BỘ TÀI CHÍNH | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 379/QĐ-UBCK | Hà Nội, ngày 03 tháng 6 năm 2021 |
CHỦ TỊCH ỦY BAN CHỨNG KHOÁN NHÀ NƯỚC
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Luật Chứng khoán ngày 26 tháng 11 năm 2019;
Căn cứ Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;
Căn cứ Luật Tiêu chuẩn và quy chuẩn kỹ thuật ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Nghị định số 155/2020/NĐ-CP ngày 31 tháng 12 năm 2020 của Chính phủ quy định chi tiết thi hành một số điều của Luật Chứng khoán;
Căn cứ Quyết định số 48/2015/QĐ-TTg ngày 08 tháng 10 năm 2015 của Thủ tướng Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ủy ban Chứng khoán Nhà nước trực thuộc Bộ Tài chính;
Căn cứ Thông tư số 21/2007/TT-BKHCN ngày 28 tháng 9 năm 2007 của Bộ trưởng Bộ Khoa học và Công nghệ hướng dẫn xây dựng và áp dụng tiêu chuẩn;
Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Căn cứ Thông tư số 134/2017/TT-BTC ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán;
Căn cứ Thông tư số 73/2020/TT-BTC ngày 07 tháng 8 năm 2020 sửa đổi, bổ sung một số điều của Thông tư số 134/2017/TT-BTC ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán;
Theo đề nghị của Cục trưởng Cục Công nghệ thông tin,
QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này Tiêu chuẩn cơ sở kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán, cụ thể như sau:
- Tên tiêu chuẩn: Tiêu chuẩn cơ sở kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán.
- Ký hiệu: TCCS 01:2021/UBCK.
- Quy chuẩn kỹ thuật Quốc gia tham chiếu: TCVN 11930:2017 công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ; TCVN 9250:2012 Trung tâm dữ liệu - yêu cầu về hạ tầng kỹ thuật viễn thông.
Điều 2. Trách nhiệm của các đơn vị:
1. Cục Công nghệ thông tin: Chủ trì hướng dẫn, kiểm tra, giám sát công ty chứng khoán, công ty quản lý quỹ, đại lý phân phối chứng chỉ quỹ và các tổ chức, cá nhân có liên quan đến hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán trong việc chấp hành Tiêu chuẩn này.
2. Vụ Quản lý kinh doanh chứng khoán và Vụ Quản lý các công ty quản lý quỹ và quỹ đầu tư chứng khoán - Ủy ban Chứng khoán Nhà nước, Sở Giao dịch chứng khoán, Trung tâm lưu ký chứng khoán Việt Nam: Phối hợp với Cục Công nghệ thông tin trong quá trình giám sát, kiểm tra các đối tượng chấp hành theo Tiêu chuẩn này.
Điều 3. Quyết định này có hiệu lực kể từ ngày ký và bãi bỏ Quyết định số 106/QĐ-UBCK ngày 08/02/2010 của Chủ tịch Ủy ban Chứng khoán Nhà nước ban hành Quy định hướng dẫn về yêu cầu hệ thống công nghệ thông tin của công ty chứng khoán.
Điều 4. Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin, Vụ trưởng Vụ Quản lý kinh doanh chứng khoán, Vụ trưởng Vụ Quản lý các công ty quản lý quỹ và quỹ đầu tư chứng khoán, Thủ trưởng các đơn vị liên quan thuộc, trực thuộc Ủy ban Chứng khoán Nhà nước, Tổng Giám đốc Sở Giao dịch chứng khoán Việt Nam, Tổng Giám đốc Sở Giao dịch chứng khoán Hà Nội, Tổng Giám đốc Sở giao dịch chứng khoán thành phố Hồ Chí Minh, Tổng Giám đốc Trung tâm lưu ký chứng khoán Việt Nam, công ty chứng khoán, công ty quản lý quỹ, đại lý phân phối chứng chỉ quỹ và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Quyết định này./.
| CHỦ TỊCH |
BỘ TÀI CHÍNH | TIÊU CHUẨN CƠ SỞ | TCCS 01:2021/UBCK |
Ủy ban Chứng khoán Nhà nước | Tiêu chuẩn cơ sở kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán. | Có hiệu lực từ Ngày tháng 6 năm 2021 |
(Ban hành kèm theo Quyết định số 379/QĐ-UBCK ngày 03/6/2021 của Chủ tịch Ủy ban Chứng khoán Nhà nước)
MỤC LỤC
MỞ ĐẦU
LỜI GIỚI THIỆU
CHƯƠNG I. QUY ĐỊNH CHUNG
1.1. Phạm vi điều chỉnh, đối tượng áp dụng
1.2. Giải thích thuật ngữ
1.3. Yêu cầu chung đối với hệ thống công nghệ thông tin
CHƯƠNG II. QUY ĐỊNH VỀ HẠ TẦNG KỸ THUẬT
2.1. Yêu cầu về hạ tầng kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến
2.2. Yêu cầu đối với phòng máy chủ
2.3. Yêu cầu về nguồn điện
CHƯƠNG III. QUY ĐỊNH VỀ PHẦN MỀM VÀ DỮ LIỆU DỰ PHÒNG
3.1. Yêu cầu đối với phần mềm ứng dụng
3.2. Yêu cầu về lưu trữ và cung cấp dữ liệu cho cơ quan chức năng
3.3. Yêu cầu về sao lưu, phục hồi dữ liệu
CHƯƠNG IV. QUY ĐỊNH VỀ AN TOÀN BẢO MẬT
4.1. Yêu cầu về hệ thống máy chủ và hạ tầng mạng
4.2. Yêu cầu đối với phần mềm ứng dụng
4.3. Yêu cầu đối với trang thông tin điện tử
CHƯƠNG V. QUY ĐỊNH VỀ XÁC THỰC VÀ NHẬN DẠNG THIẾT BỊ ĐẶT LỆNH
5.1. Yêu cầu về sử dụng chữ ký số và xác thực giao dịch
5.2. Yêu cầu về nhận dạng thiết bị đặt lệnh
CHƯƠNG VI. QUY ĐỊNH VỀ NHÂN SỰ QUẢN LÝ HỆ THỐNG CÔNG NGHỆ THÔNG TIN
MỞ ĐẦU
Tiêu chuẩn cơ sở TCCS 01:2021/UBCK quy định về tiêu chuẩn kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán do Cục Công nghệ thông tin - Ủy ban Chứng khoán Nhà nước biên soạn.
TCCS 01:2021/UBCK được xây dựng trên cơ sở tham khảo các bộ tiêu chuẩn quốc gia, các văn bản quy định về hệ thống công nghệ thông tin và có điều chỉnh, sửa đổi, bổ sung để phù hợp với các quy định về ứng dụng công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán như sau:
- TCVN 11930:2017 công nghệ thông tin - các kỹ thuật an toàn - yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ;
- TCVN 9250:2012 Trung tâm dữ liệu - yêu cầu về hạ tầng kỹ thuật viễn thông;
- Thông tư số 31/2017/TT-BTTTT ngày 15 tháng 11 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định hoạt động giám sát an toàn hệ thống thông tin;
- Thông tư số 134/2017/TT-BTC ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán.
- Thông tư số 73/2020/TT-BTC ngày 07 tháng 8 năm 2020 sửa đổi, bổ sung một số điều của Thông tư số 134/2017/TT-BTC ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán.
LỜI GIỚI THIỆU
Tiêu chuẩn cơ sở TCCS 01:2021/UBCK quy định về tiêu chuẩn kỹ thuật hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán quy định yêu cầu chi tiết về hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán, gồm các nhóm nội dung sau:
- Quy định chung.
- Quy định về hạ tầng kỹ thuật.
- Quy định về phần mềm và dữ liệu dự phòng.
- Quy định về an toàn bảo mật.
- Quy định về xác thực và nhận dạng thiết bị đặt lệnh
- Quy định về nhân sự quản lý hệ thống công nghệ thông tin.
Hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán phải bảo đảm đáp ứng quy định tại Thông tư 134/2017/TT-BTC ngày 19/12/2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán (sau đây gọi là Thông tư 134/2017/TT-BTC), Thông tư số 73/2020/TT-BTC ngày 07/8/2020 sửa đổi, bổ sung một số điều của Thông tư số 134/2017/TT-BTC ngày 19/12/2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán (sau đây gọi là Thông tư 73/2020/TT-BTC) và các nội dung hướng dẫn tại tiêu chuẩn này.
1.1. Phạm vi điều chỉnh, đối tượng áp dụng
1.1.1. Quy định này hướng dẫn chi tiết về tiêu chuẩn kỹ thuật đối với hệ thống công nghệ thông tin trong hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến trên thị trường chứng khoán.
Hoạt động trao đổi thông tin điện tử trên thị trường chứng khoán và các hoạt động khác liên quan đến giao dịch điện tử trên thị trường chứng khoán được thực hiện theo các quy định tại Thông tư 134/2017/TT-BTC ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Tài chính hướng dẫn giao dịch điện tử trên thị trường chứng khoán, Thông tư số 73/2020/TT-BTC ngày 07 tháng 8 năm 2020 sửa đổi, bổ sung một số điều của Thông tư số 134/2017/TT-BTC và quy định của pháp luật về giao dịch điện tử trong hoạt động tài chính.
1.1.2. Đối tượng áp dụng: công ty chứng khoán, công ty quản lý quỹ, đại lý phân phối chứng chỉ quỹ và các tổ chức, cá nhân có liên quan đến hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến.
1.2.1. Hệ thống công nghệ thông tin bao gồm các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu, hệ thống mạng viễn thông, mạng Internet, mạng máy tính, trang thông tin điện tử để phục vụ giao dịch chứng khoán trực tuyến.
1.2.2. Chủ quản hệ thống thông tin phục vụ giao dịch chứng khoán trực tuyến (sau đây gọi tắt là “chủ quản hệ thống thông tin”) là cơ quan, tổ chức, cá nhân có thẩm quyền quản lý trực tiếp hệ thống thông tin phục vụ hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến.
1.2.3. Vùng mạng biên là vùng mạng được thiết lập để cung cấp các kết nối hệ thống ra bên ngoài Internet và các mạng khác.
1.2.4. Vùng DMZ (demilitarized zone) là vùng mạng được thiết lập để đặt các máy chủ công cộng, cho phép truy cập trực tiếp từ các mạng bên ngoài và mạng Internet.
1.2.5. Vùng mạng nội bộ (LAN - local area network) là vùng mạng được thiết lập để cung cấp kết nối mạng cho các máy trạm và các thiết bị đầu cuối và các thiết bị mạng khác của người sử dụng vào hệ thống.
1.2.6. Dự phòng nóng là khả năng hoạt động thay thế chức năng của thiết bị khi xảy ra sự cố mà không làm gián đoạn hoạt động của hệ thống.
1.2.7. Máy chủ (Server) chuyên dùng là một máy tính được thiết kế cho phép hoạt động 24/7; hỗ trợ dự phòng và thay nóng bộ cấp nguồn, ổ đĩa cứng được kết nối với một mạng máy tính hoặc Internet, có địa chỉ IP tĩnh, có năng lực xử lý cao và trên đó có thể cài đặt các phần mềm để phục vụ cho các máy tính khác truy cập để yêu cầu cung cấp các dịch vụ và tài nguyên.
1.2.8. Mã hóa một chiều là phương pháp mã hóa sử dụng hàm băm (Hash function) để biến một chuỗi thông tin thành một chuỗi có độ dài nhất định (chuỗi hash) không thể giải mã.
1.2.9. Thông tin định danh thiết bị đặt lệnh là thông tin gắn với mỗi thiết bị dùng để nhận dạng thiết bị khi thực hiện giao dịch chứng khoán trực tuyến.
1.2.10. Lần thực hiện giao dịch là lần nhà đầu tư đăng nhập hệ thống giao dịch chứng khoán trực tuyến để thực hiện các lệnh giao dịch chứng khoán trực tuyến.
1.2.11. SSL (Secure Sockets Layer) là tiêu chuẩn công nghệ cho phép thiết lập kết nối được mã hóa an toàn giữa máy chủ web và trình duyệt của người dùng, bảo đảm tính riêng tư và toàn vẹn của dữ liệu được truyền nhận giữa máy chủ web và trình duyệt của người dùng.
1.2.12. Địa chỉ vật lý của thiết bị đặt lệnh (còn gọi là địa chỉ MAC - Media Access Control) là mã duy nhất được gán bởi nhà sản xuất dùng để nhận dạng thiết bị.
1.2.13. Xác thực sinh trắc học (Biometric) là công nghệ sử dụng những thuộc tính vật lý, đặc điểm sinh học riêng của mỗi cá nhân như vân tay, khuôn mặt, mống mắt, tĩnh mạch,... để nhận diện, xác thực bảo mật.
1.3. Yêu cầu chung đối với hệ thống công nghệ thông tin
1.3.1. Hệ thống công nghệ thông tin bảo đảm đáp ứng được yêu cầu về dịch vụ, hạ tầng kỹ thuật, an ninh bảo mật và lưu trữ dữ liệu theo quy định tại Thông tư 134/2017/TT-BTC, Thông tư 73/2020/TT-BTC và phù hợp với quy định khác tại các văn bản quy phạm pháp luật chuyên ngành về chứng khoán và thị trường chứng khoán.
1.3.2. Hệ thống công nghệ thông tin phải được thiết kế có dự phòng; có khả năng phục hồi nhanh chóng khi xảy ra sự cố, sẵn sàng cung cấp dịch vụ giao dịch chứng khoán và cung cấp thông tin cho khách hàng; bảo đảm khả năng mở rộng, nâng cấp trong tương lai và bảo đảm tối ưu hoá năng lực xử lý thông tin của mạng máy tính.
1.3.3. Chủ quản hệ thống thông tin ban hành quy định về an toàn, an ninh thông tin, xử lý sự cố; quy định về trách nhiệm cập nhật, vá lỗi, khắc phục lỗ hổng bảo mật của hệ thống công nghệ thông tin; xây dựng kế hoạch định kỳ kiểm tra, rà soát về an toàn an ninh thông tin trong quá trình vận hành hệ thống.
2.1.1. Chủ quản hệ thống thông tin phải sử dụng máy chủ chuyên dùng cho hệ thống công nghệ thông tin phục vụ hoạt động cung cấp dịch vụ giao dịch chứng khoán trực tuyến. Phần mềm ứng dụng và các dịch vụ liên quan đến hoạt động giao dịch của các nhà đầu tư phải được duy trì hoạt động trên các máy chủ. Không sử dụng máy tính cá nhân đóng vai trò máy chủ và không sử dụng chung máy chủ của các đơn vị khác.
2.1.2. Hệ thống đường truyền kết nối với Sở giao dịch chứng khoán, Trung tâm lưu ký chứng khoán Việt Nam phải có dự phòng nóng.
2.1.3. Máy chủ cài đặt phần mềm giao dịch chứng khoán, máy chủ cơ sở dữ liệu và trang thiết bị công nghệ thông tin chuyên dùng cho hệ thống giao dịch chứng khoán trực tuyến phải có dự phòng.
2.2. Yêu cầu đối với phòng máy chủ
2.2.1. Phòng máy chủ phải được bố trí bảo đảm đủ điều kiện cho các thiết bị hoạt động: đặt ở nơi khô ráo, tránh ánh nắng trực tiếp, tránh nguy cơ cháy nổ hoặc nguồn nhiệt cao, tránh nước ngập và bảo đảm an toàn bảo mật.
2.2.2. Phòng máy chủ phải có nội quy và áp dụng các biện pháp bảo vệ, kiểm soát ra vào, cửa ra vào phải chắc chắn, có khả năng chống cháy, sử dụng ít nhất hai loại khóa khác nhau (khóa cơ, thẻ, mã số, sinh trắc học); có hệ thống camera giám sát, ghi lại thông tin ra vào phòng máy chủ và mọi hoạt động tại các khu vực trong phòng máy chủ; hệ thống phải được quản lý tập trung và được theo dõi, giám sát 24/7, có nhật ký kiểm soát vào ra. Dữ liệu nhật ký camera phải được lưu trữ tối thiểu một (01) tháng; thiết bị hệ thống phải được đặt trong phòng máy chủ và có tủ bảo vệ (tủ rack), được đặt cố định và gắn nhãn mô tả.
2.2.3. Phòng máy chủ phải lắp đặt hệ thống cảnh báo cháy và chữa cháy tự động, chất chữa cháy là khí không gây ngạt cho nhân viên thao tác hoặc chưa kịp thoát ra, bảo đảm khi chữa cháy không làm hư hỏng thiết bị lắp đặt bên trong; có các hình thức phát tín hiệu cảnh báo cháy khác nhau (bằng âm thanh, ánh sáng...).
2.2.4. Có hệ thống chống sét trực tiếp và lan truyền; có hệ thống theo dõi, kiểm soát nhiệt độ và độ ẩm; có hệ thống điều hòa bảo đảm hoạt động liên tục. Hệ thống điều hòa không khí tại phòng máy chủ phải bảo đảm hoạt động liên tục và riêng biệt hoàn toàn với các hệ thống điều hòa khác trong tòa nhà.
2.2.5. Phòng máy chủ không được xây dựng cửa sổ, không được đặt các thiết bị không liên quan đến việc hỗ trợ phòng máy chủ (như hệ thống ống dẫn, hệ thống ống hơi,...) ở trong phòng máy chủ. Không được chạy ống thoát nước và ống dẫn nước gần hoặc trực tiếp trên thiết bị trong phòng máy chủ.
2.2.6. Ban hành quy định quản lý, vận hành và sử dụng phòng máy chủ.
2.3.1. Phòng máy chủ có tối thiểu một nguồn điện lưới và một nguồn điện máy phát. Có hệ thống chuyển mạch tự động giữa hai nguồn điện, khi cắt điện lưới, trong thời gian tối đa ba (03) phút máy phát phải tự động khởi động cấp nguồn; Nguồn điện trong phòng máy chủ phải được bảo đảm ổn định, chống quá tải và phải đấu nối qua bộ cấp điện liên tục trực tuyến (UPS online) để cấp nguồn cho thiết bị, bảo đảm khả năng duy trì hoạt động của thiết bị trong thời gian tối thiểu 30 phút.
2.3.2. Nguồn điện dự phòng phải đủ tiêu chuẩn, công suất cho hoạt động bình thường của hệ thống công nghệ thông tin trong thời gian nguồn điện chính có sự cố.
QUY ĐỊNH VỀ PHẦN MỀM VÀ DỮ LIỆU DỰ PHÒNG
3.1. Yêu cầu đối với phần mềm ứng dụng
3.1.1. Phải thực hiện theo quy định của pháp luật hiện hành về bản quyền phần mềm. Giải pháp công nghệ để xây dựng phần mềm ứng dụng phải đáp ứng khả năng nâng cấp mở rộng, có khả năng kiểm soát các truy cập về thao tác nghiệp vụ trong giao dịch, bảo đảm thực hiện đúng quy trình. Phải có khả năng tự động kiểm tra dữ liệu nhập vào ứng dụng, bảo đảm dữ liệu được nhập vào chính xác và hợp lệ; có khả năng lưu vết các giao dịch và các tương tác của người dùng.
3.1.2. Trước khi đưa vào sử dụng phải được đặt tên, thuyết minh rõ xuất xứ, tính năng kỹ thuật và có tài liệu hướng dẫn cụ thể kèm theo như: phân tích thiết kế hệ thống, tài liệu yêu cầu người sử dụng, hướng dẫn sử dụng.
3.1.3. Hệ thống phần mềm giao dịch chứng khoán trực tuyến phải có tính năng giám sát người sử dụng như: tài khoản và thời gian truy cập vào hệ thống (giây:phút:giờ, ngày/tháng/năm); tài khoản và thời gian tạo ra dữ liệu, thời gian sửa dữ liệu cuối cùng, thông tin đăng nhập (tên tài khoản và thời gian đăng nhập/đăng xuất, các thao tác thực hiện trong thời gian đó), thông tin định danh thiết bị đặt lệnh.
3.1.4. Kiểm soát sự thay đổi của phiên bản phần mềm, quy trình vận hành; ghi chép lại các thay đổi, lập kế hoạch, thực hiện kiểm tra, thử nghiệm sự thay đổi, báo cáo kết quả và phải được phê duyệt của người có thẩm quyền trước khi áp dụng chính thức.
3.2. Yêu cầu về lưu trữ và cung cấp dữ liệu cho cơ quan chức năng
3.2.1. Dữ liệu giao dịch chứng khoán phải được lưu trữ tối thiểu mười (10) năm, bảo đảm giá trị pháp lý trong quá trình lưu trữ và bảo đảm các điều kiện quy định tại khoản 1 Điều 15 Luật giao dịch điện tử.
3.2.2. Dữ liệu giao dịch chứng khoán phải bảo đảm truy cập được, sử dụng được dưới dạng hoàn chỉnh khi cần thiết.
3.2.3. Trong trường hợp cần thiết, khi có yêu cầu của cơ quan chức năng, chủ quản hệ thống thông tin phải cung cấp đầy đủ, kịp thời dữ liệu giao dịch chứng khoán.
3.3. Yêu cầu về sao lưu, phục hồi dữ liệu
3.3.1. Chủ quản hệ thống thông tin có trách nhiệm xây dựng, triển khai và thực hiện nghiêm túc các quy trình về sao lưu, dự phòng, phục hồi hệ thống thông tin, dữ liệu, tệp cấu hình thiết bị; tổ chức thực hiện phục hồi dữ liệu khi cần thiết cho hệ thống công nghệ thông tin.
3.3.2. Phải lập danh sách các dữ liệu, phần mềm, tập tin cấu hình hệ thống, bản dự phòng hệ điều hành máy chủ, thông tin nghiệp vụ, các file ghi âm đặt lệnh cần được sao lưu, có phân loại theo mức độ quan trọng, thời gian lưu trữ, thời gian sao lưu, phương pháp sao lưu và thời gian kiểm tra phục hồi hệ thống từ dữ liệu sao lưu.
3.3.3. Dữ liệu của hệ thống giao dịch chứng khoán trực tuyến phải được sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và phương tiện lưu trữ phải được bảo quản tách rời với khu vực sao lưu. Dữ liệu lưu trên các thiết bị lưu trữ phải được bảo vệ vật lý trong môi trường bảo mật và bảo đảm khôi phục thông tin, dữ liệu trong vòng hai mươi bốn (24) giờ kể từ khi phát sinh sự cố.
