Đề xuất ứng dụng Mobile Banking phải xác thực sinh trắc học
Ngân hàng Nhà nước Việt Nam đang lấy ý kiến dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng. Trong đó, có đề xuất quy định ứng dụng Mobile Banking phải xác thực sinh trắc học khớp với dữ liệu của căn cước.
Cụ thể, theo Điều 8, dự thảo Thông tư, đề cập quy định về phần mềm ứng dụng Mobile Banking như sau:
Phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải đảm bảo tuân thủ các quy định về phần mềm ứng dụng Online Banking tại Điều 7, dự thảo Thông tư và các yêu cầu sau:
Phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và chỉ rõ đường dẫn trên trang điện tử hoặc cổng thông tin điện tử để khách hàng tải và cài đặt phần mềm ứng dụng Mobile Banking.
Phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược.
Phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa bí mật truy cập.
Đối với khách hàng cá nhân, phần mềm ứng dụng Mobile Banking phải xác thực khách hàng trước khi cho phép khách hàng thực hiện giao dịch lần đầu hoặc trước khi khách hàng thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch tại ứng dụng Mobile Banking lần gần nhất:
- Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip CCCD của khách hàng do cơ quan Công an cấp; (ii) hoặc khớp đúng thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập; (iii) hoặc khớp đúng thông qua gặp mặt trực tiếp với khách hàng cá nhân là người nước ngoài hoặc khách hàng cá nhân không phải làm CCCD gắn chíp theo quy định của pháp luật.
- Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp tại điểm a khoản 4 Điều này hoặc kiểm tra khớp đúng với dấu hiệu sinh trắc học trong cơ sở dữ liệu quốc gia về dân cư), kết hợp với hình thức xác thực SMS OTP hoặc Voice OTP hoặc Soft OTP hoặc Token OTP.
Như vậy, so với quy định hiện nay, dự thảo Thông tư trên đã đề xuất phần mềm ứng dụng Mobile Banking của ngân hàng phải xác thực khách hàng bằng dấu hiệu nhận dạng sinh trắc học khớp với dữ liệu sinh trắc học được lưu trong chip CCCD của khách hàng do cơ quan Công an cấp, hoặc khớp đúng thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập.
Hiệu lực thi hành của dự thảo Thông tư đang được đề xuất có hiệu lực từ ngày 01/01/2025.
Hiện hành, tại Điều 8, Thông tư 35/2016/TT-NHNN sửa đổi, bổ sung bởi Thông tư 35/2018/TT-NHNN, có quy định về phần mềm ứng dụng trên thiết bị di động của ngân hàng như sau:
Phần mềm ứng dụng Internet Banking trên thiết bị di động do đơn vị cung cấp phải đảm bảo tuân thủ các quy định tại Điều 7 Thông tư 35/2016/TT-NHNN và các yêu cầu sau:
- Đơn vị phải chỉ rõ đường dẫn trên website hoặc kho ứng dụng để khách hàng tải và cài đặt phần mềm ứng dụng Internet Banking trên thiết bị di động.
- Phần mềm ứng dụng phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược.
- Phần mềm ứng dụng phải xác thực người dùng khi truy cập và không có tính năng ghi nhớ mã khóa truy cập. Trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định, phần mềm ứng dụng phải tự động khóa tạm thời không cho người dùng tiếp tục sử dụng.