Ngân hàng phải kiểm tra ứng dụng Mobile Banking thường xuyên, không để khách dùng bản quá cũ
Ngân hàng Nhà nước dự kiến yêu cầu các ngân hàng rà soát, kiểm tra định kỳ ứng dụng Mobile Banking hai tháng một lần, đồng thời chặn khách hàng sử dụng các phiên bản cũ để ngăn ngừa rủi ro bảo mật.
Ngân hàng Nhà nước Việt Nam đang lấy ý kiến sửa đổi, bổ sung Thông tư số 50/2024/TT-NHNN về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến của ngành ngân hàng. Thông tư này áp dụng cho các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức trung gian thanh toán, đơn vị cung ứng dịch vụ tiền di động (mobile money) và công ty thông tin tín dụng.
Theo dự thảo mới, Ngân hàng Nhà nước yêu cầu các đơn vị phải thực hiện việc đánh giá và dò quét bảo mật thường xuyên để phát hiện các lỗ hổng kỹ thuật, điểm yếu trong hệ thống và đánh giá khả năng phòng ngừa, chống tấn công mạng. Đặc biệt, các ứng dụng Online Banking phải đáp ứng tiêu chuẩn bảo mật theo OWASP Top Ten, trong khi các ứng dụng Mobile Banking phải tuân thủ bộ tiêu chuẩn OWASP Mobile Application Security dành riêng cho nền tảng di động.
Điểm mới đáng chú ý là yêu cầu các ngân hàng phải đánh giá định kỳ tối thiểu hai tháng một lần đối với các phiên bản Mobile Banking mà khách hàng đang sử dụng, nhằm phát hiện lỗ hổng bảo mật và nguy cơ bị can thiệp bởi tội phạm mạng. Đồng thời, ngân hàng không được phép để khách hàng tiếp tục sử dụng các phiên bản ứng dụng cũ hơn hai bản so với bản phát hành mới nhất. Khi khách hàng kích hoạt ứng dụng trên thiết bị mới hoặc kích hoạt lại, họ bắt buộc phải sử dụng phiên bản mới nhất.
Các ngân hàng cũng phải có giải pháp kỹ thuật ngăn chặn việc hạ cấp ứng dụng xuống phiên bản thấp hơn nhằm đảm bảo tính toàn vẹn bảo mật. Trong trường hợp phát hiện lỗ hổng, đơn vị cung ứng dịch vụ phải ngừng giao dịch tạm thời, triển khai biện pháp khắc phục và phát hành bản cập nhật an toàn ngay lập tức.
Dự thảo cũng yêu cầu các ứng dụng Mobile Banking phải có khả năng phát hiện và tự động dừng hoạt động khi nhận thấy các dấu hiệu bất thường như: có trình gỡ lỗi hoạt động, thiết bị chạy trong môi trường giả lập hoặc máy ảo, ứng dụng bị chèn mã theo dõi hoặc ghi log dữ liệu, hoặc thiết bị đã bị phá khóa (root/jailbreak).
Ngoài ra, Ngân hàng Nhà nước cũng bãi bỏ quy định cũ về hình thức xác nhận bằng chữ ký điện tử không an toàn, đồng thời làm rõ tiêu chuẩn của chữ ký điện tử an toàn là chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam theo quy định của pháp luật hiện hành.
Những điều chỉnh này nhằm nâng cao khả năng bảo vệ người dùng trước tội phạm công nghệ cao, trong bối cảnh tấn công mạng vào hệ thống tài chính – ngân hàng ngày càng tinh vi và phức tạp. Thông tư sửa đổi dự kiến có hiệu lực từ ngày 1/1/2026, đánh dấu bước tiến mới trong việc siết chặt quy trình quản lý, kiểm tra và vận hành các dịch vụ ngân hàng số.