3.3.4. Cần tách biệt giữa sao lưu dữ liệu và sao lưu ứng dụng. Mọi ứng dụng được cài đặt hoặc xóa bỏ khỏi hệ thống thông tin đều cần được sao lưu vào hệ thống dự phòng, tách biệt khỏi hệ thống sao lưu dữ liệu. Dữ liệu phải được kiểm soát và đối chiếu sau khi sao lưu.
3.3.5. Việc sao lưu và phục hồi trang thông tin điện tử phải bảo đảm các yêu cầu sau: Trang thông tin điện tử phải được sao lưu toàn bộ, bao gồm cả phần mềm và cơ sở dữ liệu lưu nội dung thông tin. Trong trường hợp gặp sự cố, trang thông tin điện tử phải được phục hồi trong thời gian không quá hai mươi bốn (24) giờ kể từ khi xảy ra sự cố.
4.1. Yêu cầu về hệ thống máy chủ và hạ tầng mạng
4.1.1. Sử dụng giải pháp phát hiện, ngăn chặn xâm nhập và ngăn chặn tấn công trực tiếp vào các thông tin quan trọng của hệ thống.
4.1.2. Hệ thống dịch vụ giao dịch chứng khoán trực tuyến được giám sát chặt chẽ; có khả năng phát hiện, cảnh báo về: Các giao dịch đáng ngờ, gian lận dựa vào việc xác định thời gian, tần suất giao dịch, khối lượng giao dịch, số lần xác thực sai quy định và các dấu hiệu bất thường khác; hoạt động bất thường của hệ thống; Các cuộc tấn công từ chối dịch vụ (DoS - Denial of Service), tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service).
4.1.3. Sử dụng phần mềm chống virus, phần mềm chống phần mềm gián điệp trên tất cả các máy chủ, máy trạm và tại cổng kết nối với các mạng bên ngoài bao gồm cả các cổng kết nối tới các đối tác và Internet. Các phần mềm này phải có bản quyền, có nguồn gốc rõ ràng. Định kỳ cập nhật các bản vá lỗi phù hợp với hệ điều hành máy chủ, máy trạm, tường lửa, hệ thống ngăn chặn xâm nhập (IPS - Intrusion Prevention Systems) và các phần mềm hệ thống khác.
4.1.4. Sử dụng các giải pháp như: mạng riêng ảo, mã hóa các dữ liệu trên đường truyền, kiểm soát truy cập web nhằm giảm thiểu các nguy cơ mất an toàn cho các máy trạm khi truy cập web, ngăn chặn thư rác, tường lửa cho ứng dụng web. Việc truy cập hệ thống phải được phân quyền đến từng bộ phận, cá nhân sử dụng để bảo vệ các lớp thông tin khác nhau. Các máy chủ phải được cài đặt, cấu hình để hệ thống có thể lưu vết mọi xâm nhập.
4.1.5. Hệ thống mạng của các tổ chức cung cấp dịch vụ giao dịch chứng khoán trực tuyến phải được thiết lập tối thiểu gồm các phân vùng: vùng mạng nội bộ, vùng mạng biên, vùng DMZ.
4.1.6. Các phân vùng mạng phải có chính sách bảo mật cho từng vùng.
4.1.7. Chủ quản hệ thống thông tin phải có các biện pháp bảo đảm chỉ nhân sự được giao quản trị hệ thống có thể tiếp cận và vận hành các máy tính thực hiện công tác quản trị hệ thống; các máy tính thực hiện công tác quản trị hệ thống không được kết nối Internet.
4.1.8. Các máy trạm, đặc biệt là các máy tính trang bị cho cán bộ nghiệp vụ liên quan đến giao dịch chứng khoán phải có biện pháp an toàn bảo mật: niêm phong thùng máy và các cổng kết nối ngoại vi, cài đặt mật khẩu cho máy tính, thực hiện thu hồi quyền truy cập khi cán bộ chấm dứt hoặc thay đổi công việc.
4.1.9. Chủ quản hệ thống thông tin phải quy định rõ nhiệm vụ, quyền hạn và trách nhiệm của các đối tượng tham gia quản lý, sử dụng hệ thống công nghệ thông tin và dịch vụ cung cấp.
4.1.10. Xây dựng danh mục và xác định mức độ quan trọng của dữ liệu, trên cơ sở đó áp dụng các chính sách, giải pháp an ninh bảo mật phù hợp với mức độ quan trọng của từng loại dữ liệu.
4.1.11. Chủ quản hệ thống thông tin phải ký hợp đồng với các tổ chức được thuê thực hiện nâng cấp, bảo trì, sửa lỗi phần mềm, trong đó quy định chi tiết các nội dung công việc, dữ liệu, quy định rõ trách nhiệm của các bên liên quan. Bảo đảm an toàn bảo mật thông tin, dữ liệu của hệ thống giao dịch chứng khoán trực tuyến của công ty và thông tin, dữ liệu của nhà đầu tư.
4.2. Yêu cầu đối với phần mềm ứng dụng
4.2.1. Phần mềm ứng dụng phải bảo đảm có khả năng phân quyền theo chức năng đến từng người sử dụng. Mỗi người sử dụng được phân định rõ ràng về nhiệm vụ và quyền hạn. Người không được phân quyền không thể truy cập vào công việc của người khác. Thiết lập cấu hình ứng dụng để xác thực người sử dụng khi truy cập, quản trị, cấu hình ứng dụng.
4.2.2. Các phần mềm ứng dụng có chức năng giao dịch qua Internet phải có cơ chế xác thực người sử dụng và mã hóa dữ liệu trên đường truyền.
4.2.3. Khi cung cấp phần mềm ứng dụng giao dịch chứng khoán trực tuyến trên Internet phải áp dụng các biện pháp bảo đảm tính toàn vẹn của phần mềm.
4.2.4. Mật khẩu người sử dụng khi lưu trữ phải được mã hóa một chiều. Nghiêm cấm trao đổi mật khẩu người sử dụng dưới dạng văn bản không mã hóa (clear text), trừ trường hợp cung cấp trực tiếp cho khách hàng khi khách hàng đến làm thủ tục cấp mới hoặc cấp lại mật khẩu.
4.2.5. Phần mềm ứng dụng phải có các cơ chế:
- Yêu cầu người sử dụng thay đổi mật khẩu lần đầu tiên đăng nhập và định kỳ thay đổi;
- Thiết lập quy tắc đặt mật khẩu theo số lượng ký tự, loại ký tự; thiết lập thời gian yêu cầu thay đổi mật khẩu;
- Hạn chế số lần đăng nhập sai, có cơ chế cảnh báo và tạm thời khóa tài khoản người dùng nếu đăng nhập sai thông tin nhiều lần;
- Phần mềm giao dịch chứng khoán trực tuyến phải được thiết lập thời gian cho mỗi lần thực hiện giao dịch và thiết lập khoảng thời gian khách hàng không thao tác trên hệ thống để kích hoạt tính năng thoát (logout) khỏi hệ thống.
4.3. Yêu cầu đối với trang thông tin điện tử
4.3.1. Hệ thống máy chủ của trang thông tin điện tử phải được trang bị giải pháp giám sát việc thay đổi quyền điều khiển, giám sát sự thay đổi nội dung của trang thông tin điện tử.
4.3.2. Đối với những trang thông tin điện tử thực hiện giao dịch chứng khoán trực tuyến, phần nội dung giao dịch chứng khoán trực tuyến phải được tách riêng và đặt trên máy chủ riêng biệt. Các thông tin giao dịch, tài khoản và mật khẩu phải được mã hoá, bảo đảm bí mật cho khách hàng.
4.3.3. Trang thông tin điện tử phải được xác thực sử dụng chứng thư số SSL, phải được áp dụng các biện pháp bảo vệ nhằm ngăn chặn, chống sửa đổi trái phép, chống giả mạo.
QUY ĐỊNH VỀ XÁC THỰC VÀ NHẬN DẠNG THIẾT BỊ ĐẶT LỆNH
5.1. Yêu cầu về sử dụng chữ ký số và xác thực giao dịch
5.1.1. Khuyến khích nhà đầu tư lựa chọn sử dụng chứng thư số, chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng khi thực hiện lệnh giao dịch chứng khoán trực tuyến.
5.1.2. Hệ thống phần mềm giao dịch chứng khoán trực tuyến phải tích hợp giải pháp sử dụng chứng thư số, chữ ký số để nhà đầu tư xác thực danh tính và ký phiếu lệnh điện tử khi lựa chọn giải pháp này để thực hiện giao dịch.
5.1.3. Chủ quản hệ thống thông tin có thể tích hợp các giải pháp xác thực khác có độ an toàn tối thiểu phải tương đương giải pháp xác thực hai yếu tố trở lên (OTP, thẻ ma trận, sinh trắc học...). Trường hợp sử dụng dịch vụ của bên thứ ba (đơn vị cung cấp giải pháp xác thực), phải có tối thiểu một yếu tố xác thực do chủ quản hệ thống thông tin quản lý.
5.1.4. Cơ chế xác thực theo lần thực hiện giao dịch:
- Trong mỗi lần thực hiện giao dịch, nhà đầu tư có thể thực hiện nhiều lệnh giao dịch; nhà đầu tư phải xác thực khi thực hiện lệnh giao dịch đầu tiên, không bắt buộc xác thực khi thực hiện các lệnh tiếp theo. Lần giao dịch kết thúc nếu sau một khoảng thời gian (do chủ quản hệ thống thông tin thiết lập) mà nhà đầu tư không tiếp tục thực hiện lệnh giao dịch.
- Thông tin xác thực của mỗi lần thực hiện giao dịch phải được gắn với tất cả các phiếu lệnh điện tử được khởi tạo trong lần thực hiện giao dịch đó, bảo đảm phù hợp với nội dung quy định về phiếu lệnh điện tử tại Thông tư 134/2017/TT-BTC và Thông tư 73/2020/TT-BTC.
5.2. Yêu cầu về nhận dạng thiết bị đặt lệnh
Hệ thống có thể truy cập các thông tin định danh thiết bị đặt lệnh như sau:
5.2.1. Đối với ứng dụng trên thiết bị di động hoặc trên máy tính:
- Ứng dụng trên thiết bị di động có thể truy cập thông tin như: Số IMEI, số Serial, WLAN MAC, số Android ID hoặc thông tin định danh duy nhất khác của thiết bị.
- Ứng dụng chạy trực tiếp trên máy tính với các hệ điều hành (Linux, Windows, MacOS,...) có thể truy cập thông tin địa chỉ MAC hoặc thông tin định danh thiết bị khác thông qua các API (Application Programming Interface) của hệ điều hành.
5.2.2. Đối với trình duyệt (cho thiết bị di động hoặc máy tính): Xây dựng công cụ mở rộng cho phép truy xuất thông tin nhận dạng thiết bị thông qua các API (ví dụ: plugin,...) để người dùng cài đặt lên trình duyệt khi có nhu cầu đặt lệnh qua website.
QUY ĐỊNH VỀ NHÂN SỰ QUẢN LÝ HỆ THỐNG CÔNG NGHỆ THÔNG TIN
6.1. Nhân sự quản lý hệ thống công nghệ thông tin phải có lý lịch rõ ràng, trình độ chuyên môn phù hợp với vị trí công việc được phân công. Chủ quản hệ thống thông tin phải có chính sách thẩm tra, xác minh lý lịch của cán bộ quản lý và cán bộ kỹ thuật vận hành, chịu trách nhiệm tại các vị trí quan trọng của hệ thống thông tin như: Quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở dữ liệu.
6.2. Hợp đồng tuyển dụng cán bộ công nghệ thông tin phải bao gồm cam kết bảo mật thông tin. Cam kết này phải bao gồm các điều khoản về trách nhiệm bảo đảm an toàn, bảo mật hệ thống thông tin trong và sau khi làm việc tại vị trí công việc được giao; điều khoản xử lý vi phạm và trách nhiệm bồi thường do vi phạm các quy định về an toàn bảo mật hệ thống công nghệ thông tin của cán bộ được tuyển dụng trong và sau khi làm việc tại vị trí công việc được giao.
6.3. Khi cán bộ, nhân viên công nghệ thông tin chấm dứt hoặc thay đổi vị trí công việc, phải có biên bản bàn giao tài sản công nghệ thông tin; thu hồi quyền truy cập hệ thống thông tin của cán bộ, nhân viên nghỉ việc hoặc thay đổi quyền truy cập hệ thống công nghệ thông tin của cán bộ, nhân viên phù hợp với công việc được thay đổi.
6.4. Chủ quản hệ thống thông tin thực hiện phổ biến và cập nhật các quy định về an toàn bảo mật công nghệ thông tin cho cán bộ, nhân viên tại đơn vị. Yêu cầu và kiểm tra việc thi hành các quy định về an toàn, bảo mật công nghệ thông tin của cá nhân, tổ chức thuộc đơn vị tối thiểu một (01) năm một (01) lần.
6.5. Những công việc quan trọng như cấu hình hệ thống an ninh mạng, thay đổi tham số hệ điều hành, cài đặt thiết bị tường lửa, thiết bị phát hiện và ngăn chặn xâm nhập phải được thực hiện bởi ít nhất hai người hoặc phải có người giám sát./.