---
url: 'https://www.corbado.com/vi/blog/malaysia-banking-mfa-passkeys'
title: 'Cập nhật MFA đối với Quản lý rủi ro của Ngân hàng Trung ương Malaysia (RMiT)'
description: 'Tìm hiểu những thay đổi trong chính sách RMiT cập nhật của Malaysia, lý do BNM yêu cầu MFA chống lừa đảo và cách passkey giúp duy trì sự tuân thủ.'
lang: 'vi'
author: 'Alex'
date: '2026-05-22T13:50:24.574Z'
lastModified: '2026-05-22T13:57:48.865Z'
keywords: 'RMiT Malaysia, BNM RMiT 2025, quy định MFA Malaysia, xác thực Bank Negara Malaysia, passkey RMiT, MFA chống lừa đảo Malaysia, gắn kết thiết bị Malaysia, SMS OTP Malaysia, tuân thủ RMiT, bảo mật ngân hàng số Malaysia'
category: 'Authentication'
---

# Cập nhật MFA đối với Quản lý rủi ro của Ngân hàng Trung ương Malaysia (RMiT)

## Key Facts

- **RMiT** tháng 11 năm 2025 chuyển đổi hướng dẫn xác thực của BNM thành quy định bắt buộc, áp dụng cho tất cả các ngân hàng được cấp phép, công ty bảo hiểm, tổ chức phát hành tiền điện tử và nhà điều hành hệ thống thanh toán tại Malaysia.
- **SMS OTP** hiện bị coi là không tuân thủ rõ ràng nếu chỉ sử dụng như một yếu tố xác thực thứ hai độc lập. MFA phải có khả năng chống đánh chặn và được gắn liền với người thụ hưởng cũng như số tiền cụ thể.
- **Gắn kết thiết bị (Device binding)** mặc định là một thiết bị di động cho mỗi tài khoản. Việc truy cập đa thiết bị yêu cầu sự đồng ý rõ ràng của khách hàng và quy trình xử lý ngoại lệ có thể kiểm toán.
- **Passkey** (FIDO2/WebAuthn) đáp ứng đồng thời các yêu cầu về MFA chống lừa đảo, xác thực không mật khẩu và gắn kết thiết bị, khiến chúng trở thành con đường trực tiếp nhất để đạt được sự tuân thủ đầy đủ.
- Các ngân hàng Malaysia đã chặn các giao dịch gian lận trị giá hơn 383 triệu Ringgit Malaysia (100 triệu USD) trong năm 2024, thúc đẩy sự chuyển dịch sang các biện pháp kiểm soát chống lừa đảo bắt buộc.

## 1. Giới thiệu

Ngân hàng Negara Malaysia (BNM) đã ban hành chính sách [Quản lý Rủi ro trong Công nghệ (RMiT)](https://www.bnm.gov.my/documents/20124/938039/pd-rmit-nov25.pdf) cập nhật vào tháng 11 năm 2025, thay thế cho phiên bản tháng 6 năm 2023. Mặc dù bản cập nhật bao gồm nhiều lĩnh vực rủi ro công nghệ, nhưng những thay đổi quan trọng nhất lại nằm ở xác thực, gắn kết thiết bị, xác thực đa yếu tố (MFA) và phòng chống gian lận. Quy định [ngân hàng](https://www.corbado.com/passkeys-for-banking) này của Malaysia dành cho các tổ chức tài chính không còn là các phương pháp tối ưu hay hướng dẫn, mà hiện đã trở thành tiêu chuẩn bắt buộc.

BNM đã dần dần thúc đẩy các tổ chức từ bỏ SMS OTP kể từ năm 2023. Lý do rất đơn giản: những kẻ gian lận đã xây dựng các công cụ để đánh chặn mã xác thực SMS trước khi khách hàng có thể nhìn thấy chúng, và các cuộc tấn công tráo đổi SIM cho phép tội phạm chuyển hướng mã đến các thiết bị mà chúng kiểm soát. Đến năm 2024, các ngân hàng Malaysia đã cùng nhau ngăn chặn hơn 383 triệu Ringgit Malaysia (hơn 100 triệu USD) các giao dịch gian lận (theo báo cáo thường niên của họ). Bản cập nhật tháng 11 năm 2025 lấy tiến trình đó và hệ thống hóa nó thành quy định bắt buộc.

