Thong tu 47 2014 TT NHNN tài liệu, giáo án, bài giảng , luận văn, luận án, đồ án, bài tập lớn về tất cả các lĩnh vực kin...
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Số: 47/2014/TT-NHNN Hà Nội, ngày 31 tháng 12 năm 2014 THÔNG TƯ QUY ĐỊNH CÁC YÊU CẦU KỸ THUẬT VỀ AN TOÀN BẢO MẬT ĐỐI VỚI TRANG THIẾT BỊ PHỤC VỤ THANH TOÁN THẺ NGÂN HÀNG Căn Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12 ngày 16 tháng năm 2010; Căn Luật tổ chức tín dụng số 47/2010/QH12 ngày 16 tháng năm 2010; Căn Luật giao dịch điện tử số 51/2005/QH11 ngày 29 tháng 11 năm 2005; Căn Nghị định số 35/2007/NĐ-CP ngày 08 tháng năm 2007 Chính phủ giao dịch điện tử hoạt động ngân hàng; Căn Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 Chính phủ tốn khơng dùng tiền mặt; Căn Nghị định số 156/2013/NĐ-CP ngày 11 tháng 11 năm 2013 quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Ngân hàng Nhà nước Việt Nam; Theo đề nghị Cục trưởng Cục Công nghệ tin học; Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định yêu cầu kỹ thuật an toàn bảo mật trang thiết bị phục vụ toán thẻ ngân hàng Chương I QUY ĐỊNH CHUNG Điều Phạm vi điều chỉnh đối tượng áp dụng Thông tư quy định yêu cầu kỹ thuật an toàn bảo mật trang thiết bị phục vụ toán thẻ ngân hàng Việt Nam Thông tư áp dụng tổ chức hoạt động thẻ, bao gồm: a) Tổ chức phát hành thẻ (viết tắt TCPHT); b) Tổ chức toán thẻ (viết tắt TCTTT); c) Tổ chức cung ứng dịch vụ trung gian toán (viết tắt TCTGTT) có trang thiết bị phục vụ tốn thẻ ngân hàng Điều Giải thích từ ngữ Trong Thông tư này, từ ngữ hiểu sau: Trang thiết bị phục vụ toán thẻ bao gồm thiết bị, phần mềm sử dụng cho việc tiếp nhận, xử lý giao dịch thẻ ATM (Automated Teller Machine) đặt bên ATM đặt nơi công cộng nơi người giám sát trực tiếp thiết bị Máy POS (Point Of Sale) thiết bị chấp nhận thẻ sử dụng để thực giao dịch thẻ đơn vị chấp nhận thẻ (viết tắt ĐVCNT) Máy mPOS (Mobile Point Of Sale) máy POS bao gồm phần mềm thiết bị chuyên dụng tích hợp với thiết bị thông tin di động Thẻ ngân hàng (sau gọi tắt thẻ) bao gồm thẻ từ thẻ chip a) Thẻ từ loại thẻ mà thông tin thẻ chủ thẻ mã hóa lưu trữ dải băng từ mặt sau thẻ; b) Thẻ chip loại thẻ gắn vi mạch máy tính mạch tích hợp để nhận dạng, lưu trữ thông tin giao dịch chủ thẻ, xử lý vi mô khác Số thẻ dãy số dùng để xác định tổ chức phát hành chủ thẻ Dữ liệu thẻ bao gồm liệu chủ thẻ liệu xác thực thẻ a) Dữ liệu chủ thẻ bao gồm liệu sau: số thẻ; tên chủ thẻ (đối với thẻ định danh); ngày có hiệu lực thẻ; mã dịch vụ (3 (ba) (bốn) số bề mặt thẻ để xác định quyền hạn giao dịch (nếu có)); b) Dữ liệu xác thực thẻ bao gồm liệu sau: toàn liệu dải băng từ thẻ từ liệu vi mạch máy tính, mạch tích hợp thẻ chip; dãy số giá trị mã xác thực thẻ in thẻ; mã số xác định chủ thẻ (PIN) khối mã số xác định chủ thẻ (PIN block) Môi trường liệu chủ thẻ môi trường bao gồm trang thiết bị quy trình xử lý, truyền dẫn, lưu trữ liệu thẻ 9 Mã hóa mạnh phương pháp mã hóa dựa thuật toán kiểm tra, chấp nhận rộng rãi giới với độ dài khóa tối thiểu 112 (một trăm mười hai) bit kỹ thuật quản lý khóa phù hợp Các thuật tốn tối thiểu bao gồm: AES (128 bit); TDES (112 bit); RSA (2048 bit); ECC (160 bit); ElGamal (2048 bit) 10 Dữ liệu nhật ký liệu hệ thống toán thẻ người tạo để lưu lại trình giao dịch, hoạt động hệ thống hình thức điện tử, văn để phục vụ hoạt động giám sát, tra soát, khiếu nại 11 Người có thẩm quyền văn hiểu người đại diện theo pháp luật tổ chức người người đại diện theo pháp luật tổ chức ủy quyền 12 Tổ chức hỗ trợ hoạt động thẻ tổ chức, cá nhân có chuyên môn tổ chức hoạt động thẻ thuê hợp tác nhằm cung cấp hàng hóa, dịch vụ kỹ thuật cho hệ thống toán thẻ Chương II CÁC YÊU CẦU KỸ THUẬT CHUNG Điều Thiết lập quản lý cấu hình thiết bị an ninh mạng Các yêu cầu thiết lập quản lý cấu hình thiết bị an ninh mạng: a) Việc thiết lập thay đổi cấu hình thiết bị an ninh mạng phải kiểm thử người có thẩm quyền phê duyệt trước thực hiện; b) Sơ đồ kết nối hệ thống mạng phải thiết kế đáp ứng yêu cầu: - Tách biệt vùng liệu chủ thẻ vùng mạng khác bao gồm vùng mạng không dây; - Tách biệt chức máy chủ theo nguyên tắc máy chủ ứng dụng, máy chủ sở liệu, máy chủ quản lý tên miền phải để máy chủ khác (có thể máy chủ ảo máy chủ vật lý); - Có tường lửa điểm kết nối vùng hệ thống mạng; - Sơ đồ mạng phải mơ tả tồn đường liệu chủ thẻ c) Phân định trách nhiệm quyền hạn phận, cá nhân quản lý, cấu hình thiết bị an ninh mạng văn bản; d) Không cung cấp địa mạng (địa IP) nội thông tin định tuyến cho tổ chức khác chưa người có thẩm quyền phê duyệt; đ) Quy định văn cổng, dịch vụ, giao thức sử dụng hệ thống mạng bao gồm cổng, giao thức, dịch vụ khơng an tồn Triển khai đầy đủ giải pháp an ninh sử dụng cổng, dịch vụ giao thức khơng an tồn; e) Thực đánh giá lại sách thiết lập thiết bị an ninh mạng tối thiểu 02 lần/năm nhằm loại bỏ sách khơng sử dụng, hết thời hạn thiết lập sai sách, đảm bảo sách thiết lập thiết bị với sách người có thẩm quyền phê duyệt Cấu hình thiết bị an ninh mạng a) Giới hạn truy cập đến môi trường liệu chủ thẻ, chấp nhận truy cập thực cần thiết kiểm soát được; b) Giới hạn truy cập đến thiết bị mạng thiết bị an ninh mạng khớp với trách nhiệm cá nhân, phận quy định Điểm c Khoản Điều này; c) Các tập tin cấu hình phải đồng với cấu hình hoạt động thiết bị lưu trữ an toàn theo chế độ mật để tránh truy cập trái phép; d) Thực thiết lập chức giám sát trạng thái gói tin lọc liệu tự động thiết bị tường lửa định tuyến để phát gói tin khơng hợp lệ Kiểm soát truy cập trực tiếp từ Internet đến môi trường liệu chủ thẻ a) Thiết lập vùng trung gian cung cấp dịch vụ Internet (xác định rõ máy chủ, dịch vụ, địa IP, cổng, giao thức phép truy cập) Việc kết nối ra, vào Internet môi trường liệu chủ thẻ phải kết nối qua vùng trung gian cung cấp dịch vụ; b) Thực biện pháp chống giả mạo để ngăn chặn loại bỏ khả giả mạo địa IP nguồn; c) Không cho phép truy cập từ môi trường liệu chủ thẻ ngồi Internet chưa người có thẩm quyền phê duyệt Yêu cầu thiết lập phần mềm tường lửa tất thiết bị, máy tính cá nhân có kết nối đến liệu thẻ a) Các sách an ninh phần mềm tường lửa cho phép thực hoạt động đủ phục vụ cho nhu cầu xử lý quy trình nghiệp vụ; b) Đảm bảo thiết lập phần mềm tường lửa hoạt động; c) Đảm bảo người dùng khơng thể thay đổi cấu hình phần mềm tường lửa thiết bị Điều Thay đổi, loại bỏ vơ hiệu hóa tham số, chức mặc định hệ thống trang thiết bị phục vụ tốn thẻ Thay đổi vơ hiệu hóa tham số chức mặc định hệ thống (tài khoản, mã khóa bí mật, tham số hệ điều hành, phần mềm, ứng dụng không sử dụng; tham số máy POS không sử dụng; chuỗi ký tự mặc định giao thức giám sát mạng (giao thức SNMP)) Thay đổi tham số mặc định (khóa mã hóa mạng khơng dây; mã khóa bí mật; chuỗi ký tự mặc định giao thức SNMP mơi trường mạng khơng dây có kết nối đến liệu thẻ) Chỉ bật cài đặt chức mặc định (dịch vụ, giao thức, chương trình nền) có nhu cầu sử dụng Loại bỏ chức năng, dịch vụ, tập tin, ổ đĩa không cần thiết Thực thêm biện pháp an tồn bổ sung (các cơng nghệ SSH, S-FTP, SSL, IPSec VPN) sử dụng dịch vụ, giao thức không an toàn để truyền liệu mạng (chia sẻ tệp tin (File Sharing), NetBIOS, Telnet, FTP) Điều An tồn bảo mật phát triển, trì trang thiết bị phục vụ toán thẻ Thực nhận dạng lỗ hổng bảo mật công cụ dò qt nguồn thơng tin tổ chức an ninh mạng bên ngồi có uy tín để xác định mức độ ảnh hưởng lỗ hổng bảo mật hệ thống toán thẻ, bao gồm mức độ ảnh hưởng: mức độ cao; mức độ trung bình; mức độ thấp Đảm bảo tồn thiết bị phục vụ tốn thẻ cập nhật vá lỗ hổng bảo mật công bố từ nhà sản xuất Đối với vá lỗ hổng bảo mật mức độ cao phải cài đặt thời gian sớm không 01 tháng kể từ nhà sản xuất công bố vá Phát triển phần mềm ứng dụng lĩnh vực thẻ đảm bảo tuân thủ quy định pháp luật chuẩn mực phát triển phần mềm ứng dụng áp dụng rộng rãi lĩnh vực công nghệ thông tin Trong chu trình phát triển phần mềm phải tích hợp với u cầu đảm bảo an tồn thơng tin tối thiểu đáp ứng yêu cầu sau: a) Tách biệt môi trường phát triển kiểm thử với môi trường vận hành; b) Không sử dụng liệu thẻ môi trường vận hành cho môi trường kiểm thử; c) Loại bỏ toàn liệu tài khoản kiểm thử trước đưa phần mềm vào sử dụng; d) Đánh giá, xem xét lại mã nguồn phần mềm ứng dụng để phát hiện, khắc phục lỗ hổng bảo mật tiềm tàng trước đưa vào sử dụng Nhân thực đánh giá phải độc lập với nhân phát triển mã nguồn ứng dụng Thực thủ tục kiểm soát thay đổi cập nhật vá lỗ hổng bảo mật, thay đổi phần mềm ứng dụng: a) Xây dựng tài liệu đánh giá tác động đến toàn hệ thống người có thẩm quyền phê duyệt trước thực hiện; b) Khơng làm ảnh hưởng đến tính an toàn bảo mật hệ thống; c) Thực lưu, có kế hoạch dự phòng trước thực thay đổi Khi phát triển mã nguồn ứng dụng cần kiểm tra, loại bỏ lỗ hổng bảo mật ứng dụng, bao gồm: a) Các lỗ hổng chèn mã lệnh truy vấn sở liệu (SQL injection), câu lệnh hệ điều hành (OS injection), phương tiện lưu trữ liệu khác; b) Lỗi tràn nhớ đệm; c) Lỗi mã hóa khơng an tồn lưu trữ liệu; d) Lỗi khơng an tồn truyền thơng; đ) Rò rỉ thơng tin qua thơng báo lỗi (error handling); e) Các nguy chèn mã, đoạn mã javascript, jscript, DHTML, thẻ HTML; g) Các kiểm soát truy cập khơng đúng; h) Các hình thức cơng chiếm quyền xác thực người sử dụng website thông qua website giả mạo khác (Cross Site Request Forgery); i) Lỗi quản lý phiên truy cập (session ID); k) Các lỗ hổng bảo mật xác định có mức độ cao quy định Khoản Điều Các ứng dụng cung cấp dịch vụ mơi trường mạng bên ngồi (mạng internet, mạng không dây, mạng truyền thông di động mạng khác) phải có biện pháp để xử lý mối đe dọa lỗ hổng bảo mật, bao gồm: a) Đánh giá an toàn bảo mật tối thiểu 01 lần/quý sau có thay đổi công cụ đánh giá tự động thủ công; b) Thực giải pháp kỹ thuật tự động phát phòng chống cơng thiết bị tường lửa ứng dụng web (Web Application Firewall) Phần mềm hệ thống tốn thẻ phải có tính lọc, khơng chấp nhận tốn cho giao dịch không phép thực theo quy định pháp luật Điều Yêu cầu cấp phát kiểm soát tài khoản truy cập vào hệ thống toán thẻ Việc truy cập vào ứng dụng toán thẻ phải xác thực phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực sinh trắc học Việc truy cập từ xa vào hệ thống mạng phải xác thực tối thiểu hai phương thức quy định Khoản Điều Mã hóa tồn mã khóa bí mật đường truyền lưu trữ phương pháp mã hóa mạnh Thực biện pháp kiểm soát tài khoản vận hành tài khoản quản trị: a) Cấp phát tài khoản truy cập riêng biệt, phân quyền tương ứng cho cá nhân làm nhiệm vụ vận hành quản trị thiết bị phục vụ toán thẻ; b) Kiểm soát việc thêm mới, xóa, sửa định danh, thơng tin tài khoản người sử dụng mục tiêu quản lý; c) Thu hồi quyền truy cập người sử dụng hết hạn sử dụng chuyển công việc khác không làm nhiệm vụ vận hành, quản trị; d) Thẩm tra, xác nhận lại danh tính người sử dụng nhận yêu cầu gián tiếp qua email, điện thoại trước thay đổi, phục hồi lại mã khóa bí mật tài khoản; đ) Tài khoản cấp phát lần đầu phải thiết lập mã khóa bí mật mã khóa bí mật tài khoản phải khác Tài khoản hoạt động người dùng thay đổi mã khóa bí mật ban đầu; e) Quy định thực việc thu hồi, loại bỏ vô hiệu hóa tài khoản khơng sử dụng, hết hạn sử dụng tài khoản trạng thái không kích hoạt khoảng thời gian; g) Việc cấp tài khoản truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ phải giới hạn thời gian, phải người có thẩm quyền phê duyệt giám sát hoạt động; h) Không chia sẻ dùng chung tài khoản để truy cập hệ thống; i) Tài khoản phải thay đổi mã khóa bí mật tối thiểu 01 lần/q; mã khóa bí mật phải có độ dài tối thiểu 07 (bảy) ký tự, bao gồm ký tự chữ số (ngoại trừ PIN); mã khóa bí mật khơng sử dụng lặp lại bốn lần gần nhất; k) Số lần nhập sai mã khóa bí mật tối đa phép khơng q 03 (ba) lần Có biện pháp khóa tài khoản tự động nhập sai mã khóa bí mật q số lần quy định Thời gian phục hồi tài khoản bị khóa sau nhập sai mã khóa bí mật tối thiểu 30 phút theo yêu cầu; l) Phiên làm việc với hệ thống toán thẻ trạng thái chờ 15 phút hệ thống phải yêu cầu xác thực lại để vào hệ thống; m) Phổ biến đào tạo sách, quy trình truy cập xác thực tài khoản vào hệ thống, đảm bảo tổ chức, cá nhân liên quan nắm rõ quyền hạn, trách nhiệm cấp tài khoản truy cập Ban hành sách thủ tục xác thực tài khoản truy cập, phải bao gồm nội dung: a) Hướng dẫn lựa chọn bảo vệ thơng tin xác thực, mã khóa bí mật; b) Hướng dẫn khơng dùng lại mã khóa bí mật sử dụng trước đó; c) Hướng dẫn thay đổi mã khóa bí mật định kỳ có nghi ngờ mã khóa bí mật bị lộ Quản lý truy cập sở liệu toán thẻ a) Chỉ người quản trị sở liệu trực tiếp truy cập sở liệu; b) Người sử dụng khác truy cập sở liệu phải thông qua chương trình ứng dụng có kiểm sốt quyền hạn xem, nhập, xóa, thay đổi thơng tin; c) Khơng sử dụng tài khoản truy cập sở liệu chương trình ứng dụng cho cá nhân tiến trình khác; d) Mã khóa bí mật tài khoản truy cập sở liệu ứng dụng phải mã hóa ứng dụng sở liệu; đ) Mọi thao tác sở liệu phải ghi nhật ký nhật ký phải lưu giữ tối thiểu 01 năm Chương III CÁC YÊU CẦU KỸ THUẬT ĐỐI VỚI ATM Điều Các yêu cầu kỹ thuật lắp đặt an toàn vật lý ATM Yêu cầu lắp đặt ATM a) Tổ chức hoạt động thẻ có cung cấp dịch vụ ATM (sau gọi chung tổ chức cung cấp dịch vụ ATM) phải đảm bảo yêu cầu việc lắp đặt ATM theo quy định Ngân hàng Nhà nước Việt Nam trang bị, quản lý, vận hành đảm bảo an toàn hoạt động ATM b) Đối với ATM đặt bên Ngoài yêu cầu Điểm a Khoản Điều này, tổ chức cung cấp dịch vụ ATM thực thêm biện pháp đảm bảo an toàn cho ATM đặt bên nguy an toàn vật lý sau: - Có biện pháp đảm bảo ATM tránh bị kéo để di dời trái phép; - Che giấu thành phần, phận ATM không cần thiết để lộ bên Yêu cầu hệ thống báo động a) Tổ chức cung cấp dịch vụ ATM trang bị thiết bị cảm biến cho ATM đặt bên để cảnh báo tác động nhiệt từ thiết bị khò hàn nhận biết lực tác động với cường độ lớn, liên tục từ bên lên thân vỏ máy; b) Tổ chức cung cấp dịch vụ ATM trang bị thiết bị báo động cho ATM nhằm phòng chống: - Mở cửa máy trái phép; - Di dời trái phép khỏi khu vực đặt máy; - Đập phá máy trái phép Các thiết bị báo động ngồi việc phát tín hiệu báo động chỗ, phải gửi cảnh báo trung tâm giám sát Yêu cầu két đựng tiền a) Tổ chức cung cấp dịch vụ ATM trang bị két đựng tiền ATM làm vật liệu chịu lực tác động lớn, chống ăn mòn, tản nhiệt nhanh hấp thụ nhiệt chậm nhằm giảm thiểu mức độ hư hỏng vỏ két tổn thất tiền bên tác động lực, hóa chất nhiệt từ bên ngồi; b) Két đựng tiền ATM phải trang bị hai khóa, hai người nắm giữ Bàn phím nhập mã PIN phải đạt yêu cầu nêu Điều 13 Thông tư ATM phải có chứng nhận xuất xứ có chứng nhận chất lượng nhà sản xuất Điều Các yêu cầu kỹ thuật phần mềm, đường truyền, liên thông cho ATM Tổ chức cung cấp dịch vụ ATM phải đảm bảo yêu cầu phần mềm ATM a) Hệ điều hành máy ATM phải có quyền, hỗ trợ nhà cung cấp cập nhật vá lỗi kịp