• Hiệu lực: Còn hiệu lực
  • Ngày có hiệu lực: 01/03/2025
NGÂN HÀNG NHÀ NƯỚC VIỆT NAM
Số: 77/2025/TT-NHNN
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
Bắc Kạn, ngày 31 tháng 12 năm 2025

THÔNG TƯ

Sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng

 

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12;

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;

Căn cứ Luật An ninh mạng số 24/2018/QH14;

Căn cứ Luật Giao dịch điện tử số 20/2023/QH15;

Căn cứ Luật Các tổ chức tín dụng số 32/2024/QH15 được sửa đổi, bổ sung bởi Luật số 96/2025/QH15;

Căn cứ Nghị định số 26/2025/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.         

Điều 1. Sửa đổi, bổ sung một số điểm, khoản của Điều 1

1. Bổ sung điểm d khoản 1 Điều 1 như sau:

“d) Hoạt động cung ứng dịch vụ Tiền di động;”.

2. Sửa đổi, bổ sung khoản 2 Điều 1 như sau:

“2. Đối tượng áp dụng

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).”.

Điều 2. Bổ sung khoản 11 Điều 2

“11. Khách hàng tổ chức mới là tổ chức mới đăng ký thành lập trong vòng 12 tháng hoặc tổ chức mới thiết lập quan hệ với đơn vị trong vòng 12 tháng và được đơn vị thực hiện đánh giá rủi ro, xác định thời gian cần áp dụng hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn cho khách hàng này khi thực hiện giao dịch. Quy định này không bao gồm:

a) Các cơ quan nhà nước, đơn vị sự nghiệp công lập;

b) Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

c) Các tổ chức niêm yết theo quy định tại Luật chứng khoán;

d) Các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước;

đ) Nhà đầu tư nước ngoài là người không cư trú mở tài khoản thanh toán để thực hiện hoạt động đầu tư gián tiếp tại Việt Nam;

e) Các tổ chức khác do đơn vị lựa chọn và chịu hoàn toàn trách nhiệm về các rủi ro từ việc lựa chọn này. Đơn vị phải bảo đảm xác minh chính xác về khách hàng và chịu hoàn toàn trách nhiệm đối với việc nhận biết khách hàng.”.

Điều 3. Sửa đổi, bổ sung điểm a khoản 3 Điều 3  

“a) Áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này khi thay đổi thông tin định danh khách hàng.

Trường hợp khách hàng cá nhân, khách hàng tổ chức mới thay đổi thông tin giấy tờ tùy thân (bao gồm căn cước công dân, căn cước, căn cước điện tử, hộ chiếu của khách hàng cá nhân hoặc của người đại diện hợp pháp của khách hàng tổ chức) hoặc các thông tin để đăng ký, sử dụng các hình thức xác nhận giao dịch (tối thiểu bao gồm số điện thoại hoặc địa chỉ thư điện tử hoặc chữ ký điện tử), áp dụng các hình thức xác nhận quy định tại khoản 5 Điều 11 Thông tư này kết hợp với một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.”.

Điều 4. Sửa đổi, bổ sung một số điểm, khoản của Điều 7

1. Sửa đổi, bổ sung điểm c khoản 3 Điều 7 như sau:

“c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng, chống các lỗ hổng, điểm yếu, kiểu tấn công bảo đảm tối thiểu các yêu cầu sau:

(i) Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web, phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).

(ii) Đối với phần mềm ứng dụng Mobile Banking, đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).

(iii) Phiên bản OWASP Top Ten hoặc OWASP Mobile Application Security áp dụng là phiên bản mới nhất hoặc phiên bản gần nhất với phiên bản được ban hành trong vòng 06 tháng.”.

2. Sửa đổi, bổ sung điểm g khoản 6 Điều 7 như sau:

“g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến (ngoại trừ thanh toán thẻ trực tuyến qua đơn vị chấp nhận thanh toán) bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch.

Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;”.

3. Sửa đổi, bổ sung điểm b khoản 8 Điều 7 như sau:

“b) Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm an toàn, bảo mật, chống gian lận, giả mạo theo tiêu chuẩn, quy chuẩn quốc tế hoặc Việt Nam;”.

Điều 5. Sửa đổi, bổ sung một số khoản của Điều 8

1. Bổ sung khoản 1a vào sau khoản 1 Điều 8 như sau:

“1a. Kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking:

a) Định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

b) Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

c) Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định tại khoản 6 Điều 14 Thông tư này.”.

2. Sửa đổi, bổ sung khoản 4 Điều 8 như sau:

“4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:

a) Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);

b) Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);

c) Thiết bị đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlock_bootloader).”.

3. Sửa đổi, bổ sung khoản 5 Điều 8 như sau:

“5. Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng hình thức xác nhận quy định tại khoản 6 Điều 11 Thông tư này.”.

Điều 6. Sửa đổi, bổ sung một số điểm, khoản của Điều 10

1. Sửa đổi, bổ sung điểm a khoản 1 Điều 10 như sau:

“a) Đối với giao dịch thanh toán sử dụng tài khoản thanh toán hoặc ví điện tử hoặc tài khoản Tiền di động hoặc giao dịch chuyển tiền từ thẻ ghi nợ, thẻ trả trước định danh, đơn vị thực hiện phân loại giao dịch theo các nhóm loại hình giao dịch quy định tại Phụ lục 01 ban hành kèm theo Thông tư này và áp dụng hình thức xác nhận quy định tại Phụ lục 02 ban hành kèm theo Thông tư này, trừ quy định tại điểm b, điểm c, điểm d và điểm đ khoản này;”.

