Bài liên quan
Một trong những quy định nhằm đảm bảo an toàn an ninh cho hoạt động thanh toán ngân hàng trực tuyến là các thiết bị di động cài đặt phần mềm thanh toán mPOS phải không bị bẻ khóa (jailbreaking hoặc rooting) mới được sử dụng để giao dịch thanh toán.
Như ICTnews đã đưa tin, tại Hội thảo – Triển lãm Banking Việt Nam diễn ra tháng 5/2014 ở Hà Nội, một chuyên gia đã nhấn mạnh việc khách hàng sử dụng điện thoại không bảo mật như những chiếc iPhone đã bị jailbreak (một dạng hacking iPhone, can thiệp sâu vào hệ thống của các thiết bị để phá bỏ các rào cản mặc định mà hãng Apple tạo ra) có thể gây rủi ro cho các giao dịch ngân hàng trên di động (Mobile Banking).
Trao đổi với ICTnews, các chuyên gia bảo mật đều khẳng định phần lớn người dùng điện thoại di động tại Việt Nam chưa quan tâm đúng mức đến việc trang bị các giải pháp an toàn bảo mật cho điện thoại của mình. Khi người dùng sử dụng những chiếc điện thoại lỏng lẻo bảo mật để thực hiện các giao dịch trực tuyến kết nối với hệ thống ngân hàng, rất có thể chiếc điện thoại này sẽ bị tin tặc biến thành "bàn đạp" để tấn công vào hệ thống ứng dụng CNTT của ngân hàng.
Khách hàng sử dụng điện thoại không bảo mật như những chiếc iPhone đã bị jailbreak có thể gây rủi ro cho các giao dịch ngân hàng trên di động. Ảnh minh họa. Nguồn: Internet.
|
Nhằm giảm thiểu tối đa rủi ro nêu trên, Ngân hàng Nhà nước đã có nhiều quy định cụ thể, chặt chẽ về giao dịch ngân hàng trực tuyến trên các thiết bị di động trong dự thảo Dự thảo Thông tư quy định các yêu cầu kỹ thuật đối với trang thiết bị phục vụ hoạt động thanh toán thẻ và an toàn, bảo mật trong thanh toán thẻ.
Theo đó, thiết bị di động cài đặt phần mềm mPOS phải không bị bẻ khoá (jailbreaking hoặc rooting), tắt các kết nối không cần thiết cho việc sử dụng thanh toán. Đồng thời phải thiết lập các tính năng bảo mật phòng chống bị mất, trộm cắp như tính năng theo dõi vị trí qua GPS, mã hoá ổ đĩa lưu trữ (nếu có). Đơn vị chấp nhận thẻ phải lưu thông tin về thiết bị, bao gồm: số serial, hệ điều hành, firmware và phiên bản phần mềm mPOS.
Phần mềm mPOS phải được cài đặt từ nguồn hợp pháp theo hướng dẫn của đơn vị cung cấp giải pháp hoặc tổ chức thanh toán thẻ; có tính năng cho phép đơn vị chấp nhận thẻ hoặc đơn vị cung cấp giải pháp ngừng hoạt động từ xa (tính năng này không là chức năng thanh toán của thiết bị di động). Người sử dụng phần mềm mPOS sẽ không nhập số PIN trực tiếp trên thiết bị di động. Nếu cần nhập, phải qua một thiết bị nhập PIN an toàn.
Phần mềm mPOS không được phép xử lý các giao dịch khi thiết bị mPOS không kết nối được về trung tâm thanh toán thẻ. Phần mềm hệ thống cũng như phần mềm ứng dụng mPOS phải thiết lập tính năng ghi nhật ký hoạt động để ghi lại được các hoạt động bất thường (như cố gắng truy cập trái phép, cập nhật phần mềm hoặc firmware không được phép). Khi phát hiện hoạt động bất thường, không được sử dụng mPOS trước khi giải quyết xong sự cố. Bên cạnh đó phải có biện pháp chỉ ra cho người dùng biết ứng dụng hoạt động ở trạng thái an toàn (tương tự như trình duyệt có dấu hiệu về phiên SSL đang làm việc).
Hoá đơn thanh toán được gửi đến khách hàng qua email, SMS hoặc được in ra, trong đó số PAN phải được che dấu. Các thiết bị gắn ngoài (đầu đọc thẻ, bàn phím nhập PIN) có kết nối không dây với thiết bị cài đặt phần mềm mPOS phải được mã hóa mạnh.
Theo ICTNews
Post a Comment