Các ngân hàng sẽ phải áp dụng các giải pháp bảo mật cao cho những giao dịch có giá trị lớn.

Đây là thông tin được Ngân hàng Nhà nước (NHNN) đưa ra trong dự thảo Thông tư Quy định về an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến. Nếu không có gì thay đổi, các quy định tại Thông tư này sẽ được áp dụng từ 1/3/2017.

Cụ thể, NHNN đưa ra 4 loại giao dịch với số tiền thanh toán khác nhau, cùng với đó là những giải pháp bảo mật có tính phức tạp tương đương.

Với giao dịch loại D (các giao dịch thanh toán có số tiền từ 200 triệu đồng trở lên), ngân hàng phải tối thiểu áp dụng một trong các giải pháp: chữ ký số; dấu hiệu nhận dạng sinh trắc học của khách hàng gồm khuôn mặt, ánh mắt, giọng nói, mạch máu; các giải pháp xác thực khác có tiêu chuẩn, tính năng bảo mật tương đương hoặc cao hơn và phải được sự chấp thuận của Ngân hàng Nhà nước.

Giao dich tu 200 trieu tro len: Bao mat bang anh mat, giong noi - Anh 1

Ảnh minh họa

Với giao dịch loại A (các giao dịch thanh toán có số tiền dưới 5 triệu đồng và tổng số tiền thanh toán trong ngày dưới 20 triệu đồng), ngân hàng phải tối thiểu áp dụng một trong các giải pháp xác thực: sử dụng OTP được tạo từ ma trận lưới ngẫu nhiên; sử dụng SMS OTP.

Với giao dịch loại B (các giao dịch thanh toán có số tiền từ 5 triệu đồng đến dưới 50 triệu đồng và tổng số tiền thanh toán trong ngày dưới 200 triệu đồng), ngân hàng tối thiểu áp dụng một trong các giải pháp xác thực là sử dụng OTP được tạo từ thiết bị (token), sử dụng OTP được tạo từ phần mềm cài trên thiết bị di động.

Với giao dịch loại C (các giao dịch thanh toán có số tiền từ 50 triệu đồng đến dưới 200 triệu đồng và tổng số tiền thanh toán trong ngày dưới 500 triệu đồng), ngân hàng phải tối thiểu áp dụng một trong các giải pháp xác thực là sử dụng OTP có chức năng ký giao dịch được tạo bởi thiết bị (token) hoặc phần mềm (cài trên thiết bị di động) từ mã giao dịch do hệ thống ứng dụng ngân hàng trực tuyến thông báo; sử dụng giải pháp xác thực hai chiều: hệ thống gửi thông tin về giao dịch đến thiết bị di động của khách hàng để khách hàng xác nhận thực hiện hoặc không thực hiện giao dịch.

Với giao dịch loại D (các giao dịch thanh toán có số tiền từ 200.000.000 (hai trăm triệu) đồng trở lên, tối thiểu áp dụng một trong các giải pháp sau: Chữ ký số; Dấu hiệu nhận dạng sinh trắc học của khách hàng: khuôn mặt, ánh mắt, giọng nói, mạch máu; Các giải pháp xác thực khác có tiêu chuẩn, tính năng bảo mật tương đương hoặc cao hơn và phải được sự chấp thuận của Ngân hàng Nhà nước.

Bên cạnh đó, dự thảo còn quy định nhiều nội dung chi tiết, như với xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư điện tử thì OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng bảo mật; thời gian có hiệu lực tối đa của một OTP không quá 3 phút. Việc xác thực bằng OTP tạo ra bởi phần mềm trên thiết bị di động thì thời gian có hiệu lực tối đa của một OTP được tạo bởi phần mềm không quá 2 phút; xác thực bằng OTP trên thiết bị tạo khóa (OTP token) thì thời gian có hiệu lực tối đa của một OTP không quá 2 phút…