Tìm kiếm
Quyết định 2345/QĐ-NHNN năm 2023 triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
| Số hiệu: | 2345/QĐ-NHNN | Loại văn bản: | Quyết định |
| Nơi ban hành: | Ngân hàng Nhà nước | Người ký: | Phạm Tiến Dũng |
| Ngày ban hành: | 18/12/2023 | Ngày hiệu lực: | 01/07/2024 |
| Ngày công báo: | *** | Số công báo: | |
| Lĩnh vực: | Tiền tệ - Ngân hàng | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Văn bản tiếng việt
Quyết định 2345/QĐ-NHNN (Bản Word)
Văn bản tiếng anh
|
NGÂN HÀNG NHÀ NƯỚC |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 2345/QĐ-NHNN |
Hà Nội, ngày 18 tháng 12 năm 2023 |
QUYẾT ĐỊNH
VỀ TRIỂN KHAI CÁC GIẢI PHÁP AN TOÀN, BẢO MẬT TRONG THANH TOÁN TRỰC TUYẾN VÀ THANH TOÁN THẺ NGÂN HÀNG
THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC
Căn cứ Luật Ngân hàng Nhà nước Việt Nam ngày 16 tháng 6 năm 2010;
Căn cứ Nghị định số 102/2022/NĐ-CP ngày 12 tháng 12 năm 2022 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;
Căn cứ Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước quy định an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;
Căn cứ Thông tư số 35/2018/TT-NHNN ngày 24 tháng 12 năm 2018 của Thống đốc Ngân hàng Nhà nước sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN ngày 29 tháng 12 năm 2016 của Thống đốc Ngân hàng Nhà nước quy định an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet;
Xét đề nghị của Cục trưởng Cục Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán căn cứ phân loại giao dịch tại Phụ lục 01 đính kèm, triển khai áp dụng các biện pháp xác thực trong thanh toán trực tuyến trên Internet (Internet Banking, Mobile Banking) như sau:
|
STT |
Giao dịch1 |
Biện pháp xác thực2 tối thiểu |
|
|
Khách hàng cá nhân |
Khách hàng tổ chức |
||
|
1 |
Giao dịch loại A |
- Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực tại bước thực hiện giao dịch). |
- Tên đăng nhập, mật khẩu hoặc mã PIN (trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực tại bước thực hiện giao dịch). |
|
2 |
Giao dịch loại B |
- OTP gửi qua phương thức SMS hoặc Voice hoặc Email. - Hoặc Thẻ ma trận OTP. - Hoặc Soft OTP/ Token OTP loại cơ bản. - Hoặc biện pháp xác thực qua hai kênh. - Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng gắn liền với thiết bị cầm tay thông minh3. - Hoặc Soft OTP/Token OTP loại nâng cao. - Hoặc theo chuẩn FIDO. - Hoặc bằng chữ ký điện tử an toàn. |
- OTP gửi qua phương thức SMS hoặc Voice hoặc Email. - Hoặc Thẻ ma trận OTP. - Hoặc Token OTP loại cơ bản, không có chức năng xác thực người dùng sử dụng Token. - Hoặc bằng dấu hiệu nhận dạng sinh trắc học của người đại diện hợp pháp, người phụ trách kế toán (nếu có) của khách hàng gắn liền với thiết bị cầm tay thông minh3. |
|
3 |
Giao dịch loại C |
- Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ căn cước công dân (CCCD) của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập5. - Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu (CSDL) sinh trắc học về khách hàng đã thu thập và kiểm tra6, khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP. |
- Soft OTP/Token OTP loại cơ bản, có chức năng xác thực người dùng sử dụng phần mềm, Token. - Hoặc biện pháp xác thực qua hai kênh. |
|
4 |
Giao dịch loại D |
Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chíp của thẻ CCCD của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; (iii) hoặc khớp đúng với dữ liệu sinh trắc học được lưu trong CSDL sinh trắc học về khách hàng đã thu thập và kiểm tra6, kết hợp một trong các biện pháp xác thực sau: - Soft OTP/Token OTP loại nâng cao. - Hoặc theo chuẩn FIDO. - Hoặc bằng chữ ký điện tử an toàn. |
- Soft OTP/Token OTP loại nâng cao. - Hoặc theo chuẩn FIDO. - Hoặc bằng chữ ký điện tử an toàn. |
Ghi chú:
- Biện pháp xác thực giao dịch loại D có thể xác thực giao dịch loại A, B, C.
