Từ 1/7, tất cả người dân dùng camera giám sát cần chú ý 11 yêu cầu kỹ thuật của Bộ Công an
Người dân cần hiểu đúng về quy định áp dụng quy chuẩn kỹ thuật đối với camera giám sát kết nối internet.
Bộ Công an đã ban hành Thông tư số 48/2026/TT-BCA quy định Quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet (camera IP) liên quan đến các yêu cầu an ninh mạng cơ bản. Thông tư có hiệu lực từ ngày 1/7/2026.
Theo quy định mới, toàn bộ thiết bị camera giám sát có kết nối Internet được sản xuất, nhập khẩu, kinh doanh và sử dụng tại Việt Nam phải đáp ứng các yêu cầu kỹ thuật về an ninh mạng theo quy chuẩn QCVN 11:2026/BCA.
Tuy nhiên, việc áp dụng quy chuẩn kỹ thuật đối với camera giám sát không đồng nghĩa với việc cơ quan nhà nước có quyền truy cập, theo dõi hay kiểm soát dữ liệu hình ảnh riêng tư của người dân.
Trong bối cảnh chuyển đổi số hiện nay, camera giám sát không chỉ đơn thuần là thiết bị ghi hình mà còn là thiết bị có khả năng kết nối Internet, lưu trữ và truyền tải dữ liệu. Vì vậy, việc áp dụng các tiêu chuẩn an ninh mạng là cần thiết nhằm bảo đảm an toàn thông tin cũng như bảo vệ dữ liệu của người sử dụng.
Thực tế cho thấy hơn 90% camera đang được sử dụng tại Việt Nam có nguồn gốc từ nước ngoài. Đáng chú ý, thị trường còn tồn tại nhiều sản phẩm trôi nổi, không rõ xuất xứ. Những thiết bị này thường không được trang bị đầy đủ các lớp bảo mật cần thiết, làm gia tăng nguy cơ lộ lọt hình ảnh riêng tư hoặc bị tin tặc chiếm quyền điều khiển.
Do đó, Thông tư số 48/2026/TT-BCA được kỳ vọng sẽ góp phần bảo vệ người dân và tổ chức trước các nguy cơ mất an toàn thông tin.
1. Khởi tạo mật khẩu riêng cho từng thiết bị
Mật khẩu được sử dụng trên thiết bị camera, ngoại trừ trạng thái mặc định khi xuất xưởng, phải là mật khẩu riêng biệt cho từng thiết bị hoặc do chính người dùng thiết lập.
Đối với mật khẩu được cài đặt sẵn bởi nhà sản xuất, việc tạo mật khẩu phải thông qua cơ chế có khả năng chống lại các hình thức tấn công tự động.
Các cơ chế xác thực người dùng phải sử dụng phương thức mật mã an toàn, phù hợp với mục đích sử dụng, đặc điểm công nghệ và mức độ rủi ro.
Thiết bị phải cho phép người dùng hoặc quản trị viên thay đổi thông tin xác thực và có khả năng ngăn chặn các cuộc tấn công dò quét mật khẩu qua mạng.
2. Quản lý lỗ hổng bảo mật
Nhà sản xuất phải công khai chính sách tiếp nhận và xử lý lỗ hổng bảo mật, trong đó tối thiểu phải có:
-
Thông tin liên hệ để tiếp nhận báo cáo lỗ hổng;
-
Thời gian xác nhận đã tiếp nhận báo cáo;
-
Thời gian cập nhật tiến độ xử lý cho đến khi khắc phục hoàn toàn lỗ hổng được phản ánh.
3. Quản lý cập nhật phần mềm
Thiết bị camera phải có cơ chế thông báo khi xuất hiện phiên bản phần mềm mới và hỗ trợ cập nhật an toàn.
Người dùng phải được phép chủ động thực hiện cập nhật phần mềm.
Quá trình cập nhật phải sử dụng các phương thức mật mã an toàn nhằm đảm bảo tính bảo mật.
Nhà sản xuất cần xây dựng chính sách và quy trình triển khai các bản cập nhật bảo mật.
Thiết bị phải có khả năng kiểm tra tính xác thực và toàn vẹn của từng bản cập nhật thông qua kết nối mạng đáng tin cậy.
Ngoài ra, nhà sản xuất phải công bố thời hạn hỗ trợ và bảo hành đối với từng dòng sản phẩm.
Người dùng cũng phải có khả năng tra cứu mã sản phẩm, chủng loại thiết bị thông qua nhãn dán hoặc giao diện vật lý của thiết bị.
4. Lưu trữ các tham số bảo mật quan trọng
Các tham số an toàn nhạy cảm phải được lưu trữ một cách an toàn trên bộ nhớ của thiết bị.
Những thông tin định danh duy nhất được tích hợp sẵn nhằm phục vụ mục đích bảo mật phải được bảo vệ trước nguy cơ bị thay đổi bằng tác động vật lý, điện từ hoặc phần mềm.
Các tham số bảo mật quan trọng được tích hợp trong mã nguồn cũng phải có biện pháp bảo vệ phù hợp với mục đích sử dụng.
Những tham số dùng để xác thực bản cập nhật phần mềm hoặc bảo vệ kết nối với các dịch vụ liên kết phải là duy nhất cho từng thiết bị và được tạo ra bằng cơ chế chống tấn công tự động.
5. Quản lý kênh giao tiếp an toàn
Thiết bị camera phải sử dụng các phương thức mật mã an toàn để thiết lập các kênh giao tiếp.
Thiết bị phải xác thực các đối tượng thực hiện thay đổi liên quan đến bảo mật trước khi áp dụng các thay đổi đó. Quy định này không áp dụng với các giao thức như ARP, DHCP, DNS, ICMP và NTP.
Ví dụ về các thay đổi liên quan đến bảo mật gồm: quản lý quyền truy cập, cấu hình khóa mạng hoặc thay đổi mật khẩu.
Các tham số bảo mật quan trọng khi truyền qua mạng phải được bảo vệ an toàn.
Nhà sản xuất phải tuân thủ các quy trình quản lý liên quan đến những tham số này.
6. Phòng chống tấn công thông qua các giao diện thiết bị
Toàn bộ giao diện mạng và giao diện logic không sử dụng phải được vô hiệu hóa.
Ở trạng thái hoạt động ban đầu, thiết bị cần hạn chế tối đa việc tiết lộ các thông tin liên quan đến an ninh trước khi quá trình xác thực thành công.
Nếu thiết bị có cổng gỡ lỗi có thể truy cập trực tiếp bằng phần cứng, cần có chức năng vô hiệu hóa bằng phần mềm.
7. Bảo vệ dữ liệu người dùng
Dữ liệu cá nhân nhạy cảm được trao đổi giữa camera và các dịch vụ liên kết phải được bảo vệ bằng các phương thức mã hóa phù hợp.
Mọi chức năng cảm biến bên ngoài của thiết bị phải được mô tả đầy đủ, rõ ràng cho người sử dụng.
8. Khả năng tự khôi phục sau sự cố
Thiết bị camera phải có cơ chế khôi phục khi xảy ra sự cố mất điện hoặc mất kết nối mạng.
Sau khi sự cố được khắc phục, thiết bị phải tự phục hồi hoạt động và tái thiết lập kết nối mạng theo trình tự ổn định.
9. Xóa dữ liệu trên thiết bị
Camera phải được trang bị chức năng cho phép người dùng xóa dữ liệu cá nhân lưu trữ trên thiết bị.
10. Xác thực dữ liệu đầu vào
Thiết bị phải thực hiện kiểm tra và xác thực dữ liệu đầu vào từ giao diện người dùng, từ các giao diện lập trình ứng dụng (API) hoặc dữ liệu trao đổi giữa các thiết bị và dịch vụ liên quan.
11. Bảo vệ dữ liệu trên thiết bị camera
Nhà sản xuất có trách nhiệm cung cấp đầy đủ thông tin về mục đích, phương thức thu thập, xử lý và lưu trữ dữ liệu cá nhân được thu thập bởi thiết bị, các dịch vụ liên kết hoặc bên thứ ba (nếu có).
Thiết bị phải có chức năng yêu cầu và ghi nhận sự đồng ý của người dùng đối với việc thu thập, xử lý dữ liệu cá nhân.
Đồng thời, người dùng cũng phải được quyền thu hồi sự đồng ý đó bất cứ lúc nào.
Các dữ liệu đo đạc từ xa thu thập từ thiết bị phải được mô tả rõ mục đích sử dụng, đơn vị thu thập và nơi lưu trữ.
Đáng chú ý, thiết bị camera phải hỗ trợ cấu hình để dữ liệu được lưu trữ tại Việt Nam theo nhu cầu của người sử dụng.
