NHNN đề xuất hệ thống online banking phải đảm bảo an toàn hệ thống thông tin cấp 3 trở lên
Dự thảo Thông tư về an toàn bảo mật cho dịch vụ trực tuyến trong ngành Ngân hàng, NHNN yêu cầu hệ thống Online Banking phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên.
Ngân hàng Nhà nước (NHNN) vừa công bố dự thảo Thông tư quy định về đảm bảo an toàn, bảo mật cho việc cung cấp và bảo mật của dịch vụ trực tuyến của ngành ngân hàng (Online Banking).
Theo dự thảo này, hệ thống Online Banking của các ngân hàng phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên, bảo đảm tính bí mật và toàn vẹn của thông tin khách hàng, cũng như đảm bảo tính sẵn sàng cung cấp dịch vụ một cách liên tục của hệ thống Online Banking.
Online Banking cần đảm bảo an toàn hệ thống thông tin cấp 3 trở lên (Ảnh TL)
Đối với các giao dịch của khách hàng, hệ thống cần đánh giá mức độ rủi ro tối thiểu theo từng nhóm khách hàng, loại giao dịch và hạn mức giao dịch. Từ đó, cung cấp hình thức xác thực giao dịch phù hợp cho khách hàng lựa chọn. Tuân thủ các quy định áp dụng xác thực đa yếu tố khi thay đổi thông tin định danh khách hàng và áp dụng các hình thức xác thực cho từng nhóm khách hàng, loại giao dịch, hạn hức giao dịch theo quy định. Với các giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.
Theo NHNN, hệ thống online banking cũng cần được kiểm tra, đánh giá về an ninh, bảo mật định kỳ hàng năm. Ngoài ra, các ngân hàng cần thường xuyên nhận dạng rủi ro, xác định nguyên nhân gây ra rủi ro từ đó kịp thời có kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ online banking.
Với trang thiết bị hạ tầng kỹ thuật cung cấp cho dịch vụ Online Banking, cần phải có bản quyền, nguồn gốc xuất xứ rõ ràng. Ngân hàng cần có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm trang thiết bị hạ tầng có khả năng cài đặt các phiên bản phần mềm mới.
Đơn vị cung cấp dịch vụ Online Banking cũng cần thiết lập hệ thống an ninh bảo mật tối thiểu gồm: Tường lửa ứng dụng; tường lửa cơ sở dữ liệu; hệ thống giám sát, cảnh báo tập trung đối với các hành vi tấn công hoặc hành vi bất thường. Bên cạnh đó, thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ (phân vùng trung gian giữa mạng nội bộ và mạng Internet).
Dự thảo cũng đã yêu cầu các đơn vị cung cấp dịch vụ Online Banking quản lý lỗ hồng và điểm yếu của hệ thống với các biện pháp phòng chống, dò tìm phát hiện thay đổi của trang tin điện tử và ứng dụng Online Banking. Từ đó thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking để kịp thời ngăn chặn các tình huống nguy hiểm, bảo mật thông tin.
Hoạt động dò, quét lỗ hồng và điểm yếu của hệ thống cần được thực hiện tối thiểu mỗi năm một lần hoặc ngay khi tiếp nhận thông tin về lỗ hổng, điểm yếu mới của hệ thống.
