NHNN yêu cầu đảm bảo an toàn bảo mật trang thiết bị thanh toán thẻ ngân hàng

Ngân hàng Nhà nước vừa ban hành Thông tư số 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng có hiệu lực thi hành kể từ ngày 01/4/2015.

Ảnh minh họa.Ảnh minh họa.

Thông tư này áp dụng đối với các tổ chức hoạt động thẻ, bao gồm: Tổ chức phát hành thẻ; tổ chức thanh toán thẻ; tổ chức cung ứng dịch vụ trung gian thanh toán có trang thiết bị phục vụ thanh toán thẻ ngân hàng.

Theo đó, tổ chức hoạt động thẻ có cung cấp dịch vụ ATM phải đảm bảo các yêu cầu về việc lắp đặt ATM theo quy định của Ngân hàng Nhà nước Việt Nam về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của ATM.

Đối với ATM đặt bên ngoài, tổ chức cung cấp dịch vụ ATM còn phải thực hiện thêm các biện pháp đảm bảo an toàn như: có biện pháp đảm bảo ATM tránh bị kéo để di dời trái phép; che giấu các thành phần, bộ phận ATM không cần thiết để lộ ra bên ngoài; trang bị thiết bị cảm biến để cảnh báo tác động nhiệt từ các thiết bị khò hàn và nhận biết các lực tác động với cường độ lớn hoặc liên tục từ bên ngoài lên thân vỏ máy (hệ thống báo động).

Đối với máy POS (máy chấp nhận thanh toán thẻ ngân hàng, có tính năng giúp thanh toán tại các cửa hàng, trung tâm thương mại, siêu thị, nhà hàng...), tổ chức thanh toán thẻ, tổ chức cung ứng dịch vụ trung gian thanh toán và đơn vị chấp nhận thẻ phải có thỏa thuận rõ về trách nhiệm của đơn vị chấp nhận thẻ, bao gồm: quản lý, bảo vệ, lắp đặt máy POS tại nơi an toàn. Có biện pháp phòng chống việc sử dụng trái phép, trộm cắp máy POS, lắp đặt các thiết bị đọc trộm dữ liệu thẻ trên máy POS; lắp đặt nguồn điện, đường truyền đúng theo yêu cầu kỹ thuật của nhà sản xuất; máy POS phải có tên và logo của tổ chức thanh toán thẻ.

Với thiết bị thông tin di động cài đặt phần mềm mPOS (là máy POS bao gồm phần mềm và thiết bị chuyên dụng tích hợp với thiết bị thông tin di động) phải đáp ứng yêu cầu: thiết bị không bị bẻ khóa, tắt các kết nối không cần thiết cho việc sử dụng thanh toán; thiết lập thêm các tính năng bảo mặt phòng chống bị mất, trộm cắp. Đồng thời, đơn vị chấp nhận thẻ phải quản lý thông tin về số serial, phiên bản phần mềm của thiết bị. Bên cạnh đó, phần mềm mPOS không được phép thanh toán khi thiết bị mPOS không kết nối được về trung tâm thanh toán thẻ và không được lưu trữ các giao dịch thẻ. Hóa đơn thanh toán được gửi đến khách hàng qua email, SMS hoặc được in ra (khi có yêu cầu).

Đặc biệt, tổ chức hoạt động thẻ phải xây dựng và triển khai thực hiện quy định về việc sử dụng các công nghệ có rủi ro cao (các truy cập từ xa, mạng không dây, sử dụng các thiết bị di động, email và Internet). Các truy cập và xử lý trên dữ liệu thẻ phải đảm bảo được phân quyền đúng và ở mức tối thiểu đủ để thực hiện nhiệm vụ của từng cá nhân. Thiết lập biện pháp, hệ thống kiểm soát truy cập cho toàn bộ các thiết bị phục vụ thanh toán thẻ, đảm bảo giới hạn các truy cập theo đúng chức trách, nhiệm vụ được giao; các truy cập không hợp lệ phải bị loại bỏ...

(HTH)