Yêu cầu Dự án

Business Requirements

Program: [ERP-
link]
Project: [SME Banking]

Ngày ban hành/ Date TBA

Issued
Phiên bản số / 1.1
Version No.
Trang thái / Status Approved
Người lập / Author: Nguyễn Trần Nam
Nguyễn Thị Sâm
Giám đốc dự án / Nguyễn Thị Thanh Thảo
Project Manager:
Tài trợ dự án / Project Vương Thị Huyền
Sponsor:
Phòng / Business Wholesale Banking- Sales Support
Department: Wholesale Banking- Cash Management products
Mã dự án / Project
Code:
Mục lục/ Table of Contents
Mục lục/ Table of Contents................................................................. 2
Quản lý tài liệu / Document Control.................................................... 3
Hiệu chỉnh tài liệu / Revision History........................................................3
Nơi nhận/ Distribution List...........................................................................5
Tham khảo / References..................................................................... 5
Thuật ngữ / Glossary.......................................................................... 5
1. Tổng quan dự án / Project Summary ............................................ 7
1.1. Mô tả dự án / Project Background.............................................................7
1.2. Các yêu cầu & Giải pháp / High Level Project Summary..........................7
2. Tổng quan dự án / Project Overview............................................. 7
2.1. Mục đích và mục tiêu/ Business Objectives and Goals............................7
2.2. Tác động của dự án tới các phòng ban / Project Impact to Business
Departments...................................................................................................... 7
2.3. Tác động của dự án tới quy trình kinh doanh / Project Impact to
Business Processes............................................................................................ 7
2.4. Tác động của dự án tới các hệ thống IT / Project Impact to IT Systems..8
3. Phạm vi dự án / Project Scope ...................................................... 8
3.1. Phạm vi thuộc dự án / In Scope................................................................8
3.2. Ngoài phạm vi dự án / Out of Scope.........................................................8
4. Yêu cầu / Business Requirements ................................................ 9
4.1. Các quy trình kinh doanh bị ảnh hưởng / Current Business Processes
Affected.............................................................................................................. 9
4.2. Sơ đồ tổng quát quy trình đề xuất / High-level Diagram of Proposed
Processes........................................................................................................... 9
4.2.1 Quy trình thực hiện ủy nhiệm chi:....................................................9
4.2.2 Quy trình gửi báo cáo tài khoản:....................................................10
4.3. Yêu cầu về chức năng / Functional Requirements.................................10
4.3.1 Yêu cầu về chức năng hệ thống ERP của khách hàng:..................10
4.3.2 Yêu cầu về chức năng phần mềm VIB agent của ngân hàng:.......11
4.4. Yêu cầu khác / Non-Functional Requirements........................................13
4.4.1 Yêu cầu thời gian đáp ứng / Response Time Requirements..........13
4.4.2 Yêu cầu về độ tin cậy / Availability Requirements.........................13
4.4.3 Yêu cầu dung lượng / Capacity Requirements...............................13
4.4.4 Yêu cầu về giao diện / Look and Feel Requirements.....................13
4.4.5 Yêu cầu trong tương lai / Known Future Requirements.................13
4.4.6 Yêu cầu về triển khai / Implementation Requirements..................14
4.4.7 Yêu cầu về đào tạo / Training Requirements.................................14
4.5. Security Non-Functional Requirements..................................................14
4.5.1 Process Information:.......................................................................15
4.5.2 Information System Recovery Requirements.................................15
4.5.3 Quản trị dữ liệu/ Data Management...............................................15
4.5.4 Security Requirement.....................................................................16
4.5.5 Information System Security Category..........................................18
5. Phê duyệt / Approvals ................................................................ 18

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 2 of 18

Highly Restricted
 Quản lý tài liệu / Document Control
Hiệu chỉnh tài liệu / Revision History

Phiên Người lập Ngày phát Các thay đổi

bản Author hành Changes
Version Issue Date
0.1 Nguyễn Trần 22/04/2016 Khởi tạo
Nam
1.0 Nguyễn Trần 24/07/2016 - Bỏ phần duyệt lệnh ở FAST ERP,
Nam bắt buộc duyệt lại trên IB của VIB
(bỏ trường hợp xử lý thẳng không
phê duyệt)
- Việc gắn CA được thực hiện bởi
agent, không phải ERP
- Việc giải mã file report/message
được thực hiện bởi ERP, không phải
agent.
- Việc import PGP keys sẽ được
thực hiện tự động host-to-host
ngay khi cài đặt agent phía khách
hàng xong, không phải copy-import
manual bởi người cài đặt.
- Bổ sung yêu cầu thông tin trong
audit logs.
- Bổ sung mô tả rõ hơn: các lệnh
được import từ ERP sẽ được ghi
nhận ở phần input, chờ duyệt theo
rule đã đăng ký từ trước trên IB.
1.1 Nguyễn Thị Sâm 04/08/2016 - Bỏ ví dụ gen key,mã hóa trong tài
liệu
- Nếu khách hàng có nhiều level
duyệt, sẽ trả message giao dịch về
cho khách hàng với trạng thái ở
level xử lý cuối cùng.
- Giao dịch từ các kênh (kể cả
ERPLink) đẩy vào IB cần có trường
để phân biệt loại giao dịch
- Hiện tại IB đang cho phép người
nhập được phép xóa, sửa giao dịch
input. Với các giao dịch từ ERPLink
đẩy sang, khách hàng không được
phép xóa, sửa giao dịch. Nếu phát
hiện giao dịch sai, khách hàng thực
hiện reject giao dịch trên IB và khởi
tạo lại giao dịch từ ERP của khách
hàng
- VIB Agent sẽ trả thông tin trạng
thái của giao dịch cho khách hàng
dưới dạng file. Nếu khách hàng
muốn check trạng thái giao dịch

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 3 of 18

Highly Restricted
 trên phần mềm ERP cần sửa đổi hệ
thống ERP để cập nhật trạng thái.
- Thông tin file truyền nhận trong
quá trình xử lý truyền file dùng
format file .csv
- Thời gian đáp ứng của hệ thống
với các giao dịch import file của
khách hàng <=120s . Thời gian
đáp ứng của hệ thống với các giao
dịch xuất file của khách hàng
<=120s
1.2 Nguyễn Thị Sâm 05/08/2016 - VIB cung cấp nguồn dữ liệu đáp
ứng yêu cầu nhập mẫu file báo cáo
và xuất file thanh toán(ủy nhiệm
chi) dưới hình thức nhận request từ
ERP của khách hàng cho VIB Agent
cài tại server ERP.
- Có khả năng lấy/đẩy 1 hoặc nhiều
file từ/tới ERP Agent ở VIB theo giao
thức SFTP.
- Agent hoạt động ngầm và chỉ
thực hiện các thao tác khi nhận
được request từ phần mềm ERP của
khách hàng
-Agent có log các trạng thái hoạt
động và lỗi phát sinh. Có cơ chế
rotate log
- Có khả năng ký (sign), mã hóa
(encrypt) và nén file xuất từ ERP
(compress), và giải nén các file
nhận được từ Agent cài đặt trên IB
VIB bằng cặp khóa PGP (private-
public) được tạo bởi VIB dựa trên
passphrase và các thông tin khác
đăng ký bởi khách hàng.
1.3 Nguyễn Trần 08/08/2016 - Cập nhật khả năng chuyển lệnh
Nam thanh toán hóa đơn (điện, nước,
viễn thông...) và thanh toán quốc
tế qua ERP. Thanh toán thuế sẽ
được đưa vào thực hiện trên ERP
khi hệ thống Internet Banking của
VIB hoàn tất việc kết nối với Tổng
Cục Thuế và Hải quan Việt Nam.
1.4 Nguyễn Thị Sâm 09/08/2016 - Hỗ trợ các loại lệnh thanh toán
theo tính năng hiện có của IB VIB,
bao gồm thanh toán nội bộ VIB
(VIB); thanh toán đi các ngân hàng
khác (bao gồm lệnh lương) trong
nước (RTGS/PAY) bằng tiền VND
,thanh toán các loại hóa đơn (EVN
và VIETTEL) và thanh toán quốc tế
(TT) tại thời điểm hiện tại. Thanh
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 4 of 18

Highly Restricted
 toán đến số tài khoản/số thẻ của
ngân hàng thuộc mạng BanknetVN
(BNVN) sẽ được đưa vào phase 2
của dự án.
- Tất cả các thông tin đầu vào để
thực hiện các lệnh thanh toán, ủy
nhiệm chi , báo cáo được gửi qua
webservice.
- Với các lệnh thanh toán quốc tế
cần đính kèm các chứng từ. Khách
hàng truy cập vào Internet banking
đính kèm thông tin như quy trình
hiện tại.
- Xuất nội dung ủy nhiệm chi theo
mẫu đính kèm (bao gồm thanh
toán nội bộ VIB (VIB); thanh toán đi
các ngân hàng khác (bao gồm lệnh
lương) trong nước (RTGS/PAY) bằng
tiền VND ,thanh toán các loại hóa
đơn (EVN và VIETTEL) và thanh
toán quốc tế (TT) tại thời điểm hiện
tại):
- Mỗi file xuất nội dung ủy nhiệm
chi gửi sang Ngân hàng chứa
maximum 500 giao dịch.
- Bổ sung thêm trường
inputerID(user đăng nhập internet
banking) vào file template để nhận
biết được tài khoản map với thông
tin user trên hệ thống IB của khách
hàng
1.5 Nguyễn Thị Sâm 09/06/2016 - FAST gửi request thông tin dưới
dạng message sang VIB các thông
tin liên quan tới thông tin thanh
toán, ủy nhiệm chi... VIB thực hiện
đẩy dữ liệu vào hệ thống Internet
Banking với trạng thái chờ duyệt.

Nơi nhận/ Distribution List

Tên Chức danh Phòng ban Lý do

Name Title Business Unit Reason
Lê Thị Ngọc Tân Giám đốc phòng Quản trị dịch vụ Phê duyệt/
công nghệ-BTS Approve
Nguyễn Quang Giám đốc phòng Hỗ trợ và phát Kiểm tra/ Review
Đức triển kinh doanh-
WB
Đặng Thị Ngọc Giám đốc phòng Quản lý và kinh Phê duyệt/
Sơn doanh sản phẩm Approve
quản lý dòng tiền-
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 5 of 18

Highly Restricted
 WB
Vương Thị Huyền Tài trợ dự án/ Project Giám đốc khối Phê duyệt/
Sponsor Khách hàng Approve
doanh nghiệp

Tham khảo / References

Các tài liệu tham khảo cho dự án trong suốt quá trình thực hiện
Refer to reference material used throughout the project.

Tên tài liệu Nguồn tài liệu

Document Name Network Location or Document Link

Thuật ngữ / Glossary

Thuật ngữ, từ viết tắt Định nghĩa

Abbreviation, Acronym or Other Definition

1. Tổng quan dự án / Project Summary

1.1. Mô tả dự án / Project Background

Mở rộng danh mục kênh thanh toán, cung cấp khả năng kết nối trực tiếp tới
khách hàng vời độ bảo mật cao, giảm thời gian thực hiện ủy nhiệm chi cũng
như cung cấp các báo cáo về tài khoản và trạng thái giao dịch nhanh chóng
cho KHDN (từ KHDN lớn đến SME).

1.2. Các yêu cầu & Giải pháp / High Level Project Summary
BTS, WB và vendor phối hợp triển khai tính năng gửi/nhận thông tin,ủy nhiệm
chi trực tiếp từ hệ thống phần mềm quản trị doanh nghiệp của khách hàng tới
hệ thống Internet banking-WB của VIB

2. Tổng quan dự án / Project Overview

2.1. Mục đích và mục tiêu/ Business Objectives and Goals

Mục tiêu kinh doanh hoặc Kết quả mong

Mục đích dự án/ Project
Objectives (WHAT)
Thiết lập chức năng gửi/nhận
thông tin, ủy nhiệm chi trực tiếp
từ hệ thống phần mềm quản trị
doanh nghiệp (ERP) của khách
hàng đến hệ thống Internet
Banking của KHDN.
muốn/ Business Goals or Desired
Outcomes (WHY)
Mở rộng danh mục kênh thanh toán, cung cấp
khả năng kết nối trực tiếp với độ bảo mật cao,
giảm thời gian thực hiện ủy nhiệm chi cũng
như cung cấp các báo cáo về tài khoản và
trạng thái giao dịch nhanh chóng cho KHDN
(từ KHDN lớn đến SME).

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 6 of 18

Highly Restricted
2.2. Tác động của dự án tới các phòng ban / Project Impact to
Business Departments
(H = High M = Medium L = Low N = No Impact)

Tác Tác
Phòng/Ban / Business Unit động/ Phòng/Ban / Business động/
Department Impa Unit Department Impac
ct t
TTKD N
Phòng HTKD M
Phòng QL&PT SP Quản lý dòng H
tiền
Phòng Phát triển thị trường M

2.3. Tác động của dự án tới quy trình kinh doanh / Project Impact
to Business Processes
(H = High M = Medium L = Low N = No Impact)

Tác
Quy trình kinh doanh/ Business Process động/
Impact
Quy định về nghiệp vụ quản lý dòng tiền cho doanh nghiệp
http://e-office.vib/edoc/SitePages/view-document.aspx?
ItemID=506&ListName=Pages&WebName=edoc&c=S%E1%BA%A3n M
%20ph%E1%BA%A9m%20WB&l=0&g=98373924-f710-4b8e-b280-
3105cb90462c

2.4. Tác động của dự án tới các hệ thống IT / Project Impact to IT

Systems
(H = High M = Medium L = Low N = No Impact)

Tác động/
Information Technology System
Impact
Internet Banking for corporate H
Other

3. Phạm vi dự án / Project Scope

3.1. Phạm vi thuộc dự án / In Scope

- FAST gửi request thông tin dưới dạng message sang VIB các thông tin liên
quan tới thông tin thanh toán, ủy nhiệm chi... VIB thực hiện đẩy dữ liệu vào
hệ thống Internet Banking với trạng thái chờ duyệt.
- VIB cung cấp nguồn dữ liệu đáp ứng yêu cầu nhập mẫu file báo cáo và xuất
file thanh toán(ủy nhiệm chi) dưới hình thức nhận request từ ERP của
khách hàng.
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 7 of 18

Highly Restricted
3.2. Ngoài phạm vi dự án / Out of Scope
Ngoài yêu cầu đã nêu trong mục 3.1.

4. Yêu cầu / Business Requirements

4.1. Các quy trình kinh doanh bị ảnh hưởng / Current Business
Processes Affected

4.2. Sơ đồ tổng quát quy trình đề xuất / High-level Diagram of

Proposed Processes

4.2.1 Quy trình thực hiện ủy nhiệm chi:

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 8 of 18

Highly Restricted
4.2.2 Quy trình gửi báo cáo tài khoản:

Bizagi source file:

Process

4.3. Yêu cầu về chức năng / Functional Requirements

4.3.1 Yêu cầu về chức năng hệ thống ERP của khách hàng:
4.3.1.1Yêu cầu về cấu hình
Để kết nối với hệ thống IB của VIB, máy chủ ERP của khách hàng cần có
khả năng:
- Chạy trên hệ điều hành Microsoft Windows (XP/7/Server 2008/Server
2012) 32-bit/64-bit
- Có kết nối Internet, cho phép thực hiện kết nối HTTPS/SFTP đến máy chủ
VIB.
- Thực hiện nhập thông tin ủy nhiệm chi trên giao diện ERP, có thể hoặc
không có các tính năng phê duyệt ủy nhiệm chi trước khi gửi message.
- Gửi message ủy nhiệm chi với đầy đủ thông tin theo mẫu VIB các trường
(tham khảo mục 2.2.1.II) . Thông tin dữ liệu được mã hóa
- Giải mã và đọc message (dạng file text) cập nhật trạng thái gửi/nhận file
và trạng thái lệnh thanh toán theo mẫu VIB các trường (tham khảo mục
2.2.1.III) và gửi lại cho KH cập nhật thông tin lên ERP
- Hỗ trợ các loại lệnh thanh toán theo tính năng hiện có của IB VIB, bao
gồm thanh toán nội bộ VIB (VIB); thanh toán đi các ngân hàng khác
(bao gồm lệnh lương) trong nước (RTGS/PAY) bằng tiền VND và
ngoại tệ, thanh toán các loại hóa đơn (điện, nước, viễn thông...-
BILL) và thanh toán quốc tế (TT) tại thời điểm hiện tại. Dự kiến đến
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 9 of 18

Highly Restricted
 tháng 6/2017 sẽ hỗ trợ thêm các loại thanh toán khác như: thanh toán dư
nợ thẻ tín dụng VIB (CARD); thanh toán thuế (TAX); thanh toán đến số tài
khoản/số thẻ của ngân hàng thuộc mạng BanknetVN (BNVN), thanh toán
đến địa chỉ email/số điện thoại dành cho người không có tài khoản ngân
hàng (NBP); đồng thời hỗ trợ thanh toán mua/bán ngoại tệ, import danh
sách người thụ hưởng... Việc hỗ trợ thanh toán thuế (TAX) có thể được thực
hiện sớm hơn tùy thuộc tiến độ triển khai việc kết nối đến cơ quan thu
thuế trên Internet Banking.
- Tất cả các thông tin đầu vào để thực hiện các lệnh thanh toán, ủy nhiệm
chi , báo cáo được gửi qua webservice.
- Với các lệnh thanh toán quốc tế cần đính kèm các chứng từ. Khách hàng
truy cập vào Internet banking đính kèm thông tin như quy trình hiện tại.
- Dữ liệu truyền qua webservice. Số lượng giao dịch trả ra khi Fast gửi
request tra cứu thông tin trạng thái giao dịch từ ngày đến ngay có thể lớn.
Để tránh time out qua service VIB sẽ thực hiện phân trang bên VIB, Mỗi
trang khoảng 400-500 giao dịch. VIB trả tổng số bản ghi và tổng số trang,
Fast sẽ request theo từng trang.
- VIb trả dữ liệu cho FAST qua webservice. KH muốn truy xuất toàn bộ số
liệu dưới dạng excel. Yc này sẽ được hỗ trợ từ đầu Fast.
- Với mỗi message chứa thông tin các giao dịch đẩy từ ERP của khách hàng
khi đẩy vào VIB, hệ thống sẽ tự động sinh TransID . Thông tin TransID map
với giao dịch trên Ebanking sẽ được VIB trả lại cho FAST. FAST sẽ lưu
trường thông tin tương ứng để map được với các giao dịch được xử lý bên
VIB .
- Kết nối trực tiếp với IB DB để cập nhật thông tin lệnh thanh toán sau các
bước kiểm tra nếu hợp lệ. Lệnh thanh toán sẽ được ghi nhận ở bước nhập
lệnh và chờ phê duyệt theo rule khách hàng đã đăng kí trước đó trên IB.
- Nếu khách hàng có nhiều level duyệt, sẽ trả message giao dịch về cho
khách hàng với trạng thái ở level xử lý cuối cùng.
- Giao dịch từ các kênh (kể cả ERPLink) đẩy vào IB cần có trường để phân
biệt loại giao dịch
- Hiện tại IB đang cho phép người nhập được phép xóa, sửa giao dịch input.
Với các giao dịch từ ERPLink đẩy sang, khách hàng không được phép xóa,
sửa giao dịch. Nếu phát hiện giao dịch sai, khách hàng thực hiện reject
giao dịch trên IB và khởi tạo lại giao dịch từ ERP của khách hàng
- Audit logs ghi nhận thời gian, trạng thái, kết quả xử lý file gửi/nhận theo
từng khách hàng, các thông tin về hoạt động của người dùng ví dụ:
o User login/logout/change password
o Thông tin về thời gian, người thay đổi cấu hình hệ thống, thay đổi
cấu hình gì, giá trị như thế nào
o Thông tin về thời gian, người tạo giao dịch
o Thông tin về thời gian, người chỉnh sửa giao dịch
o Thông tin về thời gian, người xóa giao dịch
o Thông tin về thời gian, người duyệt
- Lưu lại tất cả message gửi/nhận, phân loại theo từng khách hàng, chia
theo ngày, vào một ổ chung để nhân viên quản trị của ngân hàng có thể
kiểm tra khi có khiếu nại của khách hàng. Dữ liệu lưu trữ trong thời gian tối
thiểu 3 tháng.
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 10 of 18

Highly Restricted
4.3.1.2Yêu cầu về xuất mẫu file thanh toán (ủy nhiệm chi)
- Xuất nội dung ủy nhiệm chi theo mẫu đính kèm (bao gồm thanh toán nội
bộ VIB (VIB); thanh toán đi các ngân hàng khác (bao gồm lệnh lương) trong
nước (RTGS/PAY) bằng tiền VND ,thanh toán các loại hóa đơn (EVN và
VIETTEL) và thanh toán quốc tế (TT) tại thời điểm hiện tại):
- Mỗi file xuất nội dung ủy nhiệm chi gửi sang Ngân hàng chứa maximum
500 giao dịch.
- Bổ sung thêm trường inputerID(user đăng nhập internet banking) vào file
template để nhận biết được tài khoản map với thông tin user trên hệ thống
IB của khách hàng.

Bulk Import -
Payments.xlsx

4.3.1.3Yêu cầu về nhập mẫu file báo cáo

- FAST gửi thông tin request sang VIB yêu cầu xuất thông tin nội dung các
báo cáo về tài khoản/trạng thái lệnh thanh toán dưới dạng message với các
trường tham khảo trong file đính kèm.

Payment report

- Giải mã và cập nhật trạng thái file vào CSDL ERP và có chức năng hiển thị
cho KH kiểm tra:

File status message

4.3.2 Quản lý thông tin Public Key của khách hàng.

4.3.2.1Xây dựng màn hình trên IBAdmin để phân quyền cho userIB được
phép import Public key.
Giao diện:

Note:
o Khách hàng cung cấp thông tin userIB được phép import file public
key vào hệ thống cho VIB

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 11 of 18

Highly Restricted
 o VIB thực hiện add thông tin lên màn hình.
o Nhập thông tin số CIF để truy vấn. Toàn bộ danh sách userIB của
khách hàng hiển thị lên màn hình.
o Có thể có nhiều hơn 1 UserIB được phép thực hiện việc import này.

4.3.2.2Xây dựng màn hình trên IBWB cho phép khách hàng import file
public key
Giao diện:

Note:
o Khách hàng cung cấp đích danh user IB được phép load thông tin
chữ ký lên hệ thống theo mục 4.3.2.1 và không cần phê duyệt.
 Hệ thống check thông tin userIB, nếu userIB không được phép
upload sẽ cảnh báo message “ User không được quyền
upload”
 Nếu userIB được phép upload sẽ cho phép upload trên hệ
thống
o Khách hàng chọn file để tải chữ ký lên hệ thống. File format dạng
*.cer or *.der or *.pem or * .cert
o Click upload để thực hiện upload file vào hệ thống
o Hệ thống dọc file, gen xâu string, sau đó mã hóa thông tin và đẩy
xuống DB để lưu trữ.
o Khách hàng đã thực hiện load file. Khi vào lại màn hình này se có
message “Khách hàng đã thực hiện upload thông tin public key”
 Nếu Khách hàng muốn upload lại file thông tin khác, Thực
hiện upload , các thông tin sẽ được cập nhật lên thông tin cũ.
 Nếu Khách hàng muốn xóa file đã upload , Click button Delete
để thực hiện xóa.
o Chỉ các User IB được map với thông tin user FAST của các khách
hàng có đăng ký sử dụng ERPLink mới được phép upload thông tin
pulic key và thao tác trên màn hình này. Các user khác khi vào màn
hình sẽ bị disable tính năng này

4.4. Yêu cầu khác / Non-Functional Requirements

4.4.1 Yêu cầu thời gian đáp ứng / Response Time Requirements
Thời gian đáp ứng của hệ thống <=120s

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 12 of 18

Highly Restricted
4.4.2 Yêu cầu về độ tin cậy / Availability Requirements
4.4.2.1 Số giờ hỗ trợ/ Support Hours
Level 2 và Level3 support: 24/7
4.4.2.2 Số giờ yêu cầu cung cấp dịch vụ/ Required Service Availability Hours
(RSAH)
24/7 * 365 (Bao gồm cả thời gian maintainance).
4.4.2.3 Thời gian bảo trì/ Maintenance Times
12 AM đến 5AM ngày chủ nhật
4.4.2.4 Thời gian hoạt động mục tiêu/ Target Availability
97%

4.4.3 Yêu cầu dung lượng / Capacity Requirements

Số lượng concurrent user : 500

4.4.4 Yêu cầu về giao diện / Look and Feel Requirements

4.4.5 Yêu cầu trong tương lai / Known Future Requirements

4.4.6 Yêu cầu về triển khai / Implementation Requirements

BTS, WB, RB, Digital và Vendor phối hợp để triển khai các yêu cầu theo
đúng timeline đề xuất.

