THANH TOÁN TRONG THƯƠNG MẠI DI ĐỘNG
5.1.3. Đảm bảo tính bí mật khi truy cập dữ liệu
Khi giao dịch trên mạng ngày càng trở nên phổ biến thì rủi ro tiềm
ẩn từ các thiết bị và ứng dụng ngày càng lớn. Và khi các_ngân_hàng trên
thế giới cũng như ở Việt Nam đều hướng tới cung cấp môi trường giao dịch trực tuyến cho khách hàng thông qua các dịch vụ ngân hàng điện tử và ngân hàng di động thì nguy cơ trên mạng sẽ tăng lên. Theo thống kê
của Forrester Research năm 2008, 2/3 phần mềm độc hại đã được phát hiện và tăng gấp đôi trong năm 2009. Các hoạt động ăn cắp thơng tin, giả mạo (íĩshing) đã tăng 6 lần trong năm 2009.
Để việc truy cập dữ liệu qua ĐTDĐ được an-tồn, hệ thống thanh
tốn di động cần đảm bào phàiđược kiểm soát theo 4 nguyên tắc: An toàn và quản lý thiết bị; Quàn lý kết nối; Bảo vệ dữ liệu; Khuyến cáo khách hàng.
+ An toàn và quản lý thiết bị:
Đối với thiết bị di động, hệ thống thanh toán di động nênJiỗLtrợ người sử dụng trong việc bào mật và quản lý. Một hệ thống thanh tốn di động nên cài đặt các tínhnặng xốJjỏ, khố thiết bị hoặc loại bỏ hồn tồn díHỊệụ của những thiết bị di động bị mất cắp hoặc thất lạc nếu mật
khẩu giao dịch sai. Ngoài ra, hệ thống đó cũng có khả năng làm mất các
dữ liệu hiện có trên thiết bị hoặc tắt hồn tồn tính năng truy cập dữ liệu của thiết bị.
+ Quản lý kết nổi:
Nếu hoạt động thanh tốn khơng được quản lý một cách chuẩn xác
thì tất cả dữ liệu sẽ dễ bị lộ thông qua giao tiếp của thiết bị như ĐTDĐ. Chính vì vậy theo các chun gia tư vấn, một hệ thống thanh toán di động phải sử dung các kết nối VPN kết hợp với IPSec trong việc triển
khai hoạt động thanh toán di động để bảo mật dữ liệu trong các kết nối.
Theo Patrick Solmon - một chuyên gia về điện thoại của công ty Enterprise Mobile, chuyên về triển khai thiết bị di động trên nền
Windows, cho biết: “SSL, giao thức sử dụng cổng TCP 443, là tin cậy
còn máy khách SSL thì khơng. IPSec có chức năng u cầu các cống phải
được mở riêng. Do vậy, cả hai điểm cuối của kết nối sẽ có xác thực. Các thiết bị di động chỉ thực hiện được kết nổi khi chúng được cho là xác đáng”. Như vậy, việc quàn lý và xác thực kết nổi sẽ trở nên đơn giàn hơn.
+ Bảo vệ dữ liệu:
Mã ÌLĨa dữ hệu là một trong những hoạt động quan trọng để bảo vệ
thiết bị di động. Với một thiết bị đã được quản lý, khách hàng có thể
phân phối dữ liệu hoặc tn thủ chính sách mã hố dữ liệu nhất định. Theo chuyên gia tư vấn của World Bank, khi các hệ thống thanh toán điện tử được triển khai trên thiết bị di động, hệ thống đó cần phải có sự
hướng dẫn cụ thể đối với các khách hàng khi sử dụng dịch vụ. Đặc biệt, cần phải yêu cầu khách hàng mã hóa các thư mục dữ liệu, hộp thư điện tử, dữ liệu người dùng, danh bạ, các chứng thực... Việc mã hóa các thiết
được người sử dụng cân nhắc để mã hoá. Tránh việc các dữ liệu nhạy cảm như thông tin chi tiết về tài khoản (mã số tài khoản, số PIN, số cw
(Card Veriíication Value), mật khẩu) bị truy cập một cách bất hợp pháp.
+ Khuyến cáo khách hàng:
Điểm yếu lớn nhất trong khâu bào mật chính là hướng dẫn người sử dụng. Để có thể hướng dẫn, khuyến cáo với các khách hàng hiệu quả, một hệ thống thanh toán di động cần đưa ra các chỉ dẫn về bảo mật ngắn gọn và ý nghĩa. Việc hướng dẫn hay khuyến cáo nên bao hàm tất cả các
nội dung như giải thích thiết bị, các ứng dụng và chủ định sử dụng. Như
vậy mới thu hút được sự chú ý và lưu tâm, dễ nhớ hơn với người sử dụng
dịch vụ.