Chữ ký số, tại sao nên phổ biến hơn OTP trong giao dịch ngân hàng?

(ĐTCK) Trước xu thế ngày càng gia tăng của tội phạm công nghệ số và những rủi ro về bảo mật trong giao dịch trưc tuyến cộng với xu hướng phát triển tất yếu là các ngân hàng sẽ phải cung cấp các dịch vụ giao dịch quốc tế không chỉ cho cá nhân, mà còn cả cho các doanh nghiệp đa quốc gia, việc bảo vệ tài khoản và thông tin khách hàng luôn là ưu tiên hàng đầu của mọi ngân hàng, tổ chức tài chính trên thế giới và ngay cả các cơ quan nhà nước.

Chính vì vậy, ký xác thực giao dịch là một giải pháp công nghệ có thể giúp các ngân hàng và tổ chức tài chính gia tăng hơn nữa việc xác thực và đảm bảo an toàn thông tin trong giao dich cho khách hàng.

Tại sao OTP đang mất dần vị thế?

Hiện nay, việc xác thực người dùng thông qua công nghệ kỹ thuật số phổ biến nhất là sử dụng các OTP được gửi đến cho người dùng khi có yêu cầu thông qua phần cứng (thiết bị đầu cuối) hay thẻ (token) phần mềm hoặc thông qua tin nhắn SMS hoặc tin nhắn thoại tự động.

Tuy nhiên, lỗ hổng bảo mật chính trong cách tiếp cận này là phải phụ thuộc vào việc nhập lại thông tin của khách hàng thông qua một trình duyệt và phải thông qua các kênh liên lạc trung gian để gửi trở lại ngân hàng.

Chữ ký số, tại sao nên phổ biến hơn OTP trong giao dịch ngân hàng? ảnh 1

 Bà Trần Thị Phương Hồng, Phó tổng giám đốc Kinh doanh CMC SI Saigon (CMC SISG)

Do đó, nếu khách hàng truy cập nhầm vào các trang lừa đảo trực tuyến bắt chước cổng thông tin ngân hàng trực tuyến của ngân hàng, hoặc nếu trình duyệt đó bị xâm nhập bởi một số dạng phần mềm độc hại, thông tin đăng nhập của khách hàng và OTP sẽ dễ bị thu thập trái phép bởi các nhóm tội phạm trực tuyến và ngay lập tức được sử dụng để truy cập tài khoản của chính khách hàng.

Ngoài phương pháp phổ thông ở trên, việc sử dụng tin nhắn SMS để gửi OTP cũng tiềm ẩn rủi ro rất lớn, do tin nhắn SMS và thiết bị di động cá nhân thường không được trang bị đầy đủ phần mềm để bảo vệ hoặc phòng chống phần mềm độc hại cho thiết bị di động.

Tại Úc, các công ty viễn thông cung cấp dịch vụ SMS trên thực tế thường định hướng cho các ngân hàng ở đó rằng SMS không được sử dụng để truyền thông tin nhạy cảm của ngân hàng, kể cả trường hợp dùng công nghệ OTPs.2. OTP cũng không phổ biến với người dùng đầu cuối.

Khách hàng cảm thấy phức tạp và mất thời gian khi phải nhận một mã OTP và phải nhập lại mã để xác thực việc đăng nhập và xác thực việc thực hiện giao dịch. Quá trình này dễ phát sinh lỗi vì nhiều lý do, đồng thời gây mất thời gian.

Chữ ký số: Giải pháp mới hỗ trợ bảo vệ khi giao dịch trực tuyến

Với việc gia tăng sử dụng thanh toán trực tuyến, thanh toán qua thiết bị di động, cũng như gia tăng sử dụng các dịch vụ ngân hàng trực tuyến và để giúp bảo vệ khách hàng tốt hơn, thời gian gần đây, các ngân hàng đang tiếp cận giải pháp công nghệ chữ ký số - giải pháp được đánh giá là tiện lợi và an toàn hơn các giải pháp công nghệ trước đây, đặc biệt, khi áp dụng cho các giao dịch có rủi ro cao.

Việc ký xác thực giao dịch được sử dụng để xác minh tính xác thực và tính toàn vẹn của một giao dịch trực tuyến đối với các giao dịch có giá trị lớn, giao dịch có độ rủi ro cao, hoặc thay đổi thông tin chi tiết khách hàng thông qua các kênh trực tuyến.

