Ngân hàng Nhà nước đã ban hành Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
Thông tư 50 quy định dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật. Ảnh tư liệu
Theo đó, Thông tư 50 quy định các yêu cầu bảo đảm an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng, bao gồm: Hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; Hoạt động cung ứng dịch vụ trung gian thanh toán; Hoạt động thông tin tín dụng.
Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).
Một trong những điểm đáng chú ý tại Thông tư này là quy định về việc các tổ chức tín dụng không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng.
Trước đó, đã có không ít khách hàng nhận được các tin nhắn có chứa brandname ngân hàng, yêu cầu khách hàng truy cập vào đường link có chứa tên hoặc cụm từ tương tự tên ngân hàng để từ đó đánh cắp thông tin tài khoản, dẫn đến rủi ro mất tiền.
Thông tư 50 cũng yêu cầu các ngân hàng phải đăng ký và quản lý ứng dụng Mobile Banking trên kho ứng dụng chính thức, hướng dẫn khách hàng cài đặt ứng dụng từ nguồn tin cậy.
Đồng thời, ứng dụng Mobile Banking phải áp dụng các biện pháp bảo mật để ngăn chặn việc chỉnh sửa hoặc can thiệp trái phép vào luồng dữ liệu và có cơ chế phòng chống các hành vi tấn công hoặc can thiệp ứng dụng cài đặt trên thiết bị của khách hàng; không cho phép chức năng ghi nhớ mã khóa bí mật truy cập.
Đối với khách hàng cá nhân, ứng dụng Mobile Banking phải có chức năng kiểm tra khách hàng khi khách hàng truy cập lần đầu hoặc khi khách hàng truy cập trên thiết bị khác với thiết bị đã truy cập lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm: khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã đăng ký hoặc khớp đúng thông tin sinh trắc học.
Liên quan đến bảo mật thông tin khách hàng, Thông tư 50 quy định dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật; thông tin sử dụng để xác nhận giao dịch của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để bảo đảm tính bí mật.
Đồng thời, các tổ chức tín dụng phải thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập; có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng chống nguy cơ lộ, lọt dữ liệu.
Khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng, cần thông báo cho khách hàng và báo cáo kịp thời về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin).
Trước đó, từ tháng 7/2024, Quyết định 2345/QĐ-NHNN của Ngân hàng Nhà nước về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng đã chính thức có hiệu lực. Quyết định này yêu cầu áp dụng xác thực sinh trắc học trong các giao dịch chuyển tiền trên 10 triệu đồng hoặc tổng giá trị giao dịch vượt 20 triệu đồng/ngày, cũng như khi thay đổi hoặc cài đặt ứng dụng Mobile Banking trên thiết bị mới.
Theo báo cáo của Ngân hàng Nhà nước, từ 1/7 đến 1/11/2024 hơn 50 triệu hồ sơ khách hàng đã được đối chiếu sinh trắc học. Số vụ lừa đảo và tài khoản nhận tiền bất hợp pháp trong giai đoạn này giảm lần lượt 67% và 65% so với trung bình 6 tháng đầu năm. Đáng chú ý, một số tổ chức tín dụng không ghi nhận phát sinh vụ việc lừa đảo nào trong thời gian này.
Thông tư 50 có hiệu lực từ ngày 1/1/2025.
TTXVN