Ngành Tài chính – Ngân hàng Việt Nam đang bước vào giai đoạn siết chặt mạnh mẽ về an toàn bảo mật, bảo vệ dữ liệu và phòng chống gian lận. Từ Thông tư 50, Thông tư 77, Thông tư 64 của Ngân hàng Nhà nước, đến Luật Bảo vệ dữ liệu cá nhân, Nghị định 356 và Luật An ninh mạng 2025, các tổ chức tài chính không chỉ cần hệ thống bảo mật, mà phải chứng minh hệ thống đó đủ tin cậy, đủ an toàn và đủ khả năng kiểm soát rủi ro theo thời gian thực.
Trong năm năm trở lại đây, các quy định tại Việt Nam lĩnh vực tài chính – ngân hàng đang dịch chuyển rất rõ: từ yêu cầu bảo mật ở mức hệ thống sang yêu cầu kiểm soát, nâng cao mức độ an toàn cho toàn bộ hành trình số của khách hàng. Đặc biệt, từ năm 2024 đến nay, nhà nước Việt Nam đã ban hành hàng loạt chính sách nhằm tăng cường an toàn thông tin, bảo vệ dữ liệu và an ninh mạng.
Về An toàn bảo mật dịch vụ trực tuyến
Thông tư 50/2024/TT-NHNN đã đặt nền móng toàn diện về an toàn bảo mật cho dịch vụ ngân hàng trực tuyến, từ xác thực khách hàng, bảo vệ dữ liệu giao dịch đến trách nhiệm hướng dẫn người dùng về rủi ro.
Tuy nhiên, cú siết thực sự đến từ Thông tư 77/2025/TT-NHNN, sửa đổi bổ sung Thông tư 50 và có hiệu lực từ ngày 01/3/2026. Theo đó, các tổ chức tài chính phải tập trung mạnh vào bảo mật thiết bị đầu cuối (Mobile App), ứng dụng Mobile Banking bắt buộc tự động thoát hoặc dừng hoạt động nếu phát hiện: thiết bị bị phá khóa (root/jailbreak), môi trường giả lập/trình gỡ lỗi (debugger) đang chạy,… Hệ thống máy chủ phải có cơ chế kiểm soát phiên bản, cấm khách hàng hạ phiên bản, phần mềm phải có khả năng phòng chống 10 lỗ hổng phổ biến nhất (OWASP)… Tăng cường định danh khi có sự thay đổi rủi ro cao, bắt buộc phải dùng sinh trắc học kết hợp với một hình thức xác nhận mức cao khi khách hàng thay đổi giấy tờ tùy thân hoặc thay đổi phương thức xác nhận.
Thông tư 64/2024/TT-NHNN đặt ra các tiêu chuẩn kỹ thuật nghiêm ngặt cho kiến trúc kết nối hệ thống mở, kiến trúc dữ liệu dùng JSON hoặc XML qua REST API, yêu cầu API phải được ký điện tử theo chuẩn JWS và mã hóa dữ liệu. Thông tư 64 cũng yêu cầu định danh và phân quyền giữa Ngân hàng – Khách hàng – Bên thứ ba (TPP) được xây dựng trên chuẩn OAuth 2.0
Về Bảo vệ dữ liệu cá nhân
Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 có hiệu lực từ 01/01/2026, đánh dấu bước chuyển quan trọng về quyền riêng tư tại Việt Nam. Luật yêu cầu trang bị các biện pháp can thiệp kỹ thuật trực tiếp vào kiến trúc hệ thống bao gồm: bắt buộc mã hóa/giải mã đối với dữ liệu bí mật, thiết lập quy trình khử nhận dạng dữ liệu để ngăn việc tái nhận dạng, và bắt buộc lập hồ sơ đánh giá tác động xử lý dữ liệu cũng như đánh giá tác động khi chuyển dữ liệu xuyên biên giới. Hệ thống xử lý Big Data, AI, Blockchain và Cloud phải được tích hợp các biện pháp bảo mật phù hợp và phân quyền truy cập nghiêm ngặt.
Bên cạnh đó, Luật cũng yêu cầu định hình cơ chế quản lý danh tính thông qua sự chấp thuận của chủ thể dữ liệu, phải có tính năng cho phép khách hàng theo dõi, xem, chỉnh sửa, hoặc rút lại sự đồng ý.
Cùng với đó, Nghị định 356/2025/NĐ-CP hướng dẫn chi tiết thi hành Luật, thay thế Nghị định 13/2023 trước đây, thiết lập một “hàng rào” kỹ thuật và pháp lý chặt chẽ, yêu cầu các tổ chức phải thiết lập cơ chế thẩm định hai chiều trong xử lý dữ liệu cá nhân. Hệ thống phải hỗ trợ các cơ chế lưu vết sự chấp thuận của khách hàng với khả năng kiểm chứng được (như OTP, ghi âm, SMS). Để truy cập dữ liệu nhạy cảm, kiến trúc phải hỗ trợ phương thức xác thực mạnh, tối thiểu là xác thực đa yếu tố (MFA) bao gồm mật khẩu kết hợp OTP, thiết bị ký số hoặc yếu tố sinh trắc học. Đây là những đòi hỏi mà phần lớn hệ thống quản lý định danh và truy cập hiện tại chưa đáp ứng được.
Về An ninh mạng
Luật An ninh mạng 2025 có hiệu lực từ 01/7/2026, thiết lập nền tảng kiến trúc bảo vệ hệ thống thông tin theo 5 cấp độ rủi ro. Luật quy định rõ trách nhiệm của các doanh nghiệp cung cấp dịch vụ trực tuyến là phải xác thực thông tin khi người dùng đăng ký tài khoản số và bảo mật thông tin tài khoản của người dùng, buộc các tổ chức tài chính phải xem an toàn số là năng lực cốt lõi, không còn là một hạng mục kỹ thuật phụ trợ.
Kiến trúc Zero Trust
Kiến trúc bảo mật Zero Trust là mô hình bảo mật hiện đại dựa trên nguyên tắc “Mặc định không tin tưởng, luôn phải xác minh”, được thiết kế cho các hệ thống mạng phức tạp và phân tán. Theo đó, thay vì mặc định tin tưởng người dùng hoặc thiết bị bên trong hệ thống, Zero Trust liên tục xác minh 5 trụ cột quan trọng: định danh người dùng – thiết bị – mạng – ứng dụng – dữ liệu, yêu cầu mọi truy cập đều phải được xác thực, phân quyền và giám sát liên tục. Mô hình này kiểm soát chặt chẽ danh tính người dùng, trạng thái thiết bị, ứng dụng, dữ liệu và hành vi truy cập theo thời gian thực.
Ba nguyên tắc cốt lõi của Zero Trust là:
- Giám sát và xác minh liên tục: Tài sản mạng mặc định không thể truy cập. Mọi yêu cầu kết nối phải vượt qua các bước kiểm tra ngữ cảnh (vị trí, tình trạng thiết bị, hành vi bất thường) mọi lúc.
- Quyền truy cập tối thiểu: Chỉ cấp quyền hạn vừa đủ để hoàn thành công việc. Quyền này sẽ bị thu hồi ngay sau khi phiên làm việc kết thúc
- Giả định bị xâm nhập: Luôn giả định hệ thống bị tấn công, tiến hành phân đoạn mạng, giám sát và phản ứng theo thời gian thực.
Nhờ áp dụng nguyên tắc này, Zero Trust giúp doanh nghiệp giảm thiểu rủi ro tấn công mạng, hạn chế di chuyển ngang trong hệ thống và bảo vệ tài sản số trong môi trường cloud, mobile, IoT và làm việc từ xa.
