Theo đó, Thống đốc Ngân hàng Nhà nước Việt Nam vừa ban hành thông tư 35 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet. Thông tư 35 thay thế Thông tư 29, có nhiều điều khoản siết chặt hơn về an ninh ngân hàng.
Cụ thể, theo thông tư mới này, các tài khoản phải được xác thực tối thiểu bằng tên đăng nhập và mã khoá bí mật, trong đó tên đăng nhập có độ dài tối thiểu 6 ký tự, không được sử dụng toàn bộ ký tự trùng nhau hoặc liên tục theo thứ tự trong bảng chữ cái, chữ số.
Mã khoá bí mật cũng phải có độ dài tối thiểu 6 ký tự, bao gồm chữ và số, chứa chữ hoa có ký tự đặc biệt. Thời gian hiệu lực của mã khoá bí mật tối đa là 12 tháng kể từ ngày lập.
Đồng thời, thông tư 35 đặc biệt nhắc tới việc các quy định về sử dụng mật khẩu 1 lần (mã OTP) gửi qua tin nhắn SMS hoặc thư điện tử để xác thực các giao dịch ngân hàng.
Theo đó, khi người dân thực hiện các giao dịch ngân hàng cần sử dụng mã OTP gửi qua tin nhắn SMS, các ngân hàng sẽ phải gửi kèm thông tin cảnh báo để người dân nhận biết được mục đích của mã OTP trong các giao dịch ngân hàng. Sau 5 phút không được sử dụng, mã OTP sẽ không có hiệu lực.
Đối với việc thực hiện các giao dịch ngân hàng và xác thực bằng thẻ, OTP sẽ có thời hạn sử dụng tối đa một năm kể từ ngày đăng ký thẻ, và mã OTP khi được cung cấp cũng chỉ có hiệu lực trong vòng 2 phút.
Đối với mã OTP được tạo từ phần mền cài đặt trên thiết bị di động, các ngân hàng phải cũng cấp rõ dường dẫn trên website hoặc kho ứng dụng để người dân tải và cài đặt phần mềm tạo OTP. Theo Ngân hàng Nhà nước, việc này sẽ giúp tránh trường hợp kẻ gian lợi dụng tạo các website giả mạo lừa đảo chiếm đoạt thông tin khách hàng.
Phần mềm tạo OTP phải sử dụng mã khoá do đơn vị cung cấp để kích hoạt trước khi sử dụng. Một mã khoá chỉ được sử dụng cho một máy di động. Phần mềm tạo OTP phải được kiểm soát truy cập. Nếu xác thực truy cập sai 5 lần liên tiếp, ngân hàng phải tự động khoá không cho khách hàng sử dụng tiếp. Khi đã được cung cấp, mã OTP sẽ có hiệu lực trong vòng 2 phút.
Trường hợp người dân xác thực giao dịch chuyển, rút tiền bằng chữ ký số, phải sử dụng chữ ký số và dịch vụ chứng thực chữ ký số của ngân hàng cung cấp dịch vụ theo quy định của pháp luật về chữ ký số và dịch vụ chứng thực.
Thông tư mới sẽ có hiệu lực thi hành từ 1/7/2017.
V.Phan