Nhiều quy định mới được bổ sung
Theo đánh giá của NHNN, tình hình an ninh mạng tại Việt Nam hiện nay diễn ra phức tạp, ngành Ngân hàng, tài chính là một trong các ngành thuộc đích nhắm hàng đầu của tội phạm sử dụng công nghệ cao. Tội phạm sử dụng không gian mạng để lừa đảo chiếm đoạt tài sản gia tăng, các đối tượng sử dụng tài khoản ngân hàng, ví điện tử không chính chủ để nhận, chuyển tiền lừa đảo, sau đó thông qua tiền ảo (USDT, Bitcoin,…) để làm công cụ rửa tiền gây thiệt hại về tài sản của khách hàng và ngân hàng.
Bên cạnh đó, qua công tác kiểm tra và khảo sát, NHNN đã ghi nhận được các khó khăn, vướng mắc và các đề xuất trong quá trình triển khai thực hiện Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet tại các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán.
Do đó, dự thảo Thông tư thay thế sẽ cập nhật, bổ sung một số nội dung giải quyết các khó khăn vướng mắc trong hoạt động cung cấp dịch vụ trực tuyến tại các tổ chức trong ngành Ngân hàng.
Dự thảo Thông tư gồm 3 Chương 24 Điều và 2 Phụ lục. Về phạm vi, dự thảo Thông tư đã mở rộng phạm vi quy định về an toàn, bảo mật cho việc cung cấp dịch vụ Online Banking, ngoài các dịch vụ ngân hàng, dịch vụ trung gian thanh toán trên Internet (Internet Banking) bao gồm các dịch vụ khác được Thống đốc NHNN chấp thuận hoặc quy định như dịch vụ thông tin tín dụng, dịch vụ ngoại hối, dịch vụ lưu ký chứng khoán, dịch vụ liên quan đến bao thanh toán, thư tín dụng,… quy định tại Luật Các tổ chức tín dụng năm 2024.
Về đối tượng, dự thảo bổ sung đối tượng công ty thông tin tín dụng là đối tượng cung cấp dịch vụ thông tin tín dụng.
Dự thảo cũng bổ sung quy định về các hình thức xác thực điện tử mà không phải là chữ ký điện tử theo Luật Giao dịch điện tử năm 2023 để thể hiện sự chấp thuận của khách hàng đối với giao dịch trực tuyến.
Hiện nay, nhiều tổ chức tín dụng, trung gian thanh toán đã triển khai giải pháp định danh, xác minh khách hàng trực tuyến (eKYC) bằng dấu hiệu sinh trắc học. Tuy nhiên, tại Việt Nam chưa có tiêu chuẩn kỹ thuật quy định về nội dung này. Do đó, dự thảo đề xuất bổ sung quy định về tiêu chuẩn xác thực bằng dấu hiệu nhận dạng sinh trắc học.
Đồng thời, Dự thảo bổ sung quy định về bảo vệ dữ liệu cá nhân của khách hàng theo quy định của pháp luật (Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân).
Tăng cường bảo đảm an toàn, bảo mật, phòng ngừa các sự cố
Dự thảo cũng bổ sung một số quy định mới để tăng cường bảo đảm an toàn, bảo mật, phòng ngừa các sự cố an toàn thông tin xảy ra trong thời gian gần đây như: quy định về triển khai giải pháp tường lửa bảo vệ cơ sở dữ liệu; quy định về kiểm tra, gia cố an toàn, bảo mật (hardening) cho hệ thống Online Banking.
Theo dự thảo, hệ thống Online Banking phải tuân thủ theo quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật. Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Online Banking để cung cấp dịch vụ một cách liên tục.
Các giao dịch của khách hàng được đánh giá mức độ rủi ro tối thiểu theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch (nếu có). Trên cơ sở đó cung cấp hình thức xác thực giao dịch phù hợp cho khách hàng lựa chọn, tuân thủ các quy định: Áp dụng xác thực đa yếu tố khi thay đổi thông tin định danh khách hàng; áp dụng các hình thức xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quy định; đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng; Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Online Banking theo định kỳ hàng năm.
Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.
Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.
Dự thảo cũng nêu rõ, đơn vị phải thực hiện quản lý các lỗ hổng, điểm yếu của hệ thống Online Banking với các nội dung cơ bản như có biện pháp phòng, chống, dò tìm phát hiện các thay đổi của trang tin điện tử, phần mềm ứng dụng Online Banking; Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking; Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.
Đồng thời, cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến; Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiểu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới; Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý; Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro...