Liên kết website

Thông tư số 35/2016/TT-NHNN Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

03/01/2017

Ngày 29/12/2016, Ngân hàng Nhà nước ban hành Thông tư số 35/2016/TT-NHNN Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

Thông tư quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet. Thông tư áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán tại Việt Nam (sau đây gọi chung là đơn vị).
Đồng thời Thông tư cũng quy định, đơn vị phải thiết lập hệ thống mạng, truyền thông và an ninh bảo mật đạt yêu cầu tối thiểu sau: Hệ thống mạng được chia tách thành các phân vùng, tối thiểu gồm: Nam (sau đây gọi chung là đơn vị).
Thông tư cũng quy định nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking như sau:  Hệ thống Internet Banking được xếp hạng là hệ thống công nghệ thông tin quan trọng và tuân thủ theo quy định của Ngân hàng Nhà nước về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng. Đảm bảo bí mật thông tin khách hàng; tính toàn vẹn dữ liệu giao dịch khách hàng và mọi giao dịch tài chính của khách hàng phải được xác thực tối thiểu hai yếu tố.  Đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm. Xác định rủi ro, có biện pháp phòng ngừa, xử lý rủi ro trong cung cấp dịch vụ Internet Banking.  Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng; trường hợp không còn hỗ trợ của nhà sản xuất, không có khả năngphân vùng kết nối Internet, phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ), phân vùng người dùng, phân vùng quản trị, phân vùng máy chủ. Các máy tính phục vụ cho việc cung cấp thông tin trên Internet phải được đặt trong phân vùng DMZ. Các máy chủ lưu trữ, xử lý dữ liệu phải được đặt trong phân vùng máy chủ. Trang bị các giải pháp an ninh bảo mật cho hệ thống Internet Banking, tối thiểu gồm: thiết bị tường lửa; phòng chống vi rút; phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ lớp ứng dụng và phòng chống tấn công xâm nhập. Dữ liệu nhạy cảm không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ. Kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua phân vùng DMZ để kiểm soát an ninh, bảo mật. Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Internet Banking. Kiểm tra chính sách an ninh bảo mật; quyền truy cập; các kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào hệ thống mạng tối thiểu ba tháng một lần….
Ngoài ra, Thông tư cũng quy định về vấn đề bảo mật thông tin khách hàng như sau: Đơn vị phải áp dụng các biện pháp đảm bảo an toàn, bảo mật cơ sở dữ liệu khách hàng, tối thiểu bao gồm: Dữ liệu nhạy cảm của khách hàng khi lưu trữ, truyền trên mạng Internet phải được mã hóa hoặc che dấu. Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập. Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu về thông tin khách hàng để phòng chống nguy cơ lộ, lọt thông tin khách hàng.
Thông tư này có hiệu lực thi hành kể từ ngày 01/07/2017 và thay thế Thông tư 29/2011/TT-NHNN ngày 21/9/2011 của Ngân hàng Nhà nước Việt Nam quy định về đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.
 
Các tin đã đưa ngày: