50/2024/TT-NHNN in Vietnam, Circular 50/2024/TT-NHNN security and confidentiality during provision of online banking services in Vietnam

Vietnamese
English
Official Gazette
Content relation
Validity relation
Related Content
Description
Download

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 50/2024/TT-NHNN	Hà Nội, ngày 31 tháng 10 năm 2024

THÔNG TƯ

QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT CHO VIỆC CUNG CẤP DỊCH VỤ TRỰC TUYẾN TRONG NGÀNH NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;

Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

Căn cứ Luật An ninh mạng ngày 12 tháng 6 năm 2018;

Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;

Căn cứ Luật Các tổ chức tín dụng ngày 18 tháng 01 năm 2024;

Căn cứ Nghị định số 102/2022/NĐ-CP ngày 12 tháng 12 năm 2022 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Phạm vi điều chỉnh

Thông tư này quy định các yêu cầu bảo đảm an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng, bao gồm:

a) Hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

b) Hoạt động cung ứng dịch vụ trung gian thanh toán;

c) Hoạt động thông tin tín dụng.

2. Đối tượng áp dụng

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).

Điều 2. Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Dịch vụ trực tuyến trong ngành Ngân hàng (gọi tắt là dịch vụ Online Banking) là dịch vụ quy định tại khoản 1 Điều 1 Thông tư này được các đơn vị cung cấp cho khách hàng trên môi trường mạng để thực hiện các giao dịch điện tử (gọi tắt là giao dịch), không bao gồm các giao dịch trực tiếp tại các đơn vị chấp nhận thanh toán qua thiết bị chấp nhận thẻ tại điểm bán, qua Mã phản hồi nhanh (Quick Response Code - QR Code) hiển thị từ phía khách hàng.

2. Hệ thống Online Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an toàn, bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Online Banking, do đơn vị thiết lập, quản trị, vận hành hoặc thuê bên thứ ba thiết lập, quản trị, vận hành.

3. Phần mềm ứng dụng Online Banking là phần mềm ứng dụng cung cấp dịch vụ Online Banking.

4. Phần mềm ứng dụng Mobile Banking là phần mềm ứng dụng Online Banking được cài đặt trên thiết bị di động.

5. Giao dịch thanh toán trực tuyến là giao dịch thanh toán được thực hiện bằng phương tiện điện tử thông qua hệ thống Online Banking.

6. Khách hàng là các tổ chức, cá nhân sử dụng dịch vụ Online Banking.

7. Phương thức xử lý xuyên suốt (Straight-Through Processing) là phương thức trao đổi thông tin, dữ liệu, tài liệu hai chiều tự động, thông qua kết nối an toàn giữa hệ thống thông tin của khách hàng với hệ thống Online Banking.

8. Xác nhận giao dịch điện tử (sau đây gọi là xác nhận giao dịch) là hình thức xác nhận bằng phương tiện điện tử để thể hiện sự chấp thuận của khách hàng đối với các thông điệp dữ liệu trong giao dịch điện tử.

9. Mã hóa điểm đầu đến điểm cuối (end to end encryption) là cơ chế mã hóa an toàn thông tin ở điểm đầu trước khi gửi đi và chỉ được giải mã sau khi nhận được tại điểm cuối trong quá trình trao đổi thông tin giữa các ứng dụng, các thiết bị trong hệ thống nhằm hạn chế rủi ro bị lộ, lọt thông tin trên đường truyền.

10. Hệ quản trị cơ sở dữ liệu là phần mềm được thiết kế để quản lý, lưu trữ, truy xuất và thực thi các truy vấn dữ liệu trong cơ sở dữ liệu.

Điều 3. Nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking

1. Hệ thống Online Banking phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, đối với hệ thống thông tin cung cấp dịch vụ chuyển mạch tài chính, dịch vụ bù trừ điện tử phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 4 trở lên; tuân thủ tiêu chuẩn TCVN 11930:2017 (tiêu chuẩn Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ) và quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.

2. Bảo đảm tính bí mật, tính toàn vẹn của thông tin khách hàng; bảo đảm tính sẵn sàng của hệ thống Online Banking để cung cấp dịch vụ một cách liên tục.

3. Các giao dịch của khách hàng được phân loại và đánh giá mức độ rủi ro tối thiểu theo: nhóm khách hàng, hành vi sử dụng của khách hàng, loại giao dịch, hạn mức giao dịch (nếu có) và tuân thủ các quy định của pháp luật liên quan. Trên cơ sở đó, đơn vị cung cấp các hình thức xác nhận giao dịch phù hợp cho khách hàng lựa chọn, tuân thủ tối thiểu các quy định sau:

a) Áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này khi thay đổi thông tin định danh khách hàng;

b) Áp dụng tối thiểu một hoặc kết hợp các hình thức xác nhận giao dịch theo quy định tại Thông tư này; Trường hợp văn bản quy phạm pháp luật hướng dẫn về các dịch vụ quy định tại khoản 1 Điều 1 Thông tư này có quy định về hình thức xác nhận giao dịch thì thực hiện theo văn bản quy phạm pháp luật đó;

c) Đối với giao dịch gồm nhiều bước, phải thực hiện xác nhận giao dịch tại bước phê duyệt cuối cùng.

4. Thực hiện kiểm tra, đánh giá an toàn, bảo mật hệ thống Online Banking định kỳ hàng năm.

5. Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ Online Banking.

6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới. Trong thời gian chưa nâng cấp, thay thế, đơn vị phải có biện pháp tăng cường bảo đảm an toàn, bảo mật hệ thống Online Banking.

7. Đối với các hệ thống cung cấp dịch vụ cổng thanh toán điện tử, dịch vụ hỗ trợ thu hộ, chi hộ, không phải tuân thủ các quy định tại khoản 7, khoản 9, khoản 10 Điều 7 và Mục 2 Chương II Thông tư này.

8. Hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi bảo đảm an toàn, bảo mật theo quy định của Thông tư này và các quy định của pháp luật liên quan.

Chương II

CÁC QUY ĐỊNH CỤ THỂ

Mục 1. HẠ TẦNG KỸ THUẬT CỦA HỆ THỐNG ONLINE BANKING

Điều 4. Hệ thống mạng, truyền thông và an toàn, bảo mật

Đơn vị phải thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật đạt yêu cầu tối thiểu sau:

1. Có các giải pháp an toàn, bảo mật tối thiểu gồm:

a) Tường lửa ứng dụng hoặc giải pháp bảo vệ có tính năng tương đương;

b) Tường lửa cơ sở dữ liệu hoặc giải pháp bảo vệ có tính năng tương đương;

c) Giải pháp phòng, chống tấn công từ chối dịch vụ (DoS - Denial of Service attack), tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service attack) đối với các hệ thống cung cấp dịch vụ trực tiếp trên Internet;

d) Hệ thống quản lý và phân tích sự kiện an toàn thông tin.

2. Thông tin khách hàng (thông tin nhận biết khách hàng, thông tin giao dịch của khách hàng) không được lưu trữ tại phân vùng kết nối Internet và phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ).

3. Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Online Banking.

4. Kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quản trị chỉ được thực hiện trong trường hợp không thể kết nối từ mạng nội bộ và bảo đảm an toàn, tuân thủ các quy định sau:

a) Phải được cấp có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối;

b) Phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương;

c) Thiết bị kết nối phải được cài đặt các phần mềm bảo đảm an toàn, bảo mật;

d) Phải áp dụng tối thiểu hai trong các hình thức xác nhận quy định tại khoản 1, khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này khi đăng nhập hệ thống;

đ) Sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật tại các phần mềm tiện ích.

5. Đường truyền kết nối mạng cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.

Điều 5. Hệ thống máy chủ và phần mềm hệ thống

1. Yêu cầu đối với máy chủ:

a) Hiệu năng sử dụng tài nguyên máy chủ bao gồm: bộ xử lý trung tâm (CPU), bộ nhớ trong (RAM), thiết bị lưu trữ dữ liệu, thiết bị truy xuất dữ liệu khi lưu trữ hoặc truyền nhận, trung bình hàng tháng tối đa 80% công suất thiết kế;

b) Hệ thống Online Banking phải có máy chủ dự phòng bảo đảm tính sẵn sàng cao;

c) Tách biệt về lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác;

d) Phải được kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) cho hệ điều hành, cập nhật các bản vá lỗi thường xuyên.

2. Đơn vị phải lập danh mục các phần mềm được phép cài đặt trên máy chủ. Định kỳ tối thiểu 06 tháng một lần cập nhật, kiểm tra, bảo đảm tuân thủ danh mục này.

Điều 6. Hệ quản trị cơ sở dữ liệu

1. Hệ quản trị cơ sở dữ liệu phải có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu.

2. Hệ thống Online Banking phải có cơ sở dữ liệu dự phòng thảm họa, có khả năng thay thế cơ sở dữ liệu chính và bảo đảm đầy đủ, toàn vẹn dữ liệu giao dịch của khách hàng.

3. Hệ quản trị cơ sở dữ liệu phải được kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) và cập nhật các bản vá lỗi thường xuyên.

4. Đơn vị phải có biện pháp giám sát, ghi nhật ký truy cập cơ sở dữ liệu và các thao tác khi truy cập cơ sở dữ liệu.

Điều 7. Phần mềm ứng dụng Online Banking

1. Các yêu cầu về an toàn, bảo mật phải được xác định trước khi phát triển phần mềm và tổ chức, triển khai trong quá trình phát triển (phân tích, thiết kế, xây dựng, kiểm thử), vận hành chính thức và duy trì hoạt động phần mềm. Các hồ sơ, tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa, lưu trữ, cập nhật đồng bộ khi hệ thống có thay đổi và kiểm soát chặt chẽ, hạn chế tiếp cận.

2. Đơn vị phải kiểm soát mã nguồn phần mềm với các yêu cầu tối thiểu:

a) Đối với mã nguồn phần mềm do đơn vị tự phát triển:

(i) Định kỳ hoặc khi có thay đổi phần mềm ứng dụng, đơn vị phải kiểm tra mã nguồn nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật. Nhân sự thực hiện kiểm tra phải độc lập với nhân sự phát triển mã nguồn phần mềm;

(ii) Chỉ định cụ thể các cá nhân chịu trách nhiệm quản lý mã nguồn của phần mềm ứng dụng Online Banking;

(iii) Mã nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt về địa lý và có biện pháp bảo vệ tính toàn vẹn của mã nguồn.

b) Trường hợp mã nguồn phần mềm thuê ngoài gia công (outsourced software):

(i) Đơn vị phải yêu cầu bên cung cấp ký cam kết mã nguồn phần mềm là hợp pháp, không giả mạo; cam kết thực hiện các thoả thuận về việc chỉnh sửa mã nguồn khi bảo hành, bảo trì phần mềm;

(ii) Trường hợp được bàn giao mã nguồn, trước khi nghiệm thu bàn giao mã nguồn phần mềm, đơn vị yêu cầu bên cung cấp phải kiểm tra, xử lý, khắc phục các lỗ hổng bảo mật trong mã nguồn. Sau khi mã nguồn được bàn giao, đơn vị thực hiện theo quy định tại điểm a khoản này;

(iii) Trường hợp không được bàn giao mã nguồn, khi ký nghiệm thu sản phẩm, đơn vị phải yêu cầu bên cung cấp thực hiện dò quét, loại bỏ các đoạn mã độc hại và ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng.

3. Phần mềm ứng dụng Online Banking phải được kiểm tra, thử nghiệm trước khi vận hành chính thức đáp ứng các yêu cầu tối thiểu sau:

a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm phần mềm ứng dụng Online Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng;

b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào;

c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng, chống các kiểu tấn công bao gồm nhưng không giới hạn: Injection (SQL, Xpath, LDAP), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Server-Side Request Forgery (SSRS), Brute-Force và các loại lỗi bảo mật như: lỗi kiểm soát truy cập; lỗi nhận dạng và xác thực; lỗi mã hóa; lỗi thiết kế, cấu hình không an toàn; lỗi ghi nhật ký và giám sát bảo mật;

d) Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm;

đ) Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt phổ biến (áp dụng đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web) và các phần mềm hệ điều hành của thiết bị di động (áp dụng đối với phần mềm ứng dụng Mobile Banking); có cơ chế kiểm tra, thông báo tức thời cho khách hàng khi sử dụng ứng dụng trên các trình duyệt, phiên bản phần mềm hệ điều hành của thiết bị di động đã được kiểm tra và thử nghiệm an toàn.

4. Trước khi triển khai phần mềm ứng dụng Online Banking mới, đơn vị phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

5. Đơn vị thực hiện quản lý thay đổi phiên bản phần mềm ứng dụng Online Banking đáp ứng các yêu cầu sau:

a) Xây dựng tài liệu phân tích đánh giá tác động của việc thay đổi đối với hệ thống hiện tại, các hệ thống có liên quan khác của đơn vị và được cấp có thẩm quyền phê duyệt trước khi thực hiện;

b) Các phiên bản phần mềm bao gồm cả mã nguồn do đơn vị tự phát triển hoặc do bên cung cấp bàn giao cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên, ghi nhật ký trong việc thao tác với các tập tin;

c) Thông tin về các phiên bản (thời gian cập nhật, người cập nhật, hướng dẫn cập nhật và các thông tin liên quan khác của phiên bản) phải được lưu trữ;

d) Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được cấp có thẩm quyền phê duyệt.

6. Các chức năng bắt buộc của phần mềm ứng dụng Online Banking:

a) Toàn bộ dữ liệu khi truyền trên môi trường mạng hoặc dữ liệu trao đổi giữa phần mềm ứng dụng Online Banking với các trang thiết bị liên quan được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối;

b) Bảo đảm tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi trái phép phải được phát hiện, cảnh báo, ngăn chặn hoặc có biện pháp xử lý phù hợp để bảo đảm sự chính xác của dữ liệu giao dịch trong quá trình thực hiện giao dịch, lưu trữ dữ liệu;

c) Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác;

d) Có chức năng che giấu đối với việc hiển thị các mã khóa bí mật, mã PIN dùng để đăng nhập vào hệ thống;

đ) Có chức năng chống đăng nhập tự động;

e) Trong trường hợp tài khoản giao dịch điện tử quy định tại khoản 1 Điều 9 Thông tư này sử dụng mã PIN hoặc mã khóa bí mật làm hình thức xác nhận, phần mềm ứng dụng Online Banking phải có các chức năng kiểm soát mã PIN và mã khóa bí mật;

(i) Yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu;

(ii) Thông báo cho khách hàng khi mã PIN hoặc mã khóa bí mật sắp hết hiệu lực sử dụng;

(iii) Hủy hiệu lực của mã PIN hoặc mã khóa bí mật khi hết hạn sử dụng; yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật đã hết hạn sử dụng khi khách hàng sử dụng mã PIN hoặc mã khóa bí mật để đăng nhập;

(iv) Hủy hiệu lực của mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai mã PIN hoặc mã khóa bí mật liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần) và thông báo cho khách hàng;

(v) Đơn vị chỉ cấp phát lại mã PIN hoặc mã khóa bí mật khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện cấp phát lại, bảo đảm chống gian lận, giả mạo.

g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch. Trong trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;

h) Có chức năng thông báo việc đăng nhập lần đầu phần mềm ứng dụng Online Banking hoặc việc đăng nhập phần mềm ứng dụng Online Banking trên thiết bị khác với thiết bị thực hiện đăng nhập phần mềm ứng dụng Online Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (điện thoại, thư điện tử...), ngoại trừ trường hợp khách hàng tổ chức: đăng nhập trên các thiết bị đã đăng ký sử dụng dịch vụ; hoặc đăng nhập sử dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.

7. Phần mềm ứng dụng Online Banking phải có chức năng lưu trữ trực tuyến thông tin về thiết bị thực hiện các giao dịch của khách hàng, nhật ký (log) giao dịch, nhật ký xác nhận giao dịch tối thiểu trong vòng 03 tháng và sao lưu tối thiểu 01 năm, trong đó gồm:

a) Thông tin định danh về thiết bị:

(i) Đối với thiết bị di động: thông tin để định danh duy nhất thiết bị (ví dụ như: số IMEI hoặc Serial hoặc WLAN MAC hoặc Android ID hoặc thông tin định danh khác);

(ii) Đối với máy tính: thông tin để định danh duy nhất máy tính (ví dụ như địa chỉ MAC hoặc kết hợp các thông tin liên quan đến máy tính để có thể định danh duy nhất máy tính).

b) Nhật ký (log) giao dịch tối thiểu gồm: mã giao dịch, mà khách hàng, thời gian khởi tạo giao dịch, loại giao dịch, giá trị giao dịch (nếu có);

c) Nhật ký (log) xác nhận giao dịch tối thiểu gồm: hình thức xác nhận giao dịch, thời gian xác nhận giao dịch. Trường hợp xác nhận giao dịch bằng hình thức khớp đúng thông tin sinh trắc học, đơn vị thực hiện lưu trữ thông tin sinh trắc học của khách hàng khi thực hiện giao dịch đối với tối thiểu 10 giao dịch gần nhất của khách hàng đó.

8. Các yêu cầu đối với phương thức xử lý xuyên suốt:

a) Đơn vị chỉ cung cấp dịch vụ Online Banking bằng phương thức xử lý xuyên suốt cho khách hàng là tổ chức. Đơn vị có trách nhiệm lựa chọn, thẩm định, giám sát, quản lý và có thỏa thuận với khách hàng khi cung cấp dịch vụ Online Banking bằng phương thức xử lý xuyên suốt;

b) Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm chống gian lận, giả mạo;

c) Không bắt buộc áp dụng nội dung quy định tại điểm c, điểm đ, điểm e, điểm g, điểm h khoản 6 và điểm a khoản 7 Điều này.

9. Tổ chức phát hành thẻ có cung cấp dịch vụ thanh toán trực tuyến sử dụng thẻ ngân hàng, phải có phần mềm ứng dụng Online Banking có tối thiểu các tính năng sau:

a) Cho phép hoặc không cho phép thanh toán trực tuyến;

b) Thiết lập hạn mức thanh toán trực tuyến sử dụng thẻ ngân hàng trong ngày;

c) Cho phép hoặc không cho phép thanh toán ở nước ngoài tại thiết bị chấp nhận thẻ tại điểm bán, máy giao dịch tự động;

d) Cho phép khách hàng đăng ký lựa chọn việc chủ động thực hiện xác nhận hoặc đồng ý để tổ chức phát hành thẻ thực hiện xác nhận đối với tất cả hoặc một phần giao dịch thanh toán trực tuyến sử dụng thẻ ngân hàng (giao dịch thanh toán thẻ trực tuyến) trong trường hợp sử dụng hình thức xác nhận theo quy định tại khoản 10 Điều 11 Thông tư này.

10. Phần mềm ứng dụng Online Banking phải có chức năng thông báo cho khách hàng về các giao dịch phát sinh qua tin nhắn SMS hoặc thư điện tử hoặc phần mềm ứng dụng Mobile Banking hoặc các kênh liên lạc khác do khách hàng đăng ký.

Điều 8. Phần mềm ứng dụng Mobile Banking

Phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải bảo đảm tuân thủ các quy định tại Điều 7 Thông tư này và các yêu cầu sau:

1. Phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện tử đơn vị để khách hàng tải và cài đặt phần mềm ứng dụng Mobile Banking. Trong trường hợp vì lý do khách quan mà phần mềm ứng dụng Mobile Banking không được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động, đơn vị phải có phương thức hướng dẫn, thông báo, hỗ trợ cài đặt phần mềm ứng dụng Mobile Banking bảo đảm an toàn, bảo mật cho khách hàng và báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) trước khi cung cấp dịch vụ.

2. Phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược mã nguồn.

3. Có biện pháp bảo vệ, chống can thiệp vào luồng trao đổi dữ liệu trên ứng dụng Mobile Banking và giữa ứng dụng Mobile Banking với máy chủ cung cấp dịch vụ Online Banking.

4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.

5. Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập.

6. Đối với khách hàng cá nhân, phải có chức năng kiểm tra khách hàng khi khách hàng truy cập lần đầu hoặc khi khách hàng truy cập trên thiết bị khác với thiết bị đã truy cập phần mềm ứng dụng Mobile Banking lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm:

a) Khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký hoặc Soft OTP/Token OTP;

b) Khớp đúng thông tin sinh trắc học theo quy định tại khoản 5 Điều 11 Thông tư này trong trường hợp văn bản pháp luật chuyên ngành liên quan đến dịch vụ cung cấp trên phần mềm ứng dụng Mobile Banking có quy định thu thập, lưu trữ thông tin sinh trắc học của khách hàng.

Mục 2. XÁC NHẬN GIAO DỊCH ĐIỆN TỬ THÔNG QUA HỆ THỐNG ONLINE BANKING

Điều 9. Truy cập phần mềm ứng dụng Online Banking

1. Khách hàng đăng ký sử dụng phần mềm ứng dụng Online Banking phải được đơn vị nhận biết khách hàng và cấp tài khoản giao dịch điện tử. Tài khoản giao dịch điện tử gồm tên đăng nhập và tối thiểu một trong các hình thức xác nhận quy định tại khoản 1, khoản 2, khoản 3, khoản 4, khoản 5, khoản 6, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.

2. Khách hàng truy cập phần mềm ứng dụng Online Banking bằng tài khoản giao dịch điện tử do đơn vị cấp hoặc truy cập bằng hình thức đăng nhập một lần (Single Sign On) thông qua tài khoản giao dịch điện tử của hệ thống thông tin khác đã được đơn vị tích hợp và theo đăng ký của khách hàng.

Điều 10. Xác nhận giao dịch

1. Đối với giao dịch thanh toán trực tuyến:

a) Đối với giao dịch thanh toán sử dụng tài khoản thanh toán hoặc ví điện tử hoặc giao dịch chuyển tiền từ thẻ ghi nợ, thẻ trả trước định danh, đơn vị thực hiện phân loại giao dịch theo các nhóm loại hình giao dịch quy định tại Phụ lục 01 ban hành kèm theo Thông tư này và áp dụng hình thức xác nhận quy định tại Phụ lục 02 ban hành kèm theo Thông tư này, trừ quy định tại điểm b, điểm c, điểm d và điểm đ khoản này;

b) Đối với giao dịch thanh toán thực hiện bằng phương thức xử lý xuyên suốt, đơn vị thực hiện xác nhận giao dịch tối thiểu bằng một trong các hình thức xác nhận quy định tại khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này;

c) Đối với các giao dịch thanh toán thẻ trực tuyến (không bao gồm giao dịch chuyển tiền), đơn vị thực hiện phân loại giao dịch theo các nhóm loại hình giao dịch quy định tại Phụ lục 03 ban hành kèm theo Thông tư này và áp dụng các hình thức xác nhận quy định tại Phụ lục 04 ban hành kèm theo Thông tư này;

d) Đối với các giao dịch mà đơn vị chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động thanh toán từ thẻ của khách hàng theo thỏa thuận với khách hàng, không phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều này;

đ) Đối với các giao dịch thanh toán trực tuyến trên Cổng Dịch vụ công quốc gia, nộp tiền vào ngân sách nhà nước, không bắt buộc phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều này.

2. Đối với giao dịch đăng ký tự động trích Nợ tài khoản thanh toán, tự động trích Nợ ví điện tử, tự động thanh toán từ thẻ của khách hàng, đơn vị áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.

3. Đối với các giao dịch khác, ngoài giao dịch quy định tại khoản 1, khoản 2 Điều này, trên cơ sở đánh giá rủi ro và tuân thủ quy định của pháp luật có liên quan, đơn vị lựa chọn hình thức xác nhận phù hợp theo quy định tại Điều 11 Thông tư này để cung cấp cho khách hàng đăng ký sử dụng và chịu trách nhiệm với việc lựa chọn này.

