Name of Document

DECISION 35/2006/QĐ-NHNN
ON
PROMULGATING THE
REGULATION ON RISK
MANAGEMENT PRINCIPLES FOR
E-BANKING ACTIVITIES

DECREE
130/2018/ND-CP
ON GUIDELINES FOR OF THE
LAW ON E-TRANSACTIONS OF
DIGITAL SIGNATURES AND
DIGITAL SIGNATURE
AUTHENTICATION

DECREE
165/2018/ND-CP
E-TRANSACTIONS IN FINANCIAL
OPERATIONS

CIRCULLAR 35/2016/TT-NHNN
ON SAFETY AND
CONFIDENTIALITY OVER
PROVISION OF BANKING
SERVICES ON THE INTERNET

CIRCULLAR 23/2014/TT-NHNN
ON GUIDING THE OPENING AND
USE OF PAYMENT ACCOUNTS
AT PAYMENT SERVICE
SUPPLIERS
CIRCULLAR 38/2019/TT-NHNN
ON PROVISION OF PAYMENT
SERVICES WITHOUT CHECKING
ACCOUNTS BY PUBLIC POSTAL
SERVICE PROVIDERS

DECISION 316/QD-TTg ON
APPROVING PILOT
IMPLEMENTATION OF
TELECOMMUNICATION
ACCOUNTS FOR PAYMENT OF
LOW VALUE COMMODITIES AND
SERVICES

DECREE 35/2007/ND-CP
ON BANKING E-TRANSACTIONS
CIRCULAR 32/2011/TT-BTC
GUIDING THE CREATION,
ISSUANCE AND USE OF E-
INVOICES FOR GOODS SALE
AND SERVICE PROVISION

CIRCULAR 29/2011/TT-NHNN
DEFINING SAFETY,
CONFIDENTIALITY OVER
PROVISION FOR BANKING
SERVICE ON THE INTERNET

CIRCULAR
No. 37/2016/TT-NHNN
MANAGEMENT, OPERATION
AND USE OF THE NATIONAL
INTERBANK ELECTRONIC
PAYMENT SYSTEM

CIRCULAR
No. 21/2020/TT-NHNN
AMENDING AND
SUPPLEMENTING SEVERAL
ARTICLES OF THE CIRCULAR
NO. 37/2016/TT-NHNN DATED
DECEMBER 30, 2016 OF THE
GOVERNOR OF THE STATE
BANK OF VIETNAM,
REGULATING MANAGEMENT,
OPERATION AND USE OF THE
NATIONAL INTERBANK
ELECTRONIC PAYMENT SYSTEM
CIRCULAR
No. 35/2018/TT-NHNN
ON AMENDMENTS TO CIRCULAR
NO. 35/2016/TT-NHNN DATED
DECEMBER 29, 2016 OF THE
GOVERNOR OF THE STATE
BANK ON SAFETY,
CONFIDENTIALITY OVER
PROVISION FOR BANKING
SERVICE ON THE INTERNET

CIRCULAR 09/2020/TT-NHNN ON
INFORMATION SYSTEM
SECURITY IN BANKING
OPERATIONS

DECREE 87/2019-NĐCP
AMENDING A NUMBER OF
ARTICLES OF THE
GOVERNMENT'S DECREE NO.
116/2013/ND-CP DATED
OCTOBER 04, 2013 DETAILING
THE IMPLEMENTATION OF A
NUMBER OF ARTICLES OF THE
ANTI-MONEY LAUNDERING LAW
CIRCULAR 16/2020/TT-NHNN
AMENDMENTS TO CIRCULAR
NO. 23/2014/TT-NHNN DATED
AUGUST 19, 2014 OF THE
GOVERNOR OF THE STATE
BANK OF VIETNAM PROVIDING
GUIDELINES FOR OPENING AND
USE OF CHECKING ACCOUNTS
AT PAYMENT SERVICE
PROVIDERS

LAW ON CREDIT INSTITUTIONS

CIRCULAR 39/2016/TT-NHNN
PRESCRIBING LENDING
TRANSACTIONS OF CREDIT
INSTITUTIONS AND/OR FOREIGN
BANK BRANCHES WITH
CUSTOMERS
 Summary of content

Regulations on risk management principles regarding e-banking

activities, including:
- management of risks within credit institutions
- management of risks in transactions with customers
- management of risks related to third parties (mentioned in
previous sheet)
- management of risks upon occurrence of incidents

This Decree provides guidelines for digital signatures and digital

certificates, the management, provision, and use of digital
signatures, digital certificates and digital signature
authentication.

This Decree provides regulations for e-transactions in financial

operations, including rules for carrying out electronic financial
transactions

Circular 35/2016/TT-NHNN stipulating requirements to ensure

safety and security for the provision of banking services on the
Internet such as technical infrastructure, authentication of
transactions on Internet banking and requirements in
management of Internet banking services. Manage and operate
the Internet banking system.

The content of the Circular has some new points compared to

Decision 1284/2002/QD-NHNN as follows:

- Persons from full 15 years old to under 18 years old who have
not lost or have limited civil act capacity, have their own
property, are allowed to open payment accounts at banks or
foreign bank branches by themselves.

- Permit the use of uncertified copies (with the original for

comparison) in opening or authorizing the use of a payment
account.
The State bank promulgates Circular 38/2019/TT-NHNN on
providing payment services not through customers' payment
accounts at public postal service providers (service providers) .
Accordingly, the service-providing organization shall specify the
time limit for a service-using customer to request a trace or
complaint, but not less than 60 days from the date of arising of
the transaction requested for tracing.

The receipt of tracing and complaint information is done through

the telephone switchboard (with recording), the transaction
locations of the service provider or other forms as prescribed.

Service providers are responsible for responding or promptly

handling customer inquiries and complaints within the agreed
time limit but not exceeding 30 days from the date of receipt of
the complaint request.

The Prime Minister issued Decision 316/QD-TTg in 2021

approving the pilot implementation of using telecommunications
accounts to pay for goods and services of small value (Mobile-
Money).
Accordingly, the subjects of the pilot include:

- The enterprise has a license to provide intermediary payment

services for e-wallets and a license to establish a terrestrial
mobile public telecommunications network using radio frequency
bands.

- The subsidiary is licensed by the parent company to establish

a terrestrial mobile public telecommunications network using
radio frequency bands, allowing the use of telecommunications
infrastructure, networks and data.

The Decree regulates provisions on (i) General provisions, (ii)

Banking e-transactions, (iii) Banking e-documents, and (iv)
Settlement of disputes, complaints and denunciations;
supervision, inspection, and handling of violations
This Circular guides the creation, issuance, use and
management of e-invoices for goods sale and service provisio,
which applies for:
- Users of e-invoices for goods sale and service provision.
- Intermediary e-invoice solution providers, which are providers
of solutions for the creation, transmission, receipt, storage and
recovery of data messages of e-invoices between goods sellers
and buyers.
- Tax administrations of all levels and organizations and
individuals involved in the creation, issuance and use of e-
invoices.

This circular specifies the requirements to ensure safety,

confidentiality for the provision for banking services on the
Internet.This Circular applies to all credit institutions, branches
of foreign banks providing for banking services on the Internet
(hereinafter collectively referred to as the service providers) in
Vietnam.

This Circular provides for management, operation and use of the

National Interbank Electronic Payment System (NIEPS) serving
payment and settlement between the units participating in the
system in Vietnamese dongs (VND), US dollars (USD), euro
(EUR) and other foreign currencies decided by the Governor of
the State bank.

Regulated entities: Direct and indirect participants, affiliated

participants of NIEPS, NIEPS operator, presiding units of
clearing houses connected to the NIEPS, and relevant units of
the State bank.
Amendments to certain articles of Circular No. 35/2016/TT-
NHNN
Specifically, Internet Banking app of banks must have the
feature to force customers to change their password right from
the first login; lock account if entering the wrong password more
than a limited times specified by the bank.

The bank can only unlock the account when requested by the
customer and must authenticate the customer before unlocking
the account, ensuring against fraud and forgery.

In particular, mobile Internet Banking app must authenticate

users when accessing and does not have the feature of
remembering passwords. In case of consecutive incorrect
authentication exceeding the number of times specified by the
bank, this app must automatically block the user from continuing
to use.

Article 4. General principles on data classification by its

confidentiality
Article 8. Banks' responsibility to manage their digital assets
Article 24. Credit Institutions' responsibility when sharing data
with clients and to third parties
Article 35. Guidelines for terms and conditions on data
protection and data sharing to be included in third party
agreements

Allow Credit Institutions to implement eKYC and general

principles on the use of eKYC to verify clients identity and AML
Guidelines for the use of ekyc in opening and use of checking
accounts at payment service providers

Article 96 (Law on Credit Institutions) and Article 29 (Circular 39)

still require physical signature of authorized personnel or written
approval in credit extension activities
Effective date Date issued

