Thông tư 47/2014/TT-NHNN

HoaTieu.vn xin giới thiệu, thông tư 47/2014/TT-NHNN yêu cầu tổ chức cung cấp dịch vụ ATM trang bị hệ thống báo động cho ATM nhằm phòng chống mở cửa, di dời và đập phá máy trái phép, thông tư 47 có hiệu lực từ ngày 01/04/2015.

Cài đặt trang bị hệ thống báo động cho ATM

THÔNG TƯ
QUY ĐỊNH CÁC YÊU CẦU KỸ THUẬT VỀ AN TOÀN BẢO MẬT ĐỐI VỚI TRANG THIẾT BỊ PHỤC VỤ THANH TOÁN THẺ NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dùng tiền mặt;

Căn cứ Nghị định số 156/2013/NĐ-CP ngày 11 tháng 11 năm 2013 quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ tin học;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng.

QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Thông tư này quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng tại Việt Nam.

2. Thông tư này áp dụng đối với các tổ chức hoạt động thẻ, bao gồm:

a) Tổ chức phát hành thẻ (viết tắt là TCPHT);

b) Tổ chức thanh toán thẻ (viết tắt là TCTTT);

c) Tổ chức cung ứng dịch vụ trung gian thanh toán (viết tắt là TCTGTT) có trang thiết bị phục vụ thanh toán thẻ ngân hàng.

CÁC YÊU CẦU KỸ THUẬT CHUNG

Điều 3. Thiết lập và quản lý cấu hình thiết bị an ninh mạng

1. Các yêu cầu về thiết lập và quản lý cấu hình thiết bị an ninh mạng:

a) Việc thiết lập và thay đổi cấu hình thiết bị an ninh mạng phải được kiểm thử và được người có thẩm quyền phê duyệt trước khi thực hiện;

b) Sơ đồ kết nối hệ thống mạng phải được thiết kế đáp ứng yêu cầu:

- Tách biệt giữa vùng dữ liệu chủ thẻ và các vùng mạng khác bao gồm cả vùng mạng không dây;

- Tách biệt chức năng của máy chủ theo nguyên tắc các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ quản lý tên miền phải để trên các máy chủ khác nhau (có thể là các máy chủ ảo trên một máy chủ vật lý);

- Có tường lửa tại các điểm kết nối giữa các vùng của hệ thống mạng;

- Sơ đồ mạng phải mô tả được toàn bộ đường đi của dữ liệu chủ thẻ.

c) Phân định trách nhiệm và quyền hạn đối với bộ phận, cá nhân trong quản lý, cấu hình các thiết bị an ninh mạng bằng văn bản;

d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt;

đ) Quy định bằng văn bản các cổng, dịch vụ, giao thức sử dụng trên hệ thống mạng bao gồm cả những cổng, giao thức, dịch vụ không an toàn. Triển khai đầy đủ các giải pháp an ninh khi sử dụng các cổng, dịch vụ và giao thức không an toàn;

e) Thực hiện đánh giá lại các chính sách thiết lập trên thiết bị an ninh mạng tối thiểu 02 lần/năm nhằm loại bỏ các chính sách không sử dụng, hết thời hạn hoặc thiết lập sai chính sách, đảm bảo chính sách được thiết lập trên thiết bị đúng với các chính sách đã được người có thẩm quyền phê duyệt.

ĐIỀU KHOẢN THI HÀNH

Điều 20. Chế độ báo cáo

Các tổ chức hoạt động thẻ có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) như sau:

1. Báo cáo định kỳ hàng năm về việc thực hiện các quy định tại Thông tư này:

a) Thời hạn gửi báo cáo trước ngày 15 tháng 11 hàng năm;

b) Hình thức gửi báo cáo và mẫu báo cáo theo hướng dẫn của Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học).

2. Báo cáo đột xuất khi xảy ra vụ việc mất an toàn đối với hệ thống thanh toán thẻ:

a) Thời hạn gửi báo cáo: Trong vòng 10 ngày kể từ ngày vụ việc được phát hiện;

b) Nội dung báo cáo bao gồm: ngày, địa điểm phát sinh vụ việc; nguyên nhân vụ việc; đánh giá rủi ro, ảnh hưởng đối với hệ thống thanh toán thẻ và nghiệp vụ tại nơi xảy ra vụ việc và những địa điểm khác có liên quan;

c) Các biện pháp tổ chức đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro; kiến nghị, đề xuất.

Điều 21. Hiệu lực thi hành

Thông tư này có hiệu lực thi hành kể từ ngày 01/04/2015.

Điều 22. Quy định chuyển tiếp

Tổ chức hoạt động thẻ có các trang thiết bị thanh toán thẻ đã được lắp đặt trước ngày Thông tư này có hiệu lực phải rà soát, xây dựng các phương án xử lý, trong đó, nêu rõ các yêu cầu chưa đáp ứng, biện pháp và thời hạn thực hiện để đáp ứng đầy đủ các yêu cầu tại Thông tư và gửi Ngân hàng Nhà nước (Cục Công nghệ tin học) trước ngày 01/07/2015.

Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) xem xét phương án xử lý, yêu cầu tổ chức hoạt động thẻ sửa đổi, bổ sung phương án xử lý bao gồm cả thời hạn thực hiện (nếu thấy chưa đáp ứng được yêu cầu hoặc chưa đảm bảo tính khả thi) và các biện pháp trong phương án xử lý; giám sát thực hiện phương án xử lý của các tổ chức hoạt động thẻ.

Tổ chức hoạt động thẻ có trách nhiệm thực hiện phương án xử lý, sửa đổi, bổ sung và thực hiện phương án xử lý theo ý kiến của Ngân hàng Nhà nước Việt Nam (nếu có).

Điều 23. Trách nhiệm tổ chức thực hiện

1. Cục Công nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thực hiện Thông tư này và gửi kết quả kiểm tra cho các đơn vị liên quan để xử lý.

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm thanh tra, giám sát các tổ chức, cá nhân có liên quan trong việc thực hiện Thông tư này và xử lý vi phạm theo quy định của pháp luật.

3. Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương có trách nhiệm kiểm tra, giám sát, xử lý vi phạm theo thẩm quyền đối với hoạt động ATM, POS trên địa bàn theo các quy định tại Thông tư này và gửi kết quả kiểm tra về Ngân hàng Nhà nước Việt Nam (qua Cục Công nghệ tin học).

4. Thủ trưởng các đơn vị liên quan thuộc Ngân hàng Nhà nước Việt Nam; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) các tổ chức hoạt động thẻ có trách nhiệm tổ chức thực hiện Thông tư này.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC

Nguyễn Toàn Thắng