Ra mắt Nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng đáp ứng yêu cầu kết nối, chia sẻ thông tin

Ngày 03/7/2020, tại Hà Nội, Bộ TT&TT đã tổ chức Lễ ra mắt “Nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng (SOC) đáp ứng yêu cầu kết nối, chia sẻ thông tin”. Thứ trưởng Nguyễn Thành Hưng tới dự và phát biểu tại sự kiện. Tham dự còn có đại diện các cơ quan chuyên trách CNTT, ATTT của một số Bộ, ngành, 63 Sở TT&TT trên cả nước (theo hình thức trực tuyến), đại diện các doanh nghiệp an toàn thông tin. Phát biểu tại lễ ra mắt, Thứ trưởng Nguyễn Thành Hưng nhận định, các Nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng (SOC) đáp ứng yêu cầu kết nối, chia sẻ thông tin được giới thiệu trong lễ ra mắt hôm nay đều là những nền tảng do doanh nghiệp Việt Nam phát triển, đã sẵn sàng cung cấp dịch vụ ra thị trường và kết nối, chia sẻ thông tin với hệ thống giám sát an toàn không gian mạng quốc gia. Tám doanh nghiệp Việt Nam đã đáp ứng các yêu cầu, tiêu chí của Bộ TT&TT gồm: Công ty Cổ phần Công nghệ SAVIS; Công ty An ninh mạng Viettel; Trung tâm An toàn thông tin VNPT; Trung tâm An ninh mạng, Tập đoàn công nghệ BKAV; Công ty TNHH Hệ thống Thông tin FPT (FPT IS); Công ty CMC Cyber Security; Công ty Cổ phần an toàn thông tin CyRadar (CyRadar) và Công ty cổ phần công nghệ Giải pháp quốc tế VNCS Global. Theo Thứ trưởng Nguyễn Thành Hưng, các nền tảng cung cấp dịch vụ Trung tâm điều hành an toàn, an ninh mạng (SOC) đáp ứng yêu cầu kết nối, chia sẻ thông tin sẽ giúp các Bộ, ngành, địa phương rút ngắn thời gian 90% khối lượng, thời gian triển khai mô hình “4 lớp”, lựa chọn nền tảng cung cấp dịch vụ SOC đáp ứng yêu cầu kết nối, chia sẻ thông tin sẽ bảo đảm hoàn thành 02 lớp quan trọng trong mô hình “4 lớp” là lớp 2 và lớp 4. Các nền tảng này sẽ góp phần kích cầu thị trường cung cấp giải pháp, dịch vụ giám sát ATTT nói riêng và thị trường ATTT nói chung, thúc đẩy phát triển kinh tế, hỗ trợ các cơ quan, doanh nghiệp chuyển đổi, giúp các doanh nghiệp Việt Nam đẩy mạnh đầu tư các giải pháp, công nghệ tiên tiến, tiến tới làm chủ và hình thành hệ sinh thái các sản phẩm ATTT “Make in Vietnam”. Với các nền tảng đã đạt được các tiêu chí của Bộ TT&TT, chủ quản của các hệ thống thông tin sẽ được sử dụng các dịch vụ chuyên nghiệp, chất lượng cao, tin cậy của các doanh nghiệp Việt Nam và có sự giám sát chéo của cơ quan quán lý nhà nước là Cục ATTT, Bộ TT&TT. Thứ trưởng khẳng định: “Sự kiện này đánh dấu một bước quan trọng trong chiến lược “Make in Vietnam”, một lần nữa khẳng định các doanh nghiệp Việt Nam đủ năng lực nghiên cứu, phát triển và đã sẵn sàng cung cấp dịch vụ đảm bảo an toàn, an ninh mạng cho thị trường trong nước và có khả năng vươn ra thế giới”. Nhận định về thực tiễn triển khai hệ thống điều hành an toàn, an ninh mạng (SOC) tại Việt Nam, đại diện Cục An toàn Thông tin cho biết, hoạt động giám sát không đồng bộ, chưa sát thực chất, dẫn tới hiệu quả trong thực tế không cao. Các đơn vị triển khai theo các cách khác nhau, phần lớn không đồng bộ, chỉ triển khai ở mức mạng. Không có các kênh chia sẻ, trao đổi cập nhật thông tin về các nguy cơ. Ngoài ra, đội ngũ nhân lực chuyên trách an toàn, an ninh mạng ở các địa phương, bộ ngành còn rất hạn chế. Rất it đơn vị có giám sát 24/7 cũng như nhân sự “cứng” để xử lý các sự cố tấn công mạng nguy hiểm, có chủ đích. Nguồn lực cho công tác giám sát an toàn, an ninh mạng hạn chế, lại phân bổ, dàn trải, không đều. Hơn nữa, thị trường giám sát còn hạn chế, các doanh nghiệp tham gia triển khai dịch vụ không nhiều. Tại buổi lễ ra mắt, đại diện từ các Sở TT&TT và đại diện Cục ATTT cũng như các doanh nghiệp ATTT đã có nhiều trao đổi, giải đáp thắc mắc liên quan đến SOC. Khi được hỏi về những ưu việt của sản phẩm ATTT Việt Nam so với sản phẩm nước ngoài, các doanh nghiệp đều chia sẻ rằng, khi gặp sự cố, nếu liên hệ với bộ phận hỗ trợ của các hãng bảo mật nước ngoài thì phải chờ tối thiểu 8 giờ đồng hồ. Còn đối với sản phẩm Việt Nam, sự hỗ trợ là ngay lập tức và 24/7. Đây là một ưu điểm lớn. Ngoài ra, sản phẩm ATTT Việt Nam nếu cần điều chỉnh có thể đáp ứng được dễ dàng hơn trong khi các sản phẩm của nước ngoài bán trên toàn cầu sẽ có một số trở ngại. SAVIS Ông Nguyễn Thành Phúc – Cục trưởng Cục ATTT cũng nêu ra một câu hỏi chung mà nhiều tỉnh thành thắc mắc, đó là nên đầu tư hay nên thuê SOC. Quan điểm của Cục ATTT là phương án thuê là tốt nhất. Nếu không đủ nguồn lực thuê thì có thể đầu tư trang thiết bị, nhưng nên thuê nhân sự của doanh nghiệp ATTT vận hành, ông Phúc cho hay. Theo Bộ Thông tin và Truyền thông, số ra ngày 03/07/2020 https://mic.gov.vn/Pages/TinTuc/tinchitiet.aspx?tintucid=143083
SAVIS khai trương Trung tâm Giám sát An ninh mạng SAVIS Cyber Security và Ra mắt Hệ giải pháp Chuyển đổi số

Ngày 25/6/2020, tại Hà Nội, Công ty Cổ phần Công nghệ SAVIS đã tổ chức Lễ khai trương Trung tâm Giám sát An ninh mạng SAVIS Cyber Security và ra mắt Hệ giải pháp Chuyển đổi số. Sự kiện đã cho thấy sự sáng tạo và nỗ lực không ngừng của SAVIS nhằm mang đến cho khách hàng những sản phẩm – dịch vụ công nghệ thông tin “Make in Vietnam” chất lượng, đủ sức cạnh tranh trên thị trường. Lễ Khai trương Trung tâm Giám sát An ninh mạng SAVIS Cyber Security và ra mắt Hệ giải pháp Chuyển đổi số có sự tham gia và chứng kiến của lãnh đạo Bộ Thông tin và Truyền thông, các cơ quan trực thuộc Bộ, Ban, Ngành Trung ương và các tổ chức, doanh nghiệp Tài chính – Ngân hàng, Truyền hình – Viễn thông, Y tế, Giáo dục… trên cả nước. Trung tâm Giám sát An ninh mạng SAVIS Cyber Security đi vào hoạt động đánh dấu bước tiến quan trọng của SAVIS khi trở thành đơn vị tiên phong cung cấp hệ thống sản phẩm – dịch vụ an toàn thông tin mạng toàn diện, đảm bảo tuân thủ các quy định về hoạt động giám sát an toàn hệ thống thông tin theo Nghị định số 85/2016/NĐ-CP, Thông tư số 31/2017-BTTTT, Công văn số 2973/BTTTT-CATTT của Bộ Thông tin và Truyền thông. SAVIS CYBER SECURITY – Nền tảng công nghệ 4.0 và quy trình vận hành nghiêm ngặt Phát biểu tại buổi lễ, ông Hoàng Nguyên Vân – Tổng Giám đốc Công ty SAVIS nhấn mạnh: “Chúng tôi tự hào khi đã tự phát triển thành công một Trung tâm Giám sát An ninh mạng trên nền tảng công nghệ tiên tiến và quy trình vận hành nghiêm ngặt theo tiêu chuẩn ISO 27001, ISO 20000, ITSM. Giờ đây, SAVIS tự tin có thể sẵn sàng kiểm soát, ngăn chặn, truy vết và ứng cứu 24/7 mọi sự cố an ninh mạng cũng như những đợt phát tán mã độc có chủ đích đối với hệ thống thông tin của tổ chức”. SAVIS Cyber Security có khả năng thực chiến mạnh mẽ bởi một đội ngũ nhân sự giàu kinh nghiệm thực tiễn với hơn 15 năm hoạt động trong lĩnh vực công nghệ thông tin, một kiến trúc hoạt động chặt chẽ có sự tích hợp của nhiều giải pháp công nghệ 4.0 hiện đại như: Trí tuệ nhân tạo AI, Machine learning, Deep Learning, Elastic Search, Dữ liệu lớn Big Data… cùng khả năng tối ưu hoá khả năng vận hành, tương tác giữa con người và hệ thống thông tin. Các tổ chức, doanh nghiệp sẽ tránh được những tổn thất lên đến hàng triệu đô la, ngăn ngừa nguy cơ bị đánh cắp dữ liệu người dùng từ những đợt tấn công an ninh mạng. Chung tay cùng Chính phủ – Đồng hành cùng doanh nghiệp chuyển đổi số Cũng trong dịp này, SAVIS đã ra mắt Hệ giải pháp Chuyển đổi số toàn diện, đáp ứng mọi nhu cầu từ đơn giản đến phức tạp của tổ chức doanh nghiệp. Những hoàn cảnh đặc biệt như đại dịch toàn cầu, đóng cửa biên giới hay giãn cách xã hội đã cho thấy công nghệ thông tin và ứng dụng số tạo ra phương thức sản xuất, kinh doanh hiệu quả và trong nhiều trường hợp là lựa chọn duy nhất để phát triển. Không một tổ chức, doanh nghiệp nào có thể đứng ngoài cuộc chơi chuyển đổi số nếu muốn mở rộng sức sản xuất, giảm thiểu chi phí và gia tăng lợi nhuận. Xuất phát từ nhu cầu cấp thiết đó, SAVIS phát triển một hệ giải pháp số mới có thể giúp tổ chức, doanh nghiệp chuyển đổi từ quy trình thủ công với hồ sơ, tài liệu bản giấy sang môi trường số với hệ thống định danh, xác thực điện tử, ký số, tự động hóa quy trình đến lưu trữ điện tử, lưu trữ điện tử lâu dài, chứng thực điện tử, sao y công chứng tài liệu điện tử trong tổ chức, đem đến trải nghiệm 100% không giấy tờ cho người dùng. 1. Bộ giải pháp all-in-one đầu tiên tại Việt Nam Bộ giải pháp all-in-one đầu tiên tại Việt Nam bao gồm: SAVIS Signing BOX, SAVIS eArchive BOX, SAVIS PKI BOX có thể đồng thời giải quyết hai bài toán căn bản là chi phí và an toàn, bảo mật. Bộ giải pháp này sẽ giúp tổ chức, doanh nghiệp xây dựng hệ thống ký số, lưu trữ điện tử, hạ tầng khóa công khai chuyên dùng, tích hợp máy chủ, phần cứng, phần mềm trên một thiết bị duy nhất, giúp tiết kiệm chi phí, cài đặt nhanh chóng và vận hành dễ dàng. Tính an ninh, bảo mật được đảm bảo bởi những thiết bị phần mềm và phần cứng đáp ứng đầy đủ các quy định về ký số, chứng thực chữ ký số, lưu trữ điện tử của Việt Nam cũng như các tiêu chuẩn châu Âu và Mỹ như eIDAS, ESIGN, CEN/ETSI, Cloud Signature Consortium (CSC). Bộ ba có khả năng tích hợp không giới hạn với các hệ thống thông tin sẵn có của doanh nghiệp qua API, khả năng mở rộng linh hoạt, đồng thời hỗ trợ các chuẩn ký nâng cao như CAdES, PadES, XadES,… cũng như gắn đóng dấu thời gian Timestamp, chuẩn LTV, LTANS cho lưu trữ lâu dài và chứng thực tài liệu điện tử, cho phép lưu trữ, quản lý tài liệu chất lượng cao từ 10 năm, 20 năm, 50 năm hoặc vĩnh viễn. Hệ giải pháp được phát triển trên nền tảng của Giải pháp Chứng thực và ký số TrustCA, hệ thống ký số bảo mật SAVIS Signing Server, Giải pháp số hoá và Lưu trữ điện tử tập trung trên nền tảng Big Data – SAVIS eArchive.
NEAC yêu cầu các CA nghiêm túc tuân thủ hướng dẫn về dịch vụ chứng thực chữ ký số từ xa và chữ ký số trên thiết bị di động

Trước thông tin, một số CA cung cấp dịch vụ ký số trên thiết bị di động, ký số từ xa cho khách hàng khi chưa được kiểm tra kỹ thuật đáp ứng tiêu chuẩn, NEAC đã ra yêu cầu các CA thực hiện nghiêm túc hướng dẫn triển khai dịch vụ quy định tại Công văn số 190/NEAC-TĐCP ngày 07/5/2020.
SAVIS LGSP 2.0 giành TOP 10 Sao Khuê 2020

Với sự nổi trội cả về nền tảng công nghệ và sự hiệu quả trong phương án kinh doanh, phát triển thị trường,Giải pháp Nền tảng chia sẻ, tích hợp dữ liệu – SAVIS LGSP 2.0 đã xuất sắc lọt TOP 10 Sao Khuê 2020.
SAVIS thắng lớn tại Lễ trao Danh hiệu Sao Khuê 2020

SAVIS thắng lớn tại Lễ trao Danh hiệu Sao Khuê 2020 khi có đến 4 sản phẩm – giải pháp được vinh danh, trong đó Giải pháp Nền tảng chia sẻ, tích hợp dữ liệu – SAVIS LGSP 2.0 xuất sắc lọt TOP 10 Sao Khuê 2020.
Ký số đáp ứng CC EAL4+ đối với EN 419241-2 Protection Profile đầu tiên trên thế giới

Ký số đang là xu thế mới trên thị trường – giải pháp cho phép người dùng cấp quyền ký ngay trên thiết bị di động, không cần đến Smartcard hay USB Token. Cùng với độ tin cậy cao, giải pháp ký số từ xa hứa hẹn đem tới trải nghiệm tối ưu cho người dùng. Được thiết kế với mô hình Dịch vụ tin cậy Đảm bảo (QTSPs), Ascertia ADSS SAM cho phép cài đặt và cung cấp dịch vụ ký số từ xa cho khách hàng. Song hành với Ascertia SigningHub và các sản phẩm ADSS Server, QTSPs Remote Signing hiện có thể cung cấp dịch vụ ký số từ xa toàn diện từ Hệ thống CA, phần mềm ký số tư xa/ký số local USB/…, Hệ thống TSA/OCSP và giải pháp ký số cho lưu trữ điện tử/lưu trữ lâu dài LTAN hoặc tích hợp (ví dụ như trường hợp một số tổ chức yêu có hạ tầng cung cấp dịch vụ chữ ký số PKI sẵn có). Quy định eIDAS (910/2014) và điều luật EN 419241-2 Protection Profile về Ký số từ xa yêu cầu mức độ tin cậy cao nhất, đảm bảo cặp khóa của người sử dụng dịch vụ ký số từ xa chỉ thuộc quyền kiểm soát của chủ sở hữu (Sole control). Ascertia đã xây dựng thành công sản phẩm ADSS SAM và ứng dụng ADSS GOSign Mobile App, từ đó đi đầu và là đơn vị đầu tiên trên thị trường ra mắt giải pháp đáp ứng cho tiêu chuẩn Ký số từ xa tuân thủ theo Thông tư 16/2019/TT-BTTTT quy định về Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa chính thức có hiệu lực từ ngày 01/4/2020 của Bộ Thông tin Truyền thông . Tại Việt Nam, SAVIS/TrustCA là đối tác cấp cao đầu tiên của Ascertia. Hiện tại, SAVIS/TrustCA cung cấp phần mềm ký số Ascertia ADSS và Thiết bị HSM của nCipher tuân thủ toàn bộ các quy định của Thông tư 16/2019/TT-BTTT áp dụng cho các Nhà cung cấp dịch vụ chứng thực chữ ký số từ xa. Đi kèm với đó là các giải pháp phần mềm về ký số, định danh điện tử, vốn là thế mạnh của SAVIS/TrustCA như: SAVIS Mobile Signing, SAVIS Mobile ID, TrustCA Cloud HSM, SAVIS Signing Server và Dịch vụ Chứng thực chữ ký số công cộng TrustCA cho các cá nhân, tổ chức, tuân thủ quy định eIDAS của Liên minh châu Âu – EU, nay đáp ứng thêm Chứng chỉ CC EAL4+ đối với EN 419241-2 Protection Profile theo tiêu chuẩn ký số từ xa. Song song SAVIS cung cấp các giải pháp HSM của hãng nCipher, Utimaco, Safenet theo tiêu chuẩn FIPS 140-2 level 3 hoặc cao hơn. Hiện nay SAVIS, TrustCA là đơn vị duy nhất cung cấp giải pháp HSM đạt tiêu chuẩn eIDAS EN 419221- 5:2018 cho mô hình ký số từ xa, ký số trên thiết bị Mobile của Liên minh châu âu EU cũng như tuân thủ theo tiêu chuẩn kỹ thuật về yêu cầu an ninh đối với khối an ninh phần cứng HSM đối với người dung cho quản lý khóa thuê bao của dịch vụ ký số từ xa theo Thông tư 16/2019/TT-BTTTT. Để biết thêm chi tiết hoặc nhận báo giá, vui lòng liên hệ: Tổng đài 1900 636156 Email: dichvuso@savis.vn Fanpage: https://www.facebook.com/SavisTechnologyGroup Website: www.signinghub.vn / www.savis.vn Tham khảo: >>> HSM của nCipher được cấp Chứng nhận CC EAL4+, tuân thủ eIDAS Protection Profile EN 419 221-5 cho ký số di động, ký số từ xa >>>
SAVIS chung tay ủng hộ phòng, chống dịch Covid-19
Hưởng ứng cuộc vận động cả nước chung tay ủng hộ phòng, chống dịch bệnh Covid-19, SAVIS đã phát động phong trào quyên góp tới toàn thể cán bộ, nhân viên công ty. Toàn bộ số tiền đã được chuyển tới Mặt Trận Tổ Quốc Việt Nam để kịp thời hỗ trợ công tác phòng, chống dịch. Những tháng đầu năm 2020, thế giới đã chứng kiến những diễn biến phức tạp, sự lây lan mạnh mẽ của dịch bệnh Covid-19 đến hơn 200 quốc gia và vùng lãnh thổ. Tổ chức Y tế thế giới WHO đã tuyên bố dịch viêm đường hô hấp cấp Covid-19 là đại dịch toàn cầu. savis Tại Việt Nam, từ khi xuất hiện ca bệnh đầu tiên đến khi những trường hợp dương tính tăng lên từng ngày, Chính phủ và Bộ Y tế đã có những biện pháp kịp thời, huy động mọi lực lượng, kêu gọi toàn dân tham gia phòng, chống dịch. Những quy định về khai báo y tế, kiểm soát xuất nhập cảnh, rà soát, sàng lọc, khoanh vùng, dập dịch, thực hiện giãn cách xã hội, cách ly toàn quốc,… đang chứng tỏ hiệu quả trong việc hạn chế tối đa số ca lây nhiễm. Chiến dịch chống dịch quyết liệt đó đã tạo áp lực rất lớn lên hệ thống y tế và ngân sách quốc gia. Hưởng ứng cuộc vận động cả nước chung tay ủng hộ phòng, chống dịch bệnh Covid-19, SAVIS đã phát động phong trào quyên góp tới toàn thể cán bộ, nhân viên công ty. Với tinh thần đoàn kết, tinh thần tương thân tương ái của người SAVIS, chỉ sau hai ngày phát động, tổng số tiền SAVIS thu được là 15 triệu đồng. Toàn bộ số tiền này đã được chuyển tới Mặt Trận Tổ Quốc Việt Nam để sử dụng vào việc hỗ trợ trang thiết bị y tế, nhu yếu phẩm cần thiết nhằm bảo vệ thầy thuốc và các chiến sĩ công an, bộ đội trực tiếp tiếp xúc với người mắc bệnh, hỗ trợ người nhiễm và nghi nhiễm bệnh phải điều trị, cách ly tập trung, cách ly tại nhà. Chia sẻ về hoạt động này của công ty, bạn Tố Uyên – phòng Kế toán nói: “Đây là hoạt động ý nghĩa tại thời điểm cả nước đang chung tay góp sức chống dịch bệnh. Ngoài ủng hộ tại công ty, mình còn ủng hộ thêm các tổ chức bên ngoài để quyên góp khẩu trang, thiết bị y tế cho những người có hoàn cảnh khó khăn nữa. Mong dịch bệnh sớm qua để được trở về cuộc sống bình thường.” Còn bạn Nhung Nguyễn – bộ phận BDM chia sẻ: “Mong rằng đóng góp nhỏ của mình sẽ góp phần cổ vũ những y bác sỹ, bộ đội ở tuyến đầu chống dịch. Qua đây mình cũng mong muốn mọi người giữ gìn ý thức chung để không những bảo vệ cá nhân, gia đình mình mà còn giúp cộng đồng sớm vượt qua bệnh dịch”. Ngay từ những ngày đầu dịch Covid-19 xuất hiện tại Việt Nam, SAVIS đã chủ động triển khai nhiều biện pháp phòng, chống dịch bao gồm: liên tục cập nhật, phổ biến những khuyến cáo y tế của Bộ Y tế đến toàn bộ CBNV, kiểm tra thân nhiệt hàng ngày, khử trùng văn phòng, trang thiết bị thường xuyên, cung cấp găng tay, nước khử trùng miễn phí, trang bị mặt nạ ngăn giọt bắn, hạn chế tập trung đông người, thực hiện chế độ làm việc luân phiên, họp, báo cáo trực tuyến, phát triển hệ giải pháp công nghệ phục vụ nhu cầu làm việc từ xa tăng cao của cá nhân, tổ chức trong mùa dịch. trustca Cùng nhau lan tỏa những hành động đẹp, truyền tải thông điệp ý nghĩa, nghiêm túc thực hiện những khuyến cáo của Chính phủ, chúng ta tin rằng những ngày tháng bình yên, vắng bóng dịch bệnh sẽ sớm quay trở lại. goinvoice Together, We Win!!! signinghub
Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 4)
IV. 3D Secure 2.0 – Cải thiện đáp ứng SCA trong PSD2 Với Chỉ thị Dịch vụ Thanh toán Điện tử sửa đổi PSD2, các giao dịch điện tử trong lãnh thổ Châu Âu phải Xác thực Định danh Tăng cường SCA cho giao dịch thanh toán điện tử giá trị trên 30EUR hoặc thanh toán không tiếp xúc (Contactless Payment) giá trị trên 50EUR. Để đạt được yêu cầu trên, SCA yêu cầu xác thực giao dịch dựa trên hai trong ba yếu tố: Điều khách hàng biết “Something you know” Điều khách hàng có “Something you own” Điều khách hàng sở hữu riêng “Something you are” · Mật khẩu · Mã pin · Câu hỏi bí mật · Dãy số · Điện thoại · Thẻ thông minh Smartcard · Token · Thiết bị thông minh · Vân tay · Mống mắt · Khuôn mặt · Giọng nói Trước đây, xác thực định danh tăng cường SCA được đáp ứng thông qua giải pháp 3D Secure 1.0 được phát triển bởi Công ty Arcot Systems. Thuật ngữ “3D” trong 3D Secure nhắc tới ba “lĩnh vực” (Domain) hợp tác với nhau trong thanh toán giao dịch thẻ, đó là: – Lĩnh vực thuộc Ngân hàng cung cấp tài khoản giao dịch cho người dùng (user) – Lĩnh vực thuộc Ngân hàng cung cấp tài khoản cho thương nhân (merchant) – Lĩnh vực thuộc Nhà phát hành thẻ (card issuer: Visa, American Express, Mastercard…) Được biết đến với tên gọi “Verified by Visa”, “Mastercard SecureCode” hoặc “American Express Safekey”, 3D Secure 1.0 thực hiện xác thực giao dịch bằng cách chuyển hướng người dùng đến trang bảo mật yêu cầu cung cấp thông tin bổ sung dưới dạng Mật khẩu hoặc Câu hỏi bí mật. Khi người dùng xác minh thành công, giao dịch mới được chấp nhận bởi ngân hàng. “Thông qua 3D Secure 1.0, nhà phát hành thẻ xác thực mật khẩu- “Điều khách hàng biết” và kết hợp với dữ liệu thẻ – “Điều khách hàng có”, đáp ứng yêu cầu hai trong ba yếu tố cấu thành SCA.” Tuy nhiên, 3D Secure 1.0 có những hạn chế nhất định, đặc biệt đối với trải nghiệm người dùng: mật khẩu/câu hỏi bí mật dễ bị nhầm lẫn, chuyển hướng người dùng gây gián đoạn quá trình thanh toán, tăng thời gian cần thiết để nạp trang mới, và chỉ hỗ trợ trên trình duyệt (không thể nạp trong Mobile App). Mặc dù 3D Secure 1.0 tăng cường bảo mật, lớp xác thực bổ sung này cũng gia tăng sự bất tiện, chưa theo kịp công nghệ nền tảng Mobile App. Theo số liệu của nhà phát hành thẻ Visa, 70% người dùng sẽ hủy giao dịch nếu quy trình thanh toán quá mất thời gian. Trang bảo mật thường thấy trên 3D Secure 1.0, yêu cầu nhập mật khẩu từ người dùng 3D Secure 2.0 – Tăng cường bảo mật, trải nghiệm người dùng & hỗ trợ Mobile App Với nhiệm vụ kế thừa tính năng bảo mật của 3D Secure 1.0, phiên bản 3D Secure 2.0 thu thập hơn 100 đầu dữ liệu, bao gồm lịch sử thanh toán, địa chỉ IP, địa chỉ thanh toán, mã số thiết bị… để tính toán rủi ro trong xác thực của một giao dịch điện tử (Risk-based Authentication). Trong trường hợp nhà phát hành thẻ cho rằng dữ liệu đủ để xác minh giao dịch là an toàn, người dùng sẽ không gặp trở ngại và thanh toán được chấp nhận ngay lập tức. Ngược lại, nếu nhà phát hành thẻ nghi ngờ giao dịch, người dùng sẽ phải nhập Mật khẩu/Câu hỏi bí mật tương tự 3D Secure 1.0. Theo số liệu thống kê lịch sử giao dịch từ Mastercard, 90% các giao dịch khi chuyển sang 3D Secure 2.0 sẽ không bị gián đoạn (frictionless), đem lại tiện lợi cho đa số người dùng trong khi đảm bảo yêu cầu bảo mật xác thực SCA. Ngoài ra theo thời gian, tính chính xác của 3D Secure 2.0 sẽ ngày càng được cải thiện nhờ lượng dữ liệu thu thập tăng lên nhanh chóng. Sơ đồ quy trình 3D Secure 2.0 So với 3D Secure 1.0, phiên bản 2.0 của công nghệ xác thực giao dịch mang tới nhiều ưu điểm vượt trội về công nghệ và trải nghiệm người dùng: Hỗ trợ tích hợp Mobile App, cho phép xác thực giao dịch an toàn ngay trong App mà không bị chuyển hướng. Trường hợp giao dịch cần thêm thông tin để xác thực như trong 3D Secure 1.0, cho phép tích hợp xác minh tăng cường ngay trong App không cần chuyển hướng sang trình duyệt. Cho phép ủy thác quản lý rủi ro giao dịch từ bên doanh nghiệp sang nhà phát hành thẻ (Visa, Mastercard…) hoặc tự quản lý rủi ro bằng cách tắt 3D Secure 2.0. Cho phép bên bán sử dụng logo, thương hiệu trong quy trình thanh toán thay vì thương hiệu của bên phát hành thẻ. Cho phép thu thập nhiều dữ liệu (hơn 100 đầu mục) để phục vụ quy trình Phân tích Rủi ro trong Thanh toán (Transaction Risk Analyst – TRA) với hiệu suất vượt trội so với 3D Secure 1.0. Lộ trình 3D Secure 2.0: áp dụng toàn cầu vào 2020 Tháng 4 năm 2019: hai nhà phát hành thẻ lớn nhất thế giới là Visa và Mastercard hối thúc các ngân hàng Châu Âu sẵn sàng cho PSD2 và 3D Secure 2.0. Từ thời điểm tháng 4 năm 2019, nếu một ngân hàng Châu Âu không thể đáp ứng 3D Secure 2.0, ngân hàng đó sẽ phải chịu toàn bộ trách nhiệm rủi ro phát sinh trong giao dịch thay vì doanh nghiệp. Ngày 14 tháng 9 năm 2019: yêu cầu xác thực tăng cường SCA trong PSD2 chính thức áp dụng tại Châu Âu. Bất cứ doanh nghiệp nào thực hiện
Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 3)
Đây là bài viết thứ 3 trong chuỗi bài viết về Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử. Phần này sẽ chi tiết hóa và cung cấp nội dung về PSD2 – Chỉ thị dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu. III. PSD2 – Chỉ thị dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu Quá trình số hóa và chuyển đổi số trong nền kinh tế của EU đem tới nhiều thành phần tham dự vào thanh toán điện tử (ví dụ: tiền ảo, ví điện tử), đồng hành cùng các rủi ro mới nhằm ngoài các văn bản luật hiện hành. Cùng sự phê chuẩn bộ Quy định eIDAS, Liên minh Châu Âu soạn thảo Chỉ thị Dịch vụ Thanh toán sửa đổi PSD2 (tên đầy đủ “Payment Service Directive 2 – Directive 2015/2366) thay thế cho Chỉ thị 2007/64/EC lần đầu vào tháng 7 năm 2013 và chính thức có hiệu lực trên toàn lãnh thổ vào tháng 9 năm 2019. Chỉ thị Dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu nhằm mục đích tăng cường tính bảo mật trong thanh toán điện tử, cải thiện khả năng bảo vệ người tiêu dùng, nâng cao động lực đổi mới sáng tạo và tính cạnh tranh – đồng thời đảm bảo môi trường công bằng cho tất cả các thành phần tham gia vào mô hình giao dịch điện tử (bao gồm cả những đối tượng không được quy định trong phiên bản đầu tiên của Chỉ thị Dịch vụ Thanh toán) 1.Nội dung chính Chỉ thị Dịch vụ Thanh toán sửa đổi có tổng cộng 117 điều khoản, bao hàm những điều khoản chính như sau: – Tăng cường tính minh bạch trong thanh toán điện tử thông qua việc cho phép các tổ chức được ủy quyền truy cập thông tin khách hàng, sử dụng thông tin khách hàng để thu hộ chi hộ (XS2A – Access service to Account). Việc truy cập này được cho phép qua API, nhờ đó giảm thiểu thời gian và quy trình thanh toán điện tử một khi bên thứ ba được ủy quyền thực hiện giao dịch trực tiếp với ngân hàng/tổ chức tín dụng. Tuy nhiên, hiện tại chưa có một cổng Open API chung cho toàn Liên minh Châu Âu mà các ASPSP (các ngân hàng) sử dụng API của riêng mình, tạo nên khó khăn nhất định khi tiếp cận dịch vụ XS2A do số lượng API phát sinh là rất lớn. – Tăng cường định nghĩa về các thành phần mới trong thanh toán điện tử của nền kinh tế số, bao gồm: + Nhà cung cấp dịch vụ thanh toán bên thứ ba (TPP – Third Party Payment Service Providers): Các tổ chức tham gia thanh toán trên danh nghĩa của khách hàng. Trong PSD2, các tổ chức này có thể thực hiện dưới danh nghĩa “Nhà cung cấp dịch vụ thông tin khách hàng” hoặc “Nhà cung cấp dịch vụ khởi tạo thanh toán + Nhà cung cấp dịch vụ quản lý tài khoản trong thanh toán (ASPSP – Account Servicing Payment Service Providers): Các tổ chức cung cấp và cho phép sử dụng tài khoản tài chính (ví dụ: ngân hàng). Các ASPSP có thể là ngân hàng hoặc tổ chức tín dụng.. + Nhà cung cấp dịch vụ thông tin khách hàng (AISP – Account Information Service Providers): Các tổ chức này thống kê tài khoản thanh toán vào một điểm truy cập duy nhất nhằm giúp khách hàng quản lý tài chính tốt hơn (ví dụ: tổ chức quản lý tài chính). + Nhà cung cấp dịch vụ khởi tạo thanh toán (PISP – Payment initiation Service Provider): Các tổ chức cho phép thực hiện thanh toán giao dịch điện tử thông qua phương pháp online (ví dụ: ví điện tử). – Tăng cường tính bảo mật trong thanh toán điện tử thông qua quy định bắt buộc áp dụng Xác thực Định danh Tăng cường (SCA – Strong Customer Authentication) đối với thanh toán điện tử thực hiện trong lãnh thổ Châu Âu. Với PSD2, để đạt quy định về xác thực định danh tăng cường cần có 2 trong 3 yếu tố: điều khách hàng biết – “Something you know” (ví dụ: mã pin), điều khách hàng có – “Something you own” (ví dụ: token) và điều khách hàng sở hữu riêng – “Something you are” (ví dụ: vân tay). Tuy những yêu cầu tăng cường về bảo mật trong SCA được đặt ra nhằm bảo vệ người sử dụng dịch vụ thanh toán điện tử, SCA cũng có những ngoại lệ không áp dụng để đảm bảo tính tiện lợi khi sử dụng dịch vụ, bao gồm: + Giao dịch với giá trị dưới 30 EUR. Mặc dù vậy, SCA vẫn phải được áp dụng cho mỗi 5 lần giao dịch. + Giao dịch định kỳ với khoản thanh toán cố định: trong PSD2 thì SCA chỉ được áp dụng với những giao dịch được khởi tạo bởi người dùng. Các giao dịch định kỳ (trả hóa đơn nhà, hóa đơn nước…) được coi là do nhà cung cấp dịch vụ khởi tạo, vì vậy không yêu cầu xác thực SCA sau lần thanh toán đầu tiên. + Danh sách tin cậy (Whitelist): người sử dụng có thể kích hoạt tính năng “danh sách tin cậy” từ ngân hàng để không sử dụng SCA đối với nhà cung cấp thuộc danh sách. + Giao dịch MOTO (Mail Order and Telephone Orders): các giao dịch gửi qua thư từ và điện thoại không thuộc phạm vi giao dịch điện tử, do đó không phải thực hiện xác thực SCA. + Giao dịch liên khu vực: SCA không áp dụng cho giao dịch nếu người bán và người mua không nằm trong khu vực kinh tế chung Châu Âu. + Giao dịch