Chuyển đổi số phải đi liền với công tác đảm bảo an ninh, an toàn
Việc xây dựng các chuẩn kết nối chung trong kết nối dữ liệu là cần thiết để đảm bảo tính đồng bộ, an toàn và hiệu quả trong việc trao đổi, chia sẻ và kết nối dữ liệu giữa các ngân hàng, cũng như bên thứ ba.
Báo Đầu tư Chứng khoán đã có cuộc trao đổi với Phó Thống đốc Ngân hàng Nhà nước Phạm Tiến Dũng về việc đầu tư công nghệ ngân hàng nói chung và phát triển giao diện lập trình ứng dụng mở (Open API) nói riêng.
Đầu tư ứng dụng công nghệ mới luôn đòi hỏi phải có sự hoàn thiện khuôn khổ pháp lý song hành để đảm bảo điều chỉnh các vấn đề mới phát sinh, chẳng hạn với việc lưu trữ dữ liệu đám mây vượt ngoài biên giới địa lý, sự tham gia của các Fintech… Trong yêu cầu phát triển Open API, Ngân hàng Nhà nước đã có sự chuẩn bị như thế nào để hỗ trợ các ngân hàng thương mại đầu tư phát triển phương thức này trong thời gian tới, thưa ông?
Phó Thống đốc Ngân hàng Nhà nước Phạm Tiến Dũng
Trong quá trình chuyển đổi số quốc gia đang diễn ra mạnh mẽ như hiện nay, chuyển đổi số ngành ngân hàng đóng vai trò là một mắt xích quan trọng, cần ưu tiên chuyển đổi số trước theo chỉ đạo của Thủ tướng Chính phủ. Sớm nhận diện được những cơ hội lớn của xu hướng chuyển đổi số, ứng dụng công nghệ số của cuộc cách mạng công nghiệp 4.0 trong ngành ngân hàng, năm 2021, Thống đốc Ngân hàng Nhà nước đã ban hành Kế hoạch chuyển đổi số ngành ngân hàng đến năm 2025, định hướng đến năm 2030 (Quyết định 810/QĐ-NHNN) làm “kim chỉ nam” cho quá trình chuyển đổi số của ngành. Tại Quyết định 810/QĐ-NHNN, Thống đốc đã xác định những mục tiêu, nhiệm vụ cụ thể, quan trọng để phát triển hệ sinh thái số, trong đó yêu cầu các ngân hàng đẩy mạnh nghiên cứu tích hợp, kết nối mở rộng với các ngành, lĩnh vực khác để thiết lập hệ sinh thái số và cung ứng đa dạng các sản phẩm, dịch vụ hướng đến các mô hình kinh doanh mới như ngân hàng mở (Open Banking) để cung ứng các sản phẩm, dịch vụ thân thiện, an toàn tiện lợi với chi phí thấp.
Nhằm hỗ trợ cho xu hướng này, Ngân hàng Nhà nước đã nghiên cứu, tham mưu Chính phủ trình Quốc hội ban hành Luật Các tổ chức tín dụng năm 2024, bổ sung các quy định mới về cung ứng dịch vụ ngân hàng bằng phương tiện điện tử; trình Chính phủ ban hành Nghị định 52/2024/NĐ-CP về thanh toán không dùng tiền mặt và đang trình Chính phủ dự thảo Nghị định quy định về cơ chế thử nghiệm có kiểm soát trong lĩnh vực ngân hàng (Sandbox) và trong các giải pháp công nghệ tài chính được tham gia thử nghiệm bao gồm giải pháp chia sẻ dữ liệu qua Open API.
Hiện Ngân hàng Nhà nước đang xây dựng Thông tư quy định về triển khai Open API trong ngành ngân hàng, nhằm tạo khuôn khổ pháp lý để thiết lập các kết nối, liên thông giữa ngành ngân hàng và các ngành, lĩnh vực khác một cách thuận tiện, an toàn, bảo vệ quyền và lợi ích hợp pháp của khách hàng. Việc ban hành và triển khai các văn bản nêu trên sẽ tạo hành lang pháp lý cho các đơn vị đầu tư phát triển Open API trong thời gian tới.
