Quyết định số 2345/QĐ-NHNN của Ngân hàng Nhà nước Việt Nam được ban hành ngày 18/12/2023, có hiệu lực ngày 01/07/2024. Đây là một bước đi quan trọng của Ngân hàng Nhà nước nhằm bảo vệ quyền lợi của người tiêu dùng, nâng cao tính an toàn và bảo mật của hệ thống thanh toán tại Việt Nam. Việc thực hiện nghiêm túc các quy định của Quyết định sẽ góp phần xây dựng một môi trường thanh toán điện tử an toàn, tin cậy và phát triển bền vững.
Mục lục bài viết
- 1 1. Tóm tắt nội dung Quyết định số 2345/QĐ-NHNN ngày 18/12/2023:
- 2 2. Thuộc tính văn bản Quyết định số 2345/QĐ-NHNN ngày 18/12/2023:
- 3 3. Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 có còn hiệu lực không?
- 4 4. Các văn bản có liên quan đến Quyết định số 2345/QĐ-NHNN ngày 18/12/2023:
- 5 5. Toàn văn nội dung Quyết định số 2345/QĐ-NHNN ngày 18/12/2023:
1. Tóm tắt nội dung Quyết định số 2345/QĐ-NHNN ngày 18/12/2023:
Quyết định số 2345/QĐ-NHNN được Ngân hàng Nhà nước ban hành nhằm nâng cao an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Quyết định này có hiệu lực từ ngày 01/07/2024 và thay thế các quy định cũ, nhằm thích ứng với sự phát triển nhanh chóng của công nghệ thanh toán hiện nay.
Nội dung chính của Quyết định
- Xác thực giao dịch bằng sinh trắc học: Quyết định yêu cầu các giao dịch có giá trị lớn (trên 10 triệu đồng) hoặc tổng giá trị giao dịch trong ngày vượt quá 20 triệu đồng phải được xác thực bằng dấu hiệu sinh trắc học (như vân tay, khuôn mặt) để đảm bảo người thực hiện giao dịch chính là chủ tài khoản.
- Hạn chế rủi ro lừa đảo: Việc áp dụng xác thực sinh trắc học giúp giảm thiểu đáng kể các trường hợp gian lận, lừa đảo trong thanh toán trực tuyến, bảo vệ quyền lợi của người dùng.
- Nâng cao trải nghiệm người dùng: Mặc dù tăng cường bảo mật, Quyết định cũng hướng đến việc nâng cao trải nghiệm người dùng bằng cách đa dạng hóa các phương thức xác thực, đảm bảo tính tiện lợi và nhanh chóng.
- Áp dụng công nghệ mới: Quyết định khuyến khích các tổ chức tín dụng áp dụng các công nghệ mới như trí tuệ nhân tạo, học máy để nâng cao khả năng phát hiện và ngăn chặn các hành vi gian lận.
Ý nghĩa của Quyết định
- Bảo vệ an toàn thông tin: Quyết định giúp bảo vệ thông tin cá nhân và tài sản của khách hàng trước các mối đe dọa từ tội phạm mạng.
- Nâng cao uy tín của hệ thống thanh toán: Việc tăng cường an ninh bảo mật sẽ giúp nâng cao niềm tin của người dân đối với các dịch vụ thanh toán trực tuyến, thúc đẩy sự phát triển của nền kinh tế số.
- Hòa nhập quốc tế: Quyết định giúp hệ thống thanh toán của Việt Nam đáp ứng các tiêu chuẩn quốc tế về an toàn bảo mật, tạo điều kiện thuận lợi cho việc hội nhập kinh tế quốc tế.
Tóm lại: Quyết định số 2345/QĐ-NHNN của Ngân hàng Nhà nước Việt Nam được ban hành ngày 18/12/2023, có hiệu lực ngày 01/07/2024. Đây là một bước đi quan trọng của Ngân hàng Nhà nước nhằm bảo vệ quyền lợi của người tiêu dùng, nâng cao tính an toàn và bảo mật của hệ thống thanh toán tại Việt Nam. Việc thực hiện nghiêm túc các quy định của Quyết định sẽ góp phần xây dựng một môi trường thanh toán điện tử an toàn, tin cậy và phát triển bền vững.
2. Thuộc tính văn bản Quyết định số 2345/QĐ-NHNN ngày 18/12/2023:
| Số hiệu: | 2345/QĐ-NHNN |
| Nơi ban hành: | Ngân hàng Nhà nước Việt Nam |
| Ngày ban hành: | 18/12/2023 |
| Người ký: | Phạm Tiến Dũng |
| Loại văn bản: | Quyết định |
| Ngày hiệu lực: | 01/07/2024 |
| Tình trạng hiệu lực: | Còn hiệu lực |
3. Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 có còn hiệu lực không?
Quyết định số 2345/QĐ-NHNN của Ngân hàng Nhà nước Việt Nam được ban hành ngày 18/12/2023, có hiệu lực ngày 01/07/2024. Hiện văn bản vẫn đang có hiệu lực thi hành.
4. Các văn bản có liên quan đến Quyết định số 2345/QĐ-NHNN ngày 18/12/2023:
Thông tư 18/2024/TT-NHNN quy định về hoạt động thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
Nghị định 102/2022/NĐ-CP quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam
Thông tư 20/2020/TT-NHNN sửa đổi Thông tư 47/2014/TT-NHNN quy định về yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Ngân hàng Nhà nước Việt Nam ban hành
Thông tư 35/2018/TT-NHNN sửa đổi Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Ngân hàng Nhà nước Việt Nam ban hành
Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
Thông tư 47/2014/TT-NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước ban hành
Công văn 9309/NHNN-TT về đảm bảo an toàn, bảo mật giao dịch thẻ do Ngân hàng Nhà nước Việt Nam ban hành
5. Toàn văn nội dung Quyết định số 2345/QĐ-NHNN ngày 18/12/2023:
| NGÂN HÀNG NHÀ NƯỚC VIỆT NAM ——- | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự do – Hạnh phúc ————— |
| Số: 2345/QĐ-NHNN | Hà Nội, ngày 18 tháng 12 năm 2023 |
QUYẾT ĐỊNH
VỀ TRIỂN KHAI CÁC GIẢI PHÁP AN TOÀN, BẢO MẬT TRONG THANH TOÁN TRỰC TUYẾN VÀ THANH TOÁN THẺ NGÂN HÀNG
THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC
Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;
Căn cứ Nghị định số 102/2022/NĐ-CP ngày 12 tháng 12 năm 2022 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Căn cứ Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước quy định an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;
Căn cứ Thông tư số 35/2018/TT-NHNN ngày 24 tháng 12 năm 2018 của Thống đốc Ngân hàng Nhà nước sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước quy định an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;
Xét đề nghị của Cục trưởng Cục Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán căn cứ phân loại giao dịch tại Phụ lục 01 đính kèm, triển khai áp dụng các biện pháp xác thực trong thanh toán trực tuyến trên Internet (Internet Banking, Mobile Banking) như sau:
| STT | Giao dịch1 | Biện pháp xác thực2 tối thiểu | |
| Khách hàng cá nhân | Khách hàng tổ chức | ||
| 1 | Giao dịch loại A | – Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực tại bước thực hiện giao dịch). | – Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực tại bước thực hiện giao dịch). |
| 2 | Giao dịch loại B | – OTP gửi qua phương thức SMS hoặc Voice hoặc Email. – Hoặc Thẻ ma trận OTP. – Hoặc Soft OTP/ Token OTP loại cơ bản. – Hoặc biện pháp xác thực qua hai kênh. – Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng gắn liền với thiết bị cầm tay thông minh3. – Hoặc Soft OTP/Token OTP loại nâng cao. – Hoặc theo chuẩn FIDO. – Hoặc bằng chữ ký điện tử an toàn. | – OTP gửi qua phương thức SMS hoặc Voice hoặc Email. – Hoặc Thẻ ma trận OTP. – Hoặc Token OTP loại cơ bản, không có chức năng xác thực người dùng sử dụng Token. – Hoặc bằng dấu hiệu nhận dạng sinh trắc học của người đại diện hợp pháp, người phụ trách kế toán (nếu có) của khách hàng gắn liền với thiết bị cầm tay thông minh3. |
| 3 | Giao dịch loại C | – Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ căn cước công dân (CCCD) của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập5. – Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu (CSDL) sinh trắc học về khách hàng đã thu thập và kiểm tra6, khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP. | – Soft OTP/Token OTP loại cơ bản, có chức năng xác thực người dùng sử dụng phần mềm, Token. – Hoặc biện pháp xác thực qua hai kênh. |
| 4 | Giao dịch loại D | Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chíp của thẻ CCCD của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; (iii) hoặc khớp đúng với dữ liệu sinh trắc học được lưu trong CSDL sinh trắc học về khách hàng đã thu thập và kiểm tra6, kết hợp một trong các biện pháp xác thực sau: – Soft OTP/Token OTP loại nâng cao. – Hoặc theo chuẩn FIDO. – Hoặc bằng chữ ký điện tử an toàn. | – Soft OTP/Token OTP loại nâng cao. – Hoặc theo chuẩn FIDO. – Hoặc bằng chữ ký điện tử an toàn. |
Ghi chú:
– Biện pháp xác thực giao dịch loại D có thể xác thực giao dịch loại A, B, C.
