App ngân hàng phải có khả năng chống giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D

App ngân hàng phải có khả năng chống giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D (Hình từ Internet)

Ngày 31/10/2024, Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

App ngân hàng phải có khả năng chống giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D

Cụ thể đối với hình thức xác nhận khớp đúng thông tin sinh trắc học, phần mềm ứng dụng Online Banking (tức các app ngân hàng) phải đáp ứng tối thiểu yêu cầu:

- Trường hợp áp dụng hình thức khớp đúng thông tin sinh trắc học sử dụng khuôn mặt:

+ Có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương): Có tỷ lệ từ chối sai < 5% với tỷ lệ chấp nhận sai < 0,01% theo tiêu chuẩn FIDO Biometric Requirement (áp dụng đối với tập mẫu tối thiểu 10.000 mẫu);

+ Có khả năng phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 - Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.

- Trường hợp áp dụng các hình thức khớp đúng thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách hàng theo tiêu chuẩn tương đương;

- Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) theo quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận; (Quy định này sẽ áp dụng từ ngày 01/7/2026)

- Trường hợp khách hàng xác nhận bằng hình thức khớp đúng thông tin sinh trắc học quá số lần sai liên tiếp do đơn vị quy định (nhưng không quá 10 lần): khóa chức năng thực hiện xác nhận giao dịch bằng hình thức khớp đúng thông tin sinh trắc học, chỉ mở khóa khi khách hàng yêu cầu và phải kiểm tra khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo;

- Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 03 phút.

Được biết, hình thức xác nhận khớp đúng thông tin sinh trắc học là một trong 11 cách xác nhận giao dịch điện tử thông qua Online Banking.

Cụ thể, 11 hình thức xác nhận này bao gồm:

- Hình thức xác nhận bằng mã khóa bí mật (Password);

- Hình thức xác nhận bằng mã PIN (Personal Identification Number);

- Hình thức xác nhận bằng mã khóa bí mật dùng một lần (One Time Password - OTP);

- Hình thức xác nhận hai kênh;

- Hình thức xác nhận khớp đúng thông tin sinh trắc học;

- Hình thức xác nhận khớp đúng thông tin sinh trắc học thiết bị;

- Hình thức xác nhận FIDO (Fast IDentity Online);

- Hình thức xác nhận bằng chữ ký điện tử theo quy định của pháp luật về chữ ký điện tử (không bao gồm chữ ký điện tử an toàn);

- Hình thức xác nhận bằng chữ ký điện tử an toàn;

- Hình thức xác nhận trên cơ sở đánh giá rủi ro đối với giao dịch thanh toán thẻ trực tuyến theo tiêu chuẩn EMV 3-D Secure (gọi tắt là hình thức xác nhận EMV 3DS);

- Hình thức xác nhận thông qua các thao tác thể hiện sự xác nhận của khách hàng đối với thông điệp dữ liệu khi thực hiện giao dịch.

(Điều 11 Thông tư 50/2024/TT-NHNN)

Xem thêm tại Thông tư 50/2024/TT-NHNN có hiệu lực từ ngày 01/01/2025.