THÔNG TƯ

QUY ĐỊNH CÁC YÊU CẦU KỸ THUẬT VỀ AN TOÀN BẢO MẬT ĐỐI VỚI TRANG THIẾT BỊ PHỤC VỤ THANH TOÁN THẺ NGÂN HÀNG

Căn cứ Luật các tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng 6 năm 2010;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định số 156/2013/NĐ-CP ngày 11 tháng 11 năm 2013 quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng.

QUY ĐỊNH CHUNG

1. Thông tư này quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng tại Việt Nam.

a) Tổ chức phát hành thẻ (viết tắt là TCPHT);

c) Tổ chức cung ứng dịch vụ trung gian thanh toán (viết tắt là TCTGTT) có trang thiết bị phục vụ thanh toán thẻ ngân hàng.

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

2. ATM (Automated Teller Machine) đặt bên ngoài là ATM đặt tại nơi công cộng và nơi không có người giám sát trực tiếp thiết bị.

4. Máy mPOS (Mobile Point Of Sale) là máy POS bao gồm phần mềm và thiết bị chuyên dụng tích hợp với thiết bị thông tin di động.

a) Thẻ từ là loại thẻ mà các thông tin của thẻ và chủ thẻ được mã hóa và lưu trữ trong dải băng từ ở mặt sau của thẻ;

6. Số thẻ là dãy số dùng để xác định tổ chức phát hành và chủ thẻ.

a) Dữ liệu chủ thẻ bao gồm các dữ liệu chính sau: số thẻ; tên của chủ thẻ (đối với thẻ định danh); ngày có hiệu lực của thẻ; mã dịch vụ (3 (ba) hoặc 4 (bốn) số trên bề mặt thẻ để xác định quyền hạn trên giao dịch (nếu có));

8. Môi trường dữ liệu chủ thẻ là môi trường bao gồm các trang thiết bị và quy trình xử lý, truyền dẫn, lưu trữ dữ liệu thẻ.

10. Dữ liệu nhật ký là các dữ liệu được hệ thống thanh toán thẻ hoặc con người tạo ra để lưu lại các quá trình giao dịch, hoạt động của hệ thống bằng hình thức điện tử, văn bản để phục vụ hoạt động giám sát, tra soát, khiếu nại.

12. Tổ chức hỗ trợ hoạt động thẻ là các tổ chức, cá nhân có chuyên môn được tổ chức hoạt động thẻ thuê hoặc hợp tác nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống thanh toán thẻ.

CÁC YÊU CẦU KỸ THUẬT CHUNG

1. Các yêu cầu về thiết lập và quản lý cấu hình thiết bị an ninh mạng:

b) Sơ đồ kết nối hệ thống mạng phải được thiết kế đáp ứng yêu cầu:

- Tách biệt chức năng của máy chủ theo nguyên tắc các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ quản lý tên miền phải để trên các máy chủ khác nhau (có thể là các máy chủ ảo trên một máy chủ vật lý);

- Sơ đồ mạng phải mô tả được toàn bộ đường đi của dữ liệu chủ thẻ.

d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt;

e) Thực hiện đánh giá lại các chính sách thiết lập trên thiết bị an ninh mạng tối thiểu 02 lần/năm nhằm loại bỏ các chính sách không sử dụng, hết thời hạn hoặc thiết lập sai chính sách, đảm bảo chính sách được thiết lập trên thiết bị đúng với các chính sách đã được người có thẩm quyền phê duyệt.

a) Giới hạn các truy cập đến môi trường dữ liệu chủ thẻ, chỉ chấp nhận các truy cập thực sự cần thiết và kiểm soát được;

c) Các tập tin cấu hình phải được đồng bộ với cấu hình đang hoạt động của thiết bị và được lưu trữ an toàn theo chế độ mật để tránh các truy cập trái phép;

3. Kiểm soát các truy cập trực tiếp từ Internet đến môi trường dữ liệu chủ thẻ

b) Thực hiện các biện pháp chống giả mạo để ngăn chặn và loại bỏ các khả năng giả mạo địa chỉ IP nguồn;

4. Yêu cầu thiết lập phần mềm tường lửa trên tất cả các thiết bị, máy tính cá nhân có kết nối đến dữ liệu thẻ

b) Đảm bảo các thiết lập trên phần mềm tường lửa là đang hoạt động;

Điều 4. Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ

2. Thay đổi các tham số mặc định (khóa mã hóa trong mạng không dây; các mã khóa bí mật; chuỗi ký tự mặc định trong giao thức SNMP tại các môi trường mạng không dây có kết nối đến dữ liệu thẻ).

4. Loại bỏ các chức năng, dịch vụ, tập tin, ổ đĩa không cần thiết. Thực hiện thêm các biện pháp an toàn bổ sung (các công nghệ SSH, S-FTP, SSL, IPSec VPN) khi sử dụng các dịch vụ, giao thức không an toàn để truyền dữ liệu trên mạng (chia sẻ tệp tin (File Sharing), NetBIOS, Telnet, FTP).

1. Thực hiện nhận dạng các lỗ hổng bảo mật bằng công cụ dò quét và các nguồn thông tin của các tổ chức an ninh mạng bên ngoài có uy tín để xác định mức độ ảnh hưởng của các lỗ hổng bảo mật mới đối với hệ thống thanh toán thẻ, bao gồm các mức độ ảnh hưởng: mức độ cao; mức độ trung bình; mức độ thấp.

3. Phát triển các phần mềm ứng dụng trong lĩnh vực thẻ đảm bảo tuân thủ các quy định của pháp luật và các chuẩn mực phát triển phần mềm ứng dụng được áp dụng rộng rãi trong lĩnh vực công nghệ thông tin. Trong chu trình phát triển phần mềm phải tích hợp với các yêu cầu đảm bảo an toàn thông tin và tối thiểu đáp ứng các yêu cầu sau:

b) Không sử dụng dữ liệu thẻ trong môi trường vận hành cho môi trường kiểm thử;

d) Đánh giá, xem xét lại mã nguồn phần mềm ứng dụng để phát hiện, khắc phục lỗ hổng bảo mật tiềm tàng trước khi đưa vào sử dụng. Nhân sự thực hiện đánh giá phải độc lập với nhân sự phát triển mã nguồn ứng dụng.

a) Xây dựng tài liệu đánh giá tác động đến toàn bộ hệ thống và được người có thẩm quyền phê duyệt trước khi thực hiện;

c) Thực hiện sao lưu, có kế hoạch dự phòng trước khi thực hiện thay đổi.

a) Các lỗ hổng chèn mã lệnh truy vấn cơ sở dữ liệu (SQL injection), câu lệnh hệ điều hành (OS injection), các phương tiện lưu trữ dữ liệu khác;

c) Lỗi mã hóa không an toàn trong lưu trữ dữ liệu;

đ) Rò rỉ thông tin qua thông báo lỗi (error handling);

g) Các kiểm soát truy cập không đúng;

i) Lỗi trong quản lý phiên truy cập (session ID);

6. Các ứng dụng cung cấp dịch vụ trên các môi trường mạng bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác) phải có các biện pháp để xử lý các mối đe dọa và lỗ hổng bảo mật, bao gồm:

b) Thực hiện các giải pháp kỹ thuật tự động phát hiện và phòng chống tấn công bằng thiết bị tường lửa ứng dụng web (Web Application Firewall).

Điều 6. Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ

2. Việc truy cập từ xa vào hệ thống mạng phải được xác thực bằng tối thiểu hai phương thức quy định tại Khoản 1 Điều này.

4. Thực hiện các biện pháp kiểm soát tài khoản vận hành và tài khoản quản trị:

b) Kiểm soát việc thêm mới, xóa, sửa các định danh, thông tin tài khoản người sử dụng đúng mục tiêu quản lý;

d) Thẩm tra, xác nhận lại danh tính người sử dụng khi nhận được yêu cầu gián tiếp qua email, điện thoại trước khi thay đổi, phục hồi lại mã khóa bí mật tài khoản;

e) Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian;

h) Không được chia sẻ hoặc dùng chung tài khoản để truy cập hệ thống;

k) Số lần nhập sai mã khóa bí mật tối đa được phép không quá 03 (ba) lần. Có biện pháp khóa tài khoản tự động khi nhập sai mã khóa bí mật quá số lần quy định. Thời gian phục hồi tài khoản bị khóa sau khi nhập sai mã khóa bí mật tối thiểu 30 phút hoặc theo yêu cầu;

m) Phổ biến và đào tạo các chính sách, quy trình truy cập và xác thực tài khoản vào hệ thống, đảm bảo các tổ chức, cá nhân liên quan nắm rõ được quyền hạn, trách nhiệm khi được cấp tài khoản truy cập.

a) Hướng dẫn lựa chọn và bảo vệ thông tin xác thực, mã khóa bí mật;

c) Hướng dẫn thay đổi mã khóa bí mật định kỳ hoặc ngay khi có nghi ngờ mã khóa bí mật bị lộ.

a) Chỉ người quản trị cơ sở dữ liệu được trực tiếp truy cập cơ sở dữ liệu;

c) Không sử dụng các tài khoản truy cập cơ sở dữ liệu của chương trình ứng dụng cho cá nhân hoặc các tiến trình khác;

đ) Mọi thao tác trên cơ sở dữ liệu phải được ghi nhật ký và nhật ký phải được lưu giữ tối thiểu 01 năm.

CÁC YÊU CẦU KỸ THUẬT ĐỐI VỚI ATM

1. Yêu cầu về lắp đặt ATM

b) Đối với ATM đặt bên ngoài

- Có biện pháp đảm bảo ATM tránh bị kéo để di dời trái phép;

2. Yêu cầu về hệ thống báo động

b) Tổ chức cung cấp dịch vụ ATM trang bị các thiết bị báo động cho ATM nhằm phòng chống:

- Di dời trái phép khỏi khu vực đặt máy;

3. Yêu cầu về két đựng tiền

b) Két đựng tiền của ATM phải được trang bị ít nhất hai khóa, do hai người nắm giữ.

5. ATM phải có chứng nhận xuất xứ và có chứng nhận chất lượng của nhà sản xuất.

1. Tổ chức cung cấp dịch vụ ATM phải đảm bảo các yêu cầu về phần mềm của ATM

b) Hệ điều hành được cài đặt hoặc thiết lập phải đảm bảo phân tách các quyền khác nhau: quyền được sử dụng thiết bị lưu trữ ngoài; quyền được phép thay đổi cấu hình và chạy các ứng dụng, dịch vụ;

d) Phần mềm điều khiển thiết bị, phần mềm giao dịch phải được thiết lập các tính năng chống lại việc lộ thông tin thẻ, thất thoát tiền do sai sót, gian lận hoặc do yếu tố lỗi kỹ thuật, các tính năng bao gồm:

- Phần mềm giao dịch trên ATM phải thiết lập tính năng bắt buộc người dùng phải nhập lại số PIN khi thực hiện giao dịch rút tiền tiếp theo; có thông báo nhắc nhở người dùng các biện pháp an toàn trước khi nhập số PIN và nhận thẻ sau khi thực hiện giao dịch.

Tổ chức cung cấp dịch vụ ATM thiết lập đường truyền cho ATM phải ngăn chặn được các truy cập Internet trừ các kết nối về trung tâm để thực hiện giao dịch. Việc cập nhật bản vá lỗi hệ điều hành, phần mềm phòng chống virus và các cập nhật khác tại ATM phải được thực hiện tại chỗ hoặc thông qua hệ thống tập trung nội bộ.

Hợp đồng, thỏa thuận kết nối liên thông hệ thống thanh toán thẻ qua ATM phải quy định dữ liệu được mã hóa và trách nhiệm của các bên trong việc đảm bảo tính bí mật của khóa dùng cho mã hóa. Khóa dùng cho mã hóa phải thay đổi tối thiểu 01 lần/năm.

1. Tổ chức cung cấp dịch vụ ATM phải trang bị phần mềm quản lý tập trung, theo dõi đầy đủ tức thời về tình trạng của ATM.

a) Có hệ thống giám sát giao dịch trên hệ thống thanh toán thẻ, liên tục theo dõi nhằm phát hiện giao dịch thanh toán thẻ đáng ngờ, gian lận dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần nhập PIN sai quá quy định và các dấu hiệu bất thường khác để kịp thời xử lý và cảnh báo cho chủ thẻ;

3. Dữ liệu nhật ký trên ATM phải được sẵn sàng truy cập trong thời gian tối thiểu 03 tháng và lưu trữ tối thiểu 01 năm.

Chương IV

CÁC YÊU CẦU KỸ THUẬT ĐỐI VỚI MÁY POS

1. TCTTT, TCTGTT và ĐVCNT phải có thỏa thuận rõ về trách nhiệm của ĐVCNT, bao gồm:

b) Lắp đặt nguồn điện, đường truyền đúng theo yêu cầu kỹ thuật của nhà sản xuất;

2. Máy POS phải có chứng nhận xuất xứ và có chứng nhận chất lượng của nhà sản xuất.

4. Bàn phím nhập mã PIN phải đạt các yêu cầu nêu tại Điều 13 Thông tư này.

Điều 11. Các yêu cầu đối với máy mPOS

a) Yêu cầu đối với thiết bị thông tin di động cài đặt phần mềm mPOS

- Thiết lập thêm các tính năng bảo mật phòng chống bị mất, trộm cắp (tính năng theo dõi vị trí qua GPS, mã hóa ổ đĩa lưu trữ). Đồng thời, ĐVCNT phải quản lý thông tin về số serial, phiên bản phần mềm của thiết bị.

- Phần mềm mPOS được cài đặt theo hướng dẫn của đơn vị cung cấp giải pháp hoặc TCTTT;

- Màn hình mPOS phải hiển thị tình trạng sẵn sàng phục vụ để người dùng biết;

2. TCTTT phải công bố danh sách các ĐVCNT đã đăng ký sử dụng máy mPOS để chấp nhận thanh toán trên website của đơn vị hoặc các phương tiện truyền thông khác (nếu có).

BẢO VỆ DỮ LIỆU THẺ

1. Tổ chức hoạt động thẻ phải lập và cập nhật danh sách các trang thiết bị phục vụ thanh toán thẻ và mô tả chức năng liên quan đến hệ thống thanh toán thẻ.

3. Tổ chức hoạt động thẻ phải thực hiện quy trình đánh giá rủi ro ít nhất 01 lần/năm và ngay sau khi hệ thống có thay đổi về sơ đồ mạng, an ninh bảo mật, bổ sung hệ thống máy chủ dịch vụ hoặc bổ sung, sửa đổi nghiệp vụ.

a) Phải được người có thẩm quyền phê duyệt trước khi sử dụng;

c) Liệt kê và giám sát hoạt động toàn bộ danh sách các thiết bị, công nghệ và người dùng được cấp quyền sử dụng;

đ) Xác định phạm vi áp dụng công nghệ có rủi ro cao;

g) Đối với các truy cập từ xa phải tự động ngắt kết nối phiên làm việc một thời gian cụ thể khi hệ thống không hoạt động;

i) Khi cấp quyền truy cập từ xa vào dữ liệu chủ thẻ phải thực hiện các biện pháp kỹ thuật cấm sao chép, di chuyển và lưu trữ dữ liệu chủ thẻ vào các ổ cứng, phương tiện mang tin, thiết bị ngoại vi. Đối với trường hợp đặc biệt cần thực hiện sao chép, di chuyển, lưu trữ dữ liệu chủ thẻ bằng truy cập từ xa, phải quy định rõ ràng trách nhiệm bảo vệ dữ liệu chủ thẻ theo các quy định tại Thông tư này.

6. Phân công nhiệm vụ trong quản lý đảm bảo an toàn thông tin thẻ

b) Có biện pháp ứng phó sự cố kịp thời để kiểm soát được mọi tình huống;

d) Giám sát và kiểm soát toàn bộ truy cập đến dữ liệu;

7. Tổ chức hoạt động thẻ phải thực hiện đào tạo nhận thức về an ninh bảo mật thẻ cho nhân viên khi mới tuyển dụng và định kỳ ít nhất 01 lần/năm cho toàn bộ nhân viên; phải kiểm tra, kiểm soát đảm bảo nhân viên trong đơn vị nhận thức được các chính sách an toàn bảo mật thẻ.

a) Cập nhật danh sách tổ chức hỗ trợ hoạt động thẻ;

c) Hợp đồng với các tổ chức hỗ trợ hoạt động thẻ phải quy định rõ trách nhiệm của tổ chức hỗ trợ hoạt động thẻ tuân thủ các quy định có liên quan tại Thông tư này. Phải có cam kết bằng văn bản các điều khoản và trách nhiệm trong đó tổ chức hỗ trợ hoạt động thẻ cung cấp dịch vụ có trách nhiệm đảm bảo an toàn bảo mật thông tin thẻ trong các dịch vụ mình cung cấp hoặc lưu giữ, xử lý, trao đổi thông tin. Cam kết phải nêu rõ phạm vi cung cấp và dịch vụ được tổ chức hỗ trợ hoạt động thẻ cung cấp;

9. Tổ chức hoạt động thẻ phải xây dựng quy trình và thực hiện ứng phó các sự cố để đảm bảo xử lý được ngay khi có sự cố xảy ra. Quy trình ứng phó sự cố đáp ứng tối thiểu các yêu cầu sau:

b) Có kịch bản cụ thể để ứng phó sự cố;

d) Có kịch bản sao lưu dữ liệu;

e) Phân công nhân sự cụ thể để sẵn sàng ứng phó sự cố 24/7;

h) Quy trình ứng phó sự cố bao gồm cả các cảnh báo từ hệ thống giám sát an ninh (các hệ thống phát hiện, phòng chống xâm nhập, thiết bị tường lửa và hệ thống giám sát tính toàn vẹn của các tệp tin dữ liệu);

Điều 13. Các yêu cầu đối với bàn phím nhập số PIN

2. Âm thanh khi gõ một phím không phân biệt được với âm thanh khi gõ phím khác. Ngoài ra không thể xác định được bất kỳ ký tự PIN nào được nhập bằng cách theo dõi điện từ, điện năng tiêu thụ.

4. Các tính năng an toàn của bàn phím không bị thay đổi bởi điều kiện môi trường, điều kiện vận hành.

1. Lưu trữ, phục hồi, hủy thông tin, dữ liệu thẻ

b) Dữ liệu xác thực thẻ phải đảm bảo: Giữ bí mật trong hoạt động in ấn, phát hành thẻ; cá nhân hoặc tổ chức khi xử lý dữ liệu xác thực thẻ phải cam kết không tiết lộ thông tin; không lưu trữ dữ liệu xác thực thẻ sau khi đã xác thực, kể cả thông tin đã mã hóa tại giao dịch đến, các tập tin dữ liệu nhật ký, tập tin lịch sử, tập tin theo dõi, các bảng sơ đồ dữ liệu và các nội dung cơ sở dữ liệu;

d) Đảm bảo số thẻ không đọc được tại các nơi lưu trữ bằng cách sử dụng một trong các phương pháp sau:

- Phương pháp phân tách, cắt bớt dữ liệu đảm bảo không đọc được toàn bộ dữ liệu khi lưu trữ trên các tập tin, cơ sở dữ liệu, dữ liệu nhật ký;

- Phương pháp mã hóa mạnh với quy trình và thủ tục quản lý khóa phải được tuân thủ;

2. Quy định mã hóa dữ liệu tại vùng lưu trữ dữ liệu thẻ

- Giới hạn số lượng người có quyền truy cập đến khóa mã hóa;

+ Lưu trữ trong thiết bị chuyên dụng hoặc thiết bị bảo mật PIN trong giao dịch;

+ Thực hiện mã hóa khóa bằng thuật toán phải mạnh bằng hoặc mạnh hơn thuật toán dùng để mã hóa dữ liệu. Khóa để mã hóa khóa phải được lưu trữ tách biệt với khóa để mã hóa dữ liệu;

- Quá trình tạo ra các khóa mã hóa;

- Lưu giữ khóa mã hóa;

- Thay thế hoặc thu hồi các khóa khi có nghi ngờ bị lộ, bị sửa đổi.

- Nếu sử dụng các khóa mã hóa dưới dạng bản rõ (clear text) phải đảm bảo khóa này được chia thành nhiều phần quản lý bởi tối thiểu hai người, mỗi người giữ một phần khóa mã hóa;

- Phải quy định rõ trách nhiệm của người giữ khóa mã hóa.

1. Sử dụng các phương thức mã hóa và các giao thức bảo mật thích hợp (tối thiểu các giao thức SSL/TLS, SSH, IPSEC) để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác).

Điều 16. Hạn chế quyền truy cập đến dữ liệu thẻ

2. Xây dựng chính sách hạn chế quyền truy cập từ xa, từ vùng mạng bên ngoài vào hệ thống. Giám sát hoạt động, ghi nhật ký thời gian truy cập vào hệ thống.

4. Thiết lập biện pháp, hệ thống kiểm soát truy cập cho toàn bộ các thiết bị phục vụ thanh toán thẻ, đảm bảo giới hạn các truy cập theo đúng chức trách, nhiệm vụ được giao; các truy cập không hợp lệ phải bị loại bỏ.

1. Thực hiện các kiểm soát ra, vào tới khu vực đặt hệ thống thanh toán thẻ, trung tâm dữ liệu thẻ, các môi trường vật lý có dữ liệu thẻ:

b) Sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu thủ thẻ. Các dữ liệu giám sát phải được lưu trữ tối thiểu 03 tháng.

a) Thủ tục để nhận biết nhân viên mới, cá nhân bên ngoài;

3. Kiểm soát truy cập vật lý đối với nhân viên khi đến phòng máy chủ, khu vực in ấn phát hành thẻ, nơi lưu trữ, xử lý dữ liệu chủ thẻ đáp ứng yêu cầu sau:

b) Quyền truy cập phải được thu hồi ngay khi công việc kết thúc, tất cả các công cụ dùng để truy cập (chìa khóa, thẻ truy cập) phải được thu hồi hoặc vô hiệu hóa.

a) Các cá nhân bên ngoài phải được cho phép trước khi vào và được giám sát toàn thời gian tại khu vực lưu trữ, xử lý dữ liệu chủ thẻ;

c) Các cá nhân bên ngoài phải được yêu cầu thu hồi thẻ hoặc phương thức nhận diện khác trước khi rời khỏi đơn vị hoặc khi hết thời gian hiệu lực;

5. Phương tiện chứa dữ liệu sao lưu của hệ thống thanh toán thẻ phải bảo quản tại nơi an toàn. Địa điểm bảo quản phải được kiểm tra đảm bảo các điều kiện an toàn ít nhất 01 lần/năm.

7. Thực hiện kiểm soát chặt chẽ việc lưu trữ và truy cập tới phương tiện mang tin. Tiến hành kiểm kê tài sản, các phương tiện mang tin tối thiểu 01 lần/năm.

a) Thường xuyên cập nhật danh sách các thiết bị, các thông tin về nhà sản xuất, mẫu thiết bị, nơi đặt thiết bị, mã thiết bị (serial, product number);

c) Người quản lý, sử dụng thiết bị phải được đào tạo để nhận biết các nguy cơ giả mạo hoặc thay thế trên thiết bị nhằm đánh cắp thông tin thẻ. Nội dung đào tạo bao gồm:

- Kiểm tra, xác minh thiết bị trước khi cho phép cài đặt, thay thế hoặc hoàn trả thiết bị;

- Báo cáo các nguy cơ, hành vi giả mạo hoặc thay thế trái phép thiết bị đến người có thẩm quyền.

Điều 18. Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ

a) Thực hiện ghi dữ liệu nhật ký toàn bộ truy cập đến các thiết bị phục vụ thanh toán thẻ để lưu vết tất cả các hành vi của người sử dụng;

- Tất cả truy cập của người sử dụng đến dữ liệu chủ thẻ;

- Các truy cập đến toàn bộ dữ liệu nhật ký;

- Quản lý người sử dụng (bao gồm các sự kiện tạo mới tài khoản và nâng quyền quản trị, các thay đổi hoặc xóa tài khoản của tài khoản quản trị);

- Khởi tạo hoặc xóa các dữ liệu, tài nguyên, chức năng, dịch vụ trên thiết bị phục vụ thanh toán thẻ.

- Định danh người sử dụng;

- Ngày, tháng và thời gian;

- Nguồn gốc của sự kiện;

d) Phải có hệ thống đồng bộ thời gian đối với hệ thống máy chủ, hệ thống ATM phục vụ thanh toán thẻ;

- Giới hạn quyền được xem dữ liệu nhật ký tối thiểu theo nhu cầu công việc;

- Sao lưu dữ liệu nhật ký đến các máy chủ tập trung hoặc phương tiện mang tin;

g) Tổ chức hoạt động thẻ phải tiến hành xem xét, đánh giá các dữ liệu nhật ký và các sự kiện an ninh trên toàn bộ thiết bị phục vụ thanh toán thẻ để xác định hoạt động bất thường, hoạt động nghi ngờ bằng cách sử dụng các công cụ phân tích, khai thác và cảnh báo dựa trên dữ liệu nhật ký, cụ thể như sau:

+ Toàn bộ các sự kiện về an toàn bảo mật;

+ Các dữ liệu nhật ký của các trang thiết bị an toàn bảo mật cho hệ thống (các thiết bị tường lửa, hệ thống phát hiện xâm nhập, phòng chống xâm nhập, các máy chủ xác thực).

- Trong quá trình đánh giá dữ liệu nhật ký, phải theo dõi xử lý các sự kiện ngoại lệ và sự kiện bất thường đã phát hiện được.

2. Kiểm tra về an ninh hệ thống thanh toán thẻ

b) Tổ chức hoạt động thẻ phải dò quét, đánh giá các lỗ hổng bảo mật hệ thống công nghệ thông tin từ bên trong và bên ngoài mạng đơn vị tối thiểu 01 lần/quý và ngay sau khi có bất cứ thay đổi quan trọng nào trong hệ thống (bao gồm: bổ sung thêm các thiết bị; thay đổi mô hình mạng; các thay đổi chính sách truy cập của thiết bị tường lửa; nâng cấp, cập nhật hệ điều hành, ứng dụng). Thực hiện khắc phục ngay các lỗ hổng bảo mật ở mức độ cao được xác định theo Khoản 1 Điều 5 Thông tư này;

- Thử nghiệm xâm nhập toàn bộ các hệ thống có lưu trữ, xử lý dữ liệu chủ thẻ;

- Thử nghiệm xâm nhập hệ thống dựa trên các hướng dẫn của các tổ chức uy tín về hoạt động thử nghiệm xâm nhập và an toàn bảo mật;

- Thử nghiệm xâm nhập đối với cả mức mạng và mức ứng dụng;

- Lưu trữ theo chế độ mật kết quả thử nghiệm xâm nhập và kết quả hành động khắc phục;

d) Tổ chức hoạt động thẻ phải sử dụng hệ thống phát hiện và phòng chống xâm nhập để phát hiện và ngăn chặn các xâm nhập trái phép vào hệ thống mạng, giám sát toàn bộ các truy cập đến môi trường dữ liệu chủ thẻ và cảnh báo cho người quản trị các nguy cơ bị xâm phạm. Các thiết bị phòng chống xâm nhập phải được cập nhật các dấu hiệu mã độc mới từ nhà cung cấp;

Điều 19. Yêu cầu về đảm bảo hoạt động liên tục

2. Hệ thống công nghệ thông tin phục vụ cho hoạt động thanh toán thẻ phải đảm bảo khả năng dự phòng tại chỗ và dự phòng thảm họa. Hệ thống dự phòng thảm họa phải thay thế hệ thống chính trong thời gian không quá 04 giờ kể từ khi hệ thống chính bị sự cố.

Chương VI

ĐIỀU KHOẢN THI HÀNH

Các tổ chức hoạt động thẻ có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) như sau:

a) Thời hạn gửi báo cáo trước ngày 15 tháng 11 hàng năm;

2. Báo cáo đột xuất khi xảy ra vụ việc mất an toàn đối với hệ thống thanh toán thẻ:

b) Nội dung báo cáo bao gồm: ngày, địa điểm phát sinh vụ việc; nguyên nhân vụ việc; đánh giá rủi ro, ảnh hưởng đối với hệ thống thanh toán thẻ và nghiệp vụ tại nơi xảy ra vụ việc và những địa điểm khác có liên quan;

Điều 21. Hiệu lực thi hành

Điều 22. Quy định chuyển tiếp

Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) xem xét phương án xử lý, yêu cầu tổ chức hoạt động thẻ sửa đổi, bổ sung phương án xử lý bao gồm cả thời hạn thực hiện (nếu thấy chưa đáp ứng được yêu cầu hoặc chưa đảm bảo tính khả thi) và các biện pháp trong phương án xử lý; giám sát thực hiện phương án xử lý của các tổ chức hoạt động thẻ.

Điều 23. Trách nhiệm tổ chức thực hiện

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm thanh tra, giám sát các tổ chức, cá nhân có liên quan trong việc thực hiện Thông tư này và xử lý vi phạm theo quy định của pháp luật.

4. Thủ trưởng các đơn vị liên quan thuộc Ngân hàng Nhà nước Việt Nam; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) các tổ chức hoạt động thẻ có trách nhiệm tổ chức thực hiện Thông tư này.

Nơi nhận:
- Như Khoản 4 Điều 23;
- Ban lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu: VP, CNTH, PC.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC




Nguyễn Toàn Thắng