Tổng quan
Nội dung
Tiêu chuẩn liên quan
Lược đồ
Tải về

Báo lỗi

Tiêu chuẩn TCVN 14488-5:2025 Ngân hàng lõi - Dịch vụ tài chính di động - Phần 5: Thanh toán di động cho doanh nghiệp

Ngày cập nhật: Thứ Tư, 04/02/2026 15:23 (GMT+7)

Số hiệu:	TCVN 14488-5:2025	Loại văn bản:	Tiêu chuẩn Việt Nam
Cơ quan ban hành:	Bộ Khoa học và Công nghệ	Lĩnh vực:	Doanh nghiệp , Tài chính-Ngân hàng
Trích yếu:	ISO/TS 12812-5:2017 Ngân hàng lõi - Dịch vụ tài chính di động - Phần 5: Thanh toán di động cho doanh nghiệp
Ngày ban hành: Ngày ban hành là ngày, tháng, năm văn bản được thông qua hoặc ký ban hành.	28/07/2025	Hiệu lực:	Đã biết Tiện ích dành cho tài khoản Tiêu chuẩn hoặc Nâng cao. Vui lòng Đăng nhập tài khoản để xem chi tiết.
Người ký:	Đang cập nhật	Tình trạng hiệu lực: Cho biết trạng thái hiệu lực của văn bản đang tra cứu: Chưa áp dụng, Còn hiệu lực, Hết hiệu lực, Hết hiệu lực 1 phần; Đã sửa đổi, Đính chính hay Không còn phù hợp,...	Đã biết Tiện ích dành cho tài khoản Tiêu chuẩn hoặc Nâng cao. Vui lòng Đăng nhập tài khoản để xem chi tiết.

TÓM TẮT TIÊU CHUẨN VIỆT NAM TCVN 14488-5:2025

Nội dung tóm tắt đang được cập nhật, Quý khách vui lòng quay lại sau!

Tải tiêu chuẩn Việt Nam TCVN 14488-5:2025

Tình trạng hiệu lực: Đã biết

Hiệu lực: Đã biết

Tình trạng hiệu lực: Đã biết

TIÊU CHUẨN QUỐC GIA

TCVN 14488-5:2025

ISO/TS 12812-5:2017

NGÂN HÀNG LÕI - DỊCH VỤ TÀI CHÍNH DI ĐỘNG - PHẦN 5: THANH TOÁN DI ĐỘNG CHO DOANH NGHIỆP

Core banking - Mobile financial services - Part 5: Mobile payments to businesses

Lời nói đầu

TCVN 14488-5:2025 hoàn toàn tương đương ISO/TS 12812-5:2017

TCVN 14488-5:2025 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 68 “Dịch vụ tài chính” biên soạn, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ TCVN 14488:2025 (ISO/TS 12812) “Ngân hàng lõi - Dịch vụ tài chính di động” gồm các TCVN sau:

- TCVN 14488-1:2025 (ISO 12812-1:2017) - Phần 1: Khuôn khổ chung

- TCVN 14488-2:2025 (ISO/TS 12812-2:2017) - Phần 2: Bảo mật và bảo vệ dữ liệu cho các dịch vụ tài chính di động

- TCVN 14488-3:2025 (ISO/TS 12812-3:2017) - Phần 3: Quản lý vòng đời ứng dụng tài chính

- TCVN 14488-4:2025 (ISO/TS 12812-4:2017) - Phần 4: Thanh toán di động cho cá nhân

- TCVN 14488-5:2025 (ISO/TS 12812-5:2017) - Phần 5: Thanh toán di động cho doanh nghiệp

Lời giới thiệu

Việc sử dụng các thiết bị di động để thực hiện các giao dịch tài chính đang ngày càng trở nên phổ biến, cùng với sự gia tăng ổn định trong số lượng người tiêu dùng Internet cho các dịch vụ này. Dịch vụ tài chính di động (MFS) là một thị trường đang phát triển và hiện đang được triển khai trên nhiều nền tảng khác nhau ở các khu vực trên thế giới, với sự tham gia của nhiều nhà cung cấp dịch vụ MFSs (MFSP). Vì vậy, mục tiêu của tiêu chuẩn này là tạo ra một môi trường thuận lợi, thúc đẩy khả năng tương tác, bảo mật và chất lượng của MFS. Đồng thời, tiêu chuẩn này cũng mong muốn giúp các bên liên quan có thể tận dụng sự phát triển của các nhà cung cấp dịch vụ MFS một cách bền vững và có lợi, đảm bảo sự cạnh tranh lành mạnh và tạo cơ hội cho các nhà cung cấp thiết kế những giải pháp phù hợp với chiến lược kinh doanh của riêng mình.

Mục đích của tiêu chuẩn này là:

a) Thúc đẩy khả năng tương tác của các MFSs trên toàn cầu bằng cách xây dựng một tầm nhìn quốc tế về môi trường này, đồng thời xác định các yêu cầu chung và nguyên tắc cơ bản để thiết kế và vận hành MFS (xem Điều 5, TCVN 14488-1:2025 (ISO 12812-1:2017);

b) Xác định các thành phần kỹ thuật và các giao diện của chúng, cũng như các vai trò có thể được thực hiện bởi các MFSPs khác nhau (ví dụ: các tổ chức tài chính, nhà mạng di động, nhà quản lý dịch vụ đáng tin cậy). Các thành phần và giao diện này, cùng với các vai trò, được xác định dựa trên các trường hợp sử dụng cụ thể, mặc dù các trường hợp sử dụng mới có thể được xem xét trong quá trình duy trì tiêu chuẩn;

c) Xác định các tiêu chuẩn hiện hành mà MFS cần tuân thủ, cũng như những khả năng phát triển trong tương lai.

Nỗ lực chuẩn hoá trong lĩnh vực này mang lại lợi ích lớn cho sự phát triển bền vững của thị trường dịch vụ tài chính di động vì nó sẽ:

- Tạo điều kiện thuận lợi và thúc đẩy khả năng tương tác giữa các thành phần và chức năng khác nhau trong quá trình phát triển và cung cấp MFS (xem 4.3 và 4.4, TCVN 14488-1:2025 (ISO 12812- 1:2017), bao gồm việc xem xét ảnh hưởng của các thành phần và giao diện mới khi thiết bị di động được tích hợp vào chuỗi thanh toán;

- Xây dựng một môi trường an toàn, giúp người trả tiền và người nhận tiền (thụ hưởng) (xem TCVN 14488-4 (ISO/TS 12812-4), cũng như người tiêu dùng và doanh nhân (theo tiêu chuẩn này), có thể tin tưởng vào MFS và cho phép các nhà cung cấp dịch vụ tài chính di động quản lý rủi ro hiệu quả;

- Thúc đẩy các cơ chế bảo vệ người tiêu dùng, bao gồm các điều khoản hợp đồng công bằng, quy định minh bạch về chi phí, làm rõ trách nhiệm pháp lý, cũng như các thủ tục khiếu nại và giải quyết tranh chấp;

- Cho phép người tiêu dùng lựa chọn từ nhiều nhà cung cấp thiết bị hoặc MFSs khác nhau, đồng thời cho phép họ ký hợp đồng với nhiều MFSP để sử dụng dịch vụ trên cùng một thiết bị;

- Cho phép người tiêu dùng chuyển MFS từ thiết bị này sang thiết bị khác (tính di động);

- Đảm bảo người tiêu dùng có trải nghiệm nhất quán khi sử dụng nhiều MFS và MFSP khác nhau.

Để đạt được các mục tiêu này, mỗi tiêu chuẩn của bộ tiêu chuẩn TCVN 14488 (ISO 12812) sẽ chỉ ra các cơ chế kỹ thuật cần thiết và, khi phù hợp, tham khảo các tiêu chuẩn hiện hành trong lĩnh vực liên quan của từng tiêu chuẩn.

Bộ tiêu chuẩn TCVN 14488 (ISO 12812) (tất cả các phần) cung cấp một khuôn khổ linh hoạt, có thể thích ứng với các công nghệ thiết bị di động mới, đồng thời hỗ trợ nhiều mô hình kinh doanh khác nhau và đảm bảo tuân thủ các quy định quốc gia hiện hành (ví dụ: quyền riêng tư dữ liệu, bảo vệ dữ liệu nhận dạng cá nhân, bảo vệ người tiêu dùng, chống rửa tiền và phòng ngừa tội phạm tài chính) (xem 6.3.4, TCVN 14488-1:2025 (ISO 12812-1:2017).

Bộ tiêu chuẩn TCVN 14488 (ISO 12812) (tất cả các phần) không nhằm mục đích sao chép hoặc thay thế bất kỳ tiêu chuẩn hiện có nào trong lĩnh vực MFS (ví dụ: giao thức truyền thông, thiết bị di động). Bộ tiêu chuẩn TCVN 14488 (ISO 12812) (tất cả các phần) cũng không đưa ra các công nghệ cụ thể cho ứng dụng, cũng như không hạn chế sự phát triển của các công nghệ hoặc giải pháp trong tương lai. Tiêu chuẩn này không xác định các tin nhắn và phần tử dữ liệu được trao đổi giữa các thành phần hoặc tác nhân khác nhau trong hệ thống, mà thay vào đó tham chiếu các tin nhắn và phần tử dữ liệu đã được xác định (ví dụ: ISO 8583, ISO 20022). Các thiết bị di động với khả năng truyền thông phù hợp có thể trao đổi dữ liệu giao dịch tuân thủ các tiêu chuẩn ISO thích hợp (ví dụ: ISO 8583, ISO 20022), cung cấp thông tin xác thực giao dịch cần thiết cho các điểm bán hàng (POS) thông qua các định dạng khác nhau (ví dụ: mã vạch, SMS).

Bộ tiêu chuẩn TCVN 14488 (ISO 12812) (tất cả các phần) cũng nhận thức được nhu cầu của người tiêu dùng không sử dụng tài khoản ngân hàng hoặc có tài khoản ngân hàng dưới mức cần thiết để tiếp cận MFS. Đồng thời, tiêu chuẩn này cũng thừa nhận rằng các MFS có thể được cung cấp bởi các MFSP không phải là tổ chức tài chính theo các quy định hiện hành.

CHÚ THÍCH: Các thuật ngữ và định nghĩa trong tiêu chuẩn này lấy từ TCVN 14488-1 (ISO 12812-1). Khi một thuật ngữ được viết tắt trong tài liệu, chữ viết tắt đó sẽ được liên kết với lần sử dụng đầu tiên của thuật ngữ đó.

Các Hình 7, 8, 9, 10, 11, 12, 13, 14, 16 và 18, hoặc một phần trong số đó, được lấy từ Hội đồng thanh toán Châu Âu.

NGÂN HÀNG LÕI - DỊCH VỤ TÀI CHÍNH DI ĐỘNG - PHẦN 5: THANH TOÁN DI ĐỘNG CHO DOANH NGHIỆP

Core banking - Mobile financial services - Part 5: Mobile payments to businesses

1 Phạm vi áp dụng

Tiêu chuẩn này tập trung vào các cơ chế mà cá nhân (bao gồm "người tiêu dùng", "người trả tiền" hoặc "doanh nghiệp") sử dụng thiết bị di động để thực hiện thanh toán cho một thực thể kinh doanh (gọi là "đơn vị chấp nhận thanh toán" hoặc "người nhận tiền"). Việc thanh toán này có thể sử dụng các điểm tương tác (POI) truyền thống, trong đó các phương thức thanh toán tuân theo các cơ chế đã được thiết lập từ trước. Bên cạnh đó, còn có những phương thức khác mà người tiêu dùng có thể sử dụng thiết bị di động để bắt đầu, ủy quyền và xử lý các giao dịch bên ngoài mạng thanh toán truyền thống, sử dụng các công cụ thanh toán an toàn. Tiêu chuẩn này hỗ trợ cả thanh toán theo hình thức “đẩy” và “kéo” (tức là các giao dịch được đẩy từ thiết bị di động vào thiết bị POI, hoặc được kéo hoặc được nhận vào thiết bị di động hoặc thiết bị POI). Các giao dịch này được người tiêu dùng khởi tạo và/hoặc xác nhận để mua hàng hóa và/hoặc dịch vụ, bao gồm thanh toán gần, thanh toán qua máy chủ an toàn từ xa, cũng như các phương thức thanh toán di động khác (ví dụ như điện toán đám mây, mã phản hồi nhanh (QR), sinh trắc học, định vị địa lý và các phương thức khác để xác thực và ủy quyền giao dịch.

Một trong những yếu tố quan trọng nhất trong môi trường dịch vụ tài chính di động (MFS) là thanh toán di động cho doanh nghiệp. Người tiêu dùng hoặc doanh nghiệp với tư cách là người tiêu dùng có thể được chấp nhận thanh toán bằng nhiều phương thức khác nhau. TCVN 14488 (ISO 12812) cung cấp một tiêu chuẩn toàn diện cho các cơ chế liên quan đến việc luân chuyển vốn cho bất kể ai tham gia vào quá trình thanh toán. Tiêu chuẩn này chủ yếu dành cho những người triển khai các giải pháp thanh toán di động cho các giao dịch bán lẻ, trong khi TCVN 14488-4 (ISO 12812-4) tập trung vào việc hỗ trợ triển khai các giải pháp thanh toán di động dành cho cá nhân.

CHÚ THÍCH: Điều 5.4, TCVN 14488-1:2025 (ISO 12812-1:2017) giải thích sự khác biệt trong việc sử dụng các thuật ngữ này. Vì vậy, TCVN 14488 (ISO 12812) (tất cả các phần) nhằm hỗ trợ tất cả các công nghệ khả thi và không được thiết kế để ưu tiên hoặc xác nhận bất kỳ công nghệ cụ thể nào trên thị trường cạnh tranh.

Mặc dù tiêu chuẩn này đề cập đến các khoản thanh toán di động do người tiêu dùng hoặc doanh nghiệp hoạt động với tư cách người tiêu dùng thực hiện, các giao dịch này phải tuân theo nhiều yêu cầu bảo vệ người tiêu dùng, nhưng xét về mối quan hệ với MFSP, người tiêu dùng (hoặc doanh nghiệp là khách hàng của MFSP. Tuy nhiên, tiêu chuẩn này sẽ sử dụng thuật ngữ “người tiêu dùng”.

2 Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là rất cần thiết cho việc áp dụng tiêu chuẩn. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các bản sửa đổi.

TCVN 14488-1:2025 (ISO 12812-1:2017), Ngân hàng lõi - Dịch vụ tài chính di động - Phần 1: Khuôn khổ chung

TCVN 14488-2:2025 (ISO/TS 12812-2:2017), Ngân hàng lõi - Dịch vụ tài chính di động - Phần 2: Bảo mật và bảo vệ dữ liệu cho dịch vụ tài chính di động

TCVN 14488-3:2025 (ISO/TS 12812-3), Ngân hàng lõi - Dịch vụ tài chính di động - Phần 3: Quản lý vòng đời ứng dụng tài chính

TCVN 7322 (ISO/IEC 18004), Công nghệ thông tin - Kỹ thuật phân định và thu nhận dữ liệu tự động - Yêu cầu kỹ thuật đối với mã hình QR code 2005

ISO/IEC 18092, Information technology — Telecommunications and information exchange between systems — Near Field Communication — Interface and Protocol (NFCIP-1) (Công nghệ thông tin- Viễn thông và trao đổi thông tin giữa các hệ thống- Giao diện và giao thức truyền thống trường gần (NFCIP-1).

ISO/IEC 21481, Information technology — Telecommunications and information exchange between systems — Near Field Communication Interface and Protocol -2 (NFCIP-2) (Công nghệ thông tin- Viễn thông và trao đổi thông tin giữa các hệ thống- Giao diện và giao thức truyền thống trường gần- 2 (NFCIP-2)).

3 Thuật ngữ và định nghĩa

Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa trong TCVN 14488-1:2025 (ISO 12812- 1:2017)

4 Yêu cầu của hệ thống thanh toán di động cho doanh nghiệp

Điều này xác định một bộ yêu cầu chung cho việc thực hiện các khoản thanh toán, bất kể đó là thanh toán cho cá nhân hay doanh nghiệp, và bất kể thanh toán được thực hiện gần (thanh toán di động gần) hoặc từ xa (thanh toán di động từ xa). Nói cách khác, các yêu cầu này áp dụng cho mọi loại giao dịch, không phân biệt các bên tham gia có tương tác trực tiếp tại cùng một địa điểm hay không.

CHÚ THÍCH: Những yêu cầu cơ bản này cũng được đề cập trong TCVN 14488-4 (ISO/TS 12812-4), mặc dù có những khác biệt về cách thức hoạt động giữa thanh toán cho cá nhân và thanh toán cho doanh nghiệp, do các MFSP phát triển các bộ quy tắc và thông số kỹ thuật riêng biệt cho từng hệ thống.

4.1 Yêu cầu lựa chọn thiết bị, mạng và ứng dụng

4.1.1 MFSP phải xác định các yêu cầu về khả năng tương thích của các MFS mà họ cung cấp với thiết bị di động, đồng thời cho phép người tiêu dùng (người trả tiền) lựa chọn thiết bị di động và ứng dụng MFS phù hợp để sử dụng.

4.1.2 Nếu một MFS yêu cầu các điều kiện cụ thể đối với một nhà mạng di động (MNO), các MFSP phải ghi nhận những yêu cầu này và xác định các MNO nào có thể hỗ trợ dịch vụ MFS. Ngoài ra, MFSP cần đảm bảo rằng người tiêu dùng có thể lựa chọn một MNO phù hợp, với khả năng cung cấp các dịch vụ truyền thông di động cần thiết để sử dụng MFSs.

4.1.3 MFSP sẽ cho phép người tiêu dùng lựa chọn hoặc cấu hình trước (ví dụ: đối với các giao dịch có giá trị thấp) ứng dụng di động và/ hoặc công cụ thanh toán phù hợp, bao gồm ví di động, để xử lý bất kỳ giao dịch thanh toán di động cụ thể nào.

4.1.4 MFSP phải đảm bảo rằng khi ví di động được sử dụng để thực hiện thanh toán di động cho doanh nghiệp, ví đó phải có khả năng cung cấp tối thiểu các chức năng sau:

- Giao diện đăng ký dữ liệu cá nhân và phương thức thanh toán (trên thiết bị di động);

- Lưu trữ dữ liệu (trên thiết bị di động hoặc trên máy chủ an toàn);

- Giao diện cho phép người tiêu dùng lựa chọn phương thức thanh toán;

- Giao diện cho phép người tiêu dùng sử dụng phương thức thanh toán đã chọn (có thể là một giao diện quản lý tất cả các phương thức thanh toán hoặc các giao diện riêng biệt cho từng phương thức);

- Giao diện quản lý dữ liệu đã lưu trữ đang cập nhật (ví dụ: cập nhật hoặc hủy bỏ dữ liệu).

4.1.5 MFSP phải cung cấp cho người tiêu dùng báo cáo hoạt động tài khoản theo cách phù hợp với từng trường hợp cụ thể, chẳng hạn như gửi báo cáo giấy định kỳ (tệp tin tải xuống hoặc tài khoản trực tuyến).

CHÚ THÍCH: Đối với tài khoản thanh toán mà người tiêu dùng có nghĩa vụ thanh toán thường xuyên, ngày đến hạn thanh toán có thể được hiển thị trên thiết bị di động khi cảnh báo bật lên, bao gồm cả thông tin về hậu quả của việc không thanh toán đúng hạn.

4.2 Yêu cầu bảo mật

4.2.1 Thiết bị di động được sử dụng cho các MFS phải có khả năng lưu trữ hoặc cung cấp quyền truy cập vào các ứng dụng trong một môi trường bảo mật thích hợp, ví dụ như sử dụng phần mềm bổ sung, phần tử bảo mật (SE) hoặc môi trường tin cậy (TEE) theo TCVN 14488-2 (ISO/TS 12812-2).

4.2.2 Ứng dụng, cũng như bất kỳ thông tin xác thực liên quan được lưu trữ trên thiết bị di động hoặc được truy cập qua thiết bị di động, phải được quản lý và bảo vệ theo các yêu cầu và/hoặc hướng dẫn được quy định trong TCVN 14488-3 (ISO/TS 12812-3).

4.2.3 Thiết bị di động phải có khả năng xác thực người tiêu dùng bằng phương pháp kiểm tra xác nhận người tiêu dùng (UVM) mà các MFSP thiết lập, phù hợp với từng ứng dụng cụ thể.

CHÚ THÍCH: Để triển khai cơ chế xác thực, tham khảo TCVN 14488-2 (ISO/TS 12812-2)

4.2.4 Thiết bị di động phải được trang bị màn hình và bàn phím (vật lý hoặc ảo), cùng với các thiết bị khác (ví dụ: thiết bị thu thập dữ liệu sinh trắc học) nếu cần thiết, để người tiêu dùng có thể kích hoạt và lựa chọn phương thức thanh toán, cũng như xác nhận giao dịch qua các kênh đáng tin cậy.

4.2.5 Thiết bị di động phải có khả năng bảo vệ kênh kết nối được sử dụng trong các giao dịch thanh toán di động, đảm bảo mức độ bảo mật phù hợp theo yêu cầu mà các MFSP xác định.

4.2.6 Thiết bị di động phải cho phép người tiêu dùng truy cập vào cổng xác thực lẫn nhau để thực hiện các giao dịch thanh toán di động. Nếu ứng dụng không hỗ trợ xác thực lẫn nhau, các MFSP phải áp dụng các biện pháp bảo mật thay thế để bảo vệ kênh kết nối khỏi các cuộc tấn công bảo mật (ví dụ: phần mềm độc hại và vi- rút).

4.2.7 MFSP phải đảm bảo rằng khi thiết lập mã di động hoặc thông tin xác thực tương tự (xem TCVN 14488-1 (ISO 12812-1), việc sử dụng mã PIN do ngân hàng cấp phải tuân thủ các yêu cầu của ISO 9564. Tuy nhiên, đối với mã PIN hoặc mã di động không do ngân hàng cấp, không cần phải tuân thủ các yêu cầu này.

