Mit mond a VPBank és a 9Pay a CIC-nél történt kiberbiztonsági incidensről?

Szeptember 12-én délután a Vietnam Prosperity Joint Stock Commercial Bank ( VPBank ) közleményt adott ki a Vietnami Nemzeti Hitelinformációs Központban (CIC) történt kiberbiztonsági incidenssel kapcsolatban.

Korábban a vietnami kiberbiztonsági központ (VNCERT) bejelentette a személyes adatok megsértésére utaló kezdeti eredményeket.

A VPBank szerint a bankok, köztük a VPBank is, az állami bank előírásainak megfelelően jelentik a CIC-nek az adatokat. A bank megerősítette, hogy bizonyos fontos ügyféladatokat nem küldenek a CIC rendszerbe, hanem a VPBank bizalmasan kezeli azokat.

Ezek az adatok magukban foglalják az elektronikus banki rendszer bejelentkezési adatait (felhasználónév, jelszó, biometrikus adatok); bankkártya- és hitelkártya-adatokat (kártyaszám, CVV/CCC kód).

A VPBank bejelentése szerint a bank e-banki rendszere megfelel olyan nemzetközi biztonsági szabványoknak, mint az ISO 27001 és a PCI DSS. A tranzakciókat több réteg védi, beleértve a biometrikus hitelesítést, az OTP-t és a SmartOTP-t.

A VPBank szerint az OTP/SmartOTP kódok egyszer használatos adatok, nem tárolódnak, és csak akkor hozhatók nyilvánosságra, ha az ügyfél közvetlenül megosztja azokat, vagy ha az eszközt átveszik.

Jelenleg a Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési Osztály (A05) az Állami Bank funkcionális egységeivel és a kiberbiztonsági vállalatokkal együttműködve koordinálja a technikai és szakmai intézkedések bevezetését a reagálás, az ellenőrzés és a rendszerbiztonság biztosítása érdekében.

A VPBank azt javasolja ügyfeleinek, hogy kövessék a hivatalos forrásokból származó információkat, kerüljék a pánikot, és legyenek óvatosak az incidenst kihasználó csalásokkal szemben. A bank hangsúlyozza, hogy a bűnözők nem sajátíthatnak ki közvetlenül vagyont az incidensből, de az információkat felhasználhatják rosszindulatú programok terjesztésére és hamis forgatókönyvek létrehozására.

Ezért az ügyfeleknek nem szabad nem hivatalos forrásokból származó alkalmazásokat telepíteniük, és semmilyen körülmények között ne adjanak meg OTP/SmartOTP kódokat senkinek, beleértve azokat is, akik banki alkalmazottnak vallják magukat.

Az incidenssel kapcsolatban a 9Pay Company megerősítette, hogy nem osztotta meg és nem továbbította a 9Pay és a 9Pay ügyfeleinek adatait a CIC-nek. Ezért a 9Pay szolgáltatásokat használó ügyfelek személyes adatait, kártyaadatait és tranzakciós adatait nem érintette a fenti incidens.

Ez az egység megerősítette, hogy a 9Pay rendszer szigorú biztonsági intézkedéseket alkalmaz, beleértve: az adatvédelmi törvények betartását és a PCI DSS szabványok alkalmazását a kártyaadatok biztonságának garantálása érdekében az Állami Bank előírásainak megfelelően; az összes fizetési információ és személyazonosító adat titkosítását; negyedéves időszakos értékelési és felülvizsgálati folyamatot; valamint nemzetközi szervezetek általi független értékelést minden évben.

A 9Pay megkapta a PCI DSS 1. szintű tanúsítványt – a fizetési kártya iparági adatbiztonsági szabvány legmagasabb és legszigorúbb szintjét –, amely biztosítja, hogy a 9Pay fizetési átjárón keresztül végrehajtott összes tranzakció megfeleljen a nemzetközi biztonsági szabványoknak. Digitális fizetési platformokra szakosodott fintech vállalatként a 9Pay naponta több százezer ügyfelet és tranzakciót szolgál ki. A fizetési adatok biztonságának fontosságát szem előtt tartva a 9Pay mindig proaktívan felülvizsgálja a személyes adatok tárolásával, továbbításával, védelmével és felhasználásával kapcsolatos összes tevékenységet a termékek és szolgáltatások működtetése során.

Forrás: https://www.vietnamplus.vn/vpbank-9pay-noi-gi-ve-su-co-an-ninh-mang-xay-ra-tai-cic-post1061509.vnp