Chương 1 Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

1. Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

2. Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán tại Việt Nam (sau đây gọi chung là đơn vị).

1. Dịch vụ ngân hàng trên Internet (Internet Banking) là các dịch vụ ngân hàng và dịch vụ trung gian thanh toán được các đơn vị cung cấp thông qua mạng Internet.

2. Hệ thống Internet Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Internet Banking.

3. Khách hàng là các tổ chức, cá nhân sử dụng dịch vụ Internet Banking.

4. Mã khóa bí mật dùng một lần (One Time Password - OTP) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch Internet Banking.

5. Xác thực hai yếu tố là phương pháp xác thực yêu cầu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mã khoá bí mật, …) cùng với những gì mà người dùng có (thẻ thông minh, thiết bị token, điện thoại di động …) hoặc những dấu hiệu sinh trắc học của người dùng để xác minh danh tính.

6. Mã hóa điểm đầu đến điểm cuối (end to end encryption) là cơ chế mã hoá thông tin ở điểm đầu trước khi gửi đi và chỉ được giải mã sau khi nhận được tại điểm cuối trong quá trình trao đổi thông tin giữa các ứng dụng, các thiết bị trong hệ thống nhằm hạn chế rủi ro bị lộ, lọt thông tin trên đường truyền.

1. Hệ thống Internet Banking được xếp hạng là hệ thống công nghệ thông tin quan trọng và tuân thủ theo quy định của Ngân hàng Nhà nước về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng.

2. Đảm bảo bí mật thông tin khách hàng; tính toàn vẹn dữ liệu giao dịch khách hàng và mọi giao dịch tài chính của khách hàng phải được xác thực tối thiểu hai yếu tố.

3. Đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.

4. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.

5. Xác định rủi ro, có biện pháp phòng ngừa, xử lý rủi ro trong cung cấp dịch vụ Internet Banking.

6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng; trường hợp không còn hỗ trợ của nhà sản xuất, không có khả năng nâng cấp để cài đặt phần mềm phiên bản mới đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất.