Ngày 31/10/2024, Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) đã ký ban hành Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng. Thông tư số 50/2024/TT-NHNN có hiệu lực thi hành từ ngày 01/01/2025, thay thế Thông tư 35/2016/TT-NHNN ngày 29/12/2016 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet (sửa đổi, bổ sung tại Thông tư 35/2018/TT-NHNN). Nhằm phổ biến, quán triệt các đơn vị thực hiện theo Thông tư số 50/2024/TT-NHNN, Ngân hàng Nhà nước Việt Nam hướng dẫn một số điểm mới được sửa đổi, bổ sung tại Thông tư số 50/2024/TT-NHNN, cụ thể như sau:

1. Bổ sung đối tượng và phạm vi áp dụng

- Bổ sung đối tượng là các công ty cung cấp dịch vụ thông tin tín dụng.

- Bổ sung phạm vi không chỉ các hoạt động ngân hàng, hoạt động cung ứng dịch vụ trung gian thanh toán trên Internet mà bao gồm tất cả các hoạt động ngân hàng và các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, dịch vụ trung gian thanh toán của tổ chức cung ứng dịch vụ trung gian thanh toán, dịch vụ thông tin tín dụng của công ty thông tin tín dụng cung cấp trên môi trường mạng cho khách hàng.

2. Bổ sung quy định về xác nhận giao dịch và các hình thức xác nhận giao dịch điện tử theo Luật Giao dịch điện tử năm 2023

Theo Luật Giao dịch điện tử năm 2023, tại khoản 4 Điều 22 có quy định “Việc sử dụng các hình thức xác nhận khác bằng phương tiện điện tử để thể hiện sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu mà không phải là chữ ký điện tử thực hiện theo quy định khác của pháp luật có liên quan”.

Thông tư số 50/2024/TT-NHNN đã bổ sung quy định về xác nhận giao dịch điện tử (gọi tắt là xác nhận giao dịch) tại khoản 8 Điều 2 và quy định các hình thức xác nhận tại Điều 11 để làm cơ sở pháp lý cho việc ứng dụng các hình thức xác nhận bằng phương tiện điện tử mà không phải là chữ ký điện tử vào các giao dịch điện tử trong ngành Ngân hàng.

Thông tư 50/2024/TT-NHNN đã đưa các nội dung tại Quyết định 2345/QĐ-NHNN ngày 18/12/2023 về việc triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng vào Thông tư.

Bên cạnh đó, Thông tư 50/2024/TT-NHNN đã bổ sung quy định về các hình thức xác nhận giao dịch đối với các giao dịch khác (ngoài giao dịch thanh toán qua tài khoản, ví điện tử quy định tại Quyết định 2345/QĐ-NHNN): giao dịch thanh toán thẻ trực tuyến (điểm c khoản 1 Điều 10 và 02 Phụ lục 03, 04); giao dịch qua phương thức xử lý xuyên suốt (điểm b khoản 1 Điều 10); giao dịch thanh toán trực tuyến trên Cổng Dịch vụ công quốc gia, nộp tiền vào ngân sách nhà nước (điểm đ khoản 1 Điều 10); giao dịch trích nợ tự động (điểm d khoản 1 Điều 10); giao dịch đăng ký tự động trích nợ tự động (khoản 2 Điều 10) và các loại giao dịch khác (khoản 3 Điều 10).

Tại Thông tư 50/2024/TT-NHNN đã quy định rõ về việc xác nhận giao dịch trong trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản: phân loại giao dịch và áp dụng hình thức xác nhận giao dịch tương tự khách hàng cá nhân.

3. Bổ sung quy định về áp dụng một số tiêu chuẩn quốc tế

a) Tiêu chuẩn khớp đúng thông tin sinh trắc học

Tiêu chuẩn khớp đúng thông tin sinh trắc học quy định tại khoản 5 Điều 11:

“5. Hình thức xác nhận khớp đúng thông tin sinh trắc học là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách hàng đã thu thập, lưu trữ tại đơn vị theo quy định của Thống đốc Ngân hàng Nhà nước. Hình thức khớp đúng thông tin sinh trắc học phải đáp ứng tối thiểu yêu cầu:

a) Trường hợp áp dụng hình thức khớp đúng thông tin sinh trắc học sử dụng khuôn mặt:

(i) Có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương): Có tỷ lệ từ chối sai < 5% với tỷ lệ chấp nhận sai < 0,01% theo tiêu chuẩn FIDO Biometric Requirement (áp dụng đối với tập mẫu tối thiểu 10.000 mẫu);

(ii) Có khả năng phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 - Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.

b) Trường hợp áp dụng các hình thức khớp đúng thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách hàng theo tiêu chuẩn tương đương;

c) Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) theo quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận;

d) Trường hợp khách hàng xác nhận bằng hình thức khớp đúng thông tin sinh trắc học quá số lần sai liên tiếp do đơn vị quy định (nhưng không quá 10 lần); khóa chức năng thực hiện xác nhận giao dịch bằng hình thức khớp đúng thông tin sinh trắc học, chỉ mở khóa khi khách hàng yêu cầu và phải kiểm tra khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo;

đ) Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 03 phút.

Thời hạn đáp ứng quy định tại điểm c khoản 5 Điều 11 từ ngày 01/07/2026.

b) Tiêu chuẩn về hình thức xác nhận FIDO:

Tiêu chuẩn về hình thức xác nhận FIDO được quy định tại khoản 7 Điều 11:

“7. Hình thức xác nhận FIDO (Fast IDentity Online) là hình thức xác nhận theo tiêu chuẩn về xác nhận giao dịch sử dụng thuật toán khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do Liên minh FIDO (FIDO Alliance) ban hành. Hình thức xác nhận FIDO phải đáp ứng yêu cầu:

a) Khóa bí mật được lưu giữ an toàn trên thiết bị của khách hàng. Khách hàng sử dụng hình thức xác nhận bằng mã PIN hoặc khớp đúng thông tin sinh trắc học thiết bị để truy cập, sử dụng khóa bí mật khi thực hiện giao dịch;

b) Khóa công khai được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

c) Giải pháp do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức được Liên minh FIDO (FIDO Alliance) công nhận.”.

Thời hạn đáp ứng quy định tại điểm c khoản 7 Điều 11 từ ngày 01/07/2026.

4. Bổ sung quy định về an toàn, bảo mật đối với phương thức xử lý xuyên suốt giữa hệ thống của khách hàng doanh nghiệp với hệ thống Online Banking.

Thông tư số 50/2024/TT-NHNN đã bổ sung quy định áp dụng đối với phương thức xử lý xuyên suốt giữa hệ thống của khách hàng doanh nghiệp (như ERP) với hệ thống Online Banking như sau:

- Khoản 7 Điều 2 bổ sung định nghĩa: 7. Phương thức xử lý xuyên suốt (Straight-Through Processing) là phương thức trao đổi thông tin, dữ liệu, tài liệu hai chiều tự động, thông qua kết nối an toàn giữa hệ thống thông tin của khách hàng với hệ thống Online Banking.

- Khoản 8 Điều 7 bổ sung quy định về an toàn bảo mật đối với phần mềm Online Banking xử lý giao dịch xuyên suốt:

“8. Các yêu cầu đối với phương thức xử lý xuyên suốt:

a) Đơn vị chỉ cung cấp dịch vụ Online Banking bằng phương thức xử lý xuyên suốt cho khách hàng là tổ chức. Đơn vị có trách nhiệm lựa chọn, thẩm định, giám sát, quản lý và có thỏa thuận với khách hàng khi cung cấp dịch vụ Online Banking bằng phương thức xử lý xuyên suốt;

b) Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm chống gian lận, giả mạo;

c) Không bắt buộc áp dụng nội dung quy định tại điểm c, điểm đ, điểm e, điểm g, điểm h khoản 6 và điểm a khoản 7 Điều này.”.

- Điểm b khoản 1 Điều 10 bổ sung quy định về xác nhận giao dịch qua phương thức xử lý xuyên suốt: “Đối với giao dịch thanh toán thực hiện bằng phương thức xử lý xuyên suốt, đơn vị thực hiện xác nhận giao dịch tối thiểu bằng một trong các hình thức xác nhận quy định tại khoản 7, khoản 8 khoản 9 Điều 11 Thông tư này”.

Điểm b khoản 1 Điều 10 có hiệu lực thi hành kể từ ngày 01/01/2026.

5. Bổ sung quy định về an toàn, bảo mật đối với phần mềm ứng dụng Mobile Banking

Thông tư số 50/2024/TT-NHNN bổ sung một số quy định tăng cường an ninh, an toàn đối với phần mềm ứng dụng Mobile Banking phù hợp với tình hình phát triển công nghệ hiện nay. Cụ thể:

- Khoản 1 Điều 8 bổ sung quy định về việc cung cấp ứng dụng Mobile Banking trên các kho ứng dụng chính thức của các hãng cung cấp hệ điều hành cho thiết bị di động.

- Khoản 3 và khoản 4 Điều 8 bổ sung quy định về bảo đảm an toàn cho ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Cụ thể:

“3. Có biện pháp bảo vệ, chống can thiệp vào luồng trao đổi dữ liệu trên ứng dụng Mobile Banking và giữa ứng dụng Mobile Banking với máy chủ cung cấp dịch vụ Online Banking.

4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng”.

Khoản 3 và khoản 4 Điều 8 có hiệu lực thi hành kể từ ngày 01/7/2025.

- Khoản 6 Điều 8 bổ sung quy định về khớp đúng thông tin sinh trắc học đối với khách hàng cá nhân lần đầu sử dụng phần mềm ứng dụng Mobile Banking trên thiết bị mới (đã quy định tại Quyết định 2345/QĐ-NHNN).

6. Bổ sung một số quy định nhằm tăng cường bảo đảm an toàn thông tin

Thông tư số 50/2024/TT-NHNN đã bổ sung một số quy định mới nhằm tăng cường bảo đảm an toàn, bảo mật, phòng ngừa các sự cố an toàn thông tin xảy ra trong thời gian gần đây, cụ thể:

- Điểm b khoản 1 Điều 4 bổ sung quy định về việc trang bị Tường lửa cơ sở dữ liệu, có hiệu lực thi hành kể từ ngày 01/07/2025.

- Điểm d khoản 1 Điều 5 và khoản 3 Điều 6 bổ sung quy định về việc kiểm tra, nâng cao mức độ an toàn, bảo mật (hardening) đối với phần mềm hệ điều hành máy chủ và hệ quản trị cơ sở dữ liệu.

- Khoản 3 Điều 17 bổ sung quy định “Đơn vị không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng” để góp phần giảm thiểu tình trạng tội phạm lừa đảo (phishing) khách hàng qua tin nhắn SMS, thư điện tử.

Chi tiết các nội dung thay đổi của Thông tư số 50/2024/TT-NHNN so với Thông tư 35/2016/TT-NHNN (sửa đổi, bổ sung tại Thông tư 35/2018/TT-NHNN) tại Bảng so sánh đính kèm.

Trên đây là một số nội dung hướng dẫn triển khai Thông tư số 50/2024/TT-NHNN, Ngân hàng Nhà nước Việt Nam đề nghị các đơn vị trong ngành Ngân hàng tổ chức triển khai thực hiện.

Thông tin đầu mối hỗ trợ hướng dẫn thực hiện Thông tư số 50/2024/TT-NHNN: Phòng An ninh thông tin - Cục Công nghệ thông tin - Ngân hàng Nhà nước Việt Nam, số điện thoại: 024.38354775, email: cntt8@sbv.gov.vn.

Trân trọng./.