Từ 1/1/2025: Tất cả ứng dụng Mobile Banking không được ghi nhớ mật khẩu

Tháng 10 vừa qua, Ngân hàng Nhà nước đã ban hành Thông tư 50/2024/TT-NHNN, có hiệu lực từ ngày 01/01/2025, quy định về các yêu cầu bảo đảm an toàn, bảo mật đối với các dịch vụ ngân hàng trực tuyến. 

Thông tư 50 quy định những tiêu chuẩn phù hợp với thực tiễn hoạt động của dịch vụ ngân hàng trực tuyến và yêu cầu quản lý nhà nước. Đây cũng là một bước đi quan trọng nhằm nâng cao chất lượng dịch vụ và bảo vệ quyền lợi của khách hàng trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng.

Loại bỏ chức năng ghi nhớ mật khẩu

Một trong những điều khoản đáng chú ý nhất tại Thông tư 50 là quy định xóa bỏ chức năng ghi nhớ mật khẩu, mã khóa bí mật hay các thông tin nhạy cảm khác trên ứng dụng Mobile Banking. Người dùng cần lưu ý nội dung này để tránh việc quên mật khẩu hoặc gặp các vấn đề khi đăng nhập. 

Cụ thể, Điều 8 của Thông tư quy định về Phần mềm ứng dụng Mobile Banking:

“Phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải bảo đảm tuân thủ các quy định tại Điều 7 Thông tư này và các yêu cầu sau:

1. Phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện tử đơn vị để khách hàng tải và cài đặt phần mềm ứng dụng Mobile Banking. Trong trường hợp vì lý do khách quan mà phần mềm ứng dụng Mobile Banking không được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động, đơn vị phải có phương thức hướng dẫn, thông báo, hỗ trợ cài đặt phần mềm ứng dụng Mobile Banking bảo đảm an toàn, bảo mật cho khách hàng và báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) trước khi cung cấp dịch vụ.

2. Phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược mã nguồn.

3. Có biện pháp bảo vệ, chống can thiệp vào luồng trao đổi dữ liệu trên ứng dụng Mobile Banking và giữa ứng dụng Mobile Banking với máy chủ cung cấp dịch vụ Online Banking.

4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.

5. Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập.

6. Đối với khách hàng cá nhân, phải có chức năng kiểm tra khách hàng khi khách hàng truy cập lần đầu hoặc khi khách hàng truy cập trên thiết bị khác với thiết bị đã truy cập phần mềm ứng dụng Mobile Banking lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm:

a) Khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký hoặc Soft OTP/Token OTP;

b) Khớp đúng thông tin sinh trắc học theo quy định tại khoản 5 Điều 11 Thông tư này trong trường hợp văn bản pháp luật chuyên ngành liên quan đến dịch vụ cung cấp trên phần mềm ứng dụng Mobile Banking có quy định thu thập, lưu trữ thông tin sinh trắc học của khách hàng.”

Với quy định này, nếu không đăng ký xác thực sinh trắc học, khách hàng sẽ cần phải sử dụng các phương thức xác thực bổ sung như mã OTP (One-Time Password), Voice OTP, hoặc Soft OTP gửi qua SMS, email, hoặc ứng dụng xác thực khác.

Chức năng ghi nhớ mật khẩu hoặc mã khóa bí mật trên các ứng dụng ngân hàng cho phép người dùng không phải nhập lại mật khẩu mỗi lần truy cập. Tuy nhiên, tính năng này tiềm ẩn một số rủi ro bảo mật nghiêm trọng.

Nếu mật khẩu hoặc mã khóa bí mật được lưu trữ trên thiết bị, và thiết bị đó bị mất hoặc bị xâm nhập (qua phần mềm độc hại hoặc các cuộc tấn công mạng), kẻ gian có thể dễ dàng truy cập vào tài khoản ngân hàng của bạn mà không cần phải biết mật khẩu.

Ngoài ra, lưu trữ mật khẩu hay mã khóa trên thiết bị di động có thể tạo ra những lỗ hổng bảo mật. Nếu ứng dụng không sử dụng các phương thức bảo vệ mạnh mẽ (như mã hóa dữ liệu, bảo vệ bằng sinh trắc học,...), những dữ liệu này có thể bị lộ hoặc truy cập trái phép.

Nâng cao bảo mật hệ thống thông tin của dịch vụ Online Banking

Tại Thông tư 50, Ngân hàng Nhà nước còn yêu cầu các tổ chức cung cấp dịch vụ ngân hàng trực tuyến áp dụng các biện pháp bảo mật và phòng ngừa để đảm bảo an toàn cho khách hàng. 

Cụ thể, các phần mềm ứng dụng Mobile Banking phải được đăng ký và quản lý tại kho ứng dụng chính thức của các hệ điều hành di động. Các tổ chức ngân hàng và đơn vị cung cấp dịch vụ trung gian thanh toán phải áp dụng biện pháp bảo vệ ngăn chặn lộ mã nguồn hoặc can thiệp trái phép vào dữ liệu giữa ứng dụng Mobile Banking và máy chủ dịch vụ. 

Bảo mật dữ liệu cá nhân của khách hàng

Một trong những yếu tố quan trọng nhất của Thông tư 50 là vấn đề bảo mật dữ liệu cá nhân của khách hàng trong các dịch vụ ngân hàng trực tuyến. 

Theo đó, Ngân hàng Nhà nước yêu cầu các tổ chức cung cấp dịch vụ ngân hàng trực tuyến tiến hành mã hóa dữ liệu cá nhân của khách hàng trong suốt quá trình truyền tải và lưu trữ, bao gồm thông tin tài khoản, giao dịch và các thông tin nhạy cảm khác. Cần áp dụng các phương thức xác thực mạnh mẽ như SMS OTP, Voice OTP và Soft OTP để đảm bảo rằng chỉ có khách hàng hợp pháp mới có quyền truy cập vào các dịch vụ và thông tin tài khoản của mình.

Điều 8 và Điều 11 cũng quy định rõ cần có các biện pháp bảo vệ đặc biệt để đảm bảo an toàn cho dữ liệu sinh trắc học của khách hàng. Đây là loại dữ liệu rất nhạy cảm và có thể gây ra những hậu quả nghiêm trọng nếu bị rò rỉ.

Không lưu trữ thông tin khách hàng tại phân vùng kết nối Internet

Khoản 2 Điều 4 Thông tư 50 quy định cụ thể: Thông tin khách hàng (thông tin nhận biết khách hàng, thông tin giao dịch của khách hàng) không được lưu trữ tại phân vùng kết nối Internet và phân vùng trung gian giữa mạng nội bộ và mạng Internet (phân vùng DMZ).

Các phân vùng kết nối Internet và DMZ (Demilitarized Zone) là những khu vực có thể tiếp xúc trực tiếp với mạng internet bên ngoài. Các khu vực này thường được thiết kế để phục vụ các dịch vụ công khai, vì vậy mức độ bảo mật của chúng không thể cao như mạng nội bộ (mạng không kết nối trực tiếp với Internet). Việc lưu trữ thông tin khách hàng ở đây, có thể dễ dàng bị tấn công hoặc xâm nhập từ các đối tượng có ý định xấu.