Avbruddstiden for levering av online betalingstjenester skal ikke overstige 30 minutter/gang.

Total avbruddstid for levering av alle betalingstjenester og online betalingsformidlingstjenester skal ikke overstige 4 timer/år, avbruddstiden for tjenesten skal ikke overstige 30 minutter/gang...

Statsbanken i Vietnam utarbeider et rundskriv som endrer og supplerer en rekke artikler i rundskriv nr. 15/2024/TT-NHNN datert 28. juni 2024 fra sentralbanksjefen i Vietnam som regulerer levering av ikke-kontante betalingstjenester.

Artikkel 19 i rundskriv nr. 15/2024/TT-NHNN fastsetter betalingstjenesteleverandørenes ansvar:

1. Varsle og veilede kunder om bruk av betalingstjenestene de tilbyr; raskt svare på eller håndtere spørsmål og klager fra organisasjoner og enkeltpersoner som bruker betalingstjenester innenfor rammen av sine forpliktelser og fullmakter.

2. Gjennomfør betalingstransaksjoner raskt, sikkert og nøyaktig i henhold til avtaler med organisasjoner og enkeltpersoner som bruker betalingstjenester; offentliggjør gebyrer for betalingstjenester.

3. Betalingstjenesteleverandører er ansvarlige for å raskt rette opp feil og mangler i betalingstransaksjoner i tilfeller der de ikke overholder kravene til betalingsordrer for organisasjoner og enkeltpersoner som bruker betalingstjenester, og er ansvarlige for å koordinere med relevante betalingstjenesteleverandører for å inndrive feilaktig overførte eller overførte beløp når de utfører betalingstransaksjoner i samsvar med lovbestemmelsene.

4. Betalingstjenesteleverandører må overholde lovbestemmelsene om elektroniske transaksjoner og om å sikre sikkerhet, trygghet og risikostyring i bankvirksomhet. Utstede risikostyringsmekanismer: identifisere risikoer, klassifisere typer risikoer som oppstår for hver type tjeneste som leveres, sikre og sørge for integriteten og nøyaktigheten til datainformasjon knyttet til transaksjoner, ha tiltak for å vurdere, kontrollere og forebygge risikoer og overholde lovbestemmelsene.

5. Betalingstjenesteleverandører plikter å varsle og advare kunder om å gjenkjenne og unngå risikoer ved bruk av betalingstjenester og å overholde innholdet i avtalen som er inngått med betalingstjenesteleverandøren; å veilede organisasjoner og enkeltpersoner som bruker betalingstjenester om plikten til å sikre kontoinformasjon, andre identifikasjonsfaktorer og elektroniske midler som brukes i betaling, for å unngå å bli utnyttet, svindlet og lurt.

6. Betalingstjenesteleverandører må iverksette tiltak for å identifisere kunder; kontrollere, oppdage og rapportere transaksjoner av store beløp, elektroniske pengeoverføringer og mistenkelige transaksjoner til kompetente statlige etater i samsvar med loven om bekjempelse av hvitvasking av penger og andre relevante lovbestemmelser.

7. Betalingstjenesteleverandører må være ansvarlige for å kompensere for skader forårsaket av deres egne feil i henhold til lovens bestemmelser.

8. Betalingstjenesteleverandører er ansvarlige for å iverksette tiltak og løsninger for å sikre kontroll og samsvar av kundeverifiseringsinformasjon under betalingstransaksjoner.

9. Betalingstjenesteleverandører skal, basert på bestemmelsene i dette rundskrivet og relevante lovbestemmelser, utstede interne prosedyrer for å tilby ikke-kontante betalingstjenester ved sine enheter og være juridisk ansvarlige for enhetenes interne prosedyrer.

10. Utføre andre oppgaver som foreskrevet i dette rundskrivet og relevante lovbestemmelser.

Statsbanken uttalte at loven om kredittinstitusjoner 2024 fastsetter: Klausul 5, artikkel 10 - Kredittinstitusjoners og utenlandske bankfilialers ansvar for å beskytte kundenes rettigheter: "5. Offentlig kunngjøre offisielt transaksjonstidspunkt. Ved stopp av transaksjoner på ett eller flere transaksjonssteder i løpet av offisielt transaksjonstidspunkt eller stopp av transaksjoner elektronisk, må kredittinstitusjoner og utenlandske bankfilialer legge ut informasjon om suspensjonen av transaksjoner på transaksjonsstedet eller på den elektroniske informasjonssiden til kredittinstitusjonen eller den utenlandske bankfilialen minst 24 timer før tidspunktet for stopping av transaksjoner ..."

Artikkel 14. Datasikkerhet og kontinuerlig drift: «Kredittinstitusjoner og utenlandske bankfilialer må sørge for informasjonssystemsikkerhet, datasikkerhet og kontinuerlig drift i samsvar med forskrifter fra sentralbanksjefen og andre relevante lovbestemmelser.»

