Chương 2 Thông tư 29/2011/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Ngân hàng Nhà nước Việt Nam ban hành

1. Lựa chọn đội ngũ cán bộ có đủ tư cách đạo đức, trình độ, năng lực đáp ứng được yêu cầu về chuyên môn nghiệp vụ và công nghệ khi phân công nhiệm vụ liên quan đến hệ thống Internet Banking.

2. Các nhiệm vụ quản trị hệ thống; phát triển, bảo trì phần mềm ứng dụng và vận hành hệ thống phải được phân công cho từng bộ phận, cá nhân khác nhau. Đảm bảo kiểm soát chéo và không một cá nhân nào có toàn quyền trên hệ thống hoặc có thể tự khởi tạo, can thiệp vào các giao dịch của hệ thống Internet Banking. Có quy định trách nhiệm và phân quyền rõ ràng cho từng nhóm bộ phận, cá nhân nêu trên. Tài khoản đặc quyền trên hệ thống Internet Banking phải được thiết kế để chỉ có thể truy cập được khi có khóa của ít nhất hai người và phải được kiểm soát chặt chẽ đối với mọi hoạt động của tài khoản này.

3. Có quy định cụ thể, rõ ràng và thực hiện đầy đủ công tác quản lý, giám sát nhân sự bên thứ ba khi truy cập vào hệ thống Internet Banking. Các yêu cầu về an toàn, bảo mật và thỏa thuận cần xác định rõ trong hợp đồng với bên thứ ba.

1. Có biện pháp phân tách các phân vùng mạng để đảm bảo kiểm soát được các truy cập hệ thống.

2. Có biện pháp phát hiện và phòng chống xâm nhập, phòng chống phát tán mã độc hại cho hệ thống.

3. Xây dựng và thực hiện phương án dự phòng cho các vị trí quan trọng có mức độ ảnh hưởng cao tới hệ thống mạng hoặc có khả năng gây tê liệt toàn bộ hệ thống mạng của đơn vị khi xảy ra sự cố.

4. Các kết nối không dây phải sử dụng các biện pháp xác thực đảm bảo an toàn.

5. Đảm bảo yêu cầu về băng thông đối với việc cung cấp dịch vụ Internet Banking.

6. Cập nhật các bản vá lỗi hệ thống, cập nhật cấu hình cho các thiết bị mạng và các thiết bị bảo mật tối thiểu sáu tháng một lần. Trong trường hợp phát hiện lỗi hệ thống phải thực hiện cập nhật ngay.

7. Các trang thiết bị mạng, an ninh, bảo mật, phần mềm chống vi rút, công cụ phân tích, quản trị mạng được cài đặt trong mạng của đơn vị phải có bản quyền và nguồn gốc, xuất xứ rõ ràng.

1. Đảm bảo có hạ tầng máy chủ và các thiết bị đi kèm phục vụ hệ thống Internet Banking (sau đây gọi là máy chủ Internet Banking) đủ công suất, đạt hiệu năng yêu cầu, đảm bảo tốc độ xử lý truy xuất đáp ứng yêu cầu của khách hàng sử dụng dịch vụ.

2. Yêu cầu đối với máy chủ Internet Banking

3. Yêu cầu đối với phần mềm hệ thống:

1. Các yêu cầu chung

2. Kiểm tra thử nghiệm phần mềm ứng dụng

3. Quản lý và nâng cấp phiên bản

4. Kiểm soát chương trình nguồn

1. Chỉ được sử dụng các hệ quản trị cơ sở dữ liệu có bản quyền và xuất xứ, nguồn gốc rõ ràng và đã được kiểm nghiệm qua thực tế hoạt động nghiệp vụ của các tổ chức tương tự trong hoặc ngoài nước.

2. Hệ quản trị cơ sở dữ liệu sử dụng cho hệ thống Internet Banking phải đáp ứng được yêu cầu hoạt động ổn định; xử lý, lưu trữ được khối lượng dữ liệu lớn theo yêu cầu nghiệp vụ; có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu.

3. Rà soát, cập nhật các bản vá, các bản sửa lỗi hệ quản trị cơ sở dữ liệu tối thiểu sáu tháng một lần hoặc ngay sau khi có khuyến cáo của nhà cung cấp.

4. Xây dựng phương án sao lưu, dự phòng đối với cơ sở dữ liệu, đảm bảo các hệ thống Internet Banking hoạt động liên tục khi xảy ra sự cố với cơ sở dữ liệu.

5. Thực hiện phân quyền và có quy định chặt chẽ với từng cá nhân truy cập đến cơ sở dữ liệu. Phải ghi nhật ký đối với các truy cập cơ sở dữ liệu, các thao tác đối với cấu hình cơ sở dữ liệu.

6. Có giải pháp ngăn chặn các hình thức tấn công cơ sở dữ liệu.

1. Lựa chọn thuật toán mã hóa đáp ứng yêu cầu đảm bảo tính bí mật và khả năng xử lý của hệ thống Internet Banking.

2. Thuận toán mã hóa đang sử dụng phải được định kỳ mỗi năm một lần kiểm tra, đánh giá lại mức độ an toàn và xử lý kịp thời những yếu điểm nếu có.

3. Không để một cá nhân thực hiện toàn bộ quá trình tạo khóa mã hóa. Các khóa mã hóa phải được khởi tạo, thay đổi, phân phối, lưu trữ một cách an toàn.

4. Phải bảo đảm khôi phục được các thông tin đã mã hóa khi cần thiết.

5. Có những quy định chặt chẽ về việc thu hồi các khóa mã hóa, bao gồm cả việc hủy khóa và phục hồi khóa.

1. Ghi nhật ký các sự kiện sau đối với hệ thống Internet Banking:

2. Ghi nhật ký giao dịch của khách hàng và giám sát các giao dịch tài chính trên hệ thống Internet Banking.

3. Các nhật ký của hệ thống Internet Banking phải được lưu trữ, bảo vệ an toàn và truy xuất được khi cần thiết. Thời gian lưu nhật ký tối thiểu là 03 năm.

4. Kiểm tra nhật ký truy cập để phát hiện, phòng ngừa những truy cập bất thường, bất hợp pháp tối thiểu mỗi tháng một lần.

1. Xây dựng quy trình quản lý sự cố, trong đó phải quy định rõ trách nhiệm của các bộ phận liên quan, chi tiết các bước thực hiện bao gồm cả việc thông báo cho khách hàng và báo cáo Ngân hàng Nhà nước.

2. Quy trình quản lý sự cố phải được rà soát, cập nhật các sự cố và phương án xử lý tối thiểu sáu tháng một lần.

3. Áp dụng các giải pháp kỹ thuật để phát hiện, xử lý kịp thời các cuộc tấn công từ chối dịch vụ như sử dụng thiết bị tường lửa; thiết bị phát hiện và ngăn chặn xâm nhập; các thiết bị chuyên dụng cảnh báo tấn công, làm lệch hướng lưu lượng mạng; lọc gói tin khi bị tấn công.

4. Yêu cầu bên thứ ba cung cấp quy trình xử lý sự cố cho các dịch vụ do bên thứ ba cung cấp liên quan đến hệ thống Internet Banking.

1. Ban hành quy định nêu rõ quyền, nghĩa vụ của khách hàng và của đơn vị cung cấp dịch vụ đối với việc cung cấp, sử dụng dịch vụ Internet Banking.

2. Hướng dẫn cho khách hàng các nội dung tự bảo đảm an toàn trong quá trình sử dụng dịch vụ Internet Banking như: