Chương 5 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành

a) Giám sát và phân tích các thông tin, cảnh báo về rủi ro an ninh thông tin và chuyển thông tin đến bộ phận có trách nhiệm để phối hợp giải quyết;

b) Có biện pháp ứng phó sự cố kịp thời để kiểm soát được mọi tình huống;

c) Quản lý tài khoản người dùng trên hệ thống;

d) Giám sát và kiểm soát toàn bộ truy cập đến dữ liệu;

đ) Việc phân công được lập thành văn bản.

a) Cập nhật danh sách tổ chức hỗ trợ hoạt động thẻ;

b) Tổ chức hoạt động thẻ phải thực hiện lựa chọn các tổ chức hỗ trợ hoạt động thẻ trước khi ký kết, thỏa thuận hợp đồng. Quá trình lựa chọn phải thể hiện rõ yêu cầu của đơn vị đối với tổ chức hỗ trợ hoạt động thẻ, hồ sơ đáp ứng yêu cầu của tổ chức hỗ trợ hoạt động thẻ phải đáp ứng an toàn bảo mật thông tin thẻ;

c) Hợp đồng với các tổ chức hỗ trợ hoạt động thẻ phải quy định rõ trách nhiệm của tổ chức hỗ trợ hoạt động thẻ tuân thủ các quy định có liên quan tại Thông tư này. Phải có cam kết bằng văn bản các điều khoản và trách nhiệm trong đó tổ chức hỗ trợ hoạt động thẻ cung cấp dịch vụ có trách nhiệm đảm bảo an toàn bảo mật thông tin thẻ trong các dịch vụ mình cung cấp hoặc lưu giữ, xử lý, trao đổi thông tin. Cam kết phải nêu rõ phạm vi cung cấp và dịch vụ được tổ chức hỗ trợ hoạt động thẻ cung cấp;

d) Tổ chức hoạt động thẻ phải tổ chức quản lý, cập nhật thông tin về các tổ chức hỗ trợ hoạt động thẻ đáp ứng theo các yêu cầu Thông tư này.

a) Vai trò, trách nhiệm, truyền thông và liên lạc của các cá nhân, tổ chức trong trường hợp xảy ra xâm phạm hệ thống;

b) Có kịch bản cụ thể để ứng phó sự cố;

c) Có kịch bản phục hồi và đảm bảo hoạt động liên tục;

d) Có kịch bản sao lưu dữ liệu;

đ) Kiểm thử quy trình tối thiểu 01 lần/năm;

e) Phân công nhân sự cụ thể để sẵn sàng ứng phó sự cố 24/7;

g) Thực hiện các chương trình đào tạo cho nhân viên để đáp ứng công việc ứng phó sự cố về an toàn bảo mật thẻ;

h) Quy trình ứng phó sự cố bao gồm cả các cảnh báo từ hệ thống giám sát an ninh (các hệ thống phát hiện, phòng chống xâm nhập, thiết bị tường lửa và hệ thống giám sát tính toàn vẹn của các tệp tin dữ liệu);

i) Thực hiện sửa đổi và hoàn thiện quy trình ứng phó sự cố thông qua bài học kinh nghiệm và đáp ứng sự phát triển về công nghệ thông tin.

Điều 13. Các yêu cầu đối với bàn phím nhập số PIN

1. Bàn phím dùng để nhập số PIN phải tự hủy được các thông tin nhạy cảm lưu trữ trong đó bao gồm các khóa mã hóa, PIN, mã khóa bí mật và không thể khôi phục lại được thông tin này khi bị xâm nhập vật lý.

2. Âm thanh khi gõ một phím không phân biệt được với âm thanh khi gõ phím khác. Ngoài ra không thể xác định được bất kỳ ký tự PIN nào được nhập bằng cách theo dõi điện từ, điện năng tiêu thụ.

3. Số PIN phải được mã hóa ngay sau khi nhập xong (người dùng ấn Enter). Bộ nhớ đệm tự động được xóa sau khi giao dịch kết thúc hoặc hết thời gian chờ.

4. Các tính năng an toàn của bàn phím không bị thay đổi bởi điều kiện môi trường, điều kiện vận hành.

Điều 14. Bảo vệ vùng lưu trữ dữ liệu thẻ

1. Lưu trữ, phục hồi, hủy thông tin, dữ liệu thẻ

a) Thực hiện chính sách, thủ tục, quy trình lưu trữ và hủy dữ liệu chủ thẻ; hạn chế lượng dữ liệu, thời gian cần lưu trữ đáp ứng theo yêu cầu nghiệp vụ và quy định của pháp luật về lưu trữ; hàng quý thực hiện xác định và xóa an toàn dữ liệu chủ thẻ vượt quá thời gian cần lưu trữ; tuân thủ các quy định về lưu dữ liệu chủ thẻ, bao gồm các quy định về thời hạn bảo quản hồ sơ, tài liệu lưu trữ trong ngành ngân hàng;

b) Dữ liệu xác thực thẻ phải đảm bảo: Giữ bí mật trong hoạt động in ấn, phát hành thẻ; cá nhân hoặc tổ chức khi xử lý dữ liệu xác thực thẻ phải cam kết không tiết lộ thông tin; không lưu trữ dữ liệu xác thực thẻ sau khi đã xác thực, kể cả thông tin đã mã hóa tại giao dịch đến, các tập tin dữ liệu nhật ký, tập tin lịch sử, tập tin theo dõi, các bảng sơ đồ dữ liệu và các nội dung cơ sở dữ liệu;

c) Số thẻ phải được che giấu khi hiển thị và chỉ được hiển thị đầy đủ khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ; số thẻ phải đảm bảo không đọc được tại các nơi lưu trữ;

d) Đảm bảo số thẻ không đọc được tại các nơi lưu trữ bằng cách sử dụng một trong các phương pháp sau:

- Phương pháp sử dụng hàm băm một chiều (hàm hash) dựa trên thuật toán mã hóa mạnh;

- Phương pháp phân tách, cắt bớt dữ liệu đảm bảo không đọc được toàn bộ dữ liệu khi lưu trữ trên các tập tin, cơ sở dữ liệu, dữ liệu nhật ký;

- Sử dụng hệ thống mật mã sử dụng một lần, trong đó đảm bảo thiết bị nhận mã phải được giữ bí mật;

- Phương pháp mã hóa mạnh với quy trình và thủ tục quản lý khóa phải được tuân thủ;

- Sử dụng phương pháp mã hóa ổ đĩa trong đó đảm bảo thực hiện mã hóa các tập tin thông qua cơ chế riêng biệt và độc lập với cơ chế kiểm soát truy cập và xác thực trên nền hệ điều hành có sẵn.

2. Quy định mã hóa dữ liệu tại vùng lưu trữ dữ liệu thẻ

a) Các khóa dùng trong mã hóa phải được lưu trữ và có biện pháp đảm bảo an toàn tránh nguy cơ lộ thông tin:

- Giới hạn số lượng người có quyền truy cập đến khóa mã hóa;

- Lưu giữ các khóa riêng dùng để mã hóa, giải mã dữ liệu chủ thẻ trong mọi thời điểm theo một trong các phương thức sau:

Lưu trữ trong thiết bị chuyên dụng hoặc thiết bị bảo mật PIN trong giao dịch;

Lưu giữ khóa thành tối thiểu hai phần riêng biệt.

Thực hiện mã hóa khóa bằng thuật toán phải mạnh bằng hoặc mạnh hơn thuật toán dùng để mã hóa dữ liệu. Khóa để mã hóa khóa phải được lưu trữ tách biệt với khóa để mã hóa dữ liệu;

b) Ban hành quy trình thực hiện tất cả các công việc liên quan đến quản lý khóa và thủ tục mã hóa để mã hóa dữ liệu chủ thẻ bao gồm:

- Quá trình tạo ra các khóa mã hóa;

- Phân phối khóa mã hóa;

- Lưu giữ khóa mã hóa;

- Định kỳ thay đổi các khóa khi hết vòng đời sử dụng;

- Thay thế hoặc thu hồi các khóa khi có nghi ngờ bị lộ, bị sửa đổi.

c) Quản lý khóa mã hóa phải đáp ứng tối thiểu các yêu cầu sau:

- Nếu sử dụng các khóa mã hóa dưới dạng bản rõ (clear text) phải đảm bảo khóa này được chia thành nhiều phần quản lý bởi tối thiểu hai người, mỗi người giữ một phần khóa mã hóa;

- Ngăn ngừa việc thay thế các khóa mã hóa khi chưa được phép;

- Phải quy định rõ trách nhiệm của người giữ khóa mã hóa.

Điều 15. Mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài

1. Sử dụng các phương thức mã hóa và các giao thức bảo mật thích hợp (tối thiểu các giao thức SSL/TLS, SSH, IPSEC) để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác).

2. Khi gửi số thẻ đến người sử dụng thông qua thông điệp điện tử, số phải được mã hóa bằng phương pháp mã hóa mạnh.

Điều 16. Hạn chế quyền truy cập đến dữ liệu thẻ

1. Các truy cập và xử lý trên dữ liệu thẻ phải đảm bảo được phân quyền đúng và ở mức tối thiểu đủ để thực hiện nhiệm vụ của từng cá nhân.

2. Xây dựng chính sách hạn chế quyền truy cập từ xa, từ vùng mạng bên ngoài vào hệ thống. Giám sát hoạt động, ghi nhật ký thời gian truy cập vào hệ thống.

3. Việc cấp quyền truy cập các hệ thống thanh toán thẻ phải được người có thẩm quyền phê duyệt bằng văn bản.

4. Thiết lập biện pháp, hệ thống kiểm soát truy cập cho toàn bộ các thiết bị phục vụ thanh toán thẻ, đảm bảo giới hạn các truy cập theo đúng chức trách, nhiệm vụ được giao; các truy cập không hợp lệ phải bị loại bỏ.

Điều 17. Hạn chế quyền truy cập vật lý tới dữ liệu thẻ

1. Thực hiện các kiểm soát ra, vào tới khu vực đặt hệ thống thanh toán thẻ, trung tâm dữ liệu thẻ, các môi trường vật lý có dữ liệu thẻ:

a) Thiết lập kiểm soát các điểm kết nối mạng có dây và không dây tại các khu vực công cộng đảm bảo giới hạn quyền truy cập. Kiểm soát việc truy cập vật lý các thiết bị di động, các thiết bị truyền thông, thiết bị mạng và các đường điện thoại, viễn thông;

b) Sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu thủ thẻ. Các dữ liệu giám sát phải được lưu trữ tối thiểu 03 tháng.

2. Xây dựng thủ tục để nhận biết được nhân viên và các cá nhân bên ngoài (tổ chức hỗ trợ hoạt động thẻ, khách) đến làm việc bao gồm:

a) Thủ tục để nhận biết nhân viên mới, cá nhân bên ngoài;

b) Thủ tục để thay đổi các yêu cầu truy cập và thu hồi quyền truy cập của nhân viên khi thôi việc, các cá nhân bên ngoài khi hết hạn.

3. Kiểm soát truy cập vật lý đối với nhân viên khi đến phòng máy chủ, khu vực in ấn phát hành thẻ, nơi lưu trữ, xử lý dữ liệu chủ thẻ đáp ứng yêu cầu sau:

a) Truy cập phải được cấp quyền dựa trên yêu cầu công việc của mỗi cá nhân;

b) Quyền truy cập phải được thu hồi ngay khi công việc kết thúc, tất cả các công cụ dùng để truy cập (chìa khóa, thẻ truy cập) phải được thu hồi hoặc vô hiệu hóa.

4. Thực hiện các thủ tục để nhận diện và cấp phép cho các cá nhân bên ngoài khi ra vào khu vực lưu trữ, xử lý dữ liệu chủ thẻ

a) Các cá nhân bên ngoài phải được cho phép trước khi vào và được giám sát toàn thời gian tại khu vực lưu trữ, xử lý dữ liệu chủ thẻ;

b) Các cá nhân bên ngoài phải được nhận diện bằng thẻ hoặc phương thức khác có thời hạn hiệu lực và phải nhận diện được bằng mắt thường;

c) Các cá nhân bên ngoài phải được yêu cầu thu hồi thẻ hoặc phương thức nhận diện khác trước khi rời khỏi đơn vị hoặc khi hết thời gian hiệu lực;

d) Nhật ký ra, vào của cá nhân bên ngoài phải được lưu giữ bằng các hình thức văn bản hoặc điện tử tối thiểu 01 năm.

5. Phương tiện chứa dữ liệu sao lưu của hệ thống thanh toán thẻ phải bảo quản tại nơi an toàn. Địa điểm bảo quản phải được kiểm tra đảm bảo các điều kiện an toàn ít nhất 01 lần/năm.

6. Đảm bảo an toàn các tài sản vật lý, các thông tin, hồ sơ quan trọng liên quan đến hoạt động thẻ, phương tiện mang tin. Kiểm soát việc vận chuyển phương tiện mang tin đảm bảo an toàn dữ liệu thẻ. Phải được người có thẩm quyền phê duyệt trước khi bàn giao, di chuyển, phân phối các phương tiện mang tin.

7. Thực hiện kiểm soát chặt chẽ việc lưu trữ và truy cập tới phương tiện mang tin. Tiến hành kiểm kê tài sản, các phương tiện mang tin tối thiểu 01 lần/năm.

8. Các thiết bị đọc dữ liệu thẻ phải được giám sát bảo vệ đảm bảo các yêu cầu sau:

a) Thường xuyên cập nhật danh sách các thiết bị, các thông tin về nhà sản xuất, mẫu thiết bị, nơi đặt thiết bị, mã thiết bị (serial, product number);

b) Định kỳ kiểm tra các bề mặt của thiết bị nhằm phát hiện giả mạo hoặc các thành phần bị gắn thêm vào bằng cách kiểm tra các đặc điểm để nhận dạng hoặc số serial của thiết bị;

c) Người quản lý, sử dụng thiết bị phải được đào tạo để nhận biết các nguy cơ giả mạo hoặc thay thế trên thiết bị nhằm đánh cắp thông tin thẻ. Nội dung đào tạo bao gồm:

- Xác minh danh tính tổ chức hỗ trợ hoạt động thẻ trước khi cho phép tham gia vào quá trình sửa chữa, bảo trì, khắc phục lỗi của thiết bị;

- Kiểm tra, xác minh thiết bị trước khi cho phép cài đặt, thay thế hoặc hoàn trả thiết bị;

- Nhận biết được nguy cơ, hành vi đáng ngờ xung quanh thiết bị;

- Báo cáo các nguy cơ, hành vi giả mạo hoặc thay thế trái phép thiết bị đến người có thẩm quyền.

9. Phá hủy hồ sơ, tài liệu chứa dữ liệu thẻ bằng hình thức cắt thành các miếng nhỏ, đốt hoặc nghiền nát đảm bảo dữ liệu thẻ không thể đọc hoặc tái tạo lại. Phương tiện mang tin điện tử chứa thông tin chủ thẻ được hủy bằng các chương trình xóa dữ liệu chuyên dụng hoặc bằng các biện pháp hủy vật lý, khử từ đảm bảo dữ liệu chủ thẻ không thể đọc và khôi phục.

Điều 18. Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ

1. Theo dõi và giám sát toàn bộ truy cập tới tài nguyên và dữ liệu chủ thẻ

a) Thực hiện ghi dữ liệu nhật ký toàn bộ truy cập đến các thiết bị phục vụ thanh toán thẻ để lưu vết tất cả các hành vi của người sử dụng;

b) Thực hiện tự động ghi dữ liệu nhật ký truy cập đến toàn bộ thiết bị phục vụ thanh toán thẻ để xác định lại các sự kiện sau:

- Tất cả truy cập của người sử dụng đến dữ liệu chủ thẻ;

- Tất cả hành động của người sử dụng có tài khoản đặc quyền;

- Các truy cập đến toàn bộ dữ liệu nhật ký;

- Các cố gắng truy cập không được phép vào hệ thống;

- Quản lý người sử dụng (bao gồm các sự kiện tạo mới tài khoản và nâng quyền quản trị, các thay đổi hoặc xóa tài khoản của tài khoản quản trị);

- Khởi tạo, chấm dứt hoặc tạm ngừng việc ghi dữ liệu nhật ký;

- Khởi tạo hoặc xóa các dữ liệu, tài nguyên, chức năng, dịch vụ trên thiết bị phục vụ thanh toán thẻ.

c) Dữ liệu nhật ký của mỗi sự kiện (quy định tại Điểm b Khoản 1 Điều này) bao gồm tối thiểu các thông tin sau:

- Định danh người sử dụng;

- Loại sự kiện;

- Ngày, tháng và thời gian;

- Trạng thái thành công hoặc thất bại;

- Nguồn gốc của sự kiện;

- Tên hoặc định danh của dữ liệu, tài nguyên hoặc chức năng, dịch vụ bị ảnh hưởng bởi sự kiện.

d) Phải có hệ thống đồng bộ thời gian đối với hệ thống máy chủ, hệ thống ATM phục vụ thanh toán thẻ;

đ) Bảo vệ các dữ liệu nhật ký:

- Giới hạn quyền được xem dữ liệu nhật ký tối thiểu theo nhu cầu công việc;

- Bảo vệ các tập tin dữ liệu nhật ký nhằm tránh sửa đổi trái phép;

- Sao lưu dữ liệu nhật ký đến các máy chủ tập trung hoặc phương tiện mang tin;

e) Tổ chức hoạt động thẻ phải sử dụng công cụ để giám sát tính toàn vẹn của tập tin dữ liệu nhật ký hoặc phần mềm phát hiện thay đổi dữ liệu nhật ký;

g) Tổ chức hoạt động thẻ phải tiến hành xem xét, đánh giá các dữ liệu nhật ký và các sự kiện an ninh trên toàn bộ thiết bị phục vụ thanh toán thẻ để xác định hoạt động bất thường, hoạt động nghi ngờ bằng cách sử dụng các công cụ phân tích, khai thác và cảnh báo dựa trên dữ liệu nhật ký, cụ thể như sau:

- Tổ chức hoạt động thẻ phải đánh giá hàng ngày tối thiểu các nội dung dữ liệu nhật ký sau:

Toàn bộ các sự kiện về an toàn bảo mật;

Các dữ liệu nhật ký của hệ thống lưu trữ, xử lý, truyền nhận thông tin thẻ;

Các dữ liệu nhật ký của các trang thiết bị an toàn bảo mật cho hệ thống (các thiết bị tường lửa, hệ thống phát hiện xâm nhập, phòng chống xâm nhập, các máy chủ xác thực).

- Tổ chức hoạt động thẻ phải đánh giá toàn bộ dữ liệu nhật ký theo quy chế an toàn bảo mật và quy định về quản lý rủi ro của đơn vị. Đánh giá dữ liệu nhật ký tối thiểu 01 lần/năm;

- Trong quá trình đánh giá dữ liệu nhật ký, phải theo dõi xử lý các sự kiện ngoại lệ và sự kiện bất thường đã phát hiện được.

h) Dữ liệu nhật ký phải được lưu trữ trực tuyến tối thiểu 03 tháng để sẵn sàng truy cập và sao lưu tối thiểu 01 năm.

