Mã khóa bí mật dùng để xác thực truy cập dịch vụ internet Banking phải có độ dài tối thiểu là bao nhiêu ký tự?

Trong việc thiết lập hệ thống internet Banking thì đối với mã khóa bí mật dành cho khách hàng phải thiết lập mã khóa bí mật tối đa bao nhiêu ký tự để cho khách hàng sử dụng? Ngoài ra đối với mã OTP mã khách hàng dùng để xác thực vào hệ thống thì mã có hiệu lực tối đa trong bao nhiêu phút?

Việc cung cấp dịch vụ internet Banking phải đảm bảo nguyên tắc về an toàn, bảo mật hệ thống công nghệ thông tin như thế nào?

Căn cứ Điều 3 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 1 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking như sau:

“Điều 3. Nguyên tắc chung về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ Internet Banking
1. Hệ thống Internet Banking là hệ thống thông tin quan trọng theo quy định của Ngân hàng Nhà nước về an toàn hệ thống thông tin trong hoạt động ngân hàng.
2. Đảm bảo tính bí mật, tính toàn vẹn của thông tin khách hàng; đảm bảo tính sẵn sàng của hệ thống Internet Banking để cung cấp dịch vụ một cách liên tục.
3. Các thông tin giao dịch của khách hàng được đánh giá mức độ rủi ro theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch và trên cơ sở đó cung cấp biện pháp xác thực giao dịch phù hợp cho khách hàng lựa chọn. Biện pháp xác thực giao dịch phải đáp ứng:
a) Áp dụng tối thiểu biện pháp xác thực đa thành tố khi thay đổi thông tin định danh khách hàng;
b) Áp dụng các biện pháp xác thực cho từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch theo quyết định của Thống đốc Ngân hàng Nhà nước trong từng thời kỳ;
c) Đối với giao dịch gồm nhiều bước, phải áp dụng tối thiểu biện pháp xác thực tại bước phê duyệt cuối cùng.
4. Thực hiện kiểm tra, đánh giá an ninh, bảo mật hệ thống Internet Banking theo định kỳ hàng năm.
5. Thường xuyên nhận dạng rủi ro, nguy cơ gây ra rủi ro và xác định nguyên nhân gây ra rủi ro, kịp thời có biện pháp phòng ngừa, kiểm soát và xử lý rủi ro trong cung cấp dịch vụ ngân hàng trên Internet.
6. Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Internet Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.”.

Như vậy, việc cũng cấp dịch vụ internet Banking cho khách hàng phải đảm bảo thực hiện theo nguyên tắc vừa nêu trên.

Mã khóa bí mật dùng để xác thực truy cập dịch vụ internet Banking phải có độ dài tối thiểu là bao nhiêu ký tự?

Mã khóa bí mật dùng để xác thực truy cập dịch vụ internet Banking phải có độ dài tối thiểu là bao nhiêu ký tự?

Mã khóa bí mật dùng để xác thực truy cập dịch vụ internet Banking phải có độ dài tối thiểu là bao nhiêu ký tự?

Căn cứ Điều 9 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 7 và khoản 8 Điều 1 Thông tư 35/2018/TT-NHNN) quy định về xác thực khách hàng truy cập dịch vụ internet banking như sau:

"Điều 9. Xác thực khách hàng truy cập dịch vụ Internet Banking
1. Khách hàng truy cập sử dụng dịch vụ Internet Banking phải được xác thực tối thiểu bằng tên đăng nhập và mã khóa bí mật đáp ứng các yêu cầu sau:
a) Tên đăng nhập phải có độ dài tối thiểu sáu ký tự; không được sử dụng toàn bộ ký tự trùng nhau hoặc liên tục theo thứ tự trong bảng chữ cái, chữ số;
b) Mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt. Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng.
c) Đối với việc truy cập hệ thống Internet Banking bằng trình duyệt, đơn vị phải có biện pháp chống đăng nhập tự động
2. Phần mềm ứng dụng Internet Banking phải có tính năng bắt buộc khách hàng thay đổi mã khóa bí mật ngay lần đăng nhập đầu tiên; khóa tài khoản truy cập trong trường hợp bị nhập sai mã khóa bí mật liên tiếp quá số lần do đơn vị quy định. Đơn vị chỉ mở khóa tài khoản khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện mở khóa tài khoản, bảo đảm chống gian lận, giả mạo.”

Theo quy định pháp luật nêu trên thì mã khóa bí mật phải có độ dài tối thiểu sáu ký tự, bao gồm các ký tự chữ và số, có chứa chữ hoa và chữ thường hoặc các ký tự đặc biệt. Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng.

Mã OTP để khách hàng xác thực vào hệ thống internet Banking có hiệu lực tối đa bao lâu?

Căn cứ Điều 10 Thông tư 35/2016/TT-NHNN (sửa đổi bởi khoản 1 Điều 2 Thông tư 35/2018/TT-NHNN) quy định về yêu cầu đối với các giải pháp xác thực giao dịch như sau:

"Điều 10. Yêu cầu đối với các giải pháp xác thực giao dịch
...
2. Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử:
a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;
b) OTP có hiệu lực tối đa không quá 05 phút.
3. Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP:
a) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;
b) OTP có hiệu lực tối đa không quá 02 phút.
4. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động:
a) Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm tạo OTP;
b) Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động;
c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng sử dụng tiếp;
d) OTP có hiệu lực tối đa không quá 02 phút.
5. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ thiết bị (OTP token): OTP có hiệu lực tối đa không quá 02 phút.
6. Yêu cầu đối với giải pháp xác thực bằng chữ ký số: Đơn vị phải sử dụng chữ ký số và dịch vụ chứng thực chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số hoạt động theo quy định của pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số.
7. Yêu cầu đối với giải pháp xác thực bằng dấu hiệu nhận dạng sinh trắc học: dấu hiệu nhận dạng sinh trắc học phải là dấu hiệu duy nhất gắn với mỗi khách hàng và không thể giả mạo."

Như vậy, khi thiết lập mã OTP cho khách hàng dùng để xác thực vào hệ thống internet Banking thì mã OTP chỉ được phép có hiệu lực tối đa trong 5 phút đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử.

Đối với giải pháp xác thực bằng thẻ ma trận OTP, xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động, OTP token thì OTP có hiệu lực tối đa không quá 02 phút.

Dịch vụ internet Banking
Căn cứ pháp lý
MỚI NHẤT
Pháp luật
Hệ thống Internet Banking là gì? Để kiểm soát an ninh và bảo mật, kết nối từ bên ngoài vào hệ thống Internet Banking phải thông qua đâu?
Pháp luật
Xác thực hai yếu tố trong hệ thống Internet Banking là gì? Nhân sự vận hành hệ thống Internet Banking phải cập nhật kiến thức an ninh, bảo mật hằng năm?
Pháp luật
Mã OTP có hiệu lực trong bao lâu? Biện pháp xác thực bằng mã OTP khi sử dụng Internet Banking/Mobile Banking?
Pháp luật
Mã otp là gì? Khi sử dụng mã otp để giao dịch Ngân hàng cần lưu ý những gì để tránh rủi ro?
Pháp luật
Internet banking là gì? Việc kiểm tra thử nghiệm phần mềm ứng dụng Internet Banking phải đáp ứng yêu cầu tối thiểu nào?
Pháp luật
Hệ thống Internet Banking có phải là hệ thống thông tin quan trọng không? Trang bị các giải pháp an ninh bảo mật cho hệ thống này gồm những thiết bị nào?
Pháp luật
Nhân viên ngân hàng cần thông báo những thông tin về dịch vụ internet Banking nào cho khách hàng trước khi đăng ký dịch vụ cho khách?
Pháp luật
Tổ chức tín dụng cần phải cung cấp những thông tin nào về dịch vụ internet Banking cho khách hàng trước khi cho khách hàng đăng ký dịch vụ?
Pháp luật
Máy tính của các nhân sự quản lý hệ thống internet Banking có được phép truy cập internet hay không?
Pháp luật
Phần mềm ứng dụng internet Banking trên thiết bị di động phải đáp ứng được những điều kiện nào? Ứng dụng internet Banking bắt buộc phải có những tính năng nào?
Đặt câu hỏi

Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.

Đi đến trang Tìm kiếm nội dung Tư vấn pháp luật - Dịch vụ internet Banking
3,840 lượt xem
TÌM KIẾM LIÊN QUAN
Dịch vụ internet Banking

TÌM KIẾM VĂN BẢN
Xem toàn bộ văn bản về Dịch vụ internet Banking

Chủ quản: Công ty THƯ VIỆN PHÁP LUẬT. Giấy phép số: 27/GP-TTĐT, do Sở TTTT TP. HCM cấp ngày 09/05/2019.
Chịu trách nhiệm chính: Ông Bùi Tường Vũ - Số điện thoại liên hệ: 028 3930 3279
Địa chỉ: P.702A , Centre Point, 106 Nguyễn Văn Trỗi, P.8, Q. Phú Nhuận, TP. HCM;
Địa điểm Kinh Doanh: Số 17 Nguyễn Gia Thiều, P. Võ Thị Sáu, Q3, TP. HCM;
Chứng nhận bản quyền tác giả số 416/2021/QTG ngày 18/01/2021, cấp bởi Bộ Văn hoá - Thể thao - Du lịch
Thông báo
Bạn không có thông báo nào