Professional Documents
Culture Documents
DECISION 35/2006/QĐ-NHNN
ON
PROMULGATING THE
REGULATION ON RISK
MANAGEMENT PRINCIPLES FOR
E-BANKING ACTIVITIES
DECREE
130/2018/ND-CP
ON GUIDELINES FOR OF THE
LAW ON E-TRANSACTIONS OF
DIGITAL SIGNATURES AND
DIGITAL SIGNATURE
AUTHENTICATION
DECREE
165/2018/ND-CP
E-TRANSACTIONS IN FINANCIAL
OPERATIONS
CIRCULLAR 35/2016/TT-NHNN
ON SAFETY AND
CONFIDENTIALITY OVER
PROVISION OF BANKING
SERVICES ON THE INTERNET
CIRCULLAR 23/2014/TT-NHNN
ON GUIDING THE OPENING AND
USE OF PAYMENT ACCOUNTS
AT PAYMENT SERVICE
SUPPLIERS
CIRCULLAR 38/2019/TT-NHNN
ON PROVISION OF PAYMENT
SERVICES WITHOUT CHECKING
ACCOUNTS BY PUBLIC POSTAL
SERVICE PROVIDERS
DECISION 316/QD-TTg ON
APPROVING PILOT
IMPLEMENTATION OF
TELECOMMUNICATION
ACCOUNTS FOR PAYMENT OF
LOW VALUE COMMODITIES AND
SERVICES
DECREE 35/2007/ND-CP
ON BANKING E-TRANSACTIONS
CIRCULAR 32/2011/TT-BTC
GUIDING THE CREATION,
ISSUANCE AND USE OF E-
INVOICES FOR GOODS SALE
AND SERVICE PROVISION
CIRCULAR 29/2011/TT-NHNN
DEFINING SAFETY,
CONFIDENTIALITY OVER
PROVISION FOR BANKING
SERVICE ON THE INTERNET
CIRCULAR
No. 37/2016/TT-NHNN
MANAGEMENT, OPERATION
AND USE OF THE NATIONAL
INTERBANK ELECTRONIC
PAYMENT SYSTEM
CIRCULAR
No. 21/2020/TT-NHNN
AMENDING AND
SUPPLEMENTING SEVERAL
ARTICLES OF THE CIRCULAR
NO. 37/2016/TT-NHNN DATED
DECEMBER 30, 2016 OF THE
GOVERNOR OF THE STATE
BANK OF VIETNAM,
REGULATING MANAGEMENT,
OPERATION AND USE OF THE
NATIONAL INTERBANK
ELECTRONIC PAYMENT SYSTEM
CIRCULAR
No. 35/2018/TT-NHNN
ON AMENDMENTS TO CIRCULAR
NO. 35/2016/TT-NHNN DATED
DECEMBER 29, 2016 OF THE
GOVERNOR OF THE STATE
BANK ON SAFETY,
CONFIDENTIALITY OVER
PROVISION FOR BANKING
SERVICE ON THE INTERNET
CIRCULAR 09/2020/TT-NHNN ON
INFORMATION SYSTEM
SECURITY IN BANKING
OPERATIONS
DECREE 87/2019-NĐCP
AMENDING A NUMBER OF
ARTICLES OF THE
GOVERNMENT'S DECREE NO.
116/2013/ND-CP DATED
OCTOBER 04, 2013 DETAILING
THE IMPLEMENTATION OF A
NUMBER OF ARTICLES OF THE
ANTI-MONEY LAUNDERING LAW
CIRCULAR 16/2020/TT-NHNN
AMENDMENTS TO CIRCULAR
NO. 23/2014/TT-NHNN DATED
AUGUST 19, 2014 OF THE
GOVERNOR OF THE STATE
BANK OF VIETNAM PROVIDING
GUIDELINES FOR OPENING AND
USE OF CHECKING ACCOUNTS
AT PAYMENT SERVICE
PROVIDERS
CIRCULAR 39/2016/TT-NHNN
PRESCRIBING LENDING
TRANSACTIONS OF CREDIT
INSTITUTIONS AND/OR FOREIGN
BANK BRANCHES WITH
CUSTOMERS
Summary of content
- Persons from full 15 years old to under 18 years old who have
not lost or have limited civil act capacity, have their own
property, are allowed to open payment accounts at banks or
foreign bank branches by themselves.
