Avbrottstiden för tillhandahållandet av onlinebetalningstjänster får inte överstiga 30 minuter/gång.

Den totala avbrottstiden för tillhandahållandet av alla betaltjänster och onlinebetalningsförmedlingstjänster får inte överstiga 4 timmar/år, avbrottstiden för tjänsten får inte överstiga 30 minuter/gång...

Vietnams statsbank utarbetar ett cirkulär som ändrar och kompletterar ett antal artiklar i cirkulär nr 15/2024/TT-NHNN daterat 28 juni 2024 från guvernören för Vietnams statsbank som reglerar tillhandahållandet av kontantlösa betalningstjänster.

Artikel 19 i cirkulär nr 15/2024/TT-NHNN anger betaltjänstleverantörernas ansvar:

1. Meddela och vägleda kunder till att använda de betaltjänster de tillhandahåller; snabbt svara på eller hantera frågor och klagomål från organisationer och individer som använder betaltjänster inom ramen för sina skyldigheter och befogenheter.

2. Genomför betalningstransaktioner snabbt, säkert och korrekt i enlighet med avtal med organisationer och individer som använder betaltjänster; offentliggör avgifter för betaltjänster.

3. Betaltjänstleverantörer ansvarar för att omedelbart korrigera misstag och fel i betalningstransaktioner i de fall de inte uppfyller kraven för betalningsuppdrag från organisationer och individer som använder betaltjänster; och ansvarar för att samordna med relevanta betaltjänstleverantörer för att återkräva felaktigt överförda eller överöverförda belopp vid utförande av betalningstransaktioner i enlighet med lagstadgade bestämmelser.

4. Betaltjänstleverantörer måste följa lagens bestämmelser om elektroniska transaktioner och om att säkerställa säkerhet, trygghet och riskhantering i bankverksamhet. Utfärda riskhanteringsmekanismer: identifiera risker, klassificera typer av risker som uppstår för varje typ av tjänst som tillhandahålls, säkra och säkerställa integriteten och riktigheten hos datainformation relaterad till transaktioner, ha åtgärder för att bedöma, kontrollera och förebygga risker samt följa lagens bestämmelser.

5. Betaltjänstleverantörer är skyldiga att underrätta och varna kunder för att de ska kunna känna igen och undvika risker vid användning av betaltjänster och för att följa innehållet i det avtal som ingåtts med betaltjänstleverantören; att vägleda organisationer och individer som använder betaltjänster om skyldigheten att självsäkra kontoinformation, andra identifieringsfaktorer och elektroniska medel som används vid betalning, för att undvika att bli utnyttjade, lurade och lurade.

6. Betaltjänstleverantörer måste genomföra åtgärder för att identifiera kunder; kontrollera, upptäcka och rapportera transaktioner av stora belopp, elektroniska penningöverföringar och misstänkta transaktioner till behöriga statliga myndigheter i enlighet med lagen om bekämpning av penningtvätt och andra relevanta lagbestämmelser.

7. Betaltjänstleverantörer ska vara ansvariga för att ersätta skador som orsakats av deras egna fel i enlighet med lagens bestämmelser.

8. Betaltjänstleverantörer ansvarar för att tillämpa åtgärder och lösningar för att säkerställa kontroll och matchning av kundverifieringsinformation under betalningstransaktioner.

9. Betaltjänstleverantörer ska, baserat på bestämmelserna i detta cirkulär och relevanta rättsliga bestämmelser, utfärda interna förfaranden för att tillhandahålla kontantlösa betalningstjänster vid sina enheter och vara juridiskt ansvariga för sina enheters interna förfaranden.

10. Utföra andra ansvarsområden enligt vad som föreskrivs i detta cirkulär och relevanta lagbestämmelser.

Statsbanken uppgav att lagen om kreditinstitut 2024 föreskriver: Klausul 5, artikel 10 - Kreditinstitutens och utländska bankfilialernas ansvar för att skydda kundernas rättigheter: "5. Offentligt tillkännage officiell transaktionstid. Vid stopp av transaktioner på en eller flera transaktionsplatser under officiell transaktionstid eller vid stopp av transaktioner elektroniskt, måste kreditinstitut och utländska bankfilialer, minst 24 timmar före tidpunkten för stopp av transaktioner, publicera information om stopp av transaktioner på transaktionsplatsen eller på kreditinstitutets eller den utländska bankfilialens elektroniska informationssida..."

Artikel 14. Datasäkerhet och säkerställande av kontinuerlig drift: "Kreditinstitut och utländska bankfilialer måste säkerställa informationssystemsäkerhet, datasäkerhet och kontinuerlig drift i enlighet med statsbankschefens föreskrifter och andra relevanta lagbestämmelser".

Lagen om nätverksinformationssäkerhet föreskriver i paragraf 1, artikel 3: "1. Nätverksinformationssäkerhet är skyddet av information och informationssystem i nätverket från obehörig åtkomst, användning, avslöjande, avbrott, ändring eller förstörelse för att säkerställa informationens integritet, sekretess och tillgänglighet".

Cirkulär 41/2024/TT-NHNN föreskriver tillsyn och genomförande av tillsyn över viktiga betalningssystem och tillhandahållande av betalningsförmedlingstjänster enligt klausul 2, artikel 17: "2. Leverantörer av betalningsförmedlingstjänster ansvarar för att omedelbart lämna information till tillsynsenheten efter att en incident upptäckts som orsakar avbrott i mer än 30 minuter av tillhandahållandet av betalningsförmedlingstjänster...".

Cirkulär 50/2024/TT-NHNN anger säkerheten för att tillhandahålla onlinetjänster inom bankbranschen: Artikel 16 anger enhetens (kreditinstitut, utländsk bankfilial, leverantör av betalningsförmedlingstjänster) ansvar för att säkerställa kontinuerlig drift. Klausul 2, artikel 17 anger: Enheten måste informera kunderna om villkoren i avtalet om tillhandahållande och användning av internetbanktjänster, inklusive åtminstone: c) Åtagande att kunna säkerställa kontinuerlig drift av internetbanksystemet, inklusive åtminstone: tidpunkten för tjänsteavbrott vid ett tillfälle, den totala tiden för tjänsteavbrott under ett år, förutom i fall av force majeure eller systemunderhåll och uppgradering som anmälts av enheten.

Cirkulär 09/2020/TT-NHNN daterat 21 oktober 2020 som reglerar informationssystemsäkerhet i bankverksamhet föreskriver: Klausul 4, artikel 5: Informationssystem på nivå 3 är ett informationssystem som uppfyller ett av följande kriterier: b) Informationssystemet betjänar organisationens dagliga interna verksamhet och accepterar inte driftstopp i mer än 4 arbetstimmar från tidpunkten för driftstoppet; c) Informationssystemet betjänar kunder som behöver drift dygnet runt och accepterar inte driftstopp utan föregående planering. Klausul artikel 49: Principer för att säkerställa kontinuerlig drift "1. Organisationen ska implementera följande minimikrav: a) Analysera effekterna och bedöma riskerna för avbrott eller driftstopp i informationssystemet;…".

Dessutom har statsbanken (betalningsavdelningen) nyligen fått feedback från privatpersoner och kunder när: (i) Vissa banker/mellanliggande betalningsapplikationer rapporterade fel som hindrade dem från att logga in i applikationen eller göra transaktioner, särskilt under högtrafik (helgdagar, Tet), vilket orsakade frustration och besvär hos kunderna när de inte kunde skanna QR-koden för betalning, eller när det var nätverksöverbelastning, och kontanttransaktioner avbröts trots att kundens konto hade dragits av men mottagaren ännu inte hade fått pengarna; (ii) Vissa banker gjorde inte ett officiellt tillkännagivande, eller hanterade problemet långsamt, eller utförde systemunderhåll och uppgraderingar utan föregående meddelande.

Enligt statsbanken är det nödvändigt med föreskrifter om maximal avbrottstid för onlinebetalningar/mellanbetalningstjänster för att skydda kundernas rättigheter och stärka tjänsteleverantörernas ansvar på grundval av en balans mellan tekniska krav, implementeringskapacitet och kundfördelar som grund för att lägga till strikta åtgärder och sanktioner för att hantera överträdelser.

De flesta länder föreskriver en maximal driftstoppstid på cirka 4 timmar/år. Vissa EU-länder har strängare krav, till exempel att de anger en maximal driftstoppstid på 15 minuter/incident, kräver att banker har en reservplan och ett reservsystem för att säkerställa tjänstekontinuitet och kräver att organisationer genomför regelbundna kontroller och rapporterar om systemstatus. Sanktioner vid överträdelser: Överträdelser av den maximala driftstopptiden leder till böter eller återkallelse av driftslicenser.

Vissa länder har också liknande regler, såsom: (i) Singapore föreskriver en maximal driftstoppstid på 4 timmar/år . Banker måste genomföra regelbundna kontroller och rapportera om systemstatus. Organisationer måste ha en reservplan och ett reservsystem för att säkerställa tjänstekontinuitet. (ii) Kina föreskriver en maximal driftstoppstid på 4 timmar/år. Organisationer måste genomföra regelbundna kontroller och rapportera om systemstatus.

I utkastet planerar statsbanken att lägga till klausul 2a och klausul 2b, artikel 19 i cirkulär nr 15/2024/TT-NHNN. enligt följande:

2a. Betaltjänstleverantörer och leverantörer av betalningsförmedlingstjänster ansvarar för att genomföra åtgärder för att säkerställa ett smidigt och kontinuerligt tillhandahållande av betaltjänster och betalningsförmedlingstjänster. Den totala avbrottstiden för alla betaltjänster och onlinebetalningsförmedlingstjänster får inte överstiga 4 timmar/år, och avbrottstiden för tillhandahållandet av tjänsten får inte överstiga 30 minuter/gång, förutom i fall av force majeure eller systemunderhåll och uppgraderingar som har anmälts 3 dagar i förväg.

2b. Betaltjänstleverantörer och leverantörer av betalningsförmedlingstjänster är ansvariga för att rapportera till Statsbanken inom 4 timmar efter att ha upptäckt en incident som orsakar ett avbrott på mer än 30 minuter i tillhandahållandet av betaltjänster eller betalningsförmedlingstjänster (inklusive fall av force majeure eller underhåll eller systemuppgraderingar som har anmälts 3 dagar i förväg) i enlighet med bilaga 5 som utfärdats till detta cirkulär. Inom 3 arbetsdagar från dagen för slutförandet av felsökningen är betaltjänstleverantörer och leverantörer av betalningsförmedlingstjänster ansvariga för att skicka en fullständig incidentrapport i enlighet med bilaga 5 som utfärdats till detta cirkulär.

Ange den information som minst krävs för en penningöverföring

Dessutom planerar statsbanken att komplettera klausul 3a och klausul 3b, artikel 19 i cirkulär nr 15/2024/TT-NHNN enligt följande:

3a. Betaltjänstleverantörer ansvarar för att kontrollera och kontrollera lagliga och giltiga betalningsuppdrag, och säkerställer att betalkontonumret och betalkontonamnet i kundens avtal om öppnande och användning av betalkontot visas korrekt vid betalningstransaktioner och visas fullständigt på betalningsdokumenten.

3b. Vid utförande av betalningsauktoriseringstjänster, penningöverföringstjänster via betalkonton eller utan betalkonton, ansvarar den betaltjänstleverantör som betjänar betalaren för att på begäran förse den betaltjänstleverantör som betjänar mottagaren med minimiinformation relaterad till transaktionen, inklusive:

a) Information om betalaren, inklusive: Betalarens namn, betalarens betalkontonummer eller transaktionsreferensnummer (när det inte finns något betalkonto), betalarens permanenta registrerade adress eller identifikationsnummer;

b) Information om mottagaren, inklusive: Mottagarens namn, mottagarens betalkontonummer eller transaktionsreferensnummer (när det inte finns något betalkonto).

Statsbanken förklarade tillägget av innehållet i klausul 3a med skälet: I verkligheten har det förekommit ett antal fall där banker har utnyttjat kunders tillstånd att använda alias och smeknamn (Alias, smeknamn) istället för betalkontonummer och namn för att skapa namn som liknar välrenommerade varumärken för att begå bedrägerier och bryta mot lagen. Dessutom kan användningen av alias och smeknamn i betalningstransaktioner leda till risk för felaktiga penningöverföringar på grund av att kontonummer och kontonamn inte visas fullständigt vid betalningsuppdrag.

Tidigare hade artikel 8 och artikel 11 i cirkulär nr 46/2014/TT-NHNN daterat 31 december 2014 från chefen för statsbanken med vägledning om icke-kontanta betalningstjänster bestämmelser om uppgifter på betalningsdokument. I Vietnams multilaterala bedömningsrapport från 2021 bedömde Asien- Stillahavsgruppen för penningtvätt (APG) Vietnam som "efterlevande" av rekommendationskriterium nr 16.5. Om bestämmelserna om information som åtföljer penningöverföringar tas bort kan det påverka Vietnams efterlevnadsklassificering.

Den tydliga regleringen av minimiinformation som åtföljer penningöverföringstransaktioner och skyldigheten att tillhandahålla ovanstående information uppfyller å ena sidan kraven i APG-rekommendationen och skapar också en rättslig grund för betaltjänstleverantörer som betjänar mottagare att begära att betaltjänstleverantörer tillhandahåller information om avsändaren för att underlätta granskning av information om de parter som deltar i transaktionen.

Ovanstående utkast begärs in för kommentarer på Vietnams statsbanks elektroniska informationsportal.

Visdom

Källa: https://baochinhphu.vn/thoi-gian-gian-doan-cung-ung-dich-vu-thanh-toan-truc-tuyen-khong-vuot-qua-30-phut-lan-102250715171759862.htm