Bạn chưa có tài khoản? Hãy Đăng ký
| Số hiệu | 20/2020/TT-NHNN |
| Loại văn bản | Thông tư |
| Cơ quan | Ngân hàng Nhà nước Việt Nam |
| Ngày ban hành | 31/12/2020 |
| Người ký | Nguyễn Kim Anh |
| Ngày hiệu lực | 15/02/2021 |
| Tình trạng | Còn hiệu lực |
| Số hiệu | 20/2020/TT-NHNN |
| Loại văn bản | Thông tư |
| Cơ quan | Ngân hàng Nhà nước Việt Nam |
| Ngày ban hành | 31/12/2020 |
| Người ký | Nguyễn Kim Anh |
| Ngày hiệu lực | 15/02/2021 |
| Tình trạng | Còn hiệu lực |
NGÂN HÀNG NHÀ NƯỚC | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 20/2020/TT-NHNN | Hà Nội, ngày 31 tháng 12 năm 2020 |
Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;
Căn cứ Luật Các tổ chức tín dụng ngày 16 tháng 6 năm 2010; Luật sửa đổi, bổ sung một số điều của Luật Các tổ chức tín dụng ngày 20 tháng 11 năm 2017;
Căn cứ Luật giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;
Căn cứ Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dùng tiền mặt; Nghị định số 80/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dùng tiền mặt;
Căn cứ Nghị định số 16/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;
Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư sửa đổi, bổ sung một số điều của Thông tư số 47/2014/TT-NHNN ngày 31 tháng 12 năm 2014 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng (sau đây gọi tắt là Thông tư 47/2014/TT-NHNN).
Điều 1. Sửa đổi, bổ sung một số điều của Thông tư 47/2014/TT-NHNN
1.Khoản 9 Điều 2được sửa đổi, bổ sung như sau:
“9. Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (256 bit); TDES (168 bit); RSA (2048 bit); ECC (224 bit); ElGamal (2048 bit).”.
2.Điểm d khoản 1 Điều 3được sửa đổi, bổ sung như sau:
“d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt. Có biện pháp che giấu địa chỉ mạng nội bộ và các thông tin về bảng định tuyến nội bộ khi kết nối với các bên thứ ba;”.
3.Điểm c khoản 3 Điều 3được sửa đổi, bổ sung như sau:
“c) Các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet phải được người có thẩm quyền phê duyệt và được kiểm soát chặt chẽ.”.
4. Bổ sung khoản 5 vàoĐiều 4như sau:
“5. Mã hóa tất cả các kết nối truy cập quản trị từ xa bằng phương pháp mã hóa mạnh.”.
5. Bổ sung khoản 8 vàoĐiều 5như sau:
“8. Thường xuyên rà soát bảo đảm các trang thiết bị phần cứng, phần mềm được hỗ trợ kỹ thuật từ nhà sản xuất.”.
6.Khoản 1 Điều 6được sửa đổi, bổ sung như sau:
“1. Việc truy cập vào tất cả thành phần hệ thống thông tin phục vụ thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật; thiết bị, thẻ xác thực; sinh trắc học.”.
7.Điểm c khoản 4 Điều 6được sửa đổi, bổ sung như sau:
“e) Thu hồi hoặc vô hiệu hóa các tài khoản không kích hoạt sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày kể từ lần truy cập gần nhất;”.
8.Khoản 3 Điều 10được sửa đổi, bổ sung như sau:
“3. Trên tất cả các máy POS phải có số điện thoại liên hệ của TCTTT.”.
9.Điểm c khoản 1 Điều 14được sửa đổi, bổ sung như sau:
“c) Số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho: chủ thẻ, cơ quan nhà nước có thẩm quyền theo quy định của pháp luật, một số nhân viên theo yêu cầu công việc được người có thẩm quyền phê duyệt;”.
10.Khoản 1 Điều 15được sửa đổi, bổ sung như sau:
“1. Sử dụng các phương pháp mã hóa mạnh và các giao thức bảo mật thích hợp để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng Internet, mạng không dây, mạng truyền thông di động và các mạng khác).”.
11. Điểm b khoản 1 Điều 17được sửa đổi, bổ sung như sau:
“b) Sử dụng camera hoặc biện pháp giám sát phù hợp khác để giám sát việc vào, ra các khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Các dữ liệu giám sát phải được lưu trữ, bảo vệ an toàn và sẵn sàng truy cập tối thiểu 03 tháng.”.
12. Bổ sung điểm i vàokhoản 1 Điều 18như sau:
“i) Ban hành chính sách, quy trình thực hiện giám sát tất cả các truy cập tới tài nguyên mạng, dữ liệu chủ thẻ và phổ biến cho tất cả các cá nhân, bộ phận liên quan đến nghiệp vụ thẻ của tổ chức.”.
Thay đổi cụm từ “Cục Công nghệ tin học” thành cụm từ “Cục Công nghệ thông tin” tại cácĐiều 20, 22 và 23 Thông tư 47/2014/TT-NHNN.
Điều 3. Trách nhiệm tổ chức thực hiện
Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước chi nhánh các tỉnh, thành phố trực thuộc Trung ương, các tổ chức hoạt động thẻ có trách nhiệm tổ chức thực hiện Thông tư này.
Thông tư này có hiệu lực thi hành kể từ ngày 15 tháng 02 năm 2021./.
| KT. THỐNG ĐỐC |
THE STATE BANK OF VIETNAM | THE SOCIALIST REPUBLIC OF VIETNAM |
No. 20/2020/TT-NHNN | Hanoi, December 31, 2020 |
CIRCULAR
AMENDMENTS TO CIRCULAR NO. 47/2014/TT-NHNN DATED DECEMBER 31, 2014 OF THE GOVERNOR OF THE STATE BANK OF VIETNAM DEFINING TECHNICAL REQUIREMENTS CONCERNING SECURITY AND CONFIDENTIALITY OF EQUIPMENT SERVING BANK CARD PAYMENT
Pursuant to the Law on the State Bank of Vietnam dated June 16, 2010;
Pursuant to the Law on Credit Institutions dated June 16, 2010; Law on Amendments to the Law on Credit Institutions dated November 20, 2017;
Pursuant to the Law on E-Transactions dated November 29, 2005;
Pursuant to the Government’s Decree No. 35/2007/ND-CP dated March 08, 2007 on e-transactions in banking operations;
Pursuant to the Government’s Decree No. 101/2012/ND-CP dated November 22, 2012 on non-cash payments; Government’s Decree No. 80/2016/ND-CP dated July 01, 2016 on amendments to Government's Decree No. 101/2012/ND-CP dated November 22, 2012 on non-cash payments.
Pursuant to the Government’s Decree No. 16/2017/ND-CP dated February 17, 2017 defining the functions, tasks, powers and organizational structure of the State Bank of Vietnam;
At the request of the Director of the Information Technology Department;
The Governor of the State Bank of Vietnam hereby promulgates a Circular on amendments to Circular No. 47/2014/TT-NHNN dated December 31, 2014 of the Governor of the State Bank of Vietnam defining technical requirements concerning security and confidentiality of equipment serving bank card payment (hereinafter referred to as the “Circular No. 47/2014/TT-NHNN”).
Article 1. Amendments to Circular No. 47/2014/TT-NHNN
1. Clause 9 of Article 2 is amended as follows:
“9. “strong encryption” means an encryption method based on the algorithm tested and widely accepted in the world with a minimum key length of 112 (one hundred and twelve) bits and appropriate key management techniques. The minimum algorithms include AES (256 bits); RSA (2048 bits); ECC (224 bits); ElGamal (2048 bits).”.
2. Point d Clause 1 of Article 3 is amended as follows:
“d) Internal Internet Protocol address (IP address) and routing information shall not be provided for other organizations without the approval by a competent person. Measures shall be in place to hide internal IP address and information about the routing table when connecting with the third parties;”.
3. Point c Clause 3 of Article 3 is amended as follows:
“c) Access from the cardholder data environment to public Internet shall be subject to the approval by a competent person and kept under strict control.”.
4. Clause 5 is added to Article 4 as follows:
“5. All remote access connections shall be encrypted by strong encryption.”.
5. Clause 8 is added to Article 5 as follows:
“8. Regular reviews shall be carried out to make sure that hardware and software receive technical support from the manufacturer.”.
6. Clause 1 of Article 6 is amended as follows:
“1. The access to all components of an information system serving card payment must be authenticated by at least one of the following methods: secret keys; authentication card or equipment; biometrics.”.
7. Point c Clause 4 of Article 6 is amended as follows:
“e) Unused or expired accounts or accounts that have been inactive for a period of up to 90 days since the last login shall be revoked or deactivated;
8. Clause 3 of Article 10 is amended as follows:
“3. There must be phone numbers of card acquirers on all POS.”.
9. Point c Clause 1 of Article 14 is amended as follows:
“c) The card number must be appropriately concealed when shown (only the first 6 and the last 4 digits are shown) and only be fully shown to the card holder and the competent authority or certain employees with the approval by a competent person;”.
10. Clause 1 of Article 15 is amended as follows:
“1. Methods of strong encryption and appropriate security protocols shall be used to protect card authentication data during transmission of information through the network connected to external networks (Internet, wireless network, mobile communications network and other networks).”.
11. Point b Clause 1 of Article 17 is amended as follows:
“b) Camera shall be used or other measures shall be taken to monitor the entry into or exit from the server room, releasing and printing area, holder data processing and storage area. The monitoring data must be retained, securely protected and accessible for at least 03 months.”.
12. Point i is added to Clause 1 of Article 18 as follows:
“i) Policies and processes shall be promulgated to monitor all access to network resources and cardholder data and disseminated to all individuals and departments related to card operations.”.
Article 2.
The phrase “Cục Công nghệ tin học” (“Informatics Technology Department”) in Articles 20, 22 and 23 of the Circular No. 47/2014/TT-NHNN are replaced with the phrase “Cục Công nghệ thông tin” (“Information Technology Department”).
Article 3. Responsibility for implementation
The Office’s Chief, the Director of the Information Technology Department, the heads of the State Bank’s affiliates, the Directors of the State Bank branches of provinces and central-affiliated cities, and organizations involved in card operations are responsible for the implementation of this Circular.
Article 4. Implementation clause
This Circular comes into force from February 15, 2021./.
| PP. THE GOVERNOR |
---------------
This document is handled by Dữ Liệu Pháp Luật . Document reference purposes only. Any comments, please send to email: [email protected]
| Số hiệu | 20/2020/TT-NHNN |
| Loại văn bản | Thông tư |
| Cơ quan | Ngân hàng Nhà nước Việt Nam |
| Ngày ban hành | 31/12/2020 |
| Người ký | Nguyễn Kim Anh |
| Ngày hiệu lực | 15/02/2021 |
| Tình trạng | Còn hiệu lực |
Văn bản Tiếng Việt đang được cập nhật