Đề xuất các hình thức xác thực giao dịch điện tử theo dự thảo Thông tư mới (Hình từ internet)
Ngân hàng Nhà nước Việt Nam đang lấy ý kiến dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
- Xác thực giao dịch điện tử là hình thức xác nhận bằng phương tiện điện tử để thể hiện sự chấp thuận của khách hàng đối với giao dịch điện tử.
- SMS OTP, Voice OTP, Email OTP là các hình thức xác thực thông qua mã OTP gửi qua tin nhắn SMS, qua cuộc gọi thoại, qua thư điện tử.
- Xác thực hai kênh là hình thức xác thực khi khách hàng thực hiện giao dịch, hệ thống Online Banking sẽ gửi thông tin yêu cầu xác thực giao dịch đến thiết bị di động của khách hàng qua kênh thoại hoặc qua mã U SSD hoặc qua phần mềm chuyên dụng; khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch.
Theo Điều 11 dự thảo Thông tư, đã đề cập về các hình thức xác thực giao dịch điện tử như sau:
- Hình thức xác thực bằng mã PIN hoặc mã khóa bí mật phải đáp ứng yêu cầu:
+ Độ dài tối thiểu 4 ký tự;
+ Yêu cầu thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu;
+ Vô hiệu hóa mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo.
- Hình thức xác thực bằng SMS OTP, Voice OTP, Email OTP phải đáp ứng yêu cầu:
+ OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP;
+ OTP có hiệu lực tối đa không quá 03 phút.
- Hình thức xác thực bằng thẻ ma trận OTP phải đáp ứng yêu cầu:
+ Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;
+ OTP có hiệu lực tối đa không quá 02 phút.
- Hình thức xác thực bằng Soft OTP phải đáp ứng yêu cầu:
+ Soft OTP phải được đăng ký, quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và chỉ rõ đường dẫn trên trang điện tử hoặc cổng thông tin điện tử để khách hàng tải và cài đặt phần mềm;
+ Soft OTP phải yêu cầu kích hoạt trước khi sử dụng. Mã kích hoạt sử dụng Soft OTP do đơn vị cung cấp cho khách hàng và chỉ được sử dụng để kích hoạt trên một thiết bị di động. Mã kích hoạt phải được thiết lập thời hạn hiệu lực sử dụng;
+ Soft OTP phải có tính năng kiểm soát truy cập. Trường hợp khách hàng xác thực truy cập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần), Soft OTP phải tự động khóa không cho khách hàng sử dụng tiếp;
+ OTP có hiệu lực tối đa không quá 02 phút.
- Hình thức xác thực bằng OTP token phải đáp ứng yêu cầu: OTP có hiệu lực tối đa không quá 02 phút.
- Hình thức xác thực hai kênh phải đáp ứng yêu cầu: yêu cầu xác thực có hiệu lực tối đa không quá 02 phút.
- Hình thức xác thực FIDO phải đáp ứng yêu cầu: được Liên minh Xác thực trực tuyến thế giới (FIDO Alliance) cấp chứng chỉ.
- Hình thức xác thực bằng chữ ký điện tử phải đáp ứng yêu cầu: chữ ký điện tử phải đáp ứng quy định của pháp luật về chữ ký điện tử.
- Hình thức xác thực bằng dấu hiệu nhận dạng sinh trắc học phải đáp ứng yêu cầu:
+ Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học gắn liền với thiết bị di động: chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện một số lần (do đơn vị quy định) giao dịch thành công bằng hình thức xác thực khác.
+ Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học thông qua CCCD gắn chíp của khách hàng do cơ quan Công an cấp; hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; hoặc thông qua cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp tại điểm a khoản 4 Điều 8 dự thảo Thông tư này hoặc kiểm tra khớp đúng với dấu hiệu sinh trắc học trong cơ sở dữ liệu quốc gia về dân cư) phải tuân thủ tối thiểu các quy định sau:
++ Đơn vị lựa chọn công nghệ xác thực sinh trắc học có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương):
+++ Có tỷ lệ chấp nhận sai (FAR) < 0.01% theo tiêu chuẩn FIDO Biometric Requirement.
+++ Có tỷ lệ từ chối sai (FRR) < 5% theo tiêu chuẩn FIDO Biometric Requirement.
++ Có khả năng phát hiện phát hiện các cuộc tấn công giả mạo dấu hiệu sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 - Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.
+ Vô hiệu hóa hình thức xác thực bằng sinh trắc học trong trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo.
Như vậy, dự thảo Thông tư đã đề xuất bổ sung quy định về các hình thức xác thực giao dịch điện tử đã nêu cụ thể bên trên so với quy định hiện hành.
Hiện hành, tại Điều 10 Thông tư 35/2016/TT-NHNN sửa đổi, bổ sung bởi Thông tư 35/2018/TT-NHNN có quy định về yêu cầu đối với các giải pháp xác thực giao dịch như sau: - Yêu cầu đối với giải pháp xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử: + OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng nhận biết được mục đích của OTP; + OTP có hiệu lực tối đa không quá 05 phút. - Yêu cầu đối với giải pháp xác thực bằng thẻ ma trận OTP: + Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ; + OTP có hiệu lực tối đa không quá 02 phút. - Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ phần mềm cài đặt trên thiết bị di động: + Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm tạo OTP; + Phần mềm tạo OTP phải sử dụng mã khóa do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khóa kích hoạt chỉ được sử dụng cho một thiết bị di động; + Phần mềm tạo OTP phải được kiểm soát truy cập. Trường hợp xác thực truy cập sai năm lần liên tiếp, phần mềm phải tự động khóa không cho khách hàng sử dụng tiếp; + OTP có hiệu lực tối đa không quá 02 phút. - Yêu cầu đối với giải pháp xác thực bằng OTP được tạo từ thiết bị (OTP token): OTP có hiệu lực tối đa không quá 02 phút. - Yêu cầu đối với giải pháp xác thực bằng chữ ký số: Đơn vị phải sử dụng chữ ký số và dịch vụ chứng thực chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số hoạt động theo quy định của pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số. - Yêu cầu đối với giải pháp xác thực bằng dấu hiệu nhận dạng sinh trắc học: dấu hiệu nhận dạng sinh trắc học phải là dấu hiệu duy nhất gắn với mỗi khách hàng và không thể giả mạo. |
Xem thêm tại dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
Lê Nguyễn Anh Hào