20/08/2006 31/07/2006

15/11/2018 27/09/2018

10/2/2019 24/12/2018

7/1/2017 12/29/2016

10/15/2014 8/19/2014
12/31/2019 12/31/2019

3/9/2021 3/9/2021

April 04 2007 March 08 2007

 May 01 2011 March 14 2011

November 04 2011 September 21 2011

January 15 2018 December 30 2016

April 01 2021 December 31 2020

July 1 2019 December 24 2018

1/1/2021 10/21/2020

11/14/2019 11/14/2019
3/5/2021 12/4/2020

1/1/2011 10/16/2010

3/15/2017 12/30/2016
 Issuer Document File

SBV
35_2006_QD-
NHNN_13213.doc

Government

130_2018_ND-
CP_358259.doc

Government

165_2018_ND-
CP_357599.doc

State Bank of Vietnam TT35_2016_TT-NHNN.doc

State Bank of Vietnam TT23_2014_TT-NHNN.doc

State Bank of Vietnam TT38_2019_TT-NHNN.doc

Prime Minister QD316_2021_QD-TTg.doc

35_2007_ND-
THE GOVERNMENT 35_2007_ND-
CP_VN.doc
CP_ENG.doc
 THE MINISTRY OF FINANCE 32_2011_TT-BTC

29_2011_TT-NHNN 29_2011_TT-NHNN
THE STATE BANK OF VIETNAM

37_2016_TT-NHNN 37_2016_TT-NHNN
STATE BANK OF VIETNAM

21_2020_TT-NHNN 21_2020_TT-NHNN

STATE BANK OF VIETNAM

 35_2018_TT-NHNN 35_2018_TT-NHNN

THE STATE BANK OF VIETNAM

SBV Circ. 09/2020/TT-NHNN

The Government Decree 87/2019-NĐCP

 SBV CIRCULAR 16/2020/TT-NHNN

National Assembly Law on Credit Institutions

SBV Circular 39/2016/TT-NHNN

 Regulatory documents on Outsourcing

1. List of regulatory documents on Outsourcing management

Type of regulatory
No. Name of document
document

CIRCULAR ON INFORMATION SYSTEM

1 Circular
SECURITY IN BANKING OPERATIONS

CIRCULAR ON PROVIDING
2 Circular INSTRUCTIONS ABOUT
INTERMEDIARY PAYMENT SERVICES

CIRCULAR ON INTERNAL CONTROL

3 Circular SYSTEMS OF COMMERCIAL BANKS
AND FOREIGN BANKS’ BRANCHES

DECISION ON PROMULGATING THE

REGULATION ON RISK MANAGEMENT
4 Decision
PRINCIPLES FOR E-BANKING
ACTIVITIES

2. Gap Analysis

With the aim of mitigating outsourcing risks, SBV has partially directed banks to acknowledge outsourcing risks as wel
above helps to increase adoption of new technology for less critical systems among financial institutions.

To further improve the regulations and eventually develop a detail framework on outsourcing management, more spe
requirements, cloud service usage contract requirements, etc. must be outlined. However, authorities have not develo
lack a regulatory framework which can consider rights and obligations of both parties (e.g: a contract forms), complexi
 ts on Outsourcing of Vietnam (from the highest to low

management

Number of
Issuing authority Issuance date Effective date
document

No. 09/2020/TT- STATE BANK OF

21/10/2020 1/1/2021
NHNN VIETNAM

STATE BANK OF
No. 47/VBHN-NHNN 12/9/2019 12/23/2019
VIETNAM

No. 13/2018/TT- STATE BANK OF

18/05/2018 01/01/2019
NHNN VIETNAM

No. 35/2006/QD- STATE BANK OF

31/07/2006 20/08/2006
NHNN VIETNAM

banks to acknowledge outsourcing risks as well as outlining minimum compliance criteria to mitigate these risks. Also, recent changes
ems among financial institutions.

mework on outsourcing management, more specific and stringent management measures, such as activity classification, development
outlined. However, authorities have not developed a regulatory framework highlighting not only operational risk assessment and ma
of both parties (e.g: a contract forms), complexity of cross-border service provision, prediction of future groundbreaking applications an
he highest to lowest power)

Brief of content

Provide information about hiring third-parties for IT

services

Consolidate all relevant documents regarding using

intermediary payment services

This Circular regulates internal control systems of

commercial banks and foreign banks’ branches

This Regulation establishes risk management

principles for e-banking activities.

tigate these risks. Also, recent changes (in Circular 09 in replacement of Circular 18), specifically the applicability to system classified a

as activity classification, development of contingency plan, addition of access restriction, third-party selection criteria service provision
ly operational risk assessment and management but also for continuity in operations of an organization in the event of interruptions.
f future groundbreaking applications and technologies as well as guidance for conflict handling.
 Applicable entities

This Circular applies to credit institutions (except for people's

credit funds and microcredit institutions), branches of foreign
banks and intermediary payment service providers (hereinafter
referred to as "institutions").

