Hiện nay Chính phủ đang lấy ý kiến Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng dự kiến thay thế Thông tư 35/2016/TT-NHNN và Thông tư 35/2018/TT-NHNN.
Xem toàn văn Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Dự thảo lần 1): https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/22/du-thao-tt-thay-the-tt-35.docx
Thay thế Internet Banking thành Online Banking
Theo Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Dự thảo lần 1) sẽ không còn khái niệm Internet Banking mà được thay thế thành Online Banking, cụ thể tại Điều 2 Dự thảo lần 1 như sau:
Dịch vụ trực tuyến trong ngành Ngân hàng (gọi tắt là dịch vụ Online Banking) là dịch vụ quy định sau đây được các đơn vị cung cấp cho khách hàng trên môi trường mạng:
- Hoạt động ngân hàng (Nhận tiền gửi; Cấp tín dụng; Cung ứng dịch vụ thanh toán qua tài khoản);
- Dịch vụ trung gian thanh toán;
- Dịch vụ thông tin tín dụng;
- Các hoạt động kinh doanh khác được Thống đốc Ngân hàng Nhà nước chấp thuận;
- Các hoạt động kinh doanh khác theo quy định của Thống đốc Ngân hàng Nhà nước.
Theo đó, so với quy định hiện hành tại Thông tư 35/2016/TT-NHNN và Thông tư 35/2018/TT-NHNN chỉ quy định dịch vụ ngân hàng trên Internet (Internet Banking) là các dịch vụ ngân hàng và dịch vụ trung gian thanh toán được các đơn vị cung cấp thông qua mạng Internet, Dự thảo lần 1 đã chỉnh sửa để có khái niệm tổng quát Online Banking bao gồm các dịch vụ của ngành Ngân hàng qua mạng (bao gồm mạng Internet, mạng viễn thông, mạng.
NHNN đề xuất các nguyên tắc đảm bảo an toàn, bảo mật dịch vụ Online Banking
Theo Điều 3 Dự thảo lần 1 đã quy định các nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Online Banking như sau:
- Hệ thống Online Banking phải tuân thủ theo quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ và quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.
- Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Online Banking để cung cấp dịch vụ một cách liên tục.
- Các giao dịch của khách hàng được đánh giá mức độ rủi ro tối thiểu theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch (nếu có) và trên cơ sở đó cung cấp hình thức xác thực giao dịch phù hợp cho khách hàng lựa chọn, tuân thủ các quy định sau:
+ Áp dụng xác thực đa yếu tố khi thay đổi thông tin định danh khách hàng;
+ Áp dụng các hình thức xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quy định tại Thông tư này;
+ Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.
- Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Online Banking theo định kỳ hàng năm.
- Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.
- Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng.
Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.
Theo đó, Dự thảo lần 1 đã quy định các nguyên tắc đảm bảo an toàn, bảo mật dịch vụ Online Banking. Đồng thời đã bỏ khái niệm hệ thống thông tin quan trọng theo quy định hiện hành mà thay bằng hệ thống thông tin theo cấp độ để phù hợp với quy định tại Thông tư 09/2020/TT-NHNN.
Đề xuất quy định về hệ thống mạng, truyền thông và an ninh bảo mật
Theo Điều 4 Dự thảo lần 1, đơn vị phải thiết lập hệ thống mạng, truyền thông và an ninh bảo mật đạt yêu cầu tối thiểu sau:
- Có các giải pháp an ninh bảo mật tối thiểu gồm:
+ Tường lửa ứng dụng;
+ Tường lửa cơ sở dữ liệu;
+ Hệ thống giám sát, cảnh báo tập trung đối với các hành vi tấn công hoặc hành vi bất thường.
- Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ (phân vùng trung gian giữa mạng nội bộ và mạng Internet).
- Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Online Banking.
- Kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quản trị chỉ được thực hiện trong trường hợp không thể kết nối từ mạng nội bộ và bảo đảm an toàn, tuân thủ tối thiểu các quy định sau:
+ Phải được người có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối;
+ Phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương;
+ Thiết bị kết nối phải được cài đặt các phần mềm bảo đảm an ninh bảo mật; phải sử dụng biện pháp xác thực đa yếu tố khi đăng nhập hệ thống;
+ Sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật tại các phần mềm tiện ích.
- Đường truyền kết nối mạng cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.
Như vậy, so với quy định hiện hành tại Thông tư 35/2016/TT-NHNN và Thông tư 35/2018/TT-NHNN, Dự thảo lần 1 đã lược bỏ những quy định trùng với Thông tư 09/2020/TT-NHNN.
Ngoài ra, quy định mới đã bổ sung một số giải pháp tăng cường như: Tường lửa cơ sở dữ liệu; Hệ thống giám sát, cảnh báo tập trung đối với các hành vi tấn công hoặc hành vi bất thường…
Xem toàn văn Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Dự thảo lần 1): https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/22/du-thao-tt-thay-the-tt-35.docx
