 |
Theo dự thảo, phạm vi áp dụng sẽ được mở rộng thêm đối với dịch vụ Tiền di động (Mobile Money) – lĩnh vực mới đang phát triển nhanh tại Việt Nam, bên cạnh các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, trung gian thanh toán và công ty thông tin tín dụng.
Một điểm mới nổi bật là quy định ứng dụng ngân hàng trực tuyến (Online Banking, Mobile Banking) phải tuân thủ bộ chuẩn bảo mật quốc tế OWASP – bao gồm danh mục 10 lỗ hổng phổ biến nhất (OWASP Top 10) và tiêu chuẩn an toàn ứng dụng di động (OWASP MAS). Điều này đặt ra yêu cầu cao hơn về quy trình phát triển, kiểm thử và vận hành các ứng dụng ngân hàng, tương đương với chuẩn mực tại nhiều quốc gia phát triển.
NHNN yêu cầu các ngân hàng kiểm soát phiên bản ứng dụng Mobile Banking định kỳ ít nhất hai tháng một lần, không cho phép sử dụng bản cũ quá hai thế hệ, đồng thời chặn hạ cấp (downgrade) hoặc sử dụng các bản có lỗ hổng. Khi phát hiện rủi ro an ninh, ứng dụng phải tự động ngừng hoạt động, cảnh báo người dùng và buộc cập nhật bản vá bảo mật mới nhất. Những thiết bị bị root, jailbreak hoặc chạy giả lập cũng phải bị từ chối truy cập để đảm bảo tính toàn vẹn của hệ thống.
Đáng chú ý, dự thảo bổ sung quy định bắt buộc xác thực sinh trắc học (vân tay, khuôn mặt) khi thay đổi thông tin định danh khách hàng tổ chức, thực hiện theo Công điện 139/CĐ-TTg của Thủ tướng Chính phủ, nhằm ngăn chặn tình trạng tội phạm sử dụng doanh nghiệp “ma” để mở tài khoản thanh toán.
Trong xác nhận giao dịch điện tử, dự thảo loại bỏ chữ ký điện tử thông thường, chỉ chấp nhận chữ ký điện tử an toàn, chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam, phù hợp với Luật Giao dịch điện tử 2023 và Nghị định 23/2025/NĐ-CP.
Phụ lục dự thảo cũng phân loại chi tiết các cấp độ giao dịch thanh toán trực tuyến (A, B, C, D) dựa trên giá trị và đối tượng khách hàng, trong đó giao dịch có giá trị lớn hoặc khách hàng tổ chức mới phải áp dụng xác thực sinh trắc học bắt buộc.
Bên cạnh các yêu cầu kỹ thuật, NHNN cũng đề xuất tăng tần suất kiểm tra, đánh giá an toàn thông tin định kỳ, yêu cầu các ngân hàng báo cáo sự cố an ninh mạng trong vòng 24 giờ kể từ khi phát hiện, đồng thời phải có kế hoạch khắc phục và bảo vệ dữ liệu khách hàng rõ ràng.
Việc ban hành Thông tư sửa đổi được kỳ vọng sẽ nâng cao năng lực phòng thủ an ninh mạng của hệ thống ngân hàng Việt Nam, giảm thiểu nguy cơ rò rỉ dữ liệu, tấn công tài khoản và gian lận thanh toán. Dự thảo cũng tạo nền tảng pháp lý đồng bộ cho các mô hình dịch vụ mới như Mobile Money, ví điện tử, ngân hàng số, cũng như chuẩn hóa bảo mật theo thông lệ quốc tế, góp phần củng cố niềm tin của người dân vào các giao dịch tài chính trực tuyến.
Theo đại diện Vụ Thanh toán (NHNN), Thông tư mới “sẽ giúp ngành ngân hàng Việt Nam tiệm cận các tiêu chuẩn bảo mật toàn cầu, đảm bảo an toàn hệ thống trong bối cảnh chuyển đổi số sâu rộng và tội phạm công nghệ cao đang diễn biến phức tạp”.
| Trân trọng cảm ơn các đối tác Vietinbank, PETROVIETNAM, EVN, MB Bank, Agribank, SSI, FPT, VPBank, Gelex, Vietnam Airlines, VIX, BIDV, VIETTEL, OKX, VNPT và Napas đã đồng hành cùng Lễ mở ký "Công ước Liên hợp quốc về chống tội phạm mạng" – nơi cam kết được chuyển hóa thành hành động, vì một không gian mạng an toàn, phát triển và nhân văn. |
Bình luận