Quy định QyĐ-CNTT-2025-002 về việc ban hành Quy định về Quản lý và phát triển phần mềm của Ngân hàng Thương mại Cổ phần ABC Việt Nam

Điều 1. Ban hành kèm theo Quyết định này Quy định về Quản lý và phát triển phần mềm của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

Điều 2. Quyết định này có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2025 và thay thế toàn bộ các quy định, hướng dẫn trước đây của Ngân hàng Thương mại Cổ phần ABC Việt Nam liên quan đến hoạt động quản lý, phát triển và triển khai phần mềm.

Điều 3. Các Phó Tổng Giám đốc, Giám đốc Khối Công nghệ thông tin, Giám đốc các Khối/Ban tại Hội sở, Giám đốc Chi nhánh, Trưởng các Phòng giao dịch và toàn thể cán bộ, nhân viên thuộc Ngân hàng Thương mại Cổ phần ABC Việt Nam chịu trách nhiệm thi hành Quyết định này./.

Chương I

NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

1. Quy định này cụ thể hóa các nguyên tắc tại Quy chế Quản lý hoạt động Công nghệ thông tin, quy định chi tiết về quy trình vòng đời phát triển phần mềm, quản lý thay đổi, kiểm thử, triển khai và vận hành ứng dụng tại Ngân hàng Thương mại Cổ phần ABC Việt Nam.

2. Phạm vi quản lý bao gồm tất cả các phần mềm do Ngân hàng tự phát triển, phần mềm thuê ngoài gia công và các phần mềm thương mại mua sẵn có thực hiện tùy biến mã nguồn.

Điều 2. Đối tượng áp dụng

1. Quy định này áp dụng đối với Khối Công nghệ thông tin, các Khối/Ban nghiệp vụ đóng vai trò chủ sở hữu ứng dụng và toàn thể cán bộ, nhân viên tham gia vào quá trình phát triển, kiểm thử, vận hành phần mềm.

2. Các đối tác, nhà thầu cung cấp dịch vụ phát triển phần mềm, kiểm thử hoặc bảo trì hệ thống cho Ngân hàng bắt buộc phải tuân thủ các điều khoản bảo mật và quy trình kỹ thuật nêu tại Quy định này thông qua các hợp đồng kinh tế.

Điều 3. Tài liệu tham khảo

1. Luật Các tổ chức tín dụng số 32/2024/QH15 ngày 18 tháng 01 năm 2024.

2. Luật Công nghệ thông tin số 67/2006/QH11 ngày 29 tháng 6 năm 2006.

3. Luật An toàn thông tin mạng số 86/2015/QH13 ngày 19 tháng 11 năm 2015.

4. Thông tư số 09/2020/TT-NHNN ngày 21 tháng 10 năm 2020 của Thống đốc Ngân hàng Nhà nước Việt Nam.

5. Điều lệ Ngân hàng Thương mại Cổ phần ABC Việt Nam.

6. Quy chế Quản lý hoạt động Công nghệ thông tin mã số QC-CNTT-2025-001.

7. Quy chế về hệ thống kiểm soát nội bộ của Ngân hàng Thương mại Cổ phần ABC Việt Nam.

Điều 4. Giải thích từ ngữ và viết tắt

1. Trong Quy định này, các từ ngữ dưới đây được hiểu như sau:

a) Phần mềm ứng dụng: Là tập hợp các lệnh, dữ liệu được tổ chức có cấu trúc nhằm thực hiện một hoặc nhiều chức năng nghiệp vụ cụ thể của Ngân hàng.

b) Vòng đời phát triển phần mềm: Là một quy trình chuẩn hóa bao gồm các giai đoạn từ khi khởi tạo yêu cầu, phân tích, thiết kế, lập trình, kiểm thử, triển khai đến bảo trì phần mềm.

c) Môi trường phát triển: Là hệ thống máy chủ và công cụ dành riêng cho lập trình viên để viết mã nguồn và xây dựng phần mềm.

d) Môi trường kiểm thử: Là hệ thống mô phỏng môi trường thực tế để thực hiện các kịch bản kiểm tra lỗi, đánh giá chất lượng phần mềm trước khi đưa vào sử dụng.

đ) Môi trường vận hành: Là hệ thống máy chủ chính thức phục vụ các giao dịch nghiệp vụ thực tế của Ngân hàng và khách hàng.

e) Mã nguồn: Là tập hợp các tệp tin chứa các câu lệnh lập trình có thể đọc được bởi con người, làm cơ sở để biên dịch thành phần mềm ứng dụng.

g) Quản lý thay đổi: Là quy trình kiểm soát mọi sửa đổi, nâng cấp hoặc cấu hình lại đối với phần mềm đang hoạt động nhằm giảm thiểu rủi ro gián đoạn dịch vụ.

h) Làm ẩn dữ liệu: Là kỹ thuật thay thế, xáo trộn hoặc che giấu các thông tin nhạy cảm của khách hàng để sử dụng an toàn trong môi trường kiểm thử.

2. Bảng chữ viết tắt sử dụng trong Quy định này:

a) Ngân hàng: Ngân hàng Thương mại Cổ phần ABC Việt Nam.

b) CNTT: Công nghệ thông tin.

c) ATTT: An toàn thông tin.

d) TGĐ: Tổng Giám đốc.

đ) KQLRR: Khối Quản lý Rủi ro.

e) BPCT: Ban Pháp chế và Tuân thủ.

g) SDLC: Vòng đời phát triển phần mềm (Software Development Life Cycle).

h) UAT: Kiểm thử chấp nhận của người dùng (User Acceptance Testing).

i) API: Giao diện lập trình ứng dụng (Application Programming Interface).

k) CBS-T24: Hệ thống ngân hàng lõi T24.

Điều 5. Nguyên tắc quản lý và phát triển phần mềm

1. Việc phát triển phần mềm phải tuân thủ nguyên tắc phân tách môi trường theo quy định tại Điều 19 Quy chế QC-CNTT-00 Tuyệt đối không sử dụng chung máy chủ, cơ sở dữ liệu giữa môi trường phát triển, kiểm thử và vận hành.

2. Mọi phần mềm phải được thiết kế theo nguyên tắc "Bảo mật từ khâu thiết kế" (Security by Design), bảo đảm các yêu cầu về xác thực, phân quyền, mã hóa và ghi nhật ký hệ thống ngay từ giai đoạn khởi tạo.

3. Không một cá nhân nào được phép nắm giữ toàn quyền từ khâu viết mã nguồn, phê duyệt kiểm thử đến trực tiếp triển khai lên môi trường vận hành. Phải áp dụng nguyên tắc kiểm soát kép (Maker - Checker) trong các bước chuyển giao quan trọng.

Chương II

QUY TRÌNH PHÁT TRIỂN PHẦN MỀM (SDLC)

Điều 6. Các giai đoạn của vòng đời phát triển phần mềm

1. Quy trình SDLC tại Ngân hàng bao gồm 06 giai đoạn bắt buộc: Khảo sát và thu thập yêu cầu; Phân tích và thiết kế hệ thống; Lập trình và xây dựng; Kiểm thử; Triển khai; Vận hành và bảo trì.

2. Khối CNTT có trách nhiệm lập tài liệu đặc tả kỹ thuật chi tiết cho từng giai đoạn. Tài liệu của giai đoạn trước phải được phê duyệt bởi cấp có thẩm quyền trước khi chuyển sang giai đoạn tiếp theo.

3. Đối với các dự án áp dụng phương pháp phát triển linh hoạt (Agile), các giai đoạn có thể lặp lại theo từng chu kỳ ngắn (Sprint) tối đa 04 tuần, nhưng vẫn phải bảo đảm đầy đủ các bước kiểm thử và phê duyệt trước khi phát hành.

Điều 7. Quản lý môi trường phát triển

1. Môi trường phát triển phải được cô lập hoàn toàn với mạng nội bộ chung của Ngân hàng. Lập trình viên chỉ được truy cập thông qua mạng riêng ảo (VPN) hoặc máy tính trạm ảo (VDI) có kiểm soát.

2. Nghiêm cấm việc sao chép dữ liệu thật của khách hàng, dữ liệu giao dịch từ môi trường vận hành sang môi trường phát triển dưới mọi hình thức.

3. Dữ liệu sử dụng trong môi trường phát triển phải là dữ liệu giả lập (Mock data) do Khối CNTT tự tạo ra, bảo đảm cấu trúc tương đồng nhưng không chứa thông tin thực tế.

Điều 8. Quản lý mã nguồn

1. Toàn bộ mã nguồn phần mềm của Ngân hàng phải được lưu trữ tập trung trên hệ thống quản lý phiên bản (Version Control System) nội bộ. Không được phép lưu trữ mã nguồn trên các nền tảng đám mây công cộng hoặc thiết bị cá nhân.

2. Mọi thay đổi mã nguồn (Commit) phải gắn liền với mã số yêu cầu nghiệp vụ hoặc mã số báo cáo lỗi (Ticket ID) để phục vụ truy vết.

