Đó là thông tin đáng chú ý trong Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư số 47/2014/TT-NHNN ngày 31/12/2014 vừa được Ngân hàng Nhà nước Việt Nam công bố để lấy ý kiến rộng rãi của các đơn vị, tổ chức, cá nhân. Dự thảo thông tư này quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng. Dự thảo thông tư có một số điều chỉnh, bổ sung nhằm đảm bảo an toàn trong hoạt động thanh toán thẻ ngân hàng.

Trong đó, Dự thảo sửa đổi, bổ sung điểm e khoản 4 Điều 6 quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian.

Thẻ ngân hàng không hoạt động trong 90 ngày bị vô hiệu hoá
Thẻ ngân hàng không hoạt động trong 90 ngày bị vô hiệu hoá (Ảnh minh họa)

Như vậy, so với quy định hiện hành tại Thông tư 47/2014/TT-NHNN, dự thảo mới đã quy định cụ thể thời gian các tổ chức phát hành thẻ phải khóa tài khoản khi tài khoản của khách hàng không hoạt động tối đa 90 ngày. Thông tư 47 không có quy định thu hồi, loại bỏ thẻ "không hoạt động trong khoảng thời gian tối đa 90 ngày".

Về an toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ, Dự thảo bổ sung quy định các tổ chức phát hành thẻ, tổ chức thanh toán thẻ, tổ chức cung ứng dịch vụ trung gian thanh toán phải xem xét công nghệ phần mềm ít nhất một năm một lần để xác định chúng vẫn được hỗ trợ bởi nhà sản xuất và có thể đáp ứng các yêu cầu bảo mật. Nếu phát hiện không còn được nhà cung cấp hỗ trợ hoặc không đáp ứng nhu cầu bảo mật cần lên kế hoạch khắc phục và thay thế.

 

Dự thảo Thông tư cũng bổ sung việc không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt. Có biện pháp che giấu địa chỉ mạng nội bộ và các thông tin về bảng định tuyến nội bộ khi kết nối với các bên thứ ba. Giới hạn các truy cập đến môi trường dữ liệu chủ thẻ, chỉ chấp nhận các truy cập thực sự cần thiết theo thiết kế hệ thống và chặn toàn bộ các truy cập khác. Ngăn chặn kết nối Internet của các máy trạm có quyền truy cập vào dữ liệu thẻ dạng rõ (chưa che giấu, mã hóa).

Việc truy cập vào tất cả thành phần hệ thống thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học.

Dự thảo Thông tư cũng quy định sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Camera hoặc biện pháp giám sát khác phải được bảo vệ khỏi việc phá hoại hoặc vô hiệu hóa. Các dữ liệu giám sát phải được lưu trữ tối thiểu 3 tháng.

Ngoài ra, Dự thảo Thông tư cũng bổ sung yêu cầu cụ thể về che giấu thông tin thẻ và kiểm soát nhân sự có quyền khai thác thông tin thẻ nhằm giảm thiểu rủi ro an ninh mạng. Theo đó, số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho một số nhân viên có thẩm quyền để thao tác nghiệp vụ hoặc khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ. Tổ chức phải lập danh sách các nhân viên có quyền xem số thẻ đầy đủ và thu hồi quyền xem số thẻ đầy đủ ngay khi nhân viên thay đổi vị trí công việc.

Anh Tuấn