Що кажуть VPBank та 9Pay про інцидент із кібербезпекою, який стався в CIC?

У другій половині дня 12 вересня Акціонерний комерційний банк процвітання В'єтнаму ( VPBank ) опублікував повідомлення щодо інциденту кібербезпеки, який стався у В'єтнамському національному центрі кредитної інформації (CIC).

Раніше В'єтнамський центр реагування на кібернетичні надзвичайні ситуації (VNCERT) оголосив про перші результати, що свідчать про ознаки витоків персональних даних.

За даними VPBank, звітність даних до CIC здійснюється банками, включаючи VPBank, відповідно до правил Державного банку. Банк підтвердив, що деяка важлива інформація про клієнтів не надсилається до системи CIC, але зберігається конфіденційно у VPBank.

Ці дані включають інформацію для входу в систему електронного банкінгу (ім'я користувача, пароль, біометричні дані); інформацію про дебетові та кредитні картки (номер картки, код CVV/CCC).

У заяві VPBank йдеться, що система електронного банкінгу банку відповідає міжнародним стандартам безпеки, таким як ISO 27001 та PCI DSS. Транзакції захищені кількома рівнями, включаючи біометричну автентифікацію, OTP та SmartOTP.

Згідно з VPBank, коди OTP/SmartOTP є одноразовими даними, не зберігаються та можуть бути розкриті лише у випадку, якщо клієнт безпосередньо поділиться ними або пристрій буде забрано.

Наразі Департамент кібербезпеки та запобігання високотехнологічним злочинам (A05) разом із функціональними підрозділами Державного банку та підприємствами кібербезпеки координують впровадження технічних та професійних заходів для реагування, перевірки та забезпечення безпеки системи.

VPBank рекомендує клієнтам слідкувати за інформацією з офіційних джерел, уникати паніки та бути пильними до шахраїв, які використовують цей інцидент. Банк наголошує, що злочинці не можуть безпосередньо привласнити активи з цього інциденту, але можуть використовувати інформацію для поширення шкідливого програмного забезпечення та створення фальшивих сценаріїв.

Тому клієнтам не слід встановлювати програми з неофіційних джерел і категорично не надавати коди OTP/SmartOTP нікому, включаючи людей, які видають себе за банківських працівників.

Також у зв'язку з цим інцидентом компанія 9Pay підтвердила, що не передавала та не передавала жодних даних 9Pay та клієнтів 9Pay до CIC. Таким чином, вся особиста інформація, інформація про картки та дані про транзакції клієнтів, які користуються послугами 9Pay, не постраждали від вищезазначеного інциденту.

Цей підрозділ підтвердив, що система 9Pay застосовує суворі заходи безпеки, зокрема: постійне дотримання законів про захист інформаційних даних та стандартів PCI DSS для забезпечення безпеки інформації про картки відповідно до правил Державного банку; шифрування всієї платіжної інформації та персональних ідентифікаційних даних; щоквартальну періодичну оцінку та перегляд; щорічну незалежну оцінку міжнародними організаціями.

Зокрема, 9Pay отримала сертифікацію PCI DSS рівня 1 – найвищого та найсуворішого рівня Стандарту безпеки даних індустрії платіжних карток, що гарантує відповідність усіх транзакцій через платіжний шлюз 9Pay міжнародним стандартам безпеки. Як фінтех-компанія, що спеціалізується на цифрових платіжних платформах, 9Pay щодня обслуговує сотні тисяч клієнтів та транзакцій. Усвідомлюючи важливість безпеки платіжних даних, 9Pay завжди проактивно перевіряє всі дії щодо зберігання, передачі, захисту та використання персональних даних протягом усього процесу роботи з продуктами та послугами.

Джерело: https://www.vietnamplus.vn/vpbank-9pay-noi-gi-ve-su-co-an-ninh-mang-xay-ra-tai-cic-post1061509.vnp