Các quy định về an toàn, bảo mật cung cấp dịch vụ trực tuyến trong ngành Ngân hàng hiện nay

1. Quy định về an toàn, bảo mật dịch vụ trực tuyến trong ngành Ngân hàng

Thông tư 50/2024/TT-NHNN được xây dựng với mục tiêu cụ thể hóa các biện pháp bảo vệ dữ liệu và giao dịch của khách hàng, từ đó nâng cao tính minh bạch và an toàn cho toàn bộ hệ thống ngân hàng. Quy định áp dụng cho các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các đơn vị cung cấp dịch vụ trung gian thanh toán, cũng như các công ty hoạt động trong lĩnh vực thông tin tín dụng.

Các yêu cầu chính bao gồm:

• Bảo vệ giao dịch ngân hàng: Các tổ chức tín dụng phải áp dụng công nghệ tiên tiến nhằm ngăn chặn rủi ro rò rỉ thông tin và hành vi gian lận.
• An toàn thông tin khách hàng: Dữ liệu phải được mã hóa và lưu trữ an toàn để ngăn chặn truy cập trái phép.
• Xử lý sự cố: Ngân hàng có trách nhiệm thông báo kịp thời cho khách hàng và báo cáo lên cơ quan chức năng nếu xảy ra sự cố mất an toàn thông tin.

Những quy định này không chỉ giúp bảo vệ quyền lợi của khách hàng mà còn nâng cao niềm tin vào hệ thống tài chính quốc gia, đặc biệt trong kỷ nguyên số hóa toàn diện.

2. Ứng dụng ngân hàng không được phép ghi nhớ mật khẩu truy cập

Trong mục 5, Điều 8 của Thông tư 50/2024/TT-NHNN, các yêu cầu nghiêm ngặt được đặt ra đối với phần mềm ứng dụng ngân hàng trên điện thoại di động (Mobile Banking). Một điểm đáng chú ý là việc cấm ghi nhớ mật khẩu (password) trên các ứng dụng này.

2.1 Lý do cấm ghi nhớ mật khẩu

• Ngăn ngừa rủi ro an ninh: Trong trường hợp thiết bị bị mất hoặc bị xâm nhập, thông tin tài khoản của khách hàng sẽ không bị lạm dụng.
• Tăng cường bảo mật: Các ứng dụng phải áp dụng biện pháp bảo vệ như yêu cầu nhập lại mật khẩu mỗi lần đăng nhập.

2.2 Cơ chế xác thực bảo mật nâng cao

Thông tư cũng yêu cầu kiểm tra xác thực khi khách hàng truy cập từ thiết bị mới hoặc lần đầu tiên. Các phương thức phổ biến bao gồm:

• OTP (One-Time Password): Mã xác nhận một lần gửi qua SMS hoặc cuộc gọi.
• Xác thực sinh trắc học: Sử dụng vân tay hoặc nhận diện khuôn mặt để đảm bảo tính chính chủ.

Các ứng dụng Mobile Banking phải được đăng ký trên nền tảng chính thức như App Store hoặc Google Play, đồng thời khách hàng cần được khuyến cáo chỉ tải ứng dụng từ các nguồn đáng tin cậy.

3. Các biện pháp xác thực giao dịch bảo mật theo Thông tư 50/2024/TT-NHNN

Thông tư 50/2024/TT-NHNN đề ra chi tiết các phương thức xác thực giao dịch trực tuyến nhằm bảo vệ thông tin và tài sản của khách hàng:

• Mật khẩu: Phải có độ dài tối thiểu 8 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt. Mật khẩu cấp lần đầu chỉ có hiệu lực tối đa 30 ngày.
• Mã PIN: Yêu cầu tối thiểu 6 ký tự, thời gian hiệu lực tương tự mật khẩu.
• OTP: Mã xác thực qua SMS hoặc email, thời gian hiệu lực từ 2 đến 5 phút.
• Sinh trắc học: Ứng dụng vân tay, nhận diện khuôn mặt với độ chính xác cao, thời gian xử lý không quá 3 phút.