3. Phải thực hiện đánh giá mã nguồn chéo (Code Review) bởi tối thiểu 01 lập trình viên cấp cao hoặc trưởng nhóm trước khi hợp nhất (Merge) vào nhánh mã nguồn chính.

Điều 9. Tích hợp an toàn thông tin trong phát triển

1. Lập trình viên phải tuân thủ bộ tiêu chuẩn lập trình an toàn do Khối CNTT ban hành, đặc biệt chú trọng phòng chống 10 lỗ hổng bảo mật phổ biến (OWASP Top 10).

2. Mã nguồn phải được quét tự động bằng công cụ phân tích mã nguồn tĩnh (SAST) định kỳ hàng tuần. Mọi lỗ hổng mức độ Nghiêm trọng và Cao phát hiện từ SAST phải được khắc phục triệt để trước khi chuyển sang giai đoạn kiểm thử.

3. Các API kết nối nội bộ hoặc ra bên ngoài phải được thiết kế cơ chế xác thực bằng Token, giới hạn tần suất truy cập (Rate limiting) và mã hóa đường truyền (HTTPS/TLS 1.2 trở lên).

Chương III

QUẢN LÝ THAY ĐỔI (CHANGE MANAGEMENT)

Điều 10. Phân loại thay đổi phần mềm

1. Thay đổi Khẩn cấp: Là các bản vá lỗi bảo mật nghiêm trọng hoặc sửa lỗi gây gián đoạn hệ thống diện rộng, cần thực hiện ngay lập tức trong vòng 24 giờ.

2. Thay đổi Tiêu chuẩn: Là các thay đổi nhỏ, rủi ro thấp, đã có quy trình chuẩn hóa và được phê duyệt trước (ví dụ: cập nhật tham số hệ thống, thêm trường dữ liệu không trọng yếu).

3. Thay đổi Thông thường: Là các đợt nâng cấp phiên bản, bổ sung tính năng mới, yêu cầu đánh giá tác động toàn diện và phê duyệt theo nhiều cấp.

Điều 11. Quy trình yêu cầu và phê duyệt thay đổi

1. Mọi yêu cầu thay đổi phải được tạo phiếu (Ticket) trên hệ thống quản lý dịch vụ CNTT nội bộ, ghi rõ lý do, phạm vi tác động và thời gian dự kiến thực hiện.

2. Thẩm quyền phê duyệt thay đổi được quy định như sau:

a) Thay đổi Khẩn cấp: Giám đốc Khối CNTT phê duyệt trực tiếp qua điện thoại hoặc email, bổ sung hồ sơ trong vòng 48 giờ sau khi xử lý xong.

b) Thay đổi Tiêu chuẩn: Trưởng phòng Vận hành ứng dụng thuộc Khối CNTT phê duyệt.

c) Thay đổi Thông thường: Hội đồng Quản lý thay đổi (CAB) bao gồm đại diện Khối CNTT, KQLRR và đơn vị nghiệp vụ đánh giá và phê duyệt.

Điều 12. Kế hoạch khôi phục (Rollback Plan)

1. Mọi yêu cầu thay đổi Thông thường và Khẩn cấp bắt buộc phải đính kèm Kế hoạch khôi phục trạng thái cũ chi tiết từng bước.

2. Kế hoạch khôi phục phải được kiểm chứng tính khả thi trên môi trường kiểm thử trước khi áp dụng thực tế.

3. Trong quá trình triển khai thay đổi, nếu phát sinh lỗi nghiêm trọng không thể khắc phục trong vòng 60 phút, nhân sự triển khai phải lập tức kích hoạt Kế hoạch khôi phục để đưa hệ thống về trạng thái ổn định trước đó.

Chương IV

KIỂM THỬ VÀ TRIỂN KHAI

Điều 13. Yêu cầu về môi trường kiểm thử

1. Môi trường kiểm thử phải được cấu hình tương đương tối thiểu 70% năng lực xử lý của môi trường vận hành để bảo đảm tính chính xác khi đánh giá hiệu năng.

2. Dữ liệu sử dụng trên môi trường kiểm thử phải tuân thủ quy định tại Điều 19 Quy chế QC-CNTT-001. Trường hợp sao chép từ môi trường vận hành, Khối CNTT phải thực hiện làm ẩn dữ liệu (Data masking) đối với các trường thông tin: Tên khách hàng, Số CMND/CCCD, Số điện thoại, Số tài khoản, Số thẻ và Số dư.

Điều 14. Các loại hình kiểm thử bắt buộc

1. Kiểm thử đơn vị (Unit Test): Do lập trình viên thực hiện, bảo đảm tỷ lệ bao phủ mã nguồn (Code coverage) đạt tối thiểu 80%.

2. Kiểm thử tích hợp (Integration Test): Đánh giá sự tương tác giữa các module phần mềm và các hệ thống liên quan (như CBS-T24).

3. Kiểm thử hiệu năng (Performance Test): Bắt buộc đối với các ứng dụng phục vụ khách hàng (Mobile Banking, Internet Banking), bảo đảm hệ thống chịu tải được tối thiểu 150% lượng giao dịch dự kiến trong giờ cao điểm.

4. Kiểm thử bảo mật (Security Test): Thực hiện đánh giá lỗ hổng và kiểm thử xâm nhập (Penetration Test) đối với các ứng dụng có kết nối Internet trước khi phát hành lần đầu và định kỳ 06 tháng/lần.

Điều 15. Nghiệm thu người dùng (UAT)

1. Đơn vị nghiệp vụ yêu cầu phần mềm có trách nhiệm chủ trì xây dựng kịch bản UAT và cử nhân sự trực tiếp thực hiện kiểm thử trên môi trường UAT.

2. Điều kiện ký biên bản nghiệm thu UAT để chuyển sang giai đoạn triển khai:

a) 100% các lỗi mức độ Nghiêm trọng (Fatal) và Cao (High) đã được khắc phục hoàn toàn.

b) Tỷ lệ kịch bản kiểm thử đạt kết quả thành công (Passed) phải lớn hơn hoặc bằng 95%.

c) Các lỗi mức độ Trung bình và Thấp còn tồn đọng phải có kế hoạch khắc phục cụ thể được đơn vị nghiệp vụ chấp thuận.

Điều 16. Quy trình triển khai lên môi trường vận hành

1. Việc triển khai phần mềm (Golive) phải được thực hiện ngoài giờ giao dịch chính thức, ưu tiên khung giờ từ 22:00 ngày hôm trước đến 04:00 ngày hôm sau để hạn chế tối đa ảnh hưởng đến khách hàng.

2. Khối CNTT phải lập Danh mục kiểm tra trước triển khai (Pre-deployment Checklist) bao gồm: sao lưu cơ sở dữ liệu, kiểm tra dung lượng ổ cứng, xác nhận mã nguồn bản cuối cùng.

3. Sau khi triển khai, Khối CNTT và đơn vị nghiệp vụ phải thực hiện kiểm tra xác nhận (Sanity Check) trên môi trường vận hành thực tế. Chỉ khi Sanity Check thành công, hệ thống mới được mở kết nối cho người dùng cuối.

Chương V

QUẢN LÝ VẬN HÀNH ỨNG DỤNG

Điều 17. Giám sát hiệu năng và tính sẵn sàng

1. Khối CNTT phải thiết lập hệ thống giám sát tự động 24/7 đối với tất cả các phần mềm ứng dụng quan trọng.

2. Hệ thống giám sát phải tự động gửi cảnh báo qua SMS/Email cho đội ngũ trực vận hành khi phát hiện các ngưỡng rủi ro: CPU sử dụng vượt quá 80%, Bộ nhớ (RAM) sử dụng vượt quá 85%, hoặc tỷ lệ giao dịch lỗi vượt quá 5% trong 10 phút liên tục.

3. Nhật ký hoạt động (Log) của ứng dụng phải được lưu trữ tập trung tại máy chủ Log Server độc lập, thời gian lưu trữ trực tuyến tối thiểu 06 tháng và lưu trữ ngoại tuyến tối thiểu 01 năm.

Điều 18. Quản lý bản vá và cập nhật

1. Khối CNTT có trách nhiệm theo dõi, đánh giá các bản vá lỗi, bản cập nhật bảo mật từ nhà cung cấp nền tảng, hệ điều hành và phần mềm thương mại.

2. Thời hạn bắt buộc áp dụng bản vá kể từ khi nhà cung cấp phát hành:

a) Đối với lỗ hổng mức độ Nghiêm trọng (Critical): Tối đa 07 ngày làm việc.

b) Đối với lỗ hổng mức độ Cao (High): Tối đa 15 ngày làm việc.

c) Đối với các bản cập nhật thông thường: Tối đa 30 ngày làm việc.

Điều 19. Sao lưu và phục hồi ứng dụng

1. Dữ liệu cấu hình và cơ sở dữ liệu của phần mềm ứng dụng phải được sao lưu tự động hàng ngày vào lúc 02:00 sáng.

2. Bản sao lưu phải được lưu giữ tối thiểu 90 ngày đối với dữ liệu cấu hình và theo quy định pháp luật đối với dữ liệu giao dịch.

3. Khối CNTT phải tổ chức diễn tập phục hồi dữ liệu từ bản sao lưu định kỳ 06 tháng/lần để bảo đảm tính toàn vẹn và khả năng sử dụng của dữ liệu sao lưu.

Chương VI

TRÁCH NHIỆM CỦA CÁC ĐƠN VỊ

Điều 20. Trách nhiệm của Khối Công nghệ thông tin

1. Chịu trách nhiệm toàn diện trong việc tổ chức thực hiện quy trình SDLC, quản lý mã nguồn và duy trì các môi trường phát triển, kiểm thử, vận hành.

2. Chủ trì thực hiện các đợt triển khai phần mềm, bảo đảm tuân thủ nghiêm ngặt quy trình quản lý thay đổi và kế hoạch khôi phục.

3. Tổ chức giám sát 24/7, tiếp nhận và xử lý các sự cố phần mềm theo đúng cam kết chất lượng dịch vụ (SLA) đã ký với các đơn vị nghiệp vụ.

4. Thực hiện sao lưu, bảo trì và cập nhật các bản vá bảo mật cho hệ thống ứng dụng đúng thời hạn quy định.

Điều 21. Trách nhiệm của Khối Quản lý Rủi ro

1. Đánh giá độc lập các rủi ro liên quan đến kiến trúc phần mềm, quy trình phát triển và các thay đổi lớn trước khi đưa vào vận hành.

2. Tham gia Hội đồng Quản lý thay đổi (CAB) để thẩm định và phê duyệt các yêu cầu thay đổi Thông thường có mức độ rủi ro cao.

3. Cử nhân sự tham gia quá trình UAT đối với các phần mềm hoặc module tính toán liên quan đến quản trị rủi ro, xếp hạng tín dụng, cảnh báo sớm.

4. Giám sát việc tuân thủ các giới hạn rủi ro CNTT trong quá trình vận hành phần mềm.

Điều 22. Trách nhiệm của Ban Pháp chế và Tuân thủ

1. Thẩm định tính pháp lý của các hợp đồng thuê ngoài gia công phần mềm, hợp đồng mua bản quyền phần mềm thương mại.

2. Kiểm soát các điều khoản về bảo mật thông tin, sở hữu trí tuệ và cam kết mức dịch vụ (SLA) trong các hợp đồng với đối tác CNTT.

3. Cập nhật và cảnh báo các quy định pháp luật mới về bảo vệ dữ liệu cá nhân, an ninh mạng để Khối CNTT điều chỉnh phần mềm cho phù hợp.

4. Kiểm tra định kỳ việc tuân thủ bản quyền phần mềm tại các đơn vị trong toàn Ngân hàng.

Điều 23. Trách nhiệm của các đơn vị nghiệp vụ (Chủ sở hữu ứng dụng)

1. Cung cấp tài liệu yêu cầu nghiệp vụ rõ ràng, đầy đủ và phối hợp với Khối CNTT để chốt đặc tả kỹ thuật trước khi lập trình.

2. Chịu trách nhiệm chính trong việc xây dựng kịch bản kiểm thử, bố trí nhân sự thực hiện UAT và ký biên bản nghiệm thu đúng tiến độ.

3. Phê duyệt các yêu cầu thay đổi phần mềm thuộc phạm vi nghiệp vụ do đơn vị mình quản lý.

4. Đào tạo, hướng dẫn sử dụng phần mềm cho người dùng cuối tại các Chi nhánh, Phòng giao dịch sau khi phần mềm được triển khai.

Chương VII

ĐIỀU KHOẢN THI HÀNH

Điều 24. Xử lý vi phạm

1. Cá nhân, đơn vị có hành vi vi phạm các quy định về quản lý mã nguồn, triển khai phần mềm trái phép hoặc làm lộ lọt dữ liệu trong quá trình kiểm thử sẽ bị xử lý kỷ luật theo quy định của Ngân hàng.

2. Trường hợp vi phạm gây hậu quả nghiêm trọng, làm gián đoạn hệ thống hoặc thất thoát tài sản, Ngân hàng sẽ xem xét bồi thường thiệt hại và chuyển hồ sơ cho cơ quan chức năng xử lý theo quy định của pháp luật.

Điều 25. Tổ chức thực hiện

1. Giám đốc Khối CNTT chịu trách nhiệm phổ biến, hướng dẫn và kiểm tra việc thực hiện Quy định này trong toàn hệ thống Ngân hàng.

2. Trong quá trình triển khai thực hiện, nếu có vướng mắc phát sinh, các đơn vị phản ánh kịp thời về Khối CNTT để tổng hợp, báo cáo TGĐ xem xét, quyết định sửa đổi, bổ sung cho phù hợp./-