Điều 10 Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
Điều 10. Yêu cầu đối với các giải pháp xác thực giao dịch
2. Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử:
a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;
b) OTP có hiệu lực tối đa không quá 05 phút.
3. Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP:
a) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;
b) OTP có hiệu lực tối đa không quá 02 phút.
4. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động:
a) Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm tạo OTP;
b) Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động;
c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng sử dụng tiếp;
d) OTP có hiệu lực tối đa không quá 02 phút.
5. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ thiết bị (OTP token): OTP có hiệu lực tối đa không quá 02 phút.
6. Yêu cầu đối với giải pháp xác thực bằng chữ ký số: Đơn vị phải sử dụng chữ ký số và dịch vụ chứng thực chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số hoạt động theo quy định của pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số.
7. Yêu cầu đối với giải pháp xác thực bằng dấu hiệu nhận dạng sinh trắc học: dấu hiệu nhận dạng sinh trắc học phải là dấu hiệu duy nhất gắn với mỗi khách hàng và không thể giả mạo.
Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
- Số hiệu: 35/2016/TT-NHNN
- Loại văn bản: Thông tư
- Ngày ban hành: 29/12/2016
- Nơi ban hành: Quốc hội
- Người ký: Nguyễn Kim Anh
- Ngày công báo: Đang cập nhật
- Số công báo: Từ số 75 đến số 76
- Ngày hiệu lực: 01/07/2017
- Tình trạng hiệu lực: Kiểm tra
- Điều 1. Phạm vi điều chỉnh và đối tượng áp dụng
- Điều 2. Giải thích từ ngữ và thuật ngữ
- Điều 3. Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking
- Điều 4. Hệ thống mạng, truyền thông và an ninh bảo mật
- Điều 5. Hệ thống máy chủ và phần mềm hệ thống
- Điều 6. Hệ quản trị cơ sở dữ liệu
- Điều 7. Phần mềm ứng dụng Internet Banking
- Điều 8. Phần mềm ứng dụng trên thiết bị di động
- Điều 9. Xác thực khách hàng truy cập dịch vụ Internet Banking
- Điều 10. Yêu cầu đối với các giải pháp xác thực giao dịch
- Điều 11. Quản lý nhân sự quản trị, vận hành hệ thống Internet Banking
- Điều 12. Quản lý hoạt động của môi trường vận hành hệ thống Internet Banking
- Điều 13. Quản lý lỗ hổng, điểm yếu về mặt kỹ thuật
- Điều 14. Hệ thống quản trị, giám sát hoạt động của hệ thống Internet Banking
- Điều 15. Quản lý sự cố bảo mật thông tin
- Điều 16. Đảm bảo hoạt động liên tục