CÓ BẮT BUỘC PHẢI ÁP DỤNG SINH TRẮC HỌC TRÊN THẺ NGÂN HÀNG KHÔNG?

1. Có bắt buộc xác thực sinh trắc học trên App Ngân hàng không?

Căn cứ theo Quyết định 2345/QĐ-NHNN về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng quy định cụ thể như sau:

- Đối với các giao dịch chuyển tiền từ dưới 10 triệu/lần/ngày hoặc giao dịch tổng các lần không quá 20 triệu trong ngày thì chỉ cần xác thực bằng mã OTP; trường hợp chuyển tiền dưới 10 triệu/lần nhưng giao dịch đạt 20 triệu/ngày thì cần xác thực bằng khuôn mặt.

- Giao dịch trên 10 triệu/lần thì bắt buộc phải xác thực bằng khuôn mặt.

Như vậy, bắt buộc phải xác thực sinh trắc học trên App Ngân hàng nếu thực hiện chuyển tiền từ 10 triệu/lần hoặc tổng giá trị giao dịch cộng lại trong ngày đạt mức 20 triệu.

Lưu ý: 

Trường hợp người dùng chưa xác thực sinh trắc học hoặc không trùng khớp với dữ liệu cá nhân, cần đến cơ quan công an thực hiện cài đặt sinh trắc học. Nếu không cập nhật dữ liệu, cần đến Ngân hàng thực hiện giao dịch hơn 10 triệu hoặc giao dịch tổng các lần trong ngày đạt mức 20 triệu.

2. Ngoài xác thực sinh trắc học còn có các biện pháp xác thực giao dịch trực tuyến khác không?

Căn cứ tại Phụ lục 02 Quyết định 2345/QĐ-NHNN về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng quy định như sau:

- OTP gửi qua phương thức SMS hoặc Voice hoặc Email;

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking/ Mobile Banking sẽ gửi mã OTP qua tin nhắn SMS (SMS OTP) hoặc qua cuộc gọi thoại (Voice OTP) hoặc qua thư điện tử (Email OTP) khách hàng đã đăng ký trước.

Khách hàng nhập mã OTP trên giao diện thanh toán trực tuyến để hoàn thành giao dịch để thanh toán.

- Thẻ ma trận OTP;

Thẻ ma trận là một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP.

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking sẽ thông báo số dòng, cột trên thẻ ma trận để khách hàng nhập mã OTP tương ứng hoàn thành giao dịch thanh toán.

- Soft OTP loại cơ bản;

Phần mềm tạo mã OTP (Soft OTP) thường được cài đặt trên thiết bị cầm tay thông minh đã đăng ký với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Đối với loại cơ bản, mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực tuyến tại tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán.

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng nhập mã OTP được sinh bởi Soft OTP.

Khách hàng hoặc phần mềm tự động nhập mã OTP trên giao diện thanh toán trực tuyến và khách hàng thực hiện xác nhận để hoàn thành giao dịch thanh toán.

- Soft OTP loại nâng cao;

Soft OTP loại nâng cao thường được cài đặt trên thiết bị cầm tay thông minh đã đăng ký với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Đối với loại nâng cao, mã OTP được tạo kết hợp với mã của từng giao dịch (transaction signing).

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking tạo ra một mã giao dịch thông báo cho khách hàng.

Khách hàng hoặc phần mềm tự động nhập mã giao dịch vào Soft OTP để phần mềm tạo ra mã OTP.

Sau đó khách hàng hoặc phần mềm tự động nhập mã OTP trên giao diện thanh toán trực tuyến và khách hàng thực hiện xác nhận để hoàn thành giao dịch thanh toán.

- Token OTP loại cơ bản;

Token OTP là thiết bị tạo mã OTP. Đối với loại cơ bản, mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực tuyến tại tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán.

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng nhập mã OTP được sinh bởi Token OTP để hoàn thành giao dịch thanh toán.

- Token OTP loại nâng cao;

Token OTP loại nâng cao là thiết bị tạo mã OTP. Trong đó mã OTP được tạo kết hợp với mã của từng giao dịch (transaction signing).

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking tạo ra một mã giao dịch thông báo cho khách hàng.

Khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP.

Sau đó khách hàng nhập mã OTP trên giao diện thanh toán trực tuyến để hoàn thành giao dịch thanh toán.

- Xác thực hai kênh;

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking gửi thông tin yêu cầu xác thực giao dịch đến thiết bị di động của khách hàng qua kênh thoại hoặc qua mã USSD hoặc qua phần mềm chuyên dụng.

Khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch.

- Sinh trắc học;

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng trình diện dấu hiệu nhận dạng sinh trắc học của khách hàng khó có khả năng làm giả để xác thực giao dịch (như khuôn mặt, tĩnh mạch ngón tay hoặc bàn tay, vân tay, mống mắt, giọng nói).

- FIDO;

Tiêu chuẩn xác thực do Liên minh Xác thực trực tuyến thế giới FIDO Alliance ban hành (tham khảo lại Fidoalliance.org).

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng sử dụng thiết bị U2F/UAF (giao tiếp qua Cổng USB hoặc không dây (Bluetooth, NFC)) hoặc phần mềm xác thực tích hợp với điện thoại thông minh hoặc trình duyệt đáp ứng tiêu chuẩn FIDO2. Sau khi xác thực sử dụng thiết bị bằng mã truy cập hoặc dấu hiệu sinh trắc học, thiết bị U2F/UAF hoặc phần mềm xác thực sẽ tự động giao tiếp với trình duyệt và máy chủ xác thực để xác thực địa chỉ website Internet Banking và giao dịch.

- Chữ ký điện tử an toàn;

Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng sử dụng chữ ký điện tử an toàn đã đăng ký sử dụng với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán.

Chữ ký điện tử an toàn bao gồm Chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận theo quy định của pháp luật.