Đề xuất hình thức xác thực giao dịch điện tử theo dự thảo Thông tư mới

(2) Đề xuất hình thức xác thực giao dịch điện tử theo dự thảo Thông tư mới

Theo Điều 11 dự thảo mới đề xuất các thức giao dịch điện tử như sau:

- Hình thức xác thực bằng mã PIN hoặc mã khóa bí mật phải đáp ứng yêu cầu:

+ Độ dài tối thiểu 4 ký tự.

+ Yêu cầu thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu;

+ Vô hiệu hóa mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo.

- Hình thức xác thực bằng SMS OTP, Voice OTP, Email OTP phải đáp ứng yêu cầu:

SMS OTP, Voice OTP, Email OTP là các hình thức xác thực thông qua mã OTP gửi qua tin nhắn SMS, qua cuộc gọi thoại, qua thư điện tử theo khoản 10 Điều 2 dự thảo.

Căn cứ theo khoản 2 Điều 11 dự thảo quy định về xác thực bằng SMS OTP, Voice OTP, Email OTP phải đáp ứng yêu cầu như sau:

+ OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP.

+ OTP có hiệu lực tối đa không quá 03 phút.

- Hình thức xác thực bằng thẻ ma trận OTP phải đáp ứng yêu cầu:

+ Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ.

+ OTP có hiệu lực tối đa không quá 02 phút.

- Hình thức xác thực bằng Soft OTP phải đáp ứng yêu cầu:

+ Soft OTP phải được đăng ký, quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và chỉ rõ đường dẫn trên trang điện tử hoặc cổng thông tin điện tử để khách hàng tải và cài đặt phần mềm.

+ Soft OTP phải yêu cầu kích hoạt trước khi sử dụng. Mã kích hoạt sử dụng Soft OTP do đơn vị cung cấp cho khách hàng và chỉ được sử dụng để kích hoạt trên một thiết bị di động. Mã kích hoạt phải được thiết lập thời hạn hiệu lực sử dụng.

+ Soft OTP phải có tính năng kiểm soát truy cập. Trường hợp khách hàng xác thực truy cập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần), Soft OTP phải tự động khóa không cho khách hàng sử dụng tiếp.

+ OTP có hiệu lực tối đa không quá 02 phút.

- Hình thức xác thực bằng OTP token phải đáp ứng yêu cầu: OTP có hiệu lực tối đa không quá 02 phút.

Căn cứ theo khoản 13 Điều 2 Dự thảo định nghĩa OTP token như sau:

Token OTP là hình thức xác thực thông qua mã OTP tạo bởi thiết bị chuyên dụng. Token OTP có 02 loại:

+ Token OTP loại cơ bản: Mã OTP được tạo một cách ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking.

+  Token OTP loại nâng cao: Mã OTP được tạo ra kết hợp với mã của từng giao dịch. Khi thực hiện giao dịch, hệ thống Online Banking tạo ra một mã giao dịch thông báo cho khách hàng, khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP.

-  Hình thức xác thực hai kênh phải đáp ứng yêu cầu: yêu cầu xác thực có hiệu lực tối đa không quá 02 phút.

Xác thực hai kênh là hình thức xác thực khi khách hàng thực hiện giao dịch, hệ thống Online Banking sẽ gửi thông tin yêu cầu xác thực giao dịch đến thiết bị di động của khách hàng qua kênh thoại hoặc qua mã USSD hoặc qua phần mềm chuyên dụng; khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch theo khoản 14 Điều 2 dự thảo.

- Hình thức xác thực FIDO phải đáp ứng yêu cầu: được Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) cấp chứng chỉ.

FIDO là tiêu chuẩn xác thực do Liên minh Xác thực trực tuyến thế giới FIDO Alliance ban hành theo khoản 16 Điều 2 Dự thảo.

- Hình thức xác thực bằng chữ ký điện tử phải đáp ứng yêu cầu: chữ ký điện tử phải đáp ứng quy định của pháp luật về chữ ký điện tử.

Chữ ký điện tử an toàn là chữ ký điện tử bao gồm Chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận theo quy định của pháp luật theo khoản 17 Điều 2 Dự thảo

- Hình thức xác thực bằng dấu hiệu nhận dạng sinh trắc học phải đáp ứng yêu cầu:

+ Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học gắn liền với thiết bị di động: chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện một số lần (do đơn vị quy định) giao dịch thành công bằng hình thức xác thực khác.

+ Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học thông qua CCCD gắn chíp của khách hàng do cơ quan Công an cấp; hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; hoặc thông qua cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp tại điểm a khoản 4 Điều 8 dự thảo hoặc kiểm tra khớp đúng với dấu hiệu sinh trắc học trong cơ sở dữ liệu quốc gia về dân cư) phải tuân thủ tối thiểu các quy định sau:

+ Vô hiệu hóa hình thức xác thực bằng sinh trắc học trong trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo

Tóm lại, so với Thông tư 35/2016/TT-NHNN, dự thảo mới đã đề xuất các hình thức xác thực giao dịch điện tử, bổ sung thêm các yêu cầu  cũng như sửa đổi, thêm các định nghĩa về xác thực giao dịch điện tử; FIDO; SMS OTP, Voice OTP, Email OTP; thẻ ma trận OTP là gì giúp cho người dân hiểu rõ và thực hiện đúng về các yêu cầu xác thực giao dịch điện tử.

Bài được viết theo Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng ( lần 01):https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/18/du-thao-tt-thay-the-tt-35.docx