3.2.1.1. Nghiệp vụ phát hành thẻ
* Quy trình phát hành thẻ
Quy trình về xử lý phát hành, in dập, giao nhận, kích hoạt và gia hạn thẻ cần phải theo dõi chặt chẽ và kiểm soát nghiêm ngặt. Do vậy, mỗi nhân viên chỉ được giao làm một công đoạn, không ai được phép nắm trọn mọi việc từ khi tiếp khách mở thẻ cho đến khi kích hoạt thẻ để sử dụng. Đặc biệt là giao nhận thẻ với khách hàng phải đảm bảo nguyên tắc an toàn Thẻ và Pin phải giao tận tay chủ thẻ, nếu không thể giao trực tiếp với chủ thẻ mà thông qua người uỷ quyền cũng phải đảm bảo giao tận tay cho người uỷ quyền, nếu gửi qua bưu điện phải gửi bằng thư đảm bảo, thẻ và pin phải gửi tách biệt. Đối chiếu và kiểm tra chữ ký của chủ thẻ trên phiếu nhận thẻ và nhận pin trước khi kích hoạt thẻ cho khách sử dụng.
Trong hoạt động phát hành thẻ tín dụng thì cán bộ ngân hàng cần phải đánh giá thông tin, năng lực tài chính của chủ thẻ một cách cẩn thận, kỹ lưỡng để hạn chế tối đa xảy ra nợ xấu. Quy trình thẩm định cấp hạn mức thẻ phải như một khoản vay thông thường, cần chú trọng đến khả năng tài chính, tình hình thanh toán của chủ thẻ, khả năng trả nợ trong tương lai để đảm bảo chủ thẻ hoàn toàn có khả năng thanh toán các khoản chi tiêu trong kỳ.
Khi giao nhận thẻ nhân viên cẩn phải tư vấn hướng dẫn khách hàng đầy đủ các quy định, quy trình sử dụng về bảo quản thẻ và bảo mật số pin khi giao dịch.
Nhân viên phải thường xuyên cập nhật những loại hình gian lận, rủi ro mới phát sinh từ báo của các tổ chức thẻ, ngân hàng nhà nước và hiệp hội thẻ.
* Bảo mật dữ liệu và thông tin thẻ
Bảo mật là một trong những vấn đề quan trọng hàng đầu nhằm giảm thấp rủi ro. Do đó, các nhân viên khi tuyển vào bộ phận thẻ phải là những người có đạo đức nghề nghiệp, phải bổ sung thường xuyên kiến thức về tính trung thực.
Các thông tin về phát hành thẻ, dữ liệu thẻ, số pin phải được quản lý chặt chẽ và bảo mật. Kiểm soát thường xuyên, đột xuất các hồ sơ thẻ, thông tin thẻ, dữ liệu thẻ để đảm bảo không bị kẻ gian lợi dụng.
Phải đầu tư, trang thiết bị đầy đủ các trang thiết bị hiện đại và các phần mềm ứng dụng cần thiết, thích hợp trong việc quản lý dữ liệu và thông tin thẻ.
* Bảo vệ chủ thẻ trong các giao dịch qua internet
Một trong những rủi ro lớn nhất trong sử dụng thẻ thanh toán là thực hiện giao dịch trên internet, gian lận trên internet ngày càng phổ biến, vì các loại thẻ là phương thức thanh toán chủ yếu cho các giao dịch trên mạng hiện nay.
Để đảm vệ quyền lợi cho chủ thẻ và đồng thời giúp họ tận dụng những dịch vụ hấp dẫn trên internet, các tổ chức thẻ trên thế giới đã tìm ra giải pháp, số thẻ sử dụng một lần hoặc thẻ ảo.
Mã số dùng để giao dịch một lần được cấp cho chủ thẻ tín dụng mỗi khi cần mua hàng trực tuyến, đây là một số ngẫu nhiên liên kết với tài khoản thẻ, những con số này chỉ tồn tại trong một khoản thời gian ngắn và không làm lộ bất kỳ thông tin nào. Những con số tạm thời này chỉ có thể dùng cho những giao dịch đơn lẻ, kẻ trộm không thể dùng chúng sau khi chủ thẻ đã thực hiện giao dịch.
Với mô hình thẻ ảo, chủ thẻ được cấp một số thẻ dành riêng cho các giao dịch trên internet. Mỗi khi cần mua hàng trên mạng, chủ thẻ sẽ chuyển một số tiền từ thẻ thật sang thẻ ảo và như vậy chủ thẻ chỉ chịu rủi ro trong một thời gian ngắn với một số tiền nhất định cho đến khi tiêu hết số tiền đó. Khi thẻ ảo hết tiền thì việc lấy cắp số thẻ cũng hết giá trị.
Mặc dù số thẻ sử dụng một lần và thẻ ảo chưa phổ biến nhưng hầu hết các tổ chức phát hành thẻ ở các nước phát triển sẽ sớm cung cấp loại hình dịch vụ này. Hy vọng, ngân hàng Eximbank cũng sẽ nhanh chóng áp dụng biện pháp bảo vệ tiên tiến này để hạn chế rủi ro trong thanh toán bằng thẻ qua internet.
3.2.1.2. Nghiệp vụ thanh toán thẻ
Một khi đã là ngân hàng thanh toán và chấp nhận thanh toán thẻ thì rủi ro đến từ bên ngoài rất cao. Các rủi ro này luôn gia tăng, đa dạng và phức tạp. Thông thường rủi ro thanh toán xảy ra tại các thiết bị đầu cuối là máy ATM và các ĐVCNT. Thậm chí còn có thể xảy ra tại các quầy giao dịch của chính ngân hàng. Hạn chế rủi ro trong nghiệp vụ thanh toán thẻ cần được thực hiện những biện pháp sau:
* Đối với ngân hàng thanh toán và chấp nhận thanh toán
Sau khi giao thẻ cho chủ thẻ và thẻ được kích hoạt, ngân hàng phải theo dõi thường xuyên các giao dịch, nếu có bất cứ dấu hiệu khác lạ như thẻ giao dịch liên tục, giao dịch với số tiền lớn thì cần phải can thiệp ngay lập tức.
Theo dỏi tình hình việc chi tiêu và thanh toán nợ đối với các chủ thẻ thường xuyên chậm thanh toán và chi tiêu vượt hạn mức tín dụng để có hướng xử lý tránh gây ra nợ xấu cho ngân hàng.
Đối với các doanh nghiệp muốn ký hợp đồng làm ĐVCNT của ngân hàng. Trước khi ký hợp đồng Ngân hàng cần phải đánh giá và thẩm định cẩn thận, phải đáp ứng điều kiện quy định, nhu cầu thực tế triển khai, địa điểm hoạt động, quy mô kinh doanh, sản phẩm dịch vụ cung cấp, doanh thu và Ngân hàng phải cử người đến làm việc trực tiếp để xác thực mọi thông tin.
Trong quá trình thực hiện hợp đồng, Ngân hàng phải tổ chức tập huấn, đào tạo và cung cấp tài liệu về quy trình chấp nhận thanh toán, các biện pháp phòng ngừa gian lận cho ĐVCNT.
Trang bị đầy đủ các phương tiện hiện đại, cài đặt phần mềm mới cho máy POS và cung cấp các thiết bị phát hiện, ngăn thẻ giả cho ĐVCNT.
Phân công cán bộ chuyên trách kiểm tra và giám sát hoạt động của các ĐVCNT nhằm đảm bảo tuân thủ các quy định liên quan đến nghiệp vụ thanh toán thẻ. Thực hiện kiểm tra định kỳ, đột xuất để hỗ trợ ĐVCNT đồng thời nếu phát hiện sai phạm hay có dấu hiệu bất thường sẽ có biện pháp xử lý kịp thời, thích hợp.