4.4.7 Yêu cầu về đào tạo / Training Requirements

TBD

4.5. Security Non-Functional Requirements

4.5.1 Process Information:

Process
Information Process
Business Process Data Loss
Classification MAO
Tolerance
Ủy nhiệm chi Highly Protected 4 hour 4 hour
(Transactions data)
Báo cáo Highly Protected 4 hour 4 hour
(Transactions data)

4.5.2 Information System Recovery Requirements

4.5.2.1 Mục tiêu thời gian phục hồi/ Recovery Time Objective
2 hours
4.5.2.2 Mục tiêu điểm phục hồi/ Recovery Point Objective
Last transaction
4.5.2.3 Mục tiêu mức độ phục hồi/ Recovery Level Objective
99%
4.5.2.4 Sao lưu dữ liệu và lịch trình/ Backup Data and Schedule

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 13 of 18

Highly Restricted
 O/S Application Transactional /
Operational
Data

What? Linux RHEL 7 Application Operational Data

source code and
configuration file
How? Tape/ SAN 1) DC backup to 1) DC backup to 1) DC backup to
/ Local GDS DD4200 GDS DD4200 GDS DD4200
2) DR backup to 2) DR backup to 2) DR backup to
SAN in VIDC SAN in VIDC SAN in VIDC
Where? GDS-DD4200 1) GDS-DD4200 1) GDS-DD4200
(GDS/VIDC) 2) VIDC Pureflex 2) VIDC Pureflex
V700 V700

When? Backup when Full backup Daily Full back up

have changes when have
changes

4.5.3 Quản trị dữ liệu/ Data Management

4.5.3.1 Chu kỳ lưu trữ dữ liệu/ Data Retention Period
Retained online: 02 years
Archived: > 02 years and < 05 years
Disposed: > 05 years
4.5.3.2 Chủ dữ liệu/ Data Owner
WB Digital team;

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 14 of 18

Highly Restricted
4.5.3.3 PCI DSS

Non functional Description

requirement

Data Element Transmitt Stored?

ed? (Y / N)
(Y/ N)
If the Answer to
any cell is “Yes”, Cardholder Primary N N
then a separate Data Account
“Cardholder Data Number
Flow Diagram” is
required which Full Track / N N
shows the data Chip Data
flow and
protection Sensitive
Card N N
required. Authenticatio
Verification
n Data
Code / Value

PIN / PIN Block N N

PCI DSS NOTES:

1. PCI DSS Requirements 3.3 and 3.4 apply only to PAN. If PAN is stored with
other elements of cardholder data, only the PAN must be rendered
unreadable according to PCI DSS Requirement 3.4.
2. Sensitive authentication data must not be stored after authorization, even if
encrypted. This applies even where there is no PAN in the environment.
3. The three- or four-digit value printed on the front or back of a payment card.
4. PIN/PIN Block refers to the personal identification number entered by
cardholder during a card-present transaction, and/or encrypted PIN block
present within the transaction message

4.5.4 Security Requirement

No Security Requirements Priority
1 Máy chủ host tại VIB  
  - Máy chủ được cập nhật đầu đủ các bản vá lỗi Must have
- Máy tính cần được cài đặt phần mềm diệt virus và cập nhật
  Must have
thường xuyên
  - Hardening theo tiêu chuẩn của VIB Must have
2 Logging  
- Lưu thông tin user login/logout/change password và trạng thái
  Must have
thành công hay thất bại

  - Lưu thông tin về thời gian, người tạo giao dịch và trạng thái Must have

- Lưu thông tin về thời gian, người chỉnh sửa giao dịch và trạng
  Must have
thái

  - Lưu thông tin về thời gian, người xóa giao dịch và trạng thái Must have

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 15 of 18

Highly Restricted
  - Lưu thông tin về thời gian, người duyệt giao dịch và trạng thái Must have

- Lưu thông tin về thời gian, người thay đổi cấu hình hệ thống,
  Must have
trạng thái thay đổi và giá trị thay đổi.

  - Lưu thông tin về trạng thái cả các hành động tạo file, mã hóa Must have
file, giải mã file

  - Lưu thông tin về trạng thái kết nối giữa agent ở khách hàng và Must have
agent ở VIB

  - Lưu thông tin về trạng thái kiểm tra file(file format, CA...) nhận Must have
và gửi
3 Agent  
3.1 Xác thực  
- Agent phía khách hàng xác thực với Agent phía VIB sử dụng
  Must have
basic authentication qua giao thức HTTPS
  - Agent yêu cầu xác thực ở tất cả các yêu cầu sử dụng HTTPS Must have
3.2 Kiểm tra dữ liệu đầu vào  
- Agent cần kiểm tra tính hợp lệ của tất cả các input đầu vào
  Must have
trước khi thực hiện

