Các quy tắc và tập quán bảo mật có thể giúp giảm thiểu rủi ro do các nguy cơ đe dọa từ bên ngoài lẫn bên trong đối với hệ thống Internet banking. Khi những nguyên tắc và tập quán này được áp dụng và tuân thủ chặt chẽ sẽ giúp ngân hàng bảo vệ tính xác thực và bímật dữ liệu.
Tập quán bảo mật thuờng là sự kết hợp giữa các công cụ phần cứng và phần mềm, các thủ tục hành chính và các chức năng quản lý nhân sự giúp xây dựng hệ thống và hoạt động an toàn. Những quy tắc, tập quán và thủ tục này được coi là chính sách và quy trình an ninh bảo mật của các ngân hàng.
An ninh mạng xét cho cùng phụ thuộc vào một nhóm nhỏ nhân viên có kĩ năng, những người này phải được kiểm tra kĩ lưỡng về nhiệm vụ và việc tiếp cận hệ thống của họ. Các ngân hàng cần phải đưa ra những tiêu chuẩn chọn lựa nghiêm ngặt và xem xét toàn diện khi chỉ định nhân sự vào các vị trí vận hành và bảo mật cho hệ thống Internet banking. Các nhân viên phụ trách việc triển khai, duy trì, và vận hành các trang web phải được huấn luyện đầy đủ về các nguyên tắc và tập quán bảo mật. Ba trong số các quy tắc căn bản nhất trong việc bảo vệ hệ thống là: không để một mình (những công việc và thủ tục quan trọng phải được thực hiện bởi ít nhất hai nguời hoặc là một người làm và một người kiểm tra); tách biệt nhiệm vụ (công việc và tráchnhiệm phải đuợc tách biệt và được nhiều nhóm thựchiện); và kiểm soát tiếp cận hệ thống (quyền tiếp cận hệ thống phải dựa trên trách nhiệm và mức độ cần thiết để hoàn thành công việc).
Nhìn chung, để bảo đảm an tòan cho hệ thống Internet banking, ngân hàng cần có những tập quán bảo vệ an ninh sau:
_ Triển khai hệ thống mạng với các phần mềm hệ thống và firewall được thiết kế với độ an tòan cao nhất, phù hợp với yêu cầu bảo mật. Cập nhật, sữa chữa và nâng
cấp hệ thống theo khuyến cáo của nhà cung cấp. Thay đổi tất cả mật khầu cho hệ thống mới ngay sau khi cài đặt
_ Cài đặt firewall giữa mạng nội bộ và bên ngòai cũng như giữa các khu vực khác nhau về địa lý.
_ Lắp đặt thiết bị ngăn chặn và dò tìm các xâm nhập trái phép.
_ Thuê các chuyên gia an ninh độc lập đánh giá điểm mạnh và điểm yếu của các trình ứng dụng Internet banking, hệ thống và mạng trước khi cài đặt lần đầu tiên và ít nhất hàng năm sau khi cài đặt. Việc đánh giá này tốt nhất là không báo trước cho các nhân viên có trách nhiệm vận hành hệ thống và có các hoạt động liên quan đến Internet banking.
_ Xây dựng các quy trình theo dõi mạng và hệ thống trong đó sử dụng máy quét mạng, thiết bị dò tìm các truy cập trái phép và các cảnh báo về an ninh.
_ Cài đặt phần mềm diệt virus.
_ Thường xuyên theo dõi cấu hình mạng và kiểm tra sự toàn vẹn dữ liệu. _ Duy trì việc theo dõi an ninh và kiểm toán hệ thống. Thuê các chuyên gia bảo mật hay các nhân viên kiểm toán nội bộ có kĩ năng để kiểm toán hệ thống.
_ Phân tích dữ liệu theo dõi an ninh hệ thống để tìm ra những truyền tải dữ liệu và những nỗ lực xâm nhập đáng nghi ngờ.
_ Lập kế hoạch quản lý và giải quyết sự cố.
_ Kiểm tra kế hoạch giải quyết sự cố đã lập trước đó với từng sự cố cụ thể. _ Cài đặt các công cụ phân tích để giúp phân tích bản chất và hạn chế các cuộc tấn công.
_ Triển khai và duy trì kế hoạch khắc phục sự cố và bảo đảm tính liên tục của hệ thống dựa vào yêu cầucông nghệ thông tin, nhu cầu hoạt động và kinh doanh.
_ Thực hiện các chương trình phổ biến kiến thức về an ninh hệ thống.
_ áp dụng biện pháp xác thực hai nhân tố khi truy cập cho hệ thống Internet banking và một OTP cụ thể hay chữ ký điện tử cho mỗi giao dịch có giá trị cao hơn mức định trước do khách hàng chọn hay do ngân hàng quy định truớc.
_ Triển khai phương thức mã hóa mạnh để bảo vệ PIN, mật khẩu, và các dữ liệu nhạy cảm khác.