ベトナム国家銀行は、オンラインバンキングシステムはレベル3以上の情報システムセキュリティを確保することが必要であると提案しています。

ベトナム国家銀行（SBV）は、オンラインバンキングサービスの安全性とセキュリティを規制する通達の草案を発表した。

この草案によれば、銀行のオンライン バンキング システムは、情報システム セキュリティをレベル 3 以上で確保し、顧客情報の機密性と完全性を確保し、オンライン バンキング システムのサービスの継続的な可用性を確保するための規制に準拠する必要があります。

顧客取引においては、システムは顧客グループ、取引種別、取引限度額ごとに最低限のリスクレベルを評価する必要があります。その上で、顧客が選択できる適切な取引認証方法を提供します。顧客識別情報の変更時には、多要素認証の適用に関する規制を遵守し、顧客グループ、取引種別、取引限度額ごとに規制に基づいた認証方法を適用します。多段階取引の場合は、最終承認段階で最低限の認証措置を適用する必要があります。

ベトナム国家銀行によると、オンラインバンキングシステムも毎年定期的にセキュリティと機密性の検査と評価を受ける必要がある。さらに、銀行はオンラインバンキングサービスを提供する上で、定期的にリスクを特定し、リスクの原因を特定し、リスクの予防、管理、対処のための対策を迅速に講じる必要がある。

オンラインバンキングサービスに提供される技術インフラ機器については、著作権と明確な出所が保証されている必要があります。銀行は、メーカーの発表に従ってアップグレードおよび交換計画を立て、インフラ機器が新しいソフトウェアバージョンをインストールできることを保証する必要があります。

オンラインバンキングサービスプロバイダーは、アプリケーションファイアウォール、データベースファイアウォール、攻撃や異常な動作に対する集中監視・警告システムなど、最低限のセキュリティシステムを構築する必要があります。さらに、顧客情報はインターネット接続パーティションおよびDMZパーティション（内部ネットワークとインターネット間の中間パーティション）に保存されません。

この草案では、オンラインバンキングサービスプロバイダーに対し、ウェブサイトやオンラインバンキングアプリケーションの変更を検知し、システムの脆弱性や弱点を予防措置によって管理することを義務付けています。さらに、オンラインバンキングシステムへの侵入やネットワーク攻撃を検知・防止するメカニズムを構築し、危険な状況を迅速に防止し、情報を保護します。

脆弱性とシステムの脆弱性のスキャンは、少なくとも年に 1 回、または新しい脆弱性とシステムの弱点に関する情報を受け取ったらすぐに実行する必要があります。