Quy chuẩn kỹ thuật quốc gia QCVN 135/2024/BTTTT về camera giám sát

04/03/2025

Ngày 31/12/2024, Bộ Thông tin truyền thông đã ban hành thông tư số 21/2024/BTTTT về “Quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet – Các yêu cầu an toàn thông tin cơ bản”. Thông tư này có hiệu lực từ ngày 15/2/2025.

Từ ngày 15/2/2025, QCVN 135:2024/BTTTT về tiêu chuẩn camera giám sát được áp dụng — *Camera giám sát cần đáp ứng QCVN 135:2024/BTTTT*

Ban hành kèm theo thông tư này là Quy chuẩn kỹ thuật quốc gia về thiết bị camera giám sát sử dụng giao thức Internet – Các yêu cầu đảm bảo an toàn thông tin cơ bản (QCVN 135:2024/BTTTT).

Kể từ ngày 15/2/2025, QCVN 135:2024/BTTTT được áp dụng trong thử nghiệm, chứng nhận hợp quy, công bố hợp quy. Còn kể từ ngày 1/1/2026, thiết bị camera giám sát sử dụng giao thức Internet nhập khẩu và sản xuất trong nước phải đáp ứng các quy định tại QCVN 135:2024/BTTTT.

Định nghĩa về thiết bị camera giám sát sử dụng giao thức Internet

Theo QCVN 135:2024/BTTTT, Thiết bị camera giám sát sử dụng giao thức Internet là camera kỹ thuật số, có thể kết nối qua giao thức Internet, thực hiện một phần hoặc toàn bộ việc giám sát, ghi hình.

Quy định kĩ thuật

Khởi tạo mật khẩu duy nhất

Mật khẩu của thiết bị camera được sử dụng trong bất kỳ trạng thái nào (trừ trạng thái mặc định xuất xưởng) phải là duy nhất cho mỗi thiết bị hoặc do người sử dụng thiết lập.
Mật khẩu của thiết bị camera được thiết lập sẵn bởi nhà sản xuất, phải được tạo ra bởi cơ chế có khả năng phòng, chống các cuộc tấn công tự động.
Cơ chế xác thực được sử dụng bởi thiết bị camera để xác thực người sử dụng phải sử dụng các mật mã an toàn, phù hợp với mục đích sử dụng, đặc tính công nghệ và nguy cơ, rủi ro.
Thiết bị camera có cơ chế cho phép người sử dụng hoặc quản trị viên thay đổi giá trị xác thực một cách đơn giản.
Cơ chế xác thực được sử dụng bởi thiết bị camera có khả năng ngăn chặn tấn công vét cạn (brute-force) qua các giao diện mạng.

Về quản lý lỗ hổng bảo mật

Nhà sản xuất phải công bố chính sách công bố lỗ hỗng bảo mật. Chính sách này phải bao gồm tối thiều các thông tin sau:

a) Thông tin liên hệ để tiếp nhận thông tin về lỗ hỗng;

b) Thông tin về thời gian đối với các việc:

Xác nhận ban đầu về việc nhận được báo cáo;
Cập nhật trạng thái xử lý lỗ hỗng bảo mật cho đến khi xử lý được các lỗ hồng bảo mật theo báo cáo.

Về quản lý cập nhật

Thiết bị camera có cơ chế cập nhật cho phép các phần mềm được cập nhật và cài đặt một cách an toàn.
Thiết bị camera phải có cơ chế cho phép người sử dụng cập nhật phần mềm một cách đơn giản.
Thiết bị camera phải sử dụng các mật mã an toàn để thực hiện đảm bảo an toàn cập nhật.
Bản cập nhật an toàn phải được nhà sản xuất cung cấp kịp thời.
Thiết bị camera có cơ chế kiểm tra tính xác thực và tính toàn vẹn của từng bản cập nhật sử dụng kết nổi tin cậy thông qua giao diện mạng.
Nhà sản xuất phải công bố thời hạn hỗ trợ bảo hành đối với từng chủng loại thiết bị camera cho người sử dụng.
Thiết bị camera cho phép người sử dụng tra cứu thông tin về mã, chủng loại sản phẩm, thiết bị thông qua nhãn dán trên thiết bị hoặc qua giao diện vật lý.

Về lưu trữ các tham số an toàn nhạy cảm

Các tham số an toàn nhạy cảm phải được lưu trữ an toàn trên bộ nhớ của thiết bị camera.
Khi một định danh duy nhất được mã hóa cứng trên camera dùng trong mục đích an toàn, nó phải được bảo vệ để chống lại sự thay đổi bởi các yếu tố vật lý, điện tử hoặc phần mềm.
Các tham số an toàn quan trọng mã hóa cứng trong mã nguồn của camera không được sử dụng.
Các tham số an toàn quan trọng được sử dụng để kiễm tra tính toàn vẹn và tính xác thực của các bản cập nhật phần mềm và để bảo vệ kết nối giao tiếp với các dịch vụ liên kết, phải là duy nhất cho mỗi thiết bị và phải được tạo ra với một cơ chế có khả năng phòng, chống các cuộc tấn công tự động.

Về quản lý kênh giao tiếp an toàn

Thiết bị camera sử phải sử dụng các mật mã an toàn để thiết lập kênh giao tiếp an toàn.
Thiết bị camera có chức năng xác thực các đối tượng thực hiện thay đổi liên quan đến an toàn trước khi áp dụng các thay đổi đó. Yêu cầu này không áp dụng đối với các giao thức như: ARP; DHCP; DNS; ICMP; NTP.
Thiết bị camera phải đảm bảo tính bảo mật của các tham số an toàn quan trọng khi truyền qua môi trường mạng.
Nhà sản xuất phải tuân thủ các quy trình quản lý các tham số an toàn quan trọng liên quan đến thiết bị camera.

Về phòng chống tấn công thông qua các giao diện của thiết bị camera

*Lựa chọn camera Huviron đáp ứng các yêu cầu theo tiêu chuẩn mới*

Tất cả giao diện mạng và logic của thiết bị camera mà không được sử dụng phải được vô hiệu hóa.
Khi ở trạng thái hoạt động ban đầu, giao diện mạng của thiết bị camera phải giảm thiễu việc tiết lộ các thông tin liên quan đến an toàn khi quá trình xác thực chưa cho kết quả thành công.
Trường hợp Camera có giao diện gỡ lỗi có thể truy cập được ở mức vật lý, phải có chức năng vô hiệu hóa giao diện gỡ lỗi bằng phần mềm.

Về bảo vệ dữ liệu người sử dụng

Dữ liệu cá nhân nhạy cảm được trao đổi giữa thiết bị camera và các dịch vụ liên kết phải được bảo vệ bằng cách ứng dụng các mật mã phù hợp với mục đích sử dụng và đặc tính công nghệ.
Tất cả các chức năng cảm biến bên ngoài của thiết bị camera phải được mô tả đầy đủ và rõ ràng cho người sử dụng.

Về khả năng tự khôi phục hoạt động sau sự cố

Thiết bị camera phải có cơ chế khôi phục khi bị mất kết nối mạng hoặc bị mất điện.
Thiết bị camera phải hoạt động được bình thường đối với các chức năng nội bộ khi bị mất kết nối mạng và khôi phục được hoàn toàn trạng thái hoạt động sau khi có điện trở lại.
Thiết bị camera khôi phục lại kết nối mạng theo một cách trình tự và ổn định.

Về xoá dữ liệu trên thiết bị camera

Thiết bị camera có chức năng cho phép xóa dữ liệu người sử dụng trên thiết bị camera.

