Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet
Thông tư 35/2016/TT-NHNN - Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet
Thông tư 35/2016/TT-NHNN quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet và áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán tại Việt Nam. Thông tư này có hiệu lực thi hành kể từ ngày 01/07/2017 và thay thế Thông tư 29/2011/TT-NHNN.
Thông tư 09/2016/TT-NHNN quy định về ngân hàng hợp tác xã do Ngân hàng Nhà nước ban hành
Thông tư 19/2016/TT-NHNN Quy định về hoạt động thẻ ngân hàng
Quyết định 1726/QĐ-TTg về "Đề án nâng cao khả năng tiếp cận dịch vụ ngân hàng cho nền kinh tế"
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM -------- | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc --------------- |
Số: 35/2016/TT-NHNN | Hà Nội, ngày 29 tháng 12 năm 2016 |
THÔNG TƯ
QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT CHO VIỆC CUNG CẤP DỊCH VỤ NGÂN HÀNG TRÊN INTERNET
Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng 6 năm 2010;
Căn cứ Luật các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;
Căn cứ Luật Giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005;
Căn cứ Luật an toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;
Căn cứ Nghị định số 156/2013/NĐ-CP ngày 11 tháng 11 năm 2013 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Theo đề nghị của Cục trưởng Cục Công nghệ tin học,
Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.
2. Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán tại Việt Nam (sau đây gọi chung là đơn vị).
Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:
1. Dịch vụ ngân hàng trên Internet (Internet Banking) là các dịch vụ ngân hàng và dịch vụ trung gian thanh toán được các đơn vị cung cấp thông qua mạng Internet.
2. Hệ thống Internet Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Internet Banking.
3. Khách hàng là các tổ chức, cá nhân sử dụng dịch vụ Internet Banking.
4. Mã khóa bí mật dùng một lần (One Time Password - OTP) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch Internet Banking.
5. Xác thực hai yếu tố là phương pháp xác thực yêu cầu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mã khoá bí mật, ...) cùng với những gì mà người dùng có (thẻ thông minh, thiết bị token, điện thoại di động ...) hoặc những dấu hiệu sinh trắc học của người dùng để xác minh danh tính.
6. Mã hóa điểm đầu đến điểm cuối (end to end encryption) là cơ chế mã hoá thông tin ở điểm đầu trước khi gửi đi và chỉ được giải mã sau khi nhận được tại điểm cuối trong quá trình trao đổi thông tin giữa các ứng dụng, các thiết bị trong hệ thống nhằm hạn chế rủi ro bị lộ, lọt thông tin trên đường truyền.
Điều 3. Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking
1. Hệ thống Internet Banking được xếp hạng là hệ thống công nghệ thông tin quan trọng và tuân thủ theo quy định của Ngân hàng Nhà nước về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng.
2. Đảm bảo bí mật thông tin khách hàng; tính toàn vẹn dữ liệu giao dịch khách hàng và mọi giao dịch tài chính của khách hàng phải được xác thực tối thiểu hai yếu tố.
3. Đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.
4. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.
5. Xác định rủi ro, có biện pháp phòng ngừa, xử lý rủi ro trong cung cấp dịch vụ Internet Banking.
6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng; trường hợp không còn hỗ trợ của nhà sản xuất, không có khả năng nâng cấp để cài đặt phần mềm phiên bản mới đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất.
Chương II
CÁC QUY ĐỊNH CỤ THỂ
Mục 1. HẠ TẦNG KỸ THUẬT CỦA HỆ THỐNG INTERNET BANKING
Điều 4. Hệ thống mạng, truyền thông và an ninh bảo mật
Đơn vị phải thiết lập hệ thống mạng, truyền thông và an ninh bảo mật đạt yêu cầu tối thiểu sau:
1. Hệ thống mạng được chia tách thành các phân vùng, tối thiểu gồm: phân vùng kết nối Internet, phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ), phân vùng người dùng, phân vùng quản trị, phân vùng máy chủ. Các máy tính phục vụ cho việc cung cấp thông tin trên Internet phải được đặt trong phân vùng DMZ. Các máy chủ lưu trữ, xử lý dữ liệu phải được đặt trong phân vùng máy chủ
2. Trang bị các giải pháp an ninh bảo mật cho hệ thống Internet Banking, tối thiểu gồm: thiết bị tường lửa; phòng chống vi rút; phòng chống tấn công từ chối dịch vụ; tường lửa bảo vệ lớp ứng dụng và phòng chống tấn công xâm nhập.
