Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp trực tiếp bóng đá k+ vụ trực tuyến trong ngành Ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp trực tiếp bóng đá k+ vụ trực tuyến trong ngành Ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
| Số hiệu: | 50/2024/TT-NHNN | Loại văn bản: | Thông tư |
| Nơi ban hành: | Ngân hàng Nhà nước Việt Nam | Người ký: | Phạm Tiến Dũng |
| Ngày ban hành: | 31/10/2024 | Ngày hiệu lực: | Đã biết |
| Ngày công báo: | 30/11/2024 | Số công báo: | 1279-1280 |
| Tình trạng: | Đã biết |
| Số hiệu: | 50/2024/TT-NHNN |
| Loại văn bản: | Thông tư |
| Nơi ban hành: | Ngân hàng Nhà nước Việt Nam |
| Người ký: | Phạm Tiến Dũng |
| Ngày ban hành: | 31/10/2024 |
| Ngày hiệu lực: | Đã biết |
| Ngày công báo: | 30/11/2024 |
| Số công báo: | 1279-1280 |
| Tình trạng: | Đã biết |
|
NGÂN
HÀNG NHÀ NƯỚC |
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 50/2024/TT-NHNN |
Hà Nội, ngày 31 tháng 10 năm 2024 |
QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT CHO VIỆC CUNG CẤP DỊCH VỤ TRỰC TUYẾN TRONG NGÀNH NGÂN HÀNG
Căn cứLuật Ngân hàng Nhà nước Việt Namngày 16 tháng 6 năm 2010;
Căn cứLuật An toàn thông tin mạngngày 19 tháng 11 năm 2015;
Căn cứLuật An ninh mạngngày 12 tháng 6 năm 2018;
Căn cứLuật Giao trực tiếp bóng đá k+ điện tửngày 22 tháng 6 năm 2023;
Căn cứLuật Các tổ chức tín dụngngày 18 tháng 01 năm 2024;
Căn cứ Nghị định số102/2022/NĐ-CPngày 12 tháng 12 năm 2022 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;
Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư quy định về an toàn, bảo mật cho việc cung cấp trực tiếp bóng đá k+ vụ trực tuyến trong ngành Ngân hàng.
Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
1. Phạm vi điều chỉnh
Thông tư này quy định các yêu cầu bảo đảm an toàn, bảo mật cho việc cung cấp trực tiếp bóng đá k+ vụ trực tuyến trong ngành Ngân hàng, bao gồm:
a) Hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;
b) Hoạt động cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán;
c) Hoạt động thông tin tín dụng.
2. Đối tượng áp dụng
Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).
Điều 2. Giải thích từ ngữ và thuật ngữ
Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:
1.trực tiếp bóng đá k+ vụ trực tuyến trong ngành Ngân hàng(gọi tắt là trực tiếp bóng đá k+ vụ Online Banking) là trực tiếp bóng đá k+ vụ quy định tạikhoản 1 Điều 1 Thông tư nàyđược các đơn vị cung cấp cho khách hàng trên môi trường mạng để thực hiện các giao trực tiếp bóng đá k+ điện tử (gọi tắt là giao trực tiếp bóng đá k+), không bao gồm các giao trực tiếp bóng đá k+ trực tiếp tại các đơn vị chấp nhận thanh toán qua thiết bị chấp nhận thẻ tại điểm bán, qua Mã phản hồi nhanh (Quick Response Code - QR Code) hiển thị từ phía khách hàng.
2.Hệ thống Online Bankinglà một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng truyền thông và an toàn, bảo mật để sản xuất, truyền nhận, thu thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho việc quản lý và cung cấp trực tiếp bóng đá k+ vụ Online Banking, do đơn vị thiết lập, quản trị, vận hành hoặc thuê bên thứ ba thiết lập, quản trị, vận hành.
3.Phần mềm ứng dụng Online Bankinglà phần mềm ứng dụng cung cấp trực tiếp bóng đá k+ vụ Online Banking.
4.Phần mềm ứng dụng Mobile Bankinglà phần mềm ứng dụng Online Banking được cài đặt trên thiết bị di động.
5.Giao trực tiếp bóng đá k+ thanh toán trực tuyếnlà giao trực tiếp bóng đá k+ thanh toán được thực hiện bằng phương tiện điện tử thông qua hệ thống Online Banking.
6.Khách hànglà các tổ chức, cá nhân sử dụng trực tiếp bóng đá k+ vụ Online Banking.
9.Mã hóa điểm đầu đến điểm cuối (end to end encryption)là cơ chế mã hóa an toàn thông tin ở điểm đầu trước khi gửi đi và chỉ được giải mã sau khi nhận được tại điểm cuối trong quá trình trao đổi thông tin giữa các ứng dụng, các thiết bị trong hệ thống nhằm hạn chế rủi ro bị lộ, lọt thông tin trên đường truyền.
10.Hệ quản trị cơ sở dữ liệulà phần mềm được thiết kế để quản lý, lưu trữ, truy xuất và thực thi các truy vấn dữ liệu trong cơ sở dữ liệu.
1. Hệ thống Online Banking phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 3 trở lên theo quy định của pháp luật về bảo đảm an toàn hệ thống thông tin theo cấp độ, đối với hệ thống thông tin cung cấp trực tiếp bóng đá k+ vụ chuyển mạch tài chính, trực tiếp bóng đá k+ vụ bù trừ điện tử phải tuân thủ quy định về bảo đảm an toàn hệ thống thông tin cấp độ 4 trở lên; tuân thủ tiêu chuẩnTCVN 11930:2017(tiêu chuẩn Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ) và quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.
2. Bảo đảm tính bí mật, tính toàn vẹn của thông tin khách hàng; bảo đảm tính sẵn sàng của hệ thống Online Banking để cung cấp trực tiếp bóng đá k+ vụ một cách liên tục.
3. Các giao trực tiếp bóng đá k+ của khách hàng được phân loại và đánh giá mức độ rủi ro tối thiểu theo: nhóm khách hàng, hành vi sử dụng của khách hàng, loại giao trực tiếp bóng đá k+, hạn mức giao trực tiếp bóng đá k+ (nếu có) và tuân thủ các quy định của pháp luật liên quan. Trên cơ sở đó, đơn vị cung cấp các hình thức xác nhận giao trực tiếp bóng đá k+ phù hợp cho khách hàng lựa chọn, tuân thủ tối thiểu các quy định sau:
a) Áp dụng tối thiểu một trong các hình thức xác nhận quy định tạikhoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư nàykhi thay đổi thông tin định danh khách hàng;
b) Áp dụng tối thiểu một hoặc kết hợp các hình thức xác nhận giao trực tiếp bóng đá k+ theo quy định tại Thông tư này; Trường hợp văn bản quy phạm pháp luật hướng dẫn về các trực tiếp bóng đá k+ vụ quy định tạikhoản 1 Điều 1 Thông tư nàycó quy định về hình thức xác nhận giao trực tiếp bóng đá k+ thì thực hiện theo văn bản quy phạm pháp luật đó;
c) Đối với giao trực tiếp bóng đá k+ gồm nhiều bước, phải thực hiện xác nhận giao trực tiếp bóng đá k+ tại bước phê duyệt cuối cùng.
4. Thực hiện kiểm tra, đánh giá an toàn, bảo mật hệ thống Online Banking định kỳ hàng năm.
5. Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp trực tiếp bóng đá k+ vụ Online Banking.
6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp trực tiếp bóng đá k+ vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới. Trong thời gian chưa nâng cấp, thay thế, đơn vị phải có biện pháp tăng cường bảo đảm an toàn, bảo mật hệ thống Online Banking.
7. Đối với các hệ thống cung cấp trực tiếp bóng đá k+ vụ cổng thanh toán điện tử, trực tiếp bóng đá k+ vụ hỗ trợ thu hộ, chi hộ, không phải tuân thủ các quy định tạikhoản 7, khoản 9, khoản 10 Điều 7và Mục 2 Chương II Thông tư này.
8. Hệ thống Online Banking chỉ được hoạt động cung cấp trực tiếp bóng đá k+ vụ cho khách hàng khi bảo đảm an toàn, bảo mật theo quy định của Thông tư này và các quy định của pháp luật liên quan.
Mục 1. HẠ TẦNG KỸ THUẬT CỦA HỆ THỐNG ONLINE BANKING
Điều 4. Hệ thống mạng, truyền thông và an toàn, bảo mật
Đơn vị phải thiết lập hệ thống mạng, truyền thông và an toàn, bảo mật đạt yêu cầu tối thiểu sau:
1. Có các giải pháp an toàn, bảo mật tối thiểu gồm:
a) Tường lửa ứng dụng hoặc giải pháp bảo vệ có tính năng tương đương;
b) Tường lửa cơ sở dữ liệu hoặc giải pháp bảo vệ có tính năng tương đương;
c) Giải pháp phòng, chống tấn công từ chối trực tiếp bóng đá k+ vụ (DoS - Denial of Service attack), tấn công từ chối trực tiếp bóng đá k+ vụ phân tán (DDoS - Distributed Denial of Service attack) đối với các hệ thống cung cấp trực tiếp bóng đá k+ vụ trực tiếp trên Internet;
d) Hệ thống quản lý và phân tích sự kiện an toàn thông tin.
2. Thông tin khách hàng (thông tin nhận biết khách hàng, thông tin giao trực tiếp bóng đá k+ của khách hàng) không được lưu trữ tại phân vùng kết nối Internet và phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ).