Thường xuyên gửi các dữ liệu thông báo đặc biệt, danh sách các loại thẻ cấm lưu hành, thẻ giả mạo cho các ĐVCNT một cách đầy đủ, kịp thời và chính xác.
Thường xuyên hợp tác với các cơ quan truyền thông tuyên truyền rộng rãi đến các chủ thẻ để hướng dẫn, nâng cao nhận thức và thao tác sử dụng thẻ, vấn đề an toàn bảo mật thông tin thẻ để có ý thức cảnh giác nhằm tự bảo vệ.
Có chính sách khen thưởng đối với nhân viên, ĐVCNT hoạt động tốt. Quy định xử phạt vi phạm nghiêm minh đối với những quy phạm.
Khi ngừng hợp đồng, ngân hàng phải thu lại các thiết bị, hoá đơn để đảm bảo các ĐVCNT không lợi dụng để thực hiện giao dịch gian lận.
* Đối với ĐVCNT thực hiện giao dịch cà thẻ trực tiếp
Các ĐVCNT là đơn vị trực tiếp tham gia giao dịch với các chủ thẻ và mang lại rủi ro trong việc thanh toán do thẻ giả mạo thực hiện tại các ĐVCNT. Do vậy, để phòng ngừa và hạn chế rủi ro các ĐVCNT nên nghiêm túc thực hiện các công việc sau:
Trước tiên, các ĐVCNT phải nghiêm túc thực hiện đúng quy trình chấp nhận thanh toán thẻ và các điều khoản đã ghi trong hợp đồng.
Các ĐVCNT nên sử dụng người có trình độ chuyên môn, ngoại ngữ đi tập huấn các khóa đào tạo như: quy trình thanh toán, cách phát hiện thẻ giả, cách hạn chế rủi ro thanh toán thẻ, … của Ngân hàng và các Tổ chức thẻ thực hiện.
Các ĐVCNT phải lưu ý rằng, các sản phẩm hàng hóa dịch vụ khác nhau thì chứng từ hóa đơn đi kèm theo việc chấp nhận thanh toán thẻ cũng khác nhau. Đối với các giao dịch đặc biệt tại khách sạn tuyệt đối từ chối các trường hợp thanh toán hộ khi chủ thẻ không có mặt tại thời điểm check-in và check out. Đối với giao dịch gửi hàng sau, các ĐVCNT phải thực hiện việc gửi hàng và cung cấp hàng hóa đúng theo hợp đồng đã thảo thuận với khách hàng.
Các ĐVCNT phải thực hiện lưu giữ hóa đơn giao dịch thẻ và các chứng từ liên quan tại đơn vị theo quy định của pháp luật hiện hành về chế độ chứng từ kế toán và đảm bảo xuất trình đầy đủ, kịp thời cho ngân hàng khi có yêu cầu.
Các ĐVCNT cần cập nhật thông tin rủi ro thẻ và nghiêm túc thực hiện báo cáo rủi ro trong hoạt động kinh doanh thẻ theo quy định.
Các ĐVCNT cần áp dụng phương pháp phát hiện thẻ giả, gọi điện về trung tâm thẻ kiểm tra số BIN của ngân hàng phát hành khi nghi ngờ, kiểm tra chứng minh nhân dân, hộ chiếu của chủ thẻ để xác thực chủ thẻ. Chú ý hình trên giấy tờ tùy thân có thể giả bằng cách dán thay thế, photo màu …
Các ĐVCNT cần chú ý thái độ đáng ngờ của chủ thẻ khi thực hiện giao dịch như sau: thực hiện mua hàng một cách kỳ lạ, không quan tâm đến giá cả hay kích cỡ, màu sắc của món hàng, rút thẻ tín dụng ra từ túi áo hay túi quần thay vì từ trong ví nghiêm chỉnh, tỏ ra vội vã và có một người khách đang đợi bên ngoài, yêu cầu thử hết thẻ này đến thẻ khác khi việc chuẩn chi giao dịch không thực hiện được, có biểu hiện lo lắng hoặc tỏ vẽ khó chịu, không bình thường, thục giục nhân viên thu ngân thực hiện nhanh giao dịch vào thời điểm cuối giờ giao dịch, mua một món hàng lớn nhưng yêu cầu để họ tự khiêng vác thay vì để cho đại lý giao hàng tận nơi.
* Đối với ĐVCNT bán hàng trực tuyến
Trong giao dịch trực tuyến trên internet, người mua sẽ sử dụng các thông tin của thẻ để khai báo trên internet. Giao dịch được cấp phép thành công, người bán nhận được tiền nhưng không có nghĩa là người bán và ngân hàng đã xác minh được khách hàng có phải là chủ thẻ hay không. Nếu là giao dịch giả mạo, người bán sẽ bị đòi bồi hoàn từ ngân hàng phát hành. Để giải quyết những khiếu nại như thế này mất rất nhiều thời gian và công sức. Do vậy, để hạn chế rủi ro giao dịch trên internet các ĐVCNT cần thức hiện các bước như sau:
Người đứng đầu ĐVCNT phải hiểu về quản lý rủi ro và đào tạo cho toàn bộ nhân viên có liên quan.
Chọn ngân hàng phát hành và nhà cung cấp dịch vụ cổng thanh toán uy tín.
Website với thông tin hoàn chỉnh, với các công cụ hỗ trợ giảm thiểu rủi ro, xây dựng hệ thống ngăn chặn rủi ro nội bộ doanh nghiệp.
Tìm hiểu những công cụ hỗ trợ của tổ chức thẻ quốc tế, ngân hàng thanh toán, nhà cung cấp dịch vụ cổng thanh toán, ứng dụng công cụ quản lý rủi ro để loại trừ giao dịch giả mạo, đăng ký chương trình giảm thiểu rủi ro do tổ chức thẻ quốc tế đưa ra.
Bảo vệ Merchant Acount, chống lại sự tấn công của tội phạm thẻ.
Xây dựng quy trình xác thực chủ thẻ, thực hiện nghiệp vụ sau khi khách hàng thanh toán, bảo mật những thông tin cá nhân của khách hàng.
Chủ động ngăn ngừa các giao dịch bồi hoàn xảy ra, phân tích và tìm hướng giảm tỷ lệ giao dịch đồi bồi hoàn. Tích cực giải quyết giao dịch đòi bồi hoàn để giảm thiểu tổn thất.
3.2.1.3. Giải pháp quan lý, bảo vệ các máy ATM
Tại các máy ATM là nơi thuận tiện cho kẻ xấu và bọn gian lận thẻ hoạt động. Tại đây, chủ thẻ thực hiện các giao dịch nhưng thiếu sự kiểm soát thường xuyên của ngân hàng. Do vậy, cơ hội thực hiện gian lận tại đây là rất cao.
* Giải pháp chống gian lận trộm pin
Mã số Pin là mật mã quan trọng nhất mà chỉ có chủ thẻ biết được và được chủ thẻ bảo quản một các chặt chẽ và bí mật. Phải biết được mã số Pin là điều kiện bắt buộc khi rút tiền hoặc thực hiện thanh toán dịch vụ, hàng hóa bằng thẻ tại máy ATM. Nếu không có mã số pin thì mọi giao dịch về thẻ sẽ không thực hiện được. Do vậy, trộm pin là mục tiêu hàng đầu mà bọn gian lận thẻ tấn công. Để số pin được bảo mật tối đa ngoài sự cẩn trọng và bảo quản của chủ thẻ thì ngân hàng nên chú ý thực hiện đến những giải pháp sau:
Đặt gương chiếu chống nhìn trộm từ phía sau: Ngân hàng nên thiết kế nơi đặt các gương phản chiếu phần không gian phía sau lưng của chủ thẻ, khi chủ thẻ đang giao dịch tại máy ATM vẫn có thể quan sát được phía sau. Tránh trường hợp kẻ gian nhìn trộm mật khẩu khi đang đứng gần.
