Ngân hàng trên Internet: Phải bảo đảm cung cấp dịch vụ liên tục

Quy định về an toàn, bảo mật khi cung cấp dịch vụ ngân hàng trên Internet

Ảnh minh họa

Theo Thông tư này, NHNN yêu cầu đường truyền kết nối Internet cung cấp dịch vụ ngân hàng phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục. Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng thảm họa có khả năng thay thế cơ sở dữ liệu chính và bảo đảm không mất dữ liệu giao dịch trực tuyến của khách hàng.

Về kiểm soát phiên giao dịch, Thông tư quy định: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác;

Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để đảm bảo việc thực hiện giao dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch và được thực hiện bởi những người khác nhau. Trong trường hợp khách hàng là tổ chức được pháp luật cho phép áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch tương tự như khách hàng cá nhân.

Bên cạnh đó, Thông tư cũng nêu rõ, phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự động khoá tạm thời không cho người dùng tiếp tục sử dụng.

Đối với việc truy cập hệ thống Internet Banking bằng trình duyệt, đơn vị phải có biện pháp chống đăng nhập tự động.

Tại khoản 2 Điều 9 Thông tư 35 được sửa đổi, bổ sung: Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo.

Đơn vị cung cấp dịch vụ phải thiết lập chính sách hạn chế truy cập Internet đối với các máy tính thực hiện quản trị, giám sát hệ thống Internet Banking. Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị phải: Đánh giá rủi ro cho việc kết nối Internet; Áp dụng các biện pháp kiểm soát cho việc kết nối; Phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt.

Thông tư 35 có hiệu lực thi hành kể từ ngày 1 tháng 7 năm 2019.