Mã OTP là gì? Mã OTP gửi qua tin nhắn SMS hoặc thư điện trong giao dịch ngân hàng phải đáp ứng yêu cầu gì?

Nội dung chính

• Mã OTP là gì?
• Mã OTP gửi qua tin nhắn SMS hoặc thư điện trong giao dịch ngân hàng phải đáp ứng yêu cầu gì?
• Khách hàng khi sử dụng Internet Banking phải có biện pháp gì để bảo mật thông tin?

Mã OTP là gì?

Tại khoản 4 Điều 2 Thông tư 35/2016/TT-NHNN có quy định về mã OTP như sau:

Giải thích từ ngữ và thuật ngữ

Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:

...

4. Mã khóa bí mật dùng một lần (One Time Password - OTP) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch Internet Banking.

Như vậy, mã OTP (One Time Password) là mật khẩu dùng một lần.

Mã OTP là một dãy ký tự hoặc số có độ dài từ 6 đến 8 ký tự, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch (ví dụ giao dịch qua Internet Banking).

Mã OTP được tạo ra ngẫu nhiên và khi người dùng thực hiện một giao dịch trực tuyến, mã OTP sẽ được gửi đến thiết bị của người dùng và phải nhập mã này để xác minh. Mã OTP thường là qua tin nhắn SMS hoặc ứng dụng di động.

Mã OTP có hiệu lực trong một khoảng thời gian nhất định, thường là từ 30 giây đến 2 phút.

Mã OTP là gì? Mã OTP gửi qua tin nhắn SMS hoặc thư điện trong giao dịch ngân hàng phải đáp ứng yêu cầu gì? (Hình từ Internet)

Mã OTP gửi qua tin nhắn SMS hoặc thư điện trong giao dịch ngân hàng phải đáp ứng yêu cầu gì?

Tại Điều 10 Thông tư 35/2016/TT-NHNN được sửa đổi bởi khoản 1 Điều 2 Thông tư 35/2018/TT-NHNN có quy định về yêu cầu đối với các giải pháp xác thực giao dịch như sau:

Yêu cầu đối với các giải pháp xác thực giao dịch

....

2. Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử:

a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;

b) OTP có hiệu lực tối đa không quá 05 phút.

3. Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP:

a) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

b) OTP có hiệu lực tối đa không quá 02 phút.

4. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động:

a) Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm tạo OTP;

b) Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động;

c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng sử dụng tiếp;

d) OTP có hiệu lực tối đa không quá 02 phút.

...

Như vậy, mã OTP gửi qua tin nhắn SMS hoặc thư điện tử trong giao dịch ngân hàng phải đáp ứng yêu cầu sau:

- OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;

- OTP có hiệu lực tối đa không quá 05 phút.

Khách hàng khi sử dụng Internet Banking phải có biện pháp gì để bảo mật thông tin?

Tại Điều 18 Thông tư 35/2016/TT-NHNN có hướng dẫn khách hàng sử dụng dịch vụ Internet Banking như sau:

- Bảo vệ bí mật mã khóa bí mật, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;

- Cách thiết lập mã khóa bí mật và thay đổi mã khóa bí mật tài khoản truy cập theo định kỳ tối thiểu một năm một lần hoặc khi bị lộ, nghi bị lộ;

- Không dùng máy tính công cộng để truy cập, thực hiện giao dịch Internet Banking;

- Không lưu lại tên đăng nhập và mã khóa bí mật trên các trình duyệt web;

- Thoát khỏi ứng dụng Internet Banking khi không sử dụng;

- Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo website;

- Yêu cầu cài đặt, sử dụng phần mềm diệt vi rút trên thiết bị cá nhân sử dụng để giao dịch Internet Banking;

- Lựa chọn các giải pháp xác thực có mức độ an toàn, bảo mật phù hợp với nhu cầu của khách hàng về hạn mức giao dịch;

- Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ Internet Banking;

- Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Internet Banking, phần mềm tạo OTP.

- Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường;

- Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khoá bảo mật tạo chữ ký số; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.

Trân trọng!