Người dùng phần mềm Internet Banking buộc phải đổi mã khóa bí mật ngay lần đầu đăng nhập

ictnews Theo quy định mới của Ngân hàng Nhà nước, phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần quy định.

Không được lưu thông tin khách hàng tại phân vùng kết nối Internet và phân vùng DMZ | Quy định mới sửa đổi về an toàn, bảo mật cho dịch vụ ngân hàng trên Internet | Người dùng phần mềm Internet Banking phải đổi mã khóa bí mật ngay lần đầu đăng nhập

Thông tư 35/2018/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 35 năm 2016 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet sẽ có hiệu lực thi hành từ ngày 1/7/2019 (Ảnh minh họa. Nguồn: Internet)

Thông tư 35/2018/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet vừa được Ngân hàng Nhà nước Việt Nam (NHNN) ban hành ngày 24/12. Thông tư này sẽ có hiệu lực thi hành kể từ ngày 1/7/2019.

Theo Thông tư mới, nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống CNTT cho việc cung cấp dịch vụ Internet Banking đã được sửa đổi, bổ sung, bao gồm: Hệ thống Internet Bankinh là hệ thống thông tin quan trọng của theo quy định của NHNN về an toàn hệ thống thông tin trong hoạt động ngân hàng; Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên lục; Thông tin giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn; Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm;

Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet; Các trang thiết bị hạ tầng kỹ thuật CNTT cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng; với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.

Thông tư mới của NHNN cũng sửa đổi, bổ sung các quy định: Thông tin khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng DMZ (khoản 3 Điều 4); Đường truyền kết nối Internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục (khoản 10 Điều 4); Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng thảm họa có khả năng thay thế cơ sở dữ liệu chính và bảo đảm không mất dữ liệu giao dịch trực tuyến của khách hang (khoản 2 Điều 6); Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác (điểm c khoản 6 Điều 7);

Đối với khách hàng là tổ chức, theo quy định mới, phần mềm ứng dụng được thiết kế để đảm bảo việc thực hiện giao dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch và được thực hiện bởi những người khác nhau. Trong trường hợp khách hàng là tổ chức được pháp luật cho phép áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch tương tự như khách hàng cá nhân (điểm d khoản 6 Điều 7); Phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự động khoá tạm thời không cho người dùng tiếp tục sử dụng (khoản 3 Điều 8).

Với việc truy cập hệ thống Internet Banking bằng trình duyệt, tại Thông tư mới, NHNN bổ sung quy định đơn vị phải có biện pháp chống đăng nhập tự động.

Đáng chú ý, với quy định về xác thực khách hàng truy cập dịch vụ Internet Banking, Thông tư mới đã sửa đổi, bổ sung: “Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo”.

Cũng theo quy định mới được NHNN sửa đổi, bổ sung: đơn vị phải thiết lập chính sách hạn chế truy cập Internet đối với các máy tính thực hiện quản trị, giám sát hệ thống Internet Banking. Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị phải đánh giá rủi ro cho việc kết nối Internet; áp dụng các biện pháp kiểm soát cho việc kết nối; phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt. Thông tin bí mật của khách hàng khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để đảm bảo tính bí mật.

Cùng với đó, NHNN còn bổ sung quy định trong việc quản lý lỗ hổng, điểm yếu về mặt kỹ thuật, cụ thể, phải cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 3 – CVSS v3).

Việc thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời phải đáp ứng các tiêu chí: trong vòng 1 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng (tương đương với CVSS v3 điểm từ 9.0 trở lên); trong vòng 2 tháng sau khi công bố với lỗ hổng bảo mật được đánh giá ở mức cao (tương đương với CVSS v3 điểm từ 7.0 đến 8.9); khoảng thời gian do đơn vị tự quyết định với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp (tương đương với CVSS v3 điểm nhỏ hơn 7.0).

Cùng với việc sửa đổi, bổ sung một số điều của Thông tư 35/2016/TT-NHNN, NHNN còn bãi bỏ khoản 7 Điều 4 và khoản 1 Điều 10 của Thông tư này. Đồng thời, thay đổi cụm từ “Cục Công nghệ tin học” thành cụm từ “Cục Công nghệ thông tin” tại các Điều 20, 21 và 23 Thông tư 35/2016/TT-NHNN.

Công nghệ thông tin - ‘thỏi nam châm’ hút nhân sự mảng kinh doanh

Cách đây vài năm, bất động sản, tài chính, bảo hiểm là những ngành thu hút phần lớn nhân sự kinh doanh (sales) tại Việt Nam, nay sức hút đang chuyển sang một lĩnh vực có đà phát triển ấn tượng là công nghệ thông tin.

Viettel IDC đẩy mạnh hợp tác cùng AWS

Viettel IDC đã mở rộng hệ sinh thái dịch vụ, trở thành Đối tác tư vấn dịch vụ cấp cao với “ông lớn” ngành đám mây Amazon Web Services (AWS) tại Việt Nam. Hai bên sẽ thúc đẩy hơn nữa sự hợp tác nhằm mang đến cho khách hàng những dịch vụ tối ưu nhất.

Địa chỉ xem trực tiếp World Cup 2022, Hàn Quốc vs Bồ Đào Nha, 22h00 ngày 2/12

Kênh VTV2 để xem trận đấu giữa Hàn Quốc và Bồ Đào Nha hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Địa chỉ xem trực tiếp World Cup 2022, Ghana vs Uruguay, 22h00 ngày 2/12

Kênh VTV5 để xem trận đấu giữa Ghana và Uruguay hôm nay có trên những hệ thống truyền hình trực tuyến như VTV News, VTV Go, VTVcab ON, hay cả FPT Play, TV360...

Tại sao các gã khổng lồ công nghệ không sản xuất smartphone tại Mỹ? Icon

Trong khi một số ngành công nghiệp đang tập trung xây dựng các nhà máy mới trên khắp nước Mỹ, những "gã khổng lồ" công nghệ lại có hướng đi khác khi không sản xuất smartphone ở quốc gia này.

Bloomberg: VNG hướng "tầm ngắm" ra thị trường thế giới

‘Bảo vệ thành công thị trường quê nhà 100 triệu dân trước các gã khổng lồ như Facebook, VNG bật chế độ tấn công’.

‘Công chúa Huawei’ được bác bỏ cáo buộc gian lận ngân hàng

Ngày 1/12, công tố viên Mỹ đề nghị thẩm phán bác bỏ tội gian lận ngân hàng và các cáo buộc khác đối với Mạnh Vãn Chu, con gái nhà sáng lập Huawei Nhậm Chính Phi.

Trả tiền bằng một cú vẫy tay, công nghệ từ phim ảnh ra đời thực

Công nghệ dùng lòng bàn tay để thanh toán được Amazon mở rộng ra cho các nhà bán lẻ bên ngoài.

Đông Nam Á, trong đó có Việt Nam đang phát triển nhanh về công nghệ 5G

Số lượng thuê bao 5G trong khu vực Đông Nam Á và Châu Đại Dương sẽ cán mốc 30 triệu thuê bao vào năm nay và đạt khoảng 620 triệu thuê bao vào cuối năm 2028.

Elon Musk sẽ cấy chip Neuralink

Trong một sự kiện tuyển dụng tối ngày 30/11 của startup Neuralink, Elon Musk chia sẻ bản thân sẽ cấy chip não.

Đang cập nhật dữ liệu !