Sự phát triển không ngừng của thương mại điện tử trong những năm gần đây đã tạo sự liên kết mật thiết giữa người tiêu dùng và doanh nghiệp. Trên thực tế, do đại dịch Covid-19 một số lượng người dùng kỷ lục đã thực hiện các giao dịch mua sắm trực tuyến tại nhà, với doanh thu thương mại điện tử toàn cầu đạt 4,28 nghìn tỷ USD vào năm 2020 và dự đoán sẽ tiếp tục tăng trưởng lên 5,4 nghìn tỷ USD vào năm 2022.
Nhưng điều gì tạo nên một giải pháp thanh toán trực tuyến thực sự an toàn và làm cách nào để các nhà cung cấp dịch vụ và nhà cung cấp dịch vụ trực tuyến có thể cải thiện bảo mật và bảo vệ khách hàng của họ?
Bài viết này sẽ giới thiệu tới độc giả cách thức hoạt động của hệ thống thanh toán trực tuyến và các giải pháp thanh toán trực tuyến an toàn trong các ngân hàng.
Các thông tin chi tiết kiểm tra được cung cấp trong quá trình giao dịch có thể giúp xác định một giao dịch có khả năng gian lận và bảo vệ doanh nghiệp trước khi gian lận xảy ra. Dịch vụ xác minh địa chỉ (Address Verification Service - AVS) thực hiện so sánh địa chỉ IP của người dùng tương ứng với vị trí địa lý và địa chỉ thanh toán của thẻ tín dụng được sử dụng để đảm bảo rằng khách hàng là chủ thẻ.
SSL (Secure Sockets Layer) và TLS (Transport Layer Security) là các giao thức xác thực và mã hóa dữ liệu trên Internet. Bảo mật các giao dịch bằng giao thức SSL nhằm đảm bảo rằng thông tin nhạy cảm được mã hóa và chỉ người nhận mới có thể truy cập được.
Mã hóa không phải là cách duy nhất để che giấu giá trị số nhận dạng tài chính vì thông tin mã hóa được truyền đi giữa các máy trạm khác nhau, điều này có thể làm cho dữ liệu khi bị đánh cắp vẫn có thể bị giải mã (ví dụ như có một số hàm mật mã băm đã bị bẻ khóa như các phiên bản trước của SHA). Tuy nhiên, với sự phát triển của các hệ mật mã mới mạnh hơn, điều này được cải thiện và kẻ tấn công khó có thể lấy dữ liệu.
Tokenization là một quá trình mà trong đó thông tin thanh toán nhạy cảm của người sử dụng được thay thế bằng một tập hợp các ký tự được gọi là token và các token này sẽ không ảnh hưởng đến tính an toàn trong các giao dịch trực tuyến và di động. Các máy khách sẽ thực hiện truyền mã token, thay vì dữ liệu thông tin gốc quan trọng, điều này khiến dữ liệu sẽ không thể bị đánh cắp hoặc không có giá trị đối với kẻ tấn công.
Tội phạm mạng sẽ cố gắng truy cập vào tài khoản người dùng bằng cách kết hợp các thông tin thường sử dụng hoặc liên quan tới người dùng như tên, ngày sinh và các từ trong tập hợp từ điển. Bảo vệ tài khoản của khách hàng bằng các yêu cầu mật khẩu mạnh có thể thêm một lớp hàng rào bảo vệ cho người dùng.
Trong trường hợp khách hàng không thể nhớ mật khẩu, cần phải có một quy trình xử lý việc quên mật khẩu nhằm cho phép người sử dụng truy cập vào tài khoản của mình.
3D Secure là một phương pháp xác thực được thiết kế để ngăn chặn việc sử dụng trái phép thẻ và bảo vệ nhà cung cấp thương mại điện tử khỏi các khoản bồi thường trong trường hợp có giao dịch gian lận. Người bán hàng, tổ chức cung cấp dịch vụ mạng thẻ thanh toán và tổ chức tài chính chia sẻ thông tin để xác thực giao dịch.
Khi người dùng thực hiện thanh toán cho một giao dịch mua sắm trực tuyến, công nghệ 3D Secure sẽ đánh giá xem có cần bảo vệ an toàn thêm hay không nhằm đảm bảo rằng người dùng đó chính là chủ sở hữu thẻ hợp pháp. Nếu đúng là người sở hữu, người dùng sẽ được chuyển đến trang 3D Secure và được yêu cầu nhập mật khẩu hoặc mã PIN. Đồng thời, ngân hàng của người dùng đó sẽ thực hiện tạo mã PIN một lần và gửi đến điện thoại thông qua SMS. Đây là mã PIN mà người dùng cần nhập trước khi có thể hoàn tất giao dịch. Tất cả những nhà cung cấp dịch vụ phải tuân thủ luật mới của Liên minh Châu Âu để đảm bảo tính xác thực mạnh cho khách hàng sử dụng và 3D Secure là một cách hiệu quả để thực hiện công việc này.
Thanh toán thẻ trực tuyến thông thường có thể được xử lý bằng cách nhập thông tin trên thẻ như số thẻ tín dụng và ngày hết hạn. Tuy nhiên, bằng cách áp dụng phương thức 3D Secure, mật khẩu chỉ do chính người dùng biết sẽ được yêu cầu để xác thực ngoài thông tin trên thẻ. Do đó, nó sẽ ngăn chặn các hành vi gian lận như giả mạo khi bị đánh cắp dữ liệu thẻ tín dụng.
Mã bảo mật thẻ (Card Verification Value - CVV) có thể được sử dụng để xác thực các giao dịch không sử dụng thẻ trên điện thoại hoặc thông qua phương pháp thanh toán trực tuyến. Nếu số thẻ tín dụng bị đánh cắp, việc yêu cầu thông tin chỉ có trên thẻ có thể giúp nhà cung cấp dịch vụ xác thực thanh toán
Xác thực khách hàng hiệu lực cao (Strong Customer Authentication - SCA) được sử dụng nhằm giảm thiểu mức độ gian lận, giúp tăng cường tính bảo mật trong thanh toán trực tuyến và yêu cầu hai hoặc nhiều yếu tố trong quá trình xác thực, thông qua một đối tượng mà người dùng biết (mật khẩu hoặc mã PIN), một đồ vật mà người dùng sở hữu (điện thoại thông minh) hoặc một đặc điểm nhận dạng của riêng người dùng (dấu vân tay hoặc nhận dạng giọng nói).
Nhà cung cấp dịch vụ cần sử dụng một cổng thanh toán để phát hiện và quản lý gian lận. Các cơ chế giám sát gian lận đã được tích hợp sẵn có thể giúp xác định vị trí có thể có rủi ro thực sự trong việc mua gian lận. Các doanh nghiệp có thể đặt ra các quy tắc, dựa trên tình hình và khả năng chấp nhận rủi ro, hạn chế hoặc từ chối các giao dịch được coi là có rủi ro quá cao hoặc yêu cầu phê duyệt thủ công trước khi giao dịch hoàn tất.
Việc tuân thủ PCI là một phần quan trọng trong việc thực hiện thanh toán bằng thẻ. Tất cả những người cung cấp dịch vụ từ các tập đoàn lớn nhất thế giới đến các cửa hàng Internet nhỏ chấp nhận thanh toán bằng thẻ tín dụng (trực tuyến hoặc ngoại tuyến) đều phải tuân thủ Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS).
PCI DSS là một framework bao gồm 12 yêu cầu kỹ thuật và vận hành do Tiêu chuẩn bảo mật PCI đặt ra cho các doanh nghiệp lưu trữ, xử lý hoặc truyền dữ liệu thanh toán bằng thẻ. Mỗi công ty cung cấp dịch vụ thẻ đều có các quy tắc riêng cần tuân thủ, xác nhận và thực thi.
Nhà cung cấp dịch vụ có chức năng xử lý, lưu trữ hoặc truyền dữ liệu thẻ tín dụng bắt buộc phải tuân thủ PCI. Hậu quả của việc vi phạm dữ liệu đối với một doanh nghiệp không tuân thủ là rất lớn và có thể bao gồm các khoản tiền phạt và hình phạt tốn kém, bên cạnh những thiệt hại đáng kể về danh tiếng.
Các tổ chức xử lý thanh toán đóng một vai trò quan trọng trong việc giúp nhà cung cấp dịch vụ quản lý và duy trì mức độ tuân thủ, nhưng các doanh nghiệp nên đóng vai trò chủ động để hiểu rõ về các nghĩa vụ và các yêu cầu tuân thủ của họ.
Không ít những vụ lừa đảo thông qua thanh toán trực tuyến xuất phát từ việc người dùng không hiểu đúng về các nguyên tắc, cũng như các kiến thức cơ bản về an toàn mạng trong việc sử dụng ứng dụng. Việc hướng dẫn người dùng về những kiến thức cơ bản trong ứng dụng thanh toán trực tuyến của các ngân hàng là điều cần thiết, bởi điều này giúp cho cả hai bên bảo vệ quyền lợi chính đáng.
