Ngân hàng Nhà nước yêu cầu các tổ chức tín dụng và trung gian thanh toán nâng cao tiêu chuẩn an toàn, bảo mật cho dịch vụ trực tuyến.
Ngân hàng Nhà nước Việt Nam (NHNN) đang lấy ý kiến cho Dự thảo Thông tư sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN ngày 31/10/2024 về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến của ngành Ngân hàng.
Dự thảo này không chỉ mở rộng phạm vi áp dụng với dịch vụ tiền di động, mà còn bổ sung nhiều quy định mới nhằm tăng cường bảo mật và an toàn cho các giao dịch ngân hàng điện tử.
Phải có giải pháp ngăn chặn
Ngân hàng Nhà nước yêu cầu các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức trung gian thanh toán và đơn vị cung ứng dịch vụ tiền di động phải triển khai đồng bộ các biện pháp kỹ thuật nhằm phát hiện, đánh giá và xử lý kịp thời các lỗ hổng, điểm yếu bảo mật trong ứng dụng Online Banking.
Đối với phần mềm cung cấp qua nền tảng web, các đơn vị phải đảm bảo cơ chế phòng, chống 10 lỗ hổng phổ biến nhất do tổ chức OWASP công bố (OWASP Top Ten). Trong khi đó, với ứng dụng di động (Mobile Banking), phải đáp ứng tối thiểu các tiêu chuẩn về an toàn bảo mật ứng dụng di động theo OWASP Mobile Application Security.
Định kỳ ít nhất hai tháng một lần, các tổ chức phải đánh giá toàn bộ phiên bản Mobile Banking đang cho phép khách hàng sử dụng nhằm phát hiện nguy cơ tấn công, can thiệp hoặc lỗ hổng bảo mật.
Hệ thống chỉ được phép kết nối khi người dùng sử dụng phiên bản mới nhất hoặc không quá hai phiên bản cũ so với bản hiện hành. Khi khách hàng kích hoạt ứng dụng trên thiết bị mới hoặc cài đặt lại, bắt buộc phải sử dụng phiên bản mới nhất, đồng thời các đơn vị phải có cơ chế ngăn chặn hành vi hạ cấp (downgrade) xuống phiên bản thấp hơn.
Trường hợp phát hiện lỗ hổng bảo mật, ứng dụng phải tự động ngừng giao dịch, tiến hành kiểm tra, khắc phục và cập nhật phiên bản mới ngay lập tức. Đặc biệt, ứng dụng Mobile Banking phải có khả năng tự động thoát hoặc dừng hoạt động nếu phát hiện trình gỡ lỗi (debugger) đang hoạt động, chạy trong môi trường giả lập (emulator/máy ảo), bị chèn mã theo dõi hoặc can thiệp API (hook), hoặc nếu thiết bị đã bị root hoặc jailbreak.
Các quy định này nhằm bảo đảm an toàn tối đa cho người dùng, đồng thời tăng cường khả năng phòng vệ của hệ thống ngân hàng trước các hành vi can thiệp, tấn công trái phép trong môi trường trực tuyến.
Ngân hàng Nhà nước yêu cầu các tổ chức tín dụng và trung gian thanh toán nâng cao tiêu chuẩn an toàn, bảo mật cho dịch vụ trực tuyến.
Ngăn chặn doanh nghiệp “ma” mua bán tài khoản ngân hàng
Ngân hàng Nhà nước (NHNN) đang đề xuất sửa đổi quy định về xác thực giao dịch điện tử trên hệ thống Online Banking nhằm ngăn chặn tình trạng tội phạm thành lập doanh nghiệp “ma” để mua bán tài khoản, phục vụ hoạt động lừa đảo.
Theo dự thảo, với các giao dịch thanh toán bằng tài khoản, ví điện tử hoặc giao dịch chuyển tiền qua thẻ ghi nợ, thẻ trả trước định danh, NHNN yêu cầu áp dụng Soft OTP hoặc Token OTP cơ bản, hoặc hai kênh xác thực trong các trường hợp giao dịch của doanh nghiệp mới thành lập có giá trị không quá 50 triệu đồng, tổng giá trị nạp – rút trong ngày không quá 100 triệu đồng; hoặc giao dịch của các tổ chức khác có giá trị không quá 1 tỷ đồng, tổng giá trị giao dịch trong ngày không vượt 10 tỷ đồng.
Đối với các giao dịch có giá trị cao hơn, hệ thống phải đối chiếu thông tin sinh trắc học của người đại diện hợp pháp hoặc cá nhân được ủy quyền, kết hợp với Soft OTP/Token OTP cơ bản hoặc hai kênh xác thực. Quy định này áp dụng cho các giao dịch có giá trị từ 50 triệu đến 1 tỷ đồng với tổng giá trị giao dịch trong ngày không quá 10 tỷ đồng; hoặc giao dịch dưới 50 triệu đồng nhưng tổng giá trị nạp – rút trong ngày vượt 100 triệu đồng và tổng giá trị giao dịch không quá 10 tỷ đồng.
Với các giao dịch có giá trị lớn hơn, NHNN yêu cầu hình thức xác thực ở mức cao hơn, bao gồm Soft OTP/Token OTP nâng cao, FIDO hoặc chữ ký điện tử an toàn. Cụ thể, hình thức này áp dụng với các giao dịch có giá trị không quá 1 tỷ đồng nhưng tổng giao dịch trong ngày vượt 10 tỷ đồng, hoặc các giao dịch có giá trị trên 1 tỷ đồng.
Riêng đối với doanh nghiệp mới thành lập, NHNN yêu cầu xác thực bằng đối chiếu sinh trắc học của người đại diện hợp pháp hoặc cá nhân được ủy quyền, kết hợp với Soft OTP/Token OTP nâng cao, FIDO hoặc chữ ký điện tử an toàn đối với các giao dịch có giá trị dưới 50 triệu đồng nhưng tổng nạp – rút trên 100 triệu đồng và tổng giao dịch trong ngày vượt 10 tỷ đồng; hoặc giao dịch từ 50 triệu đến 1 tỷ đồng với tổng giao dịch trong ngày trên 10 tỷ đồng; hoặc các giao dịch có giá trị trên 1 tỷ đồng.
Theo NHNN, các quy định này được xây dựng trên cơ sở Công điện số 139/CĐ-TTg, bổ sung yêu cầu xác thực sinh trắc học đối với giao dịch của khách hàng tổ chức, nhằm ngăn chặn triệt để tình trạng thành lập doanh nghiệp “ma” để bán hoặc cho thuê tài khoản thanh toán là một thủ đoạn đang được tội phạm mạng lợi dụng ngày càng tinh vi.
Thanh Cao