Cụ thể, QCVN 11:2026/BCA xây dựng 11 nhóm yêu cầu kỹ thuật bắt buộc, lấy chuẩn quốc tế ETSI EN 303 645 phiên bản 2.1.1 (năm 2020) của châu Âu về an ninh mạng cho thiết bị Internet of Things tiêu dùng làm tài liệu viện dẫn chủ đạo, kết hợp với ETSI TS 103 701 phiên bản 1.1.1 (năm 2021) về phương pháp đánh giá sự phù hợp.
Nhóm yêu cầu đầu tiên và được đặt hàng đầu trong quy chuẩn là khởi tạo mật khẩu duy nhất, gồm 5 yêu cầu cụ thể. Theo đó, mật khẩu camera IP trong bất kỳ trạng thái hoạt động nào, trừ trạng thái mặc định xuất xưởng, phải là duy nhất cho từng thiết bị hoặc do người dùng tự thiết lập. Mật khẩu được cài sẵn bởi nhà sản xuất phải được tạo ra bằng cơ chế có khả năng phòng chống các cuộc tấn công tự động, và cơ chế xác thực phải có khả năng ngăn chặn tấn công vét cạn qua các giao diện mạng.
Nhóm thứ hai yêu cầu nhà sản xuất công bố chính sách quản lý lỗ hổng bảo mật, trong đó phải ghi rõ thông tin liên hệ để nhận báo cáo lỗ hổng, cam kết xác nhận ban đầu về việc nhận được báo cáo và cập nhật liên tục trạng thái xử lý cho đến khi lỗ hổng được vá hoàn toàn.
Nhóm quản lý cập nhật gồm 7 yêu cầu đặt ra cho nhà sản xuất nghĩa vụ phải thông báo cho người dùng khi có bản cập nhật phần mềm, sử dụng mã hóa an toàn trong quá trình cài đặt, có chính sách quy định thời hạn hỗ trợ bảo hành cụ thể theo từng chủng loại thiết bị và cho phép người dùng tra cứu thông tin mã, chủng loại sản phẩm thông qua nhãn dán hoặc giao diện vật lý trực tiếp trên thiết bị.
Bốn nhóm tiếp theo bao gồm lưu trữ tham số an toàn nhạy cảm, quản lý kênh giao tiếp an toàn, phòng chống tấn công thông qua giao diện thiết bị và bảo vệ dữ liệu người dùng. Đáng chú ý, quy chuẩn yêu cầu tất cả giao diện mạng và logic của camera không được sử dụng phải được vô hiệu hóa; khi ở trạng thái hoạt động ban đầu, giao diện mạng phải giảm thiểu việc tiết lộ thông tin liên quan đến an ninh trước khi quá trình xác thực cho kết quả thành công.
Ba nhóm còn lại gồm khả năng tự khôi phục sau sự cố, xóa dữ liệu người dùng trên thiết bị và xác thực dữ liệu đầu vào, hoàn thiện bộ khung kỹ thuật toàn diện nhất từ trước đến nay mà Việt Nam áp dụng cho camera IP.
Trong 5 yêu cầu thuộc nhóm bảo vệ dữ liệu trên thiết bị camera, yêu cầu 2.11.5 là điểm đáng được chú ý nhất từ góc độ chính sách dữ liệu. Quy chuẩn quy định thiết bị camera phải có chức năng cho phép thiết lập cấu hình để lưu trữ dữ liệu tại Việt Nam. Yêu cầu này gắn liền với 4 yêu cầu còn lại trong nhóm, trong đó nhà sản xuất phải cung cấp đầy đủ thông tin về mục đích, cách thức thu thập, xử lý và lưu trữ dữ liệu cá nhân; camera phải có chức năng xác nhận và thu hồi sự đồng ý của người dùng đối với việc xử lý dữ liệu cá nhân; dữ liệu đo đạc từ xa phải được mô tả đầy đủ về mục đích, đối tượng thu thập và nơi lưu trữ.
Đây là lần đầu tiên một quy chuẩn kỹ thuật tại Việt Nam đưa yêu cầu lưu trữ dữ liệu nội địa trực tiếp vào phần quy định kỹ thuật bắt buộc của thiết bị phần cứng camera IP, tạo cơ sở kỹ thuật để thực thi các quy định về chủ quyền dữ liệu mà các văn bản pháp luật cấp cao hơn đặt ra.
Dữ liệu cá nhân nhạy cảm trao đổi giữa camera và các dịch vụ liên kết phải được bảo vệ bằng mã hóa an toàn phù hợp với mục đích sử dụng và đặc tính công nghệ, đồng thời toàn bộ chức năng cảm biến bên ngoài của camera phải được mô tả đầy đủ, rõ ràng cho người dùng.
QCVN 11:2026/BCA áp dụng cho tổ chức, cá nhân Việt Nam và nước ngoài trên toàn lãnh thổ Việt Nam có hoạt động sản xuất, kinh doanh, bao gồm cả hoạt động nhập khẩu, các thiết bị camera thuộc phạm vi điều chỉnh của quy chuẩn. Điều đó có nghĩa là toàn bộ nhà phân phối camera IP tại Việt Nam, bao gồm các thương hiệu lớn từ Trung Quốc, Hàn Quốc, Nhật Bản và các nước khác, đều phải đối chiếu sản phẩm của mình với 11 nhóm yêu cầu kỹ thuật này.
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao là đơn vị trực tiếp và chịu trách nhiệm theo dõi, kiểm tra, đôn đốc việc thực hiện Thông tư. Cục Khoa học, chiến lược và lịch sử Công an đảm nhận công tác phổ biến quy chuẩn, chỉ định tổ chức đánh giá sự phù hợp và định kỳ cập nhật danh sách thiết bị đã công bố hợp quy để phục vụ công tác quản lý.