Pierwsza transakcja za pomocą bankowości mobilnej będzie wymagała uwierzytelnienia biometrycznego

Gubernator Banku Państwowego Wietnamu (SBV) właśnie wydał decyzję nr 2345/QD-NHNN w sprawie wdrożenia rozwiązań zapewniających bezpieczeństwo płatności online i płatności kartami bankowymi.

Zgodnie z treścią Decyzji instytucje kredytowe, oddziały banków zagranicznych oraz dostawcy usług pośrednictwa płatniczego, w oparciu o klasyfikację transakcji określoną w niniejszej Decyzji, wdrażają i stosują środki uwierzytelniania przy płatnościach online w Internecie (Bankowość Internetowa, Bankowość Mobilna).

Klienci będą musieli dokonać uwierzytelnienia biometrycznego przy pierwszej płatności za pośrednictwem bankowości mobilnej.

Rozwiązania minimalizujące ryzyko w płatnościach online

Instytucje kredytowe, oddziały banków zagranicznych i dostawcy usług pośrednictwa płatniczego muszą wdrożyć następujące rozwiązania, aby zminimalizować ryzyko związane z płatnościami online:

W przypadku klientów indywidualnych przed dokonaniem pierwszej transakcji za pomocą aplikacji Bankowości Mobilnej lub przed dokonaniem transakcji na innym urządzeniu niż to, na którym ostatnio wykonano transakcję Bankowości Mobilnej, konieczne jest uwierzytelnienie klienta:

Za pomocą biometrycznego znaku identyfikacyjnego klienta: (i) zgodnego z danymi biometrycznymi zapisanymi w chipie dowodu osobistego klienta wydanego przez agencję Bezpieczeństwa Publicznego; (ii) lub poprzez uwierzytelnienie elektronicznego konta identyfikacyjnego klienta utworzonego przez system elektronicznej identyfikacji i uwierzytelniania;

Lub poprzez biometryczny znak identyfikacyjny klienta zgodny z danymi biometrycznymi zapisanymi w zebranej i zweryfikowanej bazie danych biometrycznych klienta, w połączeniu z metodą uwierzytelniania OTP przesyłaną za pomocą wiadomości SMS/głosowej lub Soft OTP/Token OTP.

Jednocześnie należy powiadomić Klienta za pomocą wiadomości SMS lub innych kanałów zarejestrowanych przez niego (e-mail, telefon...) o pierwszym logowaniu do aplikacji bankowości internetowej/mobilnej lub o logowaniu do aplikacji bankowości internetowej/mobilnej na innym urządzeniu niż urządzenie, z którego Klient ostatni raz logował się do aplikacji bankowości internetowej/mobilnej.

Z drugiej strony, przechowuj informacje o urządzeniu, na którym przeprowadzane są transakcje online klientów, a także dzienniki uwierzytelniania transakcji przez co najmniej 3 miesiące.

Dla dostawców usług płatności kartami

W decyzji wyraźnie wskazano, że dostawcy usług płatności kartami muszą wdrożyć następujące rozwiązania mające na celu ograniczenie ryzyka:

Powiadomienie o transakcji za pomocą SMS-a lub e-maila.

Ustaw dzienne limity transakcji.

Skonfiguruj funkcje umożliwiające/blokujące płatności online.

Ustaw dzienny limit płatności kartą online.

Skonfiguruj funkcje umożliwiające/blokujące płatności zagraniczne (z wyjątkiem transakcji online).

Wdrożenie rozwiązania uwierzytelniania 3D Secure (lub równoważnego) do płatności online kartami zagranicznymi.

Niniejsza decyzja wchodzi w życie z dniem 1 lipca 2024 r. i zastępuje decyzję nr 630/QD-NHNN z dnia 31 marca 2017 r. gubernatora Banku Państwowego Wietnamu w sprawie ogłoszenia Planu stosowania rozwiązań bezpieczeństwa w płatnościach internetowych i płatnościach kartami bankowymi.

W przypadku instytucji kredytowych objętych szczególną kontrolą termin stosowania postanowień niniejszej decyzji przypada na dzień 1 stycznia 2025 r.