thời; b) Hệ điều hành cài đặt thiết lập phải đảm bảo phân tách quyền khác nhau: quyền sử dụng thiết bị lưu trữ ngoài; quyền phép thay đổi cấu hình chạy ứng dụng, dịch vụ; c) Phần mềm giao dịch ATM phải thiết lập tính thơng báo hình ảnh âm để cảnh báo người dùng biện pháp an toàn trước nhập số PIN để thông báo người dùng nhận thẻ, nhận tiền sau thực giao dịch; d) Phần mềm điều khiển thiết bị, phần mềm giao dịch phải thiết lập tính chống lại việc lộ thơng tin thẻ, thất tiền sai sót, gian lận yếu tố lỗi kỹ thuật, tính bao gồm: - Khi phần mềm điều khiển thiết bị chi tiền phần mềm ghi nhật ký giao dịch điện tử không hoạt động, ATM phải tự động dừng hoạt động chức rút tiền tự động thông báo lỗi trung tâm; - Phần mềm giao dịch ATM phải thiết lập tính bắt buộc người dùng phải nhập lại số PIN thực giao dịch rút tiền tiếp theo; có thơng báo nhắc nhở người dùng biện pháp an toàn trước nhập số PIN nhận thẻ sau thực giao dịch Yêu cầu đường truyền cho ATM Tổ chức cung cấp dịch vụ ATM thiết lập đường truyền cho ATM phải ngăn chặn truy cập Internet trừ kết nối trung tâm để thực giao dịch Việc cập nhật vá lỗi hệ điều hành, phần mềm phòng chống virus cập nhật khác ATM phải thực chỗ thông qua hệ thống tập trung nội Yêu cầu kết nối liên thông hệ thống toán thẻ Hợp đồng, thỏa thuận kết nối liên thơng hệ thống tốn thẻ qua ATM phải quy định liệu mã hóa trách nhiệm bên việc đảm bảo tính bí mật khóa dùng cho mã hóa Khóa dùng cho mã hóa phải thay đổi tối thiểu 01 lần/năm Điều Các yêu cầu giám sát, an ninh hệ thống ATM Tổ chức cung cấp dịch vụ ATM phải trang bị phần mềm quản lý tập trung, theo dõi đầy đủ tức thời tình trạng ATM 2 Tổ chức cung cấp dịch vụ ATM có biện pháp kỹ thuật, hành để quản lý chặt chẽ hệ thống ATM, phát kịp thời truy cập bất hợp pháp, lắp đặt trái phép thiết bị chép thông tin thẻ ghi hình thao tác người sử dụng a) Có hệ thống giám sát giao dịch hệ thống toán thẻ, liên tục theo dõi nhằm phát giao dịch toán thẻ đáng ngờ, gian lận dựa vào thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần nhập PIN sai quy định dấu hiệu bất thường khác để kịp thời xử lý cảnh báo cho chủ thẻ; b) Hình ảnh ghi camera phải đủ rõ nét để phục vụ yêu cầu giải tra soát, khiếu nại Dữ liệu nhật ký ATM phải sẵn sàng truy cập thời gian tối thiểu 03 tháng lưu trữ tối thiểu 01 năm Tổ chức cung cấp dịch vụ ATM đảm bảo yêu cầu khác an toàn hoạt động ATM theo quy định Ngân hàng Nhà nước Việt Nam trang bị, quản lý, vận hành đảm bảo an toàn hoạt động ATM Chương IV CÁC YÊU CẦU KỸ THUẬT ĐỐI VỚI MÁY POS Điều 10 Các yêu cầu máy POS TCTTT, TCTGTT ĐVCNT phải có thỏa thuận rõ trách nhiệm ĐVCNT, bao gồm: a) Quản lý, bảo vệ, lắp đặt máy POS nơi an tồn Có biện pháp phòng chống việc sử dụng trái phép, trộm cắp máy POS, lắp đặt thiết bị đọc trộm liệu thẻ máy POS; b) Lắp đặt nguồn điện, đường truyền theo yêu cầu kỹ thuật nhà sản xuất; c) Máy POS phải có tên logo TCTTT Máy POS phải có chứng nhận xuất xứ có chứng nhận chất lượng nhà sản xuất Trên tất máy POS phải có số điện thoại liên hệ TCTTT tổ chức cung cấp dịch vụ hỗ trợ (nếu có) Bàn phím nhập mã PIN phải đạt yêu cầu nêu Điều 13 Thông tư TCTTT, TCPHT phải có hệ thống giám sát, cảnh báo giao dịch bất thường (số lượng, giá trị, thời gian, địa điểm giao dịch) Điều 11 Các yêu cầu máy mPOS TCTTT, TCTGTT ĐVCNT phải có thỏa thuận rõ tiêu chuẩn kỹ thuật trách nhiệm kiểm tra giám sát hoạt động máy mPOS đáp ứng tối thiểu yêu cầu sau: a) Yêu cầu thiết bị thông tin di động cài đặt phần mềm mPOS - Thiết bị khơng bị bẻ khóa (jailbreaking rooting), tắt kết nối không cần thiết cho việc sử dụng toán; - Thiết lập thêm tính bảo mật phòng chống bị mất, trộm cắp (tính theo dõi vị trí qua GPS, mã hóa ổ đĩa lưu trữ) Đồng thời, ĐVCNT phải quản lý thông tin số serial, phiên phần mềm thiết bị b) Yêu cầu phần mềm mPOS; - Phần mềm mPOS cài đặt theo hướng dẫn đơn vị cung cấp giải pháp TCTTT; - Phần mềm mPOS khơng phép tốn thiết bị mPOS không kết nối trung tâm tốn thẻ khơng lưu trữ giao dịch thẻ; - Màn hình mPOS phải hiển thị tình trạng sẵn sàng phục vụ để người dùng biết; - Hóa đơn toán gửi đến khách hàng qua email, SMS in (khi có yêu cầu), số thẻ phải che giấu (chỉ hiển thị tối đa 06 (sáu) số đầu 04 (bốn) số cuối) TCTTT phải công bố danh sách ĐVCNT đăng ký sử dụng máy mPOS để chấp nhận toán website đơn vị phương tiện truyền thơng khác (nếu có) Chương V BẢO VỆ DỮ LIỆU THẺ Điều 12 Chính sách an tồn bảo mật thông tin thẻ Tổ chức hoạt động thẻ phải lập cập nhật danh sách trang thiết bị phục vụ tốn thẻ mơ tả chức liên quan đến hệ thống toán thẻ Tổ chức hoạt động thẻ phải thiết lập, công bố, trì phổ biến sách an tồn bảo mật tồn đơn vị Đánh giá sách an tồn bảo mật 01 lần/năm cập nhật sách thiết bị phục vụ tốn thẻ có thay đổi Tổ chức hoạt động thẻ phải thực quy trình đánh giá rủi ro 01 lần/năm sau hệ thống có thay đổi sơ đồ mạng, an ninh bảo mật, bổ sung hệ thống máy chủ dịch vụ bổ sung, sửa đổi nghiệp vụ 4 Tổ chức hoạt động thẻ phải xây dựng triển khai thực quy định việc sử dụng cơng nghệ có rủi ro cao (các truy cập từ xa, mạng không dây, sử dụng thiết bị di động, email Internet) Nội dung quy định bao gồm yêu cầu sau: a) Phải người có thẩm quyền phê duyệt trước sử dụng; b) Phải xác thực tài khoản mã khóa bí mật phương pháp xác thực khác trước sử dụng; c) Liệt kê giám sát hoạt động toàn danh sách thiết bị, công nghệ người dùng cấp quyền sử dụng; d) Có phương pháp để xác định dễ dàng thuận tiện người sở hữu, thông tin liên hệ mục đích sử dụng thiết bị (bằng cách dán nhãn, ghi mã vạch kiểm kê thiết bị); đ) Xác định phạm vi áp dụng cơng nghệ có rủi ro cao; e) Xác định vị trí hệ thống mạng sử dụng cơng nghệ có rủi ro cao; g) Đối với truy cập từ xa phải tự động ngắt kết nối phiên làm việc thời gian cụ thể hệ thống không hoạt động; h) Chỉ kích hoạt truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ thực cần thiết theo u cầu đồng thời phải vơ hiệu hóa truy cập sau phiên làm việc kết thúc; i) Khi cấp quyền truy cập từ xa vào liệu chủ thẻ phải thực biện pháp kỹ thuật cấm chép, di chuyển lưu trữ liệu chủ thẻ vào ổ cứng, phương tiện mang tin, thiết bị ngoại vi Đối với trường hợp đặc biệt cần thực chép, di chuyển, lưu trữ liệu chủ thẻ truy cập từ xa, phải quy định rõ ràng trách nhiệm bảo vệ liệu chủ thẻ theo quy định Thông tư Tổ chức hoạt động thẻ phải quy định rõ ràng trách nhiệm bảo vệ an toàn bảo mật liệu thẻ tổ chức, cá nhân thuộc đơn vị bên liên quan Phân cơng nhiệm vụ quản lý đảm bảo an tồn thơng tin thẻ a) Giám sát phân tích thơng tin, cảnh báo rủi ro an ninh thông tin chuyển thơng tin đến phận có trách nhiệm để phối hợp giải quyết; b) Có biện pháp ứng phó cố kịp thời để kiểm sốt tình huống; c) Quản lý tài khoản người dùng hệ thống; d) Giám sát kiểm sốt tồn truy cập đến liệu; đ) Việc phân công lập thành văn Tổ chức hoạt động thẻ phải thực đào tạo nhận thức an ninh bảo mật thẻ cho nhân viên tuyển dụng định kỳ 01 lần/năm cho tồn nhân viên; phải kiểm tra, kiểm soát đảm bảo nhân viên đơn vị nhận thức sách an toàn bảo mật thẻ Tổ chức hoạt động thẻ phải thiết lập trì quy trình, sách quản lý tổ chức hỗ trợ hoạt động thẻ có chia sẻ liệu có ảnh hưởng đến an tồn bảo mật liệu thẻ Quy trình, sách quản lý đáp ứng tối thiểu yêu cầu sau: a) Cập nhật danh sách tổ chức hỗ trợ hoạt động thẻ; b) Tổ chức hoạt động thẻ phải thực lựa chọn tổ chức hỗ trợ hoạt động thẻ trước ký kết, thỏa thuận hợp đồng Quá trình lựa chọn phải thể rõ yêu cầu đơn vị tổ chức hỗ trợ hoạt động thẻ, hồ sơ đáp ứng yêu cầu tổ chức hỗ trợ hoạt động thẻ phải đáp ứng an toàn bảo mật thông tin thẻ; c) Hợp đồng với tổ chức hỗ trợ hoạt động thẻ phải quy định rõ trách nhiệm tổ chức hỗ trợ hoạt động thẻ tuân thủ quy định có liên quan Thơng tư Phải có cam kết văn điều khoản trách nhiệm tổ chức hỗ trợ hoạt động thẻ cung cấp dịch vụ có trách nhiệm đảm bảo an tồn bảo mật thơng tin thẻ dịch vụ cung cấp lưu giữ, xử lý, trao đổi thông tin Cam kết phải nêu rõ phạm vi cung cấp dịch vụ tổ chức hỗ trợ hoạt động thẻ cung cấp; d) Tổ chức hoạt động thẻ phải tổ chức quản lý, cập nhật thông tin tổ chức hỗ trợ hoạt động thẻ đáp ứng theo yêu cầu Thông tư Tổ chức hoạt động thẻ phải xây dựng quy trình thực ứng phó cố để đảm bảo xử lý có cố xảy Quy trình ứng phó cố đáp ứng tối thiểu yêu cầu sau: a) Vai trò, trách nhiệm, truyền thơng liên lạc cá nhân, tổ chức trường hợp xảy xâm phạm hệ thống; b) Có kịch cụ thể để ứng phó cố; c) Có kịch phục hồi đảm bảo hoạt động liên tục; d) Có kịch lưu liệu; đ) Kiểm thử quy trình tối thiểu 01 lần/năm; e) Phân công nhân cụ thể để sẵn sàng ứng phó cố 24/7; g) Thực chương trình đào tạo cho nhân viên để đáp ứng cơng việc ứng phó cố an tồn bảo mật thẻ; h) Quy trình ứng phó cố bao gồm cảnh báo từ hệ thống giám sát an ninh (các hệ thống phát hiện, phòng chống xâm nhập, thiết bị tường lửa hệ thống giám sát tính tồn vẹn tệp tin liệu); i) Thực sửa đổi hoàn thiện quy trình ứng phó cố thơng qua học kinh nghiệm đáp ứng phát triển công nghệ thông tin Điều 13 Các yêu cầu bàn phím nhập số PIN Bàn phím dùng để nhập số PIN phải tự hủy thông tin nhạy cảm lưu trữ bao gồm khóa mã hóa, PIN, mã khóa bí mật khơng thể khôi phục lại thông tin bị xâm nhập vật lý Âm gõ phím khơng phân biệt với âm gõ phím khác Ngồi khơng thể xác định ký tự PIN nhập cách theo dõi điện từ, điện tiêu thụ Số PIN phải mã hóa sau nhập xong (người dùng ấn Enter) Bộ nhớ đệm tự động xóa sau giao dịch kết thúc hết thời gian chờ Các tính an tồn bàn phím khơng bị thay đổi điều kiện môi trường, điều kiện vận hành Điều 14 Bảo vệ vùng lưu trữ liệu thẻ Lưu trữ, phục hồi, hủy thông tin, liệu thẻ a) Thực sách, thủ tục, quy trình lưu trữ hủy liệu chủ thẻ; hạn chế lượng liệu, thời gian cần lưu trữ đáp ứng theo yêu cầu nghiệp vụ quy định pháp luật lưu trữ; hàng quý thực xác định xóa an tồn liệu chủ thẻ vượt thời gian cần lưu