– Biện pháp xác thực giao dịch loại C có thể xác thực giao dịch loại A, B.
– Biện pháp xác thực giao dịch loại B có thể xác thực giao dịch loại A.
– Trường hợp các đơn vị sử dụng các biện pháp xác thực khác các loại trên thì báo cáo bằng văn bản gửi Ngân hàng Nhà nước (qua Cục Công nghệ thông tin) trước khi áp dụng tối thiểu 03 tháng.
Điều 2. Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán phải triển khai áp dụng các giải pháp giảm thiểu rủi ro trong thanh toán trực tuyến như sau:
1. Đối với khách hàng cá nhân, trước khi thực hiện giao dịch lần đầu bằng ứng dụng Mobile Banking hoặc trước khi thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch Mobile Banking lần gần nhất thì phải xác thực khách hàng:
– Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ CCCD của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập;
– Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong CSDL sinh trắc học về khách hàng đã thu thập và kiểm tra6, kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
2. Thông báo việc đăng nhập lần đầu ứng dụng Internet Banking/ Mobile Banking hoặc việc đăng nhập ứng dụng Internet Banking/ Mobile Banking trên thiết bị khác với thiết bị thực hiện đăng nhập ứng dụng Internet Banking/ Mobile Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (email, điện thoại,…).
3. Lưu trữ thông tin về thiết bị thực hiện các giao dịch trực tuyến của khách hàng và nhật ký (log) xác thực giao dịch tối thiểu trong vòng 3 tháng.
a) Thông tin về thiết bị tối thiểu bao gồm:
– Đối với thiết bị di động: Thông tin định danh duy nhất của thiết bị (như số IMEI, Serial, WLAN MAC, Android ID,…).
– Đối với máy tính: địa chỉ MAC hoặc thông tin định danh thiết bị khác thông qua các API (Application Programming Interface) của hệ điều hành.
b) Nhật ký (log) xác thực giao dịch tối thiểu gồm: biện pháp xác thực, thời gian xác thực, mã giao dịch được xác thực, mã khách hàng.
Điều 3. Các tổ chức cung ứng dịch vụ thanh toán thẻ phải triển khai các giải pháp giảm thiểu rủi ro như sau:
1. Thông báo giao dịch qua tin nhắn SMS hoặc thư điện tử.
2. Thiết lập hạn mức giao dịch trong ngày.
3. Thiết lập tính năng cho phép/ không cho phép thanh toán trực tuyến.
4. Thiết lập hạn mức thanh toán thẻ trực tuyến trong ngày.
5. Thiết lập tính năng cho phép/ không cho phép thanh toán ở nước ngoài (ngoại trừ các giao dịch trực tuyến).
6. Triển khai giải pháp xác thực 3D Secure (hoặc tương đương) cho việc thanh toán trực tuyến với thẻ quốc tế.
Điều 4.
1. Cục Công nghệ thông tin có trách nhiệm đầu mối theo dõi, giám sát, kiểm tra việc thực hiện Quyết định này và tổng hợp tình hình thực hiện, báo cáo Thống đốc Ngân hàng Nhà nước.
2. Vụ Thanh toán có trách nhiệm phối hợp với Cục Công nghệ thông tin theo dõi, giám sát và kiểm tra việc triển khai Quyết định này.
3. Vụ Truyền thông phối hợp với các đơn vị liên quan thực hiện công tác truyền thông đến người dân, doanh nghiệp hỗ trợ hiệu quả cho việc áp dụng các tiêu chuẩn, các giải pháp xác thực trong thanh toán trực tuyến và thanh toán thẻ.
Điều 5. Hiệu lực thi hành:
1. Quyết định này có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2024 và thay thế Quyết định số 630/QĐ-NHNN ngày 31 tháng 3 năm 2017 của Thống đốc Ngân hàng Nhà nước về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
2. Đối với các tổ chức tín dụng được kiểm soát đặc biệt, thời gian áp dụng các quy định tại Điều 1 và Điều 2 Quyết định này kể từ ngày 01 tháng 01 năm 2025.
Điều 6. Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin và Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán chịu trách nhiệm thi hành Quyết định này./.
KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC
Phạm Tiến Dũng
