Sự phát triển nhanh chóng của các dịch vụ tài chính số đang đặt ra yêu cầu ngày càng cao về an toàn ứng dụng di động, đặc biệt trong lĩnh vực Tài chính – Ngân hàng. Nhằm tăng cường khả năng phòng chống gian lận và tấn công mạng, Ngân hàng Nhà nước (NHNN) đã công bố dự thảo sửa đổi, bổ sung Thông tư 50/2018/TT-NHNN, trong đó nhấn mạnh các tiêu chuẩn mới cho an toàn ứng dụng Mobile Banking và Mobile Money.

1. Những điểm cập nhật quan trọng trong dự thảo Thông tư 50

Dự thảo sửa đổi bổ sung nhiều quy định mới về bảo mật ứng dụng, nhằm giảm thiểu rủi ro từ can thiệp trái phép, gian lận và tấn công trên thiết bị di động. Một số yêu cầu nổi bật gồm:

Phát hiện và ngăn chặn hành vi can thiệp trái phép vào ứng dụng

Các tổ chức cung ứng dịch vụ phải triển khai cơ chế phát hiện và xử lý khi xuất hiện:

• • Hooking, debugging
• • Decompile, reverse engineering
• • Chèn mã độc hoặc thay đổi mã nguồn ứng dụng

Tự động dừng ứng dụng trong môi trường không an toàn

Ứng dụng phải có khả năng nhận diện và từ chối hoạt động khi:

• • Thiết bị bị root/jailbreak
• • Chạy trong môi trường giả lập
• • Có trình gỡ lỗi (debugger) hoặc công cụ can thiệp đang hoạt động

Bắt buộc xác thực sinh trắc học khi thay đổi thông tin định danh

Đảm bảo xác minh mạnh mẽ khi khách hàng thực hiện các thao tác quan trọng liên quan đến nhận diện danh tính.

Mở rộng phạm vi áp dụng

Ngoài các ngân hàng, tổ chức tín dụng và chi nhánh ngân hàng nước ngoài, dự thảo còn áp dụng cho:

• • Doanh nghiệp triển khai Mobile Money
• • Công ty thông tin tín dụng (CIC, PCB, FCBV,…)

Việc mở rộng này thể hiện định hướng nâng chuẩn an toàn toàn diện đối với hệ sinh thái tài chính số tại Việt Nam.

2. BShield – Giải pháp bảo vệ ứng dụng di động toàn diện theo chuẩn Thông tư 50

BShield - Giải pháp bảo vệ ứng dụng di động toàn diện cho doanh nghiệp là giải pháp App Shielding được phát triển bởi Verichains và phân phối bởi HPT, cung cấp nhiều lớp bảo vệ chuyên sâu cho ứng dụng di động. Với khả năng tự động nhận diện rủi ro, bảo vệ mã nguồn và phản ứng theo thời gian thực, BShield đáp ứng đầy đủ các yêu cầu kỹ thuật trong dự thảo Thông tư 50.

Khả năng phát hiện & ngăn chặn tấn công tiên tiến

• • Nhận thiết bị root/jailbreak
• • Phát hiện môi trường giả lập
• • Chặn hooking, debugging
• • Ngăn chặn hành vi chèn mã hoặc chỉnh sửa ứng dụng

Bảo vệ mã nguồn và dữ liệu

• • Obfuscation nâng cao
• • Bảo vệ dữ liệu nhạy cảm trong ứng dụng
• • Bảo vệ giao tiếp giữa ứng dụng và máy chủ
• • Chống giả mạo API và hành vi tấn công trung gian

Phản ứng theo thời gian thực

• • Tự động dừng ứng dụng khi phát hiện rủi ro
• • Gửi cảnh báo về hệ thống quản trị
• • Kích hoạt cơ chế bảo vệ mạnh hơn tùy kịch bản

Hỗ trợ xác thực sinh trắc học (TrueID)

TrueID tích hợp nhận diện sinh trắc học, hỗ trợ xác thực khi người dùng thay đổi thông tin định danh – phù hợp với yêu cầu của dự thảo Thông tư 50.

3. BShield – Giải pháp phù hợp cho tổ chức tài chính trong giai đoạn tăng cường tuân thủ

Với chiến lược số hóa mạnh mẽ, các ngân hàng và tổ chức tài chính đang đối mặt với nhiều thách thức về an toàn ứng dụng di động. Các yêu cầu mới từ dự thảo Thông tư 50 cho thấy sự cấp thiết của việc triển khai giải pháp bảo vệ ứng dụng chuyên biệt, giúp:

• • Giảm thiểu rủi ro tấn công trên thiết bị người dùng
• • Đảm bảo tính toàn vẹn của ứng dụng và dữ liệu
• • Tăng cường khả năng tuân thủ theo chuẩn mực của NHNN
• • Nâng cao trải nghiệm và mức độ tin cậy đối với người dùng cuối

Với bộ tính năng toàn diện và khả năng bảo vệ đa tầng, BShield là lựa chọn phù hợp để đáp ứng nhu cầu bảo mật ứng dụng Mobile Banking, Mobile Money và các nền tảng tài chính số.

4. Hỗ trợ triển khai giải pháp cho doanh nghiệp

HPT và Verichains sẵn sàng đồng hành cùng các tổ chức trong quá trình đánh giá, tư vấn và triển khai giải pháp bảo vệ ứng dụng di động, bao gồm:

• • Tư vấn kỹ thuật và phân tích yêu cầu
• • Cung cấp tài liệu và case study
• • Demo, POC theo nhu cầu của khách hàng
• • Hỗ trợ triển khai và tối ưu trong vận hành thực tế

Kết luận

Dự thảo sửa đổi Thông tư 50 của Ngân hàng Nhà nước đánh dấu bước tiến quan trọng trong việc chuẩn hóa yêu cầu an toàn cho ứng dụng di động trong hệ sinh thái tài chính số. 

Với năng lực bảo vệ ứng dụng toàn diện và khả năng đáp ứng đầy đủ các yêu cầu kỹ thuật mới, BShield là giải pháp phù hợp để giúp các tổ chức tài chính nâng cao khả năng phòng vệ, đảm bảo an toàn vận hành và tuân thủ tiêu chuẩn quản lý của NHNN.