3.2.2.1 Tiếp tục hoàn thiện và triển khai hệ thống phỏt hành và thanh toỏn Thẻ sang chuẩn EMV
Thẻ làm theo cụng nghệ EMV (thẻ chip) được mó hoỏ bằng thuật toỏn khú phỏt hiện hơn và sử dụng cụng nghệ hiện đại nhất hiện nay ngăn ngừa
việc tổ chức tội phạm thẻ sử dụng thiết bị để đọc trộm thụng tin mó hoỏ trong thẻ. Ngoài ra, thẻ chip cũn cú khả năng lưu trữ được nhiều thụng tin hơn về chủ thẻ và cú thể cập nhật được cỏc thụng tin mới hoặc cỏc thụng tin thay đổi mà khụng cần in lại thẻ. Cỏc thụng tin về giao dịch thẻ, hạn mức tớn dụng của thẻ cũng như tỡnh trạng của thẻ được cập nhật và lưu trữ trong chip đảm bảo cho việc thanh toỏn ngay cả trong trường hợp đường truyền bị lỗi, khụng thực hiện việc liờn lạc với ngõn hàng phỏt hành, hạn chế rủi ro cấp phộp qua hệ thống dự phũng của TCTQT.
Hiện nay bọn tội phạm đó tỡm ra thiết bị Skimming để copy dữ liệu từ những chiếc thẻ từ để làm ra những chiếc thẻ giả. Do vậy, việc triển khai hệ thống thanh toỏn và phỏt hành theo chuẩn EMV là vụ cựng cần thiết để hạn chế tối đa những rủi ro do giả mạo gõy ra. Mặt khỏc, theo quy định của TCTQT, cỏc ngõn hàng thanh toỏn khụng chuyển hệ thống sang chuẩn EMV khi tiếp nhận và thanh toỏn thẻ chip nếu rủi ro xảy ra ngõn hàng thanh toỏn hoàn toàn chịu trỏch nhiệm (trước đõy NHPH chịu trỏch nhiệm). Do vậy, việc nõng cấp đồng bộ hệ thống thanh toỏn thẻ sang chuẩn EMV (gồm cả mạng lưới POS và ATM) là cấp thiết nhằm trỏnh những rủi ro cú thể xảy ra.
3.2.2.2 Triển khai hệ thống quản lý rủi ro cho nghiệp vụ thẻ
Áp dụng chương trỡnh kiểm tra, giỏm sỏt giao dịch mới giỳp phỏt hiện sớm cỏc giao dịch bất thường. Hệ thống quản lý rủi ro cho nghiệp vụ thẻ: là hệ thống cho phộp Trung tõm thẻ quột và chấm đối chiếu cỏc giao dịch thẻ hàng ngày (trực tuyến). Căn cứ cỏc quy định về hạn mức theo từng hạng thẻ (khỏch hàng, ĐVCNT) mà chương trỡnh quản lý cú thể phỏt hiện, cảnh bỏo và tỏch ra cỏc giao dịch bất thường so với thúi quen chi tiờu của chủ thẻ cũng như doanh số giao dịch hàng ngày (hàng thỏng) để ngõn hàng cú thể giỏm sỏt và quản lý. Chớnh vỡ vậy, chương trỡnh cũng cú thể chấm điểm và phõn loại
khỏch hàng theo cỏc cấp độ rủi ro khỏc nhau. Giỳp cỏn bộ theo dừi và đưa ra những giải phỏp hiệu quả.
Ngõn hàng cần triển khai hệ thống này để cú một bước thay đổi toàn diện trong cụng tỏc quản lý rủi ro thẻ tớn dụng. Cú như vậy, cỏn bộ quản lý rủi ro thẻ mới khụng mất quỏ nhiều thời gian vào cụng việc chấm bỏo cỏo giao dịch để tỡm ra những giao dịch giả mạo, mà cú nhiều thời gian hơn cho cụng tỏc nghiờn cứu và đưa ra những giải phỏp hiệu quả trong phũng ngừa rủi ro. Nghiờn cứu xu hướng tội phạm thẻ trong khu vực và quốc tế để cú những giải phỏp phũng chống giả mạo phự hợp mang tớnh lõu dài. Triển khai hệ thống quản lý rủi ro cho phộp cỏn bộ thẻ kiểm soỏt cỏc giao dịch thẻ tớn dụng trực tuyến theo tiờu chuẩn quốc tế. Điều đú cũng cú nghĩa là bất cứ một giao dịch của chủ thẻ hoặc cỏc giao dịch tại ĐVCNT nếu bất thường so với thúi quen chi tiờu, hạn mức cho phộp của chủ thẻ cũng như tăng đột biến so với doanh số thanh toỏn hàng thỏng của ĐVCNT… đều bị phỏt hiện tức thỡ và được cảnh bỏo để theo dừi và ngăn chặn kịp thời. Như vậy sẽ hạn chế tối đa thiệt hại cho chủ thẻ và cho ngõn hàng.
3.2.2.3 Đảm bảo sự hoạt động ổn định, an toàn của hệ thống
Quản trị hệ thống trong hoạt động kinh doanh thẻ luụn đúng vai trũ vụ cựng quan trọng, nú đảm bảo tớnh bớ mật về hệ thống quản lý thẻ và sự bảo mật cỏc thụng tin về chủ thẻ và ĐVCNT trờn mạng và trong hệ thống quản lý thẻ thụng qua quản lý việc truy cập. Do vậy, ngoài việc đảm bảo sự hoạt động liờn tục ổn định của hệ thống quản lý thẻ (hệ thống thụng tin khỏch hàng, hệ thống ATM, POS, hệ thống xử lý dữ liệu và cỏc hệ thống kỹ thuật khỏc cú liờn quan), đảm bảo sự kết nối tối đa của hệ thống quản lý thẻ với TCTQT thỡ cụng tỏc quản trị mạng cũn phải đảm bảo ngăn chặn sự truy cập trỏi phộp của cỏc hacker, tiờu diệt hoàn toàn những virus phỏ hoại. Để làm được điều đú cỏn bộ quản trị mạng phải luụn trau dồi nghiệp vụ kỹ thuật và trực tiếp liờn hệ
với TCTQT để tổ chức cập nhật và nõng cấp định kỳ hệ thống quản lý thẻ theo quy định của TCTQT, đảm bảo hệ thống luụn đỏp ứng yờu cầu và đạt tiờu chuẩn của cỏc TCTQT.
3.2.2.4 Phối hợp chặt chẽ với cỏc TCTQT trong cỏc hoạt động kinh doanh thẻ và chương trỡnh quản lý rủi ro toàn cầu
Trung tõm Thẻ NHTCP Ngoại Thương VN phối hợp với TCTQT dưới hỡnh thức theo dừi bỏo cỏo sử dụng và thanh toỏn thẻ của ngõn hàng, và cỏc bỏo cỏo về giả mạo thẻ của TCTQT cung cấp để nắm được tỡnh hỡnh, diễn biến, xu hướng giả mạo trong hoạt động kinh doanh thẻ. Trao đổi cỏc thụng tin liờn quan tới giả mạo để phối hợp đưa ra những giai phỏp tớch cực nhằm hạn chế rủi ro.
Việc phối hợp với TCTQT cho phộp ngõn hàng cú được nhiều luồng thụng tin tin cậy chớnh xỏc về tỡnh hỡnh, diễn biến, xu hướng giả mạo trong hoạt động thẻ trờn thế giới, trong khu vực cũng như của ngõn hàng mỡnh. Trờn cơ sở cỏc thụng tin thu được, căn cứ vào thực tế hoạt động thẻ của ngõn hàng để đưa ra những giải phỏp phũng ngừa cú hiệu quả.
