Ngày 31/10/2024, Ngân hàng Nhà nước đã ban hành  quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân và bắt đầu có hiệu lực thi hành kể từ ngày 01/01/2025.

Theo đó, đơn vị thực hiện thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật phải đáp ứng tối thiếu các yêu cầu được quy định tại Điều 4 . Trong đó, gồm những nội dung sau đây:

1. Giải pháp an toàn, bảo mật tối thiểu mà đơn vị thực hiện phải đảm bảo khi thiết lập hệ thống mạng

Quy định tại khoản 1 Điều 4  về việc đảm bảo phải có các giải pháp an toàn, bảo mật tối thiểu gồm:

(i) Tường lửa ứng dụng hoặc giải pháp bảo vệ có tính năng tương đương để kiểm soát các luồng dữ liệu giữa người dùng và ứng dụng để ngăn chặn các truy cập bất hợp pháp.

(ii) Tường lửa cơ sở dữ liệu hoặc giải pháp bảo vệ có tính năng tương đương để giám sát và kiểm soát mọi giao dịch với cơ sở dữ liệu để đảm bảo tính bảo mật và toàn vẹn dữ liệu.

(iii) Giải pháp phòng, chống tấn công từ chối dịch vụ (DoS - Denial of Service attack), tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service attack) đối với các hệ thống cung cấp dịch vụ trực tiếp trên Internet

(iv) Hệ thống quản lý và phân tích sự kiện an toàn thông tin.

File Word Luật Các tổ chức tín dụng và các văn bản hướng dẫn có hiệu lực từ ngày 01/7/2024

Yêu cầu đối với hệ thống mạng, truyền thông và an toàn bảo mật

Yêu cầu đối với hệ thống mạng, truyền thông và an toàn bảo mật (Ảnh minh họa – Nguồn Internet)

2. Yêu cầu về thông tin khách hàng và chính sách

Tại khoản 2, khoản 3 Điều 4 , phải đảm bảo các yêu cầu về thông tin khách hàng và chính sách cụ thể như sau:

Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ) để tránh rủi ro bị tấn công hoặc đánh cắp dữ liệu, bao gồm những thông tin sau:

- Thông tin nhận biết khách hàng (như tên, số CMND/CCCD, tài khoản,..).

- Thông tin giao dịch của khách hàng (chi tiết các giao dịch, số tiền, thời gian,..)

Đơn vị thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật phải thực hiện các biện pháp hạn chế tối đa các dịch vụ và cổng kết nối từ bên ngoài vào hệ thống Online Banking. Điều này nhằm giảm thiểu nguy cơ bị tấn công hoặc truy cập trái phép từ mạng Internet.

3. Quy định về việc kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking

Căn cứ vào khoản 4 Điều 4 , đơn vị thực hiện kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quản trị chỉ được thực hiện trong trường hợp không thể kết nối từ mạng nội bộ và bảo đảm an toàn, tuân thủ các quy định sau:

(i) Được cấp có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối

(ii) Có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương

(iii) Các thiết bị kết nối phải được cài đặt các phần mềm bảo đảm an toàn, bảo mật

(iv) Áp dụng tối thiểu hai trong các hình thức xác nhận quy định tại khoản 1, khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11  khi đăng nhập hệ thống

(v) Sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật tại các phần mềm tiện ích.

Bên cạnh đó, hệ thống đường truyền mạng dùng để cung cấp dịch vụ cần đảm bảo luôn hoạt động ổn định, sẵn sàng phục vụ bất kỳ lúc nào và không bị gián đoạn. Điều này đặc biệt quan trọng để tránh tình trạng dịch vụ bị ngừng hoặc chậm trễ, ảnh hưởng đến trải nghiệm của người dùng hoặc hoạt động của doanh nghiệp.

Điều 4: Hệ thống mạng, truyền thông và an toàn, bảo mật

5. Đường truyền kết nối mạng cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.

H. Thủy (Nguồn: )