Tại dự thảo, dư luận đặc biệt chú ý đến “Quy định và thực hiện việc thu hồi, loại bỏ hoặc vô hiệu hóa các tài khoản không sử dụng, hết hạn sử dụng, không hoạt động trong khoảng thời gian tối đa 90 ngày hoặc các tài khoản trong trạng thái không kích hoạt trong một khoảng thời gian”.
Quy định này đã khiến không ít khách hàng hiểu nhầm rằng tất cả những tài khoản ngân hàng được mở nhưng trong tối đa 90 ngày không hoạt động có thể bị vô hiệu hóa.
Tuy nhiên, theo đại diện của NHNN cho biết, Thông tư 47 không điều chỉnh đối với tài khoản khách hàng của ngân hàng mà quy định về yêu cầu kỹ thuật an ninh, bảo mật trang thiết bị phục vụ hệ thống thanh toán thẻ.
Từ "Tài khoản" tại quy định này là Tài khoản người sử dụng dùng để truy cập, quản trị và vận hành các trang thiết bị của hệ thống thanh toán thẻ ngân hàng và không liên quan gì đến Tài khoản của khách hàng.
Việc mở và sử dụng tài khoản của khách hàng tại ngân hàng hiện nay đang được thực hiện theo Thông tư 23/2014/TT-NHNN ngày 19/8/2014 hướng dẫn việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán.
Thông tư 47/2014/TT-NHNN ngày 31/12/2014 của NHNN là quy định về các yêu cầu kỹ thuật an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng. Phạm vi điều chỉnh, đổi tượng áp dụng và nội dung Thông tư 47 chỉ quy định các yêu cầu kỹ thuật CNTT về việc quản lý, vận hành các trang thiết bị phục vụ thanh toán thẻ và không có quy định nào liên quan đến việc mở và sử dụng tài khoản của khách hàng tại ngân hàng.
Bên cạnh những quy định liên quan đến thời gian sử dụng tài khoản, Thông tư 47 còn quy định số thẻ phải được bảo mật khi hiển thị (chỉ hiển thị tối đa 6 số đầu và 4 số cuối) và chỉ một số nhân viên có thẩm quyền thao tác nghiệp vụ hoặc cơ quan thẩm quyền, chủ thẻ mới được phép xem thông tin đầy đủ.
Đồng thời, ngân hàng, tổ chức thanh toán thẻ và trung gian thanh toán không cung cấp địa chỉ mạng nội bộ và thông tin định tuyến cho tổ chức khác khi chưa được phép và cần có biện pháp để bảo vệ những thông tin này khi kết nối với bên thứ ba.
Các tổ chức hoạt động chỉ chấp nhận các truy cập thực sự cần thiết theo thiết kế hệ thống đến môi trường dữ liệu chủ thẻ và chặn toàn bộ các truy cập khác. Bên cạnh đó, cần ngăn chặn kết nối Internet của các máy trạm có quyền truy cập vào dữ liệu thẻ dạng rõ (chưa che dấu, mã hóa).
Trong hệ thống trang thiết bị phục vụ thanh toán thẻ, cần mã hoá tất cả các kết nối truy cập quản trị từ xa bằng phương pháp mã hoá mạnh, nhằm giảm thiểu rủi ro an ninh mạng.
Để đảm bảo an toàn bảo mật với các trang thiết bị thanh toán thẻ, các ngân hàng và trung gian thanh toán cần xem xét công nghệ phần mềm ít nhất một năm một lần. Nếu phát hiện không còn được nhà cung cấp hỗ trợ hoặc không đáp ứng nhu cầu bảo mật, các đơn vị cần khắc phục và thay thế.
Việc truy cập vào tất cả thành phần hệ thống thanh toán thẻ phải được xác thực bằng ít nhất một trong các phương thức như mã khóa bí mật, thiết bị, thẻ xác thực và sinh trắc học.
Sở dĩ phải sửa đổi là do sau gần 6 năm thực hiện, Thông tư 47 đã góp phần chuẩn hóa hạ tầng công nghệ ngân hàng, đảm bảo hoạt động an toàn cho hoạt động của hệ thống trang thiết bị phục vụ thanh toán thẻ trong ngành ngân hàng, góp phần thúc đẩy thanh toán không dùng tiền mặt theo chỉ đạo của Chính phủ.
Trước những thay đổi về khoa học công nghệ và thách thức mới về an ninh, bảo mật công nghệ thông tin, NHNN đã dự thảo Thông tư sửa đổi bổ sung một số điều Thông tư 47/2014/TT-NHNN để cập nhật các quy định kỹ thuật mới về an ninh, bảo mật đối với hệ thống thanh toán thẻ.