  - Agent cần kiểm tra tính hợp lệ của tất cả các input dựa trên Must have
kiểu dữ liệu, định dạng, độ dài, loại ký tự
- Việc kiểm tra tính hợp lệ của các input cần thực hiện ở cả 2
  Must have
agent
- Các truy vấn đến cơ sở dữ liệu cần được sử dụng parameterised
  queries hoặc parameterised stored procedures để chống tấn Must have
công SQLinjection
- Kết nối đến cơ sở dữ liệu không được sử dụng user đặc quyền
  cao nhất (ví dụ SQL server không được dùng user SA, Oracle Must have
không được dùng user SYSTEM...)
3.2 Mã hóa  
- Các file được mã hóa bằng thuật toán PGP sử dụng RSA keysize
  Must have
4096 bits, Hash type SHA 512, cipher AES-256
  - Passphase cần được đảm bảo có độ dài lớn hơn 8 ký tự, chứa Must have
các ký tự chữ in hoa, chữ thường, ký tự đặc biệt
- PGP key được tạo ra và quản lý ra ở agent phía VIB. PGP key sẽ
  được gửi đến cho agent phía khách hàng khi có yêu cầu Must have
- Agent VIB có tính năng quản lý khóa, đẩy khóa về cho Agent ở
  Must have
khách hàng
- Tất cả các file truyền giữa hai agent cần được mã hóa trước khi
  lưu trữ trên ổ đĩa cứng  

3.3 Kiểm tra các thông báo lỗi  

  - Agent cần phải ghi tại tất cả các thông báo lỗi Must have
- Các agent không được hiện thị thông báo lỗi chi tiết ra trên màn
  Must have
hình
- Các agent không được ghi lai các các thông tin nhạy cảm của
  Must have
khách hàng
- Các sự kiện có thông tin nhạy cảm như password, PIN … cần
  được ẩn các thông tin nhảy cảm đi (masking) Must have

3.4 Thiết lập an toàn cho giao thức HTTP  

Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 16 of 18

Highly Restricted
  - Kết nối giữa hai agent sử dụng giao thức HTTPS Must have
  - SSL/TLS chỉ sử dụng phiên bản TLS1.0, TLS1.1, TLS 1.2 Must have
- Các HTTP request có thực hiện gửi dữ liệu phải sử dụng phương
  Must have
thức POST
- Agent cài đặt ở khách hàng cần phải được thực hiện certificate
  pinning với certificate của Agent ở VIB Must have

3.4 Thiết lập an toàn cho giao thức FTP  

  - Kết nối giữa hai agent sử dụng giao thức SFTP  
  - SFTP xác thực bằng certificate Must have
  - FTP server chỉ cho phép kết nối đến từ địa chỉ IP của VIB agent Must have
3.5 Dò quét lỗ hổng  
- Agent phía VIB cần được thực hiện security source code review
  trước khi đưa vào sử dụng Must have
- Agent phía VIB cần được thực hiện penetration test trước khi
  đưa vào sử dụng Must have

4.5.5 Information System Security Category

Confidentiality
Integrity Impact Availability Impact
Impact
- Các thông tin thanh - Các thông tin thanh - Suy giảm sự hài lòng của
toán và báo cáo có thể toán và báo cáo có thể khách hàng có thể dẫn đến
bị lộ trên đường truyền bị chỉnh sửa trên đường ảnh hưởng về mặt thương hiệu
hoặc trong quá trình truyền
thực hiện chức năng
- Truy cập trái phép
vào Agent của VIB
Rating: CAO Rating: CAO Rating: CAO
Overall Rating: CAO

5. Phê duyệt / Approvals

Name Signature Date
Project Sponsor
Vương Thị Huyền
DCEO, Head of WB _______________________________
(Signature)
Project Manager
Nguyễn Thị Thanh Thảo
BTS Project Manager _______________________________
(Signature)
Business General
Manager
Đặng Thị Ngọc Sơn _______________________________
Head of Cash (Signature)
Management products
IT General Manager
Lê Thị Ngọc Tân
Head of Relationship _______________________________
Management (Signature)
Stakeholder 08th Aug 2016
Nguyễn Trần Nam
Project Management Office [Project Name]
Confidential Yêu cầu dự án / Business Requirements
Page 17 of 18

Highly Restricted
Specialist, WB Sales _______________________________
Support (Signature)

Project Management Office [Project Name]

Confidential Yêu cầu dự án / Business Requirements
Page 18 of 18

Highly Restricted