(thitruongtaichinhtiente.vn) - Ngân hàng Nhà nước Việt Nam đang lấy ý kiến của các đơn vị, tổ chức, cá nhân đối với Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư số 47/2014/TT-NHNN ngày 31/12/2014 quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng.
Ngân hàng Nhà nước Việt Nam cho biết, Thông tư 47/2014/TT-NHNN ngày 31/12/2014 của NHNN là quy định về các yêu cầu kỹ thuật an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng. Phạm vi điều chỉnh, đổi tượng áp dụng và nội dung Thông tư 47 chỉ quy định các yêu cầu kỹ thuật công nghệ thông tin về việc quản lý, vận hành các trang thiết bị phục vụ thanh toán thẻ và không có quy định nào liên quan đến việc mở và sử dụng tài khoản của khách hàng tại ngân hàng.
Việc mở và sử dụng tài khoản của khách hàng tại ngân hàng hiện nay đang được thực hiện theo Thông tư 23/2014/TT-NHNN ngày 19/08/2014 hướng dẫn việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán.
Sau gần 6 năm thực hiện Thông tư 47/2014/TT-NHNN đã góp phần chuẩn hóa hạ tầng công nghệ ngân hàng, đảm bảo hoạt động an toàn cho hoạt động của hệ thống trang thiết bị phục vụ thanh toán thẻ trong ngành Ngân hàng, góp phần thúc đẩy thanh toán không dùng tiền mặt theo chỉ đạo của Chính phủ.
Do đó, trước những thay đổi về khoa học công nghệ và thách thức mới về an ninh, bảo mật CNTT, NHNN đã dự thảo Thông tư sửa đổi bổ sung một số điều Thông tư 47/2014/TT-NHNN để cập nhật các quy định kỹ thuật mới về an ninh, bảo mật đối với hệ thống thanh toán thẻ. Dự thảo thông tư đang được đi gửi lấy ý kiến rộng rãi, sau đó sẽ được tổng hợp, tiếp thu và ban hành theo đúng trình tự ban hành văn bản quy phạm pháp luật.
Đáng chú ý, tại Điểm e, khoản 4, Điều 6 của dự thảo quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian.
Giải thích cho sửa đổi này, NHNN cho biết: “Quy định này thuộc Thông tư 47 quy định về yêu cầu kỹ thuật an ninh,bảo mật trang thiết bị phục vụ hệ thống thanh toán thẻ và Không điều chỉnh đối với tài khoản khách hàng của ngân hàng. Sửa đổi này thuộc Điều 6 - Yêu cầu cấp phát và kiếm soát tài khoản truy cập vào hệ thống thanh toán thẻ và “Tài khoản” tại quy định này là Tài khoản người sử dụng dùng để truy cập, quản trị và vận hành các trang thiết bị của hệ thống thanh toán thẻ ngân hàng và không liên quan gì đến Tài khoản của khách hàng”.
Dự thảo Thông tư cũng bổ sung yêu cầu cụ thể về che giấu thông tin thẻ và kiểm soát nhân sự có quyền khai thác thông tin thẻ nhằm giảm thiểu rủi ro an ninh mạng. Theo đó, tại Điểm c khoản 1 Điều 14, Dự thảo Thông tư quy định: "Số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho một số hạn chế nhân viên có thẩm quyền để thao tác nghiệp vụ hoặc khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ. Tổ chức phải lập danh sách các nhân viên có quyền xem số thẻ đầy đủ và thu hồi quyền xem số thẻ đầy đủ ngay khi nhân viên thay đổi vị trí công việc".
Nhằm giảm thiểu rủi ro an ninh mạng, tại khoản 1 Điều 6, dự thảo thông tư quy định: Việc truy cập vào tất cả thành phần hệ thống thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học.
Dự thảo thông tư cũng quy định sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Camera hoặc biện pháp giám sát khác phải được bảo vệ khỏi việc phá hoại hoặc vô hiệu hóa. Các dữ liệu giám sát phải được lưu trữ tối thiểu 3 tháng.
Ngoài ra, việc truy cập vào tất cả thành phần hệ thống thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học. Tổ chức tín dụng xem xét công nghệ phần mềm ít nhất một năm một lần để xác định chúng vẫn được hỗ trợ bởi nhà sản xuất và có thể đáp ứng các yêu cầu bảo mật. Nếu phát hiện không còn được nhà cung cấp hỗ trợ hoặc không đáp ứng nhu cầu bảo mật cần lên kế hoạch khắc phục và thay thế.
Độc giả có thể xem toàn văn dự thảo Thông tư thay thế Thông tư số 47/2014/TT-NHNN tại đây.