Tóm tắt nội dung
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về

Thông tư 35/2016/TT-NHNN an toàn bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet

Số hiệu:	35/2016/TT-NHNN	Loại văn bản:	Thông tư
Nơi ban hành:	Ngân hàng Nhà nước	Người ký:	Nguyễn Kim Anh
Ngày ban hành:	29/12/2016	Ngày hiệu lực:	Đã biết
Ngày công báo:	Đã biết	Số công báo:	Đã biết
		Tình trạng:	Đã biết

Thông tư 35/2016/TT-NHNN quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet như hạ tầng kỹ thuật, xác thực các giao dịch trên Internet banking và yêu cầu trong quản lý, vận hành hệ thống Internet banking.

1. Hạ tầng kỹ thuật của hệ thống Internet banking

- Theo Thông tư số 35/2016, hệ thống Internet banking phải đảm bảo các yêu cầu cho hệ thống máy chủ và phần mền hệ thống phải có hiệu năng sử dụng đạt tối đa 80% công suất, tính năng sẵn sàng cao và có sự tách biệt về logic và vật lý với các máy nghiệp vụ khác.

- Bên cạnh đó, Thông tư 35/NHNN yêu cầu đảm bảo an toàn, bảo mật trong quá trình triển khai phần mềm ứng dụng phân tích, thiết kế, kiểm thử, vận hành chính thức và bảo trì. Các điều kiện đối với kiểm soát, kiểm tra, quản lý, thay đổi và nâng cấp phần mềm ứng dụng Internet banking được quy định cụ thể tại Thông tư số 35.

2. Xác thực giao dịch Internet banking

- Thông tư 35/2016 quy định về điều kiện đối với tên đăng nhập và mã khóa bí mật khi khách hàng truy cập vào Internet banking như sau:

+ Tên đăng nhập: Độ dài tối thiểu phải có 6 ký tự, không được sử dụng toàn bộ ký tự trùng nhau hoặc liên tục theo thứ tự trong bảng chữ cái, chữ số;

+ Mã khóa bí mật: Độ dài tối thiểu có 6 ký tự gồm có chữ hoa, chữ thường, ký tự, số và các ký tự đặc biệt. Mã khóa bí mật được duy trì trong thời hạn 12 tháng.

- Ngoài ra, theo Thông tư số 35/TT-NHNN thì trong lần đăng nhập đầu tiên hệ thống bắt buộc khách hàng phải thay đổi mã khóa bí mật. Trường hợp khách hàng nhập mã khóa bí mật sai quá số lần quy định thì hệ thống sẽ khóa tài khoản đăng nhập đó.

3 . Quản lý, vận hành hệ thống Internet banking

- Trong quá trình vận hành hệ thống Internet banking, các đơn vị phải đảm bảo quản lý được về nhân sự, hoạt động của môi trường vận hành, các lỗ hổng hay điểm yếu về kỹ thuật cũng như trong sự cố bảo mật thông tin.

- Thông tư 35 quy định việc xây dựng hệ thống quản trị, giám sát hoạt động của hệ thống Internet banking với một số yêu cầu như:

+ Thiết lập hệ thống giám sát, theo dõi hoạt động của hệ thống Internet Banking.

+ Xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định và các dấu hiệu bất thường khác.

+ Bố trí các phòng điều khiển tách rời để thực hiện việc quản trị, giám sát, theo dõi hoạt động của hệ thống Internet Banking.

Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet có hiệu lực ngày 01/7/2017.

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM --------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 35/2016/TT-NHNN	Hà Nội, ngày 29 tháng 12 năm 2016

THÔNG TƯ

QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT CHO VIỆC CUNG CẤP DỊCH VỤ NGÂN HÀNG TRÊN INTERNET

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật Giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005;

Căn cứ Luật an toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định số 156/2013/NĐ-CP ngày 11 tháng 11 năm 2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ tin học,

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

Chương I

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

2. Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán tại Việt Nam (sau đây gọi chung là đơn vị).

Điều 2. Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Dịch vụ ngân hàng trên Internet (Internet Banking) là các dịch vụ ngân hàng và dịch vụ trung gian thanh toán được các đơn vị cung cấp thông qua mạng Internet.

2. Hệ thống Internet Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Internet Banking.

3. Khách hàng là các tổ chức, cá nhân sử dụng dịch vụ Internet Banking.

4. Mã khóa bí mật dùng một lần (One Time Password - OTP) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch Internet Banking.

5. Xác thực hai yếu tố là phương pháp xác thực yêu cầu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mã khoá bí mật, …) cùng với những gì mà người dùng có (thẻ thông minh, thiết bị token, điện thoại di động …) hoặc những dấu hiệu sinh trắc học của người dùng để xác minh danh tính.

6. Mã hóa điểm đầu đến điểm cuối (end to end encryption) là cơ chế mã hoá thông tin ở điểm đầu trước khi gửi đi và chỉ được giải mã sau khi nhận được tại điểm cuối trong quá trình trao đổi thông tin giữa các ứng dụng, các thiết bị trong hệ thống nhằm hạn chế rủi ro bị lộ, lọt thông tin trên đường truyền.

Điều 3. Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking

1. Hệ thống Internet Banking được xếp hạng là hệ thống công nghệ thông tin quan trọng và tuân thủ theo quy định của Ngân hàng Nhà nước về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng.

2. Đảm bảo bí mật thông tin khách hàng; tính toàn vẹn dữ liệu giao dịch khách hàng và mọi giao dịch tài chính của khách hàng phải được xác thực tối thiểu hai yếu tố.

3. Đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.

4. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.

5. Xác định rủi ro, có biện pháp phòng ngừa, xử lý rủi ro trong cung cấp dịch vụ Internet Banking.

6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng; trường hợp không còn hỗ trợ của nhà sản xuất, không có khả năng nâng cấp để cài đặt phần mềm phiên bản mới đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất.

Chương II

CÁC QUY ĐỊNH CỤ THỂ

Mục 1. HẠ TẦNG KỸ THUẬT CỦA HỆ THỐNG INTERNET BANKING

Điều 4. Hệ thống mạng, truyền thông và an ninh bảo mật

Đơn vị phải thiết lập hệ thống mạng, truyền thông và an ninh bảo mật đạt yêu cầu tối thiểu sau:

1. Hệ thống mạng được chia tách thành các phân vùng, tối thiểu gồm: phân vùng kết nối Internet, phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ), phân vùng người dùng, phân vùng quản trị, phân vùng máy chủ. Các máy tính phục vụ cho việc cung cấp thông tin trên Internet phải được đặt trong phân vùng DMZ. Các máy chủ lưu trữ, xử lý dữ liệu phải được đặt trong phân vùng máy chủ.

2. Trang bị các giải pháp an ninh bảo mật cho hệ thống Internet Banking, tối thiểu gồm: thiết bị tường lửa; phòng chống vi rút; phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ lớp ứng dụng và phòng chống tấn công xâm nhập.

3. Dữ liệu nhạy cảm không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ.

4. Kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua phân vùng DMZ để kiểm soát an ninh, bảo mật.

5. Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Internet Banking.

6. Kiểm tra chính sách an ninh bảo mật; quyền truy cập; các kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào hệ thống mạng tối thiểu ba tháng một lần.

7. Không thiết lập kết nối từ mạng không dây đến môi trường vận hành hệ thống Internet Banking.

8. Hạn chế kết nối từ xa để thực hiện công tác quản trị hệ thống. Trường hợp bắt buộc phải kết nối từ xa vào vùng máy chủ, đơn vị phải sử dụng giao thức truyền thông được mã hóa và không lưu mã khóa bí mật tại các phần mềm tiện ích.

9. Kết nối từ Internet vào hệ thống mạng nội bộ để thực hiện công tác quản trị hệ thống phải được tuân thủ các quy tắc sau:

a) Phải được người có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối;

b) Phải sử dụng giao thức truyền thông được mã hóa;

c) Thiết bị kết nối phải được cài đặt các phần mềm đảm bảo an ninh bảo mật;

d) Phải sử dụng biện pháp xác thực hai yếu tố khi đăng nhập hệ thống.

10. Đường truyền kết nối Internet phải đảm bảo tính sẵn sàng và tối thiểu phải kết nối từ hai nhà cung cấp dịch vụ khác nhau.

11. Trang bị giải pháp đảm bảo an toàn bảo mật giữa các phân vùng mạng: giữa các phân vùng mạng khác nhau phải có thiết bị tường lửa hoặc thiết bị phòng chống xâm nhập.

Điều 5. Hệ thống máy chủ và phần mềm hệ thống

1. Yêu cầu đối với máy chủ

a) Hiệu năng sử dụng trung bình hàng tháng tối đa 80% công suất thiết kế;

b) Có tính năng sẵn sàng cao: Hệ thống Internet Banking phải có máy chủ dự phòng tại chỗ;

c) Tách biệt về lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác.

2. Đơn vị phải lập danh mục các phần mềm được phép cài đặt trên máy chủ. Định kỳ tối thiểu sáu tháng một lần cập nhật, kiểm tra, đảm bảo tuân thủ danh mục này.

Điều 6. Hệ quản trị cơ sở dữ liệu

1. Hệ quản trị cơ sở dữ liệu phải có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu.

2. Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng tại Trung tâm dự phòng thảm họa. Cơ sở dữ liệu dự phòng phải được cập nhật không quá một giờ so với cơ sở dữ liệu chính thức. Cơ sở dữ liệu phải được sao lưu định kỳ hàng ngày. Các bản sao lưu phải được quản lý, cất giữ an toàn.

3. Đơn vị phải có biện pháp giám sát, ghi nhật ký truy cập cơ sở dữ liệu và các thao tác khi truy cập cơ sở dữ liệu.

Điều 7. Phần mềm ứng dụng Internet Banking

1. Các yêu cầu an toàn, bảo mật phải được xác định trước và tổ chức, triển khai trong quá trình phát triển phần mềm ứng dụng: phân tích, thiết kế, kiểm thử, vận hành chính thức và bảo trì. Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa và lưu trữ, sử dụng theo chế độ “Mật”.

2. Đơn vị phải kiểm soát mã nguồn phần mềm với các yêu cầu tối thiểu:

a) Kiểm tra mã nguồn, nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật;

b) Chỉ định cụ thể các cá nhân quản lý mã nguồn của phần mềm ứng dụng Internet Banking;

c) Việc truy cập tới mã nguồn phải được người có thẩm quyền phê duyệt và được theo dõi, ghi nhật ký;

d) Mã nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt;

đ) Trường hợp không được bàn giao mã nguồn, khi ký hợp đồng hoặc nghiệm thu hợp đồng, đơn vị phải yêu cầu bên cung cấp ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng mua ngoài.

3. Đơn vị phải kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking đáp ứng các yêu cầu tối thiểu sau:

a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm phần mềm ứng dụng Internet Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng;

b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào;

c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng chống các kiểu tấn công: Injection (SQL, Xpath, LDAP…), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Brute-Force;

d) Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm;

đ) Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt (ứng dụng web) và phiên bản phần mềm hệ thống của thiết bị di động (ứng dụng mobile); có cơ chế kiểm tra, thông báo cho người dùng chạy ứng dụng trên các trình duyệt, phiên bản phần mềm hệ thống đã được kiểm tra và thử nghiệm an toàn;

e) Việc sử dụng dữ liệu trong quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.

4. Trước khi triển khai phần mềm ứng dụng mới, đơn vị phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

5. Đơn vị thực hiện quản lý, thay đổi và nâng cấp phiên bản phần mềm ứng dụng đáp ứng các yêu cầu sau:

a) Phân tích đánh giá ảnh hưởng của việc thay đổi đối với hệ thống hiện tại và các hệ thống có liên quan khác của đơn vị cho mỗi yêu cầu thay đổi phần mềm ứng dụng;

b) Các phiên bản phần mềm bao gồm cả mã nguồn cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên trong việc thao tác với các tập tin;

c) Thông tin về các phiên bản, thời gian cập nhật, người cập nhật các phiên bản phải được lưu lại;

d) Mỗi phiên bản được nâng cấp phải được kiểm tra thử nghiệm các tính năng an toàn, bảo mật, mức độ rủi ro và tính ổn định trước khi triển khai chính thức;

đ) Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được người có thẩm quyền phê duyệt;

e) Các phiên bản phần mềm ứng dụng sau khi thử nghiệm thành công phải được quản lý chặt chẽ; tránh bị sửa đổi trái phép và sẵn sàng cho việc triển khai;

g) Có các chỉ dẫn rõ ràng về nội dung thay đổi, hướng dẫn cập nhật phần mềm ứng dụng, các thông tin liên quan khác và phải được người có thẩm quyền phê duyệt trước khi triển khai phiên bản mới cho khách hàng.

6. Các tính năng bắt buộc của phần mềm ứng dụng:

a) Toàn bộ dữ liệu khi truyền trên môi trường mạng Internet được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối;

b) Đảm bảo tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi bất hợp pháp phải được phát hiện trong quá trình xử lý giao dịch, lưu trữ dữ liệu;

c) Có cơ chế kiểm soát phiên giao dịch và thời gian truy cập website, ứng dụng. Trường hợp người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định nhưng không quá năm phút, hệ thống tự động ngắt phiên giao dịch hoặc áp dụng các biện pháp bảo vệ khác;

d) Có chức năng che giấu đối với việc hiển thị các mã khóa bí mật dùng để đăng nhập vào hệ thống;

đ) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để đảm bảo việc thực hiện giao dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch và được thực hiện bởi tối thiểu hai người khác nhau.

Điều 8. Phần mềm ứng dụng trên thiết bị di động

Phần mềm ứng dụng Internet Banking trên thiết bị di động do đơn vị cung cấp phải đảm bảo tuân thủ các quy định tại Điều 7 Thông tư này và các yêu cầu sau:

1. Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm ứng dụng Internet Banking trên thiết bị di động.

2. Phần mềm ứng dụng phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược.

3. Phần mềm ứng dụng phải xác thực người dùng khi truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, nhưng không được quá năm lần, phần mềm ứng dụng phải tự động khoá tạm thời không cho khách hàng tiếp tục sử dụng.

Mục 2. XÁC THỰC GIAO DỊCH INTERNET BANKING

Điều 9. Xác thực khách hàng truy cập dịch vụ Internet Banking

1. Khách hàng truy cập sử dụng dịch vụ Internet Banking phải được xác thực tối thiểu bằng tên đăng nhập và mã khóa bí mật đáp ứng các yêu cầu sau:

a) Tên đăng nhập phải có độ dài tối thiểu sáu ký tự; không được sử dụng toàn bộ ký tự trùng nhau hoặc liên tục theo thứ tự trong bảng chữ cái, chữ số;

b) Mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt. Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng.

2. Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp khách hàng nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định, nhưng không được quá năm lần. Chỉ mở khóa tài khoản khi khách hàng yêu cầu mở tại quầy giao dịch.

Điều 10. Yêu cầu đối với các giải pháp xác thực giao dịch

1. Đơn vị phải đánh giá mức độ rủi ro của giao dịch theo từng loại khách hàng, loại giao dịch, hạn mức giao dịch để cung cấp giải pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn. Hạn mức giao dịch không vượt quá hạn mức quy định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ.

2. Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử:

a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;

b) OTP có hiệu lực tối đa không quá 05 phút.

3. Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP:

a) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

b) OTP có hiệu lực tối đa không quá 02 phút.

4. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động:

a) Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm tạo OTP;

b) Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động;

c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng sử dụng tiếp;

d) OTP có hiệu lực tối đa không quá 02 phút.

5. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ thiết bị (OTP token): OTP có hiệu lực tối đa không quá 02 phút.

6. Yêu cầu đối với giải pháp xác thực bằng chữ ký số: Đơn vị phải sử dụng chữ ký số và dịch vụ chứng thực chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số hoạt động theo quy định của pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số.

7. Yêu cầu đối với giải pháp xác thực bằng dấu hiệu nhận dạng sinh trắc học: dấu hiệu nhận dạng sinh trắc học phải là dấu hiệu duy nhất gắn với mỗi khách hàng và không thể giả mạo.

Mục 3. QUẢN LÝ VẬN HÀNH

Điều 11. Quản lý nhân sự quản trị, vận hành hệ thống Internet Banking

1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng.

2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao dịch bất thường.

3. Nhân sự quản trị, giám sát và vận hành hệ thống Internet Banking phải tham gia các khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.

4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Internet Banking phải được theo dõi, giám sát bởi bộ phận độc lập với bộ phận cấp phát tài khoản.

Điều 12. Quản lý hoạt động của môi trường vận hành hệ thống Internet Banking

1. Đơn vị không cài đặt, lưu trữ phần mềm phát triển ứng dụng, mã nguồn trên môi trường vận hành.

2. Các máy tính của nhân sự quản trị, giám sát và vận hành phải được đặt trong phân vùng mạng quản trị, được cài đặt phần mềm phòng chống vi rút và phải thiết lập chính sách tự động khóa màn hình sau một khoảng thời gian không sử dụng do đơn vị quy định, nhưng không quá 05 phút.

3. Đơn vị phải thiết lập chính sách cấm truy cập Internet đối với các máy tính của nhân sự quản trị, giám sát và vận hành.

Điều 13. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật

Đơn vị phải thực hiện quản lý các lỗ hổng, điểm yếu của hệ thống Internet Banking với các nội dung cơ bản sau:

1. Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi của website, ứng dụng Internet Banking.

2. Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Internet Banking.

3. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.

4. Rà soát, kiểm tra việc cập nhật các bản vá lỗi của phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng tối thiểu ba tháng một lần.

5. Đánh giá an ninh bảo mật đối với hệ thống Internet Banking tối thiểu mỗi năm một lần. Tổ chức thực hiện diễn tập tấn công thử nghiệm để kiểm tra, đánh giá mức độ đảm bảo an ninh của hệ thống.

Điều 14. Hệ thống quản trị, giám sát hoạt động của hệ thống Internet Banking

1. Đơn vị phải thiết lập hệ thống giám sát, theo dõi hoạt động của hệ thống Internet Banking.

2. Đơn vị phải xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định và các dấu hiệu bất thường khác.

