Mã khóa bí mật dùng để xác thực truy cập dịch vụ internet Banking phải có độ dài tối thiểu là bao nhiêu ký tự?

Nội dung chính

• Việc cung cấp dịch vụ internet Banking phải đảm bảo nguyên tắc về an toàn, bảo mật hệ thống công nghệ thông tin như thế nào?
• Mã khóa bí mật dùng để xác thực truy cập dịch vụ internet Banking phải có độ dài tối thiểu là bao nhiêu ký tự?
• Mã OTP để khách hàng xác thực vào hệ thống internet Banking có hiệu lực tối đa bao lâu?

Việc cung cấp dịch vụ internet Banking phải đảm bảo nguyên tắc về an toàn, bảo mật hệ thống công nghệ thông tin như thế nào?

Căn cứ Điều 3 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 1 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking như sau:

“Điều 3. Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking

1. Hệ thống Internet Banking là hệ thống thông tin quan trọng theo quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.

2. Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.

3. Các thông tin giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn. Biện pháp xác thực giao dịch phải đáp ứng:

a) Áp dụng tối thiểu biện pháp xác thực đa thành tố khi thay đổi thông tin định danh khách hàng;

b) Áp dụng các biện pháp xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quyết định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ;

c) Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.

4. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.

5. Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.

6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.”.

Như vậy, việc cũng cấp dịch vụ internet Banking cho khách hàng phải đảm bảo thực hiện theo nguyên tắc vừa nêu trên.

Mã khóa bí mật dùng để xác thực truy cập dịch vụ internet Banking phải có độ dài tối thiểu là bao nhiêu ký tự?

Mã khóa bí mật dùng để xác thực truy cập dịch vụ internet Banking phải có độ dài tối thiểu là bao nhiêu ký tự?

Căn cứ Điều 9 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 7 và khoản 8 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về xác thực khách hàng truy cập dịch vụ internet banking như sau:

"Điều 9. Xác thực khách hàng truy cập dịch vụ Internet Banking

1. Khách hàng truy cập sử dụng dịch vụ Internet Banking phải được xác thực tối thiểu bằng tên đăng nhập và mã khóa bí mật đáp ứng các yêu cầu sau:

a) Tên đăng nhập phải có độ dài tối thiểu sáu ký tự; không được sử dụng toàn bộ ký tự trùng nhau hoặc liên tục theo thứ tự trong bảng chữ cái, chữ số;

b) Mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt. Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng.

c) Đối với việc truy cập hệ thống Internet Banking bằng trình duyệt, đơn vị phải có biện pháp chống đăng nhập tự động

2. Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo.”

Theo quy định pháp luật nêu trên thì mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt. Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng.

Mã OTP để khách hàng xác thực vào hệ thống internet Banking có hiệu lực tối đa bao lâu?

Căn cứ Điều 10 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 1 Điều 2 Thông tư 35/2018/TT-NHNN) quy định về yêu cầu đối với các giải pháp xác thực giao dịch như sau:

"Điều 10. Yêu cầu đối với các giải pháp xác thực giao dịch

...

2. Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử:

a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;

b) OTP có hiệu lực tối đa không quá 05 phút.

3. Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP:

a) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

b) OTP có hiệu lực tối đa không quá 02 phút.

4. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động:

a) Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm tạo OTP;

b) Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động;

c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng sử dụng tiếp;

d) OTP có hiệu lực tối đa không quá 02 phút.

5. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ thiết bị (OTP token): OTP có hiệu lực tối đa không quá 02 phút.

6. Yêu cầu đối với giải pháp xác thực bằng chữ ký số: Đơn vị phải sử dụng chữ ký số và dịch vụ chứng thực chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số hoạt động theo quy định của pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số.

7. Yêu cầu đối với giải pháp xác thực bằng dấu hiệu nhận dạng sinh trắc học: dấu hiệu nhận dạng sinh trắc học phải là dấu hiệu duy nhất gắn với mỗi khách hàng và không thể giả mạo."

Như vậy, khi thiết lập mã OTP cho khách hàng dùng để xác thực vào hệ thống internet Banking thì mã OTP chỉ được phép có hiệu lực tối đa trong 5 phút đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử.

Đối với giải pháp xác thực bằng thẻ ma trận OTP, xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động, OTP token thì OTP có hiệu lực tối đa không quá 02 phút.