Ngân hàng là một trong những ngành đi đầu trong chuyển đổi số với quyết tâm cao từ chủ trương chính sách đến triển khai thực tế “Chiến lược phát triển công nghệ thông tin ngành Ngân hàng Việt Nam đến năm 2025, định hướng đến 2030”. Ngành Ngân hàng xác định mục tiêu phấn đấu đến năm 2025 có 60% ngân hàng Việt Nam sử dụng dịch vụ điện toán đám mây, đến năm 2030 tỷ lệ này tăng lên 100%.
Để triển khai chiến lược này, NHNN đã ban hành Thông tư 09/2020/TT-NHNN, cho phép các ngân hàng đưa dữ liệu quan trọng, cấp độ 3, 4, 5 lên cloud (đám mây) nếu đảm bảo những quy định an toàn. Đây là quy định có tính bước ngoặt trong chuyển đổi số ngành Ngân hàng.
Ông Phạm Tiến Dũng, Phó Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN), cho biết vai trò là cơ quan quản lý nhà nước, NHNN đã ban hành Thông tư số 18/2018/TT-NHNN ngày 21/8/2018 quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng (được thay thế bởi Thông tư số 09/2020/TT-NHNN ngày 21/10/2020), có những quy định nhằm đảm bảo an toàn thông tin khi ứng dụng dịch vụ điện toán đám mây tại các đơn vị trong ngành và quy định về báo cáo NHNN để theo dõi, giám sát.
Theo đó, TCTD trước khi sử dụng dịch vụ điện toán đám mây phải thực hiện đánh giá rủi ro theo quy định tại Thông tư 09/2020/TT-NHNN và gửi báo cáo đánh giá rủi ro cho NHNN (qua Cục Công nghệ thông tin).
Thông tư 09/2020 cũng quy định tiêu chí về nhà cung cấp dịch vụ điện toán đám mây như phải là doanh nghiệp; có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng các quy định của pháp luật Việt Nam và có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn thông tin. Đồng thời, quy định về nội dung hợp đồng sử dụng dịch vụ điện toán đám mây, trong đó có các nội dung như dữ liệu phát sinh trong quá trình sử dụng dịch vụ là tài sản của ngân hàng.
Khi chấm dứt sử dụng dịch vụ, nhà cung cấp dịch vụ phải thực hiện trả lại hoặc hỗ trợ chuyển toàn bộ dữ liệu triển khai và dữ liệu phát sinh trong quá trình sử dụng dịch vụ về cho ngân hàng; nhà cung cấp dịch vụ phải cam kết hoàn thành việc xóa toàn bộ dữ liệu của tổ chức trong một khoảng thời gian xác định… Dữ liệu của ngân hàng phải được tách biệt với dữ liệu của khách hàng khác sử dụng trên cùng nền tảng kỹ thuật do nhà cung cấp dịch vụ điện toán đám mây cung cấp.
Đối với việc bảo đảm an toàn dữ liệu và hoạt động liên tục, trường hợp có cả hệ thống thông tin chính và dự phòng đặt ngoài lãnh thổ Việt Nam (trường hợp đưa hết hệ thống lên “đám mây” nước ngoài), giai đoạn từ 2018-2020 (theo Thông tư 18/2018/TT-NHNN), TCTD phải thực hiện lưu trữ thông tin cá nhân, dữ liệu giao dịch của khách hàng tại Việt Nam theo quy định của pháp luật Việt Nam. Từ 2021 đến nay (theo Thông tư 09/2020/TT-NHNN), TCTD phải xây dựng phương án bảo đảm hoạt động liên tục trong trường hợp bị gián đoạn đường truyền kết nối với các hệ thống thông tin chính và dự phòng.
Liên quan đến vấn đề kiểm tra, đánh giá hàng năm, hệ thống thông tin sử dụng dịch vụ điện toán đám mây phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin của bên thứ ba theo đúng thỏa thuận đã ký kết; thực hiện đánh giá sự tuân thủ định kỳ hàng năm hoặc đột xuất khi có nhu cầu. Việc đánh giá tuân thủ có thể sử dụng kết quả kiểm toán công nghệ thông tin của tổ chức kiểm toán độc lập.
Ngoài ra, hàng năm, NHNN sẽ thực hiện kiểm tra tại một số TCTD về công tác bảo đảm an toàn thông tin để kịp thời phát hiện, chỉ đạo xử lý các rủi ro trong hoạt động ứng dụng công nghệ thông tin nói chung và ứng dụng dịch vụ điện toán đám mây trong hoạt động ngân hàng nói riêng.