Chương 2 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành

a) Việc thiết lập và thay đổi cấu hình thiết bị an ninh mạng phải được kiểm thử và được người có thẩm quyền phê duyệt trước khi thực hiện;

b) Sơ đồ kết nối hệ thống mạng phải được thiết kế đáp ứng yêu cầu:

- Tách biệt giữa vùng dữ liệu chủ thẻ và các vùng mạng khác bao gồm cả vùng mạng không dây;

- Tách biệt chức năng của máy chủ theo nguyên tắc các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ quản lý tên miền phải để trên các máy chủ khác nhau (có thể là các máy chủ ảo trên một máy chủ vật lý);

- Có tường lửa tại các điểm kết nối giữa các vùng của hệ thống mạng;

- Sơ đồ mạng phải mô tả được toàn bộ đường đi của dữ liệu chủ thẻ.

c) Phân định trách nhiệm và quyền hạn đối với bộ phận, cá nhân trong quản lý, cấu hình các thiết bị an ninh mạng bằng văn bản;

d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt;

đ) Quy định bằng văn bản các cổng, dịch vụ, giao thức sử dụng trên hệ thống mạng bao gồm cả những cổng, giao thức, dịch vụ không an toàn. Triển khai đầy đủ các giải pháp an ninh khi sử dụng các cổng, dịch vụ và giao thức không an toàn;

e) Thực hiện đánh giá lại các chính sách thiết lập trên thiết bị an ninh mạng tối thiểu 02 lần/năm nhằm loại bỏ các chính sách không sử dụng, hết thời hạn hoặc thiết lập sai chính sách, đảm bảo chính sách được thiết lập trên thiết bị đúng với các chính sách đã được người có thẩm quyền phê duyệt.

a) Giới hạn các truy cập đến môi trường dữ liệu chủ thẻ, chỉ chấp nhận các truy cập thực sự cần thiết và kiểm soát được;

b) Giới hạn các truy cập đến thiết bị mạng và thiết bị an ninh mạng khớp đúng với trách nhiệm của cá nhân, bộ phận được quy định tại Điểm c Khoản 1 Điều này;

c) Các tập tin cấu hình phải được đồng bộ với cấu hình đang hoạt động của thiết bị và được lưu trữ an toàn theo chế độ mật để tránh các truy cập trái phép;

d) Thực hiện thiết lập chức năng giám sát trạng thái gói tin hoặc lọc dữ liệu tự động trên thiết bị tường lửa hoặc định tuyến để phát hiện các gói tin không hợp lệ.

a) Thiết lập vùng trung gian cung cấp dịch vụ ra ngoài Internet (xác định rõ các máy chủ, dịch vụ, địa chỉ IP, cổng, giao thức được phép truy cập). Việc kết nối ra, vào giữa Internet và môi trường dữ liệu chủ thẻ phải kết nối qua vùng trung gian cung cấp dịch vụ;

b) Thực hiện các biện pháp chống giả mạo để ngăn chặn và loại bỏ các khả năng giả mạo địa chỉ IP nguồn;

c) Không cho phép các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet khi chưa được người có thẩm quyền phê duyệt.

a) Các chính sách an ninh trên phần mềm tường lửa chỉ cho phép thực hiện các hoạt động đủ phục vụ cho nhu cầu xử lý các quy trình nghiệp vụ;

b) Đảm bảo các thiết lập trên phần mềm tường lửa là đang hoạt động;

c) Đảm bảo người dùng không thể thay đổi cấu hình phần mềm tường lửa trên thiết bị.

a) Tách biệt môi trường phát triển và kiểm thử với môi trường vận hành;

b) Không sử dụng dữ liệu thẻ trong môi trường vận hành cho môi trường kiểm thử;

c) Loại bỏ toàn bộ dữ liệu và tài khoản kiểm thử trước khi đưa phần mềm vào sử dụng;

d) Đánh giá, xem xét lại mã nguồn phần mềm ứng dụng để phát hiện, khắc phục lỗ hổng bảo mật tiềm tàng trước khi đưa vào sử dụng. Nhân sự thực hiện đánh giá phải độc lập với nhân sự phát triển mã nguồn ứng dụng.

a) Xây dựng tài liệu đánh giá tác động đến toàn bộ hệ thống và được người có thẩm quyền phê duyệt trước khi thực hiện;

b) Không được làm ảnh hưởng đến tính an toàn bảo mật của hệ thống;

c) Thực hiện sao lưu, có kế hoạch dự phòng trước khi thực hiện thay đổi.

a) Các lỗ hổng chèn mã lệnh truy vấn cơ sở dữ liệu (SQL injection), câu lệnh hệ điều hành (OS injection), các phương tiện lưu trữ dữ liệu khác;

b) Lỗi tràn bộ nhớ đệm;

c) Lỗi mã hóa không an toàn trong lưu trữ dữ liệu;

d) Lỗi không an toàn trong truyền thông;

đ) Rò rỉ thông tin qua thông báo lỗi (error handling);

e) Các nguy cơ chèn mã, đoạn mã javascript, jscript, DHTML, các thẻ HTML;

g) Các kiểm soát truy cập không đúng;

h) Các hình thức tấn công chiếm quyền xác thực của người sử dụng trên một website thông qua một website giả mạo khác (Cross Site Request Forgery);

i) Lỗi trong quản lý phiên truy cập (session ID);

k) Các lỗ hổng bảo mật được xác định có mức độ cao được quy định tại Khoản 1 Điều này.

a) Đánh giá an toàn bảo mật tối thiểu 01 lần/quý hoặc sau khi có sự thay đổi bằng các công cụ đánh giá tự động hoặc thủ công;

b) Thực hiện các giải pháp kỹ thuật tự động phát hiện và phòng chống tấn công bằng thiết bị tường lửa ứng dụng web (Web Application Firewall).

a) Cấp phát tài khoản truy cập riêng biệt, phân quyền tương ứng cho từng cá nhân làm nhiệm vụ vận hành và quản trị các thiết bị phục vụ thanh toán thẻ;

b) Kiểm soát việc thêm mới, xóa, sửa các định danh, thông tin tài khoản người sử dụng đúng mục tiêu quản lý;

c) Thu hồi quyền truy cập ngay khi người sử dụng hết hạn sử dụng hoặc chuyển công việc khác hoặc không làm nhiệm vụ vận hành, quản trị;

d) Thẩm tra, xác nhận lại danh tính người sử dụng khi nhận được yêu cầu gián tiếp qua email, điện thoại trước khi thay đổi, phục hồi lại mã khóa bí mật tài khoản;

đ) Tài khoản cấp phát lần đầu phải thiết lập mã khóa bí mật và mã khóa bí mật đó trên các tài khoản phải khác nhau. Tài khoản chỉ được hoạt động khi người dùng thay đổi mã khóa bí mật ban đầu;

e) Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian;

g) Việc cấp tài khoản truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ phải được giới hạn về thời gian, phải được người có thẩm quyền phê duyệt và được giám sát hoạt động;

h) Không được chia sẻ hoặc dùng chung tài khoản để truy cập hệ thống;

i) Tài khoản phải được thay đổi mã khóa bí mật tối thiểu 01 lần/quý; mã khóa bí mật phải có độ dài tối thiểu 07 (bảy) ký tự, bao gồm cả ký tự chữ và số (ngoại trừ PIN); mã khóa bí mật không được sử dụng lặp lại trong bốn lần gần nhất;

k) Số lần nhập sai mã khóa bí mật tối đa được phép không quá 03 (ba) lần. Có biện pháp khóa tài khoản tự động khi nhập sai mã khóa bí mật quá số lần quy định. Thời gian phục hồi tài khoản bị khóa sau khi nhập sai mã khóa bí mật tối thiểu 30 phút hoặc theo yêu cầu;

l) Phiên làm việc với hệ thống thanh toán thẻ ở trạng thái chờ quá 15 phút hệ thống phải yêu cầu xác thực lại để vào hệ thống;

m) Phổ biến và đào tạo các chính sách, quy trình truy cập và xác thực tài khoản vào hệ thống, đảm bảo các tổ chức, cá nhân liên quan nắm rõ được quyền hạn, trách nhiệm khi được cấp tài khoản truy cập.

a) Hướng dẫn lựa chọn và bảo vệ thông tin xác thực, mã khóa bí mật;

b) Hướng dẫn không dùng lại mã khóa bí mật đã sử dụng trước đó;

c) Hướng dẫn thay đổi mã khóa bí mật định kỳ hoặc ngay khi có nghi ngờ mã khóa bí mật bị lộ.

a) Chỉ người quản trị cơ sở dữ liệu được trực tiếp truy cập cơ sở dữ liệu;

b) Người sử dụng khác khi truy cập cơ sở dữ liệu phải thông qua các chương trình ứng dụng có kiểm soát quyền hạn xem, nhập, xóa, thay đổi thông tin;

c) Không sử dụng các tài khoản truy cập cơ sở dữ liệu của chương trình ứng dụng cho cá nhân hoặc các tiến trình khác;

d) Mã khóa bí mật của tài khoản truy cập cơ sở dữ liệu của ứng dụng phải được mã hóa trên ứng dụng và trong cơ sở dữ liệu;

đ) Mọi thao tác trên cơ sở dữ liệu phải được ghi nhật ký và nhật ký phải được lưu giữ tối thiểu 01 năm.