This Circular provides instructions about payment intermediary

services for entities and persons involved in the provision and
use of payment intermediary services.
1. Commercial banks, including: State-owned commercial
banks, joint stock commercial banks, joint-venture banks, wholly
foreign-owned banks.
2. Foreign banks’ branches

Credit institutions and foreign bank branches in Vietnam

(hereinafter collectively referred to as credit institutions) which
are engaged in e-banking activities shall have to adhere to the
risk management principles laid down in this Regulation

cement of Circular 18), specifically the applicability to system classified as level 2, 3 and

dition of access restriction, third-party selection criteria service provision, SBV reporting
continuity in operations of an organization in the event of interruptions. Moreover, they
as guidance for conflict handling.
 Name of Document Chapter
CIRCULAR ON Chapter II: PROVISIONS
INFORMATION SYSTEM ON ASSURANCE OF
SECURITY IN BANKING INFORMATION SECURITY
OPERATIONS
 Section
Section 6. MANAGEMENT OF
USE OF INFORMATION
TECHNOLOGY SERVICES
PROVIDED BY THIRD PARTIES
 Content
Article 31. General principles for use of services provided by third parties

When using information technology services provided by a third party, the institution shall
adhere to the following principles:

1. Do not reduce the capacity to provide continuous services for clients of such institution

2. Do not reduce control of professional procedures of such institution

3. Do not change responsibilities for ensuring information security of such institution

4. Information technology services provided by the third party must satisfy regulations on
information security issued by such institution

Article 32. Requirements for use of services provided by third parties

Before using services provided by a third party, the institution shall perform the following
tasks:

1. Carry out assessment of information technology risks and operating risks which at least
includes:

a) Identifying risks, analyzing and estimating the extent of damage and threats to
information security;

b) Defining capacity to control professional procedures, capacity to provide continuous

services for the clients and capacity to provide information for regulatory agencies;

c) Clearly determining responsibilities for service quality assurance of parties concerned;

d) Working out risk minimizing methods and trouble preventing and solving methods;

dd) Reviewing and adjusting policies on management of risks (if any)

2. If using the cloud computing service, in addition to requirements specified in Clause 1

this Article, the institution shall take on the following duties:

a) Separate activities and professional tasks expected to be performed on cloud

computing based upon assessment of impacts of the aforesaid activities and professional
tasks on operations of the institution;

b) Prepare backup plans for components of Level 2 information systems and above
Backup plans must be tested and assessed to see whether they are available to replace
activities and professional tasks performed on the cloud computing;
Article 33. Criteria for selecting a third party providing the cloud computing service

Any third party shall be selected if it:

1. is an enterprise;

2. owns information technology infrastructure corresponding to the service requested by

the institution which:

a) complies with provisions of Vietnamese laws;

b) is granted an unexpired international certificate of information securiry.

Article 34. Contract for service use with a third party

The contract for service use with a third party shall at least contain the following contents:

1. Commitment to ensure information security made by the third party which includes:

a) Meeting requirements specified in Article 33 herein;

b) Not replicating, altering, using or providing data of the institution using the service for
another individual or institution, except for cases required by competent regulatory
agencies as per law provisions; in such case, the third party is required to notify the
institution using the service of data provision to another institution before such provision,
unless cases in which notification will go against the law of Vietnam;

c) Broadcasting information security regulations issued by the institution to staff members

of the third party involved in contract execution and using monitoring methods for ensuring
conformity with the aforesaid regulations

2. Regulations on time limit for service interruption and troubleshooting time, requirements
regarding assurance of continuous operation (on-site backup, backup data, disaster
recovery), requirements regarding storing, calculating and processing capacity as well as
actions taken in case of lack of service quality assurance

3. Cases in which lease of a auxiliary contractor by the third party causes no change in
responsibilities of such third party for services in current use of the institution

4. Data generated during the service use that is considered asset of the institution. When
the service use is terminated:

a) The third party shall return all data used and data generated during the service use;
Article 35. Responsibilities of the institution during the use of services provided by a third
party

1. Provide, notify and ask the third party to comply with information security regulations
issued by the institution.

2. Establish procedures and allocate resources to monitor and control services provided
by the third party with the aim of ensuing service quality under provisions of the signed
contract. With regard to cloud computing services, monitoring and control of service
quality are required.

3. Impose the institution’s information security regulations on devices and services

provided by the third party which are operated on the infrastructure used and managed by
such institution.

4. Manage changes in services provided by the third party including changes made to
suppliers, solutions, versions and changes of contents specified in Article 40 herein and
assess all impacts of those changes for safety assurance before use

5. Employ methods to strictly monitor and limit access right of the third party when such
party is allowed to obtain access to information systems of the institution.

6. Supervise staff members of the third party during the contract execution. If discovering
any violation against information security regulations committed by such staff member, the
institution shall notify and cooperate with the third party in timely handling.

