Ngày 29/5/2026, Bộ trưởng Bộ Công an, Đại tướng Lương Tam Quang, đã ký ban hành Thông tư số 48/2026/TT-BCA, kèm theo Quy chuẩn kỹ thuật quốc gia QCVN 11:2026/BCA. Văn bản này đặt ra các yêu cầu an ninh mạng cốt lõi đối với thiết bị camera giám sát sử dụng giao thức Internet (camera IP), có hiệu lực từ ngày 1/7/2026.
Phạm vi áp dụng và cơ sở pháp lý
Quy chuẩn mới áp dụng cho mọi tổ chức, cá nhân trong và ngoài nước có hoạt động sản xuất, kinh doanh hoặc nhập khẩu camera IP tại Việt Nam. Điều này đồng nghĩa với việc tất cả các thương hiệu lớn từ Trung Quốc, Hàn Quốc, Nhật Bản cho đến doanh nghiệp nội địa đều phải tuân thủ.
QCVN 11:2026/BCA được xây dựng dựa trên các tiêu chuẩn quốc tế uy tín, bao gồm tiêu chuẩn ETSI EN 303 645 (phiên bản 2.1.1, năm 2020) của châu Âu về an toàn thông tin mạng cho thiết bị IoT tiêu dùng, và phương pháp đánh giá sự phù hợp từ tiêu chuẩn ETSI TS 103 701 (phiên bản 1.1.1, năm 2021).
Các yêu cầu kỹ thuật bắt buộc
Khởi tạo mật mã duy nhất
Mật khẩu camera phải là duy nhất cho từng thiết bị hoặc do người dùng tự đặt, ngoại trừ trạng thái xuất xưởng. Hệ thống tạo mã phải chống được tấn công tự động, và cơ chế xác thực phải đủ mạnh để chống tấn công vét cạn (brute-force) qua mạng.
Minh bạch chính sách bảo mật lỗ hổng
Nhà sản xuất phải công bố công khai chính sách quản lý lỗ hổng, bao gồm kênh tiếp nhận báo cáo, cam kết phản hồi và cập nhật tiến độ sửa lỗi cho đến khi khắc phục hoàn toàn.
Kiểm soát nâng cấp phần mềm
Nhà sản xuất phải thông báo cho người dùng khi có bản cập nhật, áp dụng mã hóa an toàn khi cài đặt, công bố thời hạn bảo hành an ninh cho từng model, và cho phép tra cứu mã máy qua nhãn dán hoặc giao diện phần mềm.
Quản lý kết nối và đóng cổng dịch vụ thừa
Mọi giao diện mạng và logic không dùng đến phải bị vô hiệu hóa. Ở trạng thái vận hành ban đầu, thiết bị phải che giấu thông tin nhạy cảm trước khi đăng nhập. Quy định cũng bao gồm lưu trữ tham số an toàn, quản lý kênh truyền thông và bảo vệ dữ liệu người dùng.
Vận hành ổn định và xử lý dữ liệu đầu vào
Các yêu cầu khác bao gồm khả năng tự phục hồi sau sự cố, xóa sạch dữ liệu người dùng trên máy, và cơ chế xác thực dữ liệu đầu vào.
Yêu cầu lưu trữ dữ liệu tại Việt Nam
Điểm đặc biệt của QCVN 11:2026/BCA là mục 2.11.5 thuộc nhóm bảo vệ dữ liệu. Quy chuẩn bắt buộc camera IP phải tích hợp chức năng cho phép người dùng cấu hình lưu trữ dữ liệu trên lãnh thổ Việt Nam. Đây là lần đầu tiên một quy định kỹ thuật của Việt Nam áp đặt điều kiện lưu trữ dữ liệu nội địa đối với phần cứng camera, nhằm bảo vệ chủ quyền dữ liệu quốc gia.
Phân công trách nhiệm quản lý
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao chịu trách nhiệm chủ trì theo dõi, kiểm tra và đôn đốc thực hiện Thông tư. Cục Khoa học, chiến lược và lịch sử Công an phụ trách phổ biến quy chuẩn, chỉ định phòng lab đánh giá sự phù hợp, và định kỳ công bố danh sách thiết bị đạt chứng nhận hợp quy.
