QUYẾT ĐỊNH

BAN HÀNH TIÊU CHUẨN CƠ SỞ KỸ THUẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG CUNG CẤP DỊCH VỤ GIAO DỊCH CHỨNG KHOÁN TRỰC TUYẾN TRÊN THỊ TRƯỜNG CHỨNG KHOÁN

CHỦ TỊCH ỦY BAN CHỨNG KHOÁN NHÀ NƯỚC

Căn cứ Luật Chứng khoán ngày 26 tháng 11 năm 2019;

Căn cứ Luật Tiêu chuẩn và quy chuẩn kỹ thuật ngày 29 tháng 6 năm 2006;

Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Quyết định số 48/2015/QĐ-TTg ngày 08 tháng 10 năm 2015 của Thủ tướng Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ủy ban Chứng khoán Nhà nước trực thuộc Bộ Tài chính;

Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Thông tư số 73/2020/TT-BTC ngày 07 tháng 8 năm 2020 sửa đổi, bổ sung một số điều của Thông tư số 134/2017/TT-BTC ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán;

QUYẾT ĐỊNH:

- Tên tiêu chuẩn: Tiêu chuẩn cơ sở kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán.

- Quy chuẩn kỹ thuật Quốc gia tham chiếu: TCVN 11930:2017 công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ; TCVN 9250:2012 Trung tâm dữ liệu - yêu cầu về hạ tầng kỹ thuật viễn thông.

1. Cục Công nghệ thông tin: Chủ trì hướng dẫn, kiểm tra, giám sát công ty chứng khoán, công ty quản lý quỹ, đại lý phân phối chứng chỉ quỹ và các tổ chức, cá nhân có liên quan đến hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán trong việc chấp hành Tiêu chuẩn này.

Điều 3. Quyết định này có hiệu lực kể từ ngày ký và bãi bỏ Quyết định số 106/QĐ-UBCK ngày 08/02/2010 của Chủ tịch Ủy ban Chứng khoán Nhà nước ban hành Quy định hướng dẫn về yêu cầu hệ thống công nghệ thông tin của công ty chứng khoán.

BỘ TÀI CHÍNH

TIÊU CHUẨN CƠ SỞ

TCCS 01:2021/UBCK

Ủy ban Chứng khoán Nhà nước

Có hiệu lực từ

Ngày     tháng 6 năm 2021

(Ban hành kèm theo Quyết định số 379/QĐ-UBCK ngày 03/6/2021 của Chủ tịch Ủy ban Chứng khoán Nhà nước)

TCCS 01:2021/UBCK

TIÊU CHUẨN CƠ SỞ KỸ THUẬT HỆ THỐNG CÔNG NGHỆ THÔNG TIN TRONG HOẠT ĐỘNG CUNG CẤP DỊCH VỤ GIAO DỊCH CHỨNG KHOÁN TRỰC TUYẾN TRÊN THỊ TRƯỜNG CHỨNG KHOÁN

MỤC LỤC

LỜI GIỚI THIỆU

1.1. Phạm vi điều chỉnh, đối tượng áp dụng

1.3. Yêu cầu chung đối với hệ thống công nghệ thông tin

2.1. Yêu cầu về hạ tầng kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến

2.3. Yêu cầu về nguồn điện

3.1. Yêu cầu đối với phần mềm ứng dụng

3.3. Yêu cầu về sao lưu, phục hồi dữ liệu

4.1. Yêu cầu về hệ thống máy chủ và hạ tầng mạng

4.3. Yêu cầu đối với trang thông tin điện tử

5.1. Yêu cầu về sử dụng chữ ký số và xác thực giao dịch

CHƯƠNG VI. QUY ĐỊNH VỀ NHÂN SỰ QUẢN LÝ HỆ THỐNG CÔNG NGHỆ THÔNG TIN

MỞ ĐẦU

TCCS 01:2021/UBCK được xây dựng trên cơ sở tham khảo các bộ tiêu chuẩn quốc gia, các văn bản quy định về hệ thống công nghệ thông tin và có điều chỉnh, sửa đổi, bổ sung để phù hợp với các quy định về ứng dụng công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán như sau:

- TCVN 9250:2012 Trung tâm dữ liệu - yêu cầu về hạ tầng kỹ thuật viễn thông;

- Thông tư số 134/2017/TT-BTC ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán.

