Khóa luận Nghiên cứu vấn đề xác thực trong hệ thống thanh toán điện tử

xếp khác của các bên. Tương lai của thanh toán theo xu hướng tiêu dùng hiện đại, tiền giấy sẽ được thay thế dần bởi thẻ TTĐT, thẻ thông minh, ví điện tử, và ngay cả điện thoại di động. Những sơ hở của người sử dụng trong việc để lộ thông tin mật của các thẻ thanh toán bởi các Hacker, các trang web phishing, các chương trình Keylogger,...khi sử dụng đã gây nên những thiệt hại không nhỏ không chỉ cho người chủ sở hữu mà còn cho các doanh nghiệp cung cấp dịch vụ tài chính trực tuyến. Để bảo vệ quyền lợi của khách hàng của mình, các ngân hàng cùng các công ty bảo mật đã đưa ra nhiều giải pháp bảo mật khác nhau trong việc TTĐT trên mạng như: ma trận ngẫu nhiên, One time-One password token và tiêu chuẩn mới nhất trong TTĐT SET (Secure Electronic Transaction),... nhằm đảm bảo các phiên giao dịch của người sử dụng. CHƯƠNG 3: XÁC THỰC TRONG CÁC HỆ THỐNG THANH TOÁN ĐIỆN TỬ 3.1. Vai trò của xác thực trong thanh toán Hiện tại, hầu hết các dịch vụ mua bán hàng hoá trên mạng đều sử dụng hình thức thanh toán bằng thẻ tín dụng (credit card) để thanh toán. Người sử dụng cần nhập vào các thông tin: tên người sử dụng, mã số thẻ, ngày hết hạn của thẻ. Nhưng vì thẻ tín dụng là công cụ sử dụng phổ biến cho các thanh toán khác nhau nên những thông tin trên sẽ có rất nhiều người biết. Và do đó tình hình sẽ xảy ra là “nếu tôi biết những thông tin thẻ tín dụng của anh thì hoàn toàn tôi có thể mua một món hàng trên mạng (an toàn hơn là loại thứ hai) còn anh là người trả tiền” gian lận kiểu này không thể hạn chế được. Thực tế hiện nay, các gian lận về thẻ trên Internet chiếm 6-7% tổng số các giao dịch thẻ ở các nước châu Âu, và tỷ lệ này ở châu Á là 10%. Tại Việt nam, tuy dịch vụ thẻ tín dụng mới được đưa vào áp dụng cuối năm 1996 nhưng đến nay, tỷ lệ các giao dịch gian lận trên tổng số các giao dịch là hơn 10%, cứ trong 5 giao dịch gian lận thì có 4 giao dịch gian lận mua hàng trên Internet và trong 4 giao dịch đó thì có một giao dịch là mua hàng hoá, 3 giao dịch là sử dụng các dịch vụ khác. Như vậy rõ ràng có thể kết luận rằng, trên thế giới hiện nay, nhu cầu về TMĐT rất phổ biến nhưng các vấn đề hạ tầng xoay quanh TTĐT vẫn chưa được giải quyết tương xứng và đáp ứng được các đòi hỏi đặt ra. Do đó có thể kết luận việc nghiên cứu xây dựng các hệ thống TTĐT để đảm bảo an toàn thông tin trong các dịch vụ TMĐT là một hướng nghiên cứu rất cần thiết hiện nay. 3.2. Các phương thức thanh toán chính Card Payment (các hình thức thanh toán gắn với thẻ tín dụng, thẻ thông minh... qua thiết bị chấp nhận thẻ POS, ATM...) e-Payment (các hình thức thanh toán dựa trên kết nối mạng Internet, như PC, Notebook...) Mobile Payment (các hình thức thanh toán sử dụng những ứng dụng trên điện thoại di động GSM, như PDA, Smartphone...) 3.3. Hoạt động xác thực diễn ra như thế nào 3.3.1. Card Payment 3.3.1.1. Phương pháp xác thực Một giải pháp đặt ra đó là sử dụng mã PIN dùng một lần tại thời điểm giao dịch. Đối với thẻ tín dụng, phương pháp này an toàn hơn hẳn so với việc sử dụng chữ ký của chủ thẻ và các thông tin cá nhân làm căn cứ xác thực. Đối với thẻ từ, nó hạn chế được khả năng sử dụng thẻ giả để thanh toán, tuy nhiên để tăng cường bảo mật thì phải sử dụng thẻ có gắn chip IC, vì công nghệ thẻ IC cho phép hệ thống xác thực động tại ngay thời điểm giao dịch. Sự kết hợp giữa công nghệ thẻ IC và việc sử dụng mã PIN chủ thẻ nắm giữ (hai nhân tố) là phương thức xác thực tốt nhất hiện nay với hình thức thanh toán Card Payment. Hình 5. Một chiếc thẻ thanh toán có gắn chip IC Quá trình thanh toán chủ yếu thực hiện trên các thiết bị đầu cuối như máy ATM, POS... Chủ thẻ quẹt thẻ thanh toán của mình vào các thiết bị thanh toán đó và tiến hành giao dịch của mình sau những thao tác xác thực người dùng. Ngày nay mã PIN vẫn là giải pháp xác thực chính cho loại hình thanh toán này, cùng với xu hướng chuyển dấn sang thẻ chip thay vì thẻ từ trước đây làm cho vấn đề an ninh được nâng cao hơn rất nhiều. Phương pháp xác thực tốt nhất hiện nay cho các giao dịch sử dụng thẻ thanh toán là xác thực động sử dụng mã PIN dùng một lần tại chính ngay thời điểm thanh toán. Đối với thẻ tín dụng, nó hoàn toàn bảo mật hơn so việc sử dụng chữ ký của chủ thẻ để xác thực. Đối với thẻ từ, nó hạn chế được tình trạng sử dụng thẻ giả để thanh toán. Đối với thẻ chip, đương nhiên vấn đề an ninh sẽ được nâng cao hơn. 3.3.1.2. Những kỹ thuật về bảo mật Khi bạn đưa thẻ ATM của mình cho người bán hàng kiểm tra bằng mắt và bằng máy cà thẻ POS. Thông thường người bán hàng sẽ kiểm tra qua các bước sau: Kiểm tra tính vật lý của thẻ: để nhận biết thẻ có phải là thẻ thật hay không căn cứ trên hình dạng và các nội dung trên chiếc thẻ. Người bán hàng sẽ phải biết cách nhận biết các loại thẻ thông dụng: Visa, Master... Kiểm tra các thông tin trên thẻ có bị thay đổi, tẩy xóa hay không. Thẻ của bạn được đưa qua một máy quét thông tin thẻ (POS). Các thông tin này được gửi đến ngân hàng phát hành thẻ để xin cấp phép giao dịch. Sau vài giây, ngân hàng sẽ trả lời là thẻ có thể thực hiện giao dịch hay không. Nếu thẻ được cấp phép giao dịch thì người bán yêu cầu bạn ký vào hóa đơn và kiểm tra chữ ký của bạn với chữ ký có trên thẻ. Nếu trên thẻ không có sẵn chữ ký để xác thực thì người bán có thể yêu cầu bạn phải ký vào phần bỏ trống đó, đề nghị bạn cho xem thêm các giấy tờ chứng minh và ký vào hóa đơn để đối chiếu các chữ ký. Với cách này người khác khó lòng sử dụng thẻ của bạn để mua sắm và người bán cũng nắm được hóa đơn làm bằng chứng là bạn đã mua hàng. Với quy trình nghiêm ngặt trên người bán hàng có điều kiện xác thực được thẻ và chủ thẻ để hạn chế rủi ro. Hơn nữa đây là giao dịch trực tiếp nên người bán có thể thông qua nhiều dấu hiệu để phán đoán, nhận biết giao dịch giả mạo. Do đó, ngay cả khi bạn đánh mất thẻ thì người khác cũng khó dùng cách này để mua hàng bằng thẻ của bạn. Quá trình giao dịch trên máy chấp nhận thẻ POS Khách hàng của ngân hàng thành viên quẹt thẻ tại máy POS. Khách hàng được yêu cầu nhập số PIN. POS sẽ gửi giao dịch về ngân hàng chấp nhận. Ngân hàng chấp nhận sẽ gửi giao dịch đến Chuyển mạch quốc gia Chuyển mạch quốc