Mặt khỏc, cần phối hợp và khai thỏc tối đa chức năng của cỏc chương trỡnh giỏm sỏt và phỏt hiện sớm rủi ro mà TCTQT xõy dựng để hỗ trợ cho cỏc ngõn hàng thành viờn. Cụ thể:
• Dịch vụ thụng tin giả mạo toàn cầu (Global Fraud Information Service - GFIS): dịch vụ này làm nhiệm vụ kết nối và lưu chuyển cỏc thụng tin về giả mạo, lừa đảo trong hoạt động thẻ giữa cỏc tổ chức thành viờn trờn toàn cầu thụng qua thư điện tử. Ngoài ra GFIS cũn cung cấp cỏc cụng cụ khỏc như: diễn đàn nơi cỏc thành viờn cú thể trao đổi thụng tin về điều tra và phũng chống giả mạo, số liệu thống kờ định kỳ hàng thỏng và quý về giả mạo thẻ, những thụng tin cập nhật về luật phỏp liờn quan đến giả mạo thẻ tại cỏc nước
trợ cỏc ngõn hàng thanh toỏn trong việc theo dừi cỏc hoạt động liờn quan đến giả mạo tại cỏc ĐVCNT. RIS thu thập thụng tin về cỏc hoạt động của cỏc ĐVCNT như doanh số giao dịch, yờu cầu tra soỏt, bồi hoàn, số giao dịch giả mạo. Một chương trỡnh đỏnh giỏ rủi ro sẽ sử dụng cỏc thụng số để đỏnh giỏ hoạt động của cỏc ĐVCNT và khi cỏc thụng số đến một ngưỡng nào đú RIS sẽ gửi một bản bỏo cỏo về ĐVCNT đến ngõn hàng thanh toỏn thụng qua hệ thống quản lý phõn phối bỏo cỏo. Trong bỏo cỏo sẽ cú cỏc thụng tin về hoạt động của cỏc ĐVCNT và 6 mức cảnh bỏo dựa trờn cỏc thụng tin đú.
• Dịch vụ cảnh bỏo về ĐVCNT quốc gia (National Merchant Alert Service - NMAS): NMAS lưu trữ thụng tin về những ĐVCNT đó từng bị chấm dứt hợp đồng do cú những hành vi liờn quan đến giả mạo, cú mức đũi bồi hoàn cao hoặc đó từng vi phạm cỏc điều khoản trong hợp đồng chấp nhận thẻ. Khi ngõn hàng thẩm định, chuẩn bị ký kết hợp đồng chấp nhận thanh toỏn thẻ với một đơn vị mới, ngõn hàng cú thể cập nhật cơ sở dữ liệu của NMAS và xỏc định xem ĐVCNT đú cú nằm trong danh sỏch cỏc ĐVCNT cú độ rủi ro cao hay khụng. Đồng thời NMAS cũng cú chế độ tự động thụng bỏo cho ngõn hàng thanh toỏn nếu cú một ĐVCNT được đưa lờn danh sỏch cảnh bỏo trong vũng 180 ngày sau khi ngõn hàng cú đưa ra yờu cầu được biết thụng tin về ĐVCNT đú.
3.2.2.5 Đảm bảo an toàn cho hệ thống ATM
Triển khai chương trỡnh quản lý nhật ký điện tử tập trung và cập nhật phần mềm từ xa cho hệ thống ATM.
Do đặc thự của mạng lưới ATM là phục vụ khỏch hàng mọi nơi mọi lỳc nờn phần lớn cỏc ATM hoạt động bờn ngoài trụ sở ngõn hàng 24/24. Do vậy, việc kiểm tra giỏm sỏt cỏc nguy cơ rủi ro cú thể xảy ra cho cỏc ATM này là khụng thể thường xuyờn liờn tục như với cỏc ATM đặt tại trục sở chớnh. Chớnh vỡ vậy luụn tiềm ẩn nguy cơ mạng lưới ATM bị lợi dụng để thực hiện cỏc giao dịch giả mạo. Để trỏnh rủi ro xảy ra, NHTMCP Ngoại Thương VN
đó và đang sử dụng những ATM thế hệ mới cú khả năng phỏt hiện những thiết bị ngoại vi. Qua đú ATM lập tức sẽ ngừng hoạt động nếu cú thiết bị ngoại vi gắn vào thõn mỏy ATM. Tuy nhiờn, để cảnh giỏc với những thủ đoạn ngày một tinh vi vủa tội phạm thẻ, cỏn bộ thẻ khi đi tiếp quỹ ATM cần thường xuyờn kiểm tra cỏc tỡnh trạng an toàn của ATM, bất cứ một khỏc biệt nhỏ cũng phải cho ATM ngừng hoạt động và bỏo cỏo trung tõm để cú biện phỏp xử lý kịp thời. Hệ thống Camera theo dừi hoạt động của ATM cũng là cụng cụ phũng chống tội phạm thẻ và giỳp đỡ ngõn hàng trong cụng tỏc giải quyết cỏc tra soỏt khiếu nại của khỏch hàng về cỏc giao dịch tại ATM.
Cài đặt chương trỡnh quản lý nhật ký điện tử tập trung và cập nhật phần mềm từ xa để bảo vệ tốt hơn nữa hệ thống ATM khỏi sự truy cập trỏi phộp,
loại bỏ hoàn toàn nguy cơ ATM bị ảnh hưởng bởi virus hoặc cỏc phần mềm phỏ hoại. Đõy là chương trỡnh bảo vệ nền chỉ cho phộp cập nhật hoặc cài đặt những chương trỡnh đó được nhận dạng và đăng ký trờn hệ thống thụng qua user admin. Như vậy, tất cả sự truy cập và cài đặt trỏi phộp cũng như cỏc virus thõm nhập vào hệ thống ATM đều bị phỏt hiện và tiờu diệt. Vĩnh viễn khụng phải cập nhật chương trỡnh diệt virus cho ATM. Mặt khỏc, mọi chương trỡnh thay đổi trờn ATM đều cú thể cài đặt tập trung tại Trung ương mà khụng cần phải cài tại chi nhỏnh hoặc trực tiếp trờn ATM. Bờn cạnh đú, chương trỡnh quản lý nhật ký điện tử tập trung cũn cho phộp cung cấp cỏc số liệu liờn quan tới tra soỏt khiếu nại một cỏch nhanh nhất để xử lý, gúp phần nõng cao chất lượng dịch vụ thẻ của ngõn hàng.
3.2.2.6 Hạn chế rủi ro phỏt sinh từ cỏc ĐVCNT
Hướng dẫn và thường xuyờn kiểm tra cụng tỏc thanh toỏn thẻ tại cỏc ĐVCNT
Tăng cường cụng tỏc thẩm định hồ sơ đăng ký ĐVCNT nhằm trỏnh việc chấp nhận cỏc đơn vị gian lận giả mạo. Cỏn bộ CN phải kiểm tra thực tế
tại địa diểm, nơi hoạt động kinh doanh của đơn vị nhằm đảm bảo đơn vị cú hoạt động kinh doanh và cú nhu cầu thanh toỏn thẻ thực sự. Phải kiểm tra hoạt động kinh doanh của đơn vị cú đỳng với loại hỡnh đó được cỏc cơ quan chức năng cấp phộp khụng. Hồ sơ, hợp đồng với ĐVCNT phải đầy đủ, hợp phỏp, tuõn thủ cỏc điều khoản trong Hợp đồng, trỏnh hiện tượng hợp đồng thiếu thụng tin, khụng ký, đúng dấu hoặc thiếu bản lưu.
Phải thiết lập hợp đồng chi tiết giữa ngõn hàng và ĐVCNT về hoạt động chấp nhận thanh toỏn thẻ, theo đú qui định, hướng dẫn cụ thể ĐVCNT qui trỡnh chấp nhận thanh toỏn thẻ, cỏc quyền lợi và nghĩa vụ liờn quan. Qui định rừ khung chế tài cụ thể trong cỏc trường hợp vi phạm hợp đồng... Để cho cỏc ĐVCNT ý thức được rằng bảo vệ thụng tin cho chủ thẻ giao dịch tại đơn vị, thực hiện cỏc giao dịch theo đỳng quy trỡnh mà ngõn hàng hướng dẫn chớnh là tự bảo vệ ĐVCNT của mỡnh khỏi sự lợi dụng của tội phạm thẻ gõy thiệt hại cho ngõn hàng, chủ thẻ và chớnh bản thõn ĐVCNT, nõng cao uy tớn của dơn vị trong kinh doanh.
Thường xuyờn hướng dẫn, kiểm tra hoạt động của ĐVCNT về cụng tỏc đảm bảo an toàn trong thanh toỏn thẻ, cỏch nhận biết thẻ giả và cỏc giao dịch giả mạo. Mỏy EDC (mỏy đọc thẻ) cần được niờm phong và kiểm tra bất chợt thường xuyờn trỡnh trạng mỏy. Phối hợp với cỏc cơ quan chức năng (cụng an) để xử lý cỏc ĐVCNT cú hành vi giả mạo.
Cảnh bỏo cỏc ĐVCNT cú độ rủi ro cao như: ĐVCNT kinh doanh vàng bạc, đỏ quý, đồ trang sức...về nguy cơ thẻ giả vỡ loại hỡnh hàng hoỏ này thường cú giỏ trị lớn và cú tớnh chất dễ chuyển đổi sang tiền mặt do vậy bọn tội phạm thẻ thường tập trung vào cỏc ĐVCNT loại này. Lập hợp đồng mua bỏn chi tiết giữa chủ thẻ và ĐVCNT, theo đú qui định rừ về cỏc nội dung cơ bản sau:
+ Loại hỡnh hàng hoỏ, tiờu chuẩn kỹ thuật, mầu sắc, kớch cỡ, số lượng...
+ Giỏ cả. (đó bao gồm phớ vận chuyển chưa?). Cần qui định rừ phớ vận chuyển từ đõu đến đõu? Cỏc loại phớ khỏc (local charges) ai sẽ chịu?
+ Bảo hiểm hàng hoỏ. + Thời hạn giao nhận hàng.
+ Thời hạn phải thụng bỏo trước nếu muốn huỷ bỏ hợp đồng. + Chế tài nếu vi phạm hợp đồng.
Đảm bảo được những quy định cụ thể đú thỡ cỏc ĐVCNT mới trỏnh được những rủi ro cú thể xảy ra khi cung cấp hàng hoỏ dịch vụ cho khỏch hàng, đặc biệt đối với những khỏch hàng ở xa hoặc ở nước ngoài.
3.2.2.7 Hướng dẫn chủ thẻ sử dụng thẻ an toàn, hiệu quả
Chủ thẻ là những người trực tiếp sử dụng thẻ để thanh toỏn, chủ thẻ sử dụng thẻ đỳng cỏch sẽ đảm bảo việc thực hiện giao dịch thanh toỏn thành cụng và an toàn. Chớnh vỡ vậy, để hạn chế cỏc rủi ro cú thể xảy ra trong quỏ trỡnh sử dụng thẻ tớn dụng, trong cụng tỏc phỏt hành và giới thiệu sản phẩm thẻ, ngoài việc cung cấp những tiện ớch vượt trội của sản phẩm thỡ cỏc tài liệu hướng dẫn chủ thẻ phải đảm bảo những thụng tin quan trọng, cần thiết cho việc thực hiện thanh toỏn thẻ, giỳp cho chủ thẻ hiểu rừ việc sử dụng thẻ và bảo quản thẻ cũng như cỏc thụng tin cỏ nhõn liờn quan cũng chớnh là biện phỏp tốt nhất tự bảo vệ mỡnh khỏi sự lợi dụng của tội phạm. Trong hướng dẫn sử dụng thẻ, ngõn hàng khuyến cỏo khỏch hàng bảo quản thụng tin thẻ, khụng để lộ cỏc thụng tin thẻ của mỡnh cho người khỏc biết, cẩn thận trong việc mua sắm trờn mạng, khụng nờn mua sắm hàng hoỏ, cung cấp thụng tin thẻ để thực hiện thanh toỏn trờn cỏc trang Web hay cho cỏc ĐVCNT khụng tin cậy, chủ thẻ khụng biết rừ. Khụng giao dịch tại những ATM cú những thiết bị khỏc lạ, khả nghi....
Để trỏnh tỡnh trạng thẻ bị skimming, giao dịch thanh toỏn bị thực hiện nhiều lần, số tiền cấp phộp lớn hơn số tiền khỏch hàng phải thanh toỏn... , ngõn hàng khuyến cỏo chủ thẻ cỏc thủ đoạn skimming, thủ đoạn gian lận thẻ, yờu cầu ĐVCNT tiến hành cà thẻ thanh toỏn trong phạm vi kiểm soỏt, tầm nhỡn của mỡnh để đề phũng đơn vị skimming thẻ. Chủ thẻ chỉ ký vào hoỏ đơn thanh toỏn đó điền đầy đủ và chớnh xỏc cỏc thụng tin giao dịch, khụng ký trước cho đơn vị, yờu cầu đơn vị huỷ hoỏ đơn giao dịch trước mặt mỡnh nếu khụng thực hiện thanh toỏn nữa. Ngoài ra, nếu chủ thẻ phỏt hiện cú bất kỳ dấu hiệu nghi ngờ giả mạo nào trong quỏ trỡnh thanh toỏn thỡ chủ thẻ nờn liờn lạc ngay với ngõn hàng phỏt hành thẻ để theo dừi và cú cỏc biện phỏp xử lý kịp thời, hạn chế cỏc rủi ro cú thể xảy ra.
Khuyến khớch chủ thẻ sử dụng dịch vụ nhắn tin chủ động SMS banking. Chủ thẻ sẽ nhận được tin nhắn bỏo khi cú gaio dịch thẻ phỏt sinh.