3. Đơn vị phải bố trí phòng điều khiển tách biệt với khu vực làm việc chung để thực hiện việc quản trị, giám sát, theo dõi hoạt động của hệ thống Internet Banking đáp ứng yêu cầu sau:

a) Nhân sự ra vào phòng điều khiển phải được người có thẩm quyền phê duyệt;

b) Truy cập hệ thống để thực hiện công tác quản trị, vận hành và bảo trì phải được thực hiện thông qua các thiết bị đặt tại phòng điều khiển. Trường hợp cần truy cập từ xa hoặc trực tiếp trên thiết bị phải được người có thẩm quyền phê duyệt;

c) Truy cập từ bên ngoài vào các thiết bị đặt tại phòng điều khiển phải áp dụng các biện pháp xác thực hai yếu tố.

Điều 15. Quản lý sự cố bảo mật thông tin

Đơn vị phải thiết lập biện pháp ghi nhận, theo dõi và xử lý các sự cố an ninh thông tin. Định kỳ ba tháng một lần đơn vị thực hiện đánh giá, tìm nguyên nhân và chủ động thực hiện các biện pháp phòng tránh tái diễn.

Điều 16. Đảm bảo hoạt động liên tục

Đơn vị phải xây dựng hệ thống dự phòng thảm hoạ, quy trình, kịch bản đảm bảo hoạt động liên tục cho hệ thống Internet Banking theo quy định của Ngân hàng Nhà nước về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng. Ngoài ra, đơn vị phải thực hiện:

1. Phân tích, xác định các tình huống có thể gây mất an ninh thông tin và gián đoạn hoạt động của hệ thống Internet Banking. Xác định, đánh giá mức độ rủi ro, khả năng có thể xảy ra đối với từng tình huống tối thiểu sáu tháng một lần. Lập danh sách các tình huống có mức độ rủi ro, khả năng có thể xảy ra theo các cấp độ cao, trung bình, chấp nhận được và thấp.

2. Xây dựng phương án (quy trình, kịch bản) xử lý khắc phục các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao và trung bình theo Khoản 1 Điều này. Xác định thời gian dừng hoạt động tối đa để phục hồi hệ thống, phục hồi dữ liệu cho phương án xử lý đối với từng tình huống. Tổ chức phổ biến phương án xử lý đến các nhân sự có liên quan để hiểu rõ nhiệm vụ, công việc cần phải thực hiện khi xử lý.

3. Bố trí nguồn nhân lực, tài chính và các phương tiện kỹ thuật để tổ chức diễn tập phương án xử lý với các tình huống có mức độ rủi ro, khả năng xảy ra cao theo định kỳ tối thiểu sáu tháng một lần.

4. Lập kế hoạch và tiến hành diễn tập các biện pháp đảm bảo hoạt động kinh doanh liên tục, lưu giữ các hồ sơ có liên quan và tổ chức đánh giá kết quả diễn tập.

Mục 4. BẢO VỆ QUYỀN LỢI CỦA KHÁCH HÀNG

Điều 17. Thông tin về dịch vụ Internet Banking

1. Đơn vị phải cung cấp thông tin về dịch vụ Internet Banking cho khách hàng trước khi đăng ký sử dụng dịch vụ, tối thiểu gồm:

a) Cách thức cung cấp dịch vụ: trên Internet, thiết bị di động, viễn thông. Cách thức truy cập dịch vụ Internet Banking ứng với từng phương tiện truy cập dịch vụ trên Internet, thiết bị di động, viễn thông;

b) Hạn mức giao dịch và các biện pháp xác thực giao dịch;

c) Điều kiện cần thiết về trang thiết bị khi sử dụng dịch vụ: thiết bị tạo OTP, số điện thoại di động, thư điện tử, chứng thư số, thiết bị di động để cài đặt phần mềm;

d) Các rủi ro liên quan đến việc sử dụng dịch vụ Internet Banking.

2. Đơn vị phải thông tin cho khách hàng về hợp đồng cung cấp, sử dụng dịch vụ Internet Banking, tối thiểu gồm:

a) Quyền lợi và nghĩa vụ của khách hàng sử dụng dịch vụ Internet Banking;

b) Trách nhiệm của đơn vị trong bảo mật các thông tin cá nhân của khách hàng; cách thức đơn vị thu thập, sử dụng thông tin khách hàng; cam kết không bán, tiết lộ, rò rỉ các thông tin khách hàng;

c) Cam kết khả năng đảm bảo hoạt động liên tục của hệ thống Internet Banking;

d) Các nội dung khác của đơn vị đối với dịch vụ Internet Banking (nếu có).

Điều 18. Hướng dẫn khách hàng sử dụng dịch vụ Internet Banking

1. Đơn vị phải xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị thực hiện các giao dịch Internet Banking và cung cấp, hướng dẫn khách hàng sử dụng các quy trình, tài liệu này.

2. Đơn vị phải hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng dịch vụ Internet Banking, tối thiểu gồm các nội dung sau:

a) Bảo vệ bí mật mã khóa bí mật, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;

b) Cách thiết lập mã khóa bí mật và thay đổi mã khóa bí mật tài khoản truy cập theo định kỳ tối thiểu một năm một lần hoặc khi bị lộ, nghi bị lộ;

c) Không dùng máy tính công cộng để truy cập, thực hiện giao dịch Internet Banking;

d) Không lưu lại tên đăng nhập và mã khóa bí mật trên các trình duyệt web;

đ) Thoát khỏi ứng dụng Internet Banking khi không sử dụng;

e) Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo website;

g) Yêu cầu cài đặt, sử dụng phần mềm diệt vi rút trên thiết bị cá nhân sử dụng để giao dịch Internet Banking;

h) Lựa chọn các giải pháp xác thực có mức độ an toàn, bảo mật phù hợp với nhu cầu của khách hàng về hạn mức giao dịch;

i) Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ Internet Banking;

k) Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Internet Banking, phần mềm tạo OTP.

l) Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường;

m) Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khoá bảo mật tạo chữ ký số; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.

3. Đơn vị phải cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ.

Điều 19. Bảo mật thông tin khách hàng

Đơn vị phải áp dụng các biện pháp đảm bảo an toàn, bảo mật cơ sở dữ liệu khách hàng, tối thiểu bao gồm:

1. Dữ liệu nhạy cảm của khách hàng khi lưu trữ, truyền trên mạng Internet phải được mã hóa hoặc che dấu.

2. Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.

3. Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu về thông tin khách hàng để phòng chống nguy cơ lộ, lọt thông tin khách hàng.

Chương III

ĐIỀU KHOẢN THI HÀNH

Điều 20. Chế độ báo cáo

Các đơn vị cung cấp dịch vụ Internet Banking có trách nhiệm gửi báo cáo bằng văn bản về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) như sau:

1. Báo cáo cung cấp dịch vụ Internet Banking:

a) Thời hạn gửi báo cáo: Tối thiểu 10 ngày làm việc trước khi cung cấp chính thức dịch vụ Internet Banking;

b) Nội dung báo cáo:

(i) Địa chỉ website hoặc hoặc kho ứng dụng cung cấp dịch vụ;

(ii) Các sản phẩm, dịch vụ hiện đang cung cấp;

(iii) Ngày cung cấp chính thức;

(iv) Đơn vị cung cấp sản phẩm hệ thống Internet Banking;

(v) Bên thứ ba được thuê hoặc cùng hợp tác xây dựng, vận hành hệ thống Internet Banking; các hoạt động liên quan đến hệ thống Internet Banking có sự tham gia của bên thứ ba và hình thức tham gia của các bên thứ ba này;

(vi) Các giải pháp xác thực áp dụng với từng loại khách hàng, loại giao dịch và hạn mức giao dịch;

(vii) Các tài liệu khác về hạ tầng công nghệ thông tin và truyền thông, nhân lực, quy trình kỹ thuật nghiệp vụ, các phương án xử lý rủi ro và các nội dung liên quan khác theo quy định tại Chương II của Thông tư này.

2. Báo cáo đột xuất:

a) Khi xảy ra các sự cố mất an toàn hoặc ảnh hưởng đến hoạt động của hệ thống Internet Banking trong vòng 05 ngày kể từ thời điểm phát sinh sự cố hoặc phát hiện sự cố, đơn vị phải gửi báo cáo theo nội dung sau:

(i) Thời gian, địa điểm phát sinh sự cố;

(ii) Mô tả sơ bộ về sự cố, tình trạng khi xảy ra sự cố;

(iii) Nguyên nhân sự cố;

(iv) Đánh giá rủi ro, ảnh hưởng đối với hệ thống Internet Banking và các hệ thống khác có liên quan;

(v) Tình hình thiệt hại;

(vi) Các biện pháp đã thực hiện để khắc phục sự cố, ngăn chặn và phòng ngừa rủi ro;

(vii) Kiến nghị, đề xuất.

b) Các trường hợp báo cáo đột xuất khác theo yêu cầu của Ngân hàng Nhà nước.

3. Báo cáo năm:

Thời hạn và nội dung báo cáo theo quy định của Ngân hàng Nhà nước về chế độ báo cáo thống kê áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài.

Điều 21. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước

1. Cục Công nghệ tin học có trách nhiệm:

a) Theo dõi, tổng hợp báo cáo Thống đốc Ngân hàng Nhà nước tình hình thực hiện việc đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cung cấp dịch vụ Internet Banking của các đơn vị theo quy định tại Điều 20 Thông tư này;

b) Chủ trì, phối hợp với các đơn vị liên quan thuộc Ngân hàng Nhà nước xử lý các vướng mắc phát sinh trong quá trình triển khai thực hiện Thông tư này.

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm phối hợp với Cục Công nghệ tin học kiểm tra, giám sát việc thi hành Thông tư này và xử lý vi phạm hành chính đối với hành vi vi phạm theo quy định của pháp luật.

Điều 22. Hiệu lực thi hành

Thông tư này có hiệu lực thi hành kể từ ngày 01/07/2017 và thay thế Thông tư 29/2011/TT-NHNN ngày 21/9/2011 của Ngân hàng Nhà nước Việt Nam quy định về đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

Điều 23. Tổ chức thực hiện

Chánh Văn phòng, Cục trưởng Cục Công nghệ tin học và Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán chịu trách nhiệm tổ chức thực hiện Thông tư này./.

Nơi nhận:
- Như Điều 23;
- Ban Lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu: VP, CNTH, PC.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC

Nguyễn Kim Anh

Bài liên quan:
Quy định về xác thực giao dịch trên Internet Banking bằng OTP
>> Xem thêm

THE STATE BANK OF VIETNAM --------	SOCIALIST REPUBLIC OF VIETNAM Independence - Freedom - Happiness ---------------
No. 35/2016/TT-NHNN	Hanoi, December 29, 2016

CIRCULAR

ON SAFETY AND CONFIDENTIALITY OVER PROVISION OF BANKING SERVICES ON THE INTERNET

Pursuant to the Law on the State Bank of Vietnam No. 46/2010/QH12 dated June 16, 2010;

Pursuant to the Law on Credit Institutions No.47/2010/QH12 dated June 16, 2010;

Pursuant to the Law on E-Transactions No.51/2005/QH11 dated November 29, 2005;

Pursuant to the Law No. 86/2015/QH13 dated November 19, 2015 on cyber information security;

Pursuant to the Decree No.35/2007/ND-CP dated March 08, 2007 of the Government on E-transactions in the banking activities;

Pursuant to the Decree No. 156/2013/ND-CP dated November 11, 2013 of the Government defining the functions, tasks, powers and organizational structure of the State Bank of Vietnam;

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

The Governor of the State Bank promulgates a Circular on safety, confidentiality over provision of banking service on the Internet.

Chapter I

GENERAL PROVISIONS

Article 1. Scope and regulated entities

1. This Circular deals with the requirements for ensuring safety and confidentiality over the provision of banking services on the Internet.

2. This Circular applies to all credit institutions, branches of foreign banks, and providers of payment intermediary services (hereinafter referred to as the service providers) in Vietnam.

Article 2. Interpretation of terms

For the purposes of this Circular, the following terms shall be construed as follows:

1. Banking services on the Internet (Internet Banking) mean the banking services and payment intermediary services offered via the Internet.