3. Dữ liệu nhạy cảm không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ.
4. Kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua phân vùng DMZ để kiểm soát an ninh, bảo mật.
5. Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Internet Banking.
6. Kiểm tra chính sách an ninh bảo mật; quyền truy cập; các kết nối, trang thiết bị, phần mềm cài đặt bất hợp pháp vào hệ thống mạng tối thiểu ba tháng một lần.
7. Không thiết lập kết nối từ mạng không dây đến môi trường vận hành hệ thống Internet Banking.
8. Hạn chế kết nối từ xa để thực hiện công tác quản trị hệ thống. Trường hợp bắt buộc phải kết nối từ xa vào vùng máy chủ, đơn vị phải sử dụng giao thức truyền thông được mã hóa và không lưu mã khóa bí mật tại các phần mềm tiện ích.
9. Kết nối từ Internet vào hệ thống mạng nội bộ để thực hiện công tác quản trị hệ thống phải được tuân thủ các quy tắc sau:
a) Phải được người có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối;
b) Phải sử dụng giao thức truyền thông được mã hóa;
c) Thiết bị kết nối phải được cài đặt các phần mềm đảm bảo an ninh bảo mật;
d) Phải sử dụng biện pháp xác thực hai yếu tố khi đăng nhập hệ thống.
10. Đường truyền kết nối Internet phải đảm bảo tính sẵn sàng và tối thiểu phải kết nối từ hai nhà cung cấp dịch vụ khác nhau.
11. Trang bị giải pháp đảm bảo an toàn bảo mật giữa các phân vùng mạng: giữa các phân vùng mạng khác nhau phải có thiết bị tường lửa hoặc thiết bị phòng chống xâm nhập.
Điều 5. Hệ thống máy chủ và phần mềm hệ thống
1. Yêu cầu đối với máy chủ
a) Hiệu năng sử dụng trung bình hàng tháng tối đa 80% công suất thiết kế;
b) Có tính năng sẵn sàng cao: Hệ thống Internet Banking phải có máy chủ dự phòng tại chỗ;
c) Tách biệt về lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác.
2. Đơn vị phải lập danh mục các phần mềm được phép cài đặt trên máy chủ. Định kỳ tối thiểu sáu tháng một lần cập nhật, kiểm tra, đảm bảo tuân thủ danh mục này.
Điều 6. Hệ quản trị cơ sở dữ liệu
1. Hệ quản trị cơ sở dữ liệu phải có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu.
2. Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng tại Trung tâm dự phòng thảm họa. Cơ sở dữ liệu dự phòng phải được cập nhật không quá một giờ so với cơ sở dữ liệu chính thức. Cơ sở dữ liệu phải được sao lưu định kỳ hàng ngày. Các bản sao lưu phải được quản lý, cất giữ an toàn.
3. Đơn vị phải có biện pháp giám sát, ghi nhật ký truy cập cơ sở dữ liệu và các thao tác khi truy cập cơ sở dữ liệu.
