Giao dịch trên 200 triệu đồng phải quét ánh mắt, giọng điệu, mạch máu

Giao dịch trên 200 triệu đồng phải quét ánh mắt, giọng điệu, mạch máu

Ngân hàng Nhà nước đã công bố dự thảo thông tư quy định về an toàn, bảo mật hệ thống kỹ thuật thông tin cho việc cung cấp dịch vụ nh trực tuyến.

Ngân hàng Nhà nước vừa công bố dự thảo thông tư quy định về an toàn, bảo mật hệ thống công nghệ thông tin cho việc cung cấp dịch vụ ngân hàng trực tuyến.

Thông tư sẽ được áp dụng với các cơ quan tín dụng, chi nhánh ngân hàng nước ngoài, cơ quan cung ứng dịch vụ trung gian thanh toán cung cấp dịch vụ ngân hàng trực tuyến.

Dự thảo này đưa ra các yêu cầu xác thực theo bốn loại giao dịch, trong đó cơ chế xác thực bằng biểu hiện nhận dạng sinh trắc học của khách hàng được áp cho loại giao dịch có quy mô lớn nhất.

Cụ thể, với giao dịch loại D (các giao dịch thanh toán có số tiền từ 200 triệu đồng trở lên), ngân hàng phải ít nhất áp dụng một trong các giải pháp: chữ ký số; biểu hiện nhận dạng sinh trắc học của khách hàng gồm khuôn mặt, ánh mắt, giọng nói, mạch máu; các giải pháp xác thực khác có tiêu chuẩn, tính năng bảo mật giống hoặc cao hơn và phải được sự chấp thuận của Ngân hàng Nhà nước.

Cùng với loại giao dịch trên, dự thảo thông tư quy định ba loại giao dịch khác với quy mô thấp hơn.

Đó là giao dịch loại A (các giao dịch thanh toán có số tiền dưới 5 triệu đồng và con số tiền thanh toán trong ngày dưới 20 triệu đồng), ngân hàng phải ít nhất áp dụng một trong các giải pháp xác thực: áp dụng OTP được tạo từ ma trận lưới ngẫu nhiên; áp dụng SMS OTP.

Giao dịch loại B (các giao dịch thanh toán có số tiền từ 5 triệu đồng đến dưới 50 triệu đồng và con số tiền thanh toán trong ngày dưới 200 triệu đồng), ngân hàng ít nhất áp dụng một trong các giải pháp xác thực là áp dụng OTP được tạo từ thiết bị (token), áp dụng OTP được tạo từ phần mềm cài trên thiết bị di động.

Giao dịch loại C (các giao dịch thanh toán có số tiền từ 50 triệu đồng đến dưới 200 triệu đồng và con số tiền thanh toán trong ngày dưới 500 triệu đồng), ngân hàng phải ít nhất áp dụng một trong các giải pháp xác thực là áp dụng OTP có tiện ích ký giao dịch được tạo bởi thiết bị (token) hoặc phần mềm (cài trên thiết bị di động) từ mã giao dịch do hệ thống app ngân hàng trực tuyến thông báo; áp dụng giải pháp xác thực hai chiều: hệ thống gửi thông tin về giao dịch đến thiết bị di động của khách hàng để khách hàng xác nhận thi hành hoặc không thi hành giao dịch.

Giao dịch loại D (các giao dịch thanh toán có số tiền từ 200.000.000 (hai trăm triệu) đồng trở lên, ít nhất áp dụng một trong các giải pháp sau: Chữ ký số; Dấu hiệu nhận dạng sinh trắc học của khách hàng: khuôn mặt, ánh mắt, giọng nói, mạch máu; Các giải pháp xác thực khác có tiêu chuẩn, tính năng bảo mật giống hoặc cao hơn và phải được sự chấp thuận của Ngân hàng Nhà nước.

Ngoài ra, dự thảo thông tư còn quy định đa dạng nội dung cận cảnh, như với xác thực bằng OTP gửi qua tin nhắn SMS hoặc thư electronic thì OTP gửi tới khách hàng phải kèm thông tin cảnh báo để khách hàng bảo mật; thời lượng có hiệu lực cao nhất của một OTP không quá 3 phút.

Hoặc quy định việc xác thực bằng OTP tạo ra bởi phần mềm trên thiết bị di động thì thời lượng có hiệu lực cao nhất của một OTP được tạo bởi phần mềm không quá 2 phút; xác thực bằng OTP trên thiết bị tạo khóa (OTP token) thì thời lượng có hiệu lực cao nhất của một OTP không quá 2 phút…

Thông tư này có hiệu lực thi hành kể từ ngày 01/3/2017 và thay thế Thông tư 29/2011/TT-NHNN ngày 21/9/2011 của Thống đốc Ngân hàng Nhà nước VN về việc ban hành Quy định việc đảm bảo an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet.

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *