Thông tin bí mật của khách hàng phải được mã hóa

Ảnh minh họa

Ngân hàng Nhà nước đang lấy ý kiến cho dự thảo sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

Theo đó, dự thảo được sửa đổi, bổ sung nhằm đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.

Các giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn, đáp ứng: Áp dụng biện pháp xác thực tối thiểu hai yếu tố khi thay đổi thông tin định danh khách hàng; Áp dụng tối thiểu biện pháp xác thực giao dịch cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quy định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ; Đối với giao dịch gồm nhiều bước, áp dụng tối thiểu biện pháp xác thực giao dịch tại bước phê duyệt cuối cùng.

Bên cạnh đó, dự thảo Thông tư cũng sửa đổi, bổ sung: Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ.

Đường truyền kết nối Internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.

Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng thảm họa được đồng bộ theo thời gian thực với cơ sở dữ liệu chính.

Đồng thời, phải có cơ chế kiểm soát phiên giao dịch: trường hợp người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định, căn cứ trên nhóm khách hàng và loại giao dịch, hệ thống tự động ngắt phiên giao dịch hoặc áp dụng các biện pháp bảo vệ khác;

Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để đảm bảo việc thực hiện giao dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch và được thực hiện bởi những người khác nhau. Trong trường hợp khách hàng là tổ chức được pháp luật cho phép áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch tương tự như khách hàng cá nhân.

Ngoài ra, dự thảo cũng đưa ra quy định, phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp khách hàng nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định, nhưng không được quá năm lần.

Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện bảo đảm chống gian lận, giả mạo. Thường xuyên cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng. Thông tin bí mật của khách hàng khi lưu trữ, truyền trên mạng Internet phải được mã hóa hoặc có biện pháp bảo vệ.

Dự thảo Thông tư cũng bãi bỏ khoản 7 Điều 4; Bãi bỏ khoản 1 Điều 10 của Thông tư 35/2016/TT-NHNN. Thay đổi cụm từ “Cục Công nghệ tin học” thành cụm từ “Cục Công nghệ thông tin” tại các Điều 20, 21 và 23 của Thông tư 35/2016/TT-NHNN.