|
NGÂN
HÀNG NHÀ NƯỚC
VIỆT NAM
-------
|
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------
|
|
Số:
2345/QĐ-NHNN
|
Hà
Nội, ngày 18 tháng 12 năm 2023
|
QUYẾT ĐỊNH
VỀ TRIỂN KHAI CÁC GIẢI PHÁP AN TOÀN, BẢO MẬT TRONG THANH
TOÁN TRỰC TUYẾN VÀ THANH TOÁN THẺ NGÂN HÀNG
THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC
Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6
năm 2010;
Căn cứ Nghị định số 102/2022/NĐ-CP ngày 12 tháng 12 năm 2022 của
Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân
hàng Nhà nước Việt Nam;
Căn cứ Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống
đốc Ngân hàng Nhà nước quy định an toàn, bảo mật cho việc cung cấp dịch vụ ngân
hàng trên Internet;
Căn cứ Thông tư số 35/2018/TT-NHNN ngày 24 tháng 12 năm 2018 của Thống
đốc Ngân hàng Nhà nước sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của
Thống đốc Ngân hàng Nhà nước quy định an toàn, bảo mật cho việc cung cấp dịch vụ
ngân hàng trên Internet;
Xét đề nghị của Cục trưởng Cục
Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Các
tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ
trung gian thanh toán căn cứ phân loại giao dịch tại Phụ lục 01 đính kèm, triển
khai áp dụng các biện pháp xác thực trong thanh toán trực tuyến trên Internet
(Internet Banking, Mobile Banking) như sau:
|
STT
|
Giao
dịch1
|
Biện
pháp xác thực2 tối thiểu
|
|
Khách
hàng cá nhân
|
Khách
hàng tổ chức
|
|
1
|
Giao dịch loại A
|
- Tên đăng nhập, mật khẩu hoặc mã
PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực
tại bước thực hiện giao dịch).
|
- Tên đăng nhập, mật khẩu hoặc mã
PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực
tại bước thực hiện giao dịch).
|
|
2
|
Giao dịch loại B
|
- OTP gửi qua phương thức SMS hoặc
Voice hoặc Email.
- Hoặc Thẻ ma trận OTP.
- Hoặc Soft OTP/ Token OTP loại
cơ bản.
- Hoặc biện pháp xác thực qua hai
kênh.
- Hoặc bằng dấu hiệu nhận dạng
sinh trắc học của khách hàng gắn liền với thiết bị cầm tay thông minh3.
- Hoặc Soft OTP/Token OTP loại
nâng cao.
- Hoặc theo chuẩn FIDO.
- Hoặc bằng chữ ký điện tử an
toàn.
|
- OTP gửi qua phương thức SMS hoặc
Voice hoặc Email.
- Hoặc Thẻ ma trận OTP.
- Hoặc Token OTP loại cơ bản,
không có chức năng xác thực người dùng sử dụng Token.
- Hoặc bằng dấu hiệu nhận dạng
sinh trắc học của người đại diện hợp pháp, người phụ trách kế toán (nếu có) của
khách hàng gắn liền với thiết bị cầm tay thông minh3.
|
|
3
|
Giao dịch loại C
|
- Bằng dấu hiệu nhận dạng sinh trắc
học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong
chip của thẻ căn cước công dân (CCCD) của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản
định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo
lập5.
- Hoặc bằng dấu hiệu nhận dạng
sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu
trong cơ sở dữ liệu (CSDL) sinh trắc học về khách hàng đã thu thập và kiểm
tra6, khuyến khích kết hợp với phương thức
xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
|
- Soft OTP/Token OTP loại cơ bản,
có chức năng xác thực người dùng sử dụng phần mềm, Token.
- Hoặc biện pháp xác thực qua hai
kênh.
|
|
4
|
Giao dịch loại D
|
Bằng dấu hiệu nhận dạng sinh trắc
học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong
chíp của thẻ CCCD của khách hàng do cơ quan Công an cấp4; (ii) hoặc
thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định
danh và xác thực điện tử tạo lập; (iii) hoặc khớp đúng với dữ liệu sinh trắc
học được lưu trong CSDL sinh trắc học về khách hàng đã thu thập và kiểm tra6,
kết hợp một trong các biện pháp xác thực sau:
- Soft OTP/Token OTP loại nâng
cao.
- Hoặc theo chuẩn FIDO.
- Hoặc bằng chữ ký điện tử an
toàn.
|
- Soft OTP/Token OTP loại nâng
cao.
- Hoặc theo chuẩn FIDO.
- Hoặc bằng chữ ký điện tử an
toàn.
|
Ghi chú:
- Biện pháp xác thực giao dịch loại
D có thể xác thực giao dịch loại A, B, C.
- Biện pháp xác thực giao dịch loại
C có thể xác thực giao dịch loại A, B.
- Biện pháp xác thực giao dịch loại
B có thể xác thực giao dịch loại A.
- Trường hợp các đơn vị sử dụng các
biện pháp xác thực khác các loại trên thì báo cáo bằng văn bản gửi Ngân hàng
Nhà nước (qua Cục Công nghệ thông tin) trước khi áp dụng tối thiểu 03 tháng.
Điều 2. Các
tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ
trung gian thanh toán phải triển khai áp dụng các giải pháp giảm thiểu rủi ro
trong thanh toán trực tuyến như sau:
1. Đối với khách hàng cá nhân, trước
khi thực hiện giao dịch lần đầu bằng ứng dụng Mobile Banking hoặc trước khi thực
hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch Mobile
Banking lần gần nhất thì phải xác thực khách hàng:
- Bằng dấu hiệu nhận dạng sinh trắc
học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip
của thẻ CCCD của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông
qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định
danh và xác thực điện tử tạo lập;
- Hoặc bằng dấu hiệu nhận dạng sinh
trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong CSDL
sinh trắc học về khách hàng đã thu thập và kiểm tra6, kết hợp với
phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
2. Thông báo việc đăng nhập lần đầu
ứng dụng Internet Banking/ Mobile Banking hoặc việc đăng nhập ứng dụng Internet
Banking/ Mobile Banking trên thiết bị khác với thiết bị thực hiện đăng nhập ứng
dụng Internet Banking/ Mobile Banking lần gần nhất qua SMS hoặc các kênh khác
do khách hàng đăng ký (email, điện thoại,…).
3. Lưu trữ thông tin về thiết bị thực
hiện các giao dịch trực tuyến của khách hàng và nhật ký (log) xác thực giao dịch
tối thiểu trong vòng 3 tháng.
a) Thông tin về thiết bị tối thiểu
bao gồm:
- Đối với thiết bị di động: Thông
tin định danh duy nhất của thiết bị (như số IMEI, Serial, WLAN MAC, Android
ID,…).
- Đối với máy tính: địa chỉ MAC hoặc
thông tin định danh thiết bị khác thông qua các API (Application Programming
Interface) của hệ điều hành.
b) Nhật ký (log) xác thực giao dịch
tối thiểu gồm: biện pháp xác thực, thời gian xác thực, mã giao dịch được xác thực,
mã khách hàng.
Điều 3. Các
tổ chức cung ứng dịch vụ thanh toán thẻ phải triển khai các giải pháp giảm thiểu
rủi ro như sau:
1. Thông báo giao dịch qua tin nhắn
SMS hoặc thư điện tử.
2. Thiết lập hạn mức giao dịch
trong ngày.
3. Thiết lập tính năng cho phép/
không cho phép thanh toán trực tuyến.
4. Thiết lập hạn mức thanh toán thẻ
trực tuyến trong ngày.
5. Thiết lập tính năng cho phép/
không cho phép thanh toán ở nước ngoài (ngoại trừ các giao dịch trực tuyến).
6. Triển khai giải pháp xác thực 3D
Secure (hoặc tương đương) cho việc thanh toán trực tuyến với thẻ quốc tế.
Điều 4.
1. Cục Công
nghệ thông tin có trách nhiệm đầu mối theo dõi, giám sát, kiểm tra việc thực hiện
Quyết định này và tổng hợp tình hình thực hiện, báo cáo Thống đốc Ngân hàng Nhà
nước.
2. Vụ Thanh toán có trách nhiệm phối
hợp với Cục Công nghệ thông tin theo dõi, giám sát và kiểm tra việc triển khai
Quyết định này.
3. Vụ Truyền thông phối hợp với các
đơn vị liên quan thực hiện công tác truyền thông đến người dân, doanh nghiệp hỗ
trợ hiệu quả cho việc áp dụng các tiêu chuẩn, các giải pháp xác thực trong
thanh toán trực tuyến và thanh toán thẻ.
Điều 5. Hiệu
lực thi hành:
1. Quyết định này có hiệu lực thi
hành kể từ ngày 01 tháng 7 năm 2024 và thay thế Quyết định số 630/QĐ-NHNN ngày 31 tháng 3 năm 2017 của Thống đốc
Ngân hàng Nhà nước về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo
mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
2. Đối với các tổ chức tín dụng được
kiểm soát đặc biệt, thời gian áp dụng các quy định tại Điều 1 và Điều 2 Quyết định
này kể từ ngày 01 tháng 01 năm 2025.
Điều 6.
Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin và Thủ trưởng các đơn vị
thuộc Ngân hàng Nhà nước Việt Nam, Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng
thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng
nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán chịu trách nhiệm
thi hành Quyết định này./.
|
Nơi nhận:
- Như Điều 6;
- Ban Lãnh đạo NHNN;
- Lưu; VP, CNTT (HMTiến).
|
KT.
THỐNG ĐỐC
PHÓ THỐNG ĐỐC
Phạm Tiến Dũng
|
PHỤ LỤC 01
PHÂN LOẠI GIAO DỊCH
(kèm theo Quyết định số 2345/QĐ-NHNN ngày 18 tháng 12 năm 2023 của Thống
đốc Ngân hàng Nhà nước)
|
STT
|
Loại
hình giao dịch
|
Giao
dịch loại A
|
Giao
dịch loại B
|
Giao
dịch loại C
|
Giao
dịch loại D
|
|
I
|
Khách hàng cá nhân
|
|
|
|
|
|
1
|
Nhóm I.1:
- Các giao dịch tra cứu thông
tin.
- Chuyển tiền trong cùng ngân
hàng, cùng chủ tài khoản.
|
Tất cả các giao dịch.
|
|
|
|
|
2
|
Nhóm I.2:
- Các giao dịch thanh toán hàng
hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian
thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức
cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn,
thẩm định, giám sát và quản lý.
|
Giao dịch thỏa mãn điều kiện:
G + T ≤ 5 triệu VND.
|
Giao dịch thỏa mãn các điều kiện:
(i) G + T > 5 triệu VND.
(ii) G + T ≤ 100 triệu VND.
|
Giao dịch thỏa mãn các điều kiện:
(i) G + T > 100 triệu VND.
(ii) G + T ≤ 1,5 tỷ VND.
|
Giao dịch thỏa mãn điều kiện:
G + T > 1,5 tỷ VND.
|
|
3
|
Nhóm I.3:
- Chuyển tiền trong cùng ngân
hàng, khác chủ tài khoản.
- Chuyển tiền liên ngân hàng
trong nước.
- Chuyển tiền giữa các ví điện tử.
- Nạp tiền vào Ví điện tử7.
- Rút tiền từ Ví điện tử.
|
|
Giao dịch thỏa mãn các điều kiện:
(i) G ≤ 10 triệu VND.
(ii) G + Tksth ≤ 20
triệu VND.
|
Giao dịch thỏa mãn một trong các
trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa
mãn các điều kiện:
(i) G ≤ 10 triệu VND.
(ii) G + Tksth > 20
triệu VND.
(iii) G + T ≤ 1,5 tỷ VND.
2. Trường hợp 2: Giao dịch thỏa
mãn các điều kiện:
(i) G > 10 triệu VND.
(ii) G ≤ 500 triệu VND.
