Quyết định

QUYẾT ĐỊNH

CỦA THỐNGĐỐC NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
SỐ 349/2002/QĐ-NHNN NGÀY 17 THÁNG 4 NĂM 2002
VỀ VIỆC BAN HÀNH QUY ĐỊNH VỀ XÂY DỰNG, CẤP PHÁT,
QUẢN LÝ VÀ SỬ DỤNG Mà KHOÁ BẢO MẬT TRONG HỆ THỐNG
THANH TOÁN ĐIỆN TỬ LIÊN NGÂN HÀNG

THỐNG ĐỐC NGÂN HÀNGNHÀ NƯỚC

- Căn cứ Luật Ngânhàng Nhà nước Việt Nam số 01/1997/QH10 ngày 12 tháng 12 năm 1997;

- Căn cứ Pháp lệnh Bảovệ bí mật Nhà nước ngày 28/12/2000;

- Căn cứ Nghị định số 15/CP ngày 02 tháng 03 năm 1993 của Chính phủ về nhiệm vụ, quyền hạn và tráchnhiệm quản lý Nhà nước của Bộ, cơ quan ngang Bộ;

- Căn cứ Quyết định số 135/1999/QĐ-TTg ngày 02 tháng 06 năm 1999 của Thủ tướng Chính phủ về danh mụcbí mật Nhà nước trong ngành Ngân hàng;

- Căn cứ Quyết định số 44/2002/QĐ-TTg ngày 21/03/2002 của Thủ tướng Chính phủ về việc sử dụng chứng từđiện tử làm chứng từ kế toán để hạch toán và thanh toán vốn của các tổ chứccung ứng dịch vụ thanh toán.

- Theo đề nghị của Cụctrưởng Cục Công nghệ Tin học Ngân hàng,

QUYẾT ĐỊNH

Điều 1. Ban hành kèm theo quy định này"Quy định về việc xây dựng, cấp phát, quản lý và sử dụng Mã hoá bảo mậttrong hệ thống Thanh toán điện tử liên Ngân hàng".

Điều 2. Quy định này có hiệu lực thihành sau 15 ngày kể từ ngày kỳ.

Điều 3. Chánh Văn phòng, Cục trưởng CụcCông nghệ Tin học Ngân hàng, Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nướcViệt Nam, Giám đốc chi nhánh Ngân hàng Nhà nước tỉnh, thành phố trực thuộcTrung ương và Tổng Giám đốc (Giám đốc) các tổ chức cung ứng dịch vụ thanh toánchịu trách nhiệm thi hành quy định này.


QUYĐỊNH

VỀ VIỆCXÂY DỰNG, CẤP PHÁT, QUẢN LÝ VÀ SỬ DỤNG
Mà KHÓA BẢO MẬT TRONG HỆ THỐNG THANH TOÁN
ĐIỆN TỬ LIÊN NGÂN HÀNG

(Ban hành kèm theo Quyết định số 349/QĐ-NHNN
ngày 17/4/2002 của Thống đốc Ngân hàng Nhà nước)

I. QUY ĐỊNH CHUNG

Điều 1. Mã khoá bảo mật trong hệ thốngthanh toán điện tử liên Ngân hàng (gọi tắt là Mã khoá bảo mật) là một ứng dụngkỹ thuật Tin học nhằm đảm bảo bí mật và an toàn dữ liệu điện tử trong giao dịchvà kiểm soát thanh toán, điện tử liên Ngân hàng trên mạng máy tính,

Mã khoá bảo mật gồm 2loại:

1. Mã khoá bảo mật thẩm quyền phê duyệt (gọi tắt là Mã khoábảo mật phê duyệt).

2. Mã khoá bảo mật cho việc lập lệnh thanh toán và kiểm soátnội bộ (gọi tắt là Mã khoá bảo mật nội bộ).

Điều 2.Mã khoá bảo mật thuộc danh mụcbí mật Nhà nước trong ngành Ngân hàng, cấp độ "Tối mật". Người cungcấp và cài đặt chương trình phần mềm máy tính phục vụ việc xây dựng, cấp, quảnlý và sử dụng Mã khoá bảo mật phải bảo vệ bí mật Nhà nước theo quy định tạiQuyết định số 135/1999/QĐ-TTg ngày 02/06/1999 của Thủ tướng Chính phủ về danhmục bí mật Nhà nước trong ngành Ngân hàng.

Điều 3. Mã khoá bảo mật cấp cho mỗi cánhân để thực hiện nhiệm vụ theo thẩm quyền của cá nhân đó trong việc lập, kiểmsoát, phê duyệt chứng từ điện tử trong hệ thống thanh toán điện tử liên Ngânhàng.

II. XÂY DỰNG, CẤP PHÁT VÀ QUẢN LÝ Mà KHOÁ BẢO MẬT

Điều 4. Thẩm quyền cấp và quản lý Mãkhoá bảo mật

1. Cục trưởng Cục công nghệ tin học Ngân hàng chịu tráchnhiệm xây dựng, cấp và quản lý Mã khoá bảo mật phê duyệt.

2. Thủ trưởng các thành viên và đơn vị thành viên chịu tráchnhiệm xây dựng, cấp và quản lý Mã khoá bảo mật nội bộ.

Điều 5. Đối tượng được cấp Mã khoá bảomật

1. Đối với Mã khoá bảo mật phê duyệt

a) Giám đốc, Phó giám đốc phụ trách kế toán, Trưởng phòng Kếtoán thanh toán hoặc những người được uỷ quyền thực hiện công tác kiểm soátchứng từ điện tử tại Sở giao dịch Ngân hàng Nhà nước, Chi nhánh Ngân hàng Nhànước tham gia hệ thống Thanh toán điện tử liên Ngân hàng.

b) Tổng Giám đốc (Giám đốc) hoặc người được uỷ quyền thựchiện công tác kiểm soát các chứng từ điện tử trong hệ thống Thanh toán điện tửliên Ngân hàng tại các thành viên và đơn vị thành viên ngoài hệ thống NHNN.

2. Đối với Mã khoá bảo mật nội bộ

Các cá nhân được phân công thực hiện lập lệnh thanh toánhoặc kiểm soát nội bộ.

Điều 6. Cấp và quản lý Mã khoá bảo mật

1. Việc cấp và quản lý Mã khoá bảo mật được thực hiện bằngchương trình tin học do Ngân hàng Nhà nước cài đặt trong máy tính riêng đặt tạiđơn vị cấp và quản lý Mã khoá bảo mật. Việc vận hành chương trình tin học nàyphải tuân thủ quy định trong Quy trình kỹ thuật vận hành hệ thống Thanh toánđiện tử liên ngân hàng do Cục Công nghệ tin học Ngân hàng hướng dẫn.

2. Cục trưởng Cục Công nghệ Tin học hoặc người được Cụctrưởng Cục Công nghệ Tin học uỷ quyền thực hiện thủ tục cấp Mã khoá bảo mật phêduyệt cho các cá nhân thuộc đối tượng được cấp mã theo danh sách các thành viênvà đơn vị thành viên đề nghị.

3. Thủ trưởng các thành viên và đơn vị thành viên hoặc ngườiđược Thủ trưởng các thành viên và đơn vị thành viên uỷ quyền, thực hiện thủ tụccấp Mã khoá bảo mật nội bộ cho các cán bộ được phân công đảm nhận công việc lậplệnh thanh toán và kiểm soát nội bộ.

Điều 7. Việc xây dựng mã khoá bảo mấtphải thực hiện đúng các quy định sau đây:

1. Các máy tính, máy in và các trang thiết bị kỹ thuật khácphục vụ việc xây dựng Mã khoá bảo mật phải được lắp đặt nơi an toàn, quản lýchặt chẽ và sử dụng riêng biệt để đảm bảo tình trạng kỹ thuật tốt và an toàn;

2. Tuyệt đối tuân thủ quy trình xây dựng Mã khoá bảo mật đãđược quy định trong Quy trình kỹ thuật vận hành hệ thống thanh toán điện tửliên Ngân hàng do Cục Công nghệ tin học Ngân hàng hướng dẫn;

3. Mã khoá bảo mật phải được đăng ký vào sổ theo dõi Mã khoábảo mật. Sổ theo dõi Mã khoá bảo mật do Thủ trưởng hoặc người được Thủ trưởnguỷ quyền của đơn vị cấp Mã khoá bảo mật trực tiếp lưu giữ và bảo quản theo chếđộ tài liệu mật. Sổ theo dõi phải được ghi chép đầy đủ tất cả các yếu tố liênquan tới Mã khoá bảo mật như: mã đơn vị, mã người sử dụng, tên người sử dụng,ngày cấp, ngày dự kiến hết hạn, ngày có hiệu lực.

4. Khi sử dụng và lưu giữ, Mã khoá bảo mật được để trên đĩamềm hoặc đĩa CDROM. Việc quản lý các phương tiện mang tin này phải tuân thủ cácquy định tại Điều 9 của Quy định này.

5. Không được xây dựng và nhân bản vượt quá số lượng Mã khoábảo mật quy định.

III. GIAO NHẬN, VẬN CHUYỂN, BẢO QUẢN
Mà KHOÁ BẢO MẬT

Điều 8. Việc giao nhận, vận chuyển Mãkhoá bảo mật giữa các khâu xây dựng, cấp, thay đổi được thực hiện theo quy địnhsau:

1. Các phương thức giao nhận, vận chuyển Mã khoá bảo mật

- Giao nhận qua mạng máy tính theo hình thức bảo mật;

- Giao nhận trực tiếp;

- Giao nhận qua đường công văn mật.

2. Giao nhận Mã khoá bảo mật qua mạng máy tính theo hìnhthức bảo mật phải thực hiện theo quy định trong Quy trình kỹ thuật vận hành hệthống thanh toán điện tử liên ngân hàng do Cục Công nghệ tin học Ngân hànghướng dẫn.

3. Mọi trường hợp giao nhận trực tiếp Mã khoá bảo mật giữangười xây dựng, văn thư, người được cấp và các đối tượng khác, đều phải đượcđăng ký vào sổ, ký nhận giữa hai bên và thực hiện tại phòng làm việc theo quyđịnh.

4. Khi giao nhận Mã khoá bảo mật qua đường văn thư mật: Cụccông nghệ Tin học Ngân hàng, các thành viên và đơn vị thành viên phải ghi sổ" Mã khoá bảo mật gửi đi" để theo dõi và đối chiếu, đồng thời làm cácthủ tục sau:

a) Trường hợp giao Mã khoá bảo mật

- Lập Giấy báo mã khoá bảo mật: Ghi (in) rõ số và ký hiệu Mãkhoá bảo mật, tên người nhận. Giấy báo mã khoá bảo mật phải đóng dấu độ mật, độkhẩn theo đúng quy định đối với tài liệumật.

- Lập Phiếu gửi: Ghi rõ ngày, giờ, tên người nhận Giấy báomã khoá bảo mật.

- Quản lý phong bì (bì thư): Khi gửi Giấy báo Mã khoá bảomật, phải để trong bì thư riêng, không gửi chung với bì thư tài liệu thường,giấy làm bì thư phải là loại giấy dai, không thấm nước, không nhìn thấu quađược, gấp bì thư qua một mối chéo, hồ dán phải dính, khó bóc. Giấy báo Mã khoábảo mật gửi đi phải để trong 2 lần bì thư:

Bì thư trong: Chỉ đựng Giấy báo Mã khoá bảo mật; sau đó dánkín và niêm phong. Ngoài bì thư ghi rõ, tên người nhận, đóng dấu "Tốimật" và có dòng chữ "Chỉ người có tên mới được bóc bì thư".

Bì thư ngoài: Đựng bì thư trong và Phiếu gửi. Ngoài bì thưghi như gửi tài liệu thường và phải đóng dấu có chữ "B" in hoa nét đậm, không đóng dấu"Tối mật".

Cục Công nghệ Tin học Ngân hàng, các thành viên và đơn vịthành viên có trách nhiệm theo dõi, kiểm tra, đối chiếu với đơn vị hoặc cá nhânnhận Mã khoá bảo mật để tránh thất lạc, sai sót.

b) Trường hợp nhận Giấy báo mã khoá bảo mật

Giấy báo mã khoá bảo mật gửi đến phải qua văn thư mật vào sổ"Tài liệu tối mật gửi đến" để theo dõi và báo cáo ngay cho Thủ trưởngđơn vị trước khi chuyển cho cá nhân được cấp (nhận). Người nhận được Giấy báomã khoá bảo mật phải ký xác nhận vào Phiếu gửi và giao lại cho văn thư làm thủtục hoàn trả Phiếu gửi cho Cục Công nghệ tin học ngay trong ngày làm việc.

Điều 9. Việc lưu giữ và bảo quản Mãkhoá bảo mật được thực hiện theo các quy định sau:

1. Mã khoá bảo mật mới được xây dựng, Mã khoá bảo mật đã cấpnhưng chưa sử dụng hoặc đang sử dụng đều phải được các đơn vị, cá nhân có liênquan mở sổ theo dõi, cất giữ và bảo quảnchặt chẽ theo quy định như đối với tài liệu tối mật.

2. Khi không sử dụng hoặc chưa sử dụng, Mã khoá bảo mật phảiđược lưu giữ, bảo quản cẩn thận trong hòm, tủ có khoá chắc chắn, đặt tại trụ sởlàm việc nơi bảo đảm an toàn về hành chính và điều kiện môi trường kỹ thuật(nhiệt độ, độ ẩn...).

IV. TRÁCH NHIỆM CỦA NGƯỜI CẤP Mà KHOÁ BẢO MẬT

Điều 10. Trách nhiệm của Cục Công nghệTin học Ngân hàng

Nhận được yêu cầu đình chỉ, thay đổi hoặc báo cáo về tình trạng sử dụng Mã khoá bảo mật khôngan toàn, Cục trưởng Cục Công nghệ Tin học hoặc người được uỷ quyền, tuỳ theotừng trường hợp phải thực hiện ngay các công việc sau:

1. Sử dụng các biện pháp kỹ thuật tin học để:

a) Đình chỉ hiệu lực sử dụng và huỷ Mã khoá bảo mật phêduyệt.

b) Cấp lại Mã khoá bảo mật phê duyệt mới (nếu có yêu cầu).

2. Thông báo cho các đơn vị và cá nhân liên quan biết đểthực hiện, mỗi khi có sự thay đổi, đình chỉ hoặc cấp mới Mã khoá bảo mật.

Điều 11. Trách nhiệm của các thành viênvà đơn vị thành viên

Nhận được yêu cầu đình chỉ, thay đổi, hoặc báo cáo về tìnhtrạng sử dụng Mã khoá bảo mật không an toàn, Thủ trưởng các thành viên và đơnvị thành viên hoặc người được uỷ quyền, tuỳ theo từng trường hợp phải thực hiệnngay các công việc sau đây:

1. Đối với Mã khoá bảo mật phê duyệt.

a) Sử dụng các biện pháp kỹ thuật tin học để:

- Đình chỉ và thu hồi Mã khoá bảo mật.

b) Thông báo ngay về Cục Công nghệ Tin học Ngân hàng.

c) Huỷ bỏ quyền sử dụng phần mềm của người kiểm soát này tạiđơn vị và báo cáo bằng văn bản về Cục Công nghệ Tin học Ngân hàng.

2. Đối với Mã khoá bảo mật nội bộ

Sử dụng các biện pháp kỹ thuật tin học để:

a) Đình chỉ sử dụng và huỷ bỏ quyền sử dụng phần mềm thanhtoán điện tử liên Ngân hàng của người quản lý sử dụng Mã khoá bảo mật.

b) Huỷ mã khoá bảo mật cũ, cấp lại Mã khoá bảo mật mới.

V. TRÁCH NHIỆM CỦA NGƯỜI SỬ DỤNG Mà KHOÁ BẢO MẬT

Điều 12. Mã khoá bảo mật chỉ được sửdụng cho việc lập, kiểm soát, phê duyệt chứng từ điện tử trong hệ thống Thanhtoán điện tử liên Ngân hàng theo quy định tại Quy chế Thanh toán điện tử liênNgân hàng.

Điều 13. Mã khoá bảo mật cấp cho cánhân nào thì chỉ cá nhân đó được phép sử dụng theo đúng thẩm quyền quy định.Nghiêm cấm việc tiết lộ, nhân bản, giao lại hoặc hướng dấn cách sử dụng Mã khoábảo mật cho người khác để sử dụng trong bất kỳ trường hợp nào.

Màn hình máy tính, bàn phím và các trang thiết bị để sử dụngMã khoá bảo mật phải được bố trí, sắp xếp ở vị trí khuất để người khác không thể quan sát được các ký hiệu mã vàcác thao tác trong quá trình sử dụng.

Điều 14. Người sử dụng Mã khoá bảo mậtpải tuyệt đối tuân thủ quy định về sử dụng Mã khoá bảo mật để bảo đảm sự chínhxác, an toàn và bảo mật.

Điều 15. Trường hợp bị mất, bị lộ hoặcnghi bị lộ Mã khoá bảo mật, người được cấp Mã khoá bảo mật phải báo ngay choThủ trưởng đơn vị và nơi cấp mã khoá biết để có biện pháp xử lý đình chỉ ngayviệc sử dụng Mã khoá bảo mật cũ và làm thủ tục cấp lại Mã khoá bảo mật mới.

VI. ĐÌNH CHỈ SỬ DỤNG, THU HỒI VÀ THAY ĐỔI
Mà KHOÁ BẢO MẬT

Điều 16. Đình chỉ sử dụng, huỷ bỏ vàthay đổi Mã khoá bảo mật trong các trường hợp sau:

1. Mã khoá bảo mật đã có thông báo bị mất, bị lộ hoặc nghibị lộ;

2. Mã khoá bảo mật bị lỗi do yếu tố kỹ thuật.

3. Mã khoá bảo mật đã hết hạn sử dụng (thay đổi theo thờihạn).

Điều 17. Thu hồi Mã khoá bảo mật

Mã khoá bảo mật bị thu hồi và huỷ trong trường hợp ngườiđược cấp Mã khoá bảo mật chuyển sang làm công tác khác hoặc bị buộc ngừng sửdụng hệ thống Thanh toán điện tử liên Ngân hàng.

Điều 18. Thủ tục đình chỉ sử dụng, huỷ bỏ, thay đổi và thuhồi mã khoá bảo mật; Các quy định về hiệu lực và định kỳ sử dụng mã khoá bảomật được thực hiện theo quy định tại Quy trình kỹ thuật vận hành hệ thống thanhtoán điện tử liên Ngân hàng do Cục Công nghệ Tin học Ngân hàng hướng dẫn .

VII. PHẠM VI VÀ XỬ LÝ VI PHẠM

Điều 19. Các hành vi vi phạm

1. Làm mất hoặc để lộ Mã khoá bảo mật.

2. Tìm cách giải mã, chiếm đoạt, mua bán, tiết lộ, nhân bảnvà huỷ bỏ trái phép Mã khoá bảo mật.

3. Sử dụng Mã khoá bảo mật sai quy định hoặc lợi dụng đểtham ô tài sản Nhà nước.

4. Lợi dụng việc bảo vệ Mã khoá bảo mật để che dấu các hànhvi vi phạm pháp luật.

5. Vi phạm các quy định khác được quy định trong bản Quyđịnh này.

Điều 20. Xử lý vi phạm

Mọi hành vi vi phạm quy định về việc xây dựng, cấp phát,quản lý và sử dụng Mã khoá bảo mật trong hệ thống thanh toán điện tử liên Ngânhàng, tuỳ theo tính chất, mức độ mà có thể bị xử lý hành chính hoặc truy cứutrách nhiệm hình sự và phải chịu trách nhiệm bồi thường vật chất về những thiệthại gây ra theo quy định của pháp luật.

VIII. ĐIỀU KHOẢN THI HÀNH

Điều 21. Cục trưởng Cục Công nghệ tinhọc Ngân hàng chịu trách nhiệm:

1. Quản lý việc xây dựng, cấp, thay đổi và hướng dấn sử dụngMã khoá bảo mật phê duyệt trong hệ thống Thanh toán điện tử liên Ngân hàng.

2. Hướng dẫn và kiểm tra việc thực hiện Quy định về việc xâydựng, cấp, sử dụng và quản lý Mã khoá bảo mật trong hệ thống Thanh toán điện tửliên Ngân hàng.

Điều 22. Thủ trưởng các thành viên vàđơn vị thành viên tham gia hệ thống Thanh toán điện tử liên Ngân hàng có tráchnhiệm:

1. Quản lý việc xây dựng, cấp, thay đổi và hướng dấn sử dụngMã khoá bảo mật nội bộ trong hệ thống Thanh toán điện tử liên ngân hàng.

2. Quản lý và giám sát việc sử dụng Mã khoá bảo mật tại đơnvị mình theo đúng Quy định này.

Điều 23. Việc sửa đổi, bổ sung bản Quyđịnh này do Thống đốc Ngân hàng Nhà nước quyết định.