...

3. Clients mean the organizations and individuals using Internet Banking services.

4. One time Password (OTP) is a password that is valid for only one login session or transaction and in a certain period of time, often used as the second factor in the two-factor authentication to authenticate users assessing to the application or conduct Internet Banking transactions.

5. Two-factor authentication means the authentication method requiring two factors to prove the correctness of an identity. Two-factor authentication based on the information that the user knows (PIN, password, etc.) along with something that user has (smart card, security token, mobile phones, etc.) or signs of biometrics to prove an identity.

6. End to end encryption means the mechanism that the information is encrypted at the source point before it is sent and is decrypted only after receiving at the destination point of the process of information exchange between applications or devices in the system to limit the risk of the information exposure on the transmission line.

Article 3. General principles for safety and confidentiality for the information technology system serving the Internet Banking services

1. Internet Banking system is ranked as an important information technology system and compliance with regulations of the State Bank in terms of safety and confidentiality of information technology system in banking operation.

2. Ensure confidentiality of clients' information; the integrity of client transaction data and all financial transactions of clients shall be authenticated with at least two factors.

3. Ensure the availability of Internet Banking system to provide services continuously.

4. Carry out annual inspection and assessment of security and confidentiality.

...

6. The information technology infrastructure (hereinafter referred to as IT infrastructure) providing Internet Banking services shall obtain copyright and clear origin; in a case where the producer fails to provide support, or the service provider is unable to upgrade new versions, it must have a plan for upgrading or replacement according to notices of the producer.

Chapter II

SPECIFIC PROVISIONS

Section 1. IT infrastructure of Internet Banking system

Article 4. Network system, communications, and security and confidentiality

Each service provider must establish a network system, communications, and security and confidentiality at least meeting the following requirements:

1. The network system is divided into zones, at least containing: Internet connection zone, demilitarized zone (DMZ), user zone, management zone, server zone. Computers in service of providing information on the Internet shall be placed in the DMZ. Hosting and data processing servers shall be placed in the server zone.

2. Measures in terms of security and confidentiality to Internet Banking system, at least containing: firewall; anti-virus; prevention of denial-of-service attacks; application layer firewall and intrusion prevention system.

3. Sensitive data shall not be stored in the Internet connection zone and DMZ.

...

5. Establish policies to minimize services and gateways to the Internet Banking system.

6. Conduct at least quarterly inspection of security policy; assess right; connections, equipment or software installed illegally to the network system.

7. Do not establish a connection from the wireless network to the operational environment of Internet Banking system.

8. Restrict remote connection to the work of system administrators. In a case where the remote connection to the server is required, the service provider must use communication protocols that are encrypted and not store password in utility software.

9. The connection from the Internet to intranet system for the purpose of system management must comply with the following rules:

a) It is approved by a competent person after considering connection purposes and methods;

b) Encrypted communication protocols shall be used;

c) Security software shall be installed in connecting devices,

d) Two-factor authentication shall be used when logging in the system.

...

11. Measures for safety and confidentiality between zones are adopted: Firewall or intrusion prevention devices are required between different zones.

Article 5. Server system and system software

1. Requirement for server

a) Monthly average efficiency reaches up to 80% of its design capacity;

b) It has high availability: The Internet Banking system must have backup server on site;

c) To separate the server in terms of logic or physic aspects with the servers operating other professional skills.

2. The server must make a list of software to be installed in the server. Biannually, the list shall be updated and inspected in terms of its adherence.

Article 6. Database management system

1. The database management system must have an assess protection and authorization mechanism related to database resources.

...

3. The service provider must take measures for supervision and logging database access and manipulation related to database access.

Article 7. Internet Banking application

1. The requirements for safety and security must be determined in advance and initiated in the process of application development: analysis, design, testing, official operation and maintenance. The documents on safety and security of the software must be systemized and stored and used according to "confidential" regime.

2. The service provider must control the software source code with the minimum requirements below:

a) Check the source code, to remove the malicious code sections, the security vulnerabilities (back-door).

b) To appoint specifically individuals to manage the source code of the Internet Banking application;

c) The access to the source code must be approved by the competent persons and to be monitored and logged;

d) The source code must be kept safely in at least two separate locations;

dd) In case the service provider purchases software from a third party without being handed over the source program, the service provider must require the third party to sign agreement not containing malicious code in the software application delivered to the service provider.

...

a) Developing and approving plans and testing scenario for Internet Banking application, which clearly states the conditions of safety, security required to be met;

b) Detecting and eliminating errors, frauds that can occur when entering input data;

c) Assess and scan technical vulnerabilities. Assess the capacity to prevent attacks: Injection (SQL, Xpath, LDAP…), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Brute-Force;

d) Writing down the errors and process to deal with errors, especially errors on safety and security in the reports on inspection of the test;

dd) Testing safety and security features that must be taken on the popular browsers (web application) and software version of mobile equipment (mobile application); inspecting and notifying users running applications on the browser or the software version which undergoes safe testing;

e) The use of data for the test process is required to take precaution measures for preventing to be benefited or confused.

4. c) Prior to initiating new applications the service provider must assess the risks of the initiation process for professional operations, relevant information technology systems and making and implementing plans to limit, overcome the risks.

5. Service providers in charge of management, change, and upgrade of application version must meet the following requirements:

a) For each requirement to change application, it must analyze and assess the impact of changes to the existing systems as well as other relevant information technology systems of the service provider;

...

c) Information of the versions, update time, the update person of versions must be saved;

d) Each upgraded version must be inspected the test of safety, security features, risks and stability before the official initiation;

dd) The upgrade of version must be based on test results and must be approved by the competent persons;

e) After the application versions are successfully tested, they must be managed closely; to avoid illegally modified and ready for initiation;

g) Along with the new software version, it must have clear instructions on the changed contents, software update, and other relevant information and must be approved by the competent persons prior to the initiation of new version to clients.

6. Compulsory functions of the application:

a) All data transmitted on the Internet shall apply end to end encryption;

b) The integrity of transaction data shall be ensure, all illegal changes shall be promptly discovered during the processing of transactions and data storage;

c) Have a mechanism to control transaction sessions and assess time of websites and applications. In a case where a user fails to manipulate within a certain time prescribed by the service provider but not exceeding five minutes, the system shall automatically disconnect the session or apply other protective measures;

...

dd) With regard to a client being an organization, the application is designed in a manner to ensure that the transaction will be conducted in two steps as follows: creating and approving transaction and conducted by at least two different persons.

Article 8. Mobile application

Internet Banking application on mobile equipment provided by the supplier shall be consistent with regulations on Article 7 of this Circular and the following requirements:

1. The supplier must clarify the link on the website or in application store enabling clients to download and install the Internet Banking on mobile equipment.

2. The application must be protected to hinder reverse engineering.

3. The application must authenticate users upon their accesses. If incorrect passwords are entered continuously exceeding a certain times prescribed by the service provider but not exceeding five times in a row, the application shall be automatically and temporarily locked out to prevent the users from keeping using Internet Banking.

Section 2. TRANSACTION AUTHENTICATION OF INTERNET BANKING

Article 9. Authentication of clients accessing Internet Banking services

1. A client accessing to use the Internet Banking services must be authenticated with at least user name and password complying with the following requirements:

...

b) The password must be at least 6 characters longs, including letters and numerals, containing uppercases and lowercases or special symbols. Maximum validity period of the password is 12 months.

2. The application shall have feature that require a client to change his/her passwords immediately in the first login; and lock out the account in a case where a client enters incorrect password continuously exceeding a certain times prescribed by the service provider, but not exceeding five times in a row. The account will be unlocked only when such client requests to unlock it at a service provider’s transaction counter.

Article 10. Requirements for measures for transaction authentication

1. A service provider must assess level of risks of transactions according to each type of clients, types of transactions, transaction limits so as to provide appropriate measures for transaction authentication at clients’ options. The transaction limits shall not exceed the limits prescribed by the Governor of the State Bank in each period.

2. Requirements for OTP authentication by SMS or email:

a) OTP sent to clients must attach with warning of OTP’s purposes;

b) OTP shall be valid within 5 minutes.

3. Requirements for authentication using OTP matrix cards:

a) An OTP matrix card shall be used within 1 year from the date of registration;

...

4. Requirements for OTP authentication generated by an application installed in mobile equipment:

a) The service providers must clarify the link on the website or application store enabling clients to download and install the OTP generator software;

b) The OTP generator software, before its operation, shall be activated by the password provided by the service provider. An activate password will be used for solely one mobile equipment;

c) OTP generator software shall be controlled in terms of access. In a case where five incorrect passwords are entered continuously, the application shall be automatically locked out to prevent clients from keeping using.

d) OTP shall be valid within 2 minutes.

5. Requirements for OTP authentication generated by a token (OTP token): OTP shall be valid within 2 minutes.

6. Requirements for authentication by digital signatures: The service provider shall use digital signatures and authentication of digital signatures from a provider of authentication of digital signatures operating in accordance with regulations of law on digital signatures and authentication of digital signatures.

7. Requirements for biometric authentication: signs of biometric identification are the only signs associated with a client and cannot be forged.

Section 3. OPERATION MANAGEMENT

...

1. The service provider shall assign personnel in charge of supervision of the system operation, discover and deal with technical incidents and network attacks.

2. The service provider shall assign personnel in charge of receiving information and supporting clients, and promptly contacting clients upon detection of unusual transactions.

3. Personnel in charge of management, supervision and operation of the Internet Banking system must participate in annual training courses in update of security and confidentiality knowledge.

4. The issuance and authentication of administrative accounts of the Internet Banking system must be monitored by a division independent from the division in charge of issuance of accounts.

Article 12. Management of operation environment of Internet Banking system

1. The service provider shall not install or store application development software or source codes in the operation environment.

2. Computers of personnel in charge of management and operation shall be placed in the management zone, installed with anti-virus software and established with policy that the screen will be automatically locked after a specified period of in activity prescribed by the service provider, but not exceeding 5 minutes.

3. The service provider must establish a policy that computers of personnel in charge of management, supervision and operation shall be prohibited from accessing the Internet.

Article 13. Management of technical vulnerabilities and weaknesses

...

1. Adopt measures for preventing, combating, and finding changes of the website and Internet Banking application.

2. Establish mechanism to discovering, preventing and combating intrusion or attacks to the Internet Banking system.

3. Cooperate with regulatory agencies, information technology partners in timely acquiring incidents and cases of unsafety and insecurity so as to implement prompt preventative measures.

4. Review and inspect the update of patches of the system software, database management system and application at least quarterly.

5. Assess security and confidentiality of Internet Banking system at least annually. Implement testing attack drills to assess the levels of security of the system.

Article 14. System of management and supervision of the Internet Banking system

1. The service provider must establish a system of supervision of the Internet Banking system.

2. The service provider must formulate criteria and software to determine unusual transactions according to time, geographic locations, transaction frequency, transaction amounts, number of incorrect login attempts exceeding the prescribed number and other unusual signs.

3. The service provider must arrange the control room separately from the common working area to perform tasks of management and supervision of the Internet Banking system that satisfy the following requirements:

...

b) The access to the system so as to carry out management, operation and maintenance shall be conducted through equipment placed in the control room. Remote access or direct access on the equipment must be approved by a competent person;

c) Any outside access to equipment placed at the control room must apply two-factor authentication measures.

Article 15. Management of confidentiality incidents

The service provider must establish measures for recording, monitoring and dealing with confidentiality incidents. Quarterly, the service provider shall access, find reasons and proactively implement appropriate measures to prevent recurrent incidents.

Article 16. Assurance of continuous operation

The service provider shall formulate a disaster prevention system, procedures and scenario to ensure the continuous operation of the Internet Banking system as prescribed by the State Bank on assurance of safety and confidentiality of information technology system in banking operation. In addition, the service provider must:

1. Analyze and determine circumstances likely to cause insecurity and disruption of the Internet Banking system operation. Determine and access levels of risks, possibility to occur of each circumstance at least biannually. Make a list of circumstances posing levels of risks and possibility in descending order of high, medium, acceptable and low levels.