The bank can only unlock the account when requested by the
customer and must authenticate the customer before unlocking
the account, ensuring against fraud and forgery.
20/08/2006 31/07/2006
15/11/2018 27/09/2018
10/2/2019 24/12/2018
7/1/2017 12/29/2016
10/15/2014 8/19/2014
12/31/2019 12/31/2019
3/9/2021 3/9/2021
1/1/2021 10/21/2020
11/14/2019 11/14/2019
3/5/2021 12/4/2020
1/1/2011 10/16/2010
3/15/2017 12/30/2016
Issuer Document File
SBV
35_2006_QD-
NHNN_13213.doc
Government
130_2018_ND-
CP_358259.doc
Government
165_2018_ND-
CP_357599.doc
35_2007_ND-
THE GOVERNMENT 35_2007_ND-
CP_VN.doc
CP_ENG.doc
THE MINISTRY OF FINANCE 32_2011_TT-BTC
29_2011_TT-NHNN 29_2011_TT-NHNN
THE STATE BANK OF VIETNAM
37_2016_TT-NHNN 37_2016_TT-NHNN
STATE BANK OF VIETNAM
21_2020_TT-NHNN 21_2020_TT-NHNN
Type of regulatory
No. Name of document
document
CIRCULAR ON PROVIDING
2 Circular INSTRUCTIONS ABOUT
INTERMEDIARY PAYMENT SERVICES
2. Gap Analysis
With the aim of mitigating outsourcing risks, SBV has partially directed banks to acknowledge outsourcing risks as wel
above helps to increase adoption of new technology for less critical systems among financial institutions.
To further improve the regulations and eventually develop a detail framework on outsourcing management, more spe
requirements, cloud service usage contract requirements, etc. must be outlined. However, authorities have not develo
lack a regulatory framework which can consider rights and obligations of both parties (e.g: a contract forms), complexi
ts on Outsourcing of Vietnam (from the highest to low
management
Number of
Issuing authority Issuance date Effective date
document
STATE BANK OF
No. 47/VBHN-NHNN 12/9/2019 12/23/2019
VIETNAM
banks to acknowledge outsourcing risks as well as outlining minimum compliance criteria to mitigate these risks. Also, recent changes
ems among financial institutions.
mework on outsourcing management, more specific and stringent management measures, such as activity classification, development
outlined. However, authorities have not developed a regulatory framework highlighting not only operational risk assessment and ma
of both parties (e.g: a contract forms), complexity of cross-border service provision, prediction of future groundbreaking applications an
he highest to lowest power)
Brief of content
tigate these risks. Also, recent changes (in Circular 09 in replacement of Circular 18), specifically the applicability to system classified a
as activity classification, development of contingency plan, addition of access restriction, third-party selection criteria service provision
ly operational risk assessment and management but also for continuity in operations of an organization in the event of interruptions.
f future groundbreaking applications and technologies as well as guidance for conflict handling.
Applicable entities
cement of Circular 18), specifically the applicability to system classified as level 2, 3 and
dition of access restriction, third-party selection criteria service provision, SBV reporting
continuity in operations of an organization in the event of interruptions. Moreover, they
as guidance for conflict handling.
Name of Document Chapter
CIRCULAR ON Chapter II: PROVISIONS
INFORMATION SYSTEM ON ASSURANCE OF
SECURITY IN BANKING INFORMATION SECURITY
OPERATIONS
Section
Section 6. MANAGEMENT OF
USE OF INFORMATION
TECHNOLOGY SERVICES
PROVIDED BY THIRD PARTIES
Content
Article 31. General principles for use of services provided by third parties
When using information technology services provided by a third party, the institution shall
adhere to the following principles:
1. Do not reduce the capacity to provide continuous services for clients of such institution
4. Information technology services provided by the third party must satisfy regulations on
information security issued by such institution
Before using services provided by a third party, the institution shall perform the following
tasks:
1. Carry out assessment of information technology risks and operating risks which at least
includes:
a) Identifying risks, analyzing and estimating the extent of damage and threats to
information security;
d) Working out risk minimizing methods and trouble preventing and solving methods;
b) Prepare backup plans for components of Level 2 information systems and above
Backup plans must be tested and assessed to see whether they are available to replace
activities and professional tasks performed on the cloud computing;
Article 33. Criteria for selecting a third party providing the cloud computing service
1. is an enterprise;
The contract for service use with a third party shall at least contain the following contents:
1. Commitment to ensure information security made by the third party which includes:
b) Not replicating, altering, using or providing data of the institution using the service for
another individual or institution, except for cases required by competent regulatory
agencies as per law provisions; in such case, the third party is required to notify the
institution using the service of data provision to another institution before such provision,
unless cases in which notification will go against the law of Vietnam;
2. Regulations on time limit for service interruption and troubleshooting time, requirements
regarding assurance of continuous operation (on-site backup, backup data, disaster
recovery), requirements regarding storing, calculating and processing capacity as well as
actions taken in case of lack of service quality assurance
3. Cases in which lease of a auxiliary contractor by the third party causes no change in
responsibilities of such third party for services in current use of the institution
4. Data generated during the service use that is considered asset of the institution. When
the service use is terminated:
a) The third party shall return all data used and data generated during the service use;
Article 35. Responsibilities of the institution during the use of services provided by a third
party
1. Provide, notify and ask the third party to comply with information security regulations
issued by the institution.
2. Establish procedures and allocate resources to monitor and control services provided
by the third party with the aim of ensuing service quality under provisions of the signed
contract. With regard to cloud computing services, monitoring and control of service
quality are required.
4. Manage changes in services provided by the third party including changes made to
suppliers, solutions, versions and changes of contents specified in Article 40 herein and
assess all impacts of those changes for safety assurance before use
5. Employ methods to strictly monitor and limit access right of the third party when such
party is allowed to obtain access to information systems of the institution.
6. Supervise staff members of the third party during the contract execution. If discovering
any violation against information security regulations committed by such staff member, the
institution shall notify and cooperate with the third party in timely handling.
7. Revoke right to access to information systems granted to the third party, change locks
and passwords transferred from such third party right after job completion or contract
termination.
8. With regard to Level 2 information systems and above or information systems using
Nội dung
Điều 31. Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba
Khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba, tổ chức bảo đảm các nguyên tắc
sau đây:
1. Không làm suy giảm khả năng cung cấp dịch vụ liên tục của tổ chức cho khách hàng.
2. Không làm suy giảm việc kiểm soát quy trình nghiệp vụ của tổ chức.
3. Không làm thay đổi trách nhiệm của tổ chức trong việc bảo đảm an toàn thông tin.
4. Dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo đảm an
toàn thông tin của tổ chức.
Điều 32. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba
Trước khi sử dụng dịch vụ của bên thứ ba, tổ chức thực hiện:
1. Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động tối thiểu bao gồm các nội dung
sau:
a) Nhận diện rủi ro, phân tích, ước lượng mức độ tổn hại, mối đe dọa đến an toàn thông
tin;
b) Khả năng kiểm soát các quy trình nghiệp vụ, khả năng cung cấp dịch vụ liên tục cho
khách hàng, khả năng thực hiện nghĩa vụ cung cấp thông tin cho các cơ quan nhà nước;
c) Xác định rõ vai trò, trách nhiệm của các bên liên quan trong việc bảo đảm chất lượng
dịch vụ;
d) Xây dựng các biện pháp nhằm giảm thiểu rủi ro, biện pháp phòng ngừa, ứng cứu, khắc
phục sự cố;
2. Trong trường hợp sử dụng dịch vụ điện toán đám mây, ngoài các yêu cầu tại Khoản 1
Điều này, tổ chức thực hiện:
a) Phân loại hoạt động, nghiệp vụ dự kiến triển khai trên điện toán đám mây dựa trên
đánh giá tác động của hoạt động, nghiệp vụ đó với hoạt động của tổ chức;
b) Xây dựng phương án dự phòng đối với các cấu phần của hệ thống thông tin từ mức độ
2 trở lên. Phương án dự phòng phải được kiểm thử và đánh giá sẵn sàng thay thế cho
các hoạt động, nghiệp vụ triển khai trên điện toán đám mây;
Điều 33. Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây
Tiêu chí lựa chọn bên thứ ba bao gồm các nội dung tối thiểu sau:
2. Có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng
các yêu cầu sau:
b) Có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn thông tin.
Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba phải có tối thiểu những nội dung sau:
1. Cam kết của bên thứ ba về bảo đảm an toàn thông tin bao gồm:
a) Đáp ứng yêu cầu quy định tại Điều 33 Thông tư này;
b) Không sao chép, thay đổi, sử dụng hay cung cấp dữ liệu của tổ chức sử dụng dịch vụ
cho cá nhân, tổ chức khác, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm
quyền theo quy định của pháp luật; trong trường hợp này, bên thứ ba phải thông báo cho
tổ chức sử dụng dịch vụ trước khi cung cấp dữ liệu, trừ khi việc thông báo sẽ vi phạm
pháp luật Việt Nam;
c) Phổ biến cho nhân sự của bên thứ ba tham gia thực hiện hợp đồng các quy định về
bảo đảm an toàn thông tin của tổ chức, thực hiện các biện pháp giám sát bảo đảm tuân
thủ.
2. Quy định cụ thể thời gian tối đa có thể gián đoạn dịch vụ và thời gian khắc phục sự cố,
các yêu cầu liên quan đến bảo đảm hoạt động liên tục (dự phòng tại chỗ, sao lưu dữ liệu,
dự phòng thảm họa), các yêu cầu liên quan đến năng lực xử lý, tính toán, lưu trữ, các
biện pháp thực hiện khi chất lượng dịch vụ không được bảo đảm.
3. Trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm của bên
thứ ba đối với dịch vụ mà tổ chức sử dụng.
4. Dữ liệu phát sinh trong quá trình sử dụng dịch vụ là tài sản của tổ chức. Khi chấm dứt
sử dụng dịch vụ:
a) Bên thứ ba thực hiện trả lại toàn bộ dữ liệu triển khai và dữ liệu phát sinh trong quá
trình sử dụng dịch vụ;
Điều 35. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba
1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn thông tin
của tổ chức.
2. Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ ba cung
cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết. Đối với dịch vụ điện toán đám
mây, phải giám sát, kiểm soát chất lượng dịch vụ.
3. Áp dụng các quy định về an toàn thông tin của tổ chức đối với trang thiết bị, dịch vụ do
bên thứ ba cung cấp được triển khai trên hạ tầng do tổ chức quản lý, sử dụng.
4. Quản lý các thay đổi đối với dịch vụ do bên thứ ba cung cấp bao gồm: thay đổi nhà
cung cấp, thay đổi giải pháp, thay đổi phiên bản, thay đổi các nội dung quy định tại Điều
40 Thông tư này; đánh giá đầy đủ tác động của việc thay đổi, bảo đảm an toàn khi được
đưa vào sử dụng.
5. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba
khi cho phép bên thứ ba truy cập vào hệ thống thông tin của tổ chức.
6. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Trường hợp
phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn thông tin phải thông báo và
phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.
7. Thu hồi quyền truy cập hệ thống thông tin đã được cấp cho bên thứ ba, thay đổi các
khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc
hoặc kết thúc hợp đồng.
8. Đối với hệ thống thông tin từ mức độ 2 trở lên hoặc hệ thống thông tin sử dụng dịch vụ
điện toán đám mây, phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin
của bên thứ ba theo đúng thỏa thuận đã ký kết. Thực hiện đánh giá sự tuân thủ định kỳ
Name of Document Chapter Section
CIRCULAR Chapter IV: RIGHTS AND
PROVIDING RESPONSIBILITIES OF
INSTRUCTIONS ABOUT INVOLVED PARTIES
INTERMEDIARY PAYMENT
SERVICES
Content
Article 11. Responsibilities of e-payment infrastructure supply service providers
1. Responsibilities to customers:
c) Compensate for any damage to customers due to system errors, customer information
disclosure and other errors caused by service providers;
dd) Providing full periodic and unscheduled information about transactions performed
through the system of the service providers at the request of customers;
e) Notifying fees and rates of charges to customers before they use services.
(i) Request merchants to open current accounts at banks to receive payments from the
Nội dung
Điều 11. Trách nhiệm của tổ chức cung ứng dịch vụ cung ứng hạ tầng thanh toán điện tử
b) Giải quyết hoặc trả lời các khiếu nại, yêu cầu tra soát của khách hàng;
c) Bồi thường thiệt hại cho khách hàng do lỗi kỹ thuật của hệ thống, lỗi để lộ thông tin
khách hàng và các lỗi khác của tổ chức cung ứng dịch vụ;
d) Phối hợp với khách hàng thực hiện kiểm tra, đối soát dữ liệu giao dịch hàng ngày;
đ) Cung cấp đầy đủ thông tin định kỳ, đột xuất về các giao dịch thông qua hệ thống của tổ
chức cung ứng dịch vụ khi có yêu cầu của khách hàng;
e) Công bố các loại phí và mức phí cho khách hàng trước khi khách hàng sử dụng dịch
vụ.
