Rủi ro thẻ là do phớt lờ các chuẩn mực
Hàng loạt vụ mất tiền, rủi ro với người dùng thẻ ngân hàng tại Việt Nam xảy ra thời gian qua không phải là sự xui xẻo ngẫu nhiên. Nó bắt nguồn từ những lỗ hổng rất cơ bản của các ngân hàng trong việc tổ chức quản lý, xây dựng quy trình và thực thi các nguyên tắc kinh doanh thẻ nói riêng và ngân hàng điện tử nói chung.
Nhiều ngân hàng phớt lờ chuẩn mực rủi ro
Qua khảo sát với những người làm trong lĩnh vực thẻ ngân hàng, chúng tôi được biết, hầu hết ngân hàng Việt Nam đều chưa thiết lập và áp dụng các công cụ rất cơ bản để tránh rủi ro trong hoạt động kinh doanh thẻ mà thế giới đã áp dụng từ lâu.
Đầu tiên và quan trọng nhất với một tổ chức thanh toán thẻ phải kể tới chuẩn bảo mật PCI/DSS(*). Giới công nghệ tài chính chẳng lạ gì cụm từ này bởi đây là chuẩn quản lý rủi ro thẻ toàn thế giới đã áp dụng và được coi là “ổ khóa thiết yếu nhất” với tội phạm thẻ vì PCI/DSS có thể chống lại phần lớn các hình thức tấn công của tội phạm thẻ.
Ở Việt Nam hiện mới có bốn ngân hàng đã thực hiện và nhận được chứng chỉ PCI/DSS trong số gần 40 tổ chức tín dụng cung cấp dịch vụ thẻ ngân hàng, gồm: VPBank, TienphongBank, Sacombank, Techcombank. Cổng thanh toán trực tuyến OnePay và Ngân hàng SHB đang chuẩn bị xây dựng. Đặc biệt, bốn ngân hàng gốc quốc doanh có thị phần thẻ lớn nhất thị trường là Vietcombank, BIDV, VietinBank và Agribank đều chưa xây dựng chuẩn này.
Vì sao vậy?
“Người dùng thẻ có quyền yêu cầu sự cam kết và hỗ trợ mạnh mẽ từ cấp lãnh đạo các ngân hàng, thậm chí công bố các ngân hàng đã đạt và chưa đạt các chuẩn cơ bản với thanh toán thẻ”, theo lời một chuyên gia.
Theo tìm hiểu của người viết, về cách thức thực hiện, các ngân hàng muốn áp dụng tiêu chuẩn PCI/DSS cần rà soát lại toàn bộ cấu trúc trong hệ thống, kiểm tra sự tương thích của các core (phần mềm lõi) bộ phận thẻ và các core của các bộ phận khác, xây dựng quy trình xử lý thông tin giao dịch theo đúng chuẩn của các tổ chức quốc tế đã đưa ra...
Việc tuân thủ PCI/DSS là một quá trình liên tục và các ngân hàng phải thường xuyên áp dụng các chính sách, quy định về an toàn thông tin đã đặt ra theo tiêu chuẩn và thực hiện nghiêm ngặt quy trình.
Đặc biệt theo hệ thống quy trình của PCI/DSS, hầu hết ngân hàng sẽ phải thay đổi nhiều trong quy trình hoạt động và phải tuân thủ thực sự với sự giám sát của các tổ chức độc lập chứ không phải xây dựng quy trình rồi để đó.
Có lẽ đây là điểm các ngân hàng “ngại” vì việc tiến hành đánh giá môi trường làm việc và xác định việc tuân thủ các quy định về bảo mật rất khắt khe và mất hàng năm trời. Định kỳ hàng tháng, các tổ chức phải thực hiện kiểm tra lỗ hổng bảo mật và các hình thức “đánh phá” khác để phát hiện và trám lỗ hổng kịp thời. Dựa trên kết quả đánh giá của các chuyên gia kiểm định hệ thống thông tin (kiểm toán công nghệ) để vá các lỗ hổng bảo mật (nếu có).
Các tổ chức độc lập sẽ kiểm tra các quy trình và tuân thủ, chính sách an toàn thông tin, xây dựng tường lửa bảo vệ dữ liệu thẻ, thiết lập hệ thống phòng chống xâm nhập trái phép... Nhân viên phải được trải qua các chương trình đào tạo đánh giá an ninh nội bộ PCI của Hội đồng Bảo mật an ninh dữ liệu thẻ thanh toán. Các tổ chức quốc tế liên tục giám sát các tiêu chí này định kỳ rồi mới có thể cấp chứng chỉ PCI cho ngân hàng. Thậm chí khi có chứng chỉ rồi, các ngân hàng phải vượt qua các chương trình chứng nhận liên quan hàng năm để có thể tiếp tục gia hạn chứng chỉ, nếu có những vi phạm liên quan đến dữ liệu thẻ thanh toán họ có thể sẽ bị rớt xuống mức độ thấp hơn của sự tuân thủ.
Yếu tố thứ hai liên quan đến đầu tư tài chính, một lãnh đạo ngân hàng khẳng định rủi ro thẻ tuy tốn kém không ít chi phí, từ vài chục ngàn đến vài trăm ngàn đô la Mỹ mỗi năm, song vẫn nằm trong khả năng của các ngân hàng. “Đầu tư cho hệ thống công nghệ thẻ chuẩn mực là việc liên tục và lâu dài với đơn vị tính bằng năm chứ không phải ngày một ngày hai, cần nhiều thời gian và công sức liên tục nhưng đó là con đường bắt buộc phải đi”, một phó tổng giám đốc phụ trách công nghệ của ngân hàng thương mại chia sẻ...
http://www.thesaigontimes.vn/151667/Rui-ro-the-la-do-phot-lo-cac-chuan-muc.html
|