Ngân hàng Nhà nước cho biết đang lấy ý kiến của các tổ chức, cá nhân đối với Dự thảo Thông tư thay thế Thông tư 35/2016/TT-NHNN Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
Ngày 18/12/2023, NHNN đã ban hành Quyết định 2345/QĐ-NHNN về việc triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Theo đó từ 1/7/2024 các TCTD, trung gian thanh toán phải triển khai xác thực sinh trắc học bằng khuôn mặt từ nguồn dữ liệu dân cư (thông qua CCCD gắn chíp, VNeID) khi khách hàng cá nhân thực hiện các giao dịch trực tuyến có giá trị > 10 triệu đồng hoặc khi tổng giao dịch/ngày > 20 triệu đồng. Việc triển khai quyết định này sẽ nâng cao an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến. Để các quy định tại Quyết định 2345 có giá trị pháp lý cao hơn thì các quy định này sẽ được đưa vào trong Thông tư của Thống đốc NHNN.
Ngoài ra, hiện nay, nhiều tổ chức tín dụng, trung gian thanh toán đã triển khai giải pháp định danh, xác minh khách hàng trực tuyến (eKYC) bằng dấu hiệu sinh trắc học. Tuy nhiên tại Việt Nam chưa có tiêu chuẩn kỹ thuật quy định về nội dung này. Cục Công nghệ Thông tin thuộc NHNN đã khảo sát tình hình triển khai xác thực sinh trắc học tại các đơn vị trong ngành và tham khảo các tiêu chuẩn quốc tế và đề xuất bổ sung quy định về tiêu chuẩn xác thực bằng dấu hiệu nhận dạng sinh trắc học tại Dự thảo Thông tư.
Khoản 9, Điều 11 Dự thảo Thông tư đã bổ sung chỉnh sửa, quy định rõ các tiêu chuẩn, yêu cầu kỹ thuật về sinh trắc học. Cụ thể:
9. Hình thức xác thực bằng dấu hiệu nhận dạng sinh trắc học phải đáp ứng yêu cầu:
a) Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học gắn liền với thiết bị di động: chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện một số lần (do đơn vị quy định) giao dịch thành công bằng hình thức xác thực khác.
b) Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học thông qua CCCD gắn chíp của khách hàng do cơ quan Công an cấp; hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; hoặc thông qua cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp tại điểm a khoản 4 Điều 8 Thông tư này hoặc kiểm tra khớp đúng với cơ sở dữ liệu quốc gia về dân cư) phải tuân thủ tối thiểu các quy định sau:
(i) Đơn vị lựa chọn công nghệ xác thực sinh trắc học có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương):
- Có tỷ lệ chấp nhận sai (FAR) < 0.01% theo tiêu chuẩn FIDO Biometric Requirement.
- Có tỷ lệ từ chối sai (FRR) < 5% theo tiêu chuẩn FIDO Biometric Requirement.
(ii) Có khả năng phát hiện phát hiện các cuộc tấn công giả mạo dấu hiệu sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 - Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.
c) Vô hiệu hóa hình thức xác thực bằng sinh trắc học trong trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo.
Ngoài ra, Dự thảo Thông tư cũng bổ sung nhiều nội dung quan trọng khác như Bổ sung quy định về bảo vệ dữ liệu cá nhân của khách hàng theo quy định của pháp luật (Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân).
Dự thảo cũng bổ sung một số quy định mới để tăng cường bảo đảm an toàn, bảo mật, phòng ngừa các sự cố an toàn thông tin xảy ra trong thời gian gần đây như: Quy định về triển khai giải pháp tường lửa bảo vệ cơ sở dữ liệu; quy định về kiểm tra, gia cố an toàn, bảo mật (hardening) cho hệ thống Online Banking; quy định về việc cung cấp ứng dụng Mobile Banking trên các kho ứng dụng chính thức của các hãng cung cấp hệ điều hành cho thiết bị di động; quy định không gửi tin nhắn, thư điện tử cho khách hàng có nội dung chứa đường dẫn truy cập các trang điện tử, trừ trường hợp theo yêu cầu của khách hàng.