4. Trường hợp khách hàng là người khuyết tật, đơn vị căn cứ điều kiện, khả năng cung ứng của đơn vị mình để cung cấp và hướng dẫn khách hàng là người khuyết tật lựa chọn hình thức xác nhận phù hợp, không bắt buộc áp dụng quy định tại khoản 1, khoản 2, khoản 3 Điều này, nhưng phải bảo đảm kiểm tra, xác nhận được sự chấp thuận của khách hàng khi thực hiện giao dịch theo quy định của pháp luật về giao dịch điện tử và Thông tư này.

Điều 11. Các hình thức xác nhận

1. Hình thức xác nhận bằng mã khóa bí mật (Password): khách hàng sử dụng mã khóa bí mật là một chuỗi ký tự để xác nhận quyền truy cập của khách hàng vào hệ thống thông tin, ứng dụng, dịch vụ hoặc xác nhận khách hàng thực hiện giao dịch. Hình thức xác nhận bằng mã khóa bí mật phải đáp ứng yêu cầu:

a) Mã khóa bí mật có độ dài tối thiểu 08 ký tự và cấu tạo bao gồm tối thiểu các ký tự: số, chữ hoa, chữ thường;

b) Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng, đối với mã khóa bí mật được cấp phát mặc định lần đầu: thời gian hiệu lực tối đa là 30 ngày.

2. Hình thức xác nhận bằng mã PIN (Personal Identification Number) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật được tạo từ một chuỗi các chữ số. Hình thức xác nhận bằng mã PIN (trừ trường hợp mã PIN gắn với thẻ vật lý) phải đáp ứng yêu cầu:

a) Mã PIN có độ dài tối thiểu 06 ký tự;

b) Thời gian hiệu lực của mã PIN tối đa 12 tháng, đối với mã PIN được cấp phát mặc định lần đầu: thời gian hiệu lực tối đa là 30 ngày.

3. Hình thức xác nhận bằng mã khóa bí mật dùng một lần (One Time Password - OTP) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, bao gồm các hình thức sau:

a) SMS OTP là hình thức xác nhận thông qua mã OTP được gửi qua tin nhắn SMS (Short Message Services) hoặc tin nhắn thông qua dịch vụ viễn thông cơ bản trên Internet. SMS OTP phải đáp ứng yêu cầu:

(i) OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

(ii) OTP có hiệu lực tối đa 05 phút.

b) Voice OTP là hình thức xác nhận thông qua mã OTP được gửi qua cuộc gọi thoại hoặc cuộc gọi thông qua dịch vụ viễn thông cơ bản trên Internet. Voice OTP phải đáp ứng yêu cầu:

(i) OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

(ii) OTP có hiệu lực tối đa 03 phút.

c) Email OTP là hình thức xác nhận thông qua mã OTP được gửi qua thư điện tử. Email OTP phải đáp ứng yêu cầu:

(i) OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

(ii) OTP có hiệu lực tối đa 05 phút.

d) Thẻ ma trận OTP là hình thức xác nhận thông qua mã OTP được xác định từ một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP. Thẻ ma trận OTP phải đáp ứng yêu cầu:

(i) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

(ii) OTP có hiệu lực tối đa 02 phút.

đ) Soft OTP là hình thức xác nhận thông qua mã OTP được tạo bởi phần mềm cài đặt trên thiết bị di động của khách hàng, phần mềm Soft OTP có thể là phần mềm độc lập hoặc được tích hợp với phần mềm ứng dụng Mobile Banking.

Soft OTP có 02 loại: (i) Soft OTP loại cơ bản: Mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking; (ii) Soft OTP loại nâng cao: Mã OTP được tạo kết hợp với mã của từng giao dịch, khi thực hiện giao dịch, hệ thống Online Banking tạo ra một mã giao dịch thông báo cho khách hàng hoặc truyền cho phần mềm Soft OTP, khách hàng hoặc phần mềm Soft OTP tự động nhập mã giao dịch vào phần mềm Soft OTP để phần mềm Soft OTP tạo ra mã OTP.

Soft OTP phải đáp ứng yêu cầu:

(i) Trường hợp phần mềm Soft OTP độc lập với phần mềm ứng dụng Mobile Banking, phải được đơn vị đăng ký, quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện tử của đơn vị để khách hàng tải và cài đặt phần mềm Soft OTP;

(ii) Phần mềm Soft OTP phải yêu cầu kích hoạt trước khi sử dụng. Mã kích hoạt sử dụng Soft OTP do đơn vị cung cấp cho khách hàng và chỉ được sử dụng để kích hoạt trên một thiết bị di động. Mã kích hoạt phải được thiết lập thời hạn hiệu lực sử dụng;

(iii) Phần mềm Soft OTP phải có chức năng kiểm soát truy cập. Trường hợp truy cập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần), phần mềm Soft OTP phải tự động khóa không cho khách hàng sử dụng tiếp. Đơn vị chỉ mở khóa phần mềm Soft OTP khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện mở khóa, bảo đảm chống gian lận, giả mạo.

(iv) Trường hợp phần mềm Soft OTP độc lập với phần mềm ứng dụng Mobile Banking phải có chức năng kiểm tra khách hàng cá nhân trước khi cho phép khách hàng sử dụng lần đầu hoặc trước khi khách hàng sử dụng trên thiết bị khác với thiết bị sử dụng lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm: (i) khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký, (ii) và khớp đúng thông tin sinh trắc học của khách hàng;

(v) Mã OTP có hiệu lực tối đa 02 phút.

e) Token OTP là hình thức xác nhận thông qua mã OTP tạo bởi thiết bị chuyên dụng. Token OTP có 02 loại: (i) Token OTP loại cơ bản: Mã OTP được tạo một cách ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking; (ii) Token OTP loại nâng cao: Mã OTP được tạo ra kết hợp với mã của từng giao dịch. Khi thực hiện giao dịch, hệ thống Online Banking tạo ra một mã giao dịch thông báo cho khách hàng, khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP. Token OTP có hiệu lực tối đa 02 phút.

4. Hình thức xác nhận hai kênh là hình thức xác nhận khi khách hàng thực hiện giao dịch, hệ thống Online Banking sẽ gửi thông tin yêu cầu xác nhận giao dịch đến thiết bị di động của khách hàng qua cuộc gọi thoại hoặc cuộc gọi thông qua dịch vụ viễn thông cơ bản trên Internet hoặc qua mã tin nhắn nhanh USSD (Unstructured Supplementary Service Data) hoặc qua phần mềm chuyên dụng, khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch. Yêu cầu xác nhận của hình thức xác nhận hai kênh có hiệu lực tối đa 05 phút.

5. Hình thức xác nhận khớp đúng thông tin sinh trắc học là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách hàng đã thu thập, lưu trữ tại đơn vị theo quy định của Thống đốc Ngân hàng Nhà nước. Hình thức khớp đúng thông tin sinh trắc học phải đáp ứng tối thiểu yêu cầu:

a) Trường hợp áp dụng hình thức khớp đúng thông tin sinh trắc học sử dụng khuôn mặt:

(i) Có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương): Có tỷ lệ từ chối sai < 5% với tỷ lệ chấp nhận sai < 0,01% theo tiêu chuẩn FIDO Biometric Requirement (áp dụng đối với tập mẫu tối thiểu 10.000 mẫu);

(ii) Có khả năng phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 - Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.

b) Trường hợp áp dụng các hình thức khớp đúng thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách hàng theo tiêu chuẩn tương đương;

c) Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) theo quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận;

d) Trường hợp khách hàng xác nhận bằng hình thức khớp đúng thông tin sinh trắc học quá số lần sai liên tiếp do đơn vị quy định (nhưng không quá 10 lần): khóa chức năng thực hiện xác nhận giao dịch bằng hình thức khớp đúng thông tin sinh trắc học, chỉ mở khóa khi khách hàng yêu cầu và phải kiểm tra khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo;

đ) Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 03 phút.

6. Hình thức xác nhận khớp đúng thông tin sinh trắc học thiết bị là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách hàng đã lưu trữ trên thiết bị di động của khách hàng. Hình thức khớp đúng thông tin sinh trắc học thiết bị phải đáp ứng yêu cầu:

a) Chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện ít nhất một giao dịch thành công bằng hình thức xác nhận khác;

b) Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 02 phút.

7. Hình thức xác nhận FIDO (Fast IDentity Online) là hình thức xác nhận theo tiêu chuẩn về xác nhận giao dịch sử dụng thuật toán khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do Liên minh FIDO (FIDO Alliance) ban hành. Hình thức xác nhận FIDO phải đáp ứng yêu cầu:

a) Khóa bí mật được lưu giữ an toàn trên thiết bị của khách hàng. Khách hàng sử dụng hình thức xác nhận bằng mã PIN hoặc khớp đúng thông tin sinh trắc học thiết bị để truy cập, sử dụng khóa bí mật khi thực hiện giao dịch;

b) Khóa công khai được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

c) Giải pháp do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức được Liên minh FIDO (FIDO Alliance) công nhận.

8. Hình thức xác nhận bằng chữ ký điện tử theo quy định của pháp luật về chữ ký điện tử (không bao gồm chữ ký điện tử an toàn quy định tại khoản 9 Điều này).

9. Hình thức xác nhận bằng chữ ký điện tử an toàn là hình thức xác nhận bằng chữ ký điện tử, trong đó chữ ký điện tử là chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam theo quy định của pháp luật về chữ ký điện tử.

10. Hình thức xác nhận trên cơ sở đánh giá rủi ro đối với giao dịch thanh toán thẻ trực tuyến theo tiêu chuẩn EMV 3-D Secure (sau đây gọi tắt là hình thức xác nhận EMV 3DS). Hình thức xác nhận EMV 3DS phải đáp ứng yêu cầu: Tổ chức phát hành thẻ, tổ chức thanh toán thẻ và đơn vị chấp nhận thẻ phải triển khai tiêu chuẩn EMV 3-D Secure.

11. Hình thức xác nhận thông qua các thao tác thể hiện sự xác nhận của khách hàng đối với thông điệp dữ liệu khi thực hiện giao dịch như bấm chấp nhận, phê duyệt, gửi hoặc các hoạt động tương tự trên phần mềm ứng dụng Online Banking. Hình thức xác nhận thông qua các thao tác thể hiện sự xác nhận của khách hàng đối với thông điệp dữ liệu khi thực hiện giao dịch phải đáp ứng yêu cầu:

a) Các thao tác xác nhận phải được lưu trữ nhật ký (log) để có thể truy vấn được thông tin liên quan đến các thao tác xác nhận này;

b) Khách hàng là tổ chức và đã thực hiện đăng nhập phần mềm ứng dụng Online Banking sử dụng hình thức xác nhận theo quy định tại Điều này trừ khoản 1, khoản 2, khoản 6, khoản 10.

Mục 3. QUẢN LÝ VẬN HÀNH

Điều 12. Quản lý nhân sự quản trị, vận hành hệ thống Online Banking

1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống Online Banking, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng.

2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao dịch bất thường.

3. Nhân sự quản trị, giám sát và vận hành hệ thống Online Banking phải tham gia các khóa đào tạo cập nhật kiến thức an toàn, bảo mật hằng năm.

4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Online Banking phải được theo dõi, giám sát bởi bộ phận độc lập với bộ phận cấp phát tài khoản.

Điều 13. Quản lý hoạt động của môi trường vận hành hệ thống Online Banking

1. Đơn vị không cài đặt, lưu trữ phần mềm phát triển ứng dụng, mã nguồn trên môi trường vận hành.

2. Hoạt động quản trị, giám sát và vận hành phải đáp ứng các yêu cầu sau:

a) Máy tính của nhân sự quản trị, giám sát và vận hành chỉ được cài đặt các phần mềm được phép sử dụng và phải được cài đặt phần mềm phòng chống mã độc, cập nhật thường xuyên các mẫu nhận diện mã độc và không cho phép tự vô hiệu hóa phần mềm phòng chống mã độc;

b) Việc kết nối quản trị, giám sát và vận hành hệ thống phải qua các máy chủ trung gian hoặc các hệ thống quản trị tập trung an toàn, có kiểm soát, không thực hiện trực tiếp từ máy tính của nhân sự quản trị, giám sát và vận hành;

c) Việc sử dụng tài khoản có quyền quản trị phải được giới hạn trong khoảng thời gian đủ để thực hiện công việc và phải được thu hồi ngay sau khi kết thúc phiên làm việc;

d) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị, giám sát và vận hành, có cảnh báo khi có tác động bất thường vào cơ sở dữ liệu, ứng dụng.

3. Đơn vị phải thiết lập chính sách đối với các máy tính thực hiện quản trị, giám sát và vận hành hệ thống Online Banking chỉ được phép kết nối đến hệ thống Online Banking hoặc các hệ thống thông tin khác của đơn vị để phục vụ quản trị, giám sát và vận hành.

Điều 14. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật

Đơn vị phải thực hiện quản lý các lỗ hổng, điểm yếu của hệ thống Online Banking với các nội dung cơ bản sau:

1. Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi trái phép đối với phần mềm ứng dụng Online Banking.

2. Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking.

3. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.

4. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 4 - CVSS v4 hoặc tương đương).

5. Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiểu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới. Đối với thành phần hệ thống kết nối trực tiếp với Internet thực hiện dò quét lỗ hổng, điểm yếu tối thiểu 03 tháng một lần. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý.

6. Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro:

a) Đối với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 01 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.

b) Đối với lỗ hổng bảo mật được đánh giá ở mức cao: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 02 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.

c) Đối với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp: thực hiện trong khoảng thời gian do đơn vị tự quyết định.

Điều 15. Hệ thống giám sát, theo dõi hoạt động của hệ thống Online Banking

1. Đơn vị phải thiết lập hệ thống giám sát, theo dõi hoạt động của hệ thống Online Banking. Hệ thống giám sát, theo dõi hoạt động của hệ thống Online Banking phải thu thập đầy đủ nhật ký (log) của các thành phần thuộc hệ thống Online Banking để phát hiện, điều tra các sự kiện bất thường hoặc các hành vi tấn công mạng.

2. Đơn vị phải xây dựng các tiêu chí và phần mềm để cảnh báo các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch (nếu có), số lần đăng nhập sai quá quy định và các dấu hiệu bất thường khác.

Điều 16. Bảo đảm hoạt động liên tục

Đơn vị phải xây dựng hệ thống dự phòng thảm hoạ, quy trình, kịch bản bảo đảm hoạt động liên tục cho hệ thống Online Banking theo quy định của Ngân hàng Nhà nước về bảo đảm an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng. Ngoài ra, đơn vị phải thực hiện:

1. Phân tích, xác định các tình huống có thể gây mất an toàn thông tin và gián đoạn hoạt động của hệ thống Online Banking. Xác định, đánh giá mức độ rủi ro, khả năng có thể xảy ra đối với từng tình huống tối thiểu 06 tháng một lần. Lập danh sách các tình huống có mức độ rủi ro, khả năng có thể xảy ra theo các cấp độ cao, trung bình, chấp nhận được và thấp.

2. Xây dựng phương án bao gồm quy trình, kịch bản xử lý khắc phục các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao và trung bình theo quy định tại khoản 1 Điều này. Xác định thời gian dừng hoạt động tối đa để phục hồi hệ thống, phục hồi dữ liệu cho phương án xử lý đối với từng tình huống. Tổ chức phổ biến phương án xử lý đến các nhân sự có liên quan để hiểu rõ nhiệm vụ, công việc cần phải thực hiện khi xử lý.

3. Bố trí nguồn nhân lực, tài chính và các phương tiện kỹ thuật để tổ chức diễn tập phương án xử lý với các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao theo định kỳ tối thiểu 01 năm một lần.

4. Lập kế hoạch và tiến hành diễn tập các biện pháp bảo đảm hoạt động kinh doanh liên tục, lưu giữ các hồ sơ có liên quan và tổ chức đánh giá kết quả diễn tập.

Mục 4. BẢO VỆ QUYỀN LỢI CỦA KHÁCH HÀNG

Điều 17. Thông tin về dịch vụ Online Banking

1. Đơn vị phải công bố thông tin về dịch vụ Online Banking, bảo đảm khách hàng có khả năng tiếp cận được thông tin trước hoặc ngay tại thời điểm đăng ký sử dụng dịch vụ, thông tin công bố tối thiểu gồm có:

a) Cách thức cung cấp dịch vụ, cách thức truy cập dịch vụ Online Banking ứng với từng phương tiện truy cập;

b) Hạn mức giao dịch (nếu có) và các hình thức xác nhận giao dịch;

c) Các trang thiết bị cần thiết để sử dụng dịch vụ, điều kiện với các trang thiết bị được sử dụng;

d) Các rủi ro liên quan đến việc sử dụng dịch vụ Online Banking.

2. Đơn vị phải thông tin cho khách hàng về các điều khoản trong thỏa thuận cung cấp, sử dụng dịch vụ Online Banking, tối thiểu gồm:

a) Quyền lợi và nghĩa vụ của khách hàng sử dụng dịch vụ Online Banking;

b) Các loại dữ liệu của khách hàng mà đơn vị thu thập, mục đích sử dụng dữ liệu của khách hàng và trách nhiệm của đơn vị trong bảo mật dữ liệu của khách hàng theo quy định của pháp luật trừ trường hợp đơn vị và khách hàng đã có thỏa thuận khác về việc bảo vệ dữ liệu khách hàng phù hợp với quy định của pháp luật;

c) Cam kết khả năng bảo đảm hoạt động liên tục của hệ thống Online Banking, tối thiểu gồm: thời gian gián đoạn cung cấp dịch vụ trong một lần, tổng thời gian gián đoạn cung cấp dịch vụ trong một năm trừ các trường hợp bất khả kháng hoặc bảo trì, nâng cấp hệ thống đã được đơn vị thông báo;

d) Các nội dung khác của đơn vị đối với dịch vụ Online Banking (nếu có).

3. Đơn vị không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng.

Điều 18. Hướng dẫn khách hàng sử dụng dịch vụ Online Banking

1. Đơn vị phải xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị thực hiện các giao dịch điện tử và cung cấp, hướng dẫn khách hàng sử dụng các quy trình, tài liệu này.

2. Đơn vị phải hướng dẫn khách hàng thực hiện các biện pháp bảo đảm an toàn, bảo mật khi sử dụng dịch vụ Online Banking, tối thiểu gồm các nội dung sau:

a) Bảo vệ bí mật mã khóa bí mật, mã PIN, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;

b) Nguyên tắc thiết lập mã khóa bí mật, mã PIN và thay đổi mã khóa bí mật, mã PIN của tài khoản giao dịch điện tử;

c) Không nên sử dụng máy tính công cộng để truy cập, thực hiện giao dịch; không nên sử dụng mạng WIFI công cộng khi sử dụng dịch vụ Online Banking;

d) Không lưu lại tên đăng nhập và mã khóa bí mật, mã PIN trên các trình duyệt;

đ) Thoát khỏi phần mềm ứng dụng Online Banking khi không sử dụng;

e) Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo trang tin điện tử, phần mềm ứng dụng Online Banking;

g) Cài đặt đầy đủ các bản vá lỗ hổng bảo mật của hệ điều hành, phần mềm ứng dụng Mobile Banking; xem xét cài đặt phần mềm phòng chống mã độc và cập nhật mẫu nhận diện mã độc mới nhất trên thiết bị cá nhân sử dụng để giao dịch;

h) Lựa chọn các hình thức xác nhận giao dịch có mức độ an toàn, bảo mật theo quy định và phù hợp với nhu cầu của khách hàng về hạn mức giao dịch;

i) Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ Online Banking;

k) Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Online Banking, phần mềm tạo OTP;

l) Không cài đặt các phần mềm lạ, phần mềm không có bản quyền, phần mềm không rõ nguồn gốc;

m) Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường;

n) Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khóa bảo mật tạo chữ ký điện tử; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.

3. Đơn vị phải cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ Online Banking.

4. Đơn vị phải giải thích cho khách hàng về những trường hợp cụ thể đơn vị sẽ liên lạc với khách hàng, cách thức, phương tiện liên lạc trong quá trình khách hàng sử dụng dịch vụ Online Banking.

Điều 19. Bảo mật thông tin khách hàng

Đơn vị phải áp dụng các biện pháp bảo đảm an toàn, bảo mật dữ liệu khách hàng, tối thiểu bao gồm:

1. Dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật.

2. Thông tin sử dụng để xác nhận giao dịch của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để bảo đảm tính bí mật.

3. Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.

4. Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng chống nguy cơ lộ, lọt dữ liệu.

5. Thông báo cho khách hàng khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng và báo cáo kịp thời về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin).

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 20. Chế độ báo cáo

Các đơn vị cung cấp dịch vụ Online Banking có trách nhiệm gửi báo cáo bằng văn bản về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin) như sau:

1. Báo cáo cung cấp dịch vụ Online Banking:

a) Thời hạn gửi báo cáo: Tối thiểu 10 ngày làm việc trước khi cung cấp chính thức dịch vụ Online Banking;

b) Nội dung báo cáo:

(i) Địa chỉ trang tin điện tử hoặc kho ứng dụng cung cấp dịch vụ;

(ii) Ngày cung cấp chính thức;

(iii) Các giải pháp kiểm tra khách hàng truy cập dịch vụ Online Banking; các hình thức xác nhận giao dịch áp dụng cho từng loại giao dịch và hạn mức giao dịch (nếu có);

(iv) Các bản sao chứng nhận về bảo đảm an toàn bảo mật, phòng, chống gian lận, giả mạo quy định tại khoản 5, khoản 7 Điều 11 Thông tư này.

2. Báo cáo đột xuất theo yêu cầu của Ngân hàng Nhà nước.

Điều 21. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước

1. Cục Công nghệ thông tin có trách nhiệm theo dõi, kiểm tra và phối hợp với các đơn vị liên quan để xử lý những vướng mắc phát sinh trong quá trình thực hiện Thông tư này.

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm thanh tra, giám sát việc thi hành Thông tư này và xử lý các trường hợp vi phạm theo quy định của pháp luật.

3. Ngân hàng Nhà nước chi nhánh tỉnh, thành phố có trách nhiệm thanh tra, giám sát việc thực hiện Thông tư này tại các tổ chức cung ứng dịch vụ trung gian thanh toán trên địa bàn (trừ Công ty Cổ phần Thanh toán Quốc gia Việt Nam) và xử lý các trường hợp vi phạm theo quy định của pháp luật.

Điều 22. Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2025, trừ trường hợp quy định tại khoản 2, khoản 3, khoản 4 Điều này.

2. Điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8 có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2025.

3. Điểm b khoản 1 Điều 10 có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2026.

4. Điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20 có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2026.

5. Các văn bản sau đây hết hiệu lực kể từ ngày Thông tư này có hiệu lực:

a) Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;

b) Thông tư số 35/2018/TT-NHNN ngày 24 tháng 12 năm 2018 của Thống đốc Ngân hàng Nhà nước Việt Nam sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

6. Bãi bỏ Điều 25 của Thông tư số 09/2020/TT-NHNN ngày 21 tháng 10 năm 2020 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.

Điều 23. Quy định chuyển tiếp

1. Các giao dịch đăng ký tự động trích Nợ tài khoản thanh toán, tự động trích Nợ ví điện tử, tự động thanh toán từ thẻ của khách hàng được thực hiện trước ngày Thông tư này có hiệu lực thi hành được tiếp tục thực hiện đến hết thời hạn của thỏa thuận đã giao kết; trường hợp thỏa thuận không xác định thời hạn thì được tiếp tục thực hiện đến hết ngày 31 tháng 12 năm 2026. Việc sửa đổi, bổ sung, gia hạn thỏa thuận phải tuân thủ theo quy định tại khoản 2 Điều 10 Thông tư này.

2. Các mã khóa bí mật, mã PIN đang được sử dụng trước ngày Thông tư này có hiệu lực thi hành thì được tiếp tục sử dụng cho đến khi khách hàng thay đổi hoặc đến hết thời gian hiệu lực của mã khóa bí mật, mã PIN. Kể từ ngày Thông tư này có hiệu lực, các mã khóa bí mật, mã PIN khi thay đổi phải tuân thủ quy định tại khoản 1, khoản 2 Điều 11 Thông tư này.

Điều 24. Tổ chức thực hiện

Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin và Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng chịu trách nhiệm tổ chức thực hiện Thông tư này./.

Nơi nhận:
- Như Điều 24;
- Ban Lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu VP, PC, CNTT.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC

Phạm Tiến Dũng

PHỤ LỤC 01

PHÂN LOẠI GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(kèm theo Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của Thống đốc Ngân hàng Nhà nước)

STT	Loại hình giao dịch	Giao dịch loại A	Giao dịch loại B	Giao dịch loại C	Giao dịch loại D
I	Khách hàng cá nhân
1	Nhóm I.1: - Chuyển tiền giữa các tài khoản thanh toán, thẻ ghi nợ, thẻ trả trước định danh (sau đây gọi chung là thẻ) của một khách hàng trong một tổ chức cung ứng dịch vụ thanh toán. - Chuyển tiền giữa các ví điện tử của một khách hàng trong một tổ chức cung ứng dịch vụ trung gian thanh toán.	Tất cả các giao dịch.
2	Nhóm I.2: - Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý.	Giao dịch thỏa mãn điều kiện: G + T ≤ 5 triệu VND.	Giao dịch thỏa mãn các điều kiện: (i) G + T > 5 triệu VND. (ii) G + T ≤ 100 triệu VND.	Giao dịch thỏa mãn các điều kiện: (i) G + T > 100 triệu VND. (ii) G + T ≤ 1,5 tỷ VND.	Giao dịch thỏa mãn điều kiện: G + T > 1,5 tỷ VND.
3	Nhóm I.3: - Chuyển tiền giữa các tài khoản thanh toán, thẻ, ví điện tử của các chủ tài khoản, chủ thẻ, chủ ví điện tử khác nhau. - Chuyển tiền giữa các tài khoản, thẻ, ví điện tử mở tại các tổ chức cung ứng dịch vụ thanh toán, tổ chức phát hành thẻ, tổ chức cung ứng dịch vụ trung gian thanh toán khác nhau. - Nạp tiền vào Ví điện tử¹. - Rút tiền ra khỏi Ví điện tử.	Giao dịch nạp, rút tiền giữa Ví điện tử và tài khoản đồng Việt Nam của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth ≤ 20 triệu VND.	Giao dịch (ngoại trừ giao dịch nạp, rút tiền giữa Ví điện tử và tài khoản đồng Việt Nam của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật) thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth ≤ 20 triệu VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VNĐ. (ii) G + T_ksth > 20 triệu VND. (iii) G + T ≤ 1,5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T ≤ 1,5 tỷ VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth > 20 triệu VND. (iii) G + T > 1,5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T > 1,5 tỷ VND. 3. Trường hợp 3: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND.
4	Nhóm I.4: Chuyển tiền liên ngân hàng ra nước ngoài².			Giao dịch thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T ≤ 1 tỷ VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T > 1 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 200 triệu VND.
II	Khách hàng tổ chức³
1	Nhóm II.1: Chuyển tiền giữa các tài khoản thanh toán hoặc Ví điện tử của cùng một khách hàng trong một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán.		Tất cả các giao dịch.
2	Nhóm II.2: - Chuyển tiền giữa các tài khoản thanh toán, ví điện tử của các chủ tài khoản, chủ ví điện tử khác nhau. - Chuyển tiền giữa các tài khoản, ví điện tử mở tại các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán khác nhau. - Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. - Nạp tiền vào Ví điện tử¹. - Rút tiền ra khỏi Ví điện tử.			Giao dịch thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T ≤ 10 tỷ VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T > 10 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 1 tỷ VND.
3	Nhóm II.3: Chuyển tiền liên ngân hàng ra nước ngoài².			Giao dịch thỏa mãn các điều kiện: (i) G ≤ 500 triệu VND. (ii) G + T ≤ 5 tỷ VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 500 triệu VNĐ. (ii) G + T > 5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 500 triệu VNĐ.

Ghi chú:

G: Giá trị của giao dịch.

T_ksth: Tổng giá trị các giao dịch loại A và loại B của từng nhóm loại hình giao dịch đã thực hiện của một tài khoản thanh toán hoặc một thẻ (bao gồm cả giao dịch nạp tiền vào ví điện tử) hoặc một ví điện tử (không bao gồm giao dịch nạp tiền vào ví điện tử) của khách hàng tại một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán, không bao gồm các giao dịch chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động thanh toán từ thẻ. T_ksth được tính giá trị bằng 0 tại thời điểm đầu ngày hoặc ngay sau khi khách hàng có phát sinh giao dịch trong ngày sử dụng hình thức xác nhận cho giao dịch loại C hoặc loại D.

T: Tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày (của một tài khoản thanh toán hoặc một thẻ (bao gồm cả giao dịch nạp tiền vào ví điện tử) hoặc một ví điện tử (không bao gồm giao dịch nạp tiền vào ví điện tử) của khách hàng tại một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán), không bao gồm các giao dịch chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động thanh toán từ thẻ.

(1) Đối với giao dịch nạp tiền vào Ví điện tử từ tài khoản đồng Việt Nam của chủ ví điện tử tại ngân hàng liên kết, việc phân loại giao dịch căn cứ theo tài khoản thanh toán liên kết với Ví điện tử.

(2) Hạn mức quy đổi theo tỷ giá tại thời điểm thực hiện giao dịch.

(3) Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc phân loại giao dịch tương tự khách hàng cá nhân.

PHỤ LỤC 02

XÁC NHẬN GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(ban hành kèm theo Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của Thống đốc Ngân hàng Nhà nước)

STT	Giao dịch	Hình thức xác nhận giao dịch thanh toán trực tuyến tối thiểu
STT	Giao dịch	Khách hàng cá nhân	Khách hàng tổ chức
1	Giao dịch loại A	- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).	- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).
2	Giao dịch loại B	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc Soft OTP/ Token OTP loại cơ bản hoặc nâng cao; - Hoặc hai kênh; - Hoặc khớp đúng thông tin sinh trắc học thiết bị¹; - Hoặc FIDO; - Hoặc chữ ký điện tử; - Hoặc chữ ký điện tử an toàn.	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc khớp đúng thông tin sinh trắc học thiết bị của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có).
3	Giao dịch loại C	- OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP loại cơ bản hoặc chữ ký điện tử, - Và kết hợp khớp đúng thông tin sinh trắc học.	- Soft OTP/Token OTP loại cơ bản; - Hoặc hai kênh; - Hoặc chữ ký điện tử.
4	Giao dịch loại D	- Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn, - Và kết hợp khớp đúng thông tin sinh trắc học.	- Soft OTP/Token OTP loại nâng cao; - Hoặc FIDO; - Hoặc chữ ký điện tử an toàn.

Ghi chú:

- Các hình thức xác nhận quy định chi tiết tại Điều 11 Thông tư này.

- Hình thức xác nhận giao dịch loại D có thể xác nhận giao dịch loại A, B, C.

- Hình thức xác nhận giao dịch loại C có thể xác nhận giao dịch loại A, B.

- Hình thức xác nhận giao dịch loại B có thể xác nhận giao dịch loại A.

- Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, áp dụng hình thức xác nhận giao dịch tương tự khách hàng cá nhân. Trong đó, đối với hình thức khớp đúng thông tin sinh trắc học và hình thức khớp đúng thông tin sinh trắc học thiết bị, thông tin sinh trắc học sử dụng để đối chiếu, so sánh là của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có).

(1) Trường hợp khách hàng đã đăng nhập ứng dụng Online Banking bằng khớp đúng thông tin sinh trắc học thiết bị, không áp dụng biện pháp xác nhận này khi thực hiện giao dịch trong phiên đăng nhập đó.

PHỤ LỤC 03

PHÂN LOẠI GIAO DỊCH THANH TOÁN THẺ TRỰC TUYẾN
(ban hành kèm theo Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của Thống đốc Ngân hàng Nhà nước)

STT

Loại hình giao dịch

Giao dịch loại E

Giao dịch loại F

Giao dịch loại G

Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán cung cấp hoặc tại các đơn vị chấp nhận thẻ do các tổ chức cung ứng dịch vụ thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý.

Giao dịch thỏa mãn điều kiện:

G + T ≤ 5 triệu VND.

Giao dịch thỏa mãn các điều kiện:

(i) G + T > 5 triệu VND.

(ii) G + T ≤ 100 triệu VND.

Giao dịch thỏa mãn các điều kiện:

G + T > 100 triệu VND.

Ghi chú:

G: Giá trị của giao dịch.

T: Tổng giá trị các giao dịch đã thực hiện trong ngày của thẻ đang giao dịch của khách hàng tại một tổ chức phát hành thẻ, không bao gồm các giao dịch do tổ chức phát hành thẻ chủ động thanh toán từ thẻ theo thỏa thuận với khách hàng.

PHỤ LỤC 04

XÁC NHẬN GIAO DỊCH THANH TOÁN THẺ TRỰC TUYẾN
(ban hành kèm theo Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của Thống đốc Ngân hàng Nhà nước)

STT	Giao dịch	Hình thức xác nhận giao dịch thanh toán thẻ trực tuyến tối thiểu
1	Giao dịch loại E	Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).
2	Giao dịch loại F	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc Soft OTP/ Token OTP loại cơ bản; - Hoặc khớp đúng thông tin sinh trắc học thiết bị; - Hoặc hai kênh.
3	Giao dịch loại G	- Soft OTP/Token OTP loại nâng cao; - Hoặc FIDO; - Hoặc chữ ký điện tử/ chữ ký điện tử an toàn; - Hoặc EMV 3DS.

Ghi chú:

- Các hình thức xác nhận quy định chi tiết tại Điều 11 Thông tư này.

- Hình thức xác nhận giao dịch loại G có thể xác nhận giao dịch loại E, F.

- Hình thức xác nhận giao dịch loại F có thể xác nhận giao dịch loại E.

THE STATE BANK OF VIETNAM -------	THE SOCIALIST REPUBLIC OF VIETNAM Independence - Freedom - Happiness ---------------
No. 50/2024/TT-NHNN	Hanoi, October 31, 2024

CIRCULAR

PROVIDING FOR SECURITY AND CONFIDENTIALITY DURING PROVISION OF ONLINE BANKING SERVICES

Pursuant to the Law on the State Bank of Vietnam dated June 16, 2010;

Pursuant to the Law on Cyberinformation Security dated November 19, 2015;

Pursuant to the Law on Cybersecurity dated June 12, 2018;

Pursuant to the Law on E-Transactions dated June 22, 2023;

Pursuant to the Law on Credit Institutions dated January 18, 2024;

Pursuant to the Government’s Decree No. 102/2022/ND-CP dated December 12, 2022 defining the functions, tasks, powers and organizational structure of the State Bank of Vietnam;

...

Please sign up or sign in to your Pro Membership to see English documents.

The Governor of the State Bank of Vietnam hereby promulgates a Circular providing for security and confidentiality during provision of online banking services.

Chapter I

GENERAL PROVISIONS

Article 1. Scope and regulated entities

1. Scope

This Circular provides for requirements for ensuring security and confidentiality during provision of online banking services, including:

a) Banking activities and other business activities of credit institutions and foreign bank branches;

b) Provision of intermediary payment services;

c) Credit information activities.

...

Please sign up or sign in to your Pro Membership to see English documents.

This Circular applies to credit institutions, foreign bank branches and intermediary payment service providers and credit information companies (below collectively referred to as “units”).

Article 2. Definitions and terms

For the purposes of this Circular, the terms below shall be construed as follows:

1. “online services in the banking sector” (hereinafter referred to as “online banking services”) include the services specified in clause 1 Article 1 of this Circular provided online by units to clients to conduct electronic transactions (hereinafter referred to as “transactions”), excluding direct transactions at units accepting payment via point-of-sale terminals or via Quick Response Code (QR Code) displayed by clients.