- Biện pháp xác thực giao dịch loại C có thể xác thực giao dịch loại A, B.
- Biện pháp xác thực giao dịch loại B có thể xác thực giao dịch loại A.
- Trường hợp các đơn vị sử dụng các biện pháp xác thực khác các loại trên thì báo cáo bằng văn bản gửi Ngân hàng Nhà nước (qua Cục Công nghệ thông tin) trước khi áp dụng tối thiểu 03 tháng.
Điều 2. Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán phải triển khai áp dụng các giải pháp giảm thiểu rủi ro trong thanh toán trực tuyến như sau:
1. Đối với khách hàng cá nhân, trước khi thực hiện giao dịch lần đầu bằng ứng dụng Mobile Banking hoặc trước khi thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch Mobile Banking lần gần nhất thì phải xác thực khách hàng:
- Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: (i) khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ CCCD của khách hàng do cơ quan Công an cấp4; (ii) hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập;
- Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong CSDL sinh trắc học về khách hàng đã thu thập và kiểm tra6, kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
2. Thông báo việc đăng nhập lần đầu ứng dụng Internet Banking/ Mobile Banking hoặc việc đăng nhập ứng dụng Internet Banking/ Mobile Banking trên thiết bị khác với thiết bị thực hiện đăng nhập ứng dụng Internet Banking/ Mobile Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (email, điện thoại,…).
3. Lưu trữ thông tin về thiết bị thực hiện các giao dịch trực tuyến của khách hàng và nhật ký (log) xác thực giao dịch tối thiểu trong vòng 3 tháng.
a) Thông tin về thiết bị tối thiểu bao gồm:
- Đối với thiết bị di động: Thông tin định danh duy nhất của thiết bị (như số IMEI, Serial, WLAN MAC, Android ID,…).
- Đối với máy tính: địa chỉ MAC hoặc thông tin định danh thiết bị khác thông qua các API (Application Programming Interface) của hệ điều hành.
b) Nhật ký (log) xác thực giao dịch tối thiểu gồm: biện pháp xác thực, thời gian xác thực, mã giao dịch được xác thực, mã khách hàng.
Điều 3. Các tổ chức cung ứng dịch vụ thanh toán thẻ phải triển khai các giải pháp giảm thiểu rủi ro như sau:
1. Thông báo giao dịch qua tin nhắn SMS hoặc thư điện tử.
2. Thiết lập hạn mức giao dịch trong ngày.
3. Thiết lập tính năng cho phép/ không cho phép thanh toán trực tuyến.
4. Thiết lập hạn mức thanh toán thẻ trực tuyến trong ngày.
5. Thiết lập tính năng cho phép/ không cho phép thanh toán ở nước ngoài (ngoại trừ các giao dịch trực tuyến).
6. Triển khai giải pháp xác thực 3D Secure (hoặc tương đương) cho việc thanh toán trực tuyến với thẻ quốc tế.
Điều 4.
1. Cục Công nghệ thông tin có trách nhiệm đầu mối theo dõi, giám sát, kiểm tra việc thực hiện Quyết định này và tổng hợp tình hình thực hiện, báo cáo Thống đốc Ngân hàng Nhà nước.
2. Vụ Thanh toán có trách nhiệm phối hợp với Cục Công nghệ thông tin theo dõi, giám sát và kiểm tra việc triển khai Quyết định này.
3. Vụ Truyền thông phối hợp với các đơn vị liên quan thực hiện công tác truyền thông đến người dân, doanh nghiệp hỗ trợ hiệu quả cho việc áp dụng các tiêu chuẩn, các giải pháp xác thực trong thanh toán trực tuyến và thanh toán thẻ.
Điều 5. Hiệu lực thi hành:
1. Quyết định này có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2024 và thay thế Quyết định số 630/QĐ-NHNN ngày 31 tháng 3 năm 2017 của Thống đốc Ngân hàng Nhà nước về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
2. Đối với các tổ chức tín dụng được kiểm soát đặc biệt, thời gian áp dụng các quy định tại Điều 1 và Điều 2 Quyết định này kể từ ngày 01 tháng 01 năm 2025.
Điều 6. Chánh Văn phòng, Cục trưởng Cục Công nghệ thông tin và Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, Chủ tịch Hội đồng quản trị, Chủ tịch Hội đồng thành viên, Tổng giám đốc (Giám đốc) các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán chịu trách nhiệm thi hành Quyết định này./.
|
|
KT. THỐNG ĐỐC |
PHỤ LỤC 01
PHÂN LOẠI GIAO DỊCH
(kèm theo Quyết định số 2345/QĐ-NHNN ngày 18 tháng 12 năm 2023 của Thống đốc Ngân hàng Nhà nước)
|
STT |
Loại hình giao dịch |
Giao dịch loại A |
Giao dịch loại B |
Giao dịch loại C |
Giao dịch loại D |
|
I |
Khách hàng cá nhân |
|
|
|
|
|
1 |
Nhóm I.1: - Các giao dịch tra cứu thông tin. - Chuyển tiền trong cùng ngân hàng, cùng chủ tài khoản. |
Tất cả các giao dịch. |
|
|
|
|
2 |
Nhóm I.2: - Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. |
Giao dịch thỏa mãn điều kiện: G + T ≤ 5 triệu VND. |
Giao dịch thỏa mãn các điều kiện: (i) G + T > 5 triệu VND. (ii) G + T ≤ 100 triệu VND. |
Giao dịch thỏa mãn các điều kiện: (i) G + T > 100 triệu VND. (ii) G + T ≤ 1,5 tỷ VND. |
Giao dịch thỏa mãn điều kiện: G + T > 1,5 tỷ VND. |
|
3 |
Nhóm I.3: - Chuyển tiền trong cùng ngân hàng, khác chủ tài khoản. - Chuyển tiền liên ngân hàng trong nước. - Chuyển tiền giữa các ví điện tử. - Nạp tiền vào Ví điện tử7. - Rút tiền từ Ví điện tử. |
|
Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + Tksth ≤ 20 triệu VND. |
Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + Tksth > 20 triệu VND. (iii) G + T ≤ 1,5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T ≤ 1,5 tỷ VND. |
Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + Tksth > 20 triệu VND. (iii) G + T > 1,5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T > 1,5 tỷ VND. 3. Trường hợp 3: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND. |
|
4 |
Nhóm I.4: Chuyển tiền liên ngân hàng ra nước ngoài*. |
|
|
Giao dịch thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T ≤ 1 tỷ VND. |
Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T > 1 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 200 triệu VND. |
|
II |
Khách hàng tổ chức |
|
|
|
|
|
1 |
Nhóm II.1: Các giao dịch tra cứu thông tin. |
Tất cả các giao dịch. |
|
|
|
|
2 |
Nhóm II.2: Chuyển tiền trong cùng ngân hàng, cùng chủ tài khoản. |
|
Tất cả các giao dịch. |
|
|
|
3 |
Nhóm II.3: - Chuyển tiền trong cùng ngân hàng, khác chủ tài khoản. - Chuyển tiền liên ngân hàng trong nước. - Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. - Chuyển tiền giữa các ví điện tử. - Nạp tiền vào Ví điện tử. - Rút tiền từ Ví điện tử. |
|
|
Giao dịch thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T ≤ 10 tỷ VND. |
Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T > 10 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 1 tỷ VND. |
|
4 |
Nhóm II.4: Chuyển tiền liên ngân hàng ra nước ngoài* |
|
|
Giao dịch thỏa mãn các điều kiện: (i) G ≤ 500 triệu VND. (ii) G + T ≤ 5 tỷ VND. |
Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 500 triệu VND. (ii) G + T > 5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND. |
Ghi chú:
G: Giá trị của giao dịch.
Tksth: Tổng giá trị các giao dịch loại A và loại B của từng nhóm loại hình giao dịch đã thực hiện của một tài khoản ngân hàng (bao gồm giao dịch nạp tiền vào ví điện tử) hoặc một ví điện tử (không bao gồm giao dịch nạp tiền vào ví điện tử). Tksth của một tài khoản ngân hàng/ví điện tử được tính giá trị bằng 0 tại thời điểm đầu ngày hoặc ngay sau khi tài khoản ngân hàng/ví điện tử đó có phát sinh giao dịch trong ngày sử dụng biện pháp xác thực cho giao dịch loại C hoặc loại D.
T: Tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày (của một tài khoản ngân hàng (bao gồm giao dịch nạp tiền vào ví điện tử) hoặc một ví điện tử (không bao gồm giao dịch nạp tiền vào ví điện tử)).
