Tiêu chuẩn TCVN 14488-1:2025 Ngân hàng lõi - Dịch vụ tài chính di động - Phần 1 Khuôn khổ chung

TIÊU CHUẨN QUỐC GIA

TCVN 14488-1:2025

ISO 12812-1:2017

NGÂN HÀNG LÕI - DỊCH VỤ TÀI CHÍNH DI ĐỘNG -

PHẦN 1: KHUÔN KHỔ CHUNG

Core banking - Mobile financial services -

Part 1: General framework

Lời nói đầu

TCVN 14488-1:2025 hoàn toàn tương đương ISO 12812-1:2017

TCVN 14488-1:2025 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 68 “Dịch vụ tài chính" biên soạn, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc Gia thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ TCVN 14488:2025 (ISO 12812) “Ngân hàng lõi - Dịch vụ tài chính di động” gồm các TCVN sau:

- TCVN 14488-1:2025 (ISO 12812-1:2017) - Phần 1: Khuôn khổ chung

- TCVN 14488-2:2025 (ISO/TS 12812-2:2017) - Phần 2: Bảo mật và bảo vệ dữ liệu cho các dịch vụ tài chính di động

- TCVN 14488-3:2025 (ISO/TS 12812-3:2017) - Phần 3: Quản lý vòng đời ứng dụng tài chính

- TCVN 14488-4:2025 (ISO/TS 12812-4:2017) - Phần 4: Thanh toán di động cho cá nhân

- TCVN 14488-5:2025 (ISO/TS 12812-5:2017) - Phần 5: Thanh toán di động cho doanh nghiệp

 

Lời giới thiệu

Việc sử dụng các thiết bị di động để thực hiện các dịch vụ tài chính (ví dụ thanh toán, dịch vụ ngân hàng) đang diễn ra cùng với sự gia tăng lượng khách hàng sử dụng internet cho các dịch vụ này. Là một thị trường đang phát triển, các dịch vụ tài chính di động đang được phát triển và triển khai trên nhiều nền tảng ở các khu vực khác nhau trên toàn thế giới cũng như giữa các nhà cung cấp dịch vụ. Trong những điều kiện này, mục tiêu của Bộ TCVN 14488 (ISO 12812) (tất cả các phần) là tạo điều kiện thuận lợi và thúc đẩy khả năng tương tác, bảo mật và chất lượng của các dịch vụ tài chính di động. Đồng thời, điều quan trọng là các bên liên quan trong các dịch vụ có thể hưởng lợi từ sự phát triển và các nhà cung cấp dịch vụ vẫn được tự do thương mại và cạnh tranh để theo đuổi các chiến lược kinh doanh của riêng họ. TCVN 144888 (ISO 12812) (tất cả các phần) chỉ giải quyết khả năng tương tác ở lớp kỹ thuật bằng cách xem xét tác động của các thành phần và/hoặc giao diện mới do việc đưa thiết bị di động vào các dịch vụ tài chính gây ra. Mục đích của TCVN 144888 (ISO 12812) (tất cả các phần) như sau:

a) Thúc đẩy khả năng tương tác của các dịch vụ tài chính di động trên toàn cầu bằng cách xác định các yêu cầu dựa trên thuật ngữ chung và các nguyên tắc cơ bản để thiết kế và vận hành các dịch vụ tài chính di động.

b) Để xác định các thành phần kỹ thuật và giao diện của chúng, cũng như các vai trò có thể thực hiện bởi các tác nhân khác nhau ngoài các nhà cung cấp dịch vụ tài chính di động (ví dụ: nhà điều hành mạng di động, người quản lý dịch vụ đáng tin cậy. Những thành phần này và giao diện của chúng, cũng như vai trò, được xác định theo các trường hợp sử dụng đã nhận diện. Các trường hợp sử dụng trong tương lai có thể được xem xét trong quá trình duy trì Bộ TCVN 14488 (ISO 12812)

c) Xác định các tiêu chuẩn hiện hành mà các dịch vụ tài chính di động nên dựa trên, cũng như những khoảng cách có thể có.

Việc chuẩn hóa trong lĩnh vực này có lợi cho sự phát triển lành mạnh của thị trường dịch vụ tài chính di động vì nó sẽ:

- Tạo điều kiện thuận lợi và thúc đẩy khả năng tương tác giữa các thành phần hoặc chức năng khác nhau xây dựng các dịch vụ tài chính di động;

- Xây dựng một môi trường an toàn để người tiêu dùng và đơn vị chấp nhận thanh toán có thể tin tưởng vào dịch vụ và cho phép các nhà cung cấp dịch vụ tài chính di động quản lý rủi ro của họ;

- Thúc đẩy các cơ chế bảo vệ người tiêu dùng bao gồm các điều khoản hợp đồng công bằng, các quy tắc về tính minh bạch của các khoản phí, làm rõ trách nhiệm pháp lý, cơ chế khiếu nại và giải quyết tranh chấp;

- Cho phép người tiêu dùng lựa chọn từ các nhà cung cấp thiết bị hoặc dịch vụ tài chính di động khác nhau bao gồm khả năng ký hợp đồng với một số nhà cung cấp dịch vụ tài chính di động để cung cấp dịch vụ trên cùng một thiết bị;

- Cho phép người tiêu dùng chuyển dịch vụ tài chính di động từ thiết bị này sang thiết bị khác (tính di động);

- Thúc đẩy trải nghiệm nhất quán của người tiêu dùng giữa các dịch vụ tài chính di động khác nhau và các nhà cung cấp dịch vụ tài chính di động có giao diện dễ sử dụng.

Để đạt được các mục tiêu này, mỗi phần của ISO 12812 (tất cả các phần) sẽ chỉ định các cơ chế kỹ thuật cần thiết và khi có liên quan, sẽ tham khảo các tiêu chuẩn hiện hành khi thích hợp.

TCVN 14488 (ISO 12812) (tất cả các phần) cung cấp một khuôn khổ đủ linh hoạt để phù hợp với các công nghệ thiết bị di động mới, cũng như cho phép nhiều mô hình kinh doanh khác nhau. Đồng thời, nó cho phép tuân thủ các quy định hiện hành, bao gồm quyền riêng tư dữ liệu, bảo vệ dữ liệu nhận dạng cá nhân, bảo vệ người tiêu dùng, chống rửa tiền và ngăn ngừa tội phạm tài chính.

TCVN 14488 (ISO 12812) (tất cả các phần) không có ý định sao chép hoặc tìm cách thay thế bất kỳ tiêu chuẩn hiện có nào trong lĩnh vực dịch vụ tài chính di động (ví dụ: giao thức truyền thông, thiết bị di động). Cũng không có ý định đưa công nghệ vào bất kỳ ứng dụng cụ thể nào hoặc hạn chế sự phát triển của tương lai vì các công nghệ hoặc giải pháp. Các thông điệp và thành phần dữ liệu được trao đổi tại các giao diện giữa các thành phần hoặc tác nhân khác nhau của hệ thống có thể là những thành phần hoặc tác nhân đã được chỉ định [ví dụ: ISO 20022, ISO 8583 (tất cả các phần)].

TCVN 14488 (ISO 12812) (tất cả các phần) thừa nhận nhu cầu của người tiêu dùng không sử dụng tài khoản ngân hàng hoặc có sử dụng tài khoản ngân hàng để tiếp cận các dịch vụ tài chính di động. Tiêu chuẩn này cũng thừa nhận rằng các dịch vụ này có thể được cung cấp bởi nhiều loại tổ chức khác nhau theo các quy định hiện hành. Bộ tiêu chuẩn TCVN 14488 (ISO 12812) bao gồm các phần sau:

- Phần 1: Khuôn khổ chung - Giới thiệu tiêu chuẩn với mô tả về một số cơ sở cơ bản mà các phần khác được xây dựng trên đó;

- Phần 2: Bảo mật và bảo vệ dữ liệu cho các dịch vụ tài chính di động - Định nghĩa về một khuôn khổ chung để thực hiện an toàn các dịch vụ tài chính di động;

- Phần 3: Quản lý vòng đời ứng dụng tài chính - Vòng đời của ứng dụng bao gồm các vai trò và cơ sở hạ tầng để cung cấp an toàn;

- Phần 4: Thanh toán di động cho cá nhân - Các trường hợp sử dụng và yêu cầu về khả năng tương tác;

- Phần 5: Thanh toán di động cho doanh nghiệp - Các trường hợp sử dụng và yêu cầu về khả năng tương tác.

 

NGÂN HÀNG LÕI - DỊCH VỤ TÀI CHÍNH DI ĐỘNG -

PHẦN 1: KHUÔN KHỔ CHUNG

Core banking - Mobile financial services -

Part 1: General framework

1 Phạm vi áp dụng

Tiêu chuẩn này xác định các dịch vụ liên quan đến các dịch vụ tài chính di động (thanh toán và dịch vụ ngân hàng di động), tập trung vào:

a) Tập hợp các định nghĩa đã được công nhận về ngành tài chính;

b) Những cơ hội do thiết bị di động mang lại đối với việc phát triển dịch vụ;

c) Thúc đẩy môi trường làm biến đổi và giảm thiểu những trở ngại về dịch vụ tài chính di động đối với các nhà cung cấp dịch vụ mong muốn cung cấp dịch vụ có tính bền vững và đáng tin cậy cho nhiều khách hàng (khách hàng cá nhân và doanh nghiệp), đồng thời đảm bảo quyền lợi của khách hàng;

d) Các loại dịch vụ tài chính di động khác nhau được truy cập thông tin qua thiết bị di động bao gồm dịch vụ thanh toán lân cận trên thiết bị di động, thanh toán từ xa di động và ngân hàng di động, được mô tả chi tiết trong các phần của bộ TCVN 14488 (ISO 12812);

e) Các công nghệ hỗ trợ các dịch vụ tài chính di động;

f) Các bên liên quan tham gia vào hệ sinh thái thanh toán di động.

Tiêu chuẩn này bao gồm các phụ lục tham khảo sau:

- Tổng quan về các đề xuất tiêu chuẩn hóa khác nhau trong dịch vụ tài chính di động (Phụ lục A);

- Mô tả các mô hình kinh doanh thanh toán di động khả thi (Phụ lục B);

- Mô tả các công cụ thanh toán điển hình có thể được sử dụng (Phụ lục C).

2 Tài liệu viện dẫn

Trong tiêu chuẩn này không có tài liệu nào được viện dẫn.

3 Thuật ngữ và định nghĩa

Trong tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa sau đây:

3.1

Ngân hàng thanh toán (acquirer)

Tổ chức (3.17) đã ký hợp đồng với đơn vị chấp nhận thanh toán (3.19)/ người trả tiền (3.38) để xử lý dữ liệu giao dịch thanh toán (3.40) và truyền tiếp trong hệ thống thanh toán (3.45)

Chú thích 1: Vai trò này có thể hoặc không thể được thực hiện bởi đơn vị chấp nhận thanh toán/ người nhận tiền.

3.2

Bí danh (alias)

Bí danh của người trả tiền (3.39) và/ hoặc người nhận tiền (3.38) được liên kết duy nhất với tên và tài khoản liên quan đến công cụ thanh toán (3.43)

VÍ DỤ : Số điện thoại di động

3.3

Ứng dụng (application)

Tập hợp các mô-đun chương trình (phần mềm ứng dụng) và/hoặc dữ liệu (dữ liệu ứng dụng) cần thiết để cung cấp chức năng cho dịch vụ tài chính di động (3.25).

VÍ DỤ: Ứng dụng thanh toán, ứng dụng xác thực, ứng dụng xác thực giao diện người dùng, ví di động (3.35).

3.4

Xác thực (authentication)

Cung cấp sự đảm bảo đặc điểm được tuyên bố của một thực thể là chính xác.

Chú thích 1: Việc cung cấp sự đảm bảo có thể được đưa ra bằng cách xác minh danh tính của một cá nhân, thiết bị hoặc phần mềm.

[NGUỒN: TCVN ISO/IEC 27000:2016, 2.7, đã sửa đổi - Chú thích 1 đã được thêm vào.]

3.5

Thông tin xác thực (authentication credential)

Dữ liệu cung cấp bởi Nhà cung cấp dịch vụ tài chính di động (MFSP) (3.27) tới khách hàng để xác thực thông tin.

VÍ DỤ: PIN ( Số nhận dạng cá nhân), mã di động.

3.6

Mã vạch (bar code)

Biểu diễn dữ liệu có thể đọc được bằng máy quang học.

Chú thích 1: Mã vạch bao gồm Mã QR ( TCVN 7322 (ISO/IEC 18004), Ma trận dữ liệu ( ISO/IEC 16022) và mã vạch Maxi Code (ISO/IEC 16023).

3.7

Phương pháp xác thực chủ thẻ (cardholder verification method)

CVM

Trường hợp cụ thể của phương pháp xác thực người dùng (UVM) (3.63) khi công cụ thanh toán (3.43) là thẻ.

3.8

Người tiêu dùng (consumer)

Người sử dụng thiết bị di động (3.24) để mua bán hàng hóa hoặc dịch vụ và hoạt động vào các mục đích khác ngoài thương mại, kinh doanh nghề nghiệp.

3.9

Không tiếp xúc (contactless)

Công nghệ tần số vô tuyến hoạt động ở phạm vi rất ngắn để người dùng chủ động thực hiện giao dịch liên lạc giữa hai thiết bị bằng cách tiếp cận chúng với nhau.

CHÚ THÍCH 1: Không tiếp xúc khác với Không dây, một thuật ngữ tổng quát hơn.

CHÚ THÍCH 2: Công nghệ không tiếp xúc được quy định tại ISO/IEC 14443.

3.10

Xác thực thanh toán (credential)

Dữ liệu được cung cấp cho khách hàng (3.12) nhằm mục đích nhận dạng/xác thực.

3.11

Chuyển khoản ghi có (credit transfer)

Phương thức thanh toán người trả tiền (3.39) chuyển một số tiền từ tài khoản của người trả tiền vào tài khoản của người nhận tiền (3.38).

3.12

Khách hàng (customer)

Cá nhân hoặc Doanh nghiệp đã kí hợp đồng với MFSP để sử dụng các dịch vụ tài chính di động (3.25).

3.13

Ghi nợ trực tiếp (direct debit)

Phương thức thanh toán mà người nhận tiền (3.38) thực hiện chuyển tiền từ tài khoản ngân hàng của người trả tiền (3.39) vào tài khoản của người nhận tiền.

Chú thích 1: Việc ghi nợ trực tiếp thường được ủy quyền dưới hình thức ủy quyền giữa người trả tiền và người nhận tiền.

3.14

Tiền điện tử (electronic money)

Tiền hoặc các tài sản có giá trị tương đương được đo bằng tiền tệ được lưu trữ trên thiết bị, như thiết bị di động (3.24) hoặc lưu trữ tại máy chủ từ xa. Điều này giúp người tiêu dùng (3.8) có thể mua và sử dụng để thanh toán.

3.15

Giả lập dịch vụ thẻ (host card emulation)

HCE

Triển khai thanh toán không tiếp xúc (3.9) trong đó ứng dụng thanh toán được lưu trữ trên thiết bị di động (3.24).

3.16

Thông tin nhận dạng (identification credential)

Dữ liệu do tổ chức (3.17) cung cấp cho khách hàng (3.12) để cho phép xác thực khách hàng.

3.17

Tổ chức (institution)

Tổ chức được ủy quyền cung cấp dịch vụ tài chính theo (các) quy định hiện hành.

3.18

Định danh khách hàng (know your customer)

KYC

Quá trình xác minh danh tính của khách hàng (3.12) nhằm ngăn ngừa tội phạm tài chính, rửa tiền và tài trợ khủng bố.

3.19

Đơn vị chấp nhận thanh toán (merchant)

Doanh nghiệp chấp nhận thanh toán di động (3.29) cho việc mua hàng hóa dịch vụ của người tiêu dùng (3.8)

3.20

Dịch vụ ngân hàng di động (mobile banking)

Truy cập và thực hiện dịch vụ ngân hàng trực tuyến thông qua thiết bị di động (3.24)

3.21

Thẻ thanh toán di động (mobile card payment)

Thanh toán di động (3.29) sử dụng thông tin xác thực thanh toán (3.41) và cơ sở hạ tầng thẻ để ủy quyền và thanh toán.

3.22

Mã di động (mobile code)

Xác thực thông tin (3.5) được sử dụng dưới dạng UVM và được đăng nhập qua thiết bị di động (3.24)

3.23

Thanh toán di động không tiếp xúc (mobile contactless payment)

Thanh toán di động gần trong đó người trả tiền (3.39) và người nhận tiền (3.38) giao tiếp trực tiếp bằng công nghệ không tiếp xúc (3.9).

3.24

Thiết bị di động (mobile device)

Thiết bị cá nhân có kết nối di động

VÍ DỤ: Điện thoại di động, điện thoại di động thông minh (3.56), máy tính bảng.

Chú thích 1: Dịch vụ điện thoại di động có khả năng có NFC.

3.25

Dịch vụ tài chính di động (mobile financial service)

MFS

Dịch vụ thanh toán di động (3.29) (bao gồm thanh toán bán lẻ) và dịch vụ ngân hàng di động (3.20).

3.26

Chương trình dịch vụ tài chính di động (mobile financial service program)

Chương trình MFS

Tập hợp các quy tắc, thực hành và tiêu chuẩn được các bên tham gia chương trình MFSP thỏa thuận nhằm đảm bảo hoạt động của dịch vụ tài chính di động.

3.27

Nhà cung cấp dịch vụ tài chính di động (mobile financial service provider)

MFSP

Một tổ chức đã ký hợp đồng với khách hàng và có trách nhiệm cung cấp dịch vụ tài chính di động cho khách hàng đó.

3.28

Nhà mạng di động (mobile network operator)

MNO

Một nhà mạng di động cung cấp một loạt các dịch vụ truyền thông di động, bao gồm kết nối qua sóng.

3.29

Thanh toán di động (mobile payment)

Một giao dịch thanh toán liên quan đến một thiết bị di động và sử dụng một công cụ thanh toán cùng với các cơ sở hạ tầng liên quan.

3.30

Hệ sinh thái thanh toán di động (mobile payment ecosystem)

Tập hợp các bên liên quan tương tác với nhau để hình thành một hệ thống thanh toán hoạt động ổn định trong môi trường di động.

3.31

Thanh toán di động gần (mobile proximate payment)

Một giao dịch thanh toán di động trong đó người trả tiền và người nhận (và/hoặc thiết bị của họ) ở cùng một vị trí.

Chú thích 1: Thuật ngữ này được ưa chuộng hơn so với thanh toán di động gần gũi vì từ “gần gũi” có ý nghĩa cụ thể trong các tiêu chuẩn không tiếp xúc (ISO/IEC 14443).

Chú thích 2: Thanh toán di động gần bao gồm nhưng không giới hạn ở các thanh toán di động không tiếp xúc.

3.32

Thanh toán di động từ xa (mobile remote payment)

Một giao dịch thanh toán di động được thực hiện qua mạng truyền thông di động và có thể được thực hiện độc lập với vị trí của người nhận (và/hoặc thiết bị của họ).

3.33

Dịch vụ di động (mobile service)

Một dịch vụ được truy cập thông qua thiết bị di động.

VÍ DỤ: dịch vụ tài chính di động, giao thông công cộng, mua sắm, chương trình khách hàng thân thiết và thông tin.

3.34

Nhà cung cấp dịch vụ di động (mobile service provider)

Một thực thể cung cấp dịch vụ di động cho người tiêu dùng cuối.

Chú thích 1: Đối với dịch vụ tài chính di động, nhà cung cấp dịch vụ được gọi là nhà cung cấp dịch vụ tài chính di động (MFSP).

Chú thích 2: Định nghĩa này không bao gồm các nhà cung cấp (người bán) cho các nhà cung cấp dịch vụ di động và không được người tiêu dùng cuối biết đến.

3.35

Ví di động (mobile wallet)

Một hộp kỹ thuật số được truy cập qua thiết bị di động, cho phép người tiêu dùng lưu trữ các ứng dụng và thông tin xác thực dùng cho dịch vụ tài chính và không tài chính di động.

Chú thích 1: hộp này có thể nằm trên thiết bị di động thuộc sở hữu của người tiêu dùng (tức là người giữ ví) hoặc có thể được lưu trữ từ xa trên máy chủ (hoặc kết hợp của cả hai) hoặc trên trang web của người bán.

3.36

Giao tiếp gần (near field communication)

NFC

Giao diện và giao thức giao tiếp không tiếp xúc được chỉ định bởi ISO/IEC 18092 và ISO/IEC 21481.

3.37

Mạng không dây (over the air)

OTA

Kênh dữ liệu do nhà khai thác mạng di động điều hành để quản lý từ xa các thành phần trong thiết bị di động.

3.38

Người nhận tiền (payee)

Một cá nhân hoặc pháp nhân pháp lý là người nhận dự kiến của các khoản tiền đã được giao dịch thanh toán.

3.39

Người trả tiền (payer)

Một cá nhân hoặc pháp nhân pháp lý ủy quyền cho giao dịch thanh toán.

3.40

Thanh toán (payment)

Giao dịch thanh toán (payment transaction)

Hành động chuyển, chuyển giao hoặc rút tiền, bất kể các nghĩa vụ cơ bản giữa người trả tiền và người nhận.

3.41

Xác thực thanh toán (payment credential)

Dữ liệu do MFSP cung cấp cho khách hàng để xác định tài khoản khách hàng liên quan đến công cụ thanh toán.

Ví DỤ: IBAN, PAN.

3.42

Cổng thanh toán (payment gateway)

Một dịch vụ nằm trên máy chủ từ xa để chấp nhận các thanh toán di động từ xa.

3.43

Công cụ thanh toán (payment instrument)

Thiết bị được cá nhân hóa và/hoặc quy trình được thỏa thuận giữa người trả tiền và tổ chức và được người trả tiền sử dụng để thực hiện giao dịch thanh toán.

VÍ DỤ: Chuyển khoản tín dụng, thanh toán thẻ và tiền điện tử

3.44

Chương trình thanh toán (payment scheme)

Tập hợp các quy tắc, thực hành, tiêu chuẩn và/hoặc hướng dẫn thực hiện được thỏa thuận giữa các bên tham gia chương trình nhằm đảm bảo hoạt động của các dịch vụ thanh toán và được tách biệt khỏi bất kỳ cơ sở hạ tầng hoặc hệ thống thanh toán nào hỗ trợ cho hoạt động đó.

3.45

Hệ thống thanh toán (payment system)

Hệ thống chuyển tiền với các sắp xếp chính thức và tiêu chuẩn hóa cùng các quy tắc chung cho việc xử lý, bù trừ và/hoặc thanh toán các giao dịch thanh toán.

3.46

Thanh toán cho doanh nghiệp (payment to business)

Giao dịch thanh toán mà bên nhận là một doanh nghiệp

3.47

Thanh toán cho cá nhân (payment to person)

Giao dịch thanh toán mà bên nhận là một cá nhân

3.48

Điểm tương tác (point of interaction)

POI

Thiết bị được sử dụng để chấp nhận thanh toán di động

VÍ DỤ: POS, máy bán hàng tự động, ATM cho thanh toán trực tiếp và cổng thanh toán cho thanh toán từ xa

Chú thích 1: điểm tương tác có thể là thiết bị di động (3.24)

3.49

Chuyển tiền (remittance)

Chuyển một khoản tiền giữa hai cá nhân

Chú thích 1: Trong bối cảnh của TCVN 14488-1 (ISO 12812) (tất cả các phần), chuyển tiền bao gồm chuyển tiền trong nước và chuyển tiền qua nước khác.

3.50

Phần tử bảo mật (secure element)

SE

Nền tảng chống giả mạo trong thiết bị di động có khả năng lưu trữ và thực thi an toàn các ứng dụng và dữ liệu bảo mật, mã hóa liên quan (ví dụ: quản lý khóa).

VÍ DỤ: UICC, các phần tử tích hợp bảo mật, thẻ chip và thẻ nhớ có SD.

3.51

Nhà cung cấp phần tử bảo mật (secure element provider)

Một pháp nhân sở hữu quyền truy cập gốc vào SE

3.52

Máy chủ bảo mật (secured server)

Môi trường bảo mật được đặt trên một máy chủ

3.53

Môi trường bảo mật (secure enviroment)

Một hệ thống thực hiện việc lưu trữ và xử lý thông tin có kiểm soát nhằm bảo vệ dữ liệu cá nhân và/hoặc dữ liệu bảo mật.

Chú thích 1: Trong bối cảnh dịch vụ tài chính di động, nó có thể nằm trong thiết bị di động, chẳng hạn như phần tử bảo mật, môi trường thực thi đáng tin cậy hoặc phần mềm với các kiểm soát bảo mật bổ sung, hoặc trên một máy chủ bảo mật từ xa.

3.54

Kiểm soát bảo mật (security controls)

Các kiểm soát quản lý, vận hành và kỹ thuật (tức là các biện pháp bảo vệ hoặc đối sách) được quy định cho một hệ thống thông tin để bảo vệ tính bảo mật, toàn vẹn và khả năng sẵn có của hệ thống và thông tin của nó.

3.55

Dịch vụ tin nhắn ngắn (short message service)

SMS

Một dịch vụ cho phép điện thoại di động hoặc máy chủ gửi tin nhắn có độ dài hạn chế tới một hoặc nhiều điện thoại di động.

3.56

Điện thoại thông minh (smartphone)

Một thiết bị di động thực hiện các chức năng của máy tính như lưu trữ dữ liệu, khả năng chạy các ứng dụng tải xuống và truy cập Internet.

3.57

Xác thực mạnh (strong authentication)

Quy trình xác thực sử dụng tối thiểu hai cơ chế xác thực độc lập (theo quan điểm bảo mật), với ít nhất một trong số đó là động.

3.58

Bên thứ ba (third party)

Một bên không phải là một trong các bên chính tham gia giao dịch.

3.59

Mã hóa token (tokenization)

Quá trình thay thế thông tin thanh toán bằng một giá trị thay thế gọi là mã hóa token thanh toán.

Chú thích 1: Mã hóa có thể được thực hiện để nâng cao hiệu quả giao dịch, cải thiện bảo mật giao dịch, tăng cường tính minh bạch của dịch vụ, hoặc cung cấp phương pháp cho bên thứ ba thực hiện.

3.60

Môi trường thực thi tin cậy (trusted execution environment)

TEE

Một khía cạnh của thiết bị di động bao gồm phần cứng và/hoặc phần mềm cung cấp dịch vụ bảo mật cho môi trường tính toán của thiết bị di động, bảo vệ dữ liệu khỏi các cuộc tấn công phần mềm chung và cách ly các tài nguyên bảo mật phần cứng và phần mềm khỏi hệ điều hành.

3.61

Nhà quản lý dịch vụ tin cậy (trusted service manager)

TSM

Một bên thứ ba tin cậy đại diện cho nhà cung cấp môi trường bảo mật và/hoặc nhà cung cấp dịch vụ tài chính di động nhằm thực hiện việc cung cấp và quản lý ứng dụng.

3.62

Bên thứ ba tin cậy (trusted third party)

Một bên thứ ba được các thực thể khác tin cậy liên quan đến các hoạt động bảo mật

3.63

Phương pháp xác thực người dùng (user verification method)

UVM

Một phương pháp xác minh rằng người sử dụng dịch vụ tài chính di động là khách hàng hợp pháp của nhà cung cấp dịch vụ tài chính di động.

Chú thích 1: Một phương pháp kiểm tra xác nhận người dùng có thể dựa trên việc xử lý các thông tin xác thực.

3.64

Dữ liệu dịch vụ bổ sung phi cấu trúc (unstructured supplementary services data)

USSD

Chức năng được tích hợp vào tiêu chuẩn GSM để hỗ trợ truyền thông tin qua các kênh tín hiệu của mạng GSM.

4 Các thuật ngữ viết tắt

5 Khái niệm về khả năng tương tác

5.1 Tổng quan

Có rất nhiều định nghĩa khác nhau về thuật ngữ khả năng tương tác. Một số định nghĩa giới hạn khái niệm này ở mức độ kỹ thuật, cho rằng khả năng tương tác là khả năng của các hệ thống cung cấp dịch vụ cho và chấp nhận dịch vụ từ các hệ thống khác, đồng thời cho phép chúng hoạt động hiệu quả cùng nhau.

CHÚ THÍCH: Theo ISO/IEC 2382, khả năng tương tác được định nghĩa là "khả năng giao tiếp, thực thi các chương trình hoặc truyền dữ liệu giữa các đơn vị chức năng khác nhau theo cách mà người dùng không cần phải biết hoặc chỉ cần biết rất ít về các đặc điểm riêng biệt của các đơn vị đó."

Các định nghĩa khác bao gồm vai trò của các tổ chức trong việc quyết định hợp tác bằng cách sử dụng các hệ thống có thể hoạt động cùng nhau. Trong bối cảnh đó, khả năng tương tác là khả năng để các hệ thống và tổ chức làm việc cùng nhau (tương tác).

Các giao dịch thanh toán thường liên quan đến nhiều bên tạo thành một chuỗi các thành phần hoặc hệ thống kỹ thuật. Trong bối cảnh đó, khái niệm khả năng tương tác bao gồm hai lớp: lớp kinh doanh và lớp kỹ thuật.

5.2 Khái niệm về khả năng tương tác trong thanh toán: Lớp kinh doanh

Trong các giao dịch thanh toán, lớp kinh doanh của khái niệm khả năng tương tác rất quan trọng để đảm bảo rằng bất kỳ hai tổ chức nào trong chuỗi thanh toán đều có thể quyết định hợp tác với nhau bằng cách đồng ý các điều khoản và điều kiện hợp tác của họ. Đây thường là trường hợp trong mối quan hệ giữa một đơn vị chấp nhận thanh toán và tổ chức chấp nhận thanh toán của họ. Đơn vị chấp nhận thanh toán có thể chỉ cung cấp cho người tiêu dùng các phương tiện thanh toán do tổ chức chấp nhận thanh toán đó cung cấp (hoặc nhiều tổ chức chấp nhận thanh toán nếu đơn vị chấp nhận thanh toán đã ký hợp đồng với nhiều tổ chức). Người tiêu dùng có thể đã đăng ký một số phương tiện thanh toán với một hoặc nhiều nhà cung cấp dịch vụ thanh toán. Hệ quả của khả năng tương tác kinh doanh là người tiêu dùng có thể sử dụng một trong những phương tiện thanh toán được đơn vị chấp nhận thanh toán chấp nhận.

5.3 Khái niệm về khả năng tương tác trong thanh toán: Lớp kỹ thuật

Đối với lớp kỹ thuật, khả năng tương tác có nghĩa là một tổ chức có thể dễ dàng hoạt động với nhiều thực thể khác nhau cho một dịch vụ cụ thể dựa trên các hệ thống tương thích. Trong công nghệ thông tin, đặc biệt là trong lĩnh vực thanh toán, nguyên tắc này ngụ ý rằng các giao diện giữa hai thành phần liên tiếp của chuỗi thanh toán được tiêu chuẩn hóa, cho phép các giải pháp được triển khai bởi nhiều nhà cung cấp khác nhau. Đối với một số giao diện, có thể tồn tại nhiều tiêu chuẩn, điều này ảnh hưởng đến mức độ tương tác với các quy trình kém hiệu quả hơn trong các thực thể tham gia ở giao diện đó nếu nhiều tiêu chuẩn được triển khai. Khả năng tương tác không nhất thiết đồng nghĩa với việc chỉ tồn tại một tiêu chuẩn duy nhất tại một giao diện nhất định.

Thuật ngữ "tương thích" tương đương với lớp kỹ thuật của khái niệm khả năng tương tác.

CHÚ THÍCH: Trong cuộc sống hàng ngày, khi một người tiêu dùng phải thay thế một thành phần của thiết bị bằng một thành phần mới, sự tương thích là điều cần thiết. Ví dụ, đây là trường hợp của bộ sạc điện thoại di động. Một bộ sạc mới sẽ tương thích với thiết bị nếu cả nguồn điện cung cấp và đầu cắm đều phù hợp với các đặc tính của thiết bị.

Đối với thanh toán, một giải pháp của nhà cung cấp sẽ tương thích với hệ thống của một tổ chức nếu nó có thể dễ dàng thay thế một giải pháp tương thích đã được cài đặt của một nhà cung cấp khác. Sự tương thích này được tạo điều kiện thuận lợi nếu cả hai giải pháp tuân thủ cùng một tiêu chuẩn chung.

Lớp kỹ thuật của khái niệm khả năng tương tác bao gồm các khía cạnh khác nhau như triển khai ứng dụng, chức năng, bảo mật, truyền thông, giao thức, phần tử dữ liệu và vận hành.

5.4 Mục tiêu của khả năng tương tác

Mục tiêu của TCVN 14488 (ISO 12812) (tất cả các phần) là chỉ giải quyết khả năng tương tác ở lớp kỹ thuật. TCVN 14488 (ISO 12812) (tất cả các phần) xem xét tác động của các thành phần và/hoặc giao diện mới được tạo ra bởi việc đưa thiết bị di động vào chuỗi thanh toán. Tiêu chuẩn này không giải quyết khả năng tương tác của các thành phần hiện có và/hoặc giao diện của chuỗi thanh toán được tái sử dụng trong MFS (ví dụ, các thành phần thanh toán đã tồn tại). TCVN 14488 (ISO 12812) (tất cả các phần) không nhằm mục đích sao chép các tiêu chuẩn hiện có để có thể áp dụng trong môi trường di động. Các tiêu chuẩn liên quan được trích dẫn cho các giao diện khác nhau giữa các thành phần của chuỗi thanh toán di động (xem Phụ lục A đưa ra Ví dụ về các tổ chức tiêu chuẩn hóa liên quan đến dịch vụ tài chính di động).

6 Quan hệ giữa khách hàng và các nhà cung cấp dịch vụ tài chính di động (MFSP)

6.1 Tổng quan

Thuật ngữ nhà cung cấp dịch vụ tài chính di động (MFSP) được sử dụng trong TCVN 14488 (ISO 12812) (tất cả các phần) để chỉ các tổ chức cung cấp dịch vụ tài chính di động thông qua thiết bị di động cho khách hàng của họ. Khi một tổ chức tham gia vào chuỗi giá trị dịch vụ tài chính di động mà không cung cấp dịch vụ qua thiết bị di động, tổ chức đó không được gọi là MFSP. Đây là trường hợp của một tổ chức người nhận thanh toán, chẳng hạn. Hình 1 đại diện cho các thuật ngữ khác nhau liên quan đến các tổ chức được sử dụng trong TCVN 14488 (ISO 12812) (tất cả các phần) cho cả thanh toán di động và ngân hàng.

Hình 1 - Thuật ngữ liên quan đến các tổ chức

6.2 Tình trạng pháp lý của khách hàng

Khách hàng có thể là một cá nhân (tức là một người) hoặc một pháp nhân (tức là một doanh nghiệp, một đơn vị chấp nhận thanh toán).

6.3 Vai trò của khách hàng

Trong trường hợp thanh toán di động giữa hai khách hàng từ một hoặc hai tổ chức, khách hàng xác nhận thanh toán được gọi là người trả tiền và khách hàng nhận tiền được gọi là người nhận tiền.

6.4 Mối quan hệ hợp đồng giữa khách hàng và tổ chức

Các tổ chức chủ yếu phân biệt giữa hai loại hợp đồng với khách hàng của họ cho việc sử dụng dịch vụ tài chính di động:

a) Hợp đồng cho cá nhân, những người (1) thanh toán cho hàng hóa và dịch vụ và/hoặc (2) gửi và/hoặc nhận tiền và/hoặc (3) sử dụng dịch vụ ngân hàng.

b) Hợp đồng cho pháp nhân, những tổ chức (1) nhận tiền để cung cấp hàng hóa và dịch vụ và/hoặc (2) thanh toán để mua hàng hóa và dịch vụ từ một doanh nghiệp khác và/hoặc (3) sử dụng dịch vụ ngân hàng.

CHÚ THÍCH: Việc có một hợp đồng mới với khách hàng cho dịch vụ tài chính di động là do tổ chức quyết định.

6.5 Lựa chọn từ ngữ cho TCVN 14488 (ISO 12812) (tất cả các phần)

Tùy thuộc vào ngữ cảnh, các từ ngữ sau được sử dụng trong tiêu chuẩn này:

a) Người trả tiền (payer)/người nhận tiền (payee)

b) Cá nhân/pháp nhân hoặc doanh nghiệp

Người tiêu dùng/đơn vị chấp nhận thanh toán

Tuy nhiên, trong ngữ cảnh thanh toán di động, thuật ngữ "doanh nghiệp" được ưu tiên hơn so với thuật ngữ "đơn vị chấp nhận thanh toán" hoặc "pháp nhân," và thuật ngữ "cá nhân" được ưu tiên hơn so với thuật ngữ "người tiêu dùng."TCVN 14488- 4 (ISO/TS 12812-4) được đặt tên là "Thanh toán di động cho cá nhân," và TCVN 14488-5 (ISO/TS 12812-5) được đặt tên là "Thanh toán di động cho doanh nghiệp."

TCVN 14488-4 (ISO/TS 12812-4) và TCVN 14488-5 (ISO/TS 12812-5) khác nhau về bản chất của người nhận tiền (một cá nhân hoặc một doanh nghiệp, tương ứng). Tùy thuộc vào các quy định hiện hành, TCVN 14488-4 (ISO/TS 12812-4) bao gồm những người nhận tiền là những người lao động tự do (ví dụ: người trông trẻ, người làm vườn).TCVN 14488-5 (ISO/TS 12812-5) bao gồm các tình huống mà người trả tiền là người tiêu dùng hoặc doanh nghiệp.

Thuật ngữ "khách hàng" chỉ được sử dụng trong ngữ cảnh mối quan hệ với một tổ chức, trong khi thuật ngữ "người tiêu dùng" được sử dụng trong ngữ cảnh thanh toán cho doanh nghiệp.

7 Lý do cho TCVN 14488 (ISO 12812) (tất cả các phần)

7.1 Tổng quan

TCVN 14488 (ISO 12812)) (tất cả các phần) nhằm mục đích đóng góp vào sự phát triển của các dịch vụ tài chính di động (MFS) bằng cách tận dụng các đặc điểm của môi trường di động được mô tả trong 7.2 và đóng góp vào việc giải quyết những thách thức được xác định trong 7.3.

7.2 Mô tả môi trường

7.2.1 Tổng quan

Nhiều yếu tố và sự thay đổi trong lĩnh vực thiết bị di động giải thích cách mà các thiết bị này mang lại cơ hội đáng kể cho sự phát triển của các dịch vụ tài chính di động. Đầu tiên, số lượng người sử dụng thiết bị di động đang tăng lên ở tất cả các khu vực trên thế giới với tỷ lệ thâm nhập cao trong tổng dân số. Thứ hai, người sử dụng thiết bị di động hầu như luôn mang theo chúng, cung cấp cho họ một mức độ kết nối và truy cập cao đến các dịch vụ tài chính di động. Cuối cùng, những tiến bộ lớn hơn ngoài các dịch vụ thoại và tin nhắn ngắn (tức là nhắn tin văn bản) đã nâng cao các tính năng công nghệ của thiết bị di động. Ví dụ, cơ sở hạ tầng MNO hiện tại hỗ trợ truy cập Internet theo gói đã dẫn đến việc di động hóa điện thoại thông minh với khả năng tính toán và kết nối tiên tiến hơn. Hơn nữa, ngày càng nhiều thiết bị di động được sản xuất với công nghệ NFC bên cạnh các công nghệ khác như việc sử dụng mã vạch (xem 10.3).

7.2.2 Tăng cường phi vật chất hóa dịch vụ tài chính

Các thiết bị di động hiện đang mang đến cơ hội phát triển cho các nhà cung cấp dịch vụ tài chính di động (MFSP) như cung cấp các dịch vụ giá trị gia tăng mới hoặc thực hiện các mối quan hệ khách hàng theo cách ít vật chất hơn (ví dụ: thay thế các phương thức thanh toán kém hiệu quả như tiền mặt và séc).

7.2.3 Tăng cường sử dụng dịch vụ tài chính di động

Dịch vụ tài chính di động (MFS) có thể được khách hàng truy cập bất cứ lúc nào và ở bất kỳ đâu, và việc sử dụng các Dịch vụ này đang gia tăng. Điều này đúng với các khách hàng truyền thống của MFSP nhưng cũng đúng với những cá nhân có ít hoặc không có mối quan hệ ngân hàng. Ngày càng có nhiều cá nhân được gọi là "không đủ điều kiện ngân hàng" hoặc "không có tài khoản ngân hàng" có quyền truy cập vào thiết bị di động, tạo ra cơ hội cho sự bao gồm tài chính rộng rãi hơn thông qua việc tiếp cận MFS.

Tỷ lệ thâm nhập thiết bị di động đang cung cấp cơ hội đáng kể cho khách hàng sử dụng thiết bị di động của họ trong nhiều kịch bản thanh toán khác nhau.

7.2.4 Tăng cường thanh toán xuyên biên giới

Việc phi vật chất hóa các khoản thanh toán thực hiện qua dịch vụ thanh toán di động đang được phổ biến việc sử dụng xuyên biên giới nhiều hơn, chẳng hạn như chuyển tiền, nơi mà những người lao động nước ngoài và lao động tạm thời ở một quốc gia gửi một phần thu nhập của họ về nhà để hỗ trợ các thành viên trong gia đình ở quốc gia khác.

7.2.5 Quản lý các ứng dụng từ xa

Nhờ vào các tính năng giao tiếp, các thiết bị di động cho phép quản lý từ xa các ứng dụng được lưu trữ trong thiết bị. MFSP có thể thực hiện việc quản lý này mỗi khi thiết bị di động được kết nối, tức là chủ yếu là trên cơ sở thường xuyên. Các ví dụ về quản lý ứng dụng bao gồm:

a) Cài đặt ứng dụng đầu tiên trong thiết bị di động, cá nhân hóa và kích hoạt ứng dụng;

b) Nâng cấp ứng dụng sau đó;

c) Chặn ứng dụng khi thiết bị di động được báo mất hoặc bị đánh cắp hoặc bị xâm phạm bằng các phương thức khác;

d) Kích hoạt lại ứng dụng khi các điều kiện được đáp ứng;

e) Gỡ bỏ ứng dụng khi kết thúc dịch vụ.

Quản lý các ứng dụng từ xa trong trường hợp thanh toán di động là một quy trình hiệu quả hơn so với các phương thức thanh toán truyền thống như thẻ nhựa, cần phải thay thế bằng một thẻ mới, ví dụ, khi bị mất hoặc bị đánh cắp.

CHÚ THÍCH: Trong trường hợp ứng dụng không thể được quản lý từ xa, các giải pháp thay thế (ví dụ: cần có kết nối vật lý trực tiếp) có thể được MFSP đề xuất cho việc quản lý ứng dụng. Những cấu hình như vậy không nằm trong phạm vi của TCVN 14488 (ISO 12812) (tất cả các phần).

TCVN 14488-3 (ISO/TS 12812-3) quy định quản lý vòng đời của các ứng dụng.

7.2.6 Tăng cường chức năng gần

Việc giới thiệu công nghệ NFC (và các công nghệ khác) đã trở thành nguồn cung cấp dịch vụ mới vì thiết bị di động có thể được sử dụng tại điểm tương tác gần theo cách tương tự như thẻ không tiếp xúc. Liên quan đến thẻ không tiếp xúc, các thiết bị di động NFC đại diện cho một hình thức mới, nâng cao chức năng thanh toán nhưng sử dụng cùng cơ sở hạ tầng với các đầu đọc không tiếp xúc, đã chấp nhận các thẻ không tiếp xúc. Tốc độ giao dịch thanh toán được bảo toàn với các thiết bị di động NFC.

Một ví dụ về sự cải thiện là khả năng thực hiện các khoản giao dịch lớn hơn (ví dụ: so với các thẻ không tiếp xúc được sử dụng mà không cần mã PIN) vì việc xác thực khách hàng có thể được thực hiện hiệu quả trên thiết bị di động (ví dụ: sử dụng mã di động).

Các công nghệ gần khác như mã vạch cũng là nguồn cung cấp dịch vụ mới được mô tả trong 8.2.3.

7.2.7 Nâng cao môi trường đa ứng dụng

Thiết bị di động cung cấp khả năng hỗ trợ nhiều ứng dụng từ nhiều nhà cung cấp dịch vụ tài chính di động (MFSP). Đây là một cơ hội cho các MFSP trang bị thiết bị di động, đồng thời cũng là một cơ hội cho khách hàng truy cập vào các dịch vụ tài chính từ nhiều MFSP khác nhau. Khái niệm này được mô tả trong 10.5, khi đề cập đến ví di động khả năng xuất khẩu có thể.

Thiết bị di động cũng cung cấp cơ hội để lưu trữ các ứng dụng bổ sung có thể được sử dụng cho các dịch vụ tài chính, chẳng hạn như xác thực danh tính, xác thực và chữ ký điện tử.

7.3 Thách thức trong tiêu chuẩn hóa

7.3.1 Tổng quan

Sự tiến bộ công nghệ được mô tả trong 7.2 cung cấp những cơ hội mới cho khách hàng. Tuy nhiên, những tiến bộ này cũng đặt ra những thách thức cho các MFSP trong việc duy trì tính bền vững của các dịch vụ như vậy.