Loven om nettverksinformasjonssikkerhet fastsetter i paragraf 1, artikkel 3: «1. Nettverksinformasjonssikkerhet er beskyttelse av informasjon og informasjonssystemer på nettverket mot uautorisert tilgang, bruk, avsløring, avbrudd, endring eller ødeleggelse for å sikre integriteten, konfidensialiteten og tilgjengeligheten til informasjon».

Rundskriv 41/2024/TT-NHNN fastsetter tilsyn og implementering av tilsyn med viktige betalingssystemer og betalingsformidlingstjenester som foreskrevet i punkt 2, artikkel 17: «2. Leverandører av betalingsformidlingstjenester er ansvarlige for å gi informasjon til tilsynsenheten umiddelbart etter at en hendelse som forårsaker avbrudd i mer enn 30 minutter av betalingsformidlingstjenester oppdages...».

Rundskriv 50/2024/TT-NHNN fastsetter sikkerheten ved levering av nettbaserte tjenester i banknæringen: Artikkel 16 fastsetter enhetens (kredittinstitusjon, utenlandsk bankfilial, leverandør av betalingsformidlingstjenester) ansvar for å sikre kontinuerlig drift. Punkt 2, artikkel 17 fastsetter: Enheten må informere kundene om vilkårene i avtalen om levering og bruk av nettbanktjenester, inkludert minst: c) Forpliktelse til å kunne sikre kontinuerlig drift av nettbanksystemet, inkludert minst: tidspunktet for tjenesteavbrudd på et tidspunkt, den totale tiden for tjenesteavbrudd i løpet av ett år, unntatt i tilfeller av force majeure eller systemvedlikehold og oppgradering som varslet av enheten.

Rundskriv 09/2020/TT-NHNN datert 21. oktober 2020 som regulerer informasjonssystemsikkerhet i bankvirksomhet, fastsetter: Punkt 4, artikkel 5: Informasjonssystem på nivå 3 er et informasjonssystem som oppfyller ett av følgende kriterier: b) Informasjonssystemet betjener organisasjonens daglige interne drift og godtar ikke nedetid i mer enn 4 arbeidstimer fra nedetidspunktet; c) Informasjonssystemet betjener kunder som trenger døgnåpen drift og godtar ikke nedetid uten forhåndsplanlegging. Punkt artikkel 49: Prinsipper for å sikre kontinuerlig drift "1. Organisasjonen skal implementere følgende minimumskrav: a) Analysere virkningen og vurdere risikoen for avbrudd eller nedetid i informasjonssystemet;...".

I tillegg har Statsbanken (betalingsavdelingen) nylig mottatt tilbakemeldinger fra folk og kunder når: (i) Noen banker/formidlerbetalingsapplikasjoner rapporterte feil som hindret dem i å logge inn i applikasjonen eller utføre transaksjoner, spesielt i perioder med høy trafikk (helligdager, Tet), noe som førte til frustrasjon og ulempe for kundene når de ikke kunne skanne QR-koden for betaling, eller det var nettverksbelastning, og kontanttransaksjoner ble suspendert selv om kundens konto var blitt trukket, men mottakeren ennå ikke hadde mottatt pengene; (ii) Noen banker ikke kom med en offisiell kunngjøring, eller håndterte problemet tregt, eller utførte systemvedlikehold og oppgraderinger uten forvarsel.

Ifølge Statsbanken er det nødvendig med forskrifter om maksimal avbruddstid for online betalinger/formidlingstjenester for å beskytte kundenes rettigheter og styrke tjenesteleverandørenes ansvar basert på en balanse mellom tekniske krav, implementeringsmuligheter og kundefordeler som grunnlag for å legge til strenge tiltak og sanksjoner for å håndtere brudd.

De fleste land fastsetter en maksimal nedetid på omtrent 4 timer/år. Noen EU-land har strengere krav, for eksempel spesifisering av maksimal nedetid på 15 minutter/hendelse, krav om at banker har en backupplan og et backupsystem for å sikre tjenestekontinuitet, og krav om at organisasjoner gjennomfører periodiske kontroller og rapporterer om systemstatus. Sanksjoner ved brudd: Brudd på maksimal nedetid vil føre til bøter eller tilbakekalling av driftslisenser.

Noen land har også lignende forskrifter, som for eksempel: (i) Singapore fastsetter en maksimal nedetid på 4 timer/år . Banker må utføre periodiske kontroller og rapportere om systemstatus. Organisasjoner må ha en backupplan og et backupsystem for å sikre tjenestekontinuitet. (ii) Kina fastsetter en maksimal nedetid på 4 timer/år. Organisasjoner må utføre periodiske kontroller og rapportere om systemstatus.

