Підвищте безпеку онлайн-банкінгу

Згідно з циркуляром 50/2024/TT-NHNN (Циркуляр 50), виданим головою Державного банку В'єтнаму , з 1 січня 2025 року банківським застосункам буде заборонено запам'ятовувати паролі для входу. Це положення є частиною зусиль, спрямованих на покращення безпеки послуг онлайн-банкінгу, одночасно забезпечуючи максимальний захист особистої інформації клієнтів в контексті дедалі більшого розвитку технологій.

Підвищення безпеки та захисту

Стаття 8 Циркуляра 50 чітко передбачає, що банківські додатки, особливо додатки для мобільного банкінгу, повинні відповідати суворим стандартам безпеки для забезпечення цілісності та конфіденційності даних про транзакції.

Серед них, положення, яке забороняє банківським застосункам запам'ятовувати паролі, є одним із важливих заходів для запобігання ризику вторгнення в обліковий запис. Хоча запам'ятовування паролів може принести зручність користувачам, воно створює багато ризиків для безпеки, особливо у разі крадіжки телефону або атаки.

З 1 січня 2025 року банківські додатки більше не зможуть запам'ятовувати паролі для входу.

Стаття 8 передбачає, що банківське прикладне програмне забезпечення, що надається підрозділом, повинно забезпечувати відповідність положенням статті 7 Циркуляра, зокрема:

По-перше, він має бути зареєстрований та керований в офіційному магазині додатків постачальника мобільної операційної системи, а також мати чіткі інструкції з встановлення на веб-сайті підрозділу, щоб клієнти могли завантажити та встановити банківське програмне забезпечення. У випадку, якщо з об'єктивних причин програмне забезпечення для мобільного банкінгу не зареєстроване та не керується в офіційному магазині додатків постачальника мобільної операційної системи, підрозділ повинен мати метод керівництва, повідомлення та підтримки встановлення банківського програмного забезпечення для забезпечення безпеки клієнтів та звітування перед Державним банком (Департаментом інформаційних технологій) перед наданням послуги.

По-друге, необхідно застосовувати запобіжні заходи для обмеження зворотного проектування вихідного коду.

По-третє, існують заходи для захисту від перешкод в потоці обміну даними в застосунку «Мобільний банкінг» та між застосунком «Мобільний банкінг» та сервером, що надає послуги онлайн-банкінгу.

По-четверте, впровадити рішення для запобігання та виявлення несанкціонованого втручання в роботу мобільних банківських додатків, встановлених на мобільних пристроях клієнтів.

По-п'яте, не дозволяйте доступу до функції пам'яті секретного ключа.

По-шосте, для індивідуальних клієнтів має бути функція перевірки клієнтів, коли вони вперше підключаються або коли вони підключаються з іншого пристрою, ніж той, на якому востаннє здійснювалася транзакція за допомогою застосунку «Мобільний банкінг».

Циркуляр 50 був виданий з метою захисту клієнтів від кіберзагроз у банківському секторі.

Пан Мач Куок Фонг, директор філії Ка Мау Комерційного акціонерного банку Кьєнлун (Kienlongbank), сказав: «Ми повністю підтримуємо нові правила безпеки Державного банку. Заборона на запам’ятовування паролів – це правильний крок для забезпечення безпеки клієнтів. Протягом минулого часу ми значно інвестували в технології безпеки та модернізували системи автентифікації користувачів, щоб відповідати новим вимогам. Впровадження заходів безпеки не лише допоможе банку дотримуватися правил, але й покращить якість обслуговування, створюючи довіру для клієнтів. Банк зосереджується на розвитку технологій біометричної автентифікації та одноразових паролів через мобільні пристрої, допомагаючи клієнтам почуватися безпечно під час транзакцій, не турбуючись про проблеми безпеки».

Очікуйте змін

Хоча Циркуляр забезпечує надійну правову базу для захисту користувачів, його впровадження зіткнеться з труднощами. Банкам потрібно буде оновити своє програмне забезпечення, змінити процеси автентифікації та навчити користувачів адаптуватися до нових змін. Для тих, хто менш обізнаний з технологіями, необхідність вводити пароль щоразу під час входу може бути проблемою.

Однак, це також можливість для банків та постачальників фінансових послуг покращити якість обслуговування та підтвердити свої бренди. Банки можуть скористатися перевагами нових технологій, таких як біометричне розпізнавання, автентифікація за обличчям або відбитком пальця, допомагаючи клієнтам не турбуватися про запам'ятовування паролів, водночас забезпечуючи високий рівень безпеки.

Щодо зміни звичок клієнтів, коли паролі не можна зберігати в застосунку, пан Фонг наголосив, що це необхідна зміна: «Хоча це може спричинити незручності для деяких користувачів, захист облікових записів та активів клієнтів є нашим головним пріоритетом. Банк надасть детальні інструкції та підтримку, щоб допомогти клієнтам звикнути до нових методів безпеки».

Пані Фан Тхі Біч Нгок, спеціаліст з казначейства В'єтнамського акціонерного комерційного банку інвестицій та розвитку ( BIDV ) у філії Ка Мау, зазначила деякі важливі моменти: «Користувачі повинні постійно оновлювати свої банківські програми до останньої версії, щоб користуватися новими функціями безпеки та виправляти вразливості безпеки, які можуть з'явитися. Будьте обережні під час введення паролів, оскільки банківські програми більше не запам'ятовують паролі, вам потрібно запам'ятовувати та вводити правильний пароль щоразу, коли ви входите в систему. Щоб не забути свій пароль, використовуйте безпечні методи зберігання паролів, такі як програмне забезпечення для керування паролями. Крім того, клієнти повинні використовувати надійні методи автентифікації, такі як: OTP, Soft OTP, біометричні дані – це безпечні варіанти, які допомагають захистити ваш обліковий запис від вторгнення».

Верифікація клієнта включатиме щонайменше такі кроки: перевірка дійсності SMS OTP або Voice OTP через зареєстрований номер телефону клієнта або за допомогою Soft OTP/Token OTP. Водночас система також вимагатиме зіставлення біометричної інформації клієнта, як це передбачено пунктом 5 статті 11 Циркуляра 50, що вимагає збору та зберігання біометричної інформації у випадку послуг, що надаються через відповідний додаток Mobile Banking.

В'єтнам і Америка