Quy trình tối thiểu trước khi nộp hồ sơ thử nghiệm (dành cho hồ sơ nộp NHNN theo Nghị định 94/2025 và/hoặc hồ sơ liên quan thị trường tài sản mã hóa theo Nghị quyết 05/2025).

Cấu trúc:

(1) Mục tiêu pháp lý/kinh doanh;

(2) Nội dung chi tiết cần chuẩn bị;

(3) Lý do pháp lý / tiêu chuẩn tham chiếu;

(4) Mẫu/ghi chú soạn thảo và các biện pháp giảm thiểu rủi ro thực tế. Những điểm bắt buộc theo luật/nghị định sẽ được trích dẫn phía dưới từng đoạn.

1) Hồ sơ mô tả sản phẩm, use-cases và phạm vi thử nghiệm (target users, caps)

Mục tiêu: cho cơ quan quản lý (NHNN) hiểu toàn diện sản phẩm, phạm vi thử nghiệm, giới hạn rủi ro, và biện pháp bảo vệ người dùng. Hồ sơ này là “bộ xương” để NHNN quyết định cấp Giấy chứng nhận thử nghiệm và để áp các giới hạn (caps) an toàn.

Nội dung tối thiểu cần có (chi tiết, có số liệu):

• Tóm tắt sản phẩm: tên, phiên bản, nhà phát triển, mô tả chức năng cốt lõi (5–10 dòng).

• Kiến trúc kỹ thuật (technical architecture): sơ đồ luồng dữ liệu, thành phần (frontend, backend, database, HSM, third-party services), nơi lưu trữ dữ liệu (on-shore/off-shore), giao diện tích hợp (APIs) và điểm tích hợp với hệ thống ngân hàng. Kèm bản mô tả API (endpoints, auth, rate limits).

• Use-cases & user journeys: ít nhất 3 kịch bản điển hình (onboarding → giao dịch → rút tiền → khiếu nại), chỉ rõ điểm rủi ro tại mỗi bước.

• Target users & eligibility: ai được tham gia (ví dụ: người dùng thử nghiệm, nhân viên nội bộ, nhóm khách hàng được chọn theo tiêu chí KYC nhẹ), điều kiện tham gia (độ tuổi, quốc tịch, tình trạng tài khoản).

• Caps (giới hạn an toàn): danh mục giới hạn định lượng để giới hạn rủi ro (ví dụ: tối đa số người tham gia ban đầu = 1.000 người; giới hạn giao dịch/tài khoản = 50 triệu VND/ngày; giới hạn tổng exposure = 500 triệu VND; tần suất giao dịch tối đa/khách). Mỗi cap phải có lý do định lượng (ví dụ: dựa trên mô phỏng stress test).

• KPIs & success criteria: chỉ số để NHNN đánh giá: thời gian phục hồi (RTO), tỉ lệ lỗi giao dịch, % giao dịch phải review AML, mức độ hài lòng khách hàng.

• Thời gian & lộ trình thử nghiệm: bắt đầu, các mốc (pilot → mở rộng), mốc đánh giá trung gian (30/90/180 ngày).

• Trường hợp ngoại lệ & rollback plan: điều kiện tạm dừng thử nghiệm, kịch bản rollback, người chịu trách nhiệm.

Lý do pháp lý / tiêu chuẩn tham chiếu: NHNN yêu cầu hồ sơ mô tả chi tiết để thẩm định phạm vi và rủi ro trước khi cấp giấy chứng nhận thử nghiệm; hồ sơ phải thể hiện rõ phạm vi trên lãnh thổ Việt Nam và tuân thủ điều kiện tách bạch/tổng hợp báo cáo. THƯ VIỆN PHÁP LUẬT+1

Ghi chú soạn thảo (mẹo thực tế):

• Phân tách phần Tech (sơ đồ, endpoint, auth) và Legal/Compliance (quyền, trách nhiệm, trigger đình chỉ).

• Kèm Annex: mô tả data flow chi tiết (DFD) để phục vụ đánh giá bảo mật và GDPR-like DPIA nếu có dữ liệu cá nhân.

• Dùng ngôn ngữ số hóa: luôn có số liệu mô phỏng stress để biện minh cho các caps.

2) Phân tích rủi ro (rủi ro hoạt động, rủi ro pháp lý, rủi ro thanh khoản) kèm biện pháp giảm thiểu

Mục tiêu: chứng minh năng lực nhận diện rủi ro và có kế hoạch kiểm soát — cơ quan cấp phép đánh giá xem tổ chức có năng lực vận hành an toàn trong phạm vi thử nghiệm.

