Từ 1/7/2019, bắt buộc đổi mật khẩu lần đầu đăng nhập Internet Banking

Ngân hàng Nhà nước vừa ban hành Thông tư 35/2018/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet. Thông tư này có hiệu lực thi hành kể từ ngày 1/7/2019.

Thông tư sửa đổi, bổ sung nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking như: Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm. Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.

Thông tư cũng sửa đổi, bổ sung: Đường truyền kết nối Internet cung cấp dịch vụ phải bảo đảm tính sẵn sàng cao và khả năng cung cấp dịch vụ liên tục.

Hệ thống Internet Banking phải có cơ sở dữ liệu dự phòng thảm họa có khả năng thay thế cơ sở dữ liệu chính và bảo đảm không mất dữ liệu giao dịch trực tuyến của khách hàng.

Phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa truy cập.

Khách hàng phải thay đổi mã khóa bí mật ngay lần đầu đăng nhập.

Đối với việc truy cập hệ thống Internet Banking bằng trình duyệt, đơn vị phải có biện pháp chống đăng nhập tự động.

Đáng lưu ý, phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo.

Đơn vị phải thiết lập chính sách hạn chế truy cập Internet đối với các máy tính thực hiện quản trị, giám sát hệ thống Internet Banking. Trường hợp cần phải kết nối Internet để phục vụ công việc, đơn vị phải: a- Đánh giá rủi ro cho việc kết nối Internet; b- Áp dụng các biện pháp kiểm soát cho việc kết nối; c- Phương án thực hiện phải được người có thẩm quyền tại đơn vị phê duyệt.