NHNN đang lấy ý kiến dự thảo thông tư về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến ngành ngân hàng. Trong đó, có đề xuất quy định ứng dụng Mobile Banking phải xác thực sinh trắc học và đưa ra yêu cầu về hình thức xác thực bằng dấu hiệu nhận dạng sinh trắc học.
Ngân hàng Nhà nước (NHNN) cho biết đang lấy ý kiến của các tổ chức, cá nhân đối với Dự thảo Thông tư thay thế Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.
NHNN trước đó đã ban hành Quyết định 2345/QĐ-NHNN về việc triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
Theo đó, từ 1/7/2024, các tổ chức tín dụng, trung gian thanh toán phải triển khai xác thực sinh trắc học bằng khuôn mặt từ nguồn dữ liệu dân cư (thông qua căn cước công dân (CCCD) gắn chíp, VNeID) khi khách hàng cá nhân thực hiện các giao dịch trực tuyến có giá trị > 10 triệu đồng hoặc khi tổng giao dịch/ngày > 20 triệu đồng.
Việc triển khai quyết định này sẽ nâng cao an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến.
Hiện nay, nhiều tổ chức tín dụng, trung gian thanh toán đã triển khai giải pháp định danh, xác minh khách hàng trực tuyến (eKYC) bằng dấu hiệu sinh trắc học. Nhưng Việt Nam hiện chưa có tiêu chuẩn kỹ thuật quy định về nội dung này.
Cục Công nghệ Thông tin thuộc NHNN đã khảo sát tình hình triển khai xác thực sinh trắc học tại các đơn vị trong ngành và tham khảo các tiêu chuẩn quốc tế và đề xuất bổ sung quy định về tiêu chuẩn xác thực bằng dấu hiệu nhận dạng sinh trắc học tại Dự thảo Thông tư.
Trong đó, Dự thảo Thông tư có đề xuất quy định ứng dụng Mobile Banking phải xác thực sinh trắc học và đưa ra yêu cầu về hình thức xác thực bằng dấu hiệu nhận dạng sinh trắc học.
Cụ thể, theo Điều 8, dự thảo Thông tư, đề cập quy định về phần mềm ứng dụng Mobile Banking như sau:
Phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải đảm bảo tuân thủ các quy định về phần mềm ứng dụng Online Banking tại Điều 7, dự thảo Thông tư và các yêu cầu sau:
Phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và chỉ rõ đường dẫn trên trang điện tử hoặc cổng thông tin điện tử để khách hàng tải và cài đặt phần mềm ứng dụng Mobile Banking.
Phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược.
Phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa bí mật truy cập.
Đối với khách hàng cá nhân, phần mềm ứng dụng Mobile Banking phải xác thực khách hàng trước khi cho phép khách hàng thực hiện giao dịch lần đầu hoặc trước khi khách hàng thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch tại ứng dụng Mobile Banking lần gần nhất:
– Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip CCCD của khách hàng do cơ quan Công an cấp; hoặc khớp đúng thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập; hoặc khớp đúng thông qua gặp mặt trực tiếp với khách hàng cá nhân là người nước ngoài hoặc khách hàng cá nhân không phải làm CCCD gắn chíp theo quy định của pháp luật.
– Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp tại điểm a khoản 4 Điều này hoặc kiểm tra khớp đúng với dấu hiệu sinh trắc học trong cơ sở dữ liệu quốc gia về dân cư), kết hợp với hình thức xác thực SMS OTP hoặc Voice OTP hoặc Soft OTP hoặc Token OTP.
Như vậy, so với quy định hiện nay, dự thảo Thông tư trên đã đề xuất phần mềm ứng dụng Mobile Banking của ngân hàng phải xác thực khách hàng bằng dấu hiệu nhận dạng sinh trắc học khớp với dữ liệu sinh trắc học được lưu trong chip CCCD của khách hàng do cơ quan Công an cấp, hoặc khớp đúng thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập.
Bên cạnh đó, Khoản 9, Điều 11 Dự thảo Thông tư cũng bổ sung chỉnh sửa, quy định rõ các tiêu chuẩn, yêu cầu kỹ thuật về sinh trắc học. Cụ thể:
Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học gắn liền với thiết bị di động: chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện một số lần (do đơn vị quy định) giao dịch thành công bằng hình thức xác thực khác.
Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học thông qua CCCD gắn chíp của khách hàng do cơ quan Công an cấp; hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; hoặc thông qua cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp tại điểm a khoản 4 Điều 8 Thông tư này hoặc kiểm tra khớp đúng với cơ sở dữ liệu quốc gia về dân cư) phải tuân thủ tối thiểu các quy định sau:
Đơn vị lựa chọn công nghệ xác thực sinh trắc học có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương).
Có khả năng phát hiện phát hiện các cuộc tấn công giả mạo dấu hiệu sinh trắc học của vật thể sống (Presentation Attack Detection – PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 – Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.
Vô hiệu hóa hình thức xác thực bằng sinh trắc học trong trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo.
Ngoài ra, Dự thảo Thông tư cũng bổ sung nhiều nội dung quan trọng khác như Bổ sung quy định về bảo vệ dữ liệu cá nhân của khách hàng theo quy định của pháp luật (Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân); quy định về triển khai giải pháp tường lửa bảo vệ cơ sở dữ liệu; quy định về kiểm tra, gia cố an toàn, bảo mật (hardening) cho hệ thống Online Banking; quy định không gửi tin nhắn, thư điện tử cho khách hàng có nội dung chứa đường dẫn truy cập các trang điện tử, trừ trường hợp theo yêu cầu của khách hàng…
