Đề xuất hình thức xác thực giao dịch điện tử theo dự thảo Thông tư mới

Chủ đề   RSS   
  • #612912 18/06/2024

    lamtuyet9366
    Top 500
    Lớp 2

    Vietnam --> Hồ Chí Minh
    Tham gia:04/05/2024
    Tổng số bài viết (265)
    Số điểm: 3374
    Cảm ơn: 1
    Được cảm ơn 142 lần


    Đề xuất hình thức xác thực giao dịch điện tử theo dự thảo Thông tư mới

    Ngân hàng Nhà nước Việt Nam đang dự thảo Thông tư mới quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng. Trong đó, đề xuất hình thức xác thực giao dịch điện tử  đang là điểm đáng chú trong dự thảo.

    Trong bối cảnh công nghệ thông tin ngày càng phát triển, giao dịch điện tử đang trở thành xu hướng tất yếu của xã hội hiện đại. Tuy nhiên, để đảm bảo tính bảo mật và chính xác của các giao dịch này, việc áp dụng các hình thức xác thực hiệu quả là vô cùng cần thiết. 

    (1) Xác thực giao dịch điện tử là gì?

     Xác thực giao dịch điện tử là hình thức xác nhận bằng phương tiện điện tử để thể hiện sự chấp thuận của khách hàng đối với giao dịch điện tử theo khoản 8 Điều 2 của dự thảo. 

    Căn cứ Điều 10 dự thảo quy định về xác thực giao dịch điện tử như sau:

    - Đối với giao dịch thanh toán trực tuyến (ngoại trừ thanh toán thẻ quốc tế): đơn vị thực hiện phân loại giao dịch theo các nhóm loại hình giao dịch tại Phụ lục 01 ban hành kèm theo dự thảo và áp dụng các hình thức xác thực giao dịch điện tử theo quy định tại Điều 11 và Phụ lục 02 ban hành kèm theo dự thảo.

    Xem và tải Phụ lục 01 tại đây:https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/18/phu-luc-1.docx

    Xem và tải Phụ lục 02 tại đây:https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/18/phu-luc-02.docx

    - Đối với các giao dịch ngân hàng trực tuyến khác: đơn vị áp dụng tối thiểu một trong các hình thức xác thực giao dịch điện tử theo quy định tại Điều 1 dự thảo trên cơ sở đánh giá rủi ro tối thiểu theo từng nhóm khách hàng, loại giao dịch, hạn mức giao dịch (nếu có) và tuân thủ quy định pháp luật về giao dịch điện tử.

    Bài được viết theo Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng ( lần 01):https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/18/du-thao-tt-thay-the-tt-35.docx

     

    (2) Đề xuất hình thức xác thực giao dịch điện tử theo dự thảo Thông tư mới

    Theo Điều 11 dự thảo mới đề xuất các thức giao dịch điện tử như sau:

    - Hình thức xác thực bằng mã PIN hoặc mã khóa bí mật phải đáp ứng yêu cầu:

    + Độ dài tối thiểu 4 ký tự.

    + Yêu cầu thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu;

    + Vô hiệu hóa mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo.

    - Hình thức xác thực bằng SMS OTP, Voice OTP, Email OTP phải đáp ứng yêu cầu:

    SMS OTP, Voice OTP, Email OTP là các hình thức xác thực thông qua mã OTP gửi qua tin nhắn SMS, qua cuộc gọi thoại, qua thư điện tử theo khoản 10 Điều 2 dự thảo.

    Căn cứ theo khoản 2 Điều 11 dự thảo quy định về xác thực bằng SMS OTP, Voice OTP, Email OTP phải đáp ứng yêu cầu như sau:

    + OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP.

    + OTP có hiệu lực tối đa không quá 03 phút.

    - Hình thức xác thực bằng thẻ ma trận OTP phải đáp ứng yêu cầu:

    + Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ.

    + OTP có hiệu lực tối đa không quá 02 phút.

    - Hình thức xác thực bằng Soft OTP phải đáp ứng yêu cầu:

    + Soft OTP phải được đăng ký, quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và chỉ rõ đường dẫn trên trang điện tử hoặc cổng thông tin điện tử để khách hàng tải và cài đặt phần mềm.

