thống liên thông);

c) Áp dụng các biện pháp bảo đảm tính toàn vẹn dữ liệu giao dịch;

d) Mọi thao tác trên hệ thống phải được lưu vết, sẵn sàng cho kiểm tra, kiểm soát khi cần thiết.