Sự phát triển không ngừng của thương mại điện tử trong những năm gần đây đã tạo sự liên kết mật thiết giữa người tiêu dùng và doanh nghiệp. Trên thực tế, do đại dịch Covid-19 một số lượng người dùng kỷ lục đã thực hiện các giao dịch mua sắm trực tuyến tại nhà, với doanh thu toàn cầu đạt 4,28 nghìn tỷ USD vào năm 2020 và dự đoán sẽ tiếp tục tăng trưởng lên 5,4 nghìn tỷ USD vào năm 2022.
Nhưng điều gì tạo nên một giải pháp thực sự an toàn và làm cách nào để các nhà cung cấp dịch vụ và nhà cung cấp dịch vụ trực tuyến có thể cải thiện bảo mật và bảo vệ khách hàng của họ?
Bài viết này sẽ giới thiệu tới độc giả cách thức hoạt động của hệ thống thanh toán trực tuyến và các giải pháp thanh toán trực tuyến an toàn trong các ngân hàng.
Các thông tin chi tiết kiểm tra được cung cấp trong quá trình giao dịch có thể giúp xác định một giao dịch có khả năng gian lận và bảo vệ doanh nghiệp trước khi gian lận xảy ra. Dịch vụ xác minh địa chỉ (Address Verification Service - AVS) thực hiện so sánh địa chỉ IP của người dùng tương ứng với vị trí địa lý và địa chỉ thanh toán của được sử dụng để đảm bảo rằng khách hàng là chủ thẻ.
SSL (Secure Sockets Layer) và TLS (Transport Layer Security) là các giao thức xác thực và trên Internet. Bảo mật các giao dịch bằng giao thức SSL nhằm đảm bảo rằng thông tin nhạy cảm được mã hóa và chỉ người nhận mới có thể truy cập được.
Mã hóa không phải là cách duy nhất để che giấu giá trị số nhận dạng tài chính vì thông tin mã hóa được truyền đi giữa các máy trạm khác nhau, điều này có thể làm cho dữ liệu khi bị đánh cắp vẫn có thể bị giải mã (ví dụ như có một số hàm mật mã băm đã bị bẻ khóa như các phiên bản trước của SHA). Tuy nhiên, với sự phát triển của các hệ mật mã mới mạnh hơn, điều này được cải thiện và kẻ tấn công khó có thể lấy dữ liệu.
Tokenization là một quá trình mà trong đó thông tin thanh toán nhạy cảm của người sử dụng được thay thế bằng một tập hợp các ký tự được gọi là token và các token này sẽ không ảnh hưởng đến tính an toàn trong các giao dịch trực tuyến và di động. Các máy khách sẽ thực hiện truyền mã token, thay vì dữ liệu thông tin gốc quan trọng, điều này khiến dữ liệu sẽ không thể bị đánh cắp hoặc không có giá trị đối với kẻ tấn công.
Tội phạm mạng sẽ cố gắng truy cập vào tài khoản người dùng bằng cách kết hợp các thông tin thường sử dụng hoặc liên quan tới người dùng như tên, ngày sinh và các từ trong tập hợp từ điển. Bảo vệ tài khoản của khách hàng bằng các yêu cầu mật khẩu mạnh có thể thêm một lớp hàng rào bảo vệ cho người dùng.
Trong trường hợp khách hàng không thể nhớ mật khẩu, cần phải có một quy trình xử lý việc quên mật khẩu nhằm cho phép người sử dụng truy cập vào tài khoản của mình.
3D Secure là một phương pháp xác thực được thiết kế để ngăn chặn việc sử dụng trái phép thẻ và bảo vệ nhà cung cấp thương mại điện tử khỏi các khoản bồi thường trong trường hợp có giao dịch gian lận. Người bán hàng, tổ chức cung cấp dịch vụ mạng thẻ thanh toán và tổ chức tài chính chia sẻ thông tin để xác thực giao dịch.
