Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất
| Số hiệu | 20/2020/TT-NHNN | Ngày ban hành | 31/12/2020 |
| Loại văn bản | Thông tư | Ngày có hiệu lực | 15/02/2021 |
| Nguồn thu thập | bản gốc | Ngày đăng công báo | |
| Ban hành bởi | |||
| Cơ quan: | Ngân hàng Nhà nước Việt Nam | Tên/Chức vụ người ký | Nguyễn Kim Anh / Phó Thống đốc |
| Phạm vi: | Toàn quốc | Trạng thái | Còn hiệu lực |
| Lý do hết hiệu lực: | Ngày hết hiệu lực | ||
Tóm tắt
Thông tư 20/2020/TT-NHNN được ban hành nhằm sửa đổi, bổ sung một số điều của Thông tư 47/2014/TT-NHNN, quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng. Mục tiêu chính của văn bản này là nâng cao mức độ bảo mật và an toàn trong hoạt động thanh toán thẻ ngân hàng, đáp ứng yêu cầu ngày càng cao trong bối cảnh phát triển công nghệ và giao dịch điện tử.
Phạm vi điều chỉnh của Thông tư này bao gồm các tổ chức, cá nhân liên quan đến hoạt động thanh toán thẻ ngân hàng tại Việt Nam. Đối tượng áp dụng là các tổ chức tín dụng, ngân hàng và các tổ chức khác có liên quan đến việc phát hành và sử dụng thẻ ngân hàng.
Thông tư được cấu trúc thành 4 điều chính, trong đó nổi bật là:
- Điều 1: Sửa đổi, bổ sung một số điều của Thông tư 47/2014/TT-NHNN với nhiều quy định mới về mã hóa, bảo mật thông tin và quản lý truy cập.
- Điều 2: Thay đổi cụm từ liên quan đến Cục Công nghệ thông tin.
- Điều 3: Quy định trách nhiệm tổ chức thực hiện Thông tư.
- Điều 4: Điều khoản thi hành, có hiệu lực từ ngày 15 tháng 02 năm 2021.
Các điểm mới đáng chú ý bao gồm yêu cầu mã hóa mạnh cho các kết nối truy cập quản trị từ xa, quy định về việc che giấu thông tin thẻ và các biện pháp giám sát an ninh. Thông tư này thể hiện sự cam kết của Ngân hàng Nhà nước trong việc bảo vệ thông tin và tài sản của người tiêu dùng trong lĩnh vực thanh toán điện tử.
|
NGÂN HÀNG NHÀ
NƯỚC |
CỘNG HÒA XÃ HỘI
CHỦ NGHĨA VIỆT NAM |
|
Số: 20/2020/TT-NHNN |
Hà Nội, ngày 31 tháng 12 năm 2020 |
THÔNG TƯ
SỬA ĐỔI, BỔ SUNG MỘT SỐ ĐIỀU CỦA THÔNG TƯ SỐ 47/2014/TT-NHNN NGÀY 31 THÁNG 12 NĂM 2014 CỦA THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC VIỆT NAM QUY ĐỊNH CÁC YÊU CẦU KỸ THUẬT VỀ AN TOÀN BẢO MẬT ĐỐI VỚI TRANG THIẾT BỊ PHỤC VỤ THANH TOÁN THẺ NGÂN HÀNG
Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;
Căn cứ Luật Các tổ chức tín dụng ngày 16 tháng 6 năm 2010; Luật sửa đổi, bổ sung một số điều của Luật Các tổ chức tín dụng ngày 20 tháng 11 năm 2017;
Căn cứ Luật giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;
Căn cứ Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dùng tiền mặt; Nghị định số 80/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dùng tiền mặt;
Căn cứ Nghị định số 16/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;
Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư sửa đổi, bổ sung một số điều của Thông tư số 47/2014/TT-NHNN ngày 31 tháng 12 năm 2014 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng (sau đây gọi tắt là Thông tư 47/2014/TT-NHNN).