Tham khảo thêm
Thông tư 29/2016/TT-NHNN quy định về thấu chi và cho vay qua đêm thanh toán điện tử liên ngân hàng
Thông tư 315/2016/TT-BTC về quản lý và sử dụng tài khoản của Kho bạc Nhà nước mở tại Ngân hàng Nhà nước
Thông tư 31/2016/TT-NHNN về cho vay bằng ngoại tệ của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài
Thông tư 15/2016/TT-NHNN quy định việc cấp Giấy phép và hoạt động của tổ chức tín dụng phi ngân hàng
Quyết định 1013/QĐ-TTg về lãi suất cho vay ưu đãi nhà ở xã hội tại Ngân hàng Chính sách xã hội
- Chia sẻ:Phùng Thị Kim Dung
- Ngày:
Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet
430 KB 03/01/2017 8:39:00 SATải định dạng .DOC
10/01/2018 10:57:51 CH
Gợi ý cho bạn
-
Tải Thông tư 29/2024/TT-NHNN quy định về quỹ tín dụng nhân dân file Doc, Pdf
-
Biểu mẫu chứng từ kế toán theo Thông tư 19 BTC
-
Thông tư 27/2023/TT-BTC phí thẩm định thiết kế kỹ thuật, dự toán xây dựng
-
Thông tư 30/2023/TT-BTC hướng dẫn tổ chức giao dịch trái phiếu doanh nghiệp chào bán riêng lẻ
-
Thông tư 71/2024/TT-BTC hướng dẫn Chế độ kế toán Hợp tác xã, liên hiệp hợp tác xã
-
Nghị định 08/2023/NĐ-CP về trái phiếu doanh nghiệp
-
Thông tư 39/2016/TT-BTC về kiểm soát, thanh toán các khoản chi ngân sách qua Kho bạc Nhà nước
-
Thông tư 74/2022/TT-BTC hình thức, thời hạn thu, nộp, kê khai các khoản phí, lệ phí của Bộ Tài chính
-
Thông tư 22/2022/TT-NHNN sửa đổi, bổ sung Thông tư 05/2018/TT-NHNN
-
Luật Giá 2023 số 16/2023/QH15
Có thể bạn cần
Top 8 mẫu phân tích khổ cuối bài Tràng giang hay chọn lọc
Hướng dẫn khai Phiếu đảng viên (mẫu 2-HSĐV)
Mẫu Bài thu hoạch nghị quyết trung ương 4 khóa 12 cho Đảng viên
Biên bản họp chi bộ đề nghị kết nạp Đảng viên
Top 4 mẫu Cảm nhận bài thơ Sóng hay chọn lọc
Thực hành theo hướng dẫn để tạo ra 02 sản phẩm hỗ trợ việc giảng dạy môn Toán cấp tiểu học
Bài thu hoạch bồi dưỡng thường xuyên module GVMN 3 năm 2024 mới cập nhật
Bộ tranh thiếu nhi về chào mừng Đại hội Đoàn 2024
Công văn xin hủy tờ khai Thuế GTGT do kê khai sai 2024
Suy nghĩ về số phận người phụ nữ trong xã hội phong kiến
Tờ khai thuế thu nhập cá nhân Mẫu 05/KK-TNCN, 05-DK-TCT 2024
Mẫu nhận xét các môn học theo Thông tư 22, Thông tư 27
Bài viết hay Tài chính - Ngân hàng
Nghị định 80/2016/NĐ-CP sửa đổi Nghị định 101/2012/NĐ-CP về thanh toán không dùng tiền mặt
Thông tư 332/2016/TT-BTC quy định mới về thu tiền sử dụng đất
Thông tư 15/2016/TT-NHNN quy định việc cấp Giấy phép và hoạt động của tổ chức tín dụng phi ngân hàng
Thông tư quy định về quỹ tín dụng nhân dân số 04/2015/TT-NHNN
Thông tư 30/2012/TT-NHNN
Thông tư số 118/2010/TT-BTC
Thuế - Lệ phí - Kinh phí
Giáo dục - Đào tạo
Y tế - Sức khỏe
Thể thao
Bảo hiểm
Chính sách
Hành chính
Cơ cấu tổ chức
Quyền Dân sự
Tố tụng - Kiện cáo
Dịch vụ Pháp lý
An ninh trật tự
Trách nhiệm hình sự
Văn bản Nông - Lâm - Ngư nghiệp
Tài nguyên - Môi trường
Công nghệ - Thông tin
Khoa học công nghệ
Văn bản Giao thông vận tải
Hàng hải
Văn hóa Xã hội
Du lịch
Doanh nghiệp
Xuất - Nhập khẩu
Tài chính - Ngân hàng
Lao động - Tiền lương
Đầu tư - Chứng khoán - Thương mại
Xây dựng - Đô thị - Đất đai - Nhà ở
Lĩnh vực khác