草案によれば、オンライン バンキング システムは、レベル 3 以上の情報システム セキュリティの確保に関する法律の規定および銀行業務における情報システム セキュリティに関する国立銀行の規則に従って、レベル 3 以上の情報システム セキュリティの確保に関する規則に準拠する必要があります。

顧客情報の機密性と完全性を確保する。サービスを継続的に提供するために、オンライン バンキング システムの可用性を確保します。

顧客取引は、各顧客グループ、取引タイプ、取引限度額（ある場合）に応じて最小リスクレベルが評価され、その基準に基づいて、規制に準拠して顧客が選択できる適切な取引認証方法を提供します。顧客識別情報を変更する場合は、多要素認証を適用します。規制に従って、顧客グループ、取引タイプ、取引限度ごとに認証方法を適用します。複数ステップのトランザクションの場合、最終承認ステップで少なくとも 1 つの認証手段を適用する必要があります。

オンライン バンキング システムのセキュリティ チェックと評価を毎年実施します。

インターネット上で銀行サービスを提供する際に、定期的にリスク、潜在的リスクを特定し、リスクの原因を判断し、リスクを防止、制御、処理するための措置を速やかに講じます。

オンラインバンキングサービスを提供する情報技術インフラストラクチャ機器には、明確な著作権と出所が必要です。製品ライフサイクルの終了が近づき、メーカーによるサポートが終了となる機器については、メーカーの発表に従ってユニットのアップグレードおよび交換プランを用意し、インフラストラクチャ機器が新しいソフトウェア バージョンをインストールできることを保証する必要があります。

ファイアウォール、監視システム、異常動作アラートを備えている

ユニットは、以下の最低要件を満たすネットワーク、通信、およびセキュリティ システムを確立する必要があります。

最低限のセキュリティ ソリューションには、アプリケーション ファイアウォールなどがあります。データベースファイアウォール;攻撃や異常な動作を集中的に監視および警告するシステム。

インターネット接続パーティションおよびDMZパーティション（社内ネットワークとインターネット間の中間パーティション）には顧客情報は保存されません。

オンライン バンキング システムに接続するサービスとゲートウェイを制限するポリシーを設定します。

管理目的で内部ネットワークの外部からオンライン バンキング システムに接続する場合は、内部ネットワークから接続できない場合のみ、安全性を確保し、少なくとも以下の規則に準拠する必要があります。接続の目的と方法を検討した後、権限のある担当者が承認する必要があります。仮想プライベート ネットワークまたは同等のものを使用するなど、安全なリモート アクセスおよびシステム管理計画が必要です。接続デバイスにはセキュリティ ソフトウェアがインストールされている必要があります。システムにログインする際には多要素認証を使用する必要があります。安全な暗号化通信プロトコルを使用し、ユーティリティ ソフトウェアに秘密キーを保存しないでください。

サービスを提供するネットワーク接続は、高可用性と継続的なサービス提供を保証する必要があります。

システムへの侵入やネットワーク攻撃を検出し防止するメカニズムを確立する

草案では、以下の基本的な内容でオンライン バンキング システムの脆弱性と弱点を管理する必要があることも明記されています。

ウェブサイトおよびオンライン バンキング アプリケーション ソフトウェアの変更を防止、検出、および検知するための対策を講じます。

オンライン バンキング システムへの侵入やネットワーク攻撃を検出し、防止するためのメカニズムを確立します。

国家管理部門および情報技術パートナーと連携し、情報セキュリティおよび安全性損失の事件や状況を迅速に把握し、タイムリーな予防措置を講じます。

共通脆弱性評価システムの情報に従って、システム ソフトウェア、データベース管理システム、アプリケーション ソフトウェアに関連する公開されたセキュリティの脆弱性に関する情報を更新します。

少なくとも年に 1 回、または新しい脆弱性や弱点に関する情報を受け取ったときに、オンライン バンキング システムの脆弱性と弱点をスキャンします。発見されたシステムの脆弱性と技術的な弱点それぞれの影響とリスクを評価し、対処するための解決策と計画を提案します。

影響とリスクの評価に基づいて、セキュリティ パッチの更新またはタイムリーな予防措置を実装します。