gia nhận được giao dịch, nó sẽ chuyển khối PIN Block và gửi đến ngân hàng phát hành. Khi ngân hàng phát hành nhận được giao dịch, nó sẽ kiểm tra giao dịch. Nếu giao dịch thành công, ngân hàng chấp nhận sẽ trả lời với mã trả lời 00. Nếu giao dịch bị từ chối, ngân hàng chấp nhận sẽ trả lời với mã trả lời tùy theo mã lý do. Chuyển mạch quốc gia nhận được tín hiệu trả lời, nó sẽ gửi giao dịch đến ngân hàng chấp nhận và sau đó chuyển về POS. Hình 6. Máy chấp nhận thẻ thanh toán POS Thanh toán qua POS được thực hiện ở nhiều cửa hàng, nhà hàng, khách sạn, sân bay… Với các thẻ quốc tế, người dùng có thể ra nước ngoài mà không cần mang theo nhiều tiền mặt vì các tổ chức thẻ lớn thường có mạng lưới chấp nhận thẻ rộng khắp thế giới. Thẻ từ (Magnetic stripe cards) Trong việc mua bán hàng hóa bằng thẻ tín dụng thì việc chuyển giao hàng hóa diễn ra ngay lập tức nhưng tất cả các khoản thanh toán đều chậm trễ. Người mua có thẻ tín dụng khi quyết định mua hàng sẽ nhập các thông tin về thẻ tín dụng của mình như: số thẻ, mã số an toàn, thời hạn của thẻ, họ và tên chủ sở hữu, địa chỉ thanh toán trên website, những thông tin này sẽ được chuyển đến cho ngân hàng hay nhà dịch vụ cung cấp payment gateway là các Acquirer. Acquirer sẽ gửi thông tin về thẻ tới dịch vụ cung cấp thẻ và ngân hàng phát hành thẻ để kiểm tra tính hợp lệ của thẻ và kiểm tra khả năng thanh toán của thẻ. Nếu mọi điều kiện đều phù hợp, ngân hàng phát hành thẻ sẽ gửi thông tin ngược trở về cho Acquirer, thông tin được giải mã gửi về cho người bán và việc thanh toán được thực hiện. Tiền sẽ được chuyển từ thẻ tín dụng của người mua tới tài khoản bán hàng merchant account trên Acquirer, sau đó sẽ được chuyển vào tài khoản ngân hàng của người bán. Hình 7. Thẻ thừ và máy đọc thẻ từ Thẻ ghi nợ thường là một miếng nhựa đặc biệt có chứa bản ghi điện tử về tài khoản của bên mua hàng với ngân hàng của họ. Sử dụng thẻ này, bên bán hàng có thể gửi tín hiệu điện tử tới ngân hàng của bên mua hàng có chứa dữ liệu về số tiền trị giá khoản hàng đã mua và số tiền này được đồng thời ghi nợ vào tài khoản của khách hàng là bên mua hàng cùng với ghi có cho tài khoản của bên bán hàng. Điều này là có thể ngay cả khi bên bán và bên mua hàng sử dụng dịch vụ của các tổ chức tài chính khác nhau. Hiện tại, các mức phí đối với cả bên mua và bên bán trong việc sử dụng thẻ ghi nợ là tương đối thấp do các ngân hàng đang mong muốn khuyến khích sử dụng các loại thẻ ghi nợ. Bên bán hàng cần có máy đọc thẻ được cài đặt sao cho việc mua bán và kết nối tới cơ sở dữ liệu của các tổ chức tài chính có thể thực hiện được. Các thẻ ghi nợ cho phép bên mua hàng có thể tiếp cận mọi khoản tiền gửi trong tài khoản của mình mà không cần phải đem tiền mặt theo bên mình. Trên thực tế, việc trộm cắp các khoản tiền gửi tại các tổ chức tài chính là khó khăn hơn nhiều so với viẹc đem theo tiền mặt, nhưng điều đó vẫn có thể diễn ra, nếu các dữ liệu quan trọng của các loại hình thẻ bị lộ bí mật. Thẻ thông minh (Chip or IC cards) Thẻ thông minh, thẻ gắn chip, or thẻ mạch tích hợp (integrated circuit card -ICC) là loại thẻ có kích thước đút được trong ví, thường có kích thước của thẻ tín dụng, được gắn một bộ mạch tích hợp có khả năng lưu trữ và xử lý thông tin. Nghĩa là nó có thể nhận dữ liệu, xử lý dữ liệu bằng các ứng dụng thẻ mạch tích hợp, và đưa ra kết quả. Có hai loại thẻ thông minh chính. Các thẻ nhớ (Memory card) chỉ chứa các thành phần bộ nhớ non-volatile, và có thể có một số chức năng bảo mật cụ thể. Thẻ vi xử lý chứa bộ nhớ volatile và các thành phần vi xử lý. Thẻ làm bằng nhựa, thường là PVC, đôi khi ABS. Thẻ có thể chứa một ảnh 3 chiều (hologram) để tránh các vụ lừa đảo. Thẻ thông minh cho phép thực hiện các giao dịch kinh doanh một cách hiệu quả theo một cách chuẩn mực, linh hoạt và an ninh mà trong đó con người ít phải can thiệp vào. Thẻ thông minh giúp chúng ta thực hiện việc kiểm tra và xác nhận chặt chẽ mà không phải dùng thêm các công cụ khác như mật khẩu…Chính vì thế, có thể thực hiện hệ thống dùng cho việc đăng nhập sử dụng máy tính, máy tính xách tay, dữ liệu bảo mật hoặc các môi trường kế hoạch sử dụng tài nguyên của công ty như SAP, v.v..với thẻ thông minh là phương tiện kiểm tra và xác nhận duy nhất. Hình 8. Một chip an ninh có kích thước 3x5 mm được đưa vào bên trong thẻ và được phóng lớn ra. Các điểm tiếp xúc trên thẻ cho phép thiết bị điện tử có thể truy cập chip. Thẻ thông minh có tiếp xúc là loại thẻ thông minh có tiếp xúc có một diện tích tiếp xúc, bao gồm một số tiếp điểm mạ vàng, và có diện tích khoảng 1cm vuông. Khi được đưa vào máy đọc, con chip trên thẻ sẽ giao tiếp với các tiếp điểm điện tử và cho phép máy đọc thông tin từ chip và viết thông tin lên nó. Thẻ không có pin, năng lượng làm việc sẽ được cấp từ máy đọc thẻ. Máy đọc thẻ thông minh có tiếp xúc đóng vai trò trung gian liên kết giữa thẻ thông minh với một máy chủ, chẳng hạn, đó là một máy vi tính, một đầu cuối ở một điểm bán, hay một điện thoại di động. Vì các chip trên thẻ thông minh dùng trong giao dịch tài chính cũng giống như các chip dùng trên SIM của điện thoại di động, chỉ khác cách lập trình và cách ghép vào miếng PVC có hình dạng khác nhau. Mặt khác, hiện nhu cầu dùng thẻ thông minh làm SIM là rất lớn cho nên các nhà sản xuất chip hiện đang tập trung vào việc sản xuất chip các chuẩn của điện thoại di động GSM/G3. Vì thế, mặc dầu EMV cho phép chip trên thẻ có thể gây tiêu hao một dòng khoảng 50mA từ máy đọc, hiện nay các chip đều chỉ tiêu hao chưa tới 6mA theo chuẩn của công nghiệp điện thoại. Điều này cho phép các máy đọc thẻ dùng trong giao dịch tài chính ngày càng nhỏ hơn và rẻ hơn, và tiến đến có thể trang bị cho mọi máy PC ở nhà một máy đọc thẻ cũng như phần mềm để bạn có thể mua sắm trên internet một cách dễ dàng và an ninh hơn. Thẻ thông minh không tiếp xúc là một loại thẻ mà chip trên nó liên lạc với máy đọc thẻ thông qua công nghệ cảm ứng RFID (với tốc độ dữ liệu từ 106 đến 848 kbit/s). Những thẻ này chỉ cần đặt gần một anten để thực hiện quá trình truyền và nhận dữ liệu. Chúng thường được dùng trong các tình huống truyền nhận dữ liệu thật nhanh hay khi người chủ thẻ cần rảnh tay, chẳng hạn ở các hệ thống giao thông công cộng mà có thể sử dụng không cần rút thẻ ra khỏi ví. Một công nghệ không tiếp xúc có liên quan là RFID (radio frequency identification – xác nhận dựa vào tần số vô tuyến). Trong một số trường hợp cụ thể, nó có thể dùng trong những ứng dụng tương tự như thẻ thông minh không tiếp xúc, chẳng hạn dùng để thu phí cầu đường điện tử. Các thiết bị RFID thông thường không có chứa bộ nhớ ghi được hay có bộ vi xử lý như thẻ thông minh. Có loại thẻ gồm cả hai loại giao tiếp mà cho phép truy xuất bằng cách tiếp xúc và không tiếp xúc trên cùng một thẻ. Ví dụ như thẻ giao thông nhiều ứng dụng của Porto, gọi là Andante, mà dùng một chip cho cả tiếp xúc và không tiếp xúc. Giống như thẻ thông minh có tiếp xúc, thẻ không tiếp xúc không có pin. Bên trong thẻ có một cuộn cảm mà có khả năng dò một số tín hiệu vô tuyến, chỉnh lưu tín hiệu, và rồi dùng nó để cung cấp năng lượng cho chip trên thẻ. Thẻ thông minh dùng để xác nhận khách hàng là một trong những cách an ninh nhất, có thể dùng trong những ứng dụng như giao dịch ngân hàng qua internet, nhưng mức độ an ninh không thể đảm bảo 100%. Trong trường hợp giao dịch ngân hàng qua internet, nếu PC bị nhiễm bởi các phần mềm xấu, mô hình an ninh sẽ bị phá vỡ. Phần mềm xấu có thể viết đè lên thông tin (cả thông tin đầu vào từ bàn phím và thông tin đầu ra màn hình) giữa khách hàng và ngân hàng. Nó có thể sẽ sửa đổi giao dịch mà khách hàng không biết. Có những phần mềm xấu như vậy, chẳng hạn như Trojan. Silentbanker). Các ngân hàng như Fortis Dexia ở Bỉ dùng một thẻ thông minh chung với một máy đọc thẻ không nối mạng nhằm giải quyết vấn đề trên. Khách hàng nhập một thông tin đánh giá từ trang web của ngân hàng, PIN của họ, và tổng số tiền giao dịch vào một máy đọc thẻ, máy đọc thẻ sẽ trả lại một chữ ký 8 chữ số. Chữ ký này sẽ được khách hàng nhập bằng tay vào PC và được kiểm chứng bởi ngân hàng. 3.3.2. e-Payment Hình thức thanh toán e-Payment lại chia ra hai lĩnh vực riêng biệt là e-Commerce (TMĐT) và e-Banking (ngân hàng điện tử). Mặc dù e-Banking là công cụ chính để thực hiện các giao dịch TMĐT (e-Commerce) nhưng cơ cấu tổ chức của hai lĩnh vực này là khác nhau. Mô hình xây dựng hệ thống e-Banking đơn giản hơn nhiều so với hệ thống e-Commerce. 3.3.2.1. Phương pháp xác thực e-Commerce Trong lĩnh vực thanh toán TMĐT qua Internet, việc lựa chọn một nhà cung cấp dịch vụ thanh toán (cổng thanh toán) tin cậy sẽ tránh được những rủi ro không đáng có, vấn đề bảo mật chắc chắn sẽ an toàn hơn so với khi không có một bên thứ ba đảm bảo giao dịch trực tuyến. Những cổng thanh toán trực tuyến như Paypal, Onepal, Ogone... đều sử dụng cơ chế xác thực động nhiều yếu tố, thông tin giao dịch được mã hóa theo giao thức SSL là giao thức bảo mật phổ biến nhất hiện nay trong các hoạt động TMĐT. Trong TMĐT thì việc sử dụng thẻ tín dụng thanh toán là phổ biến nhất, và hiện nay các tổ chức phát hành thẻ sử dụng số CvX in đằng sau mỗi thẻ tín dụng làm con số để xác thực. Hiện tại công nghệ thẻ thông minh ra đời giúp cho khách hàng yên tâm không sợ bị đánh cắp thông tin trên thẻ tín dụng như trước đây. Thẻ thông minh EMV sử dụng công nghệ xác thực tiên tiến nhất hiện nay được ba tổ chức thẻ hàng đầu thế giới xây dựng (Europay, Mastercard, Visa). e-Banking Sử dụng xác thực hai yếu tố trong ngân hàng điện tử được xem là phương pháp xác thực tốt nhất hiện nay. Một cách hiệu quả để triển khai dịch vụ xác thực hai yếu tố là sử dụng nền tảng xác thực thẻ thông minh EMV. Ngoài ra, vấn đề an ninh trong ngân hàng điện tử còn được tăng cường hơn nữa bằng một hệ thống phần mềm dành riêng cho bảo mật ngân hàng. Giải pháp này giúp ngăn chặn được phần nào những cuộc tấn công trái phép vào hệ thống. Việc sử dụng chữ ký điện tử làm nhân tố xác thực trong các giao dịch cũng chính là một bằng chứng để tránh những tranh chấp không đáng có, vì chữ ký điện tử có giá trị pháp lý trong các giao dịch trực tuyến. 3.3.3.2. Những kỹ thuật về bảo mật 3.3.3.2.1. e-Banking Giao thức SSL SSL (Secure Socket Layer ) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 43) nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet. Giao thức SSL tổ hợp nhiều giải thuật mã hóa nhằm đảm bảo quá trình trao đổi thông tin trên mạng được bảo mật. Việc mã hóa dữ liệu diễn ra một cách trong suốt, hỗ trợ nhiều giao thức khác chạy trên nền giao thức TCP. SSL hiện nay là giao thức bảo mật rất phổ biến trên Internet trong các hoạt động TMĐT. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA). Giải pháp mật khẩu sử dụng một lần (OTP – Ontime Transaction Password) Sau khi người sử dụng đăng nhập vào hệ thống, với mỗi giao dịch được tiến hành, hệ thống sẽ sinh ra một mật khẩu động dưới dạng những con số và gửi về điện thoại di động cho người sử dụng. Mật khẩu động này như một nhân tố xác thực thứ hai, và thường có giá trị trong thời gian ngắn khoảng vài chục giây, sau thời gian này nếu người sử dụng không thực hiện giao dịch, mật khẩu động này sẽ không còn giá trị, và hệ thống sẽ tự sinh ra một mật khẩu mới. Internet Banking Là một hệ thống phần mềm cho phép các khách hàng có tài khoản trong ngân hàng có thể thực hiện các giao dịch ngân hàng trực tuyến thông qua Internet. Các dịch vụ Internet Banking thông thường được áp dụng như: Truy vấn số dư, sao kê giao dịch và nhiều dịch vụ mang lại nhiều tiện ích cho khách hàng (Chuyển khoản, chuyển tiền, thanh toán hoá đơn, TTĐT, đặt chỗ, mua vé máy bay, nạp tài khoản di động trả trước…). Áp dụng và triển khai Internet Banking sẽ mang lại nhiều giá trị cho ngân hàng và khách hàng trong quá trình cung cấp các dịch vụ ngân hàng một cách hiệu quả, tiết kiệm nhiều chi phí về tài chính và thời gian. Hình 9. Mô hình TTĐT Một đặc điểm rất quan trọng trong bất kỳ giải pháp Internet Banking nào là phải đảm bảo tính xác thực và an toàn trong giao dịch. Điều này phụ thuộc vào nhiều yếu tố khác nhau và với sự tiến bộ của công nghệ, các ngân hàng có thể lựa chọn các giải pháp bảo mật khác nhau cho giải pháp Internet Banking mà mình chọn ứng dụng. Có nhiều phương pháp để giải quyết vấn đề xác thực và bảo mật giao dịch an toàn như: Sử dụng bàn phím ảo, phương pháp mật khẩu một lần (One Time Password), xác thực hai phương thức (Two Factor Authentication), hay dùng thiết bị khóa phần cứng (Hardware Token), thẻ thông minh có chữ ký số (PKI Smartcard). Các ngân hàng lớn trên thế giới thường sử dụng các giải pháp xác thực và an toàn giao dịch dựa trên hạ tầng khóa công khai (PKI) cùng với sự tham gia của Hardware Token (TTM tích hợp sẵn đầu đọc cổng USB) hay thẻ thông minh (PKI Smartcard). So với các giải pháp khác, giải pháp bảo mật sử dụng chữ ký điện tử giải quyết đồng thời được 4 vấn đề quan trọng trong các giao dịch điện tử là: Xác thực người dùng, bảo mật thông tin giao dịch, toàn vẹn dữ liệu và chống chối bỏ. Bên cạnh đó, mỗi khách hàng sẽ được cung cấp một bộ thiết bị gồm: Thẻ Smartcard bên trong có chứa chứng chỉ số và cặp khóa công khai/ khóa riêng (PrivateKey/PublicKey) và một đầu đọc TTM tiếp xúc. Khi khách hàng ở bất kỳ đâu có máy tính nối mạng Internet, họ chỉ thực hiện một việc rất đơn giản là gắn đầu đọc (hỗ trợ cổng USB) vào máy tính, vào trang web Internet Banking của ngân hàng và gắn thẻ vào đầu đọc, sau đó khách hàng đăng nhập hệ thống hay thực hiện các giao dịch ngân hàng và yêu cầu nhập đúng số PIN của thẻ. Tất cả các quy trình phát hành, cá thể và quản lý thẻ đều được tuân theo chuẩn GlobalPlatform (tên riêng của chuẩn TTM đa ứng dụng), hệ thống trang web sử dụng giao thức SSL (Security Socket Layer), chứng chỉ Website (Chứng chỉ số dành cho website để kiểm tra sự giả mạo - nếu có) và hỗ trợ mọi trình duyệt như IE, Firefox... 3.3.3.2.2. e-Commerce Hình 10. Các nhân tố tham gia vào TMĐT Những nhân tố tham gia trong giao dịch TMĐT Chủ thẻ (Cardholder): Là người có tên ghi trên thẻ được dùng thẻ để chi trả thanh toán tiền mua hàng hoá, dịch vụ. Chỉ có chủ thẻ mới có thể sử dụng thẻ của mình mà thôi. Mỗi khi thanh toán cho các cơ sở chấp nhận thẻ vể hàng hoá dịch vụ hoặc trả nợ, chủ thẻ phải xuất trình thẻ để nơi đây kiểm tra theo qui trình và lập biên lai thanh toán. Tổ chức phát hành thẻ (issuers): Là thành viên chính thức của các Tổ chức thẻ quốc tế, là Ngân hàng cung cấp thẻ cho khách hàng. Ngân hàng phát hành chịu trách nhiệm tiếp nhận hồ sơ xin cấp thẻ, xử lý và phát hành thẻ, mở và quản lý tài khoản thẻ, đồng thời thực hiện việc thanh toán cuối cùng với chủ thẻ. Tổ chức chấp nhận thể (merchants): Là các thành phần kinh doanh hàng hoá và dịch vụ có ký kết với Ngân hàng thanh toán về việc chấp nhận thanh toán thẻ như: nhà hàng, khách sạn, cửa hàng... Các đơn vị này phải trang bị máy móc kỹ thuật để tiếp nhận thẻ thanh toán tiền mua hàng hoá, dịch vụ, trả nợ thay cho tiền mặt. Ngân hàng thanh toán (acquirers): Là Ngân hàng trực tiếp ký hợp đồng với cơ sở tiếp nhận và thanh toán các chứng từ giao dịch do cơ sở chấp nhận thẻ xuất trình. Một Ngân hàng có thể vừa đóng vai trò thanh toán thẻ vừa đóng vai trò phát hành. Nhà cung cấp dịch vụ (payment system providers): là một bên thứ ba đảm bảo an toàn thanh toán, tạo liên kết giữa tổ chức phát hành thẻ và ngân hàng, ví dụ như Paypal, Onepay, Paynet... Giao thức SET Hiện nay, trong việc thanh toán qua mạng, các tổ chức tín dụng và các nhà cung cấp dịch vụ xử lý thanh toán thẻ tín dụng trên thế giới áp dụng công nghệ bảo mật cao cấp là SET. SET là viết tắt của các từ Secure Electronic Transaction, là một nghi thức tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch mua bán trên mạng. Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế giới. Mục địch của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính... sự tin cậy trong khi giao dịch mua bán trên Internet. Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất quán trong các doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức tín dụng và trung tâm xử lý thẻ tín dụng qua mạng. Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương hỗ (method of interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và phần mềm khác nhau. Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng. Với SET thì các thành phần tham gia TMĐT được hưởng những lợi ích gì? Doanh nghiệp (người bán) được bảo vệ không bị mất hàng hoá hay dịch vụ bởi: Những thẻ tín dụng không hợp lệ. Người chủ thẻ không đồng ý chi trả. Ngân hàng được bảo vệ bởi: Giao dịch mua bán không được sự đồng ý giữa các thành phần tham gia vào giao dịch hoặc các giao dịch không hợp lệ (Thẻ tín dụng không hợp lệ, người bán giả danh...) Người mua được bảo vệ để: Không bị đánh cắp thẻ tín dụng. Không bị người bán giả danh Giao thức xác thực máy chủ SSL Một chuẩn chung trên Internet Xác thực SSL là nền tảng cơ bản của một cơ sở hạ tầng Internet tin cậy bằng việc cho phép các Website trao đổi thông tin một cách an toàn, đảm bảo tin cậy với khách hàng. Xác thực máy chủ SSL đảm bảo yêu cầu về tính bảo mật, tính toàn vẹn, tính xác thực và không thoái thác trong các giao dịch điện tử. Xác thực máy chủ SSL thực hiện hai chức năng cần thiết để thiết lập một Website tin cậy là:   Xác thực máy chủ SSL: Xác thực máy chủ cho phép người sử dụng nhận diện máy chủ Web là có thực và đáng tin cậy. Các trình duyệt tự động kiểm tra một xác thực máy chủ và mã số công cộng (puplic ID) xem có giá trị hay không và có được một CA tin cậy cung cấp việc xác thực đó và được cài đặt sẵn trong phần mềm trình duyệt. Việc xác thực máy chủ SSL là sống còn đối với các giao dịch TMĐT an toàn mà ở đó người sử dụng muốn xác minh, nhận diện máy chủ nhận các thông tin (chẳng hạn số thẻ tín dụng) có đáng tin cậy hay không. Mã hoá SSL: Các xác nhận máy chủ SSL thiết lập một kênh an toàn cho phép tất cả các thông tin được gửi giữa một trình duyệt Web của người sử dụng với một máy chủ Web được mã hoá bằng phần mềm gửi và được giải mã bằng một phần mềm nhận, bảo vệ tính cá nhân của thông tin khỏi sự can thiệp trên Internet. Như vậy, mọi dữ liệu truyền qua một kết nối SSL được mã hoá sẽ được bảo vệ bằng một cơ chế có thể dò ra được mọi sự giả mạo, nghĩa là, để tự động xác định các dữ liệu đó có bị sửa đổi hay không trên đường truyền. Điều này có ý nghĩa là người sử dụng có thể truyền một cách an toàn, bí mật các dữ liệu cá nhân như số thẻ tín dụng tới một Website và tin tưởng. Hình 11. Giao thức SSL Giao thức SSL trở thành một chuẩn chung trên Web cho việc xác thực các Website đối với trình duyệt