Die Staatsbank von Vietnam schlägt vor, dass Online-Banking-Systeme eine Informationssystemsicherheit der Stufe 3 oder höher gewährleisten müssen.

Die State Bank of Vietnam (SBV) hat gerade einen Rundschreibenentwurf zur Regelung der Sicherheit von Online-Banking-Diensten veröffentlicht.

Gemäß diesem Entwurf muss das Online-Banking-System von Banken den Vorschriften zur Gewährleistung der Informationssystemsicherheit der Stufe 3 oder höher entsprechen, die Vertraulichkeit und Integrität der Kundeninformationen gewährleisten sowie die kontinuierliche Verfügbarkeit der Dienste des Online-Banking-Systems sicherstellen.

Bei Kundentransaktionen muss das System das Mindestrisiko für jede Kundengruppe, jeden Transaktionstyp und jedes Transaktionslimit bewerten. Stellen Sie den Kunden anschließend geeignete Methoden zur Transaktionsauthentifizierung zur Auswahl. Beachten Sie die Vorschriften zur Multi-Faktor-Authentifizierung bei der Änderung von Kundenidentifikationsdaten und wenden Sie für jede Kundengruppe, jeden Transaktionstyp und jedes Transaktionslimit die entsprechenden Authentifizierungsmethoden an. Bei mehrstufigen Transaktionen muss im letzten Genehmigungsschritt eine Mindestauthentifizierungsmaßnahme angewendet werden.

Laut der Staatsbank Vietnams müssen Online-Banking-Systeme jährlich auf Sicherheit und Vertraulichkeit geprüft und bewertet werden. Darüber hinaus müssen Banken regelmäßig Risiken identifizieren, deren Ursachen ermitteln und umgehend Maßnahmen zur Risikoprävention, -kontrolle und -bewältigung bei der Bereitstellung von Online-Banking-Diensten ergreifen.

Für die technische Infrastruktur, die für Online-Banking-Dienste bereitgestellt wird, ist ein Urheberrecht und eine eindeutige Herkunft erforderlich. Banken müssen einen Upgrade- und Austauschplan gemäß den Ankündigungen des Herstellers haben, der sicherstellt, dass die Infrastrukturausrüstung neue Softwareversionen installieren kann.

Online-Banking-Anbieter müssen zudem ein Mindestsicherheitssystem einrichten, das Folgendes umfasst: Anwendungs-Firewall, Datenbank-Firewall sowie ein zentrales Überwachungs- und Warnsystem für Angriffe oder ungewöhnliches Verhalten. Darüber hinaus werden Kundeninformationen nicht in der Internetverbindungspartition und der DMZ-Partition (Zwischenpartition zwischen dem internen Netzwerk und dem Internet) gespeichert.

Der Entwurf verpflichtet Online-Banking-Anbieter außerdem dazu, Schwachstellen und Sicherheitslücken im System mit präventiven Maßnahmen zu beheben und Änderungen an der Website und der Online-Banking-Anwendung zu erkennen. Darüber hinaus soll ein Mechanismus zur Erkennung und Verhinderung von Eindringlingen und Netzwerkangriffen auf das Online-Banking-System eingerichtet werden, um Gefahrensituationen frühzeitig zu verhindern und Informationen zu schützen.

Das Scannen auf Schwachstellen und Systemschwachstellen sollte mindestens einmal jährlich oder sobald Informationen über neue Schwachstellen und Systemschwächen eingehen, durchgeführt werden.