a) Tổ chức cung ứng dịch vụ cổng thanh toán điện tử phải thỏa thuận cụ thể bằng văn
bản với ngân hàng hợp tác về các quyền và nghĩa vụ của các bên trong quá trình cung
cấp dịch vụ, trong đó phân định rõ trách nhiệm của từng bên trong việc lựa chọn, ký kết
hợp đồng hợp tác với các đơn vị chấp nhận thanh toán và trách nhiệm giám sát, kiểm tra
đối với các đơn vị chấp nhận thanh toán trong quá trình thực hiện hợp đồng;
b) Trường hợp tổ chức cung ứng dịch vụ cổng thanh toán điện tử ký kết hợp đồng hoặc
thỏa thuận trực tiếp với đơn vị chấp nhận thanh toán (thỏa thuận không có ngân hàng
hợp tác tham gia), tổ chức cung ứng dịch vụ cổng thanh toán điện tử phải:
Name of Document Chapter
Chapter I: GENERAL
PROVISIONS
CIRCULAR ON INTERNAL
CONTROL SYSTEMS OF
COMMERCIAL BANKS
AND FOREIGN BANKS’
BRANCHES
Article 3. Definitions
20. Hoạt động thuê ngoài là việc ngân hàng thương mại, chi nhánh ngân hàng nước
ngoài thỏa thuận bằng văn bản (hợp đồng dịch vụ thuê ngoài) về việc thuê doanh nghiệp,
tổ chức tín dụng, chi nhánh ngân hàng nước ngoài khác (gọi là doanh nghiệp thuê ngoài)
để thực hiện một hoặc một số hoạt động (bao gồm xử lý dữ liệu hoặc một số công đoạn
của quy trình nghiệp vụ) thay cho ngân hàng thương mại, chi nhánh ngân hàng nước
ngoài theo quy định của pháp luật
1. Quản lý rủi ro hoạt động đối với hoạt động thuê ngoài được thực hiện thông qua:
a) Quản lý hoạt động thuê ngoài theo quy định tại khoản 2 Điều này;
b) Nhận dạng, đo lường, theo dõi và kiểm soát rủi ro hoạt động phát sinh từ hoạt động
thuê ngoài theo quy định tại Điều 42 Thông tư này.
2. Quản lý hoạt động thuê ngoài tối thiểu bao gồm:
a) Xác định phạm vi hoạt động thuê ngoài;
b) Phân cấp thẩm quyền phê duyệt, quyết định đối với các hoạt động thuê ngoài;
c) Thẩm định năng lực của doanh nghiệp thuê ngoài trong việc đáp ứng các yêu cầu, mục
tiêu đề ra của hoạt động thuê ngoài trước khi ký hợp đồng thuê ngoài; đánh giá khả năng
thực hiện hợp đồng của doanh nghiệp thuê ngoài trong quá trình thực hiện hợp đồng;
d) Có nguyên tắc thỏa thuận các hợp đồng thuê ngoài đảm bảo chặt chẽ, đầy đủ, bảo vệ
quyền sở hữu và bảo mật cơ sở dữ liệu, thông tin khách hàng và quyền chấm dứt hợp
đồng thuê ngoài; mức độ và phạm vi hoạt động thuê ngoài; trách nhiệm cụ thể của ngân
hàng thương mại, chi nhánh ngân hàng nước ngoài và doanh nghiệp thuê ngoài và các
điều khoản xử lý tranh chấp theo quy định của pháp luật;
e) Lập hoặc yêu cầu doanh nghiệp thuê ngoài lập kế hoạch duy trì hoạt động liên tục cho
hoạt động thuê ngoài theo quy định tại Điều 46 Thông tư này
Name of Document Chapter Section
DECISION ON
PROMULGATING THE Chapter II: RISK Section 3. MANAGEMENT OF
REGULATION ON RISK MANAGEMENT RISKS RELATED TO THIRD
MANAGEMENT PRINCIPLES FOR E- PARTIES
PRINCIPLES FOR E- BANKING ACTIVITIES
BANKING ACTIVITIES
Content