Web của người sử dụng  và cho việc mã hoá các giao tiếp giữa các trình duyệt của người sử dụng với các máy chủ Web. Xác thực máy chủ SSL được thực hiện bởi các tổ chức thực hiện CA (Certificate Authorities) như Verisign hoặc thawte. CA sử dụng các phương pháp xác minh cẩn thận, tỉ mỉ để đảm bảo việc xác thực khách hàng họ là ai trước khi đưa họ ra với quảng đại quần chúng. Các xác thực số SSL của bản thân các CA đã được ký sẵn bên trong các trình duyệt và trên các máy chủ có tiếng, kể cả trình duyệt Netscape Communicator và Microsoft Internet Explorer mà chúng ta thường đang sử dụng. Vì vậy, đơn giản chỉ cần cài đặt một xác thực số lên một máy chủ Web có khả năng SSL khi giao tiếp với các trình duyệt Web nêu trên là được. Ứng dụng xác thực máy chủ SSL trong TMĐT Các mã số máy chủ lợi dụng SSL để làm việc một cách trong suốt giữa các Website và các trình duyệt Web của người sử dụng. Giao thức SSL sử dụng một tổ hợp mã hoá khoá công cộng không đối xứng và mã hoá đối xứng. Quá trình hoạt động của giao thức này bắt đầu bằng việc thiết lập một kết nối SSL – cho phép máy chủ xác lập bản thân nó đối với người sử dụng trình duyệt, sau đó cho phép máy chủ và trình duyệt đó hợp tác với nhau để tạo ra các khoá đối xứng sử dụng để mã hoá, giải mã, dò tìm những kẻ đột nhập nếu có. Ứng dụng công nghệ xác thực máy chủ SSL trong các giao dịch thương mại trực tuyến được diễn ra theo các bước sau: Một khách hàng làm quen với Website và truy nhập một địa chỉ URL an toàn, được đảm bảo bằng mã số máy chủ. Điều này có thể là một mẫu đơn đặt hàng trực tuyến thu thập những thông tin cá nhân từ khách hàng như địa chỉ, số điện thoại, số thẻ tín dụng hoặc các thông tin thanh toán khác. Trình duyệt của khách hàng tự động truyền cho máy chủ số phiên bản SSL của trình duyệt đó, các cài đặt mật mã, các dữ liệu được sinh ngẫu nhiên, và những thông tin khác mà máy chủ đó cần để giao tiếp với khách hàng sử dụng SSL. Máy chủ trả lời, tự động truyền tới trình duyệt của người sử dụng xác nhận số của Website cùng với số phiên bản SSL của máy chủ, các thiết lập mật mã. Trình duyệt của người sử dụng xem xét các thông tin chứa trong xác nhận máy chủ đó và xác nhận rằng: Xác nhận máy chủ đó có giá trị  và còn trong thời hạn sử dụng; Cơ quan chức năng xác thực CA cho máy chủ này có quyền được ký và là một cơ quan xác thực tin cậy, xác thực của cơ quan này được liệt kê sẵn trong trình duyệt đang sử dụng; Khoá công cộng của CA này được cài đặt sẵn trong trình duyệt đang sử dụng, xác nhận tính hợp lệ của chữ ký điện tử của người cung cấp; Tên miền được chỉ định bằng xác thực máy chủ khớp với tên miền thực của máy chủ đó. Nếu máy chủ này không được xác thực, người sử dụng sẽ được cảnh báo rằng một kết nối được mã hoá, được xác thực có thể không thiết lập được. Nếu máy chủ đó được xác thực thành công, trình duyệt Web của khách hàng này sẽ tạo ra một khoá phiên (session key) duy nhất để mã hoá tất cả các giao tiếp với Website đó bằng việc sử dụng mã hoá không đối xứng. Trình duyệt của người sử dụng tự mã hoá khoá phiên đó bằng khoá công cộng của site sao cho chỉ site đó mới có thể đọc được khoá phiên đó, rồi gửi nó tới máy chủ. Máy chủ giải mã cho khoá phiên đó bằng việc sử dụng khoá cá nhân của chính nó. Trình duyệt gửi một thông điệp tới máy chủ thông báo cho máy chủ biết rằng các thông điệp tiếp sau đó từ khách hàng sẽ được mã hoá bằng khoá phiên đó. Máy chủ sau đó gửi một thông điệp tới khách hàng thông báo với khách hàng rằng các thông điệp tiếp sau từ máy chủ sẽ được mã hoá bằng khóa phiên đó. Một phiên giao dịch an toàn SSL bây giờ đã được thiết lập. Giao thực máy chủ SSL sau đó sử dụng mã hoá đối xứng để mã hoá và giải mã thông điệp bên trong phiên giao dịch an toàn SSL này. Một khi phiên giao dịch kết thúc, khoá phiên sẽ được vô hiệu hoá. Tất cả quá trình trên diễn tự động trong vài giây, chính vì thế mà giao thức xác thực máy chủ SSL giúp cho các giao dịch điện tử này được thực hiện trực tuyến, an toàn; đồng thời nó cũng không gây ra bất cứ phiền toái nào cho người sử dụng, tạo điệu kiện cho việc mở rộng các ứng dụng TMĐT. 3.3.3. Mobile Payment (m-Payment) 3.3.3.1. Phương thức xác thực Trong hình thức thanh toán m-Payment, phương thức xác thực sử dụng rộng rãi nhất hiện nay là xác thực hai yếu tố, kết hợp mã PIN của chủ tài khoản và quyền sở hữu thiết bị di động. Các ngân hàng còn phát triển ứng dụng đưa vào chính điện thoại di động nhằm tạo sự tiện lợi và an toàn giao dịch cho khách hàng. Điện thoại di động còn là một yếu tố xác thực bổ sung cho những hình thức TTĐT khác (xác thực nhiều yếu tố). Hình 12. Thanh toán bằng điện thoại di động Thanh toán bằng điện thoại di động được coi như là một công cụ thanh toán mới, phương thức truy cập và xử lý các giao dịch tài chính cũng được đơn giản hóa đi. Thậm chí các giao dịch này được thực hiện thông qua những nhà cũng cấp dịch vụ MSP (Mobile Services Providers) và giữa các khách hàng MSP mà không cần qua sự có mặt của ngân hàng tại thời điểm thanh toán. Hình thức thanh toán m-Payment sử dụng điện thoại di động và các thiết bị viễn thông không dây để giao dịch. Khách hàng có thể dùng giọng nói, tin nhắn ngắn SMS, hay các ứng dụng trên nền WAP của điện thoại di động để thực hiện thanh toán. 3.3.3.2. Những kỹ thuật về bảo mật Để có thể thực hiện thanh toán trên những chiếc điện thoại di động GSM, thẻ SIM của chủ sở hữu điện thoại phải được trang bị một ứng dụng đặc biệt từ phía ngân hàng. Truyền thông giữa các thiết bị di động được bảo vệ bằng những thuật toán bí mật, ví dụ như thuật toán A3 dùng làm cơ chế để xác thực chủ sở hữu thẻ SIM, thuật toán khóa A8 dùng để mã hóa giọng nói... Hệ thống xác thực quyền sở hữu thẻ SIM Hệ thống an ninh quyền sở hữu thẻ SIM được phát triển nhằm khắc phục những điểm yếu của công nghệ GSM truyền thống trong ứng dụng xác thực và thanh toán. Hệ thống góp phần ko nhỏ trong việc lập trình những ứng dụng tương tác với điện thoại di động trên thẻ SIM. Chữ ký xác thực sẽ được gửi cho thực thể dưới dạng tin nhắn SMS và chỉ có hiệu lực trong thời gian rất ngắn. WAP WAP (viết tắt của Wireless Application Protocol - Giao thức Ứng dụng Không dây) là một tiêu chuẩn công nghệ cho các hệ thống truy nhập Internet từ các thiết bị di động như điện thoại di động, PDA, v.v... Mặc dù tiêu chuẩn này chưa được chuẩn hóa trên toàn cầu, nhưng những ứng dụng của giao thức này đã tác động rất lớn đến ngành công nghiệp di động và các lĩnh vực dịch vụ liên quan. WAP là giao thức truyền thông mang lại rất nhiều ứng dụng cho người sử dụng thiết bị đầu cuối di động như E-mail, web, mua bán trực tuyến, ngân hàng trực tuyến, thông tin chứng khoán, v.v... Hình 13. Mô hình triển khai công nghệ WAP Với các xu hướng triển khai các ứng dụng vô tuyến băng thông rộng trong mạng NGN, rất nhiều các công nghệ đã được đề xuất để tích hợp và hội tụ các dịch vụ mạng. WAP là một giải pháp công nghệ đem lại nhiều lợi ích cho người sử dụng thiết bị đầu cuối vô tuyến cũng như các gia tăng giá trị của các nhà cung cấp dịch vụ mạng. Tuy nhiên, triển khai WAP là một vấn đề phức tạp và liên quan tới nhiều hướng phát triển công nghệ khác như phần cứng, bảo mật, v.v... KẾT LUẬN Khóa luận đã trình bày những kiến thức tổng quát nhất về TTĐT, đi sâu nghiên cứu và phân tích giải pháp xác thực cho các bài toán nảy sinh trong thanh toán trực tuyến. Những kết quả chính của khóa luận là đã nghiên cứu và hệ thống lại các khái niệm, tính chất, cấu trúc, mô hình giao dịch, TTĐT, xây dựng giải pháp cho các bài toán phát sinh khi TTĐT. Hướng tiếp theo của luận văn là nghiên cứu để đề xuất mô hình hệ thống TTĐT hiệu quả và thử nghiệm mô hình trên thực tế tại Việt Nam. PHỤ LỤC Phụ lục 1: TMĐT VN gặp khó do thói quen của người tiêu dùng 20 triệu người sử dụng Internet là tiền đề lớn cho kinh doanh trực tuyến tại VN, nhưng số đông người dân vẫn e ngại những rủi ro trong mô hình mua sắm này nên việc mở rộng e-commerce còn hạn chế. Ngoài ra, việc mua bán online vẫn còn phụ thuộc quá nhiều vào các đơn vị trung gian. Thông thường để yên tâm, nếu các giao dịch ở cách nhau khá xa, người mua thường nhờ một cửa hàng hay công ty có uy tín thực hiện khâu kiểm hàng và giao nhận thay mình. Nhưng điều cốt lõi nhất của mua hàng online là thanh toán trực tuyến lại chỉ chiếm một phần nhỏ. Hiện chỉ có số ít các doanh nghiệp áp dụng hình thức này với sự hỗ trợ cho các thẻ thanh toán ngân hàng quốc tế và cả nội địa như: hãng hàng không Jetstar Pacific, Chợ điện tử... Chợ điện tử sở hữu lợi thế so với nhiều trang web mua bán khác, là cầu nối cho người tiêu dùng có thể giao dịch và lựa chọn sản phẩm ở những sản phẩm ngoài nước qua kênh eBay. Trong khi đó, với việc 1/4 dân số sử dụng Internet thì thị trường kinh doanh online trong nước vẫn còn nhiều "đất". Các trang rao vặt, web mua bán chưa thể cung cấp mô hình thanh toán trực tuyến thì cạnh tranh bằng việc tạo sự tiện lợi nhất cho người tiêu dùng. Vatgia.com không là kênh quảng cáo sản phẩm hữu dụng nhất, nhưng việc tập trung vào khả năng so sánh giá cả nhanh chóng nhất khiến nó vẫn thu hút nhiều người truy cập. Việc đưa ra mức giá hấp dẫn nhất sẽ khẳng định được tên tuổi của gian hàng. Bên cạnh đó, 5giay.vn lại đi theo hướng khác để tạo một khu chợ cho nhiều gian hàng lẫn người mua bán sôi động. Trang cung cấp hệ thống tự đánh giá và gầy dựng uy tín cho mỗi cửa hàng (thành viên) bằng thâm niên tham gia tại trang web này... Ngoài ra, các tính năng mới cũng tạo sự tiện lợi cho cả người bán không thạo nhiều về máy tính hay bận rộn không thể ngồi suốt ngày để trông coi gian hàng của mình. Trang web cung cấp khả năng đẩy tin bài lên đầu trang top để người tìm mua dễ thấy bằng tin nhắn SMS. Theo khảo sát mới nhất của Cục TMĐT và CNTT Bộ công thương, 45% doanh nghiệp trên cả nước đã có website riêng. Trong số đó, 35% doanh nghiệp có doanh thu trên 15% nhờ TMĐT. Bên cạnh đó, 88% doanh nghiệp đã chấp nhận việc nhận đơn hàng bằng phương tiện điện tử. Về phía người tiêu dùng, cũng có những tín hiệu khả quan khi 65 % người tìm hiểu thông tin trên mạng trước khi mua sắm. Tuy nhiên, đa số website kinh doanh ở VN vẫn còn tồn tại khá nhiều bất cập như: nội dung có vấn đề, thiết kế chưa phù hợp làm rối mắt người xem, cập nhật kém, lượng truy cập thấp, tốc độ chậm... Phụ lục 2: Ra đời nhiều kênh TTĐT Năm qua, một loạt các công ty, tổ chức cung cấp các dịch vụ thanh toán (TT) điện tử đã ra đời như Vinapay (thành lập tháng 2/2007), Vietpay (tháng 5/2007), PayNet (ra mắt tháng 4/2007). Bên cạnh đó là sự xuất hiện của hàng loạt các dịch vụ thanh toán như ePOS, iTICK, mPAY, Mr.Top up,... Thông qua các dịch vụ này, các công ty đang cung cấp các kênh thanh toán hết sức đa dạng cho thị trường: thanh toán qua POS (Điểm chấp nhận thẻ TT) với dịch vụ ePOS của PayNet; thanh toán qua mạng Internet với iTICK.vn hay thanh toán qua điện thoại di động với dịch vụ mPAY. Một tín hiệu lạc quan với thị trường thanh toán trực tuyến là sự tham gia tích cực của các NHTM. Ngoài việc đầu tư cho công nghệ để cung cấp các dịch vụ Internet Banking, Mobile Banking, các ngân hàng cũng nổ lực tìm kiếm đối tác, đơn cử như sự kết hợp giữa Vietcombank và Pacific Airlines giữa Techombank với 123mua.com.vn. Đặc biệt, hai liên minh là hệ thống chuyển mạch Banknetvn (khai trương tháng 4/2007) và Smartlink (ra mắt tháng 10/2007) nhằm liên kết các hệ thống thẻ của các NH; cùng nhau phát triển các kênh thanh toán điện tử. Hiện Smartlink có 25 ngân hàng thành viên, trong đó 17 ngân hàng đã tham gia kết nối với 3 triệu thẻ ATM và 1500 máy ATM; Banknetvn có 7 ngân hàng thành viên với trên 3,8 triệu thẻ ATM và 2200 máy ATM. Sự liên kết của các ngân hàng đã mang lại nhiều ích lợi cho người tiêu dùng. Người sử dụng thẻ không còn phải tốn nhiều công sức tìm kiếm chiếc TM phù hợp để giao dịch. Không những thế, các liên minh này cũng đang tìm cách mở rộng hệ thống thanh toán quaPOS, ATM, Internet, điện thoại di động nhằm giúp khách hàng có thể mua sắm hàng hóa, dịch vụ, trả cước phí điện thoại, tiền điện, nước. Việc đẩy mạnh các phương thức TTĐT sẽ thúc đẩy khách hàng chuyển tiền từ việc sử dụng tiền mặt sang các công cụ thanh toán điện tử. Rào cản dần được gỡ bỏ Trước đây, TTĐT từng bị coi là “nút thắt cổ chai”, rào cản cho sự phát triển của TMĐT. Nhiều doanh nghiệp từng gặp khó khăn khi triển khai các dự án TMĐT do vướng mắc ở khâu TT. Nói về những vướng mắc trước đây, có nhiều ý