    + Soft OTP phải yêu cầu kích hoạt trước khi sử dụng. Mã kích hoạt sử dụng Soft OTP do đơn vị cung cấp cho khách hàng và chỉ được sử dụng để kích hoạt trên một thiết bị di động. Mã kích hoạt phải được thiết lập thời hạn hiệu lực sử dụng.

    + Soft OTP phải có tính năng kiểm soát truy cập. Trường hợp khách hàng xác thực truy cập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần), Soft OTP phải tự động khóa không cho khách hàng sử dụng tiếp.

    + OTP có hiệu lực tối đa không quá 02 phút.

    - Hình thức xác thực bằng OTP token phải đáp ứng yêu cầu: OTP có hiệu lực tối đa không quá 02 phút.

    Căn cứ theo khoản 13 Điều 2 Dự thảo định nghĩa OTP token như sau:

    Token OTP là hình thức xác thực thông qua mã OTP tạo bởi thiết bị chuyên dụng. Token OTP có 02 loại:

    + Token OTP loại cơ bản: Mã OTP được tạo một cách ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking.

    +  Token OTP loại nâng cao: Mã OTP được tạo ra kết hợp với mã của từng giao dịch. Khi thực hiện giao dịch, hệ thống Online Banking tạo ra một mã giao dịch thông báo cho khách hàng, khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP.

    -  Hình thức xác thực hai kênh phải đáp ứng yêu cầu: yêu cầu xác thực có hiệu lực tối đa không quá 02 phút.

    Xác thực hai kênh là hình thức xác thực khi khách hàng thực hiện giao dịch, hệ thống Online Banking sẽ gửi thông tin yêu cầu xác thực giao dịch đến thiết bị di động của khách hàng qua kênh thoại hoặc qua mã USSD hoặc qua phần mềm chuyên dụng; khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch theo khoản 14 Điều 2 dự thảo.

    - Hình thức xác thực FIDO phải đáp ứng yêu cầu: được Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) cấp chứng chỉ.

    FIDO là tiêu chuẩn xác thực do Liên minh Xác thực trực tuyến thế giới FIDO Alliance ban hành theo khoản 16 Điều 2 Dự thảo.

    - Hình thức xác thực bằng chữ ký điện tử phải đáp ứng yêu cầu: chữ ký điện tử phải đáp ứng quy định của pháp luật về chữ ký điện tử.

    Chữ ký điện tử an toàn là chữ ký điện tử bao gồm Chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận theo quy định của pháp luật theo khoản 17 Điều 2 Dự thảo

    - Hình thức xác thực bằng dấu hiệu nhận dạng sinh trắc học phải đáp ứng yêu cầu:

    + Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học gắn liền với thiết bị di động: chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện một số lần (do đơn vị quy định) giao dịch thành công bằng hình thức xác thực khác.

    + Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học thông qua CCCD gắn chíp của khách hàng do cơ quan Công an cấp; hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; hoặc thông qua cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp tại điểm a khoản 4 Điều 8 dự thảo hoặc kiểm tra khớp đúng với dấu hiệu sinh trắc học trong cơ sở dữ liệu quốc gia về dân cư) phải tuân thủ tối thiểu các quy định sau:

    + Vô hiệu hóa hình thức xác thực bằng sinh trắc học trong trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo

    Tóm lại, so với Thông tư 35/2016/TT-NHNN, dự thảo mới đã đề xuất các hình thức xác thực giao dịch điện tử, bổ sung thêm các yêu cầu  cũng như sửa đổi, thêm các định nghĩa về xác thực giao dịch điện tử; FIDO; SMS OTP, Voice OTP, Email OTP; thẻ ma trận OTP là gì giúp cho người dân hiểu rõ và thực hiện đúng về các yêu cầu xác thực giao dịch điện tử.

    Bài được viết theo Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng ( lần 01):https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/18/du-thao-tt-thay-the-tt-35.docx

     

     
    249 | Báo quản trị |  

Like DanLuat để cập nhật các Thông tin Pháp Luật mới và nóng nhất mỗi ngày.

Thảo luận