Trung tâm Dữ liệu Y tế – SAVIS: Ghi nhớ hợp tác về triển khai các giải pháp ký số, giám sát an toàn thông tin mạng, lưu trữ điện tử
Ngày 4/7/2020, tại Hà Nội, Trung tâm Dữ liệu y tế và Công ty Cổ phần Tập đoàn SAVIS đã ký thỏa thuận hợp tác về triển khai các sản phẩm – giải pháp chữ ký số, giám sát an toàn thông tin mạng và lưu trữ điện tử.
Ra mắt Nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng đáp ứng yêu cầu kết nối, chia sẻ thông tin
Ngày 03/7/2020, tại Hà Nội, Bộ TT&TT đã tổ chức Lễ ra mắt “Nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng (SOC) đáp ứng yêu cầu kết nối, chia sẻ thông tin”. Thứ trưởng Nguyễn Thành Hưng tới dự và phát biểu tại sự kiện. Tham dự còn có đại diện các cơ quan chuyên trách CNTT, ATTT của một số Bộ, ngành, 63 Sở TT&TT trên cả nước (theo hình thức trực tuyến), đại diện các doanh nghiệp an toàn thông tin. Phát biểu tại lễ ra mắt, Thứ trưởng Nguyễn Thành Hưng nhận định, các Nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng (SOC) đáp ứng yêu cầu kết nối, chia sẻ thông tin được giới thiệu trong lễ ra mắt hôm nay đều là những nền tảng do doanh nghiệp Việt Nam phát triển, đã sẵn sàng cung cấp dịch vụ ra thị trường và kết nối, chia sẻ thông tin với hệ thống giám sát an toàn không gian mạng quốc gia. Tám doanh nghiệp Việt Nam đã đáp ứng các yêu cầu, tiêu chí của Bộ TT&TT gồm: Công ty Cổ phần Công nghệ SAVIS; Công ty An ninh mạng Viettel; Trung tâm An toàn thông tin VNPT; Trung tâm An ninh mạng, Tập đoàn công nghệ BKAV; Công ty TNHH Hệ thống Thông tin FPT (FPT IS); Công ty CMC Cyber Security; Công ty Cổ phần an toàn thông tin CyRadar (CyRadar) và Công ty cổ phần công nghệ Giải pháp quốc tế VNCS Global. Theo Thứ trưởng Nguyễn Thành Hưng, các nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng (SOC) đáp ứng yêu cầu kết nối, chia sẻ thông tin sẽ giúp các Bộ, ngành, địa phương rút ngắn thời gian 90% khối lượng, thời gian triển khai mô hình “4 lớp”, lựa chọn nền tảng cung cấp dịch vụ SOC đáp ứng yêu cầu kết nối, chia sẻ thông tin sẽ bảo đảm hoàn thành 02 lớp quan trọng trong mô hình “4 lớp” là lớp 2 và lớp 4. Các nền tảng này sẽ góp phần kích cầu thị trường cung cấp giải pháp, dịch vụ giám sát ATTT nói riêng và thị trường ATTT nói chung, thúc đẩy phát triển kinh tế, hỗ trợ các cơ quan, doanh nghiệp chuyển đổi, giúp các doanh nghiệp Việt Nam đẩy mạnh đầu tư các giải pháp, công nghệ tiên tiến, tiến tới làm chủ và hình thành hệ sinh thái các sản phẩm ATTT “Make in Vietnam”. Với các nền tảng đã đạt được các tiêu chí của Bộ TT&TT, chủ quản của các hệ thống thông tin sẽ được sử dụng các dịch vụ chuyên nghiệp, chất lượng cao, tin cậy của các doanh nghiệp Việt Nam và có sự giám sát chéo của cơ quan quán lý nhà nước là Cục ATTT, Bộ TT&TT. Thứ trưởng khẳng định: “Sự kiện này đánh dấu một bước quan trọng trong chiến lược “Make in Vietnam”, một lần nữa khẳng định các doanh nghiệp Việt Nam đủ năng lực nghiên cứu, phát triển và đã sẵn sàng cung cấp dịch vụ đảm bảo an toàn, an ninh mạng cho thị trường trong nước và có khả năng vươn ra thế giới”. Nhận định về thực tiễn triển khai hệ thống điều hành an toàn, an ninh mạng (SOC) tại Việt Nam, đại diện Cục An toàn Thông tin cho biết, hoạt động giám sát không đồng bộ, chưa sát thực chất, dẫn tới hiệu quả