Thông tư này quy định các yêu cầu bảo đảm an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Online Banking), bao gồm: Hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; hoạt động cung ứng dịch vụ trung gian thanh toán; hoạt động thông tin tín dụng.
Theo Thông tư quy định, hệ thống Online Banking phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, đối với hệ thống thông tin cung cấp dịch vụ chuyển mạch tài chính, dịch vụ bù trừ điện tử phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 4 trở lên; tuân thủ tiêu chuẩn TCVN 11930:2017 (tiêu chuẩn Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ) và quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.
Bảo đảm tính bí mật, tính toàn vẹn của thông tin khách hàng; bảo đảm tính sẵn sàng của hệ thống Online Banking để cung cấp dịch vụ một cách liên tục.
Các giao dịch của khách hàng được phân loại và đánh giá mức độ rủi ro tối thiểu theo: nhóm khách hàng, hành vi sử dụng của khách hàng, loại giao dịch, hạn mức giao dịch (nếu có) và tuân thủ các quy định của pháp luật liên quan. Trên cơ sở đó, đơn vị cung cấp các hình thức xác nhận giao dịch phù hợp cho khách hàng lựa chọn.
Thực hiện kiểm tra, đánh giá an toàn, bảo mật hệ thống Online Banking định kỳ hàng năm.
Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ Online Banking.
Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới. Trong thời gian chưa nâng cấp, thay thế, đơn vị phải có biện pháp tăng cường bảo đảm an toàn, bảo mật hệ thống Online Banking.
Hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi bảo đảm an toàn, bảo mật theo quy định của Thông tư này và các quy định của pháp luật liên quan.
Bên cạnh đó, Thông tư cũng quy định rõ, đơn vị phải thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật đạt yêu cầu tối thiểu sau:
Có các giải pháp an toàn, bảo mật tối thiểu gồm: Tường lửa ứng dụng hoặc giải pháp bảo vệ có tính năng tương đương; tường lửa cơ sở dữ liệu hoặc giải pháp bảo vệ có tính năng tương đương; giải pháp phòng, chống tấn công từ chối dịch vụ (DoS – Denial of Service attack), tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service attack) đối với các hệ thống cung cấp dịch vụ trực tiếp trên Internet; hệ thống quản lý và phân tích sự kiện an toàn thông tin.
Thông tin khách hàng (thông tin nhận biết khách hàng, thông tin giao dịch của khách hàng) không được lưu trữ tại phân vùng kết nối Internet và phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ).
Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Online Banking.
Kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quản trị chỉ được thực hiện trong trường hợp không thể kết nối từ mạng nội bộ và bảo đảm an toàn, tuân thủ các quy định: Phải được cấp có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối; phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương; thiết bị kết nối phải được cài đặt các phần mềm bảo đảm an toàn, bảo mật; sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật tại các phần mềm tiện ích.
Đường truyền kết nối mạng cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.
Đơn vị phải áp dụng các biện pháp bảo đảm an toàn, bảo mật dữ liệu khách hàng, tối thiểu bao gồm:
Dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật.
Thông tin sử dụng để xác nhận giao dịch của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để bảo đảm tính bí mật.
Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.
Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng chống nguy cơ lộ, lọt dữ liệu.
Thông báo cho khách hàng khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng và báo cáo kịp thời về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin).
Độc giả còn vướng mắc có thể đóng góp ý kiến tại phần "Bình luận" phía dưới; liên hệ Đường dây nóng tư vấn pháp luật: 0899.515.999 hoặc gửi câu hỏi cho tòa soạn tại đây để được hỗ trợ.
Tags:
Tags:
(PLPT) - Ngày 19/9, Bộ trưởng Bộ Giáo dục và Đào đạo (GDĐT) vừa ban hành Thông tư số 20/2025/TT-BGDĐT về Chương trình các môn học bồi dưỡng dự bị đại học từ ngày 04/11/2025
(PLPT) - Ngày 21/9/2025, Phó Thủ tướng Thường trực Nguyễn Hòa Bình ký Quyết định số 2109/QĐ-TTg phê duyệt phương án cắt giảm, đơn giản hóa thủ tục hành chính liên quan đến hoạt động sản xuất, kinh doanh thuộc phạm vi quản lý của Bộ Ngoại giao năm 2025.
(PLPT) - Bộ Nông nghiệp và Môi trường vừa ban hành Thông tư 58/2025/TT-BNNMT quy định định mức kinh tế - kỹ thuật giao rừng, cho thuê rừng. Thông tư này có hiệu lực thi hành từ 27/11/2025.
(PLPT) - Ngày 13/9/2025, Thủ tướng Chính phủ Phạm Minh Chính vừa ký Chỉ thị số 24/CT-TTg về việc thúc đẩy triển khai các giải pháp công nghệ phục vụ người dân và doanh nghiệp gắn với dữ liệu dân cư, định danh và xác thực điện tử.
(PLPT) - Triển khai Nghị quyết số 5/2025/NQ-CP về thí điểm thị trường tài sản mã hóa, Bộ Tài chính phối hợp chặt chẽ với Bộ Công an và Ngân hàng Nhà nước nhằm xây dựng cơ chế cấp phép, quản lý và giám sát chặt chẽ các tổ chức cung cấp dịch vụ. Nhà đầu tư được mở nhiều tài khoản tại các tổ chức cung cấp dịch vụ tài sản mã hóa theo nguyên tắc tại mỗi tổ chức cung cấp dịch vụ tài sản mã hóa chỉ được mở một tài khoản.
(PLPT) - Việc xây dựng Thông tư bãi bỏ một số văn bản quy phạm pháp luật thuộc thẩm quyền của Bộ trưởng Bộ Văn hóa, Thể thao và Du lịch rất cần thiết, góp phần hoàn thiện hệ thống pháp luật trong lĩnh vực quản lý của Bộ và bảo đảm thực hiện đúng quy định của Luật Ban hành văn bản quy phạm pháp luật 2025, Luật sửa đổi, bổ sung một số điều của Luật Ban hành văn bản quy phạm pháp luật 2025 và các bản quy định chi tiết thi hành.
(PLPT) - Thủ tướng Chính phủ vừa ký ban hành Công điện số 149/CĐ-TTg ngày 28/8/2025 về việc tặng quà cho người dân nhân kỷ niệm 80 năm Cách mạng Tháng Tám và Quốc khánh 2/9.
(PLPT) - Về trách nhiệm tổ chức thi hành pháp luật, Nghị định số 80 quy định Chính phủ tổ chức thi hành Hiến pháp, luật, nghị quyết của Quốc hội, pháp lệnh, nghị quyết của Ủy ban Thường vụ Quốc hội, lệnh, quyết định của Chủ tịch nước.
