ตามร่างดังกล่าว ระบบ Online Banking จะต้องปฏิบัติตามข้อกำหนดเกี่ยวกับการประกันการรักษาความปลอดภัยระบบสารสนเทศในระดับ 3 ขึ้นไป ตามบทบัญญัติของกฎหมายว่าด้วยการประกันการรักษาความปลอดภัยระบบสารสนเทศในระดับ และข้อกำหนดของธนาคารรัฐว่าด้วยการรักษาความปลอดภัยระบบสารสนเทศในกิจกรรมการธนาคาร

รับประกันความลับและความสมบูรณ์ของข้อมูลลูกค้า สร้างความมั่นใจว่าระบบ Online Banking พร้อมให้บริการได้อย่างต่อเนื่อง

ธุรกรรมของลูกค้าจะได้รับการประเมินระดับความเสี่ยงขั้นต่ำตามกลุ่มลูกค้าแต่ละกลุ่ม ประเภทของธุรกรรม ขีดจำกัดธุรกรรม (ถ้ามี) และบนพื้นฐานนั้น ให้จัดเตรียมวิธีการตรวจสอบยืนยันธุรกรรมที่เหมาะสมเพื่อให้ลูกค้าเลือกใช้ โดยเป็นไปตามกฎระเบียบ: ใช้การตรวจสอบยืนยันหลายปัจจัยเมื่อเปลี่ยนแปลงข้อมูลระบุตัวตนของลูกค้า ใช้ระบบการตรวจสอบยืนยันตัวตนให้แต่ละกลุ่มลูกค้า ประเภทธุรกรรม และวงเงินธุรกรรมให้เป็นไปตามกฏระเบียบ; สำหรับธุรกรรมหลายขั้นตอน ต้องใช้มาตรการยืนยันตัวตนอย่างน้อยหนึ่งขั้นตอนในขั้นตอนการอนุมัติขั้นสุดท้าย

ดำเนินการตรวจสอบความปลอดภัยและประเมินระบบธนาคารออนไลน์เป็นประจำทุกปี

ระบุความเสี่ยง ความเสี่ยงที่อาจเกิดขึ้น และระบุสาเหตุของความเสี่ยงอย่างสม่ำเสมอ ดำเนินการป้องกัน ควบคุม และจัดการความเสี่ยงในการให้บริการธนาคารทางอินเทอร์เน็ตอย่างทันท่วงที

อุปกรณ์โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่ให้บริการ Online Banking จะต้องมีลิขสิทธิ์และแหล่งที่มาที่ชัดเจน สำหรับอุปกรณ์ที่ใกล้จะสิ้นสุดวงจรชีวิตผลิตภัณฑ์และจะไม่ได้รับการสนับสนุนจากผู้ผลิตอีกต่อไป หน่วยจะต้องมีแผนการอัปเกรดและเปลี่ยนทดแทนตามประกาศของผู้ผลิต เพื่อให้แน่ใจว่าอุปกรณ์โครงสร้างพื้นฐานสามารถติดตั้งซอฟต์แวร์เวอร์ชันใหม่ได้

มีไฟร์วอลล์ ระบบตรวจสอบ และการแจ้งเตือนพฤติกรรมที่ผิดปกติ

หน่วยงานจะต้องจัดตั้งระบบเครือข่าย การสื่อสาร และระบบรักษาความปลอดภัยที่เป็นไปตามข้อกำหนดขั้นต่ำดังต่อไปนี้:

มีโซลูชั่นรักษาความปลอดภัยขั้นต่ำ ได้แก่: ไฟร์วอลล์แอพพลิเคชัน ไฟร์วอลล์ฐานข้อมูล; ระบบตรวจสอบและแจ้งเตือนแบบรวมศูนย์สำหรับการโจมตีหรือพฤติกรรมที่ผิดปกติ

