Xác thực hai yếu tố trong hệ thống Internet Banking là gì? Nhân sự vận hành hệ thống Internet Banking phải cập nhật kiến thức an ninh, bảo mật hằng năm?

Nội dung chính

• Xác thực hai yếu tố trong hệ thống Internet Banking là gì?
• Nhân sự vận hành hệ thống Internet Banking phải tham gia khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm đúng không?
• Đơn vị phải bố trí phòng điều khiển tách biệt với khu vực làm việc chung để thực hiện việc quản trị, giám sát, theo dõi hoạt động của hệ thống Internet Banking đáp ứng yêu cầu gì?

Xác thực hai yếu tố trong hệ thống Internet Banking là gì?

Căn cứ Điều 2 Thông tư 35/2016/TT-NHNN giải thích một số từ ngữ và thuật ngữ như sau:

Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

1. Dịch vụ ngân hàng trên Internet (Internet Banking) là các dịch vụ ngân hàng và dịch vụ trung gian thanh toán được các đơn vị cung cấp thông qua mạng Internet.

2. Hệ thống Internet Banking là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an ninh bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp dịch vụ Internet Banking.

3. Khách hàng là các tổ chức, cá nhân sử dụng dịch vụ Internet Banking.

4. Mã khóa bí mật dùng một lần (One Time Password - OTP) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch Internet Banking.

5. Xác thực hai yếu tố là phương pháp xác thực yêu cầu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mã khoá bí mật, …) cùng với những gì mà người dùng có (thẻ thông minh, thiết bị token, điện thoại di động …) hoặc những dấu hiệu sinh trắc học của người dùng để xác minh danh tính.

...

Theo đó, xác thực hai yếu tố trong hệ thống Internet Banking được hiểu là phương pháp xác thực yêu cầu hai yếu tố để chứng minh tính đúng đắn của một danh tính.

Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mã khoá bí mật, …) cùng với những gì mà người dùng có (thẻ thông minh, thiết bị token, điện thoại di động …) hoặc những dấu hiệu sinh trắc học của người dùng để xác minh danh tính.

Xác thực hai yếu tố trong hệ thống Internet Banking là gì? Nhân sự vận hành hệ thống Internet Banking phải cập nhật kiến thức an ninh, bảo mật hằng năm? (Hình từ Internet)

Nhân sự vận hành hệ thống Internet Banking phải tham gia khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm đúng không?

Căn cứ quy định tại Điều 11 Thông tư 35/2016/TT-NHNN về việc quản lý nhân sự quản trị, vận hành hệ thống Internet Banking như sau:

Quản lý nhân sự quản trị, vận hành hệ thống Internet Banking

1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng.

2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao dịch bất thường.

3. Nhân sự quản trị, giám sát và vận hành hệ thống Internet Banking phải tham gia các khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.

4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Internet Banking phải được theo dõi, giám sát bởi bộ phận độc lập với bộ phận cấp phát tài khoản.

Chiếu theo quy định nêu trên, nhân sự vận hành hệ thống Internet Banking phải tham gia khóa đào tạo cập nhật kiến thức an ninh, bảo mật hằng năm.

Đơn vị phải bố trí phòng điều khiển tách biệt với khu vực làm việc chung để thực hiện việc quản trị, giám sát, theo dõi hoạt động của hệ thống Internet Banking đáp ứng yêu cầu gì?

Căn cứ quy định tại khoản 4 Điều 14 Thông tư 35/2016/TT-NHNN như sau:

Hệ thống quản trị, giám sát hoạt động của hệ thống Internet Banking

1. Đơn vị phải thiết lập hệ thống giám sát, theo dõi hoạt động của hệ thống Internet Banking.

2. Đơn vị phải xây dựng các tiêu chí và phần mềm để xác định các giao dịch bất thường dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần đăng nhập sai quá quy định và các dấu hiệu bất thường khác.

3. Đơn vị phải bố trí phòng điều khiển tách biệt với khu vực làm việc chung để thực hiện việc quản trị, giám sát, theo dõi hoạt động của hệ thống Internet Banking đáp ứng yêu cầu sau:

a) Nhân sự ra vào phòng điều khiển phải được người có thẩm quyền phê duyệt;

b) Truy cập hệ thống để thực hiện công tác quản trị, vận hành và bảo trì phải được thực hiện thông qua các thiết bị đặt tại phòng điều khiển. Trường hợp cần truy cập từ xa hoặc trực tiếp trên thiết bị phải được người có thẩm quyền phê duyệt;

c) Truy cập từ bên ngoài vào các thiết bị đặt tại phòng điều khiển phải áp dụng các biện pháp xác thực hai yếu tố.

Chiếu theo quy định trên, đơn vị phải bố trí phòng điều khiển tách biệt với khu vực làm việc chung để thực hiện việc quản trị, giám sát, theo dõi hoạt động của hệ thống Internet Banking đáp ứng yêu cầu sau đây:

- Nhân sự ra vào phòng điều khiển phải được người có thẩm quyền phê duyệt;

- Truy cập hệ thống để thực hiện công tác quản trị, vận hành và bảo trì phải được thực hiện thông qua các thiết bị đặt tại phòng điều khiển. Trường hợp cần truy cập từ xa hoặc trực tiếp trên thiết bị phải được người có thẩm quyền phê duyệt;

- Truy cập từ bên ngoài vào các thiết bị đặt tại phòng điều khiển phải áp dụng các biện pháp xác thực hai yếu tố.