Sự phát triển không ngừng của thương mại điện tử trong những năm gần đây đã tạo sự liên kết mật thiết giữa người tiêu dùng và doanh nghiệp. Trên thực tế, do đại dịch Covid-19 một số lượng người dùng kỷ lục đã thực hiện các giao dịch mua sắm trực tuyến tại nhà, với doanh thu thương mại điện tử toàn cầu đạt 4,28 nghìn tỷ USD vào năm 2020 và dự đoán sẽ tiếp tục tăng trưởng lên 5,4 nghìn tỷ USD vào năm 2022.

Nhưng điều gì tạo nên một giải pháp thanh toán trực tuyến thực sự an toàn và làm cách nào để các nhà cung cấp dịch vụ và nhà cung cấp dịch vụ trực tuyến có thể cải thiện bảo mật và bảo vệ khách hàng của họ?

Bài viết này sẽ giới thiệu tới độc giả cách thức hoạt động của hệ thống thanh toán trực tuyến và các giải pháp thanh toán trực tuyến an toàn trong các ngân hàng.

CÁC GIẢI PHÁP AN TOÀN CHO VIỆC BẢO MẬT THANH TOÁN TRỰC TUYẾN TRONG NGÂN HÀNG

So sánh mức độ trùng khớp của địa chỉ thanh toán

Các thông tin chi tiết kiểm tra được cung cấp trong quá trình giao dịch có thể giúp xác định một giao dịch có khả năng gian lận và bảo vệ doanh nghiệp trước khi gian lận xảy ra. Dịch vụ xác minh địa chỉ (Address Verification Service - AVS) thực hiện so sánh địa chỉ IP của người dùng tương ứng với vị trí địa lý và địa chỉ thanh toán của thẻ tín dụng được sử dụng để đảm bảo rằng khách hàng là chủ thẻ.

Mã hóa dữ liệu

SSL (Secure Sockets Layer) và TLS (Transport Layer Security) là các giao thức xác thực và mã hóa dữ liệu trên Internet. Bảo mật các giao dịch bằng giao thức SSL nhằm đảm bảo rằng thông tin nhạy cảm được mã hóa và chỉ người nhận mới có thể truy cập được.

Tokenization

Mã hóa không phải là cách duy nhất để che giấu giá trị số nhận dạng tài chính vì thông tin mã hóa được truyền đi giữa các máy trạm khác nhau, điều này có thể làm cho dữ liệu khi bị đánh cắp vẫn có thể bị giải mã (ví dụ như có một số hàm mật mã băm đã bị bẻ khóa như các phiên bản trước của SHA). Tuy nhiên, với sự phát triển của các hệ mật mã mới mạnh hơn, điều này được cải thiện và kẻ tấn công khó có thể lấy dữ liệu.

Tokenization là một quá trình mà trong đó thông tin thanh toán nhạy cảm của người sử dụng được thay thế bằng một tập hợp các ký tự được gọi là token và các token này sẽ không ảnh hưởng đến tính an toàn trong các giao dịch trực tuyến và di động. Các máy khách sẽ thực hiện truyền mã token, thay vì dữ liệu thông tin gốc quan trọng, điều này khiến dữ liệu sẽ không thể bị đánh cắp hoặc không có giá trị đối với kẻ tấn công.

Yêu cầu mật khẩu mạnh

Tội phạm mạng sẽ cố gắng truy cập vào tài khoản người dùng bằng cách kết hợp các thông tin thường sử dụng hoặc liên quan tới người dùng như tên, ngày sinh và các từ trong tập hợp từ điển. Bảo vệ tài khoản của khách hàng bằng các yêu cầu mật khẩu mạnh có thể thêm một lớp hàng rào bảo vệ cho người dùng.

Trong trường hợp khách hàng không thể nhớ mật khẩu, cần phải có một quy trình xử lý việc quên mật khẩu nhằm cho phép người sử dụng truy cập vào tài khoản của mình.

Triển khai phương thức 3D Secure

3D Secure là một phương pháp xác thực được thiết kế để ngăn chặn việc sử dụng trái phép thẻ và bảo vệ nhà cung cấp thương mại điện tử khỏi các khoản bồi thường trong trường hợp có giao dịch gian lận. Người bán hàng, tổ chức cung cấp dịch vụ mạng thẻ thanh toán và tổ chức tài chính chia sẻ thông tin để xác thực giao dịch.

Khi người dùng thực hiện thanh toán cho một giao dịch mua sắm trực tuyến, công nghệ 3D Secure sẽ đánh giá xem có cần bảo vệ an toàn thêm hay không nhằm đảm bảo rằng người dùng đó chính là chủ sở hữu thẻ hợp pháp. Nếu đúng là người sở hữu, người dùng sẽ được chuyển đến trang 3D Secure và được yêu cầu nhập mật khẩu hoặc mã PIN. Đồng thời, ngân hàng của người dùng đó sẽ thực hiện tạo mã PIN một lần và gửi đến điện thoại thông qua SMS. Đây là mã PIN mà người dùng cần nhập trước khi có thể hoàn tất giao dịch. Tất cả những nhà cung cấp dịch vụ phải tuân thủ luật mới của Liên minh Châu Âu để đảm bảo tính xác thực mạnh cho khách hàng sử dụng và 3D Secure là một cách hiệu quả để thực hiện công việc này.

Thanh toán thẻ trực tuyến thông thường có thể được xử lý bằng cách nhập thông tin trên thẻ như số thẻ tín dụng và ngày hết hạn. Tuy nhiên, bằng cách áp dụng phương thức 3D Secure, mật khẩu chỉ do chính người dùng biết sẽ được yêu cầu để xác thực ngoài thông tin trên thẻ. Do đó, nó sẽ ngăn chặn các hành vi gian lận như giả mạo khi bị đánh cắp dữ liệu thẻ tín dụng.

Yêu cầu Mã bảo mật thẻ

Mã bảo mật thẻ (Card Verification Value - CVV) có thể được sử dụng để xác thực các giao dịch không sử dụng thẻ trên điện thoại hoặc thông qua phương pháp thanh toán trực tuyến. Nếu số thẻ tín dụng bị đánh cắp, việc yêu cầu thông tin chỉ có trên thẻ có thể giúp nhà cung cấp dịch vụ xác thực thanh toán

Sử dụng phương thức Xác thực khách hàng hiệu lực cao

Xác thực khách hàng hiệu lực cao (Strong Customer Authentication - SCA) được sử dụng nhằm giảm thiểu mức độ gian lận, giúp tăng cường tính bảo mật trong thanh toán trực tuyến và yêu cầu hai hoặc nhiều yếu tố trong quá trình xác thực, thông qua một đối tượng mà người dùng biết (mật khẩu hoặc mã PIN), một đồ vật mà người dùng sở hữu (điện thoại thông minh) hoặc một đặc điểm nhận dạng của riêng người dùng (dấu vân tay hoặc nhận dạng giọng nói).

Theo dõi các hành vi gian lận liên tục

Nhà cung cấp dịch vụ cần sử dụng một cổng thanh toán để phát hiện và quản lý gian lận. Các cơ chế giám sát gian lận đã được tích hợp sẵn có thể giúp xác định vị trí có thể có rủi ro thực sự trong việc mua gian lận. Các doanh nghiệp có thể đặt ra các quy tắc, dựa trên tình hình và khả năng chấp nhận rủi ro, hạn chế hoặc từ chối các giao dịch được coi là có rủi ro quá cao hoặc yêu cầu phê duyệt thủ công trước khi giao dịch hoàn tất.

Tuân thủ các tiêu chuẩn PCI

Việc tuân thủ PCI là một phần quan trọng trong việc thực hiện thanh toán bằng thẻ. Tất cả những người cung cấp dịch vụ từ các tập đoàn lớn nhất thế giới đến các cửa hàng Internet nhỏ chấp nhận thanh toán bằng thẻ tín dụng (trực tuyến hoặc ngoại tuyến) đều phải tuân thủ Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS).

PCI DSS là một framework bao gồm 12 yêu cầu kỹ thuật và vận hành do Tiêu chuẩn bảo mật PCI đặt ra cho các doanh nghiệp lưu trữ, xử lý hoặc truyền dữ liệu thanh toán bằng thẻ. Mỗi công ty cung cấp dịch vụ thẻ đều có các quy tắc riêng cần tuân thủ, xác nhận và thực thi.

Nhà cung cấp dịch vụ có chức năng xử lý, lưu trữ hoặc truyền dữ liệu thẻ tín dụng bắt buộc phải tuân thủ PCI. Hậu quả của việc vi phạm dữ liệu đối với một doanh nghiệp không tuân thủ là rất lớn và có thể bao gồm các khoản tiền phạt và hình phạt tốn kém, bên cạnh những thiệt hại đáng kể về danh tiếng.

Các tổ chức xử lý thanh toán đóng một vai trò quan trọng trong việc giúp nhà cung cấp dịch vụ quản lý và duy trì mức độ tuân thủ, nhưng các doanh nghiệp nên đóng vai trò chủ động để hiểu rõ về các nghĩa vụ và các yêu cầu tuân thủ của họ.

Hướng dẫn người sử dụng thanh toán trực tuyến an toàn

Không ít những vụ lừa đảo thông qua thanh toán trực tuyến xuất phát từ việc người dùng không hiểu đúng về các nguyên tắc, cũng như các kiến thức cơ bản về an toàn mạng trong việc sử dụng ứng dụng. Việc hướng dẫn người dùng về những kiến thức cơ bản trong ứng dụng thanh toán trực tuyến của các ngân hàng là điều cần thiết, bởi điều này giúp cho cả hai bên bảo vệ quyền lợi chính đáng.

KẾT LUẬN

Bất kỳ hình thức thanh toán nào cũng sẽ tiềm ẩn những rủi ro không mong muốn và thanh toán trực tuyến trong ngành ngân hàng cũng không phải ngoại lệ. Với công nghệ hiện tại, các ngân hàng và các tổ chức tài chính đã và đang liên tục nâng cấp hệ thống công nghệ thông tin cho hình thức thanh toán trực tuyến để bảo vệ khách hàng khỏi các rủi ro và các trường hợp tấn công xấu nhất.

Tuy nhiên, một trong những phương pháp mạnh mẽ nhất chính là trách nhiệm và ý thức khi tham gia thanh toán trực tuyến của người dùng, bởi họ chính là những người thực hiện các giao dịch trực tiếp một cách thường xuyên. Khi người dùng phối hợp với ngân hàng trong việc tuân thủ các quy định và phương pháp đã đề ra, việc bảo vệ an toàn trong thanh toán trực tuyến đối với người dùng sẽ đạt hiệu quả cao nhất.