DỰ THẢO NGHỊ ĐỊNH VỀ ĐỊNH DANH VÀ XÁC THỰC ĐIỆN TỬ

Một phần của tài liệu (Luận văn Đại học Thương mại) NGHIÊN CỨU ỨNG DỤNG MOBILE MONEY CỦA SINH VIÊN CÁC TRƯỜNG ĐẠI HỌC TRÊN ĐỊA BÀN HÀ NỘI (Trang 65 - 90)

Dự thảo Nghị định về định danh và xác thực điện tử đã được Bộ Thông tin và Truyền thông xây dựng và trình Chính phủ (2019). Nội dung chính của dự thảo gồm 5 chương và 33 điều, trong đó:

Chương I nêu rõ phạm vi điều chỉnh, đối tượng áp dụng, nguyên tắc định danh và xác thực điện tử.

Chương II bao gồm những quy định liên quan đến định danh điện tử như: giá trị pháp lý của định danh điện tử, tổ chức cung cấp định danh điện tử và thông tin định danh điện tử; điều kiện để được cấp chứng nhận cung cấp thông tin định danh điện tử; Trách nhiệm, nghĩa vụ của tổ chức cung cấp định danh điện tử, của tổ chức, cá nhân sử dụng định danh điện tử và thông tin định danh điện tử.

Chương III quy định về xác thực điện tử, dịch vụ định danh và xác thực điện tử. Chương IV quy định về sử dụng dịch vụ định danh và xác thực điện tử.

Chương V là các điều khoản thi hành. Trong đó có một số điểm lưu ý:

Điều 10: Dự thảo định nghĩa 3 mức độ đảm bảo an tồn thơng tin định danh điện tử như sau:

o Mức độ 1: Hoàn toàn do cá nhân tự cấp, các thông tin này không được xác minh hay kiểm tra.

o Mức độ 2: Thông tin định danh điện tử được xác minh để đảm bảo đúng với thông tin của cá nhân, tổ chức trong đời thực. Việc kiểm tra có thể được thực hiện từ xa hoặc trực tiếp gặp mặt. Ví dụ như qua phương tiện điện tử (Mạng Internet và máy di động) Kiểm tra giấy tờ tùy thân, Kiểm tra so sánh khuôn mặt với giấy tờ tùy thân, Định vị vị trí, Kiểm tra số điện thoại qua OTP, Kiểm tra qua Video Call, Kết hợp các nhà mạng viễn thông kiểm tra thông tin qua số điện thoại, Kiểm tra thông tin căn cước công dân qua hệ thống dữ liệu chính phủ (Bộ Cơng an).

o Mức độ 3: Là khi thông tin định danh điện tử được kiểm tra bằng việc gặp mặt trực tiếp cá nhân, tổ chức trong đời thực. Ví dụ như Gặp và kiểm tra giấy tờ tùy thân tại ngân hàng, Gặp mặt trực tiếp tại chỗ khách hàng và kiểm tra giấy tờ tùy thân, Kết hợp với bưu chính chuyển phát yêu cầu kiểm tra giấy tờ tùy thân và chữ ký trực tiếp.

Điều 19: Định nghĩa 3 mức độ đảm bảo an toàn xác thực điện tử:

o Mức độ 1: Sử dụng 1 yếu tố xác thực. Ví dụ như dùng Mật khẩu, Đặc điểm sinh trắc học,….

o Mức độ 2: Sử dụng 2 yếu tố xác thực. Ví dụ như Kết hợp điện thoại và OTP, Kết hợp mật khẩu và Sinh trắc học,…

o Mức độ 3: Sử dụng yếu tố xác thực dựa trên phần cứng sử dụng các giao thức mật mã để

chống lại sự giả mạo. Ví dụ như Chữ ký điện tử.

