Các yêu cầu về chỗ đặt máy chủ của các khối ngân hàng ?

Các yêu cầu về chỗ đặt máy chủ của khối ngân hàng là gì?

Chỗ đặt máy chủ của khối ngân hàng không thể hiểu đơn giản là một phòng đặt vài tủ rack có khóa cửa. Với đặc thù xử lý giao dịch tài chính, dữ liệu khách hàng và các hệ thống phải hoạt động liên tục, khu vực đặt máy chủ của ngân hàng phải được thiết kế như một môi trường hạ tầng có kiểm soát: an toàn vật lý, an toàn điện, điều hòa, phòng cháy chữa cháy, kiểm soát truy cập, sao lưu, dự phòng thảm họa và giám sát vận hành 24/7. Trong khung pháp lý tại Việt Nam, Thông tư 09/2020/TT-NHNN là văn bản nền tảng quy định các yêu cầu tối thiểu về an toàn hệ thống thông tin trong hoạt động ngân hàng.

Nói cách khác, câu hỏi “đặt máy chủ ở đâu” trong ngân hàng thực chất phải được trả lời bằng ba lớp yêu cầu: đúng vị trí, đúng tiêu chuẩn kỹ thuật, và đúng mức độ tuân thủ theo cấp độ hệ thống thông tin. Với các hệ thống quan trọng, nhất là từ cấp độ 3 trở lên, yêu cầu không còn dừng ở chuyện có phòng máy riêng mà phải có khu vực tách biệt, kiểm soát nghiêm ngặt, dự phòng thảm họa và khả năng duy trì dịch vụ liên tục.

Vì sao chỗ đặt máy chủ trong ngân hàng phải được kiểm soát chặt?

Ngân hàng là nhóm tổ chức có mật độ dữ liệu nhạy cảm rất cao: thông tin định danh khách hàng, dữ liệu giao dịch, nhật ký truy cập, hệ thống thanh toán, thẻ, Internet Banking, Mobile Banking, treasury, core banking, chống gian lận và các nền tảng kết nối bên thứ ba. Chỉ một sự cố vật lý như ngập nước, mất điện kéo dài, cháy cục bộ, đứt cáp hoặc truy cập trái phép vào phòng máy cũng có thể gây gián đoạn dịch vụ trên diện rộng. Vì vậy, Thông tư 09 yêu cầu các hệ thống cần bảo đảm hoạt động liên tục tối thiểu phải bao gồm các hệ thống từ cấp độ 3 trở lên, và các hệ thống này phải có tính sẵn sàng cao cùng hệ thống dự phòng thảm họa.

Ngoài lớp an toàn vận hành, ngân hàng còn chịu áp lực tuân thủ về bảo vệ dữ liệu cá nhân. Nghị định 13/2023/NĐ-CP có hiệu lực từ ngày 01/7/2023 và quy định trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan. Điều này khiến yêu cầu đối với nơi đặt máy chủ không chỉ là “an toàn thiết bị”, mà còn là “an toàn dữ liệu” trong toàn bộ vòng đời lưu trữ, xử lý và truyền dẫn.

Yêu cầu chung đối với nơi đặt máy chủ của ngân hàng

Theo Thông tư 09/2020/TT-NHNN, nơi lắp đặt trang thiết bị công nghệ thông tin phải được bảo vệ bằng tường bao, cổng ra vào hoặc các biện pháp kiểm soát để hạn chế rủi ro xâm nhập trái phép. Đồng thời, địa điểm này phải có biện pháp phòng chống cháy nổ và ngập lụt. Đây là yêu cầu nền tảng, áp dụng trước cả khi nói đến rack, UPS hay điều hòa chính xác.

Quan trọng hơn, các khu vực có yêu cầu cao về an toàn, bảo mật như nơi đặt máy chủ, thiết bị lưu trữ, thiết bị an ninh bảo mật và thiết bị truyền thông của hệ thống từ cấp độ 3 trở lên phải được cách ly với khu vực dùng chung, khu phân phối và khu chuyển hàng. Ngân hàng cũng phải ban hành nội quy, hướng dẫn làm việc và áp dụng biện pháp kiểm soát ra vào đối với các khu vực này. Đây là điểm mà nhiều doanh nghiệp thông thường có thể làm sơ sài, nhưng với khối ngân hàng thì không thể bỏ qua.

