Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ ngân hàng

Theo quy định tại Điều 6 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:

1. Việc truy cập vào ứng dụng thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học.

2. Việc truy cập từ xa vào hệ thống mạng phải được xác thực bằng tối thiểu hai phương thức quy định tại Khoản 1 Điều này.

3. Mã hóa toàn bộ mã khóa bí mật trên đường truyền và khi lưu trữ bằng các phương pháp mã hóa mạnh.

4. Thực hiện các biện pháp kiểm soát tài khoản vận hành và tài khoản quản trị:

a) Cấp phát tài khoản truy cập riêng biệt, phân quyền tương ứng cho từng cá nhân làm nhiệm vụ vận hành và quản trị các thiết bị phục vụ thanh toán thẻ;

b) Kiểm soát việc thêm mới, xóa, sửa các định danh, thông tin tài khoản người sử dụng đúng mục tiêu quản lý;

c) Thu hồi quyền truy cập ngay khi người sử dụng hết hạn sử dụng hoặc chuyển công việc khác hoặc không làm nhiệm vụ vận hành, quản trị;

d) Thẩm tra, xác nhận lại danh tính người sử dụng khi nhận được yêu cầu gián tiếp qua email, điện thoại trước khi thay đổi, phục hồi lại mã khóa bí mật tài khoản;

đ) Tài khoản cấp phát lần đầu phải thiết lập mã khóa bí mật và mã khóa bí mật đó trên các tài khoản phải khác nhau. Tài khoản chỉ được hoạt động khi người dùng thay đổi mã khóa bí mật ban đầu;

e) Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian;

g) Việc cấp tài khoản truy cập từ xa cho tổ chức hỗ trợ hoạt động thẻ phải được giới hạn về thời gian, phải được người có thẩm quyền phê duyệt và được giám sát hoạt động;

h) Không được chia sẻ hoặc dùng chung tài khoản để truy cập hệ thống;

i) Tài khoản phải được thay đổi mã khóa bí mật tối thiểu 01 lần/quý; mã khóa bí mật phải có độ dài tối thiểu 07 (bảy) ký tự, bao gồm cả ký tự chữ và số (ngoại trừ PIN); mã khóa bí mật không được sử dụng lặp lại trong bốn lần gần nhất;

k) Số lần nhập sai mã khóa bí mật tối đa được phép không quá 03 (ba) lần. Có biện pháp khóa tài khoản tự động khi nhập sai mã khóa bí mật quá số lần quy định. Thời gian phục hồi tài khoản bị khóa sau khi nhập sai mã khóa bí mật tối thiểu 30 phút hoặc theo yêu cầu;

l) Phiên làm việc với hệ thống thanh toán thẻ ở trạng thái chờ quá 15 phút hệ thống phải yêu cầu xác thực lại để vào hệ thống;

m) Phổ biến và đào tạo các chính sách, quy trình truy cập và xác thực tài khoản vào hệ thống, đảm bảo các tổ chức, cá nhân liên quan nắm rõ được quyền hạn, trách nhiệm khi được cấp tài khoản truy cập.

5. Ban hành chính sách và thủ tục xác thực tài khoản truy cập, trong đó phải bao gồm các nội dung:

a) Hướng dẫn lựa chọn và bảo vệ thông tin xác thực, mã khóa bí mật;

b) Hướng dẫn không dùng lại mã khóa bí mật đã sử dụng trước đó;

c) Hướng dẫn thay đổi mã khóa bí mật định kỳ hoặc ngay khi có nghi ngờ mã khóa bí mật bị lộ.

6. Quản lý truy cập cơ sở dữ liệu thanh toán thẻ

a) Chỉ người quản trị cơ sở dữ liệu được trực tiếp truy cập cơ sở dữ liệu;

b) Người sử dụng khác khi truy cập cơ sở dữ liệu phải thông qua các chương trình ứng dụng có kiểm soát quyền hạn xem, nhập, xóa, thay đổi thông tin;

c) Không sử dụng các tài khoản truy cập cơ sở dữ liệu của chương trình ứng dụng cho cá nhân hoặc các tiến trình khác;

d) Mã khóa bí mật của tài khoản truy cập cơ sở dữ liệu của ứng dụng phải được mã hóa trên ứng dụng và trong cơ sở dữ liệu;

đ) Mọi thao tác trên cơ sở dữ liệu phải được ghi nhật ký và nhật ký phải được lưu giữ tối thiểu 01 năm.

Trên đây là nội dung tư vấn về Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN.

Trân trọng!