Việc sử dụng các tiêu chuẩn toàn cầu là chìa khóa để giải quyết những thách thức này và tạo điều kiện cho sự phát triển hiệu quả của các dịch vụ tài chính di động (MFS).

7.3.2 Sự thích ứng của dịch vụ tài chính di động với công nghệ phát triển nhanh chóng

Để cung cấp các dịch vụ tài chính di động cho một loạt khách hàng, các MFSP phải hỗ trợ nhiều triển khai để lưu trữ dịch vụ của họ trên nhiều thiết bị di động với nhiều phiên bản mới và thường xuyên. Công nghệ phát triển nhanh chóng này có thể dẫn đến việc khách hàng thường xuyên thay thế thiết bị di động.

7.3.3 Độ phức tạp của hệ sinh thái

Sự tiến bộ công nghệ của các thiết bị di động đã giới thiệu nhiều bên liên quan mới vào hệ sinh thái. Kết quả là, chuỗi giá trị trở nên phức tạp hơn. Trong một số trường hợp, sự tồn tại của các giải pháp độc quyền có thể hạn chế quyền truy cập vào các nhà cung cấp dịch vụ khác.

7.3.4 Độ phức tạp của hệ thống quy định

Các MFSP phải tuân thủ nhiều quy định áp dụng khác nhau bao gồm quyền riêng tư dữ liệu, bảo vệ thông tin nhận dạng cá nhân, bảo vệ người tiêu dùng, phòng chống rửa tiền và ngăn ngừa tội phạm tài chính. Các quy định áp dụng bao gồm luật pháp và Quy định quốc gia và địa phương do các cơ quan quản lý đưa ra, cũng như luật pháp và quy định quốc tế.

Các khu vực pháp lý khác nhau có thể có những cách tiếp cận quy định khác nhau. Do đó, các MFSP toàn cầu phải điều chỉnh theo các quy định địa phương khác nhau để cung cấp các dịch vụ tài chính di động xuyên biên giới phù hợp với những quy định này.

7.3.5 Mong đợi của người tiêu dùng về việc truy cập tất cả các dịch vụ bằng cùng một thiết bị

Mong đợi mạnh mẽ từ người tiêu dùng là thiết bị di động hỗ trợ môi trường đa dịch vụ/ứng dụng. Họ mong muốn thiết bị di động có khả năng lưu trữ các dịch vụ của bất kỳ MFSP cạnh tranh nào mà họ đã ký hợp đồng. Hơn nữa, người tiêu dùng mong đợi rằng thiết bị di động của họ sẽ hỗ trợ các dịch vụ ngoài môi trường tài chính thuần túy (ví dụ: giao thông công cộng, chương trình khách hàng thân thiết). Thách thức là phải đáp ứng tất cả các yêu cầu của các nhà cung cấp dịch vụ khác nhau đang chia sẻ cùng một thiết bị mà không ảnh hưởng đến các dịch vụ tài chính di động, được coi là nhạy cảm. Một yêu cầu khác từ người tiêu dùng là có một giao diện người dùng thuận tiện để truy cập các dịch vụ di động khác nhau.

7.3.6 Quản lý rủi ro trong môi trường di động

Thách thức đối với các nhà cung cấp dịch vụ tài chính di động (MFSP) là duy trì tính bền vững của các khoản đầu tư vào dịch vụ tài chính di động (MFS). An ninh là yếu tố then chốt trong việc xây dựng niềm tin cho MFS để người tiêu dùng và các đơn vị chấp nhận thanh toán chấp nhận sử dụng chúng. MFSP có ít kiểm soát đối với các thiết bị di động và với việc tăng cường truy cập Internet, các thiết bị di động trở nên dễ bị tổn thương bởi các mối đe dọa mới trong môi trường này, ví dụ như phần mềm độc hại. Cần phải thực hiện đánh giá để xác định các rủi ro và đưa ra các biện pháp đối phó thích hợp cho bất kỳ MFS nào. Các cơ chế bảo mật cụ thể (ví dụ: môi trường bảo mật) nên được triển khai để ngăn chặn các rủi ro đã được xác định và giảm thiểu gian lận. Những cơ chế này cần phải có hiệu quả về chi phí, nhưng đủ mạnh để đối phó với các cuộc tấn công có thể xảy ra mà không làm ảnh hưởng nhiều đến thời gian giao dịch. TCVN 14488-2 (ISO/TS 12812-2) mô tả và xác định một khuôn khổ cho việc quản lý bảo mật của MFS.

7.3.7 Chương trình chứng nhận

Để đảm bảo rằng các yêu cầu về chức năng và bảo mật được thực hiện đúng cách, việc có các chương trình chứng nhận là điều cần thiết, dù điều này rất thách thức do môi trường ngày càng phức tạp. Thật vậy, những chương trình này nên bao gồm:

a) Thiết bị di động và các thành phần liên quan khi là một phần của MFS (ví dụ: môi trường bảo mật);

b) Các nhà cung cấp thành phần và chức năng;

c) Mỗi phần của cơ sở hạ tầng.

Quy mô của các chương trình chứng nhận có thể thay đổi tùy theo quyết định kinh doanh giữa các bên liên quan trong MFS.

7.3.8 Vai trò của thiết bị di động

Một trong những thách thức của tiêu chuẩn hóa là hiểu được vai trò của thiết bị di động trong MFS. Tùy thuộc vào cách triển khai, thiết bị di động có thể được coi là một kênh để sử dụng công cụ thanh toán hoặc truy cập dịch vụ ngân hàng, hoặc là một công cụ để xác định và/hoặc xác thực khách hàng.

8 Thanh toán di động

8.1 Chức năng thanh toán chung

8.1.1 Tổng quan

Thanh toán di động được định nghĩa là một khoản thanh toán được thực hiện qua thiết bị di động sử dụng công cụ thanh toán (ví dụ: thẻ thanh toán, chuyển khoản) và các hạ tầng (ví dụ: mạng lưới thẻ, hệ thống thanh toán tự động). Các chức năng chung hình thành các bước khác nhau của dịch vụ thanh toán hiện có cũng áp dụng cho thanh toán di động và được mô tả sau đây (có thể tồn tại các chức năng cụ thể khác). Các chức năng sau đây giả định rằng khách hàng (người trả tiền và người nhận tiền) đã đồng ý sử dụng dịch vụ. Các bước và thứ tự của chúng được mô tả sau đây có thể khác nhau tùy theo cách triển khai. Một số chức năng có thể không có trong giao dịch thanh toán di động.

8.1.2 Phát hành dịch vụ thanh toán

Trong bước đầu tiên này, MFSP kiểm tra tính hợp lệ của thiết bị di động để lưu trữ dịch vụ và sau đó ký hợp đồng với khách hàng. Sau đó, MFSP cung cấp ứng dụng cho khách hàng và thiết lập các thông tin xác thực liên quan (ví dụ: mã PIN hoặc mật khẩu).

8.1.3 Kích hoạt dịch vụ thanh toán

Đây là hành động của khách hàng để kích hoạt dịch vụ. Điều này có thể yêu cầu sử dụng thông tin xác thực.

8.1.4 Lựa chọn dịch vụ thanh toán bởi người trả tiền

Đây là hành động của người trả tiền để chọn một dịch vụ thanh toán trong số các dịch vụ được lưu trữ trên thiết bị di động.

CHÚ THÍCH: Bước này có thể được tối ưu hóa bằng cách, ví dụ, người trả tiền lựa chọn trước một dịch vụ thanh toán.

8.1.5 Lựa chọn ứng dụng bởi Điểm tương tác (POI) hoặc cổng thanh toán

Đây là quy trình do POI hoặc cổng thanh toán thực hiện để chọn một ứng dụng, dựa trên các ưu tiên của người trả tiền.

8.1.6 Thu thập dữ liệu ứng dụng

Bước này bao gồm việc cung cấp dữ liệu cần thiết cho giao dịch thanh toán. Điều này có thể được thực hiện bằng cách nhập thủ công các thông tin xác thực thanh toán hoặc do chính ứng dụng thực hiện.

8.1.7 Xác định danh tính khách hàng

Khách hàng thường được xác định bằng số tài khoản, nhưng trong môi trường di động, các định danh khác (ví dụ: số điện thoại di động) có thể được sử dụng như một bí danh, đặc biệt đối với các khoản thanh toán cho cá nhân.

8.1.8 Xác thực người trả tiền

Đây là bước mà các nhà cung cấp dịch vụ tài chính di động (MFSP) sử dụng để xác minh danh tính của người trả tiền thông qua xác thực. Điều này được thực hiện bằng cách sử dụng các phương tiện xác thực duy nhất (UVM) dựa trên một thứ gì đó mà người trả tiền có (ví dụ: thiết bị di động), một thứ mà người trả tiền biết (ví dụ: mã PIN, mật khẩu) hoặc một thứ mà người trả tiền là (ví dụ: sinh trắc học). Trong môi trường di động, yếu tố kiến thức có thể được nhập trên POI hoặc trên thiết bị di động. Trong tiêu chuẩn này, thuật ngữ mã PIN được sử dụng khi yếu tố kiến thức được nhập trên POI và thuật ngữ mã di động được sử dụng khi yếu tố kiến thức được nhập trên thiết bị di động.

8.1.9 Xác thực ứng dụng

Đây là quy trình mà POI (đối với xác thực ngoại tuyến) hoặc MFSP (đối với xác thực trực tuyến) sử dụng các cơ chế mã hóa để xác minh tính hợp pháp của ứng dụng.

8.1.10 Ủy quyền/xác nhận của người trả tiền

Đây là sự đồng ý của người trả tiền đối với giao dịch thanh toán.

Chú thích: Sự đồng ý này có thể được thể hiện bằng cách nhập mã PIN, nhấn một phím hoặc đưa thiết bị di động gần bộ sạc không tiếp xúc của POI (Tap).

8.1.11 Xác thực dữ liệu giao dịch

Đây là quy trình mà MFSP kiểm tra xem dữ liệu giao dịch (ví dụ: số tiền giao dịch, kết quả UVM, bối cảnh giao dịch) có hợp lệ không bằng cách sử dụng các cơ chế mã hóa.

CHÚ THÍCH: Xác thực dữ liệu giao dịch cũng có thể được thực hiện bởi POI kết hợp với xác thực ứng dụng.

8.1.12 Ủy quyền của MFSP

Trong bước này, MFSP ủy quyền cho giao dịch thanh toán dựa trên chính sách quản lý rủi ro của họ, kết quả của các bước trước đó (ví dụ: xác thực) và bối cảnh của giao dịch. Phản hồi ủy quyền được cung cấp trực tuyến bởi MFSP hoặc ngoại tuyến bởi ứng dụng thanh toán khi được lưu trữ trong thiết bị di động.

CHÚ THÍCH: Khi công cụ thanh toán là chuyển khoản tín dụng, phản hồi ủy quyền của MFSP có thể được đưa ra dưới dạng một thông báo xác nhận cho người thụ hưởng. Phản hồi này chỉ cho biết giao dịch thanh toán đã được khởi tạo.

8.1.13 Hoàn tất giao dịch

Khi kết thúc giao dịch, cả người trả tiền và người nhận đều được thông báo về việc hoàn tất giao dịch (ví dụ: bằng cách cung cấp biên lai giấy hoặc biên lai số hóa).

8.1.14 Xử lý và thanh toán

Xử lý là quá trình do hệ thống xử lý thực hiện, trong đó các tổ chức (ví dụ: bên tiếp nhận cho thanh toán thẻ hoặc tổ chức của người trả tiền cho chuyển khoản tín dụng) trình bày và trao đổi dữ liệu thanh toán với các tổ chức khác (ví dụ: bên phát hành thẻ cho thanh toán thẻ hoặc tổ chức của người nhận cho chuyển khoản tín dụng) để tạo điều kiện cho việc thanh toán các nghĩa vụ của họ trong hệ thống thanh toán.

8.1.15 Kết thúc dịch vụ

Kết thúc dịch vụ được khởi xướng bởi khách hàng hoặc bởi nhà cung cấp dịch vụ tài chính di động (MFSP). Ứng dụng sau đó sẽ bị gỡ bỏ hoặc vô hiệu hóa để dịch vụ không còn có thể sử dụng nữa. Khi cần thiết, MFSP nên thông báo cho khách hàng về các quy định liên quan đến việc xử lý bất kỳ tài sản nào còn lại, ví dụ, sau khi khách hàng qua đời.

8.2 Thanh toán di động gần

8.2.1 Tổng quan

Thanh toán di động gần có thể được khởi tạo bởi thiết bị di động bằng cách sử dụng các giao diện khác nhau như giao diện không tiếp xúc (ví dụ: NFC), giao diện quang học (ví dụ: mã vạch) và các giao diện khác (xem 10.3).

8.2.2 Thanh toán không tiếp xúc bằng di động

8.2.2.1 Tổng quan

Một thanh toán không tiếp xúc bằng di động xảy ra khi người trả tiền và người nhận (và/hoặc thiết bị của họ) ở cùng một vị trí và giao tiếp trực tiếp thông qua thiết bị của họ bằng cách sử dụng giao diện không tiếp xúc (ví dụ: NFC).

8.2.2.2 Thanh toán cho doanh nghiệp

Hai trường hợp được xem xét (xem TCVN 14488-5 (ISO/TS 12812-5)).

a) Trường hợp 1: Chế độ mô phỏng thẻ.

Thanh toán không tiếp xúc bằng di động cho giao dịch doanh nghiệp dựa trên công cụ thẻ: thiết bị di động là mô phỏng của một thẻ không tiếp xúc từ góc nhìn của đầu đọc POI. Kịch bản này sử dụng mạng truyền thông của POI để kết nối với cơ sở hạ tầng thẻ.

Những giao dịch này có thể được thực hiện theo nhiều cách khác nhau như những ví dụ không đầy đủ sau:

1) Thanh toán không tiếp xúc bằng di động với một lần chạm: Khách hàng sử dụng thiết bị di động có hỗ trợ không tiếp xúc để thực hiện thanh toán tại đầu cuối POI không tiếp xúc mà không cần xác minh danh tính người dùng (CVM) trong quá trình giao dịch (thường là cho thanh toán giá trị thấp).

2) Thanh toán không tiếp xúc bằng di động với hai lần chạm: Khách hàng sử dụng thiết bị di động có hỗ trợ không tiếp xúc để thực hiện thanh toán tại đầu cuối POI không tiếp xúc với CVM (chẳng hạn như mã di động) trong quá trình giao dịch. Trường hợp này yêu cầu một lần chạm thứ hai để thông báo cho đầu cuối POI rằng CVM đã được kiểm tra thành công và người dùng xác nhận giao dịch.

CHÚ THÍCH: Mã di động có thể được nhập trên thiết bị di động ngay trước khi thanh toán (dẫn đến một lần chạm duy nhất) hoặc mã PIN có thể được nhập trên POI (cũng dẫn đến một lần chạm duy nhất).

b) Trường hợp 2: Thanh toán từ xa tại cửa hàng

Thanh toán không tiếp xúc bằng di động cho các giao dịch doanh nghiệp có thể được khởi tạo ở chế độ không tiếp xúc và sau đó được xử lý từ xa thông qua mạng truyền thông di động. Công cụ thanh toán có thể là thẻ hoặc các phương tiện khác. Trường hợp sử dụng này là một giải pháp lai ghép tuân thủ cả hai định nghĩa về thanh toán gần và thanh toán từ xa.