Các ngân hàng cũng phải đảm bảo rằng dữ liệu giao dịch và thông tin cá nhân được mã hóa hoặc che giấu hoàn toàn để tránh nguy cơ rò rỉ.

4. Yêu cầu bảo mật thông tin khách hàng và trách nhiệm ngân hàng

Tại Điều 19 của Thông tư 50/2024/TT-NHNN, các tổ chức tài chính có trách nhiệm:

• Bảo mật dữ liệu: Áp dụng công nghệ mã hóa hiện đại để lưu trữ thông tin.
• Hạn chế quyền truy cập: Chỉ nhân sự được phân quyền mới có thể truy cập thông tin khách hàng.
• Quản lý rủi ro: Kiểm tra thường xuyên và áp dụng biện pháp phòng ngừa nguy cơ lộ lọt dữ liệu.

Ngân hàng Nhà nước cũng yêu cầu các tổ chức tín dụng báo cáo ngay khi có sự cố liên quan đến mất an toàn thông tin, đảm bảo xử lý kịp thời và giảm thiểu tác động tiêu cực.

5. Quy định về xác thực sinh trắc học trong giao dịch lớn

Theo Quyết định 2345/QĐ-NHNN, ban hành ngày 18/12/2023, các giao dịch trực tuyến có giá trị lớn phải áp dụng xác thực sinh trắc học.

• Giao dịch trên 10 triệu đồng: Phải xác thực qua vân tay, khuôn mặt hoặc các phương thức bảo mật tương đương.
• Cài đặt ứng dụng Mobile Banking trên thiết bị mới: Yêu cầu xác minh chính chủ qua dữ liệu sinh trắc học.

Quy định này đảm bảo rằng chỉ chủ tài khoản mới được phép thực hiện các giao dịch quan trọng, từ đó hạn chế nguy cơ gian lận.

6. Hiệu quả từ các biện pháp bảo mật mới

Theo thống kê của Ngân hàng Nhà nước, tính đến tháng 11/2024:

• Giảm 65% số vụ lừa đảo: So với nửa đầu năm 2024.
• 50 triệu hồ sơ sinh trắc học: Được thu thập và đối chiếu thành công.

Những kết quả này cho thấy hiệu quả rõ rệt của các biện pháp bảo mật trong việc bảo vệ khách hàng và nâng cao an toàn cho hệ thống ngân hàng trực tuyến.

7. Giải pháp tăng cường bảo mật cho khách hàng giao dịch trực tuyến

Bên cạnh việc thực thi Thông tư 50/2024/TT-NHNN, Ngân hàng Nhà nước còn triển khai nhiều giải pháp nhằm bảo vệ khách hàng:

• Làm sạch dữ liệu khách hàng: Loại bỏ tài khoản ngân hàng không chính chủ, phối hợp với Bộ Công an trong Đề án 06.
• Ngăn chặn rủi ro thiết bị: Phát hiện và cảnh báo khi khách hàng sử dụng ứng dụng trên thiết bị đã jailbreak.
• Tăng cường giáo dục người dùng: Hướng dẫn khách hàng nhận diện và phòng tránh các chiêu thức lừa đảo trực tuyến.

8. Kết luận

Thông tư 50/2024/TT-NHNN là một bước đi chiến lược trong việc bảo vệ an toàn giao dịch ngân hàng trực tuyến. Những quy định và biện pháp bảo mật mới không chỉ nâng cao niềm tin của khách hàng mà còn củng cố hệ thống tài chính quốc gia, tạo nền tảng vững chắc để phát triển trong kỷ nguyên số hóa. Các ngân hàng và tổ chức tín dụng cần nỗ lực tuân thủ và triển khai đầy đủ các quy định để đảm bảo an toàn tối đa cho khách hàng.