Ngân hàng Nhà nước yêu cầu các ngân hàng định kỳ 2 tháng/lần đánh giá các phiên bản ứng dụng Mobile Banking đang được khách hàng sử dụng, nhằm phát hiện lỗ hổng bảo mật và ngăn chặn nguy cơ bị tội phạm mạng xâm nhập.
Ngân hàng Nhà nước đang lấy ý kiến cho Dự thảo sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN (ban hành ngày 31/10/2024) về quy định an toàn, bảo mật trong cung cấp dịch vụ trực tuyến của ngành ngân hàng.
Thông tư áp dụng cho các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, đơn vị trung gian thanh toán, tổ chức cung ứng dịch vụ tiền di động (mobile money) và công ty thông tin tín dụng (gọi chung là “đơn vị”).
Trong Dự thảo lần 1, Ngân hàng Nhà nước đề xuất sửa đổi điểm c khoản 3 Điều 7, yêu cầu các đơn vị phải thường xuyên đánh giá, quét kiểm tra nhằm phát hiện lỗ hổng và điểm yếu kỹ thuật, đồng thời đánh giá khả năng phòng ngừa, ứng phó với rủi ro bảo mật.
Với ứng dụng Online Banking, các đơn vị phải bảo đảm năng lực phòng, chống các lỗ hổng phổ biến theo danh sách OWASP Top Ten là bộ tiêu chuẩn quốc tế về an toàn ứng dụng web.
Đối với Mobile Banking, yêu cầu tối thiểu là phải tuân thủ tiêu chuẩn OWASP Mobile Application Security nhằm đảm bảo mức độ bảo mật tương đương các ứng dụng di động quốc tế.
Ngân hàng Nhà nước yêu cầu các ngân hàng định kỳ 2 tháng/lần đánh giá các phiên bản ứng dụng Mobile Banking đang được khách hàng sử dụng, nhằm phát hiện lỗ hổng bảo mật và ngăn chặn nguy cơ bị tội phạm mạng xâm nhập.
Một điểm mới đáng chú ý là việc bổ sung khoản 1a vào Điều 8 – quy định kiểm soát phiên bản phần mềm Mobile Banking. Theo đó, các ngân hàng và đơn vị cung ứng dịch vụ phải đánh giá định kỳ ít nhất 2 tháng/lần đối với các phiên bản ứng dụng mà khách hàng đang sử dụng, nhằm phát hiện sớm lỗ hổng bảo mật và nguy cơ bị tội phạm mạng xâm nhập.
Các ngân hàng cũng phải kiểm soát việc sử dụng phiên bản phần mềm, không cho phép khách hàng dùng phiên bản cũ hơn quá hai đời so với bản hiện hành đang kết nối hệ thống Online Banking. Khi kích hoạt ứng dụng trên thiết bị mới hoặc cài đặt lại, khách hàng bắt buộc phải sử dụng phiên bản mới nhất, đồng thời hệ thống cần có biện pháp kỹ thuật ngăn chặn việc hạ cấp xuống các bản cũ.
Khi phát hiện lỗ hổng, ngân hàng, trung gian thanh toán hoặc đơn vị cung cấp dịch vụ mobile money phải ngay lập tức khoá giao dịch, kiểm tra và phát hành bản vá khắc phục, đảm bảo không để rò rỉ dữ liệu người dùng.
Ngoài ra, khoản 4 Điều 8 cũng được sửa đổi nhằm tăng khả năng chống lại các hành vi can thiệp trái phép vào ứng dụng Mobile Banking. Theo đó, ứng dụng phải tự động thoát hoặc dừng hoạt động nếu phát hiện trình gỡ lỗi, môi trường giả lập, máy ảo, phần mềm theo dõi hành vi, ghi log dữ liệu hoặc khi thiết bị đã bị root/jailbreak.
Dự thảo cũng bãi bỏ khoản 8 Điều 11, loại bỏ hình thức xác nhận bằng chữ ký điện tử không an toàn, đồng thời sửa đổi khoản 9 để làm rõ khái niệm “chữ ký điện tử an toàn”, bao gồm chữ ký số hoặc chữ ký điện tử nước ngoài đã được công nhận tại Việt Nam theo quy định pháp luật hiện hành.
Thông tư dự kiến có hiệu lực từ ngày 1/1/2026, trừ một số nội dung có thời gian chuyển tiếp riêng.
Thanh Cao