(iii) G + T ≤ 1,5 tỷ VND.
|
Giao dịch thỏa mãn một trong các
trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa
mãn các điều kiện:
(i) G ≤ 10 triệu VND.
(ii) G + Tksth > 20
triệu VND.
(iii) G + T > 1,5 tỷ VND.
2. Trường hợp 2: Giao dịch thỏa
mãn các điều kiện:
(i) G > 10 triệu VND.
(ii) G ≤ 500 triệu VND.
(iii) G + T > 1,5 tỷ VND.
3. Trường hợp 3: Giao dịch thỏa
mãn điều kiện:
G > 500 triệu VND.
|
|
4
|
Nhóm I.4:
Chuyển tiền liên ngân hàng ra nước
ngoài*.
|
|
|
Giao dịch thỏa mãn các điều kiện:
(i) G ≤ 200 triệu VND.
(ii) G + T ≤ 1 tỷ VND.
|
Giao dịch thỏa mãn một trong các
trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa
mãn các điều kiện:
(i) G ≤ 200 triệu VND.
(ii) G + T > 1 tỷ VND.
2. Trường hợp 2: Giao dịch thỏa
mãn điều kiện:
G > 200 triệu VND.
|
|
II
|
Khách hàng tổ chức
|
|
|
|
|
|
1
|
Nhóm II.1:
Các giao dịch tra cứu thông tin.
|
Tất cả các giao dịch.
|
|
|
|
|
2
|
Nhóm II.2:
Chuyển tiền trong cùng ngân hàng,
cùng chủ tài khoản.
|
|
Tất cả các giao dịch.
|
|
|
|
3
|
Nhóm II.3:
- Chuyển tiền trong cùng ngân
hàng, khác chủ tài khoản.
- Chuyển tiền liên ngân hàng
trong nước.
- Các giao dịch thanh toán hàng
hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian
thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức
cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn,
thẩm định, giám sát và quản lý.
- Chuyển tiền giữa các ví điện tử.
- Nạp tiền vào Ví điện tử.
- Rút tiền từ Ví điện tử.
|
|
|
Giao dịch thỏa mãn các điều kiện:
(i) G ≤ 1 tỷ VND.
(ii) G + T ≤ 10 tỷ VND.
|
Giao dịch thỏa mãn một trong các
trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa
mãn các điều kiện:
(i) G ≤ 1 tỷ VND.
(ii) G + T > 10 tỷ VND.
2. Trường hợp 2: Giao dịch thỏa
mãn điều kiện:
G > 1 tỷ VND.
|
|
4
|
Nhóm II.4:
Chuyển tiền liên ngân hàng ra nước
ngoài*
|
|
|
Giao dịch thỏa mãn các điều kiện:
(i) G ≤ 500 triệu VND.
(ii) G + T ≤ 5 tỷ VND.
|
Giao dịch thỏa mãn một trong các
trường hợp sau:
1. Trường hợp 1: Giao dịch thỏa
mãn các điều kiện:
(i) G ≤ 500 triệu VND.
(ii) G + T > 5 tỷ VND.
2. Trường hợp 2: Giao dịch thỏa
mãn điều kiện:
G > 500 triệu VND.
|
Ghi chú:
G: Giá trị của giao dịch.
Tksth: Tổng giá trị các
giao dịch loại A và loại B của từng nhóm loại hình giao dịch đã thực hiện của một
tài khoản ngân hàng (bao gồm giao dịch nạp tiền vào ví điện tử) hoặc một
ví điện tử (không bao gồm giao dịch nạp tiền vào ví điện tử). Tksth
của một tài khoản ngân hàng/ví điện tử được tính giá trị bằng 0 tại thời điểm đầu
ngày hoặc ngay sau khi tài khoản ngân hàng/ví điện tử đó có phát sinh giao dịch
trong ngày sử dụng biện pháp xác thực cho giao dịch loại C hoặc loại D.