7. Revoke right to access to information systems granted to the third party, change locks
and passwords transferred from such third party right after job completion or contract
termination.

8. With regard to Level 2 information systems and above or information systems using
 Nội dung
Điều 31. Các nguyên tắc chung về sử dụng dịch vụ của bên thứ ba

Khi sử dụng dịch vụ công nghệ thông tin của bên thứ ba, tổ chức bảo đảm các nguyên tắc
sau đây:

1. Không làm suy giảm khả năng cung cấp dịch vụ liên tục của tổ chức cho khách hàng.

2. Không làm suy giảm việc kiểm soát quy trình nghiệp vụ của tổ chức.

3. Không làm thay đổi trách nhiệm của tổ chức trong việc bảo đảm an toàn thông tin.

4. Dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo đảm an
toàn thông tin của tổ chức.

Điều 32. Các yêu cầu khi sử dụng dịch vụ của bên thứ ba

Trước khi sử dụng dịch vụ của bên thứ ba, tổ chức thực hiện:

1. Đánh giá rủi ro công nghệ thông tin, rủi ro hoạt động tối thiểu bao gồm các nội dung
sau:

a) Nhận diện rủi ro, phân tích, ước lượng mức độ tổn hại, mối đe dọa đến an toàn thông
tin;

b) Khả năng kiểm soát các quy trình nghiệp vụ, khả năng cung cấp dịch vụ liên tục cho
khách hàng, khả năng thực hiện nghĩa vụ cung cấp thông tin cho các cơ quan nhà nước;

c) Xác định rõ vai trò, trách nhiệm của các bên liên quan trong việc bảo đảm chất lượng
dịch vụ;

d) Xây dựng các biện pháp nhằm giảm thiểu rủi ro, biện pháp phòng ngừa, ứng cứu, khắc
phục sự cố;

đ) Rà soát và Điều chỉnh chính sách quản lý rủi ro (nếu có).

2. Trong trường hợp sử dụng dịch vụ điện toán đám mây, ngoài các yêu cầu tại Khoản 1
Điều này, tổ chức thực hiện:

a) Phân loại hoạt động, nghiệp vụ dự kiến triển khai trên điện toán đám mây dựa trên
đánh giá tác động của hoạt động, nghiệp vụ đó với hoạt động của tổ chức;

b) Xây dựng phương án dự phòng đối với các cấu phần của hệ thống thông tin từ mức độ
2 trở lên. Phương án dự phòng phải được kiểm thử và đánh giá sẵn sàng thay thế cho
các hoạt động, nghiệp vụ triển khai trên điện toán đám mây;
Điều 33. Tiêu chí lựa chọn bên thứ ba cung cấp dịch vụ điện toán đám mây

Tiêu chí lựa chọn bên thứ ba bao gồm các nội dung tối thiểu sau:

1. Bên thứ ba phải là doanh nghiệp.

2. Có hạ tầng công nghệ thông tin tương ứng với dịch vụ mà tổ chức sử dụng đáp ứng
các yêu cầu sau:

a) Các quy định của pháp luật Việt Nam;

b) Có chứng nhận quốc tế còn hiệu lực về bảo đảm an toàn thông tin.

Điều 34. Hợp đồng sử dụng dịch vụ với bên thứ ba

Hợp đồng sử dụng dịch vụ ký kết với bên thứ ba phải có tối thiểu những nội dung sau:

1. Cam kết của bên thứ ba về bảo đảm an toàn thông tin bao gồm:

a) Đáp ứng yêu cầu quy định tại Điều 33 Thông tư này;

b) Không sao chép, thay đổi, sử dụng hay cung cấp dữ liệu của tổ chức sử dụng dịch vụ
cho cá nhân, tổ chức khác, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm
quyền theo quy định của pháp luật; trong trường hợp này, bên thứ ba phải thông báo cho
tổ chức sử dụng dịch vụ trước khi cung cấp dữ liệu, trừ khi việc thông báo sẽ vi phạm
pháp luật Việt Nam;

c) Phổ biến cho nhân sự của bên thứ ba tham gia thực hiện hợp đồng các quy định về
bảo đảm an toàn thông tin của tổ chức, thực hiện các biện pháp giám sát bảo đảm tuân
thủ.

2. Quy định cụ thể thời gian tối đa có thể gián đoạn dịch vụ và thời gian khắc phục sự cố,
các yêu cầu liên quan đến bảo đảm hoạt động liên tục (dự phòng tại chỗ, sao lưu dữ liệu,
dự phòng thảm họa), các yêu cầu liên quan đến năng lực xử lý, tính toán, lưu trữ, các
biện pháp thực hiện khi chất lượng dịch vụ không được bảo đảm.

3. Trường hợp bên thứ ba sử dụng nhà thầu phụ không làm thay đổi trách nhiệm của bên
thứ ba đối với dịch vụ mà tổ chức sử dụng.

4. Dữ liệu phát sinh trong quá trình sử dụng dịch vụ là tài sản của tổ chức. Khi chấm dứt
sử dụng dịch vụ:

a) Bên thứ ba thực hiện trả lại toàn bộ dữ liệu triển khai và dữ liệu phát sinh trong quá
trình sử dụng dịch vụ;
Điều 35. Trách nhiệm của tổ chức trong quá trình sử dụng dịch vụ của bên thứ ba

1. Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn thông tin
của tổ chức.

2. Có quy trình và bố trí nguồn lực để giám sát, kiểm soát các dịch vụ do bên thứ ba cung
cấp bảo đảm chất lượng dịch vụ theo thỏa thuận đã ký kết. Đối với dịch vụ điện toán đám
mây, phải giám sát, kiểm soát chất lượng dịch vụ.

3. Áp dụng các quy định về an toàn thông tin của tổ chức đối với trang thiết bị, dịch vụ do
bên thứ ba cung cấp được triển khai trên hạ tầng do tổ chức quản lý, sử dụng.

4. Quản lý các thay đổi đối với dịch vụ do bên thứ ba cung cấp bao gồm: thay đổi nhà
cung cấp, thay đổi giải pháp, thay đổi phiên bản, thay đổi các nội dung quy định tại Điều
40 Thông tư này; đánh giá đầy đủ tác động của việc thay đổi, bảo đảm an toàn khi được
đưa vào sử dụng.

5. Áp dụng các biện pháp giám sát chặt chẽ và giới hạn quyền truy cập của bên thứ ba
khi cho phép bên thứ ba truy cập vào hệ thống thông tin của tổ chức.

6. Giám sát nhân sự của bên thứ ba trong quá trình thực hiện hợp đồng. Trường hợp
phát hiện nhân sự bên thứ ba vi phạm quy định về an toàn thông tin phải thông báo và
phối hợp với bên thứ ba áp dụng biện pháp xử lý kịp thời.

7. Thu hồi quyền truy cập hệ thống thông tin đã được cấp cho bên thứ ba, thay đổi các
khóa, mã khóa bí mật nhận bàn giao từ bên thứ ba ngay sau khi hoàn thành công việc
hoặc kết thúc hợp đồng.

8. Đối với hệ thống thông tin từ mức độ 2 trở lên hoặc hệ thống thông tin sử dụng dịch vụ
điện toán đám mây, phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin
của bên thứ ba theo đúng thỏa thuận đã ký kết. Thực hiện đánh giá sự tuân thủ định kỳ
 Name of Document Chapter Section
CIRCULAR Chapter IV: RIGHTS AND
PROVIDING RESPONSIBILITIES OF
INSTRUCTIONS ABOUT INVOLVED PARTIES
INTERMEDIARY PAYMENT
SERVICES
 Content
Article 11. Responsibilities of e-payment infrastructure supply service providers

1. Responsibilities to customers:

a) Providing customers with instructions for use;

b) Handle or respond to customer complaints or review requests;

c) Compensate for any damage to customers due to system errors, customer information
disclosure and other errors caused by service providers;

d) Cooperating with customers in checking and collating data on daily transactions;

dd) Providing full periodic and unscheduled information about transactions performed
through the system of the service providers at the request of customers;

e) Notifying fees and rates of charges to customers before they use services.

1a.[23] Responsibilities to service supply partners:

a) Provider of electronic payment gateway services must reach specific agreements in

writing with co-operative banks on the rights and obligations of the parties in the service
provision process, clearly defining the responsibilities of each party for the selection and
conclusion of cooperation contracts with merchants and responsibilities to supervise and
inspect merchants during the contract performance process;

b) In case where a provider of electronic payment gateway services signs a contract or an

agreement directly with merchants (this agreement is made without a cooperative bank’s
participation), they must:

(i) Request merchants to open current accounts at banks to receive payments from the
 Nội dung
Điều 11. Trách nhiệm của tổ chức cung ứng dịch vụ cung ứng hạ tầng thanh toán điện tử

1. Đối với khách hàng:

a) Hướng dẫn khách hàng cách thức sử dụng dịch vụ;

b) Giải quyết hoặc trả lời các khiếu nại, yêu cầu tra soát của khách hàng;

c) Bồi thường thiệt hại cho khách hàng do lỗi kỹ thuật của hệ thống, lỗi để lộ thông tin
khách hàng và các lỗi khác của tổ chức cung ứng dịch vụ;

d) Phối hợp với khách hàng thực hiện kiểm tra, đối soát dữ liệu giao dịch hàng ngày;

đ) Cung cấp đầy đủ thông tin định kỳ, đột xuất về các giao dịch thông qua hệ thống của tổ
chức cung ứng dịch vụ khi có yêu cầu của khách hàng;

e) Công bố các loại phí và mức phí cho khách hàng trước khi khách hàng sử dụng dịch
vụ.

1a.[23] Đối với đối tác cung ứng dịch vụ:

a) Tổ chức cung ứng dịch vụ cổng thanh toán điện tử phải thỏa thuận cụ thể bằng văn
bản với ngân hàng hợp tác về các quyền và nghĩa vụ của các bên trong quá trình cung
cấp dịch vụ, trong đó phân định rõ trách nhiệm của từng bên trong việc lựa chọn, ký kết
hợp đồng hợp tác với các đơn vị chấp nhận thanh toán và trách nhiệm giám sát, kiểm tra
đối với các đơn vị chấp nhận thanh toán trong quá trình thực hiện hợp đồng;

b) Trường hợp tổ chức cung ứng dịch vụ cổng thanh toán điện tử ký kết hợp đồng hoặc
thỏa thuận trực tiếp với đơn vị chấp nhận thanh toán (thỏa thuận không có ngân hàng
hợp tác tham gia), tổ chức cung ứng dịch vụ cổng thanh toán điện tử phải:
 Name of Document Chapter

Chapter I: GENERAL
PROVISIONS

CIRCULAR ON INTERNAL
CONTROL SYSTEMS OF
COMMERCIAL BANKS
AND FOREIGN BANKS’
BRANCHES

Chapter IV: RISK

MANAGEMENT
 Section

Article 3. Definitions

Section 4. OPERATIONAL RISK

MANAGEMENT

Article 43. Risk management for

outsourcing
 Content

20. Outsourcing is the commercial bank/foreign bank’s branch (hereinafter referred to as

the client) making an agreement in writing (an outsourcing contract) on hiring another
enterprise, credit institution or foreign bank’s branch (hereinafter referred to as the
contractor) to carry out one or multiple activities (including data processing or some steps
of the business process) in the bank’s stead, in accordance with the law

1. Operational risk management for outsourcing is carried out as follows:

a) Manage outsourcing as specified in Clause 2 of this Article;
b) Identify, measure, monitor and control operational risk arising from outsourcing as
specified by Article 42 of this Circular.
2. Outsourcing management shall include at least:
a) Determination of outsourcing scope;
b) Allocation of competence to approve and decide in outsourcing;
c) Assessment of the contractor’s capability to fulfill the set outsourcing requirements and
objectives before signing the outsourcing contract; assessment of the contractor's
capability during execution of the contract;
d) Principles of negotiating outsourcing contracts, which must be detailed, sufficient,
protect the ownership and security of database, customer information and the right to end
the contract; scope and scale of outsourcing, the commercial bank's/foreign bank's
branch’s and contractor’s specific responsibilities and terms of dispute resolution;
e) Plans to sustain outsourcing operations (formulated by the bank or the contractor), as
specified in Article 46 of this Circular
 Nội dung

20. Hoạt động thuê ngoài là việc ngân hàng thương mại, chi nhánh ngân hàng nước
ngoài thỏa thuận bằng văn bản (hợp đồng dịch vụ thuê ngoài) về việc thuê doanh nghiệp,
tổ chức tín dụng, chi nhánh ngân hàng nước ngoài khác (gọi là doanh nghiệp thuê ngoài)
để thực hiện một hoặc một số hoạt động (bao gồm xử lý dữ liệu hoặc một số công đoạn
của quy trình nghiệp vụ) thay cho ngân hàng thương mại, chi nhánh ngân hàng nước
ngoài theo quy định của pháp luật

1. Quản lý rủi ro hoạt động đối với hoạt động thuê ngoài được thực hiện thông qua:
a) Quản lý hoạt động thuê ngoài theo quy định tại khoản 2 Điều này;
b) Nhận dạng, đo lường, theo dõi và kiểm soát rủi ro hoạt động phát sinh từ hoạt động
thuê ngoài theo quy định tại Điều 42 Thông tư này.
2. Quản lý hoạt động thuê ngoài tối thiểu bao gồm:
a) Xác định phạm vi hoạt động thuê ngoài;
b) Phân cấp thẩm quyền phê duyệt, quyết định đối với các hoạt động thuê ngoài;
c) Thẩm định năng lực của doanh nghiệp thuê ngoài trong việc đáp ứng các yêu cầu, mục
tiêu đề ra của hoạt động thuê ngoài trước khi ký hợp đồng thuê ngoài; đánh giá khả năng
thực hiện hợp đồng của doanh nghiệp thuê ngoài trong quá trình thực hiện hợp đồng;
d) Có nguyên tắc thỏa thuận các hợp đồng thuê ngoài đảm bảo chặt chẽ, đầy đủ, bảo vệ
quyền sở hữu và bảo mật cơ sở dữ liệu, thông tin khách hàng và quyền chấm dứt hợp
đồng thuê ngoài; mức độ và phạm vi hoạt động thuê ngoài; trách nhiệm cụ thể của ngân
hàng thương mại, chi nhánh ngân hàng nước ngoài và doanh nghiệp thuê ngoài và các
điều khoản xử lý tranh chấp theo quy định của pháp luật;
e) Lập hoặc yêu cầu doanh nghiệp thuê ngoài lập kế hoạch duy trì hoạt động liên tục cho
hoạt động thuê ngoài theo quy định tại Điều 46 Thông tư này
 Name of Document Chapter Section

