Quyết định 2345/QĐ-NHNN: Giải pháp bảo mật thanh toán trực tuyến và thẻ ngân hàng
QUYẾT ĐỊNH 2345/QĐ-NHNN SẼ CÓ HIỆU LỰC THI HÀNH KỂ TỪ NGÀY 01/7/2024
Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và tổ chức cung ứng dịch vụ trung gian thanh toán cần hoàn thiện giải pháp và triển khai trước ngày 01/7/2024 nhằm tuân thủ việc xác thực theo phân loại giao dịch tương ứng. Đối với khách hàng cá nhân, các giao dịch có giá trị lớn và giao dịch liên ngân hàng ra nước ngoài đều yêu cầu phải xác thực với dấu hiệu sinh trắc học được kiểm tra đảm bảo. Cụ thể, một giao dịch chuyển tiền ngân hàng trong nước, nộp tiền vào ví điện tử trên 10 triệu đồng hoặc tổng giá trị giao dịch chuyển tiền, thanh toán trong ngày vượt quá 20 triệu đồng phải được xác thực bằng sinh trắc học.
Xác thực khách hàng rất quan trọng để đảm bảo phát hiện dấu hiệu giả mạo, lừa đảo, tăng độ tin cậy cho các giao dịch trực tuyến. Một số phương pháp sinh trắc học phổ biến đang được sử dụng là xác thực khuôn mặt, tĩnh mạch ngón tay, bàn tay, vân tay, mống mắt, giọng nói... Nhằm đáp ứng yêu cầu của Quyết định 2345/QĐ-NHNN, các tổ chức ngân hàng - tài chính và trung gian thanh toán cần thực hiện xây dựng cơ sở dữ liệu sinh trắc học được kiểm tra chéo với dữ liệu trong chip thẻ CCCD của khách hàng do cơ quan Công an cấp. Đối với khách hàng mới, các tổ chức tài chính, ngân hàng cần thu thập thông tin sinh trắc học đủ 2 bước là xác thực khuôn mặt và so khớp với dữ liệu của Bộ Công an. Đối với khách hàng hiện hữu, phải gấp rút kiểm tra tính đầy đủ của dữ liệu, nhanh chóng cập nhật và làm sạch dữ liệu của khách hàng nhằm ngăn chặn rủi ro gian lận. Song song với đó, các giải pháp xác thực sinh trắc học phải dễ sử dụng, dễ tích hợp trên các thiết bị như di động, máy tính hoặc tại quầy, để đảm bảo sự thuận tiện cho khách hàng.
CÁC BIỆN PHÁP XÁC THỰC GIAO DỊCH TRỰC TUYẾN THEO QUYẾT ĐỊNH 2345/QĐ-NHNN
Các biện pháp xác thực giao dịch trực tuyến theo Quyết định 2345/QĐ-NHNN gồm 10 biện pháp sau:
1. OTP gửi qua phương thức SMS hoặc Voice hoặc Email: Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking sẽ gửi mã OTP qua tin nhắn SMS (SMS OTP) hoặc qua cuộc gọi thoại (Voice OTP) hoặc qua thư điện tử (Email OTP) khách hàng đã đăng ký trước. Khách hàng nhập mã OTP trên giao diện thanh toán trực tuyến để hoàn thành giao dịch để thanh toán.
2. Thẻ ma trận OTP: Thẻ ma trận là một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking sẽ thông báo số dòng, cột trên thẻ ma trận để khách hàng nhập mã OTP tương ứng hoàn thành giao dịch thanh toán.
3. Soft OTP loại cơ bản: Phần mềm tạo mã OTP (Soft OTP) thường được cài đặt trên thiết bị cầm tay thông minh đã đăng ký với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Đối với loại cơ bản, mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực tuyến tại tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng nhập mã OTP được sinh bởi Soft OTP. Khách hàng hoặc phần mềm tự động nhập mã OTP trên giao diện thanh toán trực tuyến và khách hàng thực hiện xác nhận để hoàn thành giao dịch thanh toán.
4. Soft OTP loại nâng cao: Soft OTP loại nâng cao thường được cài đặt trên thiết bị cầm tay thông minh đã đăng ký với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Đối với loại nâng cao, mã OTP được tạo kết hợp với mã của từng giao dịch (transaction signing). Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking tạo ra một mã giao dịch thông báo cho khách hàng. Khách hàng hoặc phần mềm tự động nhập mã giao dịch vào Soft OTP để phần mềm tạo ra mã OTP. Sau đó khách hàng hoặc phần mềm tự động nhập mã OTP trên giao diện thanh toán trực tuyến và khách hàng thực hiện xác nhận để hoàn thành giao dịch thanh toán.
5. Token OTP loại cơ bản: Token OTP là thiết bị tạo mã OTP. Đối với loại cơ bản, mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực tuyến tại tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng nhập mã OTP được sinh bởi Token OTP để hoàn thành giao dịch thanh toán.
6. Token OTP loại nâng cao: Token OTP loại nâng cao là thiết bị tạo mã OTP. Trong đó mã OTP được tạo kết hợp với mã của từng giao dịch (transaction signing). Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking tạo ra một mã giao dịch thông báo cho khách hàng. Khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP. Sau đó khách hàng nhập mã OTP trên giao diện thanh toán trực tuyến để hoàn thành giao dịch thanh toán.
7. Xác thực hai kênh: Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking gửi thông tin yêu cầu xác thực giao dịch đến thiết bị di động của khách hàng qua kênh thoại hoặc qua mã USSD hoặc qua phần mềm chuyên dụng. Khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch.
8. Sinh trắc học: Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng trình diện dấu hiệu nhận dạng sinh trắc học của khách hàng khó có khả năng làm giả để xác thực giao dịch (như khuôn mặt, tĩnh mạch ngón tay hoặc bàn tay, vân tay, mống mắt, giọng nói).
9. FIDO: Tiêu chuẩn xác thực do Liên minh Xác thực trực tuyến thế giới FIDO Alliance ban hành (tham khảo tại Fidoalliance.org). Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng sử dụng thiết bị U2F/UAF (giao tiếp qua cổng USB hoặc không dây (Bluetooth, NFC)) hoặc phần mềm xác thực tích hợp với điện thoại thông minh hoặc trình duyệt đáp ứng tiêu chuẩn FIDO2, Sau khi xác thực sử dụng thiết bị bằng mã truy cập hoặc dấu hiệu sinh trắc học, thiết bị U2F/UAF hoặc phần mềm xác thực sẽ tự động giao tiếp với trình duyệt và máy chủ xác thực để xác thực địa chỉ website Internet Banking và giao dịch.
10. Chữ ký điện tử an toàn: Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng sử dụng chữ ký điện tử an toàn đã đăng ký sử dụng với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Chữ ký điện tử an toàn bao gồm Chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận theo quy định của pháp luật.
Hoàng Hằng