Thông tư số 29/2011/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet

Thông tư số 29/2011/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet

Thông tư số 29/2011/TT-NHNN của Ngân hàng Nhà nước Việt Nam: Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet. Thông tư 35/2016/TT-NHNN có hiệu lực thi hành kể từ ngày 01/07/2017 và thay thế Thông tư 29/2011/TT-NHNN.

THÔNG TƯ
Quy định về an toàn, bảo mật cho việc cung cấp
dịch vụ ngân hàng trên Internet
________________

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Luật giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định 64/2001/NĐ-CP ngày 20 tháng 9 năm 2001 của Chính phủ về hoạt động thanh toán qua các tổ chức cung ứng dịch vụ thanh toán;

Căn cứ Nghị định số 26/2007/NĐ-CP ngày 25 tháng 2 năm 2007 của Chính phủ quy định chi tiết thi hành Luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số;

Căn cứ Nghị định số 96/2008/NĐ-CP ngày 26 tháng 8 năm 2008 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Căn cứ Nghị định số 97/2008/NĐ-CP ngày 28 tháng 8 năm 2008 của Chính phủ về quản lý, cung cấp, sử dụng dịch vụ Internet và thông tin điện tử trên Internet;

Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet như sau:

Chương I. QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng

1. Thông tư này quy định các yêu cầu đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

2. Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài cung cấp dịch vụ ngân hàng trên Internet (sau đây gọi chung là đơn vị cung cấp dịch vụ) tại Việt Nam.

Điều 2. Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Dịch vụ ngân hàng trên Internet (dịch vụ Internet Banking): là các dịch vụ ngân hàng được cung cấp thông qua mạng Internet, bao gồm:

a) Thông tin về đơn vị cung cấp dịch vụ và các dịch vụ của đơn vị.

b) Dịch vụ tra cứu thông tin như: tra cứu thông tin khách hàng, tài khoản, truy vấn số dư và các thông tin khác.

c) Thực hiện các giao dịch tài chính trực tuyến như: dịch vụ về tài khoản, chuyển khoản, cấp tín dụng, thanh toán qua tài khoản.

d) Các dịch vụ khác theo quy định của Ngân hàng Nhà nước.

2. Hệ thống Internet Banking: là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật phục vụ cho việc quản lý và cung cấp dịch vụ ngân hàng trên Internet.

3. Khách hàng: là các tổ chức, cá nhân liên quan đến sử dụng dịch vụ Internet Banking.

4. Xác thực hai yếu tố: là phương pháp xác thực yêu cầu hai yếu tố khác nhau để chứng minh tính đúng đắn của một danh tính. Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết như mã số khách hàng, mật khẩu, cùng với những gì mà người dùng có như mật khẩu sử dụng một lần (OTP), ma trận lưới ngẫu nhiên, dấu hiệu sinh trắc học, hoặc các thiết bị hỗ trợ khác để chứng minh danh tính.

5. Tài khoản đặc quyền: là tài khoản truy cập vào hệ thống công nghệ thông tin nhằm thực hiện các công việc đặc biệt hoặc truy cập vào dữ liệu nhạy cảm. Tài khoản đặc quyền thường sử dụng cho việc cấu hình thiết bị, quản trị hệ thống, quản trị hệ điều hành, quản trị cơ sở dữ liệu hay quản trị ứng dụng nghiệp vụ (ví dụ như các tài khoản root, supervisors, system, administrator).

Điều 3. Nguyên tắc chung đối với việc cung cấp dịch vụ ngân hàng trên Internet của đơn vị cung cấp dịch vụ

1. Đảm bảo tính bí mật

a) Đảm bảo bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng theo quy định của pháp luật.

b) Mật khẩu khách hàng, khóa mã hóa và các mã khóa khác phải được mã hóa trong quá trình giao dịch, trên đường truyền và lưu trữ tại đơn vị cung cấp dịch vụ.

2. Đảm bảo tính sẵn sàng

a) Cam kết khả năng hoạt động liên tục của hệ thống Internet Banking một cách công khai, rõ ràng và được nêu rõ trong hợp đồng cung cấp dịch vụ với khách hàng. Cam kết này tối thiểu phải bao gồm cam kết về tổng thời gian dừng hệ thống trong năm, khoảng thời gian cung cấp dịch vụ trong ngày, thời gian phục hồi hệ thống sau khi gặp sự cố.

b) Đáp ứng đủ nguồn lực về hạ tầng công nghệ thông tin và nhân sự đảm bảo cung cấp dịch vụ Internet Banking liên tục đúng như cam kết của đơn vị cung cấp dịch vụ với khách hàng.

c) Xây dựng, ban hành và tuân thủ các quy trình của hệ thống Internet Banking.

d) Sử dụng các công cụ giám sát, theo dõi hiệu năng của hệ thống chính và hệ thống dự phòng đảm bảo hoạt động liên tục.

3. Đảm bảo tính toàn vẹn

a) Đảm bảo tính toàn vẹn của thông tin trong quá trình xử lý, lưu trữ và truyền nhận giữa đơn vị cung cấp dịch vụ và khách hàng.

b) Kết hợp các biện pháp an ninh về mặt hành chính và kỹ thuật trong:

- Truy cập vật lý;

- Truy cập lô gíc;

- Quá trình nhập, xử lý, truyền dẫn, kết xuất, lưu trữ, khôi phục dữ liệu.

4. Xác thực khách hàng và xác thực giao dịch

a) Đảm bảo xác thực và nhận dạng được khách hàng khi khách hàng truy cập và sử dụng dịch vụ Internet Banking.

b) Sử dụng xác thực hai yếu tố trên hệ thống Internet Banking khi thực hiện giao dịch thanh toán và các giao dịch quan trọng như: tạo kết nối giữa các tài khoản, đăng ký thanh toán cho bên thứ ba, thay đổi hạn mức giao dịch trong ngày, thay đổi thông tin tài khoản liên quan đến dữ liệu cá nhân của khách hàng (như địa chỉ cơ quan hoặc nhà riêng, số điện thoại liên lạc, địa chỉ thư điện tử và các thông tin khác nhằm xác thực khách hàng).

5. Bảo vệ khách hàng

a) Cung cấp đầy đủ thông tin về quyền lợi và nghĩa vụ của khách hàng trước khi ký kết hợp đồng cung cấp dịch vụ với khách hàng. Trong hợp đồng cung cấp dịch vụ phải nêu rõ việc đơn vị cung cấp dịch vụ đảm bảo các khoản nêu ra tại Điều này đối với khách hàng. Đơn vị cung cấp dịch vụ chịu trách nhiệm thực hiện đầy đủ các điều khoản thuộc trách nhiệm của mình nêu trong hợp đồng cung cấp dịch vụ ký kết với khách hàng.

b) Trong hợp đồng cung cấp dịch vụ, đơn vị cung cấp dịch vụ phải nêu rõ trách nhiệm bảo mật các thông tin cá nhân của khách hàng khi sử dụng dịch vụ Internet Banking; nêu rõ cách thức ngân hàng thu thập; sử dụng thông tin khách hàng, cam kết không bán, tiết lộ, rò rỉ các thông tin đó.

c) Có biện pháp đảm bảo an toàn, bảo mật trong trường hợp đơn vị cung cấp dịch vụ phân phối phần mềm cho khách hàng qua môi trường Internet.

d) Chịu trách nhiệm kiểm tra, cảnh báo và thực hiện các biện pháp phòng chống giả mạo website cung cấp dịch vụ Internet Banking của đơn vị cung cấp dịch vụ; đồng thời có trách nhiệm thông báo phương thức xác định website thật đến khách hàng.