Thông tư 35/2018/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 35 năm 2016 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet sẽ có hiệu lực thi hành từ ngày 1/7/2019 (Ảnh minh họa. Nguồn: Internet)

Thông tư 35/2018/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet vừa được Ngân hàng Nhà nước Việt Nam (NHNN) ban hành ngày 24/12. Thông tư này sẽ có hiệu lực thi hành kể từ ngày 1/7/2019.

Theo Thông tư mới, nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống CNTT cho việc cung cấp dịch vụ Internet Banking đã được sửa đổi, bổ sung, bao gồm: Hệ thống Internet Bankinh là hệ thống thông tin quan trọng của theo quy định của NHNN về an toàn hệ thống thông tin trong hoạt động ngân hàng; Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên lục; Thông tin giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn; Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm;

Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet; Các trang thiết bị hạ tầng kỹ thuật CNTT cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng; với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.

Thông tư mới của NHNN cũng sửa đổi, bổ sung các quy định: Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ (khoản 3 Điều 4); Đường truyền kết nối Internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục (khoản 10 Điều 4); Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng thảm họa có khả năng thay thế cơ sở dữ liệu chính và bảo đảm không mất dữ liệu giao dịch trực tuyến của khách hang (khoản 2 Điều 6); Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác (điểm c khoản 6 Điều 7);

Đối với khách hàng là tổ chức, theo quy định mới, phần mềm ứng dụng được thiết kế để đảm bảo việc thực hiện giao dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch và được thực hiện bởi những người khác nhau. Trong trường hợp khách hàng là tổ chức được pháp luật cho phép áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch tương tự như khách hàng cá nhân (điểm d khoản 6 Điều 7); Phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự động khoá tạm thời không cho người dùng tiếp tục sử dụng (khoản 3 Điều 8).