Bên cạnh đó, tài sản vật lý phải được bố trí tại các địa điểm an toàn để giảm thiểu rủi ro từ môi trường và truy cập trái phép; dây nguồn điện và cáp truyền thông cũng phải được bảo vệ khỏi xâm phạm hoặc hư hại. Điều này đồng nghĩa với việc khu đặt máy chủ ngân hàng phải được tính từ lớp vỏ tòa nhà, đường cấp điện, tuyến cáp, đến cấu trúc không gian vận hành bên trong.

Trung tâm dữ liệu ngân hàng cần đáp ứng những yêu cầu kỹ thuật nào?

Nếu khu đặt máy chủ được tổ chức theo mô hình trung tâm dữ liệu hoặc phòng máy chuyên dụng, Thông tư 09 đặt ra một danh sách yêu cầu rất rõ. Cổng vào ra tòa nhà trung tâm dữ liệu phải có người kiểm soát 24/7. Cửa ra vào trung tâm dữ liệu phải chắc chắn, có khả năng chống cháy, sử dụng ít nhất hai loại khóa khác nhau và có biện pháp bảo vệ, giám sát 24/7. Chỉ riêng yêu cầu này đã cho thấy ngân hàng không phù hợp với kiểu “phòng server trong văn phòng” thiếu phân tầng an ninh.

Khu vực lắp đặt thiết bị phải tránh nắng chiếu trực tiếp, chống thấm dột, tránh ngập lụt; với hệ thống từ cấp độ 3 trở lên, khu lắp đặt còn phải được bảo vệ và giám sát 24/7. Về điện, trung tâm dữ liệu phải có tối thiểu một nguồn điện lưới và một nguồn điện máy phát, có hệ thống chuyển mạch tự động giữa hai nguồn, và nguồn điện phải đi qua hệ thống lưu điện để duy trì hoạt động liên tục. Về môi trường, phải có điều hòa không khí hoạt động liên tục, hệ thống chống sét trực tiếp và lan truyền, hệ thống báo cháy và chữa cháy tự động, sàn kỹ thuật hoặc lớp cách ly chống nhiễm điện, hệ thống tiếp địa, camera giám sát lưu tối thiểu 90 ngày và hệ thống theo dõi nhiệt độ, độ ẩm.

Điểm đáng chú ý là hệ thống chữa cháy phải bảo đảm khi chữa cháy không làm hư hỏng thiết bị lắp đặt bên trong, trừ trường hợp tổ chức có hệ thống dự phòng đủ mạnh để thay thế hoàn toàn hệ thống chính trong vòng 1 giờ. Với ngân hàng, chi tiết này thường dẫn đến lựa chọn hệ thống chữa cháy sạch, thay vì chỉ trông chờ vào giải pháp chữa cháy thông thường.

Đặt máy chủ ngân hàng không chỉ là chỗ đặt rack, mà còn là bài toán phân vùng hệ thống

Trong môi trường ngân hàng, đặt máy chủ đúng chỗ còn đồng nghĩa với đặt đúng vùng mạng, đúng mức truy cập quản trị và đúng cơ chế bảo vệ máy chủ. Thông tư 09 yêu cầu đối với máy chủ thuộc hệ thống từ cấp độ 3 trở lên và các hệ thống có xử lý thông tin cá nhân của khách hàng phải dùng giao thức kết nối an toàn và có phương án chống đăng nhập tự động. Với hệ thống từ cấp độ 4 trở lên, việc truy cập quản trị máy chủ, ứng dụng và thiết bị mạng quan trọng phải áp dụng xác thực đa yếu tố.

Ở lớp mạng, các hệ thống từ cấp độ 3 trở lên phải có phân vùng riêng cho máy chủ ứng dụng và cơ sở dữ liệu; dịch vụ Internet phải đi qua vùng mạng trung gian DMZ; kết nối từ mạng không tin cậy vào hệ thống nội bộ phải được kiểm soát bằng tường lửa và cơ chế phát hiện, ngăn chặn xâm nhập. Điều này cho thấy “chỗ đặt máy chủ” trong ngân hàng không thể tách rời thiết kế mạng và an ninh mạng.

Yêu cầu về sao lưu và lưu trữ dữ liệu dự phòng

Một phòng máy đạt chuẩn nhưng không có cơ chế sao lưu tách biệt vẫn chưa đáp ứng yêu cầu của khối ngân hàng. Thông tư 09 yêu cầu dữ liệu của các hệ thống từ cấp độ 3 trở lên phải có phương án tự động sao lưu phù hợp với tần suất thay đổi dữ liệu, và dữ liệu phát sinh phải được sao lưu trong vòng 24 giờ. Dữ liệu sao lưu còn phải được lưu ra phương tiện ngoài và cất giữ an toàn, tách rời với khu vực đặt hệ thống nguồn ngay trong ngày làm việc tiếp theo sau khi hoàn thành sao lưu. Việc kiểm tra, phục hồi dữ liệu từ bản sao lưu ngoài cũng phải được thực hiện định kỳ tối thiểu một năm một lần đối với hệ thống từ cấp độ 3 trở lên.

Về mặt kỹ thuật, điều này dẫn đến một yêu cầu rất thực tế: ngân hàng không nên đặt cả production, backup repository và media archive trong cùng một không gian vật lý hoặc cùng một miền rủi ro. Nếu cùng nằm trong một tầng, cùng tuyến điện, cùng tuyến cáp, cùng vùng ngập hoặc cùng mô hình vận hành, thì về bản chất đó chưa phải dự phòng đúng nghĩa. Nhận định này là suy luận kỹ thuật từ yêu cầu “tách rời với khu vực lắp đặt hệ thống nguồn” và nguyên tắc đánh giá rủi ro thảm họa ảnh hưởng đồng thời đến cả site chính và site dự phòng.

Hệ thống dự phòng thảm họa của ngân hàng phải đặt như thế nào?

Đây là nội dung cốt lõi khi nói về chỗ đặt máy chủ trong ngân hàng. Theo Thông tư 09, khi lựa chọn địa điểm đặt hệ thống dự phòng thảm họa, tổ chức phải đánh giá khả năng xảy ra các thảm họa có thể ảnh hưởng đồng thời tới cả hệ thống chính và hệ thống dự phòng, bao gồm thiên tai như động đất, lũ lụt, bão, đại dịch, cũng như rủi ro do con người và công nghệ như sự cố điện, hỏa hoạn, giao thông và tấn công an ninh mạng. Địa điểm đặt hệ thống dự phòng phải đáp ứng yêu cầu chung về an toàn vật lý tại Điều 17.

Đặc biệt, hệ thống dự phòng phải bảo đảm khả năng thay thế hệ thống chính trong vòng 4 giờ đối với các hệ thống thông tin từ cấp độ 3 trở lên, trừ hệ thống xử lý bí mật nhà nước; đồng thời các tổ chức chỉ có một trụ sở tại Việt Nam phải có văn phòng dự phòng ở địa điểm khác, tách biệt với trụ sở chính. Thông tư cũng yêu cầu tối thiểu 6 tháng một lần phải kiểm tra, đánh giá hoạt động của hệ thống dự phòng; việc chuyển hoạt động chính thức sang hệ thống dự phòng tối thiểu 1 ngày làm việc phải được thực hiện hằng năm với hệ thống cấp độ 4 trở lên và 2 năm một lần với hệ thống cấp độ 3 trở xuống. Nếu không thể cắt chuyển trong ngày làm việc, hệ thống dự phòng phải có cùng công suất, cấu hình với hệ thống chính và vẫn phải được kiểm tra định kỳ hằng năm.

Điều này có nghĩa là với ngân hàng, DR site không thể chỉ là “một cụm server để đó cho yên tâm”. Nó phải là một site có khả năng vận hành thật, có kịch bản cắt chuyển, có kiểm thử định kỳ và có thời gian khôi phục được đo lường.

Nếu ngân hàng thuê data center, colocation hoặc cloud thì cần lưu ý gì?