Bất kỳ hình thức thanh toán nào cũng sẽ tiềm ẩn những rủi ro không mong muốn và thanh toán trực tuyến trong ngành ngân hàng cũng không phải ngoại lệ. Với công nghệ hiện tại, các ngân hàng và các tổ chức tài chính đã và đang liên tục nâng cấp hệ thống công nghệ thông tin cho hình thức thanh toán trực tuyến để bảo vệ khách hàng khỏi các rủi ro và các trường hợp tấn công xấu nhất.
Tuy nhiên, một trong những phương pháp mạnh mẽ nhất chính là trách nhiệm và ý thức khi tham gia thanh toán trực tuyến của người dùng, bởi họ chính là những người thực hiện các giao dịch trực tiếp một cách thường xuyên. Khi người dùng phối hợp với ngân hàng trong việc tuân thủ các quy định và phương pháp đã đề ra, việc bảo vệ an toàn trong thanh toán trực tuyến đối với người dùng sẽ đạt hiệu quả cao nhất.
Trần Anh Tú
17:00 | 20/06/2022
09:00 | 09/06/2022
09:00 | 25/05/2022
14:00 | 25/07/2022
14:00 | 03/06/2022
Đề án "Phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến 2030" với mục tiêu cụ thể với ngành thuế là hoàn thành việc kết nối, chia sẻ dữ liệu giữa Cơ sở dữ liệu quốc gia về dân cư và Cơ sở dữ liệu thuế trong quý I/2022; Phục vụ xác thực thông tin về người nộp thuế trong giải quyết thủ tục hành chính lĩnh vực thuế, giúp 100% người nộp thuế không phải khai báo lại các thông tin thay đổi đã có trong cơ sở dữ liệu quốc gia về dân cư.
22:00 | 01/01/2022
Khi các tổ chức/doanh nghiệp (TC/DN) chuyển đổi số công việc kinh doanh và tự động hóa các hoạt động, thì rủi ro an ninh mạng (ANM) sẽ ngày càng gia tăng. Dưới đây là một số khuyến nghị sẽ giúp các doanh nghiệp cung cấp dịch vụ ANM có thể hỗ trợ cho các TC/DN có được một kế hoạch chuyển đổi số an toàn.
11:00 | 11/09/2021
Với các chiến dịch tiêm chủng vắc-xin COVID-19 đang tiếp tục diễn ra gấp rút ở các quốc gia trên thế giới, một cuộc tranh luận toàn cầu đang nổi lên về ý tưởng phát hành tài liệu số thể hiện tình trạng tiêm chủng của mỗi cá nhân. Mục đích đầu tiên được đưa ra bởi các quốc gia đã thực hiện tốt việc tiêm chủng vắc-xin COVID-19 (trong đó có Israel) và các ngành công nghiệp du lịch, nhằm cung cấp một phương thức để mở lại các tuyến du lịch trong nước và du lịch quốc tế một cách an toàn hơn.
15:00 | 19/07/2021
Đó là số liệu do Cục Chứng thực số và Bảo mật thông tin, Ban Cơ yếu Chính phủ theo dõi và thống kê qua Hệ thống giám sát chữ ký số toàn quốc của Cục.
09:00 | 13/06/2022|Mật mã dân sự
17:00 | 10/06/2022|Giải pháp khác
09:00 | 09/06/2022|Chính sách - Chiến lược
09:00 | 09/06/2022|Hacker / Malware
Có nhiều loại chữ ký điện tử, với các mức độ phức tạp về kỹ thuật và bảo mật khác nhau. Đương nhiên, người dùng có xu hướng mặc định sử dụng chữ ký có mức bảo mật cao nhất, mặc dù có thể vượt quá mức cần thiết cho nhu cầu và có thể phản tác dụng. Bài báo giới thiệu ba loại chữ ký, nêu lên sự khác biệt giữa ba cấp độ hiện có của chữ ký điện tử và tính hữu dụng của chúng sẽ thay đổi tùy thuộc vào loại tài liệu được ký.
15:00 | 02/11/2021
Tỉnh Long An hiện đang thúc đẩy mạnh mẽ quá trình chuyển đổi số, tạo nền tảng phát triển chính quyền số, kinh tế số và xã hội số, hướng tới Long An số, một Long An phát triển, hiện đại, xứng tầm.
13:00 | 08/08/2022