Bài viết này phân tích những thay đổi chính về xác thực và MFA trong RMiT được cập nhật, giải thích bối cảnh quy định và cho thấy nơi passkey và xác thực chống lừa đảo phù hợp với bức tranh tuân thủ. Chúng tôi trả lời các câu hỏi sau:

1. Chính sách RMiT là gì và nó áp dụng cho những ai?

2. Bức tranh xác thực trông như thế nào trước tháng 11 năm 2025?

3. Những thay đổi quan trọng nhất đối với yêu cầu xác thực và MFA là gì?

4. Passkey giúp các tổ chức tài chính tuân thủ RMiT cập nhật như thế nào?

## 2. Chính sách Quản lý Rủi ro trong Công nghệ (RMiT) của Ngân hàng Negara Malaysia (BNM) là gì?

Chính sách RMiT là **khung quy định trung tâm** của BNM điều chỉnh cách các tổ chức tài chính được quản lý thực hiện quản trị rủi ro công nghệ. Việc tuân thủ BNM RMiT đặt ra các yêu cầu đối với quản trị CNTT, an ninh mạng, dịch vụ số, sử dụng đám mây và kiểm soát xác thực, với mục tiêu giữ cho các [dịch vụ tài chính](https://www.corbado.com/passkeys-for-banking) luôn sẵn sàng, có khả năng phục hồi và đáng tin cậy khi các kênh kỹ thuật số và mức độ đe dọa thay đổi.

Chính sách này cũng coi việc sử dụng đám mây như một hình thức thuê ngoài, yêu cầu các tổ chức phải duy trì quyền sở hữu và kiểm soát phù hợp đối với dữ liệu khách hàng và các khóa mật mã. Trên thực tế, RMiT là nền tảng tuân thủ mà mọi tổ chức tài chính được quản lý ở Malaysia phải xây dựng tư thế rủi ro công nghệ của mình xung quanh đó.

## 3. Ai phải tuân thủ Chính sách RMiT?

Các yêu cầu của RMiT áp dụng cho tất cả các tổ chức tài chính do BNM quản lý. Phạm vi áp dụng rất rộng, không chỉ bao gồm các ngân hàng truyền thống mà còn cả các công ty bảo hiểm, tổ chức phát hành tiền điện tử, nhà điều hành hệ thống [thanh toán](https://www.corbado.com/passkeys-for-payment) và các tổ chức chuyển tiền. Bảng dưới đây tóm tắt các hạng mục chính:

| **Hạng mục tổ chức** | **Ví dụ** |
| --- | --- |
| **Ngân hàng được cấp phép** | CIMB Bank, Maybank, HSBC Malaysia, Hong Leong Bank, AmBank, Public Bank |
| **Ngân hàng đầu tư được cấp phép** | CIMB Investment Bank, Affin Hwang, AmInvestment Bank |
| **Ngân hàng Hồi giáo được cấp phép** | Bank Islam Malaysia, Bank Muamalat, CIMB Islamic Bank |
| **Công ty bảo hiểm & tái bảo hiểm được cấp phép** | AIA Berhad, Allianz General, Etiqa General, AXA Affin |
| **Nhà điều hành Takaful & retakaful** | AIA PUBLIC Takaful, Etiqa Family Takaful, FWD Takaful |
| **Tổ chức tài chính phát triển** | Agrobank, Bank Rakyat, BSN, SME Bank, EXIM Bank |
| **Tổ chức phát hành tiền điện tử được phê duyệt** | Boost, GrabPay, BigPay, TNG Digital, Kiplepay |
| **Nhà điều hành hệ thống thanh toán** | Visa, Mastercard, PayNet, UnionPay, JCB, Alipay Connect |
| **Đơn vị chấp nhận thanh toán (Merchant acquirers) đã đăng ký** | iPay88, Adyen Malaysia, GHL Cardpay, Revenue Monster |
| **Tổ chức trung gian chuyển tiền** | MoneyGram, Western Union, Merchantrade Asia, Tranglo |

Nói một cách thực tế: nếu tổ chức của bạn có giấy phép, giấy chứng nhận đăng ký hoặc sự chấp thuận của BNM để hoạt động trong lĩnh vực tài chính của Malaysia, thì RMiT áp dụng cho bạn.

## 4. Các yêu cầu xác thực từ BNM trông như thế nào trước tháng 11 năm 2025?

Trước bản cập nhật tháng 11 năm 2025, RMiT đã có các yêu cầu xác thực có ý nghĩa, nhưng nhiều yêu cầu nằm ở mức độ hướng dẫn thay vì các tiêu chuẩn bắt buộc. Việc hiểu rõ cơ sở này giúp làm rõ có bao nhiêu thứ đã thay đổi.

### 4.1 Kiểm soát MFA

- MFA được yêu cầu cho các giao dịch rủi ro cao, đặc biệt là chuyển khoản quỹ bên thứ ba mở và các giao dịch [thanh toán](https://www.corbado.com/passkeys-for-payment).

- Có một sự tập trung cụ thể vào các giao dịch trên 10.000 RM, mặc dù phiên bản 2023 đã bắt đầu thúc đẩy MFA cho tất cả các giao dịch kỹ thuật số.

- Phiên bản 2023 khuyến khích rõ ràng việc chuyển hướng tới các phương thức xác thực "có khả năng chống đánh chặn hoặc thao túng", báo hiệu sự khởi đầu cho sự kết thúc của các mã OTP qua SMS.

- MFA đã được nâng cấp từ "Hướng dẫn" (phương pháp tối ưu) thành "Tiêu chuẩn" (bắt buộc) vào năm 2023.

### 4.2 Kiểm soát Xác thực và Quản lý Truy cập

- Các tổ chức phải áp dụng nguyên tắc đặc quyền tối thiểu và xem xét các ma trận truy cập ít nhất mỗi năm một lần.

- Các tài khoản đặc quyền yêu cầu các biện pháp kiểm soát chặt chẽ hơn, bao gồm MFA bắt buộc bất kể truy cập là nội bộ hay bên ngoài.

- Quyền truy cập từ xa vào mạng nội bộ (ví dụ: qua VPN) yêu cầu MFA như một tiêu chuẩn không thể thương lượng.

### 4.3 Kiểm soát Dịch vụ Số

Phụ lục 11 của RMiT năm 2023 là tài liệu tham khảo chính cho bảo mật [ngân hàng](https://www.corbado.com/passkeys-for-banking) số. Nó yêu cầu ký giao dịch (liên kết MFA với các chi tiết giao dịch như người nhận và số tiền), gắn kết thiết bị (liên kết danh tính kỹ thuật số của người dùng với một thiết bị đáng tin cậy) và các biện pháp chống gian lận chung.

## 5. Những thay đổi quan trọng nhất đối với Chính sách BNM RMiT là gì?

Bản cập nhật tháng 11 năm 2025 củng cố và tăng cường một số thông tư và đặc điểm kỹ thuật trước đó, bao gồm các thông số kỹ thuật chống gian lận năm 2022 và 2024. Kết quả là một chính sách toàn diện, duy nhất với các yêu cầu rõ ràng, bắt buộc đối với cách các tổ chức xác thực người dùng và bảo vệ các dịch vụ kỹ thuật số. Có năm lĩnh vực quan trọng nhất.

### 5.1 Một Thiết bị cho mỗi Người dùng, theo Mặc định

_"đảm bảo các quy trình gắn kết và hủy gắn kết an toàn để hạn chế việc xác thực các giao dịch dịch vụ kỹ thuật số theo mặc định ở mức một thiết bị di động hoặc thiết bị an toàn cho mỗi chủ tài khoản"_

— RMiT Phụ lục 3, đoạn 3(a)

Đây là một phản ứng trực tiếp đối với gian lận tráo đổi SIM và các cuộc tấn công chiếm đoạt tài khoản, nơi những kẻ gian lận đăng ký một thiết bị mới vào một tài khoản hiện tại và rút sạch tiền trong khi thiết bị hợp pháp vẫn đang hoạt động. Khung "mặc định" rất quan trọng: khách hàng có thể chọn sử dụng nhiều thiết bị, nhưng họ phải yêu cầu rõ ràng điều này và chấp nhận các rủi ro đi kèm. Tổ chức không thể coi đa thiết bị là cài đặt mặc định.

Về mặt thực tiễn, điều này có nghĩa là các luồng onboarding và xác thực cần theo dõi đăng ký thiết bị, thực thi gắn kết duy nhất theo mặc định và duy trì một quy trình rõ ràng, có thể kiểm toán đối với các ngoại lệ do khách hàng yêu cầu.

### 5.2 Xác minh Mạnh mẽ cho việc Thay đổi Số điện thoại

_"việc đăng ký số điện thoại di động mới hoặc thay thế số điện thoại di động hiện tại chỉ được xử lý sau khi áp dụng các phương pháp xác minh mạnh mẽ để xác nhận tính xác thực của khách hàng"_

— RMiT Phụ lục 3, đoạn 3(c)

Nhiều tổ chức vẫn xử lý thay đổi số điện thoại với không gì khác ngoài một mã OTP được gửi đến số điện thoại hiện tại. Phương pháp đó sẽ thất bại nếu số điện thoại đã bị xâm phạm hoặc SIM đã bị tráo đổi. "Xác minh mạnh mẽ" theo quan điểm của BNM có nghĩa là các phương pháp vượt ra ngoài kênh đang bị thay đổi: xác minh lại danh tính, xác thực sinh trắc học tăng cường (step-up authentication), hoặc xác nhận tại chi nhánh cho các thay đổi có rủi ro cao.

### 5.3 Thời gian Chờ và Giới hạn Giao dịch cho Thiết bị Mới

_"áp dụng xác minh thích hợp và thời gian chờ (cooling-off period) cho lần đăng ký dịch vụ kỹ thuật số hoặc thiết bị an toàn đầu tiên và các giao dịch khối lượng cao liên tiếp hoặc các mô hình giao dịch bất thường khác"_

— RMiT Phụ lục 3, đoạn 3(e)

Một thiết bị mới đăng ký không nên ngay lập tức có đầy đủ khả năng giao dịch. Các tổ chức cần triển khai các hạn chế dựa trên thời gian và kiểm soát tốc độ (velocity controls) sẽ mở khóa dần dần khi thiết bị và hành vi của người dùng thiết lập được lịch sử tin cậy. Nếu tin tặc giành được quyền truy cập, chúng thường cố gắng tăng hạn mức chuyển khoản hàng ngày và chuyển tiền ngay lập tức. Thời gian chờ mang lại cho chủ sở hữu hợp pháp và nhóm chống gian lận của ngân hàng một cửa sổ thời gian để phát hiện và ngăn chặn phiên giao dịch.

Kết hợp với các tiêu chuẩn phát hiện gian lận, vốn yêu cầu lập hồ sơ hành vi theo thời gian thực và chấm điểm rủi ro, điều này tạo ra một kỳ vọng rõ ràng: lớp xác thực cần nhận biết ngữ cảnh, không chỉ là thông tin đăng nhập.

### 5.4 MFA bảo mật hơn SMS không mã hóa

Đây là yêu cầu xác thực quan trọng nhất trong bản cập nhật. Nó được xây dựng dựa trên nhiều năm hướng dẫn của BNM và biến nó thành một tiêu chuẩn ràng buộc:

_"triển khai công nghệ MFA và các kênh bảo mật hơn so với SMS không mã hóa … giải pháp MFA có khả năng chống đánh chặn hoặc thao túng bởi bất kỳ bên thứ ba nào trong suốt quá trình xác thực"_

— RMiT Phụ lục 3, các đoạn 5 và 6

Chính sách này tiến xa hơn bằng cách giới thiệu **gắn kết giao dịch (transaction binding)**:

_"mã xác thực phải được khởi tạo và tạo cục bộ bởi người thanh toán/người gửi bằng cách sử dụng MFA … mã xác thực do người thanh toán/người gửi tạo ra phải cụ thể cho người thụ hưởng đã xác định và số tiền thanh toán"_

— RMiT Phụ lục 3, các đoạn 6(c) và 6(d)

Gắn kết giao dịch có nghĩa là mã xác thực phải được gắn kết với các chi tiết giao dịch cụ thể (người nhận và số tiền), chứ không chỉ với một phiên đăng nhập hoặc một lần đăng nhập. Điều này trực tiếp giải quyết các cuộc tấn công "chuyển hướng OTP", nơi kẻ gian lận thao túng giao dịch sau khi người dùng đã xác thực. Một OTP được tạo cho khoản [thanh toán](https://www.corbado.com/passkeys-for-payment) 500 RM tới Tài khoản A không thể được tái sử dụng cho một khoản thanh toán 50.000 RM tới Tài khoản B.

Đối với các tổ chức vẫn dựa vào SMS OTP như yếu tố thứ hai chính của họ, đây là tín hiệu rõ ràng nhất: quá trình chuyển đổi là bắt buộc. Bảng dưới đây tóm tắt các phương pháp MFA phù hợp với các yêu cầu mới:

| **Phương pháp MFA** | **Chống lừa đảo?** | **Tuân thủ RMiT?** |
| --- | --- | --- |
| **SMS OTP** | Không | Không |
| **TOTP (ví dụ: Google Authenticator)** | Không | Một phần (chỉ ở giai đoạn chuyển tiếp) |
| **Thông báo đẩy (Push notification)** | Không | Một phần (chỉ ở giai đoạn chuyển tiếp) |
| **OTP trong ứng dụng với chi tiết giao dịch** | Một phần | Có (nếu chống đánh chặn) |
| **Passkey (FIDO2 / WebAuthn)** | Có | Có |
| **Khóa bảo mật phần cứng (FIDO2)** | Có | Có |

### 5.5 Passkey và Xác thực dựa trên Khóa Mật mã cho BNM RMiT

BNM cũng yêu cầu rõ ràng các tổ chức cung cấp các giải pháp thay thế không dùng mật khẩu:

_"cung cấp cho khách hàng của mình một phương pháp xác thực dựa trên khóa mật mã mạnh mẽ như chứng thư số hoặc không cần mật khẩu như một giải pháp thay thế cho phương pháp xác thực dựa trên mật khẩu hiện có"_

— RMiT Phụ lục 3, đoạn 9

Đây là một chỉ thị rõ ràng để chuyển sang passkey, xác thực bằng phần cứng hoặc các phương pháp dựa trên chứng chỉ. Không giống như nâng cấp MFA (tập trung vào thay thế SMS OTP), yêu cầu này nhắm mục tiêu vào chính mật khẩu. Hai yêu cầu này hoạt động song song với nhau: các tổ chức cần vượt qua việc sử dụng SMS cho yếu tố xác thực thứ hai **và** đưa ra một giải pháp thay thế cho mật khẩu đối với yếu tố thứ nhất.

Passkey là lựa chọn phù hợp nhất ở đây. Một thông tin xác thực passkey duy nhất đáp ứng đồng thời cả hai yêu cầu. Nó là một phương pháp xác thực dựa trên khóa mật mã (đoạn 9), nó bảo mật hơn SMS không mã hóa (đoạn 5–6), và bởi vì passkey gắn xác thực với nguồn gốc cụ thể (trang web hoặc ứng dụng), chúng cũng hỗ trợ mục đích đằng sau việc gắn kết giao dịch.

## 6. Tóm tắt: Trước và Sau bản cập nhật tháng 11 năm 2025

| **Lĩnh vực** | **Trước tháng 11 năm 2025** | **Sau tháng 11 năm 2025** |
| --- | --- | --- |
| **Gắn kết thiết bị** | Bắt buộc, nhưng đa thiết bị phổ biến và được quản lý lỏng lẻo | Mặc định là một thiết bị trên mỗi người dùng; đa thiết bị chỉ qua yêu cầu rõ ràng của khách hàng với nhật ký kiểm toán |
| **Thay đổi số điện thoại** | Thường được xử lý bằng SMS OTP đến số hiện tại | Yêu cầu xác minh mạnh mẽ (sinh trắc học, tại chi nhánh hoặc kênh độc lập) |
| **Đăng ký thiết bị mới** | Thường cấp quyền truy cập đầy đủ ngay sau khi đăng ký | Bắt buộc thời gian chờ; giới hạn giao dịch trong giai đoạn xây dựng lòng tin |
| **SMS OTP** | Không được khuyến khích nhưng được chấp nhận làm yếu tố thứ hai chính | Không tuân thủ rõ ràng nếu là MFA duy nhất; phải được thay thế bằng các phương pháp chống đánh chặn |
| **Gắn kết giao dịch** | Bắt buộc đối với giao dịch rủi ro cao (chung) | Mã xác thực phải cụ thể cho người thụ hưởng và số tiền; được tạo cục bộ |

## 7. Bối cảnh Khu vực: Malaysia không đơn độc

RMiT cập nhật của Malaysia nằm trong một xu hướng rộng lớn hơn của khu vực. Trên toàn khu vực Châu Á - Thái Bình Dương, các cơ quan quản lý tài chính đang hội tụ trên cùng một bộ yêu cầu: thông tin xác thực gắn liền với thiết bị, MFA chống lừa đảo và xu hướng tránh xa mật khẩu và SMS OTP.

- **Singapore (MAS):** Cơ quan Tiền tệ Singapore từ lâu đã yêu cầu gắn kết thiết bị và ký giao dịch đối với [ngân hàng](https://www.corbado.com/passkeys-for-banking) số và đã liên tục thắt chặt các hướng dẫn Quản lý Rủi ro Công nghệ (TRM) theo hướng phản ánh chặt chẽ cách tiếp cận của BNM.

- **Ấn Độ (RBI):** Ngân hàng Dự trữ Ấn Độ đã thúc đẩy các yếu tố xác thực bổ sung và ủy quyền cụ thể cho từng giao dịch, đặc biệt đối với các giao dịch thẻ không hiện diện (card-not-present) và các giao dịch UPI.

- **Hồng Kông (HKMA):** Hướng dẫn ngân hàng điện tử của Cơ quan Quản lý Tiền tệ Hồng Kông yêu cầu xác thực khách hàng mạnh mẽ và kiểm soát đăng ký thiết bị đối với các hoạt động rủi ro cao.

- **Việt Nam (Ngân hàng Nhà nước Việt Nam):** Thông tư 45/2025 yêu cầu các ngân hàng xác minh sinh trắc học của khách hàng với thẻ Căn cước công dân gắn chip hoặc cơ sở dữ liệu quốc gia đối với một số giao dịch giá trị cao, đưa ra một bước xác minh tập trung.

Kiến trúc bắt buộc cho việc tuân thủ RMiT, bao gồm gắn kết thiết bị mật mã, passkey và xác thực cấp độ giao dịch, là hướng đi chung của toàn khu vực. Các tổ chức đầu tư vào kiến trúc này ngay bây giờ đang định vị mình cho sự hội tụ quy định của khu vực, chứ không chỉ là một chính sách quốc gia đơn lẻ.

## 8. Corbado giúp các Tổ chức Tài chính đáp ứng RMiT cập nhật như thế nào

Nền tảng của Corbado được xây dựng cho các thách thức xác thực mà bản cập nhật RMiT được thiết kế để giải quyết. Dưới đây là cách các yêu cầu chính tương ứng với các khả năng của Corbado:

- [**MFA chống lừa đảo**](https://www.corbado.com/blog/passkeys-phishing-resistant) **và xác thực không mật khẩu:** Triển khai passkey của Corbado cung cấp một con đường trực tiếp để tuân thủ các yêu cầu của BNM đối với MFA (bảo mật hơn so với SMS không mã hóa - đoạn 5-6) và xác thực dựa trên khóa mật mã như một giải pháp thay thế cho mật khẩu (đoạn 9). Một thông tin xác thực passkey duy nhất giải quyết đồng thời cả hai yêu cầu.

- **Gắn kết thiết bị:** Corbado hỗ trợ các passkey gắn liền với thiết bị (device-bound passkeys) và các thông tin xác thực bằng mật mã được liên kết với một thiết bị cụ thể. Các luồng đăng ký có thể thực thi thiết lập một thiết bị trên một người dùng theo mặc định với các cơ chế rõ ràng cho các ngoại lệ do khách hàng yêu cầu, tất cả đều có nhật ký kiểm toán đầy đủ.

- **Tính sẵn sàng kiểm toán và tuân thủ**: Hệ thống đo lường từ xa, ghi nhật ký sự kiện và khả năng báo cáo của Corbado giúp chứng minh một cách đơn giản rằng các biện pháp kiểm soát xác thực không chỉ được thiết kế mà còn hoạt động hiệu quả. Corbado hoạt động dưới một Hệ thống quản lý an toàn thông tin (ISMS) được chứng nhận ISO 27001 và có chứng thực SOC 2 Type II, điều chỉnh tư thế bảo mật của chính nó với những kỳ vọng đặt ra cho các tổ chức tài chính của Malaysia.

## 9. Kết luận

Bản cập nhật RMiT tháng 11 năm 2025 biến nhiều năm hướng dẫn của BNM về bảo mật xác thực thành quy định bắt buộc. SMS OTP không còn tuân thủ nếu chỉ được sử dụng như một yếu tố thứ hai độc lập. Gắn kết thiết bị là bắt buộc theo mặc định. Xác thực giao dịch phải được gắn với chi tiết thanh toán cụ thể. Và các tổ chức phải cung cấp các giải pháp thay thế dựa trên khóa mật mã cho mật khẩu.

Đối với các tổ chức đã bắt đầu chuyển đổi khỏi SMS và hướng tới các phương pháp chống lừa đảo, bản cập nhật này hệ thống hóa những gì họ đang làm. Đối với những tổ chức chưa làm điều đó, khoảng cách giữa thực tế hiện tại và tiêu chuẩn mới là đáng kể, và tiến trình tuân thủ hiện đã được ấn định.

Passkey là con đường trực tiếp nhất để đáp ứng các yêu cầu được cập nhật. Một thông tin xác thực passkey duy nhất đáp ứng yêu cầu nâng cấp MFA, giải pháp thay thế không mật khẩu và các yêu cầu về gắn kết thiết bị trong một lần triển khai. Kết hợp với xác thực tăng cường (step-up authentication) cho các hoạt động nhạy cảm và logic về thời gian chờ (cooling-off logic) cho các đăng ký mới, điều này mang lại cho các tổ chức một kiến trúc mạch lạc thay vì một mớ các giải pháp chắp vá.

Chúng ta cũng có thể trả lời các câu hỏi quan trọng nhất liên quan đến chủ đề này:

- **Chính sách RMiT là gì và nó áp dụng cho những ai?** RMiT là khung rủi ro công nghệ trung tâm của BNM, áp dụng cho tất cả các tổ chức tài chính được quản lý tại Malaysia bao gồm ngân hàng, công ty bảo hiểm, tổ chức phát hành tiền điện tử, nhà điều hành hệ thống thanh toán và nhà cung cấp dịch vụ chuyển tiền.

- **Bức tranh xác thực trông như thế nào trước tháng 11 năm 2025?** MFA đã là bắt buộc đối với các giao dịch có rủi ro cao và quyền truy cập đặc quyền, nhưng SMS OTP vẫn được chấp nhận, thiết lập đa thiết bị được quản lý lỏng lẻo và các giải pháp thay thế không mật khẩu chưa được yêu cầu.