I utkastet planlegger statsbanken å legge til klausul 2a og klausul 2b, artikkel 19 i rundskriv nr. 15/2024/TT-NHNN. som følger:

2a. Betalingstjenesteleverandører og betalingsformidlingstjenester er ansvarlige for å iverksette tiltak for å sikre smidig og kontinuerlig levering av betalingstjenester og betalingsformidlingstjenester. Den totale avbruddstiden for alle betalingstjenester og online betalingsformidlingstjenester skal ikke overstige 4 timer/år, og avbruddstiden for tjenesteleveringen skal ikke overstige 30 minutter/gang, unntatt i tilfeller av force majeure eller systemvedlikehold og oppgraderinger som er varslet 3 dager i forveien.

2b. Betalingstjenesteleverandører og betalingsformidlere er ansvarlige for å rapportere til Statsbanken innen 4 timer etter at de oppdager en hendelse som forårsaker en forstyrrelse på mer enn 30 minutter i leveringen av betalingstjenester eller betalingsformidlertjenester (inkludert tilfeller av force majeure eller vedlikehold eller systemoppgraderinger som er varslet 3 dager i forveien) i henhold til tillegg 5 utstedt til dette rundskrivet. Innen 3 virkedager fra datoen for fullføring av feilsøking er betalingstjenesteleverandører og betalingsformidlere ansvarlige for å sende en fullstendig hendelsesrapport i henhold til tillegg 5 utstedt til dette rundskrivet.

Spesifiser minimumsinformasjonen som kreves for en pengeoverføringstransaksjon

I tillegg planlegger statsbanken å supplere klausul 3a og klausul 3b, artikkel 19 i rundskriv nr. 15/2024/TT-NHNN som følger:

3a. Betalingstjenesteleverandører er ansvarlige for å kontrollere lovlige og gyldige betalingsordrer, og sørge for at betalingskontonummeret og betalingskontonavnet i kundens avtale om åpning og bruk av betalingskonto vises korrekt ved betalingstransaksjoner og vises fullt ut på betalingsdokumenter.

3b. Ved utførelse av betalingsautorisasjonstjenester, pengeoverføringstjenester via betalingskontoer eller uten betalingskontoer, er betalingstjenesteleverandøren som betjener betaleren ansvarlig for å gi betalingstjenesteleverandøren som betjener mottakeren, på forespørsel, minimumsinformasjon knyttet til transaksjonen, inkludert:

a) Informasjon om betaler, inkludert: Betalerens navn, betalerens betalingskontonummer eller transaksjonsreferansenummer (når det ikke finnes en betalingskonto), betalerens permanente registrerte adresse eller identifikasjonsnummer;

b) Informasjon om mottaker, inkludert: Navn på mottaker, mottakerens betalingskontonummer eller transaksjonsreferansenummer (når det ikke finnes en betalingskonto).

Statsbanken forklarte tillegget av innholdet i paragraf 3a med begrunnelsen: I realiteten har det vært en rekke tilfeller der banker har utnyttet kundenes tillatelse til å bruke alias og kallenavn (Alias, kallenavn) i stedet for kontonummer og navn for å lage navn som ligner på anerkjente merkevarer for å begå svindel og bryte loven. I tillegg kan bruk av alias og kallenavn i betalingstransaksjoner føre til risiko for feilaktige pengeoverføringer på grunn av at kontonummer og kontonavn ikke vises fullt ut ved betalingsoppdrag.

Tidligere hadde artikkel 8 og artikkel 11 i rundskriv nr. 46/2014/TT-NHNN datert 31. desember 2014 fra sentralbanksjefens veiledning om ikke-kontante betalingstjenester forskrifter om elementer på betalingsdokumenter. I den multilaterale vurderingsrapporten for Vietnam fra 2021 vurderte Asia -Pacific Group on Money Laundering (APG) Vietnam som «samsvarende» med anbefalingskriterium nr. 16.5. Hvis forskriftene om informasjon som følger med pengeoverføringstransaksjoner fjernes, kan det påvirke Vietnams samsvarsvurdering.

Den klare reguleringen av minimumsinformasjon som følger med pengeoverføringstransaksjonen og ansvaret for å gi ovennevnte informasjon oppfyller på den ene siden kravene i APG-anbefalingen, og skaper også et juridisk grunnlag for at betalingstjenesteleverandører som betjener mottakere kan be betalingstjenesteleverandører om å gi informasjon om avsenderen for å hjelpe prosessen med å gjennomgå informasjonen til partene som deltar i transaksjonen.

Utkastet ovenfor blir innhentet for kommentarer på den elektroniske informasjonsportalen til Vietnams statsbank.

Visdom

Kilde: https://baochinhphu.vn/thoi-gian-gian-doan-cung-ung-dich-vu-thanh-toan-truc-tuyen-khong-vuot-qua-30-phut-lan-102250715171759862.htm