Quyết định 349/2002/QĐ-NHNN sử dụng Mã khoá bảo mật trong hệ thống thanh toán điện tử ngân hàng

QUYẾT ĐỊNH

CỦA THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
SỐ 349/2002/QĐ-NHNN NGÀY 17 THÁNG 4 NĂM 2002
VỀ VIỆC BAN HÀNH QUY ĐỊNH VỀ XÂY DỰNG, CẤP PHÁT,
QUẢN LÝ VÀ SỬ DỤNG Mà KHOÁ BẢO MẬT TRONG HỆ THỐNG
THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG

THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC

- Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 01/1997/QH10 ngày 12 tháng 12 năm 1997;

- Căn cứ Pháp lệnh Bảo vệ bí mật Nhà nước ngày 28/12/2000;

- Căn cứ Nghị định số 15/CP ngày 02 tháng 03 năm 1993 của Chính phủ về nhiệm vụ, quyền hạn và trách nhiệm quản lý Nhà nước của Bộ, cơ quan ngang Bộ;

- Căn cứ Quyết định số 135/1999/QĐ-TTg ngày 02 tháng 06 năm 1999 của Thủ tướng Chính phủ về danh mục bí mật Nhà nước trong ngành Ngân hàng;

- Căn cứ Quyết định số 44/2002/QĐ-TTg ngày 21/03/2002 của Thủ tướng Chính phủ về việc sử dụng chứng từ điện tử làm chứng từ kế toán để hạch toán và thanh toán vốn của các tổ chức cung ứng dịch vụ thanh toán.

- Theo đề nghị của Cục trưởng Cục Công nghệ Tin học Ngân hàng,

QUYẾT ĐỊNH

Điều 1. Ban hành kèm theo quy định này "Quy định về việc xây dựng, cấp phát, quản lý và sử dụng Mã hoá bảo mật trong hệ thống Thanh toán điện tử liên Ngân hàng".

Điều 2. Quy định này có hiệu lực thi hành sau 15 ngày kể từ ngày kỳ.

Điều 3. Chánh Văn phòng, Cục trưởng Cục Công nghệ Tin học Ngân hàng, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Giám đốc chi nhánh Ngân hàng Nhà nước tỉnh, thành phố trực thuộc Trung ương và Tổng Giám đốc (Giám đốc) các tổ chức cung ứng dịch vụ thanh toán chịu trách nhiệm thi hành quy định này.

QUY ĐỊNH

VỀ VIỆC XÂY DỰNG, CẤP PHÁT, QUẢN LÝ VÀ SỬ DỤNG
Mà KHÓA BẢO MẬT TRONG HỆ THỐNG THANH TOÁN
ĐIỆN TỬ LIÊN NGÂN HÀNG

(Ban hành kèm theo Quyết định số 349/QĐ-NHNN
ngày 17/4/2002 của Thống đốc Ngân hàng Nhà nước)

I. QUY ĐỊNH CHUNG

Điều 1. Mã khoá bảo mật trong hệ thống thanh toán điện tử liên Ngân hàng (gọi tắt là Mã khoá bảo mật) là một ứng dụng kỹ thuật Tin học nhằm đảm bảo bí mật và an toàn dữ liệu điện tử trong giao dịch và kiểm soát thanh toán, điện tử liên Ngân hàng trên mạng máy tính,

Mã khoá bảo mật gồm 2 loại:

1. Mã khoá bảo mật thẩm quyền phê duyệt (gọi tắt là Mã khoá bảo mật phê duyệt).

2. Mã khoá bảo mật cho việc lập lệnh thanh toán và kiểm soát nội bộ (gọi tắt là Mã khoá bảo mật nội bộ).

Điều 2. Mã khoá bảo mật thuộc danh mục bí mật Nhà nước trong ngành Ngân hàng, cấp độ "Tối mật". Người cung cấp và cài đặt chương trình phần mềm máy tính phục vụ việc xây dựng, cấp, quản lý và sử dụng Mã khoá bảo mật phải bảo vệ bí mật Nhà nước theo quy định tại Quyết định số 135/1999/QĐ-TTg ngày 02/06/1999 của Thủ tướng Chính phủ về danh mục bí mật Nhà nước trong ngành Ngân hàng.

Điều 3. Mã khoá bảo mật cấp cho mỗi cá nhân để thực hiện nhiệm vụ theo thẩm quyền của cá nhân đó trong việc lập, kiểm soát, phê duyệt chứng từ điện tử trong hệ thống thanh toán điện tử liên Ngân hàng.

II. XÂY DỰNG, CẤP PHÁT VÀ QUẢN LÝ Mà KHOÁ BẢO MẬT

Điều 4. Thẩm quyền cấp và quản lý Mã khoá bảo mật

1. Cục trưởng Cục công nghệ tin học Ngân hàng chịu trách nhiệm xây dựng, cấp và quản lý Mã khoá bảo mật phê duyệt.

2. Thủ trưởng các thành viên và đơn vị thành viên chịu trách nhiệm xây dựng, cấp và quản lý Mã khoá bảo mật nội bộ.

Điều 5. Đối tượng được cấp Mã khoá bảo mật

1. Đối với Mã khoá bảo mật phê duyệt

a) Giám đốc, Phó giám đốc phụ trách kế toán, Trưởng phòng Kế toán thanh toán hoặc những người được uỷ quyền thực hiện công tác kiểm soát chứng từ điện tử tại Sở giao dịch Ngân hàng Nhà nước, Chi nhánh Ngân hàng Nhà nước tham gia hệ thống Thanh toán điện tử liên Ngân hàng.

b) Tổng Giám đốc (Giám đốc) hoặc người được uỷ quyền thực hiện công tác kiểm soát các chứng từ điện tử trong hệ thống Thanh toán điện tử liên Ngân hàng tại các thành viên và đơn vị thành viên ngoài hệ thống NHNN.

2. Đối với Mã khoá bảo mật nội bộ

Các cá nhân được phân công thực hiện lập lệnh thanh toán hoặc kiểm soát nội bộ.

Điều 6. Cấp và quản lý Mã khoá bảo mật

1. Việc cấp và quản lý Mã khoá bảo mật được thực hiện bằng chương trình tin học do Ngân hàng Nhà nước cài đặt trong máy tính riêng đặt tại đơn vị cấp và quản lý Mã khoá bảo mật. Việc vận hành chương trình tin học này phải tuân thủ quy định trong Quy trình kỹ thuật vận hành hệ thống Thanh toán điện tử liên ngân hàng do Cục Công nghệ tin học Ngân hàng hướng dẫn.

2. Cục trưởng Cục Công nghệ Tin học hoặc người được Cục trưởng Cục Công nghệ Tin học uỷ quyền thực hiện thủ tục cấp Mã khoá bảo mật phê duyệt cho các cá nhân thuộc đối tượng được cấp mã theo danh sách các thành viên và đơn vị thành viên đề nghị.

3. Thủ trưởng các thành viên và đơn vị thành viên hoặc người được Thủ trưởng các thành viên và đơn vị thành viên uỷ quyền, thực hiện thủ tục cấp Mã khoá bảo mật nội bộ cho các cán bộ được phân công đảm nhận công việc lập lệnh thanh toán và kiểm soát nội bộ.

Điều 7. Việc xây dựng mã khoá bảo mất phải thực hiện đúng các quy định sau đây:

1. Các máy tính, máy in và các trang thiết bị kỹ thuật khác phục vụ việc xây dựng Mã khoá bảo mật phải được lắp đặt nơi an toàn, quản lý chặt chẽ và sử dụng riêng biệt để đảm bảo tình trạng kỹ thuật tốt và an toàn;

2. Tuyệt đối tuân thủ quy trình xây dựng Mã khoá bảo mật đã được quy định trong Quy trình kỹ thuật vận hành hệ thống thanh toán điện tử liên Ngân hàng do Cục Công nghệ tin học Ngân hàng hướng dẫn;

3. Mã khoá bảo mật phải được đăng ký vào sổ theo dõi Mã khoá bảo mật. Sổ theo dõi Mã khoá bảo mật do Thủ trưởng hoặc người được Thủ trưởng uỷ quyền của đơn vị cấp Mã khoá bảo mật trực tiếp lưu giữ và bảo quản theo chế độ tài liệu mật. Sổ theo dõi phải được ghi chép đầy đủ tất cả các yếu tố liên quan tới Mã khoá bảo mật như: mã đơn vị, mã người sử dụng, tên người sử dụng, ngày cấp, ngày dự kiến hết hạn, ngày có hiệu lực.

