SAVIS khai trương Trung tâm Giám sát An ninh mạng SAVIS Cyber Security và Ra mắt Hệ giải pháp Chuyển đổi số
Ngày 25/6/2020, tại Hà Nội, Công ty Cổ phần Công nghệ SAVIS đã tổ chức Lễ khai trương Trung tâm Giám sát An ninh mạng SAVIS Cyber Security và ra mắt Hệ giải pháp Chuyển đổi số. Sự kiện đã cho thấy sự sáng tạo và nỗ lực không ngừng của SAVIS nhằm mang đến cho khách hàng những sản phẩm – dịch vụ công nghệ thông tin “Make in Vietnam” chất lượng, đủ sức cạnh tranh trên thị trường. Lễ Khai trương Trung tâm Giám sát An ninh mạng SAVIS Cyber Security và ra mắt Hệ giải pháp Chuyển đổi số có sự tham gia và chứng kiến của lãnh đạo Bộ Thông tin và Truyền thông, các cơ quan trực thuộc Bộ, Ban, Ngành Trung ương và các tổ chức, doanh nghiệp Tài chính – Ngân hàng, Truyền hình – Viễn thông, Y tế, Giáo dục… trên cả nước. Trung tâm Giám sát An ninh mạng SAVIS Cyber Security đi vào hoạt động đánh dấu bước tiến quan trọng của SAVIS khi trở thành đơn vị tiên phong cung cấp hệ thống sản phẩm – dịch vụ an toàn thông tin mạng toàn diện, đảm bảo tuân thủ các quy định về hoạt động giám sát an toàn hệ thống thông tin theo Nghị định số 85/2016/NĐ-CP, Thông tư số 31/2017-BTTTT, Công văn số 2973/BTTTT-CATTT của Bộ Thông tin và Truyền thông. SAVIS CYBER SECURITY – Nền tảng công nghệ 4.0 và quy trình vận hành nghiêm ngặt Phát biểu tại buổi lễ, ông Hoàng Nguyên Vân – Tổng Giám đốc Công ty SAVIS nhấn mạnh: “Chúng tôi tự hào khi đã tự phát triển thành công một Trung tâm Giám sát An ninh mạng trên nền tảng công nghệ tiên tiến và quy trình vận hành nghiêm ngặt theo tiêu chuẩn ISO 27001, ISO 20000, ITSM. Giờ đây, SAVIS tự tin có thể sẵn sàng kiểm soát, ngăn chặn, truy vết và ứng cứu 24/7 mọi sự cố an ninh mạng cũng như những đợt phát tán mã độc có chủ đích đối với hệ thống thông tin của tổ chức”. SAVIS Cyber Security có khả năng thực chiến mạnh mẽ bởi một đội ngũ nhân sự giàu kinh nghiệm thực tiễn với hơn 15 năm hoạt động trong lĩnh vực công nghệ thông tin, một kiến trúc hoạt động chặt chẽ có sự tích hợp của nhiều giải pháp công nghệ 4.0 hiện đại như: Trí tuệ nhân tạo AI, Machine learning, Deep Learning, Elastic Search, Dữ liệu lớn Big Data… cùng khả năng tối ưu hoá khả năng vận hành, tương tác giữa con người và hệ thống thông tin. Các tổ chức, doanh nghiệp sẽ tránh được những tổn thất lên đến hàng triệu đô la, ngăn ngừa nguy cơ bị đánh cắp dữ liệu người dùng từ những đợt tấn công an ninh mạng. Cũng trong dịp này, SAVIS đã ra mắt Hệ giải pháp Chuyển đổi số toàn diện, đáp ứng mọi nhu cầu từ đơn giản đến phức tạp của tổ chức doanh nghiệp. Những hoàn cảnh đặc biệt như đại dịch toàn cầu, đóng cửa biên giới hay giãn cách xã hội đã cho thấy công nghệ thông tin và ứng dụng số tạo ra phương thức sản xuất, kinh doanh hiệu quả và trong nhiều trường hợp là lựa chọn duy nhất để phát triển. Không một tổ chức, doanh nghiệp nào có thể đứng ngoài cuộc chơi chuyển đổi số nếu muốn mở rộng sức sản xuất, giảm thiểu chi phí và gia tăng lợi nhuận. Xuất phát từ nhu cầu cấp thiết đó, SAVIS phát triển một hệ giải pháp số mới có thể giúp tổ chức, doanh nghiệp chuyển đổi từ quy trình thủ công với hồ sơ, tài liệu bản giấy sang môi trường số với hệ thống định danh, xác thực điện tử, ký số, tự động hóa quy trình đến lưu trữ điện tử, lưu trữ điện tử lâu dài, chứng thực điện tử, sao y công chứng tài liệu điện tử trong tổ chức, đem đến trải nghiệm 100% không giấy tờ cho người dùng. 1. Bộ giải pháp all-in-one đầu tiên tại Việt Nam Bộ giải pháp all-in-one đầu tiên tại Việt Nam bao gồm: SAVIS Signing BOX, SAVIS eArchive BOX, SAVIS PKI BOX có thể đồng thời giải quyết hai bài toán căn bản là chi phí và an toàn, bảo mật. Bộ giải pháp này sẽ giúp tổ chức, doanh nghiệp xây dựng hệ thống ký số, lưu trữ điện tử, hạ tầng khóa công khai chuyên dùng, tích hợp máy chủ, phần cứng, phần mềm trên một thiết bị duy nhất, giúp tiết kiệm chi phí, cài đặt nhanh chóng và vận hành dễ dàng. Tính an ninh, bảo mật được đảm bảo bởi những thiết bị phần mềm và phần cứng đáp ứng đầy đủ các quy định về ký số, chứng thực chữ ký số, lưu trữ điện tử của Việt Nam cũng như các tiêu chuẩn châu Âu và Mỹ như eIDAS, ESIGN, CEN/ETSI, Cloud Signature Consortium (CSC). Bộ ba có khả năng tích hợp không giới hạn với các hệ thống thông tin sẵn có của doanh nghiệp qua API, khả năng mở rộng linh hoạt, đồng thời hỗ trợ các chuẩn ký nâng cao như CAdES, PadES, XadES,… cũng như gắn đóng dấu thời gian Timestamp, chuẩn LTV, LTANS cho lưu trữ lâu dài và chứng thực tài liệu điện tử, cho phép lưu trữ, quản lý tài liệu chất lượng cao từ 10 năm, 20 năm, 50 năm hoặc vĩnh viễn. Hệ giải pháp được phát triển trên nền tảng của Giải pháp Chứng thực và ký số TrustCA, hệ thống ký số bảo mật SAVIS Signing Server, Giải pháp số hoá và Lưu trữ điện tử tập trung trên nền tảng Big Data – SAVIS eArchive. Đây là đều những giải pháp xuất sắc với chất lượng được khẳng định
NEAC yêu cầu các CA nghiêm túc tuân thủ hướng dẫn về dịch vụ chứng thực chữ ký số từ xa và chữ ký số trên thiết bị di động
Trước thông tin, một số CA cung cấp dịch vụ ký số trên thiết bị di động, ký số từ xa cho khách hàng khi chưa được kiểm tra kỹ thuật đáp ứng tiêu chuẩn, NEAC đã ra yêu cầu các CA thực hiện nghiêm túc hướng dẫn triển khai dịch vụ quy định tại Công văn số 190/NEAC-TĐCP ngày 07/5/2020.
SAVIS LGSP 2.0 giành TOP 10 Sao Khuê 2020
Với sự nổi trội cả về nền tảng công nghệ và sự hiệu quả trong phương án kinh doanh, phát triển thị trường,Giải pháp Nền tảng chia sẻ, tích hợp dữ liệu – SAVIS LGSP 2.0 đã xuất sắc lọt TOP 10 Sao Khuê 2020.
SAVIS thắng lớn tại Lễ trao Danh hiệu Sao Khuê 2020
SAVIS thắng lớn tại Lễ trao Danh hiệu Sao Khuê 2020 khi có đến 4 sản phẩm – giải pháp được vinh danh, trong đó Giải pháp Nền tảng chia sẻ, tích hợp dữ liệu – SAVIS LGSP 2.0 xuất sắc lọt TOP 10 Sao Khuê 2020.
SAVIS chung tay ủng hộ phòng, chống dịch Covid-19
Hưởng ứng cuộc vận động cả nước chung tay ủng hộ phòng, chống dịch bệnh Covid-19, SAVIS đã phát động phong trào quyên góp tới toàn thể cán bộ, nhân viên công ty. Toàn bộ số tiền đã được chuyển tới Mặt Trận Tổ Quốc Việt Nam để kịp thời hỗ trợ công tác phòng, chống dịch. Những tháng đầu năm 2020, thế giới đã chứng kiến những diễn biến phức tạp, sự lây lan mạnh mẽ của dịch bệnh Covid-19 đến hơn 200 quốc gia và vùng lãnh thổ. Tổ chức Y tế thế giới WHO đã tuyên bố dịch viêm đường hô hấp cấp Covid-19 là đại dịch toàn cầu. savis Tại Việt Nam, từ khi xuất hiện ca bệnh đầu tiên đến khi những trường hợp dương tính tăng lên từng ngày, Chính phủ và Bộ Y tế đã có những biện pháp kịp thời, huy động mọi lực lượng, kêu gọi toàn dân tham gia phòng, chống dịch. Những quy định về khai báo y tế, kiểm soát xuất nhập cảnh, rà soát, sàng lọc, khoanh vùng, dập dịch, thực hiện giãn cách xã hội, cách ly toàn quốc,… đang chứng tỏ hiệu quả trong việc hạn chế tối đa số ca lây nhiễm. Chiến dịch chống dịch quyết liệt đó đã tạo áp lực rất lớn lên hệ thống y tế và ngân sách quốc gia. Hưởng ứng cuộc vận động cả nước chung tay ủng hộ phòng, chống dịch bệnh Covid-19, SAVIS đã phát động phong trào quyên góp tới toàn thể cán bộ, nhân viên công ty. Với tinh thần đoàn kết, tinh thần tương thân tương ái của người SAVIS, chỉ sau hai ngày phát động, tổng số tiền SAVIS thu được là 15 triệu đồng. Toàn bộ số tiền này đã được chuyển tới Mặt Trận Tổ Quốc Việt Nam để sử dụng vào việc hỗ trợ trang thiết bị y tế, nhu yếu phẩm cần thiết nhằm bảo vệ thầy thuốc và các chiến sĩ công an, bộ đội trực tiếp tiếp xúc với người mắc bệnh, hỗ trợ người nhiễm và nghi nhiễm bệnh phải điều trị, cách ly tập trung, cách ly tại nhà. Chia sẻ về hoạt động này của công ty, bạn Tố Uyên – phòng Kế toán nói: “Đây là hoạt động ý nghĩa tại thời điểm cả nước đang chung tay góp sức chống dịch bệnh. Ngoài ủng hộ tại công ty, mình còn ủng hộ thêm các tổ chức bên ngoài để quyên góp khẩu trang, thiết bị y tế cho những người có hoàn cảnh khó khăn nữa. Mong dịch bệnh sớm qua để được trở về cuộc sống bình thường.” Còn bạn Nhung Nguyễn – bộ phận BDM chia sẻ: “Mong rằng đóng góp nhỏ của mình sẽ góp phần cổ vũ những y bác sỹ, bộ đội ở tuyến đầu chống dịch. Qua đây mình cũng mong muốn mọi người giữ gìn ý thức chung để không những bảo vệ cá nhân, gia đình mình mà còn giúp cộng đồng sớm vượt qua bệnh dịch”. Ngay từ những ngày đầu dịch Covid-19 xuất hiện tại Việt Nam, SAVIS đã chủ động triển khai nhiều biện pháp phòng, chống dịch bao gồm: liên tục cập nhật, phổ biến những khuyến cáo y tế của Bộ Y tế đến toàn bộ CBNV, kiểm tra thân nhiệt hàng ngày, khử trùng văn phòng, trang thiết bị thường xuyên, cung cấp găng tay, nước khử trùng miễn phí, trang bị mặt nạ ngăn giọt bắn, hạn chế tập trung đông người, thực hiện chế độ làm việc luân phiên, họp, báo cáo trực tuyến, phát triển hệ giải pháp công nghệ phục vụ nhu cầu làm việc từ xa tăng cao của cá nhân, tổ chức trong mùa dịch. trustca Cùng nhau lan tỏa những hành động đẹp, truyền tải thông điệp ý nghĩa, nghiêm túc thực hiện những khuyến cáo của Chính phủ, chúng ta tin rằng những ngày tháng bình yên, vắng bóng dịch bệnh sẽ sớm quay trở lại. goinvoice Together, We Win!!! signinghub
Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 4)
