Thông báo kết luận 268/TB-NHNN năm 2016 kết luận của Phó Thống đốc Nguyễn Kim Anh tại Hội nghị trực tuyến về “Đảm bảo an toàn, an ninh mạng trong thanh toán điện tử và thanh toán thẻ” do Ngân hàng Nhà nước Việt Nam ban hành

THÔNG BÁO

KẾT LUẬN CỦA PHÓ THỐNG ĐỐC NGUYỄN KIM ANH TẠI HỘI NGHỊ TRỰC TUYẾN “ĐẢM BẢO AN TOÀN, AN NINH MẠNG TRONG THANH TOÁN ĐIỆN TỬ VÀ THANH TOÁN THẺ”

Ngày 08/9/2016, Ngân hàng Nhà nước (NHNN) đã tổ chức Hội nghị trực tuyến về “Đảm bảo an toàn, an ninh mạng trong thanh toán điện tử và thanh toán thẻ” thông qua 63 điểm cầu tại các tỉnh, thành phố trên cả nước. Tham dự Hội nghị, ở điểm cầu Trung tâm tại Hà Nội có Đại diện Vụ Kinh tế tổng hợp (Văn phòng Chính phủ), Đại diện Tổng cục An ninh, Cục cảnh sát phòng, chống tội phạm sử dụng công nghệ cao, Cục An ninh mạng, Cục An ninh tài chính, tiền tệ và đầu tư (Bộ Công an), Cục An toàn thông tin, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (Bộ Thông tin-Truyền thông), Lãnh đạo một số đơn vị, Vụ, Cục thuộc NHNN, Trung tâm Thông tin tín dụng quốc gia Việt Nam, Ngân hàng Chính sách xã hội, Ngân hàng Hợp tác xã, Công ty cổ phần Chuyển mạch tài chính Quốc gia (NAPAS), Hiệp hội An toàn thông tin quốc gia, Hiệp hội Ngân hàng, Hội thẻ ngân hàng Việt Nam, các ngân hàng thương mại (NHTM) có trụ sở chính tại Hà Nội, Phòng An ninh tài chính, tiền tệ và đầu tư (Công an TP. Hà Nội). Tại các điểm cầu NHNN chi nhánh tỉnh, thành phố có Ban Lãnh đạo, lãnh đạo các phòng và cán bộ phụ trách công nghệ thông tin, đại diện lãnh đạo của các NHTM có hội sở chính và Giám đốc chi nhánh cấp I của các ngân hàng thương mại trên địa bàn...v.v. Phó Thống đốc Nguyễn Kim Anh chủ trì Hội nghị.

Sau khi nghe báo cáo, tham luận của các đơn vị thuộc NHNN và các Bộ, ngành, cùng các ý kiến thảo luận và giải đáp các câu hỏi của các chuyên gia an ninh công nghệ thông tin thuộc NHNN, Bộ Công an, Bộ Thông tin-Truyền thông và các tổ chức có liên quan, Phó Thống đốc Nguyễn Kim Anh kết luận và chỉ đạo như sau:

Trong thời gian qua, việc quản lý và kiểm soát rủi ro trong hoạt động thanh toán nói chung và thanh toán điện tử nói riêng đã và đang được Ngân hàng Nhà nước tiếp tục chỉ đạo sát sao cùng với sự tuân thủ, phối hợp chặt chẽ của các ngân hàng thương mại, các tổ chức thẻ quốc tế, công ty chuyển mạch thẻ, các tổ chức trung gian thanh toán và các bên có liên quan.

Tuy nhiên, trên thực tế các sự cố rủi ro, gian lận trong thanh toán nói chung, thanh toán điện tử và thanh toán thẻ nói riêng vẫn có nguy cơ xảy ra cho dù các ngân hàng hay các tổ chức trung gian thanh toán có áp dụng mọi giải pháp bảo mật tiên tiến nhất. Các đối tượng phạm tội luôn thay đổi thủ đoạn và phương thức tấn công mới để vượt qua những biện pháp bảo mật này và khai thác thông tin từ những khách hàng sử dụng mất cảnh giác trong việc gìn giữ thông tin cá nhân khi sử dụng dịch vụ thanh toán điện tử, thanh toán thẻ.

Để hạn chế thấp nhất rủi ro, đảm bảo an ninh, an toàn, bảo mật trong hoạt động thanh toán nói chung, thanh toán điện tử và thanh toán thẻ nói riêng, cũng như đảm bảo quyền lợi của khách hàng và ngân hàng tại Việt Nam, trong thời gian tới, các đơn vị trong ngành khẩn trương triển khai nghiêm túc những nội dung công việc sau đây:

1. Giao Vụ Thanh toán làm đầu mối:

(i) Tiếp tục rà soát, tham mưu cho Thống đốc NHNN nghiên cứu ban hành, hoặc sửa đổi, bổ sung các văn bản quy phạm về việc cung cấp dịch vụ thanh toán của các TCTD và các tổ chức trung gian thanh toán, đảm bảo phòng ngừa và giảm thiểu rủi ro trong toàn bộ quy trình, thủ tục thanh toán. Thành lập các đoàn kiểm tra, giám sát (liên vụ) về công tác thanh toán, đảm bảo an toàn, an ninh trong thanh toán điện tử và thanh toán thẻ để kịp thời cảnh báo, chấn chỉnh các nguy cơ, vi phạm các quy định của NHNN;

(ii) Phối hợp với Cơ quan TTGSNH, Vụ Pháp chế và Cục Công nghệ tin học tham mưu cho Ban Lãnh đạo NHNN để trước ngày 15/10/2016 ban hành quy định các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cần ghi rõ trong các hợp đồng cung cấp dịch vụ nội dung cụ thể về trách nhiệm trong việc tiếp nhận thông tin từ khách hàng, thời gian xử lý, phương án đền bù đối với các trường hợp phát sinh rủi ro, sự cố trong hoạt động thanh toán;

(iii) Sớm nghiên cứu, ban hành tiêu chuẩn thẻ chíp nội địa và chỉ đạo các TCTD chuyển đổi từ thẻ từ sang thẻ chíp theo đúng lộ trình NHNN đã phê duyệt để giảm thiểu những rủi ro, tổn thất cho các bên khi tham gia giao dịch thẻ.

2. Giao Cục Công nghệ tin học làm đầu mối:

(i) Nghiên cứu, xây dựng trình Thống đốc NHNN ban hành lộ trình áp dụng các tiêu chuẩn quốc tế về an ninh bảo mật như ISO 27001 cho hệ thống CNTT và chuẩn PCI/DSS cho hệ thống thanh toán thẻ;

(ii) Nghiên cứu để tham mưu cho Ban Lãnh đạo NHNN sớm chỉ đạo triển khai các công nghệ bảo mật đa nhân tố mới trong các giao dịch ngân hàng để thay thế các công nghệ bảo mật cũ đã bị tội phạm mạng lợi dụng;

(iii) Thường xuyên theo dõi, cập nhật tình hình an ninh mạng trong nước và quốc tế để cảnh báo và chỉ đạo các đơn vị trong toàn Ngành kịp thời phòng chống, xử lý các rủi ro, lỗ hổng bảo mật CNTT. Trước mắt, phối hợp chặt chẽ với Vụ Thanh toán trong việc tổ chức đoàn kiểm tra, giám sát (liên vụ) về công tác thanh toán, đảm bảo an toàn, an ninh trong thanh toán điện tử và thanh toán thẻ tại các TCTD;

(iv) Liên hệ, làm việc với Cục Cảnh sát phòng chống tội phạm công nghệ cao (C50) và Cục An ninh mạng thuộc Bộ Công An, Cục An toàn thông tin và Trung tâm ứng cứu khẩn cấp máy tính Việt Nam thuộc Bộ Thông tin truyền thông để xúc tiến xây dựng chương trình hợp tác, trao đổi thông tin và phối hợp phòng chống tội phạm công nghệ cao giữa các đơn vị của NHNN và các đơn vị thuộc Bộ Công An và Bộ Thông tin truyền thông.

3. Giao Cơ quan Thanh tra, giám sát ngân hàng và Thanh tra giám sát của các NHNN chi nhánh các tỉnh, thành phố: Tăng cường kiểm tra, giám sát cũng như chỉ đạo các ngân hàng trên địa bàn nghiêm túc chấp hành các quy định về đảm bảo an ninh, an toàn cho hệ thống thanh toán điện tử cũng như tại các thiết bị đọc thẻ trong quá trình cung ứng dịch vụ; Chỉ đạo các ngân hàng phối hợp chặt chẽ với cơ quan công an để trao đổi thông tin, kịp thời phối hợp, xử lý những vụ việc gian lận, lừa đảo trong thanh toán điện tử và thanh toán thẻ.

4. Giao Ban Truyền thông: Xây dựng kế hoạch truyền thông tổng thể của ngành Ngân hàng về hoạt động thanh toán không dùng tiền mặt trình Thống đốc NHNN phê duyệt và chỉ đạo các TCTD tổ chức thực hiện theo kế hoạch được phê duyệt.

5. Giao NHNN chi nhánh tỉnh, thành phố: Từ nay đến 30/10/2016, xây dựng và hoàn thành triển khai chương trình kiểm tra và giám sát các dịch vụ thanh toán không dùng tiền mặt của các TCTD, các tổ chức trung gian thanh toán trên địa bàn, đảm bảo việc cung cấp các dịch vụ được liên tục, an toàn và đáp ứng nhu cầu thanh toán người dân; nắm bắt những khó khăn, vướng mắc và bất cập của công tác thanh toán không dùng tiền mặt trên địa bàn và chỉ đạo, phối hợp với các TCTD để tháo gỡ. Báo cáo kết quả kiểm tra, giám sát về NHNN (Vụ Thanh toán) trước ngày 15/11/2016.

6. Đối với Công ty cổ phần Thanh toán quốc gia Việt Nam (NAPAS): Thiết lập các cơ chế kiểm soát rủi ro để phát hiện kịp thời và hỗ trợ các ngân hàng xử lý các giao dịch nghi vấn...; phối hợp chặt chẽ với các ngân hàng thành viên trong việc giám sát giao dịch thanh toán thẻ, kịp thời gửi cảnh báo đến các ngân hàng thành viên các giao dịch nghi vấn nhằm xử lý nhanh và dứt điểm các vấn đề phát sinh, đảm bảo quyền lợi của khách hàng.

7. Đối với các TCTD:

(i) Tiến hành tổng kiểm tra, rà soát toàn bộ các quy trình nghiệp vụ, hạ tầng công nghệ, nguồn nhân lực và việc tổ chức thực hiện các quy định đã ban hành, các dịch vụ phụ trợ liên quan như tổng đài hỗ trợ trực tuyến, giải quyết các khiếu nại.... của các hệ thống thanh toán và thanh toán thẻ, đảm bảo tuân thủ các quy định của NHNN. Đối với các hạng mục còn chưa hoàn toàn tuân thủ các quy định TCTD phải đề xuất lộ trình triển khai, khắc phục hoàn thành trong năm 2016. Báo cáo kết quả kiểm tra gửi về NHNN (Vụ Thanh toán) trước ngày 30/10/2016;

(ii) Định kỳ rà soát, bổ sung các thiết bị đảm bảo an ninh, an toàn cho ATM như lắp đặt camera giám sát, hệ thống báo động sự cố, hệ thống chống trộm...v.v, kiểm tra ATM/POS để kịp thời phát hiện và ngăn chặn các thiết bị lắp đặt trái phép nhằm trộm cắp thông tin của chủ thẻ;

(iii) Đánh giá, phân loại các loại rủi ro trong công tác thanh toán và triển khai các giải pháp phù hợp để giảm thiểu rủi ro, đảm bảo an toàn tài sản cho khách hàng và ngân hàng. Nghiên cứu, áp dụng các công nghệ bảo mật tiên tiến như xác thực sinh trắc học, khóa công khai PKI, công nghệ 3D secure cho các khách hàng có giao dịch lớn và từng bước mở rộng cho toàn bộ các đối tượng khách hàng;

(iv) Nghiên cứu, áp dụng các giải pháp công nghệ thông tin để chủ động nhận diện, cảnh báo kịp thời các hiểm họa, nguy cơ mất an ninh cho khách hàng. Xây dựng và diễn tập các kịch bản ứng phó với các sự cố mất an toàn thông tin;

(v) Tăng cường công tác truyền thông để các doanh nghiệp, người dân nhận thức đầy đủ về các nguy cơ, rủi ro, được trang bị các kiến thức, kỹ năng cần thiết giúp cho việc sử dụng các dịch vụ ngân hàng an toàn;

(vi) Đào tạo, huấn luyện nâng cao kỹ năng tiếp nhận, xử lý rủi ro cho nhân viên; xây dựng quy trình xử lý khủng hoảng truyền thông nói chung và liên quan đến hoạt động thanh toán điện tử, thanh toán thẻ nói riêng một cách chặt chẽ khoa học và chuyên nghiệp. Khi phát sinh rủi ro, gian lận phải phối hợp với các cơ quan chức năng, NHNN và khách hàng xử lý nhanh, chính xác trên tinh thần đảm bảo quyền lợi của khách hàng theo đúng quy định của pháp luật.

8. Đối với Hiệp hội ngân hàng:

(i) Phối hợp hoạt động của các ngân hàng thành viên để tuyên truyền và nâng cao nhận thức của các tổ chức và cá nhân trong nền kinh tế về rủi ro và các thủ đoạn lừa đảo, gian lận của tội phạm khi sử dụng các dịch vụ và phương thức thanh toán điện tử;

(ii) Tăng cường phối hợp giữa các ngân hàng thành viên trong việc theo dõi, thông báo kịp thời cho nhau về các loại hình tội phạm mới; phối hợp, trao đổi thông tin về các điểm ATM/POS bị cài đặt thiết bị trộm cắp thông tin thẻ, các đối tượng nghi vấn...v.v.

Thừa lệnh Thống đốc, Văn phòng NHNN thông báo tới các đơn vị liên quan biết và triển khai thực hiện./.