Triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến

Quyết định nêu rõ các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán căn cứ phân loại giao dịch quy định tại Quyết định này, triển khai áp dụng các biện pháp xác thực trong thanh toán trực tuyến trên internet (internet banking, mobile banking).

Theo đó, với khách hàng cá nhân, trước khi thực hiện giao dịch lần đầu bằng ứng dụng mobile banking hoặc trước khi thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch mobile banking lần gần nhất thì phải xác thực khách hàng bằng dấu hiệu nhận dạng sinh trắc học, hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng.

Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra, kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.

Cùng với đó, ngân hàng cần gửi SMS hoặc email cho khách hàng (theo thông tin khách hàng đăng ký), thông báo về việc đăng nhập lần đầu ứng dụng internet banking/mobile banking hoặc đăng nhập trên thiết bị khác với thiết bị đăng nhập lần gần nhất.

Ngân hàng Nhà nước cũng yêu cầu các nhà băng lưu trữ thông tin về thiết bị giao dịch trực tuyến của khách hàng và nhật ký xác thực giao dịch tối thiểu trong vòng 3 tháng.

Quyết định này có hiệu lực thi hành kể từ ngày 01/7/2024 và thay thế Quyết định số 630/QĐ-NHNN ngày 31/3/2017 của Thống đốc Ngân hàng Nhà nước về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Đối với các tổ chức tín dụng được kiểm soát đặc biệt, thời gian áp dụng các quy định tại Quyết định này kể từ ngày 01/01/2025.