3. Thiết lập chính sách hạn chế tối đa các trực tiếp bóng đá k+ vụ, cổng kết nối vào hệ thống Online Banking.
4. Kết nối từ bên ngoài mạng nội bộ vào hệ thống Online Banking để quản trị chỉ được thực hiện trong trường hợp không thể kết nối từ mạng nội bộ và bảo đảm an toàn, tuân thủ các quy định sau:
a) Phải được cấp có thẩm quyền phê duyệt sau khi xem xét mục đích, cách thức kết nối;
b) Phải có phương án quản lý truy cập, quản trị hệ thống từ xa an toàn như sử dụng mạng riêng ảo hoặc phương án tương đương;
c) Thiết bị kết nối phải được cài đặt các phần mềm bảo đảm an toàn, bảo mật;
d) Phải áp dụng tối thiểu hai trong các hình thức xác nhận quy định tạikhoản 1, khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư nàykhi đăng nhập hệ thống;
đ) Sử dụng giao thức truyền thông được mã hóa an toàn và không lưu mã khóa bí mật tại các phần mềm tiện ích.
5. Đường truyền kết nối mạng cung cấp trực tiếp bóng đá k+ vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp trực tiếp bóng đá k+ vụ liên tục.
Điều 5. Hệ thống máy chủ và phần mềm hệ thống
1. Yêu cầu đối với máy chủ:
a) Hiệu năng sử dụng tài nguyên máy chủ bao gồm: bộ xử lý trung tâm (CPU), bộ nhớ trong (RAM), thiết bị lưu trữ dữ liệu, thiết bị truy xuất dữ liệu khi lưu trữ hoặc truyền nhận, trung bình hàng tháng tối đa 80% công suất thiết kế;
b) Hệ thống Online Banking phải có máy chủ dự phòng bảo đảm tính sẵn sàng cao;
c) Tách biệt về lô-gíc hoặc vật lý với các máy chủ hoạt động nghiệp vụ khác;
d) Phải được kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) cho hệ điều hành, cập nhật các bản vá lỗi thường xuyên.
2. Đơn vị phải lập danh mục các phần mềm được phép cài đặt trên máy chủ. Định kỳ tối thiểu 06 tháng một lần cập nhật, kiểm tra, bảo đảm tuân thủ danh mục này.
Điều 6. Hệ quản trị cơ sở dữ liệu
1. Hệ quản trị cơ sở dữ liệu phải có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu.
2. Hệ thống Online Banking phải có cơ sở dữ liệu dự phòng thảm họa, có khả năng thay thế cơ sở dữ liệu chính và bảo đảm đầy đủ, toàn vẹn dữ liệu giao trực tiếp bóng đá k+ của khách hàng.
3. Hệ quản trị cơ sở dữ liệu phải được kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) và cập nhật các bản vá lỗi thường xuyên.
4. Đơn vị phải có biện pháp giám sát, ghi nhật ký truy cập cơ sở dữ liệu và các thao tác khi truy cập cơ sở dữ liệu.
Điều 7. Phần mềm ứng dụng Online Banking
1. Các yêu cầu về an toàn, bảo mật phải được xác định trước khi phát triển phần mềm và tổ chức, triển khai trong quá trình phát triển (phân tích, thiết kế, xây dựng, kiểm thử), vận hành chính thức và duy trì hoạt động phần mềm. Các hồ sơ, tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa, lưu trữ, cập nhật đồng bộ khi hệ thống có thay đổi và kiểm soát chặt chẽ, hạn chế tiếp cận.
2. Đơn vị phải kiểm soát mã nguồn phần mềm với các yêu cầu tối thiểu:
a) Đối với mã nguồn phần mềm do đơn vị tự phát triển:
(i) Định kỳ hoặc khi có thay đổi phần mềm ứng dụng, đơn vị phải kiểm tra mã nguồn nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật. Nhân sự thực hiện kiểm tra phải độc lập với nhân sự phát triển mã nguồn phần mềm;
(ii) Chỉ định cụ thể các cá nhân chịu trách nhiệm quản lý mã nguồn của phần mềm ứng dụng Online Banking;
(iii) Mã nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt về địa lý và có biện pháp bảo vệ tính toàn vẹn của mã nguồn.
b) Trường hợp mã nguồn phần mềm thuê ngoài gia công (outsourced software):
(i) Đơn vị phải yêu cầu bên cung cấp ký cam kết mã nguồn phần mềm là hợp pháp, không giả mạo; cam kết thực hiện các thoả thuận về việc chỉnh sửa mã nguồn khi bảo hành, bảo trì phần mềm;
(ii) Trường hợp được bàn giao mã nguồn, trước khi nghiệm thu bàn giao mã nguồn phần mềm, đơn vị yêu cầu bên cung cấp phải kiểm tra, xử lý, khắc phục các lỗ hổng bảo mật trong mã nguồn. Sau khi mã nguồn được bàn giao, đơn vị thực hiện theo quy định tại điểm a khoản này;
(iii) Trường hợp không được bàn giao mã nguồn, khi ký nghiệm thu sản phẩm, đơn vị phải yêu cầu bên cung cấp thực hiện dò quét, loại bỏ các đoạn mã độc hại và ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng.
3. Phần mềm ứng dụng Online Banking phải được kiểm tra, thử nghiệm trước khi vận hành chính thức đáp ứng các yêu cầu tối thiểu sau:
a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm phần mềm ứng dụng Online Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng;
b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào;
c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng, chống các kiểu tấn công bao gồm nhưng không giới hạn: Injection (SQL, Xpath, LDAP), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Server-Side Request Forgery (SSRS), Brute-Force và các loại lỗi bảo mật như: lỗi kiểm soát truy cập; lỗi nhận dạng và xác thực; lỗi mã hóa; lỗi thiết kế, cấu hình không an toàn; lỗi ghi nhật ký và giám sát bảo mật;
d) Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm;
đ) Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt phổ biến (áp dụng đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web) và các phần mềm hệ điều hành của thiết bị di động (áp dụng đối với phần mềm ứng dụng Mobile Banking); có cơ chế kiểm tra, thông báo tức thời cho khách hàng khi sử dụng ứng dụng trên các trình duyệt, phiên bản phần mềm hệ điều hành của thiết bị di động đã được kiểm tra và thử nghiệm an toàn.
4. Trước khi triển khai phần mềm ứng dụng Online Banking mới, đơn vị phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.
5. Đơn vị thực hiện quản lý thay đổi phiên bản phần mềm ứng dụng Online Banking đáp ứng các yêu cầu sau:
a) Xây dựng tài liệu phân tích đánh giá tác động của việc thay đổi đối với hệ thống hiện tại, các hệ thống có liên quan khác của đơn vị và được cấp có thẩm quyền phê duyệt trước khi thực hiện;
b) Các phiên bản phần mềm bao gồm cả mã nguồn do đơn vị tự phát triển hoặc do bên cung cấp bàn giao cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên, ghi nhật ký trong việc thao tác với các tập tin;
c) Thông tin về các phiên bản (thời gian cập nhật, người cập nhật, hướng dẫn cập nhật và các thông tin liên quan khác của phiên bản) phải được lưu trữ;
d) Việc nâng cấp phiên bản phải căn cứ trên kết quả thử nghiệm và được cấp có thẩm quyền phê duyệt.
6. Các chức năng bắt buộc của phần mềm ứng dụng Online Banking:
a) Toàn bộ dữ liệu khi truyền trên môi trường mạng hoặc dữ liệu trao đổi giữa phần mềm ứng dụng Online Banking với các trang thiết bị liên quan được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối;
b) Bảo đảm tính toàn vẹn của dữ liệu giao trực tiếp bóng đá k+, mọi sửa đổi trái phép phải được phát hiện, cảnh báo, ngăn chặn hoặc có biện pháp xử lý phù hợp để bảo đảm sự chính xác của dữ liệu giao trực tiếp bóng đá k+ trong quá trình thực hiện giao trực tiếp bóng đá k+, lưu trữ dữ liệu;
c) Kiểm soát phiên giao trực tiếp bóng đá k+: hệ thống có cơ chế tự động ngắt phiên giao trực tiếp bóng đá k+ khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác;
d) Có chức năng che giấu đối với việc hiển thị các mã khóa bí mật, mã PIN dùng để đăng nhập vào hệ thống;
đ) Có chức năng chống đăng nhập tự động;
e) Trong trường hợp tài khoản giao trực tiếp bóng đá k+ điện tử quy định tạikhoản 1 Điều 9 Thông tư nàysử dụng mã PIN hoặc mã khóa bí mật làm hình thức xác nhận, phần mềm ứng dụng Online Banking phải có các chức năng kiểm soát mã PIN và mã khóa bí mật;
(i) Yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu;
(ii) Thông báo cho khách hàng khi mã PIN hoặc mã khóa bí mật sắp hết hiệu lực sử dụng;
(iii) Hủy hiệu lực của mã PIN hoặc mã khóa bí mật khi hết hạn sử dụng; yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật đã hết hạn sử dụng khi khách hàng sử dụng mã PIN hoặc mã khóa bí mật để đăng nhập;
(iv) Hủy hiệu lực của mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai mã PIN hoặc mã khóa bí mật liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần) và thông báo cho khách hàng;
(v) Đơn vị chỉ cấp phát lại mã PIN hoặc mã khóa bí mật khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện cấp phát lại, bảo đảm chống gian lận, giả mạo.
g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao trực tiếp bóng đá k+ thanh toán trực tuyến bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao trực tiếp bóng đá k+. Trong trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao trực tiếp bóng đá k+ không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao trực tiếp bóng đá k+;
h) Có chức năng thông báo việc đăng nhập lần đầu phần mềm ứng dụng Online Banking hoặc việc đăng nhập phần mềm ứng dụng Online Banking trên thiết bị khác với thiết bị thực hiện đăng nhập phần mềm ứng dụng Online Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (điện thoại, thư điện tử...), ngoại trừ trường hợp khách hàng tổ chức: đăng nhập trên các thiết bị đã đăng ký sử dụng trực tiếp bóng đá k+ vụ; hoặc đăng nhập sử dụng tối thiểu một trong các hình thức xác nhận quy định tạikhoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.
