| Bài liên quan |
| Eximbank miễn phí online banking trọn đời |
Ngân hàng Nhà nước Việt Nam (NHNN) đang lấy ý kiến góp ý cho Dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến của ngành ngân hàng.
Theo dự thảo, ngoài việc bổ sung hoạt động cung ứng dịch vụ tiền di động vào đối tượng điều chỉnh, NHNN dự kiến đưa thêm nhiều quy định nhằm tăng cường an toàn, bảo mật cho các giao dịch điện tử, đặc biệt là dịch vụ ngân hàng trực tuyến (Online Banking) và ngân hàng di động (Mobile Banking).
 |
| Phải có giải pháp chặn hành vi can thiệp trái phép vào ứng dụng Online Banking |
Tăng cường kiểm soát bảo mật ứng dụng trực tuyến
NHNN yêu cầu các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức trung gian thanh toán và tổ chức cung ứng dịch vụ tiền di động phải chủ động rà soát, đánh giá, dò quét phát hiện lỗ hổng kỹ thuật trong phần mềm ứng dụng Online Banking. Các đơn vị cần đảm bảo khả năng phòng, chống các lỗ hổng, điểm yếu, cũng như các kiểu tấn công mạng phổ biến.
Đối với ứng dụng Online Banking trên nền tảng web, các ngân hàng phải đáp ứng tiêu chuẩn phòng, chống 10 lỗ hổng phổ biến nhất do Tổ chức OWASP công bố (OWASP Top Ten). Với ứng dụng Mobile Banking, phải tuân thủ tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động theo chuẩn OWASP Mobile Application Security.
Các tổ chức cung ứng dịch vụ ngân hàng điện tử cũng phải kiểm soát và đánh giá định kỳ (tối thiểu hai tháng một lần) các phiên bản Mobile Banking đang cho phép khách hàng cài đặt, sử dụng, nhằm phát hiện lỗ hổng và nguy cơ bị can thiệp bởi tội phạm mạng. Các ngân hàng phải ngăn chặn khách hàng sử dụng phiên bản cũ hơn quá hai bản so với phiên bản mới nhất; đồng thời, bắt buộc cài đặt phiên bản mới nhất khi kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng.
Đáng chú ý, NHNN yêu cầu các tổ chức có giải pháp kiểm soát việc “hạ phiên bản” (downgrade) để ngăn chặn khách hàng sử dụng phiên bản thấp hơn, cũng như phải có biện pháp khóa giao dịch và xử lý ngay khi phát hiện lỗ hổng bảo mật.
Phòng, chống hành vi can thiệp trái phép vào ứng dụng
Dự thảo Thông tư mới nhấn mạnh yêu cầu các tổ chức tín dụng phải triển khai giải pháp phát hiện và ngăn chặn hành vi can thiệp trái phép vào ứng dụng Mobile Banking.
Theo đó, ứng dụng phải tự động thoát hoặc ngừng hoạt động nếu phát hiện có trình gỡ lỗi (debugger) đang hoạt động, hoặc đang chạy trong môi trường giả lập (emulator/máy ảo). Ứng dụng cũng phải tự động dừng nếu bị chèn mã bên ngoài, theo dõi các hàm chạy hoặc ghi lại dữ liệu (hook), hay khi thiết bị bị phá khóa (root/jailbreak).
Quy định này nhằm ngăn chặn tình trạng tội phạm công nghệ cao chiếm quyền điều khiển ứng dụng ngân hàng, can thiệp vào giao dịch hoặc chiếm đoạt thông tin tài khoản của người dùng.
Ngăn chặn việc lợi dụng tài khoản doanh nghiệp “ma” để lừa đảo
Bên cạnh yêu cầu kỹ thuật, NHNN cũng đề xuất sửa đổi các quy định liên quan đến xác nhận giao dịch điện tử qua hệ thống Online Banking nhằm ngăn chặn hành vi lợi dụng tài khoản doanh nghiệp “ma” để rửa tiền, lừa đảo hoặc mua bán trái phép tài khoản.
Cụ thể, đối với các giao dịch thanh toán bằng tài khoản hoặc ví điện tử, NHNN yêu cầu áp dụng xác thực hai yếu tố như Soft OTP, Token OTP cơ bản hoặc xác thực hai kênh, tùy theo giá trị giao dịch.
Với các doanh nghiệp mới thành lập, giao dịch có giá trị không quá 50 triệu đồng hoặc tổng giao dịch trong ngày không quá 100 triệu đồng sẽ được xác thực bằng Soft OTP hoặc Token OTP cơ bản. Các giao dịch từ 50 triệu đến 1 tỷ đồng hoặc có tổng giá trị giao dịch trong ngày không quá 10 tỷ đồng phải xác thực bằng sinh trắc học kết hợp với Soft OTP/Token OTP hoặc hình thức tương đương.
Đối với các giao dịch có giá trị cao hơn, từ 1 tỷ đồng trở lên hoặc tổng giá trị giao dịch trong ngày vượt 10 tỷ đồng, NHNN yêu cầu áp dụng xác thực ở mức độ cao như Soft OTP/Token OTP nâng cao, FIDO hoặc chữ ký điện tử an toàn.
Các quy định này được xây dựng dựa trên Công điện số 139/CĐ-TTg của Thủ tướng Chính phủ, trong đó bổ sung yêu cầu xác nhận giao dịch bằng sinh trắc học đối với khách hàng tổ chức. Mục tiêu nhằm ngăn chặn tình trạng tội phạm lợi dụng doanh nghiệp “ma” để mở tài khoản thanh toán phục vụ hoạt động phạm pháp.
