Từ 01/7/2024, 04 cấp độ bảo mật khi giao dịch thanh toán đối với khách hàng cá nhân là gì?

Nội dung chính

• Từ 01/7/2024, 04 cấp độ bảo mật khi giao dịch thanh toán đối với khách hàng cá nhân là gì?
• Biện pháp xác thực tối thiểu của các biện pháp xác thực giao dịch đối với khách hàng cá nhân được quy định như thế nào?
• Chi tiết biện pháp FIDO như thế nào?

Từ 01/7/2024, 04 cấp độ bảo mật khi giao dịch thanh toán đối với khách hàng cá nhân là gì?

Từ 01/7/2024, Quyết định 2345/QĐ-NHNN năm 2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng chính thức có hiệu lực.

Theo đó, việc xác thực thanh toán trực tuyến ngân hàng trên Internet (gồm Internet Banking và Mobile Banking) sẽ được chia làm 4 cấp độ bảo mật từ thấp tới cao (phân loại từ A, B, C, D). Cấp thấp nhất chỉ cần mật khẩu hoặc mã PIN, cao nhất phải kết hợp sinh trắc học với biện pháp khác.

Dưới đây là 4 cấp độ bảo mật khi giao dịch thanh toán của khách hàng cá nhân:

(1) Biện pháp xác thực giao dịch loại A:

Khách hàng chỉ cần xác thực bằng tên đăng nhập, mật khẩu hoặc mã PIN, và không bắt buộc xác thực tại bước thực hiện giao dịch nếu đã đăng nhập trước đó.

Sau 1/7, các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý có giá trị của giao dịch và tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày (của một tài khoản ngân hàng (bao gồm giao dịch nạp tiền vào ví điện tử) hoặc một ví điện tử (không bao gồm giao dịch nạp tiền vào ví điện tử)) từ dưới 5 triệu đồng.

(2) Biện pháp xác thực giao dịch loại B:

Xác thực cấp độ này bằng các hình thức OTP, nhận dạng sinh trắc học gắn với thiết bị cầm tay, hoặc bằng chữ ký điện tử an toàn.

Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý có giá trị của giao dịch và tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày từ 5-100 triệu đồng.

(3) Biện pháp xác thực giao dịch loại C:

Khách hàng phải xác thực sinh trắc học khớp với các nguồn dữ liệu đã định danh.

Áp dụng với các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý có giá trị của giao dịch và tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày từ 100 triệu đồng đến 1,5 tỷ đồng.

(4) Biện pháp xác thực giao dịch loại D:

Yêu cầu xác thực này áp dụng với các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý có giá trị của giao dịch và tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày lớn hơn 1,5 tỷ đồng.

Lúc này, khách hàng muốn thực hiện giao dịch cần kết hợp xác thực sinh trắc học với một biện pháp khác như nhập mã OTP; kết hợp phương thức xác thực nhanh trực tuyến (FIDO) với cấp độ xác thực mạnh hơn kèm thêm chữ ký điện tử an toàn.

Ghi chú:

- Biện pháp xác thực giao dịch loại D có thể xác thực giao dịch loại A, B, C.

- Biện pháp xác thực giao dịch loại C có thể xác thực giao dịch loại A, B.

- Biện pháp xác thực giao dịch loại B có thể xác thực giao dịch loại A.

Chi tiết các cấp độ tại Quyết định 2345/QĐ-NHNN năm 2023 triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành.

Từ 01/7/2024, 04 cấp độ bảo mật khi giao dịch thanh toán đối với khách hàng cá nhân là gì? (Hình từ Internet)

Biện pháp xác thực tối thiểu của các biện pháp xác thực giao dịch đối với khách hàng cá nhân được quy định như thế nào?

Theo Điều 1 Quyết định 2345/QĐ-NHNN năm 2023 quy định biện pháp xác thực tối thiểu của các biện pháp xác thực giao dịch đối với khách hàng cá nhân như sau:

(1) Giao dịch loại A

- Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực tại bước thực hiện giao dịch).

(2) Giao dịch loại B

- OTP gửi qua phương thức SMS hoặc Voice hoặc Email.

- Hoặc Thẻ ma trận OTP.

- Hoặc Soft OTP/ Token OTP loại cơ bản.

- Hoặc biện pháp xác thực qua hai kênh.

- Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng gắn liền với thiết bị cầm tay thông minh3.

- Hoặc Soft OTP/Token OTP loại nâng cao.

- Hoặc theo chuẩn FIDO.

- Hoặc bằng chữ ký điện tử an toàn.

(3) Giao dịch loại C

- Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ căn cước công dân (CCCD) của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập5.

- Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu (CSDL) sinh trắc học về khách hàng đã thu thập và kiểm tra6, khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.

(4) Giao dịch loại D

Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chíp của thẻ CCCD của khách hàng do cơ quan Công an cấp; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; (iii) hoặc khớp đúng với dữ liệu sinh trắc học được lưu trong CSDL sinh trắc học về khách hàng đã thu thập và kiểm tra, kết hợp một trong các biện pháp xác thực sau:

- Soft OTP/Token OTP loại nâng cao.

- Hoặc theo chuẩn FIDO.

- Hoặc bằng chữ ký điện tử an toàn.

Chi tiết biện pháp FIDO như thế nào?

Theo Phụ lục 2 ban hành kèm theo Quyết định 2345/QĐ-NHNN năm 2023 quy định chi tiết biện pháp FIDO như sau:

Tiêu chuẩn xác thực do Liên minh Xác thực trực tuyến thế giới FIDO Alliance ban hành (tham khảo tại Fidoalliance.org).

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng sử dụng thiết bị U2F/UAF (giao tiếp qua cổng USB hoặc không dây (Bluetooth, NFC)) hoặc phần mềm xác thực tích hợp với điện thoại thông minh hoặc trình duyệt đáp ứng tiêu chuẩn FIDO2, Sau khi xác thực sử dụng thiết bị bằng mã truy cập hoặc dấu hiệu sinh trắc học, thiết bị U2F/UAF hoặc phần mềm xác thực sẽ tự động giao tiếp với trình duyệt và máy chủ xác thực để xác thực địa chỉ website Internet Banking và giao dịch.