Voor de eerste transactie via Mobiel Bankieren is biometrische authenticatie vereist

De gouverneur van de Staatsbank van Vietnam (SBV) heeft zojuist Besluit nr. 2345/QD-NHNN uitgevaardigd over de implementatie van veiligheids- en beveiligingsoplossingen bij online betalingen en betalingen met bankpassen.

Volgens de inhoud van het besluit moeten kredietinstellingen, buitenlandse bankfilialen en aanbieders van betalingsbemiddelaars, op basis van de in dit besluit voorgeschreven transactieclassificatie, authenticatiemaatregelen implementeren en toepassen bij onlinebetalingen op internet (internetbankieren, mobiel bankieren).

Bij hun eerste betaling via Mobiel Bankieren moeten klanten zich biometrisch verifiëren.

Oplossingen om risico's bij online betalingen te minimaliseren

Kredietinstellingen, buitenlandse bankfilialen en aanbieders van betalingsbemiddelaars moeten de volgende oplossingen implementeren om de risico's bij onlinebetalingen te minimaliseren:

Voor particuliere klanten geldt dat zij zich moeten authenticeren voordat zij hun eerste transactie via de Mobiel Bankieren-applicatie kunnen uitvoeren of voordat zij een transactie kunnen uitvoeren op een ander apparaat dan het apparaat waarmee de laatste Mobiel Bankieren-transactie is uitgevoerd:

Door het biometrische identificatiemerk van de klant: (i) dat overeenkomt met de biometrische gegevens die zijn opgeslagen op de chip van de burgerservicekaart van de klant die is uitgegeven door het Openbaar Ministerie; (ii) of door authenticatie van het elektronische identificatieaccount van de klant dat is aangemaakt door het elektronische identificatie- en authenticatiesysteem;

Of door het biometrische identificatiemerk van de klant dat overeenkomt met de biometrische gegevens die zijn opgeslagen in de verzamelde en geverifieerde biometrische database van de klant, gecombineerd met de OTP-authenticatiemethode die wordt verzonden via SMS/Voice of Soft OTP/Token OTP.

Daarnaast moet de klant de eerste keer dat hij inlogt op de applicatie Internetbankieren/Mobiel Bankieren of de keer dat hij inlogt op de applicatie Internetbankieren/Mobiel Bankieren op een ander apparaat dan waarmee hij het laatst heeft ingelogd op de applicatie Internetbankieren/Mobiel Bankieren, hiervan op de hoogte worden gesteld via sms of via andere door de klant geregistreerde kanalen (e-mail, telefoon...).

Sla daarentegen minimaal 3 maanden lang informatie op over het apparaat waarmee de online transacties van klanten worden uitgevoerd en logs van transactie-authenticaties.

Voor aanbieders van kaartbetalingsdiensten

In de beslissing staat duidelijk dat aanbieders van kaartbetalingsdiensten de volgende oplossingen voor risicobeperking moeten implementeren:

Transactiemelding via sms of e-mail.

Stel dagelijkse transactielimieten in.

Stel functies in om online betalingen toe te staan/te weigeren.

Stel een dagelijkse limiet in voor online kaartbetalingen.

Stel functies in om buitenlandse betalingen toe te staan/te weigeren (behalve online transacties).

Implementeer een 3D Secure-authenticatieoplossing (of een equivalent) voor online betalingen met internationale kaarten.

Dit besluit treedt in werking op 1 juli 2024 en vervangt Besluit nr. 630/QD-NHNN van 31 maart 2017 van de gouverneur van de Staatsbank van Vietnam tot afkondiging van het plan voor de toepassing van beveiligingsoplossingen bij onlinebetalingen en betalingen met bankpassen.

Voor kredietinstellingen die onder speciaal toezicht staan, geldt de toepassingsdatum van de bepalingen van dit besluit vanaf 1 januari 2025.