trong thực tế không cao. Các đơn vị triển khai theo các cách khác nhau, phần lớn không đồng bộ, chỉ triển khai ở mức mạng. Không có các kênh chia sẻ, trao đổi cập nhật thông tin về các nguy cơ. Ngoài ra, đội ngũ nhân lực chuyên trách an toàn, an ninh mạng ở các địa phương, bộ ngành còn rất hạn chế. Rất it đơn vị có giám sát 24/7 cũng như nhân sự “cứng” để xử lý các sự cố tấn công mạng nguy hiểm, có chủ đích. Nguồn lực cho công tác giám sát an toàn, an ninh mạng hạn chế, lại phân bổ, dàn trải, không đều. Hơn nữa, thị trường giám sát còn hạn chế, các doanh nghiệp tham gia triển khai dịch vụ không nhiều. Tại buổi lễ ra mắt, đại diện từ các Sở TT&TT và đại diện Cục ATTT cũng như các doanh nghiệp ATTT đã có nhiều trao đổi, giải đáp thắc mắc liên quan đến SOC. Khi được hỏi về những ưu việt của sản phẩm ATTT Việt Nam so với sản phẩm nước ngoài, các doanh nghiệp đều chia sẻ rằng, khi gặp sự cố, nếu liên hệ với bộ phận hỗ trợ của các hãng bảo mật nước ngoài thì phải chờ tối thiểu 8 giờ đồng hồ. Còn đối với sản phẩm Việt Nam, sự hỗ trợ là ngay lập tức và 24/7. Đây là một ưu điểm lớn. Ngoài ra, sản phẩm ATTT Việt Nam nếu cần điều chỉnh có thể đáp ứng được dễ dàng hơn trong khi các sản phẩm của nước ngoài bán trên toàn cầu sẽ có một số trở ngại. SAVIS Ông Nguyễn Thành Phúc – Cục trưởng Cục ATTT cũng nêu ra một câu hỏi chung mà nhiều tỉnh thành thắc mắc, đó là nên đầu tư hay nên thuê SOC. Quan điểm của Cục ATTT là phương án thuê là tốt nhất. Nếu không đủ nguồn lực thuê thì có thể đầu tư trang thiết bị, nhưng nên thuê nhân sự của doanh nghiệp ATTT vận hành, ông Phúc cho hay. Theo Bộ Thông tin và Truyền thông, số ra ngày 03/07/2020 https://mic.gov.vn/Pages/TinTuc/tinchitiet.aspx?tintucid=143083
Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 3)
Đây là bài viết thứ 3 trong chuỗi bài viết về Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử. Phần này sẽ chi tiết hóa và cung cấp nội dung về PSD2 – Chỉ thị dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu. III. PSD2 – Chỉ thị dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu Quá trình số hóa và chuyển đổi số trong nền kinh tế của EU đem tới nhiều thành phần tham dự vào thanh toán điện tử (ví dụ: tiền ảo, ví điện tử), đồng hành cùng các rủi ro mới nhằm ngoài các văn bản luật hiện hành. Cùng sự phê chuẩn bộ Quy định eIDAS, Liên minh Châu Âu soạn thảo Chỉ thị Dịch vụ Thanh toán sửa đổi PSD2 (tên đầy đủ “Payment Service Directive 2 – Directive 2015/2366) thay thế cho Chỉ thị 2007/64/EC lần đầu vào tháng 7 năm 2013 và chính thức có hiệu lực trên toàn lãnh thổ vào tháng 9 năm 2019. Chỉ thị Dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu nhằm mục đích tăng cường tính bảo mật trong thanh toán điện tử, cải thiện khả năng bảo vệ người tiêu dùng, nâng cao động lực đổi mới sáng tạo và tính cạnh tranh – đồng thời đảm bảo môi trường công bằng cho tất cả các thành phần tham gia vào mô hình giao dịch điện tử (bao gồm cả những đối tượng không được quy định trong phiên bản đầu tiên của Chỉ thị Dịch vụ Thanh toán) 1.Nội dung chính Chỉ thị Dịch vụ Thanh toán sửa đổi có tổng cộng 117 điều khoản, bao hàm những điều khoản chính như sau: – Tăng cường tính minh bạch trong thanh toán điện tử thông qua việc cho phép các tổ chức được ủy