4. Khi sử dụng và lưu giữ, Mã khoá bảo mật được để trên đĩa mềm hoặc đĩa CDROM. Việc quản lý các phương tiện mang tin này phải tuân thủ các quy định tại Điều 9 của Quy định này.

5. Không được xây dựng và nhân bản vượt quá số lượng Mã khoá bảo mật quy định.

III. GIAO NHẬN, VẬN CHUYỂN, BẢO QUẢN
Mà KHOÁ BẢO MẬT

Điều 8. Việc giao nhận, vận chuyển Mã khoá bảo mật giữa các khâu xây dựng, cấp, thay đổi được thực hiện theo quy định sau:

1. Các phương thức giao nhận, vận chuyển Mã khoá bảo mật

- Giao nhận qua mạng máy tính theo hình thức bảo mật;

- Giao nhận trực tiếp;

- Giao nhận qua đường công văn mật.

2. Giao nhận Mã khoá bảo mật qua mạng máy tính theo hình thức bảo mật phải thực hiện theo quy định trong Quy trình kỹ thuật vận hành hệ thống thanh toán điện tử liên ngân hàng do Cục Công nghệ tin học Ngân hàng hướng dẫn.

3. Mọi trường hợp giao nhận trực tiếp Mã khoá bảo mật giữa người xây dựng, văn thư, người được cấp và các đối tượng khác, đều phải được đăng ký vào sổ, ký nhận giữa hai bên và thực hiện tại phòng làm việc theo quy định.

4. Khi giao nhận Mã khoá bảo mật qua đường văn thư mật: Cục công nghệ Tin học Ngân hàng, các thành viên và đơn vị thành viên phải ghi sổ " Mã khoá bảo mật gửi đi" để theo dõi và đối chiếu, đồng thời làm các thủ tục sau:

a) Trường hợp giao Mã khoá bảo mật

- Lập Giấy báo mã khoá bảo mật: Ghi (in) rõ số và ký hiệu Mã khoá bảo mật, tên người nhận. Giấy báo mã khoá bảo mật phải đóng dấu độ mật, độ khẩn theo đúng quy định đối với tài liệu mật.

- Lập Phiếu gửi: Ghi rõ ngày, giờ, tên người nhận Giấy báo mã khoá bảo mật.

- Quản lý phong bì (bì thư): Khi gửi Giấy báo Mã khoá bảo mật, phải để trong bì thư riêng, không gửi chung với bì thư tài liệu thường, giấy làm bì thư phải là loại giấy dai, không thấm nước, không nhìn thấu qua được, gấp bì thư qua một mối chéo, hồ dán phải dính, khó bóc. Giấy báo Mã khoá bảo mật gửi đi phải để trong 2 lần bì thư:

Bì thư trong: Chỉ đựng Giấy báo Mã khoá bảo mật; sau đó dán kín và niêm phong. Ngoài bì thư ghi rõ, tên người nhận, đóng dấu "Tối mật" và có dòng chữ "Chỉ người có tên mới được bóc bì thư".

Bì thư ngoài: Đựng bì thư trong và Phiếu gửi. Ngoài bì thư ghi như gửi tài liệu thường và phải đóng dấu có chữ "B" in hoa nét đậm, không đóng dấu "Tối mật".

Cục Công nghệ Tin học Ngân hàng, các thành viên và đơn vị thành viên có trách nhiệm theo dõi, kiểm tra, đối chiếu với đơn vị hoặc cá nhân nhận Mã khoá bảo mật để tránh thất lạc, sai sót.

b) Trường hợp nhận Giấy báo mã khoá bảo mật

Giấy báo mã khoá bảo mật gửi đến phải qua văn thư mật vào sổ "Tài liệu tối mật gửi đến" để theo dõi và báo cáo ngay cho Thủ trưởng đơn vị trước khi chuyển cho cá nhân được cấp (nhận). Người nhận được Giấy báo mã khoá bảo mật phải ký xác nhận vào Phiếu gửi và giao lại cho văn thư làm thủ tục hoàn trả Phiếu gửi cho Cục Công nghệ tin học ngay trong ngày làm việc.

Điều 9. Việc lưu giữ và bảo quản Mã khoá bảo mật được thực hiện theo các quy định sau:

1. Mã khoá bảo mật mới được xây dựng, Mã khoá bảo mật đã cấp nhưng chưa sử dụng hoặc đang sử dụng đều phải được các đơn vị, cá nhân có liên quan mở sổ theo dõi, cất giữ và bảo quản chặt chẽ theo quy định như đối với tài liệu tối mật.

2. Khi không sử dụng hoặc chưa sử dụng, Mã khoá bảo mật phải được lưu giữ, bảo quản cẩn thận trong hòm, tủ có khoá chắc chắn, đặt tại trụ sở làm việc nơi bảo đảm an toàn về hành chính và điều kiện môi trường kỹ thuật (nhiệt độ, độ ẩn...).

IV. TRÁCH NHIỆM CỦA NGƯỜI CẤP Mà KHOÁ BẢO MẬT

Điều 10. Trách nhiệm của Cục Công nghệ Tin học Ngân hàng

Nhận được yêu cầu đình chỉ, thay đổi hoặc báo cáo về tình trạng sử dụng Mã khoá bảo mật không an toàn, Cục trưởng Cục Công nghệ Tin học hoặc người được uỷ quyền, tuỳ theo từng trường hợp phải thực hiện ngay các công việc sau:

1. Sử dụng các biện pháp kỹ thuật tin học để:

a) Đình chỉ hiệu lực sử dụng và huỷ Mã khoá bảo mật phê duyệt.

b) Cấp lại Mã khoá bảo mật phê duyệt mới (nếu có yêu cầu).

2. Thông báo cho các đơn vị và cá nhân liên quan biết để thực hiện, mỗi khi có sự thay đổi, đình chỉ hoặc cấp mới Mã khoá bảo mật.

Điều 11. Trách nhiệm của các thành viên và đơn vị thành viên

Nhận được yêu cầu đình chỉ, thay đổi, hoặc báo cáo về tình trạng sử dụng Mã khoá bảo mật không an toàn, Thủ trưởng các thành viên và đơn vị thành viên hoặc người được uỷ quyền, tuỳ theo từng trường hợp phải thực hiện ngay các công việc sau đây:

1. Đối với Mã khoá bảo mật phê duyệt.

a) Sử dụng các biện pháp kỹ thuật tin học để:

- Đình chỉ và thu hồi Mã khoá bảo mật.

b) Thông báo ngay về Cục Công nghệ Tin học Ngân hàng.

c) Huỷ bỏ quyền sử dụng phần mềm của người kiểm soát này tại đơn vị và báo cáo bằng văn bản về Cục Công nghệ Tin học Ngân hàng.

2. Đối với Mã khoá bảo mật nội bộ

Sử dụng các biện pháp kỹ thuật tin học để:

a) Đình chỉ sử dụng và huỷ bỏ quyền sử dụng phần mềm thanh toán điện tử liên Ngân hàng của người quản lý sử dụng Mã khoá bảo mật.

b) Huỷ mã khoá bảo mật cũ, cấp lại Mã khoá bảo mật mới.

V. TRÁCH NHIỆM CỦA NGƯỜI SỬ DỤNG Mà KHOÁ BẢO MẬT

Điều 12. Mã khoá bảo mật chỉ được sử dụng cho việc lập, kiểm soát, phê duyệt chứng từ điện tử trong hệ thống Thanh toán điện tử liên Ngân hàng theo quy định tại Quy chế Thanh toán điện tử liên Ngân hàng.

Điều 13. Mã khoá bảo mật cấp cho cá nhân nào thì chỉ cá nhân đó được phép sử dụng theo đúng thẩm quyền quy định. Nghiêm cấm việc tiết lộ, nhân bản, giao lại hoặc hướng dấn cách sử dụng Mã khoá bảo mật cho người khác để sử dụng trong bất kỳ trường hợp nào.

Màn hình máy tính, bàn phím và các trang thiết bị để sử dụng Mã khoá bảo mật phải được bố trí, sắp xếp ở vị trí khuất để người khác không thể quan sát được các ký hiệu mã và các thao tác trong quá trình sử dụng.

Điều 14. Người sử dụng Mã khoá bảo mật pải tuyệt đối tuân thủ quy định về sử dụng Mã khoá bảo mật để bảo đảm sự chính xác, an toàn và bảo mật.

Điều 15. Trường hợp bị mất, bị lộ hoặc nghi bị lộ Mã khoá bảo mật, người được cấp Mã khoá bảo mật phải báo ngay cho Thủ trưởng đơn vị và nơi cấp mã khoá biết để có biện pháp xử lý đình chỉ ngay việc sử dụng Mã khoá bảo mật cũ và làm thủ tục cấp lại Mã khoá bảo mật mới.

VI. ĐÌNH CHỈ SỬ DỤNG, THU HỒI VÀ THAY ĐỔI
Mà KHOÁ BẢO MẬT

Điều 16. Đình chỉ sử dụng, huỷ bỏ và thay đổi Mã khoá bảo mật trong các trường hợp sau:

1. Mã khoá bảo mật đã có thông báo bị mất, bị lộ hoặc nghi bị lộ;

2. Mã khoá bảo mật bị lỗi do yếu tố kỹ thuật.

3. Mã khoá bảo mật đã hết hạn sử dụng (thay đổi theo thời hạn).

Điều 17. Thu hồi Mã khoá bảo mật

Mã khoá bảo mật bị thu hồi và huỷ trong trường hợp người được cấp Mã khoá bảo mật chuyển sang làm công tác khác hoặc bị buộc ngừng sử dụng hệ thống Thanh toán điện tử liên Ngân hàng.

Điều 18. Thủ tục đình chỉ sử dụng, huỷ bỏ, thay đổi và thu hồi mã khoá bảo mật; Các quy định về hiệu lực và định kỳ sử dụng mã khoá bảo mật được thực hiện theo quy định tại Quy trình kỹ thuật vận hành hệ thống thanh toán điện tử liên Ngân hàng do Cục Công nghệ Tin học Ngân hàng hướng dẫn .

VII. PHẠM VI VÀ XỬ LÝ VI PHẠM

Điều 19. Các hành vi vi phạm

1. Làm mất hoặc để lộ Mã khoá bảo mật.

2. Tìm cách giải mã, chiếm đoạt, mua bán, tiết lộ, nhân bản và huỷ bỏ trái phép Mã khoá bảo mật.

3. Sử dụng Mã khoá bảo mật sai quy định hoặc lợi dụng để tham ô tài sản Nhà nước.

4. Lợi dụng việc bảo vệ Mã khoá bảo mật để che dấu các hành vi vi phạm pháp luật.

5. Vi phạm các quy định khác được quy định trong bản Quy định này.

Điều 20. Xử lý vi phạm

Mọi hành vi vi phạm quy định về việc xây dựng, cấp phát, quản lý và sử dụng Mã khoá bảo mật trong hệ thống thanh toán điện tử liên Ngân hàng, tuỳ theo tính chất, mức độ mà có thể bị xử lý hành chính hoặc truy cứu trách nhiệm hình sự và phải chịu trách nhiệm bồi thường vật chất về những thiệt hại gây ra theo quy định của pháp luật.

VIII. ĐIỀU KHOẢN THI HÀNH

Điều 21. Cục trưởng Cục Công nghệ tin học Ngân hàng chịu trách nhiệm:

1. Quản lý việc xây dựng, cấp, thay đổi và hướng dấn sử dụng Mã khoá bảo mật phê duyệt trong hệ thống Thanh toán điện tử liên Ngân hàng.

2. Hướng dẫn và kiểm tra việc thực hiện Quy định về việc xây dựng, cấp, sử dụng và quản lý Mã khoá bảo mật trong hệ thống Thanh toán điện tử liên Ngân hàng.

Điều 22. Thủ trưởng các thành viên và đơn vị thành viên tham gia hệ thống Thanh toán điện tử liên Ngân hàng có trách nhiệm:

1. Quản lý việc xây dựng, cấp, thay đổi và hướng dấn sử dụng Mã khoá bảo mật nội bộ trong hệ thống Thanh toán điện tử liên ngân hàng.

2. Quản lý và giám sát việc sử dụng Mã khoá bảo mật tại đơn vị mình theo đúng Quy định này.

Điều 23. Việc sửa đổi, bổ sung bản Quy định này do Thống đốc Ngân hàng Nhà nước quyết định.