Ngân hàng Nhà nước Việt Nam (NHNN) đang dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.Thông tư dự kiến có hiệu lực thi hành kể từ ngày 1/1/2026 (trừ một số quy định có lộ trình áp dụng muộn hơn).

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ tiền di động, công ty thông tin tín dụng.

Nội dung dự thảo tập trung vào việc mở rộng phạm vi áp dụng, bổ sung các yêu cầu kỹ thuật về an toàn bảo mật, đặc biệt đối với ứng dụng Mobile Banking và chi tiết hóa các phân loại giao dịch cũng như hình thức xác nhận giao dịch trực tuyến.

Một trong những điểm đáng chú ý của dự thảo là bổ sung và sửa đổi chi tiết các yêu cầu về kiểm soát bảo mật và phòng chống tấn công mạng.

Theo đó, các đơn vị cần thực hiện đánh giá, dò quét để phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật, đánh giá khả năng phòng, chống các lỗ hổng, điểm yết, kiểu tấn công.

Với phần mềm ứng dụng Online Banking (nền tảng web), dự thảo yêu cầu phải phòng, chống tối thiểu 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).

Với phần mềm ứng dụng Mobile Banking, dự thảo yêu cầu phải đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).

Đáng chú ý, các ngân hàng phải kiểm soát định kỳ phiên bản ứng dụng Mobile Banking ít nhất hai tháng một lần, kiểm soát và không cho phép khách hàng sử dụng phiên bản cũ quá hai thế hệ so với bản mới nhất.

Trong trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, bắt buộc phải cài đặt, sử dụng phiên bản mới nhất. Có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

Khi phát hiện có lỗ hổng bảo mật phải có biện pháp kiểm tra, không cho thực hiện giao dịch và thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới.

Bên cạnh đó, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động nếu phát hiện các hành vi can thiệp trái phép, bao gồm có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc ứng dụng bị chạy trong môi trường giả lập; phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook); thiết bị đã bị phá khóa (root / jailbreak).

Dự thảo cũng xác định rõ rằng hình thức xác nhận bằng chữ ký điện tử an toàn là việc sử dụng chữ ký điện tử dưới dạng chữ ký số hoặc chữ ký điện tử nước ngoài đã được công nhận tại Việt Nam theo quy định của pháp luật hiện hành về chữ ký điện tử.