Đề xuất bổ sung yêu cầu về an toàn bảo mật với thiết bị thanh toán thẻ

Để giảm thiểu rủi ro an ninh mạng, Ngân hàng Nhà nước đang đề xuất sửa đổi, bổ sung một số quy định yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng.

Đề xuất bổ sung yêu cầu về an toàn bảo mật với thiết bị thanh toán thẻ
Ngân hàng Nhà nước đang xây dựng dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư 47/2014 quy định các yêu cầu kỹ thuật về an toàn bảo mật với trang thiết bị phục vụ thanh toán thẻ ngân hàng (Ảnh minh họa)

Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư 47/2014 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định các yêu cầu kỹ thuật về an toàn bảo mật với trang thiết bị phục vụ thanh toán thẻ ngân hàng, hiện đang được đăng tải công khai trên Cổng thông tin điện tử Chính phủ để lấy ý kiến đóng góp của các cơ quan, tổ chức doanh nghiệp và người dân.

Bổ sung quy định về mã hóa kết nối truy cập quản trị từ xa

Cụ thể, tại dự thảo, định nghĩa về “mã hóa mạnh” được cập nhật, điều chỉnh độ dài khóa đối với thuật toán TDES và EEC nhằm tăng tính bảo mật cho các thuật toán này.

Theo đó, khoản 9 Điều 2 của Thông tư 47 được đề nghị sửa thành “Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (128 bit); TDES (168 bit); RSA (2048 bit); ECC (224 bit); ElGamal (2048 bit)”.

Với các quy định về thiết lập và quản lý cấu hình thiết bị an ninh mạng, dự thảo Thông tư mới đề xuất bổ sung quy định về việc che giấu địa chỉ mạng nội bộ và thông tin về bảng định tuyến nội bộ nhằm giảm thiểu rủi ro an ninh mạng (điểm d khoản 1 Điều 3); đồng thời bổ sung quy định về ngăn chặn kết nối Internet của các máy trạm có quyền truy cập vào dữ liệu thẻ dạng rõ nhằm giảm thiểu rủi ro an ninh mạng liên quan đến lộ lọt dữ liệu thẻ (điểm a khoản 2 Điều 3).

Tại Điều 4 của Thông tư 47/2014 quy định về “Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ”, Ngân hàng Nhà nước đề nghị bổ sung quy định về mã hóa kết nối truy cập quản trị từ xa để giảm thiểu rủi ro an ninh mạng.

Về quy định an toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ, cũng để giảm thiểu rủi ro an ninh mạng, dự thảo Thông tư mới bổ sung quy định về đánh giá công nghệ phần mềm.

Theo đó, sẽ xem xét công nghệ phần mềm ít nhất một năm một lần để xác định chúng vẫn được hỗ trợ bởi nhà sản xuất và có thể đáp ứng các yêu cầu bảo mật. Nếu phát hiện không còn được nhà cung cấp hỗ trợ hoặc không đáp ứng nhu cầu bảo mật cần lên kế hoạch khắc phục và thay thế.

Với Điều 6 – Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán của Thông tư 47/2014, Ngân hàng Nhà nước dự định sửa đổi khoản 1 và điểm e của khoản 4.

 

Cụ thể, để giảm thiểu rủi ro an ninh mạng, yêu cầu về truy cập vào hệ thống thanh toán thẻ được đề xuất sửa đổi thành “Việc truy cập vào tất cả thành phần hệ thống thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học” (khoản 1 Điều 6).

Đồng thời, bổ sung nội dung về tài khoản không hoạt động trong khoảng thời gian dài nhằm giảm thiểu rủi ro an ninh mạng: “Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian” (điểm e khoản 4 Điều 6).

Đề xuất thêm yêu cầu cụ thể về che giấu thông tin thẻ

Cũng tại dự thảo Thông tư sửa đổi, bổ sung Thông tư 47/2014, Ngân hàng Nhà nước còn đề xuất bổ sung yêu cầu cụ thể về che giấu thông tin thẻ và kiểm soát nhân sự có quyền khai thác thông tin thẻ nhằm giảm thiểu rủi ro an ninh mạng. Theo đó, số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho một số hạn chế nhân viên có thẩm quyền để thao tác nghiệp vụ hoặc khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ. Tổ chức phải lập danh sách các nhân viên có quyền xem số thẻ đầy đủ và thu hồi quyền xem số thẻ đầy đủ ngay khi nhân viên thay đổi vị trí công việc.

Cùng với đó, quy định mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài cũng được sửa đổi để phù hợp với sự thay đổi của quy định về mã hóa mạnh. Cụ thể, dự thảo Thông tư mới quy định: “Sử dụng các phương thức mã hóa mạnh và các giao thức bảo mật an toàn để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng Internet, mạng không dây, mạng truyền thông di động và các mạng khác)”.

Đối với quy định hạn chế quyền truy cập vật lý tới dữ liệu thẻ (Điều 17 Thông tư 47/2014), dự thảo Thông tư mới bổ sung quy định về bảo vệ các biện pháp giám sát vật lý: “Sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Camera hoặc biện pháp giám sát khác phải được bảo vệ khỏi việc phá hoại hoặc vô hiệu hóa. Các dữ liệu giám sát phải được lưu trữ tối thiểu 3 tháng”.

Ngoài ra, cũng để giảm thiểu rủi ro an ninh mạng, tại Điều 18 - Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ, Ngân hàng Nhà nước đề xuất bổ sung yêu cầu về giám sát truy cập tới tài nguyên mạng và dữ liệu chủ thẻ của hệ thống thanh toán thẻ.

Theo đó, bổ sung điểm i khoản 1 Điều 18: “Ban hành chính sách, quy trình thực hiện giám sát tất cả các truy cập tới tài nguyên mạng, dữ liệu chủ thẻ và phổ biến cho các bên liên quan”.

Vân Anh

25% cửa hàng xăng dầu tại Hà Nội chấp nhận thanh toán không tiền mặt trong năm nay

25% cửa hàng xăng dầu tại Hà Nội chấp nhận thanh toán không tiền mặt trong năm nay

Trong năm 2020, 90% cơ sở phân phối, bán lẻ hiện đại, đơn vị cung cấp điện, nước, dịch vụ viễn thông và 25% cửa hàng xăng dầu trên địa bàn Hà Nội chấp nhận thanh toán không dùng tiền mặt khi mua bán hàng hóa, dịch vụ.

 
List comment
 
Ninh Thuận đã hoàn thành mô hình đảm bảo an toàn thông tin 4 lớp
icon

Ngày 2/10, UBND tỉnh Ninh Thuận cho biết địa phương này đã hoàn thành mô hình đảm bảo an toàn thông tin 4 lớp theo đúng hướng dẫn của Bộ TT&TT.

 
Hai thành viên của Team Xecuter bị bắt vì bán công cụ bẻ khóa Switch
icon

Tổ chức Team Xecuter nổi tiếng với việc bẻ khóa máy chơi game Nintendo và đã tung ra nhiều sản phẩm khiến các nhà sản xuất bị ảnh hưởng nghiêm trọng. 

 
Bí mật nhà nước là nội dung quan trọng trong bảo vệ an ninh quốc gia
icon

Hội nghị tập huấn công tác bảo vệ bí mật nhà nước năm 2020 của Bộ Nội vụ giải đáp những vướng mắc trong quá trình thực hiện và chia sẻ bài học kinh nghiệm thực tiễn về công tác bảo vệ bí mật nhà nước.  

 
Bảo vệ bí mật nhà nước là nhiệm vụ quan trọng đối với cán bộ ngành đường bộ
icon

Theo ông Nguyễn Xuân Cường, Phó Tổng cục trưởng Tổng cục Đường bộ Việt Nam, bảo vệ bí mật nhà nước là một nhiệm vụ quan trọng cho đối với cán bộ công chức ngành đường bộ và ảnh hưởng lớn đến công việc hàng ngày.

 
Bộ GTVT tuyên truyền về chiến dịch bóc gỡ mã độc cho hơn 10.000 cán bộ, nhân viên
icon

Toàn bộ hơn 10.000 cán bộ, nhân viên ngành Giao thông Vận tải (GTVT) sẽ được tuyên truyền về chiến dịch “Rà soát và bóc gỡ mã độc toàn quốc năm 2020”, từ đó góp phần tăng cường đảm bảo an toàn cho các hệ thống của ngành.

 
 
Bộ KH&CN triển khai chiến dịch rà quét xử lý mã độc năm 2020
icon

Bộ KH&CN vừa có văn bản gửi đến các đơn vị trực thuộc về việc triển khai chiến dịch rà quét xử lý mã độc năm 2020 do Cục ATTT (Bộ TT&TT) phát động.

Bộ KH&CN yêu cầu các đơn vị cảnh giác với lỗ hổng Zerologon
icon

Bộ KH&CN vừa có công văn gửi đến các cơ quan, đơn vị thuộc Bộ để cánh báo về nguy cơ tấn công vào cơ quan, tổ chức qua lỗ hổng Zerologon, yêu cầu rà quét để phát hiện và có phương án xử lý.

Sự khác biệt giữa các hình thức tấn công mạng thường gặp tại Việt Nam
icon

DDoS, CC là 2 hình thức tấn công mạng phổ biến nhất trong những năm gần đây tại Việt Nam và không ít vụ việc để lại hậu quả tương đối nghiêm trọng.  

Bảo đảm an toàn thông tin: Trách nhiệm thuộc về người đứng đầu
icon

Chỉ thị mới của Lào Cai nêu rõ trách nhiệm của những người đứng đầu cơ quan, đơn vị, địa phương trong công tác đảm bảo an toàn, an ninh thông tin.

Hàng trăm cán bộ cấp huyện, thị ở Phú Thọ được trang bị kỹ năng sử dụng chữ ký số
icon

Sở TT&TT Phú Thọ vừa tổ chức một số đợt tập huấn về kỹ năng sử dụng chữ ký số và cung cấp thông tin báo chí cho các cán bộ chuyên trách tại địa phương.  

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123