Thông tư 20/2020/TT-NHNN sửa đổi, bổ sung một số điều Thông tư 47/2014/TT-NHNN

1. Khoản 9 Điều 2 được sửa đổi, bổ sung như sau:

“9. Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (256 bit); TDES (168 bit); RSA (2048 bit); ECC (224 bit); ElGamal (2048 bit).”.

2. Điểm d Khoản 1 Điều 3 được sửa đổi, bổ sung như sau:

“d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt. Có biện pháp che giấu địa chỉ mạng nội bộ và các thông tin về bảng định tuyến nội bộ khi kết nối với các bên thứ ba;”.

3. Điểm c Khoản 3 Điều 3 được sửa đổi, bổ sung như sau:

“c) Các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet phải được người có thẩm quyền phê duyệt và được kiểm soát chặt chẽ.”.

4. Bổ sung khoản 5 vào Điều 4 như sau:

“5. Mã hóa tất cả các kết nối truy cập quản trị từ xa bằng phương pháp mã hóa mạnh.”.

5. Bổ sung khoản 8 vào Điều 5 như sau:

“8. Thường xuyên rà soát bảo đảm các trang thiết bị phần cứng, phần mềm được hỗ trợ kỹ thuật từ nhà sản xuất.”.

6. Khoản 1 Điều 6 được sửa đổi, bổ sung như sau:

“1. Việc truy cập vào tất cả thành phần hệ thống thông tin phục vụ thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật; thiết bị, thẻ xác thực; sinh trắc học.”.

7. Điểm e Khoản 4 Điều 6 được sửa đổi, bổ sung như sau:

“e) Thu hồi hoặc vô hiệu hóa các tài khoản không kích hoạt sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày kể từ lần truy cập gần nhất;”.

8. Khoản 3 Điều 10 được sửa đổi, bổ sung như sau:

“3. Trên tất cả các máy POS phải có số điện thoại liên hệ của TCTTT.”.

9. Điểm c Khoản 1 Điều 14 được sửa đổi, bổ sung như sau:

“c) Số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho: chủ thẻ, cơ quan nhà nước có thẩm quyền theo quy định của pháp luật, một số nhân viên theo yêu cầu công việc được người có thẩm quyền phê duyệt;”.

10. Khoản 1 Điều 15 được sửa đổi, bổ sung như sau:

“1. Sử dụng các phương pháp mã hóa mạnh và các giao thức bảo mật thích hợp để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng Internet, mạng không dây, mạng truyền thông di động và các mạng khác).”.

11. Điểm b Khoản 1 Điều 17 được sửa đổi, bổ sung như sau:

“b) Sử dụng camera hoặc biện pháp giám sát phù hợp khác để giám sát việc vào, ra các khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Các dữ liệu giám sát phải được lưu trữ, bảo vệ an toàn và sẵn sàng truy cập tối thiểu 03 tháng.”.

12. Bổ sung điểm i vào Khoản 1 Điều 18 như sau:

“i) Ban hành chính sách, quy trình thực hiện giám sát tất cả các truy cập tới tài nguyên mạng, dữ liệu chủ thẻ và phổ biến cho tất cả các cá nhân, bộ phận liên quan đến nghiệp vụ thẻ của tổ chức.”.

Điều 2. Thay đổi cụm từ “Cục Công nghệ tin học” thành cụm từ “Cục Công nghệ thông tin” tại các Điều 20, 22 và 23 Thông tư 47/2014/TT-NHNN.

Điều 3. Trách nhiệm tổ chức thực hiện

Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước chi nhánh các tỉnh, thành phố trực thuộc Trung ương, các tổ chức hoạt động thẻ có trách nhiệm tổ chức thực hiện Thông tư này.

Điều 4. Điều khoản thi hành

Thông tư này có hiệu lực thi hành kể từ ngày 15 tháng 02 năm 2021./.