2. “online banking system” means a structured combination of hardware, software, databases, communication and network system, and security and confidentiality system used to produce, transmit, collect, process, store and exchange digital information serving the management and provision of online banking services, which is established, administered and operated by a unit or a hired third party.

3. “online banking application software” means application software providing online banking services.

4. “mobile banking application software” means online banking application software installed on mobile devices.

5. “online payment transaction” means a transaction conducted by electronic means via online banking system.

6. “client” may be an organization or individual using online banking services.

...

Please sign up or sign in to your Pro Membership to see English documents.

8. “electronic transaction authentication” (hereinafter referred to as “transaction authentication”) means a form of authentication by electronic means to express the client’s acceptance of data messages in an electronic transaction.

9. “end-to-end encryption” means a mechanism by which information is securely encrypted at the original point before being sent and is decrypted only after being received at the destination point in the process of information exchange between applications or devices in a system in order to limit the risk of information exposure or leakage on transmission lines.

10. “database management system” means software designed for management, storage, retrieval and execution of queries on data within a database.

Article 3. General principles of ensuring security and confidentiality of the information system during provision of online banking services

1. Online banking systems must comply with regulations on ensuring information system security at level 3 or higher in accordance with regulations of law on assurance of information system security by levels; for information systems providing switching services and electronic clearing services, they must comply with regulations on assurance of information system security at level 4 or higher; comply with TCVN 11930:2017 (Information technology - Security techniques - Basic requirements for securing information according to security levels) and regulations of the State Bank of Vietnam (hereinafter referred to as “SBV”) on information system security in banking operations.

2. Confidentiality and integrity of client information must be ensured; availability of the online banking system must be ensured to provide services in an uninterrupted manner.

3. Client's transactions must be classified and assessed in terms of their minimum risk level by groups of clients, their behaviors, transaction type, transaction limit (if any) and compliance with relevant laws. On that basis, the unit shall provide appropriate forms of transaction authentication to the clients for their choice by way of complying with at least the following regulations:

a) Applying at least one of the authentication forms specified in clauses 3 through 9 Article 11 of this Circular upon changing the client's identification information;

b) Applying at least one or combination of transaction authentication forms according to this Circular. In case a legislative document providing guidance on the services specified in clause 1 Article 1 of this Circular stipulates the form of transaction authentication, such legislative document shall be complied with;

...

Please sign up or sign in to your Pro Membership to see English documents.

4. The online banking system must have its security and confidentially inspected and assessed on an annual basis.

5. Risks, possibility of occurrence and causes of risks must be regularly identified to promptly adopt measures to prevent, control and manage risks during provision of online banking services.

6. Information technology (IT) infrastructure and equipment for provision of online banking services must be protected by copyright and of clear origin. For equipment which is about to reach the end of its life cycle and is no longer supported by manufacturers, the unit shall plan to upgrade or replace it as notified by the manufacturers, ensuring that equipment is able to be come with a new software version. Pending the upgradation or replacement, the unit must take measures to enhance the security and confidentiality of the online banking system.

7. Regarding systems providing electronic payment gateway services, payments- and collections-on-behalf-of services, the regulations set out in clauses 7, 9 and 10 Article 7 and Section 2 Chapter II of this Circular are not required to be complied with.

8. Every online banking systems may operate and provide services to clients only when its security and confidentiality are ensured in accordance with this Circular and relevant regulations of law.

Chapter II

SPECIFIC PROVISIONS

Section 1. TECHNICAL INFRASTRUCTURE OF THE ONLINE BANKING SYSTEM

Article 4. Network, communication, security and confidentiality systems

...

Please sign up or sign in to your Pro Membership to see English documents.

1. Security and confidentiality solutions should be in place, containing at least:

a) Application firewall or equivalent protection solutions;

b) Database firewall or equivalent protection solutions;

c) Solutions for prevention against denial-of-service attacks (DoS), distributed denial of service attack (DDoS) for systems directly providing services on the Internet;

d) Information security event management and analysis system.

2. Client information (client identification information, clients’ transaction information) must not be stored in the Internet connection zone and demilitarized zone (DMZ).

3. Policies should be in place to minimize services and gateways connected to the online banking system.

4. Any inbound connection to the online banking system for administration is permitted only when it is impossible to establish connection from the internal network and ensure safety and the following regulations shall be complied with:

a) The connection is approved by a competent authority after considering its purpose and method;

...

Please sign up or sign in to your Pro Membership to see English documents.

c) Connecting devices must come with software that ensures security and confidentiality;

d) At least two of the authentication forms specified in clauses 1, 3, 4, 7, 8 and 9 Article 11 of this Circular are applied when logging in the system;

dd) Securely encrypted communication protocols must be used and passwords must be not saved in utility software.

5. The high availability and uninterrupted service provision of network connection lines for service provision must be ensured.

Article 5. Server system and system software

1. Requirements for a server:

a) Its monthly average usage, including a central processing unit (CPU), internal memory (RAM), data storage devices, devices for retrieving data upon data storage or transmission, is up to 80% of its design capacity;

b) The online banking system must have a backup server that ensures high availability;

c) It is logically or physically separated from other servers serving professional operations;

...

Please sign up or sign in to your Pro Membership to see English documents.

2. Each unit shall make a list of software permitted to be installed in servers, and ensure that such list is updated and inspected at least once every 06 months and strictly complied with.

Article 6. Database management system

1. The database management system must have security and access management mechanism in order to protect the data therein.

2. The online banking system must have a backup database for disaster discovery which is able to replace the main database and ensure the completeness and integrity of clients’ transaction data.

3. The database management system must be checked and hardened, and patches must be updated regularly.

4. Units must take measures to supervise and log access to the database and manipulations upon access to the database.

Article 7. Online banking application software

1. Security and confidentiality requirements must be determined before developing software, and satisfied in the process of development (analysis, design, development, testing), official operation and maintenance of the software. Documents on software security and confidentiality must be systemized, stored and synchronously updated upon changes to the system, and strictly controlled through limited access.

2. Every unit shall control software source codes in accordance with at least the following requirements:

...

Please sign up or sign in to your Pro Membership to see English documents.

(i) On a periodic basis or when there is any change in the application software, the unit must check source codes to remove malicious codes and security vulnerabilities. The personnel performing the check must be independent of the personnel developing the software source codes;

(ii) Appoint specific individuals responsible for managing source codes of online banking application software;

(iii) Source codes must be kept safely in at least two geographically separate locations, and measures must be in place to protect their integrity.

b) For outsourced software source codes:

(i) The unit must request the supplier to sign a commitment that the software source code is legitimate and genuine; commit to implementing agreements on editing the source code upon software warranty and maintenance;

(ii) In case of source code handover, before the handover, the unit shall request the supplier to check, handle and fix security vulnerabilities in the source code. After the source code is handed over, the unit shall comply with the provisions set forth under point a of this clause;

(iii) In case the unit is not handed the source code, when signing the handover record, it must request the supplier to scan and remove malicious codes and sign a commitment that the application software does not contain malicious codes.

3. Online banking application software must be inspected and tested before official operation, satisfying at least the following requirements:

a) Prepare and approve plans and scenarios for testing online banking application software, explicitly stating safety and confidentiality conditions to be satisfied;

...

Please sign up or sign in to your Pro Membership to see English documents.

c) Assess and scan to detect technical vulnerabilities and weaknesses. Assess the capacity for prevention of attacks, including but not limited to Injection (SQL, Xpath, LDAP), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Server-Side Request Forgery (SSRS), Brute-Force, and such confidentiality-related errors as access control errors; identification and authentication errors; encryption errors; design errors, insecure configurations; logging and security monitoring errors;

d) Record errors and process of fixing errors, especially security and confidentiality-related errors, in the software inspection and testing reports;

dd) Inspect and test security and confidentiality features on popular browsers (for online banking application software provided via website platform) and operating system software of mobile devices (for Mobile Banking application software); provide mechanisms for checking and immediate notification to clients when running applications on browsers or mobile device’s operating system software versions which have undergone safety inspection and testing.

4. Before deploying new online banking application software, a unit shall assess the risks of the deployment process to related professional operations and IT systems, and prepare and implement plans to minimize these risks.

5. Each unit shall manage changes of online banking application software versions according to following requirements:

a) Documents on the analysis of the impacts of the change of application software on the existing system and other related systems of the unit must be formulated and approved by the competent authority before implementation;

b) Software versions, including also source codes developed by the unit itself or handed over by the supplier, must be managed in a centralized manner, stored and kept confidential and a mechanism must be in place to grant privilege to each member and record logs during manipulation of files;

c) Information on versions (update time, persons updating such versions, instructions for updating and other relevant information on such versions) must be stored;

d) The upgradation of versions must rely on testing results and be approved by competent authorities.

...

Please sign up or sign in to your Pro Membership to see English documents.

a) Applying end-to-end encryption to all data transmitted online or data exchanged between online banking application software and related equipment;

b) Ensuring the integrity of transaction data; promptly detecting, warning, and preventing all unauthorized modifications, or adopting appropriate measures to handle such unauthorized modifications to ensure the accuracy of transaction data in the process of transaction processing and data storage;

c) Controlling transaction sessions: The system must automatically apply session timeout in a case where a user has been inactive for a certain period of time prescribed by the unit or apply other protective measures;

d) Having the function of hiding passwords or PINs used to log in the system;

dd) Having the function of disabling automatic login;

e) Where the e-transaction account prescribed in clause 1 Article 9 of this Circular uses a PIN or password as a form of authentication, the online banking application software must have functions to control the PIN and password;

(i) Requesting the client to change the PIN or password in case the client is granted a default PIN or password for the first time;

(ii) Notifying the client when the PIN or password is about to expire;

(iii) Invalidating the PIN or password when it expires; requesting the client to change the expired PIN or password when the client uses the PIN or password to log in;

...

Please sign up or sign in to your Pro Membership to see English documents.

(v) The unit shall only regrant the PIN or password at the client’s request and must verify and identify the client before the regrant to prevent fraud and forgery.

g) With regard to a client being an organization, the application software shall be designed in a manner to ensure that every online payment transaction is conducted in two steps as follows: creation and approval of the transaction. For a client being a business household or micro-enterprise applying a simple accounting regime, the transaction is not required to be conducted by separating the two aforesaid steps;

h) Having the function of notifying the first login to the online banking application software or the login to the online banking application software on a device different from the one last used to log in the online banking application software via SMS or other channels registered by the client (phone, email, etc.), except where an institutional client: logs in on devices that have been used for registration for use of services; or logs in using at least one of the authentication forms specified in clauses 3, 4, 5, 7, 8, and 9 Article 11 of this Circular.

7. Online banking application software must have the function of online storage of information about the devices that perform clients’ transactions, transaction logs, transaction authentication logs for at least 03 months and backup for at least 01 year, including:

a) Device identification information:

(i) For mobile devices: unique identifiers (e.g., IMEI or Serial number or WLAN MAC or Android ID or other identification information);

(ii) For computers: unique identifiers (such as the MAC address or a combination of computer-related information that can uniquely identify a computer).

b) Transaction logs, including at least transaction code, client name, transaction initiation time, transaction type, transaction value (if any);

c) Transaction authentication logs, including at least transaction authentication form and transaction authentication time. In case of biometric authentication, the unit shall store the client's biometric information when performing the transaction for at least the 10 most recent transactions of that client.

...

Please sign up or sign in to your Pro Membership to see English documents.

a) The unit shall only provide online banking services by STP method for institutional clients. The unit is shall select, appraise, supervise, manage and reach an agreement with the clients when providing online banking services by STP method;

b) Online banking application software must have the function of authenticating the connection with the institutional client’s software to prevent fraud and forgery;

c) The application of the regulations in points c, dd, e, g, and h clause 6 and point a clause 7 of this Article is optional.

