Rủi ro thẻ là do phớt lờ các chuẩn mực

Hàng loạt vụ mất tiền, rủi ro với người dùng thẻ ngân hàng tại Việt Nam xảy ra thời gian qua không phải là sự xui xẻo ngẫu nhiên. Nó bắt nguồn từ những lỗ hổng rất cơ bản của các ngân hàng trong việc tổ chức quản lý, xây dựng quy trình và thực thi các nguyên tắc kinh doanh thẻ nói riêng và ngân hàng điện tử nói chung.

Nhiều ngân hàng phớt lờ chuẩn mực rủi ro

Qua khảo sát với những người làm trong lĩnh vực thẻ ngân hàng, chúng tôi được biết, hầu hết ngân hàng Việt Nam đều chưa thiết lập và áp dụng các công cụ rất cơ bản để tránh rủi ro trong hoạt động kinh doanh thẻ mà thế giới đã áp dụng từ lâu.

Đầu tiên và quan trọng nhất với một tổ chức thanh toán thẻ phải kể tới chuẩn bảo mật PCI/DSS(*). Giới công nghệ tài chính chẳng lạ gì cụm từ này bởi đây là chuẩn quản lý rủi ro thẻ toàn thế giới đã áp dụng và được coi là “ổ khóa thiết yếu nhất” với tội phạm thẻ vì PCI/DSS có thể chống lại phần lớn các hình thức tấn công của tội phạm thẻ.

Ở Việt Nam hiện mới có bốn ngân hàng đã thực hiện và nhận được chứng chỉ PCI/DSS trong số gần 40 tổ chức tín dụng cung cấp dịch vụ thẻ ngân hàng, gồm: VPBank, TienphongBank, Sacombank, Techcombank. Cổng thanh toán trực tuyến OnePay và Ngân hàng SHB đang chuẩn bị xây dựng. Đặc biệt, bốn ngân hàng gốc quốc doanh có thị phần thẻ lớn nhất thị trường là Vietcombank, BIDV, VietinBank và Agribank đều chưa xây dựng chuẩn này.

Vì sao vậy?

Theo tìm hiểu của người viết, về cách thức thực hiện, các ngân hàng muốn áp dụng tiêu chuẩn PCI/DSS cần rà soát lại toàn bộ cấu trúc trong hệ thống, kiểm tra sự tương thích của các core (phần mềm lõi) bộ phận thẻ và các core của các bộ phận khác, xây dựng quy trình xử lý thông tin giao dịch theo đúng chuẩn của các tổ chức quốc tế đã đưa ra...

Việc tuân thủ PCI/DSS là một quá trình liên tục và các ngân hàng phải thường xuyên áp dụng các chính sách, quy định về an toàn thông tin đã đặt ra theo tiêu chuẩn và thực hiện nghiêm ngặt quy trình.

Đặc biệt theo hệ thống quy trình của PCI/DSS, hầu hết ngân hàng sẽ phải thay đổi nhiều trong quy trình hoạt động và phải tuân thủ thực sự với sự giám sát của các tổ chức độc lập chứ không phải xây dựng quy trình rồi để đó.

Có lẽ đây là điểm các ngân hàng “ngại” vì việc tiến hành đánh giá môi trường làm việc và xác định việc tuân thủ các quy định về bảo mật rất khắt khe và mất hàng năm trời. Định kỳ hàng tháng, các tổ chức phải thực hiện kiểm tra lỗ hổng bảo mật và các hình thức “đánh phá” khác để phát hiện và trám lỗ hổng kịp thời. Dựa trên kết quả đánh giá của các chuyên gia kiểm định hệ thống thông tin (kiểm toán công nghệ) để vá các lỗ hổng bảo mật (nếu có).

Các tổ chức độc lập sẽ kiểm tra các quy trình và tuân thủ, chính sách an toàn thông tin, xây dựng tường lửa bảo vệ dữ liệu thẻ, thiết lập hệ thống phòng chống xâm nhập trái phép... Nhân viên phải được trải qua các chương trình đào tạo đánh giá an ninh nội bộ PCI của Hội đồng Bảo mật an ninh dữ liệu thẻ thanh toán. Các tổ chức quốc tế liên tục giám sát các tiêu chí này định kỳ rồi mới có thể cấp chứng chỉ PCI cho ngân hàng. Thậm chí khi có chứng chỉ rồi, các ngân hàng phải vượt qua các chương trình chứng nhận liên quan hàng năm để có thể tiếp tục gia hạn chứng chỉ, nếu có những vi phạm liên quan đến dữ liệu thẻ thanh toán họ có thể sẽ bị rớt xuống mức độ thấp hơn của sự tuân thủ.

Yếu tố thứ hai liên quan đến đầu tư tài chính, một lãnh đạo ngân hàng khẳng định rủi ro thẻ tuy tốn kém không ít chi phí, từ vài chục ngàn đến vài trăm ngàn đô la Mỹ mỗi năm, song vẫn nằm trong khả năng của các ngân hàng. “Đầu tư cho hệ thống công nghệ thẻ chuẩn mực là việc liên tục và lâu dài với đơn vị tính bằng năm chứ không phải ngày một ngày hai, cần nhiều thời gian và công sức liên tục nhưng đó là con đường bắt buộc phải đi”, một phó tổng giám đốc phụ trách công nghệ của ngân hàng thương mại chia sẻ.

NHNN không thể đứng ngoài

Ngoài PCI/DSS, các “cánh cổng có khóa” khác mà các ngân hàng cần trang bị để bảo vệ người dùng thẻ là tiêu chuẩn thẻ chip EMV với tất cả thẻ nội địa (ATM) và thẻ tín dụng quốc tế, các tiêu chuẩn quốc tế về an ninh bảo mật như ISO 27001 cho hệ thống công nghệ trong ngân hàng, chuẩn 3D secure, công nghệ tokenization và mã QR. Tất cả các “chuẩn” này gần như chưa được các ngân hàng thực hiện.

Liên quan đến an ninh rủi ro thẻ, một vị lãnh đạo ngân hàng khác cho rằng cơ quan quản lý phải có trách nhiệm, nên có quy định bắt buộc với các ngân hàng cung ứng dịch vụ thẻ và lộ trình đạt các tiêu chuẩn này. Các ngân hàng nước ngoài đã áp dụng từ lâu và Ngân hàng Nhà nước (NHNN) không thể chỉ nhắc nhở suông.

Gần đây, NHNN mới ban hành lộ trình dự kiến đến cuối năm 2020 sẽ hoàn thành việc chuyển đổi sang thẻ chip cho toàn bộ thẻ nội địa (ATM). Còn trước đó, cơ quan quản lý chỉ dừng lại ở mức kêu gọi các tổ chức cần tăng cường công tác tập huấn, nâng cao chuyên môn, nghiệp vụ về việc nhận biết thẻ giả, giao dịch nghi ngờ gian lận, giả mạo... song các quy định, chính sách, hướng dẫn các sản phẩm thẻ mới chưa được ban hành đầy đủ (như thẻ ảo, thẻ chip nội địa, thẻ không tiếp xúc, dịch vụ thanh toán thẻ qua mobile POS, dịch vụ thanh toán thẻ dành cho cá nhân...).

Theo các ngân hàng, Quyết định số 20/2007 ngày 15-5-2007 của NHNN về quy chế phát hành, thanh toán, sử dụng và cung cấp dịch vụ hỗ trợ hoạt động thẻ ngân hàng đã không còn phù hợp nhưng vẫn chưa được thay thế. Còn thông tư, nghị định hướng dẫn việc phòng chống tội phạm sử dụng công nghệ cao trong hoạt động thanh toán cũng chưa được ban hành.

Hoặc NHNN chưa ban hành các chế tài, quy định cụ thể để xử lý các trường hợp gian lận, giả mạo trong giao dịch thẻ mà nguyên nhân là do phía ngân hàng cung cấp dịch vụ. Hoặc, đơn giản nhất, là yêu cầu các ngân hàng phải có người trực đường dây nóng để phục vụ chủ thẻ 24/24 giờ khi họ phát hiện bất thường trong các giao dịch (hầu hết đường dây nóng tiếp nhận thông tin thẻ của ngân hàng đều bận hoặc không có người nhấc máy).

Trước mắt để khắc phục những rủi ro liên quan đến giao dịch thẻ, theo một số ngân hàng, NHNN cần yêu cầu các ngân hàng Việt Nam tuân thủ chuẩn mực quốc tế trong kinh doanh thẻ và đề ra lộ trình thực hiện là 3-5 năm.

(*) PCI DSS được đưa ra bởi PCI Security Standards Council, gồm các thành viên là các tổ chức thẻ quốc tế lớn nhất: Visa Inc, MasterCard Worldwide, American Express, Discover Financial Services, JCB International. Mục đích của PCI/DSS nhằm bảo đảm an toàn cho dữ liệu thẻ khi được xử lý và lưu trữ tại các ngân hàng hoặc doanh nghiệp thanh toán.

Hồng Phúc / thesaigontimes.vn