Mục 4 Chương 2 Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
Mục 4. BẢO VỆ QUYỀN LỢI CỦA KHÁCH HÀNG
Điều 17. Thông tin về dịch vụ Internet Banking
1. Đơn vị phải cung cấp thông tin về dịch vụ Internet Banking cho khách hàng trước khi đăng ký sử dụng dịch vụ, tối thiểu gồm:
a) Cách thức cung cấp dịch vụ: trên Internet, thiết bị di động, viễn thông. Cách thức truy cập dịch vụ Internet Banking ứng với từng phương tiện truy cập dịch vụ trên Internet, thiết bị di động, viễn thông;
b) Hạn mức giao dịch và các biện pháp xác thực giao dịch;
c) Điều kiện cần thiết về trang thiết bị khi sử dụng dịch vụ: thiết bị tạo OTP, số điện thoại di động, thư điện tử, chứng thư số, thiết bị di động để cài đặt phần mềm;
d) Các rủi ro liên quan đến việc sử dụng dịch vụ Internet Banking.
2. Đơn vị phải thông tin cho khách hàng về hợp đồng cung cấp, sử dụng dịch vụ Internet Banking, tối thiểu gồm:
a) Quyền lợi và nghĩa vụ của khách hàng sử dụng dịch vụ Internet Banking;
b) Trách nhiệm của đơn vị trong bảo mật các thông tin cá nhân của khách hàng; cách thức đơn vị thu thập, sử dụng thông tin khách hàng; cam kết không bán, tiết lộ, rò rỉ các thông tin khách hàng;
c) Cam kết khả năng đảm bảo hoạt động liên tục của hệ thống Internet Banking;
d) Các nội dung khác của đơn vị đối với dịch vụ Internet Banking (nếu có).
Điều 18. Hướng dẫn khách hàng sử dụng dịch vụ Internet Banking
1. Đơn vị phải xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị thực hiện các giao dịch Internet Banking và cung cấp, hướng dẫn khách hàng sử dụng các quy trình, tài liệu này.
2. Đơn vị phải hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng dịch vụ Internet Banking, tối thiểu gồm các nội dung sau:
a) Bảo vệ bí mật mã khóa bí mật, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;
b) Cách thiết lập mã khóa bí mật và thay đổi mã khóa bí mật tài khoản truy cập theo định kỳ tối thiểu một năm một lần hoặc khi bị lộ, nghi bị lộ;
c) Không dùng máy tính công cộng để truy cập, thực hiện giao dịch Internet Banking;
d) Không lưu lại tên đăng nhập và mã khóa bí mật trên các trình duyệt web;
đ) Thoát khỏi ứng dụng Internet Banking khi không sử dụng;
e) Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo website;
g) Yêu cầu cài đặt, sử dụng phần mềm diệt vi rút trên thiết bị cá nhân sử dụng để giao dịch Internet Banking;
h) Lựa chọn các giải pháp xác thực có mức độ an toàn, bảo mật phù hợp với nhu cầu của khách hàng về hạn mức giao dịch;
i) Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ Internet Banking;
k) Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Internet Banking, phần mềm tạo OTP.
l) Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường;
m) Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khoá bảo mật tạo chữ ký số; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.
3. Đơn vị phải cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ.
Điều 19. Bảo mật thông tin khách hàng
Đơn vị phải áp dụng các biện pháp đảm bảo an toàn, bảo mật cơ sở dữ liệu khách hàng, tối thiểu bao gồm:
2. Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.
3. Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu về thông tin khách hàng để phòng chống nguy cơ lộ, lọt thông tin khách hàng.
Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
- Số hiệu: 35/2016/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 29/12/2016
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Kim Anh
- Ngày công báo: 21/01/2017
- Số công báo: Từ số 75 đến số 76
- Ngày hiệu lực: 01/07/2017
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ và thuật ngữ
- Điều 3. Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking
- Điều 4. Hệ thống mạng, truyền thông và an ninh bảo mật
- Điều 5. Hệ thống máy chủ và phần mềm hệ thống
- Điều 6. Hệ quản trị cơ sở dữ liệu
- Điều 7. Phần mềm ứng dụng Internet Banking
- Điều 8. Phần mềm ứng dụng trên thiết bị di động
- Điều 9. Xác thực khách hàng truy cập dịch vụ Internet Banking
- Điều 10. Yêu cầu đối với các giải pháp xác thực giao dịch
- Điều 11. Quản lý nhân sự quản trị, vận hành hệ thống Internet Banking
- Điều 12. Quản lý hoạt động của môi trường vận hành hệ thống Internet Banking
- Điều 13. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật
- Điều 14. Hệ thống quản trị, giám sát hoạt động của hệ thống Internet Banking
- Điều 15. Quản lý sự cố bảo mật thông tin
- Điều 16. Đảm bảo hoạt động liên tục