Bộ quy tắc ứng xử cho các nhà cung cấp Mobile Money của GSMA
Kinh tế số - Ngày đăng : 06:48, 12/03/2021
Ngày 6/11/2014, Hiệp hội Hệ thống Thông tin Di động Toàn cầu (GSMA - Global System for Mobile Communications Association) đã đưa ra Bộ quy tắc ứng xử dành cho các nhà cung cấp tiền di động, phác thảo ra một loạt các nguyên tắc kinh doanh chung để cho phép phát triển các dịch vụ tài chính kỹ thuật số an toàn và trách nhiệm [1].
Các nhà khai thác mạng di động (MNO- Mobile Network Operator) đầu tiên xác nhận Bộ quy tắc là Airtel, Avea, Axiata, Etisalat, Millicom, MTN, Ooredoo, Orange, Telenor, Vodafone và Zain. Cùng với nhau, nhóm MNO này đại diện cho 82 hoạt động triển khai tiền di động hoạt động ở 51 quốc gia [2].
Để cho lĩnh vực tiền di động tiếp tục thúc đẩy sự phát triển của hệ sinh thái tài chính số, các nhà cung cấp tiền di động đã áp dụng Bộ quy tắc ứng xử nhằm đảm bảo rằng dịch vụ của họ được tốt, kênh an toàn và khách hàng được đối xử công bằng.
Bộ quy tắc ứng xử sẽ hỗ trợ sự phát triển liên tục của ngành kinh doanh bằng cách:
- Nâng cao chất lượng dịch vụ và sự hài lòng của khách hàng;
- Tạo điều kiện thuận lợi cho việc thực hiện các quan hệ đối tác đáng tin cậy; và
- Xây dựng lòng tin với các cơ quan quản lý và khuyến khích việc thực hiện các tiêu chuẩn quy định phù hợp và tương xứng.
Định nghĩa Mobile Money
Các nhà cung cấp tán thành Bộ quy tắc đã chính thức hóa cam kết của họ đối với 8 nguyên tắc làm cơ sở cho ba lĩnh vực quan trọng chính: Sự lành mạnh của các dịch vụ, bảo mật của mạng di động và kênhvà đối xử công bằng với khách hàng.
Tháng 10/2015, GSMA đã ban hành phiên bản thứ 2 của Bộ quy tắc ứng xử trên [3]. Trước khi trình bày lại 8 nguyên tắc đã được liệt kê trong phiên bản thứ 3 [4] của Bộ quy tắc ứng xử được GSMA ban hành vào tháng 3/2017, chúng ta hãy nhắc lại định nghĩa của Mobile Money. Có nhiều định nghĩa cho Mobile Money, nhưng định nghĩa được nêu ra ở đây là ở trong [4].
Theo đó, tiền di động là một dịch vụ chuyển đổi sử dụng công nghệ thông tin và truyền thông (ICT) để mở rộng việc cung cấp các dịch vụ tài chính cho những khách hàng chưa thể tiếp cận các dịch vụ tài chính theo cách truyền thống một cách thuận lợi.
Một dịch vụ được coi là dịch vụ chuyển tiền di động nếu nó đáp ứng các tiêu chí sau:
- Dịch vụ tiền trên điện thoại di động (ĐTDĐ) bao gồm chuyển tiền và thanh toán bằng ĐTDĐ.
- Dịch vụ phải sẵn sàng cho người không gửi tiền ngân hàng, ví dụ, những người không có quyền truy cập vào tài khoản chính thức tại một tổ chức tài chính.
- Các dịch vụ phải cung cấp ít nhất một trong các sản phẩm sau: (a) Chuyển khoản trong nước hoặc quốc tế; (b) Thanh toán di động, bao gồm thanh toán hóa đơn, chi tiêu hàng loạt và thanh toán cho người bán; hoặc là (c) Lưu trữ giá trị.
- Dịch vụ phải cung cấp một giao diện để bắt đầu các giao dịch cho các đại lý và/hoặc các khách hàng mà có khả năng trên thiết bị di động.
- Dịch vụ phải đáp ứng mạng lưới các điểm giao dịch vật lý bên ngoài các chi nhánh ngân hàng và máy ATM để mọi người có thể tiếp cận dịch vụ một cách rộng rãi.
- Các dịch vụ ngân hàng di động mà coi ĐTDĐ chỉ như một kênh khác để tiếp cận sản phẩm ngân hàng truyền thống không được bao gồm.
- Các dịch vụ thanh toán được liên kết với sản phẩm ngân hàng truyền thống hoặc thẻ tín dụng, chẳng hạn như Apple Pay và Google Wallet, không được bao gồm.
8nguyên tắc của Bộ quy tắc ứng xử
Nguyên tắc 1: Nhà cung cấp bảo vệ các quỹ của khách hàng chống lại rủi ro mất mát.
Bảo vệ khỏi tổn thất do lỗi của ngân hàng, nhà cung cấp hoặc bên khác
- Các nhà cung cấp phải đảm bảo rằng các quỹ bằng tổng giá trị của các khoản nợ di động chưa thanh toán được giữ trong một hoặc nhiều tài khoản lưu ký nhân danh người sử dụng tiền di động (người dùng).
- Nhà cung cấp phải đảm bảo rằng các quỹ của người dùng được rào chắn để ngăn chặn sự ràng buộc từ các chủ nợ của nhà cung cấp trong trường hợp nhà cung cấp mất khả năng thanh toán.
- Các nhà cung cấp phải thực hiện các biện pháp để giảm thiểu rủi ro mất tiền do mất khả năng thanh toán của ngân hàng, công ty phát hành trái phiếu hoặc tổ chức khác mà quỹ được đầu tư trong đó.
Bảo vệ khỏi rủi ro thanh toán
- Nếu khả thi, các nhà cung cấp sẽ chỉ cho phép các giao dịch của khách hàng trong đó ghi nợ và ghi có của các tài khoản tiền di động được xử lý trong thời gian thực.
- Các nhà cung cấp phải thường xuyên đối chiếu các giao dịch và thanh toán số dư với các đối tác trong hệ sinh thái tài chính. (Theo mục đích của Quy tắc, "đối tác hệ sinh thái tài chính" là các thực thể được kết nối với dịch vụ tiền di động để cung cấp dịch vụ tài chính).
Nguyên tắc 2: Các nhà cung cấp có các cơ chế dựa trên rủi ro theo tỷ lệ, hiệu quả để ngăn chặn, phát hiện và báo cáo việc sử dụng sai dịch vụ cho mục đích rửa tiền hoặc tài trợ khủng bố (ML/TF-money laundering or terrorist financing) và gian lận.
Các chính sách và thủ tục hiệu quả: Các nhà cung cấp sẽ phát triển các chính sách và thủ tục hiệu quả để tuân thủ chống rửa tiền và chống tài trợ khủng bố (AML/CFT-Anti-Money Laundering and Combating the Financing of Terrorism).
Cam kết của quản lý cấp cao: Quản lý cấp cao phải thể hiện cam kết của họ đối với việc tuân thủ AML/CFT thông qua giám sát thích hợp.
Người quản lý AML/CFT được bổ nhiệm: Các nhà cung cấp sẽ chỉ định một nhân viên đủ năng lực để thúc đẩy và giám sát việc tuân thủ các nghĩa vụ liên quan đến AML/CFT.
Phần mềm giám sát giao dịch: Các nhà cung cấp phải tạo một hệ thống để giám sát các giao dịch cho các mục đích AML/CFT
Các yêu cầu KYC (biết khách hàng của bạn) dựa trên rủi ro và các giới hạn giao dịch/số dư
- Các nhà cung cấp phải xác định đúng các khách hàng và có thể sử dụng cách tiếp cận KYC dựa trên rủi ro nếu được luật pháp và quy định địa phương cho phép.
- Các nhà cung cấp sẽ đặt các giới hạn giao dịch và số dư dựa trên rủi ro thích hợp trên các tài khoản, tùy thuộc vào sức mạnh của nhận dạng và xác minh khách hàng.
- Các nhà cung cấp sẽ có khả năng chặn các giao dịch tài khoản trong một số trường hợp nhất định.
- Các nhà cung cấp sẽ sàng lọc các tài khoản sử dụng danh sách theo dõi rửa tiền, tài trợ khủng bố và trừng phạt trong nước và quốc tế.
Quy trình đào tạo nhân viên và đại lý AML/CFT
- Các nhà cung cấp phải đảm bảo rằng nhân viên và đại lý được đào tạo thích hợp về các thủ tục AML/CFT.
- Các nhà cung cấp phải giám sát việc tuân thủ của nhân viên và đại lý đối với các thủ tục AML/CFT.
- Các nhà cung cấp phải phát triển các chính sách và quy trình rõ ràng để giải quyết các vi phạm AML/CFT của nhân viên và đại lý.
Nguyên tắc 3: Các nhà cung cấp sàng lọc, đào tạo và giám sát nhân viên, các đại lý và thực thể cung cấp dịch vụ thuê ngoài để đảm bảo rằng họ cung cấp dịch vụ an toàn và đáng tin cậy.
Các chính sách và thủ tục thẩm định doanh nghiệp (DN): Các nhà cung cấp phải tiến hành thẩm định thích hợp đối với nhân viên, các đại lý và các tổ chức tiềm năng cung cấp dịch vụ thuê ngoài.
Đào tạo: Các nhà cung cấp phải phát triển và thực hiện các chương trình đào tạo cho nhân viên và các đại lý.
Các thỏa thuận hợp đồng: Các nhà cung cấp phải thiết lập các thỏa thuận bằng văn bản điều chỉnh mối quan hệ của họ với các đại lý và các tổ chức cung cấp dịch vụ thuê ngoài.
Các nhà cung cấp sẽ chịu trách nhiệm về các hành động được thực hiện thay mặt họ bởi các đại lý của họ (và bất kỳ đại lý phụ nào) theo hợp đồng nhà cung cấp - đại lý.
Quản lý và giám sát: Các nhà cung cấp phải phát triển các chính sách và quy trình để quản lý và giám sát liên tục nhân viên, các đại lý và các tổ chức cung cấp những dịch vụ thuê ngoài.
Nguyên tắc 4: Các nhà cung cấp có các chính sách và quy trình được phát triển tốt và có đủ năng lực mạng và hệ thống để đảm bảo cung cấp dịch vụ.
Giám sát hội đồng quản trị và quản lý cấp cao: Các nhà cung cấp phải đảm bảo rằng Hội đồng quản trị và ban lãnh đạo cấp cao thiết lập sự giám sát quản lý hiệu quả.
Quản lý và báo cáo mức dịch vụ: Các nhà cung cấp phải phát triển và triển khai các hệ thống giám sát và báo cáo mức dịch vụ.
Quản lý năng lực: Các nhà cung cấp phải thực hiện các bước để đảm bảo đủ năng lực mạng và hệ thống thông qua dự báo, giám sát và thử nghiệm.
Quản lý sự cố và vấn đề: Các nhà cung cấp phải thiết lập một quy trình quản lý sự cố để khôi phục dịch vụ trong các mức dịch vụ đã thỏa thuận và để điều tra nguyên nhân gốc rễ của các vấn đề.
Quản lý thay đổi và cấu hình: Các nhà cung cấp phải phát triển các quy trình để đảm bảo rằng các hệ thống và các ứng dụng vẫn mạnh khỏe và an toàn sau những thay đổi về hệ thống và cấu hình.
Quản lý rủi ro DN: Các nhà cung cấp phải thiết lập một khuôn khổ quản lý rủi ro để xác định, đánh giá và kiểm soát rủi ro.
Tính liên tục trong kinh doanh: Các nhà cung cấp phải xây dựng kế hoạch kinh doanh liên tục và dự phòng hiệu quả.
Nguyên tắc 5: Các nhà cung cấp thực hiện các bước mạnh mẽ để đảm bảo tính bảo mật của mạng và kênh di động.
Quản trị bảo mật
- Các nhà cung cấp phải phát triển, thực hiện và thường xuyên xem xét chính sách bảo mật chính thức cho các dịch vụ tiền di động.
- Các nhà cung cấp phải sàng lọc, đào tạo và giám sát nhân viên nội bộ.
- Các nhà cung cấp phải đảm bảo có các chính sách để xử lý an toàn thông tin và tài sản.
- Các nhà cung cấp phải đảm bảo bảo vệ tài sản của họ mà truy cập được bởi các nhà cung cấp và bên thứ ba.
Thiết kế và phát triển các hệ thống, ứng dụng và mạng an toàn
- Các nhà cung cấp phải đảm bảo rằng dữ liệu được bảo vệ bằng mật mã và các kiểm soát an ninh mạng.
- Các nhà cung cấp phải đảm bảo rằng các hệ thống và các ứng dụng được thiết kế và phát triển một cách an toàn và được kiểm tra kỹ lưỡng.
Các hoạt động bảo mật đang diễn ra và quản lý gian lận
- Các nhà cung cấp phải xác định và đánh giá các rủi ro bảo mật trước khi cung cấp dịch vụ tiền di động và sẽ tiếp tục giám sát rủi ro trên cơ sở liên tục.
- Nhà cung cấp phải nhận dạng và xác thực người dùng hệ thống một cách thích hợp.
- Các nhà cung cấp sẽ giới hạn quyền truy cập vào dữ liệu khách hàng trên cơ sở "cần biết".
- Nhà cung cấp phải giới hạn quyền truy cập vật lý vào hệ thống.
- Các nhà cung cấp phải đảm bảo các hoạt động xử lý thông tin chính xác và an toàn.
- Các nhà cung cấp phải phát triển các quy trình để đảm bảo rằng tất cả các giao dịch và hoạt động của người dùng được ghi lại bằng các dấu vết kiểm toán thích hợp.
- Các nhà cung cấp phải thường xuyên kiểm tra các hệ thống và quy trình bảo mật.
- Các nhà cung cấp phải đảm bảo tính liên tục của bảo mật thông tin.
- Các nhà cung cấp phải phát triển một quy trình để xác định, giải quyết và giám sát các sự cố bảo mật và các khiếu nại liên quan đến bảo mật.
- Các nhà cung cấp phải phát triển các chính sách và biện pháp dựa trên rủi ro để phát hiện và ngăn ngừa gian lận.
Nguyên tắc 6: Nhà cung cấp truyền đạt thông tin rõ ràng, đầy đủ và kịp thời theo cách mà khách hàng có thể hiểu được để khách hàng có thể đưa ra quyết định sáng suốt.
Công khai và minh bạch hiệu quả: Các nhà cung cấp phải đảm bảo rằng người dùng được cung cấp thông tin rõ ràng, nổi bật và kịp thời về các khoản phí, các điều khoản và các điều kiện.
An toàn và bảo mật: Nhà cung cấp phải hướng dẫn khách hàng cách sử dụng các dịch vụ tiền di động một cách an toàn.
Nguyên tắc 7: Các nhà cung cấp có các cơ chế để đảm bảo rằng khiếu nại được giải quyết hiệu quả và các vấn đề được giải quyết kịp thời.
Các chính sách và thủ tục để đảm bảo giải quyết hiệu quả các khiếu nại của khách hàng
- Nhà cung cấp phải phát triển các chính sách và thủ tục khiếu nại của khách hàng.
- Nhà cung cấp phải thông báo cho khách hàng về sự tồn tại của các chính sách và thủ tục khiếu nại của khách hàng.
- Nhà cung cấp phải phát triển các chính sách cụ thể để xử lý các khoản hoàn nhập.
Sự sẵn sàng của hỗ trợ dịch vụ khách hàng: Các nhà cung cấp phải cung cấp một cơ chế thích hợp để khách hàng giải quyết các thắc mắc và các vấn đề.
Cơ chế nhờ cậy bên ngoài: Các nhà cung cấp phải quy định cách giải quyết tranh chấp nếu việc giải quyết nội bộ không thành công.
Nguyên tắc 8: Nhà cung cấp tuân thủ các thực tiễn tốt về bảo mật dữ liệu khi thu thập, xử lý và/hoặc truyền dữ liệu cá nhân của khách hàng.
Quản trị: Các nhà cung cấp phải tuân thủ các thông lệ tốt và các quy định có liên quan đến quản lý bí mật dữ liệu của khách hàng.
Minh bạch và thông báo: Các nhà cung cấp phải đảm bảo rằng người dùng được cung cấp thông tin rõ ràng, nổi bật và kịp thời liên quan đến thực hành bảo mật dữ liệu của họ.
Sự lựa chọn và kiểm soát của người dùng:
- Các nhà cung cấp phải đảm bảo rằng khách hàng được thông báo về các quyền của họ và có cơ hội để thực hiện sự lựa chọn và kiểm soát có ý nghĩa thông tin cá nhân của họ.
- Nhà cung cấp phải tìm kiếm sự đồng ý của khách hàng đối với bất kỳ thay đổi nào ảnh hưởng nghiêm trọng đến bí mật thông tin cá nhân của họ.
Giảm thiểu việc thu thập và lưu giữ dữ liệu: Các nhà cung cấp sẽ giới hạn thông tin cá nhân được thu thập từ khách hàng và được lưu giữ, sử dụng hoặc chia sẻ.
Tài liệu tham khảo
[1]. https://www.gsma.com/mobilefordevelopment/resources/code-of-conduct-mobile-money-providers/
[2]. GSMA Introduces Code of Conduct for Mobile Money Providers, https://responsiblefinanceforum.org/gsma-introduces-code-conduct-mobile-money-providers/
[3]. https://www.gsma.com/mobilefordevelopment/wp-content/uploads/2015/10/Code-of-Conduct-for-Mobile-Money-Providers-V2.pdf
[4]. https://www.gsma.com/mobilefordevelopment/wp-content/uploads/2014/11/GSMA-Code-of-Conduct-for-Mobile-Money-Providers.pdf