Thông tư 35/2018/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên tnternet được Ngân hàng Nhà nước Việt Nam (NHNN) ban hành ngày 24/12 sẽ có hiệu lực thi hành kể từ ngày hôm nay (1/7/2019).
Thông tư mới sửa đổi, bổ sung các quy định: Thông tin khách hàng không được lưu trữ tại phân vùng kết nối internet và phân vùng DMZ (khoản 3 Điều 4); Đường truyền kết nối internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục (khoản 10 Điều 4).
Cùng với đó, hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng thảm họa có khả năng thay thế cơ sở dữ liệu chính và bảo đảm không mất dữ liệu giao dịch trực tuyến của khách hang (khoản 2 Điều 6); Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác (điểm c khoản 6 Điều 7).
Đối với khách hàng là tổ chức, theo quy định mới, phần mềm ứng dụng được thiết kế để đảm bảo việc thực hiện giao dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch và được thực hiện bởi những người khác nhau. Trong trường hợp khách hàng là tổ chức được pháp luật cho phép áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch tương tự như khách hàng cá nhân (điểm d khoản 6 Điều 7).
Cũng theo quy định mới, phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự động khoá tạm thời không cho người dùng tiếp tục sử dụng (khoản 3 Điều 8).
Với việc truy cập hệ thống Internet Banking bằng trình duyệt, tại Thông tư mới, NHNN bổ sung quy định đơn vị phải có biện pháp chống đăng nhập tự động.
Đáng chú ý, với quy định về xác thực khách hàng truy cập dịch vụ Internet Banking, Thông tư mới đã sửa đổi, bổ sung: “Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo”.
Cũng theo quy định mới được NHNN sửa đổi, bổ sung, đơn vị phải thiết lập chính sách hạn chế truy cập internet đối với các máy tính thực hiện quản trị, giám sát hệ thống Internet Banking. Trường hợp cần phải kết nối internet để phục vụ công việc, đơn vị phải đánh giá rủi ro cho việc kết nối internet; áp dụng các biện pháp kiểm soát cho việc kết nối; phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt. Thông tin bí mật của khách hàng khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để đảm bảo tính bí mật.
