Internet banking là gì? Việc kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking phải đáp ứng yêu cầu tối thiểu nào?

Tôi có câu hỏi là Internet banking là gì? Việc kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking phải đáp ứng yêu cầu tối thiểu nào? Mong nhận được câu trả lời sớm. Câu hỏi của anh Đ.L đến từ Bình Dương.

Internet banking là gì?

Căn cứ tại khoản 1 Điều 2 Thông tư 35/2016/TT-NHNN thì Internet banking hay còn gọi là dịch vụ ngân hàng trên Internet là các dịch vụ ngân hàng và dịch vụ trung gian thanh toán được các đơn vị cung cấp thông qua mạng Internet.

Internet banking

Internet banking là gì? Việc kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking phải đáp ứng yêu cầu tối thiểu nào? (Hình từ Internet)

Việc kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking phải đáp ứng yêu cầu tối thiểu nào?

Căn cứ tại khoản 3 Điều 7 Thông tư 35/2016/TT-NHNN có quy định như sau:

Phần mềm ứng dụng Internet Banking
1. Các yêu cầu an toàn, bảo mật phải được xác định trước và tổ chức, triển khai trong quá trình phát triển phần mềm ứng dụng: phân tích, thiết kế, kiểm thử, vận hành chính thức và bảo trì. Các tài liệu về an toàn, bảo mật của phần mềm phải được hệ thống hóa và lưu trữ, sử dụng theo chế độ “Mật”.
2. Đơn vị phải kiểm soát mã nguồn phần mềm với các yêu cầu tối thiểu:
a) Kiểm tra mã nguồn, nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật;
b) Chỉ định cụ thể các cá nhân quản lý mã nguồn của phần mềm ứng dụng Internet Banking;
c) Việc truy cập tới mã nguồn phải được người có thẩm quyền phê duyệt và được theo dõi, ghi nhật ký;
d) Mã nguồn phải được lưu trữ an toàn tại ít nhất hai địa điểm tách biệt;
đ) Trường hợp không được bàn giao mã nguồn, khi ký hợp đồng hoặc nghiệm thu hợp đồng, đơn vị phải yêu cầu bên cung cấp ký cam kết không có các đoạn mã độc hại trong phần mềm ứng dụng mua ngoài.
3. Đơn vị phải kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking đáp ứng các yêu cầu tối thiểu sau:
a) Lập và phê duyệt kế hoạch, kịch bản thử nghiệm phần mềm ứng dụng Internet Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng;
b) Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào;
c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng chống các kiểu tấn công: Injection (SQL, Xpath, LDAP…), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Brute-Force;
d) Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm;
đ) Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt (ứng dụng web) và phiên bản phần mềm hệ thống của thiết bị di động (ứng dụng mobile); có cơ chế kiểm tra, thông báo cho người dùng chạy ứng dụng trên các trình duyệt, phiên bản phần mềm hệ thống đã được kiểm tra và thử nghiệm an toàn;
e) Việc sử dụng dữ liệu trong quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.
4. Trước khi triển khai phần mềm ứng dụng mới, đơn vị phải đánh giá những rủi ro của quá trình triển khai đối với hoạt động nghiệp vụ, các hệ thống công nghệ thông tin liên quan và lập, triển khai các phương án hạn chế, khắc phục rủi ro.

Như vậy, theo quy định trên thì việc kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking phải đáp ứng yêu cầu tối thiểu như sau:

- Lập và phê duyệt kế hoạch, kịch bản thử nghiệm phần mềm ứng dụng Internet Banking, trong đó nêu rõ các điều kiện về tính an toàn, bảo mật phải được đáp ứng;

- Phát hiện và loại trừ các lỗi, các gian lận có thể xảy ra khi nhập số liệu đầu vào;

- Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng chống các kiểu tấn công: Injection (SQL, Xpath, LDAP…), Cross-site Scripting (XSS), Cross-site Request Forgery (XSRF), Brute-Force;

- Ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong các báo cáo về kiểm tra thử nghiệm;

- Kiểm tra thử nghiệm các tính năng an toàn, bảo mật phải được thực hiện trên các trình duyệt (ứng dụng web) và phiên bản phần mềm hệ thống của thiết bị di động (ứng dụng mobile); có cơ chế kiểm tra, thông báo cho người dùng chạy ứng dụng trên các trình duyệt, phiên bản phần mềm hệ thống đã được kiểm tra và thử nghiệm an toàn;

- Việc sử dụng dữ liệu trong quá trình thử nghiệm phải có biện pháp phòng ngừa tránh bị lợi dụng hoặc gây nhầm lẫn.

Phần mềm ứng dụng Internet Banking trên thiết bị di động có được có tính năng ghi nhớ mã khóa truy cập không?

Căn cứ tại khoản 3 Điều 8 Thông tư 35/2016/TT-NHNN, được sửa đổi bởi khoản 6 Điều 1 Thông tư 35/2018/TT-NHNN có quy định như sau:

Phần mềm ứng dụng trên thiết bị di động
Phần mềm ứng dụng Internet Banking trên thiết bị di động do đơn vị cung cấp phải đảm bảo tuân thủ các quy định tại Điều 7 Thông tư này và các yêu cầu sau:
1. Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm ứng dụng Internet Banking trên thiết bị di động.
2. Phần mềm ứng dụng phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược.
3. Phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự động khóa tạm thời không cho người dùng tiếp tục sử dụng.

Như vậy, theo quy định trên thì phần mềm ứng dụng Internet Banking trên thiết bị di động không được có tính năng ghi nhớ mã khóa truy cập.

Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự động khóa tạm thời không cho người dùng tiếp tục sử dụng.

Dịch vụ internet Banking
Căn cứ pháp lý
MỚI NHẤT
Pháp luật
Hệ thống Internet Banking là gì? Để kiểm soát an ninh và bảo mật, kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua đâu?
Pháp luật
Xác thực hai yếu tố trong hệ thống Internet Banking là gì? Nhân sự vận hành hệ thống Internet Banking phải cập nhật kiến thức an ninh, bảo mật hằng năm?
Pháp luật
Mã OTP có hiệu lực trong bao lâu? Biện pháp xác thực bằng mã OTP khi sử dụng Internet Banking/Mobile Banking?
Pháp luật
Mã otp là gì? Khi sử dụng mã otp để giao dịch Ngân hàng cần lưu ý những gì để tránh rủi ro?
Pháp luật
Internet banking là gì? Việc kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking phải đáp ứng yêu cầu tối thiểu nào?
Pháp luật
Hệ thống Internet Banking có phải là hệ thống thông tin quan trọng không? Trang bị các giải pháp an ninh bảo mật cho hệ thống này gồm những thiết bị nào?
Pháp luật
Nhân viên ngân hàng cần thông báo những thông tin về dịch vụ internet Banking nào cho khách hàng trước khi đăng ký dịch vụ cho khách?
Pháp luật
Tổ chức tín dụng cần phải cung cấp những thông tin nào về dịch vụ internet Banking cho khách hàng trước khi cho khách hàng đăng ký dịch vụ?
Pháp luật
Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?
Pháp luật
Phần mềm ứng dụng internet Banking trên thiết bị di động phải đáp ứng được những điều kiện nào? Ứng dụng internet Banking bắt buộc phải có những tính năng nào?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Dịch vụ internet Banking
668 lượt xem
TÌM KIẾM LIÊN QUAN
Dịch vụ internet Banking

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Dịch vụ internet Banking

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào