Hình thức xác nhận FIDO là gì? Hình thức xác nhận FIDO phải đáp ứng yêu cầu như thế nào?

Nội dung chính

• Hình thức xác nhận FIDO là gì? Hình thức xác nhận FIDO phải đáp ứng yêu cầu như thế nào?
• Hệ thống Online Banking chỉ được hoạt động khi nào?
• Quy định bảo mật thông tin khách hàng trong giao dịch Online Banking như thế nào?

Hình thức xác nhận FIDO là gì? Hình thức xác nhận FIDO phải đáp ứng yêu cầu như thế nào?

Căn cứ tại khoản 7 Điều 11 Thông tư 50/2024/TT-NHNN quy định về các hình thức xác nhận như sau:

Điều 11. Các hình thức xác nhận

[...]

7. Hình thức xác nhận FIDO (Fast IDentity Online) là hình thức xác nhận theo tiêu chuẩn về xác nhận giao dịch sử dụng thuật toán khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do Liên minh FIDO (FIDO Alliance) ban hành. Hình thức xác nhận FIDO phải đáp ứng yêu cầu:

a) Khóa bí mật được lưu giữ an toàn trên thiết bị của khách hàng. Khách hàng sử dụng hình thức xác nhận bằng mã PIN hoặc khớp đúng thông tin sinh trắc học thiết bị để truy cập, sử dụng khóa bí mật khi thực hiện giao dịch;

b) Khóa công khai được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

c) Giải pháp do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức được Liên minh FIDO (FIDO Alliance) công nhận.

[...]

Như vậy, hình thức xác nhận FIDO (Fast IDentity Online) là hình thức xác nhận theo tiêu chuẩn về xác nhận giao dịch sử dụng thuật toán khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do Liên minh FIDO (FIDO Alliance) ban hành.

Ngoài ra, hình thức xác nhận FIDO phải đáp ứng yêu cầu như sau:

- Khóa bí mật được lưu giữ an toàn trên thiết bị của khách hàng. Khách hàng sử dụng hình thức xác nhận bằng mã PIN hoặc khớp đúng thông tin sinh trắc học thiết bị để truy cập, sử dụng khóa bí mật khi thực hiện giao dịch;

- Khóa công khai được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

- Giải pháp do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức được Liên minh FIDO (FIDO Alliance) công nhận.

Hình thức xác nhận FIDO là gì? Hình thức xác nhận FIDO phải đáp ứng yêu cầu như thế nào? (Hình từ Internet)

Hệ thống Online Banking chỉ được hoạt động khi nào?

Căn cứ tại khoản 8 Điều 3 Thông tư 50/2024/TT-NHNN quy định về nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking như sau:

Điều 3. Nguyên tắc chung về bảo đảm an toàn, bảo mật hệ thống thông tin cho việc cung cấp dịch vụ Online Banking

[....]

7. Đối với các hệ thống cung cấp dịch vụ cổng thanh toán điện tử, dịch vụ hỗ trợ thu hộ, chi hộ, không phải tuân thủ các quy định tại khoản 7, khoản 9, khoản 10 Điều 7 và Mục 2 Chương II Thông tư này.

8. Hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi bảo đảm an toàn, bảo mật theo quy định của Thông tư này và các quy định của pháp luật liên quan.

Như vậy, theo quy định, hệ thống Online Banking chỉ được hoạt động cung cấp dịch vụ cho khách hàng khi bảo đảm an toàn, bảo mật theo quy định Thông tư 50/2024/TT-NHNN và các quy định của pháp luật liên quan.

Quy định bảo mật thông tin khách hàng trong giao dịch Online Banking như thế nào?

Căn cứ theo Điều 19 Thông tư 50/2024/TT-NHNN quy định về bảo mật thông tin khách hàng trong giao dịch Online Banking như sau:

Đơn vị phải áp dụng các biện pháp bảo đảm an toàn, bảo mật dữ liệu khách hàng, tối thiểu bao gồm:

(1) Dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật.

(2) Thông tin sử dụng để xác nhận giao dịch của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để bảo đảm tính bí mật.

(3) Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.

(4) Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng chống nguy cơ lộ, lọt dữ liệu.

(5) Thông báo cho khách hàng khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng và báo cáo kịp thời về Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin)

Lưu ý: Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/01/2025, trừ trường hợp quy định tại:

- Điểm b khoản 1 Điều 4 Thông tư 50/2024/TT-NHNN, điểm d khoản 9 Điều 7 Thông tư 50/2024/TT-NHNN, khoản 3 và khoản 4 Điều 8 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/07/2025.

- Điểm b khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/01/2026.

- Điểm c khoản 5, điểm c khoản 7 Điều 11 Thông tư 50/2024/TT-NHNN, điểm b (iv) khoản 1 Điều 20 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/07/2026.