Soft OTP là gì? Soft OTP có mấy loại? Soft OTP phải đáp ứng yêu cầu gì theo Thông tư 50 2024?

Nội dung chính

• Soft OTP là gì? Soft OTP có mấy loại? Soft OTP phải đáp ứng yêu cầu gì theo Thông tư 50 2024?
• Có bao nhiêu loại mã OTP theo Thông tư 50 2024?
• Quy định về hướng dẫn khách hàng sử dụng dịch vụ Online Banking như thế nào theo Thông tư 50 2024?

Soft OTP là gì? Soft OTP có mấy loại? Soft OTP phải đáp ứng yêu cầu gì theo Thông tư 50 2024?

Ngày 31/10/2024, Ngân hàng Nhà nước đã ban hành Thông tư 50 2024 TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Để biết được thông tin: "Soft OTP là gì? Soft OTP có mấy loại? Soft OTP phải đáp ứng yêu cầu gì theo Thông tư 50 2024?" tham khảo thông tin dưới đây:

Tại điểm đ khoản 3 Điều 11 Thông tư 50 2024 TT-NHNN hướng dẫn về Soft OTP như sau:

Soft OTP là hình thức xác nhận thông qua mã OTP được tạo bởi phần mềm cài đặt trên thiết bị di động của khách hàng, phần mềm Soft OTP có thể là phần mềm độc lập hoặc được tích hợp với phần mềm ứng dụng Mobile Banking.

Soft OTP có 02 loại:

(1) Soft OTP loại cơ bản: Mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking;

(2) Soft OTP loại nâng cao: Mã OTP được tạo kết hợp với mã của từng giao dịch, khi thực hiện giao dịch, hệ thống Online Banking tạo ra một mã giao dịch thông báo cho khách hàng hoặc truyền cho phần mềm Soft OTP, khách hàng hoặc phần mềm Soft OTP tự động nhập mã giao dịch vào phần mềm Soft OTP để phần mềm Soft OTP tạo ra mã OTP.

Cũng tại điểm đ khoản 3 Điều 11 Thông tư 50 2024 TT-NHNN quy định về các yêu cầu Soft OTP phải đáp ứng như sau:

Soft OTP phải đáp ứng yêu cầu:

- Trường hợp phần mềm Soft OTP độc lập với phần mềm ứng dụng Mobile Banking, phải được đơn vị đăng ký, quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện tử của đơn vị để khách hàng tải và cài đặt phần mềm Soft OTP.

- Phần mềm Soft OTP phải yêu cầu kích hoạt trước khi sử dụng. Mã kích hoạt sử dụng Soft OTP do đơn vị cung cấp cho khách hàng và chỉ được sử dụng để kích hoạt trên một thiết bị di động. Mã kích hoạt phải được thiết lập thời hạn hiệu lực sử dụng.

- Phần mềm Soft OTP phải có chức năng kiểm soát truy cập. Trường hợp truy cập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần), phần mềm Soft OTP phải tự động khóa không cho khách hàng sử dụng tiếp. Đơn vị chỉ mở khóa phần mềm Soft OTP khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện mở khóa, bảo đảm chống gian lận, giả mạo.

- Trường hợp phần mềm Soft OTP độc lập với phần mềm ứng dụng Mobile Banking phải có chức năng kiểm tra khách hàng cá nhân trước khi cho phép khách hàng sử dụng lần đầu hoặc trước khi khách hàng sử dụng trên thiết bị khác với thiết bị sử dụng lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm:

+ khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký.

+ và khớp đúng thông tin sinh trắc học của khách hàng.

- Mã OTP có hiệu lực tối đa 02 phút.

Thông tin trên cung cấp về: "Soft OTP là gì? Soft OTP có mấy loại? Soft OTP phải đáp ứng yêu cầu gì theo Thông tư 50 2024?"

Soft OTP là gì? Soft OTP có mấy loại? Soft OTP phải đáp ứng yêu cầu gì theo Thông tư 50 2024? 

Có bao nhiêu loại mã OTP theo Thông tư 50 2024?

Căn cứ tại khoản 3 Điều 11 Thông tư 50/2024/TT-NHNN có quy định hình thức xác nhận bằng mã khóa bí mật dùng một lần (One Time Password - OTP) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, bao gồm các hình thức sau:

SMS OTP: Là hình thức xác nhận thông qua mã OTP được gửi qua tin nhắn SMS (Short Message Services) hoặc tin nhắn thông qua dịch vụ viễn thông cơ bản trên Internet. SMS OTP phải đáp ứng yêu cầu:

- OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

- OTP có hiệu lực tối đa 05 phút.

Voice OTP: Là hình thức xác nhận thông qua mã OTP được gửi qua cuộc gọi thoại hoặc cuộc gọi thông qua dịch vụ viễn thông cơ bản trên Internet. Voice OTP phải đáp ứng yêu cầu:

- OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

- OTP có hiệu lực tối đa 03 phút.

Email OTP: là hình thức xác nhận thông qua mã OTP được gửi qua thư điện tử. Email OTP phải đáp ứng yêu cầu:

- OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

- OTP có hiệu lực tối đa 05 phút.

Thẻ ma trận OTP: Là hình thức xác nhận thông qua mã OTP được xác định từ một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP. Thẻ ma trận OTP phải đáp ứng yêu cầu:

- Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

- OTP có hiệu lực tối đa 02 phút.

Soft OTP: Là hình thức xác nhận thông qua mã OTP được tạo bởi phần mềm cài đặt trên thiết bị di động của khách hàng, phần mềm Soft OTP có thể là phần mềm độc lập hoặc được tích hợp với phần mềm ứng dụng Mobile Banking.

Token OTP là hình thức xác nhận thông qua mã OTP tạo bởi thiết bị chuyên dụng. Token OTP có 02 loại:

+ Token OTP loại cơ bản: Mã OTP được tạo một cách ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking;

+ Token OTP loại nâng cao: Mã OTP được tạo ra kết hợp với mã của từng giao dịch. Khi thực hiện giao dịch, hệ thống Online Banking tạo ra một mã giao dịch thông báo cho khách hàng, khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP. Token OTP có hiệu lực tối đa 02 phút.

Quy định về hướng dẫn khách hàng sử dụng dịch vụ Online Banking như thế nào theo Thông tư 50 2024?

Tại Điều 18 Thông tư 50/2024/TT-NHNN có quy định về hướng dẫn khách hàng sử dụng dịch vụ Online Banking như sau:

- Đơn vị phải xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị thực hiện các giao dịch điện tử và cung cấp, hưởng dẫn khách hàng sử dụng các quy trình, tài liệu này.

- Đơn vị phải hướng dẫn khách hàng thực hiện các biện pháp bảo đảm an toàn, bảo mật khi sử dụng dịch vụ Online Banking, tối thiểu gồm các nội dung sau:

+ Bảo vệ bí mật mã khóa bí mật, mã PIN, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;

+ Nguyên tắc thiết lập mã khóa bí mật, mã PIN và thay đổi mã khóa bí mật, mã PIN của tài khoản giao dịch điện tử;

+ Không nên sử dụng máy tính công cộng để truy cập, thực hiện giao dịch; không nên sử dụng mạng WIFI công cộng khi sử dụng dịch vụ Online Banking;

+ Không lưu lại tên đăng nhập và mã khóa bí mật, mã PIN trên các trình duyệt;

+ Thoát khỏi phần mềm ứng dụng Online Banking khi không sử dụng;

+ Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo trang tin điện tử, phần mềm ứng dụng Online Banking;

+ Cài đặt đầy đủ các bản vá lỗ hổng bảo mật của hệ điều hành, phần mềm ứng dụng Mobile Banking; xem xét cài đặt phần mềm phòng chống mã độc và cập nhật mẫu nhận diện mã độc mới nhất trên thiết bị cá nhân sử dụng để giao dịch;

+ Lựa chọn các hình thức xác nhận giao dịch có mức độ an toàn, bảo mật theo quy định và phù hợp với nhu cầu của khách hàng về hạn mức giao dịch;

+ Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ Online Banking;

+ Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Online Banking, phần mềm tạo OTP;

+ Không cài đặt các phần mềm lạ, phần mềm không có bản quyền, phần mềm không rõ nguồn gốc;

+ Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường;

+ Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khóa bảo mật tạo chữ ký điện tử, bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.

- Đơn vị phải cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ Online Banking.

- Đơn vị phải giải thích cho khách hàng về những trường hợp cụ thể đơn vị sẽ liên lạc với khách hàng, cách thức, phương tiện liên lạc trong quá trình khách hàng sử dụng dịch vụ Online Banking.

*Thông tư 50/2024/TT-NHNN có hiệu lực từ ngày 01/1/2025, ngoại trừ những trường hợp sau đây:

- Các điểm b khoản 1 Điều 4, điểm d khoản 9 Điều 7, khoản 3 và khoản 4 Điều 8 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/7/2025.

- Các điểm b khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/1/2026.

- Các điểm c khoản 5 Điều 11, điểm c khoản 7 Điều 11, điểm b (iv) khoản 1 Điều 20 Thông tư 50/2024/TT-NHNN có hiệu lực thi hành kể từ ngày 01/7/2026.