La première transaction effectuée via l'application Mobile Banking nécessitera une authentification biométrique.

Le gouverneur de la Banque d'État du Vietnam (SBV) vient de publier la décision n° 2345/QD-NHNN relative à la mise en œuvre de solutions de sécurité pour les paiements en ligne et les paiements par carte bancaire.

Conformément au contenu de la Décision, les établissements de crédit, les succursales de banques étrangères et les prestataires de services d'intermédiation de paiement doivent, sur la base de la classification des transactions prescrite dans la présente Décision, mettre en œuvre et appliquer des mesures d'authentification dans les paiements en ligne sur Internet (services bancaires par Internet, services bancaires mobiles).

Les clients devront s'authentifier biométriquement lors de leur premier paiement via l'application Mobile Banking.

Solutions pour minimiser les risques liés aux paiements en ligne

Les établissements de crédit, les succursales de banques étrangères et les prestataires de services d'intermédiation de paiement doivent mettre en œuvre les solutions suivantes afin de minimiser les risques liés aux paiements en ligne :

Pour les clients particuliers, avant d'effectuer la première transaction à l'aide de l'application Mobile Banking ou avant d'effectuer une transaction sur un appareil autre que celui ayant servi à la dernière transaction Mobile Banking, le client doit être authentifié :

Par la marque d'identification biométrique du client : (i) correspond aux données biométriques stockées dans la puce de la carte d'identité du client délivrée par l'agence de sécurité publique ; (ii) ou par l'authentification du compte d'identification électronique du client créé par le système d'identification et d'authentification électronique ;

Ou par la marque d'identification biométrique du client correspondant aux données biométriques stockées dans la base de données biométriques clients collectées et vérifiées, combinée à la méthode d'authentification OTP envoyée par SMS/voix ou Soft OTP/Token OTP.

Par ailleurs, notifiez la première connexion à l'application de banque en ligne/mobile ou la connexion à l'application de banque en ligne/mobile sur un appareil différent de celui qui a servi à la dernière connexion à l'application de banque en ligne/mobile par SMS ou par d'autres canaux enregistrés par le client (courriel, téléphone...).

Par ailleurs, conservez les informations relatives à l'appareil qui effectue les transactions en ligne des clients et les journaux d'authentification des transactions pendant au moins 3 mois.

Pour les prestataires de services de paiement par carte

La décision stipule clairement que les prestataires de services de paiement par carte doivent mettre en œuvre les solutions d'atténuation des risques suivantes :

Notification de transaction par SMS ou par e-mail.

Définir des limites de transactions quotidiennes.

Configurer les options permettant d'autoriser/d'interdire les paiements en ligne.

Définissez une limite quotidienne pour les paiements par carte en ligne.

Configurer les options permettant d'autoriser/d'interdire les paiements à l'étranger (à l'exception des transactions en ligne).

Mettre en œuvre une solution d'authentification 3D Secure (ou équivalent) pour les paiements en ligne avec des cartes internationales.

La présente décision prend effet à compter du 1er juillet 2024 et remplace la décision n° 630/QD-NHNN du 31 mars 2017 du gouverneur de la Banque d'État du Vietnam relative à la promulgation du plan d'application des solutions de sécurité aux paiements en ligne et aux paiements par carte bancaire.

Pour les établissements de crédit sous contrôle spécial, le délai d’application des dispositions de la présente décision est le 1er janvier 2025.