Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào?

Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào?

Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào?

Căn cứ tại Điều 14 Thông tư 50/2024/TT-NHNN có quy định về quản lý lỗ hổng, điểm yếu về mặt kỹ thuật như sau:

Các đơn vị phải thực hiện quản lý lỗ hổng, điểm yếu của hệ thống Online Banking với các nội dung cơ bản sau đây:

- Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi trái phép đối với phần mềm ứng dụng Online Banking.

- Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking.

- Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.

- Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 4 - CVSS v4 hoặc tương đương).

- Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiểu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới.

Đối với thành phần hệ thống kết nối trực tiếp với Internet thực hiện dò quét lỗ hổng, điểm yếu tối thiểu 03 tháng một lần. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý.

- Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro:

+ Đối với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 01 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.

+ Đối với lỗ hổng bảo mật được đánh giá ở mức cao: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 02 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.

+ Đối với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp: thực hiện trong khoảng thời gian do đơn vị tự quyết định.

Trên đây là quy định về quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking.

Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào? (Hình từ internet)

Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào? (Hình từ internet)

Bảo đảm hoạt động liên tục cho hệ thống Online Banking ra sao?

Việc bảo đảm hoạt động liên tục cho hệ thống Online Banking được thực hiện theo quy định tại Điều 16 Thông tư 50/2024/TT-NHNN như sau:

Đơn vị phải xây dựng hệ thống dự phòng thảm hoạ, quy trình, kịch bản bảo đảm hoạt động liên tục cho hệ thống Online Banking theo quy định của Ngân hàng Nhà nước về bảo đảm an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng. Ngoài ra, đơn vị phải thực hiện:

- Phân tích, xác định các tình huống có thể gây mất an toàn thông tin và gián đoạn hoạt động của hệ thống Online Banking. Xác định, đánh giá mức độ rủi ro, khả năng có thể xảy ra đối với từng tình huống tối thiểu 06 tháng một lần. Lập danh sách các tình huống có mức độ rủi ro, khả năng có thể xảy ra theo các cấp độ cao, trung bình, chấp nhận được và thấp.

- Xây dựng phương án bao gồm quy trình, kịch bản xử lý khắc phục các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao và trung bình theo quy định tại khoản 1 Điều 16 Thông tư 50/2024/TT-NHNN.

Xác định thời gian dừng hoạt động tối đa để phục hồi hệ thống, phục hồi dữ liệu cho phương án xử lý đối với từng tình huống. Tổ chức phổ biến phương án xử lý đến các nhân sự có liên quan để hiểu rõ nhiệm vụ, công việc cần phải thực hiện khi xử lý.

- Bố trí nguồn nhân lực, tài chính và các phương tiện kỹ thuật để tổ chức diễn tập phương án xử lý với các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao theo định kỳ tối thiểu 01 năm một lần.

- Lập kế hoạch và tiến hành diễn tập các biện pháp bảo đảm hoạt động kinh doanh liên tục, lưu giữ các hồ sơ có liên quan và tổ chức đánh giá kết quả diễn tập.

Hệ thống Online Banking chỉ được hoạt động khi nào?

Căn cứ tại khoản 8 Điều 3 Thông tư 50/2024/TT-NHNN có quy định về nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking như sau:

Nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking
...
7. Đối với các hệ thống cung cấp dịch vụ cổng thanh toán điện tử, dịch vụ hỗ trợ thu hộ, chi hộ, không phải tuân thủ các quy định tại khoản 7, khoản 9, khoản 10 Điều 7 và Mục 2 Chương II Thông tư này.
8. Hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi bảo đảm an toàn, bảo mật theo quy định của Thông tư này và các quy định của pháp luật liên quan.

Theo đó, hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi đã bảo đảm an toàn, bảo mật theo quy định.

*Lưu ý: Thông tư 50/2024/TT-NHNN có hiệu lực từ ngày 01/1/2025, ngoại trừ những trường hợp sau đây:

- Các điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/7/2025.

- Các điểm b khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/1/2026.

- Các điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/7/2026.

Dịch vụ Online Banking
Căn cứ pháp lý
MỚI NHẤT
Pháp luật
Có bao nhiêu loại mã OTP theo Thông tư 50/2024? Đơn vị cung cấp dịch vụ Online Banking phải công bố những thông tin gì?
Pháp luật
Nguyên tắc bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking theo Thông tư 50/2024 thế nào?
Pháp luật
Hình thức xác nhận khớp đúng thông tin sinh trắc học thông qua hệ thống Online Banking cần đáp ứng yêu cầu tối thiểu nào theo Thông tư 50/2024?
Pháp luật
Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật của hệ thống Online Banking theo Thông tư 50/2024 thế nào?
Pháp luật
Dịch vụ Online Banking là gì? Đơn vị cung cấp dịch vụ Online Banking có trách nhiệm gì trong bảo mật thông tin khách hàng theo Thông tư 50/2024?
Pháp luật
Hệ thống Online Banking là gì? Hệ thống mạng, truyền thông và an toàn, bảo mật của hệ thống Online Banking theo Thông tư 50/2024 thế nào?
Pháp luật
Đơn vị cung cấp dịch vụ Online Banking phải hướng dẫn khách hàng sử dụng thế nào theo Thông tư 50/2024?
Pháp luật
Chế độ báo cáo của đơn vị cung cấp dịch vụ Online Banking từ 1 1 2025 theo Thông tư 50 2024?
Pháp luật
Thông tư 50 2024 quy định ngân hàng không gửi tin nhắn SMS thư điện tử có chứa link cho khách hàng từ ngày 1 1 2025?
Pháp luật
Soft OTP là gì? Soft OTP có mấy loại? Soft OTP phải đáp ứng yêu cầu gì theo Thông tư 50 2024?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Dịch vụ Online Banking
203 lượt xem

TÌM KIẾM LIÊN QUAN
Dịch vụ Online Banking

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Dịch vụ Online Banking

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào