VCCI_Góp ý Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng

Kính gửi: Ngân hàng Nhà nước Việt Nam

Trả lời Công văn số 4882/NHNN-CNTT của Ngân hàng Nhà nước Việt Nam về việc lấy ý kiến góp ý đối với Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng (sau đây gọi tắt là Dự thảo), Liên đoàn Thương mại và Công nghiệp Việt Nam (VCCI), trên cơ sở ý kiến của doanh nghiệp, hiệp hội, có một số ý kiến ban đầu như sau:

1. Phương pháp tiếp cận

Việc bảo đảm an toàn và liên tục của dịch vụ online banking là hết sức cần thiết. Để làm việc này, đừng từ quản lý nhà nước có hai cách tiếp cận.

• Cách thứ nhất là quy định những hoạt động cụ thể về bảo đảm an toàn thông tin mà các ngân hàng buộc phải thực hiện. Đi kèm với đó là biện pháp thanh tra, kiểm tra, xử lý vi phạm từ phía các cơ quan nhà nước.
• Cách thứ hai là thực hiện việc đánh giá, giám sát tính an toàn và sẵn sàng cung cấp dịch vụ của hệ thống thông tin của các ngân hàng. Việc thực hiện các hoạt động cụ thể sao cho tăng tính an toàn do ngân hàng chủ động quyết định. Đi kèm với đó, kết quả đánh giá, giám sát an toàn thông tin sẽ được công bố để người dùng chủ động lựa chọn ngân hàng có dịch vụ tốt hơn. Điều này tạo động lực để các ngân hàng tự đổi mới, cải thiện tính an toàn và liên tục của dịch vụ.

Hiện nay, Dự thảo mới chỉ đang đưa ra cách tiếp cận thứ nhất. Biện pháp này có ưu điểm là dễ làm, các cơ quan nhà nước đã có kinh nghiệm, có thể triển khai ngay. Tuy nhiên, nhược điểm của biện pháp này là nguy cơ các quy định cụ thể không phù hợp với mọi đối tượng hoặc cần điều chỉnh thường xuyên theo kịp xu hướng phát triển của công nghệ và thói quen của khách hàng. Trong khi đó, cách tiếp cận thứ hai có ưu điểm là trao quyền chủ động cho các ngân hàng và khách hàng lựa chọn dịch vụ, các khoản chi phí đầu tư phù hợp với nhu cầu của các bên. Việc triển khai cách tiếp cận thứ hai có thể mất nhiều thời gian và tạo thói quen cho người tiêu dùng.

Trong bối cảnh hiện nay, sử dụng cách tiếp cận thứ nhất vẫn là tối ưu. Song cũng cần có phương án và sự chuẩn bị để chuyển dần sang cách tiếp cận thứ hai. Do đó, đề nghị cơ quan soạn thảo bổ sung thêm quy định về việc đánh giá, giám sát an toàn thông tin đối với hệ thống online banking của các ngân hàng và tiến hành các biện pháp triển khai trên thực tế. Các quy định cụ thể hơn sẽ được đưa vào Thông tư khi đủ điều kiện và năng lực triển khai.

2. Trang thiết bị hạ tầng kỹ thuật CNTT cung cấp dịch vụ online banking

Điều 3.6 của Dự thảo quy định “Các trang thiết bị hạ tầng kỹ thuật công nghệ thông tin cung cấp dịch vụ Online Banking phải có bản quyền, nguồn gốc, xuất xứ rõ ràng. Với các trang thiết bị sắp hết vòng đời sản phẩm và sẽ không được nhà sản xuất tiếp tục hỗ trợ, đơn vị phải có kế hoạch nâng cấp, thay thế theo thông báo của nhà sản xuất, bảo đảm các trang thiết bị hạ tầng có khả năng cài đặt phiên bản phần mềm mới.”

Theo phản ánh của một số ngân hàng, việc nâng cấp, thay thế này có thể phát sinh chi phí rất lớn cho tổ chức tín dụng. Hiện nay, nhiều nhà cung cấp thiết bị có xu hướng rút ngắn vòng đời, thời gian hỗ trợ sản phẩm, nhằm bán được sản phẩm mới, chứ không phải vì dòng sản phẩm cũ gặp vấn đề về bảo mật, an toàn. Thực tế hiện nay, khi nhà cung cấp dừng hỗ trợ, tổ chức tín dụng vẫn có thể tự mình hoặc thuê bên thứ ba cung cấp dịch vụ bảo trì, hỗ trợ kỹ thuật đối với các thiết bị trên mà không gây ra sự cố mất an toàn thông tin hay gián đoạn dịch vụ.

Do đó, đề nghị cơ quan soạn thảo cân nhắc lại nội dung tại Điều 3.6 của dự thảo, cho phép các tổ chức tín dụng tiếp tục sử dụng thiết bị hạ tầng kỹ thuật đã hết hạn hỗ trợ của nhà sản xuất miễn là phải đáp ứng các yêu cầu vận hành an toàn, liên tục.

Trên đây là một số ý kiến ban đầu của Liên đoàn Thương mại và Công nghiệp Việt Nam đối với Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng. Rất mong quý Cơ quan soạn thảo cân nhắc để chỉnh sửa, hoàn thiện.

Trân trọng cảm ơn sự hợp tác của quý Cơ quan.