T: Tổng giá trị các giao dịch của từng
nhóm loại hình giao dịch đã thực hiện trong ngày (của một tài khoản ngân hàng (bao
gồm giao dịch nạp tiền vào ví điện tử) hoặc một ví điện tử (không bao gồm
giao dịch nạp tiền vào ví điện tử)).
*: Hạn mức quy đổi theo tỷ giá tại
thời điểm thực hiện giao dịch.
PHỤ LỤC 02
CÁC BIỆN PHÁP XÁC THỰC GIAO DỊCH TRỰC TUYẾN
(kèm theo Quyết định số 2345/QĐ-NHNN ngày 18 tháng 12 năm 2023 của Thống
đốc Ngân hàng Nhà nước)
|
STT
|
Biện
pháp
|
Chi
tiết về biện pháp
|
|
1
|
OTP gửi qua phương thức SMS hoặc
Voice hoặc Email.
|
Khi thực hiện giao dịch thanh
toán trực tuyến, hệ thống Internet Banking / Mobile Banking sẽ gửi mã OTP qua
tin nhắn SMS (SMS OTP) hoặc qua cuộc gọi thoại (Voice OTP) hoặc qua thư điện
tử (Email OTP) khách hàng đã đăng ký trước.
Khách hàng nhập mã OTP trên giao
diện thanh toán trực tuyến để hoàn thành giao dịch để thanh toán.
|
|
2
|
Thẻ ma trận OTP
|
Thẻ ma trận là một bảng 2 chiều
(dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP.
Khi thực hiện giao dịch thanh toán
trực tuyến, hệ thống Internet Banking / Mobile Banking sẽ thông báo số dòng,
cột trên thẻ ma trận để khách hàng nhập mã OTP tương ứng hoàn thành giao dịch
thanh toán.
|
|
3
|
Soft OTP loại cơ bản
|
Phần mềm tạo mã OTP (Soft OTP)
thường được cài đặt trên thiết bị cầm tay thông minh đã đăng ký với tổ chức
cung ứng dịch vụ thanh toán, trung gian thanh toán. Đối với loại cơ bản, mã
OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực
tuyến tại tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán.
Khi thực hiện giao dịch thanh
toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách
hàng nhập mã OTP được sinh bởi Soft OTP.
Khách hàng hoặc phần mềm tự động
nhập mã OTP trên giao diện thanh toán trực tuyến và khách hàng thực hiện xác
nhận để hoàn thành giao dịch thanh toán.
|
|
4
|
Soft OTP loại nâng cao
|
Soft OTP loại nâng cao thường được
cài đặt trên thiết bị cầm tay thông minh đã đăng ký với tổ chức cung ứng dịch
vụ thanh toán, trung gian thanh toán. Đối với loại nâng cao, mã OTP được tạo
kết hợp với mã của từng giao dịch (transaction signing).
Khi thực hiện giao dịch thanh
toán trực tuyến, hệ thống Internet Banking / Mobile Banking tạo ra một mã
giao dịch thông báo cho khách hàng.
Khách hàng hoặc phần mềm tự động
nhập mã giao dịch vào Soft OTP để phần mềm tạo ra mã OTP.
Sau đó khách hàng hoặc phần mềm tự
động nhập mã OTP trên giao diện thanh toán trực tuyến và khách hàng thực hiện
xác nhận để hoàn thành giao dịch thanh toán.
|
|
5
|
Token OTP loại cơ bản
|
Token OTP là thiết bị tạo mã OTP.
Đối với loại cơ bản, mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với
hệ thống thanh toán trực tuyến tại tổ chức cung ứng dịch vụ thanh toán, trung
gian thanh toán.
Khi thực hiện giao dịch thanh
toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách
hàng nhập mã OTP được sinh bởi Token OTP để hoàn thành giao dịch thanh toán.
|
|
6
|
Token OTP loại nâng cao
|
Token OTP loại nâng cao là thiết
bị tạo mã OTP. Trong đó mã OTP được tạo kết hợp với mã của từng giao dịch
(transaction signing).
Khi thực hiện giao dịch thanh
toán trực tuyến, hệ thống Internet Banking / Mobile Banking tạo ra một mã
giao dịch thông báo cho khách hàng.