4.3 Yêu cầu về nhật ký giao dịch

4.3.1 MFSP phải cung cấp phương tiện cho người tiêu dùng để xem chi tiết mỗi giao dịch thanh toán di động. Nhật ký giao dịch phải hiển thị tối thiểu 10 giao dịch gần nhất hoặc các giao dịch hoàn thành trong vòng 30 ngày, tùy thuộc vào cách thức nào cung cấp nhiều thông tin nhất. Khi có yêu cầu cụ thể từ khách hàng và khi có thể thực hiện được, MFSP phải cung cấp thêm thông tin bổ sung để bổ trợ cho thông tin giao dịch có sẵn ngay lập tức trong nhật ký giao dịch theo các điều khoản hợp lý.

4.3.2 Nhật ký giao dịch cần cung cấp cho người tiêu dùng các dữ liệu sau:

- Ngày giao dịch;

- Thời gian giao dịch;

- Số tiền giao dịch;

- Mã tiền tệ giao dịch;

- Loại giao dịch;

- Thông tin người nhận/người trả tiền (ví dụ: tên/số căn cước và vị trí);

- Thông tin xác minh/tính toàn vẹn giao dịch (ví dụ: mã thông báo, mật mã).

4.4 Yêu cầu về thông báo

4.4.1 MFSP phải thông báo cho người tiêu dùng khi một khoản thanh toán đã được chấp thuận ủy quyền và/hoặc hoàn tất (xem 4.4.4 về các phương thức thông báo).

4.4.2 MFSP của người tiêu dùng, hoặc trong một số trường hợp, MFSP của đơn vị chấp nhận thanh toán phải thông báo cho đơn vị chấp nhận thanh toán về trạng thái của khoản thanh toán (ví dụ: thanh toán đã được chuyển đến tài khoản của đơn vị chấp nhận thanh toán).

4.4.3 MFSP phải thông báo cho đơn vị chấp nhận thanh toán về khả năng truy cập vào các khoản tiền đã được chuyển vào tài khoản của họ.

4.4.4 MFSP phải hoàn thành yêu cầu thông báo theo mục này bằng một phương thức thông báo thích hợp (ví dụ: thông báo pop-up trong ứng dụng, tin nhắn văn bản, email, hoặc sao kê giấy).

CHÚ THÍCH: Các thông báo và liên lạc từ xa này có thể bao gồm các dịch vụ giá trị gia tăng (ví dụ: dịch vụ kiểm tra xác nhận trạng thái giao dịch, hồ sơ điện tử giao dịch dài hạn hoặc các dịch vụ đặc biệt cho người sử dụng khiếm thị).

4.5 Yêu cầu về biên lai giao dịch

4.5.1 Điểm tương tác (POI) có thể in biên lai giao dịch ra giấy phải cung cấp cho người tiêu dùng một biên lai theo yêu cầu.

4.5.2 Điểm tương tác có thể truyền tải biên lai điện tử (ví dụ: qua mail, tin nhắn văn bản hoặc ứng dụng điện thoại) phải cung cấp biên lai điện tử cho người tiêu dùng theo yêu cầu.

4.5.3 Điểm tương tác phải thông báo trước cho người tiêu dùng nếu không thể in hoặc truyền biên lai điện tử và phải cung cấp cho người tiêu dùng sự lựa chọn tiếp tục hoặc hủy bỏ giao dịch.

Trong một số trường hợp giao dịch có giá trị thấp (ví dụ: Thu phí đường, tàu điện ngầm), hệ thống có thể không cung cấp được biên lai hoặc không cho phép người tiêu dùng hủy giao dịch.

4.5.4 MFSP phải thông báo cho người tiêu dùng về tình trạng pháp lý của các hình thức hồ sơ giao dịch khác nhau theo yêu cầu của khu vực nơi MFS được sử dụng.

4.6 Yêu cầu về dữ liệu riêng tư

4.6.1 MFSP phải đảm bảo rằng mỗi MFS cần tuân thủ các luật và quy định về bảo vệ dữ liệu của từng quốc gia hoặc khu vực mà ứng dụng được sử dụng (xem thông tin liên quan trong 14.1, TCVN 14488-2:2025 (ISO/TS 12812-2:2017). Để thực hiện yêu cầu này, MFSP phải tiến hành đánh giá tác động dữ liệu riêng tư (xem 14.3, TCVN 14488-2:2025 (ISO/TS 12812-2:2017).

4.6.2 MFSP phải tuân thủ các yêu cầu và khuyến nghị có trong 14.2, TCVN 14488-2:2025 (ISO/TS 12812-2:2017).

4.6.3 MFSP phải đảm bảo rằng các bên tham gia vào việc xử lý thanh toán di động và thực hiện chính sách bảo mật thông tin và cách sử dụng được chấp nhận.

4.6.4 MFSP phải đảm bảo rằng các bên thứ ba tham gia vào quá trình xử lý thanh toán di động cung cấp cho người tiêu dùng và/hoặc đơn vị chấp nhận thanh toán thông báo pháp lý đầy đủ, thông báo rõ rằng việc thực hiện giao dịch chuyển tiền xuyên biên giới tuân thủ các quy định về việc truyền tải thông tin cá nhân phù hợp.

5 Các loại thanh toán di động

Nhìn chung, có hai loại thanh toán di động chính đối với doanh nghiệp: (1) thanh toán gần và (2) thanh toán từ xa. Các công cụ thanh toán hiện có có thể được sử dụng theo cách gần hoặc từ xa, dù công nghệ sử dụng là không tiếp xúc hoặc công nghệ thanh toán di động khác, ví dụ như thanh toán di động qua mã QR, thanh toán di động qua thời gian phát sóng di động, ủy quyền thanh toán qua máy chủ được bảo mật, v.v. (xem 7.2, 7.3 và Phụ lục C, TCVN 14488-1:2025 (ISO 12812- 1:2017). Tất cả các loại thanh toán di động đều dựa trên một ứng dụng, ứng dụng này có thể được cài đặt trên thiết bị di động hoặc được truy cập thông qua thiết bị di động. Điều này xác định và mô tả các loại thanh toán di động như là một phần của hướng dẫn và các trường hợp sử dụng cụ thể.

Trong một số cách triển khai thanh toán di động, dữ liệu giao dịch nhạy cảm thực tế (ví dụ: số PAN) được thay thế bằng một mã token, một vật thay thế tạm thời có thể có cấu trúc dữ liệu tương tự như dữ liệu gốc. Các mã Token cũng có thể được sử dụng như một cơ chế để xử lý việc lưu trữ dữ liệu nhạy cảm sau khi giao dịch được xác nhận nhằm mục đích bảo mật.

5.1 Thanh toán di động gần

Thanh toán di động gần đối với doanh nghiệp (MPP) là các khoản thanh toán từ người tiêu dùng cho đơn vị chấp nhận thanh toán, thực hiện bằng cách sử dụng thiết bị di động khi cả hai bên đều ở cùng một địa điểm. Ví dụ, các giao dịch này có thể được khởi tạo bằng cách đặt thiết bị rất gần với thiết bị POI của đơn vị chấp nhận thanh toán (ví dụ: gần máy đọc thẻ) hoặc sử dụng ứng dụng thanh toán di động khi thiết bị di động được đặt tại địa điểm của đơn vị chấp nhận thanh toán. Các thanh toán này có thể dựa vào công nghệ NFC (xem TCVN 14488-1 (ISO 12812-1)); các phương thức khác bao gồm bluetooth và không dây (xem IEEE 802.11). Mặc dù tiêu chuẩn này không đề cập riêng đến NFC như là công nghệ duy nhất có thể áp dụng cho các thanh toán gần, nhưng tiêu chuẩn trích dẫn các trường hợp sử dụng NFC như một minh họa cho loại thanh toán này, bao gồm việc sử dụng NFC trong chế độ mô phỏng thẻ máy chủ (xem Phụ lục A). Cách tiếp cận này cho phép những người thực hiện tiềm năng hiểu rõ hơn về các vấn đề mà hệ sinh thái thanh toán di động hiện tại đang phải đối mặt. Các công nghệ hoặc phương pháp khác cũng có sẵn để khởi tạo một giao dịch thanh toán di động (xem 5.2 đến 5.3).

Công nghệ NFC đã được tích hợp trong một số thiết bị di động. Mặc dù có nhiều cách thiết lập giao thức NFC cho các mục đích sử dụng khác nhau, nhưng thiết bị di động sử dụng NFC tuân thủ tiêu chuẩn này phải tuân thủ các tiêu chuẩn ISO/IEC 18092 và ISO/IEC 21481 để giao tiếp với thiết bị POI của đơn vị chấp nhận thanh toán. Khi thiết bị di động giao tiếp theo các tiêu chuẩn này, nó có khả năng trao đổi các dữ liệu giao dịch cần thiết với thiết bị POI để giao dịch được xử lý theo cách tương thích với việc xử lý thẻ ghi nợ và thẻ tín dụng trong chế độ mô phỏng thẻ (ví dụ: ISO 8583, ISO 20022). Vì giao thức NFC cho phép các giao dịch được xử lý nhanh chóng khi đưa thiết bị di động gần thiết bị POI (các thuật ngữ như “chạm”, “vẫy” hoặc “gõ” đã được áp dụng cho quá trình này), kết quả là quá trình giao dịch hiệu quả và trải nghiệm người tiêu dùng được sắp xếp hợp lý. Cần lưu ý rằng trong các MPP khác, việc thanh toán có thể không thực hiện trong chế độ mô phỏng thẻ và có thể yêu cầu một tập hợp các tham số khác cho giao dịch (ví dụ: mã vạch, giao dịch bảo mật qua máy chủ có hoặc không có mã thông báo). Trong những trường hợp này, thiết bị di động có khả năng trao đổi dữ liệu giao dịch ở các định dạng phù hợp (ví dụ: mã vạch).

Các giao dịch MPP yêu cầu một môi trường bảo mật có khả năng bảo vệ tất cả dữ liệu giao dịch nhạy cảm và dữ liệu nhận diện cá nhân, đồng thời giảm thiểu các rủi ro thường được xử lý bởi quản lý rủi ro trực tuyến. Môi trường an toàn này phải tuân thủ các yêu cầu của TCVN 14488-2 (ISO/TS 12812-2) và có thể có nhiều hình thức khác nhau, bao gồm một thành phần phần mềm bổ sung ("kiểm soát bảo mật"), một máy chủ an toàn, một UICC (SE dựa trên SIM), một SE được nhúng hoặc một thẻ microSD. MPP cũng phải tuân thủ các yêu cầu của 4.2 và 4.6. Thêm vào đó, trong một số giao dịch sử dụng NFC, một số thao tác nhạy cảm được thực hiện trực tiếp trong SE trên thiết bị di động (ví dụ: mã hóa dữ liệu, xác thực giao dịch khi giá trị thanh toán vượt quá một ngưỡng nhất định).

5.2 Thanh toán di động từ xa

Thanh toán di động từ xa đối với doanh nghiệp (MRP) là các giao dịch không gặp mặt trực tiếp hoặc giao dịch trực tuyến, được thực hiện qua mạng viễn thông di động hoặc trình duyệt Internet, không phụ thuộc vào địa điểm của doanh nghiệp, trong đó người tiêu dùng thực hiện thanh toán hoặc chuyển tiền có thể hoặc không thể dựa trên thẻ (ví dụ: tài khoản thanh toán, chứng từ, tiền điện tử) để đổi lấy hàng hóa hoặc dịch vụ từ đơn vị chấp nhận thanh toán hoặc tổ chức kinh doanh khác. Trong một ứng dụng từ xa trên thiết bị di động, các hoạt động liên quan đến bảo mật chủ yếu là xác thực người tiêu dùng/xác nhận giao dịch và ủy quyền giao dịch.

Mặc dù đã có sự thừa nhận rằng một số giao dịch MRP được thực hiện với thẻ mua hàng và thẻ doanh nghiệp, những giao dịch này vẫn được khởi tạo và ủy quyền theo cách tương tự như giao dịch thẻ của người tiêu dùng; do đó, không cần phát triển các phương thức sử dụng khác nhau cho những trường hợp này. Tương tự, tất cả các MRP đều phải sử dụng một môi trường an toàn để bảo vệ tất cả dữ liệu giao dịch nhạy cảm và dữ liệu nhận diện cá nhân bằng cách tuân thủ các yêu cầu của 4.2 và 4.6.

5.3 Các công nghệ thanh toán di động khác

Mặc dù các công nghệ thanh toán di động khác có thể là thanh toán di động gần hoặc từ xa, những công nghệ này khác biệt đáng kể so với các mạng thanh toán truyền thống hoặc NFC. Một số công nghệ thanh toán di động được thảo luận trong tiểu mục này bao gồm các phương thức không phải thanh toán qua mạng truyền thống, chẳng hạn như các phương thức thanh toán nhanh (mã QR), tin nhắn văn bản ngắn, thời gian phát sóng di động, ví di động.

5.3.1 Thanh toán dựa trên mã phản hồi nhanh (QR)

Đây là các khoản thanh toán di động được khởi xướng bởi người tiêu dùng thông qua mã QR tuân thủ các yêu cầu của TCVN 7322 (ISO/IEC 18004). Trong một số trường hợp, mã QR được sử dụng thông qua một ứng dụng để có được sự ủy quyền thanh toán thẻ truyền thống; trong những trường hợp khác, mã QR được sử dụng thông qua một ứng dụng để xác thực người tiêu dùng và cung cấp cho họ quyền truy cập vào công cụ thanh toán. Mã QR có thể hiển thị trên màn hình thiết bị di động hoặc tại thiết bị POI.

5.3.2 Thanh toán di động qua tin nhắn văn bản ngắn (SMS)

Các khoản thanh toán di động này, hoặc thành phần của giao dịch thanh toán, được thực hiện qua tin nhắn SMS. Tin nhắn văn bản có thể được sử dụng để xác nhận thông tin thanh toán, thông tin tài khoản hoặc xác thực người tiêu dùng đôi khi thông qua việc sử dụng mã thông báo. SMS không sử dụng bất kỳ mã hóa dữ liệu.

Loại thanh toán di động này được sử dụng tại một số nơi trên thế giới (ví dụ: Châu Á, Châu Phi và Hoa Kỳ) và có thể được sử dụng để chuyển tiền (đối với thanh toán cho cá nhân và thanh toán cho doanh nghiệp).

5.3.3 Thanh toán di động qua phát sóng di động

Loại thanh toán di động này hiện đang được sử dụng tại nhiều thị trường, đặc biệt là ở các thị trường đang phát triển. Thời gian phát sóng di động thường được sử dụng để thay thế cho việc thiếu cơ sở hạ tầng ngân hàng và cung cấp quyền truy cập vào MFS thông qua các ứng dụng cụ thể cho phép những người không có tài khoản ngân hàng tiếp cận các dịch vụ tài chính. Một ví dụ chung cho việc thanh toán di động qua thời gian sử dụng điện thoại di động là cho phép người tiêu dùng thanh toán cho hàng hóa dịch vụ thông qua việc sử dụng đơn vị thời gian phát sóng di động của mình do MNO của người tiêu dùng/ khách hàng lập hóa đơn, dưới dạng gói trả trước hoặc trả sau theo hợp đồng hàng tháng. Việc thanh toán yêu cầu một mối quan hệ kinh doanh giữa MNO/MFSP và các nhà bán lẻ.

5.3.4 Ví di động

Một "ví di động" được hiểu là một thiết bị di động được sử dụng như một thay thế cho ví vật lý. Tất cả các thông tin tài chính liên quan (ví dụ: số tài khoản do ngân hàng hoặc không phải ngân hàng cấp, số thẻ tín dụng) có thể được lưu trữ trên thiết bị di động thực tế hoặc từ xa (xem TCVN 14488- 1 (ISO 12812-1)); người tiêu dùng phải có thiết bị di động để giao dịch diễn ra và có thể thực hiện tất cả các xác thực cần thiết theo yêu cầu của MFSP. Các thanh toán di động có thể được thực hiện qua công nghệ NFC trong thiết bị di động trong mô phỏng thẻ máy chủ; thiết bị được đưa tới (gõ hoặc chạm vào hoặc đi qua) một thiết bị đầu cuối tại một địa điểm kinh doanh bán lẻ để thanh toán. Các công nghệ khác cho ứng dụng thanh toán ví di động có thể được định vị từ xa hoặc dựa trên đám mây (ví dụ: sử dụng máy chủ bảo mật), trong đó ứng dụng được người tiêu dùng truy cập bằng trình duyệt trên thiết bị di động.

Đối với thanh toán qua ví di động, người tiêu dùng mở một ứng dụng đã được cài đặt hoặc tải về trên thiết bị di động của mình, hoặc truy cập qua trình duyệt internet di động khi được yêu cầu thực hiện thanh toán tại một POS hoặc từ xa. Ứng dụng trên thiết bị sẽ kết nối với ứng dụng đã được tải về, ứng dụng này được nạp sẵn thông tin tài khoản/thanh toán của người tiêu dùng. Giao dịch được xử lý thông qua một MFSP/đối tác thứ ba hoặc đơn vị chấp nhận thanh toán và qua các mạng thanh toán tương ứng (ví dụ: tín dụng, ghi nợ, ACH, trả trước, khác).

Sau đó, người tiêu dùng chọn phương thức thanh toán mong muốn (ví dụ: tiền di động, thanh toán qua thẻ, thanh toán qua máy chủ bảo mật, bao gồm cả QR) từ các ứng dụng khác nhau đã được tải trước vào thiết bị di động (hoặc lưu trữ riêng trong ví trên thiết bị di động), hoặc ứng dụng mà người tiêu dùng đã sắp xếp để truy cập qua trình duyệt internet, ứng dụng đã chọn sẽ hướng dẫn SE hoặc nhà cung cấp dịch vụ đám mây cung cấp thông tin tài khoản liên quan đến ứng dụng đó, có thể truy cập trên thiết bị di động của người tiêu dùng. Với NFC, khi người tiêu dùng "chạm" thiết bị di động của mình vào thiết bị POI, bộ vi xử lý NFC của thiết bị di động sẽ nhập "chế độ mô phỏng thẻ bảo mật," đây là một trong ba chế độ vận hành được hỗ trợ bởi các chip hoạt động sau đó truy cập SE để chọn thông tin tài khoản của người tiêu dùng. Chip NFC truyền tải thông tin thanh toán đến thiết bị đầu cuối chờ thanh toán, sau đó được truyền vào mạng xử lý thẻ. Trong tất cả các trường hợp, giao dịch thanh toán sẽ được ghi lại trong ứng dụng ví di động của người tiêu dùng.

6 Các công cụ thanh toán

Với một chương trình MFS "mở", các công cụ thanh toán hiện có có thể được chia thành ba loại sau: ghi nợ trực tiếp, chuyển khoản tín dụng (bao gồm tài khoản ngân hàng hoặc tài khoản không phải ngân hàng) và thẻ trả trước (ví dụ: thẻ tín dụng, thẻ ghi nợ, thẻ trả trước).

CHÚ THÍCH: Tất cả các công cụ thanh toán được thảo luận trong điều này là những công cụ thanh toán hiện có và không phải là đặc trưng của môi trường thanh toán di động (xem Phụ lục C, TCVN 14488-1:2025 (ISO 12812-1:2017).

Từ chương trình MFS "đóng" sử dụng cùng các công cụ thanh toán chuẩn, nhưng không tương thích với các tùy chọn chương trình mở, trừ khi hai hoặc nhiều MFSP đồng ý hợp tác và chia sẻ các chương trình của mình, điều này sẽ làm cho các MFS “đóng” trở nên "mở" giữa các MFSP tham gia (xem TCVN 14488-4 (ISO/TS 12812-4), khuyến khích các thỏa thuận như vậy). Một dạng công cụ thanh toán khác là ví di động, có thể hoạt động như một công cụ thanh toán độc lập (ví dụ: tiền di động) hoặc là phương tiện chứa các công cụ thanh toán khác.

Trong lĩnh vực xử lý thanh toán, vai trò của các định dạng dữ liệu và tin nhắn được sử dụng để trao đổi thông tin giữa các đơn vị chấp nhận thanh toán, các tổ chức thanh toán của đơn vị chấp nhận thanh toán và các MFSP có thể được so sánh với vai trò của ngôn ngữ trong giao tiếp giữa con người. Mỗi chương trình thanh toán đều có một bộ quy tắc và tiêu chuẩn kỹ thuật riêng để thực hiện các giao dịch thanh toán, do MFSP thiết lập. Những quy tắc này cần được các bên tham gia chương trình tuân thủ. Các quy tắc này giống như những cuốn sách hướng dẫn, giúp các bên hiểu rõ cách thức chuyển tiền từ tài khoản này sang tài khoản khác (ví dụ: từ tài khoản A sang tài khoản B).

Như đã nêu trong Điều 5.1, nếu thiết bị di động trao đổi dữ liệu giao dịch với thiết bị POI sao cho giao dịch được xử lý theo cách tương thích với việc xử lý thẻ ghi nợ và thẻ tín dụng trong chế độ mô phỏng thẻ (ví dụ: ISO 8583, ISO 20022) thì thiết bị di động có khả năng xử lý việc trao đổi dữ liệu giao dịch thẻ. Trong trường hợp các chương trình chuyển khoản tín dụng hoặc ghi nợ trực tiếp, một số định dạng dữ liệu/tin nhắn được chuẩn hóa theo ISO 20022, tiêu chuẩn kho dữ liệu chứa thông tin giao dịch trong ngôn ngữ đánh dấu chung (ví dụ: XML), được sử dụng trong chuỗi cung ứng tài chính, nhằm tạo điều kiện cho việc giao tiếp giữa các bên trong các thị trường tài chính. Ví dụ, trong trường hợp của Liên minh Châu Âu, các định dạng dữ liệu chuyển khoản tín dụng SEPA (SCT) và ghi nợ trực tiếp SEPA được xây dựng theo ISO 20022. Tuy nhiên, ở Hoa Kỳ và các nơi khác, các giao dịch này có thể yêu cầu dữ liệu và tin nhắn theo ISO 8583, hoặc các chuyển khoản dựa trên quy tắc hoạt động của NACHA quản lý mạng ACH (gọi chung là “chuyển khoản tín dụng”). Đối với các giao dịch thẻ, ISO 8583 và ISO 20022 chỉ rõ các dữ liệu/tin nhắn mà qua đó các giao dịch này được ủy quyền giữa đơn vị chấp nhận thanh toán, người mua và tổ chức phát hành thẻ. Tại Hoa Kỳ, có nhiều mạng xử lý thẻ khác nhau, một số là hệ thống mở (ví dụ: VisaNet, BankNet), hệ thống khép kín (ví dụ: American Express, Discover, các hệ thống thẻ trả trước cá nhân). Trong các giao dịch thẻ ở Châu Âu (SEPA cards), việc thanh toán Euro và rút tiền mặt diễn ra một cách đồng nhất giữa các quốc gia trong khu vực SEPA.

CHÚ THÍCH: Hệ thống mở cũng được gọi là "mô hình hợp tác giữa các nhà cung cấp MFS" và hệ thống khép kín cũng được gọi là "mô hình trung tâm" (xem TCVN 14488-1:2025 (ISO 12812-1:2017), Phụ lục B).

Tiêu chuẩn này tận dụng các tiêu chuẩn hiện có khi xác định quy trình thanh toán di động cho doanh nghiệp. Đối với mỗi loại thanh toán (ví dụ: thanh toán di động gần tại một địa điểm, thanh toán mua sắm trực tuyến), tiêu chuẩn này xác định và mô tả các hệ thống mở có thể tương tác sử dụng bằng một hoặc nhiều công cụ thanh toán tiêu chuẩn hóa (ví dụ: chuyển khoản tín dụng từ tài khoản ngân hàng hoặc không phải ngân hàng, thẻ ghi nợ, thẻ tín dụng hoặc thẻ trả trước).

CHÚ THÍCH: Các công cụ thanh toán được định nghĩa trong TCVN 14488-1 (ISO 12812-1): mọi tham chiếu đến thuật ngữ trong tiêu chuẩn này là nhất quán.

6.1 Ghi nợ trực tiếp

Chương trình ghi nợ trực tiếp dựa trên khái niệm sau: “Yêu cầu tiền từ ai đó, với sự chấp thuận trước của họ, và ghi có tài khoản của mình.” Người trả tiền (người tiêu dùng) và người nhận tiền (doanh nghiệp hoặc đơn vị chấp nhận thanh toán) mỗi người phải có một tài khoản với MFSP (có thể là MFSP khác nhau đối với người trả tiền và người nhận tiền), trừ khi giao dịch thực sự là chuyển khoản tín dụng (xem 6.2). Công cụ thanh toán ghi nợ trực tiếp cho phép người tiêu dùng ủy quyền cho một doanh nghiệp tự động thu tiền từ tài khoản của họ, sau khi đã có sự đồng ý trước của người tiêu dùng, người tiêu dùng có thể yêu cầu MFSP của mình không chấp nhận bất kỳ khoản thu nợ trực tiếp nào vào tài khoản của mình.

6.2 Chuyển khoản ghi có

Chương trình chuyển khoản tín dụng (CTP) dựa trên khái niệm sau: “Yêu cầu tiền được gửi cho ai đó, và ghi có vào tài khoản của đơn vị chấp nhận thanh toán.” CTP cho phép MFSP cung cấp một chuyển khoản tín dụng cơ bản giúp thực hiện thanh toán, xử lý và đối chiếu giao dịch (ví dụ: SEPA CT, ACH). Kịch bản này cho phép người tiêu dùng và đơn vị chấp nhận thanh toán sử dụng các MFSP khác nhau để xử lý giao dịch.

6.3 Thẻ thanh toán

Thẻ thanh toán (bao gồm thẻ ghi nợ, thẻ ghi có, thẻ trả trước và thẻ tài khoản cá nhân) cho phép người tiêu dùng (với vai trò là "người trả tiền" hoặc "chủ thẻ") sử dụng thẻ có mục đích chung thực hiện các giao dịch thanh toán và rút tiền mặt. Đồng thời, thẻ cũng giúp các doanh nghiệp nhận thanh toán (như "người nhận tiền"). Người tiêu dùng có lợi ích từ việc thẻ được chấp nhận rộng rãi, và đơn vị chấp nhận thanh toán có lợi ích từ một thị trường thẻ cạnh tranh và giúp họ chấp nhận (MFSP chấp nhận thanh toán thẻ dịch vụ chấp nhận thẻ của đơn vị chấp nhận thanh toán. MFSP phát hành thẻ cho người tiêu dùng, quản lý cơ sở dữ liệu chủ thẻ, ủy quyền và xử lý các giao dịch thanh toán. Ngoài ra, MFSP còn phát triển các chương trình thanh toán thẻ dựa trên các mô hình kinh doanh khác nhau và nhận được lợi ích từ các dịch vụ bổ sung mà họ cung cấp.

6.4 Các công cụ thanh toán khác

Hiện nay trên thị trường có các công cụ thanh toán sử dụng các kênh giao tiếp hoặc cơ sở hạ tầng thanh toán khác nhau. Các công cụ này chủ yếu dựa trên tài khoản di động (bao gồm tài khoản trả trước hoặc trả sau) hoặc thẻ giá trị lưu trữ (SVC) và/hoặc tài khoản giá trị lưu trữ (SVA). Các công cụ này có thể tương tác được hay không phụ thuộc vào việc chúng có nằm trong hệ thống thanh toán mở hay khép kín. Mức độ bảo mật và khả năng chống gian lận của các công cụ này chủ yếu phụ thuộc vào việc chúng có được liên kết với một người tiêu dùng cụ thể hay không (ví dụ: thẻ quà tặng có được đăng ký cho người tiêu dùng hay không).

CHÚ THÍCH: Như đã đề cập ở trên, tất cả các công cụ thanh toán được thảo luận trong điều này đều là các hình thức thanh toán hiện có và không phải là đặc trưng cho môi trường thanh toán di động (xem Phụ lục C, TCVN 14488-1:2025 (ISO 12812-1:2017).

6.4.1 Tài khoản hóa đơn di động

Mô hình kinh doanh chung đối với tài khoản hóa đơn di động dựa trên người tiêu dùng thanh toán cho hàng hóa hoặc dịch vụ bằng cùng một hệ thống mà họ sử dụng để thanh toán dịch vụ viễn thông di động (ví dụ: thanh toán qua nhà cung cấp dịch vụ viễn thông hoặc thanh toán qua nhà cung cấp mạng). Mặc dù các MFSP có thể cung cấp các mô hình kinh doanh tương tự cho các thuê bao của mình, nhưng họ phải đảm bảo việc ghi lại giao dịch, cung cấp thông báo và biên lai (xem 4.3, 4.4 và 4.5) để người tiêu dùng có thể dễ dàng truy cập vào tất cả thông tin cần thiết. Tùy thuộc vào loại dịch vụ mà người tiêu dùng đăng ký với MNO hoặc MFSP, các khoản thanh toán này có thể được thanh toán trước hoặc sau khi sử dụng dịch vụ.

Trong trường hợp các MFS trả trước, người tiêu dùng có thể nạp tiền vào tài khoản của mình để tiếp tục sử dụng dịch vụ. Việc nạp tiền có thể được thực hiện qua nhiều phương thức khác nhau từ MFSP như thanh toán bằng tiền mặt hoặc chuyền khoản tín dụng.

Đối với các trường hợp MFS trả sau, người tiêu dùng sẽ nhận hóa đơn thanh toán định kỳ từ MFSP theo các điều khoản đã đăng ký của dịch vụ.

MNO hoặc MFSP khác sẽ tính phí riêng cho từng giao dịch của người tiêu dùng và thực hiện chấp nhận thanh toán cho doanh nghiệp. Mô hình kinh doanh này được xác định bởi MNO hoặc MFSP. Hiện tại, tiêu chuẩn này không nêu rõ các quy tắc thanh toán cho các giao dịch loại này, mặc dù yêu cầu minh bạch đối với người tiêu dùng và đơn vị chấp nhận thanh toán có thể dẫn đến việc xem xét và giải quyết trong tương lai.

6.4.2 Tài khoản giá trị lưu trữ (SVA)

SVA là một khoản tiền mà người tiêu dùng sử dụng để thanh toán cho các giao dịch hoặc chuyển khoản tiền trả trước, khoản tiền này có thể được nạp qua thẻ, lưu trữ trên thiết bị di động hoặc lưu trong tài khoản mà người tiêu dùng truy cập thông qua thiết bị di động. Trong trường hợp này, tiền được chuyển từ tài khoản của người tiêu dùng (người trả tiền) sang tài khoản của đơn vị chấp nhận thanh toán hoặc tài khoản của MFSP, sau đó MFSP sẽ thanh toán cho đơn vị chấp nhận thanh toán. Có nhiều mô hình kinh doanh khác nhau dành cho MFSP phát hành và quản lý SVA.

7 Các trường hợp sử dụng

Về cơ bản, tất cả các công cụ thanh toán đều có thể phù hợp để sử dụng với tất cả các loại thanh toán di động gần (MPP), cũng như với tất cả các loại thanh toán di động từ xa (MRP). Tuy nhiên, có nhiều yếu tố ảnh hưởng đến việc MFSP xác định công cụ thanh toán phù hợp để sử dụng trong chương trình thanh toán của mình. Tùy thuộc vào loại hình thanh toán cụ thể, một công cụ thanh toán này có thể phù hợp hơn công cụ thanh toán khác. Các MFSP cung cấp dịch vụ cho các thanh toán di động gần hoặc thanh toán di động từ xa cần nhận thức rõ yêu cầu về việc ghi lại thông tin giao dịch, thông báo và biên lai (xem 4.3, 4.4 và 4.5), để đảm bảo rằng người tiêu dùng có thể truy cập đầy đủ thông tin cần thiết. Hơn nữa, tất cả các yêu cầu này có thể phải tuân thủ các luật và quy định quốc gia hoặc địa phương

CHÚ THÍCH: Các trường hợp sử dụng được đưa vào tiêu chuẩn này chỉ nhằm mục đích minh họa và không loại trừ khả năng phát triển các trường hợp sử dụng khả thi khác. Như đã đề cập trong lời giới thiệu, tiêu chuẩn này không có mục đích thúc đẩy công nghệ cho bất kỳ ứng dụng cụ thể nào hoặc hạn chế sự phát triển của các công nghệ hoặc giải pháp trong tương lai.

7.1 Trường hợp sử dụng thanh toán di động gần

7.1.1 Phương pháp kiểm tra xác thực người tiêu dùng

Trong nhiều trường hợp của thanh toán di động gần (MPP), thẻ được sử dụng như công cụ thanh toán. Do đó, khi thanh toán di động gần sử dụng thẻ, bao gồm cả thẻ giá trị lưu trữ và thẻ tín dụng/ghi nợ, chúng được gọi là “thanh toán thẻ di động không tiếp xúc” (MCP) trong phần này.

Môi trường MPP cung cấp một số tính năng bổ sung có thể được khai thác cho các thanh toán thẻ không tiếp xúc liên quan đến phương pháp xác thực người tiêu dùng (UVM), so với các thanh toán thẻ không tiếp xúc sử dụng thẻ tích hợp mạch “vật lý” (chip). Trong trường hợp thẻ chip, vì lý do bảo mật, bất kỳ UVM nào (như mã PIN ngoại tuyến) yêu cầu xác thực ngoài mạng thông qua thẻ không tiếp xúc đều không được phép tại thiết bị POI. Với thanh toán di động, một số tính năng của thiết bị di động như bàn phím, có thể được sử dụng để nhập UVM.

Nhiều thiết bị di động được coi là "thiết bị cá nhân", được cho là ít bị tấn công vật lý so với các thiết bị "công cộng". Tuy nhiên, các mối đe dọa bảo mật tổng thể đối với bất kỳ thiết bị di động nào vẫn giống như các mối đe dọa đối với máy tính cá nhân, bao gồm các mối đe dọa từ phần mềm độc hại, lừa đảo qua email, v.v. Do đó, những người triển khai các giải pháp thanh toán di động cho doanh nghiệp cần tuân thủ các yêu cầu của 4.2 và 4.6 và nên xem xét các yêu cầu và hướng dẫn có trong TCVN 14488-2 (ISO/TS 12812-2).

Cũng như các trường hợp khác, sự phân biệt giữa các giao dịch trực tuyến và ngoại tuyến cần được xem xét và được trình bày trong Bảng 1.

Bảng 1 - Phân biệt giữa giao dịch trực tuyến và ngoại tuyến

	Không có UVM	UVM trực tuyến	UVM ngoại tuyến
Giao dịch trực tuyến	Có	Có	Có
Giao dịch ngoại tuyến	Có	Không	Có

Việc xác thực người tiêu dùng (theo TCVN 14488-1 (ISO 12812-1) chủ yếu được áp dụng trong quản lý rủi ro giao dịch. Hiện nay, UVM chủ yếu được sử dụng cho các giao dịch thanh toán thẻ không tiếp xúc, tùy theo quy định của ứng dụng thanh toán thẻ của MFSP hoặc chương trình thanh toán/thẻ của nhà cung cấp. Thông thường, chỉ những giao dịch có giá trị cao mới yêu cầu sử dụng UVM. Trong trường hợp MCP, sự lựa chọn của người tiêu dùng có thể ảnh hưởng đến việc sử dụng UVM. Những người triển khai các trường hợp sử dụng cụ thể có thể tham khảo theo các chuẩn SEPA/EPC và EMV, cụ thể là tài liệu của Hội đồng Thanh toán Châu Âu (EPC), mã tài liệu 492.09 Phiên bản 4.0.

CHÚ THÍCH: Mỗi sự kết hợp trong Bảng 1 sẽ được phân tích trong 7.1.2 và 7.1.3. Các con số được cung cấp chỉ tập trung vào việc xử lý UVM và không bao gồm quá trình xử lý giao dịch (giao dịch trực tuyến và ngoại tuyến).

7.1.2 Một trạm: Phân tích UVM

Người tiêu dùng thực hiện một chạm với thiết bị di động của mình để thực hiện giao dịch MCP, bao gồm các bước sau:

1) Lựa chọn công nghệ (thanh toán thẻ không tiếp xúc);

2) Lựa chọn ứng dụng (ứng dụng MCP);

3) Truy xuất dữ liệu MCP.

Dựa trên phân tích rủi ro MCP/POI, một giao dịch trực tuyến hoặc ngoại tuyến sẽ được thực hiện, có thể liên quan đến việc sử dụng UVM.

7.1.2.1 Giao dịch trực tuyến- Không xác thực người tiêu dùng

Hình 1 - Giao dịch trực tuyến- Không xác thực UVM

Phương pháp thanh toán này thường được áp dụng cho các giao dịch có giá trị thấp. Các bước sau sẽ được thực hiện sau khi phân tích rủi ro (xem các bước 1 đến 3 trong 7.1.2):

4) Xác thực/ủy quyền ứng dụng MCP trực tuyến; và

5) Hoàn tất giao dịch.

Trong trường hợp này (xem Hình 1), luồng giao dịch giống như một giao dịch MCP trực tuyến không có UVM, trong đó một chạm thực hiện việc chuyển dữ liệu giữa thiết bị di động và thiết bị POI. Sau khi hoàn tất bước 5, tin nhắn phản hồi sẽ không được chuyển tiếp đến ứng dụng MCP trên thiết bị di động.

7.1.2.2 Giao dịch trực tuyến - Xác thực người tiêu dùng trực tuyến

Trong trường hợp này thiết bị POI sẽ yêu cầu người tiêu dùng nhập số điện thoại di động của họ (hoặc bất kỳ hình thức thông tin xác thực nào được xác định trong TCVN 14488-1 (ISO 12812-1) trên thiết bị POI. Mã di động/PIN sử dụng là mã PIN liên kết với ứng dụng “thẻ” (xem 4.2.7).

Các bước sau sẽ được thực hiện sau khi phân tích rủi ro (xem các bước 1 đến 3 trong 7.1.2):

4) Xác thực/ủy quyền ứng dụng MCP trực tuyến;

5) Xác thực chủ thẻ trực tuyến bằng mã di động nhập tại thiết bị POI;

6) Hoàn tất giao dịch.

Hình 2 - Luồng giao dịch trực tuyến- xác thực UVM trực tuyến

Luồng giao dịch (xem Hình 2) là một giao dịch trực tuyến - xác thực người tiêu dùng trực tuyến, trong đó việc chuyển dữ liệu giữa thiết bị di động và thiết bị POI được thực hiện sau 1 lần chạm. Sau khi hoàn tất bước 5, tin nhắn phản hồi sẽ không được chuyển tiếp đến ứng dụng MCP trên thiết bị di động.

7.1.2.3 Giao dịch trực tuyến - Xác thực người tiêu dùng ngoại tuyến

Trong trường hợp này (xem Hình 3), một UVM ngoại tuyến được người tiêu dùng nhập qua bàn phím của thiết bị di động. Vì lý do bảo mật, UVM này là mã di động dành riêng được cấp bởi một MFSP, trong đó việc xác thực được thực hiện qua ứng dụng MCP trong môi trường an toàn thích hợp (xem 4.2.7).

Trong trường hợp một chạm, mã di động này được nhập trước khi chạm. Bằng cách này, kết quả xác thực mã di động sẽ được chuyển tiếp trong tin nhắn xác thực/ủy quyền trực tuyến đến MFSP qua thiết bị POI thông qua lần chạm.

Các bước sau được thực hiện trong giao dịch thanh toán:

1) Xác thực chủ thẻ ngoại tuyến với mã di động nhập vào thiết bị di động;

2) Lựa chọn công nghệ;

3) Lựa chọn ứng dụng;

4) Truy xuất dữ liệu MCP;

5) Xác thực/ủy quyền ứng dụng MCP trực tuyến;

6) Hoàn tất giao dịch.

Hình 3 - Luồng giao dịch trực tuyến - xác thực UVM ngoại tuyến

Sau khi hoàn tất bước 5, tin nhắn phản hồi sẽ không được chuyển tiếp đến ứng dụng MCP trên thiết bị di động.

7.1.2.4 Giao dịch ngoại tuyến - Không xác thực người tiêu dùng

Phương pháp MPP này chủ yếu được áp dụng cho các giao dịch có giá trị thấp. Các bước sau sẽ được thực hiện sau khi phân tích rủi ro (xem các bước 1 đến 4 trong 7.1.2.3):

5) Xác thực/ủy quyền ứng dụng MCP ngoại tuyến;

6) Hoàn tất giao dịch.

Trong trường hợp luồng giao dịch ngoại tuyến MCP cùng với UVM, khi một chạm thực hiện việc chuyển dữ liệu giữa thiết bị di động và thiết bị POI.

7.1.2.5 Giao dịch ngoại tuyến - Xác thực người tiêu dùng ngoại tuyến

Tương tự như 7.1.2.3, UVM ngoại tuyến được người tiêu dùng nhập qua bàn phím của thiết bị di động. Vì lý do bảo mật, UVM này là mã di động dành riêng do MFSP cấp, trong đó việc xác thực được thực hiện qua ứng dụng MCP trong môi trường bảo mật thích hợp (xem 4.2.7).

Trong trường hợp một trạm (xem Hình 4) mã di động này được nhập trước khi chạm nhưng kết quả xác thực mã di động sẽ được chuyển tiếp trong tin nhắn xác thực/ủy quyền trực tuyến đến MFSP qua thiết bị POI.

Hình 4 - Luồng giao dịch ngoại tuyến - xác thực UVM ngoại tuyến

Các bước sau được thực hiện trong giao dịch thanh toán:

1) Xác thực chủ thẻ ngoại tuyến với mã di động nhập vào thiết bị di động;

2) Lựa chọn công nghệ (MCP);

3) Lựa chọn ứng dụng (ứng dụng MCP);

4) Truy xuất dữ liệu MCP;

5) Xác thực/ủy quyền ứng dụng MCP ngoại tuyến;

6) Hoàn tất giao dịch

7.1.3 Hai chạm-Phân tích UVM

7.1.3.1 Giao dịch trực tuyến - Xác thực người tiêu dùng ngoại tuyến

Một UVM ngoại tuyến được người tiêu dùng nhập qua bàn phím của thiết bị di động. Vì lý do bảo mật, UVM này là mã di động riêng do MFSP cấp, trong đó việc xác thực được thực hiện qua ứng dụng MCP trong môi trường bảo mật thích hợp (xem 4.2.7). (Hình 5).

Trong trường hợp hai chạm mã di động này được nhập sau lần chạm đầu tiên, và kết quả của việc xác thực mã di động sẽ được chuyển tiếp trong tin nhắn xác thực/ủy quyền trực tuyến đến MFSP của người tiêu dùng qua thiết bị POI trong lần chạm thứ hai.

Hình 5 - Hai chạm trực tuyến- Xác thực UVM ngoại tuyến

Các bước sau sẽ được thực hiện sau khi phân tích rủi ro (xem các bước 1 đến 4 trong 7.1.2.5):

5) Xác nhận chi tiết thanh toán, nhận từ thiết bị POI, người tiêu dùng sẽ nhập mã di động vào thiết bị di động của mình;

6) Xác thực/ủy quyền ứng dụng MCP trực tuyến;

7) Hoàn tất giao dịch.

Sau khi hoàn tất bước 5, tin nhắn phản hồi sẽ không được chuyển tiếp đến ứng dụng MCP trên thiết bị di động.

7.1.3.2 Giao dịch ngoại tuyến - Xác thực người tiêu dùng ngoại tuyến

Như đã thảo luận trong 7.1.3.1, một UVM ngoại tuyến được người tiêu dùng nhập qua bàn phím của thiết bị di động. Vì lý do bảo mật, UVM này là một mã di động dành riêng do MFSP cấp, trong đó việc xác thực được thực hiện qua ứng dụng MCP trong môi trường bảo mật thích hợp (xem 4.2.7).