- **Những thay đổi quan trọng nhất đối với xác thực và MFA là gì?** Có năm thay đổi nổi bật: mặc định một thiết bị cho mỗi người dùng, xác minh mạnh mẽ để thay đổi số điện thoại, bắt buộc thời gian chờ đối với các thiết bị mới, MFA bảo mật hơn SMS với việc gắn kết giao dịch và yêu cầu cung cấp passkey hoặc xác thực dựa trên khóa mật mã.

- **Passkey giúp các tổ chức tài chính tuân thủ như thế nào?** Passkey đáp ứng việc nâng cấp MFA, giải pháp thay thế không mật khẩu và các yêu cầu gắn kết thiết bị trong một lần triển khai duy nhất, đồng thời có khả năng chống lại các cuộc tấn công lừa đảo (phishing), tráo đổi SIM và đánh chặn OTP.

## Các Câu hỏi Thường gặp

### 'Gắn kết giao dịch' (transaction binding) có nghĩa là gì trong bối cảnh tuân thủ BNM RMiT?

Gắn kết giao dịch yêu cầu mỗi mã xác thực được người thanh toán tạo ra cục bộ và được liên kết bằng thuật toán toán học với tài khoản thụ hưởng cụ thể và số tiền thanh toán đang được ủy quyền. Điều này ngăn chặn các cuộc tấn công chuyển hướng OTP, nơi kẻ gian lận thao túng chi tiết giao dịch sau khi người dùng đã xác thực. Mã được tạo ra cho một khoản thanh toán đến một tài khoản không thể được sử dụng lại để ủy quyền cho một khoản thanh toán hoặc số tiền khác.

### Tại sao bản cập nhật RMiT năm 2025 lại yêu cầu 'thời gian chờ' (cooling-off period) sau khi khách hàng đăng ký thiết bị mới?

Thời gian chờ (cooling-off period) ngăn chặn những kẻ gian lận đã giành được quyền truy cập vào tài khoản khỏi việc chuyển tiền ngay lập tức thông qua một thiết bị mới được đăng ký. BNM yêu cầu các tổ chức áp dụng giới hạn giao dịch và các hạn chế dựa trên thời gian trong giai đoạn xây dựng độ tin cậy ban đầu cho các thiết bị mới đăng ký. Điều này cung cấp cho cả chủ tài khoản hợp pháp và nhóm chống gian lận của tổ chức một khoảng thời gian phát hiện trước khi các tính năng giao dịch được mở khóa hoàn toàn.

### Quy định RMiT cập nhật của Malaysia so sánh với các quy định xác thực ở các quốc gia châu Á khác như thế nào?

RMiT 2025 của Malaysia phù hợp với xu hướng khu vực châu Á - Thái Bình Dương, nơi MAS của Singapore, RBI của Ấn Độ, HKMA của Hồng Kông và Ngân hàng Nhà nước Việt Nam đều đang hướng tới thông tin xác thực gắn liền với thiết bị, MFA chống lừa đảo và loại bỏ SMS OTP. Thông tư 45/2025 của Việt Nam đặc biệt yêu cầu xác minh sinh trắc học dựa trên dữ liệu từ thẻ CCCD gắn chip đối với các giao dịch giá trị cao. Các tổ chức đầu tư vào kiến trúc tuân thủ RMiT do đó đang định vị mình cho sự hội tụ quy định của khu vực, chứ không chỉ là một yêu cầu quốc gia duy nhất.

### Hiện tại BNM RMiT yêu cầu xác minh gì khi khách hàng thay đổi số điện thoại di động đã đăng ký?

RMiT được cập nhật yêu cầu xác minh mạnh mẽ trước khi xử lý bất kỳ thay đổi số điện thoại nào, vượt ra ngoài việc chỉ gửi OTP đến số điện thoại hiện tại. Các phương pháp được chấp nhận bao gồm xác minh lại danh tính, xác thực sinh trắc học tăng cường (step-up biometric authentication) hoặc xác nhận tại chi nhánh, đảm bảo kênh xác minh độc lập với kênh đang được thay thế. Điều này trực tiếp giải quyết các cuộc tấn công tráo đổi SIM (SIM-swap), nơi kẻ gian lận vốn đã kiểm soát số điện thoại có thể tự ủy quyền cho sự thay đổi.