Ngày 18 tháng 12 năm 2023, Ngân hàng Nhà nước Việt Nam đã ban hành Quyết định 2345/QĐ-NHNN. Đây là một văn bản pháp lý quan trọng, đặt ra các yêu cầu mới nhằm tăng cường an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Quyết định này mang lại những thay đổi đáng kể, ảnh hưởng trực tiếp đến trải nghiệm giao dịch ngân hàng số của người dùng tại Việt Nam.
Tổng quan về Quyết định 2345 NHNN
Quyết định 2345 NHNN được ban hành dựa trên các căn cứ pháp lý về ngân hàng nhà nước và quy định an toàn, bảo mật dịch vụ ngân hàng trên Internet. Văn bản này thể hiện sự chủ động của Ngân hàng Nhà nước trong việc nâng cao khả năng phòng chống gian lận và rủi ro trong bối cảnh các hình thức tấn công mạng ngày càng tinh vi. Mục tiêu chính là bảo vệ tài sản và thông tin cá nhân của khách hàng khi thực hiện các giao dịch thanh toán online và sử dụng thẻ ngân hàng.
Quyết định này áp dụng cho các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và các tổ chức cung ứng dịch vụ trung gian thanh toán tại Việt Nam. Đây là những đơn vị trực tiếp cung cấp dịch vụ Internet Banking, Mobile Banking, và quản lý hệ thống thanh toán thẻ, do đó, việc triển khai các biện pháp bảo mật theo quy định là bắt buộc đối với họ.
Điểm mới nổi bật và thời điểm áp dụng
Một trong những điểm đáng chú ý nhất của Quyết định 2345 NHNN là việc quy định bắt buộc áp dụng các biện pháp xác thực mạnh, đặc biệt là xác thực sinh trắc học, đối với các giao dịch có giá trị lớn hoặc trong các trường hợp có nguy cơ cao.
Cụ thể, kể từ ngày 01 tháng 7 năm 2024, các giao dịch chuyển tiền qua kênh online (bao gồm cả Internet Banking và Mobile Banking) hoặc nạp tiền vào ví điện tử có giá trị trên 10 triệu đồng phải được xác thực bằng sinh trắc học. Biện pháp này yêu cầu khớp đúng dữ liệu sinh trắc học của khách hàng (như khuôn mặt hoặc vân tay) với dữ liệu được lưu trữ trong chip của thẻ Căn cước công dân (CCCD) do cơ quan Công an cấp, hoặc thông qua xác thực tài khoản định danh điện tử VNeID, hoặc khớp với dữ liệu sinh trắc học trong cơ sở dữ liệu của ngân hàng đã được kiểm tra, kết hợp với một số biện pháp xác thực khác tùy theo loại giao dịch.
Đối với giao dịch lần đầu bằng ứng dụng Mobile Banking hoặc giao dịch trên thiết bị khác với thiết bị sử dụng lần gần nhất, khách hàng cũng phải thực hiện xác thực bằng sinh trắc học tương tự. Quy định này nhằm đảm bảo rằng chính chủ tài khoản đang thực hiện giao dịch, ngăn chặn hiệu quả các trường hợp chiếm đoạt tài khoản và thực hiện giao dịch trái phép.
<>Xem Thêm Bài Viết:<>- Tử Vi Tuổi Kỷ Dậu 1969 Nữ Mạng Năm 2024 Chi Tiết
- Bí quyết mô tả vận động viên bạn ngưỡng mộ tự tin
- Giải mã giấc mơ thấy bị đánh: Điềm báo tốt hay xấu?
- Giải mã điềm báo mơ thấy ra máu kinh khi mang bầu
- Xem tuổi Nam Nhâm Dần 2022 và Nữ Nhâm Thân 1992
Xác thực sinh trắc học: Quy định chi tiết
Quyết định 2345 NHNN làm rõ việc áp dụng xác thực sinh trắc học cho các giao dịch thanh toán trực tuyến. Đối với khách hàng cá nhân, biện pháp này được yêu cầu cho các giao dịch loại C và loại D (theo phân loại tại Phụ lục 01) và cho các giao dịch lần đầu trên thiết bị mới. Có ba phương thức chính để thực hiện xác thực sinh trắc học theo quy định:
Thứ nhất, khách hàng có thể xác thực bằng cách khớp dữ liệu sinh trắc học (thường là khuôn mặt hoặc vân tay) với dữ liệu đã được lưu trong chip của thẻ CCCD. Phương thức này đòi hỏi ngân hàng phải triển khai giải pháp kỹ thuật để đọc và đối chiếu thông tin trên chip CCCD.
Thứ hai, xác thực có thể được thực hiện thông qua tài khoản định danh điện tử của khách hàng trên hệ thống VNeID. Đây là một phương thức hiện đại, tận dụng nền tảng định danh quốc gia để tăng cường độ tin cậy.
Thứ ba, dữ liệu sinh trắc học của khách hàng đã được ngân hàng thu thập và kiểm tra trước đó cũng có thể được sử dụng để đối chiếu. Tuy nhiên, đối với các giao dịch loại D (có giá trị rất lớn), phương thức này khuyến khích kết hợp với các biện pháp xác thực khác như Soft OTP/Token OTP loại nâng cao hoặc chữ ký điện tử an toàn để tăng cường bảo mật.
Những quy định này đặt ra yêu cầu cao về hạ tầng công nghệ cho các ngân hàng và tổ chức trung gian thanh toán, đồng thời đòi hỏi người dùng làm quen với các phương thức xác thực mới để đảm bảo an toàn cho các giao dịch giá trị cao.
Phân loại giao dịch và yêu cầu xác thực tương ứng
Quyết định 2345 NHNN đưa ra hệ thống phân loại giao dịch chi tiết thành 4 loại: A, B, C, và D, dựa trên giá trị giao dịch (G) và tổng giá trị giao dịch trong ngày (T), cùng với tổng giá trị giao dịch loại A và B đã thực hiện trong ngày (Tksth) cho khách hàng cá nhân hoặc tổ chức. Mỗi loại giao dịch sẽ có yêu cầu về biện pháp xác thực tối thiểu khác nhau để đảm bảo an toàn.
Đối với khách hàng cá nhân, các giao dịch tra cứu thông tin hoặc chuyển tiền cùng chủ tài khoản trong cùng ngân hàng (Nhóm I.1) được xếp vào loại A, chỉ yêu cầu xác thực đơn giản bằng tên đăng nhập và mật khẩu/mã PIN.
Các giao dịch thanh toán hàng hóa, dịch vụ hoặc chuyển tiền khác chủ tài khoản/liên ngân hàng/giữa ví điện tử/nạp/rút tiền ví điện tử được phân loại thành B, C, D tùy theo ngưỡng giá trị. Ví dụ, với nhóm I.3 (chuyển tiền khác chủ tài khoản/liên ngân hàng/ví điện tử), giao dịch dưới 10 triệu đồng và tổng giá trị giao dịch loại A, B trong ngày dưới 20 triệu đồng là loại A. Giao dịch trên 10 triệu đồng nhưng dưới 500 triệu đồng hoặc tổng giá trị giao dịch trong ngày trên 20 triệu đồng nhưng dưới 1.5 tỷ đồng có thể là loại B hoặc C, yêu cầu các biện pháp xác thực mạnh hơn như OTP qua SMS/Voice/Email, Soft OTP/Token OTP, hoặc sinh trắc học. Giao dịch trên 500 triệu đồng hoặc tổng giá trị giao dịch trong ngày trên 1.5 tỷ đồng là loại C hoặc D, bắt buộc phải có xác thực sinh trắc học kết hợp các biện pháp khác như Soft OTP/Token OTP nâng cao hoặc chữ ký điện tử an toàn.
Phân loại này giúp các tổ chức cung ứng dịch vụ thanh toán áp dụng đúng mức độ bảo mật cần thiết cho từng loại hình và giá trị giao dịch, từ đó giảm thiểu rủi ro gian lận một cách hiệu quả.
Các biện pháp xác thực phổ biến được quy định
Quyết định 2345 NHNN liệt kê và mô tả chi tiết 10 biện pháp xác thực giao dịch thanh toán trực tuyến tại Phụ lục 02. Các biện pháp này bao gồm từ truyền thống đến hiện đại.
Các phương thức xác thực dựa trên Mật khẩu dùng một lần (OTP) là phổ biến nhất, bao gồm OTP gửi qua SMS, Voice, Email, Thẻ ma trận OTP, Soft OTP (cài đặt trên thiết bị di động) và Token OTP (thiết bị vật lý). Soft OTP và Token OTP còn được chia thành loại cơ bản và nâng cao, trong đó loại nâng cao có thêm tính năng transaction signing (xác thực theo mã giao dịch) để tăng cường bảo mật.
Bên cạnh đó, quyết định cũng nhắc đến xác thực hai kênh (gửi yêu cầu xác thực qua kênh khác ngoài kênh giao dịch chính), xác thực sinh trắc học (sử dụng các dấu hiệu nhận dạng cơ thể), xác thực theo chuẩn FIDO (sử dụng các thiết bị hoặc phần mềm tuân thủ chuẩn FIDO Alliance), và chữ ký điện tử an toàn.
Việc quy định rõ ràng các biện pháp này giúp các tổ chức tín dụng và trung gian thanh toán có cơ sở để lựa chọn và triển khai giải pháp phù hợp với từng loại giao dịch theo yêu cầu của quyết định, đồng thời đảm bảo tính tương thích và an toàn chung cho hệ thống thanh toán số.
Giải pháp giảm thiểu rủi ro khác
Ngoài việc quy định các biện pháp xác thực, Quyết định 2345 NHNN còn yêu cầu các tổ chức cung ứng dịch vụ thanh toán triển khai các giải pháp khác nhằm giảm thiểu rủi ro trong cả thanh toán trực tuyến và thanh toán thẻ ngân hàng.
Đối với thanh toán trực tuyến qua Mobile Banking, bên cạnh việc xác thực mạnh cho lần đăng nhập đầu tiên hoặc trên thiết bị mới đã đề cập, các ngân hàng và trung gian thanh toán còn phải thông báo việc đăng nhập lần đầu hoặc đăng nhập trên thiết bị khác qua SMS hoặc các kênh khác mà khách hàng đã đăng ký (như email). Điều này giúp khách hàng kịp thời phát hiện và cảnh báo khi có hoạt động đăng nhập bất thường. Hơn nữa, các đơn vị này được yêu cầu lưu trữ thông tin về thiết bị thực hiện giao dịch và nhật ký xác thực tối thiểu trong 3 tháng để phục vụ công tác giám sát và điều tra khi cần thiết.
Đối với thanh toán thẻ, quyết định yêu cầu thông báo giao dịch qua SMS hoặc email, thiết lập hạn mức giao dịch trong ngày (cho cả giao dịch chung và giao dịch trực tuyến), cho phép khách hàng bật/tắt tính năng thanh toán trực tuyến và thanh toán ở nước ngoài. Đặc biệt, đối với thẻ quốc tế, việc triển khai giải pháp xác thực 3D Secure (hoặc tương đương) cho thanh toán trực tuyến là bắt buộc để tăng cường bảo mật lớp giao dịch trực tuyến.
Những giải pháp này tạo nên một hệ thống bảo mật đa lớp, kết hợp cả xác thực người dùng mạnh, giám sát hoạt động giao dịch, và cung cấp công cụ quản lý rủi ro cho người dùng, góp phần xây dựng môi trường thanh toán số an toàn và đáng tin cậy hơn.
Trách nhiệm triển khai và hiệu lực thi hành
Để đảm bảo Quyết định 2345 NHNN được triển khai hiệu quả trên thực tế, Ngân hàng Nhà nước đã phân công trách nhiệm cụ thể cho các đơn vị liên quan. Cục Công nghệ thông tin được giao làm đầu mối theo dõi, giám sát, kiểm tra việc thực hiện và tổng hợp báo cáo Thống đốc. Vụ Thanh toán phối hợp chặt chẽ với Cục Công nghệ thông tin trong công tác này.