Khi người dùng thực hiện thanh toán cho một giao dịch mua sắm trực tuyến, công nghệ 3D Secure sẽ đánh giá xem có cần bảo vệ an toàn thêm hay không nhằm đảm bảo rằng người dùng đó chính là chủ sở hữu thẻ hợp pháp. Nếu đúng là người sở hữu, người dùng sẽ được chuyển đến trang 3D Secure và được yêu cầu nhập mật khẩu hoặc mã PIN. Đồng thời, ngân hàng của người dùng đó sẽ thực hiện tạo mã PIN một lần và gửi đến điện thoại thông qua SMS. Đây là mã PIN mà người dùng cần nhập trước khi có thể hoàn tất giao dịch. Tất cả những nhà cung cấp dịch vụ phải tuân thủ luật mới của Liên minh Châu Âu để đảm bảo tính xác thực mạnh cho khách hàng sử dụng và 3D Secure là một cách hiệu quả để thực hiện công việc này.
Thanh toán thẻ trực tuyến thông thường có thể được xử lý bằng cách nhập thông tin trên thẻ như số thẻ tín dụng và ngày hết hạn. Tuy nhiên, bằng cách áp dụng phương thức 3D Secure, mật khẩu chỉ do chính người dùng biết sẽ được yêu cầu để xác thực ngoài thông tin trên thẻ. Do đó, nó sẽ ngăn chặn các hành vi gian lận như giả mạo khi bị đánh cắp dữ liệu thẻ tín dụng.
Mã bảo mật thẻ (Card Verification Value - CVV) có thể được sử dụng để xác thực các giao dịch không sử dụng thẻ trên điện thoại hoặc thông qua phương pháp thanh toán trực tuyến. Nếu số thẻ tín dụng bị đánh cắp, việc yêu cầu thông tin chỉ có trên thẻ có thể giúp nhà cung cấp dịch vụ xác thực thanh toán
Xác thực khách hàng hiệu lực cao (Strong Customer Authentication - SCA) được sử dụng nhằm giảm thiểu mức độ gian lận, giúp tăng cường tính bảo mật trong thanh toán trực tuyến và yêu cầu hai hoặc nhiều yếu tố trong quá trình xác thực, thông qua một đối tượng mà người dùng biết (mật khẩu hoặc mã PIN), một đồ vật mà người dùng sở hữu (điện thoại thông minh) hoặc một đặc điểm nhận dạng của riêng người dùng (dấu vân tay hoặc nhận dạng giọng nói).
Nhà cung cấp dịch vụ cần sử dụng một cổng thanh toán để phát hiện và quản lý gian lận. Các cơ chế giám sát gian lận đã được tích hợp sẵn có thể giúp xác định vị trí có thể có rủi ro thực sự trong việc mua gian lận. Các doanh nghiệp có thể đặt ra các quy tắc, dựa trên tình hình và khả năng chấp nhận rủi ro, hạn chế hoặc từ chối các giao dịch được coi là có rủi ro quá cao hoặc yêu cầu phê duyệt thủ công trước khi giao dịch hoàn tất.
Việc tuân thủ PCI là một phần quan trọng trong việc thực hiện thanh toán bằng thẻ. Tất cả những người cung cấp dịch vụ từ các tập đoàn lớn nhất thế giới đến các cửa hàng Internet nhỏ chấp nhận thanh toán bằng thẻ tín dụng (trực tuyến hoặc ngoại tuyến) đều phải tuân thủ Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS).
PCI DSS là một framework bao gồm 12 yêu cầu kỹ thuật và vận hành do Tiêu chuẩn bảo mật PCI đặt ra cho các doanh nghiệp lưu trữ, xử lý hoặc truyền dữ liệu thanh toán bằng thẻ. Mỗi công ty cung cấp dịch vụ thẻ đều có các quy tắc riêng cần tuân thủ, xác nhận và thực thi.
Nhà cung cấp dịch vụ có chức năng xử lý, lưu trữ hoặc truyền dữ liệu thẻ tín dụng bắt buộc phải tuân thủ PCI. Hậu quả của việc vi phạm dữ liệu đối với một doanh nghiệp không tuân thủ là rất lớn và có thể bao gồm các khoản tiền phạt và hình phạt tốn kém, bên cạnh những thiệt hại đáng kể về danh tiếng.
Các tổ chức xử lý thanh toán đóng một vai trò quan trọng trong việc giúp nhà cung cấp dịch vụ quản lý và duy trì mức độ tuân thủ, nhưng các doanh nghiệp nên đóng vai trò chủ động để hiểu rõ về các nghĩa vụ và các yêu cầu tuân thủ của họ.
Không ít những vụ lừa đảo thông qua thanh toán trực tuyến xuất phát từ việc người dùng không hiểu đúng về các nguyên tắc, cũng như các kiến thức cơ bản về an toàn mạng trong việc sử dụng ứng dụng. Việc hướng dẫn người dùng về những kiến thức cơ bản trong ứng dụng thanh toán trực tuyến của các ngân hàng là điều cần thiết, bởi điều này giúp cho cả hai bên bảo vệ quyền lợi chính đáng.
Bất kỳ hình thức thanh toán nào cũng sẽ tiềm ẩn những rủi ro không mong muốn và thanh toán trực tuyến trong ngành ngân hàng cũng không phải ngoại lệ. Với công nghệ hiện tại, các ngân hàng và các tổ chức tài chính đã và đang liên tục nâng cấp hệ thống công nghệ thông tin cho hình thức thanh toán trực tuyến để bảo vệ khách hàng khỏi các rủi ro và các trường hợp tấn công xấu nhất.
Tuy nhiên, một trong những phương pháp mạnh mẽ nhất chính là trách nhiệm và ý thức khi tham gia thanh toán trực tuyến của người dùng, bởi họ chính là những người thực hiện các giao dịch trực tiếp một cách thường xuyên. Khi người dùng phối hợp với ngân hàng trong việc tuân thủ các quy định và phương pháp đã đề ra, việc bảo vệ an toàn trong thanh toán trực tuyến đối với người dùng sẽ đạt hiệu quả cao nhất.
Trần Anh Tú
17:00 | 20/06/2022
14:00 | 25/07/2022
16:00 | 29/08/2022
09:00 | 25/05/2022
09:00 | 09/06/2022
11:00 | 29/02/2024
Thủ tướng Chính phủ vừa ký Chỉ thị số 09/CT-TTg ngày 23/2/2024 về tuân thủ quy định pháp luật và tăng cường bảo đảm an toàn hệ thống thông tin theo cấp độ.
14:00 | 20/02/2023
Năm 2022, Thủ tướng Chính phủ tiếp tục ban hành các Quyết định, Chỉ thị về phát triển Chính phủ điện tử, chuyển đổi số quốc gia thể hiện sự quyết tâm, quyết liệt trong việc xây dựng thành công Chính phủ điện tử, hướng tới Chính phủ số, nền kinh tế số, xã hội số tại Việt Nam. Trong đó, chữ ký số chuyên dùng Chính phủ tiếp tục đóng vai trò quan trọng, góp phần đảm bảo an toàn các giao dịch điện tử, tạo môi trường làm việc hiện đại, nâng cao hiệu quả công việc.
14:00 | 17/02/2023
Theo Bộ Thông tin và Truyền thông, trong tháng 1/2023, các Bộ, ngành, địa phương tiếp tục đẩy mạnh cung cấp dịch vụ công trực tuyến theo hướng toàn trình quy định tại Nghị định số 42/2022/NĐ-CP ngày 24/6/2022 của Chính phủ quy định về việc cung cấp thông tin và dịch vụ công trực tuyến của cơ quan nhà nước trên môi trường mạng.
07:00 | 14/11/2022
Tọa đàm với chủ đề: “Vai trò chữ ký số chuyên dùng trong thời kỳ chuyển đổi số quốc gia” dự kiến sẽ được Tạp chí An toàn thông tin tổ chức vào ngày 15/11 sẽ giúp quý vị độc giả có thể hiểu rõ hơn về kết quả triển khai chữ ký số chuyên dùng trong thời gian qua và những tác động của công tác này tới công cuộc chuyển đổi số quốc gia.
Microsoft đã thông báo rằng người dùng Windows hiện có thể đăng nhập vào tài khoản khách hàng (consumer accounts) của họ bằng Passkey, cho phép người dùng xác thực bằng các phương pháp không cần mật khẩu như Windows Hello, khóa bảo mật FIDO2, dữ liệu sinh trắc học (quét khuôn mặt hoặc dấu vân tay) hoặc mã PIN thiết bị.
10:00 | 08/05/2024
Một trong những ưu tiên của Cơ quan Kỹ thuật số Italia giai đoạn hiện nay là triển khai ví ID kỹ thuật số chứa các tài liệu do chính phủ cấp, cũng như tăng tốc và điều chỉnh việc sử dụng AI trong khu vực công.
10:00 | 14/05/2024