Theo dự thảo thông tư mới, Ngân hàng Nhà nước yêu cầu các ngân hàng định kỳ tối thiểu 2 tháng một lần phải đánh giá các phiên bản phần mềm ứng dụng (app) đang cho phép khách hàng sử dụng để xác định lỗ hổng bảo mật.
Ngân hàng Nhà nước Việt Nam (NHNN) đang lấy ý kiến dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.
Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ tiền di động, công ty thông tin tín dụng.
Nội dung chính của dự thảo là tập trung vào việc mở rộng phạm vi áp dụng, tăng cường các yêu cầu kỹ thuật về an toàn bảo mật, đặc biệt đối với ứng dụng Mobile Banking và chi tiết hóa các phân loại giao dịch cũng như hình thức xác nhận giao dịch trực tuyến.
Một trong những điểm đáng chú ý của dự thảo là bổ sung và sửa đổi chi tiết các yêu cầu về kiểm soát bảo mật và phòng chống tấn công mạng. Theo đó, các đơn vị cần thực hiện đánh giá, dò quét để phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật, đánh giá khả năng phòng, chống các kiểu tấn công.
Đối với phần mềm ứng dụng Online Banking (nền tảng web), dự thảo yêu cầu phải phòng, chống tối thiểu 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).
Đối với phần mềm ứng dụng Mobile Banking, dự thảo yêu cầu phải đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).
Ngoài ra, định kỳ tối thiểu 2 tháng một lần, ngân hàng phải đánh giá các phiên bản phần mềm ứng dụng đang cho phép khách hàng sử dụng để xác định lỗ hổng bảo mật, đồng thời không cho phép khách hàng sử dụng các phiên bản cũ hơn tối đa không quá 2 phiên bản so với phiên bản mới nhất khi kết nối tới hệ thống Online Banking để thực hiện giao dịch.
Trong trường hợp phát hiện can thiệp trái phép, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động nếu phát hiện các hành vi can thiệp trái phép, bao gồm có trình gỡ lỗi (debugger) được gắn vào, hoặc ứng dụng bị chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập, phần mềm ứng dụng bị chèn mã bên ngoài khi đang chạy (hook), thiết bị đã bị phá khóa (root / jailbreak).
Dự thảo cũng xác định rõ rằng hình thức xác nhận bằng chữ ký điện tử an toàn là việc sử dụng chữ ký điện tử dưới dạng chữ ký số hoặc chữ ký điện tử nước ngoài đã được công nhận tại Việt Nam theo quy định của pháp luật hiện hành về chữ ký điện tử.
Thông tư sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng dự kiến có hiệu lực thi hành kể từ ngày 1/1/2026 (trừ một số quy định có lộ trình áp dụng muộn hơn).
Minh Nhật-Link gốc