Phân loại & nội dung phân tích (mỗi mục phải có đánh giá likelihood × impact + KPI giám sát):

A. Rủi ro hoạt động (Operational risk)

• Scenarios: downtime, lỗi logic (smart contract bug), provider failure (cloud outage), insider fraud, supply-chain compromise.

• Metrics để trình bày: MTTR, MTTD, RTO/RPO, SLA của 3rd parties.

• Mitigations: đa vùng hạ tầng (multi-AZ), DR site, backup & restore tested, mã hóa dữ liệu (AES-256), logs immutable, least privilege, pentest định kỳ. Trình bày playbook incident response & contact list. (tham chiếu NIST SP800-115 cho testing)

B. Rủi ro pháp lý (Legal / regulatory risk)

• Scenarios: vi phạm AML/KYC, xử lý sai dữ liệu cá nhân, cung cấp dịch vụ vượt phạm vi thử nghiệm, vi phạm điều khoản hợp tác với ngân hàng.

• Mitigations: KYC rulesets, AML watchlist, cơ chế review pháp lý trước release, điều khoản bồi thường/indemnity trong Hợp đồng hợp tác. Phải thể hiện kế hoạch báo cáo & phối hợp với cơ quan khi có sự cố. (tham chiếu Luật Phòng, chống rửa tiền và Nghị định 94/2025). 

C. Rủi ro thanh khoản / thị trường (Liquidity & market risk)

• Scenarios: run on platform, thanh khoản không đủ để xử lý lệnh rút, giá tài sản biến động lớn (nếu xử lý tài sản mã hóa).

• Mitigations: giới hạn caps, chính sách bảo tồn thanh khoản (reserve), escrow/custody arrangements, stress test thanh khoản, insurance coverage (cyber & custodian insurance). Nếu là tài sản mã hóa: mô tả cơ chế settlement & khả năng vòng quay. (tham chiếu Nghị quyết 05 về tất toán khi thu hồi). 

Yêu cầu trình bày: cho mỗi rủi ro phải có (i) mô tả sự kiện; (ii) xác suất & hậu quả; (iii) biện pháp kiểm soát; (iv) chỉ số giám sát và mốc cảnh báo; (v) trách nhiệm cá nhân (RACI).

3) Chính sách KYC/AML và quy trình giám sát giao dịch

Mục tiêu pháp lý: tuân thủ Luật Phòng, chống rửa tiền (và các hướng dẫn hiện hành), báo cáo giao dịch đáng ngờ, giữ logs phục vụ tra cứu/giám sát.

Nội dung bắt buộc & thực chiến:

• KYC (Customer Due Diligence) levels: xác định 3 cấp độ KYC (basic/enhanced/continuous) dựa trên rủi ro; tài liệu bắt buộc cho mỗi cấp (CMND/CCCD, Hộ chiếu + ảnh tự chụp, địa chỉ, nguồn vốn).

• BO (Beneficial Ownership): quy trình xác minh chủ sở hữu thực đối với khách pháp nhân (ứng dụng cho tổ chức phát hành).

• Sanctions & PEP screening: gọi API tới provider (World-Check, OFAC, EU lists) → records.

• Ongoing monitoring / Transaction Monitoring Rules: rule-based + anomaly detection (thresholds, velocity checks, country risk). Phải mô tả logic rule (ví dụ: >X giao dịch / Y phút; tổng >Z trong 24h) và hành động (auto-block + manual review).

• Suspicious Activity Reports (SAR): kịch bản phát hiện → báo cáo nội bộ → quyết định gửi SAR tới cơ quan có thẩm quyền; trình tự, mẫu báo cáo và SLA (ví dụ báo cáo đột xuất trong 24–72h). Luật AML nêu rõ nghĩa vụ báo cáo và trách nhiệm. 

• Giữ logs / audit trail: immutable logs, retention policy (ví dụ: lưu 7 năm), truy xuất phục vụ điều tra.

• Privacy & DPIA: mô tả căn cứ xử lý dữ liệu theo Luật Bảo vệ Dữ liệu cá nhân; nếu có chuyển dữ liệu xuyên biên giới phải có đánh giá tác động (DPIA) theo luật.

KPI/thang đánh giá: % giao dịch bị review, thời gian trung bình để close một case AML, số SAR gửi / tháng.

4) Bản sao hợp đồng hợp tác với ngân hàng (nếu có), hợp đồng lưu ký / escrow cho tài sản khách hàng

Mục tiêu: rõ ràng phân định trách nhiệm, quyền truy cập, SLA vận hành, cơ chế bảo vệ tài sản khách hàng, điều khoản exit/transfer khi dừng thử nghiệm.

Các điều khoản bắt buộc/khuyến nghị (chi tiết cần có):

• Scope & services: mô tả chính xác dịch vụ ngân hàng cung cấp (settlement, thanh toán, KYC verified accounts, reserve accounts).

• Segregation of assets / Custody clause: quy định tách bạch tài khoản/tài sản khách hàng với tài sản công ty; quy trình xác thực chuyển tiền/tiền gửi; biện pháp vật lý/logic cho custody (multi-sig, HSM). (NQ05/NĐ94 nhấn mạnh tách bạch tài sản khách hàng và yêu cầu xử lý tất toán khi thu hồi giấy phép). 

• SLA & Ops: availability targets, incident notification windows (ví dụ: thông báo sự cố nghiêm trọng trong 24h), backup, reconciliation frequency.

• Audit & right to inspect: quyền NHNN/third-party auditor / bank audit access; periodic proof-of-reserves (nếu liên quan crypto). Thêm clause yêu cầu cung cấp evidence/records nhanh khi regulator yêu cầu.

• AML cooperation: chia sẻ data theo quy định AML, phối hợp điều tra.

• Liability, indemnity & caps: phân chia rủi ro; điều khoản bồi thường khi thiệt hại do lỗi/vi phạm.

• Termination & exit mechanics: trigger events (revocation of trial certificate, insolvency), thủ tục chuyển giao tài sản khách hàng, timeline (ví dụ: 30–45 ngày để tất toán), người chịu chi phí chuyển giao. (NQ05 quy định tất toán trong 45 ngày khi thu hồi giấy phép). 

Mẫu clause ngắn (ví dụ custody / segregation, tiếng Việt):

“Bên Bảo quản (Bank/Custodian) cam kết giữ và quản lý tài sản của Khách hàng tách biệt hoàn toàn với tài sản của Bên A theo các tài khoản lưu ký riêng; mọi lệnh chuyển khoản/tài sản phải có chữ ký ủy quyền/OTP theo quy trình xác thực hai yếu tố. Trong trường hợp Giấy chứng nhận thử nghiệm bị thu hồi, Bên Bảo quản phối hợp với Bên A để chuyển toàn bộ tài sản khách hàng sang tổ chức do Khách hàng chỉ định trong vòng không quá 45 (bốn mươi lăm) ngày kể từ ngày nhận thông báo.”

5) Chứng nhận an ninh thông tin (SOC2 / ISO27001 hoặc báo cáo pentest)

Mục tiêu: chứng minh hệ thống an toàn, có ISMS & kiểm soát vận hành theo chuẩn quốc tế; NHNN/đối tác sẽ ưu tiên hồ sơ có chứng nhận/kiểm định. ISO/IEC 27001 là tiêu chuẩn ISMS; SOC 2 là báo cáo kiểm toán kiểm soát dịch vụ; pentest theo NIST SP800-115.

Chi tiết cần nộp:

• Nếu có ISO/IEC 27001 (hoặc tương đương): nộp chứng nhận + scope (phạm vi áp dụng), bản tóm tắt ISMS (risk register high-level), evidence of continual improvement. 

• Nếu không có ISO, ít nhất phải có SOC 2 Type II (hoạt động hiệu quả): nộp report (covering period) và executive summary. 

• Pentest / vuln assessment: recent pentest report (không quá 6 tháng), vulnerability remediation plan, và NIST SP800-115 test plan & results (blackbox/graybox tests, CVE list, risk rating).

• HSM / Key management evidence: nếu dùng crypto keys, nêu HSM model, key lifecycle policy, key rotation frequency.

• Proof-of-reserves / attestation (nếu custody crypto): independent attestation cơ chế. (tham khảo chuẩn FCA đang triển khai guidance về custody).

Tần suất & KPI: pentest tối thiểu 1 lần/năm + after major release; vuln scanning weekly; SOC2 annual; ISO recert every 3 years with annual surveillance.

6) Kế hoạch truyền thông & giải quyết khiếu nại khách hàng

Mục tiêu: bảo vệ người tiêu dùng, minh bạch thông tin và giảm rủi ro reputational; đáp ứng yêu cầu công bố sự cố (ví dụ NQ05 yêu cầu công bố bất thường trong vòng 24h với sàn).

Yêu cầu kế hoạch phải nêu rõ:

• Thông báo trước tham gia: nội dung consent & risk disclosure (mẫu văn bản rủi ro phải được ký/đồng ý bởi user).

• Kịch bản sự cố & thông báo: timeline (T0: detect → T+1h: internal alert → T+24h: thông báo công khai nếu ảnh hưởng giao dịch khách hàng; PDPL quy định thông báo vi phạm dữ liệu chậm nhất 72h nếu có thể gây hại). 

