Ngày 18/12/2023 NHNN Việt Nam đã ban hành Quyết định 2345/QĐ-NHNN năm 2023 về triển khai các giải pháp an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
(1) Biện pháp xác thực trong thanh toán trực tuyến trên Internet
Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán căn cứ phân loại giao dịch tại Phụ lục 01 tải đính kèm, triển khai áp dụng các biện pháp xác thực trong thanh toán trực tuyến trên Internet (Internet Banking, Mobile Banking) như sau:
|
STT
|
Giao dịch1
|
Biện pháp xác thực2 tối thiểu
|
|
Khách hàng cá nhân
|
Khách hàng tổ chức
|
|
1
|
Giao dịch loại A
|
- Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực tại bước thực hiện giao dịch).
|
- Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực tại bước thực hiện giao dịch).
|
|
2
|
Giao dịch loại B
|
- OTP gửi qua phương thức SMS hoặc Voice hoặc Email.
- Hoặc Thẻ ma trận OTP.
- Hoặc Soft OTP/ Token OTP loại cơ bản.
- Hoặc biện pháp xác thực qua hai kênh.
- Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng gắn liền với thiết bị cầm tay thông minh3.
- Hoặc Soft OTP/Token OTP loại nâng cao.
- Hoặc theo chuẩn FIDO.
- Hoặc bằng chữ ký điện tử an toàn.
|
- OTP gửi qua phương thức SMS hoặc Voice hoặc Email.
- Hoặc Thẻ ma trận OTP.
- Hoặc Token OTP loại cơ bản, không có chức năng xác thực người dùng sử dụng Token.
- Hoặc bằng dấu hiệu nhận dạng sinh trắc học của người đại diện hợp pháp, người phụ trách kế toán (nếu có) của khách hàng gắn liền với thiết bị cầm tay thông minh3.
|
|
3
|
Giao dịch loại C
|
- Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ căn cước công dân (CCCD) của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập5.
- Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu (CSDL) sinh trắc học về khách hàng đã thu thập và kiểm tra6, khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
|
- Soft OTP/Token OTP loại cơ bản, có chức năng xác thực người dùng sử dụng phần mềm, Token.
- Hoặc biện pháp xác thực qua hai kênh.
|
|
4
|
Giao dịch loại D
|
Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ CCCD của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; (iii) hoặc khớp đúng với dữ liệu sinh trắc học được lưu trong CSDL sinh trắc học về khách hàng đã thu thập và kiểm tra6, kết hợp một trong các biện pháp xác thực sau:
- Soft OTP/Token OTP loại nâng cao.
- Hoặc theo chuẩn FIDO.
- Hoặc bằng chữ ký điện tử an toàn.
- Soft OTP/Token OTP loại nâng cao.
- Hoặc theo chuẩn FIDO.
- Hoặc bằng chữ ký điện tử an toàn.
|
|
Ghi chú:
- Biện pháp xác thực giao dịch loại D có thể xác thực giao dịch loại A, B, C.
- Biện pháp xác thực giao dịch loại C có thể xác thực giao dịch loại A, B.
- Biện pháp xác thực giao dịch loại B có thể xác thực giao dịch loại A.
- Trường hợp các đơn vị sử dụng các biện pháp xác thực khác các loại trên thì báo cáo bằng văn bản gửi Ngân hàng Nhà nước (qua Cục Công nghệ thông tin) trước khi áp dụng tối thiểu 03 tháng.
(2) Các giải pháp giảm thiểu rủi ro trong thanh toán trực tuyến
Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán phải triển khai áp dụng các giải pháp giảm thiểu rủi ro trong thanh toán trực tuyến như sau:
* Đối với khách, hàng cá nhân, trước khi thực hiện giao dịch lần đầu bằng ứng dụng Mobile Banking hoặc trước khi thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch Mobile Banking lần gần nhất thì phải xác thực khách hàng:
- Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ CCCD của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập;
- Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong CSDL sinh trắc học về khách hàng đã thu thập và kiểm tra6, kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
* Thông báo việc đăng nhập lần đầu ứng dụng Internet Banking/ Mobile Banking hoặc việc đăng nhập ứng dụng Internet Banking/ Mobile Banking trên thiết bị khác với thiết bị thực hiện đăng nhập ứng dụng Internet Banking/ Mobile Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (email, điện thoại,…)
* Lưu trữ thông tin về thiết bị thực hiện các giao dịch trực tuyến của khách hàng và nhật ký (log) xác thực giao dịch tối thiểu trong vòng 3 tháng.
- Thông tin về thiết bị tối thiểu bao gồm;
+ Đối với thiết bị di động: Thông tin định danh duy nhất của thiết bị (như số IMEL Serial, WLAN MAC, Android ID,…).
+ Đối với máy tính; địa chỉ MAC hoặc thông tin định danh thiết bị khác thông qua các API (Application Programming Interface) của hệ điều hành.
- Nhật ký (log) xác thực giao dịch tối thiểu gồm: biện pháp xác thực, thời gian xác thực, mã giao dịch được xác thực, mã khách hàng.
(3) Các giải pháp giảm thiểu rủi ro đối với tổ chức cung ứng dịch vụ thanh toán thẻ
Các tổ chức cung ứng dịch vụ thanh toán thẻ phải triển khai các giải pháp giảm thiểu rủi ro như sau:
- Thông báo giao dịch qua tin nhắn SMS hoặc thư điện tử.
- Thiết lập hạn mức giao dịch trong ngày.
- Thiết lập tính năng cho phép/ không cho phép thanh toán trực tuyến.
- Thiết lập hạn mức thanh toán thẻ trực tuyến trong ngày.
- Thiết lập tính năng cho phép/ không cho phép thanh toán ở nước ngoài (ngoại trừ các giao dịch trực tuyến).
- Triển khai giải pháp xác thực 3D Secure (hoặc tương đương) cho việc thanh toán trực tuyến với thẻ quốc tế.