2. Kiểm tra về an ninh hệ thống thanh toán thẻ

a) Tổ chức hoạt động thẻ phải thực hiện kiểm soát các điểm truy cập mạng không dây. Có danh sách các điểm truy cập không dây (nếu có) được phép kết nối vào mạng của đơn vị, giải thích rõ mục đích sử dụng và được người có thẩm quyền phê duyệt. Định kỳ hàng quý rà soát các điểm truy cập mạng không dây kết nối vào mạng nội bộ của đơn vị;

b) Tổ chức hoạt động thẻ phải dò quét, đánh giá các lỗ hổng bảo mật hệ thống công nghệ thông tin từ bên trong và bên ngoài mạng đơn vị tối thiểu 01 lần/quý và ngay sau khi có bất cứ thay đổi quan trọng nào trong hệ thống (bao gồm: bổ sung thêm các thiết bị; thay đổi mô hình mạng; các thay đổi chính sách truy cập của thiết bị tường lửa; nâng cấp, cập nhật hệ điều hành, ứng dụng). Thực hiện khắc phục ngay các lỗ hổng bảo mật ở mức độ cao được xác định theo c) Tổ chức hoạt động thẻ phải tổ chức diễn tập kịch bản thử nghiệm xâm nhập theo các yêu cầu sau:

- Thử nghiệm xâm nhập toàn bộ các hệ thống có lưu trữ, xử lý dữ liệu chủ thẻ;

- Thực hiện thử nghiệm xâm nhập từ bên trong và bên ngoài hệ thống ít nhất 01 lần/năm và ngay sau khi có sự thay đổi quan trọng trong hệ thống hoặc phát hiện được các lỗ hổng sau khi dò quét;

- Thử nghiệm xâm nhập hệ thống dựa trên các hướng dẫn của các tổ chức uy tín về hoạt động thử nghiệm xâm nhập và an toàn bảo mật;

- Thử nghiệm xâm nhập khai thác các lỗ hổng được liệt kê tại d) Tổ chức hoạt động thẻ phải sử dụng hệ thống phát hiện và phòng chống xâm nhập để phát hiện và ngăn chặn các xâm nhập trái phép vào hệ thống mạng, giám sát toàn bộ các truy cập đến môi trường dữ liệu chủ thẻ và cảnh báo cho người quản trị các nguy cơ bị xâm phạm. Các thiết bị phòng chống xâm nhập phải được cập nhật các dấu hiệu mã độc mới từ nhà cung cấp;

đ) Tổ chức hoạt động thẻ phải kiểm tra tính toàn vẹn đối với các dữ liệu quan trọng (các tập tin hệ thống, các tập tin cấu hình, các tập tin nội dung) tối thiểu hàng tháng.

Điều 19. Yêu cầu về đảm bảo hoạt động liên tục

1. Tổ chức hoạt động thẻ xây dựng quy trình khắc phục sự cố, quản lý rủi ro đối với hệ thống thanh toán thẻ, định kỳ tiến hành rà soát, cập nhật quy trình tối thiểu 01 lần/năm.

2. Hệ thống công nghệ thông tin phục vụ cho hoạt động thanh toán thẻ phải đảm bảo khả năng dự phòng tại chỗ và dự phòng thảm họa. Hệ thống dự phòng thảm họa phải thay thế hệ thống chính trong thời gian không quá 04 giờ kể từ khi hệ thống chính bị sự cố.

3. Tối thiểu 02 lần/năm, hệ thống thanh toán thẻ phải được chuyển hoạt động từ hệ thống chính sang hệ thống dự phòng để đảm bảo tính đồng nhất và sẵn sàng của hệ thống dự phòng.