8.2.2.3 Thanh toán cho cá nhân

Chế độ ngang hàng của công nghệ NFC cho phép thiết lập một kênh không tiếp xúc giữa hai thiết bị di động. Chế độ này cho phép thanh toán không tiếp xúc giữa các cá nhân (xem TCVN 14488-4 (ISO/TS 12812-4)).

8.2.3 Thanh toán di động gần dựa trên mã vạch

8.2.3.1 Tổng quan

Một thanh toán bằng mã vạch di động xảy ra khi người trả tiền và người nhận (và/hoặc thiết bị của họ) ở cùng một địa điểm và giao tiếp trực tiếp thông qua thiết bị của họ bằng cách sử dụng giao diện quang học.

8.2.3.2 Thanh toán cho doanh nghiệp với mã vạch hiển thị bởi thiết bị di động

Trong trường hợp này, mã vạch được hiển thị bởi thiết bị di động của người trả tiền tại thời điểm thanh toán và được đưa ra cho thiết bị của đơn vị chấp nhận thanh toán để đọc quang học. Mã vạch bao gồm thông tin xác thực thanh toán của người trả tiền.

8.2.3.3 Thanh toán cho cá nhân với mã vạch hiển thị bởi thiết bị di động

Trong trường hợp này, mã vạch được hiển thị bởi thiết bị di động của người nhận tại thời điểm thanh toán và được đưa ra cho thiết bị di động của người trả tiền để đọc quang học. Mã vạch bao gồm thông tin xác thực thanh toán của người nhận.

8.2.3.4 Thanh toán cho doanh nghiệp với mã vạch hiển thị bởi đơn vị chấp nhận thanh toán

Trong trường hợp này, người trả tiền có mặt tại địa điểm của đơn vị chấp nhận thanh toán và tại thời điểm thanh toán, mã vạch được hiển thị trên thiết bị của đơn vị chấp nhận thanh toán hoặc in trên biên lai. Mã vạch chứa dữ liệu giao dịch và một liên kết Internet. Sau khi thiết bị di động đọc mã vạch, thanh toán được hoàn tất một cách từ xa.

Trường hợp này là một giải pháp lai ghép giữa thanh toán gần và thanh toán từ xa, vì giao dịch được khởi tạo qua giao diện quang học và sau đó được xử lý từ xa bằng cách sử dụng mạng truyền thông di động. Đây là một trường hợp khác của thanh toán từ xa tại cửa hàng.

8.3 Thanh toán từ xa bằng di động

8.3.1 Tổng quan

Thanh toán từ xa bằng di động được thực hiện độc lập với vị trí của người nhận. Người trả tiền sử dụng thiết bị di động mà không tương tác với một POI vật lý nhưng thực hiện giao dịch qua mạng truyền thông di động. Thanh toán này bao gồm cả thanh toán cho doanh nghiệp và thanh toán giữa các cá nhân, và các công cụ thanh toán được sử dụng bao gồm thẻ và chuyển khoản tín dụng.

Thiết bị di động có các tính năng như các giao diện người dùng khác nhau hoặc định vị địa lý, cho phép sử dụng các trường hợp thanh toán mới.

8.3.2 Thanh toán cho doanh nghiệp

Việc thanh toán từ xa bằng di động cho doanh nghiệp thường xảy ra khi khách hàng thực hiện mua hàng từ một đơn vị chấp nhận thanh toán từ xa (xem TCVN 14488-5 (ISO/TS 12812-5)). Nó cũng bao gồm thanh toán cho chủ nợ (ví dụ: một tiện ích) miễn là khách hàng không kết nối với nhà cung cấp dịch vụ tài chính di động (MFSP) của họ để khởi tạo giao dịch. Nếu khách hàng kết nối với MFSP của mình, thì giao dịch được coi là một dịch vụ ngân hàng di động. Nhiều trường hợp sử dụng có thể được xác định, chẳng hạn như các trường hợp sau:

a) Thanh toán thẻ từ xa bằng di động (thiết bị đơn lẻ): Khách hàng sử dụng thiết bị di động của mình để thực hiện thanh toán cho một đơn vị chấp nhận thanh toán trên Internet di động.

b) Thanh toán thẻ từ xa bằng di động (nhiều thiết bị): Khách hàng sử dụng thiết bị di động của mình để thực hiện thanh toán cho một đơn vị chấp nhận thanh toán trên Internet sau khi đã mua hàng hóa hoặc dịch vụ qua một thiết bị khác.

c) Chuyển khoản tín dụng từ xa theo yêu cầu của khách hàng: Khách hàng sử dụng thiết bị di động của mình để khởi tạo và thực hiện thanh toán cho một đơn vị chấp nhận thanh toán trên Internet di động.

d) Chuyển khoản tín dụng từ xa theo yêu cầu của đơn vị chấp nhận thanh toán: Khách hàng sử dụng thiết bị di động của mình để thực hiện thanh toán cho một đơn vị chấp nhận thanh toán khi nhận được tin nhắn yêu cầu thanh toán từ đơn vị chấp nhận thanh toán đó.

e) Thanh toán từ xa dựa trên vị trí địa lý: Các doanh nghiệp nằm trong khu vực lân cận của thiết bị di động có thể gửi quảng cáo với ưu đãi đặc biệt với điều kiện thanh toán được thực hiện qua thiết bị di động trong một khoảng thời gian giới hạn và trước khi khách hàng đến địa điểm của đơn vị chấp nhận thanh toán. Một ví dụ về dịch vụ này là nhà hàng gửi thông báo đặt chỗ với giá đặc biệt và tiến hành thanh toán từ xa qua di động vào thời điểm nhận được quảng cáo. Quảng cáo như vậy có thể thuộc phạm vi các quy định hiện hành (ví dụ: chỉ được thực hiện với sự đồng ý trước của khách hàng).

f) Tương tác với phương tiện quảng cáo: Trong trường hợp này, đơn vị chấp nhận thanh toán tạo ra một mã vạch trên phương tiện quảng cáo để sử dụng công cộng. Mã vạch thường là sự đại diện của một liên kết Internet cung cấp truy cập vào trang web của đơn vị chấp nhận thanh toán. Khách hàng sử dụng một ứng dụng trên thiết bị di động của mình để đọc và xử lý mã vạch. Thanh toán sau đó được hoàn thành từ xa. Khi phương tiện quảng cáo là, ví dụ, một tấm áp phích hoặc nội thất đường phố, một thẻ không tiếp xúc (có thể được đọc bởi thiết bị di động hỗ trợ NFC) có thể được sử dụng thay cho mã vạch.

g) Thanh toán hóa đơn: Mã vạch được in trên hóa đơn. Nó chứa dữ liệu liên quan đến hóa đơn và một liên kết đến máy chủ thanh toán. Khách hàng sử dụng một ứng dụng trên thiết bị di động của mình để đọc và xử lý mã vạch.

8.3.3 Thanh toán cho cá nhân

Thanh toán di động từ xa cho cá nhân bao gồm thanh toán cho các cá nhân khác (ví dụ: thành viên gia đình, bạn bè, đồng nghiệp) và chuyển tiền (xem TCVN 14488-4 (ISO/TS 12812-4)). Nhiều trường hợp sử dụng có thể được xác định như các trường hợp sau:

a) Thanh toán chuyển khoản tín dụng từ xa bằng di động: Khách hàng sử dụng thiết bị di động của mình để khởi tạo chuyển khoản tín dụng vào tài khoản của người khác.

b) Thanh toán thẻ từ xa bằng di động: Khách hàng sử dụng thiết bị di động của mình để thực hiện thanh toán thẻ vào tài khoản của người khác.

Một thanh toán từ xa cho một cá nhân cũng có thể bao gồm hai giao dịch; ví dụ, một giao dịch thanh toán đầu tiên bằng công cụ thẻ giữa người trả tiền và một tổ chức trung gian, và sau đó là chuyển khoản tín dụng giữa tổ chức trung gian này và tổ chức của người nhận tiền.

9 Ngân hàng di động

9.1 Tổng quan

Dịch vụ ngân hàng bao gồm tất cả các dịch vụ tài chính ngoại trừ các khoản thanh toán di động. Dịch vụ ngân hàng di động được thực hiện bởi khách hàng với tổ chức tài chính của mình thông qua thiết bị di động và có thể bao gồm các dịch vụ như:

a) Mở tài khoản;

b) Truy cập thông tin số dư tài khoản;

c) Xem lại lịch sử giao dịch;

d) Tìm kiếm các máy ATM và/hoặc chi nhánh để hỗ trợ ngân hàng trực tiếp;

e) Lưu trữ giá trị và các giao dịch liên quan như nạp tiền;

f) Trình bày hóa đơn;

g) Thanh toán hóa đơn;

h) Chuyển tiền giữa các tài khoản;

i) Gửi séc từ xa;

j) Chương trình khách hàng thân thiết của tổ chức tài chính như hoàn tiền.

CHÚ THÍCH: Các khoản thanh toán được thực hiện từ kênh ngân hàng di động (xem 9.3) được coi là các hoạt động ngân hàng di động.

Dịch vụ ngân hàng di động chủ yếu được thực hiện từ xa, ngoại trừ các dịch vụ dựa trên dữ liệu được ghi lại trong thiết bị di động (ví dụ: xem lại nhật ký giao dịch).

Ví ngân hàng di động chỉ liên quan đến một tổ chức tài chính, nhu cầu về khả năng tương tác khác biệt so với các dịch vụ thanh toán di động, vấn để trải nghiệm khách hàng cần được giải quyết để tránh sự khác biệt lớn giữa các Tổ chức tài chính liên quan đến, ví dụ, việc truy cập vào các dịch vụ ngân hàng di động. Tuy nhiên, tổ chức tài chính nên xem xét sự dễ dàng và hiệu quả của trải nghiệm khách hàng, mặc dù những vấn đề này, bao gồm cả sự nhất quán trong trải nghiệm của khách hàng, có thể được coi là một vấn đề cạnh tranh giữa các tổ chức tài chính về cách các dịch vụ cá nhân của họ được khách hàng đánh giá.

9.2 Các chức năng chung của ngân hàng di động

9.2.1 Tổng quan

Các chức năng chung tạo thành các bước khác nhau của dịch vụ ngân hàng di động được mô tả dưới đây (có thể tồn tại các chức năng cụ thể khác). Thứ tự của các bước có thể khác nhau tùy theo triển khai. Một số chức năng có thể không có trong một dịch vụ ngân hàng di động.

9.2.2 Đăng ký

Trong chức năng này, khách hàng của tổ chức tài chính đăng ký sử dụng dịch vụ ngân hàng di động thông qua một hợp đồng.

CHÚ THÍCH: Khách hàng có thể là khách hàng hiện tại của tổ chức tài chính hoặc khách hàng mới, trong trường hợp này tổ chức tài chính có thể yêu cầu mức độ quản lý rủi ro cao hơn (ví dụ: KYC - Know Your Customer, biết rõ khách hàng của mình).

9.2.3 Quản lý hồ sơ khách hàng

Trong chức năng này, khách hàng thiết lập hồ sơ ban đầu của mình và có thể cập nhật khi cần thiết. Hồ sơ này có thể chứa các tùy chọn và dữ liệu khác như số điện thoại di động của khách hàng.

9.2.4 Cấp phát dịch vụ ngân hàng

Chức năng này có thể bao gồm việc cung cấp thông tin xác thực (mã định danh ngân hàng di động) và thông tin xác thực để xác thực khách hàng nhằm truy cập dịch vụ. Nó cũng có thể bao gồm việc tải xuống ứng dụng và cá nhân hóa nó.

9.2.5 Xác định khách hàng

Xác định khách hàng được thực hiện bằng mã định danh ngân hàng di động. Các mã định danh khác (ví dụ: số điện thoại di động) có thể được sử dụng như một bí danh.

9.2.6 Xác thực khách hàng

Xác thực khách hàng được thực hiện bằng thông tin xác thực liên kết với mã định danh ngân hàng di động. Các thông tin xác thực và/hoặc cơ chế xác thực khác nhau có thể được sử dụng tùy thuộc vào dịch vụ.

9.2.7 Ủy quyền/Xác nhận của khách hàng

Đây là sự đồng ý của khách hàng đối với hoạt động ngân hàng di động.

9.2.8 Xác thực dữ liệu giao dịch

Đây là quy trình mà tổ chức tài chính kiểm tra tính xác thực của dữ liệu giao dịch (ví dụ: số tiền cần chuyển) bằng cách sử dụng các cơ chế mã hóa.

9.2.9 Ủy quyền của tổ chức tài chính

Trong bước này, tổ chức tài chính cấp phép cho hoạt động ngân hàng sau khi đã đưa ra quyết định dựa trên chính sách quản lý rủi ro của mình, kết quả của các bước trước đó (ví dụ: xác thực) và bối cảnh của hoạt động.

9.2.10 Hoàn thành giao dịch ngân hàng

Khi kết thúc hoạt động ngân hàng di động, khách hàng được thông báo về việc hoàn thành giao dịch.

9.2.11 Kết thúc dịch vụ

Việc kết thúc dịch vụ có thể được khởi xướng bởi khách hàng hoặc tổ chức tài chính, ứng dụng sau đó sẽ được gỡ bỏ hoặc vô hiệu hóa để dịch vụ không thể sử dụng được nữa. Khi cần thiết, tổ chức tài chính nên thông báo cho khách hàng về các quy định liên quan đến việc xử lý bất kỳ tài sản nào còn lại.

9.3 Các kênh cho ngân hàng di động

9.3.1 Tổng quan

Có nhiều cách/tiếp cận khác nhau để thực hiện các hoạt động ngân hàng di động như sử dụng trình duyệt Internet di động, ứng dụng, Dịch vụ Tin nhắn Ngắn (SMS) và các dịch vụ thời gian thực khác do nhà cung cấp dịch vụ di động (MNOs) cung cấp (ví dụ: USSD). Việc sử dụng kênh ngân hàng di động nào phụ thuộc vào tổ chức tài chính thực tế, nhưng nói chung, ngân hàng Internet di động và ứng dụng là phổ biến ở các thị trường trưởng thành. Ngược lại, một số thị trường khác vẫn đang dựa vào phương pháp ngân hàng di động dựa trên SMS.

9.3.2 Trình duyệt Internet di động

Trong kịch bản này, khách hàng truy cập dịch vụ ngân hàng di động bằng cách sử dụng trình duyệt Internet trên thiết bị di động của họ. Trải nghiệm này có thể được xem là tương tự như việc sử dụng ngân hàng trực tuyến qua máy tính để bàn hoặc máy tính xách tay. Trong kịch bản này, các ứng dụng được cài đặt trong cơ sở hạ tầng nội bộ của tổ chức tài chính.

Kịch bản này đưa ra những cân nhắc về bảo mật và pháp lý tương tự như những gì tồn tại trong ngân hàng trực tuyến tại nhà.

9.3.3 Ứng dụng di động

Trong kịch bản này, khách hàng truy cập dịch vụ ngân hàng di động bằng cách sử dụng ứng dụng mà họ đã tải xuống từ trang web chính thức của tổ chức tài chính hoặc từ một cửa hàng ứng dụng. Tổ chức tài chính cung cấp ứng dụng đã cài đặt lên thiết bị di động có trách nhiệm đảm bảo các biện pháp bảo mật phù hợp được áp dụng. Tương tự, tổ chức tài chính cũng phải đảm bảo rằng ứng dụng cung cấp hoạt động đúng cách (như yêu cầu) trên thiết bị di động của khách hàng.

9.3.4 Dịch vụ tin nhắn ngắn

Trong kịch bản này, khách hàng gửi một tin nhắn SMS đến tổ chức tài chính yêu cầu dịch vụ ngân hàng di động (ví dụ: để kiểm tra số dư tài khoản hoặc các giao dịch gần đây, hoặc để chuyển tiền đến tài khoản đã được chỉ định trước). Kịch bản này không cần sử dụng trình duyệt Internet hoặc ứng dụng đã tải xuống và không yêu cầu bất kỳ dịch vụ truyền thông dữ liệu di động nào.

Để cải thiện trải nghiệm khách hàng và tính dễ sử dụng, số điện thoại di động của khách hàng có thể được sử dụng như một phương pháp nhận dạng.

10 Các công nghệ hỗ trợ dịch vụ tài chính di động

10.1 Thiết bị di động

Ngoài các khả năng truyền thông di động (xem 10.2), thiết bị di động còn có thể chứa các thành phần và chức năng khác như:

a) Hệ điều hành;

b) Các thành phần giao diện người dùng, ví dụ như màn hình, bàn phím/màn hình cảm ứng, micro (xem 10.7);

c) Các ứng dụng bao gồm các chức năng cho dịch vụ tài chính di động (xem 10.4);

d) Các ứng dụng giao diện người dùng (xem 10.7);

e) Ví di động (xem 10.5);

f) Bộ điều khiển và ăng-ten NFC cho giao tiếp không tiếp xúc (xem 10.3);

g) Camera quang học, đặc biệt là để đọc mã vạch (xem 10.3);

h) Môi trường bảo mật như:

1) Một hoặc nhiều phần tử bảo mật (xem 10.6);

2) TEE (xem 10.8);

3) Phần mềm với các biện pháp kiểm soát bảo mật bổ sung (xem TCVN 14488-2 (ISO/TS 128122));

4) Máy chủ bảo mật (xem 10.9).

10.2 Giao tiếp di động

Giao tiếp di động dựa trên các công nghệ không dây khác nhau, cung cấp ít nhất là các lớp vật lý và vận chuyển, những lớp này về nguyên tắc không nằm dưới sự kiểm soát trực tiếp của giao thức MFSP. Trong một giao dịch thanh toán, kết nối được cung cấp bởi một nhà mạng di động (MNO) hoặc một bên thứ ba.

Các mạng không dây sau đây là ví dụ về các phương tiện truyền dẫn cho dịch vụ tài chính di động:

a) Mạng diện rộng không dây (WWAN) bao gồm các mạng 2G, 2.5G, 3G và 4G, còn được biết đến với tên GSM, EDGE, UMTS, LTE và CDMA;

b) Mạng cục bộ không dây (WLANs) theo tiêu chuẩn IEEE 802.11 a, b, g, n, ac (Wi-Fi);

c) Mạng khu vực đô thị không dây (WMANs) theo tiêu chuẩn IEEE 802.16 (WiMAX).

10.3 Giao diện cục bộ của thiết bị di động

Dịch vụ tài chính di động có thể được khởi tạo cục bộ bởi thiết bị di động thông qua các giao diện khác nhau như mã vạch hoặc các công nghệ khác (ví dụ: âm thanh, Bluetooth Low Energy).

Giao diện không tiếp xúc khác với giao diện tiếp xúc vốn được sử dụng đầu tiên là thẻ thanh toán thông minh. Giao diện tiếp xúc dựa trên thông tin tần số radio khi giao diện tiếp xúc dựa trên tiếp xúc điện. Người sử dụng tự lựa chọn thiết bị không tiếp xúc có thể gây ra "tiếp xúc vật lý" (hoặc "chạm nhẹ") của thiết bị di động với một thiết bị khác.

Một trong những lợi thế của giao diện không tiếp xúc là nó cho phép các hình thức khác ngoài thẻ thông thường, chẳng hạn như thiết bị cá nhân.

Mã vạch đã được giới thiệu trong chuỗi thanh toán di động vì chuỗi công nghệ NFC chưa được triển khai rộng rãi. Giao tiếp giữa thiết bị di động và thiết bị của đơn vị chấp nhận thanh toán bị giới hạn trong việc đọc quang học một lần, trong khi với NFC, giao tiếp hai chiều và tính toán bởi thiết bị di động hoặc sử dụng các tài nguyên khác có thể được thực hiện trong quá trình giao dịch. Tuy nhiên, mã vạch một chiều có thể được tạo ra trước mỗi lần đọc quang học.

10.4 Ứng dụng

Ứng dụng là một tập hợp các mô-đun chương trình (phần mềm ứng dụng) và/hoặc dữ liệu (dữ liệu ứng dụng) cần thiết để thực hiện một chức năng. Dịch vụ tài chính di động yêu cầu một hoặc nhiều ứng dụng, có thể nằm trên thiết bị di động hoặc từ xa, hoặc cả hai.

Khi một ứng dụng được tải xuống bởi khách hàng từ cửa hàng ứng dụng hoặc từ trang web của nhà cung cấp dịch vụ tài chính di động, nó thường được gọi là App.

Khi ứng dụng nằm trên thiết bị di động, nó có thể cư trú trong bộ nhớ của thiết bị dưới sự kiểm soát của hệ điều hành của nó, hoặc trong môi trường thực thi đáng tin cậy (TEE) hoặc trong phần tử an toàn. Thông tin bổ sung có thể được tìm thấy trong TCVN 14488-3 (ISO/TS 12812-3), quy định về quản lý ứng dụng tài chính.

10.5 Ví di động

Thiết bị di động được các doanh nghiệp quảng bá sử dụng như những thiết bị có khả năng thay thế ví vật lý bằng ví số. Ví di động chứa các ứng dụng có khả năng cung cấp các dịch vụ tương tự hoặc nâng cao so với các vật phẩm được mang trong ví vật lý. Những chức năng này bao gồm, ví dụ:

a) Các ứng dụng thanh toán để thay thế tiền mặt hoặc thẻ thanh toán trong ví vật lý;

b) Dữ liệu hoặc ứng dụng nhận diện, để thay thế dải từ hoặc thẻ thông minh bao gồm danh tính, kiểm soát truy cập hoặc chương trình khách hàng thân thiết;

c) Giá trị điện tử thay vì đại diện vật lý (ví dụ: vé vào cửa, phiếu giảm giá hoặc phiếu thưởng);

d) Nhật ký giao dịch để thay thế biên lai giấy.

Việc triển khai ví di động có thể diễn ra trên chính thiết bị di động (phần cứng, phần mềm, dữ liệu) hoặc từ xa trên một máy chủ. Bất kể hình thức triển khai nào, ví di động luôn được truy cập bởi người dùng thông qua thiết bị di động.

CHÚ THÍCH: Khi ví di động được lưu trữ trên máy chủ, nó cũng có thể được truy cập thông qua một kênh khác. Trong trường hợp này, ví được hiểu theo nghĩa rộng hơn là ví kỹ thuật số.

Về mặt dịch vụ tài chính, ví di động cho phép người dùng lưu trữ, truy cập, quản lý và sử dụng thông tin liên quan đến công cụ thanh toán một cách an toàn để thực hiện thanh toán.

Mặc dù nhà cung cấp ví di động (ví dụ: nhà cung cấp dịch vụ tài chính di động - MFSP, tổ chức, đơn vị chấp nhận thanh toán) cung cấp các chức năng ví, việc sử dụng ví di động lại nằm dưới sự kiểm soát của người dùng.

Ví di động không nên bị nhầm lẫn với tiền điện tử, vốn là một công cụ thanh toán được sử dụng thông qua một ứng dụng (ví dụ: ví di động) có thể được chứa trong ví di động .

10.6 Phần tử bảo mật

Do các lỗ hổng mới của thiết bị di động do kết quả truy cập Internet ngày càng tăng, các phần tử an toàn được coi là giải pháp để củng cố an ninh cho các dịch vụ tài chính di động. Phần tử an toàn cung cấp các tính năng cho phép lưu trữ các ứng dụng một cách an toàn bằng cách sử dụng khả năng mã hóa của chúng. Các tính năng này bao gồm:

- Tách biệt các ứng dụng;

- Giám sát quản lý ứng dụng bởi nhà cung cấp dịch vụ tài chính di động;

- Quy tắc truy cập vào ứng dụng dưới sự kiểm soát duy nhất của nhà cung cấp dịch vụ tài chính di động.

Phần tử an toàn là một phương tiện để các ứng dụng cung cấp các dịch vụ tin cậy cơ bản, như:

a) Xác thực mạnh mẽ của khách hàng;

b) Đảm bảo tính toàn vẹn, bảo mật cuối và chống chối bỏ của các giao dịch;

c) Bảo vệ quyền riêng tư của khách hàng trong khuôn khổ quy định (ví dụ: truy cập và xử lý thông tin cá nhân có thể nhận dạng được).

Phần tử bảo mật ban đầu được các tổ chức giới thiệu nhằm mục đích thanh toán không tiếp xúc qua thiết bị di động, nhưng cũng có thể được sử dụng để tăng cường bảo mật cho các dịch vụ khác như thanh toán từ xa qua di động và ngân hàng di động. Phần tử bảo mật có thể lưu trữ thêm các chức năng bảo mật (ví dụ: chữ ký số) được sử dụng trong các dịch vụ tài chính di động cụ thể.

Phần tử bảo mật có thể có nhiều dạng khác nhau như: thẻ UICC, thẻ SD hoặc được tích hợp sẵn, và có thể được phát hành bởi nhiều bên liên quan khác nhau, ví dụ: nhà mạng phát hành UICC, nhà sản xuất thiết bị di động phát hành phần tử tích hợp sẵn. Dù dưới hình thức nào, theo TCVN 14488 (ISO 12812) (tất cả các phần), phần tử bảo mật được kỳ vọng có khả năng lưu trữ nhiều ứng dụng do nhiều tổ chức phát hành. Việc lựa chọn loại phần tử bảo mật có ảnh hưởng đến quá trình triển khai dịch vụ tài chính di động. Ảnh hưởng đến người dùng cần được xem xét và giảm thiểu tối đa.

10.7 Giao diện người dùng

Giao diện người dùng của thiết bị di động bao gồm các thành phần nhập và xuất (ví dụ: màn hình hiển thị, bàn phím/màn hình cảm ứng) cho phép khách hàng tương tác với thiết bị. Đối với các dịch vụ tài chính di động, một số ứng dụng giao diện người dùng là cần thiết để thực hiện các thao tác sau:

a) Quản lý ứng dụng tài chính, bao gồm cả việc cung cấp ứng dụng, ứng dụng giao diện người dùng này là một phần của chính ứng dụng tài chính.

b) Quản lý môi trường đa ứng dụng, ứng dụng giao diện người dùng này giúp khách hàng:

1) chọn một ứng dụng tài chính trong số nhiều ứng dụng;

2) sắp xếp các ứng dụng tài chính có sẵn theo danh sách;

3) gán mức độ ưu tiên cho các ứng dụng (ví dụ: trong thanh toán không tiếp xúc qua di động, việc này giúp so sánh với mức độ ưu tiên của điểm chấp nhận thanh toán - POI).

Ví di động cung cấp loại giao diện này và có thể được quản lý bởi tổ chức tài chính hoặc một bên thứ ba.

c) Giao dịch dịch vụ tài chính di động, ứng dụng giao diện người dùng này được sử dụng để tương tác với khách hàng cho các chức năng được mô tả trong 8.1 và 9.2, yêu cầu hành động hoặc cung cấp thông tin về tiến trình giao dịch. Giao diện người dùng này cũng là một phần của ứng dụng tài chính.

Trải nghiệm người dùng vẫn bị ảnh hưởng lớn bởi kích thước nhỏ của một số thiết bị di động. Ví dụ, lượng thông tin có thể hiển thị cùng lúc bị giới hạn và khả năng nhập liệu văn bản phức tạp của người dùng cũng bị hạn chế. Do đó, việc cung cấp giao diện thân thiện, dễ sử dụng với trải nghiệm nhất quán trên tất cả các hình thức triển khai là rất quan trọng.

Giao diện người dùng có thể đối mặt với các mối đe dọa như tấn công xen giữa giao diện người dùng và ứng dụng tài chính. Một số cơ chế cần được triển khai để đảm bảo ở mức cần thiết tính toàn vẹn, tính xác thực và tính bảo mật của thông tin mã khách hàng nhập và/hoặc xác nhận qua giao diện người dùng. Một ví dụ về cơ chế này là thiết lập "đường dẫn tin cậy" (xem ví dụ tại 10.8).

10.8 Môi trường thực thi tin cậy

Môi trường thực thi tin cậy là một môi trường thực thi nằm trong thiết bị di động, hoạt động song song nhưng cách ly với môi trường do hệ điều hành của thiết bị cung cấp. TEE có khả năng bảo mật và đáp ứng các yêu cầu liên quan đến bảo mật. Nó bảo vệ một số tài sản khỏi các cuộc tấn công phần mềm thông thường, đặt ra các rào cản nghiêm ngặt về dữ liệu và chức năng mà một ứng dụng có thể truy cập, đồng thời chống lại một loạt các mối đe dọa xác định.

Mục tiêu của TEE là ngăn không cho ứng dụng tài chính được thực thi bởi hệ điều hành thông thường của thiết bị di động, do hệ điều hành này có thể không đủ an toàn để đảm bảo bảo mật cho ứng dụng. TEE cung cấp một giao diện lập trình ứng dụng (API) cho các ứng dụng trong thiết bị di động.

Có nhiều công nghệ có thể được sử dụng để triển khai TEE và mức độ bảo mật đạt được sẽ thay đổi tương ứng. TEE có thể được triển khai bởi nhà sản xuất thiết bị di động.

TEE có thể được sử dụng cùng với phần tử bảo mật lưu trữ ứng dụng, cấu hình này cung cấp giao diện người dùng tin cậy (màn hình và bàn phím), nhờ đó dữ liệu giao dịch hiển thị trên thiết bị di động là những dữ liệu được tạo và/hoặc truyền bởi phần tử bảo mật.

10.9 Bảo mật máy chủ

Máy chủ bảo mật là một môi trường an toàn nằm trên máy chủ, thực hiện việc lưu trữ và sử dụng có kiểm soát các thông tin cá nhân và/hoặc bí mật trong suốt vòng đời quản lý của dịch vụ tài chính di động (MFS).

Trong bối cảnh TCVN 14488 (ISO 12812) (tất cả các phần), máy chủ bảo mật được truy cập bởi thiết bị di động.

CHÚ THÍCH: Máy chủ bảo mật cũng có thể nằm trong chuỗi dịch vụ tài chính di động (MFS) mà không có liên kết trực tiếp với thiết bị di động (đây là trường hợp, ví dụ, máy chủ của nhà cung cấp dịch vụ tài chính bên thanh toán MFSP được kết nối với bên chấp nhận thanh toán trong thanh toán gần qua di động sử dụng công cụ thẻ).

Máy chủ bảo mật được sử dụng cho nhiều mục đích khác nhau, bao gồm:

a) Quản lý vòng đời ứng dụng như cài đặt, cá nhân hóa và kích hoạt một ứng dụng nằm trên thiết bị di động (xem 7.2.5 và TCVN 14488-3 (1SO/TS 12812-3));

b) Xử lý giao dịch dịch vụ tài chính di động (MFS).

Việc sử dụng máy chủ bảo mật để xử lý giao dịch MFS bao gồm nhiều cấu hình khác nhau kết hợp các chức năng được thực hiện bởi cả thiết bị di động và máy chủ bảo mật. Một ví dụ về cấu hình như vậy trong thanh toán gần qua di động là khi ứng dụng được lưu trên hệ điều hành của thiết bị di động (ví dụ: mô phỏng thẻ trên máy chủ), và các chức năng bổ sung của MFS (ví dụ: mã hóa token) nằm trên máy chủ bảo mật để bổ trợ cho bảo mật của hệ điều hành.

Máy chủ bảo mật cũng có thể được sử dụng để truy cập ví di động chứa các ứng dụng cho dịch vụ tài chính di động (xem 10.5).

Các yêu cầu bảo mật áp dụng cho máy chủ bảo mật được mô tả trong TCVN 14488-2 (ISO/TS 12812-2).

10.10 Quản lý dịch vụ

Việc quản lý dịch vụ liên quan đến quản lý vòng đời của các ứng dụng được mô tả trong TCVN 14488-3 (ISO/TS 12812-3).

Đặc biệt, các cấu hình di động sử dụng môi trường bảo mật được chia sẻ bởi nhiều nhà cung cấp dịch vụ yêu cầu một mô hình hợp tác giữa bên cung cấp môi trường bảo mật và tất cả các nhà cung cấp dịch vụ có ứng dụng được lưu trữ trong môi trường đó. Mô hình này cho phép quản lý ứng dụng và các phần tử dữ liệu liên quan trong suốt vòng đời của chúng. Các bước chính bao gồm: cung cấp ứng dụng, cá nhân hóa dữ liệu, cũng như các hoạt động bảo trì sau này.

Mô hình này xác định các vai trò kỹ thuật và bảo mật khác nhau, cũng như trách nhiệm của các bên tham gia - những điều cần thiết để nhà cung cấp dịch vụ tài chính di động triển khai dịch vụ của họ trên thiết bị di động của khách hàng. Trong đó, các hệ thống phụ trợ (back-end) đóng vai trò quan trọng trong quản lý vòng đời ứng dụng. TCVN 14488 (ISO 12812) (tất cả các phần) cung cấp sự linh hoạt để thích ứng với bất kỳ mối quan hệ kinh doanh nào giữa các bên liên quan.

11 Các bên liên quan trong hệ sinh thái thanh toán di động

Cơ sở hạ tầng thanh toán hiện tại bao gồm các bên liên quan khác ngoài các tổ chức và khách hàng của họ (người trả và người nhận). Ví dụ, trong trường hợp thanh toán bằng thẻ thông minh, các bên liên quan trong hệ sinh thái này bao gồm các nhà sản xuất chip và thẻ, nhà cung cấp thiết bị đầu cuối tại POI, hệ thống thẻ và các nhà cung cấp chứng nhận.

Với thanh toán di động, các bên liên quan mới đã xuất hiện trong các hệ sinh thái liên quan:

a) Các nhà sản xuất thiết bị di động;

b) Các nhà mạng di động, những người chịu trách nhiệm định tuyến an toàn các thông điệp, vận hành mạng di động và cấp phát, tái chế số điện thoại di động, điều này quan trọng khi số điện thoại di động được sử dụng làm bí danh.

Khi các môi trường an toàn được sử dụng và chia sẻ bởi nhiều nhà cung cấp dịch vụ di động, các bên liên quan sau đây được thêm vào hệ sinh thái này:

- Các nhà sản xuất bất kỳ thành phần nào của môi trường an toàn (ví dụ: các nhà sản xuất phần tử bảo mật);

- Nhà cung cấp môi trường an toàn, ví dụ, đối với phần tử an toàn, có thể là một tổ chức (thường khi SE là thẻ có SD an toàn có thể tháo rời được chèn vào thiết bị di động), nhà mạng (thường khi SE là UICC) hoặc nhà sản xuất thiết bị di động (thường khi SE được nhúng trong thiết bị di động).

- Các nhà quản lý dịch vụ đáng tin cậy là các bên thứ ba tin cậy hành động thay mặt cho nhà cung cấp môi trường an toàn và/hoặc nhà cung cấp dịch vụ tài chính di động (MFSP) để thực hiện việc cấp phát và quản lý các ứng dụng nhằm tạo điều kiện thuận lợi cho toàn bộ hệ thống. Các TSM có thể cùng tồn tại, cung cấp các dịch vụ cạnh tranh lẫn nhau cho cả nhà cung cấp môi trường an toàn và nhà cung cấp dịch vụ tài chính di động.

12 Triển khai TCVN 14488 (ISO 12812) (tất cả các phần)

TCVN 14488 (ISO 12812) (tất cả các phần) cung cấp sự linh hoạt để cho phép các hồ sơ triển khai khác nhau của các dịch vụ tài chính di động. Một hồ sơ bao gồm một tập hợp các tính năng chức năng và bảo mật được định nghĩa trong tiêu chuẩn này, đủ để triển khai một hoặc nhiều dịch vụ tài chính di động. Một hồ sơ có thể được xác định bởi một nhà cung cấp dịch vụ tài chính di động (MFSP) hoặc bởi một đơn vị cung cấp giải pháp dịch vụ tài chính di động.

Các nhà cung cấp kỹ thuật của các thành phần và vai trò khác nhau của dịch vụ tài chính di động (ví dụ: thiết bị di động, ứng dụng, phần tử an toàn, nhà quản lý ứng dụng, cổng kết nối) sẽ chịu trách nhiệm (1) đảm bảo sự phù hợp của các tiêu chuẩn của họ với các yêu cầu chức năng và bảo mật liên quan của TCVN 14488 (ISO 12812) (tất cả các phần) và (2) xác định các quy trình chứng nhận thích hợp, nếu khả thi và có sẵn, cho các thành phần và vai trò tương ứng.

Điều cực kỳ quan trọng là các tổ chức phải nhận được sự đảm bảo rằng các tính năng chức năng và bảo mật, cũng như các thành phần (ví dụ: phần tử an toàn khi có) và vai trò (ví dụ: TSM) của một hồ sơ nhất định được triển khai đúng cách.

Nếu cần thiết chứng nhận các thiết bị và thành phần, nên được thiết lập tuân thủ các phương pháp đánh giá sản phẩm hiện có như tiêu chí chung (ISO/IEC 15408). Các chứng chỉ hoặc kết quả thử nghiệm nên hỗ trợ việc công nhận lẫn nhau.

 

Phụ lục A

(Tham khảo)

Các tổ chức tiêu chuẩn hóa và hướng dẫn liên quan trong dịch vụ di động

Ngoài ISO, các tổ chức đã xuất bản các tài liệu liên quan đến dịch vụ tài chính di động bao gồm:

- EMV Co: [http://wvwv.emvco.com/](http://www.emvco.com/)

- European Payments Council (Hội đồng Thanh toán Châu Âu);

[http://www.europeanpaymentscouncil.eu/](http://www.europeanpaymentscouncil.eu/)

- European Telecommunications Standards Institute (Viện Tiêu chuẩn Viễn thông Châu Âu): [http://www.etsi.org/](http://www.etsi.org/)

- Global Platform: [http://www.globalplatform.org/](http://www.globalplatform.org/)

- GSM Association (Hiệp hội GSM): [http://www.gsmworld.com/](http://www.gsmworld.com/)

- Internet Engineering Task Force (Lực lượng Công tác Kỹ thuật Internet):

[http://www.ietf.org/](http://www.ietf.org/)

- International Telecommunication Union (Liên minh Viễn thông Quốc tế):

[http://www.itu.int/] (http://www.itu.int/)

- Mobey Forum: [http://www.mobeyforum.org/](http://www.mobeyforum.org/)

- NFC Forum: [http://www.nfc-forum.org/](http://www.nfc-forum.org/)

- Organisation for Economic Co-operation and Development (Tổ chức Hợp tác và Phát triển Kinh tế): [http://www.oecd.org/](http://www.oecd. org/)

- PCI Security Standards Council (Hội đồng Tiêu chuẩn An ninh PCI):

[https://www.pcisecuritystandards.org](https://www.pcisecuritystandards.org)

- SD Card Association (Hiệp hội Thẻ SD): [https://www.sdcard.org/]( https://www.sdcard.org/ )

 

Phụ lục B

(Tham khảo)

Hệ sinh thái thanh toán di động và các mô hình kinh doanh liên quan cho các nhà cung cấp dịch vụ tài chính di động

B.1 Tổng quan

Trong khi các thiết bị di động mang lại nhiều cơ hội mới trong cách cung cấp dịch vụ thanh toán, chúng cũng giới thiệu những đối tượng mới trong các hệ sinh thái liên quan (xem Điều 11). Trong môi trường mới này, các nhà cung cấp dịch vụ tài chính di động sẽ dựa vào các mô hình kinh doanh mà ở đó họ có thể phải ký kết hợp đồng với các đối tượng khác. Khi sự đổi mới xung quanh các thiết bị di động và các dịch vụ liên quan vẫn đang tiếp diễn, các mô hình kinh doanh mới cho thanh toán di động có thể xuất hiện trong tương lai. Phụ lục thông tin này mô tả các mô hình kinh doanh đã được nhận diện cho các nhà cung cấp dịch vụ tài chính di động.

Ý định của tiêu chuẩn ISO không phải là xác định các mô hình kinh doanh, mà là các tiêu chuẩn kỹ thuật nên đủ linh hoạt để thích ứng với các mô hình kinh doanh khác nhau.

Các mô hình kinh doanh dưới đây được phân loại dựa trên phạm vi của số lượng đối tác hợp tác.

B.2 Mô hình kinh doanh thanh toán di động tập trung vào MNO

Trong mô hình này, điểm mấu chốt là người tiêu dùng được coi là khách hàng của MNO tại thời điểm thanh toán. Thanh toán được liên kết với tài khoản khách hàng do MNO quản lý, có thể là tài khoản trả trước hoặc trả sau. MNO đóng vai trò là tổ chức nhận thanh toán, chịu trách nhiệm thu tiền từ khách hàng của mình, những người đã mua hàng từ các đơn vị chấp nhận thanh toán này. Trong mô hình này, số lượng giao diện với các đối tượng khác rất hạn chế và các giải pháp độc quyền có thể phù hợp. Mô hình này được triển khai cho các thanh toán từ xa qua di động và thường giới hạn cho các khoản thanh toán có giá trị thấp. Đến một mức độ nào đó, MNO có thể được coi là nhà cung cấp dịch vụ thanh toán di động tùy thuộc vào quy định áp dụng.

B.3 Mô hình kinh doanh thanh toán di động tập trung vào MFSP

Trong mô hình này, một nhà cung cấp dịch vụ thanh toán di động khác với MNO nằm ở trung tâm của một mạng lưới gồm người tiêu dùng và các đơn vị chấp nhận thanh toán. MFSP cung cấp tài khoản cho người tiêu dùng và ký hợp đồng với các đơn vị chấp nhận thanh toán để làm tổ chức nhận thanh toán. Mô hình này đã tồn tại trong môi trường không di động và đôi khi được gọi là mô hình 3 bên.

Trong mô hình này, khách hàng phải chuyển tiền vào tài khoản của họ hoặc họ nhận được sao kê mua hàng để thanh toán cho nhà cung cấp dịch vụ thanh toán di động theo định kỳ.

Mô hình này có thể được triển khai cho các thanh toán từ xa qua di động hoặc thanh toán gần qua di động.

Số lượng giao diện với các đối tượng khác cũng phụ thuộc vào việc có sử dụng phần tử bảo mật để lưu trữ ứng dụng hay không.

B.4 Mô hình kinh doanh hợp tác giữa các MFSP

Đối với mô hình không tập trung này, người tiêu dùng và đơn vị chấp nhận thanh toán có thể ký hợp đồng với một hoặc nhiều MFSP thuộc cùng một mạng lưới/hệ thống mà họ lựa chọn. Mô hình này được gọi là hợp tác vì bất kỳ khách hàng nào của một MFSP nhất định đều có thể mua và thanh toán cho bất kỳ đơn vị chấp nhận thanh toán nào đã ký hợp đồng với một MFSP khác. Mô hình này đã tồn tại trong môi trường không di động và đôi khi được gọi là mô hình 4 bên.

Mô hình này chủ yếu được sử dụng bởi các tổ chức tài chính giữ tài khoản ngân hàng của người tiêu dùng với các tùy chọn thanh toán khác nhau, ví dụ như thẻ ghi nợ hoặc thẻ tín dụng. Ngoài các giao diện hiện có trong chuỗi thanh toán, các giao diện bổ sung với các đối tượng khác là cần thiết khi sử dụng phần tử bảo mật để lưu trữ các ứng dụng.

B.5 Mô hình kinh doanh hợp tác khi sử dụng phần tử bảo mật

Trong mô hình này, việc sử dụng phần tử bảo mật dẫn đến sự tham gia của các đối tượng mới như nhà cung cấp phần tử bảo mật hoặc TSM, đặc biệt là trong việc quản lý ứng dụng. Mặc dù MFSP và nhà cung cấp phần tử bảo mật duy trì các khu vực trách nhiệm riêng biệt, một số phần của vai trò của họ trong hệ sinh thái có thể được ủy quyền cho TSM. Do đó, các giao diện mới cần phải được tiêu chuẩn hóa.

Mô hình hợp tác này là một nguồn cơ hội kinh doanh cho các nhà cung cấp mới và mang lại lợi ích kinh tế quy mô cho các đối tượng khác. Nó chỉ khả thi khi tất cả các bên liên quan đã xác định được một trường hợp kinh doanh tích cực cho các hoạt động của họ.

 

Phụ lục C

(Tham khảo)

Công cụ thanh toán

C.1 Tổng quan

Một công cụ thanh toán là bất kỳ thiết bị cá nhân hóa và/hoặc tập hợp các quy trình đã được thỏa thuận giữa người trả tiền và tổ chức và được người trả tiền sử dụng để khởi động một khoản thanh toán. Các công cụ thanh toán áp dụng bất kể phương thức khởi động nào được sử dụng và không đặc thù cho các thiết bị di động. Trong khuôn khổ của tiêu chuẩn này, các công cụ thanh toán hiện có được tham chiếu mà không loại trừ khả năng thiết lập các công cụ mới trong tương lai.

Đối với mỗi công cụ thanh toán, một tập hợp các quy tắc và tiêu chuẩn governing (ví dụ: ISO 20022 hoặc ISO 8583 (tất cả các phần) cho thông điệp) được xác định bởi hệ thống/kế hoạch thanh toán tương ứng để tất cả các bên tham gia có thể thực hiện các giao dịch thanh toán một cách chính xác.

Một số ví dụ về công cụ thanh toán được đưa ra dưới đây. Chúng có thể được sử dụng làm công cụ thanh toán cho các giao dịch thanh toán di động.