7. Phần mềm ứng dụng Online Banking phải có chức năng lưu trữ trực tuyến thông tin về thiết bị thực hiện các giao trực tiếp bóng đá k+ của khách hàng, nhật ký (log) giao trực tiếp bóng đá k+, nhật ký xác nhận giao trực tiếp bóng đá k+ tối thiểu trong vòng 03 tháng và sao lưu tối thiểu 01 năm, trong đó gồm:
a) Thông tin định danh về thiết bị:
(i) Đối với thiết bị di động: thông tin để định danh duy nhất thiết bị (ví dụ như: số IMEI hoặc Serial hoặc WLAN MAC hoặc Android ID hoặc thông tin định danh khác);
(ii) Đối với máy tính: thông tin để định danh duy nhất máy tính (ví dụ như địa chỉ MAC hoặc kết hợp các thông tin liên quan đến máy tính để có thể định danh duy nhất máy tính).
b) Nhật ký (log) giao trực tiếp bóng đá k+ tối thiểu gồm: mã giao trực tiếp bóng đá k+, mà khách hàng, thời gian khởi tạo giao trực tiếp bóng đá k+, loại giao trực tiếp bóng đá k+, giá trị giao trực tiếp bóng đá k+ (nếu có);
c) Nhật ký (log) xác nhận giao trực tiếp bóng đá k+ tối thiểu gồm: hình thức xác nhận giao trực tiếp bóng đá k+, thời gian xác nhận giao trực tiếp bóng đá k+. Trường hợp xác nhận giao trực tiếp bóng đá k+ bằng hình thức khớp đúng thông tin sinh trắc học, đơn vị thực hiện lưu trữ thông tin sinh trắc học của khách hàng khi thực hiện giao trực tiếp bóng đá k+ đối với tối thiểu 10 giao trực tiếp bóng đá k+ gần nhất của khách hàng đó.
8. Các yêu cầu đối với phương thức xử lý xuyên suốt:
a) Đơn vị chỉ cung cấp trực tiếp bóng đá k+ vụ Online Banking bằng phương thức xử lý xuyên suốt cho khách hàng là tổ chức. Đơn vị có trách nhiệm lựa chọn, thẩm định, giám sát, quản lý và có thỏa thuận với khách hàng khi cung cấp trực tiếp bóng đá k+ vụ Online Banking bằng phương thức xử lý xuyên suốt;
b) Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm chống gian lận, giả mạo;
c) Không bắt buộc áp dụng nội dung quy định tại điểm c, điểm đ, điểm e, điểm g, điểm h khoản 6 và điểm a khoản 7 Điều này.
9. Tổ chức phát hành thẻ có cung cấp trực tiếp bóng đá k+ vụ thanh toán trực tuyến sử dụng thẻ ngân hàng, phải có phần mềm ứng dụng Online Banking có tối thiểu các tính năng sau:
a) Cho phép hoặc không cho phép thanh toán trực tuyến;
b) Thiết lập hạn mức thanh toán trực tuyến sử dụng thẻ ngân hàng trong ngày;
c) Cho phép hoặc không cho phép thanh toán ở nước ngoài tại thiết bị chấp nhận thẻ tại điểm bán, máy giao trực tiếp bóng đá k+ tự động;
d) Cho phép khách hàng đăng ký lựa chọn việc chủ động thực hiện xác nhận hoặc đồng ý để tổ chức phát hành thẻ thực hiện xác nhận đối với tất cả hoặc một phần giao trực tiếp bóng đá k+ thanh toán trực tuyến sử dụng thẻ ngân hàng (giao trực tiếp bóng đá k+ thanh toán thẻ trực tuyến) trong trường hợp sử dụng hình thức xác nhận theo quy định tạikhoản 10 Điều 11 Thông tư này.
10. Phần mềm ứng dụng Online Banking phải có chức năng thông báo cho khách hàng về các giao trực tiếp bóng đá k+ phát sinh qua tin nhắn SMS hoặc thư điện tử hoặc phần mềm ứng dụng Mobile Banking hoặc các kênh liên lạc khác do khách hàng đăng ký.
Điều 8. Phần mềm ứng dụng Mobile Banking
Phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải bảo đảm tuân thủ các quy định tạiĐiều 7 Thông tư nàyvà các yêu cầu sau:
1. Phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện tử đơn vị để khách hàng tải và cài đặt phần mềm ứng dụng Mobile Banking. Trong trường hợp vì lý do khách quan mà phần mềm ứng dụng Mobile Banking không được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động, đơn vị phải có phương thức hướng dẫn, thông báo, hỗ trợ cài đặt phần mềm ứng dụng Mobile Banking bảo đảm an toàn, bảo mật cho khách hàng và báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) trước khi cung cấp trực tiếp bóng đá k+ vụ.
2. Phải được áp dụng các biện pháp bảo vệ để hạn chế trực tiếp bóng đá k+ ngược mã nguồn.
4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.
5. Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập.
a) Khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký hoặc Soft OTP/Token OTP;
b) Khớp đúng thông tin sinh trắc học theo quy định tạikhoản 5 Điều 11 Thông tư nàytrong trường hợp văn bản pháp luật chuyên ngành liên quan đến trực tiếp bóng đá k+ vụ cung cấp trên phần mềm ứng dụng Mobile Banking có quy định thu thập, lưu trữ thông tin sinh trắc học của khách hàng.
Mục 2. XÁC NHẬN GIAO DỊCH ĐIỆN TỬ THÔNG QUA HỆ THỐNG ONLINE BANKING
Điều 9. Truy cập phần mềm ứng dụng Online Banking
1. Khách hàng đăng ký sử dụng phần mềm ứng dụng Online Banking phải được đơn vị nhận biết khách hàng và cấp tài khoản giao trực tiếp bóng đá k+ điện tử. Tài khoản giao trực tiếp bóng đá k+ điện tử gồm tên đăng nhập và tối thiểu một trong các hình thức xác nhận quy định tạikhoản 1, khoản 2, khoản 3, khoản 4,khoản 5, khoản 6, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.
2. Khách hàng truy cập phần mềm ứng dụng Online Banking bằng tài khoản giao trực tiếp bóng đá k+ điện tử do đơn vị cấp hoặc truy cập bằng hình thức đăng nhập một lần (Single Sign On) thông qua tài khoản giao trực tiếp bóng đá k+ điện tử của hệ thống thông tin khác đã được đơn vị tích hợp và theo đăng ký của khách hàng.
Điều 10. Xác nhận giao trực tiếp bóng đá k+
1. Đối với giao trực tiếp bóng đá k+ thanh toán trực tuyến:
a) Đối với giao trực tiếp bóng đá k+ thanh toán sử dụng tài khoản thanh toán hoặc ví điện tử hoặc giao trực tiếp bóng đá k+ chuyển tiền từ thẻ ghi nợ, thẻ trả trước định danh, đơn vị thực hiện phân loại giao trực tiếp bóng đá k+ theo các nhóm loại hình giao trực tiếp bóng đá k+ quy định tại Phụ lục 01 ban hành kèm theo Thông tư này và áp dụng hình thức xác nhận quy định tại Phụ lục 02 ban hành kèm theo Thông tư này, trừ quy định tại điểm b, điểm c, điểm d và điểm đ khoản này;
b) Đối với giao trực tiếp bóng đá k+ thanh toán thực hiện bằng phương thức xử lý xuyên suốt, đơn vị thực hiện xác nhận giao trực tiếp bóng đá k+ tối thiểu bằng một trong các hình thức xác nhận quy định tạikhoản 7, khoản 8, khoản 9 Điều 11 Thông tư này;
c) Đối với các giao trực tiếp bóng đá k+ thanh toán thẻ trực tuyến (không bao gồm giao trực tiếp bóng đá k+ chuyển tiền), đơn vị thực hiện phân loại giao trực tiếp bóng đá k+ theo các nhóm loại hình giao trực tiếp bóng đá k+ quy định tại Phụ lục 03 ban hành kèm theo Thông tư này và áp dụng các hình thức xác nhận quy định tại Phụ lục 04 ban hành kèm theo Thông tư này;
2. Đối với giao trực tiếp bóng đá k+ đăng ký tự động trích Nợ tài khoản thanh toán, tự động trích Nợ ví điện tử, tự động thanh toán từ thẻ của khách hàng, đơn vị áp dụng tối thiểu một trong các hình thức xác nhận quy định tạikhoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.
3. Đối với các giao trực tiếp bóng đá k+ khác, ngoài giao trực tiếp bóng đá k+ quy định tại khoản 1, khoản 2 Điều này, trên cơ sở đánh giá rủi ro và tuân thủ quy định của pháp luật có liên quan, đơn vị lựa chọn hình thức xác nhận phù hợp theo quy định tạiĐiều 11 Thông tư nàyđể cung cấp cho khách hàng đăng ký sử dụng và chịu trách nhiệm với việc lựa chọn này.
