Thông tư mới này sẽ có hiệu lực từ ngày 01/3/2026, nhằm tăng cường an ninh mạng, bảo mật cho việc cung cấp dịch vụ trực tuyến trong bối cảnh tội phạm công nghệ cao đang lợi dụng tài khoản doanh nghiệp "ma" và các công nghệ tinh vi như Deepfake (giả mạo gương mặt người khác bằng AI) hoặc mã độc để lừa đảo, chiếm đoạt tài sản. Điểm đáng chú ý trong Thông tư này là những quy định mới về ứng dụng Mobile Banking.
Kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking
Tại Điều 5 của Thông tư 77, Ngân hàng Nhà nước yêu cầu kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking:
a) Định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.
b) Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.
c) Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian quy định.
App ngân hàng sẽ tự động dừng hoạt động khi phát hiện một trong 3 dấu hiệu
Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:
a) Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).
b) Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking)/
c) Thiết bị đã bị phá khóa (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader).
Quy định về các giải pháp bảo mật
Tại Điều 7 của Thông tư 77 quy định:
- Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học phải được Liên minh FIDO (FIDO Alliance) công nhận hoặc của Tổ chức chứng nhận (Certification Body) cấp phép xác nhận tuân thủ tiêu chuẩn quốc tế (ISO), đáp ứng tiêu chuẩn ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Tổ chức chứng nhận (Certification Body) phải được cấp phép bởi Cơ quan công nhận (Accreditation Body) đã tham gia Thỏa thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (International Accreditation Forum - IAF Multilateral Recognition Arrangement, IAF MLA).
- Hình thức xác nhận PGP (Pretty Good Privacy) là hình thức xác nhận theo tiêu chuẩn về bảo mật và xác thực sử dụng thuật toán mã hóa dùng cặp khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do tổ chức tiêu chuẩn quốc tế IETF (Internet Engineering Task Force) ban hành. Hình thức xác nhận PGP phải đáp ứng các yêu cầu:
a) Khóa công khai của khách hàng được đăng ký với đơn vị, được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng.
b) Có phương thức bảo đảm xác minh danh tính chủ thể gắn với khóa, cơ chế bảo mật và thu hồi khóa.
c) Có thỏa thuận về trách nhiệm pháp lý của đơn vị và khách hàng liên quan đến tính xác thực, tính toàn vẹn và không chối bỏ của các tệp tin giao dịch được ký theo phương thức này.