2. Sửa đổi, bổ sung điểm d khoản 1 Điều 10 như sau:

“d) Đối với các giao dịch mà đơn vị chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động trích Nợ tài khoản Tiền di động, chủ động thanh toán từ thẻ của khách hàng theo thỏa thuận với khách hàng, không phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều này;”.

3. Sửa đổi, bổ sung khoản 2 Điều 10 như sau:

“2. Đối với giao dịch đăng ký tự động trích Nợ tài khoản thanh toán, tự động trích Nợ ví điện tử, tự động trích Nợ tài khoản Tiền di động, tự động thanh toán từ thẻ của khách hàng, đơn vị áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.”.

Điều 7. Sửa đổi, bổ sung một số điểm, khoản của Điều 11

1. Sửa đổi, bổ sung điểm c khoản 5 Điều 11 như sau:

“c) Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) theo quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận hoặc của Tổ chức chứng nhận (Certification Body) cấp phép xác nhận tuân thủ tiêu chuẩn quốc tế (ISO), đáp ứng tiêu chuẩn ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Tổ chức chứng nhận (Certification Body) phải được cấp phép bởi Cơ quan công nhận (Accreditation Body) đã tham gia Thỏa thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (International Accreditation Forum – IAF Multilateral Recognition Arrangement, IAF MLA).”.

2. Sửa đổi, bổ sung khoản 8 Điều 11 như sau:

“8. Hình thức xác nhận PGP (Pretty Good Privacy) là hình thức xác nhận theo tiêu chuẩn về bảo mật và xác thực sử dụng thuật toán mã hóa dùng cặp khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do tổ chức tiêu chuẩn quốc tế IETF (Internet Engineering Task Force) ban hành. Hình thức xác nhận PGP phải đáp ứng các yêu cầu:

a) Khóa công khai của khách hàng được đăng ký với đơn vị, được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

b) Có phương thức bảo đảm xác minh danh tính chủ thể gắn với khóa, cơ chế bảo mật và thu hồi khóa;

c) Có thỏa thuận về trách nhiệm pháp lý của đơn vị và khách hàng liên quan đến tính xác thực, tính toàn vẹn và không chối bỏ của các tệp tin giao dịch được ký theo phương thức này.”.

3. Sửa đổi, bổ sung khoản 9 Điều 11 như sau:

“9. Hình thức xác nhận bằng chữ ký điện tử an toàn là hình thức xác nhận bằng chữ ký điện tử, trong đó chữ ký điện tử là chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam theo quy định của pháp luật về chữ ký điện tử.”.

Điều 8. Sửa đổi, bổ sung Điều 21

Điều 21. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước

1. Cục Công nghệ thông tin có trách nhiệm theo dõi, kiểm tra và phối hợp với các đơn vị liên quan để xử lý những vướng mắc phát sinh trong quá trình thực hiện Thông tư này.

2. Thanh tra Ngân hàng Nhà nước có trách nhiệm thanh tra, kiểm tra việc thi hành Thông tư này và xử lý các trường hợp vi phạm theo quy định của pháp luật.

3. Ngân hàng Nhà nước chi nhánh khu vực có trách nhiệm thanh tra, giám sát việc thực hiện Thông tư này tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán trên địa bàn thuộc phạm vi quản lý và xử lý các trường hợp vi phạm theo quy định của pháp luật.”.

Điều 9. Bổ sung khoản 1a vào sau khoản 1 Điều 23

“1a. Các giao dịch đăng ký tự động trích Nợ tài khoản Tiền di động được thực hiện trước ngày Thông tư này có hiệu lực thi hành được tiếp tục thực hiện đến hết thời hạn của thỏa thuận đã giao kết; trường hợp thỏa thuận không xác định thời hạn thì được tiếp tục thực hiện đến hết ngày 31 tháng 12 năm 2026. Việc sửa đổi, bổ sung, gia hạn thỏa thuận phải tuân thủ theo quy định tại khoản 2 Điều 10 Thông tư này.”.

Điều 10. Sửa đổi, bổ sung Phụ lục kèm theo Thông tư số 50/2024/TT-NHNN

Thay thế Phụ lục số 01, 02, 04 ban hành kèm theo Thông tư số 50/2024/TT-NHNN bằng Phụ lục số 01, 02, 04 đính kèm Thông tư này.

Điều 11. Trách nhiệm tổ chức thực hiện

Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng chịu trách nhiệm tổ chức thực hiện Thông tư này.

Điều 12. Điều khoản thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 3 năm 2026, trừ trường hợp quy định tại khoản 2, khoản 3 Điều này.

2. Đối với các đơn vị cung cấp dịch vụ thanh toán trực tuyến cho cả khách hàng cá nhân và tổ chức, thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này kể từ ngày 01 tháng 7 năm 2026.

3. Đối với các đơn vị chỉ cung cấp dịch vụ thanh toán trực tuyến cho khách hàng tổ chức (không cung cấp dịch vụ cho khách hàng cá nhân), thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này kể từ ngày 01 tháng 10 năm 2026./.

KT. THỐNG ĐỐC
Phó Thống đốc

(Đã ký)

 

Phạm Tiến Dũng

Tải file đính kèm
 
This div, which you should delete, represents the content area that your Page Layouts and pages will fill. Design your Master Page around this content placeholder.