*: Hạn mức quy đổi theo tỷ giá tại thời điểm thực hiện giao dịch.
PHỤ LỤC 02
CÁC BIỆN PHÁP XÁC THỰC GIAO DỊCH TRỰC TUYẾN
(kèm theo Quyết định số 2345/QĐ-NHNN ngày 18 tháng 12 năm 2023 của Thống đốc Ngân hàng Nhà nước)
|
STT |
Biện pháp |
Chi tiết về biện pháp |
|
1 |
OTP gửi qua phương thức SMS hoặc Voice hoặc Email. |
Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking sẽ gửi mã OTP qua tin nhắn SMS (SMS OTP) hoặc qua cuộc gọi thoại (Voice OTP) hoặc qua thư điện tử (Email OTP) khách hàng đã đăng ký trước. Khách hàng nhập mã OTP trên giao diện thanh toán trực tuyến để hoàn thành giao dịch để thanh toán. |
|
2 |
Thẻ ma trận OTP |
Thẻ ma trận là một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking sẽ thông báo số dòng, cột trên thẻ ma trận để khách hàng nhập mã OTP tương ứng hoàn thành giao dịch thanh toán. |
|
3 |
Soft OTP loại cơ bản |
Phần mềm tạo mã OTP (Soft OTP) thường được cài đặt trên thiết bị cầm tay thông minh đã đăng ký với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Đối với loại cơ bản, mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực tuyến tại tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng nhập mã OTP được sinh bởi Soft OTP. Khách hàng hoặc phần mềm tự động nhập mã OTP trên giao diện thanh toán trực tuyến và khách hàng thực hiện xác nhận để hoàn thành giao dịch thanh toán. |
|
4 |
Soft OTP loại nâng cao |
Soft OTP loại nâng cao thường được cài đặt trên thiết bị cầm tay thông minh đã đăng ký với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Đối với loại nâng cao, mã OTP được tạo kết hợp với mã của từng giao dịch (transaction signing). Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking tạo ra một mã giao dịch thông báo cho khách hàng. Khách hàng hoặc phần mềm tự động nhập mã giao dịch vào Soft OTP để phần mềm tạo ra mã OTP. Sau đó khách hàng hoặc phần mềm tự động nhập mã OTP trên giao diện thanh toán trực tuyến và khách hàng thực hiện xác nhận để hoàn thành giao dịch thanh toán. |
|
5 |
Token OTP loại cơ bản |
Token OTP là thiết bị tạo mã OTP. Đối với loại cơ bản, mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống thanh toán trực tuyến tại tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng nhập mã OTP được sinh bởi Token OTP để hoàn thành giao dịch thanh toán. |
|
6 |
Token OTP loại nâng cao |
Token OTP loại nâng cao là thiết bị tạo mã OTP. Trong đó mã OTP được tạo kết hợp với mã của từng giao dịch (transaction signing). Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking tạo ra một mã giao dịch thông báo cho khách hàng. Khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP. Sau đó khách hàng nhập mã OTP trên giao diện thanh toán trực tuyến để hoàn thành giao dịch thanh toán. |
|
7 |
Xác thực hai kênh |
Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking gửi thông tin yêu cầu xác thực giao dịch đến thiết bị di động của khách hàng qua kênh thoại hoặc qua mã USSD hoặc qua phần mềm chuyên dụng. Khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch. |
|
8 |
Sinh trắc học |
Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng trình diện dấu hiệu nhận dạng sinh trắc học của khách hàng khó có khả năng làm giả để xác thực giao dịch (như khuôn mặt, tĩnh mạch ngón tay hoặc bàn tay, vân tay, mống mắt, giọng nói). |
|
9 |
FIDO |
Tiêu chuẩn xác thực do Liên minh Xác thực trực tuyến thế giới FIDO Alliance ban hành (tham khảo tại Fidoalliance.org). Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng sử dụng thiết bị U2F/UAF (giao tiếp qua cổng USB hoặc không dây (Bluetooth, NFC)) hoặc phần mềm xác thực tích hợp với điện thoại thông minh hoặc trình duyệt đáp ứng tiêu chuẩn FIDO2, Sau khi xác thực sử dụng thiết bị bằng mã truy cập hoặc dấu hiệu sinh trắc học, thiết bị U2F/UAF hoặc phần mềm xác thực sẽ tự động giao tiếp với trình duyệt và máy chủ xác thực để xác thực địa chỉ website Internet Banking và giao dịch. |
|
10 |
Chữ ký điện tử an toàn |
Khi thực hiện giao dịch thanh toán trực tuyến, hệ thống Internet Banking / Mobile Banking yêu cầu khách hàng sử dụng chữ ký điện tử an toàn đã đăng ký sử dụng với tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán. Chữ ký điện tử an toàn bao gồm Chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận theo quy định của pháp luật. |
1 Phân loại giao dịch quy định tại Phụ lục 01.
2 Chi tiết về các biện pháp xác thực quy định tại Phụ lục 02.
3 Trường hợp khách hàng đã đăng nhập ứng dụng Internet Banking/ Mobile Banking bằng dấu hiệu nhận dạng sinh trắc học gắn liền với thiết bị cầm tay thông minh (như điện thoại thông minh (smart phone), máy tính bảng) thì không áp dụng biện pháp xác thực này khi thực hiện giao dịch trong phiên đăng nhập đó.
4 Đơn vị phải triển khai giải pháp để xác thực chính xác thẻ CCCD của khách hàng là do cơ quan Công an cấp.
5 Tài khoản định danh điện tử, hệ thống định danh và xác thực điện tử theo quy định tại Nghị định 59/2022/NĐ-CP ngày 05/9/2022 của Chính phủ quy định về định danh và xác thực điện tử.
6 Kiểm tra đảm bảo: (i) sự khớp đúng giữa dữ liệu nhận dạng sinh trắc học của khách hàng với dữ liệu sinh trắc học trong chip của thẻ CCCD của khách hàng do cơ quan Công an cấp; (ii) hoặc sự khớp đúng giữa dữ liệu nhận dạng sinh trắc học của khách hàng thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập.
7 Trường hợp giao dịch nạp tiền vào Ví điện tử: căn cứ theo phân loại giao dịch của tài khoản ngân hàng của khách hàng được liên kết với Ví điện tử.
|
STATE BANK OF VIETNAM |
SOCIALIST REPUBLIC OF VIETNAM |
|
No. 2345/QD-NHNN |
Hanoi, December 18, 2023 |
APPLICATION OF SAFETY AND SECURITY MEASURES TO ONLINE PAYMENT AND CARD PAYMENT
THE GOVERNOR OF STATE BANK OF VIETNAM
Pursuant to the Law on the State Bank of Vietnam dated June 16th 2010;
Pursuant to the Government’s Decree No. 102/2022/ND-CP dated December 12th 2022 on functions, tasks, powers and organizational structure of State Bank of Vietnam;
Pursuant to Circular No. 35/2016/TT-NHNN dated December 29th 2016 of the Governor of State Bank of Vietnam on safety and security of provision of banking services on the Internet;
Pursuant to Circular No. 35/2018/TT-NHNN dated December 24th 2018 of the governor of State Bank of Vietnam on amendments to some Articles of Circular No. 35/2016/TT-NHNN dated cot 29th 2016 of the Governor of State Bank of Vietnam on safety and security of provision of banking services on the Internet;
At the request of the Director of Information Technology Department.
DECIDES:
Article 1. Credit institutions, foreign bank branches (FBBs), organizations providing payment services shall, in accordance with the categorization in Appendix 01 hereof, apply authentication methods to online payment (internet banking, mobile banking) as follows:
|
No. |
Transaction 1 |
Minimum authentication methods 2 |
|
|
Individual customers |
Organization customers |
||
|
1 |
Category A transactions |
- Username, password or PIN (if a customer has been authenticated during log-in, authentication is not required during transaction) |
- Username, password or PIN (if a customer has been authenticated during log-in, authentication is not required during transaction) |
|
2 |
Category B transactions |
- OTP sent by SMS or Voice or Email; or - OTP Matrix Card; or - Basic OTP generated by soft/hard token; or - Two-factor authentication method; or - The customer's handheld device 3, or - Advanced OTP generated by soft/hard token; or - FIDO Authentication; or - Safe electronic signature. |
- OTP sent by SMS or Voice or Email; or - OTP Matrix Card; or - Basic OTP token without authentication of token user; or - Handheld device biometrics of the customer's legal representative or accountant 3. |
|
3 |
Category C transactions |
- The customer's biometric identifier that: (i) matches the biometric data in the customer's ID card issued by the police authority 4; or (ii) is authenticated by the customer's electronic identification account created by the electronic identification and authentication system 5; or - The customer's biometric identifier that matches the customer's biometric data in the biometric database 6. It is recommended to combine with SMS/Voice OTP or OTP generated by soft/hard token. |
- Basic OTP soft/hard token with authentication of software/token user; or - Two-factor authentication method. |
|
4 |
Category D transactions |
The customer's biometric identifier that: (i) matches the biometric data in the customer's ID card issued by the police authority 4; or (ii) is authenticated by the customer's electronic identification account created by the electronic identification and authentication system; or (iii) matches the biometric data stored in the verified biometric database 6, combined with one of the following authentication methods: - Advanced OTP generated by soft/hard token; or - FIDO authentication; or - Safe electronic signature. |
- Advanced OTP generated by soft/hard token; or - FIDO authentication; or - Safe electronic signature. |
Notes:
- Authentication methods of Category A, B, C transactions can be applied to Category D transactions.