Về xác thực dữ liệu đầu vào

Phần mềm của thiết bị camera phải xác thực dữ liệu đầu vào từ các giao diện người sử dụng hoặc được truyền qua các giao diện lập trình ứng dụng (API) hoặc giữa các dịch vụ và thiết bị.

Về bảo vệ dữ liệu trên thiết bị camera

Camera Huviron được sử dụng phổ biến tại các nhà máy

Nhà sản xuất phải cung cấp đầy đủ thông tin về mục đích, cách thức thu thập, xử lý và lưu trữ dữ liệu cá nhân được thu thập và xử lý bởi thiết bị camera, dịch vụ liên kết hoặc bên thứ ba (nếu có).
Thiết bị camera phải có chức năng xác nhận sự đồng ý của người sử dụng đối với việc cho phép thiết bị camera thu thập và xử lý dữ liệu cá nhân.
Thiết bị camera phải có chức năng cho phép người sử dụng thu hồi sự đồng ý đối với việc cho phép thiết bị camera thu thập và xử lý dữ liệu cá nhân.
Dữ liệu đo đạc từ xa được thu thập từ thiết bị camera phải được mô tả đầy đủ về mục đích, đối tượng thu thập và nơi lưu trữ.
Thiết bị camera có chức năng cho phép thiết lập cấu hình để lưu trữ dữ liệu tại Việt Nam.

Quy định về quản lý

Thiết bị camera giám sát sử dụng giao thức Internet thuộc phạm vi điều chỉnh quy định tại 1.1 phải tuân thủ các yêu cầu kỹ thuật trong quy chuẩn này.
Chứng nhận, công bố hợp quy đối với các thiết bị thuộc phạm vị của Quy chuẫn này thực hiện theo quy định tại Thông tư quy định Danh mục sản phắm, hàng hóa có khả năng gây mất an toàn thuộc trách nhiệm quản lý của Bộ Thông tin và Truyền thông, phương thức đánh giá sự phù hợp theo 4.4 và các quy định hiện hành.
Phương tiện, thiết bị đo: Tuân thủ các quy định pháp luật về đo lường.
Phương thức đánh giá sự phù hợp: Thực hiện theo các phương thức: Phương thức 1, phương thức 5 và phương thức 7 được quy định tại Thông tư số 28/2012/TT-BKHCN và các sửa đổi, bỗ sung, thay thế Thông tư số 28/2012/TT-BKHCN. Trong đó:

– Phương thức 1: Thữ nghiệm mẫu điễn hình.

Áp dụng để thực hiện cho sản phẩm, hàng hóa được sản xuất trong dây chuyền đã có chứng chỉ chứng nhận hệ thống quản lý chất lượng (ISO 9001 hoặc tương đương).

– Phương thức 5: Thử nghiệm mẫu điển hình và đánh giá quá trình sản xuất; giám sát thông qua thử nghiệm mẫu lấy tại nơi sản xuất hoặc trên thị trường kết hợp với đánh giá quá trình sản xuất.

Áp dụng để thực hiện cho sản phẳm, hàng hóa được sản xuất trong dây chuyền chưa có chứng chỉ chứng nhận hệ thống quản lý chất lượng (ISO 9001 hoặc tương đương) nhưng có quy trình sản xuất và giám sát đảm bảo chất lượng để đánh giá.

– Phương thức 7: Thử nghiệm, đánh giá lô sản phẩm, hàng hóa.

Áp dụng để thực hiện cho sản phẳm, hàng hóa không áp dụng được theo Phương thức 1 hoặc Phương thức 5.

Nhìn chung, nhằm đảm bảo quyền lợi và các dữ liệu cá nhân, người dùng nên lựa chọn nhà cung cấp camera giám sát chính hãng từ các thương hiệu uy tín như Huviron, Ipro, Honeywell… Đặc biệt, các công trình yêu cầu tính bảo mật, cần lựa chọn camera non-china, camera Hàn Quốc chất lượng cao có thể tham khảo camera Cpro.