Điều 8 Thông tư 29/2011/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Ngân hàng Nhà nước Việt Nam ban hành

a) Các yêu cầu an toàn, bảo mật của nghiệp vụ phải được xác định trước và tổ chức, triển khai vào toàn bộ chu trình phát triển phần mềm từ khâu phân tích, thiết kế đến triển khai vận hành và bảo trì.

b) Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa và lưu trữ, sử dụng theo chế độ “Mật”.

c) Trước khi triển khai chương trình ứng dụng mới, phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

d) Phải xác định, thống kê được các hoạt động và giao dịch bất thường phát sinh trong hệ thống.

a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm cho các ứng dụng cung cấp dịch vụ Internet Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng.

b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào và các lỗ hổng bảo mật trong quá trình kiểm tra thử nghiệm hệ thống.

c) Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm.

d) Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt phổ biến như Internet Explorer, Mozilla, Firefox, Google Chrome.

đ) Tiến hành thử nghiệm trên môi trường riêng biệt và không ảnh hưởng đến hoạt động bình thường của nghiệp vụ. Lập báo cáo kết quả thử nghiệm trình cấp có thẩm quyền phê duyệt trước khi đưa vào sử dụng.

e) Việc sử dụng dữ liệu cho quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.

a) Đối với mỗi yêu cầu thay đổi phần mềm, phải phân tích đánh giá ảnh hưởng của việc thay đổi đối với các hệ thống hiện tại cũng như các nghiệp vụ và các hệ thống công nghệ thông tin có liên quan khác của đơn vị.

b) Các phiên bản phần mềm bao gồm cả chương trình nguồn cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên trong việc thao tác với các tập tin.

c) Thông tin về các phiên bản, thời gian cập nhật, người cập nhật các phiên bản phải được lưu lại.

d) Mỗi phiên bản được nâng cấp phải được kiểm tra thử nghiệm các tính năng an toàn, bảo mật và tính ổn định trước khi triển khai chính thức.

đ) Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được cấp có thẩm quyền phê duyệt.

e) Các phiên bản phần mềm sau khi thử nghiệm thành công phải được quản lý chặt chẽ; tránh bị sửa đổi bất hợp pháp và sẵn sàng cho việc triển khai.

g) Đi kèm với phiên bản phần mềm mới phải có các chỉ dẫn rõ ràng về nội dung thay đổi, hướng dẫn cập nhật phần mềm và các thông tin liên quan khác và phải được thông qua cấp có thẩm quyền phê duyệt trước khi triển khai cho khách hàng.

a) Kiểm tra mã nguồn, nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật (back-door).

b) Chỉ định cụ thể các cá nhân quản lý chương trình nguồn của hệ thống Internet Banking.

c) Việc truy cập tới chương trình nguồn phải được sự phê chuẩn của cấp có thẩm quyền và được theo dõi, ghi nhật ký.

d) Chương trình nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt.

đ) Trong trường hợp đơn vị cung cấp dịch vụ mua phần mềm từ bên thứ ba mà không được bàn giao chương trình nguồn, đơn vị cung cấp dịch vụ phải yêu cầu bên thứ ba ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng bàn giao cho đơn vị cung cấp dịch vụ.