Hệ giải pháp bảo mật, phòng chống gian lận toàn diện cho Ngân hàng
Với 22 năm kinh nghiệm làm việc trong lĩnh vực Tài chính – Ngân hàng, triển khai nhiều dự án cho các Ngân hàng lớn như Agribank, VPBank, BIDV… Savis cùng đối tác ra mắt hệ giải pháp bảo mật, phòng chống gian lận toàn diện dựa trên kiến trúc Zero Trust giúp các tổ chức Tài chính – Ngân hàng tuân thủ các yêu cầu nghiêm ngặt các quy định pháp lý trong nước cũng như các tiêu chuẩn quốc tế, giải quyết đồng thời các bài toán: xác thực người dùng, bảo vệ thiết bị – ứng dụng, bảo mật API, quản lý đồng ý dữ liệu, phòng chống gian lận, kiểm soát rủi ro giao dịch và tuân thủ:
- Tăng cường bảo mật APIM tuân thủ các tiêu chuẩn quốc tế như OAuth 2.0, OpenID Connect, FAPI 1.0 & 2.0, DCR, PSD2/PSD3,… ký điện tử JWS và mã hóa dữ liệu để kiểm soát truy cập giữa ngân hàng, khách hàng và TPP.
- Quản lý sự chấp thuận của khách hàng cho phép ngân hàng ghi nhận, quản lý và truy xuất trạng thái đồng ý của người dùng đối với việc thu thập, xử lý, chia sẻ dữ liệu cá nhân; hỗ trợ minh bạch dữ liệu và đáp ứng yêu cầu về bảo vệ dữ liệu cá nhân.
- Bảo vệ thiết bị tin cậy (Device Trust) bằng cách tạo ra Device Fingerprint duy nhất và sinh khoá mật mã
- Bảo vệ ứng dụng với RASP+ giúp ứng dụng phát hiện các rủi ro như root/jailbreak, công cụ can thiệp, mã độc, giả lập hoặc tấn công vào ứng dụng.
- Tăng cường xác thực người dùng: Hỗ trợ FIDO2/Passkey, xác thực sinh trắc học (vân tay, khuôn mặt)
- Phát triển hệ thống phòng chống gian lận (Risk Engine), chấm điểm rủi ro theo từng giao dịch dựa trên thiết bị, vị trí, hành vi người dùng, lịch sử giao dịch và các dấu hiệu bất thường để kích hoạt step-up, từ chối hoặc hạn chế truy cập.
- Bảo vệ giao dịch giá trị cao bằng cách liên kết thông tin giao dịch (Dynamic Linking) giữa thông tin giao dịch (số tiền, người nhận) với mã xác thực, xác thực sinh trắc học, liveness check đảm bảo chống thay đổi nội dung giao dịch và tuân thủ các chuẩn châu Âu (PSD2/PSD3 SCA), Ngân hàng Nhà nước.
- Xử lý bất thường theo ngữ cảnh, hành vi (Behavioral Biometrics) và thay đổi tài khoản để kích hoạt phản ứng và ngăn chặn chiếm đoạt tài khoản.
- Tích hợp sâu AML & Chống gian lận: phát hiện dấu hiệu rửa tiền, tài khoản đột ngột hoạt động, chuyển tiền qua nhiều lớp trung gian… cảnh báo sớm và can thiệp theo thời gian thực.
- Vô hiệu hóa tức thì tài khoản/thiết bị rủi ro, tạm khóa dòng tiền ra cho đến khi xác minh lại danh tính an toàn.
- Tự động hóa báo cáo tuân thủ: Hệ thống tự động thu thập nhật ký, tổng hợp dữ liệu và tạo báo cáo quản trị – rủi ro – tuân thủ.
Không chỉ đáp ứng tuân thủ các quy định pháp lý tại Việt Nam, hệ giải pháp bảo mật phòng chống gian lận của SAVIS còn tuân thủ nghiêm ngặt theo các tiêu chuẩn quốc tế như eIDAS, GDPR, PCI-DSS,… cũng như các quy định pháp lý tại các quốc gia trong khu vực: Malaysia (PDPA, RMiT,…), Philippines (AFASA, BSP 1213-1215,…),…
Kết nối ngay với chuyên gia của SAVIS để đảm bảo an toàn vận hành, tuân thủ nghiêm ngặt quy định pháp lý trong nước và quốc tế.