Lắp đặt thiết bị đầu đọc thẻ: nên lắp đặt cho máy ATM các đầu đọc thẻ có hình dáng đặc biệt để chống lại việc kẻ gian lắp đặt thêm thiết bị lấy cắp dữ liệu, đồng thới kết hợp với đèn nhấp nháy cảnh báo khi có thiết bị lạ gắn vào để giúp khách hàng dễ nhận ra trong quá trình giao dịch.
Trang bị công nghệ hồng ngoại tiên tiến cho việc nhận diện thiết bị gắn trộm: khi trang bị công nghệ này, các máy ATM sẽ báo về trung tâm khi có bất kỳ thiết bị lạ nào được gắn vào, thông thường là các camera quay cận cảnh khách hàng nhập pin, bàn phím giả hoặc lớp nhựa mỏng trên bàn phím. Từ đó trung tâm sẽ có cách xử lý kịp thời và thích hợp.
Giám sát và camera: mặc dù có các thiết bị hiện đại báo về trung tâm hoặc báo động để khách hàng biết nhưng giải pháp giám sát và lắp đặt camera cũng không nên xem nhẹ. Các camera sẽ ghi lại mọi hoạt động vào thời điểm và chủ thẻ trong khi giao dịch có thể biết được kẻ gian có đang theo dõi mình hay không. Nhân viên bảo vệ nên giám sát giúp chủ thẻ an tâm hơn khi giao dịch và kẻ gian cũng không có cơ hội thực hiện các hành vi gian lận.
Khoang che bàn phím: phải lắp đặt khoang che bàn phím để khi chủ thẻ nhập số pin vào để thực hiện giao dịch thì phải được che chắn lại để kẻ gian không nhìn thấy.
* Giải pháp chống câu trộm thẻ và bẫy tiền
Lắp đặt các cảm ứng thông minh và cơ cấu khóa kép, cửa sập an toàn. Các thiết bị này sẽ hỗ trợ chống lại bọn gian lận tinh vi. Khi có sự cố hoặc có các giao dịch bất thường, hay các giao dịch không được cấp phép, máy ATM sẽ thông báo về trung tâm. Cùng lúc đó các cửa như của nhả tiền, cửa tiếp nhận thẻ sẽ tự động đóng lại.
Lắp hệ thống khóa kép cho bộ phận chi trả: để tránh hình thức bẫy tiền, khi tiền được nuốt vào, máy ATM sẽ tự động khóa cửa chi tiền qua nhiều lần, tiền máy ATM nuốt vào sẽ được để ở một ngăn riêng.
* Giải pháp chống tấn công bằng bạo lực
Bọn tội phạm ngày càng gan dạ hơn, ở nước ngoài có nhiều trường hợp dùng xe cơ giới bẫy máy ATM lên và mang đi nơi khác phá két sắt trong máy để lấy tiền. Ở Việt Nam đã có trường hợp khống chế khách hàng trực tiếp tại máy ATM để lấy tiền, hoặc dùng hàn gió đá, máy cắt, xà beng … phá két sắt hòng trộm tiền. Để hạn chế, chống lại rủi ro này có thể áp dụng các giải pháp sau:
Bảo vệ tiền mặt: chọn loại két sắt tăng cường ngăn cản các hình thức tấn công mới, hay sử dụng giải pháp giám sát hệ thống chuông báo và hệ thống mạng. Khi có sự cố các két sắt sẽ khóa lại bằng hệ thống khóa dự phòng bên trong.