kiến cho rằng: do thói quen và ý thức của người dân về TMĐT; do hạ tầng CNTT của doanh nghiệp và ngân hàng chưa đáp ứng được yêu cầu nên an ninh giao dịch chưa được đảm bảo; do môi trường pháp lý chưa hoàn thiện… Sự “bùng phát” của các dịch vụ TTĐT trong năm 2007 có thể được lý giải do việc giải quyết tổng thể các vướng mắc kể trên trước nhu cầu thúc bách của thị trường. Khung pháp lý cho TMĐT đã đi vào cuộc sống với sự ra đời của hàng loạt các nghị định (NĐ) hướng dẫn thực hiện luật Giao Dịch Điện Tử: NĐ chữ ký số và chứng thực chữ ký số (tháng 2/2007); NĐ về giao dịch điện tử trong hoạt động tài chính (tháng 2/2007); NĐ về giao dịch điện tử trong hoạt động ngân hàng (tháng 3/2007), trước đó là NĐ TMĐT (tháng 6/2006). Cuộc chạy đua đầu tư công nghệ của các NH, song song với đó là sự sáng tạo khi đưa ra các dịch vụ mới. Nhìn chung, các công ty, ngân hàng tham gia lĩnh vực này đã có sự quan sát kỹ và đưa ra các dịch vụ phù hợp với đặc điểm tâm lý và thói quen tiêu dùng trong nước. Bà Nguyễn Tú Anh, tổng giám đốc Smartlink cho biết, dịch vụ được công ty này chú trọng phát triển là phát hành các loại thẻ Debit (có bao nhiêu trả bấy nhiêu) và thẻ Prepaid (trả trước tiêu sau) thay vì phát triển các thẻ tín dụng (vay trước trả sau) như ở phần lớn các nước châu Âu. Điều này xuất phát từ việc nghiên cứu thị trường cho thấy, thị trường VN có một số đặc điểm chung giống với các thị trường châu Á khác như Nhật Bản, Hàn Quốc (… tiêu dùng không quen với việc vay trước trả sau). Do đó, các loại thẻ tín dụng ở những nước này đều không nhận được sự hưởng ứng như ở các nước châu Âu. Tiền đề cho sự khởi sắc Sự ra đời của hàng loạt các nhà cung cấp dịch vụ TTĐT đã giúp thúc đẩy sự phát triển của các kênh thanh toán không dùng tiền mặt. Điều này có ý nghĩa vô cùng quan trọng đối với nền kinh tế. Bên cạnh đó không thể không kể đến vai trò trong việc thúc đẩy sự phát triển của TMĐT ở VN thời gian tới. Một số website TMĐT nổi tiếng thế giới như ebay, Yahoo!, Google cũng đã quan tâm đến sự phát triển trong tương lai gần của thị trường TMĐT ở Việt Nam và đã nhanh chóng bước chân vào thị trường này. Theo quy luật thị trường, sau một thời gian cọ xát, nhà cung cấp mạnh sẽ vượt lên trên và giữ vị trí thống soái bởi đặc tính cạnh tranh trong lĩnh vực thanh toán là nhà cung cấp dịch vụ càng có nhiều đối tác (bao gồm NH, doanh nghiệp cung cấp hàng hóa, dịch vụ và người tiêu dùng cá nhân) càng thu hút số đông khách hàng. Tuy nhiên, bà Tú Anh bổ sung, để trụ vững, không thể không kể đến hệ thống công nghệ và nguồn nhân lực để đảm bảo chất lượng dịch vụ ổn định, kịp thời, độ an toàn cao. Dịch vụ ngân hàng chờ người ứng dụng Hiện nay theo thống kê của NHNN, số lượng thanh toán bằng tiền mặt giảm xuống hàng năm khoảng 17%/năm. Tuy nhiên, việc thanh toán bằng tiền mặt trong khu vực bán lẻ tư nhân còn rất lớn. Điều này ảnh hưởng đến công tác quản lý, văn minh thương mại. Việc thúc đẩy thanh toán không dùng tiền mặt là mục tiêu trước mắt và lâu dàì của hệ thống NH. Để xã hội Việt Nam thực sự TTĐT thì không chỉ cần có hệ thống ngân hàng mà còn cần sự tham gia của các doanh nghiệp/tổ chức cung cấp sản phẩm và dịch vụ. Trong thời gian qua đã hình thành các hệ thống ATM, Phone Home Banking…Tuy nhiên, vấn đề đặt ra là các nhà cung cấp dịch vụ chưa nhận thức đầy đủ về vấn đề này và tâm lý sử dụng tiền mặt còn rất nặng. Rất ít hãng bán lẻ dùng POS và không có cơ chế nào hay luật qui định sử dụng. Vì vậy, hiện nay vẫn còn tồn tại tâm lý “sử dụng tiền mặt là thuận lợi”. Dịch vụ trung tâm dữ liệu sẽ đáp ứng nhu cầu của ngành NH Trong lĩnh vực NH, CMC mong muốn tiếp tục đẩy mạnh việc cung cấp hệ thống hạ tầng như cung cấp máy chủ, mạng... CMC cũng sẽ kết hợp với các đối tác lớn để đưa các giải pháp mạnh vào ứng dụng, nhằm đạt các giá trị gia tăng cho khách hàng. Khi ngân hàng ngày càng tăng giao dịch thì nhu cầu về bảo mật và an toàn dữ liệu cũng sẽ tăng cao. Việc sử dụng các dịch vụ của các trung tâm dữ liệu sẽ cho phép ngân hàng giảm chi phí đầu tư trong khi vẫn ứng dụng được những giải pháp công nghệ tiên tiến. CMC có kế hoạch xây dựng các trung tâm dữ liệu (data center) cho các ngân hàng và doanh nghiệp thuê sử dụng. Trung tâm dữ liệu ở Sài Đồng, Hà Tây dự kiến sẽ hoàn thành trong năm 2008. TTĐT bắt buộc phải xảy ra Nếu bạn sống trong một nền kinh tế hiện đại, bạn sẽ không bao giờ phải đi mua xe máy hay ô tô với vali đầy tiền. Một xã hội hiện đại phải ứng dụng phương thức TTĐT. Nếu bạn là doanh nghiệp, bạn sẽ không cần phải có một xe tải đầy tiền đi theo suốt ngày phục vụ việc thu chi mà thay vào đó sẽ có ngân hàng thực hiện việc TT. Việc thanh toán bằng thẻ ATM, ebanking … đã diễn ra rất nhanh ở Việt Nam vì nhu cầu đã có sẵn ở đây. Khi nền kinh tế phát triển, bạn sẽ không cần làm cái việc đến ngân hàng rút tiền, rồi đến Nguyễn Kim mua tivi LCD mà thay vào đó bạn sẽ đến Nguyễn Kim chọn máy và đưa cho người bán hàng một tấm thẻ nhựa và họ sẽ nói: “ Cảm ơn quí khách”. Bạn thấy đấy, Nguyễn Kim cũng sẽ không có sức để hàng ngày chở cả đống tiền của khách hàng đến NH. Trong tương lai, không ai có nhiều thời gian để làm những việc như vậy. Trung Quốc đã trải qua tình trạng này. Năm năm trước đây, TQ là một xã hội tiền mặt. Tiền mặt, tiền mặt và tiền mặt! Giờ đây ai cũng có tài khoản ngân hàng và thẻ tín dụng; còn doanh nghiệp ứng dụng mạnh các dịch vụ thanh toán điện tử. Với dân số ước đạt 84 triệu người năm 2007, Việt Nam có độ tuổi trung bình là 26. Thế hệ trẻ muốn có công nghệ mới nhất, muốn có sự thuận tiện. Họ sẽ không thích xếp hàng 2 giờ để trả tiền mà muốn trả nhanh trực tuyến. Việt Nam có dân số trẻ, ngày càng nhiều người được giáo dục và đào tạo tốt. Và chúng ta thấy đã có sẵn nhu cầu về các giải pháp tự động hóa trong thanh toán cho cả cá nhân hay doanh nghiệp. Chúng ta đã thấy Nhà Nước nói đến việc trả lương vào tài khoản NH. Chúng ta cũng sẽ thấy Nhà Nước yêu cầu các ngân hàng phải “nói chuyện” được với nhau vào cuối năm tới; Việt Nam cần một hệ thống thanh toán (clearing system) thông suốt. Hiện Việt Nam chưa có được một hệ thống thanh toán liên thông chính thức (formal clearing system). Một hệ thống như vậy đang trong quá trình phát triển. Chúng ta cũng đã thấy các hệ thống ATM “bắt tay” được với nhau. Nhà Nước cũng sẽ yêu cầu các hệ thống như BankNetvn bắt tay với VisaNet… Như thế, chúng ta thấy các chuẩn kỹ thuật và giao thức bảo mật cũng không ngừng được quan tâm và ứng dụng. Phụ lục 3: Các cổng thanh toán ở Việt Nam Cổng thanh toán OnePAY Công ty cổ phần thương mại và dịch vụ trực tuyến OnePAY (OnePAY) phối hợp với Ngân hàng thương mại cổ phần Ngoại thương Việt Nam (Vietcombank) triển khai giải pháp thanh toán trực tuyến. Tháng 2/2007, đơn vị đầu tiên tại Việt Nam triển khai thành công là hãng hàng không giá rẻ Jetstar Pacific. Cổng thanh toán OnePAY cho phép doanh nghiệp chấp nhận thanh toán trực tuyến cho các loại thẻ tín dụng và ghi nợ phổ biến mang thương hiệu Visa, MasterCard, American Express, JCB. Đến hết năm 2008, cổng thanh toán OnePAY đã triển khai thành công cho 65 doanh nghiệp tại Việt Nam hoạt động trong lĩnh vực du lịch lữ hành, siêu thị trực tuyến, dịch vụ viễn thông như Vietravel, Ivivu Tour, Chợ Điện Tử, 25h, FPT Data, FPT Online… Tháng 1/2009, OnePAY và Vietcombank triển khai thành công cổng thanh toán nội địa, cho phép 3 triệu chủ thẻ Vietcombank Connect 24 có thể thực hiện mua bán và thanh toán trên các website đã kết nối với OnePAY. Theo lộ trình, đến cuối năm 2009, OnePAY sẽ tiếp tục kết nối với các ngân hàng lớn tại Việt Nam, tạo điều kiện cho các doanh nghiệp TMĐT chấp nhận thanh toán trực tuyến cho hơn 10 triệu chủ thẻ. Cổng thanh toán Đông Á Tháng 2/2007, Ngân hàng Đông Á đã cung cấp cho các chủ thẻ đa năng Đông Á dịch vụ thanh toán trực tuyến trên kênh giao dịch “Ngân hàng Đông Á Điện tử”. Website đầu tiên liên kết để triển khai thành công là Siêu thị điện tử Golmart. Ngân hàng Đông Á Điện tử cho phép chủ thẻ mua hàng tại 9 website đã kết nối với Ngân hàng Đông Á như Golmart, Chợ Điện Tử, Hlink… và thực hiện thanh toán trực tuyến qua kênh Internet Banking/SMS Banking/Mobile Banking. “Phí dịch vụ hợp lý nhưng quy trình thanh toán phức tạp với đa số người sử dụng” là nhận xét của cả chủ thẻ và doanh nghiệp TMĐT khi sử dụng cổng thanh toán nội địa Đông Á. TTĐT F@st MobiPay F@st MobiPay là một dịch vụ nằm trong giải pháp cổng TTĐT của Ngân hàng thương mại cổ phần Kỹ thương Việt Nam (Techcombank). Kết nối với F@st MobiPay, doanh nghiệp cho phép khách hàng mở tài khoản tại Techcombank thanh toán hóa đơn bằng tin nhắn điện thoại di động gửi đến tổng đài 19001590. Hiện nay, chủ thẻ F@stAccess thực hiện phương thức này trên 6 website đã kết nối với Techcombank là như Chợ Điện Tử, Golmart, Chotroi.vn… F@st MobiPay cho phép doanh nghiệp TMĐT tiếp cận với các chủ thẻ của Techcombank bằng thanh toán qua nhắn tin SMS. Trường hợp khách hàng e ngại về các vấn đề bảo mật, khách hàng có thể thanh toán chuyển khoản bằng hệ thống ngân hàng điện tử rất an toàn. Ví điện tử MobiVi Tháng 12/2008, Ngân hàng thương mại cổ phần Quốc Tế Việt Nam (VIB Bank) và Công ty cổ phần hỗ trợ dịch vụ thanh toán Việt Phú (MobiVi) công bố sản phẩm ví điện tử MobiVi. Sử dụng dịch vụ của Mobivi, các doanh nghiệp có thể chấp nhận thanh toán trực tuyến an toàn cho một số khách hàng sử dụng ví điện tử. Các website đang kết nối thử nghiệm chấp nhận thanh toán trực tuyến từ ví điện tử MobiVi là TF Travel, Hlink… Ví điện tử Payoo Ngày 18/2/2009, Ngân hàng Nhà nước Việt nam có quyết định cho phép Công ty cổ phần dịch vụ Trực tuyến Cộng đồng Việt (Vietunion) thực hiện thí điểm cung ứng phương tiện thanh toán ví điện tử Payoo. Với loại ví điện tử này, người dùng có thể mua hàng và thanh toán đơn hàng tại các trang web TMĐT kết nối với Payoo. Trong năm 2008, Payoo đã kết nối với Ngân hàng Thương mại Cổ phần Nam Việt (NaviBank). Hiện tại, Payoo đang nỗ lực phát triển khách hàng sử dụng ví điện tử bằng cách đưa ra phương thức nạp tiền thuận tiện. Người dùng có thể nạp tiền từ tài khoản NaviBank hoặc từ các đối tác ngân hàng khác của Payoo. Ví điện tử VnMart Tháng 11/2008, Ngân hàng Công thương Việt Nam (VietinBank) và Công ty cổ phần giải pháp thanh toán Việt Nam (VnPay) ra mắt dịch vụ ví điện tử VnMart. Khách hàng là chủ thẻ E-Partner của VietinBank có thể đăng ký sử dụng dịch vụ ví điện tử VnMart để mua sắm qua mạng Internet. Chủ thẻ E-Partner có thể nạp tiền từ khoản ATM của mình sang ví điện tử VnMart thông qua dịch vụ nhắn tin di động VnTopup đã được VietinBank triển khai sau khi đăng ký dịch vụ lần đầu. VnMart hiện đang xin giấy phép hoạt động của Ngân hàng Nhà nước và hoàn thiện quy trình sử dụng dịch vụ. Ví điện tử netCASH – PayNet Tháng 11/2008, Công ty cổ phần mạng thanh toán VINA (PayNet) công bố ra mắt cổng thanh toán trực tuyến PayNet dựa trên mô hình ví điện tử. Cổng thanh toán PayNet cho phép doanh nghiệp chấp nhận thanh toán trực tuyến với tài khoản ví điện tử netCASH. Đăng ký tài khoản tại https://netcash.paynet.vn, người dùng sở hữu tài khoản netCASH có thể mua sắm hàng hóa tại các website TMĐT kết nối với netCASH. Hiện nay, netCASH đang thử nghiệm với website TÀI LIỆU THAM KHẢO Trịnh Nhật Tiến PGS. TS (2007), Bài giảng môn An toàn và bảo mật dữ liệu. Lương Việt Nguyên ThS (2008), Luận văn thạc sỹ, Chữ ký số và ứng dụng xác thực trong thẻ thông minh. Phan Đình Diệu GS (2006), Lý Thuyết Mật Mã và An Toàn Thông Tin, Nhà xuất bản Đại học quốc gia Hà Nội. Trịnh Nhật Tiến PGS. TS (2005), Báo cáo khoa học: “Nghiên cứu xây dựng cơ sở hạ tầng về mật mã khóa công khai bảo đảm an toàn truyền tin trên mạng máy tính TP Hà Nội”. WP1 E-Payment Authentication Study - Final Deliverable John Wiley & Sons Inc, Applied Cryptography Second Edition Cap Gemeni, ABN Amro, EFMA, World Payments REPORT _ 2006 Carte de crédit sur internet – www.cec.belgique, 03042007 European Central Bank, The Eurosystem’s view of a “SEPA for cards” MasterCard International, MasterCard SecureCodeTM – MasterCard and Maestro enrollment and implementation guide. December 2002. Les enjeux du paiement sécurisé pour la vente à distance et le e-commerce, Paris, 2005, Jean-Pierre Buthion, Groupement des Cartes Bancaires The Eurosystem’s vision for SEPA (Single European Payments Area) European Central Bank, Electronic money System security Objectives, According to the common Criteria methodology May 2003