C.2 Chuyển khoản tín dụng

Chuyển khoản tín dụng cho phép người trả tiền chỉ đạo tổ chức mà tài khoản của họ đang được giữ chuyển tiền cho người nhận tiền.

Cả hướng dẫn thanh toán và tiền đều di chuyển từ tổ chức của người trả tiền đến tổ chức của người nhận tiền, có thể thông qua các tổ chức khác như trung gian.

C.3 Ủy nhiệm thu

Ủy nhiệm thu cho phép người nhận tiền thu tiền từ tài khoản của người trả tiền dựa trên sự ủy quyền đã được cung cấp bởi người trả tiền. Người trả tiền có quyền chỉ đạo tổ chức của họ không chấp nhận bất kỳ khoản thu ủy nhiệm nào trên tài khoản của họ.

Hướng dẫn thanh toán di chuyển từ tổ chức của người nhận tiền đến tổ chức của người trả tiền và tiền di chuyển từ tổ chức của người trả tiền đến tổ chức của người nhận tiền, có thể thông qua các tổ chức khác như trung gian.

C.4 Thanh toán bằng thẻ

Thanh toán bằng thẻ cho phép người trả tiền thanh toán cho hàng hóa hoặc dịch vụ hoặc rút tiền mặt. Người nhận tiền truyền dữ liệu giao dịch đến tổ chức của người nhận tiền (người thu tiền) để nhận tiền.

Hướng dẫn thanh toán di chuyển từ tổ chức của người nhận tiền đến tổ chức của người trả tiền và tiền di chuyển từ tổ chức của người trả tiền đến tổ chức của người nhận tiền. Sự ủy quyền của tổ chức của người trả tiền thưởng được cấp vào thời điểm giao dịch.

Một giao dịch thanh toán bằng thẻ có thể được khởi động bởi thẻ nhựa hoặc ứng dụng trong một thiết bị (ví dụ: thẻ thông minh, thiết bị di động) hoặc thông qua thông tin xác thực thanh toán bằng thẻ.

Các loại thanh toán bằng thẻ chính bao gồm:

a) Thanh toán bằng thẻ ghi nợ: các giao dịch được tính trực tiếp vào tài khoản của người trả tiền.

b) Thanh toán bằng thẻ tín dụng: Các giao dịch liên quan đến một hạn mức tín dụng và có thể được thanh toán toàn bộ vào cuối một khoảng thời gian nhất định hoặc có thể được thanh toán một phần với số dư được xem như tín dụng kéo dài.

c) Thanh toán bằng thẻ trả trước: Các giao dịch được tài trợ thông qua giá trị tiền tệ được nạp trước và lưu trữ trên một thiết bị hoặc trên một tài khoản chuyên dụng (xem C.5).

C.5 Tiền điện tử và giá trị lưu trữ

a) Tổng quan

Tiền điện tử và giá trị lưu trữ là những biểu hiện phổ biến nhất cho các công cụ thanh toán thường không sử dụng tài khoản khách hàng do một tổ chức quản lý. Chúng thường được sử dụng cho các khoản thanh toán nhỏ. Các công cụ thanh toán này có thể được đặc trưng bởi một số tính năng, bao gồm:

1) Các quy tắc thận trọng được định nghĩa bởi các quy định hoặc cơ quan có thẩm quyền áp dụng.

2) Loại tổ chức phát hành tiền điện tử/giá trị lưu trữ.

3) Mức độ mở của việc chấp nhận: vòng kín hoặc đa mục đích.

4) Việc mua/nạp tiền điện tử/giá trị lưu trữ.

5) Việc ghi có giá trị lưu trữ bởi người bán (ví dụ: thẻ quà tặng, chương trình khách hàng thân thiết).

6) Loại hàng hóa và dịch vụ được phép, hoàn toàn mở hoặc bị hạn chế.

7) Việc đổi tiền điện tử/giá trị lưu trữ.

8) Thời gian hiệu lực (hết hạn).

9) Tình trạng của tiền điện tử/giá trị lưu trữ: ẩn danh hoặc cá nhân hóa.

10) Việc lưu trữ tiền điện tử/giá trị lưu trữ: trên thiết bị cá nhân (thẻ hoặc thiết bị di động) hoặc từ xa trên một máy chủ hoặc cả hai.

Do phạm vi tính năng, các công cụ thanh toán khác nhau trong danh mục này đã được phát triển, và do đó, các định nghĩa không được hài hòa, đặc biệt là ở các khu vực khác nhau trên thế giới. Tuy nhiên, tiêu chuẩn này phân biệt tiền điện tử và giá trị lưu trữ theo cách sau.

b) Tiền điện tử

Tiền điện tử là một sự thay thế điện tử cho tiền mặt và phải tuân theo các quy tắc thận trọng cũng như bất kỳ quy định nào áp dụng. Nó được phát hành bởi các tổ chức có thẩm quyền với giá trị tương đương tiền thật và bảo mật xung quanh công nghệ này là vô cùng quan trọng để tránh việc truy cập trái phép vào các khoản tiền lưu trữ và việc tạo ra tiền điện tử giả mạo. Các khoản tiền lưu trữ thường có thể được đổi bất kỳ lúc nào bởi tổ chức phát hành tiền điện tử. Các hệ thống chấp nhận tiền điện tử thường là mở và có thể được chấp nhận bởi tất cả các người bán (đa mục đích). Bất kỳ hàng hóa hoặc dịch vụ nào cũng có thể được mua bằng tiền điện tử.

Chú thích: Một số đồng tiền ảo như tiền điện tử không được phát hành bởi các tổ chức có quy định và trong trường hợp đó không được xem là tiền điện tử cho mục đích của tiêu chuẩn này. Bảo mật xung quanh các công nghệ này là vô cùng quan trọng để tránh truy cập trái phép vào các đồng tiền ảo được lưu trữ và việc tạo ra chúng giả mạo.

c) Giá trị lưu trữ

Giá trị lưu trữ thường không phải tuân theo các quy tắc thận trọng và công cụ này được quản lý bởi các người bán và/hoặc các tổ chức. Các hệ thống chấp nhận giá trị lưu trữ thường là vòng kín (chỉ giới hạn ở một người bán) hoặc bán kín (một nhóm người bán) mặc dù một số chương trình kết hợp các tổ chức và người bán từ nhiều lĩnh vực khác nhau. Giá trị có thể được người tiêu dùng mua hoặc được thêm vào bởi các người bán theo chính sách thương mại của họ. Các đơn vị giá trị có thể là tiền, điểm, dặm, đơn vị giao tiếp, đơn vị giao thông công cộng. Thời gian hiệu lực của giá trị lưu trữ thường có giới hạn. Giá trị lưu trữ có thể được đổi theo quy định của chương trình.

C.6 Công cụ liên quan đến người bán

Ngoài giá trị lưu trữ được mô tả trong C.5, phiếu giảm giá (giấy hoặc kỹ thuật số) có thể được phát hành bởi các nhà bán lẻ hoặc nhà sản xuất/cung cấp hàng hóa và dịch vụ. Các phiếu giảm giá này được sử dụng để thanh toán một phần hoặc toàn bộ cho các hàng hóa hoặc dịch vụ được xác định cụ thể hoặc có thể cho phép người tiêu dùng lựa chọn giữa các tùy chọn đổi thưởng có sẵn.

Các đơn vị chấp nhận thanh toán và các tổ chức tổ chức các chương trình khách hàng thân thiết đã phát triển các chương trình tương tự cho khách hàng của họ. Những chương trình này cho phép khách hàng tích lũy phần thưởng (ví dụ: điểm, dặm, tiền mặt) liên quan đến các giao dịch mua hàng đã thực hiện. Những phần thưởng này hiện có thể được phát hành và/hoặc giao đến thiết bị di động của khách hàng và được đổi bởi khách hàng như một khoản thanh toán toàn bộ hoặc một phần cho các giao dịch mua hàng tiếp theo. Trong phạm vi mà những phần thưởng này được sử dụng như một khoản thanh toán, chúng được coi là quỹ và được ghi nhận như một phần của mối quan hệ giữa người trả tiền và người nhận tiền, đặc biệt trong môi trường thanh toán cho doanh nghiệp, mặc dù các khoản giảm giá không phải lúc nào cũng được xem như quỹ do các vấn đề quy định/thuế. Nói cách khác, một đơn vị chấp nhận thanh toán sẽ coi việc đổi phần thưởng khách hàng thân thiết mà họ đã đồng ý đổi từ một khách hàng để điều chỉnh giá mà họ tính phí. Do nhiều tình huống này sẽ chỉ liên quan đến việc thanh toán một phần cho giao dịch thanh toán di động, một hình thức thanh toán khác sẽ được liên kết với việc thanh toán số dư của số tiền giao dịch.

Tương tự như các chương trình khách hàng thân thiết, các đơn vị chấp nhận thanh toán và những người khác (ví dụ: nhà sản xuất thực phẩm) sẽ cung cấp cho khách hàng một phiếu giảm giá điện tử vào thời điểm bán hàng. Trong khi lịch sử, máy POS sẽ phát hành một phiếu giảm giá giấy cho khách hàng sử dụng trong một giao dịch mua sau, trong môi trường di động, phiếu giảm giá hiện có thể được giao đến khách hàng trên thiết bị di động của họ để khách hàng có thể sử dụng trực tiếp các phiếu giảm giá mà họ đã tích lũy từ thiết bị di động như một phần của giao dịch trong tương lai. Các biến thể khác của loại chương trình này sẽ cho phép một đơn vị chấp nhận thanh toán nhận diện khách hàng trong một chuyến thăm đến cửa hàng (ví dụ: sử dụng ứng dụng định vị địa lý, sử dụng các thỏa thuận đồng ý từ khách hàng) và đề xuất một phiếu giảm giá để sử dụng trong chuyến thăm đó.

C.7 Tài khoản hóa đơn di động

Trong trường hợp tài khoản hóa đơn di động, người tiêu dùng thanh toán cho hàng hóa hoặc dịch vụ bằng cách sử dụng cùng một hệ thống được sử dụng để thanh toán cho dịch vụ viễn thông di động.

Tùy thuộc vào loại gói dịch vụ mà người tiêu dùng có với MNO của mình, các khoản thanh toán này có thể là trả trước hoặc trả sau.

Trong trường hợp dịch vụ trả trước, người tiêu dùng "nạp tiền" (tải tiền) vào tài khoản hóa đơn di động của mình để sử dụng dịch vụ. Một tài khoản của người tiêu dùng có thể được nạp tiền bằng nhiều tùy chọn thanh toán có sẵn từ MNO (ví dụ: tiền mặt, chuyển khoản ngân hàng).

Trong trường hợp dịch vụ trả sau, MNO định kỳ gửi hóa đơn cho người tiêu dùng theo các điều khoản của gói dịch vụ.

MNO sẽ tính phí cho các giao dịch cá nhân vào tài khoản hóa đơn di động của người tiêu dùng và thanh toán giao dịch với người bán.

 

Thư mục Tài liệu tham khảo

[1] ISO 8583 (tất cả các phần), Thẻ giao dịch tài chính, thông điệp phát sinh - Các đặc tả thông điệp trao đổi - Phần 1: Thông điệp, các phần tử dữ liệu và giá trị mã.

[2] TCVN 14488-3 (ISO/TS 12812-3), Ngân hàng lõi - Dịch vụ tài chính di động - Phần 3: Quản lý vòng đời ứng dụng tài chính.

[3] TCVN 14488-4 (ISO/TS 12812-4), Ngân hàng lõi - Dịch vụ tài chính di động - Phần 4: Thanh toán di động đến cá nhân.

[4] TCVN 14488-5 (ISO/TS 12812-5), Ngân hàng lõi - Dịch vụ tài chính di động - Phần 5: Thanh toán di động đến doanh nghiệp.

[5] ISO/IEC 14443 (tất cả các phần), Thẻ nhận diện - Thẻ tiếp cận - Thẻ mạch tích hợp không tiếp xúc.

[6] ISO/IEC 15408 (tất cả các phần), Công nghệ thông tin - Kỹ thuật bảo mật - Tiêu chí đánh giá cho bảo mật CNTT.

[7] ISO/IEC 16022, Công nghệ thông tin - Kỹ thuật nhận diện tự động và thu thập dữ liệu - Đặc tả mã vạch Data Matrix.

[8] ISO/IEC 16023, Công nghệ thông tin - Đặc tả ký hiệu quốc tế - MaxiCode.

[9] TCVN 7322 (ISO/IEC 18004), Công nghệ thông tin - Kỹ thuật nhận diện tự động và thu thập dữ liệu - Đặc tả mã vạch QR Code.

[10] ISO/IEC 18092, Công nghệ thông tin - Viễn thông và trao đổi thông tin giữa các hệ thống - Giao tiếp trường gần - Giao diện và giao thức (NFCIP-1).

[11] ISO 20022 (tất cả các phần), Dịch vụ tài chính - Sơ đồ thông điệp tài chính toàn cầu.

[12] ISO/IEC 21481, Công nghệ thông tin - Viễn thông và trao đổi thông tin giữa các hệ thống - Giao tiếp trường gần - Giao diện và giao thức - 2 (NFCIP-2).

[13] Báo cáo OECD về Bảo vệ người tiêu dùng trong Thanh toán Trực tuyến và Di động.

 

MỤC LỤC

Lời nói đầu

Lời giới thiệu

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Thuật ngữ và định nghĩa

4 Các thuật ngữ viết tắt

5 Đặc điểm cụ thể của thanh toán di động cho cá nhân

5.1 Tổng quan

5.2 Khái niệm về khả năng tương tác trong thanh toán: lớp kinh doanh

5.3 Khái niệm về khả năng tương tác trong lớp thanh toán: lớp kỹ thuật

5.4 Mục tiêu của khả năng tương tác

6 Quan hệ giữa khách hàng và các nhà cung cấp dịch vụ tài chính di động (MFSP)

6.1 Tổng quan

6.2 Tình trạng pháp lý của khách hàng

6.3 Vai trò của khách hàng

6.4 Mối quan hệ hợp đồng giữa khách hàng và tổ chức

6.5 Lựa chọn từ ngữ cho TCVN 14488 (ISO 12812)

7 Lý do cho TCVN 14488 (ISO 12812) (tất cả các phần)

7.1 Tổng quan

7.2 Mô tả môi trường

7.3 Thách thức trong tiêu chuẩn hóa

8 Thanh toán di động

8.1 Các chức năng thanh toán chung

8.2 Thanh toán di động gần

8.3 Thanh toán từ xa bằng di động

9 Ngân hàng di động

9.1 Tổng quan

9.2 Các chức năng chung của ngân hàng di động

9.3 Các kênh cho ngân hàng di động

10 Ngân hàng di động

10.1 Tổng quan

10.2 Giao tiếp di động

10.3 Giao diện cục bộ của thiết bị di động

10.4 Ứng dụng

10.5 Ví di động

10.6 Phần tử bảo mật

10.7 Giao diện người dùng

10.8 Môi trường thực thi tin cậy

10.9 Bảo mật máy chủ

10.10 Quản lý dịch vụ

11 Các bên liên quan trong hệ sinh thái

12 Triển khai TCVN 14488 (ISO 12812) (tất cả các phần)

Phụ lục A (Tham khảo)

Phụ lục B (Tham khảo)

Phụ lục C (Tham khảo)

Thư mục tài liệu tham khảo