Trong trường hợp hai chạm mã di động này được nhập sau lần chạm đầu tiên và kết quả của việc xác thực mã di động sẽ được chuyển tiếp trong tin nhắn xác thực ngoại tuyến đến thiết bị POI sau lần chạm thứ hai.

Các bước sau sẽ được thực hiện sau khi phân tích rủi ro (xem các bước 1 đến 4 trong 7.1.2.5) (Hình 6)

5) Xác nhận chi tiết thanh toán nhận từ thiết bị POI bởi người tiêu dùng qua việc xác thực thẻ ngoại tuyến với mã di động nhập vào thiết bị di động;

6) Xác thực/ủy quyền ứng dụng MCP ngoại tuyến;

7) Hoàn tất giao dịch.

Hình 6 - Hai chạm ngoại tuyến- Luồng giao dịch UVM ngoại tuyến

7.1.3.3 Các lưu ý

Nếu kết quả của giao dịch MPP cần được gửi tới thiết bị di động, sẽ cần thực hiện thêm một chạm nữa hoặc thiết bị di động sẽ phải giữ lại tại POI.

Điều này cũng áp dụng cho toàn bộ quá trình giao dịch (ví dụ, các tham số quản lý rủi ro) thực hiện qua quá trình xử lý tự động từ MFSP đến ứng dụng MCP.

CHÚ THÍCH 1: Người tiêu dùng có thể được cung cấp tùy chọn để quyết định luôn sử dụng mã di động trước lần chạm đầu tiên, nếu được hỗ trợ bởi nhà phát hành MCP.

CHÚ THÍCH 2: Trong mỗi tình huống trên, mã di động có thể được thay thế bằng một UVM ngoại tuyến khác, chẳng hạn như sinh trắc học.

Ngoài ra, một số MFSP có thể hỗ trợ việc sử dụng một "nút xác nhận" trên thiết bị di động cho các giao dịch thanh toán mà không cần UVM để cho phép người tiêu dùng xác nhận rằng giao dịch đang diễn ra.

7.1.4 Giao dịch thanh toán không tiếp xúc

Bảng 2 trình bày các loại giao dịch MCP có thể được thực hiện giữa thiết bị di động và thiết bị POI.

Những triển khai sử dụng cụ thể có thể tham khảo tài liệu của Hội đồng Thanh toán Châu Âu (EPC), mã tài liệu 492.09 Phiên bản 4.0 ^[10].

Những bên quan tâm đến cách xử lý các loại giao dịch MCP khác nhau nên tham khảo tài liệu của Hội đồng Thanh toán Châu Âu (EPC), trong trường hợp thanh toán MCP xem viện dẫn tài liệu EPC mã tài liệu 492.09 Phiên bản 4.0. ^[10]

Bảng 2 - Tổng quan về các loại giao dịch và việc sử dụng xác thực người tiêu dùng

	Giao dịch
	Ngoại tuyến		Trực tuyến
UVM	Một chạm	Hai chạm	Một chạm	Hai chạm
Trực tuyến UVM (Mã PIN trên thiết bị POI)	-	-	X	-
Ngoại tuyến UVM (Mã di động trên thiết bị di động)	X^a	X^b	X^a	X^b
Không có UVM	X	-	X	-
a Thực hiện trước khi chạm b Thực hiện giữa 2 lần chạm

7.1.4.1 Giao dịch ngoại tuyến một chạm- không xác thực UVM (tùy chọn xác thực UVM ngoại tuyến)

Hình 7 - Giao dịch ngoại tuyến một chạm- không xác thực UVM (tùy chọn xác thực UVM ngoại tuyến)

Bước 0 (Yêu cầu trước)

- Tùy chọn: người tiêu dùng nhập mã di động của mình để "mở" ứng dụng MCP trên thiết bị di động trước khi bắt đầu giao dịch (được gọi là chế độ thủ công).

- Nếu không, ứng dụng MCP sẽ được chọn mà không cần nhập mã di động (được gọi là chế độ tự động).

- Đơn vị chấp nhận thanh toán nhập số tiền giao dịch vào thiết bị POI.

Bước 1

- Giao dịch thanh toán được hiển thị trên thiết bị POI.

- Thiết bị POI yêu cầu thanh toán thẻ.

Bước 2

- Người tiêu dùng đưa thiết bị di động của mình đến khu vực đọc thẻ không tiếp xúc (người tiêu dùng sẽ giữ thiết bị di động gần khu vực đọc thẻ cho đến khi có tín hiệu âm thanh và/hoặc tín hiệu hiển thị được).

- Thiết bị POI chọn công nghệ không tiếp xúc.

- Thiết bị POI kiểm tra các ứng dụng có sẵn và chọn ứng dụng MCP phù hợp trong môi trường bảo mật của MPP.

- Đầu đọc thẻ không tiếp xúc và ứng dụng MCP xác định xử lý thích hợp cho giao dịch, bao gồm việc phân tích và áp dụng các tham số quản lý rủi ro liên quan. Bước này liên quan đến UVM sẽ quyết định có dùng UVM hay không.

- Một tín hiệu âm thanh và/hoặc tín hiệu hiển thị sẽ báo hiệu rằng thiết bị di động đã được đưa đến khu vực đọc thẻ không tiếp xúc. Sau khi giao dịch hoàn tất, thiết bị di động có thể được rút ra khỏi khu vực đọc thẻ không tiếp xúc.

CHÚ THÍCH: Quá trình giao dịch trên thiết bị POI có thể vẫn tiếp tục.

- Xác thực/ủy quyền ứng dụng MCP ngoại tuyến được thực hiện bởi thiết bị POI.

- Sau khi xác thực/ủy quyền ngoại tuyến, thiết bị POI hiển thị thông báo phê duyệt hoặc từ chối giao dịch.

- Thông tin về giao dịch hiện tại (ví dụ: giao dịch thanh toán) được lưu vào tệp nhật ký MCP và có thể hiển thị trên thiết bị di động.

Bước 3

- Đơn vị chấp nhận thanh toán được thông báo kết quả của giao dịch.

- Người tiêu dùng được thông báo kết quả của giao dịch.

- Tùy thuộc vào số tiền giao dịch, thiết bị POI có thể in biên lai cho người tiêu dùng lựa chọn.

CHÚ THÍCH: Xem 4.4 và 4.5 để biết thêm chi tiết về việc phát hành biên lai và thông báo cho người tiêu dùng, bao gồm cả thông tin về tình trạng pháp lý của thanh toán.

7.1.4.2 Giao dịch trực tuyến một chạm- Không xác thực người tiêu dùng

Hình 8 - Giao dịch trực tuyến một chạm- Không xác thực người tiêu dùng

Bước 0 (Yêu cầu trước)

- Đơn vị chấp nhận thanh toán nhập số tiền giao dịch vào thiết bị POI.

Bước 1

- Số tiền giao dịch được hiển thị trên thiết bị POI.

- Thiết bị POI yêu cầu thanh toán bằng thẻ.

Bước 2

- Người tiêu dùng chạm (lần đầu tiên) thiết bị di động vào khu vực đọc thẻ không tiếp xúc. (người tiêu dùng giữ thiết bị di động gần khu vực đọc thẻ không tiếp xúc cho đến khi có âm thanh báo hiệu và/hoặc tín hiệu hiển thị.)

- Thiết bị POI chọn công nghệ đọc thẻ không tiếp xúc.

- Thiết bị POI kiểm tra các ứng dụng có sẵn và chọn ứng dụng MCP thích hợp thông qua môi trường bảo mật của ứng dụng MPP.

- Đầu đọc thẻ không tiếp xúc và ứng dụng MCP xác định việc xử lý thích hợp cho giao dịch, bao gồm việc phân tích và áp dụng các tham số quản lý rủi ro liên quan. Bước này liên quan đến UVM sẽ quyết định có dùng UVM hay không.

- Một tín hiệu âm thanh và/hoặc tín hiệu hiển thị sẽ báo hiệu rằng thiết bị di động đã hoàn tất việc trao đổi dữ liệu với đầu đọc thẻ không tiếp xúc. Sau đó, thiết bị di động có thể được rút ra khỏi khu vực đọc thẻ không tiếp xúc.

CHÚ THÍCH: Quá trình giao dịch trên thiết bị POI có thể vẫn tiếp tục.

- Xác thực ứng dụng MCP ngoại tuyến được thực hiện tùy chọn bởi thiết bị POI.

- Xác thực ứng dụng MCP trực tuyến được thực hiện bởi thiết bị POI.

- Người tiêu dùng sau đó rút thiết bị di động ra khỏi khu vực đọc thẻ không tiếp xúc.

- Thông tin về giao dịch hiện tại (ví dụ: giao dịch trực tuyến yêu cầu số tiền giao dịch) được lưu vào tệp nhật ký của ứng dụng MCP và có thể hiển thị trên thiết bị di động.

- Đầu đọc thẻ không tiếp xúc truyền tải toàn bộ thông tin giao dịch đến thiết bị POI.

Bước 3

- Sau khi xử lý xác thực trực tuyến, thiết bị POI hiển thị thông báo phê duyệt hoặc từ chối giao dịch.

Bước 4

- Đơn vị chấp nhận thanh toán được thông báo kết quả của giao dịch.

- Người tiêu dùng được thông báo kết quả của giao dịch.

- Tùy thuộc vào số tiền giao dịch, thiết bị POI có thể in biên lai cho người tiêu dùng.

7.1.4.3 Giao dịch ngoại tuyến hai chạm- xác thực người tiêu dùng ngoại tuyến

Bước 0 (Yêu cầu trước)

- Đơn vị chấp nhận thanh toán nhập số tiền giao dịch vào thiết bị POI.

Bước 1

- Số tiền giao dịch được hiển thị trên thiết b| POI.

- Thiết bị POI yêu cầu thanh toán bằng thẻ.

Hình 9 - Giao dịch ngoại tuyến hai chạm- xác thực người tiêu dùng ngoại tuyến

Bước 2

- Người tiêu dùng đưa thiết bị di động của mình vào khu vực đọc thẻ không tiếp xúc (người tiêu dùng giữ thiết bị di động gần khu vực đọc thẻ không tiếp xúc cho đến khi có tín hiệu âm thanh và/hoặc tín hiệu hiển thị được).

- Thiết bị POI chọn công nghệ không tiếp xúc.

- Thiết bị POI kiểm tra các ứng dụng có sẵn và chọn ứng dụng MCP phù hợp qua môi trường bảo mật của ứng dụng MPP.

- Một tín hiệu âm thanh và/hoặc tín hiệu hiển thị sẽ báo hiệu rằng giao dịch “một phần” đã hoàn tất và người tiêu dùng sẽ được yêu cầu nhập mã di động để hoàn tất giao dịch thanh toán gần.

- Người tiêu dùng sau đó rút thiết bị di động ra khỏi khu vực đọc thẻ không tiếp xúc.

Bước 3

- Người tiêu dùng kiểm tra số tiền mua và nhập mã di động của mình vào thiết bị di động.

- Sau khi xác thực mã di động thành công, một thông báo sẽ được hiển thị trên thiết bị di động yêu cầu người tiêu dùng đưa lại thiết bị di động vào khu vực đọc thẻ không tiếp xúc.

Bước 4

- Người tiêu dùng chạm lại, chạm lần thứ hai thiết bị di động vào khu vực đọc thẻ không tiếp xúc.

- Một tín hiệu âm thanh và/hoặc tín hiệu hiển thị sẽ báo hiệu rằng giao dịch với đầu đọc thẻ không tiếp xúc đã hoàn tất. Sau đó, thiết bị di động có thể được rút ra khỏi khu vực đọc thẻ không tiếp xúc.

CHÚ THÍCH 1: Quá trình giao dịch trên thiết bị POI có thể vẫn tiếp tục.

- Xác thực/ủy quyền ứng dụng MCP ngoại tuyến được thực hiện bởi thiết bị POI.

- Sau khi xác thực ngoại tuyến, thiết bị POI hiển thị thông báo phê duyệt hoặc từ chối giao dịch.

- Thông tin về giao dịch hiện tại (ví dụ: số tiền giao dịch) được lưu vào tệp nhật ký ứng dụng MCP và có thể hiển thị trên thiết bị di động.

Bước 5

- Đơn vị chấp nhận thanh toán được thông báo kết quả giao dịch.

- Người tiêu dùng được thông báo kết quả giao dịch.

- Tùy thuộc vào số tiền giao dịch, đặc tính của POI và lựa chọn của người tiêu dùng thiết bị POI có thể in biên lai cho người tiêu dùng.

CHÚ THÍCH 2: Xem 4.4 và 4.5 để biết thêm chi tiết về việc phát hành biên lai và thông báo cho người tiêu dùng, bao gồm cả thông tin về tình trạng pháp lý của thanh toán.

CHÚ THÍCH 3: Giao dịch hai chạm là một tùy chọn triển khai. Nó có thể được coi là một giao dịch hai bước hoặc hai giao dịch, một giao dịch khởi tạo và một là giao dịch thanh toán.

7.1.4.4 Giao dịch trực tuyến hai chạm- xác thực người tiêu dùng ngoại tuyến

Bước 0 (Yêu cầu trước)

- Đơn vị chấp nhận thanh toán nhập số tiền giao dịch vào thiết bị POI.

Bước 1

- Số tiền giao dịch được hiển thị trên thiết bị POI.

- Thiết bị POI yêu cầu thanh toán bằng thẻ.

Hình 10 - Giao dịch trực tuyến hai chạm- xác thực người tiêu dùng ngoại tuyến

Bước 2

- Thiết bị POI chọn công nghệ đọc thẻ không tiếp xúc.

- Thiết bị POI kiểm tra các ứng dụng có sẵn và chọn ứng dụng MCP thích hợp thông qua môi trường bảo mật của ứng dụng MPP.

- Đầu đọc thẻ không tiếp xúc và ứng dụng MCP cùng nhau xác định quy trình thích hợp cho giao dịch, bao gồm phân tích và áp dụng các tham số quản lý rủi ro có liên quan. Trong trường hợp này, người ta xác định rằng yêu cầu là một giao dịch ngoại tuyến UVM (mã di động).

- Một âm thanh báo hiệu đặc biệt và/hoặc tín hiệu hiển thị rõ ràng chỉ ra rằng giao dịch "một phần" đã hoàn tất.

- Người tiêu dùng được yêu cầu nhập mã di động của mình theo điều kiện UVM.

- Người tiêu dùng được yêu cầu nhập mã của mình trên thiết bị di động hoặc trên thiết bị POI để hoàn tất giao dịch.

- Người tiêu dùng sau đó lấy thiết bị di động ra khỏi khu vực đọc thẻ không tiếp xúc.

Bước 3

- Người tiêu dùng kiểm tra số tiền mua và nhập mã di động của mình trên thiết bị di động.

- Sau khi xác minh mã di động thành công, một thông báo sẽ hiển thị trên thiết bị di động, yêu cầu người tiêu dùng chạm lại thiết bị di động vào khu vực đọc thẻ không tiếp xúc.

Bước 4

- Người tiêu dùng chạm lại (chạm lần thứ hai) thiết bị di động vào khu vực đọc thẻ không tiếp xúc.

- Một âm thanh báo hiệu và/hoặc tín hiệu hiển thị rõ ràng chỉ ra rằng thiết bị di động đã hoàn thành việc giao tiếp với khu vực đọc thẻ không tiếp xúc. Sau đỏ, thiết bị di động có thể được tháo ra khỏi khu vực đọc thẻ không tiếp xúc.

CHÚ THÍCH 1: Quá trình giao dịch tại POI có thể vẫn tiếp tục.

- Xác thực ứng dụng MCP ngoại tuyến có thể được thực hiện tại POI.

- Ủy quyền ứng dụng MCP trực tuyến được thực hiện tại POI.

- Thông tin về giao dịch hiện tại (ví dụ: số tiền giao dịch) được lưu trữ trong nhật ký ứng dụng MCP và có thể hiển thị trên thiết bị di động.

Bước 5

- Sau khi xử lý ủy quyền trực tuyến, thiết bị POI hiển thị thông báo phê duyệt hoặc từ chối.

Bước 6

- Đơn vị chấp nhận thanh toán được thông báo kết quả giao dịch.

- Người tiêu dùng được thông báo kết quả giao dịch.

- Tùy thuộc vào số tiền giao dịch các tính năng của thiết bị POI và lựa chọn của người tiêu dùng có thể in biên lai cho người tiêu dùng.

CHÚ THÍCH 3: Giao dịch hai chạm là một tùy chọn triển khai. Nó có thể được xem là một giao dịch hai bước hoặc hai giao dịch riêng biệt, đó là giao dịch khởi tạo và sau đó là giao dịch thanh toán.

7.1.4.5 Giao dịch trực tuyến một chạm- xác thực người tiêu dùng trực tuyến

Bước 0 (Yêu cầu trước)

- Đơn vị chấp nhận thanh toán nhập số tiền giao dịch vào thiết bị POI.

Bước 1

- Số tiền giao dịch được hiển thị trên thiết bị POI.

- Thiết bị POI yêu cầu thanh toán bằng thẻ.

Bước 2

- Người tiêu dùng chạm thiết bị di động vào khu vực đọc thẻ không tiếp xúc. (người tiêu dùng giữ thiết bị di động gần khu vực đọc thẻ không tiếp xúc cho đến khi có âm thanh báo hiệu và/hoặc tín hiệu hiển thị.)

- Thiết bị POI chọn công nghệ đọc thẻ không tiếp xúc.

- Thiết bị POI kiểm tra các ứng dụng có sẵn và chọn ứng dụng MCP thích hợp thông qua môi trường bảo mật của ứng dụng MPP.

- Đầu đọc thẻ không tiếp xúc và ứng dụng MCP cùng nhau xác định quy trình xử lý thích hợp cho giao dịch, bao gồm phân tích và áp dụng các tham số quản lý rủi ro có liên quan. Trong trường hợp này, người ta xác định rằng yêu cầu là một giao dịch trực tuyến có UVM.

- Một âm thanh báo hiệu đặc biệt và/hoặc tín hiệu hiển thị rõ ràng chỉ ra rằng giao dịch "một phần" đã hoàn tất.

- Người tiêu dùng được yêu cầu nhập mã di động của mình theo điều kiện UVM.

- Người tiêu dùng nhập mã di động (trên thiết bị di động hoặc trên thiết bị POI theo lời nhắc để hoàn tất giao dịch; xem 4.2.7).

- Người tiêu dùng sau đó tháo thiết bị di động ra khỏi khu vực đọc thẻ không tiếp xúc.

- Việc xác thực ứng dụng MCP ngoại tuyến có thể được thực hiện tại POI.

- Ủy quyền ứng dụng MCP trực tuyến được thực hiện tại POI.

- Thông tin về giao dịch hiện tại (ví dụ: giao dịch trực tuyến yêu cầu số tiền giao dịch) được lưu trữ trong nhật ký ứng dụng MCP và có thể hiển thị trên thiết bị di động.

- Đầu đọc thẻ không tiếp xúc truyền tất cả thông tin giao dịch tới thiết bị POI.

Hình 11 - Giao dịch trực tuyến một chạm - xác thực người tiêu dùng trực tuyến

Bước 3

- Người tiêu dùng kiểm tra số tiền mua và nhập mã di động trên thiết bị POI (xem 4.2.7).

- Sau khi xử lý ủy quyền trực tuyến, thiết bị POI hiển thị thông báo phê duyệt hoặc từ chối.

Bước 4

- Đơn vị chấp nhận thanh toán được thông báo kết quả giao dịch.

- Người tiêu dùng được thông báo kết quả giao dịch.

- Tùy thuộc vào số tiền giao dịch các tính năng của thiết bị POI và lựa chọn của người tiêu dùng có thể in biên lai cho người tiêu dùng.

7.1.5 Quản lý rủi ro trong thanh toán di động gần

Môi trường di động cung cấp nhiều tính năng bổ sung có thể tận dụng cho các thanh toán thẻ di động gần so với các thanh toán thẻ không tiếp xúc bằng thẻ chip "vật lý". Cụ thể, môi trường di động cung cấp giao diện người tiêu dùng (ví dụ: bàn phím, màn hình) để thiết lập phương pháp kiểm tra xác nhận UVM, thiết lập các giao dịch yêu cầu xác minh người tiêu dùng (ví dụ phương pháp kiểm tra xác nhận khách hàng sử dụng nhiều thương hiệu thẻ hoặc EMV). Trong trường hợp này, phương pháp kiểm tra xác nhận người tiêu dùng được gọi là phương pháp xác minh chủ thẻ (CVM).

Một số nội dung được mô tả trong điều này chỉ áp dụng cho các ví dụ về phương pháp kiểm tra chủ thẻ nhưng thuật ngữ chung là phương pháp xác minh người tiêu dùng. Tương tự, mạng không dây (OTA) là một phương thức bổ sung mà MFSP có thể sử dụng để quản lý ứng dụng, bao gồm các tham số rủi ro, giúp giảm sự phụ thuộc vào các tính năng của thiết bị POI.

Từ góc độ quản lý rủi ro, việc phân biệt giữa các giao dịch trực tuyến và ngoại tuyến là rất quan trọng. Vì vậy, có một số tham số rủi ro được sử dụng. Những tham số này được thiết lập bởi MFSP hoặc bên phía người mua theo chương trình thanh toán MFS

Thêm vào đó, ứng dụng có một bộ tính năng quản lý rủi ro, như các bộ đếm và giới hạn, sẽ được sử dụng để quyết định xem có chấp nhận giao dịch hay không. Mục đích của phần này là trình bày các tham số quản lý rủi ro cho các giao dịch thanh toán di động.

Hơn nữa, mọi giới hạn được thiết lập cần phải tính đến các rủi ro mà người tiêu dùng có thể nhận thấy. Vì vậy, các giới hạn này cần phải cho phép người tiêu dùng điều chỉnh nếu họ cảm thấy cần thiết.

7.1.5.1 Yếu tố hình thức

Một số chức năng có thể yêu cầu xác định hình thức của thiết bị thanh toán, ví dụ như thẻ vật lý hoặc thiết bị di động, được sử dụng trong giao dịch.

Vì vậy, ứng dụng sẽ bao gồm yếu tố dữ liệu để chỉ ra loại chức năng này. Nếu yếu tố dữ liệu này ảnh hưởng đến giao dịch, nó phải đáng tin cậy và cần phải được xác thực.

Ngoài các chức năng cụ thể liên quan đến từng loại thiết bị, ứng dụng cũng có thể bao gồm yếu tố dữ liệu chỉ ra loại thiết bị. Tuy nhiên, vì những dữ liệu này chưa được xác thực, chúng chỉ có thể được sử dụng cho các mục đích như thống kê và không ảnh hưởng trực tiếp đến giao dịch, mà chỉ được sử dụng bởi POI, người mua hoặc MFSP.

7.1.5.2 Tham số rủi ro tại điểm tương tác

7.1.5.2.1 Giới hạn xác thực người tiêu dùng

Giới hạn xác thực người tiêu dùng là một tham số quản lý rủi ro chỉ ra giá trị tối đa của giao dịch mà không yêu cầu sử dụng xác thực người tiêu dùng.

Các giao dịch có giá trị bằng hoặc nhỏ hơn giới hạn xác thực người tiêu dùng thường là các giao dịch có rủi ro thấp, nơi mà sự thuận tiện và tốc độ là quan trọng và việc sử dụng UVM sẽ không phù hợp. Ngược lại, các giao dịch có giá trị lớn hơn giới hạn UVM yêu cầu sử dụng một UVM. Đây có thể là mã PIN trực tuyến hoặc mã di động ngoại tuyến (xem 4.2.7).

Giới hạn UVM được thiết lập trong ứng dụng POI và được xác định bởi chương trình thanh toán MFS hoặc các kế hoạch thanh toán ở cấp độ quốc gia, khu vực hoặc toàn cầu. Khi thiết lập giới hạn này, cần phải xem xét các rủi ro liên quan đến giao dịch gian lận (ví dụ: khi thiết bị di động bị mất hoặc bị đánh cắp). Bên cạnh đó, việc sử dụng một chương trình hoặc kế hoạch phù hợp là rất quan trọng để đảm bảo rằng giới hạn UVM không bị thay đổi tùy theo hình thức thanh toán. Để duy trì sự thống nhất trong trải nghiệm của người tiêu dùng và đơn vị chấp nhận thanh toán (cũng như việc đào tạo), giới hạn UVM không tiếp xúc cần phải đồng nhất cho tất cả các chương trình/kế hoạch ở một khu vực địa lý cụ thể (ví dụ: trong một quốc gia hoặc khu vực SEPA).

Bảng 3 cung cấp một cái nhìn tổng quan về việc sử dụng UVM trong bối cảnh triển khai EMV, nơi thuật ngữ CVM được sử dụng một cách thích hợp.

Bảng 3 - Sử dụng UVM

Số tiền giao dịch	≤ Giới hạn UVM	> Giới hạn UVM
UVM	Tùy chọn	Bắt buộc

CHÚ THÍCH: Tùy chọn trong Bảng 3 có nghĩa là UVM có thể được sử dụng, tùy thuộc vào kết quả của các biện pháp quản lý rủi ro liên quan đến UVM khác.

7.1.5.2.2 Giới hạn sàn

Giới hạn sàn là tham số xác định giá trị của giao dịch, khi vượt quá giới hạn này, sẽ yêu cầu xác thực trực tuyến từ MFSP.

- Các giao dịch có giá trị nhỏ hơn hoặc bằng giới hạn sàn có thể được phê duyệt ngoại tuyến bởi ứng dụng MFS.

- Các giao dịch có giá trị lớn hơn giới hạn sàn và không được MFSP xác thực sẽ được xử lý theo các quy tắc vận hành hiện hành.

Giá trị của giới hạn sàn được thiết lập trong ứng dụng POI và được xác định bởi bên mua theo các quy tắc của sơ đồ thanh toán (có thể phụ thuộc vào các yếu tố khác như Mã danh mục thương Mại hoặc sản phẩm thanh toán).

CHÚ THÍCH 1: Thông tin về việc sử dụng Mã danh mục thương mại có thể được nêu trong ISO 18245.

CHÚ THÍCH 2: Mặc dù giá trị giao dịch nhỏ hơn giới hạn sàn, POI vẫn có thể yêu cầu xác thực trực tuyến nếu bên thu mua chọn giao dịch trực tuyến ngẫu nhiên, tùy thuộc vào việc POI có hỗ trợ tùy chọn này hay không.

7.1.5.3 Tham số rủi ro MPP

Các điều sau đây mô tả các tham số rủi ro MPP có thể được sử dụng. Quyết định về việc lựa chọn các tham số nào hoặc thêm bất kỳ tham số rủi ro nào phù hợp sẽ do MFSP tự quyết định.

7.1.5.3.1 Giới hạn thử mã di động và bộ đếm

Giới hạn thử mã di động không chỉ là tham số để chỉ ra số lần thử mã di động sai liên tiếp được phép, mà còn cần phải xác định dựa trên toàn bộ giao dịch, giá trị của giao dịch và tổng số lần thử sai. Do đó, mã di động có thể được sử dụng như một UVM.

Số lần thử mã di động được ghi nhận và bộ đếm thử mã di động đại diện cho số lần thử mã di động còn lại. Bộ đếm thử mã di động sẽ được thiết lập lại về giới hạn thử mã di động sau khi xác thực mã di động thành công bởi ứng dụng MFS.

Nếu bộ đếm thử mã di động bằng không, có nghĩa là không còn lần thử mã di động nào, tất cả các giao dịch MPP yêu cầu UVM sẽ bị từ chối, và các giao dịch gần đúng của mã di động cũng bị từ chối.

- Các giao dịch sẽ bị từ chối cho đến khi bộ đếm thử mã di động được thiết lập lại bởi MFSP.

- Sẽ được gửi trực tuyến thường xuyên tới ngân hàng phát hành giao dịch chỉ ra rằng bộ đếm thử mã di động đã đạt đến zero, cho đến khi bộ đếm thử mã di động được thiết lập lại bởi MFSP

Giá trị thử mã di động được thiết lập trong ứng dụng MFS và xác định bởi MFSP.

7.1.5.3.2 Giới hạn không xác thực người dùng liên tiếp và bộ đếm

Giới hạn không xác thực người dùng liên tiếp là một tham số chỉ ra số lượng giao dịch liên tiếp có thể thực hiện trước khi yêu cầu sử dụng UVM (thường là mã di động) để bảo vệ chống gian lận.

Tổng số giao dịch không xác thực người dùng được ghi nhận trong bộ đếm không xác thực người dùng liên tiếp, và được quản lý bởi ứng dụng MFS.

Khi một giao dịch được thực hiện và bộ đếm "No-UVM" liên tiếp vượt quá giới hạn "No-UVM" liên tiếp, thì UVM là bắt buộc.

Bộ đếm không xác thực người dùng liên tiếp sẽ được thiết lập lại bởi ứng dụng MFS sau khi xác thực mã di động thành công.

Giá trị không xác thực người dùng được thiết lập trong ứng dụng MCP và xác định bởi MFSP, dựa trên các quy tắc chương trình/sơ đồ, với hai yếu tố chính cần xem xét:

- Rủi ro của các giao dịch gian lận (ví dụ: khi thiết bị di động bị mất hoặc đánh cắp).

- Sự thuận tiện đối với người tiêu dùng.

7.1.5.3.3 Quản lý rủi ro dựa trên UVM

Bảng 4 cung cấp cái nhìn tổng quan về quản lý rủi ro liên quan đến UVM như đã thảo luận ở trên trong bối cảnh giao dịch thẻ EMV hoặc thẻ có thương hiệu.

Bảng 4 - Quản lý rủi ro dựa trên UVM

Giao dịch	Bộ đếm không -UVM liên tiếp ≤ Giới hạn không-UVM liên tiếp	Bộ đếm không-UVM liên tiếp > Giới hạn không-UVM liên tiếp
UVM	Tùy chọn	Bắt buộc

Bộ đếm không UVM giới hạn tối đa số đếm giao dịch ngoài việc UVM.

CHÚ THÍCH: Tùy chọn" trong Bảng 4 có nghĩa là UVM có thể được sử dụng, tùy thuộc vào kết quả của các biện pháp quản lý rủi ro liên quan đến UVM khác.

7.1.5.4 Giới hạn giao dịch ngoại tuyến tích lũy và Bộ đếm số tiền

Giới hạn giao dịch ngoại tuyến tích lũy là một tham số chỉ ra giá trị tối đa của các giao dịch (số tiền) có thể thực hiện trước khi yêu cầu xác thực trực tuyến để bảo vệ khỏi gian lận hoặc thâm hụt tài khoản.

Tổng số giao dịch ngoại tuyến được ghi nhận trong Bộ đếm số tiền giao dịch ngoại tuyến tích lũy, được quản lý bởi ứng dụng MFS.

Khi một giao dịch ngoại tuyến được thực hiện và tổng số tiền giao dịch ngoại tuyến tích lũy đạt tới giới hạn giao dịch ngoại tuyến tích lũy, yêu cầu xác thực trực tuyến là cần thiết.

Giới hạn giao dịch ngoại tuyến liên tiếp có thể được thiết lập lại bởi MFSP theo một trong các cách sau:

- Qua xử lý tự động thực hiện OTA: có hai chế độ, gọi là "đẩy" (thông báo do MFSP tạo) và "kéo" (thông báo do ứng dụng tạo). Bộ đếm này có thể được thiết lập lại thông qua mã di động được người tiêu dùng nhập vào.

- Qua xử lý tự động một tin nhắn thực hiện bởi POI sử dụng NFC. Điều này có thể yêu cầu thêm thao tác chạm hoặc đặt thiết bị di động lên giao diện NFC của POI.

Giá trị giao dịch ngoại tuyến tích lũy được thiết lập trong ứng dụng MFS và xác định bởi MFSP theo các quy tắc chương trình/sơ đồ, với các yếu tố sau đây cần xem xét:

- Rủi ro của các giao dịch gian lận (ví dụ: khi thiết bị di động bị mất hoặc đánh cắp), và

- Rủi ro tín dụng.

- Sự thuận tiện đối với người tiêu dùng,

MFSP có thể quyết định sử dụng hai giá trị khác nhau, bao gồm một giới hạn trên và một giới hạn dưới thay vi giới hạn giao dịch ngoại tuyến tích lũy. Trong trường hợp này, nếu số tiền giao dịch ngoại tuyến tích lũy nằm giữa hai giá trị nêu trên, giao dịch trực tuyến sẽ được yêu cầu, nếu khả thi. Khi đạt đến giới hạn trên, giao dịch phải được xử lý trực tuyến. Nếu điều này không thể thực hiện được do sử dụng POI ngoại tuyến, giao dịch sẽ bị từ chối.

7.1.5.4.1 Giới hạn giao dịch ngoại tuyến liên tiếp và Bộ đếm

Giới hạn giao dịch ngoại tuyến liên tiếp là một tham số chỉ ra số lượng giao dịch ngoại tuyến liên tiếp có thể thực hiện trước khi yêu cầu xác thực trực tuyến để bảo vệ chống gian lận hoặc thâm hụt tài khoản.

Tổng số giao dịch ngoại tuyến được ghi nhận trong Bộ đếm giao dịch ngoại tuyến liên tiếp[1], được quản lý bởi ứng dụng MFS.

Khi một giao dịch ngoại tuyến được thực hiện và bộ đếm giao dịch ngoại tuyến liên tiếp đạt đến giới hạn giao dịch ngoại tuyến liên tiếp, thì xác thực trực tuyến sẽ được yêu cầu.

Bộ đếm ngoại tuyến liên tiếp có thể được thiết lập lại bởi MFSP theo một trong các cách sau:

- Qua xử lý tự động thực hiện bởi OTA: có hai chế độ, gọi là "kéo" (thông báo do MFSP khởi xướng) và "đẩy" (thông báo do ứng dụng khởi xướng). Bộ đếm này có thể được thiết lập lại thông qua mã di động được người tiêu dùng nhập vào.

Giá trị giao dịch ngoại tuyến tích lũy được thiết lập trong ứng dụng MFSP và xác định bởi MFSP theo các quy tắc chương trình/sơ đồ, với các yếu tố sau đây cần xem xét:

- Rủi ro của các giao dịch gian lận (ví dụ: khi thiết bị di động bị mất hoặc bị đánh cắp), và

- Rủi ro tín dụng.

- Sự thuận tiện đối với người tiêu dùng,

MFSP có thể quyết định sử dụng hai giá trị khác nhau, bao gồm một giới hạn trên và một giới hạn dưới, thay vì chỉ sử dụng Giới hạn giao dịch ngoại tuyến liên tiếp. Trong trường hợp này, nếu tổng số giao dịch ngoại tuyến nằm giữa hai giá trị này, giao dịch trực tuyến sẽ được yêu cầu nếu khả thi.

Khi đạt đến giới hạn trên, giao dịch phải được xử lý trực tuyến. Nếu điều này không thể thực hiện được do sử dụng POI ngoại tuyến, giao dịch sẽ bị từ chối.

7.1.5.4.2 Tổng quan quản lý rủi ro giao dịch ngoại tuyến/trực tuyến

Bảng 5 cung cấp cái nhìn tổng quan về quản lý rủi ro liên quan đến chế độ giao dịch trực tuyến và ngoại tuyến như đã thảo luận ở trên.

Bảng 5 - Quản lý rủi ro giao dịch trực tuyến/ngoại tuyến

Giao dịch	Số tiền	Giới hạn sàn	Giới hạn số tiền ngoại tuyến tích lũy	Giới hạn giao dịch ngoại tuyến liên tiếp	Giới hạn > giới hạn sàn hoặc giới hạn số tiền ngoại tuyến tích lũy hoặc giới hạn giao dịch ngoại tuyến liên tiếp
Chế độ	Trực tuyến/ngoại tuyến	Trực tuyến	Ngoại tuyến	Ngoại tuyến	Trực tuyến

Giới hạn sàn là giá trị tối đa của giao dịch đối với một giao dịch ngoại tuyến.

Giới hạn số tiền ngoại tuyến tích lũy là giá trị tối đa của các giao dịch ngoại tuyến tích lũy.

Giới hạn giao dịch ngoại tuyến liên tiếp là số lượng giao dịch ngoại tuyến liên tiếp tối đa có thể thực hiện.

Trong trường hợp thiết lập lại, cả bộ đếm số tiền ngoại tuyến tích lũy và bộ đếm giao dịch ngoại tuyến liên tiếp thường sẽ được thiết lập lại cùng nhau.

7.1.6 Các tính năng bổ sung

7.1.6.1 Ghi nhật ký giao dịch

Mỗi ứng dụng phải có chức năng ghi nhật ký giao dịch riêng biệt (xem 4.3). Dù các yêu cầu chi tiết để đáp ứng quy định này sẽ do từng MFSP quyết định, nhưng vẫn có thể thảo luận về cách thức hoạt động của chức năng này.

Ứng dụng nên ghi lại chi tiết giao dịch trong một nhật ký riêng biệt. Theo khuyến nghị, ít nhất 10 giao dịch gần nhất hoặc các giao dịch trong vòng 30 ngày (tùy thuộc vào cách thức nào cung cấp nhiều thông tin nhất)[2] cần phải hiển thị cho người tiêu dùng. Tuy nhiên, mỗi MFSP có quyền quyết định số lượng tối đa các giao dịch được lưu trữ trong nhật ký giao dịch. Vì các giao dịch trực tuyến có thể bị từ chối bởi MFSP, nhật ký giao dịch có thể không hoàn toàn trùng khớp với bản sao kê giao dịch thực tế. Mặc dù vậy, chức năng ghi nhật ký này cho phép người tiêu dùng kiểm tra lại ít nhất 10 giao dịch gần nhất. Như đã đề cập trong 4.3, MFSP sẽ áp dụng quy trình để cung cấp thông tin bổ sung về giao dịch cho người tiêu dùng khi có yêu cầu hợp lý.

Mỗi khi một giao dịch tạm thời được thực hiện bắt đầu một bản ghi mới[3], một bản ghi giao dịch mới sẽ được tạo và thông tin về giao dịch sẽ được cập nhật trong ứng dụng. Sau đó, giao diện người tiêu dùng có thể truy xuất thông tin cần thiết từ nhật ký này để người tiêu dùng có thể xem chi tiết giao dịch. Giao diện người tiêu dùng phải tối thiểu đáp ứng yêu cầu tại 4.4 (bao gồm việc hiển thị ít nhất 10 giao dịch gần nhất đối với mỗi ứng dụng hoặc các giao dịch trong vòng 30 ngày, tùy thuộc vào cách thức nào cung cấp nhiều thông tin nhất.

Thứ tự các giao dịch được ghi lại, vì vậy Bản ghi #1 là giao dịch gần nhất và Bản ghi #2 là giao dịch trước đó, v.v.

Ứng dụng sẽ cập nhật tệp nhật ký, trong đó bao gồm các thông tin ghi nhật ký và những thông tin này sẽ không đủ để người tiêu dùng nhận diện chính xác giao dịch cụ thể:

- Ngày giao dịch và/hoặc bộ đếm thời gian giao dịch/ứng dụng (ATC):

- Số tiền đã được ủy quyền;

- Số tiền khác (ví dụ: hoàn tiền);

- Mã tiền tệ giao dịch;

- Dữ liệu thông tin mã hóa (thông tin mã token);

- Loại giao dịch;

- Tên và vị trí của đơn vị chấp nhận thanh toán.

Phương pháp trình bày lịch sử giao dịch trong giao diện người tiêu dùng sẽ do MFSP/MFSP quyết định. Các giao dịch trong nhật ký cần có khả năng được sắp xếp theo các tiêu chí sau:

- Ngày (từ mới nhất đến cũ nhất);

- Số tiền (tăng dần/giảm dần);

- Loại giao dịch (ghi nợ/hoàn tiền).

Tùy vào yêu cầu kinh doanh của MFSP, một cơ chế kiểm soát truy cập đối với việc hiển thị nhật ký giao dịch có thể được triển khai. Kiểm soát này được thực hiện thông qua yêu cầu xác thực mã di động. MFSP cũng có thể cung cấp cho người tiêu dùng tùy chọn bật hoặc tắt kiểm soát truy cập này theo ý muốn của họ.

7.1.6.2 Biên lai giao dịch

Biên lai giao dịch là yêu cầu cung cấp thông tin thanh toán cho người tiêu dùng (xem 4.5). Mặc dù phương pháp cụ thể để đáp ứng yêu cầu này sẽ do từng tổ chức phát hành quyết định, nhưng việc thảo luận về cách thức chức năng này hoạt động có thể mang lại giá trị hữu ích.

Cách xử lý biên lai giao dịch đối với MPP nên tương tự như cách xử lý biên lai cho các giao dịch thực hiện bằng thẻ vật lý. Đối với các POI có khả năng in biên lai, biên lai sẽ được cung cấp theo yêu cầu của người tiêu dùng. Nếu POI biết trước rằng không thể in biên lai, POI sẽ thông báo cho người tiêu dùng rằng không thể in biên lai và cho phép người tiêu dùng lựa chọn tiếp tục giao dịch hoặc hủy giao dịch.

Do các thiết bị di động có thể cung cấp thêm tính năng, biên lai cũng có thể được cung cấp qua các kênh khác, ví dụ như biên lai điện tử. Tuy nhiên, các kênh này hiện vẫn chưa được xác định rõ.

MFSP cần thực hiện các biện pháp thích hợp để thông báo cho người tiêu dùng về các quy định pháp lý khác nhau đối với các hình thức ghi nhận giao dịch, ví dụ: người tiêu dùng có thể cần biên lai điện tử nếu không thể in biên lai truyền thống.

7.1.6.3 Chia sẻ dữ liệu giữa các ứng dụng MPP từ một nhà phát hành

Một MFSP có thể muốn cung cấp nhiều MFS bằng cách tải các ứng dụng khác nhau SE hoặc trong môi trường bảo mật khác. Các cơ chế có thể được cung cấp để cho phép chia sẻ tài nguyên giữa các ứng dụng này, chẳng hạn như các bộ đếm và giới hạn quản lý rủi ro, mã di động. Điều này có thể giúp giải quyết các chính sách chung về kinh doanh hoặc bảo mật.

Việc chia sẻ dữ liệu có thể mang lại lợi ích cho cả MFSP và người tiêu dùng. Ví dụ:

- Việc chia sẻ các bộ đếm quản lý rủi ro và giới hạn giữa các ứng dụng MPP giúp MFSP quản lý rủi ro của các ứng dụng này một cách đơn giản và hiệu quả.

- Việc chia sẻ mã di động và một số thuộc tính của nó, như bộ đếm thử mã di động, giới hạn và trạng thái xác minh mã di động, có thể nâng cao trải nghiệm của người tiêu dùng.

- Việc chia sẻ thông tin trạng thái của ứng dụng MPP (chẳng hạn như đã được kích hoạt) giúp đơn giản hóa các hoạt động hành chính và quản lý vòng đời các ứng dụng MCP của MFSP, đồng thời tạo thuận lợi cho việc lựa chọn ứng dụng MFS từ phía người tiêu dùng.

7.1.7 Tính tương thích và khả năng cung cấp dịch vụ MPP

Một số quốc gia đã chọn xử lý các giao dịch thanh toán một cách hệ thống qua mạng, trong khi các quốc gia khác lại chọn kết hợp giao dịch trực tuyến và ngoại tuyến, tùy thuộc vào người mua và cấu hình quản lý rủi ro của MFSP.

Các giao dịch MPP vẫn diễn ra trong phạm vi quốc gia, tính tương thích có thể được đảm bảo. Tuy nhiên, sẽ có vấn đề gì nếu người tiêu dùng sử dụng ứng dụng "trực tuyến" để thực hiện giao dịch MPP tại một địa điểm đang sử dụng chương trình "ngoại tuyến" (chẳng hạn ở các quốc gia khác)? Trong trường hợp này, một giao dịch yêu cầu thực hiện trực tuyến trong môi trường hoàn toàn ngoại tuyến sẽ bị từ chối.

CHÚ THÍCH: Một vấn đề tương tự tồn tại đối với thẻ vật lý.

Các chương trình thẻ và MFSP cần thực hiện các biện pháp thích hợp để đảm bảo tính tương thích giữa các ứng dụng MPP trong tất cả các trường hợp sử dụng, đồng thời giảm thiểu tác động đến người tiêu dùng và tối ưu hóa khả năng cung cấp dịch vụ.

Một yếu tố khác có thể ảnh hưởng đáng kể đến người tiêu dùng là việc sử dụng thao tác một chạm hoặc kép. Tình huống này có thể trở nên phức tạp hơn nếu các dịch vụ không tiếp xúc khác, như chương trình tri ân và khuyến mãi, được kết hợp với giao dịch MPP. Vì vậy, MFSP cần phát triển và cung cấp các ứng dụng MPP đảm bảo tính nhất quán giữa các MFSP trong cùng một khu vực địa lý. Ngoài ra, MFSP cũng cần phải hướng dẫn người tiêu dùng về cách sử dụng các ứng dụng MPP một cách đúng đắn.

7.2 Các trường hợp sử dụng thanh toán từ xa

Trong bối cảnh tiêu chuẩn này, thanh toán di động từ xa là các giao dịch được thực hiện thông qua thiết bị di động, nơi giao dịch được tiến hành qua mạng viễn thông di động (ví dụ: GSM, internet di động) và có thể thực hiện độc lập với vị trí của người thanh toán (và/hoặc có nghĩa là giao dịch không phụ thuộc vào việc tiếp xúc vật lý với một POI, ví dụ: thiết bị của điểm bán).

7.2.1 Thanh toán thẻ di động từ xa

7.2.1.1 Thanh toán thẻ không sử dụng MRP

Trường hợp sử dụng có thể được mô tả như sau:

a) Người tiêu dùng sử dụng thiết bị di động của mình để truy cập vào trang web của đơn vị chấp nhận thanh toán qua mạng di động và chọn hàng hóa hoặc dịch vụ cần mua.

b) Sau khi chấp nhận các điều kiện mua hàng chung của đơn vị chấp nhận thanh toán, người tiêu dùng sẽ được yêu cầu xác nhận việc mua hàng.

c) Phần thanh toán trên trang web của đơn vị chấp nhận thanh toán hiển thị chi tiết giao dịch, bao gồm số tiền và các tùy chọn thanh toán, qua thiết bị di động cho người tiêu dùng.

d) Người tiêu dùng được chuyển đến phần thanh toán. Tại đây, có thể có nhiều sự lựa chọn khác nhau tùy thuộc vào cách triển khai:

1) Người tiêu dùng nhập chi tiết thẻ trong phần thanh toán của trang web của đơn vị chấp nhận thanh toán;

2) Người tiêu dùng nhập chi tiết thẻ trong POI ảo (POS ảo trong trường hợp này) của đơn vị chấp nhận thanh toán; hoặc

3) Người tiêu dùng chọn một tùy chọn thanh toán dựa trên ví điện tử, nơi thẻ có thể được chọn từ danh sách (trong hầu hết các trường hợp, người tiêu dùng sẽ đăng ký dịch vụ ví điện tử trước).

e) Tóm tắt giao dịch được hiển thị trên thiết bị di động, bao gồm ngày, thông tin đơn vị chấp nhận thanh toán, tham chiếu giao dịch, số tiền và phương thức thanh toán đã chọn, và người tiêu dùng được yêu cầu xác nhận giao dịch.

f) Quá trình giao dịch được sự ủy quyền. Các bước bổ sung có thể được thực hiện để đáp ứng yêu cầu xác thực mạnh nhằm ngăn chặn gian lận. Khi cả thẻ và POI ảo đều yêu cầu xác thực mạnh, một phương thức xác thực động sẽ được thực hiện.

g) Sau khi thanh toán được ủy quyền, người tiêu dùng sẽ tự động được chuyển hướng đến trang web của đơn vị chấp nhận thanh toán và nhận được xác nhận giao dịch, bao gồm chi tiết giao dịch.

h) Một biên lai được gửi từ đơn vị chấp nhận thanh toán cho người tiêu dùng (xem 4.5).

i) Đơn vị chấp nhận thanh toán phát hành hàng hóa hoặc dịch vụ cho người tiêu dùng.

Trường hợp sử dụng này dựa trên hạ tầng hiện tại cho thanh toán thẻ và theo các quy trình chuẩn cho thanh toán thẻ trong mô hình bốn góc với người tiêu dùng, nhà phát hành thẻ, đơn vị chấp nhận thanh toán và người mua.

Người tiêu dùng (chủ thẻ) nhập PAN, ngày hết hạn và Kiểm tra An toàn Thẻ (CSC) (xác thực tĩnh) vào trang thanh toán (được gửi qua thông điệp ủy quyền từ người mua đến nhà phát hành), hoặc

Người tiêu dùng được chuyển hướng đến máy chủ xác thực của MFSP (hoặc đại lý của MFSP) để thực hiện xác thực tĩnh hoặc động (ví dụ: phương thức 3D Secure).

7.2.1.2 Thanh toán thẻ với MRP

Trường hợp sử dụng này cũng có thể được thực hiện bằng cách duyệt web trên internet di động qua thiết bị di động. Tuy nhiên, việc sử dụng MRP cài đặt trên thiết bị di động thường thuận tiện hơn. Trường hợp sử dụng có thể được mô tả như sau:

a) Người tiêu dùng mở ứng dụng MRP của MFSP trên thiết bị di động của mình, ứng dụng này có thể là ứng dụng độc lập, một tiện ích trong ví di động hoặc ứng dụng MRP được truy cập thông qua trình duyệt di động trên thiết bị di động. Trong ứng dụng MRP, người tiêu dùng sẽ thiết lập thẻ như một thẻ đang hoạt động để thực hiện các giao dịch và theo mặc định, giao dịch sẽ được tính vào thẻ đó. người tiêu dùng có thể kích hoạt hoặc hủy kích hoạt thẻ bất cứ lúc nào thông qua cài đặt ứng dụng.

b) Người tiêu dùng ủy quyền giao dịch theo các yêu cầu bảo mật của MFSP.

c) Sau khi giao dịch được ủy quyền, tài khoản của đơn vị chấp nhận thanh toán sẽ được ghi có.

d) Giao dịch được xác nhận và tất cả dữ liệu giao dịch sẽ được hiển thị trên màn hình thiết bị di động.

e) Đơn vị chấp nhận thanh toán có thể nhận một tin nhắn từ MFSP thông báo về giao dịch (tài khoản thẻ của người tiêu dùng đã bị ghi nợ).

Trong trường hợp sử dụng này, các yêu cầu sau có thể cần được hỗ trợ:

- Người tiêu dùng có thể có đăng ký MNO cho MFS. Trong trường hợp số điện thoại di động được sử dụng để nhận diện đơn vị chấp nhận thanh toán, thì đơn vị chấp nhận thanh toán cũng có thể cần phải đăng ký với MFS.

- Về tính tương thích, ở giai đoạn đầu, người tiêu dùng và đơn vị chấp nhận thanh toán có thể sử dụng cùng một chương trình/ bởi vì chương trình thẻ chéo có thể không được hỗ trợ trong sơ đồ này.

- Một nền tảng cần thiết để liên kết số điện thoại di động với thông tin thanh toán. Liên kết này cho phép định tuyến giao dịch đúng cách. Trong quá trình đăng ký dịch vụ của người tiêu dùng/thanh toán, mối liên kết giữa số điện thoại di động và số thẻ thanh toán sẽ được thiết lập.

7.2.1.2.1 Thanh toán từ xa không sử dụng xác thực người tiêu dùng

Trong trường hợp này, như được minh họa trong Hình 12, người tiêu dùng sử dụng thiết bị di động của mình để khởi tạo thanh toán cho một đơn vị chấp nhận thanh toán để mua hàng hóa hoặc dịch vụ; tuy nhiên, không sử dụng UVM. Trường hợp này cũng hợp lệ khi người tiêu dùng là doanh nghiệp.

Trong Hình 12, các bước sau được minh họa:

Bước 0 (Yêu cầu trước)

- Người tiêu dùng sử dụng thiết bị di động của mình để truy cập vào trang web của đơn vị chấp nhận thanh toán qua internet di động và chọn hàng hóa/dịch vụ mà họ muốn mua.

- Sau khi chấp nhận các điều kiện mua hàng chung do đơn vị chấp nhận thanh toán cung cấp, người tiêu dùng sẽ được yêu cầu xác nhận việc mua hàng.

Bước 1 (Hiển thị chi tiết giao dịch)

- Phần thanh toán trên trang web của đơn vị chấp nhận thanh toán hiển thị chi tiết giao dịch, bao gồm số tiền và các tùy chọn thanh toán, qua thiết bị di động cho người tiêu dùng.

Bước 2 (Lựa chọn thanh toán bằng thẻ)

- Người tiêu dùng chọn tùy chọn "thanh toán bằng thẻ" qua internet di động và được yêu cầu nhập chi tiết thẻ thanh toán của mình[4], người tiêu dùng sẽ được chuyển hướng đến phần thanh toán dưới sự kiểm soát của cổng thanh toán để tiến hành giao dịch qua kết nối bảo mật (ví dụ: TSL).

- Là một lựa chọn thay thế việc nhập chi tiết thẻ thanh toán bởi người dùng, có thể sử dụng một ứng dụng lưu trữ trong thiết bị di động hoặc truy cập thông qua thiết bị di động. Người tiêu dùng sau đó sẽ được chuyển hướng đến giao diện người sử dụng ứng dụng này để chọn thẻ thanh toán được sử dụng và các chi tiết thẻ sẽ được tự động chuyển đến phần thanh toán.

- Tóm tắt giao dịch sẽ được hiển thị trên thiết bị di động, bao gồm ngày, tham chiếu đơn vị chấp nhận thanh toán, số tiền và thẻ thanh toán đã chọn, và người tiêu dùng sẽ được mời xác nhận giao dịch.

Bước 3 (Quá trình thanh toán)

- Giao dịch thanh toán được xử lý như một giao dịch thẻ từ xa. Điều này có thể bao gồm yêu cầu xác thực trực tuyến từ đơn vị chấp nhận thanh toán (xem 4.3.2.7.1 trong EPC [10]).

Bước 4 (Hoàn tất giao dịch)

Sau khi giao dịch được ủy quyền:

- Người tiêu dùng sẽ được chuyển hướng tự động đến trang web của đơn vị chấp nhận thanh toán và nhận được xác nhận giao dịch.

- Đơn vị chấp nhận thanh toán phát hành hàng hóa/dịch vụ cho người tiêu dùng.

Bước 5 (Thông tin giao dịch)

- Thông tin giao dịch (như số tiền giao dịch) có thể được lưu trong tệp ứng dụng MRCP và/hoặc hiển thị trên thiết bị di động một cách tùy chọn..

- Một biên lai điện tử có thể được gửi từ đơn vị chấp nhận thanh toán cho người tiêu dùng.

Hình 12 – Thanh toán từ xa không sử dụng xác thực người tiêu dùng

7.2.1.2.2 Thanh toán từ xa sử dụng xác thực động mạnh

Trong trường hợp này, như được minh họa trong Hình 13, người tiêu dùng sử dụng thiết bị di động của mình để thực hiện thanh toán cho một đơn vị chấp nhận thanh toán, cung cấp hàng hóa hoặc dịch vụ, sử dụng "phương thức xác thực động mạnh." Trường hợp này cũng hợp lệ khi người tiêu dùng là doanh nghiệp.

Hình 13 - Thanh toán từ xa sử dụng xác thực động mạnh

Trong Hình 13 các bước sau được minh họa:

Bước 0 (Yêu cầu trước)

- Sau khi chấp nhận các điều kiện mua hàng chung, người tiêu dùng sẽ được yêu cầu xác nhận việc mua hàng.

Bước 1 (Hiển thị chi tiết giao dịch)

Bước 2 (Lựa chọn thanh toán bằng thẻ)

- Người tiêu dùng chọn tùy chọn "thanh toán bằng thẻ" qua internet di động và được yêu cầu nhập chi tiết thẻ thanh toán của mình[5]. Người tiêu dùng sẽ được chuyển hướng đến phần thanh toán dưới sự kiểm soát của cổng thanh toán để thực hiện giao dịch qua kết nối bảo mật (ví dụ: TSL).

Bước 3 (Xác thực)

Người tiêu dùng và các dữ liệu liên quan sau đó được xác thực[6] bởi MFSP của họ theo một trong các quy trình điển hình sau:

- Trong trường hợp thanh toán bằng thẻ qua internet di động, người tiêu dùng và các dữ liệu liên quan được xác thực bởi MFSP của họ thông qua phương thức xác thực động mạnh. Phương thức xác thực này có thể bao gồm nhiều bước, một trong số đó là sử dụng thiết bị xác thực bổ sung. Cụ thể, người tiêu dùng sẽ nhập thông tin thẻ thanh toán vào thiết bị di động bổ sung. Sau đó, MFSP sẽ cung cấp cho người tiêu dùng một "thử thách" mà họ cần phải nhập vào thiết bị bổ sung đó, theo sau là nhập mã di động của người tiêu dùng. Quá trình xác thực tạo ra một "phản hồi" mà người tiêu dùng cần nhập trên thiết bị di động của mình vào một thời điểm xác định trong quá trình giao dịch. Cuối cùng, phản hồi này sẽ được gửi đến MFSP của người tiêu dùng để xác minh và hoàn tất quá trình xác thực[7].

- Trong trường hợp một ứng dụng xác thực có sẵn trên thiết bị di động, phương thức xác thực động (phương thức thách thức/phản hồi) sẽ được khởi động bởi MFSP của người tiêu dùng và được xử lý tự động qua ứng dụng xác thực trong một môi trường bảo mật. Người tiêu dùng được yêu cầu nhập mã di động[8] của mình chỉ một lần trong quá trình giao dịch MRP. Mã di động này được kiểm tra trực tiếp trên thiết bị (UVM ngoại tuyến) bởi ứng dụng xác thực hoặc bởi MFSP của người tiêu dùng (UVM trực tuyến).

Bước 4 (Quá trình thanh toán)

- Người tiêu dùng sẽ được MFSP của mình thông báo kết quả xác thực.

- Đơn vị chấp nhận thanh toán cũng sẽ được thông báo (có thể thông qua cổng thanh toán của họ) bởi MFSP của người tiêu dùng về kết quả xác thực của người tiêu dùng.

- Sau khi xác thực thành công từ MFSP của người tiêu dùng, thanh toán sẽ được xử lý như một giao dịch MRP. Điều này có thể bao gồm[9] yêu cầu ủy quyền trực tuyến từ đơn vị chấp nhận thanh toán đến MFSP của người tiêu dùng (xem 4.3.2.7.1 trong EPC^[10]).

Bước 5 (Hoàn tất giao dịch)

Sau khi thanh toán được ủy quyền:

- Người tiêu dùng sẽ được chuyển hướng tự động đến trang web của đơn vị chấp nhận thanh toán và nhận được xác nhận giao dịch.

- Đơn vị chấp nhận thanh toán phát hành hàng hóa/dịch vụ cho người tiêu dùng.

Bước 6 (Thông tin giao dịch)

- Thông tin giao dịch (như số tiền giao dịch) có thể được lưu trong tệp ứng dụng MRP và/hoặc hiển thị trên thiết bị di động một cách tùy chọn.

- Một biên lai điện tử có thể được gửi từ đơn vị chấp nhận thanh toán cho người tiêu dùng.

7.2.2 Chuyển tiền từ xa (MRCT)

Các trường hợp sử dụng sau được xây dựng trên cơ sở chuyển tiền qua thẻ tín dụng như một công cụ thanh toán cơ bản, trong đó tiền được chuyển từ tài khoản của người tiêu dùng (người trả tiền) sang tài khoản của đơn vị chấp nhận thanh toán (người nhận tiền). Chuyển tiền từ xa qua thẻ tín dụng (MRCT) sẽ sử dụng các quy tắc giống như những quy tắc được áp dụng trong các chuyển tiền qua thẻ tín dụng khác (ví dụ: thời gian xử lý tối đa, định dạng tài khoản, v.v.). Người tiêu dùng và đơn vị chấp nhận thanh toán có thể thường xuyên là, khách hàng của các MFSP khác nhau. Nói chung, trong việc chuyển tiền từ người tiêu dùng đến thanh toán cho đơn vị chấp nhận thanh toán, có thể phân loại thành hai nhóm trường hợp:

- Trường hợp đầu tiên, trong đó đơn vị chấp nhận thanh toán (doanh nghiệp) yêu cầu thanh toán và người tiêu dùng sau đó được yêu cầu xác nhận thanh toán theo quy trình thanh toán chuyển tiền qua thẻ tín dụng hiện tại thông qua thiết bị di động của mình.

- Trường hợp thứ hai, trong đó người tiêu dùng khởi tạo thanh toán cho đơn vị chấp nhận thanh toán (doanh nghiệp) thông qua thiết bị di động của mình (ví dụ: thanh toán một hóa đơn, có thể là qua quét mã QR).

Đối với một giao dịch thanh toán doanh nghiệp, "xác nhận chấp nhận yêu cầu chuyển tiền qua thẻ tín dụng" là quan trọng để đơn vị chấp nhận thanh toán có đủ độ tin cậy về việc thực hiện thanh toán trước khi giao hàng hóa hoặc dịch vụ.

Trong điều khoản này, các trường hợp sử dụng sau được minh họa:

Người tiêu dùng đến đơn vị chấp nhận thanh toán MRCT, trong đó người tiêu dùng khởi tạo giao dịch thanh toán một hóa đơn (xem 7.2.2.1).

Người tiêu dùng đến đơn vị chấp nhận thanh toán MRCT, trong đó đơn vị chấp nhận thanh toán khởi tạo giao dịch và người tiêu dùng được chuyển hướng đến MFSP của họ để xác thực (xem 7.2.2.2).

- Người tiêu dùng đến đơn vị chấp nhận thanh toán MRCT, trong đó đơn vị chấp nhận thanh toán khởi tạo giao dịch và người tiêu dùng được chuyển hướng đến bên cung cấp dịch vụ thanh toán thứ ba để xác thực (xem 7.2.2.3).

Các trường hợp sử dụng này cũng áp dụng cho các thanh toán giữa doanh nghiệp với doanh nghiệp, đặc biệt khi người trả tiền là doanh nghiệp nhỏ.

7.2.2.1 MRCT — Thanh toán hóa đơn từ người tiêu dùng cho đơn vị chấp nhận thanh toán

Trong trường hợp này, như được minh họa trong Hình 12, người tiêu dùng sử dụng thiết bị di động của mình để thanh toán một hóa đơn thông qua MRCT từ tài khoản thanh toán của họ sang tài khoản thanh toán của đơn vị chấp nhận thanh toán (người nhận tiền). Trong những tình huống này, một ứng dụng MRCT chuyên dụng trên thiết bị di động sẽ được sử dụng.

Hơn nữa, một mã QR của đơn vị chấp nhận thanh toán, bao gồm tên, mã số tài khoản (ví dụ: số định tuyến, IBAN) của ngân hàng thanh toán của đơn vị chấp nhận thanh toán và số tiền giao dịch có thể được cung cấp trên hóa đơn, giúp việc nhập thông tin chi tiết của đơn vị chấp nhận thanh toán trở nên thuận tiện hơn cho người tiêu dùng.

Hình 14 - Chuyển tiền từ xa qua thẻ tín dụng (MRCT)

Trong Hình 14, các bước sau được minh họa:

Bước 0 (Yêu cầu trước)

- Đơn vị chấp nhận thanh toán gửi hóa đơn cho người tiêu dùng chứa mã QR, bao gồm tên đơn vị chấp nhận thanh toán, số tiền giao dịch và mã số tài khoản.

Bước 1 (Lựa chọn ứng dụng thanh toán)

- Người tiêu dùng chọn và mở ứng dụng MRCT trên thiết bị di động của mình, có thể yêu cầu nhập mã di động. Sau đó, người tiêu dùng quét mã QR từ hóa đơn của đơn vị chấp nhận thanh toán bằng thiết bị di động của mình.

Bước 2 (Nhập chi tiết giao dịch)

- Sau khi ứng dụng MRCT được chọn, người tiêu dùng chọn mã tài khoản mà họ muốn sử dụng trong trường hợp có nhiều tài khoản thanh toán đủ điều kiện, trong khi số tiền giao dịch và mã tài khoản của đơn vị chấp nhận thanh toán sẽ được tự động lấy từ mã QR.

Bước 3 (Yêu cầu chuyển tiền qua thẻ tín dụng)

- Yêu cầu chuyển tiền qua thẻ tín dụng được gửi đến MFSP của người tiêu dùng.

Bước 4 (Yêu cầu xác thực)

- MFSP của người tiêu dùng kiểm tra tính đầy đủ của các dữ liệu giao dịch và gửi yêu cầu xác thực (có thể bao gồm thử thách) đến ứng dụng MRCT trên thiết bị di động của người tiêu dùng.

Bước 5 (Phản hồi xác thực)

- Yêu cầu xác thực được xử lý tự động bởi ứng dụng MRCT trên thiết bị di động của người tiêu dùng. Người tiêu dùng thường được yêu cầu nhập mã di động của mình một lần trong quá trình giao dịch (xem 4.2.7). Nếu việc xác minh mã di động được thực hiện thành công bởi ứng dụng MRCT, ứng dụng sẽ tính toán một phản hồi xác thực và gửi phản hồi này đến MFSP của người tiêu dùng.

Bước 6 (Xác minh xác thực)

- MFSP của người tiêu dùng xác minh phản hồi xác thực và dữ liệu nhận được.

Bước 7 (Quá trình thanh toán)

- MFSP của người tiêu dùng kiểm tra tính khả dụng của số dư trong tài khoản của người tiêu dùng, chuẩn bị và gửi lệnh chuyển tiền qua thẻ tín dụng đến tổ chức của đơn vị chấp nhận thanh toán.

Bước 8 (Hoàn tất giao dịch)

- Tổ chức của đơn vị chấp nhận thanh toán ghi có số tiền giao dịch vào tài khoản của đơn vị chấp nhận thanh toán.

Bước 9 (Thông tin giao dịch)

Đơn vị chấp nhận thanh toán có thể nhận được thông báo từ tổ chức của mình rằng tài khoản của họ đã được ghi có. Người tiêu dùng có thể nhận thông báo từ MFSP của họ cho biết tài khoản đã được ghi nợ. Nếu có các thủ tục thông báo, các yêu cầu sau đây cần được tuân thủ:

- Dịch vụ "Xác nhận thanh toán" được thiết lập.

- MFSP của người tiêu dùng và MFSP của đơn vị chấp nhận thanh toán sẽ tham gia vào dịch vụ "Xác nhận thanh toán".

- Đơn vị chấp nhận thanh toán đã đăng ký dịch vụ thông báo với MFSP của mình.

- Người tiêu dùng có khả năng yêu cầu MFSP của mình để kích hoạt dịch vụ "Xác nhận thanh toán".

7.2.2.2 MRCT — Giao dịch từ người tiêu dùng đến đơn vị chấp nhận thanh toán với việc chuyển hướng người tiêu dùng đến MFSP của họ để xác thực

Trong trường hợp này, như được minh họa trong Hình 15, người tiêu dùng sử dụng thiết bị di động của mình để thanh toán cho hàng hóa hoặc dịch vụ do đơn vị chấp nhận thanh toán cung cấp (người nhận tiền). Một MRCT được sử dụng từ tài khoản thanh toán của người tiêu dùng sang tài khoản thanh toán của đơn vị chấp nhận thanh toán qua trình duyệt di động.

Hơn nữa, người tiêu dùng được chuyển hướng từ trang web của đơn vị chấp nhận thanh toán đến dịch vụ di động của MFSP của họ (ví dụ: hệ thống ngân hàng di động) nơi mà việc xác thực được thực hiện.

Trong Hình 15, các bước sau được minh họa:

Bước 0 (Yêu cầu trước)

- Người tiêu dùng sử dụng trình duyệt trên thiết bị di động của mình để truy cập trang web của đơn vị chấp nhận thanh toán và chọn hàng hóa hoặc dịch vụ mà họ muốn mua. Sau khi chấp nhận các điều kiện mua hàng chung của đơn vị chấp nhận thanh toán, người tiêu dùng được yêu cầu xác nhận giao dịch mua hàng.

- Phần thanh toán trên trang web của đơn vị chấp nhận thanh toán hiển thị các chi tiết giao dịch, bao gồm số tiền và các tùy chọn thanh toán cho người tiêu dùng. Người tiêu dùng chọn chương trình thanh toán điện tử (TPP) ưa thích của họ trong phần thanh toán này.

Bước 1 (Chuyển hướng khách hàng đến Chương trình thanh toán điện tử)

- Người tiêu dùng được chuyển hướng đến trang chi tiết giao dịch, bao gồm tên người thụ hưởng, số tiền giao dịch và số tài khoản qua chương trình thương mại điện tử vào cổng thông tin của TPP.

Bước 2 (Lựa chọn MFSP của người tiêu dùng)

- Người tiêu dùng được mời nhập MFSP ưa thích của họ trên cổng thông tin giao dịch này.

Bước 3 (Yêu cầu chuyển tiền qua thẻ tín dụng)

- Một yêu cầu chuyển tiền qua thẻ tín dụng, bao gồm số tiền giao dịch, tên đơn vị chấp nhận thanh toán và mã tài khoản của đơn vị chấp nhận thanh toán được chuyển đến MFSP của người tiêu dùng.

Bước 4 (Chuyển hướng đến MFSP của người tiêu dùng)

- Người tiêu dùng được chuyển hướng đến dịch vụ di động của MFSP qua cổng thông tin chương trình thanh toán điện tử của MFSP.

Hình 15 - Giao dịch từ người tiêu dùng đến đơn vị chấp nhận thanh toán với việc chuyển hướng người tiêu dùng đến MFSP của họ để xác thực

Bước 5 (Xác thực người tiêu dùng)

- Người tiêu dùng được yêu cầu nhập thông tin xác thực người tiêu dùng và mã số nhận dạng theo chính sách bảo mật của MFSP. Sau khi xác thực thành công, yêu cầu chuyển tiền qua thẻ tín dụng với thông tin giao dịch, bao gồm số tiền giao dịch và thông tin đơn vị chấp nhận thanh toán, sẽ được hiển thị cho người tiêu dùng.

Bước 6 (Yêu cầu xác thực)

- Người tiêu dùng MFSP gửi yêu cầu xác thực có thể bao gồm cả xác thực động (ví dụ mỗi cá nhân sử dụng một số tài) cho người tiêu dùng (ví dụ thông qua SMS).

Bước 7 (Phản hồi xác thực)

- Người tiêu dùng được yêu cầu nhập phản hồi xác thực (ví dụ: mã xác thực động) vào một hệ thống xác thực chuyên dụng để ủy quyền yêu cầu chuyển tiền qua thẻ tín dụng gửi đến MFSP của họ.

Bước 8 (Xác minh xác thực)

- MFSP của người tiêu dùng xác minh phản hồi xác thực và dữ liệu nhận được.

Bước 9 (Chuyển hướng khách hàng đến đơn vị chấp nhận thanh toán)

- Người tiêu dùng được chuyển hướng dựa trên thông tin giới thiệu đã nhận trước đó từ MFSP của họ qua chương trình thương mại điện tử hoặc cổng TPP đến đơn vị chấp nhận thanh toán.

Bước 10 (Chấp nhận chuyển tiền qua thẻ tín dụng)

- MFSP của người tiêu dùng kiểm tra tính khả dụng của số dư trong tài khoản của người tiêu dùng và gửi xác nhận việc chấp nhận chuyển tiền qua thẻ tín dụng đến cổng thanh toán điện tử hoặc cổng TPP.

Bước 11 (Xác nhận thanh toán cho đơn vị chấp nhận thanh toán)

- Đơn vị chấp nhận thanh toán được thông báo từ chương trình thương mại điện tử hoặc TPP về việc xác nhận thanh toán, có thể qua sự chuyển tiếp xác nhận từ MFSP việc xác nhận chuyển khoản ghi có tạo thuận lợi cho việc gửi hàng hóa/dịch vụ tới người tiêu dùng.

Bước 12 (Giao hàng hàng hóa/dịch vụ)

- Người tiêu dùng nhận được xác nhận từ đơn vị chấp nhận thanh toán về việc giao hàng hóa hoặc dịch vụ.

Bước 13 (Quá trình thanh toán)

- MFSP của người tiêu dùng chuẩn bị và gửi lệnh chuyển tiền qua thẻ tín dụng đến tổ chức của đơn vị chấp nhận thanh toán.

Bước 14 (Hoàn tất giao dịch)

Tổ chức của đơn vị chấp nhận thanh toán ghi có số tiền giao dịch vào tài khoản của đơn vị chấp nhận thanh toán.

Bước 15 (Thông tin giao dịch)

Đơn vị chấp nhận thanh toán có thể nhận thông báo từ tổ chức của mình rằng tài khoản của họ đã được ghi có. Người tiêu dùng có thể nhận thông báo từ MFSP của họ cho biết tài khoản của họ đã bị ghi nợ.

7.2.2.3 MRCT — Giao dịch từ người tiêu dùng đến đơn vị chấp nhận thanh toán với việc chuyển hướng người tiêu dùng đến TPP để xác thực

Trong trường hợp này, như được minh họa trong Hình 16, người tiêu dùng sử dụng thiết bị di động của mình để thanh toán cho hàng hóa hoặc dịch vụ được cung cấp bởi đơn vị chấp nhận thanh toán (người nhận tiền). Một MRCT được sử dụng từ tài khoản thanh toán của người tiêu dùng sang tài khoản thanh toán của đơn vị chấp nhận thanh toán qua trình duyệt internet trên thiết bị di động.

Hơn nữa, người tiêu dùng được chuyển hướng từ trang web của đơn vị chấp nhận thanh toán đến một TPP cho việc xác thực của họ, và sau khi xác thực, TPP này sẽ truyền yêu cầu chuyển tiền đến MFSP của người tiêu dùng.

Bước 0 (Yêu cầu trước)

- Người tiêu dùng sử dụng trình duyệt trên thiết bị di động để điều hướng đến trang web của đơn vị chấp nhận thanh toán và chọn hàng hóa hoặc dịch vụ mà họ muốn mua. Sau khi chấp nhận các điều kiện mua hàng chung của đơn vị chấp nhận thanh toán, người tiêu dùng được yêu cầu xác nhận việc mua.

- Phần thanh toán trên trang web của đơn vị chấp nhận thanh toán đến người tiêu dùng hiển thị các chi tiết giao dịch, bao gồm số tiền và các tùy chọn thanh toán. Người tiêu dùng chọn chương trình thanh toán điện tử (TPP) của họ trong phần thanh toán này.

Bước 1 (Chuyển hướng người tiêu dùng đến Chương trình/ Sơ đồ thanh toán điện tử)

- Người tiêu dùng được chuyển hướng với thông tin chi tiết giao dịch, bao gồm tên đơn vị chấp nhận thanh toán, số tiền giao dịch và số tài khoản của đơn vị chấp nhận thanh toán, vào cổng thông tin của TPP trong phần thanh toán này.

Bước 2 (Lựa chọn MFSP của người tiêu dùng)

- Người tiêu dùng được yêu cầu nhập MFSP và tài khoản mà họ muốn sử dụng cho giao dịch này trên cổng thông tin này.

Bước 3 (Xác thực người tiêu dùng)

- Người tiêu dùng được yêu cầu nhập ID người tiêu dùng và dữ liệu xác thực của mình theo chính sách bảo mật của TPP. Sau khi xác thực thành công, tham chiếu giao dịch bao gồm số tiền giao dịch với chi tiết giao dịch và đơn vị chấp nhận thanh toán sẽ được hiển thị cho người tiêu dùng.

Hình 16 - MRCT — Giao dịch từ người tiêu dùng đến đơn vị chấp nhận thanh toán với việc chuyển hướng người tiêu dùng đến TPP để xác thực

Bước 4 (Yêu cầu xác thực)

- TPP gửi một yêu cầu xác thực, có thể bao gồm một thiết bị xác thực động (ví dụ: sử dụng mã một lần qua SMS), đến người tiêu dùng.

Bước 5 (Phản hồi xác thực)

- Người tiêu dùng sau đó được yêu cầu nhập phản hồi xác thực vào thiết bị xác thực dành riêng để cắp quyền cho yêu cầu chuyển tiền đến TPP.

Bước 6 (Yêu cầu chuyển tiền)

- TPP kết nối với cổng điện tử của MFSP của người tiêu dùng và nhập ID người tiêu dùng đã được xác thực và dữ liệu xác thực. Yêu cầu chuyển tiền bao gồm các thông tin của người tiêu dùng, số tiền giao dịch, tên đơn vị chấp nhận thanh toán và số tài khoản của đơn vị chấp nhận thanh toán được chuyển đến MFSP của người tiêu dùng.

Bước 7 (Phản hồi xác thực từ TPP)

- TPP gửi phản hồi xác thực để ủy quyền yêu cầu chuyển tiền đến MFSP của người tiêu dùng.

Bước 8 (Xác minh xác thực)

- MFSP của người tiêu dùng xác minh phản hồi xác thực và dữ liệu đã nhận từ TPP.

Bước 9 (Chuyển hướng người tiêu dùng đến đơn vị chấp nhận thanh toán)

- Người tiêu dùng được chuyển hướng dựa trên thông tin giới thiệu đã nhận từ TPP đến đơn vị chấp nhận thanh toán.

Bước 10 (Chấp nhận chuyển tiền từ đơn vị chấp nhận thanh toán)

- MFSP của người tiêu dùng kiểm tra khả năng thanh toán trong tài khoản của người tiêu dùng và gửi xác nhận chấp nhận chuyển tiền đến TPP.

Bước 11 (Xác nhận thanh toán đến đơn vị chấp nhận thanh toán điện tử)

- Đơn vị chấp nhận thanh toán nhận thông báo từ TPP về xác nhận thanh toán, có thể qua việc chuyển tiếp xác nhận từ MFSP về việc chấp nhận chuyển tiền, cho phép gửi hàng hóa hoặc dịch vụ cho người tiêu dùng.

Bước 12 (Giao hàng hoặc dịch vụ)

- Người tiêu dùng nhận thông báo từ đơn vị chấp nhận thanh toán về việc giao hàng hoặc dịch vụ.

Bước 13 (Xử lý thanh toán)

- MFSP của người tiêu dùng chuẩn bị và gửi yêu cầu chuyển tiền đến tổ chức của đơn vị chấp nhận thanh toán.

Bước 14 (Hoàn tất giao dịch)

- Tổ chức của đơn vị chấp nhận thanh toán ghi có vào tài khoản của đơn vị chấp nhận thanh toán với số tiền giao dịch.

Bước 15 (Thông tin giao dịch)

Đơn vị chấp nhận thanh toán có thể nhận thông báo từ tổ chức của mình về việc tài khoản của mình đã được ghi có. Người tiêu dùng có thể nhận thông báo từ MFSP của mình về việc tài khoản của họ đã bị ghi nợ.

Phần mềm TPP dưới dạng ứng dụng có thể được cài đặt sẵn trên thiết bị di động của người tiêu dùng để hỗ trợ quá trình tự động hóa xác thực người tiêu dùng. Trong trường hợp này, thông thường yêu cầu người tiêu dùng nhập mã di động trên thiết bị di động trong quá trình xác thực, giống như mô tả trong 7.2.2.1. Việc nhập mã di động sẽ tuân thủ quy trình như đã mô tả trong 4.2.7.

7.2.3 Giao dịch di động từ xa sử dụng máy chủ bảo mật từ xa

Hình 17 - Giao dịch di động từ xa sử dụng máy chủ bảo mật từ xa

Có những trường hợp mà người tiêu dùng cần phải nhập xác thực để mở ứng dụng nhằm truy cập Internet.

Khi tham chiếu đến xác thực, thuật ngữ phương pháp xác thực người tiêu dùng (UVM) được sử dụng nhất quán với các trường hợp sử dụng khác trong tiêu chuẩn này. Như đã thừa nhận trước đây, mỗi MFSP sẽ có hệ thống UVM riêng.

Một UVM phù hợp trong môi trường này có thể là mở thiết bị di động, không phải ứng dụng hoặc trình duyệt. Tuy nhiên, có thể cần xác thực cả thiết bị di động và ứng dụng/trình duyệt. Do đó, các trường hợp sử dụng này có khả năng yêu cầu hai lần xác thực diễn ra (vào hai thời điểm khác nhau), bao gồm trường hợp người tiêu dùng được chuyển hướng đến MFSP đã cấp ứng dụng.

CHÚ THÍCH: “Nhà cung cấp dịch vụ” có thể là MFSP, bao gồm MNO nếu có, hoặc một bên thứ ba tham gia liên quan đến mối quan hệ tin cậy giữa người dùng và MFSP.

Ứng dụng (trên một máy chủ bảo mật không kể nơi nó được lưu trữ) có thể là một ví điện tử, sẽ cho phép người tiêu dùng truy cập vào các công cụ thanh toán khác nhau khi họ có quyền truy cập vào ứng dụng được lưu trữ trên máy chủ bảo mật đó.

Bước 0

- Người tiêu dùng truy cập Internet qua thiết bị di động.

CHÚ THÍCH 3: Bước này bao gồm cả kết nối trực tiếp từ thiết bị di động đến Internet, cũng như việc sử dụng ứng dụng MFSP để truy cập "giao diện người tiêu dùng" trên Internet.

Bước 1

- Người tiêu dùng điều hướng đến MFSP mà họ có mối quan hệ trước đó, sử dụng ứng dụng trên thiết bị di động hoặc trình duyệt để truy cập vào ứng dụng MFS trên một máy chủ bảo mật.

- Người tiêu dùng xác định doanh nghiệp/ đơn vị chấp nhận thanh toán và POI sẽ thực hiện giao dịch.

- Sau khi xác minh sự tham gia của POI trong dịch vụ, MFSP yêu cầu thông tin xác thực từ người tiêu dùng.

- Thông tin xác thực được xác minh bởi MFSP sử dụng UVM áp dụng (xem chú thích 3, cùng một MFSP có thể xử lý nhiều vai trò hoặc cung cấp nhiều dịch vụ).

Bước 2

- MFSP xác định quy trình thích hợp cho giao dịch, bao gồm phân tích và áp dụng các tham số quản lý rủi ro liên quan, và sau khi phê duyệt, giao dịch được cấp phép trước bởi MFSP.

- Thông tin giao dịch dựa trên thông tin được cung cấp bởi người tiêu dùng và cấu hình của POI đã được xác định được nhà cung cấp MFSP.

Bước 3

- Sau khi xử lý cấp phép trước, POI được thông báo về chi tiết giao dịch và giao dịch có thể tiếp tục.

(Tùy chọn) Người tiêu dùng qua thiết bị di động và trình duyệt cũng được thông báo về cấp phép trước thành công.

Bước 4

- Giao dịch được thực hiện bởi đơn vị chấp nhận thanh toán (ví dụ: qua hệ thống POS hoặc văn phòng).

- (Tùy chọn) Nếu đây là giao dịch "mô phỏng thẻ máy chủ" (HCE), giao dịch sẽ được chuyển hướng đến ngân hàng thanh toán của đơn vị chấp nhận thanh toán để xử lý.

CHÚ THÍCH 4: Thông tin bổ sung về mô phỏng thẻ máy chủ được nêu trong Phụ lục A.

- (Tùy chọn) Nếu đây là giao dịch từ xa hoặc giao dịch "dựa trên đám mây", mã xác thực (hoặc mã ủy quyền) được gửi tới thiết bị di động, sau đó thiết bị di động sẽ chuyển mã xác thực tới POI để tiếp tục giao dịch.

- (Tùy chọn) Trong một loại giao dịch "dựa trên đám mây" khác, mã xác thực (hoặc mã ủy quyền) được gửi trực tiếp tới đơn vị chấp nhận thanh toán (không phụ thuộc vào POI), và đơn vị chấp nhận thanh toán có thể hoàn tất giao dịch mà không cần chuyển hướng qua ngân hàng thanh toán của đơn vị chấp nhận thanh toán.

- (Tùy chọn) Nếu đây là giao dịch thương mại điện tử, mã xác thực và việc hoàn tất giao dịch hoàn toàn nằm trong sự kiểm soát của đơn vị chấp nhận thanh toán, không có sự liên lạc nào với POI.

Bước 5

- Chi tiết giao dịch cuối cùng được cung cấp bởi POI cho MFSP để hoàn tất giao dịch.

- (Tùy chọn) Chi tiết giao dịch cuối cùng được tự động chứa trong MFSP và cung cấp cho các bên qua MFSP tương ứng của họ.

Bước 6

- MFSP thực hiện việc thanh toán giao dịch, dẫn đến việc ghi nợ tài khoản của người tiêu dùng và ghi cò vào tài khoản liên kết với POI.

Bước 7

- Biên lai giao dịch được hiển thị trong trình duyệt của thiết bị di động.

- Biên lai nên có sẵn để lưu trữ cục bộ trên thiết bị di động hoặc qua cơ chế lưu trữ theo lựa chọn của người tiêu dùng (ví dụ: email).

- MFSP duy trì lịch sử hoạt động của người tiêu dùng để tham khảo và truy cập sau này.

Bước 8

- Người tiêu dùng kết thúc phiên trình duyệt trên thiết bị di động, hoặc người tiêu dùng đóng ứng dụng MFS (hoặc kết thúc phiên ứng dụng và đóng ứng dụng).

7.2.4 Mô hình tương thích dựa trên cơ sở hạ tầng chung tập trung

Trong các MRP dựa trên thẻ thanh toán hoặc chuyển khoản ghi có, tính tương thích giữa các hệ thống được đảm bảo nhờ vào việc sử dụng cơ sở hạ tầng chung tập trung. Cơ sở hạ tầng này có thể có nhiều hình thức và mục đích khác nhau, và thậm chí có thể được triển khai theo cách phân tán. Mục đích chính của cơ sở hạ tầng này là làm công cụ chuyển tiếp hoặc định tuyến giao dịch. Ngoài ra, cơ sở hạ tầng tập trung này cũng có thể cung cấp các dịch vụ giá trị gia tăng khác như dịch vụ thông báo và giao hàng, tuy nhiên, những dịch vụ này không được đề cập trong tiêu chuẩn này.

Hình 18 - Mô hình tương thích dựa trên cơ sở hạ tàng chung tập trung

7.2.5 Thanh toán di động từ xa sử dụng các công cụ thanh toán khác

7.2.5.1 Thanh toán hóa đơn di động

Trong trường hợp hóa đơn tài khoản di động dựa trên việc người tiêu dùng sử dụng dịch vụ di động để thanh toán cho các hàng hóa hoặc dịch vụ mà họ tiêu dùng, đặc biệt là trong các dịch vụ viễn thông. Dù vậy, các doanh nghiệp nhỏ cũng có thể cung cấp dịch vụ di động cho khách hàng thông qua MFSP. Tùy thuộc vào loại dịch vụ đăng ký, người tiêu dùng có thể thanh toán hóa đơn trước hoặc sau khi sử dụng dịch vụ. Các hóa đơn này sẽ bao gồm thông báo và biên lai thanh toán, tham khảo thêm tại 4.4 và 4.5. Trong trường hợp thanh toán định kỳ, các thông báo có thể được gửi qua cảnh báo bật lên trên thiết bị di động, cung cấp thông tin về hậu quả của việc không thanh toán đúng hạn.

Trong trường hợp các chương trình thẻ trả trước, người tiêu dùng cần "nạp tiền" vào tài khoản để tiếp tục sử dụng dịch vụ. Người tiêu dùng cũng có thể nạp thêm tiền qua các phương thức thanh toán khác mà MFSP hỗ trợ (ví dụ: tiền mặt chuyển khoản qua thẻ tín dụng).

Trong trường hợp thẻ trả sau, MFSP sẽ gửi hóa đơn định kỳ cho người tiêu dùng theo các điều khoản của dịch vụ đăng ký.

MNO hoặc các MFSP khác sẽ tính phí từng giao dịch cho người tiêu dùng và thanh toán cho đơn vị chấp nhận thanh toán. Mô hình kinh doanh này được xác định bởi MNO hoặc MFSP. Hiện tại, không có quy định nào về việc minh bạch phí giao dịch đối với người tiêu dùng và đơn vị chấp nhận thanh toán trong tiêu chuẩn này, mặc dù yêu cầu minh bạch có thể được đưa ra trong tương lai.

Trường hợp sử dụng thông tin SMS được mô phỏng trên dịch vụ mạng viễn thông GSM.

Người tiêu dùng gửi một tin nhắn SMS với mã giao dịch, chỉ định số điện thoại của người nhận tiền và số tiền giao dịch (một số cú pháp có thể xác định). Lựa chọn mã di động có thể yêu cầu tùy thuộc vào cách triển khai (xem 4.2.7).

Người tiêu dùng ủy quyền giao dịch theo chính sách an toàn của MNO (ví dụ có thể yêu cầu mã PIN tùy thuộc vào cách triển khai).

Tài khoản di động của đơn vị chấp nhận thanh toán được ghi có.

Người tiêu dùng và đơn vị chấp nhận thanh toán nhận được tin nhắn SMS xác nhận giao dịch do MNO gửi.

7.2.5.2 Thanh toán từ xa qua tài khoản lưu trữ (SVA)

Để thực hiện các giao dịch thanh toán từ xa sử dụng tài khoản giá trị lưu trữ (SVA), người tiêu dùng và đơn vị chấp nhận thanh toán có thể sử dụng hoặc không sử dụng cùng một MFSP. Thanh toán sẽ được thực hiện bằng cách chuyển tiền từ một SVA sang đơn vị chấp nhận thanh toán. Giao dịch sẽ được khởi tạo qua một hệ thống POI từ xa truyền thống và chuyển đến ngân hàng thanh toán để xử lý và hoàn tất giao dịch. MFSP phải tuân thủ các yêu cầu thông báo và biên lai theo các quy định tại 4.4 và 4.5.

Có nhiều phương thức khác nhau để triển khai trường hợp sử dụng này, vì vậy mỗi MFSP có thể lựa chọn cách thức triển khai dịch vụ phù hợp với nhu cầu và yêu cầu kinh doanh của mình.

7.2.6 Quản lý rủi ro trong thanh toán di động từ xa (MRPs)

Môi trường di động cung cấp một số tính năng bổ sung có thể được khai thác cho thanh toán di động từ xa (MRPs) so với thanh toán di động gần sử dụng "chế độ thẻ tín dụng". Cụ thể, vì chủ thẻ không có mặt, giao dịch MRP có mức độ rủi ro cao hơn so với các giao dịch thẻ truyền thống: tuy nhiên, môi trường di động cung cấp một phương thức xác minh người tiêu dùng (UVM), giúp MFSP bảo vệ các giao dịch MRP qua việc sử dụng UVM (ví dụ: phương thức xác minh khách hàng, như được sử dụng bởi các thương hiệu thẻ khác nhau hoặc trong EMV). Trong các tình huống EMV, UVM được gọi là phương thức xác minh chủ thẻ (CVM); một số điều khiển được quy định trong 7.1 liên quan đến các ví dụ về CVM. Ngoài ra, như đã nêu trong 7.1, kênh truyền tải OTA được sử dụng bởi một số MFSPcung cấp ứng dụng MRP để quản lý MFS của họ, bao gồm việc thiết lập các tham số rủi ro cụ thể nhằm giảm sự phụ thuộc vào cách thức giao diện ứng dụng với máy chủ bảo mật.

Như đã chỉ ra ở trên, các yếu tố rủi ro chính trong các ứng dụng MRP là việc xác thực người tiêu dùng và/hoặc thiết bị di động. Khi người tiêu dùng mở kết nối với ứng dụng trên máy chủ bảo mật, MFSP phải thực hiện các bước thích hợp để thiết lập cơ chế xác thực. Mọi cơ chế như vậy (ví dụ: mã di động, sinh trắc học) đều được thiết lập dưới sự kiểm soát và quyết định của MFSP; tuy nhiên, người tiêu dùng sẽ có quyền kiểm soát việc sử dụng ứng dụng và do đó quyết định thời điểm cung cấp thông tin xác thực.

Giống như trong các MPPs, sự phân biệt giữa các giao dịch MRP trực tuyến và ngoại tuyến cần được xem xét từ góc độ quản lý rủi ro. Do đó, một số tham số rủi ro có thể được sử dụng, bao gồm một số tham số đã được thảo luận trong phần MPPs. Các tham số rủi ro này và chức năng của chúng, cũng như cách chúng giao tiếp với người tiêu dùng, sẽ được MFSP hoặc ngân hàng thanh toán của đơn vị chấp nhận thanh toán thiết lập dựa trên ứng dụng cơ bản.

Nói chung, rủi ro liên quan đến MRP phụ thuộc rất nhiều vào các biện pháp bảo mật được thực hiện để bảo vệ các giao tiếp giữa thiết bị di động và máy chủ từ xa. Trong những tình huống khác, có thể yêu cầu các biện pháp bảo mật khác khi máy chủ từ xa có thể giao tiếp với POI thay vì thiết bị di động. Vì vậy, việc tuân thủ các yêu cầu của TCVN 14488-2 (ISO/TS 12812-2) là rất quan trọng để đảm bảo rằng ứng dụng được bảo vệ đầy đủ và các giao dịch MRP được thực hiện với các phương pháp bảo mật mạnh mẽ.

8 Yêu cầu trong môi trường người tiêu dùng

8.1 Tổng quan

Có nhiều vấn đề liên quan đến bảo mật, tính minh bạch và bảo vệ dữ liệu có thể phát sinh khi người tiêu dùng thực hiện thanh toán di động cho doanh nghiệp (ví dụ: quản lý rủi ro, quyền riêng tư và bảo mật thông tin).

Tất cả các vấn đề nêu trên, cùng với các vấn đề bảo mật khác, đã được đề cập trong tiêu chuẩn TCVN 14488-2 (ISO/TS 12812-2). Tuy nhiên, các vấn đề liên quan đến minh bạch, công bằng và bảo vệ quyền lợi trong các hợp đồng của người tiêu dùng vẫn cần được xem xét thêm, đặc biệt trong môi trường mà người tiêu dùng thực hiện thanh toán cho các doanh nghiệp.

8.2 Yêu cầu trong môi trường người tiêu dùng

8.2.1 Một MFSP và các đại lý của MFSP phải cung cấp thông tin rõ ràng, ngắn gọn, chính xác, đáng tin cậy, có thể so sánh, dễ tiếp cận và cập nhật kịp thời bằng văn bản hoặc miệng về các sản phẩm và dịch vụ sẽ được cung cấp, đặc biệt là các tính năng chính của sản phẩm.

8.2.2 Một MFSP nên xây dựng các quy trình hiệu quả để giải quyết khiếu nại và yêu cầu của người tiêu dùng, đồng thời chia sẻ các thông tin liên quan này với người tiêu dùng (xem Phụ lục B).

8.2.3 Một MFSP phải xây dựng các quy trình hiệu quả để hoàn tác giao dịch, đồng thời áp dụng các biện pháp bảo vệ phù hợp nhằm ngăn chặn việc báo cáo sai sót.

8.2.4 Một MFSP phải đảm bảo rằng các bên tham gia vào việc cung cấp và xử lý thanh toán di động thực hiện các biện pháp bảo vệ quyền lợi người tiêu dùng, đồng thời tuân thủ các yêu cầu pháp lý hiện hành tại khu vực mà hợp đồng của người tiêu dùng được ký kết (ví dụ: điều khoản hợp đồng công bằng, sự đồng ý cung cấp thông tin, quyền thông báo và giải quyết tranh chấp, cũng như minh bạch về các khoản phí và trách nhiệm pháp lý).

8.2.5 Một MFSP phải đảm bảo rằng các bên tham gia vào việc phát triển MFS, cũng như cung cấp và xử lý thanh toán di động, phải đặc biệt chú ý đến nhu cầu của người tiêu dùng khuyết tật (ví dụ: khuyết tật về thính giác và thị giác).

Phụ lục A

(Tham khảo)

Mô phỏng thẻ máy chủ

Một ví dụ về thanh toán gần sử dụng "mô phỏng thẻ máy chủ" được trình bày dưới đây:

- POI hiển thị giá trị mua hàng.

- Người tiêu dùng chọn ứng dụng trên thiết bị di động hoặc trong một ví di động để thực hiện thanh toán.

- Người tiêu dùng nhập số nhận dạng cá nhân (PIN); một PIN có thể được sử dụng cho toàn bộ ví hoặc một PIN riêng biệt có thể được sử dụng cho mỗi "thẻ" hoặc ứng dụng trong ví.

- Người tiêu dùng đưa thiết bị di động gần đầu đọc không tiếp xúc của đơn vị chấp nhận thanh toán/thiết bị POS.

- Thiết bị đầu cuối POS thực hiện xác thực ngược.

- Thiết bị POS nhận xác nhận thanh toán.

- Người tiêu dùng nhận biên lai (bản in hoặc gửi đến thiết bị di động).

Là một thuật ngữ chung, PIN chỉ là một mật khẩu. Như nêu trong 4.2.7, việc sử dụng PIN do ngân hàng phát hành phải tuân thủ các yêu cầu cụ thể (xem ISO 9564). Hình A.1 minh họa các giao dịch thanh toán gần điển hình.

Hình A.1 - Mô hình giao dịch thanh toán gần

Phụ lục B

(Tham khảo)

Quy trình giải quyết khiếu nại và tranh chấp

B.1 Tổng quan

Người tiêu dùng sử dụng dịch vụ thanh toán di động cần được bảo vệ tương tự như những người sử dụng các hình thức thanh toán khác. Điều này bao gồm việc cung cấp các biện pháp giải quyết tranh chấp, xử lý khiếu nại và cơ chế giải quyết. Các bên liên quan, bao gồm MFSP và các đại lý ủy quyền của họ, cũng như các cơ quan quản lý và chính phủ, có thể đóng vai trò quan trọng trong việc đảm bảo các cơ chế cần thiết có sẵn và dễ tiếp cận, hợp lý về chi phí, công bằng, minh bạch, kịp thời và hiệu quả.

Người tiêu dùng cũng cần được hướng dẫn về trách nhiệm của họ khi tìm kiếm giải quyết khiếu nại, ví dụ như việc cung cấp thông tin chính xác và trung thực cùng các nội dung cần thiết để giải quyết khiếu nại và tranh chấp.

B.2 Quy trình xử lý khiếu nại và giải quyết khiếu nại

MFSP và các đại lý ủy quyền của họ cần thiết lập các cơ chế để xử lý khiếu nại và giải quyết tranh chấp theo đúng các tiêu chuẩn TCVN ISO 10002 và TCVN ISO 10003.

Các cơ chế này cần được cung cấp một cách dễ dàng cho người tiêu dùng, miễn phí hoặc theo các điều khoản hợp lý, khi cần thiết và phù hợp.

Người tiêu dùng cần được cung cấp đầy đủ thông tin, bằng ngôn ngữ dễ hiểu và minh bạch, về thời gian và thời hạn giải quyết khiếu nại cũng như các quy trình/ thủ tục liên quan.

MFSP và các đại lý ủy quyền của họ cần duy trì các kênh giao tiếp mở, đáng tin cậy và dễ tiếp cận, mà người tiêu dùng có thể sử dụng để báo cáo khiếu nại và theo dõi.

B.3 Giải quyết tranh chấp

Một MFSP và các đại lý ủy quyền của họ cần làm việc để nhận dạng và/hoặc áp dụng các cơ chế giải quyết tranh chấp thay thế (ADR) công bằng, minh bạch, dễ tiếp cận, độc lập, hợp lý về chi phí và đáng tin cậy, nhằm mục đích giải quyết các tranh chấp phát sinh từ việc sử dụng dịch vụ thanh toán di động để thực hiện thanh toán cho doanh nghiệp. Cơ chế ADR được áp dụng cần cung cấp một giải pháp hiệu quả cho tranh chấp một cách kịp thời và minh bạch.

Người tiêu dùng cần được cung cấp cơ hội để chuyển sang một cơ chế ADR độc lập, đặc biệt trong trường hợp các quy trình xử lý khiếu nại và giải quyết khiếu nại nội bộ của MFSP và các đại lý ủy quyền không mang lại kết quả thỏa đáng cho người tiêu dùng.

Thư mục tài liệu tham khảo

[1] ISO 8583, Financial transaction card originated messages - Interchange message specifications.

[2] ISO 9564, Financial services - Personal Identification Number (PIN) management and security.

[3] TCVN ISO 10002, Quality management - Customer satisfaction - Guidelines for complaints handling in organizations.

[4] TCVN ISO 10003, Quality management- Customer satisfaction - Guidelines for dispute resolution external to organizations.

[5] TCVN 14488-4 (ISO/TS 12812-4), Core banking - Mobile financial services - Part 4: Mobile payments-to-persons.

[6] ISO 18245, Retail financial services - Merchant category codes

[7] ISO 20022, Retail financial services - Universal financial industry message scheme.

[8] ISO/IEC 14443 (all parts), Identification cards - Contactless integrated circuit cards - Proximity cards.

[9] ISO/IEC/TR 14516, Information technology - Security techniques - Guidelines for the use and management of Trusted Third Party services

[10] EUROPEAN PAYMENTS COUNCIL, EPC 492.09, White Paper Mobile Payments, Version 4.0 (http://www.europeanpavmentscouncil.eu)

[11] EUROPEAN PAYMENTS COUNCIL, EPC 178-10, Mobile Contactless Interoperability Implementation Guidelines (http://www.europeanpavmentscouncil.eu')

[12] BRADFORD S., & KEATON W. New Person-to-Person Payment Methods: Have Checks Met Their Match. Operator Bank of Kansas City Economic Review (Third Quarter 2012)

[13] IEEE 802.11, IEEE standard for Information Technology - Telecommunications and information exchange between systems Local metropolitan area networks - Specific requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications

MỤC LỤC

Lời nói đầu

Lời giới thiệu

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Thuật ngữ và định nghĩa

4.1 Yêu cầu lựa chọn thiết bị, mạng và ứng dụng

4.2 Yêu cầu bảo mật

4.3 Yêu cầu về nhật ký giao dịch

4.4 Yêu cầu về thông báo

4.5 Yêu cầu về biên lai giao dịch

4.6 Yêu cầu về dữ liệu riêng tư

5 Các loại thanh toán di động

5.1 Thanh toán di động gần

5.2 Thanh toán di động từ xa

5.3 Các công nghệ thanh toán di động khác

5.3.1 Thanh toán dựa trên mã phản hồi nhanh (QR)

5.3.2 Thanh toán di động qua tin nhắn văn bản ngắn (SMS)

5.3.3 Thanh toán di động qua phát sóng di động

5.3.4 Ví di động

6 Các công cụ thanh toán

6.1 Ghi nợ trực tiếp

6.2 Chuyển khoản ghi có

6.3 Thẻ thanh toán

6.4 Các công cụ thanh toán khác

6.4.1 Tài khoản hóa đơn di động

6.4.2 Tài khoản giá trị lưu trữ (SVA)

7 Các trường hợp sử dụng

7.1 Trường hợp sử dụng thanh toán di động gần

7.1.1 Phương pháp kiểm tra xác thực người tiêu dùng

7.1.2 Một trạm: Phân tích UVM

7.1.3 Hai chạm-Phân tích UVM

7.1.4 Giao dịch thanh toán không tiếp xúc

7.1.5 Quản lý rủi ro trong thanh toán di động gần

7.1.6 Các tính năng bổ sung

7.1.7 Tính tương thích và khả năng cung cấp dịch vụ MPP

7.2 Các trường hợp sử dụng thanh toán từ xa

7.2.1 Thanh toán thẻ di động từ xa

7.2.2 Chuyển tiền từ xa (MRCT)

7.2.3 Giao dịch di động từ xa sử dụng máy chủ bảo mật từ xa

7.2.4 Mô hình tương thích dựa trên cơ sở hạ tầng chung tập trung

7.2.5 Thanh toán di động từ xa sử dụng các công cụ thanh toán khác

7.2.6 Quản lý rủi ro trong thanh toán di động từ xa (MRPs)

8 Yêu cầu trong môi trường người tiêu dùng

8.1 Tổng quan

8.2 Yêu cầu trong môi trường người tiêu dùng

Phụ lục A

Phụ lục B

Thư mục tài liệu tham khảo

[1] Bộ đếm giao dịch ngoại tuyến liên tiếp tính số lượng giao dịch kể từ lần cuối bộ đếm được thiết lập lại bởi MFSP. Việc thực hiện giao dịch trực tuyến không nhất thiết phải dẫn đến việc bộ đếm bị thiết lập lại.

[2] Ứng dụng MPP luôn phải có một giao diện người tiêu dùng đi kèm. Dữ liệu ghi nhật ký cần được trích xuất từ ứng dụng MPP và lưu trữ trong giao diện người tiêu dùng.

[3] Xem xét khía cạnh toàn vẹn và bảo mật dữ liệu, dữ liệu trong nhật ký giao dịch của ứng dụng MPP không được coi là an toàn (tức là không có bảo đảm rằng dữ liệu ghi nhật ký giao dịch EMV xuất phát từ một giao dịch với thiết bị đầu cuối an toàn).

[4] Tùy thuộc vào cách triển khai, chi tiết thẻ có thể được nhập trong phần thanh toán của trang web đơn vị chấp nhận thanh toán hoặc, thay vào đó, thông qua việc sử dụng một MFSP của bên thứ ba.

[5] Tùy thuộc vào cách triển khai, chi tiết thẻ có thể được nhập trong phần thanh toán của trang web đơn vị chấp nhận thanh toán hoặc, thay vào đó, thông qua việc sử dụng một MFSP của bên thứ ba.

[6] Quá trình xác thực này có thể liên quan đến các chi tiết giao dịch

[7] Quá trình xác thực rất giống với quá trình xác thực được sử dụng trong MRP.

[8] Việc sử dụng mã di động kết hợp với xác thực động mang lại hiệu quả trong việc tạo ra xác thực động mạnh.

[9] Trong một số trường hợp đặc biệt, yêu cầu ủy quyền có thể là tùy chọn, tùy thuộc vào loại thẻ thanh toán và quyết định của đơn vị chấp nhận thanh toán. Tuy nhiên, trong mọi trường hợp, khả năng thực hiện yêu cầu ủy quyền phải có mặt.

Bạn chưa Đăng nhập thành viên.

Đây là tiện ích dành cho tài khoản thành viên. Vui lòng Đăng nhập để xem chi tiết. Nếu chưa có tài khoản, vui lòng Đăng ký tại đây!

* Lưu ý: Để đọc được văn bản tải trên Luatvietnam.vn, bạn cần cài phần mềm đọc file DOC, DOCX và phần mềm đọc file PDF.

Hải Yến

Tiêu chuẩn TCVN 14488-5:2025 Ngân hàng lõi - Dịch vụ tài chính di động - Phần 5: Thanh toán di động cho doanh nghiệp

TÓM TẮT TIÊU CHUẨN VIỆT NAM TCVN 14488-5:2025

Tải tiêu chuẩn Việt Nam TCVN 14488-5:2025

Văn bản liên quan Tiêu chuẩn Việt Nam TCVN 14488-5:2025

Tiêu chuẩn quốc gia TCVN 14488-2:2025 ISO/TS 12812-2:2017 Ngân hàng lõi - Dịch vụ tài chính di động - Phần 2: Bảo mật và bảo vệ dữ liệu cho các dịch vụ tài chính di động

Tiêu chuẩn quốc gia TCVN 14488-4:2025 ISO/TS 12812-4:2017 Ngân hàng lõi - Dịch vụ tài chính di động - Phần 4: Thanh toán di động cho cá nhân

Tiêu chuẩn quốc gia TCVN 14488-1:2025 ISO 12812-1:2017 Ngân hàng lõi - Dịch vụ tài chính di động - Phần 1: Khuôn khổ chung

văn bản cùng lĩnh vực

Tiêu chuẩn quốc gia TCVN 14488-5:2025 ISO/TS 12812-5:2017 Ngân hàng lõi - Dịch vụ tài chính di động - Phần 5: Thanh toán di động cho doanh nghiệp

Tiêu chuẩn Quốc gia TCVN 11459:2016 ISO/IEC GUIDE 17:2016 Hướng dẫn biên soạn tiêu chuẩn có tính đến nhu cầu của các doanh nghiệp nhỏ và vừa

văn bản mới nhất

Quy chuẩn kỹ thuật quốc gia QCVN 90:2025/BNNMT An toàn đối với máy gặt đập liên hợp

Quy chuẩn kỹ thuật quốc gia QCVN 89:2025/BNNMT An toàn đối với máy cắt cỏ cầm tay dùng trong nông lâm nghiệp

Quy chuẩn kỹ thuật quốc gia QCVN 141:2025/BKHCN Chất lượng dịch vụ bưu chính phổ cập và dịch vụ công ích trong hoạt động phát hành báo chí

Quy chuẩn kỹ thuật quốc gia QCVN 29:2025/BXD về Khí thải Mức 4 đối với xe mô tô hai bánh, xe gắn máy hai bánh sản xuất, lắp ráp và nhập khẩu mới

Quy chuẩn kỹ thuật quốc gia QCVN 106:2025/BNNMT Về chất lượng phân bón