El Banco Estatal de Vietnam propone que los sistemas bancarios en línea deben garantizar la seguridad del sistema de información en el nivel 3 o superior.

El Banco Estatal de Vietnam (SBV) acaba de anunciar un proyecto de Circular que regula la seguridad y protección de los servicios bancarios en línea.

De acuerdo con este proyecto, el sistema de Banca en Línea de los bancos debe cumplir con las regulaciones para garantizar la seguridad del sistema de información de nivel 3 o superior, garantizar la confidencialidad e integridad de la información de los clientes, así como garantizar la disponibilidad continua de los servicios del sistema de Banca en Línea.

Para las transacciones de clientes, el sistema debe evaluar el nivel mínimo de riesgo para cada grupo de clientes, tipo de transacción y límite de transacción. A partir de ahí, proporcionar métodos de autenticación de transacciones adecuados para que los clientes elijan. Cumplir con la normativa sobre la aplicación de la autenticación multifactor al modificar la información de identificación del cliente y aplicar métodos de autenticación para cada grupo de clientes, tipo de transacción y límite de transacción según la normativa. Para las transacciones de varios pasos, se debe aplicar una medida mínima de autenticación en el paso final de aprobación.

Según el Banco Estatal de Vietnam, los sistemas de banca en línea también deben inspeccionarse y evaluarse anualmente para garantizar su seguridad y confidencialidad. Además, los bancos deben identificar periódicamente los riesgos, determinar sus causas y tomar medidas oportunas para prevenirlos, controlarlos y gestionarlos al prestar servicios de banca en línea.

Los equipos de infraestructura técnica que se proporcionan para los servicios de Banca en Línea deben contar con derechos de autor y un origen claro. Los bancos deben contar con un plan de actualización y reemplazo según lo anunciado por el fabricante, garantizando que los equipos de infraestructura sean capaces de instalar nuevas versiones de software.

Los proveedores de servicios de banca en línea también deben implementar un sistema de seguridad mínimo que incluya: firewall de aplicaciones; firewall de bases de datos; y un sistema centralizado de monitoreo y alertas para ataques o comportamiento inusual. Además, la información del cliente no se almacena en la partición de conexión a Internet ni en la partición DMZ (partición intermedia entre la red interna e Internet).

El borrador también exige que los proveedores de servicios de Banca en Línea gestionen las vulnerabilidades y debilidades del sistema con medidas preventivas, detectando cambios en el sitio web y la aplicación de Banca en Línea. A partir de ahí, establezcan un mecanismo para detectar y prevenir intrusiones y ataques de red al sistema de Banca en Línea, a fin de prevenir rápidamente situaciones peligrosas y proteger la información.

El análisis de vulnerabilidades y puntos débiles del sistema debe realizarse al menos una vez al año o tan pronto como se reciba información sobre nuevas vulnerabilidades y debilidades del sistema.