- Authentication methods of Category A, B transactions can be applied to Category C transactions.
- Authentication methods of Category A transactions can be applied to Category B transactions.
- Units that apply authentication methods other than the methods specified above shall send written reports to State Bank of Vietnam (via Information Technology Department) at least 03 months before application.
Article 2. Credit institutions, FBBs, organizations providing payment services shall implement solutions for minimization online payment risks as follows:
1. Before an individual customer makes the first transaction using the mobile banking app or before making a transaction using a device that is different from the latest device on which the mobile banking app was used, the customer must be authenticated:
- Using the customer's biometric identifier that: (i) matches the biometric data in the customer's ID card issued by the police authority 4; or (ii) is authenticated by the customer's electronic identification account created by the electronic identification and authentication system; or
- The customer's biometric identifier that matches the customer's biometric data in the biometric database 6, combined with SMS/Voice OTP or OTP generated by soft/hard token.
2. Send notifications of first login into the Internet Banking/ Mobile Banking app or notification of login into the Internet Banking/ Mobile Banking app on a device that is different from the latest device via SMS or another channel registered by the customer (email, phone number, etc.)
3. Store information about the devices that are used by customers to make online transactions and transaction authentication logs for at least 3 months.
a) Mandatory device information includes:
- For mobile devices: unique identifier of the device e.g. IMEL Serial, WLAN MAC, Android ID, etc.
- For computers: MAC address or other device identifiers via the application programming interface (API) of the operating system.
b) The authentication log shall contain the following information: authentication methods, authentication times, codes of authenticated transactions, customers' codes.
Article 3. Providers of card payment services shall implement the following risk minimization solutions:
1. Send notifications of transactions via SMS or emails.
2. Set daily transaction limits.
3. Allow users to enable/disable online transactions.
4. Set daily online card payment limits.
5. Allow users to enable/disable overseas payment (except for online transactions).
6. Apply 3D Secure protocol (or an equivalent protection method) to online payment by international cards.
1. Information Technology Department shall take charge of monitoring, supervising, and inspecting the implementation of this Decision and submit reports to the Governor of State Bank of Vietnam.
2. Payment Department shall cooperate with Information Technology Department in monitoring, supervising, and inspecting the implementation of this Decision.
3. Communications Department shall cooperate with relevant units in publicizing the contents of this Decision to the people and enterprises, effectively supporting the application of authentication methods and standards to online payment and card payment.
1. This decision comes into force from July 1st 2024 and replaces Decision No. 630/QD-NHNN dated March 31st 2017 of the Governor of State Bank of Vietnam promulgating the Plan for Application of Safety and Security Solutions to online payment and card payment.
2. From January 1st 2025, regulations of Article 1 and Article 2 of this Decision shall apply to credit institutions placed under special control.
Article 6. Chief of Office, Director of Information Technology Department and heads of units of State Bank of Vietnam, Presidents of the Boards of Directors, Presidents of the Member Assemblies, General Directors/Directors of credit institutions, FBBs, providers of payment services are responsible for the implementation of this Decision./.
