O que o VPBank e o 9Pay dizem sobre o incidente de segurança cibernética ocorrido no CIC?

Na tarde de 12 de setembro, o Vietnam Prosperity Joint Stock Commercial Bank ( VPBank ) emitiu um comunicado sobre um incidente de segurança cibernética ocorrido no Centro Nacional de Informações de Crédito do Vietnã (CIC).

Anteriormente, o Centro de Resposta a Emergências Cibernéticas do Vietnã (VNCERT) anunciou resultados iniciais que apontavam indícios de violações de dados pessoais.

Segundo o VPBank, o envio de dados para o CIC é realizado pelos bancos, incluindo o VPBank, em conformidade com as normas do Banco Central. O banco afirmou que algumas informações importantes dos clientes não são enviadas para o sistema do CIC, sendo mantidas em sigilo no VPBank.

Esses dados incluem informações de login do sistema bancário eletrônico (nome de usuário, senha, dados biométricos); informações de cartões de débito e crédito (número do cartão, código CVV/CCC).

O comunicado do VPBank afirma que o sistema de e-banking do banco atende a padrões internacionais de segurança, como ISO 27001 e PCI DSS. As transações são protegidas por múltiplas camadas, incluindo autenticação biométrica, OTP e SmartOTP.

Segundo o VPBank, os códigos OTP/SmartOTP são dados de uso único, não são armazenados e só podem ser divulgados caso o cliente os compartilhe diretamente ou o dispositivo seja tomado de posse.

Atualmente, o Departamento de Segurança Cibernética e Prevenção de Crimes de Alta Tecnologia (A05), juntamente com as unidades funcionais do Banco Central e empresas de segurança cibernética, estão coordenando a implementação de medidas técnicas e profissionais para responder, verificar e garantir a segurança do sistema.

O VPBank recomenda que os clientes acompanhem as informações de fontes oficiais, evitem o pânico e fiquem atentos a golpes que se aproveitam do incidente. O banco enfatiza que os criminosos não podem se apropriar diretamente dos ativos decorrentes deste incidente, mas podem usar as informações para disseminar malware e criar cenários falsos.

Portanto, os clientes não devem instalar aplicativos de fontes não oficiais e, em hipótese alguma, fornecer códigos OTP/SmartOTP a ninguém, incluindo pessoas que alegam ser funcionários do banco.

Ainda em relação a este incidente, a 9Pay Company confirmou que não compartilhou nem transmitiu quaisquer dados da 9Pay ou de seus clientes à CIC. Portanto, todas as informações pessoais, dados de cartão e dados de transações dos clientes que utilizam os serviços da 9Pay não foram afetados pelo incidente mencionado.

Esta unidade afirmou que o sistema 9Pay vem aplicando medidas de segurança rigorosas, incluindo: conformidade constante com as leis de proteção de dados e com os padrões PCI DSS para garantir a segurança das informações do cartão, de acordo com as normas do Banco Central; criptografia de todas as informações de pagamento e identificação pessoal; processo de avaliação e revisão periódica trimestral; e avaliação independente anual por organizações internacionais.

Em particular, a 9Pay obteve a certificação PCI DSS nível 1 – o nível mais alto e rigoroso do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), garantindo que todas as transações realizadas por meio do gateway de pagamento da 9Pay estejam em conformidade com os padrões internacionais de segurança. Como uma fintech especializada em plataformas de pagamento digital, a 9Pay atende centenas de milhares de clientes e realiza centenas de milhares de transações diariamente. Consciente da importância da segurança dos dados de pagamento, a 9Pay revisa proativamente todas as atividades de armazenamento, transmissão, proteção e uso de dados pessoais ao longo de todo o processo de operação de seus produtos e serviços.

Fonte: https://www.vietnamplus.vn/vpbank-9pay-noi-gi-ve-su-co-an-ninh-mang-xay-ra-tai-cic-post1061509.vnp