IV. 3D Secure 2.0 – Cải thiện đáp ứng SCA trong PSD2 Với Chỉ thị Dịch vụ Thanh toán Điện tử sửa đổi PSD2, các giao dịch điện tử trong lãnh thổ Châu Âu phải Xác thực Định danh Tăng cường SCA cho giao dịch thanh toán điện tử giá trị trên 30EUR hoặc thanh toán không tiếp xúc (Contactless Payment) giá trị trên 50EUR. Để đạt được yêu cầu trên, SCA yêu cầu xác thực giao dịch dựa trên hai trong ba yếu tố: Điều khách hàng biết “Something you know” Điều khách hàng có “Something you own” Điều khách hàng sở hữu riêng “Something you are” · Mật khẩu · Mã pin · Câu hỏi bí mật · Dãy số · Điện thoại · Thẻ thông minh Smartcard · Token · Thiết bị thông minh · Vân tay · Mống mắt · Khuôn mặt · Giọng nói Trước đây, xác thực định danh tăng cường SCA được đáp ứng thông qua giải pháp 3D Secure 1.0 được phát triển bởi Công ty Arcot Systems. Thuật ngữ “3D” trong 3D Secure nhắc tới ba “lĩnh vực” (Domain) hợp tác với nhau trong thanh toán giao dịch thẻ, đó là: – Lĩnh vực thuộc Ngân hàng cung cấp tài khoản giao dịch cho người dùng (user) – Lĩnh vực thuộc Ngân hàng cung cấp tài khoản cho thương nhân (merchant) – Lĩnh vực thuộc Nhà phát hành thẻ (card issuer: Visa, American Express, Mastercard…) Được biết đến với tên gọi “Verified by Visa”, “Mastercard SecureCode” hoặc “American Express Safekey”, 3D Secure 1.0 thực hiện xác thực giao dịch bằng cách chuyển hướng người dùng đến trang bảo mật yêu cầu cung cấp thông tin bổ sung dưới dạng Mật khẩu hoặc Câu hỏi bí mật. Khi người dùng xác minh thành công, giao dịch mới được chấp nhận bởi ngân hàng. “Thông qua 3D Secure 1.0, nhà phát hành thẻ xác thực mật khẩu- “Điều khách hàng biết” và kết hợp với dữ liệu thẻ – “Điều khách hàng có”, đáp ứng yêu cầu hai trong ba yếu tố cấu thành SCA.” Tuy nhiên, 3D Secure 1.0 có những hạn chế nhất định, đặc biệt đối với trải nghiệm người dùng: mật khẩu/câu hỏi bí mật dễ bị nhầm lẫn, chuyển hướng người dùng gây gián đoạn quá trình thanh toán, tăng thời gian cần thiết để nạp trang mới, và chỉ hỗ trợ trên trình duyệt (không thể nạp trong Mobile App). Mặc dù 3D Secure 1.0 tăng cường bảo mật, lớp xác thực bổ sung này cũng gia tăng sự bất tiện, chưa theo kịp công nghệ nền tảng Mobile App. Theo số liệu của nhà phát hành thẻ Visa, 70% người dùng sẽ hủy giao dịch nếu quy trình thanh toán quá mất thời gian. Trang bảo mật thường thấy trên 3D Secure 1.0, yêu cầu nhập mật khẩu từ người dùng Với nhiệm vụ kế thừa tính năng bảo mật của 3D Secure 1.0, phiên bản 3D Secure 2.0 thu thập hơn 100 đầu dữ liệu, bao gồm lịch sử thanh toán, địa chỉ IP, địa chỉ thanh toán, mã số thiết bị… để tính toán rủi ro trong xác thực của một giao dịch điện tử (Risk-based Authentication). Trong trường hợp nhà phát hành thẻ cho rằng dữ liệu đủ để xác minh giao dịch là an toàn, người dùng sẽ không gặp trở ngại và thanh toán được chấp nhận ngay lập tức. Ngược lại, nếu nhà phát hành thẻ nghi ngờ giao dịch, người dùng sẽ phải nhập Mật khẩu/Câu hỏi bí mật tương tự 3D Secure 1.0. Theo số liệu thống kê lịch sử giao dịch từ Mastercard, 90% các giao dịch khi chuyển sang 3D Secure 2.0 sẽ không bị gián đoạn (frictionless), đem lại tiện lợi cho đa số người dùng trong khi đảm bảo yêu cầu bảo mật xác thực SCA. Ngoài ra theo thời gian, tính chính xác của 3D Secure 2.0 sẽ ngày càng được cải thiện nhờ lượng dữ liệu thu thập tăng lên nhanh chóng. Sơ đồ quy trình 3D Secure 2.0 So với 3D Secure 1.0, phiên bản 2.0 của công nghệ xác thực giao dịch mang tới nhiều ưu điểm vượt trội về công nghệ và trải nghiệm người dùng: Tháng 4 năm 2019: hai nhà phát hành thẻ lớn nhất thế giới là Visa và Mastercard hối thúc các ngân hàng Châu Âu sẵn sàng cho PSD2 và 3D Secure 2.0. Từ thời điểm tháng 4 năm 2019, nếu một ngân hàng Châu Âu không thể đáp ứng 3D Secure 2.0, ngân hàng đó sẽ phải chịu toàn bộ trách nhiệm rủi ro phát sinh trong giao dịch thay vì doanh nghiệp. Ngày 14 tháng 9 năm 2019: yêu cầu xác thực tăng cường SCA trong PSD2 chính thức áp dụng tại Châu Âu. Bất cứ doanh nghiệp nào thực hiện thanh toán điện tử phải đáp ứng 3D Secure 2.0 để đạt tiêu chuẩn SCA. Từ năm 2020: áp dụng 3D Secure 2.0 trên toàn thế giới, các ngân hàng lớn sẽ áp dụng 3D Secure 2.0 và dần loại bỏ 3D Secure 1.0
Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 3)
Đây là bài viết thứ 3 trong chuỗi bài viết về Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử. Phần này sẽ chi tiết hóa và cung cấp nội dung về PSD2 – Chỉ thị dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu. III. PSD2 – Chỉ thị dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu Quá trình số hóa và chuyển đổi số trong nền kinh tế của EU đem tới nhiều thành phần tham dự vào thanh toán điện tử (ví dụ: tiền ảo, ví điện tử), đồng hành cùng các rủi ro mới nhằm ngoài các văn bản luật hiện hành. Cùng sự phê chuẩn bộ Quy định eIDAS, Liên minh Châu Âu soạn thảo Chỉ thị Dịch vụ Thanh toán sửa đổi PSD2 (tên đầy đủ “Payment Service Directive 2 – Directive 2015/2366) thay thế cho Chỉ thị 2007/64/EC lần đầu vào tháng 7 năm 2013 và chính thức có hiệu lực trên toàn lãnh thổ vào tháng 9 năm 2019. Chỉ thị Dịch vụ Thanh toán sửa đổi của Liên minh Châu Âu nhằm mục đích tăng cường tính bảo mật trong thanh toán điện tử, cải thiện khả năng bảo vệ người tiêu dùng, nâng cao động lực đổi mới sáng tạo và tính cạnh tranh – đồng thời đảm bảo môi trường công bằng cho tất cả các thành phần tham gia vào mô hình giao dịch điện tử (bao gồm cả những đối tượng không được quy định trong phiên bản đầu tiên của Chỉ thị Dịch vụ Thanh toán) 1.Nội dung chính Chỉ thị Dịch vụ Thanh toán sửa đổi có tổng cộng 117 điều khoản, bao hàm những điều khoản chính như sau: – Tăng cường tính minh bạch trong thanh toán điện tử thông qua việc cho phép các tổ chức được ủy quyền truy cập thông tin khách hàng, sử dụng thông tin khách hàng để thu hộ chi hộ (XS2A – Access service to Account). Việc truy cập này được cho phép qua API, nhờ đó giảm thiểu thời gian và quy trình thanh toán điện tử một khi bên thứ ba được ủy quyền thực hiện giao dịch trực tiếp với ngân hàng/tổ chức tín dụng. Tuy nhiên, hiện tại chưa có một cổng Open API chung cho toàn Liên minh Châu Âu mà các ASPSP (các ngân hàng) sử dụng API của riêng mình, tạo nên khó khăn nhất định khi tiếp cận dịch vụ XS2A do số lượng API phát sinh là rất lớn. – Tăng cường định nghĩa về các thành phần mới trong thanh toán điện tử của nền kinh tế số, bao gồm: + Nhà cung cấp dịch vụ thanh toán bên thứ ba (TPP – Third Party Payment Service Providers): Các tổ chức tham gia thanh toán trên danh nghĩa của khách hàng. Trong PSD2, các tổ chức này có thể thực hiện dưới danh nghĩa “Nhà cung cấp dịch vụ thông tin khách hàng” hoặc “Nhà cung cấp dịch vụ khởi tạo thanh toán + Nhà cung cấp dịch vụ quản lý tài khoản trong thanh toán (ASPSP – Account Servicing Payment Service Providers): Các tổ chức cung cấp và cho phép sử dụng tài khoản tài chính (ví dụ: ngân hàng). Các ASPSP có thể là ngân hàng hoặc tổ chức tín dụng.. + Nhà cung cấp dịch vụ thông tin khách hàng (AISP – Account Information Service Providers): Các tổ chức này thống kê tài khoản thanh toán vào một điểm truy cập duy nhất nhằm giúp khách hàng quản lý tài chính tốt hơn (ví dụ: tổ chức quản lý tài chính). + Nhà cung cấp dịch vụ khởi tạo thanh toán (PISP – Payment initiation Service Provider): Các