Thế nào là xác thực SCA?

Anh Học| 15/08/2019 15:30
Theo dõi ICTVietnam trên

Xác thực khách hàng an toàn mạnh mẽ (gọi tắt là SCA) thể hiện nỗ lực mới của Liên minh châu Âu nhằm chuẩn hóa các biện pháp bảo vệ dành cho khách hàng giao dịch với ngân hàng toàn cầu và từ đó cải thiện sự cạnh tranh.

SCA là một phần của chỉ thị sắp tới của EU, Chỉ thị Dịch vụ thanh toán thứ hai, bắt đầu có hiệu lực vào ngày 14/9/2019. Chỉ thị này sẽ yêu cầu bất kỳ doanh nghiệp nào cung cấp dịch vụ thanh toán trong Khu vực Kinh tế châu Âu cũng phải triển khai xác thực đa yếu tố trong chuyển khoản điện tử.

Sau ngày này, tất cả các giao dịch được coi là “khách hàng mới bắt đầu” chẳng hạn như thanh toán bằng thẻ và chuyển khoản ngân hàng sẽ phải tuân theo các biện pháp bảo vệ của SCA. Các khoản thanh toán được coi là “thương gia” chẳng hạn như ghi nợ trực tiếp sẽ nằm ngoài chỉ thị này và sẽ tiếp tục hoạt động như hiện nay.

Mục đích là để giảm số lượng thanh toán gian lận bằng cách buộc sử dụng yếu tố xác thực thứ hai đối với các khoản thanh toán đủ điều kiện, cụ thể là cái mà khách hàng có quyền truy cập, chẳng hạn như số PIN hoặc dữ liệu sinh trắc học. Một khách hàng truy cập vào tài khoản ngân hàng trực tuyến, gửi một khoản thanh toán trực tuyến cho một thương gia hoặc một khách hàng tham gia với bất kỳ kênh từ xa nào có thể có nguy cơ lừa đảo, tất cả sẽ phải tuân thủ theo SCA.

Những thay đổi cũng có nghĩa là, kể từ ngày 14/9, mọi khoản thanh toán đủ điều kiện chưa qua các lớp bảo vệ bổ sung có thể sẽ bị ngân hàng từ chối.

Sự phát triển của công nghệ ngân hàng

Ngày càng có nhiều người trong chúng ta sử dụng thiết bị di động để thực hiện các giao dịch tài chính. Đây là một phần của việc giảm xu hướng sử dụng tiền mặt. Theo Hiệp hội Bán lẻ Anh, thanh toán thẻ chiếm hơn 3/4 tổng doanh số bán lẻ. Các khoản thanh toán thẻ hiện đại đã được bảo vệ bởi những gì có thể được coi là tương đương với SCA, thông qua việc sử dụng chip và pin, tuy nhiên, điều này vẫn chưa được mở rộng cho các khoản thanh toán được thực hiện trực tuyến. Trong khi đó, có một sự tăng trưởng trong ngân hàng kỹ thuật số vốn không có bất kỳ chi nhánh nào mà thay vào đó hoạt động hoàn toàn trực tuyến.

Giữ tiền an toàn

Khi chúng ta thanh toán bằng tiền mặt, thật dễ dàng để chứng minh tiền mặt là của chúng ta và chúng ta đang nộp tiền một cách trực tiếp. Nhưng với thanh toán điện tử, chỉ với một bước, chúng ta đã rút tiền ra khỏi tài khoản và của mình và chi trả thay vì sử dụng tiền mặt, cho dù đó là ứng dụng điện thoại di động hay trong trình duyệt web, chúng ta sẽ không phải kết nối trực tiếp nữa.

Vì vậy, không có gì đáng ngạc nhiên khi biết rằng trong khi tất cả các cách thanh toán mới đều thuận tiện cũng đồng nghĩa với việc gia tăng gian lận. Theo thời báo UK Finance, tổn thất gian lận đối với các thẻ do Vương quốc Anh phát hành lên tới 671,4 triệu bảng vào năm 2018, tăng 19% so với năm trước.

Đó là lí do “Xác thực SCA” được ra đời. Nó được thiết kế để giúp chống gian lận thanh toán và là một tính năng chính của PSD2 (Chỉ thị Dịch vụ thanh toán thứ hai), được Ủy ban châu Âu công bố vào tháng 12 năm 2015, bao gồm nhiều vấn đề xoay quanh các khoản thanh toán. Quan trọng hơn, nó được kì vọng là sẽ áp dụng cho Vương quốc Anh bất chấp những gì liên quan tới   Brexit.