trữ; tuân thủ quy định lưu liệu chủ thẻ, bao gồm quy định thời hạn bảo quản hồ sơ, tài liệu lưu trữ ngành ngân hàng; b) Dữ liệu xác thực thẻ phải đảm bảo: Giữ bí mật hoạt động in ấn, phát hành thẻ; cá nhân tổ chức xử lý liệu xác thực thẻ phải cam kết không tiết lộ thông tin; không lưu trữ liệu xác thực thẻ sau xác thực, kể thơng tin mã hóa giao dịch đến, tập tin liệu nhật ký, tập tin lịch sử, tập tin theo dõi, bảng sơ đồ liệu nội dung sở liệu; c) Số thẻ phải che giấu hiển thị hiển thị đầy đủ có yêu cầu quan có thẩm quyền chủ sở hữu hợp pháp thẻ; số thẻ phải đảm bảo không đọc nơi lưu trữ; d) Đảm bảo số thẻ không đọc nơi lưu trữ cách sử dụng phương pháp sau: - Phương pháp sử dụng hàm băm chiều (hàm hash) dựa thuật tốn mã hóa mạnh; - Phương pháp phân tách, cắt bớt liệu đảm bảo khơng đọc tồn liệu lưu trữ tập tin, sở liệu, liệu nhật ký; - Sử dụng hệ thống mật mã sử dụng lần, đảm bảo thiết bị nhận mã phải giữ bí mật; - Phương pháp mã hóa mạnh với quy trình thủ tục quản lý khóa phải tuân thủ; - Sử dụng phương pháp mã hóa ổ đĩa đảm bảo thực mã hóa tập tin thơng qua chế riêng biệt độc lập với chế kiểm soát truy cập xác thực hệ điều hành có sẵn Quy định mã hóa liệu vùng lưu trữ liệu thẻ a) Các khóa dùng mã hóa phải lưu trữ có biện pháp đảm bảo an toàn tránh nguy lộ thơng tin: - Giới hạn số lượng người có quyền truy cập đến khóa mã hóa; - Lưu giữ khóa riêng dùng để mã hóa, giải mã liệu chủ thẻ thời điểm theo phương thức sau: + Lưu trữ thiết bị chuyên dụng thiết bị bảo mật PIN giao dịch; + Lưu giữ khóa thành tối thiểu hai phần riêng biệt + Thực mã hóa khóa thuật tốn phải mạnh mạnh thuật toán dùng để mã hóa liệu Khóa để mã hóa khóa phải lưu trữ tách biệt với khóa để mã hóa liệu; b) Ban hành quy trình thực tất cơng việc liên quan đến quản lý khóa thủ tục mã hóa để mã hóa liệu chủ thẻ bao gồm: - Quá trình tạo khóa mã hóa; - Phân phối khóa mã hóa; - Lưu giữ khóa mã hóa; - Định kỳ thay đổi khóa hết vòng đời sử dụng; - Thay thu hồi khóa có nghi ngờ bị lộ, bị sửa đổi c) Quản lý khóa mã hóa phải đáp ứng tối thiểu yêu cầu sau: - Nếu sử dụng khóa mã hóa dạng rõ (clear text) phải đảm bảo khóa chia thành nhiều phần quản lý tối thiểu hai người, người giữ phần khóa mã hóa; - Ngăn ngừa việc thay khóa mã hóa chưa phép; - Phải quy định rõ trách nhiệm người giữ khóa mã hóa Điều 15 Mã hóa liệu thẻ đường truyền qua mạng bên Sử dụng phương thức mã hóa giao thức bảo mật thích hợp (tối thiểu giao thức SSL/TLS, SSH, IPSEC) để bảo vệ liệu xác thực thẻ q trình truyền thơng tin qua mạng kết nối với bên ngồi (mạng internet, mạng khơng dây, mạng truyền thông di động mạng khác) Khi gửi số thẻ đến người sử dụng thông qua thơng điệp điện tử, số phải mã hóa phương pháp mã hóa mạnh Điều 16 Hạn chế quyền truy cập đến liệu thẻ Các truy cập xử lý liệu thẻ phải đảm bảo phân quyền mức tối thiểu đủ để thực nhiệm vụ cá nhân Xây dựng sách hạn chế quyền truy cập từ xa, từ vùng mạng bên vào hệ thống Giám sát hoạt động, ghi nhật ký thời gian truy cập vào hệ thống Việc cấp quyền truy cập hệ thống tốn thẻ phải người có thẩm quyền phê duyệt văn Thiết lập biện pháp, hệ thống kiểm sốt truy cập cho tồn thiết bị phục vụ toán thẻ, đảm bảo giới hạn truy cập theo chức trách, nhiệm vụ giao; truy cập không hợp lệ phải bị loại bỏ Điều 17 Hạn chế quyền truy cập vật lý tới liệu thẻ Thực kiểm soát ra, vào tới khu vực đặt hệ thống tốn thẻ, trung tâm liệu thẻ, mơi trường vật lý có liệu thẻ: a) Thiết lập kiểm sốt điểm kết nối mạng có dây không dây khu vực công cộng đảm bảo giới hạn quyền truy cập Kiểm soát việc truy cập vật lý thiết bị di động, thiết bị truyền thông, thiết bị mạng đường điện thoại, viễn thơng; b) Sử dụng camera có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý liệu thủ thẻ Các liệu giám sát phải lưu trữ tối thiểu 03 tháng Xây dựng thủ tục để nhận biết nhân viên cá nhân bên (tổ chức hỗ trợ hoạt động thẻ, khách) đến làm việc bao gồm: a) Thủ tục để nhận biết nhân viên mới, cá nhân bên ngoài; b) Thủ tục để thay đổi yêu cầu truy cập thu hồi quyền truy cập nhân viên việc, cá nhân bên ngồi hết hạn Kiểm sốt truy cập vật lý nhân viên đến phòng máy chủ, khu vực in ấn phát hành thẻ, nơi lưu trữ, xử lý liệu chủ thẻ đáp ứng yêu cầu sau: a) Truy cập phải cấp quyền dựa yêu cầu công việc cá nhân; b) Quyền truy cập phải thu hồi công việc kết thúc, tất công cụ dùng để truy cập (chìa khóa, thẻ truy cập) phải thu hồi vơ hiệu hóa Thực thủ tục để nhận diện cấp phép cho cá nhân bên vào khu vực lưu trữ, xử lý liệu chủ thẻ a) Các cá nhân bên phải cho phép trước vào giám sát toàn thời gian khu vực lưu trữ, xử lý liệu chủ thẻ; b) Các cá nhân bên phải nhận diện thẻ phương thức khác có thời hạn hiệu lực phải nhận diện mắt thường; c) Các cá nhân bên phải yêu cầu thu hồi thẻ phương thức nhận diện khác trước rời khỏi đơn vị hết thời gian hiệu lực; d) Nhật ký ra, vào cá nhân bên phải lưu giữ hình thức văn điện tử tối thiểu 01 năm