Für die erste Transaktion per Mobile Banking ist eine biometrische Authentifizierung erforderlich.

Der Gouverneur der vietnamesischen Staatsbank (SBV) hat soeben den Beschluss Nr. 2345/QD-NHNN zur Umsetzung von Sicherheitslösungen bei Online-Zahlungen und Bankkartenzahlungen erlassen.

Gemäß dem Inhalt des Beschlusses sind Kreditinstitute, ausländische Bankfilialen und Zahlungsdienstleister verpflichtet, auf Grundlage der in diesem Beschluss vorgeschriebenen Transaktionsklassifizierung Authentifizierungsmaßnahmen bei Online-Zahlungen im Internet (Internet-Banking, Mobile-Banking) umzusetzen und anzuwenden.

Kunden müssen sich bei ihrer ersten Zahlung per Mobile Banking biometrisch authentifizieren.

Lösungen zur Minimierung von Risiken bei Online-Zahlungen

Kreditinstitute, ausländische Bankfilialen und Zahlungsdienstleister müssen die folgenden Lösungen implementieren, um die Risiken bei Online-Zahlungen zu minimieren:

Privatkunden müssen sich authentifizieren, bevor sie die erste Transaktion mit der Mobile-Banking-Anwendung durchführen oder bevor sie eine Transaktion auf einem anderen Gerät als dem Gerät durchführen, mit dem zuletzt die Mobile-Banking-Transaktion durchgeführt wurde:

Anhand des biometrischen Identifikationsmerkmals des Kunden: (i) Übereinstimmung mit den biometrischen Daten, die auf dem Chip des von der Polizei ausgestellten Personalausweises des Kunden gespeichert sind; (ii) oder durch Authentifizierung des vom elektronischen Identifizierungs- und Authentifizierungssystem erstellten elektronischen Identifikationskontos des Kunden;

Oder durch Abgleich des biometrischen Identifikationsmerkmals des Kunden mit den in der erfassten und verifizierten biometrischen Kundendatenbank gespeicherten biometrischen Daten, kombiniert mit der per SMS/Sprache oder Soft-OTP/Token-OTP gesendeten OTP-Authentifizierungsmethode.

Zusätzlich wird der Kunde per SMS oder über andere von ihm registrierte Kanäle (E-Mail, Telefon usw.) über die erste Anmeldung bei der Internet-Banking-/Mobile-Banking-Anwendung oder die Anmeldung bei der Internet-Banking-/Mobile-Banking-Anwendung auf einem anderen Gerät als dem, mit dem er sich zuletzt bei der Internet-Banking-/Mobile-Banking-Anwendung angemeldet hat, informiert.

Andererseits sollten Informationen über das Gerät, das die Online-Transaktionen der Kunden durchführt, sowie Transaktionsauthentifizierungsprotokolle mindestens 3 Monate lang gespeichert werden.

Für Kartenzahlungsdienstleister

Die Entscheidung stellt klar, dass Anbieter von Kartenzahlungsdiensten die folgenden Risikominderungsmaßnahmen umsetzen müssen:

Transaktionsbenachrichtigung per SMS oder E-Mail.

Legen Sie tägliche Transaktionslimits fest.

Funktionen einrichten, um Online-Zahlungen zu ermöglichen/zu verhindern.

Legen Sie ein tägliches Limit für Online-Kartenzahlungen fest.

Funktionen einrichten, um Zahlungen aus dem Ausland zuzulassen/zu unterbinden (mit Ausnahme von Online-Transaktionen).

Implementieren Sie eine 3D Secure-Authentifizierungslösung (oder eine gleichwertige Lösung) für Online-Zahlungen mit internationalen Karten.

Dieser Beschluss tritt am 1. Juli 2024 in Kraft und ersetzt den Beschluss Nr. 630/QD-NHNN vom 31. März 2017 des Gouverneurs der Staatsbank von Vietnam über die Verkündung des Plans zur Anwendung von Sicherheitslösungen bei Online-Zahlungen und Bankkartenzahlungen.

Für Kreditinstitute, die einer besonderen Aufsicht unterliegen, gilt der 1. Januar 2025 als Stichtag für die Anwendung der Bestimmungen dieses Beschlusses.