Với hệ thống mạng, truyền thông và an toàn, bảo mật đơn vị phải thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật đạt yêu cầu tối thiểu như có các giải pháp an toàn, bảo mật tối thiểu gồm tường lửa ứng dụng hoặc giải pháp bảo vệ có tính năng tương đương, tường lửa cơ sở dữ liệu hoặc giải pháp bảo vệ có tính năng tương đương. Giải pháp phòng, chống tấn công từ chối dịch vụ (DoS – Denial of Service attack), tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial of Service attack) đối với các hệ thống cung cấp dịch vụ trực tiếp trên Internet.
Hệ thống quản lý và phân tích sự kiện an toàn thông tin, thông tin khách hàng thông tin nhận biết khách hàng, thông tin giao dịch của khách hàng không được lưu trữ tại phân vùng kết nối Internet và phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ). Thiết lập chính sách hạn chế tối đa các dịch vụ, cổng kết nối vào hệ thống Online Banking. Kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quản trị chỉ được thực hiện trong trường hợp không thể kết nối từ mạng nội bộ và bảo đảm an toàn, tuân thủ các quy định như phải được cấp có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối và phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương. Thiết bị kết nối phải được cài đặt các phần mềm bảo đảm an toàn, bảo mật sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật tại các phần mềm tiện ích, đường truyền kết nối mạng cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.
Đối với hệ thống máy chủ và phần mềm hệ thống hiệu năng sử dụng tài nguyên máy chủ bao gồm: bộ xử lý trung tâm (CPU), bộ nhớ trong (RAM), thiết bị lưu trữ dữ liệu, thiết bị truy xuất dữ liệu khi lưu trữ hoặc truyền nhận, trung bình hàng tháng tối đa 80% công suất thiết kế, hệ thống Online Banking phải có máy chủ dự phòng bảo đảm tính sẵn sàng cao, tách biệt về lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác. Phải được kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) cho hệ điều hành, cập nhật các bản vá lỗi thường xuyên, đơn vị phải lập danh mục các phần mềm được phép cài đặt trên máy chủ. Định kỳ tối thiểu 06 tháng một lần cập nhật, kiểm tra, bảo đảm tuân thủ danh mục này.
Về hệ quản trị cơ sở dữ liệu trong đó hệ quản trị cơ sở dữ liệu phải có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu, hệ thống Online Banking phải có cơ sở dữ liệu dự phòng thảm họa, có khả năng thay thế cơ sở dữ liệu chính và bảo đảm đầy đủ, toàn vẹn dữ liệu giao dịch của khách hàng, hệ quản trị cơ sở dữ liệu phải được kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) và cập nhật các bản vá lỗi thường xuyên. Đơn vị phải có biện pháp giám sát, ghi nhật ký truy cập cơ sở dữ liệu và các thao tác khi truy cập cơ sở dữ liệu. Phần mềm ứng dụng Online Banking với các yêu cầu về an toàn, bảo mật phải được xác định trước khi phát triển phần mềm và tổ chức, triển khai trong quá trình phát triển (phân tích, thiết kế, xây dựng, kiểm thử), vận hành chính thức và duy trì hoạt động phần mềm. Các hồ sơ, tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa, lưu trữ, cập nhật đồng bộ khi hệ thống có thay đổi và kiểm soát chặt chẽ, hạn chế tiếp cận.
Đặc biệt trước khi triển khai phần mềm ứng dụng Online Banking mới, đơn vị phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro. Đơn vị thực hiện quản lý thay đổi phiên bản phần mềm ứng dụng Online Banking đáp ứng các yêu cầu như xây dựng tài liệu phân tích đánh giá tác động của việc thay đổi đối với hệ thống hiện tại, các hệ thống có liên quan khác của đơn vị và được cấp có thẩm quyền phê duyệt trước khi thực hiện. Các phiên bản phần mềm bao gồm cả mã nguồn do đơn vị tự phát triển hoặc do bên cung cấp bàn giao cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên, ghi nhật ký trong việc thao tác với các tập tin, thông tin về các phiên bản (thời gian cập nhật, người cập nhật, hướng dẫn cập nhật và các thông tin liên quan khác của phiên bản) phải được lưu trữ.
Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được cấp có thẩm quyền phê duyệt, toàn bộ dữ liệu khi truyền trên môi trường mạng hoặc dữ liệu trao đổi giữa phần mềm ứng dụng Online Banking với các trang thiết bị liên quan được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối. Bảo đảm tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi trái phép phải được phát hiện, cảnh báo, ngăn chặn hoặc có biện pháp xử lý phù hợp để bảo đảm sự chính xác của dữ liệu giao dịch trong quá trình thực hiện giao dịch, lưu trữ dữ liệu. Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác, có chức năng che giấu đối với việc hiển thị các mã khóa bí mật, mã PIN dùng để đăng nhập vào hệ thống. Có chức năng chống đăng nhập tự động. Yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu, thông báo cho khách hàng khi mã PIN hoặc mã khóa bí mật sắp hết hiệu lực sử dụng.
Hủy hiệu lực của mã PIN hoặc mã khóa bí mật khi hết hạn sử dụng; yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật đã hết hạn sử dụng khi khách hàng sử dụng mã PIN hoặc mã khóa bí mật để đăng nhập. Hủy hiệu lực của mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai mã PIN hoặc mã khóa bí mật liên tiếp quá số lần do đơn vị quy định nhưng không quá 10 lần và thông báo cho khách hàng.
Đơn vị chỉ cấp phát lại mã PIN hoặc mã khóa bí mật khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện cấp phát lại, bảo đảm chống gian lận, giả mạo. Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch. Trong trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch. Đồng thời có chức năng thông báo việc đăng nhập lần đầu phần mềm ứng dụng Online Banking hoặc việc đăng nhập phần mềm ứng dụng Online Banking trên thiết bị khác với thiết bị thực hiện đăng nhập phần mềm ứng dụng Online Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký điện thoại, thư điện tử… ngoại trừ trường hợp khách hàng tổ chức: đăng nhập trên các thiết bị đã đăng ký sử dụng dịch vụ; hoặc đăng nhập sử dụng tối thiểu một trong các hình thức xác nhận quy định.
Phương Quang
