Theo dõi và giám sát toàn bộ truy cập tới tài nguyên và dữ liệu chủ thẻ ngân hàng được quy định như thế nào?
Nội dung chính
Theo dõi và giám sát toàn bộ truy cập tới tài nguyên và dữ liệu chủ thẻ ngân hàng được quy định như thế nào?
Theo quy định tại Khoản 1 Điều 18 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:
(1) Thực hiện ghi dữ liệu nhật ký toàn bộ truy cập đến các thiết bị phục vụ thanh toán thẻ để lưu vết tất cả các hành vi của người sử dụng;
(2) Thực hiện tự động ghi dữ liệu nhật ký truy cập đến toàn bộ thiết bị phục vụ thanh toán thẻ để xác định lại các sự kiện sau:
- Tất cả truy cập của người sử dụng đến dữ liệu chủ thẻ;
- Tất cả hành động của người sử dụng có tài khoản đặc quyền;
- Các truy cập đến toàn bộ dữ liệu nhật ký;
- Các cố gắng truy cập không được phép vào hệ thống;
- Quản lý người sử dụng (bao gồm các sự kiện tạo mới tài khoản và nâng quyền quản trị, các thay đổi hoặc xóa tài khoản của tài khoản quản trị);
- Khởi tạo, chấm dứt hoặc tạm ngừng việc ghi dữ liệu nhật ký;
- Khởi tạo hoặc xóa các dữ liệu, tài nguyên, chức năng, dịch vụ trên thiết bị phục vụ thanh toán thẻ.
(3) Dữ liệu nhật ký của mỗi sự kiện (quy định tại Điểm b Khoản 1 Điều này) bao gồm tối thiểu các thông tin sau:
- Định danh người sử dụng;
- Loại sự kiện;
- Ngày, tháng và thời gian;
- Trạng thái thành công hoặc thất bại;
- Nguồn gốc của sự kiện;
- Tên hoặc định danh của dữ liệu, tài nguyên hoặc chức năng, dịch vụ bị ảnh hưởng bởi sự kiện.
(4) Phải có hệ thống đồng bộ thời gian đối với hệ thống máy chủ, hệ thống ATM phục vụ thanh toán thẻ;
(5) Bảo vệ các dữ liệu nhật ký:
- Giới hạn quyền được xem dữ liệu nhật ký tối thiểu theo nhu cầu công việc;
- Bảo vệ các tập tin dữ liệu nhật ký nhằm tránh sửa đổi trái phép;
- Sao lưu dữ liệu nhật ký đến các máy chủ tập trung hoặc phương tiện mang tin;
(6) Tổ chức hoạt động thẻ phải sử dụng công cụ để giám sát tính toàn vẹn của tập tin dữ liệu nhật ký hoặc phần mềm phát hiện thay đổi dữ liệu nhật ký;
(7) Tổ chức hoạt động thẻ phải tiến hành xem xét, đánh giá các dữ liệu nhật ký và các sự kiện an ninh trên toàn bộ thiết bị phục vụ thanh toán thẻ để xác định hoạt động bất thường, hoạt động nghi ngờ bằng cách sử dụng các công cụ phân tích, khai thác và cảnh báo dựa trên dữ liệu nhật ký, cụ thể như sau:
- Tổ chức hoạt động thẻ phải đánh giá hàng ngày tối thiểu các nội dung dữ liệu nhật ký sau:
+ Toàn bộ các sự kiện về an toàn bảo mật;
+ Các dữ liệu nhật ký của hệ thống lưu trữ, xử lý, truyền nhận thông tin thẻ;
+ Các dữ liệu nhật ký của các trang thiết bị an toàn bảo mật cho hệ thống (các thiết bị tường lửa, hệ thống phát hiện xâm nhập, phòng chống xâm nhập, các máy chủ xác thực).
- Tổ chức hoạt động thẻ phải đánh giá toàn bộ dữ liệu nhật ký theo quy chế an toàn bảo mật và quy định về quản lý rủi ro của đơn vị. Đánh giá dữ liệu nhật ký tối thiểu 01 lần/năm;
- Trong quá trình đánh giá dữ liệu nhật ký, phải theo dõi xử lý các sự kiện ngoại lệ và sự kiện bất thường đã phát hiện được.
- Dữ liệu nhật ký phải được lưu trữ trực tuyến tối thiểu 03 tháng để sẵn sàng truy cập và sao lưu tối thiểu 01 năm.
Trên đây là nội dung tư vấn về Theo dõi và giám sát toàn bộ truy cập tới tài nguyên và dữ liệu chủ thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN