Luật An ninh mạng 2018 ngân hàng Việt Nam là gì?

Vietnam Cybersecurity Law 2018 applied to banks Pháp lý ~14 phút đọc

Luật An ninh mạng 2018 (Vietnam Cybersecurity Law 2018) là văn bản pháp lý quan trọng bậc nhất trong lĩnh vực bảo đảm an toàn, an ninh thông tin mạng tại Việt Nam, được Quốc hội khóa XIV thông qua ngày 12/06/2018 và có hiệu lực từ ngày 01/01/2019. Luật gồm 07 chương, 43 điều, quy định về các hành vi bị nghiêm cấm trên không gian mạng, bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia, các hoạt động đảm bảo an ninh mạng và trách nhiệm của các cơ quan, tổ chức, cá nhân có liên quan. Đối với ngành ngân hàng, đây là một trong những khung pháp lý nền tảng chi phối trực tiếp đến cách thức tổ chức vận hành, lưu trữ dữ liệu và chia sẻ thông tin khách hàng.

Khi Luật An ninh mạng 2018 được ban hành, ngành ngân hàng là một trong những lĩnh vực được xác định là hệ thống thông tin quan trọng về an ninh quốc gia (critical information infrastructure). Điều này có nghĩa là các ngân hàng thương mại, công ty tài chính, tổ chức cung ứng dịch vụ trung gian thanh toán phải tuân thủ các quy định nghiêm ngặt về đặt máy chủ tại Việt Nam (data localization), lưu trữ dữ liệu tối thiểu 24 tháng (minimum data retention period) và nghĩa vụ phối hợp với lực lượng chuyên trách bảo đảm an ninh mạng thuộc Bộ Công an khi có yêu cầu. Bên cạnh đó, các ngân hàng còn chịu sự điều chỉnh đồng thời bởi Luật các tổ chức tín dụng 2010 (sửa đổi, bổ sung năm 2017), Luật Giao dịch điện tử 2005, Luật An toàn thông tin mạng 2015 và các thông tư hướng dẫn của Ngân hàng Nhà nước Việt Nam (NHNN), tạo nên một khung pháp lý đa tầng đòi hỏi doanh nghiệp phải có hệ thống quản trị rủi ro tuân thủ chặt chẽ.

Đáng chú ý, Nghị định 53/2022/NĐ-CP quy định chi tiết một số điều của Luật An ninh mạng đã có hiệu lực từ ngày 01/10/2022, làm rõ hơn phạm vi áp dụng, danh sách nhà cung cấp dịch vụ trên mạng viễn thông, mạng Internet và các dịch vụ gia tăng phải thực hiện lưu trữ dữ liệu tại Việt Nam — trong đó ngành tài chính, ngân hàng, chứng khoán, viễn thông, hàng không, bảo hiểm là 5 lĩnh vực trọng yếu bắt buộc. Song song đó, NHNN cũng ban hành các thông tư chuyên ngành về an toàn thông tin trong hoạt động ngân hàng, yêu cầu các tổ chức tín dụng phải xây dựng hệ thống quản lý an toàn thông tin (Information Security Management System — ISMS) theo tiêu chuẩn ISO/IEC 27001:2022 hoặc tương đương, triển khai các biện pháp kỹ thuật bảo đảm an toàn ở cấp độ 4 trở lên theo mô hình bốn cấp độ an toàn hệ thống thông tin.

Thuật ngữ tiếng Anh: Vietnam Cybersecurity Law 2018 applied to banks Lĩnh vực: Pháp lý ngân hàng

Đặc điểm và phân loại

Các quy định của Luật An ninh mạng 2018 tác động đến ngành ngân hàng có thể phân loại theo bốn nhóm chính như sau:

1. Nhóm quy định về lưu trữ dữ liệu tại Việt Nam (Data Localization)

  • Phạm vi áp dụng: Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài tại Việt Nam, công ty tài chính, tổ chức cung ứng dịch vụ trung gian thanh toán.
  • Yêu cầu cụ thể: Hệ thống thông tin phục vụ hoạt động nghiệp vụ phải đặt tại Việt Nam, đảm bảo khả năng phục hồi dữ liệu, sẵn sàng cung cấp cho cơ quan có thẩm quyền khi có yêu cầu.
  • Hình thức cho phép: Sử dụng dịch vụ điện toán đám mây (cloud computing) của nhà cung cấp đặt máy chủ tại Việt Nam; không hạn chế nhà cung cấp trong nước hay nước ngoài, miễn là vị trí vật lý máy chủ nằm trong lãnh thổ Việt Nam.

2. Nhóm quy định về thời hạn lưu trữ dữ liệu

Loại dữ liệu Thời hạn lưu trữ tối thiểu Căn cứ pháp lý
Dữ liệu về giao dịch tài chính, thanh toán 24 tháng Luật An ninh mạng Điều 17
Dữ liệu định danh khách hàng (KYC) Theo quy định NHNN, tối thiểu 05 năm Luật Phòng chống rửa tiền
Dữ liệu tài khoản khách hàng Tối thiểu 10 năm sau khi đóng tài khoản Luật các Tổ chức tín dụng
Dữ liệu log hệ thống, nhật ký truy cập 12–24 tháng Thông tư NHNN về an toàn thông tin

3. Nhóm quy định về phối hợp với cơ quan chuyên trách

  • Các ngân hàng có nghĩa vụ cung cấp thông tin, dữ liệu, tạo điều kiện kỹ thuật cho lực lượng chuyên trách bảo đảm an ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản phục vụ điều tra, xác minh hành vi vi phạm pháp luật.
  • Thời hạn phản hồi: thông thường không quá 24 giờ làm việc đối với yêu cầu cấp bách; trong một số trường hợp khẩn cấp, thời gian có thể được rút ngắn theo yêu cầu của cơ quan điều tra.
  • Ngân hàng phải chỉ định bộ phận chuyên trách an ninh mạng (thường gọi là SOC — Security Operation Center) vận hành 24/7, sẵn sàng phối hợp.

4. Nhóm quy định về bảo vệ hệ thống thông tin quan trọng

  • Ngân hàng phải thực hiện đánh giá, phân loại cấp độ an toàn hệ thống thông tin theo Nghị định 85/2016/NĐ-CP và các tiêu chuẩn kỹ thuật quốc gia (TCVN).
  • Thành lập Đội ứng cứu sự cố an toàn thông tin mạng (CSIRT — Computer Security Incident Response Team) cấp ngân hàng và phối hợp với VNCERT/CC thuộc Bộ Thông tin và Truyền thông.
  • Xây dựng kế hoạch ứng phó sự cố (Incident Response Plan), kế hoạch khôi phục hoạt động (Disaster Recovery Plan) với RTO (Recovery Time Objective) không quá 04 giờ và RPO (Recovery Point Objective) không quá 15 phút đối với hệ thống thanh toán lõi.

5. Các hành vi bị nghiêm cấm liên quan đến hoạt động ngân hàng

  • Tấn công, phá hoại, vô hiệu hóa trái phép hệ thống thông tin ngân hàng.
  • Đánh cắp, mua bán, trao đổi trái phép dữ liệu khách hàng.
  • Sử dụng trái phép thông tin cá nhân khách hàng vào mục đích thương mại, quảng cáo khi chưa được đồng ý.
  • Phát tán mã độc, virus nhằm vào hệ thống thanh toán, internet banking.
  • Lừa đảo, chiếm đoạt tài sản qua không gian mạng (phishing, smishing, vishing).

6. Chế tài xử phạt

  • Xử phạt vi phạm hành chính: từ 10 triệu đồng đến 01 tỷ đồng tùy mức độ vi phạm (theo Nghị định 15/2020/NĐ-CP về xử phạt vi phạm hành chính trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và an toàn thông tin mạng).
  • Xử lý hình sự: theo Bộ luật Hình sự 2015 (sửa đổi, bổ sung năm 2017), Điều 285–290 với mức phạt tù lên đến 12 năm đối với tội phạm trong lĩnh vực công nghệ thông tin.

Ví dụ thực tế trong ngành ngân hàng

Ví dụ 1: Ngân hàng A triển khai hệ thống Core Banking tuân thủ Luật An ninh mạng

Ngân hàng A là ngân hàng thương mại cổ phần có tổng tài sản khoảng 650.000 tỷ đồng, hoạt động trên toàn quốc với hơn 400 chi nhánh2.200 ATM/POS. Năm 2022, khi Nghị định 53/2022/NĐ-CP có hiệu lực, Ngân hàng A đã phải thực hiện dự án di dời hệ thống xử lý giao dịch thẻ từ Singapore về hai Data Center đặt tại Hà Nội và TP. Hồ Chí Minh. Tổng vốn đầu tư cho dự án này lên đến 480 tỷ đồng, bao gồm: chi phí hạ tầng máy chủ, hệ thống lưu trữ, phần mềm quản lý, nhân sự vận hành và chi phí tư vấn tuân thủ. Trước dự án, Ngân hàng A đã phải thực hiện đánh giá tác động (Gap Analysis), sau đó tiến hành nâng cấp lên ISO/IEC 27001:2022, PCI DSS v4.0 (Payment Card Industry Data Security Standard) và đạt chứng nhận cấp độ an toàn cấp 4 theo tiêu chuẩn quốc gia.

Kết quả sau hai năm triển khai, thời gian xử lý giao dịch trung bình giảm từ 3,2 giây xuống còn 1,1 giây, số sự cố an ninh mạng nghiêm trọng giảm 72%, chi phí xử lý sự cố trung bình hàng năm giảm khoảng 45 tỷ đồng. Đặc biệt, khi Cơ quan Cảnh sát điều tra Bộ Công an yêu cầu cung cấp dữ liệu giao dịch của một nhóm đối tượng tình nghi rửa tiền xuyên quốc gia, Ngân hàng A đã phản hồi trong vòng 18 giờ, cung cấp đầy đủ log giao dịch, hình ảnh camera tại ATM, nhật ký truy cập internet banking của 87 khách hàng trong 36 tháng — tất cả được trích xuất từ hệ thống lưu trữ đặt tại Việt Nam theo đúng quy định.

Ví dụ 2: Khách hàng B bị lộ dữ liệu và quyền được bảo vệ

Anh B là khách hàng cá nhân sử dụng dịch vụ ngân hàng điện tử tại Ngân hàng B. Tháng 03/2023, anh B phát hiện tài khoản của mình bị trừ 85 triệu đồng qua các giao dịch chuyển tiền nhanh 24/7 mà anh không thực hiện. Sau khi tiếp nhận khiếu nại, Ngân hàng B đã rà soát log hệ thống và phát hiện thiết bị di động của anh B đã bị cài phần mềm gián điệp (spyware) trước đó hai tuần thông qua một đường link lừa đảo. Ngân hàng B đồng thời thông báo cho Bộ phận An ninh mạng phối hợp với Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 — Bộ Công an).

Nhờ việc tuân thủ Luật An ninh mạng và Nghị định 53/2022/NĐ-CP, toàn bộ log truy cập của anh B trong vòng 24 tháng được lưu trữ tại Việt Nam và trích xuất chỉ trong 04 giờ để phục vụ điều tra. Sau 45 ngày, cơ quan điều tra đã xác định được nhóm đối tượng lừa đảo và thu hồi được 62 triệu đồng cho anh B. Ngân hàng B cũng được đánh giá cao vì đã thực hiện đúng quy trình ứng cứu sự cố theo quy định, đồng thời hỗ trợ khách hàng đóng băng tài khoản trong vòng 30 phút kể từ khi nhận khiếu nại.

Ví dụ 3: Ngân hàng C xử lý tình huống tấn công DDoS quy mô lớn

Tháng 08/2023, Ngân hàng C — ngân hàng có vốn đầu tư nước ngoài lớn — bị tấn công từ chối dịch vụ phân tán (DDoS — Distributed Denial of Service) với lưu lượng lên đến 850 Gbps, khiến dịch vụ internet banking và mobile banking bị gián đoạn trong khoảng 47 phút. Nhờ hệ thống SOC hoạt động 24/7 và kế hoạch ứng phó sự cố được xây dựng theo tiêu chuẩn NIST SP 800-61, Ngân hàng C đã kích hoạt dịch vụ chống DDoS của nhà cung cấp trong nước, đồng thời báo cáo sự cố cho VNCERT/CC và lực lượng A05 trong vòng 02 giờ theo quy định tại Điều 19 Nghị định 85/2016/NĐ-CP.

Trong vòng 24 giờ, các giao dịch được khôi phục hoàn toàn. Ngân hàng C đồng thời thực hiện báo cáo sự cố theo mẫu quy định, phân tích nguyên nhân gốc rễ (Root Cause Analysis) và triển khai biện pháp tăng cường: mở rộng băng thông dự phòng, nâng cấp hệ thống WAF (Web Application Firewall), triển khai thêm lớp CDN (Content Delivery Network) có scrubbing center đặt tại Hà Nội và TP. Hồ Chí Minh. Tổng chi phí ứng phó và khắc phục sự cố khoảng 8,5 tỷ đồng, nhưng nhờ vậy Ngân hàng C đã tránh được tổn thất uy tín và các khoản bồi thường cho khách hàng ước tính có thể lên đến 150 tỷ đồng nếu hệ thống ngừng hoạt động kéo dài.

Luật An ninh mạng 2018 ngân hàng Việt Nam trong các ngôn ngữ khác

Ngôn ngữ Thuật ngữ Phiên âm
Tiếng Anh Vietnam Cybersecurity Law 2018 applied to banks /vɪətˈnæm ˌsaɪbərsɪˈkjʊərɪti lɔː ˈtwaʊtn ˈeɪtɪn əˈplaɪd tu bæŋks/
Tiếng Nhật ベトナムサイバーセキュリティ法2018(銀行への適用) Betonamu saibā sekyuriti hō ni zero hachi (ginkō e no tekiyō)
Tiếng Hàn 베트남 사이버보안법 2018 (은행 적용) Beteunam saibeoboanbeop cheon gu baek sip pal (eunhaeng jeogyong)
Tiếng Trung 越南网络安全法2018(适用于银行) Yuènán wǎngluò ānquán fǎ èr líng yī bā (shìyòng yú yínháng)
Tiếng Tây Ban Nha Ley de Ciberseguridad de Vietnam 2018 aplicada a bancos /lei de θibersegjuriˈðað de βjeˈnam doˈθe mil dieθioˈxɔ aˈplikaða a ˈβaŋkos/

Câu hỏi thường gặp

Luật An ninh mạng 2018 khác gì Luật An toàn thông tin mạng 2015?

Luật An ninh mạng 2018Luật An toàn thông tin mạng 2015 là hai văn bản pháp lý độc lập nhưng có mối quan hệ bổ trợ. Luật An toàn thông tin mạng 2015 tập trung vào phòng ngừa, bảo vệ hệ thống thông tin khỏi sự cố kỹ thuật, virus, mã độc và bảo đảm tính toàn vẹn dữ liệu — chủ yếu mang tính kỹ thuật, vận hành. Trong khi đó, Luật An ninh mạng 2018 nhấn mạnh khía cạnh an ninh quốc gia, quốc phòng, bảo vệ chủ quyền số, phòng chống gián điệp mạng, khủng bố mạng và các hành vi lợi dụng không gian mạng xâm phạm an ninh quốc gia. Đối với ngân hàng, cả hai luật đều có hiệu lực đồng thời, nhưng Luật An ninh mạng 2018 chi phối mạnh hơn đến vấn đề đặt máy chủ, lưu trữ dữ liệu và nghĩa vụ phối hợp với lực lượng công an.

Khi nào nhân viên ngân hàng cần biết về Luật An ninh mạng 2018?

Nhân viên ngân hàng cần nắm vững các quy định của Luật An ninh mạng 2018 trong nhiều tình huống thực tế: khi tiếp nhận yêu cầu cung cấp thông tin khách hàng từ cơ quan điều tra, khi xử lý sự cố an ninh mạng (mất dữ liệu, lộ thông tin, tấn công hệ thống), khi triển khai dự án công nghệ mới (cloud, AI, big data), khi đào tạo nhân sự mới về quy trình bảo mật, hoặc khi xây dựng quy chế nội bộ về sử dụng email, mạng xã hội, thiết bị cá nhân tại nơi làm việc. Đặc biệt, các vị trí thuộc phòng IT, phòng Pháp chế, phòng Quản trị rủi ro, bộ phận chăm sóc khách hàng và bộ phận KYC cần được đào tạo chuyên sâu ít nhất 24 giờ/năm về an ninh mạng và tuân thủ pháp luật.

Luật An ninh mạng 2018 ảnh hưởng thế nào đến khách hàng cá nhân?

Đối với khách hàng cá nhân, Luật An ninh mạng 2018 mang lại nhiều lợi ích thiết thực: dữ liệu cá nhân (số CMND/CCCD, số điện thoại, thông tin tài khoản, lịch sử giao dịch) được lưu trữ tại Việt Nam nên được bảo vệ tốt hơn, dễ truy vết khi xảy ra sự cố; khả năng điều tra, xử lý tội phạm lừa đảo trực tuyến nhanh hơn nhờ cơ chế phối hợp chặt chẽ giữa ngân hàng và lực lượng chuyên trách; quyền được bảo vệ thông tin cá nhân được nâng cao, hạn chế tình trạng mua bán dữ liệu phi pháp. Tuy nhiên, khách hàng cũng cần tuân thủ một số nghĩa vụ nhất định: bảo mật thông tin đăng nhập, không chia sẻ OTP, không cung cấp thông tin cá nhân cho đối tượng lạ, cập nhật phần mềm ngân hàng thường xuyên và báo cáo ngay cho ngân hàng khi phát hiện giao dịch bất thường.

Tổng kết

Luật An ninh mạng 2018 là khung pháp lý nền tảng, có vai trò định hình toàn diện cách thức ngành ngân hàng Việt Nam tổ chức, vận hành và bảo vệ hệ thống thông tin trong kỷ nguyên số. Với ba trụ cột chính gồm đặt hệ thống thông tin tại Việt Nam, lưu trữ dữ liệu tối thiểu 24 thángnghĩa vụ phối hợp với cơ quan chuyên trách, luật đã tạo ra một môi trường ngân hàng số an toàn, minh bạch và có khả năng phục hồi cao trước các mối đe dọa an ninh mạng ngày càng tinh vi. Đối với ứng viên thi tuyển vào ngân hàng, việc hiểu rõ Luật An ninh mạng 2018 không chỉ là yêu cầu bắt buộc khi phỏng vấn mà còn là nền tảng giúp bạn làm việc hiệu quả, tư vấn khách hàng chuyên nghiệp và đóng góp vào sự phát triển bền vững của hệ thống tài chính Việt Nam. Trong bối cảnh các cuộc tấn công mạng nhằm vào ngành tài chính tăng trung bình 35%/năm theo thống kê của VNCERT/CC, nắm vững kiến thức pháp lý về an ninh mạng chính là lợi thế cạnh tranh quan trọng cho mọi vị trí trong ngân hàng từ giao dịch viên, chuyên viên tín dụng đến cán bộ quản lý cấp cao.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8

B

Bảo vệ dữ liệu cá nhân

Ngân hàng số & Thanh toán

Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng là tập hợp các quy định, chính sách, quy trình và bi...

C

Chứng chỉ nghiệp vụ ngân hàng

Tổng quan ngân hàng

Chứng chỉ nghiệp vụ ngân hàng là chứng chỉ do cơ quan có thẩm quyền hoặc tổ chức đào tạo được công n...

L

Luật An toàn thông tin mạng

Thuế & Pháp luật

Luật quy định về bảo vệ an toàn thông tin mạng, phòng chống tấn công mạng, bảo vệ quyền lợi người dù...

L

Luật An toàn thông tin mạng 2015

Thuế & Pháp luật

Quy định về phòng chống tấn công mạng, bảo vệ thông tin, tiêu chuẩn kỹ thuật cho hệ thống thông tin ...

L

Luật Bảo vệ dữ liệu cá nhân 2023

Thuế & Pháp luật

Có hiệu lực từ 01/07/2023, quy định về quyền, nghĩa vụ của tổ chức, cá nhân trong xử lý dữ liệu cá n...

N

Ngân hàng Nhà nước Việt Nam

Pháp lý ngân hàng

Ngân hàng Nhà nước Việt Nam (tên tiếng Anh: State Bank of Vietnam - SBV) là cơ quan ngang bộ thuộc C...

R

Rủi ro công nghệ thông tin

Quản trị rủi ro

Rủi ro công nghệ thông tin (IT Risk) là khả năng phát sinh tổn thất hoặc ảnh hưởng tiêu cực đến hoạt...

T

Thi vào ngân hàng nhà nước

Tổng quan ngân hàng

Thi vào Ngân hàng Nhà nước Việt Nam là hình thức tuyển dụng công chức do Ngân hàng Nhà nước Việt Nam...