Thông tư 35/2018/TT-NHNN sửa đổi Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Ngân hàng Nhà nước Việt Nam ban hành
Số hiệu: | 35/2018/TT-NHNN | Loại văn bản: | Thông tư |
Nơi ban hành: | Ngân hàng Nhà nước | Người ký: | Nguyễn Kim Anh |
Ngày ban hành: | 24/12/2018 | Ngày hiệu lực: | 01/07/2019 |
Ngày công báo: | 04/01/2019 | Số công báo: | Từ số 13 đến số 14 |
Lĩnh vực: | Tiền tệ - Ngân hàng | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Văn bản tiếng việt
Văn bản tiếng anh
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 35/2018/TT-NHNN |
Hà Nội, ngày 24 tháng 12 năm 2018 |
SỬA ĐỔI, BỔ SUNG MỘT SỐ ĐIỀU CỦA THÔNG TƯ SỐ 35/2016/TT-NHNN NGÀY 29 THÁNG 12 NĂM 2016 CỦA THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC VIỆT NAM QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT CHO VIỆC CUNG CẤP DỊCH VỤ NGÂN HÀNG TRÊN INTERNET
Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;
Căn cứ Luật các tổ chức tín dụng ngày 16 tháng 6 năm 2010 và Luật sửa đổi, bổ sung một số điều của Luật các tổ chức tín dụng ngày 20 tháng 11 năm 2017;
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Luật an toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Nghị định số 16/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;
Căn cứ Nghị định số 117/2018/NĐ-CP ngày 11 tháng 9 năm 2018 của Chính phủ quy định về việc giữ bí mật, cung cấp thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;
Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet (Thông tư 35/2016/TT-NHNN).
Điều 1. Sửa đổi, bổ sung một số điều của Thông tư 35/2016/TT-NHNN
1. Điều 3 được sửa đổi, bổ sung như sau:
“Điều 3. Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking
1. Hệ thống Internet Banking là hệ thống thông tin quan trọng theo quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.
2. Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.
3. Các thông tin giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn. Biện pháp xác thực giao dịch phải đáp ứng:
a) Áp dụng tối thiểu biện pháp xác thực đa thành tố khi thay đổi thông tin định danh khách hàng;
b) Áp dụng các biện pháp xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quyết định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ;
c) Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.
4. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.
5. Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.
6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.”.
2. Khoản 3 Điều 4 được sửa đổi, bổ sung như sau:
“3. Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ.”.
3. Khoản 10 Điều 4 được sửa đổi, bổ sung như sau:
“10. Đường truyền kết nối Internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.”.
4. Khoản 2 Điều 6 được sửa đổi, bổ sung như sau:
“2. Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng thảm họa có khả năng thay thế cơ sở dữ liệu chính và bảo đảm không mất dữ liệu giao dịch trực tuyến của khách hàng.”.
5. Điểm c và điểm đ khoản 6 Điều 7 được sửa đổi, bổ sung như sau:
“c) Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác”;
“đ) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để đảm bảo việc thực hiện giao dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch và được thực hiện bởi những người khác nhau. Trong trường hợp khách hàng là tổ chức được pháp luật cho phép áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch tương tự như khách hàng cá nhân”.
6. Khoản 3 Điều 8 được sửa đổi, bổ sung như sau:
“3. Phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự động khóa tạm thời không cho người dùng tiếp tục sử dụng.”.
7. Bổ sung điểm c vào khoản 1 Điều 9 như sau:
“c) Đối với việc truy cập hệ thống Internet Banking bằng trình duyệt, đơn vị phải có biện pháp chống đăng nhập tự động.”.
8. Khoản 2 Điều 9 được sửa đổi, bổ sung như sau:
“2. Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo.”.
9. Khoản 3 Điều 12 được sửa đổi, bổ sung như sau:
“3. Đơn vị phải thiết lập chính sách hạn chế truy cập Internet đối với các máy tính thực hiện quản trị, giám sát hệ thống Internet Banking. Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị phải:
a) Đánh giá rủi ro cho việc kết nối Internet;
b) Áp dụng các biện pháp kiểm soát cho việc kết nối;
c) Phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt.”.