LỜI GIỚI THIỆU

- Quy định chung.

- Quy định về phần mềm và dữ liệu dự phòng.

- Quy định về xác thực và nhận dạng thiết bị đặt lệnh

Hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán phải bảo đảm đáp ứng quy định tại Thông tư 134/2017/TT-BTC ngày 19/12/2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán (sau đây gọi là Thông tư 134/2017/TT-BTC), Thông tư số 73/2020/TT-BTC ngày 07/8/2020 sửa đổi, bổ sung một số điều của Thông tư số 134/2017/TT-BTC ngày 19/12/2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán (sau đây gọi là Thông tư 73/2020/TT-BTC) và các nội dung hướng dẫn tại tiêu chuẩn này.

QUY ĐỊNH CHUNG

1.1.1. Quy định này hướng dẫn chi tiết về tiêu chuẩn kỹ thuật đối với hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán.

1.1.2. Đối tượng áp dụng: công ty chứng khoán, công ty quản lý quỹ, đại lý phân phối chứng chỉ quỹ và các tổ chức, cá nhân có liên quan đến hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến.

1.2.1. Hệ thống công nghệ thông tin bao gồm các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng viễn thông, mạng Internet, mạng máy tính, trang thông tin điện tử để phục vụ giao dịch chứng khoán trực tuyến.

1.2.3. Vùng mạng biên là vùng mạng được thiết lập để cung cấp các kết nối hệ thống ra bên ngoài Internet và các mạng khác.

1.2.5. Vùng mạng nội bộ (LAN - local area network) là vùng mạng được thiết lập để cung cấp kết nối mạng cho các máy trạm và các thiết bị đầu cuối và các thiết bị mạng khác của người sử dụng vào hệ thống.

1.2.7. Máy chủ (Server) chuyên dùng là một máy tính được thiết kế cho phép hoạt động 24/7; hỗ trợ dự phòng và thay nóng bộ cấp nguồn, ổ đĩa cứng được kết nối với một mạng máy tính hoặc Internet, có địa chỉ IP tĩnh, có năng lực xử lý cao và trên đó có thể cài đặt các phần mềm để phục vụ cho các máy tính khác truy cập để yêu cầu cung cấp các dịch vụ và tài nguyên.

1.2.9. Thông tin định danh thiết bị đặt lệnh là thông tin gắn với mỗi thiết bị dùng để nhận dạng thiết bị khi thực hiện giao dịch chứng khoán trực tuyến.

1.2.11. SSL (Secure Sockets Layer) là tiêu chuẩn công nghệ cho phép thiết lập kết nối được mã hóa an toàn giữa máy chủ web và trình duyệt của người dùng, bảo đảm tính riêng tư và toàn vẹn của dữ liệu được truyền nhận giữa máy chủ web và trình duyệt của người dùng.

1.2.13. Xác thực sinh trắc học (Biometric) là công nghệ sử dụng những thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay, khuôn mặt, mống mắt, tĩnh mạch,... để nhận diện, xác thực bảo mật.

1.3.1. Hệ thống công nghệ thông tin bảo đảm đáp ứng được yêu cầu về dịch vụ, hạ tầng kỹ thuật, an ninh bảo mật và lưu trữ dữ liệu theo quy định tại Thông tư 134/2017/TT-BTC, Thông tư 73/2020/TT-BTC và phù hợp với quy định khác tại các văn bản quy phạm pháp luật chuyên ngành về chứng khoán và thị trường chứng khoán.

1.3.3. Chủ quản hệ thống thông tin ban hành quy định về an toàn, an ninh thông tin, xử lý sự cố; quy định về trách nhiệm cập nhật, vá lỗi, khắc phục lỗ hổng bảo mật của hệ thống công nghệ thông tin; xây dựng kế hoạch định kỳ kiểm tra, rà soát về an toàn an ninh thông tin trong quá trình vận hành hệ thống.

QUY ĐỊNH VỀ HẠ TẦNG KỸ THUẬT

2.1.1. Chủ quản hệ thống thông tin phải sử dụng máy chủ chuyên dùng cho hệ thống công nghệ thông tin phục vụ hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến. Phần mềm ứng dụng và các dịch vụ liên quan đến hoạt động giao dịch của các nhà đầu tư phải được duy trì hoạt động trên các máy chủ. Không sử dụng máy tính cá nhân đóng vai trò máy chủ và không sử dụng chung máy chủ của các đơn vị khác.

2.1.3. Máy chủ cài đặt phần mềm giao dịch chứng khoán, máy chủ cơ sở dữ liệu và trang thiết bị công nghệ thông tin chuyên dùng cho hệ thống giao dịch chứng khoán trực tuyến phải có dự phòng.

2.2.1. Phòng máy chủ phải được bố trí bảo đảm đủ điều kiện cho các thiết bị hoạt động: đặt ở nơi khô ráo, tránh ánh nắng trực tiếp, tránh nguy cơ cháy nổ hoặc nguồn nhiệt cao, tránh nước ngập và bảo đảm an toàn bảo mật.

2.2.3. Phòng máy chủ phải lắp đặt hệ thống cảnh báo cháy và chữa cháy tự động, chất chữa cháy là khí không gây ngạt cho nhân viên thao tác hoặc chưa kịp thoát ra, bảo đảm khi chữa cháy không làm hư hỏng thiết bị lắp đặt bên trong; có các hình thức phát tín hiệu cảnh báo cháy khác nhau (bằng âm thanh, ánh sáng...).

2.2.5. Phòng máy chủ không được xây dựng cửa sổ, không được đặt các thiết bị không liên quan đến việc hỗ trợ phòng máy chủ (như hệ thống ống dẫn, hệ thống ống hơi,...) ở trong phòng máy chủ. Không được chạy ống thoát nước và ống dẫn nước gần hoặc trực tiếp trên thiết bị trong phòng máy chủ.

2.3. Yêu cầu về nguồn điện

2.3.2. Nguồn điện dự phòng phải đủ tiêu chuẩn, công suất cho hoạt động bình thường của hệ thống công nghệ thông tin trong thời gian nguồn điện chính có sự cố.

QUY ĐỊNH VỀ PHẦN MỀM VÀ DỮ LIỆU DỰ PHÒNG

3.1.1. Phải thực hiện theo quy định của pháp luật hiện hành về bản quyền phần mềm. Giải pháp công nghệ để xây dựng phần mềm ứng dụng phải đáp ứng khả năng nâng cấp mở rộng, có khả năng kiểm soát các truy cập về thao tác nghiệp vụ trong giao dịch, bảo đảm thực hiện đúng quy trình. Phải có khả năng tự động kiểm tra dữ liệu nhập vào ứng dụng, bảo đảm dữ liệu được nhập vào chính xác và hợp lệ; có khả năng lưu vết các giao dịch và các tương tác của người dùng.

3.1.3. Hệ thống phần mềm giao dịch chứng khoán trực tuyến phải có tính năng giám sát người sử dụng như: tài khoản và thời gian truy cập vào hệ thống (giây:phút:giờ, ngày/tháng/năm); tài khoản và thời gian tạo ra dữ liệu, thời gian sửa dữ liệu cuối cùng, thông tin đăng nhập (tên tài khoản và thời gian đăng nhập/đăng xuất, các thao tác thực hiện trong thời gian đó), thông tin định danh thiết bị đặt lệnh.

3.2. Yêu cầu về lưu trữ và cung cấp dữ liệu cho cơ quan chức năng

khoản 1 Điều 15 Luật giao dịch điện tử.

3.2.3. Trong trường hợp cần thiết, khi có yêu cầu của cơ quan chức năng, chủ quản hệ thống thông tin phải cung cấp đầy đủ, kịp thời dữ liệu giao dịch chứng khoán.

3.3.1. Chủ quản hệ thống thông tin có trách nhiệm xây dựng, triển khai và thực hiện nghiêm túc các quy trình về sao lưu, dự phòng, phục hồi hệ thống thông tin, dữ liệu, tệp cấu hình thiết bị; tổ chức thực hiện phục hồi dữ liệu khi cần thiết cho hệ thống công nghệ thông tin.

3.3.3. Dữ liệu của hệ thống giao dịch chứng khoán trực tuyến phải được sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và phương tiện lưu trữ phải được bảo quản tách rời với khu vực sao lưu. Dữ liệu lưu trên các thiết bị lưu trữ phải được bảo vệ vật lý trong môi trường bảo mật và bảo đảm khôi phục thông tin, dữ liệu trong vòng hai mươi bốn (24) giờ kể từ khi phát sinh sự cố.

3.3.5. Việc sao lưu và phục hồi trang thông tin điện tử phải bảo đảm các yêu cầu sau: Trang thông tin điện tử phải được sao lưu toàn bộ, bao gồm cả phần mềm và cơ sở dữ liệu lưu nội dung thông tin. Trong trường hợp gặp sự cố, trang thông tin điện tử phải được phục hồi trong thời gian không quá hai mươi bốn (24) giờ kể từ khi xảy ra sự cố.

QUY ĐỊNH VỀ AN TOÀN BẢO MẬT

4.1.1. Sử dụng giải pháp phát hiện, ngăn chặn xâm nhập và ngăn chặn tấn công trực tiếp vào các thông tin quan trọng của hệ thống.

4.1.3. Sử dụng phần mềm chống virus, phần mềm chống phần mềm gián điệp trên tất cả các máy chủ, máy trạm và tại cổng kết nối với các mạng bên ngoài bao gồm cả các cổng kết nối tới các đối tác và Internet. Các phần mềm này phải có bản quyền, có nguồn gốc rõ ràng. Định kỳ cập nhật các bản vá lỗi phù hợp với hệ điều hành máy chủ, máy trạm, tường lửa, hệ thống ngăn chặn xâm nhập (IPS - Intrusion Prevention Systems) và các phần mềm hệ thống khác.

4.1.5. Hệ thống mạng của các tổ chức cung cấp dịch vụ giao dịch chứng khoán trực tuyến phải được thiết lập tối thiểu gồm các phân vùng: vùng mạng nội bộ, vùng mạng biên, vùng DMZ.

4.1.7. Chủ quản hệ thống thông tin phải có các biện pháp bảo đảm chỉ nhân sự được giao quản trị hệ thống có thể tiếp cận và vận hành các máy tính thực hiện công tác quản trị hệ thống; các máy tính thực hiện công tác quản trị hệ thống không được kết nối Internet.

4.1.9. Chủ quản hệ thống thông tin phải quy định rõ nhiệm vụ, quyền hạn và trách nhiệm của các đối tượng tham gia quản lý, sử dụng hệ thống công nghệ thông tin và dịch vụ cung cấp.

4.1.11. Chủ quản hệ thống thông tin phải ký hợp đồng với các tổ chức được thuê thực hiện nâng cấp, bảo trì, sửa lỗi phần mềm, trong đó quy định chi tiết các nội dung công việc, dữ liệu, quy định rõ trách nhiệm của các bên liên quan. Bảo đảm an toàn bảo mật thông tin, dữ liệu của hệ thống giao dịch chứng khoán trực tuyến của công ty và thông tin, dữ liệu của nhà đầu tư.

4.2.1. Phần mềm ứng dụng phải bảo đảm có khả năng phân quyền theo chức năng đến từng người sử dụng. Mỗi người sử dụng được phân định rõ ràng về nhiệm vụ và quyền hạn. Người không được phân quyền không thể truy cập vào công việc của người khác. Thiết lập cấu hình ứng dụng để xác thực người sử dụng khi truy cập, quản trị, cấu hình ứng dụng.

