Ngân hàng phải rà soát bảo mật ứng dụng Mobile Banking định kỳ 2 tháng một lần

Ngân hàng Nhà nước sẽ yêu cầu các ngân hàng thực hiện đánh giá định kỳ 2 tháng một lần đối với các phiên bản ứng dụng Mobile Banking mà khách hàng đang sử dụng, nhằm phát hiện lỗ hổng bảo mật và nguy cơ bị tội phạm mạng can thiệp…

Ảnh minh hoạ.

Ngân hàng Nhà nước đang sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ tiền di động (mobile money), công ty thông tin tín dụng (sau đây gọi tắt là đơn vị).

Tại Dự thảo lần 1, Ngân hàng Nhà nước sửa đổi, bổ sung điểm c khoản 3 Điều 7, yêu cầu các đơn vị phải thực hiện việc đánh giá và dò quét nhằm phát hiện các lỗ hổng, điểm yếu về mặt kỹ thuật, đồng thời đánh giá khả năng phòng ngừa và chống lại các rủi ro bảo mật có thể phát sinh.

Đối với phần mềm ứng dụng Online Banking triển khai qua nền tảng web, Ngân hàng Nhà nước yêu cầu bảo đảm năng lực phòng, chống các lỗ hổng bảo mật phổ biến theo danh sách 10 rủi ro hàng đầu được công bố bởi tổ chức OWASP (OWASP Top Ten)

Đối với phần mềm ứng dụng Mobile Banking, phải tuân thủ tối thiểu các yêu cầu an toàn bảo mật theo tiêu chuẩn của OWASP dành cho ứng dụng di động (OWASP Mobile Application Security).

Dự thảo bổ sung khoản 1a vào sau khoản 1 Điều 8, quy định về kiểm soát phiên bản phần mềm ứng dụng Mobile Banking. Theo đó, các tổ chức cung ứng dịch vụ phải thực hiện đánh giá định kỳ tối thiểu 2 tháng một lần đối với các phiên bản phần mềm đang được khách hàng cài đặt và sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

Đồng thời, đơn vị phải kiểm soát và không cho phép khách hàng sử dụng các phiên bản phần mềm cũ hơn quá 2 phiên bản so với phiên bản mới nhất đang được kết nối tới hệ thống Online Banking để thực hiện giao dịch.

Trường hợp khách hàng kích hoạt ứng dụng trên thiết bị mới hoặc kích hoạt lại ứng dụng, bắt buộc phải sử dụng phiên bản mới nhất, đồng thời có giải pháp kỹ thuật để ngăn chặn việc hạ cấp xuống các phiên bản thấp hơn.

Khi phát hiện lỗ hổng bảo mật, ngân hàng, trung gian thanh toán và các công ty cung cấp dịch vụ mobile money phải có biện pháp kiểm tra, không cho phép thực hiện giao dịch và đồng thời triển khai xử lý, cập nhật phiên bản mới khắc phục ngay lập tức.

Bên cạnh đó, khoản 4 Điều 8 được sửa đổi, bổ sung nhằm nâng cao khả năng phòng chống các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã được cài đặt trên thiết bị của khách hàng.

Theo quy định tại Dự thảo, ứng dụng Mobile Banking phải được lập trình để tự động thoát hoặc dừng hoạt động nếu phát hiện có trình gỡ lỗi đang hoạt động hoặc môi trường giả lập, máy ảo; phát hiện phần mềm bị chèn mã thực hiện các hành vi theo dõi hoạt động của ứng dụng, ghi lại log dữ liệu qua các hàm hoặc API; hoặc khi thiết bị đã bị phá khóa (root/jailbreak).

Dự thảo bãi bỏ toàn bộ nội dung tại khoản 8 Điều 11 liên quan đến hình thức xác nhận bằng chữ ký điện tử không an toàn. Đồng thời, sửa đổi khoản 9 để xác định rõ rằng hình thức xác nhận bằng chữ ký điện tử an toàn là việc sử dụng chữ ký điện tử dưới dạng chữ ký số hoặc chữ ký điện tử nước ngoài đã được công nhận tại Việt Nam theo quy định của pháp luật hiện hành về chữ ký điện tử.

Dự kiến Thông tư có hiệu lực thi hành từ 1/1/2026, trừ một số trường hợp.