An toàn thông tin khách hàng trong giao dịch ngân hàng điện tử
Trong các giao dịch khách hàng, việc đảm bảo ATTT là công việc quan trọng mà bất cứ ngân hàng nào cũng phải quan tâm. Để phục vụ khách hàng ngày càng tốt hơn, Ngân hàng thường áp dụng những phương pháp phân loại khách hàng. Việc phân loại khách hàng chính xác giúp Ngân hàng hoạch định và triển khai chiến lược hoạt động kinh doanh, phát triển mạng lưới kênh phân phối cũng như trong thực hiện các biện pháp quản trị kinh doanh. Có nhiều cách phân loại khách hàng, căn cứ vào các tiêu chí phân loại khác nhau. Có thể kể ra một số cách thức, tiêu chí phân loại mà Ngân hàng thường áp dụng như sau:
- Căn cứ vào nguồn lợi nhuận khách hàng đem lại cho Ngân hàng có thể phân chia thành khách hàng đặc biệt, khách hàng lớn/quan trọng, khách hàng vừa, khách hàng nhỏ, khách hàng phi tích cực, khách hàng tiềm năng....
- Căn cứ vào tiêu chuẩn tính chất khác nhau của khách hàng sẽ có khách hàng doanh nghiệp, cá nhân; các cửa hàng; các cơ quan quản lý nhà nước cấp trung ương, địa phương....
Thông thường khách hàng của Ngân hàng được phân loại thành khách hàng cá nhân và khách hàng tổ chức (doanh nghiệp). Thông tin khách hàng được xác định tùy thuộc vào cách thức phân loại. Chẳng hạn, thông tin khách hàng cá nhân có thể bao gồm: tên, tuổi; thông tin giấy tờ tùy thân (chứng minh thư, hộ chiếu...); thông tin liên lạc (địa chỉ, điện thoại, email...).... Thông tin khách hàng tổ chức có thể bao gồm: cơ cấu tổ chức (tổ chức, cơ quan hoặc doanh nghiệp); thông tin liên lạc (địa chỉ, điện thoại, số fax, email); tình hình hoạt động của khách hàng (tình hình sử dụng sản phẩm dịch vụ, kinh phí/ngân sách, lợi nhuận); Thông tin về ngành nghề hiện tại của khách hàng (xu hướng phát triển và vị trí hiện nay của khách hàng trong doanh nghiệp)....
Bảo đảm ATTT khách hàng cũng chính là bảo vệ Ngân hàng. Dưới đây sẽ đề cập tính linh hoạt một số mục thông tin khách hàng cần bảo mật. Đó có thể là danh sách khách hàng đặc biệt/quan trọng của Ngân hàng, thông tin quan trọng về khách hàng tiềm năng của Ngân hàng, chi tiết nghiệp vụ quan trọng của khách hàng với Ngân hàng hoặc chính sách kinh doanh đặc biệt của Ngân hàng đối với các khách hàng đặc biệt/quan trọng.
Tùy vào từng đối tượng khách hàng, thông tin khách hàng cần phải được bảo mật với những cấp độ khác nhau. Cấp độ bảo mật cao nhất có thể là Tuyệt mật, đây là thông tin “quan trọng nhất” của Ngân hàng, khi thông tin này lọt ra ngoài thì sẽ ảnh hưởng nghiêm trọng đến lợi ích và quyền lợi của Ngân hàng. Thông thường, thông tin khách hàng quan trọng ảnh hưởng lớn, trực tiếp đến quyền lợi của Ngân hàng, được coi là cấp tuyệt mật. Tiếp theo là cấp Tối mật, là bí mật “quan trọng” của Ngân hàng, khi thông tin này lọt ra ngoài thì sẽ ảnh hưởng nghiêm trọng đến lợi ích và quyền lợi của Ngân hàng. Thông thường, thông tin khách hàng liên quan đến nghiệp vụ quan trọng của Ngân hàng được coi là cấp tối mật. Thứ ba là cấp Mật/Bí mật, là những bí mật của Ngân hàng mà khi để lọt ra ngoài sẽ gây tổn hại cho lợi ích và quyền lợi của Ngân hàng. Thông thường, thông tin khách hàng có mối quan hệ bình thường với Ngân hàng đã là cấp Mật.
Để bảo đảm an toàn thông tin khách hàng, Ngân hàng cần áp dụng toàn diện các biện pháp an ninh, bảo mật, từ các biện pháp kỹ thuật công nghệ cho tới các tổ chức quản lý và hành chính. Trước hết đề cập đến một số biện pháp kỹ thuật công nghệ:
- Tổ chức an ninh bảo mật mạng nội bộ (Intranet) nghiêm ngặt (có thể bố trí các loại tường lửa; hệ thống chống xâm nhập trái phép; hệ thống quản trị mạng, quản trị tài nguyên mạng; mã hóa đường truyền...);
- Thực hiện các biện pháp phòng và chống virus, mã độc, phần mềm gián điệp, phần mềm ăn cắp thông tin, phishing...;
- Chú trọng bảo vệ cơ sở dữ liệu khách hàng (có thể thực hiện mã hóa, bảo mật CSDL...);
- Thực hiện các biện pháp phòng, chống ăn cắp thông tin khách hàng trên các thiết bị đầu cuối, phục vụ khách hàng như ATM, POS, Kios...;
- Thường xuyên đánh giá an ninh bảo mật, phát hiện lỗ hổng bảo mật và có biện pháp khắc phục kịp thời; Áp dụng các biện pháp xác thực đa yếu tố trong giao dịch khách hàng.
- Tổ chức quản trị phần mềm ứng dụng; Chú trọng phân quyền và quản lý người sử dụng hệ thống;
- Xây dựng và vận hành hệ thống dự phòng (bao gồm cả dự phòng nóng và dự phòng thảm họa);
- Triển khai ứng dụng hệ thống CRM (Quản trị quan hệ khách hàng).
Bên cạnh đó, cũng cần lưu ý các biện pháp về tổ chức quản lý và hành chính, như: có Chính sách ATTT, trong đó có Quy định về ATTT khách hàng; Quản lý tốt nhân viên nghiệp vụ bán hàng và giao dịch với khách hàng; Thực hiện nghiêm các công đoạn kiểm soát, giám sát và đối chiếu; Tổ chức tốt khâu quản trị nhân sự; Thường xuyên giáo dục, đào tạo nâng cao đạo đức nghề nghiệp và tính chuyên nghiệp của cán bộ Ngân hàng.