Ngân hàng phải phát hiện việc can thiệp trái phép vào ứng

Ngân hàng phải phát hiện việc can thiệp trái phép vào ứng dụng Mobile Banking

Đó là quy định trong dự thảo sửa đổi, bổ sung Thông tư 50/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng (NH) của NHNN.

Dự thảo bổ sung thêm quy định yêu cầu ngân hàng triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động nếu phát hiện có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator), máy ảo, thiết bị giả lập.

Đồng thời, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook). Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động khi thiết bị đã bị phá khóa (root, jailbreak).

Ngân hàng phải có giải pháp phát hiện việc can thiệp trái phép vào ứng dụng Mobile Banking- Ảnh 1. — Ngân hàng tăng cường các giải pháp phát hiện can thiệp trái phép vào ứng dụng Mobile Banking

Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web, phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten). Đối với phần mềm ứng dụng Mobile Banking, đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).

Căn cứ công điện số 139/CĐ-TTg bổ sung quy định áp dụng hình thức đối khớp sinh trắc học để xác nhận giao dịch của khách hàng tổ chức nhằm ngăn chặn tội phạm thành lập doanh nghiệp "ma" với mục đích bán, cho thuê tài khoản thanh toán. Dự thảo quy định phân loại giao dịch trực tuyến đối với khách hàng tổ chức mới thành lập. Đó là doanh nghiệp nhỏ theo quy định của pháp luật, mới đăng ký thành lập trong vòng 12 tháng; hoặc đã thành lập trên 12 tháng nhưng được đơn vị thực hiện đánh giá rủi ro và xác định thời gian cần áp dụng hình thức khớp đúng thông tin sinh trắc học cho khách hàng này.

Các doanh nghiệp không bao gồm các cơ quan nhà nước, đơn vị sự nghiệp công lập; các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; các tổ chức niêm yết theo quy định tại luật Chứng khoán; các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước; các tổ chức khác do đơn vị lựa chọn và chịu hoàn toàn trách nhiệm về các rủi ro từ việc lựa chọn này. Đơn vị phải bảo đảm xác minh chính xác về khách hàng và chịu hoàn toàn trách nhiệm đối với việc nhận biết khách hàng.