ข้อมูลของลูกค้าไม่ได้ถูกเก็บไว้ในพาร์ติชั่นการเชื่อมต่ออินเตอร์เน็ต และพาร์ติชั่น DMZ (พาร์ติชั่นตัวกลางระหว่างเครือข่ายภายในและอินเตอร์เน็ต)

กำหนดนโยบายการจำกัดบริการและเกตเวย์ที่เชื่อมต่อกับระบบ Online Banking

การเชื่อมต่อจากภายนอกเครือข่ายภายในมายังระบบ Online Banking เพื่อวัตถุประสงค์การบริหารจัดการจะต้องทำเฉพาะในกรณีที่ไม่สามารถเชื่อมต่อจากเครือข่ายภายในได้ และต้องคำนึงถึงความปลอดภัยและปฏิบัติตามข้อกำหนดอย่างน้อยดังต่อไปนี้: ต้องได้รับการอนุมัติจากผู้ที่ได้รับอนุญาตหลังจากตรวจสอบวัตถุประสงค์และวิธีการเชื่อมต่อแล้ว จะต้องมีแผนการเข้าถึงระยะไกลและการดูแลระบบที่ปลอดภัย เช่น การใช้เครือข่ายส่วนตัวเสมือนหรือเทียบเท่า อุปกรณ์ที่เชื่อมต่อจะต้องมีการติดตั้งซอฟต์แวร์ความปลอดภัย ต้องใช้การตรวจสอบปัจจัยหลายอย่างในการเข้าสู่ระบบ ใช้โปรโตคอลการสื่อสารแบบเข้ารหัสที่ปลอดภัยและอย่าจัดเก็บคีย์ความลับในซอฟต์แวร์ยูทิลิตี้

การเชื่อมต่อเครือข่ายที่จะให้บริการจะต้องทำให้มีความพร้อมใช้งานสูงและการให้บริการอย่างต่อเนื่อง

สร้างกลไกในการตรวจจับและป้องกันการบุกรุกและการโจมตีเครือข่ายบนระบบ

นอกจากนี้ร่างยังระบุอย่างชัดเจนว่าหน่วยงานจะต้องจัดการจุดอ่อนและจุดอ่อนของระบบ Online Banking โดยมีเนื้อหาพื้นฐานดังต่อไปนี้:

มีมาตรการป้องกัน ตรวจจับ และตรวจจับการเปลี่ยนแปลงบนเว็บไซต์และซอฟต์แวร์แอปพลิเคชันธนาคารออนไลน์

จัดทำกลไกในการตรวจจับและป้องกันการบุกรุกและการโจมตีเครือข่ายในระบบ Online Banking

ประสานงานกับหน่วยงานบริหารระดับรัฐและพันธมิตรด้านเทคโนโลยีสารสนเทศ เพื่อรับทราบเหตุการณ์และสถานการณ์การสูญเสียความปลอดภัยและความปลอดภัยของข้อมูลอย่างทันท่วงที เพื่อดำเนินมาตรการป้องกันอย่างทันท่วงที

อัปเดตข้อมูลเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่เผยแพร่ที่เกี่ยวข้องกับซอฟต์แวร์ระบบ ระบบการจัดการฐานข้อมูล และซอฟต์แวร์แอปพลิเคชัน ตามข้อมูลจาก Common Vulnerability Scoring System

สแกนหาช่องโหว่และจุดอ่อนของระบบ Online Banking อย่างน้อยปีละครั้งหรือเมื่อได้รับข้อมูลที่เกี่ยวข้องกับช่องโหว่และจุดอ่อนใหม่ๆ ประเมินผลกระทบและความเสี่ยงของช่องโหว่และจุดอ่อนทางเทคนิคของระบบที่ค้นพบแต่ละแห่ง และเสนอวิธีแก้ไขและแผนการจัดการ

ใช้การอัปเดตแพตช์ความปลอดภัยหรือใช้มาตรการป้องกันอย่างทันท่วงทีตามการประเมินผลกระทบและความเสี่ยง