9. Card issuers providing online payment services using bank cards must have online banking application software which has at least the following features:

a) Permitting or not permitting online payment;

b) Setting limits on daily online payment using bank cards;

c) Permitting or not permitting overseas payments at point-of-sale terminals and automated teller machines;

d) Permitting clients to register to choose between proactively confirming or agreeing to let the card issuer confirm all or part of online payment transactions using bank cards (online card payment transactions) in case of applying the authentication form as prescribed in clause 10 Article 11 of this Circular.

10. Online banking application software must have the function of notifying clients of transactions occurring via SMS or email or mobile banking application software or other communication channels registered by clients.

...

Please sign up or sign in to your Pro Membership to see English documents.

Mobile banking application software provided by each unit must comply with Article 7 of this Circular and the following requirements:

1. The software must be registered and managed on the official application store of the mobile operating system provider and explicit installation instructions must be available on the unit's website so as for clients to download and install the mobile banking application software. In case the mobile banking application software is not registered and managed on the official application store of the mobile operating system provider for objective reasons, the unit must adopt a method of providing instructions for, notifying, supporting the installation of the mobile banking application software to ensure security and confidentiality for clients and report to SBV (the Information Technology Department) before providing the service.

2. Protective measures must be taken to minimize the reverse engineering of the source code.

3. Measures shall be in place to prevent interference in the data exchange flow on the mobile banking application and between the mobile banking application and the server providing online banking services.

4. Solutions must be adopted to prevent, combat and detect unauthorized interference in the mobile banking application installed on clients’ mobile devices.

5. The password-saving feature is not permitted.

6. For individual clients, there must be a function of verifying a client when they first log in or when they log in on a device different from the one last used to log in the online banking application software. The client verification includes at least the following:

a) The match with SMS OTP or Voice OTP via the client's registered phone number or Soft OTP/Token OTP;

b) The match with biometric information as prescribed in clause 5 Article 11 of this Circular in case the specialized legal document related to the service provided on the mobile banking application software stipulates the collection and storage of clients' biometric information.

...

Please sign up or sign in to your Pro Membership to see English documents.

Article 9. Access to online banking application software

1. Every registered user of online banking application software must be identified by the unit and granted an e-transaction account. The e-transaction account comprises username and at least one of the forms of authentication specified in clauses 1 to 9 of Article 11 of this Circular.

2. Each client shall access online banking application software by using their e-transaction account issued by the unit or using Single Sign-On method through the e-transaction account of another information system that has been integrated by the unit registered by the client.

Article 10. Transaction authentication

1. For online payment transactions:

a) For payment transactions using checking accounts or e-wallets or money transfers from debit cards or identified prepaid cards, the unit shall classify transactions by their type specified in the Appendix 01 to this Circular and apply the authentication form specified in the Appendix 02 to this Circular, except for the regulations set out under points b, c, d and dd of this clause;

b) For payment transactions conducting using STP method, the unit shall confirm the transactions using at least one of the authentication forms specified in clauses 7, 8, and 9 Article 11 of this Circular;

c) For online card payment transactions (excluding money transfer transactions), the unit shall classify transactions according to the transaction type groups specified in Appendix 03 to this Circular and apply the authentication forms specified in the Appendix 04 to this Circular;

d) For transactions in which the unit automatically debits checking accounts, automatically debits e-wallets or automatically makes payments from the clients’ cards as agreed upon with clients, the transaction authentication specified in points a and c clause 1 of this Article is not required;

...

Please sign up or sign in to your Pro Membership to see English documents.

2. For services registered for automatic payments from checking accounts, e-wallets and cards of clients, the unit must apply at least one of the authentication forms specified in clauses 3 to 9 Article 11 of this Circular.

3. For other transactions, in addition to the transactions specified in clauses 1 and 2 of this Article, the unit shall, by way of risk assessment and compliance with relevant laws, select an appropriate form of authentication prescribed in Article 11 of this Circular to provide it to registered users and shall be responsible for its selection.

4. Where a client is a person with disability, the unit shall, based on its conditions and supply capacity, provide appropriate forms of authentication and instruct them in their selection. It is not required to apply the regulations in clauses 1, 2, and 3 of this Article but is required to ensure that the check is carried out and the client's consent is confirmed when conducting any transaction in accordance with the law on e-transactions and this Circular.

Article 11. Authentication forms

1. Password-based authentication: A client uses a password which is a string of characters used to confirm their access to an information system, application or service or to confirm their transactions. The authentication by password must meet the following requirements:

a) A password must have at least 08 characters and contain at least the following: numbers, uppercase letters, lowercase letters;

b) The maximum validity period of the password is 12 months. For the default password, the maximum validity period is 30 days.

2. PIN (Personal Identification Number) authentication: It refers to a form of authentication based on a password which is created from a string of digits. PIN authentication (except for PINs attached to physical cards) must meet the following requirements:

a) A PIN must be at least 06 characters long;

...

Please sign up or sign in to your Pro Membership to see English documents.

3. One Time Password (OTP) authentication: It is a form of authentication based on a password which can only be used once and is valid for a certain period of time, including the following forms:

a) SMS OTP is a form of authentication based on an OTP sent via short message services (SMS) or messages via basic telecommunications services on the Internet. An SMS OTP must meet the following requirements:

(i) The OTP sent to a client must be attached with a notification so as for them to understand its purposes;

(ii) The OTP must be valid for up to 05 minutes.

b) Voice OTP is a form of authentication based on an OTP sent via a voice call or call via basic telecommunications services on the Internet. Voice OTP must meet the following requirements:

(i) The OTP sent to a client must be attached with a notification so as for them to understand its purposes;

(ii) The OTP must be valid for up to 03 minutes.

c) Email OTP is a form of authentication based on an OTP sent via email. An email OTP must meet the following requirements:

(i) The OTP sent to a client must be attached with a notification so as for them to understand its purposes;

...

Please sign up or sign in to your Pro Membership to see English documents.

d) OTP matrix card is a form of OTP authentication determined from a 2-dimensional table (rows, columns) in which every row or column corresponds to an OTP. An OTP matrix card must meet the following requirements:

(i) The OTP matrix card must be valid for up to 01 year from the date of registration;

(ii) The OTP must be valid for up to 02 minutes.

dd) Soft OTP is a form of authentication based on an OTP generated by software installed on the client's mobile device. Soft OTP software may be standalone software or integrated with mobile banking application software.

Soft OTP is classified into 02 types: (i) Basic Soft OTP: The OTP is randomly generated over time and synchronized with the online banking system; (ii) Advanced Soft OTP: The OTP is generated in combination with the code of each transaction. Upon conducting a transaction, the online banking system generates a transaction code to notify the client or transmit it to the Soft OTP software. The client or the Soft OTP software automatically enters the transaction code in the Soft OTP software in order for the latter to generate an OTP.

A Soft OTP must meet the following requirements:

(i) In case the Soft OTP software is independent from the mobile banking application software, it must be registered and managed by the unit on the official application store of the mobile operating system provider and explicit installation instructions must be available on the unit's website so as for clients to download and install the Soft OTP software;

(ii) The Soft OTP software must require activation before use. The Soft OTP activation code shall be provided by the unit to clients and can only be used for activation on a single mobile device. The activation code must have an expiration date;

(iii) The Soft OTP software must have an access control function. If the Soft OTP attempt limit (but not more than 10 attempts) is exceeded, access to the Soft OTP software will be automatically blocked. The unit shall unlock the Soft OTP software only when the client so requests and identify the client before unlocking in order to prevent fraud and forgery.

...

Please sign up or sign in to your Pro Membership to see English documents.

(v) The OTP must be valid for up to 02 minutes.

e) OTP Token is a form of authentication based on an OTP generated by a specialized device. OTP Token is classified into 02 types: (i) Basic OTP Token: The OTP is randomly generated over time and synchronized with the online banking system; (ii) Advanced OTP Token: The OTP is generated in combination with the code of each transaction. When performing a transaction, the online banking system generates a transaction code to notify the client, the client enters the transaction code in the OTP Token so that the device can generate an OTP. The OTP Token must be valid for up to 02 minutes.

4. Two-channel authentication: It refers to an authentication form whereby a client conducts a transaction, the online banking system sends a request for transaction authentication to the client's mobile device via a voice call or call via basic telecommunications service on the Internet or via USSD (Unstructured Supplementary Service Data) message code or via specialized software and the client shall respond directly through the connected channel to confirm whether the transaction is conducted. The authentication request required by this form must be valid for up to 05 minutes.

5. Biometric authentication: It is the process of making comparison to ensure that the biometric information of the client conducting a transaction matches their biometric information collected and stored at the unit as per the regulations imposed by SBV's Governor. Biometric authentication must meet the following minimum requirements:

a) In case of applying the face matching method:

(i) Its accuracy shall be determined according to international standards (or equivalent) as follows: The false reject rate and false accept rate shall meet the requirement of < 5% and < 0.01% respectively according to the FIDO Biometric Requirements (applicable to a set of at least 10,000 samples);

(ii) It has the ability to detect biometric spoofing attacks of live objects (Presentation Attack Detection - PAD) according to international standards (such as NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management or ISO 30107 - Biometric presentation attack detection or FIDO Biometric Requirements) to prevent fraud and spoofing through images, videos and 3D masks.

b) In case of applying other methods of biometric information matching, it is required to ensure prevention of spoofing and fraud according to equivalent standards;

c) The Presentation Attack Detection - PAD prescribed in point a of this clause which is deployed by the unit itself or provided by a third party must be certified by a biometric organization/laboratory accredited by the FIDO Alliance;

...

Please sign up or sign in to your Pro Membership to see English documents.

dd) The time limit for biometric authentication is up to 03 minutes.

6. Device-based biometric authentication: It refers to the process of making comparison to ensure that the biometric information of the client conducting a transaction matches the biometric information of the client stored on their mobile device. Device-based biometric authentication must meet the following minimum requirements:

a) Activation is permitted only after the client’s consent has been obtained and the client has conducted at least one successful transaction by applying another form of authentication;

b) The time limit for biometric authentication is up to 02 minutes.

7. FIDO (Fast IDentity Online) authentication is a form of authentication according to the standard for transaction authentication using asymmetric key algorithms (including private keys used to generate digital signatures, and public keys used to validate digital signatures) issued by the FIDO Alliance. FIDO authentication must meet the following requirements:

a) The private key is securely stored on the client's device. The client uses PIN authentication or biometric authentication on their device to access and use the private key when conducting transactions;

b) The public key is securely stored at the unit and linked to the client's e-transaction account;

c) The solution deployed by the unit itself or provided by a third party must be certified by an organization accredited by the FIDO Alliance.

8. E-signature authentication: It is specified under regulations of law on e-signatures (excluding secure e-signatures specified in clause 9 of this Article).

...

Please sign up or sign in to your Pro Membership to see English documents.

10. Authentication form based on risk assessment for online card payment transactions according to EMV 3-D Secure (hereinafter referred to as “EMV 3DS authentication”). The EMV 3-D authentication must meet the requirement: Card issuers, acquirers and merchants must implement the EMV 3-D Secure.

11. Authentication through operations showing the client's authentication of a data message when performing a transaction such as clicking accept, approve, send or similar operations on the online banking application software. Such authentication form must meet the following requirements:

a) Authentication operations must be logged so as to retrieve information related to these authentication operations;

b) Clients must be organizations that have logged in the online banking application software using the authentication forms as prescribed in this Article, except for clauses 1, 2, 6, and 10.

Section 3. OPERATION MANAGEMENT

Article 12. Management of personnel in charge of administration and operation of online banking systems

1. Each unit shall assign personnel to supervise and monitor operations of its online banking system, detect and handle technical incidents and cyberattacks.

2. Each unit shall assign personnel to receive information and support clients, and promptly contacting clients upon detection of unusual transactions.

3. The personnel in charge of administration, supervision and operation of the online banking system shall participate in annual training courses to update knowledge about security and confidentiality.

...

Please sign up or sign in to your Pro Membership to see English documents.

Article 13. Management of operations of the operating environment of online banking systems

1. Any unit is not permitted to install or store application development software and source codes in the operating environment.

2. The administration, supervision and operation must meet the following requirements:

a) Personnel in charge of administration, supervision and operation shall only be permitted to install allowed software on their computers and must install anti-malware software; these computers must frequently update malware identification patterns and not permit the automatic disabling of anti-malware software;

b) System administration, supervision and operation connections must be established through intermediate servers or secure and controlled centralized administration systems and must not be established directly from the computers of the personnel in charge of administration, supervision and operation;

c) An account with administrator privilege shall be granted for a limited period of time that is just enough to finish the task and revoked immediately at the end of the working session;

d) It is required to take measures to monitor the use of accounts with administrator, supervisor and operator privilege and provide warnings when there is any unusual impact on the database or applications.

3. Every unit shall tailor a policy for computers used for administration, supervision and operation of its online banking system; these computers may only be connected to the online banking system or other information systems of the unit in service of the administration, supervision and operation.

Article 14. Management of technical vulnerabilities and weaknesses

...

Please sign up or sign in to your Pro Membership to see English documents.

1. Taking measures to prevent, combat and discover illegal changes to the online banking application software.

2. Establishing mechanisms to detect, prevent and combat intrusion into or cyberattacks to the online banking system.

3. Cooperating with regulatory bodies and IT partners in promptly obtaining information on incidents and circumstances regarding information security and confidentiality to take appropriate preventative measures.

4. Updating information on published vulnerabilities related to system software, database management system, and application software from the Common Vulnerability Scoring System - version 4 (CVSS, v4.0 or equivalent).

5. Scanning vulnerabilities and weaknesses of the online banking system at least once a year or when receiving information related to new vulnerabilities and weaknesses. For system components directly connected to the Internet, scanning vulnerabilities and weaknesses at least once every 03 months. Assessing the level of impact and risk of each discovered technical vulnerability and weakness of the system and proposing solutions and plans for handling thereof.

6. Updating security patches or prompt preventive measures based on the level of impact and risk:

a) For a vulnerability rated critical: Within 01 day for system components directly connected to the Internet; within 01 month for remaining components after the vulnerability is announced or discovered.

b) For a vulnerability rated high: Within 01 day for system components directly connected to the Internet; within 02 months for remaining components after the vulnerability is announced or discovered.

c) For a vulnerability rated medium or low: Within the time limit decided by the unit.

...

Please sign up or sign in to your Pro Membership to see English documents.

1. Each unit shall establish a system for supervising and monitoring operations of its online banking system. The system for supervising and monitoring operations of the online banking system must fully collect logs of the components of the online banking system to detect and investigate unusual events or cyberattacks.

2. Each unit shall develop criteria and software to warn unusual transactions based on time, geographical location, transaction frequency, transaction money (if any), number of incorrect login attempts exceeding the prescribed limit, and other unusual signs.

Article 16. Assurance of uninterrupted operations

Each unit shall develop a disaster prevention system and processes and scenarios to ensure uninterrupted operations of its online banking system in accordance with SBV’s regulations on security and confidentiality of the information technology system in banking operations. In addition, the unit shall:

1. Analyze and identify circumstances likely to cause information insecurity and disruption of operations of the online banking system. Identify and assess each circumstance with high and medium level of risk and possibility of occurrence at least once every 06 months. Make a list of circumstances with high, medium, acceptable and low level of risk and possibility of occurrence.

2. Prepare plans, including processes and scenarios, for remedying circumstances with high and medium level of risk and possibility of occurrence as prescribed in clause 1 of this Article. Determine the maximum downtime to restore the system and database for a plan to handle each circumstance. Disseminate the plan to relevant personnel so as for them to clearly understand their tasks in each circumstance.

3. Provide human and financial resources and technical equipment to organize drills of plans for handling circumstances with a high level of risk and possibility of occurrence at least once every year.

4. Formulate plans and hold drills to ensure uninterrupted business operations, store related documents and assess drill results.

Section 4. PROTECTION OF CLIENTS’ INTERESTS

...

Please sign up or sign in to your Pro Membership to see English documents.

1. Each unit shall publicize information about online banking services, ensure that clients have access to information before or at the time of registering to use the services, at least including:

a) Method of providing the services, method of accessing the online banking services corresponding to each access equipment;

b) Transaction limit (if any) and transaction authentication forms;

c) Equipment required to use the services, conditions applicable to the equipment used;

d) Risks related to the use of online banking services.

2. Each unit shall inform clients about terms of the agreement on provision and use of online banking services, at least containing:

a) Rights and obligations of clients when using online banking services;

b) Types of client data that the unit collects, purposes of using client data and the unit’s responsibility for ensuring confidentiality of client data in accordance with law, except where the unit and the client have reached another agreement on the protection of client data in accordance with law;

c) Undertaking to maintain uninterrupted operations of the online banking system, at least including one-time service interruption time, total service interruption time in one year, except for force majeure events or cases of system maintenance and upgradation notified by the unit;

...

Please sign up or sign in to your Pro Membership to see English documents.

3. The unit shall not send SMS or emails to clients containing hyperlinks to access websites unless otherwise requested by the client.

Article 18. Instructing clients in use of online banking services

1. Units shall develop processes and manuals for installation and use of software, applications and equipment for conducting online banking transactions, instruct clients in applying such processes and using such manuals.

2. Units shall instruct clients in taking measures to ensure safety and confidentiality when using online banking services, including at least the following:

a) Protecting passwords, PINs and OTPs and not sharing equipment storing such information;

b) Principles of creating and changing passwords and PINs of e-transaction accounts;

c) Not using public computers to access the online banking system or conduct transactions; not using public Wi-Fi when using online banking services;

d) Not saving usernames and passwords, PINs on browsers;

dd) Logging out from online banking application software after use;

...

Please sign up or sign in to your Pro Membership to see English documents.

g) Fully installing security patches for operating systems and mobile banking application software; considering installing anti-malware software and updating the latest malware identification pattern on personal devices used to conduct transactions;

h) Selecting authentication forms with the level of security and confidentiality in accordance with regulations and in a manner that suit clients' need for transaction limits;

i) Issuing warnings of the risks related to the use of online banking services;

k) Not using unlocked mobile devices to download and use online banking application software or OTP generator software;

l) Not installing strange software, unlicensed software or software of unknown origin;

m) Promptly notifying the unit when detecting unusual transactions;

n) Immediately notifying the unit of the loss of or damage to OTP generators, phone numbers receiving SMS, devices storing keys used to generate e-signature; cases of fraudulence or suspicious fraudulence; or attacks or suspicious attacks by hackers.

3. Units must provide clients with information about their focal points for receiving information, hotlines and instructions on the process and methods for cooperation in handling errors and incidents in the course of using online banking services.

4. Units must provide clients with explanation for specific cases in which the units will contact them, methods and means of communication during the clients' use of online banking services.

...

Please sign up or sign in to your Pro Membership to see English documents.

Each unit shall apply measures to ensure security and confidentiality of client data, comprising at least the following:

1. Ensuring security and confidentiality of client data in accordance with law.

2. Storing information used to authenticate client transactions including passwords, PINs, and biometric information by using encryption or concealment measures to ensure confidentiality.

3. Granting access to client data to personnel in charge of accessing such data according to their functions and tasks; and taking measures to monitor each access.

4. Taking measures to manage access to equipment and devices used to store client data to prevent the risk of exposure and leakage of data.

5. Notifying clients of any incident that causes client data exposure or leakage, and promptly reporting it to SBV (the Information Technology Department).

Chapter III

IMPLEMENTATION CLAUSE

Article 20. Reporting regime

...

Please sign up or sign in to your Pro Membership to see English documents.

1. Report on provision of online banking services:

a) Time limit for submitting the report: At least 10 working days before the official provision of online banking services;

b) Details of the report:

(i) Website address or application store;

(ii) The official date of provision;

(iii) Solutions for verifying clients accessing online banking services; forms of transaction authentication applicable to each type of transaction and transaction limit (if any);

(iv) Copies of certificates of security and confidentiality assurance, spoofing and fraud prevention prescribed in clauses 5 and 7 Article 11 of this Circular.

2. Ad hoc report at SBV's request.

Article 21. Responsibilities of units affiliated to SBV

...

Please sign up or sign in to your Pro Membership to see English documents.

2. The Banking Supervision Agency shall inspect and supervise the implementation of this Circular and impose penalties for violations in accordance with law.

3. SBV branches of provinces and cities shall inspect and supervise the implementation of this Circular by local intermediary payment service providers (except for the National Payment Corporation of Vietnam - NAPAS) and impose penalties for violations in accordance with law.

Article 22. Effect

1. This Circular comes into force from January 01, 2025, except for the cases specified in clauses 2, 3 and 4 of this Article.

2. Point b clause 1 of Article 4, point d clause 9 of Article 7 and clause 4 of Article 8 come into force from July 01, 2025.

3. Point b clause 1 of Article 10 comes into force from January 01, 2026.

4. Point c clause 5 of Article 11, point c clause 7 of Article 11 and point b (iv) clause 1 of Article 20 come into force from July 01, 2026.

5. The following documents shall cease to have effective from the effect date of this Circular:

a) Circular No. 35/2016/TT-NHNN dated December 29, 2016 of SBV’s Governor;

...

Please sign up or sign in to your Pro Membership to see English documents.

6. Article 25 of the Circular No. 09/2020/TT-NHNN dated October 21, 2020 of SBV’s Governor is repealed.

Article 23. Transitional clauses

1. For services registered for automatic payments from checking accounts, e-wallets and cards of clients before the effective date of this Circular shall continue to be rendered until the expiry of the signed agreements; in case the agreements do not specify an expiry date, they shall continue to be implemented until December 31, 2026. The amendment and extension of such agreements must comply with clause 2 Article 10 of this Circular.

2. Passwords and PINs that are in use before the effective date of this Circular shall continue to be used until the client changes them or until the end of their validity period. From the effective date of this Circular, any change of passwords and PINs must comply with clauses 1 and 2 Article 11 of this Circular.

Article 24. Organizing implementation

Chief of Office, Director General of Information Technology Department and heads of units affiliated to SBV, Chairpersons of Boards of Directors, Chairpersons of Board of Members, Directors General (Directors) of credit institutions, foreign branch banks, intermediary payment service providers and credit information companies are responsible for the implementation of this Circular./.

...

Please sign up or sign in to your Pro Membership to see English documents.

You are not logged!

So you only see the Attributes of the document.
You do not see the Full-text content, Effect, Related documents, Documents replacement, Gazette documents, Written in English,...

You can register Member here

You are not logged!

So you only see the Attributes of the document.
You do not see the Full-text content, Effect, Related documents, Documents replacement, Gazette documents, Written in English,...

You can register Member here

You are not logged!

So you only see the Attributes of the document.
You do not see the Full-text content, Effect, Related documents, Documents replacement, Gazette documents, Written in English,...

You can register Member here

You are not logged!

So you only see the Attributes of the document.
You do not see the Full-text content, Effect, Related documents, Documents replacement, Gazette documents, Written in English,...

You can register Member here

Circular No. 50/2024/TT-NHNN dated October 31, 2024 on providing for security and confidentiality during provision of online banking services

Official number:	50/2024/TT-NHNN	Legislation Type:	Circular
Organization:	Ngân hàng Nhà nước Việt Nam	Signer:	Pham Tien Dung
Issued Date:	31/10/2024	Effective Date:	Premium
Gazette dated:	Updating	Gazette number:	Updating
		Effect:	Premium

You are not logged!

So you only see the Attributes of the document.
You do not see the Full-text content, Effect, Related documents, Documents replacement, Gazette documents, Written in English,...

You can register Member here

Circular No. 50/2024/TT-NHNN dated October 31, 2024 on providing for security and confidentiality during provision of online banking services

Download document in VN

Download document and table of contents in Vietnamese

Download document in EN

You are not logged!

So you only see the Attributes of the document.
You do not see the Full-text content, Effect, Related documents, Documents replacement, Gazette documents, Written in English,...

You can register Member here

FeedBack For THƯ VIỆN PHÁP LUẬT New
Full Name:
Email:
Tel:
Content:

FullName:
Email:
Phone:
Content: