13. Rủi ro trong hoạt động thanh toán và phát hành thẻ của ngân hàng thương mại
3.2.3.Nhóm giải pháp về kỹ thuật, công nghệ
3.2.3.1. Đảm bảo sự hoạt động ổn định, an toàn của hệ thống
Quản trị hệ thống trong hoạt động thanh toán và phát hành thẻ luôn đóng vai trò vô cùng quan trọng, nó đảm bảo tính bí mật về hệ thống quản lý thẻ và sự bảo mật các thông tin về chủ thẻ và ĐVCNT trên mạng và trong hệ thống quản lý thẻ thông qua quản lý việc truy cập. Do vậy, ngoài việc đảm bảo sự hoạt động liên tục ổn định của hệ thống quản lý thẻ (hệ thống thông tin khách hàng, hệ thống ATM, POS, hệ thống xử lý dữ liệu và các hệ thống kỹ thuật khác có liên quan), đảm bảo sự kết nối tối đa của hệ thống quản lý thẻ với TCTQT thì công tác quản trị mạng còn phải đảm bảo ngăn chặn sự truy cập trái phép của các hacker, tiêu diệt hoàn toàn những virus phá hoại. Để làm được điều đó cán bộ quản trị mạng phải luôn trau dồi nghiệp vụ kỹ thuật và trực tiếp liên hệ với TCTQT để tổ chức cập nhật và nâng cấp định kỳ hệ thống quản lý thẻ theo quy định của TCTQT, đảm bảo hệ thống luôn đáp ứng yêu cầu và đạt tiêu chuẩn của các TCTQT.
3.2.3.2. Phối hợp chặt chẽ với các tổ chức thẻ quốc tế trong các hoạt động thanh toán và phát hành thẻ và chương trình quản lý rủi ro toàn cầu
Trung tâm Thẻ NHTCP Ngoại Thương Việt Nam phối hợp với TCTQT dưới hình thức theo dõi báo cáo sử dụng và thanh toán thẻ của ngân hàng, và các báo cáo về giả mạo thẻ của TCTQT cung cấp để nắm được tình hình, diễn biến, xu hướng giả mạo trong hoạt động thanh toán và phát hành thẻ. Trao đổi các thông tin liên quan tới giả mạo để phối hợp đưa ra những giai pháp tích cực nhằm hạn chế rủi ro.
Việc phối hợp với TCTQT cho phép ngân hàng có được nhiều luồng thông tin tin cậy chính xác về tình hình, diễn biến, xu hướng giả mạo trong hoạt động thẻ trên thế giới, trong khu vực cũng như của ngân hàng mình. Trên cơ sở các thông tin thu được, căn cứ vào thực tế hoạt động thẻ của ngân hàng để đưa ra những giải pháp phòng ngừa có hiệu quả.
Mặt khác, cần phối hợp và khai thác tối đa chức năng của các chương trình giám sát và phát hiện sớm rủi ro mà TCTQT xây dựng để hỗ trợ cho các ngân hàng thành viên. Cụ thể:
Dịch vụ thông tin giả mạo toàn cầu (Global Fraud Information Service - GFIS): dịch vụ này làm nhiệm vụ kết nối và lưu chuyển các thông tin về giả mạo, lừa đảo trong hoạt động thẻ giữa các tổ chức thành viên trên toàn cầu thông qua thư điện tử. Ngoài ra GFIS còn cung cấp các công cụ khác như: diễn đàn nơi các thành viên có thể trao đổi thông tin về điều tra và phòng chống giả mạo, số liệu thống kê định kỳ hàng tháng và quý về giả mạo thẻ, những thông tin cập nhật về luật pháp liên quan đến giả mạo thẻ tại các nước.
Dịch vụ phát hiện rủi ro (Risk Identification Service - RIS): RIS hỗ trợ các ngân hàng thanh toán trong việc theo dõi các hoạt động liên quan đến giả mạo tại các ĐVCNT. RIS thu thập thông tin về các hoạt động của các ĐVCNT như doanh số giao dịch, yêu cầu tra soát, bồi hoàn, số giao dịch giả mạo. Một chương trình đánh giá rủi ro sẽ sử dụng các thông số để đánh giá hoạt động của các ĐVCNT và khi các thông số đến một ngưỡng nào đó RIS sẽ gửi một bản báo cáo về ĐVCNT đến ngân hàng thanh toán thông qua hệ thống quản lý phân phối báo cáo. Trong báo cáo sẽ có các thông tin về hoạt động của các ĐVCNT và 6 mức cảnh báo dựa trên các thông tin đó.
Dịch vụ cảnh báo về ĐVCNT quốc gia (National Merchant Alert Service - NMAS): NMAS lưu trữ thông tin về những ĐVCNT đã từng bị chấm dứt hợp đồng do có những hành vi liên quan đến giả mạo, có mức đòi bồi hoàn cao hoặc đã từng vi phạm các điều khoản trong hợp đồng chấp nhận thẻ. Khi ngân hàng thẩm định, chuẩn bị ký kết hợp đồng chấp nhận thanh toán thẻ với một đơn vị mới, ngân hàng có thể cập nhật cơ sở dữ liệu của NMAS và xác định xem ĐVCNT đó có nằm trong danh sách các ĐVCNT có độ rủi ro cao hay không. Đồng thời NMAS cũng có chế độ tự
động thông báo cho ngân hàng thanh toán nếu có một ĐVCNT được đưa lên danh sách cảnh báo trong vòng 180 ngày sau khi ngân hàng có đưa ra yêu cầu được biết thông tin về ĐVCNT đó.
3.2.3.3. Đảm bảo an toàn cho hệ thống ATM
Triển khai chương trình quản lý nhật ký điện tử tập trung và cập nhật phần mềm từ xa cho hệ thống ATM.
Do đặc thù của mạng lưới ATM là phục vụ khách hàng mọi nơi mọi lúc nên phần lớn các ATM hoạt động bên ngoài trụ sở ngân hàng 24/24. Do vậy, việc kiểm tra giám sát các nguy cơ rủi ro có thể xảy ra cho các ATM này là không thể thường xuyên liên tục như với các ATM đặt tại trục sở chính. Chính vì vậy luôn tiềm ẩn nguy cơ mạng lưới ATM bị lợi dụng để thực hiện các giao dịch giả mạo. Để tránh rủi ro xảy ra, NHTMCP Ngoại Thương VN đã và đang sử dụng những ATM thế hệ mới có khả năng phát hiện những thiết bị ngoại vi. Qua đó ATM lập tức sẽ ngừng hoạt động nếu có thiết bị ngoại vi gắn vào thân máy ATM. Tuy nhiên, để cảnh giác với những thủ đoạn ngày một tinh vi vủa tội phạm thẻ, cán bộ thẻ khi đi tiếp quỹ ATM cần thường xuyên kiểm tra các tình trạng an toàn của ATM, bất cứ một khác biệt nhỏ cũng phải cho ATM ngừng hoạt động và báo cáo trung tâm để có biện pháp xử lý kịp thời. Hệ thống Camera theo dõi hoạt động của ATM cũng là công cụ phòng chống tội phạm thẻ và giúp đỡ ngân hàng trong công tác giải quyết các tra soát khiếu nại của khách hàng về các giao dịch tại ATM.
Cài đặt chương trình quản lý nhật ký điện tử tập trung và cập nhật phần mềm từ xa để bảo vệ tốt hơn nữa hệ thống ATM khỏi sự truy cập trái phép, loại bỏ hoàn toàn nguy cơ ATM bị ảnh hưởng bởi virus hoặc các phần mềm phá hoại. Đây là chương trình bảo vệ nền chỉ cho phép cập nhật hoặc cài đặt những chương trình đã được nhận dạng và đăng ký trên hệ thống thông qua user admin. Như vậy, tất cả sự truy cập và cài đặt trái phép cũng như các virus thâm nhập vào hệ thống ATM đều bị phát hiện và tiêu diệt. Vĩnh viễn không phải cập nhật chương trình diệt virus cho ATM. Mặt khác, mọi chương trình thay đổi trên ATM đều có thể cài đặt tập trung tại Trung ương mà không cần phải cài tại chi nhánh hoặc trực tiếp trên ATM. Bên cạnh đó, chương trình quản lý nhật ký điện tử tập trung còn cho phép cung cấp các số liệu
liên quan tới tra soát khiếu nại một cách nhanh nhất để xử lý, góp phần nâng cao chất lượng dịch vụ thẻ của ngân hàng.
3.2.3.4. Hoàn thiện và triển khai hệ thống phát hành và thanh toán Thẻ sang chuẩn thẻ chip
Thẻ làm theo công nghệ EMV (thẻ chip) được mã hoá bằng thuật toán khó phát hiện hơn và sử dụng công nghệ hiện đại nhất hiện nay ngăn ngừa việc tổ chức tội phạm thẻ sử dụng thiết bị để đọc trộm thông tin mã hoá trong thẻ. Ngoài ra, thẻ chip còn có khả năng lưu trữ được nhiều thông tin hơn về chủ thẻ và có thể cập nhật được các thông tin mới hoặc các thông tin thay đổi mà không cần in lại thẻ. Các thông tin về giao dịch thẻ, hạn mức tín dụng của thẻ cũng như tình trạng của thẻ được cập nhật và lưu trữ trong chip đảm bảo cho việc thanh toán ngay cả trong trường hợp đường truyền bị lỗi, không thực hiện việc liên lạc với ngân hàng phát hành, hạn chế rủi ro cấp phép qua hệ thống dự phòng của TCTQT.
Hiện nay bọn tội phạm đã tìm ra thiết bị Skimming để copy dữ liệu từ những chiếc thẻ từ để làm ra những chiếc thẻ giả. Do vậy, việc triển khai hệ thống thanh toán và phát hành theo chuẩn EMV là vô cùng cần thiết để hạn chế tối đa những rủi ro do giả mạo gây ra. Mặt khác, theo quy định của TCTQT, các ngân hàng thanh toán không chuyển hệ thống sang chuẩn EMV khi tiếp nhận và thanh toán thẻ chip nếu rủi ro xảy ra ngân hàng thanh toán hoàn toàn chịu trách nhiệm (trước đây NHPH chịu trách nhiệm). Do vậy, việc nâng cấp đồng bộ hệ thống thanh toán thẻ sang chuẩn EMV (gồm cả mạng lưới POS và ATM) là cấp thiết nhằm tránh những rủi ro có thể xảy ra.