Thông tư 20/2020/TT-NHNN sửa đổi Thông tư 47/2014/TT-NHNN quy định về yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng
Số hiệu: 20/2020/TT-NHNN Loại văn bản: Thông tư
Nơi ban hành: Ngân hàng Nhà nước Việt Nam Người ký: Nguyễn Kim Anh
Ngày ban hành: 31/12/2020 Ngày hiệu lực: Đang cập nhật
Ngày công báo: Đang cập nhật Số công báo: Đang cập nhật
Lĩnh vực: Ngân hàng, tiền tệ, Bưu chính, viễn thông, Tình trạng: Đang cập nhập
Ngày hết hiệu lực: Đang cập nhật

NGÂN HÀNG NHÀ NƯỚC
VIỆT NAM
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 20/2020/TT-NHNN

Hà Nội, ngày 31 tháng 12 năm 2020

 

THÔNG TƯ

SỬA ĐỔI, BỔ SUNG MỘT SỐ ĐIỀU CỦA THÔNG TƯ SỐ 47/2014/TT-NHNN NGÀY 31 THÁNG 12 NĂM 2014 CỦA THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC VIỆT NAM QUY ĐỊNH CÁC YÊU CẦU KỸ THUẬT VỀ AN TOÀN BẢO MẬT ĐỐI VỚI TRANG THIẾT BỊ PHỤC VỤ THANH TOÁN THẺ NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;

Căn cứ Luật Các tổ chức tín dụng ngày 16 tháng 6 năm 2010; Luật sửa đổi, bổ sung một số điều của Luật Các tổ chức tín dụng ngày 20 tháng 11 năm 2017;

Căn cứ Luật giao dịch điện tử ngày 29 tháng 11 năm 2005;

Căn cứ Nghị định số 35/2007/NĐ-CP ngày 08 tháng 3 năm 2007 của Chính phủ về giao dịch điện tử trong hoạt động ngân hàng;

Căn cứ Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dùng tiền mặt; Nghị định số 80/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 101/2012/NĐ-CP ngày 22 tháng 11 năm 2012 của Chính phủ về thanh toán không dùng tiền mặt;

Căn cứ Nghị định số 16/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư sửa đổi, bổ sung một số điều của Thông tư số 47/2014/TT-NHNN ngày 31 tháng 12 năm 2014 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng (sau đây gọi tắt là Thông tư 47/2014/TT-NHNN).

Điều 1. Sửa đổi, bổ sung một số điều của Thông tư 47/2014/TT-NHNN

1. Khoản 9 Điều 2 được sửa đổi, bổ sung như sau:

“9. Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (256 bit); TDES (168 bit); RSA (2048 bit); ECC (224 bit); ElGamal (2048 bit).”.

2. Điểm d khoản 1 Điều 3 được sửa đổi, bổ sung như sau:

“d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt. Có biện pháp che giấu địa chỉ mạng nội bộ và các thông tin về bảng định tuyến nội bộ khi kết nối với các bên thứ ba;”.

3. Điểm c khoản 3 Điều 3 được sửa đổi, bổ sung như sau:

“c) Các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet phải được người có thẩm quyền phê duyệt và được kiểm soát chặt chẽ.”.

4. Bổ sung khoản 5 vào Điều 4 như sau:

“5. Mã hóa tất cả các kết nối truy cập quản trị từ xa bằng phương pháp mã hóa mạnh.”.

5. Bổ sung khoản 8 vào Điều 5 như sau:

“8. Thường xuyên rà soát bảo đảm các trang thiết bị phần cứng, phần mềm được hỗ trợ kỹ thuật từ nhà sản xuất.”.

6. Khoản 1 Điều 6 được sửa đổi, bổ sung như sau:

“1. Việc truy cập vào tất cả thành phần hệ thống thông tin phục vụ thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật; thiết bị, thẻ xác thực; sinh trắc học.”.

7. Điểm c khoản 4 Điều 6 được sửa đổi, bổ sung như sau:

“e) Thu hồi hoặc vô hiệu hóa các tài khoản không kích hoạt sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày kể từ lần truy cập gần nhất;”.

8. Khoản 3 Điều 10 được sửa đổi, bổ sung như sau:

“3. Trên tất cả các máy POS phải có số điện thoại liên hệ của TCTTT.”.

9. Điểm c khoản 1 Điều 14 được sửa đổi, bổ sung như sau:

“c) Số thẻ phải được che giấu phù hợp khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ được hiển thị đầy đủ cho: chủ thẻ, cơ quan nhà nước có thẩm quyền theo quy định của pháp luật, một số nhân viên theo yêu cầu công việc được người có thẩm quyền phê duyệt;”.

10. Khoản 1 Điều 15 được sửa đổi, bổ sung như sau:

“1. Sử dụng các phương pháp mã hóa mạnh và các giao thức bảo mật thích hợp để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng Internet, mạng không dây, mạng truyền thông di động và các mạng khác).”.

11. Điểm b khoản 1 Điều 17 được sửa đổi, bổ sung như sau:

“b) Sử dụng camera hoặc biện pháp giám sát phù hợp khác để giám sát việc vào, ra các khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu chủ thẻ. Các dữ liệu giám sát phải được lưu trữ, bảo vệ an toàn và sẵn sàng truy cập tối thiểu 03 tháng.”.

12. Bổ sung điểm i vào khoản 1 Điều 18 như sau:

“i) Ban hành chính sách, quy trình thực hiện giám sát tất cả các truy cập tới tài nguyên mạng, dữ liệu chủ thẻ và phổ biến cho tất cả các cá nhân, bộ phận liên quan đến nghiệp vụ thẻ của tổ chức.”.

Điều 2.

Thay đổi cụm từ “Cục Công nghệ tin học” thành cụm từ “Cục Công nghệ thông tin” tại các Điều 20, 22 và 23 Thông tư 47/2014/TT-NHNN.

Điều 3. Trách nhiệm tổ chức thực hiện

Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước, Giám đốc Ngân hàng Nhà nước chi nhánh các tỉnh, thành phố trực thuộc Trung ương, các tổ chức hoạt động thẻ có trách nhiệm tổ chức thực hiện Thông tư này.

Điều 4. Điều khoản thi hành

Thông tư này có hiệu lực thi hành kể từ ngày 15 tháng 02 năm 2021./.

 


Nơi nhận:
- Như Điều 3;
- Ban lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Công báo;
- Lưu: VP, PC, CNTT.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC




Nguyễn Kim Anh

 

Điều 2. Giải thích từ ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:
...

9. Mã hóa mạnh là phương pháp mã hóa dựa trên các thuật toán đã được kiểm tra, chấp nhận rộng rãi trên thế giới cùng với độ dài khóa tối thiểu 112 (một trăm mười hai) bit và kỹ thuật quản lý khóa phù hợp. Các thuật toán tối thiểu bao gồm: AES (128 bit); TDES (112 bit); RSA (2048 bit); ECC (160 bit); ElGamal (2048 bit).

Xem nội dung VB
Điều 3. Thiết lập và quản lý cấu hình thiết bị an ninh mạng

1. Các yêu cầu về thiết lập và quản lý cấu hình thiết bị an ninh mạng:
...

d) Không cung cấp địa chỉ mạng (địa chỉ IP) nội bộ và thông tin định tuyến cho các tổ chức khác khi chưa được người có thẩm quyền phê duyệt;

Xem nội dung VB
Điều 3. Thiết lập và quản lý cấu hình thiết bị an ninh mạng
...

3. Kiểm soát các truy cập trực tiếp từ Internet đến môi trường dữ liệu chủ thẻ
...

c) Không cho phép các truy cập từ môi trường dữ liệu chủ thẻ ra ngoài Internet khi chưa được người có thẩm quyền phê duyệt.

Xem nội dung VB
Điều 4. Thay đổi, loại bỏ hoặc vô hiệu hóa các tham số, chức năng mặc định trong hệ thống trang thiết bị phục vụ thanh toán thẻ

1. Thay đổi hoặc vô hiệu hóa các tham số và chức năng mặc định của hệ thống (tài khoản, mã khóa bí mật, tham số hệ điều hành, phần mềm, ứng dụng không sử dụng; tham số trên máy POS không sử dụng; chuỗi ký tự mặc định trong giao thức giám sát mạng (giao thức SNMP)).

2. Thay đổi các tham số mặc định (khóa mã hóa trong mạng không dây; các mã khóa bí mật; chuỗi ký tự mặc định trong giao thức SNMP tại các môi trường mạng không dây có kết nối đến dữ liệu thẻ).

3. Chỉ bật hoặc cài đặt các chức năng mặc định (dịch vụ, giao thức, các chương trình nền) khi có nhu cầu sử dụng.

4. Loại bỏ các chức năng, dịch vụ, tập tin, ổ đĩa không cần thiết. Thực hiện thêm các biện pháp an toàn bổ sung (các công nghệ SSH, S-FTP, SSL, IPSec VPN) khi sử dụng các dịch vụ, giao thức không an toàn để truyền dữ liệu trên mạng (chia sẻ tệp tin (File Sharing), NetBIOS, Telnet, FTP).

Xem nội dung VB
Điều 5. An toàn bảo mật trong phát triển, duy trì các trang thiết bị phục vụ thanh toán thẻ

1. Thực hiện nhận dạng các lỗ hổng bảo mật bằng công cụ dò quét và các nguồn thông tin của các tổ chức an ninh mạng bên ngoài có uy tín để xác định mức độ ảnh hưởng của các lỗ hổng bảo mật mới đối với hệ thống thanh toán thẻ, bao gồm các mức độ ảnh hưởng: mức độ cao; mức độ trung bình; mức độ thấp.

2. Đảm bảo toàn bộ các thiết bị phục vụ thanh toán thẻ được cập nhật các bản vá lỗ hổng bảo mật đã được công bố từ các nhà sản xuất. Đối với các bản vá các lỗ hổng bảo mật mức độ cao phải được cài đặt trong thời gian sớm nhất và không quá 01 tháng kể từ khi nhà sản xuất công bố bản vá.

3. Phát triển các phần mềm ứng dụng trong lĩnh vực thẻ đảm bảo tuân thủ các quy định của pháp luật và các chuẩn mực phát triển phần mềm ứng dụng được áp dụng rộng rãi trong lĩnh vực công nghệ thông tin. Trong chu trình phát triển phần mềm phải tích hợp với các yêu cầu đảm bảo an toàn thông tin và tối thiểu đáp ứng các yêu cầu sau:

a) Tách biệt môi trường phát triển và kiểm thử với môi trường vận hành;

b) Không sử dụng dữ liệu thẻ trong môi trường vận hành cho môi trường kiểm thử;

c) Loại bỏ toàn bộ dữ liệu và tài khoản kiểm thử trước khi đưa phần mềm vào sử dụng;

d) Đánh giá, xem xét lại mã nguồn phần mềm ứng dụng để phát hiện, khắc phục lỗ hổng bảo mật tiềm tàng trước khi đưa vào sử dụng. Nhân sự thực hiện đánh giá phải độc lập với nhân sự phát triển mã nguồn ứng dụng.

4. Thực hiện các thủ tục kiểm soát sự thay đổi khi cập nhật các bản vá lỗ hổng bảo mật, thay đổi phần mềm ứng dụng:

a) Xây dựng tài liệu đánh giá tác động đến toàn bộ hệ thống và được người có thẩm quyền phê duyệt trước khi thực hiện;

b) Không được làm ảnh hưởng đến tính an toàn bảo mật của hệ thống;

c) Thực hiện sao lưu, có kế hoạch dự phòng trước khi thực hiện thay đổi.

5. Khi phát triển mã nguồn ứng dụng cần kiểm tra, loại bỏ các lỗ hổng bảo mật trong ứng dụng, bao gồm:

a) Các lỗ hổng chèn mã lệnh truy vấn cơ sở dữ liệu (SQL injection), câu lệnh hệ điều hành (OS injection), các phương tiện lưu trữ dữ liệu khác;

b) Lỗi tràn bộ nhớ đệm;

c) Lỗi mã hóa không an toàn trong lưu trữ dữ liệu;

d) Lỗi không an toàn trong truyền thông;

đ) Rò rỉ thông tin qua thông báo lỗi (error handling);

e) Các nguy cơ chèn mã, đoạn mã javascript, jscript, DHTML, các thẻ HTML;

g) Các kiểm soát truy cập không đúng;

h) Các hình thức tấn công chiếm quyền xác thực của người sử dụng trên một website thông qua một website giả mạo khác (Cross Site Request Forgery);

i) Lỗi trong quản lý phiên truy cập (session ID);

k) Các lỗ hổng bảo mật được xác định có mức độ cao được quy định tại Khoản 1 Điều này.

6. Các ứng dụng cung cấp dịch vụ trên các môi trường mạng bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác) phải có các biện pháp để xử lý các mối đe dọa và lỗ hổng bảo mật, bao gồm:

a) Đánh giá an toàn bảo mật tối thiểu 01 lần/quý hoặc sau khi có sự thay đổi bằng các công cụ đánh giá tự động hoặc thủ công;

b) Thực hiện các giải pháp kỹ thuật tự động phát hiện và phòng chống tấn công bằng thiết bị tường lửa ứng dụng web (Web Application Firewall).

7. Phần mềm hệ thống thanh toán thẻ phải có tính năng lọc, không chấp nhận thanh toán cho các giao dịch không được phép thực hiện theo quy định của pháp luật.

Xem nội dung VB
Điều 6. Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ

1. Việc truy cập vào ứng dụng thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức sau: mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học.

Xem nội dung VB
Điều 6. Yêu cầu cấp phát và kiểm soát tài khoản truy cập vào hệ thống thanh toán thẻ
...

4. Thực hiện các biện pháp kiểm soát tài khoản vận hành và tài khoản quản trị:
...

c) Thu hồi quyền truy cập ngay khi người sử dụng hết hạn sử dụng hoặc chuyển công việc khác hoặc không làm nhiệm vụ vận hành, quản trị;

Xem nội dung VB
Điều 10. Các yêu cầu đối với máy POS
...

3. Trên tất cả các máy POS phải có số điện thoại liên hệ của TCTTT và tổ chức cung cấp dịch vụ hỗ trợ (nếu có).

Xem nội dung VB
Điều 14. Bảo vệ vùng lưu trữ dữ liệu thẻ

1. Lưu trữ, phục hồi, hủy thông tin, dữ liệu thẻ
...

c) Số thẻ phải được che giấu khi hiển thị và chỉ được hiển thị đầy đủ khi có yêu cầu của cơ quan có thẩm quyền hoặc chủ sở hữu hợp pháp của thẻ; số thẻ phải đảm bảo không đọc được tại các nơi lưu trữ;

Xem nội dung VB
Điều 15. Mã hóa dữ liệu thẻ trên đường truyền qua mạng bên ngoài

1. Sử dụng các phương thức mã hóa và các giao thức bảo mật thích hợp (tối thiểu các giao thức SSL/TLS, SSH, IPSEC) để bảo vệ dữ liệu xác thực thẻ trong quá trình truyền thông tin qua mạng kết nối với bên ngoài (mạng internet, mạng không dây, mạng truyền thông di động và các mạng khác).

Xem nội dung VB
Điều 17. Hạn chế quyền truy cập vật lý tới dữ liệu thẻ

1. Thực hiện các kiểm soát ra, vào tới khu vực đặt hệ thống thanh toán thẻ, trung tâm dữ liệu thẻ, các môi trường vật lý có dữ liệu thẻ:
...

b) Sử dụng camera hoặc có biện pháp khác để giám sát truy cập vật lý tới khu vực phòng máy chủ, khu vực in ấn phát hành, nơi lưu trữ, xử lý dữ liệu thủ thẻ. Các dữ liệu giám sát phải được lưu trữ tối thiểu 03 tháng.

Xem nội dung VB
Điều 18. Giám sát, bảo vệ và kiểm tra các trang thiết bị phục vụ thanh toán thẻ

1. Theo dõi và giám sát toàn bộ truy cập tới tài nguyên và dữ liệu chủ thẻ

a) Thực hiện ghi dữ liệu nhật ký toàn bộ truy cập đến các thiết bị phục vụ thanh toán thẻ để lưu vết tất cả các hành vi của người sử dụng;

b) Thực hiện tự động ghi dữ liệu nhật ký truy cập đến toàn bộ thiết bị phục vụ thanh toán thẻ để xác định lại các sự kiện sau:

- Tất cả truy cập của người sử dụng đến dữ liệu chủ thẻ;

- Tất cả hành động của người sử dụng có tài khoản đặc quyền;

- Các truy cập đến toàn bộ dữ liệu nhật ký;

- Các cố gắng truy cập không được phép vào hệ thống;

- Quản lý người sử dụng (bao gồm các sự kiện tạo mới tài khoản và nâng quyền quản trị, các thay đổi hoặc xóa tài khoản của tài khoản quản trị);

- Khởi tạo, chấm dứt hoặc tạm ngừng việc ghi dữ liệu nhật ký;

- Khởi tạo hoặc xóa các dữ liệu, tài nguyên, chức năng, dịch vụ trên thiết bị phục vụ thanh toán thẻ.

c) Dữ liệu nhật ký của mỗi sự kiện (quy định tại Điểm b Khoản 1 Điều này) bao gồm tối thiểu các thông tin sau:

- Định danh người sử dụng;

- Loại sự kiện;

- Ngày, tháng và thời gian;

- Trạng thái thành công hoặc thất bại;

- Nguồn gốc của sự kiện;

- Tên hoặc định danh của dữ liệu, tài nguyên hoặc chức năng, dịch vụ bị ảnh hưởng bởi sự kiện.

d) Phải có hệ thống đồng bộ thời gian đối với hệ thống máy chủ, hệ thống ATM phục vụ thanh toán thẻ;

đ) Bảo vệ các dữ liệu nhật ký:

- Giới hạn quyền được xem dữ liệu nhật ký tối thiểu theo nhu cầu công việc;

- Bảo vệ các tập tin dữ liệu nhật ký nhằm tránh sửa đổi trái phép;

- Sao lưu dữ liệu nhật ký đến các máy chủ tập trung hoặc phương tiện mang tin;

e) Tổ chức hoạt động thẻ phải sử dụng công cụ để giám sát tính toàn vẹn của tập tin dữ liệu nhật ký hoặc phần mềm phát hiện thay đổi dữ liệu nhật ký;

g) Tổ chức hoạt động thẻ phải tiến hành xem xét, đánh giá các dữ liệu nhật ký và các sự kiện an ninh trên toàn bộ thiết bị phục vụ thanh toán thẻ để xác định hoạt động bất thường, hoạt động nghi ngờ bằng cách sử dụng các công cụ phân tích, khai thác và cảnh báo dựa trên dữ liệu nhật ký, cụ thể như sau:

- Tổ chức hoạt động thẻ phải đánh giá hàng ngày tối thiểu các nội dung dữ liệu nhật ký sau:

+ Toàn bộ các sự kiện về an toàn bảo mật;

+ Các dữ liệu nhật ký của hệ thống lưu trữ, xử lý, truyền nhận thông tin thẻ;

+ Các dữ liệu nhật ký của các trang thiết bị an toàn bảo mật cho hệ thống (các thiết bị tường lửa, hệ thống phát hiện xâm nhập, phòng chống xâm nhập, các máy chủ xác thực).

- Tổ chức hoạt động thẻ phải đánh giá toàn bộ dữ liệu nhật ký theo quy chế an toàn bảo mật và quy định về quản lý rủi ro của đơn vị. Đánh giá dữ liệu nhật ký tối thiểu 01 lần/năm;

- Trong quá trình đánh giá dữ liệu nhật ký, phải theo dõi xử lý các sự kiện ngoại lệ và sự kiện bất thường đã phát hiện được.

h) Dữ liệu nhật ký phải được lưu trữ trực tuyến tối thiểu 03 tháng để sẵn sàng truy cập và sao lưu tối thiểu 01 năm.

Xem nội dung VB
Điều 20. Chế độ báo cáo

Các tổ chức hoạt động thẻ có trách nhiệm gửi báo cáo về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) như sau:

1. Báo cáo định kỳ hàng năm về việc thực hiện các quy định tại Thông tư này:

a) Thời hạn gửi báo cáo trước ngày 15 tháng 11 hàng năm;

b) Hình thức gửi báo cáo và mẫu báo cáo theo hướng dẫn của Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học).

*Khoản này bị bãi bỏ bởi Khoản 4 Điều 1 Thông tư 24/2018/TT-NHNN

Điều 1. Bãi bỏ, sửa đổi, bổ sung quy định về chế độ báo cáo định kỳ
...
4. Bãi bỏ báo cáo định kỳ hàng năm về thực hiện các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng tại Thông tư số 47/2014/TT-NHNN ngày 31 tháng 12 năm 2014 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng (sau đây gọi tắt là Thông tư số 47/2014/TT-NHNN) như sau:

Bãi bỏ khoản 1 Điều 20 Thông tư số 47/2014/TT-NHNN.*

2. Báo cáo đột xuất khi xảy ra vụ việc mất an toàn đối với hệ thống thanh toán thẻ:

a) Thời hạn gửi báo cáo: Trong vòng 10 ngày kể từ ngày vụ việc được phát hiện;

b) Nội dung báo cáo bao gồm: ngày, địa điểm phát sinh vụ việc; nguyên nhân vụ việc; đánh giá rủi ro, ảnh hưởng đối với hệ thống thanh toán thẻ và nghiệp vụ tại nơi xảy ra vụ việc và những địa điểm khác có liên quan;

c) Các biện pháp tổ chức đã tiến hành để ngăn chặn, khắc phục và phòng ngừa rủi ro; kiến nghị, đề xuất.
...

Điều 22. Quy định chuyển tiếp

Tổ chức hoạt động thẻ có các trang thiết bị thanh toán thẻ đã được lắp đặt trước ngày Thông tư này có hiệu lực phải rà soát, xây dựng các phương án xử lý, trong đó, nêu rõ các yêu cầu chưa đáp ứng, biện pháp và thời hạn thực hiện để đáp ứng đầy đủ các yêu cầu tại Thông tư và gửi Ngân hàng Nhà nước (Cục Công nghệ tin học) trước ngày 01/07/2015.

Ngân hàng Nhà nước Việt Nam (Cục Công nghệ tin học) xem xét phương án xử lý, yêu cầu tổ chức hoạt động thẻ sửa đổi, bổ sung phương án xử lý bao gồm cả thời hạn thực hiện (nếu thấy chưa đáp ứng được yêu cầu hoặc chưa đảm bảo tính khả thi) và các biện pháp trong phương án xử lý; giám sát thực hiện phương án xử lý của các tổ chức hoạt động thẻ.

Tổ chức hoạt động thẻ có trách nhiệm thực hiện phương án xử lý, sửa đổi, bổ sung và thực hiện phương án xử lý theo ý kiến của Ngân hàng Nhà nước Việt Nam (nếu có).

Điều 23. Trách nhiệm tổ chức thực hiện

1. Cục Công nghệ tin học có trách nhiệm theo dõi, kiểm tra việc thực hiện Thông tư này và gửi kết quả kiểm tra cho các đơn vị liên quan để xử lý.

2. Cơ quan Thanh tra, giám sát ngân hàng có trách nhiệm thanh tra, giám sát các tổ chức, cá nhân có liên quan trong việc thực hiện Thông tư này và xử lý vi phạm theo quy định của pháp luật.

3. Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương có trách nhiệm kiểm tra, giám sát, xử lý vi phạm theo thẩm quyền đối với hoạt động ATM, POS trên địa bàn theo các quy định tại Thông tư này và gửi kết quả kiểm tra về Ngân hàng Nhà nước Việt Nam (qua Cục Công nghệ tin học).

4. Thủ trưởng các đơn vị liên quan thuộc Ngân hàng Nhà nước Việt Nam; Giám đốc Ngân hàng Nhà nước chi nhánh tỉnh, thành phố trực thuộc Trung ương; Chủ tịch Hội đồng quản trị, Tổng giám đốc (Giám đốc) các tổ chức hoạt động thẻ có trách nhiệm tổ chức thực hiện Thông tư này.

Xem nội dung VB