Co VPBank i 9Pay mówią o incydencie cyberbezpieczeństwa, który miał miejsce w CIC?

Po południu 12 września Vietnam Prosperity Joint Stock Commercial Bank ( VPBank ) wydał powiadomienie o incydencie cyberbezpieczeństwa, który miał miejsce w Wietnamskim Narodowym Centrum Informacji Kredytowej (CIC).

Wcześniej Wietnamskie Centrum Reagowania na Cyberzagrożenia (VNCERT) ogłosiło wstępne wyniki, które wykazały oznaki naruszenia danych osobowych.

Według VPBank, raportowanie danych do CIC jest realizowane przez banki, w tym VPBank, zgodnie z przepisami Banku Państwowego. Bank potwierdził, że niektóre ważne informacje o klientach nie są przesyłane do systemu CIC, lecz są traktowane jako poufne w VPBank.

Dane te obejmują dane logowania do systemu bankowości elektronicznej (nazwa użytkownika, hasło, dane biometryczne); informacje o kartach debetowych i kredytowych (numer karty, kod CVV/CCC).

W ogłoszeniu VPBanku podano, że system bankowości elektronicznej banku spełnia międzynarodowe standardy bezpieczeństwa, takie jak ISO 27001 i PCI DSS. Transakcje są chronione na wielu poziomach, w tym uwierzytelnianiem biometrycznym, OTP i SmartOTP.

Według VPBank kody OTP/SmartOTP to jednorazowe dane, które nie są przechowywane i mogą zostać ujawnione wyłącznie w przypadku, gdy klient udostępni je bezpośrednio lub urządzenie zostanie przejęte.

Obecnie Departament Cyberbezpieczeństwa i Zapobiegania Przestępczości z Wykorzystaniem Technologii Wysokich Tempo (A05) wspólnie z jednostkami funkcyjnymi Banku Państwowego i przedsiębiorstwami cyberbezpieczeństwa koordynuje działania mające na celu wdrożenie technicznych i profesjonalnych środków reagowania, weryfikacji i zapewnienia bezpieczeństwa systemów.

VPBank zaleca klientom śledzenie informacji z oficjalnych źródeł, unikanie paniki i czujność na oszustwa wykorzystujące incydent. Bank podkreśla, że ​​przestępcy nie mogą bezpośrednio przywłaszczyć sobie aktywów pochodzących z tego incydentu, ale mogą wykorzystać te informacje do rozprzestrzeniania złośliwego oprogramowania i tworzenia fałszywych scenariuszy.

W związku z tym klienci nie powinni instalować aplikacji pochodzących z nieoficjalnych źródeł i absolutnie nie powinni udostępniać kodów OTP/SmartOTP nikomu, w tym osobom podającym się za pracowników banku.

W związku z tym incydentem firma 9Pay potwierdziła również, że nie udostępniała ani nie przekazywała żadnych danych 9Pay ani klientów 9Pay do CIC. W związku z tym, wszystkie dane osobowe, dane kart i dane transakcyjne klientów korzystających z usług 9Pay nie zostały naruszone przez powyższy incydent.

Jednostka ta potwierdziła, że ​​system 9Pay stosuje rygorystyczne środki bezpieczeństwa, w tym: ciągłe przestrzeganie przepisów o ochronie danych osobowych i standardów PCI DSS w celu zagwarantowania bezpieczeństwa informacji o kartach zgodnie z regulacjami Banku Państwowego; szyfrowanie wszystkich informacji o płatnościach i identyfikacji osobistej; kwartalny proces okresowej oceny i przeglądu; coroczna niezależna ocena przez organizacje międzynarodowe.

W szczególności, 9Pay uzyskał certyfikat PCI DSS poziomu 1 – najwyższy i najbardziej rygorystyczny poziom standardu bezpieczeństwa danych branży kart płatniczych (Payment Card Industry Data Security Standard), gwarantujący zgodność wszystkich transakcji za pośrednictwem bramki płatniczej 9Pay z międzynarodowymi standardami bezpieczeństwa. Jako firma fintech specjalizująca się w cyfrowych platformach płatniczych, 9Pay obsługuje setki tysięcy klientów i transakcji każdego dnia. Świadoma wagi bezpieczeństwa danych płatniczych, 9Pay zawsze proaktywnie weryfikuje wszystkie działania związane z przechowywaniem, przesyłaniem, ochroną i wykorzystywaniem danych osobowych w całym procesie obsługi produktów i usług.

Źródło: https://www.vietnamplus.vn/vpbank-9pay-noi-gi-ve-su-co-an-ninh-mang-xay-ra-tai-cic-post1061509.vnp