Điều 1. Sửa đổi, bổ sung một số điều của Thông tư 47/2014/TT-NHNN
1. Khoản 9 Điều 2 được sửa đổi, bổ sung như sau:
“9. Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (256 bit); TDES (168 bit); RSA (2048 bit); ECC (224 bit); ElGamal (2048 bit).”.
2. Điểm d khoản 1 Điều 3 được sửa đổi, bổ sung như sau:
“d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt. Có biện pháp che giấu địa chỉ mạng nội bộ và các thông tin về bảng định tuyến nội bộ khi kết nối với các bên thứ ba;”.
3. Điểm c khoản 3 Điều 3 được sửa đổi, bổ sung như sau:
“c) Các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet phải được người có thẩm quyền phê duyệt và được kiểm soát chặt chẽ.”.
4. Bổ sung khoản 5 vào Điều 4 như sau:
“5. Mã hóa tất cả các kết nối truy cập quản trị từ xa bằng phương pháp mã hóa mạnh.”.
5. Bổ sung khoản 8 vào Điều 5 như sau:
“8. Thường xuyên rà soát bảo đảm các trang thiết bị phần cứng, phần mềm được hỗ trợ kỹ thuật từ nhà sản xuất.”.
6. Khoản 1 Điều 6 được sửa đổi, bổ sung như sau:
“1. Việc truy cập vào tất cả thành phần hệ thống thông tin phục vụ thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật; thiết bị, thẻ xác thực; sinh trắc học.”.
7. Điểm c khoản 4 Điều 6 được sửa đổi, bổ sung như sau:
“e) Thu hồi hoặc vô hiệu hóa các tài khoản không kích hoạt sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày kể từ lần truy cập gần nhất;”.
8. Khoản 3 Điều 10 được sửa đổi, bổ sung như sau:
“3. Trên tất cả các máy POS phải có số điện thoại liên hệ của TCTTT.”.
9. Điểm c khoản 1 Điều 14 được sửa đổi, bổ sung như sau:
“c) Số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho: chủ thẻ, cơ quan nhà nước có thẩm quyền theo quy định của pháp luật, một số nhân viên theo yêu cầu công việc được người có thẩm quyền phê duyệt;”.
10. Khoản 1 Điều 15 được sửa đổi, bổ sung như sau:
“1. Sử dụng các phương pháp mã hóa mạnh và các giao thức bảo mật thích hợp để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng Internet, mạng không dây, mạng truyền thông di động và các mạng khác).”.
11. Điểm b khoản 1 Điều 17 được sửa đổi, bổ sung như sau:
“b) Sử dụng camera hoặc biện pháp giám sát phù hợp khác để giám sát việc vào, ra các khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Các dữ liệu giám sát phải được lưu trữ, bảo vệ an toàn và sẵn sàng truy cập tối thiểu 03 tháng.”.
12. Bổ sung điểm i vào khoản 1 Điều 18 như sau:
“i) Ban hành chính sách, quy trình thực hiện giám sát tất cả các truy cập tới tài nguyên mạng, dữ liệu chủ thẻ và phổ biến cho tất cả các cá nhân, bộ phận liên quan đến nghiệp vụ thẻ của tổ chức.”.
Điều 2.
Thay đổi cụm từ “Cục Công nghệ tin học” thành cụm từ “Cục Công nghệ thông tin” tại các Điều 20, 22 và 23 Thông tư 47/2014/TT-NHNN.
Điều 3. Trách nhiệm tổ chức thực hiện
Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước chi nhánh các tỉnh, thành phố trực thuộc Trung ương, các tổ chức hoạt động thẻ có trách nhiệm tổ chức thực hiện Thông tư này.
Điều 4. Điều khoản thi hành
Thông tư này có hiệu lực thi hành kể từ ngày 15 tháng 02 năm 2021./.
|
|
KT. THỐNG ĐỐC |
flowchart LR
A[Văn bản hiện tại
Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]-->VBHD[Văn bản hướng dẫn
Nghị định 35/2007/NĐ-CP giao dịch điện tử trong hoạt động ngân hàng mới nhất
Nghị định 101/2012/NĐ-CP thanh toán không dùng tiền mặt
Nghị định 80/2016/NĐ-CP sửa đổi 101/2012/NĐ-CP thanh toán không dùng tiền mặt
]
A-->VBSDBS[VB sửa đổi bổ sung ]
A-->VBDC[Văn bản đính chính ]
A-->VBTT[Văn bản thay thế ]
A-->VBHN[Văn bản hợp nhất ]
A-->VBLQ[Văn bản liên quan ]
VBDHD[Văn bản được hướng dẫn ]-->A
VBDSDBS[VB được sửa đổi bổ sung
]-->A
VBDDC[Văn bản được đính chính ]-->A
VBDTT[Văn bản được thay thế ]-->A
VBDCC[Văn bản được căn cứ
Nghị định 35/2007/NĐ-CP giao dịch điện tử trong hoạt động ngân hàng mới nhất
Nghị định 101/2012/NĐ-CP thanh toán không dùng tiền mặt
Nghị định 80/2016/NĐ-CP sửa đổi 101/2012/NĐ-CP thanh toán không dùng tiền mặt
Nghị định 16/2017/NĐ-CP chức năng nhiệm vụ quyền hạn cơ cấu tổ chức Ngân hàng Nhà nước Việt Nam
]-->A
VBDTC[Văn bản được dẫn chiếu ]-->A
VBDHN[Văn bản được hợp nhất ]-->A
click VBDHD callback "đây là những văn bản ban hành trước, có hiệu lực pháp lý cao hơn [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất] & được hướng dẫn bởi [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBDSDBS callback "đây là những văn bản ban hành trước, được sửa đổi bổ sung bởi [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBDDC callback "đây là những văn bản ban hành trước, được đính chính các sai sót (căn cứ ban hành, thể thức, kỹ thuật trình bày...) bởi [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBDTT callback "đây là những văn bản ban hành trước, được thay thế bởi [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBDCC callback "đây là những văn bản ban hành trước, có hiệu lực pháp lý cao hơn, được sử dụng làm căn cứ để ban hành, [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBDTC callback "đây là những văn bản ban hành trước, trong nội dung của [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất] có quy định dẫn chiếu đến điều khoản hoặc nhắc đến những văn bản này"
click VBDHN callback "những văn bản này được hợp nhất bởi [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBHD callback "đây là những văn bản ban hành sau, có hiệu lực pháp lý thấp hơn, để hướng dẫn hoặc quy định chi tiết nội dung của [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBSDBS callback "đây là những văn bản ban hành sau, sửa đổi bổ sung một số nội dung của [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBDC callback "đây là những văn bản ban hành sau, nhằm đính chính các sai sót (căn cứ ban hành, thể thức, kỹ thuật trình bày...) của [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBTT callback "đây là những văn bản ban hành sau, nhằm thay thế, bãi bỏ toàn bộ nội dung của [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBHN callback "đây là những văn bản ban hành sau, hợp nhất nội dung của [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất] và những văn bản sửa đổi bổ sung của [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
click VBLQ callback "đây là những văn bản liên quan đến nội dung của [Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất]"
| Ngày | Trạng thái | Văn bản nguồn | Phần hết hiệu lực |
|---|---|---|---|
| 31/12/2020 | Văn bản được ban hành | Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất | |
| 15/02/2021 | Văn bản có hiệu lực | Thông tư 20/2020/TT-NHNN sửa đổi 47/2014/TT-NHNN bảo mật thiết bị thanh toán thẻ ngân hàng mới nhất |
Danh sách Tải về
| Định dạng | Tập tin | Link download |
|---|---|---|
|
Thông tư 2020-TT-NHNN.docx | |
|
VanBanGoc_Thông tư 2020-TT-NHNN.pdf |