Thông tư 09 không cấm tuyệt đối việc sử dụng dịch vụ của bên thứ ba, nhưng đặt ra nhiều điều kiện chặt chẽ. Trước khi sử dụng dịch vụ cho các hệ thống từ cấp độ 3 trở lên hoặc hệ thống xử lý thông tin cá nhân của khách hàng, tổ chức phải đánh giá rủi ro. Bên thứ ba phải có hạ tầng CNTT phù hợp với dịch vụ cung cấp, đáp ứng pháp luật Việt Nam và có chứng nhận quốc tế còn hiệu lực về an toàn thông tin.

Trong hợp đồng, bên thứ ba phải cam kết không sao chép, thay đổi, sử dụng hay cung cấp dữ liệu cho cá nhân, tổ chức khác trái quy định; phải quy định rõ thời gian gián đoạn tối đa, thời gian khắc phục sự cố, yêu cầu dự phòng tại chỗ, sao lưu dữ liệu, dự phòng thảm họa, cũng như trách nhiệm trả lại hoặc hỗ trợ chuyển dữ liệu khi chấm dứt dịch vụ và cam kết xóa toàn bộ dữ liệu trong thời gian xác định. Với cloud, bên thứ ba còn phải minh bạch vị trí trung tâm dữ liệu ở ngoài lãnh thổ Việt Nam, hỗ trợ điều tra theo yêu cầu của cơ quan có thẩm quyền và bảo đảm dữ liệu của tổ chức được tách biệt với dữ liệu của khách hàng khác trên cùng nền tảng kỹ thuật.

Một điểm cần hiểu đúng là Nghị định 53/2022/NĐ-CP về Luật An ninh mạng quy định việc lưu trữ dữ liệu tại Việt Nam và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam đối với một số doanh nghiệp nước ngoài hoạt động trong các lĩnh vực nhất định và trong các điều kiện cụ thể, chứ không mặc nhiên áp dụng như một mệnh lệnh “mọi hệ thống ngân hàng đều phải đặt server trong nước”. Vì vậy, khi thiết kế mô hình hybrid cloud hoặc multi-site, ngân hàng cần phân tách rõ đâu là yêu cầu bắt buộc theo pháp luật, đâu là yêu cầu nội bộ về quản trị rủi ro, và đâu là chuẩn kỹ thuật tham chiếu.

Ngân hàng nên tham chiếu thêm những tiêu chuẩn kỹ thuật nào?

Về mặt pháp lý tại Việt Nam, ngân hàng phải bám vào quy định chuyên ngành và quy định về an toàn hệ thống thông tin theo cấp độ. Nhưng về mặt thiết kế data center, các tiêu chuẩn quốc tế vẫn là bộ khung rất hữu ích. ANSI/TIA-942 là tiêu chuẩn data center được áp dụng rộng rãi, bao phủ các yêu cầu tối thiểu liên quan đến vị trí site, kiến trúc, điện, cơ điện lạnh, phòng cháy, viễn thông, an ninh và giám sát. TIA cũng định nghĩa hệ thống rating từ Rated 1 đến Rated 4 để phản ánh mức độ sẵn sàng và khả năng chịu lỗi của hạ tầng.

Song song với đó, Uptime Institute định nghĩa 4 mức Tier cho data center. Trong đó, Tier III cho phép bảo trì từng thành phần hoặc từng đường phân phối theo kế hoạch mà không làm gián đoạn vận hành, còn Tier IV là mức chịu lỗi, nghĩa là một lỗi đơn lẻ ở thiết bị hoặc đường phân phối không làm gián đoạn hoạt động. Đây là các mốc tham chiếu kỹ thuật rất phù hợp khi ngân hàng thiết kế site chính, site DR hoặc lựa chọn đối tác colocation. Tuy nhiên, đây là chuẩn tham chiếu kỹ thuật, không phải điều khoản bắt buộc thay thế quy định của NHNN.

