CHƯƠNG 2: TÌNH HÌNH PHÁT TRIỂN DỊCH VỤ E– BANKING TẠI VIỆT NAM
3.3.4.2. Nhóm các giải pháp kỹ thuật.
o Xác thực và phân quyền cho khách hàng khi thực hiện giao dịch qua Internet
- Sử dụng các phương pháp tin cậy để nhận dạng và kiểm tra quyền hạn của khách hàng, giám sát các hoạt động của khách hàng trong suốt thời gian kích hoạt tài khoản là một trong những công việc cần thiết để giảm thiểu rủi ro về thông tin của khách hàng bị đánh cắp, giả mạo hoặc các chuyển tiền bất hợp pháp.
- Có thể sử dụng một số phương pháp xác thực: số PIN, mật khẩu, smart card, sinh trắc học và chứng thực số. Quá trình thực hiện có thể kết hợp một vài nhân tố
trên với nhau để làm tăng độ an toàn. Thông qua việc đánh giá những rủi ro tiềm ẩn của hệ thống E – Banking để lựa chọn phương pháp xác thực thích hợp.
o Xác thực giao dịch, hạn chế việc thoái thác và thiết lập giải trình cho các giao dịch E - Banking.
Sử dụng xác thực giao dịch là phương pháp hiệu quả nhằm hạn chế việc thoái thác trong giao dịch E-Banking; bằng cách tạo ra chứng cứ nguồn gốc nhằm bảo vệ người gửi (nhận) thông tin chống lại việc phủ nhận của người nhận (gửi) thông tin dữ liệu đó bằng cách:
• Tất cả những bên tham gia vào giao dịch đều được xác thực và việc kiểm soát cần được duy trì qua kênh đã được xác thực.
• Dữ liệu giao dịch tài chính cần được bảo vệ chống lại sự thay đổi bất hợp pháp và nếu có sự thay đổi, phải được kiểm soát, phát hiện.
• Hệ thống E - Banking được thiết kế nhằm giảm thiểu những rủi ro cho các cá nhân đã được cấp quyền tham gia giao dịch, cũng như những thông tin cần thiết giúp cho khách hàng hiểu rõ những rủi ro tiềm ẩn khi tham gia giao dịch với hệ thống.
Hiện nay, nhiều tổ chức ngân hàng đã đầu tư hoặc thuê các hạ tầng kỹ thuật nhằm ngăn chặn các hành vi thoái thác và đảm bảo tính bảo mật, toàn vẹn của các giao dịch điện tử, ví dụ như hệ thống chứng thực số với công nghệ mã khoá công khai (PKI). Ngân hàng có thể phát hành chứng thực số cho khách hàng hoặc các đối tác nhằm cấp cho họ quyền sử dụng và hạn chế rủi ro thoái thác giao dịch.
o Tách biệt nhiệm vụ trong các hệ thống, CSDL và các ứng dụng E - Banking.
Tách biệt nhiệm vụ là một phương pháp kiểm soát nội bộ được thiết kế với mục đích giảm thiểu rủi ro gian lận trong các tiến trình và trong các hệ thống hoạt động. Tách biệt nhiệm vụ sẽ bảo đảm sự chính xác và tính toàn vẹn của dữ liệu, ngăn
chặn những hành động bất hợp pháp của mỗi cá nhân. Nếu các nhiệm vụ được tách biệt một cách hiệu quả, các hành động gian lận chỉ có thể xảy ra khi có sự thông đồng. Đối với một CSDL bảo mật yếu kém, việc truy cập có thể được thực hiện dễ dàng hơn thông qua mạng nội bộ và mạng bên ngoài, vì vậy các thủ tục xác thực và nhận dạng, kiến trúc an toàn, tính hợp lý của các quy trình và công tác lưu vết cần phải được chú trọng.
Một số biện pháp để thiết lập và duy trì tách biệt nhiệm vụ trong môi trường E - Banking:
• Xử lý các giao dịch và hệ thống cần phải được thiết kế sao cho không một bên cung ứng dịch vụ có thể tham gia, hoàn tất các bước xử lý một giao dịch.
• Mọi hệ thống E - Banking cần phải được kiểm tra nhằm bảo đảm rằng việc tách biệt nhiệm vụ không bị bỏ qua.
• Tách biệt nhiệm vụ cần phải được duy trì giữa sự phát triển và quản lý các hệ thống E - Banking.
o Kiểm soát quyền và phân quyền đối với các hệ thống, CSDL và các ứng dụng E - Banking
Để duy trì giải pháp tách biệt nhiệm vụ, các ngân hàng cần phải thực hiện kiểm soát chặt chẽ chức năng kiểm soát và phân quyền truy cập. Nếu có bất kỳ sai sót nào trong việc kiểm soát quyền sẽ dẫn đến việc truy cập trái phép và gây hậu quả xấu đến ngân hàng và khách hàng.
Trong các hệ thống E - Banking, quyền truy cập được thiết lập và phân phối theo phương thức tập trung hóa và thường được lưu lại trong CSDL. CSDL này được bảo vệ cẩn thận sẽ giúp cho ngân hàng kiểm soát quyền một cách hiệu quả.
o Bảo vệ tính toàn vẹn dữ liệu của các giao dịch, bản ghi và thông tin E - Banking
Bảo vệ tính toàn vẹn dữ liệu trong giao dịch E – Banking được hiểu là thông tin trong trạng thái chuyển đi hay lưu lại sẽ không bị thay đổi nếu không được phép. Nếu tính toàn vẹn dữ liệu của các giao dịch, bản ghi và thông tin E-Banking bị vi phạm, sẽ dẫn đến các rủi ro về tài chính, pháp lý và uy tín.
Thông thường giai đoạn đầu triển khai E – Banking, có thể xảy ra lỗi chương trình phần mềm hoặc một số tính huống (kỹ thuật hoặc thủ tục pháp lý) phát sinh ngoài tiên liệu. Do đó, các ngân hàng cần triển khai xây dựng, hoàn thiện và tuân thủ quy trình khi thực hiện, đảm bảo an toàn các giao dịch, phù hợp và toàn vẹn dữ liệu.
Các giao dịch E - Banking thường được truyền qua mạng công cộng, nên dễ gặp rủi ro; cho nên ngân hàng cần phải có giải pháp bảo đảm tính chính xác, tính toàn vẹn và sự tin cậy của các giao dịch, bản ghi và thông tin. Một số biện pháp để bảo vệ tính toàn vẹn dữ liệu trong môi trường E - Banking:
• Các giao dịch, bản ghi của E - Banking cần được lưu lại, được kiểm tra và thay đổi bằng một phương thức tối ưu nhất nhằm hạn chế truy cập trái phép trong suốt toàn bộ quá trình xử lý.
• Giao dịch E - Banking và các quy trình lưu bản ghi phải được thực hiện trong môi trường kỹ thuật công nghệ hiện đại, đủ điều kiện kiểm soát, ngăn chặn các truy cập trái phép, hạn chế rủi ro.
• Các chính sách kiểm soát cần được thay đổi hợp lý, nhằm ngăn chặn những thay đổi trái phép hệ thống E - Banking, những thay đổi này có thể ảnh hưởng tiêu cực đến quá trình kiểm soát hoặc độ tin cậy của dữ liệu.
• Bất kỳ những lỗi hay sự thay đổi nào trong bản ghi hoặc giao dịch E – Banking, phải được kiểm soát qua chức năng xử lý, giám sát giao dịch.
Việc tuân thủ quy định kiểm soát nội bộ sẽ khó khăn hơn đối với các giao dịch ngân hàng điện tử qua Internet. Các ngân hàng không chỉ chịu áp lực trong việc đảm bảo hoạt động kiểm soát nội bộ trong các môi trường tự động cao, mà còn chịu áp lực trong việc duy trì tính độc lập của hoạt động kiểm soát, đặc biệt với các ứng dụng và các hoạt động E - Banking chủ chốt.
Duy trì việc kiểm soát lưu vết đối với các hoạt động E - Banking sẽ làm tăng vai trò kiểm soát nội bộ của một ngân hàng. Những loại giao dịch E - Banking sau cần được lưu vết:
• Mở, thay đổi hoặc đóng tài khoản của khách hàng; • Mọi giao dịch liên quan đến kết quả tài chính;
• Mọi sự hỗ trợ, chuyển đổi hay hủy bỏ quyền truy cập hệ thống.
o Bảo mật thông tin E - Banking quan trọng, thông tin có tính nhạy cảm được chuyền và/hoặc lưu trong CSDL.
Bảo mật có nghĩa là giữ cho các thông tin quan trọng không bị rò rỉ và không bị truy cập trái phép. Sự xuất hiện của E - Banking cũng đồng nghĩa với những thách thức về bảo mật thông tin sẽ tăng thêm. Bởi vì khi truyền qua mạng Internet hoặc lưu trữ trong CSDL, thông tin dễ bị truy cập trái phép. Hơn nữa trong thời đại ứng dụng công nghệ, sự phụ thuộc ngày càng gia tăng đối với các đối tác, các nhà cung ứng dịch vụ có thể là nguyên nhân gây rò rỉ các dữ liệu quan trọng của ngân hàng.
Mục tiêu của việc bảo mật thông tin E – Banking:
• Tất cả dữ liệu ngân hàng và các bản ghi được bảo mật, chỉ có các cá nhân, tổ chức hoặc hệ thống được cấp quyền sử dụng mới được truy cập;
• Mọi dữ liệu ngân hàng bảo mật phải được duy trì bởi hệ thống bảo mật và được bảo vệ tránh bị truy cập, thay đổi trái phép trong suốt thời gian truyền trên mạng;
• Ngân hàng phải kiểm soát việc sử dụng và bảo vệ dữ liệu trong suốt quá trình bên thứ 3 truy cập đến dữ liệu ngân hàng thông qua các quan hệ ngoài luồng;
• Mọi truy cập đến dữ liệu có kiểm soát, phải được cài đặt, sử dụng mật khẩu để tránh truy cập trái phép.