Đề xuất quy định mới về phần mềm ứng dụng Online Banking

Đề xuất quy định mới về phần mềm ứng dụng Online Banking (Hình từ internet)

Ngân hàng Nhà nước Việt Nam đang lấy ý kiến dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Thay đổi tên gọi từ “Internet Banking” thành “Online Banking” theo dự thảo Thông tư

Theo khoản 2 và 3 Điều 2 của dự thảo Thông tư, đã nêu giải thích:

- Hệ thống Online Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Online Banking.

- Phần mềm ứng dụng Online Banking là phần mềm ứng dụng cung cấp dịch vụ Online Banking.

Có thể thấy, so với quy định hiện tại thì dự thảo Thông tư đã thay đổi tên gọi từ “Internet Banking” thành “Online Banking”

Đề xuất quy định mới về phần mềm ứng dụng Online Banking

Cũng theo Điều 7 dự thảo Thông tư cũng đã đề cập quy định mới về phần mềm ứng dụng Online Banking như sau:

- Các yêu cầu về an toàn, bảo mật phải được xác định trước khi phát triển phần mềm và tổ chức, triển khai trong quá trình phát triển (phân tích, thiết kế, xây dựng, kiểm thử), vận hành chính thức và duy trì hoạt động phần mềm. Các hồ sơ, tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa, lưu trữ, cập nhật đồng bộ khi hệ thống chính thức có thay đổi và kiểm soát chặt chẽ, hạn chế tiếp cận.

- Đơn vị phải kiểm soát mã nguồn phần mềm với các yêu cầu tối thiểu:

+ Định kỳ hoặc khi có thay đổi phần mềm ứng dụng, đơn vị phải kiểm tra mã nguồn nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật. Nhân sự thực hiện kiểm tra phải độc lập với nhân sự phát triển mã nguồn ứng dụng;

+ Chỉ định cụ thể các cá nhân chịu trách nhiệm quản lý mã nguồn của phần mềm ứng dụng;

+ Mã nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt về địa lý và có biện pháp bảo vệ tính toàn vẹn của mã;

+ Trường hợp mã nguồn phần mềm do bên thứ ba phát triển, cung cấp, đơn vị phải yêu cầu bên cung cấp ký cam kết mã nguồn phần mềm là hợp pháp, không giả mạo; cam kết thực hiện các thoả thuận về việc chỉnh sửa mã nguồn khi bảo hành, bảo trì phần mềm.

+ Trước khi cung cấp, bàn giao mã nguồn phần mềm, đơn vị yêu cầu bên cung cấp phải kiểm tra, xử lý, khắc phục các lỗ hổng bảo mật trong mã nguồn. Trường hợp không được bàn giao mã nguồn, khi ký hợp đồng hoặc nghiệm thu hợp đồng, đơn vị phải yêu cầu bên cung cấp ký cam kết: không có các đoạn mã độc hại trong phần mềm ứng dụng mua ngoài.

- Phần mềm ứng dụng Online Banking phải được kiểm tra, thử nghiệm trước khi vận chính thức đáp ứng các yêu cầu tối thiểu sau:

+ Lập và phê duyệt kế hoạch, kịch bản thử nghiệm phần mềm ứng dụng Online Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng;

+ Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào;

+ Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng chống các kiểu tấn công bao gồm nhưng không giới hạn: Injection (SQL, Xpath, LDAP…), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Server-Side Request Forgery(SSRS), Brute-Force và các loại lỗi bảo mật như: lỗi kiểm soát truy cập; lỗi nhận dạng và xác thực; lỗi mã hóa; lỗi thiết kế, cấu hình không an toàn; lỗi ghi nhật ký và giám sát bảo mật;

+ Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm;

+ Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt (ứng dụng web) và phiên bản phần mềm hệ thống của thiết bị di động (ứng dụng mobile); có cơ chế kiểm tra, thông báo cho người dùng chạy ứng dụng trên các trình duyệt, phiên bản phần mềm hệ thống đã được kiểm tra và thử nghiệm an toàn.

- Trước khi triển khai phần mềm ứng dụng mới, đơn vị phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

- Đơn vị thực hiện quản lý thay đổi phiên bản phần mềm ứng dụng đáp ứng các yêu cầu sau:

+ Xây dựng tài liệu phân tích đánh giá tác động của việc thay đổi đối với hệ thống hiện tại và các hệ thống có liên quan khác của đơn vị và được người có thẩm quyền phê duyệt trước khi thực hiện;

+ Các phiên bản phần mềm bao gồm cả mã nguồn cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên, ghi nhật ký trong việc thao tác với các tập tin;

+ Thông tin về các phiên bản (thời gian cập nhật, người cập nhật, hướng dẫn cập nhật và các thông tin liên quan khác của phiên bản) phải được lưu lại;

+ Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được người có thẩm quyền phê duyệt;

- Các tính năng bắt buộc của phần mềm ứng dụng Online Banking:

+ Toàn bộ dữ liệu khi truyền trên môi trường mạng Internet được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối;

+ Bảo đảm tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi bất hợp pháp phải được phát hiện trong quá trình xử lý giao dịch, lưu trữ dữ liệu;

+ Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác;

+ Có chức năng che giấu đối với việc hiển thị các mã khóa bí mật dùng để đăng nhập vào hệ thống;

+ Có các chức năng:

++ Chống đăng nhập tự động khi khách hàng truy cập bằng trình duyệt; 

++ Yêu cầu thay đổi mã khóa bí mật khi đăng nhập trong trường hợp khách hàng được cấp phát mã khóa bí mật mặc định lần đầu;

++ Thông báo cho khách hàng khi mã khóa bí mật sắp hết hiệu lực sử dụng. Cho phép khách hàng lựa chọn thay đổi hoặc tiếp tục sử dụng mã khóa bí mật cũ. Trường hợp tiếp tục sử dụng mã khóa bí mật cũ, phải yêu cầu khách hàng xác thực lại mã khóa bí mật cũ này;

++ Hủy hiệu lực của mã khóa bí mật khi hết hạn sử dụng;

++ Khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần), đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo;

+ Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch bao gồm tối thiểu hai bước: tạo, phê duyệt giao dịch. Trong trường hợp khách hàng là tổ chức được pháp luật cho phép áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch tương tự như khách hàng cá nhân;

+ Trong trường hợp không sử dụng xác thực đa yếu tố khi đăng nhập, phải có chức năng thông báo việc đăng nhập lần đầu phần mềm ứng dụng Online Banking hoặc việc đăng nhập phần mềm ứng dụng Online Banking trên thiết bị khác với thiết bị thực hiện đăng nhập phần mềm ứng dụng Online Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (điện thoại, thư điện tử…);

- Phần mềm ứng dụng Online Banking phải có chức năng lưu trữ thông tin về thiết bị thực hiện các giao dịch trực tuyến của khách hàng và nhật ký (log) xác thực giao dịch tối thiểu trong vòng 03 tháng, trong đó gồm:

+ Thông tin định danh về thiết bị:

++ Đối với thiết bị di động: thông tin định danh duy nhất của thiết bị (ví dụ như: số IMEI hoặc Serial hoặc WLAN MAC hoặc Android ID hoặc thông tin định danh khác);

++ Đối với máy tính: thông tin định danh duy nhất của máy tính (ví dụ như địa chỉ MAC hoặc thông tin định danh thiết bị khác);

+ Nhật ký (log) xác thực giao dịch tối thiểu gồm: biện pháp xác thực, thời gian xác thực, mã giao dịch được xác thực, mã khách hàng.

Xem thêm tại dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

 Lê Nguyễn Anh Hào