Điều 3 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
Điều 3. Thiết lập và quản lý cấu hình thiết bị an ninh mạng
1. Các yêu cầu về thiết lập và quản lý cấu hình thiết bị an ninh mạng:
a) Việc thiết lập và thay đổi cấu hình thiết bị an ninh mạng phải được kiểm thử và được người có thẩm quyền phê duyệt trước khi thực hiện;
b) Sơ đồ kết nối hệ thống mạng phải được thiết kế đáp ứng yêu cầu:
- Tách biệt giữa vùng dữ liệu chủ thẻ và các vùng mạng khác bao gồm cả vùng mạng không dây;
- Tách biệt chức năng của máy chủ theo nguyên tắc các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ quản lý tên miền phải để trên các máy chủ khác nhau (có thể là các máy chủ ảo trên một máy chủ vật lý);
- Có tường lửa tại các điểm kết nối giữa các vùng của hệ thống mạng;
- Sơ đồ mạng phải mô tả được toàn bộ đường đi của dữ liệu chủ thẻ.
c) Phân định trách nhiệm và quyền hạn đối với bộ phận, cá nhân trong quản lý, cấu hình các thiết bị an ninh mạng bằng văn bản;
đ) Quy định bằng văn bản các cổng, dịch vụ, giao thức sử dụng trên hệ thống mạng bao gồm cả những cổng, giao thức, dịch vụ không an toàn. Triển khai đầy đủ các giải pháp an ninh khi sử dụng các cổng, dịch vụ và giao thức không an toàn;
e) Thực hiện đánh giá lại các chính sách thiết lập trên thiết bị an ninh mạng tối thiểu 02 lần/năm nhằm loại bỏ các chính sách không sử dụng, hết thời hạn hoặc thiết lập sai chính sách, đảm bảo chính sách được thiết lập trên thiết bị đúng với các chính sách đã được người có thẩm quyền phê duyệt.
2. Cấu hình thiết bị an ninh mạng
a) Giới hạn các truy cập đến môi trường dữ liệu chủ thẻ, chỉ chấp nhận các truy cập thực sự cần thiết và kiểm soát được;
b) Giới hạn các truy cập đến thiết bị mạng và thiết bị an ninh mạng khớp đúng với trách nhiệm của cá nhân, bộ phận được quy định tại Điểm c Khoản 1 Điều này;
c) Các tập tin cấu hình phải được đồng bộ với cấu hình đang hoạt động của thiết bị và được lưu trữ an toàn theo chế độ mật để tránh các truy cập trái phép;
d) Thực hiện thiết lập chức năng giám sát trạng thái gói tin hoặc lọc dữ liệu tự động trên thiết bị tường lửa hoặc định tuyến để phát hiện các gói tin không hợp lệ.
3. Kiểm soát các truy cập trực tiếp từ Internet đến môi trường dữ liệu chủ thẻ
a) Thiết lập vùng trung gian cung cấp dịch vụ ra ngoài Internet (xác định rõ các máy chủ, dịch vụ, địa chỉ IP, cổng, giao thức được phép truy cập). Việc kết nối ra, vào giữa Internet và môi trường dữ liệu chủ thẻ phải kết nối qua vùng trung gian cung cấp dịch vụ;
b) Thực hiện các biện pháp chống giả mạo để ngăn chặn và loại bỏ các khả năng giả mạo địa chỉ IP nguồn;
4. Yêu cầu thiết lập phần mềm tường lửa trên tất cả các thiết bị, máy tính cá nhân có kết nối đến dữ liệu thẻ
a) Các chính sách an ninh trên phần mềm tường lửa chỉ cho phép thực hiện các hoạt động đủ phục vụ cho nhu cầu xử lý các quy trình nghiệp vụ;
b) Đảm bảo các thiết lập trên phần mềm tường lửa là đang hoạt động;
c) Đảm bảo người dùng không thể thay đổi cấu hình phần mềm tường lửa trên thiết bị.
Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
- Số hiệu: 47/2014/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 31/12/2014
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Toàn Thắng
- Ngày công báo: Đang cập nhật
- Số công báo: Từ số 147 đến số 148
- Ngày hiệu lực: 01/04/2015
- Tình trạng hiệu lực: Kiểm tra
- Điều 3. Thiết lập và quản lý cấu hình thiết bị an ninh mạng
- Điều 4. Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ
- Điều 5. An toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ
- Điều 6. Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ
- Điều 7. Các yêu cầu kỹ thuật lắp đặt và an toàn vật lý ATM
- Điều 9. Các yêu cầu về giám sát, an ninh hệ thống ATM
- Điều 12. Chính sách an toàn bảo mật thông tin thẻ
- Điều 13. Các yêu cầu đối với bàn phím nhập số PIN
- Điều 14. Bảo vệ vùng lưu trữ dữ liệu thẻ
- Điều 15. Mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài
- Điều 16. Hạn chế quyền truy cập đến dữ liệu thẻ
- Điều 17. Hạn chế quyền truy cập vật lý tới dữ liệu thẻ
- Điều 18. Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ
- Điều 19. Yêu cầu về đảm bảo hoạt động liên tục