مبادئ ضمان سلامة وأمان النظام لتقديم الخدمات المصرفية عبر الإنترنت

وبحسب المشروع، يجب أن يتوافق نظام الخدمات المصرفية عبر الإنترنت مع اللوائح المتعلقة بضمان أمن نظام المعلومات على المستوى 3 أو أعلى وفقًا لقانون ضمان أمن نظام المعلومات على كل مستوى ولوائح بنك الدولة بشأن أمن نظام المعلومات في الأنشطة المصرفية.

ضمان سرية وسلامة معلومات العملاء، والتأكد من توافر نظام الخدمات المصرفية عبر الإنترنت لتقديم الخدمات بشكل مستمر.

يتم تقييم معاملات العملاء فيما يتعلق بمستويات المخاطر الدنيا وفقًا لكل مجموعة عملاء ونوع المعاملة وحد المعاملة (إن وجد) وعلى هذا الأساس، يتم توفير طرق مصادقة المعاملات المناسبة للعملاء للاختيار من بينها، والامتثال للوائح: تطبيق المصادقة متعددة العوامل عند تغيير معلومات تعريف العميل؛ تطبيق طرق المصادقة لكل مجموعة عملاء ونوع معاملة وحد المعاملة وفقًا للوائح؛ بالنسبة للمعاملات متعددة الخطوات، يجب تطبيق مقياس مصادقة واحد على الأقل في خطوة الموافقة النهائية.

إجراء فحوصات وتقييمات أمنية سنوية لنظام الخدمات المصرفية عبر الإنترنت.

تحديد المخاطر والمخاطر المحتملة بشكل دوري وتحديد أسباب المخاطر واتخاذ التدابير اللازمة على الفور لمنع المخاطر والسيطرة عليها ومعالجتها عند تقديم الخدمات المصرفية على الإنترنت.

يجب أن تتمتع معدات البنية التحتية لتكنولوجيا المعلومات التي تُقدم خدمات الخدمات المصرفية عبر الإنترنت بحقوق الطبع والنشر، وأن يكون مصدرها ومنشأها واضحين. بالنسبة للمعدات التي تقترب من نهاية دورة حياتها ولن تدعمها الشركة المصنعة، يجب أن تكون الوحدة مزودة بخطة ترقية واستبدال وفقًا لإعلان الشركة المصنعة، مع ضمان قدرة معدات البنية التحتية على تثبيت إصدارات برامج جديدة.

يحتوي على جدران حماية وأنظمة مراقبة وتنبيهات للسلوك غير المعتاد

يجب على الوحدة إنشاء شبكة ونظام اتصالات وأمان يلبي الحد الأدنى من المتطلبات التالية:

هناك حلول أمنية بسيطة تتضمن: جدار حماية التطبيقات، وجدار حماية قواعد البيانات، ونظام مراقبة مركزي وتحذير من الهجمات أو السلوك غير المعتاد.

لا يتم تخزين معلومات العميل في قسم اتصال الإنترنت وقسم DMZ (القسم الوسيط بين الشبكة الداخلية والإنترنت).

إعداد سياسة للحد من الخدمات والبوابات المتصلة بنظام الخدمات المصرفية عبر الإنترنت.

يتم إجراء الاتصالات من خارج الشبكة الداخلية بنظام الخدمات المصرفية عبر الإنترنت لأغراض الإدارة فقط في الحالات التي لا يمكن فيها الاتصال من الشبكة الداخلية وضمان السلامة، والامتثال للوائح التالية على الأقل: يجب الموافقة عليها من قبل شخص مخول بعد مراجعة الغرض وطريقة الاتصال؛ يجب أن يكون لديك خطة لإدارة الوصول، وإدارة النظام عن بعد الآمنة مثل استخدام شبكة خاصة افتراضية أو ما يعادلها؛ يجب تثبيت برنامج أمان على الأجهزة المتصلة؛ يجب استخدام تدابير المصادقة متعددة العوامل عند تسجيل الدخول إلى النظام؛ استخدام بروتوكولات الاتصال المشفرة الآمنة وعدم تخزين المفاتيح السرية في برامج المرافق.

يجب أن يضمن اتصال شبكة الخدمة توفرًا عاليًا وتوفير الخدمة بشكل مستمر.

إنشاء آلية للكشف عن عمليات الاختراق والهجمات على الشبكة على النظام ومنعها

وينص المشروع أيضًا بشكل واضح على أن الوحدة يجب أن تدير نقاط الضعف والثغرات في نظام الخدمات المصرفية عبر الإنترنت بالمحتويات الأساسية التالية:

إتخاذ التدابير اللازمة لمنع واكتشاف ورصد التغييرات التي تطرأ على موقع الويب وبرامج تطبيق الخدمات المصرفية عبر الإنترنت.

إنشاء آلية للكشف عن عمليات الاختراق والهجمات الشبكية على نظام الخدمات المصرفية عبر الإنترنت ومنعها.

التنسيق مع وحدات إدارة الدولة وشركاء تكنولوجيا المعلومات لفهم الحوادث ومواقف فقدان الأمن والسلامة للمعلومات على الفور لاتخاذ التدابير الوقائية في الوقت المناسب.

تحديث المعلومات المتعلقة بالثغرات الأمنية المنشورة المتعلقة ببرامج النظام وأنظمة إدارة قواعد البيانات وبرامج التطبيقات وفقًا للمعلومات الواردة من نظام تسجيل الثغرات الأمنية المشترك.

ابحث عن نقاط الضعف والثغرات في نظام الخدمات المصرفية الإلكترونية مرة واحدة على الأقل سنويًا أو عند تلقي معلومات تتعلق بنقاط ضعف وثغرات جديدة. قيّم تأثير ومخاطر كل ثغرة أو نقطة ضعف تقنية مُكتشفة في النظام، واقترح حلولًا وخططًا لمعالجتها.

تنفيذ تحديثات تصحيح الأمان أو التدابير الوقائية في الوقت المناسب استنادًا إلى تقييم التأثير والمخاطر.

baochinhphu.vn

مصدر