10. Bổ sung khoản 6 vào Điều 13 như sau:
“6. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 3 - CVSS v3). Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời đáp ứng các tiêu chí sau:
a) Trong vòng 1 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng (tương đương với CVSS v3 điểm từ 9.0 trở lên);
b) Trong vòng 2 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức cao (tương đương với CVSS v3 điểm từ 7.0 đến 8.9);
c) Khoảng thời gian do đơn vị tự quyết định với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp (tương đương với CVSS v3 điểm nhỏ hơn 7.0).”.
11. Khoản 1 Điều 19 được sửa đổi, bổ sung như sau:
“1. Thông tin bí mật của khách hàng khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để đảm bảo tính bí mật.”
1. Bãi bỏ khoản 7 Điều 4 và khoản 1 Điều 10 Thông tư 35/2016/TT- NHNN.
2. Thay đổi cụm từ “Cục Công nghệ tin học” thành cụm từ “Cục Công nghệ thông tin” tại các Điều 20, 21 va 23 Thông tư 35/2016/TT-NHNN.
Điều 3. Trách nhiệm tổ chức thực hiện
Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương, Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán chịu trách nhiệm tổ chức thực hiện Thông tư này.
Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2019./.
|
KT. THỐNG ĐỐC |
THE STATE BANK OF VIETNAM |
SOCIALIST REPUBLIC OF VIET NAM |
No. 35/2018/TT-NHNN |
Hanoi, December 24, 2018 |
ON AMENDMENTS TO CIRCULAR NO. 35/2016/TT-NHNN DATED DECEMBER 29, 2016 OF THE GOVERNOR OF THE STATE BANK ON SAFETY, CONFIDENTIALITY OVER PROVISION FOR BANKING SERVICE ON THE INTERNET
Pursuant to the Law on the State Bank of Vietnam dated June 16, 2010;
Pursuant to the Law on Credit Institutions No.47/2010/QH12 dated June 16, 2010 and the Law on amendments to the Law on Credit Institutions dated November 20, 2017;
Pursuant to the Law on E-Transactions dated November 29, 2005;
Pursuant to the Law on cyberinformation security dated November 19, 2015;
Pursuant to the Decree No. 16/2017/ND-CP dated February 17, 2017 of the Government defining the functions, tasks, powers and organizational structure of the State Bank of Vietnam;
Pursuant to the Decree No.35/2007/ND-CP dated March 08, 2007 of the Government on E-transactions in the banking activities;
Pursuant to the Government’s Decree No. 117/2018/ND-CP dated September 11, 2018 on protection of confidentiality and provision of client information of credit institutions and foreign banks’ branches;
At the request of Director of Information Technology Administration;
The Governor of the State bank of Vietnam promulgates a Circular on amendments to Circular No. 35/2016/TT-NHNN dated December 29, 2016 of the Governor of the State Bank on safety, confidentiality over provision for banking service on the Internet (Circular No. 35/2016/TT-NHNN).
Article 1. Amendments to certain articles of Circular No. 35/2016/TT-NHNN
1. Article 3 shall be amended as follows:
“Article 3. General principles for safety and confidentiality for the information technology system serving the Internet Banking services
1. Internet Banking system is an important information technology system under regulations of the State Bank in terms of safety and confidentiality of information technology system in banking operation.
2. Ensure confidentiality and integrity of clients' information; ensure the Internet Banking system's availability to deliver services on a continual basis.
3. The level of risks of transactions shall be assessed according to each type of clients, types of transactions, and transaction limits so as to provide appropriate solutions for transaction authentication at clients’ options. The authentication of transactions shall:
a) At least apply multi-factor authentication upon any changes to client’s identity;
b) Apply authentication methods to each group of clients, type of transactions, transaction limits under a decision of Governor of the State Bank from time to time;
c) Regarding multi-step transactions, at least apply the authentication at the last authorization step.
4. Carry out annual inspection and assessment of security and confidentiality of the Internet Banking system.
5. Regularly identify risks, threats to pose risks and causes of risks, promptly take safeguard and control measures and deal with the risks while rendering internet banking services.
6. The information technology equipment providing Internet Banking services shall obtain copyright and have clear origin. Regarding a piece of equipment that has reached the end of its life and the manufacturer will no longer provide maintenance services, the service provider shall have a plan for upgrade or replacement according to the notice of the manufacturer, ensuring that the new software version may be installed on that equipment.”.
2. Clause 3 Article 4 shall be amended as follows:
“3. The client’s information may not be stored in the Internet connection zone and DMZ.”.
3. Clause 10 Article 4 shall be amended as follows:
“10. The Internet connection lines shall maintain high availability and continuous services.”.
4. Clause 2 Article 6 shall be amended as follows:
“2. The Internet Banking system must have disaster backup database capable of replacing the main database and ensure that clients’ online transaction data is not lost.”.
5. Point c and point dd Clause 6 Article 7 shall be amended as follows:
“c) Session control: the system applies session timeout in a case where a user has been inactive for more than the specified time prescribed by the service provider or applies other protective measures”;
“dd) With regard to a client being an organization, the application is designed in a manner to ensure that the transaction will be conducted in two steps as follows: creating and approving transaction and conducted by different persons. If the client is an organization authorized by the law to apply simple accounting regulations, the transaction shall be performed in the like manner as an individual client”.
6. Clause 3 Article 8 shall be amended as follows:
“3. The application must authenticate users upon their access and do not have password-saving feature. If incorrect passwords are entered continuously exceeding the times prescribed by the service provider, the application shall be automatically and temporarily locked to prevent the users from keeping using Internet Banking.”.
7. Point c shall be added to clause 1 Article 9 as follows:
“c) For access to Internet Banking system by browser, the service provider must have measures to disable automatic login.”.
8. Clause 2 Article 9 shall be amended as follows:
“2. The application shall have feature that requires a client to change his/her password immediately upon the first login; and lock out the account in a case where a client enters incorrect password continuously exceeding a certain times prescribed by the service provider. The account will be unlocked only when such client requests to unlock it and the client authentication must be done before unlocking to avoid fraud.”.
9. Clause 3 Article 12 shall be amended as follows:
“3. The service provider must establish a policy that the computers used for management, supervision and operation shall be restricted to access the Internet. Where it is necessary to access the Internet for the work, the service provider shall:
a) Assess the risks for Internet connection;
b) Apply controls for connectivity;
c) The implementation plan must be approved by a competent person at the service provider.”.
10. Clause 6 shall be added to Article 13 as follows:
“6. Update information on published security vulnerabilities related to system software, database management system and applications according to the Common Vulnerability Scoring System version 3 - CVSS v3). Update security patches or precautions that meet the following criteria:
a) Within 1 month after publication with a security vulnerability rated as critical (CVSS v3 score greater or equal to 9.0);
b) Within 3 month after publication with a security vulnerability rated as high (CVSS v3 score from 7.0 to 8.9);
c) The time period determined by the service provider itself with the security vulnerability rated as medium or low (CVSS v3 score less than 7.0).”.
11. Clause 1 Article 19 shall be amended as follows:
“1. The client’s confidential information, upon storage, must be encrypted or hidden to ensure the confidentiality.”
1. Clause 7 Article 4 and clause 1 Article 10 of Circular No. 35/2016/TT-NHNN shall be annulled.
2. The phrase “Cục Công nghệ tin học” (Informatics Technology Administration) shall be replaced with “Cục Công nghệ thông tin” (Information Technology Administration) in Articles 20, 21 and 23 of Circular 35/2016/TT-NHNN.
Chief of Office, Director of Information Technology and the heads of units of the Vietnam State Bank, Directors of State Bank-branches in provinces and cities directly under the Central Government, Chairmen of the Management Boards, Chairmen of the members’ Councils, general directors (directors) of credit institutions, branches of foreign banks providing Internet Banking services, providers of payment intermediary services shall implement this Circular.
This Circular comes into force from July 1, 2019./.
|
PP. GOVERNOR |
Tình trạng hiệu lực: Còn hiệu lực