4.2.3. Khi cung cấp phần mềm ứng dụng giao dịch chứng khoán trực tuyến trên Internet phải áp dụng các biện pháp bảo đảm tính toàn vẹn của phần mềm.

4.2.5. Phần mềm ứng dụng phải có các cơ chế:

- Thiết lập quy tắc đặt mật khẩu theo số lượng ký tự, loại ký tự; thiết lập thời gian yêu cầu thay đổi mật khẩu;

- Phần mềm giao dịch chứng khoán trực tuyến phải được thiết lập thời gian cho mỗi lần thực hiện giao dịch và thiết lập khoảng thời gian khách hàng không thao tác trên hệ thống để kích hoạt tính năng thoát (logout) khỏi hệ thống.

4.3.1. Hệ thống máy chủ của trang thông tin điện tử phải được trang bị giải pháp giám sát việc thay đổi quyền điều khiển, giám sát sự thay đổi nội dung của trang thông tin điện tử.

4.3.3. Trang thông tin điện tử phải được xác thực sử dụng chứng thư số SSL, phải được áp dụng các biện pháp bảo vệ nhằm ngăn chặn, chống sửa đổi trái phép, chống giả mạo.

QUY ĐỊNH VỀ XÁC THỰC VÀ NHẬN DẠNG THIẾT BỊ ĐẶT LỆNH

5.1.1. Khuyến khích nhà đầu tư lựa chọn sử dụng chứng thư số, chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng khi thực hiện lệnh giao dịch chứng khoán trực tuyến.

5.1.3. Chủ quản hệ thống thông tin có thể tích hợp các giải pháp xác thực khác có độ an toàn tối thiểu phải tương đương giải pháp xác thực hai yếu tố trở lên (OTP, thẻ ma trận, sinh trắc học...). Trường hợp sử dụng dịch vụ của bên thứ ba (đơn vị cung cấp giải pháp xác thực), phải có tối thiểu một yếu tố xác thực do chủ quản hệ thống thông tin quản lý.

- Trong mỗi lần thực hiện giao dịch, nhà đầu tư có thể thực hiện nhiều lệnh giao dịch; nhà đầu tư phải xác thực khi thực hiện lệnh giao dịch đầu tiên, không bắt buộc xác thực khi thực hiện các lệnh tiếp theo. Lần giao dịch kết thúc nếu sau một khoảng thời gian (do chủ quản hệ thống thông tin thiết lập) mà nhà đầu tư không tiếp tục thực hiện lệnh giao dịch.

5.2. Yêu cầu về nhận dạng thiết bị đặt lệnh

5.2.1. Đối với ứng dụng trên thiết bị di động hoặc trên máy tính:

- Ứng dụng chạy trực tiếp trên máy tính với các hệ điều hành (Linux, Windows, MacOS,...) có thể truy cập thông tin địa chỉ MAC hoặc thông tin định danh thiết bị khác thông qua các API (Application Programming Interface) của hệ điều hành.

Chương VI.

QUY ĐỊNH VỀ NHÂN SỰ QUẢN LÝ HỆ THỐNG CÔNG NGHỆ THÔNG TIN

6.2. Hợp đồng tuyển dụng cán bộ công nghệ thông tin phải bao gồm cam kết bảo mật thông tin. Cam kết này phải bao gồm các điều khoản về trách nhiệm bảo đảm an toàn, bảo mật hệ thống thông tin trong và sau khi làm việc tại vị trí công việc được giao; điều khoản xử lý vi phạm và trách nhiệm bồi thường do vi phạm các quy định về an toàn bảo mật hệ thống công nghệ thông tin của cán bộ được tuyển dụng trong và sau khi làm việc tại vị trí công việc được giao.

6.4. Chủ quản hệ thống thông tin thực hiện phổ biến và cập nhật các quy định về an toàn bảo mật công nghệ thông tin cho cán bộ, nhân viên tại đơn vị. Yêu cầu và kiểm tra việc thi hành các quy định về an toàn, bảo mật công nghệ thông tin của cá nhân, tổ chức thuộc đơn vị tối thiểu một (01) năm một (01) lần.