quyền truy cập thông tin khách hàng, sử dụng thông tin khách hàng để thu hộ chi hộ (XS2A – Access service to Account). Việc truy cập này được cho phép qua API, nhờ đó giảm thiểu thời gian và quy trình thanh toán điện tử một khi bên thứ ba được ủy quyền thực hiện giao dịch trực tiếp với ngân hàng/tổ chức tín dụng. Tuy nhiên, hiện tại chưa có một cổng Open API chung cho toàn Liên minh Châu Âu mà các ASPSP (các ngân hàng) sử dụng API của riêng mình, tạo nên khó khăn nhất định khi tiếp cận dịch vụ XS2A do số lượng API phát sinh là rất lớn. – Tăng cường định nghĩa về các thành phần mới trong thanh toán điện tử của nền kinh tế số, bao gồm: + Nhà cung cấp dịch vụ thanh toán bên thứ ba (TPP – Third Party Payment Service Providers): Các tổ chức tham gia thanh toán trên danh nghĩa của khách hàng. Trong PSD2, các tổ chức này có thể thực hiện dưới danh nghĩa “Nhà cung cấp dịch vụ thông tin khách hàng” hoặc “Nhà cung cấp dịch vụ khởi tạo thanh toán + Nhà cung cấp dịch vụ quản lý tài khoản trong thanh toán (ASPSP – Account Servicing Payment Service Providers): Các tổ chức cung cấp và cho phép sử dụng tài khoản tài chính (ví dụ: ngân hàng). Các ASPSP có thể là ngân hàng hoặc tổ chức tín dụng.. + Nhà cung cấp dịch vụ thông tin khách hàng (AISP – Account Information Service Providers): Các tổ chức này thống kê tài khoản thanh toán vào một điểm truy cập duy nhất nhằm giúp khách hàng quản lý tài chính tốt hơn (ví dụ: tổ chức quản lý tài chính). + Nhà cung cấp dịch vụ khởi tạo thanh toán (PISP – Payment initiation Service Provider): Các tổ chức cho phép thực hiện thanh toán giao dịch điện tử thông qua phương pháp online (ví dụ: ví điện tử). – Tăng cường tính bảo mật trong thanh toán điện tử thông qua quy định bắt buộc áp dụng Xác thực Định danh Tăng cường (SCA – Strong Customer Authentication) đối với thanh toán điện tử thực hiện trong lãnh thổ Châu Âu. Với PSD2, để đạt quy định về xác thực định danh tăng cường cần có 2 trong 3 yếu tố: điều khách hàng biết – “Something you know” (ví dụ: mã pin), điều khách hàng có – “Something you own” (ví dụ: token) và điều khách hàng sở hữu riêng – “Something you are” (ví dụ: vân tay). Tuy những yêu cầu tăng cường về bảo mật trong SCA được đặt ra nhằm bảo vệ người sử dụng dịch vụ thanh toán điện tử, SCA cũng có những ngoại lệ không áp dụng để đảm bảo tính tiện lợi khi sử dụng dịch vụ, bao gồm: + Giao dịch với giá trị dưới 30 EUR. Mặc dù vậy, SCA vẫn phải được áp dụng cho mỗi 5 lần giao dịch. + Giao dịch định kỳ với khoản thanh toán cố định: trong PSD2 thì SCA chỉ được áp dụng với những giao dịch được khởi tạo bởi người dùng. Các giao dịch định kỳ (trả hóa đơn nhà, hóa đơn nước…) được coi là do nhà cung cấp dịch vụ khởi tạo, vì vậy không yêu cầu xác thực SCA sau lần thanh toán đầu tiên. + Danh sách tin cậy (Whitelist): người sử dụng có thể kích hoạt tính năng “danh sách tin cậy” từ ngân hàng để không sử dụng SCA đối với nhà cung cấp thuộc danh sách. + Giao dịch MOTO (Mail Order and Telephone Orders): các giao dịch gửi qua thư từ và điện thoại không thuộc phạm vi giao dịch điện tử, do đó không phải thực hiện xác thực SCA. + Giao dịch liên khu vực: SCA không áp dụng cho giao dịch nếu người bán và người mua không nằm trong khu vực kinh tế chung Châu Âu. + Giao dịch
