Tiểu Luận An Toàn Bảo Mật Thông Tin Trong Fintech.pdf

Ý nghĩa khoa học và thực tiễn 8 Nội dung chính 9 Khái niệm về FINTECH 9 Hoạt động của Fimmtech 10 Các phương pháp an toàn bảo mật trong Fintech..... DANH MUC TU VIET TAT Từ viết tat T

TRƯỜNG ĐẠI HỌC NGÂN HÀNG TP HÒ CHÍ MINH KHOA HE THONG THONG TIN QUAN LY

TIEU LUAN MON: AN TOAN BAO MAT THONG TIN

AN TOAN BAO MAT THONG TIN

DANH SÁCH THÀNH VIÊN

Họ tên MSSV Phân công Tỷ lệ đóng góp

2.3,2.7,2.8

Đỗ Quốc Trọng 030238220286 - Nội dung mục 100%

2.3,2.7,2.8 Nguyễn Phan Thị | 030238220306 - Nội dung mục l, | 100%

Ý nghĩa khoa học và thực tiễn 8 Nội dung chính 9

Khái niệm về FINTECH 9

Hoạt động của Fimmtech 10 Các phương pháp an toàn bảo mật trong Fintech - 11 Các yêu cầu bảo mật của các hàm API 2-5 c2 11

Giao thức bảo mật lớp truyền tải dữ liệu - 12

Phương pháp xác thực, định danh 13 Chính sách mã hóa di động 15 Công nghệ AI 17

IU St 0v 0) ï 00 18 Ứng dụng của Eintech 19 Nguy cơ của Eintechh so so so s cv S9 1 99555585 558055185 S3 s5 se 22

Xu hướng phát triển trong Fintech 24

Cơ hội và thách thức trong tương Ìai o5 25c ssss< s s sms 5y 24

25 eeveeees 27

DANH MUC TU VIET TAT

Từ viết tat Từ tiếng Anh Từ tiếng Việt

IT Intelligence Technology | Công nghệ thông tin

API Application Phương thức trung gian

Programming Interface kết nỗi ứng dụng TLS Transport layer security | Giao thức bảo mật lớp

truyền tải đữ liệu

eK YC Electronic Know Your |Giải pháp định danh

Customer khách hàng trực tuyến OCR Optical Character Nhan dién ky tu

Recognition OYP One Time Password Mã các thực dùng một

lân

Hình 2.1 Giới thiệu vé Fintech

Hình 2.3.2 Giao thức bảo mật lớp truyền tái dữ liệu

DANH MỤC HÌNH ẢNH, SƠ ĐÒ

Hình 2.3.3 Phương pháp xác thực, định danh

Hình 2.4 Lợi ích của Fintech

Hinh 2.5 Ứng dụng của Fintech

Hình 2.5 Các cổng thanh toán điện tử

Hình 2.6 Nguy cơ của Fintech

NỘI DUNG CHÍNH

1 Giới thiệu chung

1.1 Lời mở đầu

Trong thời đại số hóa ngày nay, sự phát triển của công nghệ thông tin đã

mở ra một loạt các cơ hội mới trong lĩnh vực tài chính, được biết đến với tên gọi là Fintech (Financial Technology) Từ việc chuyên tiền, vay mượn đến quản lý tài

sản, Fintech đã thúc đây sự tiện lợi và tốc độ trong các giao dịch tài chính Tuy

nhiên, đi kèm với những lợi ích đó là những rủi ro về an toàn bảo mật thông tin

Trong môi trường kinh doanh ngày càng phụ thuộc vào công nghệ, việc bảo

vệ thông tin cá nhân và tài chính của người dùng trở thành một ưu tiên hàng đầu

Trong bài tiểu luận này, chúng ta sẽ khám phá cách mà an toàn bảo mật thông tin

đóng vai trò quan trọng trong ngành Fintech và những biện pháp cần được áp dụng

dé đảm bảo rằng sự phát triển của Fintech diễn ra một cách an toàn và bảo mật

Chúng ta sẽ đi sâu vào các khía cạnh của bảo mật thông tin trong ngành Fintech, từ các chuẩn mực và quy định đến các công nghệ mới được áp dụng để

ngăn chặn các mối đe đọa từ các hacker và tội phạm mạng Cuỗi củng, thông qua

việc nghiên cứu này, chúng ta hy vọng sẽ có cái nhìn rõ ràng hơn về tầm quan trọng của việc đảm bảo an toàn bảo mật thông tin trong sự phát triển tiếp theo của ngành Fintech

còn là việc đảm bảo an toàn và bảo mật thông tin cho người dùng

Chính vì lẽ đó, việc lựa chọn đề tài nghiên cứu về "An toàn bảo mật thông tin trong Fintech" không chỉ là sự kết hợp hài hòa giữa hai lĩnh vực quan trọng

nhât hiện nay mà còn là một bước tiên quan trọng trong việc hiệu và giải quyét

những thách thức an ninh mạng đang đặt ra Trên cơ sở này, bài tiêu luận sẽ tập

trung vào việc khám phá các vấn đề bảo mật thông tin cụ thể mà ngành Fintech

đang phải đối mặt, từ việc xác thực người dùng đến việc bảo vệ dữ liệu tài chính

quan trọng, qua đó đưa ra những phân tích sâu sắc và giải pháp cụ thê nhằm nâng

cao sự an toàn và tin cậy trong hoạt động của các công ty và dịch vụ FIntech

Nhằm mục đích phát triển và thúc đây ngành công nghiệp Fintech trở nên bền vững và tin cậy hơn, bài tiêu luận này sẽ cung cấp một cái nhìn tổng quan và

chỉ tiết về vấn đề bảo mật thông tin trong lĩnh vực này, đồng thời đề xuất các giải

pháp cụ thế đề đối phó với những thách thức này Điều này nhằm mục đích không

chỉ làm rõ vấn đề mà còn góp phân vào sự phát triển bền vững của ngành Fintech

trong tương lai

1.3 Mục tiêu nghiên cứu Mục tiêu tổng quát:

- Hiểu rõ về hoạt động của Fintech và tầm quan trọng của việc bảo mật thông tin trong lĩnh vực nảy

- _ Phân tích các nguy cơ và lợi ích của Fintech đối với người dùng và

hệ thống tài chính

- _ Để xuất các phương pháp an toàn bảo mật thông tin trong Fintech dé giảm thiểu nguy cơ

Mục tiêu chỉ tiết:

- _ Phân tích cơ bản về Fintech và các dịch vụ liên quan

- Xác định và phân tích các nguy cơ bảo mật thông tin mà Fintech đối diện

- _ Nghiên cứu các phương pháp và công nghệ hiện đại để bảo vệ thông tin trong Fintech

- - Đề xuất các biện pháp cụ thé dé cai thiện bảo mật trong Fintech

1.4 Đối tượng và phạm vi nghiên cứu Đối tượng nghiên cứu:

- _ Các tổ chức và cá nhân hoạt động trong lĩnh vực Fintech

- Người sử dụng dich vu Fintech

- _ Chuyên gia bảo mật thông tin

- _ Để xuất và đánh giá các biện pháp bảo mật thông tin hiệu quả

1.5 Phương pháp nghiên cứu Trong quá trình nghiên cứu, chúng tôi sẽ sử dụng phương pháp:

- _ Phân tích tài liệu và các nghiên cứu trước đó liên quan đến Fintech va

an ninh thông tin

- _ Phỏng vấn các chuyên gia và nhà phân tích trong lĩnh vực

- - Tạo mô hình và mô phỏng các tình huỗng nguy cơ và biện pháp bảo

mật

1.6 Tổng quát nội dung chính Bài tiểu luận gồm các nội dung chính sau:

2.1 Khái nệm FINTECH 2.2 Hoạt động cua Fintech 2.3 Các phương pháp an toàn bao mat trong Fintech 2.4 Loi ich cua Fintech

2.5 Ứng dụng của Fintech 2.6 Nguy cơ cua Fintech 1.7 Ý nghĩa khoa học và thực tiễn

