Siết chuẩn an toàn giao dịch trực tuyến, ngăn doanh nghiệp 'ma' mở tài khoản ngân hàng

9 giờ trướcBài gốc

Ngân hàng Nhà nước Việt Nam đang lấy ý kiến dự thảo Thông tư sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.

Theo dự thảo, phạm vi áp dụng được mở rộng thêm đối với hoạt động cung ứng dịch vụ tiền di động, bên cạnh các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán và công ty thông tin tín dụng.

Cùng với đó, Ngân hàng Nhà nước dự kiến đưa thêm nhiều quy định nhằm tăng cường an toàn, bảo mật cho các giao dịch điện tử, đặc biệt là dịch vụ ngân hàng trực tuyến (Online Banking) và ngân hàng di động (Mobile Banking).

Theo đó, Ngân hàng Nhà nước yêu cầu các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức trung gian thanh toán và tổ chức cung ứng dịch vụ tiền di động phải chủ động rà soát, đánh giá, dò quét phát hiện lỗ hổng kỹ thuật trong phần mềm ứng dụng Online Banking. Các đơn vị cần đảm bảo khả năng phòng, chống các lỗ hổng, điểm yếu, cũng như các kiểu tấn công mạng phổ biến.

Đối với ứng dụng Online Banking trên nền tảng web, các ngân hàng phải đáp ứng tiêu chuẩn phòng, chống 10 lỗ hổng phổ biến nhất do Tổ chức OWASP công bố (một tổ chức phi lợi nhuận quốc tế chuyên về bảo mật ứng dụng web), bao gồm phòng chống 10 lỗ hổng phổ biến nhất.

Với ứng dụng Mobile Banking, phải tuân thủ tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động (OWASP Mobile Application Security).

Đáng chú ý, các ngân hàng phải kiểm soát định kỳ phiên bản ứng dụng Mobile Banking ít nhất 2 tháng/lần, không cho phép sử dụng phiên bản cũ quá hai thế hệ so với bản mới nhất. Đồng thời, buộc khách hàng cài đặt lại phiên bản mới khi kích hoạt thiết bị mới hoặc khi có lỗ hổng bảo mật.

Ngân hàng Nhà nước yêu cầu các tổ chức có giải pháp kiểm soát việc “hạ phiên bản” (downgrade) để ngăn chặn khách hàng sử dụng phiên bản thấp hơn, cũng như phải có biện pháp khóa giao dịch và xử lý ngay khi phát hiện lỗ hổng bảo mật.

Dự thảo bổ sung quy định bắt buộc sử dụng hình thức đối khớp sinh trắc học khi thay đổi thông tin định danh khách hàng tổ chức, căn cứ Công điện 139/CĐ-TTg năm 2024 của Thủ tướng Chính phủ, nhằm ngăn chặn tình trạng tội phạm lợi dụng lập doanh nghiệp “ma” để mở tài khoản thanh toán.

Bên cạnh yêu cầu kỹ thuật, Ngân hàng Nhà nước cũng đề xuất sửa đổi các quy định liên quan đến xác nhận giao dịch điện tử qua hệ thống Online Banking nhằm ngăn chặn hành vi lợi dụng tài khoản doanh nghiệp “ma” để rửa tiền, lừa đảo hoặc mua bán trái phép tài khoản.

Phụ lục trong dự thảo về phân loại giao dịch thanh toán trực tuyến cũng được điều chỉnh rõ ràng hơn, với việc phân biệt chi tiết các loại giao dịch A, B, C, D theo giá trị, hạn mức và đối tượng khách hàng, đồng thời yêu cầu bổ sung sinh trắc học cho giao dịch có giá trị cao hoặc thuộc nhóm khách hàng tổ chức mới thành lập.

Nguồn: dự thảo Thông tư của Ngân hàng Nhà nước.

Đơn cử, đối với các giao dịch thanh toán bằng tài khoản hoặc ví điện tử, Ngân hàng Nhà nước yêu cầu áp dụng xác thực hai yếu tố như Soft OTP (mã xác thực một lần), Token OTP cơ bản (thiết bị tạo mã OTP vật lý) hoặc xác thực hai kênh, tùy theo giá trị giao dịch.

Với các doanh nghiệp mới thành lập, giao dịch có giá trị không quá 50 triệu đồng hoặc tổng giao dịch trong ngày không quá 100 triệu đồng sẽ được xác thực bằng Soft OTP hoặc Token OTP cơ bản.

Các giao dịch từ 50 triệu đến 1 tỷ đồng hoặc có tổng giá trị giao dịch trong ngày không quá 10 tỷ đồng phải xác thực bằng sinh trắc học kết hợp với Soft OTP/Token OTP hoặc hình thức tương đương.

Đối với các giao dịch có giá trị cao hơn, từ 1 tỷ đồng trở lên hoặc tổng giá trị giao dịch trong ngày vượt 10 tỷ đồng, Ngân hàng Nhà nước yêu cầu áp dụng xác thực ở mức độ cao như Soft OTP/Token OTP nâng cao, FIDO (chuẩn xác thực sinh trắc học trực tuyến) hoặc chữ ký điện tử an toàn.

Việc ban hành Thông tư sửa đổi được kỳ vọng sẽ tăng cường an ninh, an toàn cho hệ thống ngân hàng số, bảo vệ người dùng trước rủi ro tội phạm mạng. Đồng thời, tạo nền tảng pháp lý thống nhất cho các mô hình giao dịch mới như tiền di động, xác thực sinh trắc học và chuẩn hóa bảo mật theo tiêu chuẩn quốc tế./.

Ánh Tuyết

Nguồn Thời báo Tài chính : https://thoibaotaichinhvietnam.vn/siet-chuan-an-toan-giao-dich-truc-tuyen-ngan-doanh-nghiep-ma-mo-tai-khoan-ngan-hang-185864.html