DECISION ON
PROMULGATING THE Chapter II: RISK Section 3. MANAGEMENT OF
REGULATION ON RISK MANAGEMENT RISKS RELATED TO THIRD
MANAGEMENT PRINCIPLES FOR E- PARTIES
PRINCIPLES FOR E- BANKING ACTIVITIES
BANKING ACTIVITIES
 Content

Article 13.- Assessment of third parties

In case of hiring or cooperating with a third party to provide technical services in support of
e-banking activities, a credit institution shall:
1. Prudently and adequately assess potential risks; make a contingency plan to deal with
disruptions in the provision of services by third parties.
2. Thoroughly evaluate the technical competence and financial capability of their
counterparts. Counterparties must have full financial capability, reputation and potential to
bear legal and financial liabilities associated with services provided by themselves.
3. To take into consideration security and confidentiality issues when third-party
employees are permitted to access the e-banking system.
4. To clearly define duties, powers and obligations of parties in the hiring or cooperation
contract; to ensure that the credit institution has the right to regularly and irregularly
supervise and oversee the provision of technical support services by third parties and
have the right to request third parties to conduct independent audit when necessary.
5. To regularly assess difficulties, incidents and potential problems in the relationships
with third parties in e-banking activities so as to work out appropriate risk management
measures.

Article 14.- Data

In case the third party is responsible for managing the data processing and storage
system, the credit institution should ensure that:
1. It is clearly stipulated in the contract signed with the third party that the credit institution
has the right to access necessary data;
2. All data stored by the third party shall meet confidentiality standards and requirements
set by the credit institution.
 Nội dung

Điều 13. Đánh giá bên thứ ba

Trong trường hợp thuê hoặc hợp tác với bên thứ ba để cung cấp dịch vụ kỹ thuật hỗ trợ
cho hoạt động ngân hàng điện tử, tổ chức tín dụng phải:
1. Đánh giá thận trọng và đầy đủ những rủi ro có thể phát sinh; có kế hoạch dự phòng
trường hợp dịch vụ do bên thứ ba cung cấp bị gián đoạn.
2. Thẩm định kỹ năng lực kỹ thuật, khả năng tài chính của các bên đối tác. Các bên đối
tác phải có đủ năng lực tài chính, uy tín và tiềm năng để chịu trách nhiệm pháp lý và trách
nhiệm tài chính có thể phát sinh liên quan đến phần dịch vụ do các bên này cung cấp.
3. Lưu ý đến các vấn đề về an ninh, bảo mật khi nhân viên của bên thứ ba được phép tiếp
cận với hệ thống ngân hàng điện tử.
4. Xác định rõ trách nhiệm, quyền hạn và nghĩa vụ của các bên trong hợp đồng thuê, hợp
đồng hợp tác; đảm bảo tổ chức tín dụng có quyền kiểm tra, giám sát định kỳ hoặc đột
xuất đối với hoạt động cung cấp dịch vụ hỗ trợ kỹ thuật của bên thứ ba và có quyền yêu
cầu bên thứ ba thực hiện kiểm toán độc lập khi cần thiết.
5. Thường xuyên đánh giá các vướng mắc, sự cố, các vấn đề tiềm ẩn trong quan hệ với
bên thứ ba trong hoạt động ngân hàng điện tử để có biện pháp quản lý rủi ro thích hợp

Điều 14. Dữ liệu

Trong trường hợp bên thứ ba chịu trách nhiệm quản lý hệ thống xử lý và lưu trữ dữ liệu,
tổ chức tín dụng cần đảm bảo:
1. Trong hợp đồng ký kết với bên thứ ba phải quy định rõ việc tổ chức tín dụng có quyền
tiếp cận đến những dữ liệu cần thiết;
2. Mọi dữ liệu do bên thứ ba lưu trữ đều phải đáp ứng các tiêu chuẩn và yêu cầu về bảo
mật của tổ chức tín dụng