Y nghia khoa hoc:

- Cung cấp kiến thức mới: Nghiên cứu về an toàn bảo mật thông tin trong Fintech mang lại cơ hội khám phá và đóng góp vào việc hiểu rõ hơn về các nguy cơ bảo mật, cơ chê tân công, và biện pháp bảo vệ

trong môi trường Fimtech

- _ Phát triển lý thuyết: Bằng cách nghiên cứu và phân tích dữ liệu thực

tế, nghiên cứu này có thể cung cấp đữ liệu và thông tin mới, từ đó giúp phát triển và kiêm chứng các lý thuyết về an toàn bảo mật thông tin trong lĩnh vực Fintech

- _ Tiền để cho nghiên cứu tiếp theo: Các kết quả từ nghiên cứu này có thê làm tiền đề cho các nghiên cứu tiếp theo, giúp mở rộng và đa dạng hóa về mặt phương pháp và phạm vi

Y nghĩa thực tiễn:

- Áp dụng thực tế: Nghiên cứu về an toàn bảo mật thông tin trong Fintech cung cấp thông tin và kiến thức thực tiễn cho các tô chức và doanh nghiệp Fintech để họ có thế áp dụng các biện pháp bảo mật hiệu quả trong hoạt động của mình

- _ Giải quyết vấn đề thực tế: Bằng cách xác định và phân tích các rủi ro bảo mật thông tin cụ thể trong Fintech, nghiên cứu này có thê đóng góp vào việc giải quyết các vấn đề thực tiễn mà các đoanh nghiệp Fintech dang phai đối mặt

- _ Hỗ trợ quyết định: Kết quả từ nghiên cứu này có thể được sử dụng như một cơ sở chắc chắn đề hỗ trợ quyết định về các chiến lược và chính sách an toàn thông tin trong lĩnh vue Fintech

Kết hợp giữa ý nghĩa khoa học và thực tiễn trong bài tiểu luận này không chỉ mang lại giá trị lý thuyết mà còn đóng góp vào sự phát triển và thúc đây tiễn

trình cải tiền trong lĩnh vực an toàn bảo mật thông tin trong Fintech

2 Nội dung chính

2.1 Khái niệm về FINTECH

Fintech là viết tắt của từ Financial Technolosy có nghĩa là công nghệ tài chính Hiểu một cách đơn giản thì Fintech đề cập đến việc vận dụng công nghệ vào lĩnh vực tài chính giúp người tiêu đùng đễ dàng tiếp cận được với các dịch vụ đó

Từ đó tạo ra mô hình kinh doanh mới, thay đôi kênh phân phối sản phẩm truyền

thống, đơn giản hóa scác thủ tục mang lại hiệu quả kinh đoanh cho doanh nghiệp, đáp ứng yêu cầu ngày càng cao của khách hàng

Đặc biệt là, Fintech không bắt nguồn từ những hệ thống tiền tệ hiện có, mà

nó đánh dâu sự xâm lan cua IT vào những hệ thông tiên tệ đó

® - Nhóm đối tượng của Fintech sẽ có 3 nhóm, những nhóm này sẽ giữ mối quan

hệ và tác động qua lại lẫn nhau

- - Các công ty Fintech: Nhóm này bao gồm các công ty chuyên hoạt động trong lĩnh vực công nghệ thông tin Tuy không hoạt động trong ngành tài chính tuy nhiên họ lại cung cấp các sản phẩm, dịch vụ mới trong lĩnh vực này Chính vi vậy, khách hàng của các công ty Fintech sẽ là những bên sử

dụng sản pham hoặc dịch vu của họ Khách hàng ở đây có thể là các định chế tài chính hoặc người dùng cuối

- Các định chế tài chính: Đây là nhóm đối tượng đóng vai trò quan trọng nhất, là tập hợp các ngân hàng, quỹ đầu tư, công ty bảo hiểm, chứng khoán, công ty tài chính, Trong đó đây là bên xây dựng được hợp tác sâu rộng với các công ty Fintech nhất Một mặt do yếu tô công nghệ đang ngày càng phát triển và trở nên quan trọng hơn Mặt khác, các định chế tài chính cũng là những bên đầu tư trực tiếp vào các công ty Fintech, mục đích là để năm giữ được các công nghệ mới một cách chủ động, từ đó có thể chiếm lĩnh được thị trường

- _ Người dùng cuối: Đây là bên sử dụng các sản phẩm, dịch vụ tai chính nói chung Khi công nghệ mới được áp dụng và phát triển, các định chế tài chính, các công ty liên tục phải cạnh tranh đề giành được nó nhăm tạo ra lợi thể Vô hình chung điều đó đã giúp khách hàng trở thành bên được hưởng lợi

nhiều nhất

e San pham chinh cua Fintech duoc chia ra lam hai nhom chinh khac nhau, cách chia này được dựa trên đối tượng sử dụng Cụ thé hai nhóm sản pham chinh của Fintech bao gồm

- Nhom thw l1: Là nhóm dành cho khách hàng tiêu dùng thông thường, vậy nên các sản phâm sẽ bao gồm những công cụ kỹ thuật số và công nghệ khác Mục đích của nhóm sản phẩm này là đề hỗ trợ giao dịch trực tuyến, cải thiện hoạt động vay mượn, quản lý tiền bạc, tài trợ vốn cho Startup của các

cá nhân

- - Nhóm thứ 2: Nhóm sản phẩm này hướng đến đối tượng là các định chế tài chính và bản thân các công ty Fintech Chính vì vậy đây là nhóm sản phẩm công nghệ “back-office”, nhằm hỗ trợ hoạt động của hai nhóm đối tượng trên

2.3 Các phương pháp an toàn bảo mật trong Fintech

2.3.1 Các yêu cầu bảo mật của các hàm API

API (Application Programming Interface) là phương thức trung gian kết noi các ứng dụng và thư viện khác nhau API la một tập hợp các commands, functions, protocols, objects, giúp hai phần mềm (ứng dụng) có thể tương tác và trao đổi đữ liệu qua lại với nhau Nó cung cấp khả năng truy xuất đến một tập các hàm hay dùng, từ đó có thé trao đôi dữ liệu giữa các ứng dụng

Trong nền kinh tế kỹ thuật số ngày nay, các tô chức ngày càng trở nên phụ thuộc vào các API để cung cấp năng lượng cho các ứng dụng web và di động, giúp khách hàng sử dụng dịch vụ để dàng hơn thông qua các thiết bị hoặc ứng dụng được kết nối

Nhưng cũng do đó mà các cuộc tấn công API đang gia tăng, Gartner dự đoán rang API sé trở thành đối tượng bị tấn công hàng đầu vào năm 2022

- API trong công ty được phân loại là riêng tư và công khai vì không để người truy cập vào mạng nội bộ riêng của tô chức Nếu công ty cho rằng API không cần được bảo mật, chỉ giới hạn quyền truy cập đối với người dùng đã xác thì chưa đủ, API vẫn có thê bị lộ Vì thế các công ty cần ân thông tin đúng cách thông tin không được tiết lộ qua API: thay đổi địa chỉ cấu hình API sao cho các điều kiện nhất định phải được đáp ứng (vd: mã thông báo người dùng xác thực) trước khi cấp quyên truy cập

- — Các tô chức cần năm bắt tiém năng và khả năng của các thiết bị và ứng dụng được kết nối Đồng thời đưa ra đúng công nghệ và quy trình cần thiết đề đảm bảo an toàn cho các API của họ ngay từ lần đầu tiên