|
|
PP THE GOVERNOR |
CATEGORIZATION OF TRANSACTIONS
(Promulgated together with Decision No. 2345/QD-NHNN dated December 18th 2023 of the Governor of State Bank of Vietnam)
|
No. |
Description |
Category A |
Category B |
Category C |
Category D |
|
I |
Individual customers |
|
|
|
|
|
1 |
Group I.1: - Information lookup - Intrabank transfer to the same account holder |
All transactions |
|
|
|
|
2 |
Group I.2: - Transactions including payments of lawful goods and services processed by payment service providers at payment acceptors selected, appraised, supervised and managed by payment service providers |
Any transaction that satisfies the following condition: G + T ≤ 5 million VND. |
Any transaction that satisfies the following conditions: (i) G + T > 5 million VND (ii) G + T ≤ 100 million VND |
Any transaction that satisfies the following conditions: (i) G + T > 100 million VND (ii) G + T ≤ 1,5 billion VND |
Any transaction that satisfies the following condition: G + T > 1,5 billion VND |
|
3 |
Group I.3: - Intrabank transfer to other account holders - Domestic interbank transfer - Money transfer between e-wallets - E-wallet cash-in 7 - E-wallet cash-out |
|
Any transaction that satisfies the following conditions: (i) G ≤ 10 million VND (ii) G + Tksth ≤ 20 million VND. |
Any transaction that satisfies one of the following conditions: 1. Any transaction that satisfies the following conditions: (i) G ≤ 10 million VND (ii) G + Tksth > 20 million VND (iii) G + T ≤ 1,5 billion VND. 2. 2. Any transaction that satisfies the following conditions: (i) G > 10 million VND. (ii) G ≤ 500 million VND. (iii) G + T ≤ 1,5 billion VND. |
Any transaction that satisfies one of the following conditions: 1. Any transaction that satisfies the following conditions: (i) G ≤ 10 million VND (ii) G + Tksth > 20 million VND (iii) G + T ≤ 1,5 billion VND 2. Any transaction that satisfies the following conditions: (i) G > 10 million VND (ii) G ≤ 500 million VND (iii) G + T ≤ 1,5 billion VND 3. Any transaction that satisfies the following condition: G > 500 million VND |
|
4 |
Group I.4: Outbound interbank transfer * |
|
|
Any transaction that satisfies the following conditions: (i) G ≤ 200 million VND (ii) G + T ≤ 1 billion VND |
Any transaction that satisfies one of the following conditions: 1. Any transaction that satisfies the following conditions: (i) G ≤ 200 million VND (ii) G + T > 1 billion VND 2. Any transaction that satisfies the following condition: G > 200 million VND |
|
II |
Organization customers |
|
|
|
|
|
1 |
Group II.1: Information lookup |
All transactions |
|
|
|
|
2 |
Group II.2: Intrabank transfer to the same account holder |
|
All transactions |
|
|
|
3 |
Group II.3: - Intrabank transfer to other account holders - Domestic interbank transfer - Transactions including payments of lawful goods and services processed by payment service providers at payment acceptors selected, appraised, supervised and managed by payment service providers - Money transfer between e-wallets - E-wallet cash-in - E-wallet cash-out |
|
|
Any transaction that satisfies the following conditions: (i) G ≤ 1 billion VND (ii) G + T ≤ 10 billion VND |
Any transaction that satisfies one of the following conditions: 1. Any transaction that satisfies the following conditions: (i) G ≤ 1 billion VND (ii) G + T > 10 billion VND 2. Any transaction that satisfies the following condition: G > 1 billion VND |
|
4 |
Group II.4: Outbound interbank transfer * |
|
|
Any transaction that satisfies the following conditions: (i) G ≤ 500 million VND (ii) G + T ≤ 5 billion VND |
Any transaction that satisfies one of the following conditions: 1. Any transaction that satisfies the following conditions: (i) G ≤ 500 million VND (ii) G + T > 5 billion VND 2. Any transaction that satisfies the following condition: G > 500 million VND |
Notes:
G: Value of the transaction.
Tksth: Total value of Category A and Category B transactions of each category of transactions performed on a bank account (including e-wallet cash-in) or an e-wallet (excluding e-wallet cash-in). Tksth of a bank account/e-wallet shall be zero (0) at the beginning of the day or after the bank account/e-wallet has a transaction in the day which is authenticated by an authentication method for Category C or Category D transactions.
T: Total value of each category of transactions performed in a day (on a bank account (including e-wallet cash-in) or an e-wallet (excluding e-wallet cash-in).
*: Converted limit according to exchange rate at the time of transaction.
ONLINE PAYMENT AUTHENTICATION METHODS
(Promulgated together with Decision No. 2345/QD-NHNN dated December 18th 2023 of the Governor of State Bank of Vietnam)
|
No. |
Method |
Description |
|
1 |
SME/Voice/Email OTP |
When an online payment is made, the Internet Banking/Mobile Banking will send an OTP via SMS (SMS OTP) or call (Voice OTP) or email (Email OTP) Article registered by the customer. The customer will then enter the OTP on the online payment interface to complete the payment process. |
|
2 |
OTP Matrix Card |
The matrix card has 2-dimension table with rows and columns, which provide an arrangement of OTPs. When an online payment is made, the Internet Banking/Mobile Banking will send a notification of the numbers of row and column on the matrix card. The customer will then enter the corresponding OTP to complete the payment process. |
|
3 |
Basic OTP generated by soft token |
The OTP-generating software (soft token) is usually installed on a handheld device that has been registered with the payment service provider. Basic OTPs will be periodically generated and synchronized with the online payment system of the payment service provider. When an online payment is made, the Internet Banking/Mobile Banking will require the customer to enter the OTP generated by the soft token. The customer or the software will enter the OTP on the online payment interface, then the customer will give a confirmation to complete the payment process. |
|
4 |
Advanced OTP generated by soft token |
The soft token is usually installed on a handheld device that has been registered with the payment service provider. Advanced OTPs will be generated in combination with the transaction code (transaction signing). When an online payment is made, the Internet Banking/Mobile Banking will generate a transaction code and notify the customer. Then customer or the software will enter the transaction code into the soft token, which will generate an OTP. The customer or the software will then enter the OTP on the online payment interface. Next, the customer will give a confirmation to complete the payment process. |
|
5 |
Basic OTP generated by hard token |
An OTP token is a device that generates OTPs. Basic OTPs will be periodically generated and synchronized with the online payment system of the payment service provider. When an online payment is made, the Internet Banking/Mobile Banking will require the customer to enter the OTP generated by the hard token to complete the payment process. |
|
6 |
Advanced OTP generated by hard token |
Advanced OTPs will be generated by the hard token in combination with the transaction code (transaction signing). When an online payment is made, the Internet Banking/Mobile Banking will generate a transaction code and notify the customer. Then customer will enter the transaction code into the hard token, which will generate an OTP. The customer will then enter the OTP on the online payment interface to complete the payment process. |
|
7 |
Two-factor authentication |
When an online payment is made, the Internet Banking/Mobile Banking will send an authentication request to the customer's mobile device by a call, USSD or a dedicated software. The customer will respond directly through this channel to confirm or deny the transaction. |
|
8 |
Biometrics |
When an online payment is made, the Internet Banking/Mobile Banking will require the customer to present his/her forgery-proof biometric identifier, such as face, finger veins, hand veins, fingerprint, iris, voice. |
|
9 |
FIDO |
Authentication standards established by FIDO Alliance (more at Fidoalliance.org) When an online payment is made, the Internet Banking/Mobile Banking will require the customer to authenticate using an U2F/UAF device (connected via a USB port, Bluetooth or NFC) or an authentication software on the smart phone, or a FIDO2-compatible browser. After authentication using an access code or biometric identifier, the U2F/UAF or software will automatically communicate with the browser and the server to authenticate the address of the internet banking website and the transaction. |
|
10 |
Safe digital signature |
When an online payment is made, the Internet Banking/Mobile Banking will require the customer to use the safe digital signature registered with the payment service provider. Safe digital signatures include secured digital signature or recognized foreign digital signature as prescribed by law. |
1 See categorization in Appendix 01
2 Details about authentication methods are specified in Appendix 02.
3 If the customer has signed into the Internet Banking/Mobile Banking using biometrics on a smart handheld device i.e. a smart phone or tablet, this biometric authentication shall not be used during transactions in the same sign-in session.
4 The customer's ID card must be authenticated to make sure it is issued by the police authority.
5 Electronic identification accounts, electronic identification and authentication and system are prescribed in the Government’s Decree No. 59/2022/ND-CP dated 05/9/2022.
6 Verify the: (i) the consistency between the customer's biometric identifier and the biometric data in his/her ID card provided by the police authority; or (ii) the consistency between the customer's biometric data and his/her electronic identification account created by the electronic identification and authentication system.
7 In case of e-wallet cash-in, the transaction will be categorized according to the categorization by the bank account linked to the e-wallet.
Tình trạng hiệu lực: Còn hiệu lực