II. CÁC GIẢI PHÁP TĂNG CƯỜNG CÔNG TÁC QUẢN TRỊ RỦI RO GIAO DỊCH TRONG INTERNET BANKING
2.6.Quản lý quy trình gia công sản phẩm dịch vụ Internet banking
2. Nhóm giải pháp đối với các ngân hàng thương mại Nhóm giải pháp đảm bảo an toàn thông tin
2.6.Quản lý quy trình gia công sản phẩm dịch vụ Internet banking
Hầu hết các ngân hàng cung cấp Internet banking thường thuê các nhà cung cấp dịch vụ, các công ty gia công phần cứng và phần mềm, các công ty viễn thông… (gọi chung là các nhà cung cấp dịch vụ) để gia công một phần hay toàn bộ hệ thống Internet banking cũng như hệ thống Core banking. Lý do có thể là sự thay đổi nhanh chóng của công nghệ hay do nội bộ ngân hàng không có khả năng tiếp cận. Dù cho thuê gia công Internet banking vì lí do gì thì ngân hàng cũng phải bảo đảm rằng các đơn vị được thuê có thể cung cấp dịch vụ với khả năng hoạt động, công suất, độ tin cậy và mức độ an toàn hệ thống đáp ứng được yêu cầu cung cấp dịch vụ qua Internet banking của ngân hàng. Thuê bên thứ ba gia công Internet banking không có nghĩa là ngân hàng giảm bớt được trách nhiệm của mình.
Ban quản trị phải hiểu đầy đủ các rủi ro liên quan đến việc thuê gia công hệ thống Internet banking. Trước khi chỉ định một nhà cung cấp dịch vụ, cần xem xét kĩ để xác định năng lực, độ tin cậy, hồ sơ và tình hình tài chính của nhà cung cấp dịch vụ đó. Cần có các điều khoản quy định đầy đủ và cẩn thận về văn bản vai trò, mối quan hệ, nghĩa vụ và trách nhiệm của các bên. Trong các hợp đồng cung cấp dịch vụ cần quy định mục tiêu hoạt động, mức dịch vụ, tính sẵn sàng liên tục, độ tin cậy, sự tuân thủ, kiểm tra, an ninh hệ thống, kế hoạch dự phòng, khả năng khôi phục khi có sự cố và phương tiện dự trữ.
Ngân hàng nên yêu cầu nhà cung cấp dịch vụ thực hiện các chính sách, thủ tục và kiểm soát an ninh hệ thống tương tự như những gì áp dụng tại bản thân các ngân hàng. Ngân hàng cũng cần thường xuyên xem xét và theo dõi những tập quán và
quy trình an ninh của nhà cung cấp dịch vụ. Cần thiết lập quy trình theo dõi việc cung cấp dịch vụ, độ tin cậy của hoạt động và khả năng xử lí của nhà cung cấp dịch vụ để đo lường sự tuân thủ hợp đồng đã thỏa thuận và năng lực của đơn vị này.
Ngân hàng cũng cần yêu cầu nhà cung cấp dịch vụ triển khai và xây dựng chính sách dự phòng sự cố, trong đó quy định vai trò và trách nhiệm của họ trong việc ghi lại, duy trì và kiểm tra các kế hoạch dự phòng và thủ tục khắc phục sự cố. Cần xem xét, cập nhật và thử nghiệm kế hoạch này thường xuyên phù hợp với những điều kiện công nghệ và yêu cầu hoạt động thay đổi thường xuyên.
Ngân hàng cũng nên có kế hoạch dự phòng cho trường hợp sự cố xấu nhất là nhà cung cấp dịch vụ hiện tại không thể tiếp tục hoạt động hay cung cấp dịch vụ đã yêu cầu. Trong trường hợp này, ngân hàng phải tìm giải pháp ở nhà cung cấp khác để tiếp tục hoạt động.