tổ chức cho phép thực hiện thanh toán giao dịch điện tử thông qua phương pháp online (ví dụ: ví điện tử). – Tăng cường tính bảo mật trong thanh toán điện tử thông qua quy định bắt buộc áp dụng Xác thực Định danh Tăng cường (SCA – Strong Customer Authentication) đối với thanh toán điện tử thực hiện trong lãnh thổ Châu Âu. Với PSD2, để đạt quy định về xác thực định danh tăng cường cần có 2 trong 3 yếu tố: điều khách hàng biết – “Something you know” (ví dụ: mã pin), điều khách hàng có – “Something you own” (ví dụ: token) và điều khách hàng sở hữu riêng – “Something you are” (ví dụ: vân tay). Tuy những yêu cầu tăng cường về bảo mật trong SCA được đặt ra nhằm bảo vệ người sử dụng dịch vụ thanh toán điện tử, SCA cũng có những ngoại lệ không áp dụng để đảm bảo tính tiện lợi khi sử dụng dịch vụ, bao gồm: + Giao dịch với giá trị dưới 30 EUR. Mặc dù vậy, SCA vẫn phải được áp dụng cho mỗi 5 lần giao dịch. + Giao dịch định kỳ với khoản thanh toán cố định: trong PSD2 thì SCA chỉ được áp dụng với những giao dịch được khởi tạo bởi người dùng. Các giao dịch định kỳ (trả hóa đơn nhà, hóa đơn nước…) được coi là do nhà cung cấp dịch vụ khởi tạo, vì vậy không yêu cầu xác thực SCA sau lần thanh toán đầu tiên. + Danh sách tin cậy (Whitelist): người sử dụng có thể kích hoạt tính năng “danh sách tin cậy” từ ngân hàng để không sử dụng SCA đối với nhà cung cấp thuộc danh sách. + Giao dịch MOTO (Mail Order and Telephone Orders): các giao dịch gửi qua thư từ và điện thoại không thuộc phạm vi giao dịch điện tử, do đó không phải thực hiện xác thực SCA. + Giao dịch liên khu vực: SCA không áp dụng cho giao dịch nếu người bán và người mua không nằm trong khu vực kinh tế chung Châu Âu. + Giao dịch
Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 2)
II. EIDAS – Quy định về “định danh, xác thực điện tử và dịch vụ tin cậy” Được phê chuẩn vào tháng 9 năm 2014, Quy định về “Định danh, Xác thực Điện tử và Dịch vụ Tin cậy” dành cho thị trường Chung Châu Âu eIDAS chính thức được công nhận vào tháng 9 năm 2018. Với quy định mới này, cư dân và doanh nghiệp tại Châu Âu có thể sử dụng hệ thống định danh cấp quốc gia để xác thực danh tính khi truy cập dịch vụ công hoặc thực hiện các giao dịch điện tử liên biên giới. Quy định eIDAS được kỳ vọng sẽ thay thế cho Chỉ thị về Chữ ký điện tử 1999/93/EC ra đời cách đây 20 năm – văn bản luật đã lối thời, thiếu tính pháp lý đối với công nghệ mới được ra mắt sau năm 1999. eIDAS là bộ Quy định hoàn chỉnh nhất về định danh số, tạo nền móng cho nền kinh tế số phát triển an toàn tại Châu Âu Với eIDAS, các bộ luật chồng chéo của quốc gia thành viên trong Khối EU sẽ được loại bỏ và thay thế bằng một khung pháp lý chung, thống nhất, được công nhận trên toàn khối lãnh thổ về tính pháp lý của chữ ký/con dấu điện tử, dấu thời gian điện tử và văn bản điện tử. Quy định eIDAS mang đến hai lợi ích chủ yếu cho doanh nghiệp và người tiêu dùng: (1) Tăng cường độ tin cậy và minh bạch với giao dịch điện tử trong thị trường chung Châu Âu thông qua một danh sách các nhà cung cấp dịch vụ chứng thực điện tử tiêu chuẩn và (2) Thiết lập một nền tảng pháp lý chung cho giao dịch điện tử an toàn giữa công dân, doanh nghiệp và cơ quan công lập của các quốc gia thành viên. Về mô hình quản lý, quy trình định danh điện tử cấp quốc gia thuộc Liên minh Châu Âu mong muốn tích hợp vào mạng lưới eIDAS phải đạt tiêu chuẩn về kỹ thuật và pháp lý được công nhận, đảm bảo tính liên thông khi gia nhập hệ thống định danh điện tử duy nhất. Quy định eIDAS phân loại những tiêu chuẩn nói trên theo ba mức độ đánh giá tin cậy: “thấp”, “tiêu chuẩn” và “nâng cao” ứng với tiêu chuẩn ISO/IEC 29115:2013. Trong đó, mức độ tin cậy “thấp” tương đương ISO/IEC 29115 cấp độ 2, “tiêu chuẩn” tương đương ISO/IEC 29115 cấp độ 3 và “nâng cao” tương đương ISO/IEC 29115 cấp độ 4. Yêu cầu cụ thể về tiêu chuẩn kỹ thuật thiết bị với từng mức bảo mật được công bố trong Bộ luật thi hành (Implementing Act) 2015/1502. Các quốc gia trong mạng lưới eIDAS đạt một trong các mức độ tin cậy trên phải công nhận quy trình định danh điển tử cấp quốc gia của nhau từ tháng 8 năm 2019, cho phép định danh liên biên giới mà không gặp bất cứ trở ngại nào về pháp lý. Một công dân của Bỉ dễ dàng định danh khi đăng ký công dân trên Cổng điện tử của Estonia, bởi hai nước Bỉ và Estonia đều nằm trong mạng lưới eIDAS. Quy trình định danh điện tử cấp quốc gia không chỉ có nhiệm vụ xác minh danh tính; các nhà cung cấp dịch vụ chứng thực tin cậy (Trust Service Provider – TSP) chịu trách nhiệm đảm bảo tính toàn vẹn của thông tin: đảm bảo dữ liệu của người dùng không bị chối bỏ. Với eIDAS, các TSP thuộc quốc gia thành viên được quản lý bởi Cơ quan Kiểm soát (Supervisory Body) của quốc gia đó. Trong trường hợp TSP đạt yêu cầu chứng nhận Tiêu chuẩn của dịch vụ chứng thực điện tử tin cậy, các TSP này cũng chịu giám sát của Cơ quan Đánh giá Tuân thủ (Conformity Assessment Body) dựa trên tiêu chí đề ra bởi Tổ chức Chứng nhận Châu Âu (European Accreditation). Mô hình Tổng quan tổ chức cấp quốc gia trong mạng lưới eIDAS cho Chữ ký số Về mặt kỹ thuật, các TSP phải đảm bảo tuân thủ những tiêu chuẩn đặt ra bởi Hội đồng Tiêu chuẩn Châu Âu – CEN và Viện Tiêu chuẩn Viễn thông Châu Âu – ETSI. Mặc dù các tiêu chuẩn nói trên đã tồn tại từ trước khi eIDAS ra đời và cũng không bắt buộc trong văn bản Quy định, các Cơ quan Kiểm soát nhìn chung công nhận tiêu chuẩn của CEN và ETSI như kim chỉ nam đối với TSP. Những tiêu chuẩn này đảm bảo TSP tuân thủ các công nghệ tối tân nhất phù hợp tiêu chuẩn ISO 27002 và khuôn mẫu được chấp nhận rộng rãi trên thế giới về dịch vụ Cơ sở Hạ tầng Khóa công khai (Public Key Infrastructure – PKI). Tiêu chuẩn ENT theo Viện tiêu chuẩn Viễn thông Châu Âu ETSI đảm bảo tính tuân thủ cho các TSP thông qua Cơ quan Giám sát Tuân thủ Ngoài yêu cầu về quy trình định danh điện tử quốc gia, eIDAS cũng định nghĩa rõ ràng về loại hình và cấp độ của các thành phần trong hệ thống định danh, xác thực điện tử và dịch vụ tin cậy, bao gồm chữ ký/con dấu điện tử, dấu thời gian điện tử, chứng thư điện tử cho website và dịch vụ vận chuyển dữ liệu điện tử. Đối với chữ ký số và con dấu điện tử, eIDAS quy định về tính pháp lý cũng như các yêu cầu cần có đối với ba loại hình được công nhận, bao gồm “cơ bản”, “nâng cao” và “đảm bảo”. Trong đó, chữ ký điện tử đảm bảo là chữ ký điện tử cấp cao nhất với hiệu lực pháp lý tương đương với với chữ ký tay, được tạo bởi
Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 1)
Rủi ro định danh trong giao dịch – thanh toán điện tử Theo thống kê của Ngân hàng Trung ương Châu Âu (European Central Bank – ECB), tổng giá trị của các vụ lừa đảo trong giao dịch – thanh toán điện tử năm 2019 đã đạt đến 1.8 tỷ EUR. Đặc biệt tại Anh và Pháp, tỷ lệ giao dịch điện tử lên tới 72% trên tổng số vụ lừa đảo, so với mặt bằng chung là 40%. Đối với “Lục địa già”, nhu cầu chống gian lận trong giao dịch điện tử đang ngày càng trở nên cấp thiết. Trong khi các nhà cung cấp dịch vụ thanh toán điện tử luôn cải tiến và đổi mới công nghệ thì các loại hình lừa đảo cũng liên tục thay đổi và trở nên phức tạp. Tính ẩn danh, sự phổ biến của Internet vạn vật (Internet of Things), dữ liệu cá nhân được cung cấp cho các bên tham gia giao dịch tạo ra nhiều cơ hội cho các vụ tấn công. Trong tất cả các phương thức lừa đảo, loại hình nhằm vào định danh số ngày càng trở nên phổ biến. Đối với tội phạm mạng, dữ liệu cá nhân là mục tiêu chủ yếu được nhắm đến trong những năm gần đây. Thách thức lớn đối với Liên minh Châu Âu là làm thế nào để quản lý những giao dịch (touchpoints) trong môi trường mạng, đảm bảo an toàn cho dữ liệu của khách hàng khi mà người dùng đã quen với giao dịch điện tử mọi lúc, mọi nơi, trên mọi thiết bị và mọi kênh điện tử. Sáu mục tiêu dễ tấn công làm giả trong kinh tế số: phần mềm, thiết bị, vị trí, số điện thoại, dữ liệu nhân dạng và tài khoản ngân hàng Định danh điện tử (e-ID) – Giải pháp chống lừa đảo danh tính Các dịch vụ ngân hàng, chính phủ và thanh toán điện tử là những đối tượng phải chịu ảnh hưởng lớn nhất từ rủi ro trong giao dịch điện tử. Để phòng chống và hạn chế tổn thất, chính phủ các nước Bắc Âu tiên phong tạo lập quy trình định danh điện tử (e-ID) cho phép người sử dụng chứng minh danh tính qua môi trường mạng Internet. Tại Thụy Điển, Phần Lan, Đan Mạch và Na Uy, liên hiệp các ngân hàng chiếm ưu thế trong cuộc đua định danh số bởi một lý do căn bản: các ngân hàng lớn có sẵn cơ sở dữ liệu người dùng đã được định danh. Với lợi thế này, việc số hóa và phát triển ứng dụng định danh bởi các ngân hàng Bắc Âu trở nên nhanh chóng và thuận lợi hơn so với các cơ quan tư nhân/khối chính phủ. Các ngân hàng ở Bắc Âu sử dụng dịch vụ định danh điện tử như chìa khóa để phổ cập các dịch vụ số, bao gồm thanh toán điện tử, hỗ trợ khách hàng điện tử, cũng như các dịch vụ chống rủi ro trong tài chính. Bên cạnh đó, những dịch vụ định danh này cũng cho phép bên thứ ba sử dụng như một phương thức định danh bảo mật trong giao dịch điện tử: như trong Cổng thông tin Chính phủ điện tử, Cổng thông tin việc làm, Cổng đăng ký nhập học,… Theo thống kê của Phần Lan, 90% khách hàng trong lĩnh vực nhà đất sử dụng định danh điện tử ngân hàng TUPAS để ký hợp đồng qua Internet. Sự phổ biến của các dịch vụ ứng dụng định danh điện tử mang đến sự thuận tiện cho các bên tham gia giao dịch – giảm thiểu chi phí vận hành, rủi ro và thời gian. Định danh điện tử tại Bắc Âu giảm thiểu rủi ro trong chính phủ số, doanh nghiệp số, thương mại số Về tính pháp lý, Chỉ thị về Chữ ký điện tử (Directive 1999/93/EC) cho phép các quốc gia thành viên trong Liên minh Châu Âu quyền tự quyết đối với khả năng ứng dụng chữ ký điện tử (như chương trình nhận dạng điện tử quốc gia phát triển bởi Liên hiệp ngân hàng Bắc Âu). Tuy nhiên, điều này cũng phát sinh nhiều lỗ hổng trong nhận dạng và không có một tiêu chuẩn nhất quán cho định danh điện tử giữa các nước, dẫn đến sự chối bỏ định danh điện tử giữa các quốc gia trong cùng một khối. Là một Liên minh về kinh tế và chính trị, cho phép người lao động tự do di chuyển trong khối nhưng Châu Âu trước năm 2014 lại không có một Quy định nào về nhận dạng điện tử. Điều này gây khó khăn cho du lịch, đầu tư tài chính và ký kết văn bản liên quốc gia, khi mà các bên tham gia phải cùng có mặt tại bàn làm việc mặc cho hệ thống định danh điện tử cấp quốc gia đã hoạt động được gần một thập kỷ. Sự phân rã trong hệ sinh thái điện tử và những rủi ro ngày càng gia tăng trong giao dịch điện tử là động lực thúc đẩy Liên minh Châu Âu tìm ra một giải pháp mới để liên kết các mạng lưới định danh điện tử.