4. Trường hợp khách hàng là người khuyết tật, đơn vị căn cứ điều kiện, khả năng cung ứng của đơn vị mình để cung cấp và hướng dẫn khách hàng là người khuyết tật lựa chọn hình thức xác nhận phù hợp, không bắt buộc áp dụng quy định tại khoản 1, khoản 2, khoản 3 Điều này, nhưng phải bảo đảm kiểm tra, xác nhận được sự chấp thuận của khách hàng khi thực hiện giao trực tiếp bóng đá k+ theo quy định của pháp luật về giao trực tiếp bóng đá k+ điện tử và Thông tư này.
Điều 11. Các hình thức xác nhận
1. Hình thức xác nhận bằngmã khóa bí mật(Password): khách hàng sử dụng mã khóa bí mật là một chuỗi ký tự để xác nhận quyền truy cập của khách hàng vào hệ thống thông tin, ứng dụng, trực tiếp bóng đá k+ vụ hoặc xác nhận khách hàng thực hiện giao trực tiếp bóng đá k+. Hình thức xác nhận bằng mã khóa bí mật phải đáp ứng yêu cầu:
a) Mã khóa bí mật có độ dài tối thiểu 08 ký tự và cấu tạo bao gồm tối thiểu các ký tự: số, chữ hoa, chữ thường;
b) Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng, đối với mã khóa bí mật được cấp phát mặc định lần đầu: thời gian hiệu lực tối đa là 30 ngày.
2. Hình thức xác nhận bằngmã PIN(Personal Identification Number) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật được tạo từ một chuỗi các chữ số. Hình thức xác nhận bằng mã PIN (trừ trường hợp mã PIN gắn với thẻ vật lý) phải đáp ứng yêu cầu:
a) Mã PIN có độ dài tối thiểu 06 ký tự;
b) Thời gian hiệu lực của mã PIN tối đa 12 tháng, đối với mã PIN được cấp phát mặc định lần đầu: thời gian hiệu lực tối đa là 30 ngày.
3. Hình thức xác nhận bằngmã khóa bí mật dùng một lần(One Time Password - OTP) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, bao gồm các hình thức sau:
a) SMS OTPlà hình thức xác nhận thông qua mã OTP được gửi qua tin nhắn SMS (Short Message Services) hoặc tin nhắn thông qua trực tiếp bóng đá k+ vụ viễn thông cơ bản trên Internet. SMS OTP phải đáp ứng yêu cầu:
(i) OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;
(ii) OTP có hiệu lực tối đa 05 phút.
b)Voice OTPlà hình thức xác nhận thông qua mã OTP được gửi qua cuộc gọi thoại hoặc cuộc gọi thông qua trực tiếp bóng đá k+ vụ viễn thông cơ bản trên Internet. Voice OTP phải đáp ứng yêu cầu:
(i) OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;
(ii) OTP có hiệu lực tối đa 03 phút.
c)Email OTPlà hình thức xác nhận thông qua mã OTP được gửi qua thư điện tử. Email OTP phải đáp ứng yêu cầu:
(i) OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;
(ii) OTP có hiệu lực tối đa 05 phút.
d)Thẻ ma trận OTPlà hình thức xác nhận thông qua mã OTP được xác định từ một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP. Thẻ ma trận OTP phải đáp ứng yêu cầu:
(i) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;
(ii) OTP có hiệu lực tối đa 02 phút.
đ)Soft OTPlà hình thức xác nhận thông qua mã OTP được tạo bởi phần mềm cài đặt trên thiết bị di động của khách hàng, phần mềm Soft OTP có thể là phần mềm độc lập hoặc được tích hợp với phần mềm ứng dụng Mobile Banking.
Soft OTP có 02 loại: (i)Soft OTP loại cơ bản:Mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking; (ii)Soft OTP loại nâng cao:Mã OTP được tạo kết hợp với mã của từng giao trực tiếp bóng đá k+, khi thực hiện giao trực tiếp bóng đá k+, hệ thống Online Banking tạo ra một mã giao trực tiếp bóng đá k+ thông báo cho khách hàng hoặc truyền cho phần mềm Soft OTP, khách hàng hoặc phần mềm Soft OTP tự động nhập mã giao trực tiếp bóng đá k+ vào phần mềm Soft OTP để phần mềm Soft OTP tạo ra mã OTP.
Soft OTP phải đáp ứng yêu cầu:
(i) Trường hợp phần mềm Soft OTP độc lập với phần mềm ứng dụng Mobile Banking, phải được đơn vị đăng ký, quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện tử của đơn vị để khách hàng tải và cài đặt phần mềm Soft OTP;
(ii) Phần mềm Soft OTP phải yêu cầu kích hoạt trước khi sử dụng. Mã kích hoạt sử dụng Soft OTP do đơn vị cung cấp cho khách hàng và chỉ được sử dụng để kích hoạt trên một thiết bị di động. Mã kích hoạt phải được thiết lập thời hạn hiệu lực sử dụng;
(iii) Phần mềm Soft OTP phải có chức năng kiểm soát truy cập. Trường hợp truy cập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần), phần mềm Soft OTP phải tự động khóa không cho khách hàng sử dụng tiếp. Đơn vị chỉ mở khóa phần mềm Soft OTP khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện mở khóa, bảo đảm chống gian lận, giả mạo.
(iv) Trường hợp phần mềm Soft OTP độc lập với phần mềm ứng dụng Mobile Banking phải có chức năng kiểm tra khách hàng cá nhân trước khi cho phép khách hàng sử dụng lần đầu hoặc trước khi khách hàng sử dụng trên thiết bị khác với thiết bị sử dụng lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm: (i) khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký, (ii) và khớp đúng thông tin sinh trắc học của khách hàng;
(v) Mã OTP có hiệu lực tối đa 02 phút.
e)Token OTPlà hình thức xác nhận thông qua mã OTP tạo bởi thiết bị chuyên dụng. Token OTP có 02 loại: (i)Token OTP loại cơ bản: Mã OTP được tạo một cách ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking; (ii)Token OTP loại nâng cao:Mã OTP được tạo ra kết hợp với mã của từng giao trực tiếp bóng đá k+. Khi thực hiện giao trực tiếp bóng đá k+, hệ thống Online Banking tạo ra một mã giao trực tiếp bóng đá k+ thông báo cho khách hàng, khách hàng nhập mã giao trực tiếp bóng đá k+ vào Token OTP để thiết bị tạo ra mã OTP. Token OTP có hiệu lực tối đa 02 phút.
4. Hình thức xác nhậnhai kênhlà hình thức xác nhận khi khách hàng thực hiện giao trực tiếp bóng đá k+, hệ thống Online Banking sẽ gửi thông tin yêu cầu xác nhận giao trực tiếp bóng đá k+ đến thiết bị di động của khách hàng qua cuộc gọi thoại hoặc cuộc gọi thông qua trực tiếp bóng đá k+ vụ viễn thông cơ bản trên Internet hoặc qua mã tin nhắn nhanh USSD (Unstructured Supplementary Service Data) hoặc qua phần mềm chuyên dụng, khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao trực tiếp bóng đá k+. Yêu cầu xác nhận của hình thức xác nhận hai kênh có hiệu lực tối đa 05 phút.
a) Trường hợp áp dụng hình thức khớp đúng thông tin sinh trắc học sử dụng khuôn mặt:
(i) Có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương): Có tỷ lệ từ chối sai < 5% với tỷ lệ chấp nhận sai < 0,01% theo tiêu chuẩn FIDO Biometric Requirement (áp dụng đối với tập mẫu tối thiểu 10.000 mẫu);
(ii) Có khả năng phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 - Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.
b) Trường hợp áp dụng các hình thức khớp đúng thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách hàng theo tiêu chuẩn tương đương;
d) Trường hợp khách hàng xác nhận bằng hình thức khớp đúng thông tin sinh trắc học quá số lần sai liên tiếp do đơn vị quy định (nhưng không quá 10 lần): khóa chức năng thực hiện xác nhận giao trực tiếp bóng đá k+ bằng hình thức khớp đúng thông tin sinh trắc học, chỉ mở khóa khi khách hàng yêu cầu và phải kiểm tra khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo;
đ) Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 03 phút.
6. Hình thức xác nhậnkhớp đúng thông tin sinh trắc học thiết bịlà việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao trực tiếp bóng đá k+ với thông tin sinh trắc học của khách hàng đã lưu trữ trên thiết bị di động của khách hàng. Hình thức khớp đúng thông tin sinh trắc học thiết bị phải đáp ứng yêu cầu:
a) Chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện ít nhất một giao trực tiếp bóng đá k+ thành công bằng hình thức xác nhận khác;
b) Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 02 phút.
a) Khóa bí mật được lưu giữ an toàn trên thiết bị của khách hàng. Khách hàng sử dụng hình thức xác nhận bằng mã PIN hoặc khớp đúng thông tin sinh trắc học thiết bị để truy cập, sử dụng khóa bí mật khi thực hiện giao trực tiếp bóng đá k+;
b) Khóa công khai được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao trực tiếp bóng đá k+ điện tử của khách hàng;
8. Hình thức xác nhận bằngchữ ký điện tửtheo quy định của pháp luật về chữ ký điện tử (không bao gồm chữ ký điện tử an toàn quy định tại khoản 9 Điều này).
9. Hình thức xác nhận bằngchữ ký điện tử an toànlà hình thức xác nhận bằng chữ ký điện tử, trong đó chữ ký điện tử là chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam theo quy định của pháp luật về chữ ký điện tử.