Bên cạnh đó, Vụ Truyền thông có trách nhiệm phối hợp thực hiện công tác truyền thông sâu rộng đến người dân và doanh nghiệp về các quy định mới. Hoạt động truyền thông này đóng vai trò quan trọng trong việc nâng cao nhận thức của người dùng về các biện pháp bảo mật mới, hướng dẫn cách thức áp dụng xác thực sinh trắc học và các giải pháp an toàn khác, từ đó khuyến khích sự tuân thủ và ủng hộ từ phía cộng đồng.
Quyết định 2345/QĐ-NHNN chính thức có hiệu lực thi hành từ ngày 01 tháng 7 năm 2024. Đối với các tổ chức tín dụng đang trong diện kiểm soát đặc biệt, thời gian áp dụng các quy định về xác thực và giảm thiểu rủi ro (Điều 1 và Điều 2) sẽ bắt đầu muộn hơn, từ ngày 01 tháng 01 năm 2025. Quyết định này cũng thay thế Quyết định số 630/QĐ-NHNN trước đó về cùng lĩnh vực. Việc quy định rõ thời điểm có hiệu lực giúp các bên liên quan có đủ thời gian chuẩn bị cần thiết về hạ tầng công nghệ, quy trình nghiệp vụ và công tác truyền thông.
Câu hỏi thường gặp (FAQs)
1. Quyết định 2345 NHNN có hiệu lực khi nào?
Quyết định này chính thức có hiệu lực từ ngày 01 tháng 7 năm 2024.
2. Giao dịch nào bắt buộc phải xác thực bằng sinh trắc học theo Quyết định 2345?
Các giao dịch chuyển tiền trực tuyến hoặc nạp tiền vào ví điện tử có giá trị trên 10 triệu đồng bắt buộc phải xác thực bằng sinh trắc học từ ngày 01 tháng 7 năm 2024. Ngoài ra, giao dịch lần đầu trên thiết bị mới cũng yêu cầu xác thực sinh trắc học.
3. Tôi có cần Căn cước công dân gắn chip để thực hiện giao dịch theo quy định mới không?
Một trong các phương thức xác thực sinh trắc học theo quy định là khớp dữ liệu với chip trên CCCD. Do đó, sở hữu CCCD gắn chip sẽ giúp việc xác thực dễ dàng và thuận tiện hơn. Tuy nhiên, quy định cũng cho phép xác thực qua VNeID hoặc dữ liệu sinh trắc học đã được ngân hàng thu thập và kiểm tra.
4. Quyết định 2345 NHNN áp dụng cho những đối tượng nào?
Quyết định áp dụng cho các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài và tổ chức cung ứng dịch vụ trung gian thanh toán tại Việt Nam.
5. Các biện pháp xác thực nào được liệt kê trong Quyết định 2345?
Quyết định liệt kê 10 biện pháp xác thực, bao gồm OTP (SMS, Voice, Email, Thẻ ma trận, Soft OTP, Token OTP), xác thực hai kênh, sinh trắc học, chuẩn FIDO và chữ ký điện tử an toàn.
6. Hạn mức giao dịch có thay đổi theo Quyết định này không?
Quyết định không trực tiếp quy định hạn mức tối đa cho từng loại giao dịch mà phân loại giao dịch dựa trên giá trị và tổng giá trị trong ngày để áp dụng các biện pháp xác thực phù hợp. Tuy nhiên, các ngân hàng/tổ chức thanh toán được yêu cầu thiết lập hạn mức giao dịch trong ngày cho thẻ để giảm thiểu rủi ro.
Quyết định 2345 NHNN là bước tiến quan trọng trong việc nâng cao bảo mật cho hoạt động thanh toán số tại Việt Nam, đặc biệt là với việc áp dụng xác thực sinh trắc học cho các giao dịch giá trị lớn. Edupace luôn mong muốn cung cấp thông tin hữu ích giúp bạn đọc nắm bắt kịp thời các quy định mới và thực hiện các giao dịch online một cách an toàn.
