Tăng cường biện pháp an toàn, bảo mật trong cung cấp dịch vụ trực tuyến ngành Ngân hàng

Về phạm vi áp dụng, Khoản 1 và Khoản 2 Điều 1 của Thông tư bổ sung hoạt động cung ứng dịch vụ Tiền di động vào phạm vi điều chỉnh. Đồng thời, sửa đổi, bổ sung đối tượng áp dụng của Thông tư gồm: các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động và công ty thông tin tín dụng.

Thông tư cũng đưa ra khái niệm mới về "Khách hàng tổ chức mới" tại Điều 2. Cụ thể, khách hàng tổ chức mới là tổ chức mới đăng ký thành lập trong vòng 12 tháng hoặc tổ chức mới thiết lập quan hệ với đơn vị trong vòng 12 tháng và được đơn vị thực hiện đánh giá rủi ro, xác định thời gian cần áp dụng hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn cho khách hàng này khi thực hiện giao dịch.

Quy định này không bao gồm: Các cơ quan nhà nước, đơn vị sự nghiệp công lập; Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; Các tổ chức niêm yết theo quy định tại Luật Chứng khoán; Các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước; Nhà đầu tư nước ngoài là người không cư trú mở tài khoản thanh toán để thực hiện hoạt động đầu tư gián tiếp tại Việt Nam; Các tổ chức khác do đơn vị lựa chọn và chịu hoàn toàn trách nhiệm về các rủi ro từ việc lựa chọn này. Đơn vị phải bảo đảm xác minh chính xác về khách hàng và chịu hoàn toàn trách nhiệm đối với việc nhận biết khách hàng.

Về mặt kỹ thuật, Khoản 1 Điều 4 Thông tư bổ yêu cầu phần mềm ứng dụng Online Banking cung cấp qua nền tảng web phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten). Đối với phần mềm ứng dụng Mobile Banking, đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security). Phiên bản OWASP Top Ten hoặc OWASP Mobile Application Security áp dụng là phiên bản mới nhất hoặc phiên bản gần nhất với phiên bản được ban hành trong 6 tháng.

Khoản 2 Điều 4 quy định phần mềm ứng dụng cho khách hàng tổ chức phải thiết kế quy trình tối thiểu hai bước: tạo lập và phê duyệt giao dịch (ngoại trừ hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản).

Khoản 1 Điều 5 Thông tư cũng bổ sung quy định kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking. Theo đó, định kỳ tối thiểu 3 tháng 1 lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định tại khoản 6 Điều 14 Thông tư này.

Một trong những điểm nhấn về bảo mật tại Khoản 2 Điều 5 là yêu cầu các đơn vị phải triển khai giải pháp phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện thiết bị có dấu hiệu như: Bị phá khóa (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader); Có trình gỡ lỗi (debugger) đang hoạt động hoặc ứng dụng chạy trên môi trường giả lập (emulator), máy ảo...; phần mềm bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy... hoặc bị can thiệp, đóng gói lại (repacking).

Đáng chú ý, về công nghệ sinh trắc học, Khoản 1 Điều 7 quy định, giải pháp phát hiện tấn công giả mạo sinh trắc học của vật thể sống (Presentation Attack Detection – PAD) do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận hoặc của Tổ chức chứng nhận (Certification Body) cấp phép xác nhận tuân thủ tiêu chuẩn quốc tế (ISO), đáp ứng tiêu chuẩn ISO 30107 cấp độ 2 (Level 2) hoặc tương đương.

Tổ chức chứng nhận (Certification Body) phải được cấp phép bởi Cơ quan công nhận (Accreditation Body) đã tham gia Thỏa thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (International Accreditation Forum – IAF Multilateral Recognition Arrangement, IAF MLA).

Thông tư 77/2025/TT-NHNN có hiệu lực thi hành kể từ ngày 1/3/2026. Tuy nhiên, có lộ trình áp dụng riêng cho một số quy định tại Điều 3 và Điều 10. Cụ thể, các đơn vị cung cấp dịch vụ thanh toán trực tuyến cho cả khách hàng cá nhân và tổ chức, thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này từ ngày 1/7/2026. Đối với các đơn vị chỉ cung cấp dịch vụ thanh toán trực tuyến cho khách hàng tổ chức (không cung cấp dịch vụ cho khách hàng cá nhân), thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này kể từ ngày 1/10/2026.