Trang Chủ
Thông tư 77 áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng (gọi chung là đơn vị).
Theo quy định tại Thông tư 77, định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.
Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.
Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian quy định.
Bên cạnh đó, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu:
Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).
Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking).
Thiết bị đã bị phá khóa (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader).
Bên cạnh đó, quy định không cho phép chức năng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng hình thức xác nhận theo quy định tại Thông tư 77.
Nhằm đối phó với các hình thức gian lận ngày càng tinh vi sử dụng trí tuệ nhân tạo, đặc biệt là công nghệ Deepfake, Thông tư 77 yêu cầu giải pháp phát hiện giả mạo sinh trắc học (PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 hoặc tương đương, đồng thời được các tổ chức uy tín như Liên minh FIDO công nhận.
Thông tư có hiệu lực từ ngày 1/3/2026.
PV
