Mã OTP có hiệu lực trong bao lâu? Biện pháp xác thực bằng mã OTP khi sử dụng Internet Banking/Mobile Banking?

Nội dung chính

• Mã OTP có hiệu lực trong bao lâu?
• Biện pháp xác thực bằng mã OTP khi sử dụng Internet Banking/Mobile Banking thế nào?
• Ngân hàng phải hướng dẫn những gì cho khách hàng khi sử dụng dịch vụ Internet Banking?

Mã OTP có hiệu lực trong bao lâu?

Theo khoản 4 Điều 2 Thông tư 35/2016/TT-NHNN giải thích thì Mã OTP - Mã khóa bí mật dùng một lần (One Time Password) là mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, thường được sử dụng như một yếu tố thứ 2 để xác thực người dùng truy cập ứng dụng hoặc thực hiện giao dịch Internet Banking.

Dẫn chiếu đến Điều 10 Thông tư 35/2016/TT-NHNN quy định như sau:

Yêu cầu đối với các giải pháp xác thực giao dịch

...

2. Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử:

a) OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;

b) OTP có hiệu lực tối đa không quá 05 phút.

3. Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP:

a) Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

b) OTP có hiệu lực tối đa không quá 02 phút.

4. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động:

a) Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm tạo OTP;

b) Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động;

c) Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp, phần mềm phải tự động khoá không cho khách hàng sử dụng tiếp;

d) OTP có hiệu lực tối đa không quá 02 phút.

5. Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ thiết bị (OTP token): OTP có hiệu lực tối đa không quá 02 phút.

...

Theo đó, hiệu lực của Mã OTP tùy thuộc vào từng trường hợp, cụ thể:

- Đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử thì OTP có hiệu lực tối đa không quá 05 phút.

- Đối với giải pháp xác thực bằng thẻ ma trận OTP thì OTP có hiệu lực tối đa không quá 02 phút.

- Đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động thì OTP có hiệu lực tối đa không quá 02 phút.

- Đối với giải pháp xác thực bằng OTP được tạo từ thiết bị (OTP token) thì OTP có hiệu lực tối đa không quá 02 phút.

Mã OTP có hiệu lực trong bao lâu? (Hình từ Internet)

Biện pháp xác thực bằng mã OTP khi sử dụng Internet Banking/Mobile Banking thế nào?

Việc xác thực bằng mã OTP khi sử dụng Internet Banking/Mobile Banking được quy định tại Phụ lục 02 ban hành kèm Quyết định 2345/QĐ-NHNN năm 2023 như sau:

Theo đó, biện pháp xác thực bằng mã OTP khi sử dụng Internet Banking/Mobile Banking được quy định như sau:

- Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking, ngân hàng sẽ gửi mã OTP qua tin nhắn SMS (SMS OTP) hoặc qua cuộc gọi thoại (Voice OTP) hoặc qua thư điện tử (Email OTP) khách hàng đã đăng ký trước.

- Khách hàng nhập mã OTP trên giao diện thanh toán trực tuyến để hoàn thành giao dịch để thanh toán.

Ngân hàng phải hướng dẫn những gì cho khách hàng khi sử dụng dịch vụ Internet Banking?

Căn cứ Điều 18 Thông tư 35/2016/TT-NHNN quy định, ngân hàng phải xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị thực hiện các giao dịch Internet Banking và cung cấp, hướng dẫn khách hàng sử dụng các quy trình, tài liệu này.

Cụ thể, ngân hàng phải hướng dẫn khách hàng thực hiện các biện pháp đảm bảo an toàn, bảo mật khi sử dụng dịch vụ Internet Banking, tối thiểu gồm các nội dung sau:

- Bảo vệ bí mật mã khóa bí mật, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;

- Cách thiết lập mã khóa bí mật và thay đổi mã khóa bí mật tài khoản truy cập theo định kỳ tối thiểu một năm một lần hoặc khi bị lộ, nghi bị lộ;

- Không dùng máy tính công cộng để truy cập, thực hiện giao dịch Internet Banking;

- Không lưu lại tên đăng nhập và mã khóa bí mật trên các trình duyệt web;

- Thoát khỏi ứng dụng Internet Banking khi không sử dụng;

- Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo website;

- Yêu cầu cài đặt, sử dụng phần mềm diệt vi rút trên thiết bị cá nhân sử dụng để giao dịch Internet Banking;

- Lựa chọn các giải pháp xác thực có mức độ an toàn, bảo mật phù hợp với nhu cầu của khách hàng về hạn mức giao dịch;

- Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ Internet Banking;

- Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Internet Banking, phần mềm tạo OTP.

- Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường;

- Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khoá bảo mật tạo chữ ký số; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.

Ngoài ra, ngân hàng còn phải cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ.