Mới đây, Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) vừa ban hành Quyết định số 2345/QĐ-NHΝΝ về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
Theo đó, NHNN yêu cầu các tổ chức tín dụng triển khai áp dụng biện pháp xác thực sinh trắc học cho một số loại giao dịch trong thanh toán trực tuyến trên Internet (Internet Banking, Mobile Banking).
Trong đó, giao dịch chuyển tiền ngân hàng (khác chủ tài khoản) hoặc nộp tiền vào ví điện tử trên 10 triệu đồng hoặc tổng giá trị giao dịch chuyển tiền, thanh toán trong ngày vượt quá 20 triệu phải được xác thực bằng sinh trắc học (có thể dùng căn cước công dân gắn chip, tài khoản VneID hoặc dữ liệu sinh trắc học lưu trong cơ sở dữ liệu của ngân hàng).
Đối với khách hàng cá nhân, trước khi thực hiện giao dịch lần đầu bằng ứng dụng Mobile Banking hoặc trước khi thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch Mobile Banking lần gần nhất thì phải xác thực khách hàng:
Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chíp của thẻ căn cước công dân của khách hàng do cơ quan Công an cấp; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập;
Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra, kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
Cùng với đó, thông báo việc đăng nhập lần đầu ứng dụng Internet Banking/ Mobile Banking hoặc việc đăng nhập ứng dụng Internet Banking/ Mobile Banking trên thiết bị khác với thiết bị thực hiện đăng nhập ứng dụng Internet Banking/ Mobile Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (email, điện thoại,...).
Mặt khác, lưu trữ thông tin về thiết bị thực hiện các giao dịch trực tuyến của khách hàng và nhật ký (log) xác thực giao dịch tối thiểu trong vòng 3 tháng.
Tại Quyết định nêu, các tổ chức cung ứng dịch vụ thanh toán thẻ phải triển khai các giải pháp giảm thiểu rủi ro như sau: Thông báo giao dịch qua tin nhắn SMS hoặc thư điện tử; Thiết lập hạn mức giao dịch trong ngày; Thiết lập tính năng cho phép/ không cho phép thanh toán trực tuyến; Thiết lập hạn mức thanh toán thẻ trực tuyến trong ngày; Thiết lập tính năng cho phép/ không cho phép thanh toán ở nước ngoài (ngoại trừ các giao dịch trực tuyến); Triển khai giải pháp xác thực 3D Secure (hoặc tương đương) cho việc thanh toán trực tuyến với thẻ quốc tế.
Quyết định này có hiệu lực thi hành kể từ ngày 01/7/2024 và thay thế Quyết định số 630/QĐ-NHNN ngày 31/3/2017 của Thống đốc NHNN về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
Đối với các tổ chức tín dụng được kiểm soát đặc biệt, thời gian áp dụng các quy định tại Quyết định này kể từ ngày 01/01/2025.