Ngân hàng mở là một hệ sinh thái tài chính mới cho phép người dùng chia sẻ dữ liệu tài chính cá nhân một cách an toàn với các tổ chức bên thứ ba, đó có thể là các công ty công nghệ tài chính (fintech) hay các tổ chức tài chính khác. Nhờ chia sẻ dữ liệu, các tổ chức này có thể cung cấp các dịch vụ tài chính cá nhân hoá tới người dùng. Vậy những dữ liệu ngân hàng mở đang được xử lý như thế nào, được sử dụng vào mục đích gì?
Ngân hàng mở: Quản lý chấp thuận truy cập dữ liệu từ người dùng (consent management)
Để cung cấp và phát triển các sản phẩm và dịch vụ chất lượng, các nhà cung cấp bên thứ ba (TPPs) đều cần sự đồng ý của người dùng để có thể truy cập vào dữ liệu tài chính của họ, từ đó, lọc và xử lý dữ liệu tài chính để sử dụng cho mục đích nghiên cứu, xây dựng sản phẩm, dịch vụ tài chính mới.
Quản lý sự chấp thuận (consent management) là một vấn đề nhạy cảm, đòi hỏi sự thận trọng và hiểu biết về mặt pháp lý cũng như kỹ thuật. Trái với suy nghĩ của nhiều người, quản lý sự chấp thuận không đơn giản chỉ là nhấn hoặc tích vào ô “Đồng ý” mà đây là cả một quy trình được thực hiện bài bản, tuân thủ theo các quy định và chỉ thị ở từng khu vực, quốc gia, ví dụ chỉ thị PSD2 hay quy định GDPR ở EU.
Quy trình quản lý sự chấp thuận trong ngân hàng thường diễn ra như sau:
- Các nhà cung cấp bên thứ ba đưa ra thông báo về mục đích và các dữ liệu sẽ được thu thập, cần sự đồng ý từ khách hàng
- Khách hàng đồng ý bằng cách xác nhận
- Sau đó, dữ liệu sẽ được chuyển từ nhà cung cấp dịch vụ thông tin tài khoản (AISP) đến nhà cung cấp bên thứ ba hoặc từ nhà cung cấp dịch vụ thanh toán khởi tạo thanh toán (PISP) đến ngân hàng
Có thể một vài tổ chức sẽ có những cách thể hiện thoả thuận cho phép truy cập dữ liệu khác nhau, song đây sẽ là cơ chế phổ biến nhất, thường được sử dụng trong:
- Xác thực trên di động
- Đăng nhập vào tài khoản ngân hàng
Hiểu rõ cách dữ liệu và thông tin luân chuyển trong quá trình yêu cầu sự chấp thuận là yếu tố quyết định sự minh bạch và thành công của các tổ chức trong ngân hàng mở.
Quy trình quản lý sự chấp thuận chia sẻ dữ liệu ngân hàng mở
Quy trình quản lý sự chấp thuận thường được chia thành ba giai đoạn:
a. Giai đoạn Đồng ý
- Người dùng nhận được thông báo về mục đích và những dữ liệu được sử dụng; người dùng sẽ lựa chọn chấp thuận hoặc từ chối nội dung này.
- Nếu chấp thuận, người dùng sẽ được thông báo về thời gian uỷ quyền truy cập dữ liệu để đảm bảo họ luôn kiểm soát được dữ liệu của mình;
Giai đoạn Xác thực
- Ngân hàng tiếp nhận thông tin và yêu cầu người dùng thực hiện xác thực để đảm bảo an toàn dữ liệu;
- Danh tính của người dùng được xác minh. Ở bước này, nhà cung cấp bên thứ ba sẽ không thấy thông tin xác thực của người dùng.
Giai đoạn Ủy quyền
- Ngân hàng thông báo tới người dùng về những dữ liệu sẽ được chia sẻ với các nhà cung cấp bên thứ ba; và cho phép người dùng có thể từ chối thông báo này;
- Phản hồi của người dùng được gửi lại cho ngân hàng
Trong mọi quá trình, người dùng luôn nắm được họ đang cung cấp quyền truy cập dữ liệu của mình cho ai, trong bao lâu và sử dụng cho mục đích gì. Đặc biệt, người dùng có thể thu hồi sự đồng ý bất cứ lúc nào. Những thông tin người dùng nắm được thường như sau:
- Ai đang truy cập dữ liệu của họ: Tên của đơn vị cung cấp bên thứ ba;
- Trong bao lâu: Thời gian
- Với mục đích gì: Chi tiết tài khoản/thanh toán
- Quy trình hết hạn: khi nào nó sẽ hết hạn và người dùng có thể thu hồi sự đồng ý như thế nào?
Chia sẻ dữ liệu ngân hàng mở: Cách thức hoạt động?
Ngân hàng mở cho phép các nhà cung cấp dịch vụ tài chính bên thứ ba truy cập thông tin dưới sự cho phép của người dùng. Về mặt kỹ thuật, quá trình này được thực hiện qua các API mở. Về pháp lý, quá trình chia sẻ dữ liệu được giám sát và quản lý theo các quy định của chính phủ hiện hành, như Chỉ thị Dịch vụ thanh toán PSD2 ở EU hay Đạo luật Ngân hàng mở ở Anh.
Song, các quy định này thay đổi theo từng khu vực nên các loại dữ liệu được chia sẻ thông qua các dịch vụ ngân hàng mở cũng khác nhau. Thông thường, để đảm bảo tính minh bạch và toàn vẹn, sẽ có nhiều lớp bảo mật và xác minh trong quá trình trao đổi dữ liệu giữa các tổ chức tài chính và các nhà cung cấp bên thứ ba. Việc truyền tải dữ liệu từ bên này sang bên kia được thực hiện trong “tích tắc” nhờ các API nhằm đảm bảo sự liền mạch, an toàn và hiệu quả.
Ai có thể truy cập dữ liệu ngân hàng mở?
Không phải ai cũng có thể truy cập vào dữ liệu trong ngân hàng mở. Để có thể xem được dữ liệu này, cần sự đồng ý từ người dùng và nhà cung cấp bên thứ ba cũng phải được cấp phép. Các nhà cung cấp bên thứ ba cũng phải đáp ứng đủ các yêu cầu cụ thể trước khi được cấp phép để truy cập vào thông tin tài chính của người dùng.
Các cơ quan có thẩm quyền chuyên trách sẽ chịu trách nhiệm cấp phép truy cập dữ liệu người dùng cho các nhà cung cấp bên thứ ba, như ở Úc, Ủy ban Cạnh tranh và người tiêu dùng Úc (ACCC) chịu trách nhiệm cấp phép dữ liệu ngân hàng mở.
Các cơ quan này chịu trách nhiệm đảm bảo cho việc chia sẻ dữ liệu tài chính cá nhân không vi phạm pháp luật đồng thời có thể cấp, sửa đổi hoặc thu hồi giấy phép thu thập dữ liệu.
Những dữ liệu nào được thu thập trong ngân hàng mở?
Dữ liệu mà các nhà cung cấp dịch vụ ngân hàng mở thu thập có thể khác nhau tùy thuộc vào quy định của từng quốc gia/khu vực cũng như loại hình dịch vụ cung cấp.
Các cơ quan quản lý thường đặt ra các quy định nghiêm ngặt về loại thông tin có thể được thu thập, hạn chế phạm vi thu thập dữ liệu nhằm đảm bảo các nhà cung cấp bên thứ ba chỉ truy cập những gì cần thiết. Các dữ liệu được thu thập phổ biến nhất bao gồm:
- Thông tin chủ tài khoản (họ tên, năm sinh…)
- Mã cá nhân hoặc mã công ty
- Địa chỉ nơi ở hoặc địa chỉ liên hệ
- Mã số danh mục kinh doanh hoặc mã hoạt động
- Thông tin về trách nhiệm tài chính (đang hoạt động)
- Thông tin tài khoản liên quan đến tiền gửi, chứng khoán
Đôi khi, cũng có thể có một số thông tin khác như tình trạng việc làm, nơi làm việc,…
Ngân hàng mở bảo vệ dữ liệu người dùng như nào?
Thực tế, việc bảo vệ dữ liệu trong ngân hàng mở là một vấn đề được các cơ quan quản lý và các tổ chức tài chính hết sức quan tâm. Các biện pháp bảo mật được áp dụng bao gồm:
- Quy định/pháp luật chặt chẽ: Mỗi quốc gia hay khu vực sẽ có những quy định, chỉ thị riêng để đảm bảo việc hoạt động ổn định hay bảo mật dữ liệu như chỉ thị PSD2 ở EU hay Đạo luật Ngân hàng mở ở Anh,…
- Công nghệ bảo mật tiên tiến: Các ngân hàng và nhà cung cấp dịch vụ sử dụng các công nghệ bảo mật tiên tiến như mã hóa, xác thực nhiều yếu tố (MFA), phát hiện gian lận để bảo vệ dữ liệu của khách hàng.
- Quản lý rủi ro: Các tổ chức tài chính thường xuyên đánh giá và quản lý các rủi ro bảo mật tiềm ẩn, đồng thời có các kế hoạch ứng phó khẩn cấp trong trường hợp xảy ra sự cố.
- Minh bạch: Người dùng luôn được thông báo rõ ràng về loại dữ liệu được chia sẻ, mục đích sử dụng và cách thức bảo vệ dữ liệu.
- Quyền kiểm soát của người dùng: Người dùng có quyền kiểm soát việc chia sẻ dữ liệu của mình, bao gồm cả việc thu hồi sự đồng ý bất cứ lúc nào.
Tuy nhiên, bên cạnh các biện pháp bảo vệ, vẫn tồn tại một số rủi ro mà các nhà phát triển và người dùng quan tâm như:
- Mối đe dọa từ phần mềm độc hại: Các phần mềm độc hại có thể khai thác lỗ hổng bảo mật để đánh cắp dữ liệu.
- Tấn công dữ liệu
- Tin tặc: Các hacker luôn tìm kiếm những lỗ hổng để xâm nhập vào hệ thống và đánh cắp dữ liệu.
Tóm lại, dù không thể loại bỏ hoàn toàn rủi ro, nhưng các biện pháp bảo mật hiện nay đã được thiết lập để đảm bảo dữ liệu của người dùng được bảo vệ an toàn trong hệ thống ngân hàng mở. Tuy nhiên, người dùng cũng nên tự bảo vệ mình bằng cách sử dụng mật khẩu mạnh, cập nhật phần mềm thường xuyên và cảnh giác với các cuộc tấn công lừa đảo.
Ngoài ra, việc cho phép người dùng quản lý dữ liệu ngân hàng mở cũng là một cách tuyệt vời để người dùng tham gia chịu trách nhiệm về thời điểm và cách thức họ muốn cung cấp thông tin của mình. Các nhà cung cấp bên thứ ba cần thông báo rõ ràng về mục đích và những dữ liệu sẽ được thu thập để đảm bảo tính minh bạch và quyền riêng tư dữ liệu ngân hàng mở.
Source: https://gocardless.com/guides/posts/open-banking-data/#open-banking-how-is-your-data-protected
Về SAVIS Group và giải pháp SAVIS Open Banking Platform
SAVIS Group là nhà cung cấp dịch vụ tin cậy dẫn đầu thị trường và nằm trong TOP 10 doanh nghiệp Công nghệ thông tin hàng đầu Việt Nam. Với kinh nghiệm 20 năm thành lập và phát triển, SAVIS khẳng định vị thế vững chắc trên thị trường về Nền tảng – Dịch vụ – Giải pháp Chuyển đổi số, An toàn thông tin và Fintech.
SAVIS Open Banking Platform là hệ giải pháp chuyên biệt dành riêng cho ngành Tài chính – Ngân hàng, do SAVIS Group phát triển, đáp ứng yêu cầu về pháp lý – công nghệ tạo ra sự kết nối và xây dựng hệ sinh thái tài chính số. SAVIS Open Banking Platform sở hữu những lợi ích vượt trội:
- Sáng tạo hệ sinh thái tài chính số kết nối liên thông với khu vực ASEAN và EU
- Giảm thiểu tối đa rủi ro dựa trên các nền tảng công nghệ được chứng thực về độ an toàn, bảo mật cấp độ Quốc tế (PSD2, eIDAS, GDPR…)
- Đáp ứng các tiêu chuẩn kỹ thuật và bảo mật khắt khe của mô hình Open Banking trên thế giới (Berlin Group, UK Group, Monetary Authority of Singapore, Aust ralian Competition and Consumer Commission, Hong Kong Monetary Authority…)
- Mở rộng các tính năng vượt qua ranh giới Open Banking: tận dụng toàn bộ sức mạnh của công nghệ hạ tầng Open API cho Open Finance, Open Gov , Open Healthcare… với nền tảng Microservice
- Cung cấp hệ giải pháp toàn diện, đầu – cuối theo nhu cầu đa dạng của các tổ chức, doanh nghiệp Tài chính – Ngân hàng tại Việt Nam
Ứng dụng ngân hàng mở là chìa khoá giúp ngành tài chính bứt tốc tăng trưởng. Kết nối ngay với chuyên gia của SAVIS để tận dụng và trải nghiệm tính năng, lợi ích từ ngân hàng mở – Open Banking ngay hôm nay!