Checklist kỹ thuật khi chọn chỗ đặt máy chủ cho ngân hàng

Khi đánh giá một phòng máy hoặc data center cho khối ngân hàng, có thể dùng checklist rút gọn sau:

1. Vị trí và rủi ro môi trường: tránh vùng ngập, thấm dột, nắng trực tiếp, có đánh giá rủi ro thiên tai và rủi ro hạ tầng xung quanh.
2. Kiểm soát vật lý: có lớp bảo vệ ngoài, kiểm soát vào ra 24/7, cửa chống cháy, tối thiểu hai loại khóa, camera lưu tối thiểu 90 ngày.
3. Nguồn điện: có điện lưới, máy phát, ATS, UPS, tiếp địa và chống sét.
4. Điều hòa và môi trường: có làm mát liên tục, giám sát nhiệt độ và độ ẩm.
5. PCCC: có hệ thống báo cháy và chữa cháy tự động phù hợp cho môi trường CNTT.
6. Phân vùng hệ thống: khu máy chủ quan trọng phải tách biệt; có zoning mạng cho app, DB, DMZ và kiểm soát truy cập.
7. Sao lưu và DR: backup tự động, lưu bản sao tách rời, DR site có RTO phù hợp và được diễn tập định kỳ.
8. Thuê ngoài/cloud: hợp đồng phải chặt về dữ liệu, SLA, xóa dữ liệu, vị trí DC, kiểm toán và tách biệt tenant.

Câu hỏi thường gặp

Ngân hàng có bắt buộc phải đặt máy chủ trong một data center riêng không?

Không phải lúc nào cũng bắt buộc phải là một data center độc lập theo nghĩa thương mại, nhưng khu vực đặt máy chủ và thiết bị liên quan của hệ thống quan trọng phải đáp ứng các yêu cầu nghiêm ngặt về an toàn vật lý, môi trường, điện, làm mát, kiểm soát ra vào và dự phòng. Với hệ thống cấp độ 3 trở lên, khu vực này phải được cách ly với khu dùng chung.

Có thể đặt server ngân hàng tại data center của bên thứ ba không?

Có thể, nhưng phải đánh giá rủi ro trước, yêu cầu bên thứ ba đáp ứng pháp luật Việt Nam và có chứng nhận quốc tế về an toàn thông tin, đồng thời hợp đồng phải quy định rất rõ trách nhiệm bảo vệ dữ liệu, dự phòng, SLA, hoàn trả và xóa dữ liệu.

Máy chủ ngân hàng có bắt buộc phải có site dự phòng không?

Đối với các hệ thống cần bảo đảm hoạt động liên tục, tối thiểu gồm các hệ thống từ cấp độ 3 trở lên, phải có hệ thống dự phòng thảm họa và khả năng cắt chuyển theo quy định. Với hệ thống từ cấp độ 3 trở lên, thời gian thay thế hệ thống chính tối đa là 4 giờ, trừ trường hợp xử lý bí mật nhà nước.

Chỉ cần an toàn vật lý là đủ chưa?

Chưa. Trong ngân hàng, chỗ đặt máy chủ phải đi kèm phân loại cấp độ hệ thống, phân vùng mạng, giao thức kết nối an toàn, kiểm soát truy cập quản trị, sao lưu, giám sát an ninh mạng và phương án vận hành liên tục.

Kết luận

Với khối ngân hàng, chỗ đặt máy chủ không còn là bài toán “đặt ở phòng nào” mà là bài toán kiến trúc hạ tầng, quản trị rủi ro và tuân thủ. Một vị trí đạt yêu cầu phải đồng thời an toàn về vật lý, bền vững về điện và làm mát, đúng chuẩn PCCC, tách biệt về khu vực, có backup tách rời, có DR site vận hành được và có cơ chế kiểm soát khi sử dụng bên thứ ba hoặc cloud. Khung pháp lý của Việt Nam đã mô tả khá rõ các yêu cầu tối thiểu; phần còn lại là bài toán thiết kế đúng cấp độ quan trọng của từng hệ thống và lựa chọn tiêu chuẩn kỹ thuật phù hợp để bảo đảm ngân hàng vận hành ổn định, liên tục và an toàn.

Nếu bạn cần thuê chỗ đặt máy chủ uy tín tại Việt Nam, vui lòng liên hệ với VDO: https://vdodata.vn/thue-cho-dat-may-chu/