Với SCA, cần có yếu tố xác thực thứ hai. Xác thực hai yếu tố yêu cầu hai trong ba loại xác thực khác nhau được sử dụng, cho dù đó là thứ mà người trả tiền biết (ví dụ: PIN), thứ gì đó khác mà họ có quyền truy cập trực tiếp (ví dụ: thẻ tín dụng hoặc điện thoại di động) hoặc sinh trắc học dữ liệu (ví dụ dấu vân tay).

Chúng ta đã có sẵn thứ này chưa?

Hiện tại, có một quy trình xác thực đa yếu tố được gọi là 3D Secure (3DS). Nó được sử dụng cho các giao dịch thẻ tín dụng, nhưng nó chỉ được sử dụng khi nguy cơ gian lận được xác định. Thông thường nếu bạn mua hàng trực tuyến, bạn sẽ thấy nó hoạt động thông qua cửa sổ thứ hai và yêu cầu xác thực. Nó gây khó chịu trên máy tính và thậm chí còn khó chịu hơn trên điện thoại. Một phiên bản sửa đổi cho phép sinh trắc học (dấu vân tay hoặc khuôn mặt), phù hợp hơn với người dùng điện thoại.

3DS cho phép người bán từ chối yếu tố thứ hai, giúp giao dịch mượt mà hơn, nhưng giảm yếu tố bảo mật.

PSD2 sử dụng một bộ quy tắc khác biệt. Giao dịch dưới 30 bảng Anh có thể được thực hiện mà không cần Xác thực khách hàng an toàn mạnh mẽ - tức là yếu tố thứ hai - nhưng sau đó, có các quy tắc mới áp dụng được yêu cầu cho yếu tố thứ hai. Khả năng của một yếu tố thứ hai là cần thiết dựa trên tỷ lệ gian lận của ngân hàng và tổ chức phát hành. Ngân hàng càng ít những vụ gian lận, bạn càng có thể chi tiêu trước khi yếu tố thứ hai được yêu cầu. Điều quan trọng là, những khách hàng “thương gia” sẽ không còn có tiếng nói trong việc này.

Ngoài ra, mọi giao dịch thứ năm dưới giới hạn 30 Bảng Anh sẽ gặp khó khăn và cũng sẽ khó hơn khi giá trị của các giao dịch lớn hơn 100 Bảng.

Làm thế nào để bảo đảm thanh toán theo SCA

Phiên bản cập nhật của 3D Secure, được đặt tên là 3D Secure 2, sẽ được phát hành trong năm nay để chuyển đổi sang SCA. Tiêu chuẩn mới này nhằm giảm một số vấn đề mà xác thực đa yếu tố có thể mang lại.

3DS 2 hoạt động bằng cách cho phép gửi thêm thông tin từ nhà cung cấp đến ngân hàng của khách hàng. Điều này không chỉ bao gồm các chi tiết cụ thể cho khoản thanh toán, chẳng hạn như địa chỉ giao hàng, mà còn có thể cho phép rút ra thông tin theo ngữ cảnh. Dữ liệu thiết bị người dùng, lịch sử giao dịch, thông tin máy chủ và thậm chí cả múi giờ thanh toán được ủy quyền đều có thể được đối chiếu bởi ngân hàng của khách hàng như một phần của đánh giá rủi ro; kết quả sẽ thông báo liệu có cần kiểm tra xác thực bổ sung hay không.

Tuy nhiên, mọi quy trình thanh toán đã sử dụng xác thực đa yếu tố sẽ được tuân thủ theo chỉ thị SCA, chẳng hạn như các ngân hàng kỹ thuật số yêu cầu kiểm tra sinh trắc học hoặc dịch vụ như Apple Pay.

Có một số ngoại lệ đối với chỉ thị của SCA. Đối với bất kỳ dịch vụ nào dựa trên đăng ký giá cả định kỳ, xác thực đa yếu tố sẽ chỉ được yêu cầu cho khoản thanh toán do khách hàng thực hiện đầu tiên.

Điều quan trọng cần nhớ là ngân hàng của chủ thẻ quyết định có yêu cầu MFA hay không và liệu miễn trừ SCA có hợp lệ hay không.

Điều này có ý nghĩa gì đối với ngân hàng ngày nay?

Xác thực SCA nhằm mục đích hài hòa các biện pháp bảo vệ người dùng và giảm gian lận - điều này phải tốt cho cả chúng ta với tư cách cá nhân cũng như cho các ngân hàng và thương nhân. Người bán có thể chuyển sang các ngân hàng có tỷ lệ gian lận thấp hơn để giảm thiểu nhu cầu xác thực yếu tố thứ hai. Điều này có thể khiến các ngân hàng trở nên sắc bén và tập trung hơn trong việc giảm gian lận, một lần nữa điều này là rất tốt cho toàn ngành và cho người tiêu dùng.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Thế nào là xác thực SCA?
POWERED BY ONECMS - A PRODUCT OF NEKO