Việc phân định các mức độ đảm bảo an toàn như trên là rất có ý nghĩa. Từ đó có thể xây dựng một số quy trình liên quan đến định danh phục vụ mở mới tài khoản ngân hàng cũng như xác thực giao dịch chuyển tiền điện tử. Ví dụ:

Đối với việc mở tài khoản mới: Căn cứ vào mức độ đảm bảo an tồn thơng tin định danh điện tử

mà Ngân hàng có thể cho khách hàng mở tài khoản ở chế độ khác nhau. Ví dụ ở Mức 2 thì cho mở tài khoản chưa định danh, Mức 3 cho mở tài khoản định danh.

Đối với giao dịch trực tuyến: Tuỳ theo giá trị giao dịch mà áp dụng các biện pháp xác thực khác

nhau, chẳng hạn với giao dịch có giá trị nhỏ hơn 1 triệu đồng thì chỉ cần xác thực với độ an tồn mức độ 1, xác thực an toàn mức độ 2 cho giao dịch từ 1 triệu đến dưới 100 triệu, xác thực an toàn mức độ 3 cho các giao dịch lớn hơn 100 triệu.

(Nguồn: thuvienphapluat.vn)

Bên cạnh cách thức phân loại các hình thức eKYC theo giá trị giao dịch thì các cơng ty viễn thơng có thể phân loại khách hàng theo mức độ rủi ro. Đối với những khách hàng, trong q trình thẩm định được đánh giá thuộc nhóm rủi ro thấp thì nên nới lỏng các quy định về đăng ký tài khoản và hạn mức giao dịch, ngược lại, với những khách hàng thuộc nhóm rủi ro cao (có nhu cầu giao dịch với số tiền càng cao và tần suất càng nhiều) thì cần siết chặt bằng các quy định định danh cùng định

mức và lệ phí chuyển tiền chặt chẽ. Như vậy, những người thật sự có nhu cầu sẽ nhanh chóng tiếp cận tài chính tồn diện và giảm rủi ro những cá nhân/tổ chức sử dụng dịch vụ với mục đích phạm pháp.

Ví dụ như Philippines phân chia hạn mức giao dịch dựa trên ba cấp độ rủi ro: (i) chưa xác định (non-verified) - rủi ro cao nhất; (ii) xác minh một phần (semi verified); (iii) xác minh đầy đủ (fully verified) - rủi ro thấp nhất. Theo đó, khách hàng có rủi ro thấp sẽ được phép giao dịch với hạn mức cao hơn và sử dụng nhiều tiện ích kèm theo hơn, nhưng không vượt quá một hạn mức chung là 50.000 peso/ngày và 100.000 peso/tháng.

4.2. Đề xuất giải pháp về vấn đề phát triển mạng lưới đại lý

Có một mạng lưới đại lý rộng khắp là lợi thế không thể phủ nhận của các nhà mạng. Tuy nhiên, điều này cũng đặt ra thách thức về việc quản lý mạng lưới này cho thống nhất và hiệu quả, tránh bị lợi dụng.

Về hệ thống đại lý, các cơ quan nhà nước cần ban hành các khung tiêu chuẩn hệ thống đại lý (về đối tượng, trình độ, năng lực, vốn tối thiểu…) để định hướng cho các doanh nghiệp cung cấp dịch vụ Mobile Money có thể thiết lập các các tiêu chí nội bộ trong lựa chọn đại lý. Quyền lợi và trách nhiệm của đại lý Mobile Money cần quy định rõ, kèm theo yêu cầu về đào tạo, chuẩn hóa quy trình, nâng cao nhận thức và trách nhiệm của hệ thống đại lý…

Ví dụ một số tiêu chí để trở thành đại lý của M-PESA – dịch vụ Mobile Money ở Kenya: là doanh nghiệp TNHH hoặc tương đương, có từ 3 cửa hàng trở lên, và thời gian hoạt động tối thiểu là 6 tháng; đảm bảo hạ tầng tối thiểu về nhân viên, về máy tính, máy in, mạng Internet… Khi được chấp nhận trở thành đại lý của M-PESA, họ sẽ phải đặt cọc tối thiểu 100.000 Ksh cho mỗi cửa hàng (khoảng 270 USD).

Với kỳ vọng Mobile Money sẽ giúp hạn chế các giao dịch tiền mặt, đặc biệt ở các khu vực nông thôn, vùng sâu, vùng xa, nên các nhà mạng – đơn vị triển khai Mobile Money cũng cần đặc biệt lưu ý đến hệ thống mạng lưới đại lý nơi đây. Bởi các đại lý ở khu vực này có thể có mức nhận thức, hiểu biết không đồng đều như ở khu vực thành thị, nên cần được đào tạo kỹ lưỡng, tránh bị lợi dụng hoặc có những sai sót khơng đáng có để ảnh hưởng tới hiệu quả triển khai Mobile Money.

4.3. Đề xuất giải pháp nhằm đảm bảo an toàn, giảm thiểu rủi ro

Triển khai thanh tốn điện tử nói chung và Mobile Money nói riêng địi hỏi các bên có trách nhiệm phải lưu trữ tồn bộ giao dịch trong nhiều năm và công nghệ tối ưu phục vụ các quá trình định danh, điều tra khi có nghi ngờ… Ví dụ tại Philippines, tất cả giao dịch phải được ghi nhận và lưu trữ một cách an tồn trong vịng 5 năm kể từ ngày giao dịch được thực hiện. Vì vậy, Chính phủ cần có những

quy định về mức độ áp dụng công nghệ tối thiểu tại các nhà cung cấp dịch vụ Mobile Money, đồng thời, xây dựng và bảo trì hệ thống cơ sở dữ liệu thường xuyên giúp quá trình hoạt động diễn ra thuận lợi và hiệu quả. Các quy định pháp luật phải được xây dựng trên cơ sở bảo mật, an toàn thơng tin - dữ liệu, trong đó cần có quy định về chia sẻ thông tin - dữ liệu giữa cá nhân với nhà cung cấp, giữa nhà cung cấp với đối tác, trong nội bộ nhà cung cấp và giữa các cơ quan quản lý. Cụ thể các doanh nghiệp cung cấp Mobile Money cần chia sẻ các tài khoản định danh của các khách hàng với các tổ chức tín dụng, bảo vệ các thông tin cá nhân của các khách hàng đăng ký tài khoản định danh tại các nhà cung cấp.

Đồng thời, cần xây dựng quy trình và phân định trách nhiệm của các bên liên quan trong việc quản lý, giám sát và vận hành dịch vụ Mobile Money. Đây là một dịch vụ thanh toán, cơ quan đầu mối quản lý nên là Ngân hàng Trung ương và cần có sự phối hợp chặt chẽ của các bộ, ngành liên quan như Bộ Thông tin và Truyền thơng, Bộ Cơng An, Bộ Tài chính… Đồng thời, cơ chế phối hợp giữa doanh nghiệp cung cấp dịch vụ Mobile Money, tổ chức tín dụng và đại lý cũng cần được quy định cụ thể.

Ngoài chức năng của các cơ quan quản lý, các nhà mạng – đơn vị cung cấp dịch vụ Mobile Money là bên có liên quan trực tiếp tới vấn đề an toàn khi triển khai Mobile Money. Các nhà mạng cần làm chủ hệ thống xử lý giao dịch, trung tâm thanh tốn; xây dựng quy trình, kịch bản ứng phó để kiểm sốt, hạn chế các rủi ro hệ thống có thể làm gián đoạn hoặc ngừng giao dịch; hồn thiện quy trình nghiệp vụ và quy trình quản lý rủi ro hoạt động, nhất là rủi ro trong công nghệ thơng tin.

Bên cạnh những tính năng cơ bản, hệ thống của các nhà mạng đảm bảo an tồn hệ thống thơng tin cấp độ 3 theo quy định của pháp luật (đảm bảo hoạt động liên tục, an tồn trong suốt q trình triển khai; có cơng cụ, giải pháp phù hợp xác định được chính xác địa chỉ IP, thuê bao sử dụng để có thể truy vết đối tượng khách hàng sử dụng tài khoản Mobile Money; có hệ thống lưu trữ lịch sử giao dịch Mobile Money phát sinh, hệ thống lưu trữ thông tin định danh khách hàng, định danh thiết bị, địa chỉ IP, thời gian giao dịch, nội dung, tài khoản nhận/gửi… từ khi khách hàng mở đến khi đóng tài khoản, trong đó có các thơng tin truy vết người sử dụng dịch vụ (thông tin lưu trữ tối thiểu 2 năm) và có các bản sao lưu thông tin. Thông tin địa chỉ IP, thời gian đăng nhập phải lưu trữ tối thiểu 2 năm.). Đồng thời phải có chức năng giám sát các luồng giao dịch, cảnh báo các giao dịch đáng ngờ để kịp thời phát hiện và xử lý. Tại Philippines, giá trị mỗi lần giao dịch nếu vượt quá 500.000 PHP/tài khoản (10.290 USD) thì bị các ngân hàng theo dõi và đưa vào danh sách nghi ngờ.

Box 4.2: YÊU CẦU CƠ BẢN BẢO ĐẢM AN TỒN HỆ THỐNG THƠNG TIN ĐỐI VỚI HỆ THỐNG THÔNG TIN CẤP ĐỘ 3

(Ban hành kèm theo Thông tư số 03/2017/TT-BTTTT ngày 24 tháng 4 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)

1. Yêu cầu kỹ thuật: a) An toàn hạ tầng mạng:

- Có thiết kế vùng mạng dành riêng bao gồm vùng mạng riêng cho máy chủ nội bộ, vùng mạng riêng cho các máy chủ cung cấp các dịch vụ hệ thống cần thiết (như dịch vụ DNS, DHCP, NTP và các dịch vụ khác), vùng mạng riêng cho máy chủ cơ sở dữ liệu và các vùng mạng riêng khác theo yêu cầu của tổ chức;

- Có thiết kế vùng mạng nội bộ thành các mạng chức năng riêng theo yêu cầu nghiệp vụ; phân vùng mạng riêng cho mạng không dây tách biệt với các vùng mạng chức năng; phân vùng mạng riêng cho các máy chủ cung cấp dịch vụ ra ngoài mạng Internet;

- Có phương án cân bằng tải và giảm thiểu tấn cơng từ chối dịch vụ;

- Có thiết kế hệ thống quản lý lưu trữ tập trung và giám sát an tồn thơng tin;

- Có phương án sử dụng thiết bị có chức năng tường lửa giữa các vùng mạng quan trọng;

- Có phương án phát hiện, phòng chống xâm nhập và chặn lọc phần mềm độc hại giữa mạng Internet và các mạng bên trong;

- Có lưu trữ nhật ký các thiết bị mạng và quản lý tập trung trong vùng mạng quản trị đối với các thiết bị mạng có hỗ trợ tính năng này hoặc thiết bị mạng quan trọng;

- Có lưu trữ tối thiểu trong 03 tháng đối với nhật ký của các thiết bị mạng và bảo đảm đồng bộ thời gian nhật ký với máy chủ thời gian thực theo múi giờ Việt Nam;

- Có thiết kế dự phịng cho các thiết bị mạng chính trong hệ thống bảo đảm duy trì hoạt động bình thường của hệ thống khi một thiết bị mạng gặp sự cố;

- Có phương án cập nhật phần mềm, xử lý điểm yếu an tồn thơng tin và cấu hình tối ưu thiết bị mạng trước khi đưa vào sử dụng trong mạng;

- Có phương án xác thực tài khoản quản trị trên tất cả các thiết bị mạng trong đó bảo đảm yêu cầu về mật khẩu có độ phức tạp cần thiết, phịng chống dị qt mật khẩu;

- Có phương án giới hạn các nguồn truy cập, quản trị các thiết bị mạng;

- Có phương án chỉ cho phép quản trị các thiết bị mạng thông qua mạng Internet bằng mạng riêng ảo hoặc các phương pháp khác tương đương;

- Có ghi nhật ký đối với các hoạt động trên thiết bị mạng nội bộ và bảo đảm đồng bộ thời gian nhật ký với máy chủ thời gian;

- Có mã hóa thơng tin xác thực lưu trên thiết bị mạng; b) An tồn máy chủ:

- Có phương án quản lý xác thực tập trung; chống đăng nhập tự động và tự động hủy phiên đăng nhập sau một khoảng thời gian chờ phù hợp với chính sách của tổ chức;

- Có thiết lập quyền truy cập, quản trị, sử dụng tài nguyên của từng tài khoản trên hệ thống phù hợp với nhiệm vụ, yêu cầu nghiệp vụ khác nhau;

- Có phương án quản lý bản vá, nâng cấp phần mềm hệ thống tập trung;

- Có phương án lưu trữ và quản lý tập trung nhật ký máy chủ. Nhật ký được lưu tối thiểu 03 tháng;

- Có phương án đồng bộ nhật ký máy chủ với hệ thống giám sát an tồn thơng tin;

- Có phương án giới hạn các nguồn cho phép truy cập, quản trị máy chủ; việc quản trị máy chủ thông qua mạng Internet phải sử dụng mạng riêng ảo hoặc các phương pháp khác tương đương; - Có phương án sử dụng tường lửa trên từng máy chủ nhằm thiết lập chỉ cho phép các kết nối hợp pháp theo các dịch vụ được máy chủ cung cấp;

- Có phương án sao lưu dự phịng hệ điều hành máy chủ, cấu hình máy chủ phù hợp với yêu cầu của tổ chức;

- Có ghi nhật ký đối với các hoạt động truy cập, quản trị, phát sinh lỗi; c) An toàn ứng dụng:

- Có thiết lập yêu cầu thay đổi mật khẩu định kỳ đối với tài khoản quản trị ứng dụng; giới hạn thời gian chờ để đóng phiên kết nối khi ứng dụng không nhận được yêu cầu từ người dùng; - Có thiết lập tách biệt ứng dụng quản trị với ứng dụng cung cấp dịch vụ cho người sử dụng và bảo đảm ứng dụng hoạt động với quyền tối thiểu trên hệ thống;

- Có phương án giới hạn các nguồn cho phép truy cập, quản trị ứng dụng; việc quản trị ứng dụng thông qua mạng Internet phải sử dụng mạng riêng ảo hoặc các phương pháp khác tương đương; - Có phương án kiểm tra, lọc các dữ liệu đầu vào từ phía người sử dụng, bảo đảm các dữ liệu này

khơng ảnh hưởng đến an tồn thông tin của ứng dụng. d) An tồn dữ liệu:

- Có phương án mã hóa dữ liệu lưu trữ (không phải là thông tin, dữ liệu công khai) trên hệ thống lưu trữ/phương tiện lưu trữ;

- Có phương án tự động sao lưu dự phịng đối với thơng tin/dữ liệu phù hợp với tần suất thay đổi của dữ liệu;

2. Yêu cầu quản lý:

a) Chính sách chung: Định kỳ 02 năm hoặc đột xuất khi cần thiết thực hiện rà soát, cập nhật chính sách chung về an tồn thơng tin;

Một phần của tài liệu (Luận văn Đại học Thương mại) NGHIÊN CỨU ỨNG DỤNG MOBILE MONEY CỦA SINH VIÊN CÁC TRƯỜNG ĐẠI HỌC TRÊN ĐỊA BÀN HÀ NỘI (Trang 65 - 90)

Tải bản đầy đủ (PDF)

(90 trang)