Từ 01/01/2025, yêu cầu phải đạt khi thiết lập hệ thống mạng trong dịch vụ trực tuyến ngành Ngân hàng là gì?

Nội dung chính

Từ 01/01/2025, yêu cầu phải đạt khi thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật là gì?

Ngày 31 tháng 10 năm 2024 Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Yêu cầu phải đạt khi thiết lập hệ thống mạng, truyền thông và an, toàn bảo mật được quy định tại Điều 4 Thông tư 50/2024/TT-NHNN như sau:

Hệ thống mạng, truyền thông và an toàn, bảo mật

Đơn vị phải thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật đạt yêu cầu tối thiểu sau:

1. Có các giải pháp an toàn, bảo mật tối thiểu gồm:

a) Tường lửa ứng dụng hoặc giải pháp bảo vệ có tính năng tương đương;

b) Tường lửa cơ sở dữ liệu hoặc giải pháp bảo vệ có tính năng tương đương;

c) Giải pháp phòng, chống tấn công từ chối dịch vụ (DoS - Denial of Service attack), tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service attack) đối với các hệ thống cung cấp dịch vụ trực tiếp trên Internet;

d) Hệ thống quản lý và phân tích sự kiện an toàn thông tin. 

2. Thông tin khách hàng (thông tin nhận biết khách hàng, thông tin giao dịch của khách hàng) không được lưu trữ tại phân vùng kết nối Internet và phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ).

3. Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Online Banking.

4. Kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quản trị chỉ được thực hiện trong trường hợp không thể kết nối từ mạng nội bộ và bảo đảm an toàn, tuân thủ các quy định sau:

a) Phải được cấp có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối;

b) Phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương;

c) Thiết bị kết nối phải được cài đặt các phần mềm bảo đảm an toàn, bảo mật;

d) Phải áp dụng tối thiểu hai trong các hình thức xác nhận quy định tại khoản 1, khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này khi đăng nhập hệ thống;

đ) Sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật tại các phần mềm tiện ích.

5. Đường truyền kết nối mạng cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.

...

Như vậy, theo quy định pháp luật yêu cầu phải đạt khi thiết lập hệ thống mạng, truyền thông và an, toàn bảo mật là:

- Các biện pháp bảo mật tối thiểu: Áp dụng tường lửa, các giải pháp chống tấn công phân tán (DDoS) và hệ thống quản lý và phân tích sự kiện bảo mật để bảo vệ hệ thống một cách toàn diện.

- Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet hoặc phân vùng trung gian (DMZ).

- Thiết lập chính sách hạn chế tối đa các dịch vụ và cổng kết nối vào hệ thống Online Banking.

- Quản trị hệ thống Online Banking từ bên ngoài chỉ thực hiện khi không thể kết nối từ mạng nội bộ, đảm bảo an toàn với các quy định: phê duyệt quyền truy cập, sử dụng mạng riêng ảo, cài đặt phần mềm bảo mật, xác thực tối thiểu hai yếu tố, và sử dụng giao thức truyền thông mã hóa an toàn.

- Đảm bảo đường truyền kết nối mạng cung cấp dịch vụ có tính sẵn sàng cao và hoạt động liên tục.

Từ 01/01/2025, yêu cầu phải đạt khi thiết lập hệ thống mạng trong dịch vụ trực tuyến ngành Ngân hàng là gì? (Hình từ internet)

Đối tượng áp dụng của Thông tư 50/2024/TT-NHNN về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân Hàng?

Căn cứ khoản 2 Điều 1 Thông tư 50/2024/TT-NHNN quy định về đối tượng áp dụng như sau:

Phạm vi điều chỉnh và đối tượng áp dụng

...

2. Đối tượng áp dụng

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).

...

Như vậy, theo quy định đối tượng áp dụng của Thông tư 50/2024/TT-NHNN là:

- Tổ chức tín dụng;

- Chi nhánh ngân hàng nước ngoài;

- Tổ chức cung ứng dịch vụ trung gian thành toán;

- Công ty thông tin tín dụng.

Hiệu lực thi hành của Thông tư 50/2024/TT-NHNN về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân Hàng?

Căn cứ khoản 1, khoản 2, khoản 3, khoản 4 Điều 22 Thông tư 50/2024/TT-NHNN quy định về hiệu lực thi hành cụ thể:

Hiệu lực thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2025, trừ trường hợp quy định tại khoản 2, khoản 3, khoản 4 Điều này.

2. Điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8 có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2025.

3. Điểm b khoản 1 Điều 10 có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2026

4. Điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20 có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2026.

5. Các văn bản sau đây hết hiệu lực kể từ ngày Thông tư này có hiệu lực:

a) Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;

b) Thông tư số 35/2018/TT-NHNN ngày 24 tháng 12 năm 2018 của Thống đốc Ngân hàng Nhà nước Việt Nam sửa đổi, bổ sung một số điều của Thông tư SỐ 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

...

Như vậy, theo quy định pháp luật Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ 1/1/2025, trừ trường hợp:

- Điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ 01/7/2025.

- Điểm b khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ 01/01/2026.

- Điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ 01/7/2026.