- — Các tổ chức cũng cần đưa ra một chiến lược API vững chắc: nên có săn các cấu trúc dé đảm bảo việc thiết kế, triển khai và quản lý API được

thực hiện đúng cách và chương trình API nội bộ thích hợp đề quản lý lỗ hồng

API

2.3.2 Giao thức bảo mật lớp truyền tải dữ liệu

TLS (Transport layer securify) là một giao thức mật mã nhằm mục đích bảo vệ đữ liệu khi di chuyên trong môi trường Internet Đây là tiêu chuẩn an ninh công nghệ toàn câu, tạo ra liên kết được mã hóa giữa máy chủ và máy trạm Phương

pháp này cho phép bảo mật và xác thực tính toàn vẹn của các dữ liệu qua các mã xác thực

Hệ thống Fintech sử dụng phương pháp này nhằm đảm bảo an toàn cho dữ liệu, theo lý thuyết thì không bên thứ ba nào có thê lấy trộm hay chỉnh sửa đữ liệu khi nó đang được gửi đi (khách hàng sử dụng giao địch trực tuyến) Nếu có lấy được thì nó cũng chỉ là dữ liệu đang được mã hóa và không thé str dung duoc

Hình 2.3.2 Giao thức bảo mật lớp truyền tải dữ liệu

| | | | | | Ị | | j SUI0S

| |

SUI0LL S11

(Nguồn: website pinterest) 2.3.3 Phương pháp xác thực, định danh Giải pháp định danh khách hàng true tuyén — eKYC (Electronic Know Your Customer) — được cho là viên gạch nên móng đầu tiên cho tiến trình chuyển đổi số của các ngân hàng eKYC dựa trên quy trình KYC với sự hỗ trợ từ các công nghệ trí tuệ nhân tạo như:

- Công nghệ Face-match: Xác thực khuôn mặt (face-matching) để so

khớp khuôn mặt với ảnh trên giấy tờ tùy thân;

- - Công nghệ OCR: Nhận diện ký tự (OCR) để đọc và trích xuất các

thông tin trên giấy tờ, đối chiếu thông tin cá nhân tức thời với cơ sở đữ liệu tập trung về đanh tính người dùng, xác minh người thật (liveness detection)

để xác định đúng là người thật đang thực hiện thao tác giao địch chứ không phải robot Nhận diện ký tự đề trích xuất các thông tin trên giấy tờ, đối chiếu thông tin cá nhân tức thời với cơ sở đữ liệu tập trung về đanh tính người dùng, xác minh người thật ([iveness detection)

Nhận diện ký tự (OCR) đề đọc và trích xuất các thông tin trên giấy tờ, đối chiếu thông tin cá nhân tức thời với co sở dữ liệu tập trung về danh tính người dùng, xac minh ngwoi that (liveness detection)

- Céng nghé Liveness Detection: Hang rao céng nghệ nhằm chống lại hinh thức giả mạo khuôn mặt, đảm bảo tính bảo mật của tài khoản lên đến 2 cấp độ Công nghệ này sẽ xác minh thao tác người dùng tại thời gian thực hiện định danh chính chủ chứ không phải là giả mạo Khi đó Liveness Detection sẽ phân tích dữ liệu đề nhận biết video này không phải bản phát

lại

=> Khách hàng không cần gặp mặt hay tới trực tiếp chí nhánh của ngân hàng mà

có thê thực hiện quy trình định danh ở bất cứ đâu và bắt ctr hic nao

eKYC

Vao trang web

$ trực tuyến

Đến văn phòng ngoại tuyến ì °

aL) `

° Chụp ảnh CMND Xếp hàng chờ

° Chụp ảnh đối chiếu Điền đơn „

Đối chiếu thông tin ` ° Kiếm tra thông tin

được điền tự động giấy tờ tuỳ thân

Hinh 2.3.3 Phương pháp xác thực, định danh

(Nguồn: website bravo)