Chương 1 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Thông tư này quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng tại Việt Nam.
2. Thông tư này áp dụng đối với các tổ chức hoạt động thẻ, bao gồm:
a) Tổ chức phát hành thẻ (viết tắt là TCPHT);
b) Tổ chức thanh toán thẻ (viết tắt là TCTTT);
c) Tổ chức cung ứng dịch vụ trung gian thanh toán (viết tắt là TCTGTT) có trang thiết bị phục vụ thanh toán thẻ ngân hàng.
Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:
1. Trang thiết bị phục vụ thanh toán thẻ bao gồm các thiết bị, phần mềm sử dụng cho việc tiếp nhận, xử lý các giao dịch thẻ.
2. ATM (Automated Teller Machine) đặt bên ngoài là ATM đặt tại nơi công cộng và nơi không có người giám sát trực tiếp thiết bị.
3. Máy POS (Point Of Sale) là thiết bị chấp nhận thẻ được sử dụng để thực hiện giao dịch thẻ tại các đơn vị chấp nhận thẻ (viết tắt là ĐVCNT).
4. Máy mPOS (Mobile Point Of Sale) là máy POS bao gồm phần mềm và thiết bị chuyên dụng tích hợp với thiết bị thông tin di động.
5. Thẻ ngân hàng (sau đây gọi tắt là thẻ) bao gồm thẻ từ và thẻ chip
a) Thẻ từ là loại thẻ mà các thông tin của thẻ và chủ thẻ được mã hóa và lưu trữ trong dải băng từ ở mặt sau của thẻ;
b) Thẻ chip là loại thẻ được gắn vi mạch máy tính hoặc mạch tích hợp để nhận dạng, lưu trữ thông tin và giao dịch của chủ thẻ, xử lý vi mô khác.
6. Số thẻ là dãy số dùng để xác định tổ chức phát hành và chủ thẻ.
7. Dữ liệu thẻ bao gồm dữ liệu chủ thẻ và dữ liệu xác thực thẻ.
a) Dữ liệu chủ thẻ bao gồm các dữ liệu chính sau: số thẻ; tên của chủ thẻ (đối với thẻ định danh); ngày có hiệu lực của thẻ; mã dịch vụ (3 (ba) hoặc 4 (bốn) số trên bề mặt thẻ để xác định quyền hạn trên giao dịch (nếu có));
b) Dữ liệu xác thực thẻ bao gồm các dữ liệu sau: toàn bộ dữ liệu trên dải băng từ đối với thẻ từ hoặc dữ liệu trên vi mạch máy tính, mạch tích hợp của thẻ chip; dãy số giá trị hoặc mã xác thực thẻ được in trên thẻ; mã số xác định chủ thẻ (PIN) hoặc khối mã số xác định chủ thẻ (PIN block).
8. Môi trường dữ liệu chủ thẻ là môi trường bao gồm các trang thiết bị và quy trình xử lý, truyền dẫn, lưu trữ dữ liệu thẻ.
10. Dữ liệu nhật ký là các dữ liệu được hệ thống thanh toán thẻ hoặc con người tạo ra để lưu lại các quá trình giao dịch, hoạt động của hệ thống bằng hình thức điện tử, văn bản để phục vụ hoạt động giám sát, tra soát, khiếu nại.
11. Người có thẩm quyền tại văn bản này được hiểu là người đại diện theo pháp luật của tổ chức hoặc người được người đại diện theo pháp luật của tổ chức ủy quyền.
12. Tổ chức hỗ trợ hoạt động thẻ là các tổ chức, cá nhân có chuyên môn được tổ chức hoạt động thẻ thuê hoặc hợp tác nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống thanh toán thẻ.
Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
- Số hiệu: 47/2014/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 31/12/2014
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Toàn Thắng
- Ngày công báo: Đang cập nhật
- Số công báo: Từ số 147 đến số 148
- Ngày hiệu lực: 01/04/2015
- Tình trạng hiệu lực: Kiểm tra
- Điều 3. Thiết lập và quản lý cấu hình thiết bị an ninh mạng
- Điều 4. Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ
- Điều 5. An toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ
- Điều 6. Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ
- Điều 7. Các yêu cầu kỹ thuật lắp đặt và an toàn vật lý ATM
- Điều 9. Các yêu cầu về giám sát, an ninh hệ thống ATM
- Điều 12. Chính sách an toàn bảo mật thông tin thẻ
- Điều 13. Các yêu cầu đối với bàn phím nhập số PIN
- Điều 14. Bảo vệ vùng lưu trữ dữ liệu thẻ
- Điều 15. Mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài
- Điều 16. Hạn chế quyền truy cập đến dữ liệu thẻ
- Điều 17. Hạn chế quyền truy cập vật lý tới dữ liệu thẻ
- Điều 18. Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ
- Điều 19. Yêu cầu về đảm bảo hoạt động liên tục