10. Hình thức xác nhận trên cơ sở đánh giá rủi ro đối với giao trực tiếp bóng đá k+ thanh toán thẻ trực tuyến theo tiêu chuẩn EMV 3-D Secure (sau đây gọi tắt làhình thức xác nhận EMV 3DS).Hình thức xác nhận EMV 3DS phải đáp ứng yêu cầu: Tổ chức phát hành thẻ, tổ chức thanh toán thẻ và đơn vị chấp nhận thẻ phải triển khai tiêu chuẩn EMV 3-D Secure.
11. Hình thức xác nhận thông quacác thao tác thể hiện sự xác nhậncủa khách hàng đối với thông điệp dữ liệu khi thực hiện giao trực tiếp bóng đá k+ như bấm chấp nhận, phê duyệt, gửi hoặc các hoạt động tương tự trên phần mềm ứng dụng Online Banking. Hình thức xác nhận thông qua các thao tác thể hiện sự xác nhận của khách hàng đối với thông điệp dữ liệu khi thực hiện giao trực tiếp bóng đá k+ phải đáp ứng yêu cầu:
a) Các thao tác xác nhận phải được lưu trữ nhật ký (log) để có thể truy vấn được thông tin liên quan đến các thao tác xác nhận này;
b) Khách hàng là tổ chức và đã thực hiện đăng nhập phần mềm ứng dụng Online Banking sử dụng hình thức xác nhận theo quy định tại Điều này trừ khoản 1, khoản 2, khoản 6, khoản 10.
Điều 12. Quản lý nhân sự quản trị, vận hành hệ thống Online Banking
1. Đơn vị phải phân công nhân sự giám sát, theo dõi hoạt động của hệ thống Online Banking, phát hiện và xử lý các sự cố kỹ thuật, các cuộc tấn công mạng.
2. Đơn vị phải phân công nhân sự tiếp nhận thông tin, hỗ trợ khách hàng, kịp thời liên lạc với khách hàng khi phát hiện các giao trực tiếp bóng đá k+ bất thường.
3. Nhân sự quản trị, giám sát và vận hành hệ thống Online Banking phải tham gia các khóa đào tạo cập nhật kiến thức an toàn, bảo mật hằng năm.
4. Việc cấp phát, phân quyền tài khoản quản trị hệ thống Online Banking phải được theo dõi, giám sát bởi bộ phận độc lập với bộ phận cấp phát tài khoản.
Điều 13. Quản lý hoạt động của môi trường vận hành hệ thống Online Banking
1. Đơn vị không cài đặt, lưu trữ phần mềm phát triển ứng dụng, mã nguồn trên môi trường vận hành.
2. Hoạt động quản trị, giám sát và vận hành phải đáp ứng các yêu cầu sau:
a) Máy tính của nhân sự quản trị, giám sát và vận hành chỉ được cài đặt các phần mềm được phép sử dụng và phải được cài đặt phần mềm phòng chống mã độc, cập nhật thường xuyên các mẫu nhận diện mã độc và không cho phép tự vô hiệu hóa phần mềm phòng chống mã độc;
b) Việc kết nối quản trị, giám sát và vận hành hệ thống phải qua các máy chủ trung gian hoặc các hệ thống quản trị tập trung an toàn, có kiểm soát, không thực hiện trực tiếp từ máy tính của nhân sự quản trị, giám sát và vận hành;
c) Việc sử dụng tài khoản có quyền quản trị phải được giới hạn trong khoảng thời gian đủ để thực hiện công việc và phải được thu hồi ngay sau khi kết thúc phiên làm việc;
d) Phải có biện pháp giám sát việc sử dụng tài khoản có quyền quản trị, giám sát và vận hành, có cảnh báo khi có tác động bất thường vào cơ sở dữ liệu, ứng dụng.
3. Đơn vị phải thiết lập chính sách đối với các máy tính thực hiện quản trị, giám sát và vận hành hệ thống Online Banking chỉ được phép kết nối đến hệ thống Online Banking hoặc các hệ thống thông tin khác của đơn vị để phục vụ quản trị, giám sát và vận hành.
Điều 14. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật
Đơn vị phải thực hiện quản lý các lỗ hổng, điểm yếu của hệ thống Online Banking với các nội dung cơ bản sau:
1. Có biện pháp phòng, chống, dò tìm phát hiện các thay đổi trái phép đối với phần mềm ứng dụng Online Banking.
2. Thiết lập cơ chế phát hiện, phòng chống xâm nhập, tấn công mạng vào hệ thống Online Banking.
3. Phối hợp với các đơn vị quản lý nhà nước, các đối tác công nghệ thông tin kịp thời nắm bắt các sự cố, tình huống mất an toàn, bảo mật thông tin để có biện pháp ngăn chặn kịp thời.
4. Cập nhật thông tin các lỗ hổng bảo mật được công bố có liên quan đến phần mềm hệ thống, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng theo thông tin từ Hệ thống tính điểm lỗ hổng phổ biến (Common Vulnerability Scoring System version 4 - CVSS v4 hoặc tương đương).
5. Thực hiện dò quét lỗ hổng, điểm yếu của hệ thống Online Banking tối thiểu mỗi năm một lần hoặc khi tiếp nhận được những thông tin liên quan đến lỗ hổng, điểm yếu mới. Đối với thành phần hệ thống kết nối trực tiếp với Internet thực hiện dò quét lỗ hổng, điểm yếu tối thiểu 03 tháng một lần. Đánh giá mức độ tác động, rủi ro của từng lỗ hổng, điểm yếu về mặt kỹ thuật được phát hiện của hệ thống và đưa ra phương án, kế hoạch xử lý.
6. Thực hiện triển khai cập nhật các bản vá bảo mật hoặc các biện pháp phòng ngừa kịp thời căn cứ theo đánh giá mức độ tác động, rủi ro:
a) Đối với lỗ hổng bảo mật được đánh giá ở mức nghiêm trọng: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 01 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.
b) Đối với lỗ hổng bảo mật được đánh giá ở mức cao: trong vòng 01 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 02 tháng đối với các thành phần còn lại sau khi lỗ hổng được công bố hoặc phát hiện.
c) Đối với lỗ hổng bảo mật được đánh giá ở mức trung bình hoặc thấp: thực hiện trong khoảng thời gian do đơn vị tự quyết định.
Điều 15. Hệ thống giám sát, theo dõi hoạt động của hệ thống Online Banking
1. Đơn vị phải thiết lập hệ thống giám sát, theo dõi hoạt động của hệ thống Online Banking. Hệ thống giám sát, theo dõi hoạt động của hệ thống Online Banking phải thu thập đầy đủ nhật ký (log) của các thành phần thuộc hệ thống Online Banking để phát hiện, điều tra các sự kiện bất thường hoặc các hành vi tấn công mạng.
2. Đơn vị phải xây dựng các tiêu chí và phần mềm để cảnh báo các giao trực tiếp bóng đá k+ bất thường dựa vào thời gian, vị trí địa lý, tần suất giao trực tiếp bóng đá k+, số tiền giao trực tiếp bóng đá k+ (nếu có), số lần đăng nhập sai quá quy định và các dấu hiệu bất thường khác.
Điều 16. Bảo đảm hoạt động liên tục
Đơn vị phải xây dựng hệ thống dự phòng thảm hoạ, quy trình, kịch bản bảo đảm hoạt động liên tục cho hệ thống Online Banking theo quy định của Ngân hàng Nhà nước về bảo đảm an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng. Ngoài ra, đơn vị phải thực hiện:
1. Phân tích, xác định các tình huống có thể gây mất an toàn thông tin và gián đoạn hoạt động của hệ thống Online Banking. Xác định, đánh giá mức độ rủi ro, khả năng có thể xảy ra đối với từng tình huống tối thiểu 06 tháng một lần. Lập danh sách các tình huống có mức độ rủi ro, khả năng có thể xảy ra theo các cấp độ cao, trung bình, chấp nhận được và thấp.
2. Xây dựng phương án bao gồm quy trình, kịch bản xử lý khắc phục các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao và trung bình theo quy định tại khoản 1 Điều này. Xác định thời gian dừng hoạt động tối đa để phục hồi hệ thống, phục hồi dữ liệu cho phương án xử lý đối với từng tình huống. Tổ chức phổ biến phương án xử lý đến các nhân sự có liên quan để hiểu rõ nhiệm vụ, công việc cần phải thực hiện khi xử lý.
3. Bố trí nguồn nhân lực, tài chính và các phương tiện kỹ thuật để tổ chức diễn tập phương án xử lý với các tình huống có mức độ rủi ro, khả năng có thể xảy ra ở cấp độ cao theo định kỳ tối thiểu 01 năm một lần.
4. Lập kế hoạch và tiến hành diễn tập các biện pháp bảo đảm hoạt động kinh doanh liên tục, lưu giữ các hồ sơ có liên quan và tổ chức đánh giá kết quả diễn tập.
Mục 4. BẢO VỆ QUYỀN LỢI CỦA KHÁCH HÀNG
Điều 17. Thông tin về trực tiếp bóng đá k+ vụ Online Banking
1. Đơn vị phải công bố thông tin về trực tiếp bóng đá k+ vụ Online Banking, bảo đảm khách hàng có khả năng tiếp cận được thông tin trước hoặc ngay tại thời điểm đăng ký sử dụng trực tiếp bóng đá k+ vụ, thông tin công bố tối thiểu gồm có:
a) Cách thức cung cấp trực tiếp bóng đá k+ vụ, cách thức truy cập trực tiếp bóng đá k+ vụ Online Banking ứng với từng phương tiện truy cập;
b) Hạn mức giao trực tiếp bóng đá k+ (nếu có) và các hình thức xác nhận giao trực tiếp bóng đá k+;
c) Các trang thiết bị cần thiết để sử dụng trực tiếp bóng đá k+ vụ, điều kiện với các trang thiết bị được sử dụng;
d) Các rủi ro liên quan đến việc sử dụng trực tiếp bóng đá k+ vụ Online Banking.
