Professional Documents
Culture Documents
ERPlink - BRD v1.5 - Template
ERPlink - BRD v1.5 - Template
Business Requirements
Program: [ERP-
link]
Project: [SME Banking]
Highly Restricted
Quản lý tài liệu / Document Control
Hiệu chỉnh tài liệu / Revision History
Highly Restricted
trên phần mềm ERP cần sửa đổi hệ
thống ERP để cập nhật trạng thái.
- Thông tin file truyền nhận trong
quá trình xử lý truyền file dùng
format file .csv
- Thời gian đáp ứng của hệ thống
với các giao dịch import file của
khách hàng <=120s . Thời gian
đáp ứng của hệ thống với các giao
dịch xuất file của khách hàng
<=120s
1.2 Nguyễn Thị Sâm 05/08/2016 - VIB cung cấp nguồn dữ liệu đáp
ứng yêu cầu nhập mẫu file báo cáo
và xuất file thanh toán(ủy nhiệm
chi) dưới hình thức nhận request từ
ERP của khách hàng cho VIB Agent
cài tại server ERP.
- Có khả năng lấy/đẩy 1 hoặc nhiều
file từ/tới ERP Agent ở VIB theo giao
thức SFTP.
- Agent hoạt động ngầm và chỉ
thực hiện các thao tác khi nhận
được request từ phần mềm ERP của
khách hàng
-Agent có log các trạng thái hoạt
động và lỗi phát sinh. Có cơ chế
rotate log
- Có khả năng ký (sign), mã hóa
(encrypt) và nén file xuất từ ERP
(compress), và giải nén các file
nhận được từ Agent cài đặt trên IB
VIB bằng cặp khóa PGP (private-
public) được tạo bởi VIB dựa trên
passphrase và các thông tin khác
đăng ký bởi khách hàng.
1.3 Nguyễn Trần 08/08/2016 - Cập nhật khả năng chuyển lệnh
Nam thanh toán hóa đơn (điện, nước,
viễn thông...) và thanh toán quốc
tế qua ERP. Thanh toán thuế sẽ
được đưa vào thực hiện trên ERP
khi hệ thống Internet Banking của
VIB hoàn tất việc kết nối với Tổng
Cục Thuế và Hải quan Việt Nam.
1.4 Nguyễn Thị Sâm 09/08/2016 - Hỗ trợ các loại lệnh thanh toán
theo tính năng hiện có của IB VIB,
bao gồm thanh toán nội bộ VIB
(VIB); thanh toán đi các ngân hàng
khác (bao gồm lệnh lương) trong
nước (RTGS/PAY) bằng tiền VND
,thanh toán các loại hóa đơn (EVN
và VIETTEL) và thanh toán quốc tế
(TT) tại thời điểm hiện tại. Thanh
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 4 of 18
Highly Restricted
toán đến số tài khoản/số thẻ của
ngân hàng thuộc mạng BanknetVN
(BNVN) sẽ được đưa vào phase 2
của dự án.
- Tất cả các thông tin đầu vào để
thực hiện các lệnh thanh toán, ủy
nhiệm chi , báo cáo được gửi qua
webservice.
- Với các lệnh thanh toán quốc tế
cần đính kèm các chứng từ. Khách
hàng truy cập vào Internet banking
đính kèm thông tin như quy trình
hiện tại.
- Xuất nội dung ủy nhiệm chi theo
mẫu đính kèm (bao gồm thanh
toán nội bộ VIB (VIB); thanh toán đi
các ngân hàng khác (bao gồm lệnh
lương) trong nước (RTGS/PAY) bằng
tiền VND ,thanh toán các loại hóa
đơn (EVN và VIETTEL) và thanh
toán quốc tế (TT) tại thời điểm hiện
tại):
- Mỗi file xuất nội dung ủy nhiệm
chi gửi sang Ngân hàng chứa
maximum 500 giao dịch.
- Bổ sung thêm trường
inputerID(user đăng nhập internet
banking) vào file template để nhận
biết được tài khoản map với thông
tin user trên hệ thống IB của khách
hàng
1.5 Nguyễn Thị Sâm 09/06/2016 - FAST gửi request thông tin dưới
dạng message sang VIB các thông
tin liên quan tới thông tin thanh
toán, ủy nhiệm chi... VIB thực hiện
đẩy dữ liệu vào hệ thống Internet
Banking với trạng thái chờ duyệt.
Highly Restricted
WB
Vương Thị Huyền Tài trợ dự án/ Project Giám đốc khối Phê duyệt/
Sponsor Khách hàng Approve
doanh nghiệp
1.2. Các yêu cầu & Giải pháp / High Level Project Summary
BTS, WB và vendor phối hợp triển khai tính năng gửi/nhận thông tin,ủy nhiệm
chi trực tiếp từ hệ thống phần mềm quản trị doanh nghiệp của khách hàng tới
hệ thống Internet banking-WB của VIB
Highly Restricted
2.2. Tác động của dự án tới các phòng ban / Project Impact to
Business Departments
(H = High M = Medium L = Low N = No Impact)
Tác Tác
Phòng/Ban / Business Unit động/ Phòng/Ban / Business động/
Department Impa Unit Department Impac
ct t
TTKD N
Phòng HTKD M
Phòng QL&PT SP Quản lý dòng H
tiền
Phòng Phát triển thị trường M
2.3. Tác động của dự án tới quy trình kinh doanh / Project Impact
to Business Processes
(H = High M = Medium L = Low N = No Impact)
Tác
Quy trình kinh doanh/ Business Process động/
Impact
Quy định về nghiệp vụ quản lý dòng tiền cho doanh nghiệp
http://e-office.vib/edoc/SitePages/view-document.aspx?
ItemID=506&ListName=Pages&WebName=edoc&c=S%E1%BA%A3n M
%20ph%E1%BA%A9m%20WB&l=0&g=98373924-f710-4b8e-b280-
3105cb90462c
Tác động/
Information Technology System
Impact
Internet Banking for corporate H
Other
Highly Restricted
3.2. Ngoài phạm vi dự án / Out of Scope
Ngoài yêu cầu đã nêu trong mục 3.1.
4.1. Các quy trình kinh doanh bị ảnh hưởng / Current Business
Processes Affected
Highly Restricted
4.2.2 Quy trình gửi báo cáo tài khoản:
Process
4.3.1 Yêu cầu về chức năng hệ thống ERP của khách hàng:
4.3.1.1Yêu cầu về cấu hình
Để kết nối với hệ thống IB của VIB, máy chủ ERP của khách hàng cần có
khả năng:
- Chạy trên hệ điều hành Microsoft Windows (XP/7/Server 2008/Server
2012) 32-bit/64-bit
- Có kết nối Internet, cho phép thực hiện kết nối HTTPS/SFTP đến máy chủ
VIB.
- Thực hiện nhập thông tin ủy nhiệm chi trên giao diện ERP, có thể hoặc
không có các tính năng phê duyệt ủy nhiệm chi trước khi gửi message.
- Gửi message ủy nhiệm chi với đầy đủ thông tin theo mẫu VIB các trường
(tham khảo mục 2.2.1.II) . Thông tin dữ liệu được mã hóa
- Giải mã và đọc message (dạng file text) cập nhật trạng thái gửi/nhận file
và trạng thái lệnh thanh toán theo mẫu VIB các trường (tham khảo mục
2.2.1.III) và gửi lại cho KH cập nhật thông tin lên ERP
- Hỗ trợ các loại lệnh thanh toán theo tính năng hiện có của IB VIB, bao
gồm thanh toán nội bộ VIB (VIB); thanh toán đi các ngân hàng khác
(bao gồm lệnh lương) trong nước (RTGS/PAY) bằng tiền VND và
ngoại tệ, thanh toán các loại hóa đơn (điện, nước, viễn thông...-
BILL) và thanh toán quốc tế (TT) tại thời điểm hiện tại. Dự kiến đến
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 9 of 18
Highly Restricted
tháng 6/2017 sẽ hỗ trợ thêm các loại thanh toán khác như: thanh toán dư
nợ thẻ tín dụng VIB (CARD); thanh toán thuế (TAX); thanh toán đến số tài
khoản/số thẻ của ngân hàng thuộc mạng BanknetVN (BNVN), thanh toán
đến địa chỉ email/số điện thoại dành cho người không có tài khoản ngân
hàng (NBP); đồng thời hỗ trợ thanh toán mua/bán ngoại tệ, import danh
sách người thụ hưởng... Việc hỗ trợ thanh toán thuế (TAX) có thể được thực
hiện sớm hơn tùy thuộc tiến độ triển khai việc kết nối đến cơ quan thu
thuế trên Internet Banking.
- Tất cả các thông tin đầu vào để thực hiện các lệnh thanh toán, ủy nhiệm
chi , báo cáo được gửi qua webservice.
- Với các lệnh thanh toán quốc tế cần đính kèm các chứng từ. Khách hàng
truy cập vào Internet banking đính kèm thông tin như quy trình hiện tại.
- Dữ liệu truyền qua webservice. Số lượng giao dịch trả ra khi Fast gửi
request tra cứu thông tin trạng thái giao dịch từ ngày đến ngay có thể lớn.
Để tránh time out qua service VIB sẽ thực hiện phân trang bên VIB, Mỗi
trang khoảng 400-500 giao dịch. VIB trả tổng số bản ghi và tổng số trang,
Fast sẽ request theo từng trang.
- VIb trả dữ liệu cho FAST qua webservice. KH muốn truy xuất toàn bộ số
liệu dưới dạng excel. Yc này sẽ được hỗ trợ từ đầu Fast.
- Với mỗi message chứa thông tin các giao dịch đẩy từ ERP của khách hàng
khi đẩy vào VIB, hệ thống sẽ tự động sinh TransID . Thông tin TransID map
với giao dịch trên Ebanking sẽ được VIB trả lại cho FAST. FAST sẽ lưu
trường thông tin tương ứng để map được với các giao dịch được xử lý bên
VIB .
- Kết nối trực tiếp với IB DB để cập nhật thông tin lệnh thanh toán sau các
bước kiểm tra nếu hợp lệ. Lệnh thanh toán sẽ được ghi nhận ở bước nhập
lệnh và chờ phê duyệt theo rule khách hàng đã đăng kí trước đó trên IB.
- Nếu khách hàng có nhiều level duyệt, sẽ trả message giao dịch về cho
khách hàng với trạng thái ở level xử lý cuối cùng.
- Giao dịch từ các kênh (kể cả ERPLink) đẩy vào IB cần có trường để phân
biệt loại giao dịch
- Hiện tại IB đang cho phép người nhập được phép xóa, sửa giao dịch input.
Với các giao dịch từ ERPLink đẩy sang, khách hàng không được phép xóa,
sửa giao dịch. Nếu phát hiện giao dịch sai, khách hàng thực hiện reject
giao dịch trên IB và khởi tạo lại giao dịch từ ERP của khách hàng
- Audit logs ghi nhận thời gian, trạng thái, kết quả xử lý file gửi/nhận theo
từng khách hàng, các thông tin về hoạt động của người dùng ví dụ:
o User login/logout/change password
o Thông tin về thời gian, người thay đổi cấu hình hệ thống, thay đổi
cấu hình gì, giá trị như thế nào
o Thông tin về thời gian, người tạo giao dịch
o Thông tin về thời gian, người chỉnh sửa giao dịch
o Thông tin về thời gian, người xóa giao dịch
o Thông tin về thời gian, người duyệt
- Lưu lại tất cả message gửi/nhận, phân loại theo từng khách hàng, chia
theo ngày, vào một ổ chung để nhân viên quản trị của ngân hàng có thể
kiểm tra khi có khiếu nại của khách hàng. Dữ liệu lưu trữ trong thời gian tối
thiểu 3 tháng.
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 10 of 18
Highly Restricted
4.3.1.2Yêu cầu về xuất mẫu file thanh toán (ủy nhiệm chi)
- Xuất nội dung ủy nhiệm chi theo mẫu đính kèm (bao gồm thanh toán nội
bộ VIB (VIB); thanh toán đi các ngân hàng khác (bao gồm lệnh lương) trong
nước (RTGS/PAY) bằng tiền VND ,thanh toán các loại hóa đơn (EVN và
VIETTEL) và thanh toán quốc tế (TT) tại thời điểm hiện tại):
- Mỗi file xuất nội dung ủy nhiệm chi gửi sang Ngân hàng chứa maximum
500 giao dịch.
- Bổ sung thêm trường inputerID(user đăng nhập internet banking) vào file
template để nhận biết được tài khoản map với thông tin user trên hệ thống
IB của khách hàng.
Bulk Import -
Payments.xlsx
Payment report
- Giải mã và cập nhật trạng thái file vào CSDL ERP và có chức năng hiển thị
cho KH kiểm tra:
Note:
o Khách hàng cung cấp thông tin userIB được phép import file public
key vào hệ thống cho VIB
Highly Restricted
o VIB thực hiện add thông tin lên màn hình.
o Nhập thông tin số CIF để truy vấn. Toàn bộ danh sách userIB của
khách hàng hiển thị lên màn hình.
o Có thể có nhiều hơn 1 UserIB được phép thực hiện việc import này.
4.3.2.2Xây dựng màn hình trên IBWB cho phép khách hàng import file
public key
Giao diện:
Note:
o Khách hàng cung cấp đích danh user IB được phép load thông tin
chữ ký lên hệ thống theo mục 4.3.2.1 và không cần phê duyệt.
Hệ thống check thông tin userIB, nếu userIB không được phép
upload sẽ cảnh báo message “ User không được quyền
upload”
Nếu userIB được phép upload sẽ cho phép upload trên hệ
thống
o Khách hàng chọn file để tải chữ ký lên hệ thống. File format dạng
*.cer or *.der or *.pem or * .cert
o Click upload để thực hiện upload file vào hệ thống
o Hệ thống dọc file, gen xâu string, sau đó mã hóa thông tin và đẩy
xuống DB để lưu trữ.
o Khách hàng đã thực hiện load file. Khi vào lại màn hình này se có
message “Khách hàng đã thực hiện upload thông tin public key”
Nếu Khách hàng muốn upload lại file thông tin khác, Thực
hiện upload , các thông tin sẽ được cập nhật lên thông tin cũ.
Nếu Khách hàng muốn xóa file đã upload , Click button Delete
để thực hiện xóa.
o Chỉ các User IB được map với thông tin user FAST của các khách
hàng có đăng ký sử dụng ERPLink mới được phép upload thông tin
pulic key và thao tác trên màn hình này. Các user khác khi vào màn
hình sẽ bị disable tính năng này
4.4.1 Yêu cầu thời gian đáp ứng / Response Time Requirements
Thời gian đáp ứng của hệ thống <=120s
Highly Restricted
4.4.2 Yêu cầu về độ tin cậy / Availability Requirements
4.4.2.1 Số giờ hỗ trợ/ Support Hours
Level 2 và Level3 support: 24/7
4.4.2.2 Số giờ yêu cầu cung cấp dịch vụ/ Required Service Availability Hours
(RSAH)
24/7 * 365 (Bao gồm cả thời gian maintainance).
4.4.2.3 Thời gian bảo trì/ Maintenance Times
12 AM đến 5AM ngày chủ nhật
4.4.2.4 Thời gian hoạt động mục tiêu/ Target Availability
97%
Process
Information Process
Business Process Data Loss
Classification MAO
Tolerance
Ủy nhiệm chi Highly Protected 4 hour 4 hour
(Transactions data)
Báo cáo Highly Protected 4 hour 4 hour
(Transactions data)
Highly Restricted
O/S Application Transactional /
Operational
Data
Highly Restricted
4.5.3.3 PCI DSS
- Lưu thông tin về thời gian, người tạo giao dịch và trạng thái Must have
- Lưu thông tin về thời gian, người chỉnh sửa giao dịch và trạng
Must have
thái
- Lưu thông tin về thời gian, người xóa giao dịch và trạng thái Must have
Highly Restricted
- Lưu thông tin về thời gian, người duyệt giao dịch và trạng thái Must have
- Lưu thông tin về thời gian, người thay đổi cấu hình hệ thống,
Must have
trạng thái thay đổi và giá trị thay đổi.
- Lưu thông tin về trạng thái cả các hành động tạo file, mã hóa Must have
file, giải mã file
- Lưu thông tin về trạng thái kết nối giữa agent ở khách hàng và Must have
agent ở VIB
- Lưu thông tin về trạng thái kiểm tra file(file format, CA...) nhận Must have
và gửi
3 Agent
3.1 Xác thực
- Agent phía khách hàng xác thực với Agent phía VIB sử dụng
Must have
basic authentication qua giao thức HTTPS
- Agent yêu cầu xác thực ở tất cả các yêu cầu sử dụng HTTPS Must have
3.2 Kiểm tra dữ liệu đầu vào
- Agent cần kiểm tra tính hợp lệ của tất cả các input đầu vào
Must have
trước khi thực hiện
- Agent cần kiểm tra tính hợp lệ của tất cả các input dựa trên Must have
kiểu dữ liệu, định dạng, độ dài, loại ký tự
- Việc kiểm tra tính hợp lệ của các input cần thực hiện ở cả 2
Must have
agent
- Các truy vấn đến cơ sở dữ liệu cần được sử dụng parameterised
queries hoặc parameterised stored procedures để chống tấn Must have
công SQLinjection
- Kết nối đến cơ sở dữ liệu không được sử dụng user đặc quyền
cao nhất (ví dụ SQL server không được dùng user SA, Oracle Must have
không được dùng user SYSTEM...)
3.2 Mã hóa
- Các file được mã hóa bằng thuật toán PGP sử dụng RSA keysize
Must have
4096 bits, Hash type SHA 512, cipher AES-256
- Passphase cần được đảm bảo có độ dài lớn hơn 8 ký tự, chứa Must have
các ký tự chữ in hoa, chữ thường, ký tự đặc biệt
- PGP key được tạo ra và quản lý ra ở agent phía VIB. PGP key sẽ
được gửi đến cho agent phía khách hàng khi có yêu cầu Must have
- Agent VIB có tính năng quản lý khóa, đẩy khóa về cho Agent ở
Must have
khách hàng
- Tất cả các file truyền giữa hai agent cần được mã hóa trước khi
lưu trữ trên ổ đĩa cứng
Highly Restricted
- Kết nối giữa hai agent sử dụng giao thức HTTPS Must have
- SSL/TLS chỉ sử dụng phiên bản TLS1.0, TLS1.1, TLS 1.2 Must have
- Các HTTP request có thực hiện gửi dữ liệu phải sử dụng phương
Must have
thức POST
- Agent cài đặt ở khách hàng cần phải được thực hiện certificate
pinning với certificate của Agent ở VIB Must have
Highly Restricted
Specialist, WB Sales _______________________________
Support (Signature)
Highly Restricted