หลักการประกันความปลอดภัยและความมั่นคงของระบบการให้บริการธนาคารออนไลน์

ตามร่างดังกล่าว ระบบ Online Banking จะต้องปฏิบัติตามหลักเกณฑ์การรักษาความปลอดภัยระบบสารสนเทศระดับ 3 ขึ้นไป ตามบทบัญญัติของกฎหมายว่าด้วยการรักษาความปลอดภัยระบบสารสนเทศระดับ และหลักเกณฑ์การรักษาความปลอดภัยระบบสารสนเทศของธนาคารแห่งรัฐในกิจกรรมการธนาคาร

รับประกันความลับและความสมบูรณ์ของข้อมูลลูกค้า รับรองความพร้อมของระบบ Online Banking เพื่อให้บริการได้อย่างต่อเนื่อง

ธุรกรรมของลูกค้าจะได้รับการประเมินระดับความเสี่ยงขั้นต่ำตามกลุ่มลูกค้าแต่ละกลุ่ม ประเภทธุรกรรม ขีดจำกัดธุรกรรม (ถ้ามี) และจัดทำวิธีการยืนยันธุรกรรมที่เหมาะสมให้ลูกค้าเลือกใช้ตามข้อกำหนด ดังนี้ ใช้การยืนยันตัวตนแบบหลายปัจจัยเมื่อเปลี่ยนแปลงข้อมูลประจำตัวลูกค้า ใช้วิธีการยืนยันตัวตนสำหรับแต่ละกลุ่มลูกค้า ประเภทธุรกรรม ขีดจำกัดธุรกรรมตามข้อกำหนด สำหรับธุรกรรมหลายขั้นตอน ต้องใช้มาตรการยืนยันตัวตนอย่างน้อยหนึ่งมาตรการในขั้นตอนการอนุมัติขั้นสุดท้าย

ดำเนินการตรวจสอบและประเมินความปลอดภัยประจำปีของระบบธนาคารออนไลน์

ระบุความเสี่ยง ความเสี่ยงที่อาจเกิดขึ้น และระบุสาเหตุของความเสี่ยงอย่างสม่ำเสมอ ดำเนินการป้องกัน ควบคุม และจัดการความเสี่ยงในการให้บริการธนาคารทางอินเทอร์เน็ตอย่างทันท่วงที

อุปกรณ์โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่ให้บริการธนาคารออนไลน์ต้องมีลิขสิทธิ์ แหล่งที่มา และแหล่งที่มาที่ชัดเจน สำหรับอุปกรณ์ที่ใกล้จะสิ้นสุดวงจรชีวิตผลิตภัณฑ์และจะไม่ได้รับการสนับสนุนจากผู้ผลิตอีกต่อไป อุปกรณ์จะต้องมีแผนการอัปเกรดและเปลี่ยนทดแทนตามประกาศของผู้ผลิต เพื่อให้มั่นใจว่าอุปกรณ์โครงสร้างพื้นฐานสามารถติดตั้งซอฟต์แวร์เวอร์ชันใหม่ได้

มีไฟร์วอลล์ ระบบตรวจสอบ และการแจ้งเตือนพฤติกรรมที่ผิดปกติ

หน่วยงานจะต้องจัดตั้งระบบเครือข่าย การสื่อสาร และระบบรักษาความปลอดภัยที่ตรงตามข้อกำหนดขั้นต่ำดังต่อไปนี้:

มีโซลูชันด้านความปลอดภัยขั้นต่ำ ได้แก่ ไฟร์วอลล์แอปพลิเคชัน ไฟร์วอลล์ฐานข้อมูล ระบบตรวจสอบและเตือนแบบรวมศูนย์สำหรับการโจมตีหรือพฤติกรรมที่ผิดปกติ

ข้อมูลของลูกค้าไม่ได้ถูกเก็บไว้ในพาร์ติชั่นการเชื่อมต่ออินเตอร์เน็ตและพาร์ติชั่น DMZ (พาร์ติชั่นตัวกลางระหว่างเครือข่ายภายในและอินเตอร์เน็ต)

กำหนดนโยบายการจำกัดบริการและเกตเวย์ที่เชื่อมต่อกับระบบ Online Banking

การเชื่อมต่อจากภายนอกเครือข่ายภายในมายังระบบ Online Banking เพื่อการบริหารจัดการสามารถทำได้เฉพาะในกรณีที่ไม่สามารถเชื่อมต่อจากเครือข่ายภายในได้และต้องมีความปลอดภัย โดยต้องเป็นไปตามข้อกำหนดอย่างน้อยดังต่อไปนี้: ต้องได้รับการอนุมัติจากบุคคลที่ได้รับอนุญาตหลังจากตรวจสอบวัตถุประสงค์และวิธีการเชื่อมต่อแล้ว; ต้องมีแผนสำหรับการจัดการการเข้าถึง การบริหารจัดการระบบระยะไกลที่ปลอดภัย เช่น การใช้เครือข่ายส่วนตัวเสมือนหรือเทียบเท่า; ต้องติดตั้งซอฟต์แวร์ด้านความปลอดภัยบนอุปกรณ์เชื่อมต่อ; ต้องใช้มาตรการการตรวจสอบสิทธิ์แบบหลายปัจจัยเมื่อเข้าสู่ระบบ; ใช้โปรโตคอลการสื่อสารที่เข้ารหัสอย่างปลอดภัย และไม่จัดเก็บคีย์ลับในซอฟต์แวร์ยูทิลิตี้

การเชื่อมต่อเครือข่ายที่จะให้บริการจะต้องทำให้มีความพร้อมใช้งานสูงและสามารถให้บริการได้อย่างต่อเนื่อง

สร้างกลไกในการตรวจจับและป้องกันการบุกรุกและการโจมตีเครือข่ายในระบบ

นอกจากนี้ ร่างยังระบุอย่างชัดเจนว่าหน่วยงานจะต้องจัดการจุดอ่อนและจุดอ่อนของระบบ Online Banking โดยมีเนื้อหาพื้นฐานดังต่อไปนี้:

มีมาตรการป้องกัน ตรวจจับ และตรวจจับการเปลี่ยนแปลงบนเว็บไซต์และซอฟต์แวร์แอปพลิเคชันธนาคารออนไลน์

จัดทำกลไกการตรวจจับและป้องกันการบุกรุกและการโจมตีเครือข่ายในระบบ Online Banking

ประสานงานกับหน่วยงานบริหารระดับรัฐและพันธมิตรด้านเทคโนโลยีสารสนเทศ เพื่อรับทราบเหตุการณ์และสถานการณ์การสูญเสียความมั่นคงปลอดภัยของข้อมูลอย่างทันท่วงที เพื่อดำเนินมาตรการป้องกันอย่างทันท่วงที

อัปเดตข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่เผยแพร่ที่เกี่ยวข้องกับซอฟต์แวร์ระบบ ระบบจัดการฐานข้อมูล และซอฟต์แวร์แอปพลิเคชัน ตามข้อมูลจาก Common Vulnerability Scoring System

สแกนหาช่องโหว่และจุดอ่อนของระบบธนาคารออนไลน์อย่างน้อยปีละครั้ง หรือเมื่อได้รับข้อมูลเกี่ยวกับช่องโหว่และจุดอ่อนใหม่ๆ ประเมินระดับผลกระทบและความเสี่ยงของช่องโหว่และจุดอ่อนทางเทคนิคของระบบแต่ละจุดที่พบ และเสนอแนวทางแก้ไขและแผนรับมือ

ดำเนินการอัปเดตแพตช์ความปลอดภัยหรือมาตรการป้องกันอย่างทันท่วงทีตามการประเมินผลกระทบและความเสี่ยง