2. Đơn vị phải thông tin cho khách hàng về các điều khoản trong thỏa thuận cung cấp, sử dụng trực tiếp bóng đá k+ vụ Online Banking, tối thiểu gồm:
a) Quyền lợi và nghĩa vụ của khách hàng sử dụng trực tiếp bóng đá k+ vụ Online Banking;
b) Các loại dữ liệu của khách hàng mà đơn vị thu thập, mục đích sử dụng dữ liệu của khách hàng và trách nhiệm của đơn vị trong bảo mật dữ liệu của khách hàng theo quy định của pháp luật trừ trường hợp đơn vị và khách hàng đã có thỏa thuận khác về việc bảo vệ dữ liệu khách hàng phù hợp với quy định của pháp luật;
c) Cam kết khả năng bảo đảm hoạt động liên tục của hệ thống Online Banking, tối thiểu gồm: thời gian gián đoạn cung cấp trực tiếp bóng đá k+ vụ trong một lần, tổng thời gian gián đoạn cung cấp trực tiếp bóng đá k+ vụ trong một năm trừ các trường hợp bất khả kháng hoặc bảo trì, nâng cấp hệ thống đã được đơn vị thông báo;
d) Các nội dung khác của đơn vị đối với trực tiếp bóng đá k+ vụ Online Banking (nếu có).
Điều 18. Hướng dẫn khách hàng sử dụng trực tiếp bóng đá k+ vụ Online Banking
1. Đơn vị phải xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị thực hiện các giao trực tiếp bóng đá k+ điện tử và cung cấp, hướng dẫn khách hàng sử dụng các quy trình, tài liệu này.
2. Đơn vị phải hướng dẫn khách hàng thực hiện các biện pháp bảo đảm an toàn, bảo mật khi sử dụng trực tiếp bóng đá k+ vụ Online Banking, tối thiểu gồm các nội dung sau:
a) Bảo vệ bí mật mã khóa bí mật, mã PIN, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;
b) Nguyên tắc thiết lập mã khóa bí mật, mã PIN và thay đổi mã khóa bí mật, mã PIN của tài khoản giao trực tiếp bóng đá k+ điện tử;
c) Không nên sử dụng máy tính công cộng để truy cập, thực hiện giao trực tiếp bóng đá k+; không nên sử dụng mạng WIFI công cộng khi sử dụng trực tiếp bóng đá k+ vụ Online Banking;
d) Không lưu lại tên đăng nhập và mã khóa bí mật, mã PIN trên các trình duyệt;
đ) Thoát khỏi phần mềm ứng dụng Online Banking khi không sử dụng;
e) Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo trang tin điện tử, phần mềm ứng dụng Online Banking;
g) Cài đặt đầy đủ các bản vá lỗ hổng bảo mật của hệ điều hành, phần mềm ứng dụng Mobile Banking; xem xét cài đặt phần mềm phòng chống mã độc và cập nhật mẫu nhận diện mã độc mới nhất trên thiết bị cá nhân sử dụng để giao trực tiếp bóng đá k+;
h) Lựa chọn các hình thức xác nhận giao trực tiếp bóng đá k+ có mức độ an toàn, bảo mật theo quy định và phù hợp với nhu cầu của khách hàng về hạn mức giao trực tiếp bóng đá k+;
i) Cảnh báo các rủi ro liên quan đến việc sử dụng trực tiếp bóng đá k+ vụ Online Banking;
k) Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Online Banking, phần mềm tạo OTP;
l) Không cài đặt các phần mềm lạ, phần mềm không có bản quyền, phần mềm không rõ nguồn gốc;
m) Thông báo kịp thời cho đơn vị khi phát hiện các giao trực tiếp bóng đá k+ bất thường;
n) Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khóa bảo mật tạo chữ ký điện tử; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.
3. Đơn vị phải cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng trực tiếp bóng đá k+ vụ Online Banking.
4. Đơn vị phải giải thích cho khách hàng về những trường hợp cụ thể đơn vị sẽ liên lạc với khách hàng, cách thức, phương tiện liên lạc trong quá trình khách hàng sử dụng trực tiếp bóng đá k+ vụ Online Banking.
Điều 19. Bảo mật thông tin khách hàng
Đơn vị phải áp dụng các biện pháp bảo đảm an toàn, bảo mật dữ liệu khách hàng, tối thiểu bao gồm:
1. Dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật.
2. Thông tin sử dụng để xác nhận giao trực tiếp bóng đá k+ của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để bảo đảm tính bí mật.
3. Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.
4. Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng chống nguy cơ lộ, lọt dữ liệu.
5. Thông báo cho khách hàng khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng và báo cáo kịp thời về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin).
Các đơn vị cung cấp trực tiếp bóng đá k+ vụ Online Banking có trách nhiệm gửi báo cáo bằng văn bản về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin) như sau:
1. Báo cáo cung cấp trực tiếp bóng đá k+ vụ Online Banking:
a) Thời hạn gửi báo cáo: Tối thiểu 10 ngày làm việc trước khi cung cấp chính thức trực tiếp bóng đá k+ vụ Online Banking;
b) Nội dung báo cáo:
(i) Địa chỉ trang tin điện tử hoặc kho ứng dụng cung cấp trực tiếp bóng đá k+ vụ;
(ii) Ngày cung cấp chính thức;
(iii) Các giải pháp kiểm tra khách hàng truy cập trực tiếp bóng đá k+ vụ Online Banking; các hình thức xác nhận giao trực tiếp bóng đá k+ áp dụng cho từng loại giao trực tiếp bóng đá k+ và hạn mức giao trực tiếp bóng đá k+ (nếu có);
(iv) Các bản sao chứng nhận về bảo đảm an toàn bảo mật, phòng, chống gian lận, giả mạo quy định tạikhoản 5, khoản 7 Điều 11 Thông tư này.
2. Báo cáo đột xuất theo yêu cầu của Ngân hàng Nhà nước.
Điều 21. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước
1. Cục Công nghệ thông tin có trách nhiệm theo dõi, kiểm tra và phối hợp với các đơn vị liên quan để xử lý những vướng mắc phát sinh trong quá trình thực hiện Thông tư này.
2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm thanh tra, giám sát việc thi hành Thông tư này và xử lý các trường hợp vi phạm theo quy định của pháp luật.
3. Ngân hàng Nhà nước chi nhánh tỉnh, thành phố có trách nhiệm thanh tra, giám sát việc thực hiện Thông tư này tại các tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán trên địa bàn (trừ Công ty Cổ phần Thanh toán Quốc gia Việt Nam) và xử lý các trường hợp vi phạm theo quy định của pháp luật.
1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2025, trừ trường hợp quy định tại khoản 2, khoản 3, khoản 4 Điều này.
2.Điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2025.
3.Điểm b khoản 1 Điều 10có hiệu lực thi hành kể từ ngày 01 tháng 01 năm 2026.
4.Điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20có hiệu lực thi hành kể từ ngày 01 tháng 07 năm 2026.
5. Các văn bản sau đây hết hiệu lực kể từ ngày Thông tư này có hiệu lực:
a) Thông tư số35/2016/TT-NHNNngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp trực tiếp bóng đá k+ vụ ngân hàng trên Internet;
b) Thông tư số35/2018/TT-NHNNngày 24 tháng 12 năm 2018 của Thống đốc Ngân hàng Nhà nước Việt Nam sửa đổi, bổ sung một số điều của Thông tư số35/2016/TT-NHNNngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp trực tiếp bóng đá k+ vụ ngân hàng trên Internet.
6. Bãi bỏ Điều 25 của Thông tư số 09/2020/TT-NHNN ngày 21 tháng 10 năm 2020 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng.
1. Các giao trực tiếp bóng đá k+ đăng ký tự động trích Nợ tài khoản thanh toán, tự động trích Nợ ví điện tử, tự động thanh toán từ thẻ của khách hàng được thực hiện trước ngày Thông tư này có hiệu lực thi hành được tiếp tục thực hiện đến hết thời hạn của thỏa thuận đã giao kết; trường hợp thỏa thuận không xác định thời hạn thì được tiếp tục thực hiện đến hết ngày 31 tháng 12 năm 2026. Việc sửa đổi, bổ sung, gia hạn thỏa thuận phải tuân thủ theo quy định tạikhoản 2 Điều 10 Thông tư này.
2. Các mã khóa bí mật, mã PIN đang được sử dụng trước ngày Thông tư này có hiệu lực thi hành thì được tiếp tục sử dụng cho đến khi khách hàng thay đổi hoặc đến hết thời gian hiệu lực của mã khóa bí mật, mã PIN. Kể từ ngày Thông tư này có hiệu lực, các mã khóa bí mật, mã PIN khi thay đổi phải tuân thủ quy định tạikhoản 1, khoản 2 Điều 11 Thông tư này.
Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin và Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán, công ty thông tin tín dụng chịu trách nhiệm tổ chức thực hiện Thông tư này./.
|
Nơi nhận: |
KT. THỐNG ĐỐC |
PHÂN LOẠI GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(kèm theo Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của Thống đốc
Ngân hàng Nhà nước)
|
STT |
Loại hình giao trực tiếp bóng đá k+ |
Giao trực tiếp bóng đá k+ loại A |
Giao trực tiếp bóng đá k+ loại B |
Giao trực tiếp bóng đá k+ loại C |
Giao trực tiếp bóng đá k+ loại D |
|
I |
Khách hàng cá nhân |
||||
|
1 |
Nhóm I.1: - Chuyển tiền giữa các tài khoản thanh toán, thẻ ghi nợ, thẻ trả trước định danh (sau đây gọi chung là thẻ) của một khách hàng trong một tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán. - Chuyển tiền giữa các ví điện tử của một khách hàng trong một tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán. |
Tất cả các giao trực tiếp bóng đá k+. |
|||
|
2 |
Nhóm I.2: - Các giao trực tiếp bóng đá k+ thanh toán hàng hóa, trực tiếp bóng đá k+ vụ hợp pháp được tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. |
Giao trực tiếp bóng đá k+ thỏa mãn điều kiện: G + T ≤ 5 triệu VND. |
Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G + T 5 triệu VND. (ii) G + T ≤ 100 triệu VND. |
Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G + T 100 triệu VND. (ii) G + T ≤ 1,5 tỷ VND. |
Giao trực tiếp bóng đá k+ thỏa mãn điều kiện: G + T 1,5 tỷ VND. |
|
3 |
Nhóm I.3: - Chuyển tiền giữa các tài khoản thanh toán, thẻ, ví điện tử của các chủ tài khoản, chủ thẻ, chủ ví điện tử khác nhau. - Chuyển tiền giữa các tài khoản, thẻ, ví điện tử mở tại các tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán, tổ chức phát hành thẻ, tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán khác nhau. - Nạp tiền vào Ví điện tử1. - Rút tiền ra khỏi Ví điện tử. |
Giao trực tiếp bóng đá k+ nạp, rút tiền giữa Ví điện tử và tài khoản đồng Việt Nam của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + Tksth≤ 20 triệu VND. |
Giao trực tiếp bóng đá k+ (ngoại trừ giao trực tiếp bóng đá k+ nạp, rút tiền giữa Ví điện tử và tài khoản đồng Việt Nam của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật) thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + Tksth≤ 20 triệu VND. |
Giao trực tiếp bóng đá k+ thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G ≤ 10 triệu VNĐ. (ii) G + Tksth20 triệu VND. (iii) G + T ≤ 1,5 tỷ VND. 2. Trường hợp 2: Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T ≤ 1,5 tỷ VND. |
Giao trực tiếp bóng đá k+ thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + Tksth20 triệu VND. (iii) G + T 1,5 tỷ VND. 2. Trường hợp 2: Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T 1,5 tỷ VND. 3. Trường hợp 3: Giao trực tiếp bóng đá k+ thỏa mãn điều kiện: G 500 triệu VND. |
|
4 |
Nhóm I.4: Chuyển tiền liên ngân hàng ra nước ngoài2. |
Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T ≤ 1 tỷ VND. |
Giao trực tiếp bóng đá k+ thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T 1 tỷ VND. 2. Trường hợp 2: Giao trực tiếp bóng đá k+ thỏa mãn điều kiện: G 200 triệu VND. |
||
|
II |
Khách hàng tổ chức3 |
||||
|
1 |
Nhóm II.1: Chuyển tiền giữa các tài khoản thanh toán hoặc Ví điện tử của cùng một khách hàng trong một tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán hoặc tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán. |
Tất cả các giao trực tiếp bóng đá k+. |
|||
|
2 |
Nhóm II.2: - Chuyển tiền giữa các tài khoản thanh toán, ví điện tử của các chủ tài khoản, chủ ví điện tử khác nhau. - Chuyển tiền giữa các tài khoản, ví điện tử mở tại các tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán, tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán khác nhau. - Các giao trực tiếp bóng đá k+ thanh toán hàng hóa, trực tiếp bóng đá k+ vụ hợp pháp được tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. - Nạp tiền vào Ví điện tử1. - Rút tiền ra khỏi Ví điện tử. |
Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T ≤ 10 tỷ VND. |
Giao trực tiếp bóng đá k+ thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T 10 tỷ VND. 2. Trường hợp 2: Giao trực tiếp bóng đá k+ thỏa mãn điều kiện: G 1 tỷ VND. |
||
|
3 |
Nhóm II.3: Chuyển tiền liên ngân hàng ra nước ngoài2. |
Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G ≤ 500 triệu VND. (ii) G + T ≤ 5 tỷ VND. |
Giao trực tiếp bóng đá k+ thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G ≤ 500 triệu VNĐ. (ii) G + T 5 tỷ VND. 2. Trường hợp 2: Giao trực tiếp bóng đá k+ thỏa mãn điều kiện: G 500 triệu VNĐ. |
Ghi chú:
G: Giá trị của giao trực tiếp bóng đá k+.
Tksth: Tổng giá trị các giao trực tiếp bóng đá k+ loại A và loại B của từng nhóm loại hình giao trực tiếp bóng đá k+ đã thực hiện của một tài khoản thanh toán hoặc một thẻ(bao gồm cả giao trực tiếp bóng đá k+ nạp tiền vào ví điện tử)hoặc một ví điện tử(không bao gồm giao trực tiếp bóng đá k+ nạp tiền vào ví điện tử)của khách hàng tại một tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán hoặc tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán, không bao gồm các giao trực tiếp bóng đá k+ chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động thanh toán từ thẻ. Tksthđược tính giá trị bằng 0 tại thời điểm đầu ngày hoặc ngay sau khi khách hàng có phát sinh giao trực tiếp bóng đá k+ trong ngày sử dụng hình thức xác nhận cho giao trực tiếp bóng đá k+ loại C hoặc loại D.
T: Tổng giá trị các giao trực tiếp bóng đá k+ của từng nhóm loại hình giao trực tiếp bóng đá k+ đã thực hiện trong ngày(của một tài khoản thanh toán hoặc một thẻ (bao gồm cả giao trực tiếp bóng đá k+ nạp tiền vào ví điện tử) hoặc một ví điện tử (không bao gồm giao trực tiếp bóng đá k+ nạp tiền vào ví điện tử)của khách hàng tại một tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán hoặc tổ chức cung ứng trực tiếp bóng đá k+ vụ trung gian thanh toán), không bao gồm các giao trực tiếp bóng đá k+ chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động thanh toán từ thẻ.
(1) Đối với giao trực tiếp bóng đá k+ nạp tiền vào Ví điện tử từ tài khoản đồng Việt Nam của chủ ví điện tử tại ngân hàng liên kết, việc phân loại giao trực tiếp bóng đá k+ căn cứ theo tài khoản thanh toán liên kết với Ví điện tử.
(2) Hạn mức quy đổi theo tỷ giá tại thời điểm thực hiện giao trực tiếp bóng đá k+.
(3) Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc phân loại giao trực tiếp bóng đá k+ tương tự khách hàng cá nhân.
XÁC NHẬN GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(ban hành kèm theo Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của
Thống đốc Ngân hàng Nhà nước)
|
STT |
Giao trực tiếp bóng đá k+ |
Hình thức xác nhận giao trực tiếp bóng đá k+ thanh toán trực tuyến tối thiểu |
|
|
Khách hàng cá nhân |
Khách hàng tổ chức |
||
|
1 |
Giao trực tiếp bóng đá k+ loại A |
- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao trực tiếp bóng đá k+). |
- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao trực tiếp bóng đá k+). |
|
2 |
Giao trực tiếp bóng đá k+ loại B |
- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc Soft OTP/ Token OTP loại cơ bản hoặc nâng cao; - Hoặc hai kênh; - Hoặc khớp đúng thông tin sinh trắc học thiết bị1; - Hoặc FIDO; - Hoặc chữ ký điện tử; - Hoặc chữ ký điện tử an toàn. |
- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc khớp đúng thông tin sinh trắc học thiết bị của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có). |
|
3 |
Giao trực tiếp bóng đá k+ loại C |
- OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP loại cơ bản hoặc chữ ký điện tử, - Và kết hợp khớp đúng thông tin sinh trắc học. |
- Soft OTP/Token OTP loại cơ bản; - Hoặc hai kênh; - Hoặc chữ ký điện tử. |
|
4 |
Giao trực tiếp bóng đá k+ loại D |
- Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn, - Và kết hợp khớp đúng thông tin sinh trắc học. |
- Soft OTP/Token OTP loại nâng cao; - Hoặc FIDO; - Hoặc chữ ký điện tử an toàn. |
Ghi chú:
- Các hình thức xác nhận quy định chi tiết tạiĐiều 11 Thông tư này.
- Hình thức xác nhận giao trực tiếp bóng đá k+ loại D có thể xác nhận giao trực tiếp bóng đá k+ loại A, B, C.
- Hình thức xác nhận giao trực tiếp bóng đá k+ loại C có thể xác nhận giao trực tiếp bóng đá k+ loại A, B.
- Hình thức xác nhận giao trực tiếp bóng đá k+ loại B có thể xác nhận giao trực tiếp bóng đá k+ loại A.
- Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, áp dụng hình thức xác nhận giao trực tiếp bóng đá k+ tương tự khách hàng cá nhân. Trong đó, đối với hình thức khớp đúng thông tin sinh trắc học và hình thức khớp đúng thông tin sinh trắc học thiết bị, thông tin sinh trắc học sử dụng để đối chiếu, so sánh là của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có).
