Hoạt động thẻ chặt chẽ và an toàn hơn

Mastercard và NAPAS hợp tác triển khai kết nối chuyển mạch thẻ

Với những quy định mới mang tính chất chặt chẽ và cụ thể hơn, NHNN cho rằng sau khi được bổ sung, sửa đổi, thông tư mới sẽ tạo ra khung pháp lý phù hợp để quản lý hệ thống tài khoản người dùng, giúp quản lý và vận hành tốt hơn trang thiết bị của hệ thống thanh toán thẻ tại các TCTD.

Giải thích rõ hơn về những yêu cầu sửa đổi, bổ sung Thông tư 47, bản thuyết minh của NHNN cho biết, trong những năm gần đây, tội phạm liên quan đến lĩnh vực thẻ và bảo mật thanh toán ngày càng tinh vi. Vì vậy, các quy định bảo mật cũ cần được bổ sung và thay thế.

Ảnh minh họa

Cụ thể, Dự thảo Thông tư yêu cầu việc truy cập vào tất cả thành phần hệ thống thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học. Đặc biệt, Dự thảo Thông tư yêu cầu phải có quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian.

Hay như trước đây, các TCTD có thể không bắt buộc phải che giấu địa chỉ mạng nội bộ và các thông tin về bảng định tuyến nội bộ khi kết nối với bên thứ ba, nhưng hiện nay cần có quy định bắt buộc các TCTD thực hiện việc làm này nhằm giảm thiểu rủi ro an ninh mạng. Hoặc trước đây, Thông tư 47 không quy định các ngân hàng mỗi năm phải định kỳ xem xét công nghệ phần mềm bảo mật, nhưng hiện nay Dự thảo Thông tư mới phải đưa thêm quy định này vào để bắt buộc các TCTD phải rà soát công nghệ mỗi năm ít nhất một lần nhằm xác định phần mềm bảo mật vẫn còn được hỗ trợ bởi nhà sản xuất và có thể đáp ứng các yêu cầu bảo mật tối đa. Nếu phát hiện không còn được nhà cung cấp hỗ trợ hoặc không đáp ứng nhu cầu bảo mật thì có thể kịp thời lên kế hoạch khắc phục và thay thế.

Đối với việc bảo vệ vùng lưu trữ dữ liệu thẻ, trước đây Thông tư 47 chỉ bắt buộc các TCTD che giấu sổ thẻ khi hiển thị và chỉ được hiển thị đầy đủ khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ, thì hiện nay Dự thảo Thông tư mới sẽ quy định cụ thể hơn, chỉ cho phép hệ thống công nghệ thông tin của các TCTD hiển thị tối đa 6 số đầu và 4 số cuối của mã thẻ. Việc hiển thị đầy đủ số thẻ cũng chỉ được phép thực hiện đối với một số nhân viên có thẩm quyền để thao tác nghiệp vụ. Các TCTD cũng sẽ bắt buộc phải lập danh sách các nhân viên có thẩm quyền xem số thẻ đầy đủ và thu hồi quyền này ngay khi nhân viên thay đổi vị trí công việc. Việc bổ sung quy định này sẽ giúp hoạt động che giấu thông tin thẻ được đảm bảo tối đa, đồng thời kiểm soát nhân sự tốt hơn tại các TCTD, phòng ngừa những trường hợp lộ thông tin ra bên ngoài.

Ở góc độ bảo vệ vật lý đối với bộ phận quản lý điều hành thẻ, Dự thảo Thông tư mới nâng cao yêu cầu đối với camera giám sát. Cụ thể, trước đây, các TCTD chỉ cần sử dụng camera hoặc có các biện pháp giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ; thì hiện nay camera ở khu vực xử lý thông tin thẻ cần đảm bảo yêu cầu chống lại được các hành vi phá hoại hoặc vô hiệu hóa. Các dữ liệu tại camera cần lưu trữ được tối thiểu 3 tháng để đảm bảo giám sát vật lý hiệu quả và kịp thời phát hiện những sự số nghi ngờ liên quan đến quá trình bảo mật thông tin tại từng TCTD.