Để xác thực giao dịch trực tuyến bằng chữ ký số, người dùng được yêu cầu nhập mã PIN động hoặc OTP được tạo ra khi khách hàng nhập thông tin cụ thể vào một giao dịch, chẳng hạn như một số tài khoản hoặc một khoản tiền cần thực hiện giao dịch vào một thiết bị duy nhất được cấp phép cho khách hàng. Việc xác thực ký kết giao dịch được tính toán dựa theo giá trị đầu vào trên cả máy khách và máy chủ. Nếu thông tin không khớp, chữ ký bị hủy, giao dịch sẽ không được chấp thuận.

Việc thực hiện triển khai giải pháp ký số xác thực giao dịch giúp bảo vệ khách hàng của ngân hàng  

Các chính phủ và cơ quan quản lý ở một số khu vực cũng nghiên cứu và áp dụng công nghệ chữ ký kỹ thuật số an toàn để xác thực ký kết giao dịch bằng cách thiết lập các tiêu chuẩn cho ngành và ban hành các yêu cầu/quy định nhằm thiết kế một môi trường chữ ký số an toàn hơn cho công dân của họ.

Đối với các ngân hàng có hoạt động toàn cầu, công nghệ xác thực thông qua sử dụng chữ ký số để xác thực giao dịch là một thực tế mà họ không thể bỏ qua. Đó là cả một cơ hội để cung cấp cho khách hàng các dịch vụ với sự an toàn cao hơn. Ở một số khu vực, các quy chuẩn này là yêu cầu bắt buộc phải thực hiện, được ban hành bởi cơ quan quản lý.

Một số quy định pháp lý tại các nước trong khu vực

Hầu hết các ngân hàng lớn trên thế giới như Citibank, HSBC, Deutsche Bank hay Wells Fargo chắc chắn sẽ chuyển sang triển khai giải pháp ký xác thực giao dịch tại mỗi quốc gia mà ngân hàng hoạt động. Một trong những tiêu chuẩn nghiêm ngặt nhất đang áp dụng là Hướng dẫn quản lý rủi ro kỹ thuật công nghệ do Cơ quan Tiền tệ Singapore (MAS) ban hành.

Singapore không phải là nơi duy nhất thực hiện các quy định tương tự. Một số quốc gia và vùng lãnh thổ khác, bao gồm Hàn Quốc và Đài Loan (Trung Quốc) cũng có các quy định tương đối rõ ràng. Tiêu chuẩn này quy định các ngân hàng và tổ chức tài chính phải thực hiện xác thực hai yếu tố khi đăng nhập cho tất cả các loại hệ thống giao dịch trực tuyến và cho phép ký xác thực giao dịch bằng chữ ký số.

Đài Loan đã ban hành văn bản pháp lý quy định đối với các giao dịch có độ rủi ro cao, dữ liệu được sử dụng để xác định người dùng và cả các giao dịch thực tế đều phải được ký số. Các giao dịch có rủi ro cao chỉ được phép thực hiện nếu được hệ thống xác thực chữ ký số chứng nhận, chẳng hạn như được xác thực qua cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure). Hiện tại, ở Việt Nam, đã có những đơn vị cung cấp hệ thống PKI như Viettel và VNPT, tuy nhiên chỉ mới hạn chế ở việc xác thực người dùng để truy cập và làm các thủ tục về kê khai thuế, hải quan hoặc ký số xác nhận văn bản.

Theo pháp luật Đài Loan thì công nghệ được sử dụng phải hỗ trợ để có thể tùy chỉnh chữ ký số (digital certificate) tuân thủ theo một số quy định cụ thể của Đài Loan. Còn theo quy định của Singapore, OTP có thể được sử dụng cho một số loại giao dịch có rủi ro thấp, nhưng phải đảm bảo có thể được thay thế bằng một chương trình xác thực chữ ký số để đáp ứng các yêu cầu cho cả giao dịch có mức độ rủi ro thấp và cao.

Việc triển khai giải pháp chữ ký số xác thực giao dịch không chỉ giúp bảo vệ khách hàng của ngân hàng và tổ chức tài chính, mà còn giúp họ đáp ứng các yêu cầu về tuân thủ khi hoạt động tại Singapore, Đài Loan và Hàn Quốc.

