Quy định về an toàn, bảo mật trong việc cung cấp dịch vụ ngân hàng trên Internet (23/9/2011)

Nguyên tắc chung đối với việc cung cấp dịch vụ ngân hàng trên Internet của đơn vị cung cấp dịch vụ được quy định tại Thông tư bao gồm các nội dung chính sau:

Một là, đảm bảo bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng theo quy định của pháp luật; mật khẩu khách hàng, khóa mã hóa và các mã khóa khác phải được mã hóa trong quá trình giao dịch, trên đường truyền và lưu trữ tại đơn vị cung cấp dịch vụ.

Hai là, đảm bảo tính sẵn sàng của đơn vị cung cấp dịch vụ thông qua cam kết khả năng hoạt động liên tục của hệ thống Internet Banking một cách công khai, rõ ràng và được nêu rõ trong hợp đồng cung cấp dịch vụ với khách hàng; Đáp ứng đủ nguồn lực về hạ tầng công nghệ thông tin và nhân sự đảm bảo cung cấp dịch vụ Internet Banking liên tục đúng như cam kết.; Xây dựng, ban hành và tuân thủ các quy trình của hệ thống Internet Banking; Sử dụng các công cụ giám sát, theo dõi hiệu năng của hệ thống chính và hệ thống dự phòng đảm bảo hoạt động liên tục.

Ba là, đảm bảo tính toàn vẹn của thông tin trong quá trình xử lý, lưu trữ và truyền nhận giữa đơn vị cung cấp dịch vụ và khách hàng; Kết hợp các biện pháp an ninh về mặt hành chính và kỹ thuật trong truy cập vật lý, truy cập lô gíc và quá trình nhập, xử lý, truyền dẫn, kết xuất, lưu trữ, khôi phục dữ liệu.

Bốn là, đảm bảo xác thực và nhận dạng được khách hàng khi khách hàng truy cập và sử dụng dịch vụ Internet Banking.

Năm là, bảo vệ khách hàng thông qua việc cung cấp đầy đủ thông tin về quyền lợi và nghĩa vụ của khách hàng trước khi ký kết hợp đồng cung cấp dịch vụ với khách hàng; Hợp đồng cung cấp dịch vụ, đơn vị cung cấp dịch vụ phải nêu rõ trách nhiệm bảo mật các thông tin cá nhân của khách hàng khi sử dụng dịch vụ Internet Banking; Có biện pháp đảm bảo an toàn, bảo mật trong trường hợp đơn vị cung cấp dịch vụ phân phối phần mềm cho khách hàng qua môi trường Internet; Đồng thời, chịu trách nhiệm kiểm tra, cảnh báo và thực hiện các biện pháp phòng chống giả mạo website cung cấp dịch vụ Internet Banking...

Nội dung chính của Thông tư có các Điều, khoản quy định cụ thể, chi tiết về: Chính sách an toàn, bảo mật hệ thống; Quản lý nguồn nhân lực làm nhiệm vụ cung cấp dịch vụ ngân hàng trên Internet;  Mạng truyền thông; Phần cứng và phần mềm hệ thống; Phần mềm ứng dụng; An toàn cơ sở dữ liệu; Mã hóa dữ liệu; Quản lý nhật ký; Quản lý sự cố; và hướng dẫn khách hàng trong việc sử dụng dịch vụ ngân hàng trên Internet.

Các đơn vị cung cấp dịch vụ có trách nhiệm gửi báo cáo cung cấp dịch vụ Internet Banking, báo cáo năm và Báo cáo đột xuất khi xảy ra các sự cố mất an toàn hoặc ảnh hưởng đến hoạt động của hệ thống Internet Banking về NHNN (Cục Công nghệ tin học) theo quy định tại  Thông tư này.

Cũng tại Thông tư này, Thống đốc NHNN giao Cục Công nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thi hành của các đơn vị cung cấp dịch vụ. Hàng năm thông qua báo cáo của các đơn vị hoặc thực hiện kiểm tra tại chỗ để đánh giá việc tuân thủ quy định và đảm bảo an toàn, bảo mật cho hệ thống Internet Banking của các đơn vị; tổng hợp, báo cáo Thống đốc tình hình về an toàn, bảo mật dịch vụ Internet Banking của hệ thống ngân hàng Việt Nam.

Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm phối hợp với Cục Công nghệ tin học kiểm tra, giám sát việc thi hành Thông tư này và xử lý vi phạm hành chính đối với hành vi vi phạm theo quy định của pháp luật.

Thông tư này có hiệu lực thi hành kể từ ngày 04//11/2011 và thay thế các Thông tư số 09/2003/TT-NHNN ngày 5/8/2003 của Thống đốc NHNN hướng dẫn thực hiện một số quy định tại Nghị định số 55/2001/NĐ-CP ngày 23/08/2001 của Chính phủ về quản lý, cung cấp và sử dụng Internet và Thông tư số 01/2008/TT-NHNN ngày 10/3/2008 sửa đổi bổ sung Thông tư số 09/2003/TT-NHNN.