Phương tiện chứa liệu lưu hệ thống toán thẻ phải bảo quản nơi an toàn Địa điểm bảo quản phải kiểm tra đảm bảo điều kiện an tồn 01 lần/năm Đảm bảo an tồn tài sản vật lý, thơng tin, hồ sơ quan trọng liên quan đến hoạt động thẻ, phương tiện mang tin Kiểm soát việc vận chuyển phương tiện mang tin đảm bảo an toàn liệu thẻ Phải người có thẩm quyền phê duyệt trước bàn giao, di chuyển, phân phối phương tiện mang tin Thực kiểm soát chặt chẽ việc lưu trữ truy cập tới phương tiện mang tin Tiến hành kiểm kê tài sản, phương tiện mang tin tối thiểu 01 lần/năm 8 Các thiết bị đọc liệu thẻ phải giám sát bảo vệ đảm bảo yêu cầu sau: a) Thường xuyên cập nhật danh sách thiết bị, thông tin nhà sản xuất, mẫu thiết bị, nơi đặt thiết bị, mã thiết bị (serial, product number); b) Định kỳ kiểm tra bề mặt thiết bị nhằm phát giả mạo thành phần bị gắn thêm vào cách kiểm tra đặc điểm để nhận dạng số serial thiết bị; c) Người quản lý, sử dụng thiết bị phải đào tạo để nhận biết nguy giả mạo thay thiết bị nhằm đánh cắp thông tin thẻ Nội dung đào tạo bao gồm: - Xác minh danh tính tổ chức hỗ trợ hoạt động thẻ trước cho phép tham gia vào trình sửa chữa, bảo trì, khắc phục lỗi thiết bị; - Kiểm tra, xác minh thiết bị trước cho phép cài đặt, thay hoàn trả thiết bị; - Nhận biết nguy cơ, hành vi đáng ngờ xung quanh thiết bị; - Báo cáo nguy cơ, hành vi giả mạo thay trái phép thiết bị đến người có thẩm quyền Phá hủy hồ sơ, tài liệu chứa liệu thẻ hình thức cắt thành miếng nhỏ, đốt nghiền nát đảm bảo liệu thẻ đọc tái tạo lại Phương tiện mang tin điện tử chứa thơng tin chủ thẻ hủy chương trình xóa liệu chuyên dụng biện pháp hủy vật lý, khử từ đảm bảo liệu chủ thẻ đọc khôi phục Điều 18 Giám sát, bảo vệ kiểm tra trang thiết bị phục vụ toán thẻ Theo dõi giám sát toàn truy cập tới tài nguyên liệu chủ thẻ a) Thực ghi liệu nhật ký toàn truy cập đến thiết bị phục vụ toán thẻ để lưu vết tất hành vi người sử dụng; b) Thực tự động ghi liệu nhật ký truy cập đến toàn thiết bị phục vụ toán thẻ để xác định lại kiện sau: - Tất truy cập người sử dụng đến liệu chủ thẻ; - Tất hành động người sử dụng có tài khoản đặc quyền; - Các truy cập đến toàn liệu nhật ký; - Các cố gắng truy cập không phép vào hệ thống; - Quản lý người sử dụng (bao gồm kiện tạo tài khoản nâng quyền quản trị, thay đổi xóa tài khoản tài khoản quản trị); - Khởi tạo, chấm dứt tạm ngừng việc ghi liệu nhật ký; - Khởi tạo xóa liệu, tài nguyên, chức năng, dịch vụ thiết bị phục vụ toán thẻ c) Dữ liệu nhật ký kiện (quy định Điểm b Khoản Điều này) bao gồm tối thiểu thông tin sau: - Định danh người sử dụng; - Loại kiện; - Ngày, tháng thời gian; - Trạng thái thành công thất bại; - Nguồn gốc kiện; - Tên định danh liệu, tài nguyên chức năng, dịch vụ bị ảnh hưởng kiện d) Phải có hệ thống đồng thời gian hệ thống máy chủ, hệ thống ATM phục vụ toán thẻ; đ) Bảo vệ liệu nhật ký: - Giới hạn quyền xem liệu nhật ký tối thiểu theo nhu cầu công việc; - Bảo vệ tập tin liệu nhật ký nhằm tránh sửa đổi trái phép; - Sao lưu liệu nhật ký đến máy chủ tập trung phương tiện mang tin; e) Tổ chức hoạt động thẻ phải sử dụng cơng cụ để giám sát tính tồn vẹn tập tin liệu nhật ký phần mềm phát thay đổi liệu nhật ký; g) Tổ chức hoạt động thẻ phải tiến hành xem xét, đánh giá liệu nhật ký kiện an ninh toàn thiết bị phục vụ toán thẻ để xác định hoạt động bất thường, hoạt động nghi ngờ cách sử dụng công cụ phân tích, khai thác cảnh báo dựa liệu nhật ký, cụ thể sau: - Tổ chức hoạt động thẻ phải đánh giá hàng ngày tối thiểu nội dung liệu nhật ký sau: + Toàn kiện an toàn bảo mật; + Các liệu nhật ký hệ thống lưu trữ, xử lý, truyền nhận thông tin thẻ; + Các liệu nhật ký trang thiết bị an toàn bảo mật cho hệ thống (các thiết bị tường lửa, hệ thống phát xâm nhập, phòng chống xâm nhập, máy chủ xác thực) - Tổ chức hoạt động thẻ phải đánh giá toàn liệu nhật ký theo quy chế an toàn bảo mật quy định quản lý rủi ro đơn vị Đánh giá liệu nhật ký tối thiểu 01 lần/năm; - Trong trình đánh giá liệu nhật ký, phải theo dõi xử lý kiện ngoại lệ kiện bất thường phát h) Dữ liệu nhật ký phải lưu trữ trực tuyến tối thiểu 03 tháng để sẵn sàng truy cập lưu tối thiểu 01 năm Kiểm tra an ninh hệ thống toán thẻ a) Tổ chức hoạt động thẻ phải thực kiểm soát điểm truy cập mạng khơng dây Có danh sách điểm truy cập khơng dây (nếu có) phép kết nối vào mạng đơn vị, giải thích rõ mục đích sử dụng người có thẩm quyền phê duyệt Định kỳ hàng quý rà soát điểm truy cập mạng không dây kết nối vào mạng nội đơn vị; b) Tổ chức hoạt động thẻ phải dò quét, đánh giá lỗ hổng bảo mật hệ thống công nghệ thơng tin từ bên bên ngồi mạng đơn vị tối thiểu 01 lần/quý sau có thay đổi quan trọng hệ thống (bao gồm: bổ sung thêm thiết bị; thay đổi mơ hình mạng; thay đổi sách truy cập thiết bị tường lửa; nâng cấp, cập nhật hệ điều hành, ứng dụng) Thực khắc phục lỗ hổng bảo mật mức độ cao xác định theo Khoản Điều Thông tư này; c) Tổ chức hoạt động thẻ phải tổ chức diễn tập kịch thử nghiệm xâm nhập theo yêu cầu sau: - Thử nghiệm xâm nhập toàn hệ thống có lưu trữ, xử lý liệu chủ thẻ; - Thực thử nghiệm xâm nhập từ bên bên ngồi hệ thống 01 lần/năm sau có thay đổi quan trọng hệ thống phát lỗ hổng sau dò quét; - Thử nghiệm xâm nhập hệ thống dựa hướng dẫn tổ chức uy tín hoạt động thử nghiệm xâm nhập an toàn bảo mật; - Thử nghiệm xâm nhập khai thác lỗ hổng liệt kê Khoản Điều Thông tư này; - Thử nghiệm xâm nhập mức mạng mức ứng dụng; - Đánh giá xem xét mối đe dọa lỗ hổng bảo mật xảy 12 tháng qua; - Lưu trữ theo chế độ mật kết thử nghiệm xâm nhập kết hành động khắc phục; - Các lỗ hổng bị khai thác phát trình thử nghiệm xâm nhập phải khắc phục kiểm tra lại đảm bảo lỗ hổng khắc phục d) Tổ chức hoạt động thẻ phải sử dụng hệ thống phát phòng chống xâm nhập để phát ngăn chặn xâm nhập trái phép vào hệ thống mạng, giám sát tồn truy cập đến mơi trường liệu chủ thẻ cảnh báo cho người quản trị nguy bị xâm phạm Các thiết bị phòng chống xâm nhập phải cập nhật dấu hiệu mã độc từ nhà cung cấp; đ) Tổ chức hoạt động thẻ phải kiểm tra tính tồn vẹn liệu quan trọng (các tập tin hệ thống, tập tin cấu hình, tập tin nội dung) tối thiểu hàng tháng Điều 19 Yêu cầu đảm bảo hoạt động liên tục Tổ chức hoạt động thẻ xây dựng quy trình khắc phục cố, quản lý rủi ro hệ thống toán thẻ, định kỳ tiến hành rà soát, cập nhật quy trình tối thiểu 01 lần/năm Hệ thống công nghệ thông tin phục vụ cho hoạt động tốn thẻ phải đảm bảo khả dự phòng chỗ dự phòng thảm họa Hệ thống dự phòng thảm họa phải thay hệ thống thời gian không 04 kể từ hệ thống bị cố Tối thiểu 02 lần/năm, hệ thống toán thẻ phải chuyển hoạt động từ hệ thống sang hệ thống dự phòng để đảm bảo tính đồng sẵn sàng hệ thống dự phòng Chương VI ĐIỀU KHOẢN THI HÀNH Điều 20 Chế độ báo cáo Các tổ chức hoạt động thẻ có trách nhiệm gửi báo cáo Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) sau: Báo cáo định kỳ hàng năm việc thực quy định Thông tư này: a) Thời hạn gửi báo cáo trước ngày 15 tháng 11 hàng năm; b) Hình thức gửi báo cáo mẫu báo cáo theo hướng dẫn Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) 2 Báo cáo đột xuất xảy vụ việc an toàn hệ thống toán thẻ: a) Thời hạn gửi báo cáo: Trong vòng 10 ngày kể từ ngày vụ việc phát hiện; b) Nội dung báo cáo bao gồm: ngày, địa điểm phát sinh vụ việc; nguyên nhân vụ việc; đánh giá rủi ro, ảnh hưởng hệ thống toán thẻ nghiệp vụ nơi xảy vụ việc địa điểm khác có liên quan; c) Các biện pháp tổ chức tiến hành để ngăn chặn, khắc phục phòng ngừa rủi ro; kiến nghị, đề xuất Điều 21 Hiệu lực thi hành Thơng tư có hiệu lực thi hành kể từ ngày 01/04/2015 Điều 22 Quy định chuyển tiếp Tổ chức hoạt động thẻ có trang thiết bị tốn thẻ lắp đặt trước ngày Thơng tư có hiệu lực phải rà sốt, xây dựng phương án xử lý, đó, nêu rõ yêu cầu chưa đáp ứng, biện pháp thời hạn thực để đáp ứng đầy đủ yêu cầu Thông tư gửi Ngân hàng Nhà nước (Cục Công nghệ tin học) trước ngày 01/07/2015 Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) xem xét phương án xử lý, yêu cầu tổ chức hoạt động thẻ sửa đổi, bổ sung phương án xử lý bao gồm thời hạn thực (nếu thấy chưa đáp ứng yêu cầu chưa đảm bảo tính khả thi) biện pháp phương án xử lý; giám sát thực phương án xử lý tổ chức hoạt động thẻ Tổ chức hoạt động thẻ có trách nhiệm thực phương án xử lý, sửa đổi, bổ sung thực phương án xử lý theo ý kiến Ngân hàng Nhà nước Việt Nam (nếu có) Điều 23 Trách nhiệm tổ chức thực Cục Cơng nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thực Thông tư gửi kết kiểm tra cho đơn vị liên quan để xử lý Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm tra, giám sát tổ chức, cá nhân có liên quan việc thực Thông tư xử lý vi phạm theo quy định pháp luật Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương có trách nhiệm kiểm tra, giám sát, xử lý vi phạm theo thẩm quyền hoạt động ATM, POS địa bàn theo quy định Thông tư gửi kết kiểm tra Ngân hàng Nhà nước Việt Nam (qua Cục Công nghệ tin học) 4 Thủ trưởng đơn vị liên quan thuộc Ngân hàng Nhà nước Việt Nam; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) tổ chức hoạt động thẻ có trách nhiệm tổ chức thực Thơng tư KT THỐNG ĐỐC PHĨ THỐNG ĐỐC Nơi nhận: - Như Khoản Điều 23; - Ban lãnh đạo NHNN; - Văn phòng Chính phủ; - Bộ Tư pháp (để kiểm tra); - Công báo; - Lưu: VP, CNTH, PC Nguyễn Toàn Thắng ... Điều 13 Thông tư TCTTT, TCPHT phải có hệ thống giám sát, cảnh báo giao dịch bất thường (số lượng, giá trị, thời gian, địa điểm giao dịch) Điều 11 Các yêu cầu máy mPOS TCTTT, TCTGTT ĐVCNT phải có... xuất; c) Máy POS phải có tên logo TCTTT Máy POS phải có chứng nhận xuất xứ có chứng nhận chất lượng nhà sản xuất Trên tất máy POS phải có số điện thoại liên hệ TCTTT tổ chức cung cấp dịch vụ hỗ trợ...b) Tổ chức toán thẻ (viết tắt TCTTT); c) Tổ chức cung ứng dịch vụ trung gian tốn (viết tắt TCTGTT) có trang thiết bị phục vụ tốn thẻ ngân hàng Điều Giải thích