Làm thế nào để ngân hàng có thể tuân thủ theo các quy định mới và giúp bảo mật thông tin tài khoản khách hàng?

Ngân hàng và các tổ chức tài chính cần yêu cầu khách hàng đăng nhập và thực hiện ký số cho từng giao dịch có độ rủi ro cao để ngân hàng và khách hàng của họ có thể xác minh tính xác thực và tính toàn vẹn của các giao dịch trực tuyến, giúp ngăn chặn gian lận thông qua kênh ngân hàng trực tuyến. Tuy nhiên, giải pháp chữ ký số này sẽ triển khai ra sao, trong thực tế, vẫn còn là một câu hỏi lớn cho hầu hết các ngân hàng.

Để tuân thủ các quy định mới, đồng thời cung cấp dịch vụ khách hàng một cách hiệu quả, giải pháp chữ ký số không chỉ cho phép khách hàng xem tất cả các giao dịch cần xác thực trong một lần, mà còn cho phép ký xác thực từng giao dịch một cách riêng rẽ. Trường hợp yêu cầu nhiều người xác thực một giao dịch, các thông báo xác thực giao dịch phải được gửi tới tất cả các bên, chỉ chấp nhận giao dịch khi có đủ tất cả chữ ký số từ các bên.

Với việc gia tăng sử dụng thiết bị di động, điều quan trọng là loại giải pháp chữ ký số phải cho phép sử dụng trên điện thoại hoặc máy tính bảng. Các chứng chỉ số (digital certificate) theo chuẩn X.509 có thể được sử dụng để nhận diện và cho phép truy cập duy nhất từng thiết bị di động, biến nó thành yếu tố xác thực thứ hai khi chứng thực người sử dụng khi đăng nhập vào tài khoản qua cổng giao dịch trực tuyến.

Thêm vào đó, việc tận dụng các chứng chỉ số tiên tiến cho phép các nhà quản lý ký xác nhận tất cả các giao dịch nhạy cảm (đơn lẻ hoặc theo lô) chỉ bằng một lần thao tác và có thể mã hóa toàn bộ thông tin gửi đến và đi từ ngân hàng hoặc tổ chức tài chính.

Bằng cách tận dụng một giải pháp chữ ký số được trang bị các công nghệ bảo mật tiên tiến, khách hàng sẽ hoàn toàn yên tâm khi đăng nhập, truy cập dữ liệu và thực hiện giao dịch, dù là trên máy tính hoặc trên điện thoại di động. Họ cũng được hưởng lợi từ việc không phải tạo ra và nhập mã OTP để phê duyệt xác thực giao dịch.

Có thể nói, giải pháp chữ ký số là một giải pháp đảm bảo an ninh, giúp giảm thời gian và thao tác khi thực hiện giao dịch cho mọi khách hàng của ngân hàng.

Tóm lại, giải pháp chữ ký số là phương pháp tiếp cận để xác thực người dùng, là giao dịch tiên tiến và rất quan trọng nếu các ngân hàng muốn tự bảo vệ mình, cũng như khách hàng của họ một cách hiệu quả. Các ngân hàng và tổ chức tài chính muốn cung cấp các dịch vụ ngân hàng trực tuyến cần phải cung cấp một môi trường an toàn cao, đáp ứng các yêu cầu quy định nghiêm ngặt trong và ngoài nước.

Cho dù đó là yêu cầu của các cơ quan quản lý hay không, các giải pháp ký số xác thực giao dịch phải đảm bảo tính xác thực và tính toàn vẹn của các giao dịch trực tuyến luôn ở mức cao nhất, giúp gia tăng lòng tin của khách hàng khi thực hiện qua các kênh di động và trực tuyến.

Thực hiện giải pháp ký kết giao dịch không chỉ giúp bảo vệ khách hàng, mà còn giúp các tổ chức tài chính đáp ứng các yêu cầu pháp lý đang ngày càng nghiêm ngặt hơn cả trong và ngoài nước.

Trần Thị Phương Hồng
Đặc san Toàn cảnh Ngân hàng Việt Nam 2018

Tin liên quan

Tin cùng chuyên mục