(1) Trường hợp khách hàng đã đăng nhập ứng dụng Online Banking bằng khớp đúng thông tin sinh trắc học thiết bị, không áp dụng biện pháp xác nhận này khi thực hiện giao trực tiếp bóng đá k+ trong phiên đăng nhập đó.
PHÂN LOẠI GIAO DỊCH THANH TOÁN THẺ TRỰC TUYẾN
(ban hành kèm theo Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của
Thống đốc Ngân hàng Nhà nước)
|
STT |
Loại hình giao trực tiếp bóng đá k+ |
Giao trực tiếp bóng đá k+ loại E |
Giao trực tiếp bóng đá k+ loại F |
Giao trực tiếp bóng đá k+ loại G |
|
1 |
Các giao trực tiếp bóng đá k+ thanh toán hàng hóa, trực tiếp bóng đá k+ vụ hợp pháp được tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán cung cấp hoặc tại các đơn vị chấp nhận thẻ do các tổ chức cung ứng trực tiếp bóng đá k+ vụ thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. |
Giao trực tiếp bóng đá k+ thỏa mãn điều kiện: G + T ≤ 5 triệu VND. |
Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: (i) G + T 5 triệu VND. (ii) G + T ≤ 100 triệu VND. |
Giao trực tiếp bóng đá k+ thỏa mãn các điều kiện: G + T 100 triệu VND. |
Ghi chú:
G: Giá trị của giao trực tiếp bóng đá k+.
T: Tổng giá trị các giao trực tiếp bóng đá k+ đã thực hiện trong ngày của thẻ đang giao trực tiếp bóng đá k+ của khách hàng tại một tổ chức phát hành thẻ, không bao gồm các giao trực tiếp bóng đá k+ do tổ chức phát hành thẻ chủ động thanh toán từ thẻ theo thỏa thuận với khách hàng.
XÁC NHẬN GIAO DỊCH THANH TOÁN THẺ TRỰC TUYẾN
(ban hành kèm theo Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 của
Thống đốc Ngân hàng Nhà nước)
|
STT |
Giao trực tiếp bóng đá k+ |
Hình thức xác nhận giao trực tiếp bóng đá k+ thanh toán thẻ trực tuyến tối thiểu |
|
1 |
Giao trực tiếp bóng đá k+ loại E |
Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao trực tiếp bóng đá k+). |
|
2 |
Giao trực tiếp bóng đá k+ loại F |
- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc Soft OTP/ Token OTP loại cơ bản; - Hoặc khớp đúng thông tin sinh trắc học thiết bị; - Hoặc hai kênh. |
|
3 |
Giao trực tiếp bóng đá k+ loại G |
- Soft OTP/Token OTP loại nâng cao; - Hoặc FIDO; - Hoặc chữ ký điện tử/ chữ ký điện tử an toàn; - Hoặc EMV 3DS. |
Ghi chú:
- Các hình thức xác nhận quy định chi tiết tạiĐiều 11 Thông tư này.
- Hình thức xác nhận giao trực tiếp bóng đá k+ loại G có thể xác nhận giao trực tiếp bóng đá k+ loại E, F.
- Hình thức xác nhận giao trực tiếp bóng đá k+ loại F có thể xác nhận giao trực tiếp bóng đá k+ loại E.
-
{{m.Name}}
tại đây để xem đầy đủ văn bản.";
}
if (islogin == "True" && ispro == "False") {//đã login nhưng tài khoản chưa pro
new_text = "Vui lòng đăng ký thành viên Pro tại đây để xem đầy đủ văn bản.";
}
}
else {//bản EN
if (islogin == "False") {//chưa login
new_text = "Please login Pro here to see the full Document.";
}
if (islogin == "True" && ispro == "False") {//đã login nhưng tài khoản chưa pro
new_text = "Please login or register Member Pro here to see the full Document.";
}
}
$(".isTCVNFree").html(new_text);
$(".isTCVNFree").attr('class', 'isTCVNFree text_notice');
$(".notification-tcvn-en").html(new_text);
$(".notification-tcvn-en").attr('class', 'notification-tcvn-en text_notice');
//var selector = htmlObject.querySelectorAll(".isTCVNFree");
//selector.forEach(function (element) {
// $(element).html('');
// /*element.html();*/
// //element.html(new_text);
//});
$(document.getElementsByClassName('taivanban')).attr("onclick", "opendownloadtab()");
$("#detailController").find("table").css("width", "100%");
$("p:contains('This translation is made by')").remove();
$("p:contains('This translation is translated by')").remove();
$("p:contains('translation is translated by')").remove();
$a = $("div.MainContentAll table a:contains('FILE ĐƯỢC')");
if ($a == undefined || $a == "undefined" || $a.html() == null) {
$a = $("div.MainContentAll table a:contains('ĐÍNH KÈM THEO VĂN BẢN')");
}
if ($a == undefined || $a == "undefined" || $a.html() == null) {
$a = $("div.MainContentAll table a:contains('FILE ĐÍNH')");
}
$td = $("div.MainContentAll table td:contains('FILE ĐƯỢC')");
if ($td == undefined || $td == "undefined" || $td.html() == null) {
$td = $("div.MainContentAll table td:contains('ĐÍNH KÈM THEO VĂN BẢN')");
}
if ($td == undefined || $td == "undefined" || $td.html() == null) {
$td = $("div.MainContentAll table td:contains('FILE ĐÍNH')");
}
if ($a != undefined && $a != "undefined" && $a.html() != null) {
$a.html("Văn bản này có file đính kèm, bạn vui lòng tải Văn bản về để xem toàn bộ nội dung.");
$a.attr("onclick", "opendownloadtab()");
$td.html($a[0].outerHTML + "");
}
else {
$("table>tbody>tr>td>p[align=center]>b span:contains('ATTACH FILE')").parent().parent().parent().html("
This document has attachments. You must download the document to see the entire contents.
"); $("div[align=center]>table td:contains('ATTACHED FILE')").html("This document has attachments. You must download the document to see the entire contents.
"); $("div[align=center]>table td:contains('FILE ATTACHED')").html("This document has attachments. You must download the document to see the entire contents.
"); $("div[align=center]>table td:contains('ATTACHED TO DOCUMENT')").html("This document has attachments. You must download the document to see the entire contents.
"); $td.html("Văn bản này có file đính kèm, bạn vui lòng tải Văn bản về để xem toàn bộ nội dung.
"); } // $("div.MainContent style").html(""); $("div.MainContent table").each(function () { $(this).removeAttr("style"); }); $("div.MainContent base").remove(); // $("div.MainContentEN style").html(""); $("div.MainContentEN table").each(function () { $(this).removeAttr("style"); }); $("div.MainContentEN base").remove(); $(".rawContent-50112 img").each(function myfunction() { var src = $(this).attr("src"); //if ($(this).attr("src") != "/images/loading.gif" && $(this).attr("src") != "/images/user/tongthuky.png" && $(this).attr("src") != "/images/user/thukytruong.png") { // $(this).attr("src", "https://files.lawnet.vn/uploads/doc2htm/" + $(this).attr("src")); //} }); })
(Không có nội dung)
Vì chưa Đăng Nhập nên Bạn chỉ xem đượcThuộc tínhcủa Văn bản. Bạn chưa xem đượcHiệu lực của Văn bản, Văn bản Liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...
Nếu chưa có Tài khoản, mời Bạn Đăng ký Tài khoảntại đây
(Không có nội dung)
Vì chưa Đăng Nhập nên Bạn chỉ xem đượcThuộc tínhcủa Văn bản. Bạn chưa xem đượcHiệu lực của Văn bản, Văn bản Liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...
Nếu chưa có Tài khoản, mời Bạn Đăng ký Tài khoảntại đây
Vì chưa Đăng Nhập nên Bạn chỉ xem đượcThuộc tínhcủa Văn bản. Bạn chưa xem đượcHiệu lực của Văn bản, Văn bản Liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...
Nếu chưa có Tài khoản, mời Bạn Đăng ký Tài khoảntại đây
-
Ban hành: {{m.News_Dates_Date}} Hiệu lực: {{m.News_EffectDate_Date}} Tình trạng: {{m.TinhTrang}} Cập nhật: {{m.Email_SendDate_Date}} Ban hành:{{m.News_Dates_Date}}Hiệu lực:{{m.News_EffectDate_Date}}Tình trạng:{{m.TinhTrang}}Cập nhật:{{m.Email_SendDate_Date}}
Vì chưa Đăng Nhập nên Bạn chỉ xem đượcThuộc tínhcủa Văn bản. Bạn chưa xem đượcHiệu lực của Văn bản, Văn bản Liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...
Nếu chưa có Tài khoản, mời Bạn Đăng ký Tài khoảntại đây
-
Ban hành: {{m.News_Dates_Date}} Hiệu lực: {{m.News_EffectDate_Date}} Tình trạng: {{m.TinhTrang}} Cập nhật: {{m.Email_SendDate_Date}} Ban hành:{{m.News_Dates_Date}}Hiệu lực:{{m.News_EffectDate_Date}}Tình trạng:{{m.TinhTrang}}Cập nhật:{{m.Email_SendDate_Date}}
Vì chưa Đăng Nhập nên Bạn chỉ xem đượcThuộc tínhcủa Văn bản. Bạn chưa xem đượcHiệu lực của Văn bản, Văn bản Liên quan, Văn bản thay thế, Văn bản gốc, Văn bản tiếng Anh,...
Nếu chưa có Tài khoản, mời Bạn Đăng ký Tài khoảntại đây