Khách hàng nhập mã giao dịch vào
Token OTP để thiết bị tạo ra mã OTP.
Sau đó khách hàng nhập mã OTP trên
giao diện thanh toán trực tuyến để hoàn thành giao dịch thanh toán.
|
|
7
|
Xác thực hai kênh
|
Khi thực hiện giao dịch thanh
toán trực tuyến, hệ thống Internet Banking / Mobile Banking gửi thông tin yêu
cầu xác thực giao dịch đến thiết bị di động của khách hàng qua kênh thoại hoặc
qua mã USSD hoặc qua phần mềm chuyên dụng.
Khách hàng phản hồi trực tiếp qua
kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch.
|
|
8
|
Sinh trắc học
|
Khi thực hiện giao dịch thanh toán
trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng
trình diện dấu hiệu nhận dạng sinh trắc học của khách hàng khó có khả năng
làm giả để xác thực giao dịch (như khuôn mặt, tĩnh mạch ngón tay hoặc bàn
tay, vân tay, mống mắt, giọng nói).
|
|
9
|
FIDO
|
Tiêu chuẩn xác thực do Liên minh
Xác thực trực tuyến thế giới FIDO Alliance ban hành (tham khảo tại
Fidoalliance.org).
Khi thực hiện giao dịch thanh
toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách
hàng sử dụng thiết bị U2F/UAF (giao tiếp qua cổng USB hoặc không dây
(Bluetooth, NFC)) hoặc phần mềm xác thực tích hợp với điện thoại thông minh
hoặc trình duyệt đáp ứng tiêu chuẩn FIDO2, Sau khi xác thực sử dụng thiết bị
bằng mã truy cập hoặc dấu hiệu sinh trắc học, thiết bị U2F/UAF hoặc phần mềm
xác thực sẽ tự động giao tiếp với trình duyệt và máy chủ xác thực để xác thực
địa chỉ website Internet Banking và giao dịch.
|
|
10
|
Chữ ký điện tử an toàn
|
Khi thực hiện giao dịch thanh
toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách
hàng sử dụng chữ ký điện tử an toàn đã đăng ký sử dụng với tổ chức cung ứng dịch
vụ thanh toán, trung gian thanh toán.
Chữ ký điện tử an toàn bao gồm Chữ
ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số hoặc chữ ký điện tử nước
ngoài được công nhận theo quy định của pháp luật.
|
1 Phân loại giao dịch quy định tại Phụ
lục 01.
2 Chi tiết về các biện pháp xác thực
quy định tại Phụ lục 02.
3 Trường hợp khách hàng đã đăng nhập ứng
dụng Internet Banking/ Mobile Banking bằng dấu hiệu nhận dạng sinh trắc học gắn
liền với thiết bị cầm tay thông minh (như điện thoại thông minh (smart phone),
máy tính bảng) thì không áp dụng biện pháp xác thực này khi thực hiện giao dịch
trong phiên đăng nhập đó.
4 Đơn vị phải triển khai giải pháp để
xác thực chính xác thẻ CCCD của khách hàng là do cơ quan Công an cấp.
5 Tài khoản định danh điện tử, hệ thống
định danh và xác thực điện tử theo quy định tại Nghị định 59/2022/NĐ-CP ngày
05/9/2022 của Chính phủ quy định về định danh và xác thực điện tử.
6 Kiểm tra đảm bảo: (i) sự khớp đúng giữa
dữ liệu nhận dạng sinh trắc học của khách hàng với dữ liệu sinh trắc học trong
chip của thẻ CCCD của khách hàng do cơ quan Công an cấp; (ii) hoặc sự khớp đúng
giữa dữ liệu nhận dạng sinh trắc học của khách hàng thông qua xác thực tài khoản
định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo
lập.
7 Trường hợp giao dịch nạp tiền vào Ví
điện tử: căn cứ theo phân loại giao dịch của tài khoản ngân hàng của khách hàng
được liên kết với Ví điện tử.
