Quy định mã hóa dữ liệu tại vùng lưu trữ dữ liệu thẻ ngân hàng

Theo quy định tại Khoản 2 Điều 14 Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành thì nội dung này được quy định như sau:

a) Các khóa dùng trong mã hóa phải được lưu trữ và có biện pháp đảm bảo an toàn tránh nguy cơ lộ thông tin:

- Giới hạn số lượng người có quyền truy cập đến khóa mã hóa;

- Lưu giữ các khóa riêng dùng để mã hóa, giải mã dữ liệu chủ thẻ trong mọi thời điểm theo một trong các phương thức sau:

+ Lưu trữ trong thiết bị chuyên dụng hoặc thiết bị bảo mật PIN trong giao dịch;

+ Lưu giữ khóa thành tối thiểu hai phần riêng biệt.

+ Thực hiện mã hóa khóa bằng thuật toán phải mạnh bằng hoặc mạnh hơn thuật toán dùng để mã hóa dữ liệu. Khóa để mã hóa khóa phải được lưu trữ tách biệt với khóa để mã hóa dữ liệu;

b) Ban hành quy trình thực hiện tất cả các công việc liên quan đến quản lý khóa và thủ tục mã hóa để mã hóa dữ liệu chủ thẻ bao gồm:

- Quá trình tạo ra các khóa mã hóa;

- Phân phối khóa mã hóa;

- Lưu giữ khóa mã hóa;

- Định kỳ thay đổi các khóa khi hết vòng đời sử dụng;

- Thay thế hoặc thu hồi các khóa khi có nghi ngờ bị lộ, bị sửa đổi.

c) Quản lý khóa mã hóa phải đáp ứng tối thiểu các yêu cầu sau:

- Nếu sử dụng các khóa mã hóa dưới dạng bản rõ (clear text) phải đảm bảo khóa này được chia thành nhiều phần quản lý bởi tối thiểu hai người, mỗi người giữ một phần khóa mã hóa;

- Ngăn ngừa việc thay thế các khóa mã hóa khi chưa được phép;

- Phải quy định rõ trách nhiệm của người giữ khóa mã hóa.

Trên đây là nội dung tư vấn về Quy định mã hóa dữ liệu tại vùng lưu trữ dữ liệu thẻ ngân hàng. Để hiểu rõ hơn về vấn đề này vui lòng tham khảo thêm tại Thông tư 47/2014/TT-NHNN.

Trân trọng!