2. Formulate a plan (procedures or scenario) for dealing with circumstances posing levels of risks and possibility in high and medium levels as prescribed in Clause 1 hereof. Determine maximum down-time to restore the system, restore the database for the plan for each circumstance. Raise relevant personnel's awareness of handling plans to understand their tasks in actual circumstances.

3. Arrange sources of personnel, finance and technical equipment to hold drills of plans for handling circumstance with high level of risks and possibility at least biannually.

...

Section 4. PROTECTION OF CLIENTS’ INTERESTS

Article 17. Information about Internet Banking services

1. The service provider must provide a client with information about Internet Banking services before he/she/it registers to use the services, at least containing:

a) Method of providing services: on the Internet, via mobile equipment or telecommunication. Method of accessing Internet Banking services equivalent to each equipment on the Internet, mobile equipment, or telecommunication equipment;

b) Transaction limit and transaction authentication measures;

c) Necessary conditions for equipment upon using of services: OTP generator, mobile phone number, email, digital certificate, mobile equipment to be installed with the software;

d) Risks in connection with using of Internet Banking services.

2. The service provider must provide the client with a contract of Internet Banking services, at least containing:

a) Rights and obligations of the client when using Internet Banking services;

...

c) Commitment to ensure the continuous operation of the Internet Banking system;

d) Other contents in terms of Internet Banking services (if any).

Article 18. Guidance for clients using Internet Banking services

1. The service provider shall formulate procedures and manuals on installation and use of software, applications, equipment conducting Internet Banking transactions and provide clients with guidance on using such procedures and manuals.

2. The service provider shall instruct each client to adopt measures for ensuring safety and confidentiality when using Internet Banking services, at least containing the following:

a) Protecting password and OTP and not sharing equipment storing such information;

b) Method of establishing password and change password of the username at least once a year or upon its exposure or suspected exposure;

c) Not using public computers for the purposes of accessing and conducting Internet Banking transactions;

d) Not saving username and password on web browsers;

...

e) Identifying and taking actions against circumstances of phishing or fake websites;

g) Requesting to install or use anti-virus software on personal equipment used for Internet Banking transactions;

h) Selecting authentication measures with safety and confidentiality levels in conformity with the client’s demand in terms of transaction limit;

i) Warning of risks in connection with using of Internet Banking services;

k) Not using mobile equipment which is unlocked to download and use the Internet Banking application, or OTP generator software.

l) Promptly notifying the service provider of any unusual transaction;

m) Immediately notifying the service provider of the following cases: loss, missing, damage of OTP generator, phone number from which SMS is received, storing device of private key generating digital signature; upon being fraudulent or suspiciously being fraudulent; upon being attacked or suspiciously attacked by hackers.

3. The service provider must provide the client with information about the contact point of receiving information, hotline and guidelines for procedures and methods of cooperation in dealing with mistakes and incidents during the service using.

Article 19. Protecting clients’ information

...

1. Sensitive data of clients upon storage or transmission on the Internet must be encrypted or hidden.

2. Establish access right according to functions and tasks of personnel in charge of accessing clients' database; and adopt monitoring measure upon each access.

3. Implement measures for managing access to equipment and device that store clients' information to prevent the risks of exposure of clients' information.

Chapter III

IMPLEMENTATION

Article 20. Reporting

Providers of Internet Banking services shall send reports in writing to Information Technology Administration affiliated to the State bank of Vietnam as follows:

1. Report on provision of Internet Banking services:

a) Time limit for submission: At least 10 days prior to the official provision of Internet Banking services;

...

(i) Website address or application store;

(ii) The products and services currently offered;

(iii) The official date of provision;

(iv) Unit providing for Internet Banking system products;

(v) The third parties hired or coordinating together with to set up and operate Internet Banking system; the activities related to Internet Banking system with the participation of third parties and forms of participation of third parties;

(vi) Authentication measures applicable to each type of clients, each type of transactions and transaction limits;

(vii) Other documents on information technology infrastructure and communications, human resources, process of business technique, the plans for dealing with risk, and other related matters as prescribed in Chapter II of this Circular.

2. Irregular reports:

a) The service providers shall submit irregular reports when the unsafe incidents occur or affecting the operation of the Internet Banking system within 05 days from the time of the accident or of incident detection, in particular

...

(ii) Preliminary description of the incidents, the status of the incidents when they occur;

(iii) The cause of the problem;

(iv) Assessment of risk, the impact on Internet Banking system and other involved systems;

(v) The situation of the damage;

(vi) The measures taken to eliminate the problem; prevent and stop risks;

(vii) Recommendations and proposals.

b) Other cases of irregular reports at the request of the State Bank.

3. Annual reports:

Time limit and contents of annual reports shall be consistent with regulations of the State Bank in terms of statistical reports applicable to credit institutions, branches of foreign banks.

...

1. Information Technology Administration shall:

a) Monitor, consolidate the reports on the implementation of safety and confidentiality of information technology system providing Internet Banking services as prescribed in Article 20 hereof and send them to the Governor of the State Bank.

b) Take charge and cooperate with relevant affiliates of the State Bank in dealing with difficulties arising during the implementation of this Circular.

2. Agency inspectors, bank supervisors are responsible for coordinating with the Department of Information Technology to inspect and supervise the implementation of this Circular and handling administrative violations for the violations under the provisions of law.

Article 22. Entry into force

This Circular comes into force from July 1, 2017 and replaces Circular No. 29/2011/TT-NHNN dated September 21, 2011 of the State bank of Vietnam on assurance of safety and confidentiality in provision banking services on the Internet.

Article 23. Implementation

Chief of Office, Director of Information Technology and the heads of units of the Vietnam State Bank, Directors of State Bank-branches in provinces and cities directly under the Central Government, Chairmen of the Management Boards, Chairmen of the members’ Councils, general directors (directors) of credit institutions, branches of foreign banks providing Internet Banking services, providers of payment intermediary services shall implement this Circular./.

...

P.P GOVERNOR
DEPUTY GOVERNOR

Nguyen Kim Anh

Bạn Chưa Đăng Nhập Thành Viên!

Vì chưa Đăng Nhập nên Bạn chỉ xem được Thuộc tính của văn bản.
Bạn chưa xem được Hiệu lực của Văn bản, Văn bản liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...