• Quy trình tiếp nhận & xử lý khiếu nại: kênh tiếp nhận (email, hotline), SLA (acknowledge within 24h, resolution within 15 business days), escalation matrix.

• Communication templates: thông cáo báo chí, FAQs, email mẫu cho khách, hướng dẫn tự bảo vệ (change password, freeze account).

• Reporting to regulator: báo cáo định kỳ + đột xuất theo mẫu Nghị định 94/NHNN (ví dụ: báo cáo hàng quý & báo cáo sự cố). 

7) Kế hoạch “exit” và chuyển giao dữ liệu/tài sản khi dừng thử nghiệm

Mục tiêu pháp lý: đảm bảo quyền lợi khách hàng khi thử nghiệm kết thúc/đình chỉ/thu hồi; minh bạch các thủ tục tất toán. NQ05/NĐ94 nêu rõ cơ chế tất toán và thời hạn chuyển giao khi thu hồi giấy phép (ví dụ 45 ngày).

Nội dung bắt buộc & thực hành tốt:

• Trigger events (dừng thử nghiệm): hết hạn, thu hồi, insolvency, rủi ro hệ thống nghiêm trọng, yêu cầu regulator.

• Freeze new onboarding: ngay khi có quyết định tạm dừng.

• Tất toán & chuyển giao tài sản khách hàng: cơ chế escrow/hợp đồng ủy quyền sẵn sàng (hot wallet → cold custodian chuyển; nếu là tiền fiat: chuyển về tài khoản ngân hàng khách). Thời hạn thực hiện, đơn vị phụ trách, và chi phí (ai chịu). (NQ05: allote 45 days).

• Data migration & deletion: tuân thủ Luật Bảo vệ Dữ liệu cá nhân: DPIA cho chuyển dữ liệu xuyên biên giới; yêu cầu đồng ý khách nếu cần; lưu retention policy; tiêu chuẩn mã hóa dữ liệu khi chuyển. 

• Chủ quyền & proof process: lập biên bản xác nhận số dư/tài sản của mỗi khách (onchain proof, account statements) làm evidence trước khi chuyển.

• Fallback / Judicial path: nếu khách không chỉ định tổ chức nhận tài sản, nêu rõ cơ chế bộ phận phân xử hoặc chỉ định theo quy định của Bộ Tài chính/NHNN. (NQ05 có quy định chỉ định tổ chức nếu khách không chọn).

Tài liệu pháp lý & kỹ thuật tham chiếu chính (chọn lọc)

• Nghị định 94/2025/NĐ-CP — Quy định về cơ chế thử nghiệm có kiểm soát (NHNN).

• Nghị quyết 05/2025/NQ-CP — Triển khai thí điểm thị trường tài sản mã hóa (yêu cầu tách bạch tài sản, tất toán khi thu hồi). 

• Luật Phòng, chống rửa tiền (14/2022) — nghĩa vụ KYC/AML, báo cáo.

• Luật Bảo vệ dữ liệu cá nhân (91/2025) — DPIA, thông báo sự cố, chuyển dữ liệu xuyên biên giới.

• ISO/IEC 27001 (ISMS) — tiêu chuẩn quản trị an ninh thông tin.

• SOC 2 (AICPA) — báo cáo kiểm soát dịch vụ; phương tiện minh chứng khả năng vận hành. 

• NIST SP800-115 — hướng dẫn pentest, security testing (kỹ thuật).

• FCA Draft Guidance on crypto custody & stablecoins — tham khảo best practices custody (quốc tế). 

Kết luận ngắn & checklist hành động (ngay lập tức trước khi nộp hồ sơ)

1. Hoàn thiện Product Dossier: architecture, use-cases, caps + KPIs.

2. Soạn Risk Register (likelihood × impact) + playbooks incident/rollback.

3. Hoàn thiện KYC/AML ruleset + tích hợp sanctions/PEP provider; quy trình SAR.

4. Ký/hoàn thiện Hợp đồng hợp tác ngân hàng & điều khoản custody/segregation/exit.

5. Có bằng chứng an ninh: recent pentest report (≤6 tháng) + SOC2 Type II or ISO27001 (nếu chưa, nộp roadmap và evidence pentest + hardening).

6. Soạn communication pack (disclosures, incident templates) và exit plan kèm evidence (proof-of-reserves, accounts snapshot).

7. Chuẩn bị Annex pháp lý: mẫu consent, privacy notice theo PDPL, DPIA nếu chuyển dữ liệu xuyên biên giới.