Mỗi ngân hàng có xuất phát điểm công nghệ khác nhau, đối tượng khách hàng khác nhau và đối tác thứ ba cũng khác nhau. Việc xây dựng các chuẩn mực chung trong kết nối dữ liệu là nhiệm vụ cần thực hiện, Ngân hàng Nhà nước sẽ thực hiện điều này thế nào?
Việc xây dựng các chuẩn kết nối chung trong kết nối dữ liệu là cần thiết để đảm bảo tính đồng bộ, an toàn và hiệu quả trong việc trao đổi, chia sẻ và kết nối dữ liệu. Thời gian qua, Ngân hàng Nhà nước đã nghiên cứu và ban hành một số tiêu chuẩn quan trọng nhằm thúc đẩy các kết nối, liên thông trong và ngoài ngành. Cụ thể, Quyết định 1927/QĐ-NHNN và Quyết định 1928/QĐ-NHNN ngày 5/10/2018 công bố tiêu chuẩn cơ sở về các yêu cầu kỹ thuật thẻ thanh toán nội địa công nghệ chip tiếp xúc tại Việt Nam, đặc tả kỹ thuật QR code hiển thị từ phía đơn vị chấp nhận thanh toán tại Việt Nam. Quyết định 2525/QĐ-NHNN ngày 15/11/2024 ban hành tiêu chuẩn cơ sở đặc tả kỹ thuật QR Code hiển thị từ phía khách hàng tại Việt Nam, nhằm đảm bảo hạ tầng hoạt động thanh toán qua QR Code được đồng bộ, thống nhất, hướng tới mục đích liên thông thanh toán qua QR Code của tất cả các tổ chức cung cấp…
Như đã đề cập, Ngân hàng Nhà nước đang trình Chính phủ dự thảo Nghị định quy định về cơ chế thử nghiệm có kiểm soát trong lĩnh vực ngân hàng, trong đó dự kiến cho phép thử nghiệm giải pháp chia sẻ dữ liệu qua Open API. Bên cạnh đó, Ngân hàng Nhà nước sẽ sớm ban hành Thông tư về Open API, trong đó dự kiến có các quy định bắt buộc khi triển khai phải tuân thủ các tiêu chuẩn về kiến trúc, tiêu chuẩn về dữ liệu và tiêu chuẩn về an toàn bảo mật, nhằm đảm bảo hiệu quả, thuận lợi và an toàn.
Để phát triển thành công Open API, ngành ngân hàng không chỉ kết nối dữ liệu với nhau, với hệ thống Fintech, mà còn phải kết nối với các ngành kinh tế để đảm bảo dữ liệu được chuyển hóa tốt nhất thành tiện ích. Ngành ngân hàng có đề xuất gì để thực hiện việc kết nối này?
Thông tư quy định về triển khai Open API trong ngành ngân hàng đang được hoàn thiện nhằm tạo khuôn khổ pháp lý để thiết lập các kết nối, liên thông giữa ngành ngân hàng và các ngành, lĩnh vực khác một cách thuận tiện, an toàn.
Việc phát triển kết nối tới các ngành, lĩnh vực khác, mở rộng hệ sinh thái số hướng tới các mô hình ngân hàng mở là điều kiện quan trọng để có thể tiếp tục cung ứng sản phẩm, dịch vụ đa dạng, tiện lợi, cá nhân hóa cao, chi phí thấp cho khách hàng. Trong đó, việc chia sẻ, kết nối dữ liệu là thành tố cơ bản trong công cuộc chuyển đổi số ngân hàng nói riêng và chuyển đổi số quốc gia nói chung.
Ngân hàng Nhà nước đã sớm nhận thức được tầm quan trọng của việc mở rộng các kết nối, liên thông với các ngành, lĩnh vực khác để phát triển hệ sinh thái số, thông qua các nhiệm vụ quan trọng đề ra tại Quyết định 810/QĐ-NHNN. Triển khai các chỉ đạo của Ngân hàng Nhà nước, cơ sở hạ tầng thanh toán, dữ liệu của ngành liên tục được nâng cấp, hoàn thiện để hoạt động an toàn, hiệu quả, đồng thời tích hợp, kết nối liền mạch, xuyên suốt với các ngành, lĩnh vực khác để triển khai các dịch vụ thanh toán 24/7; hỗ trợ xử lý các phương thức thanh toán, mô hình kết nối mới (thanh toán thông qua mã phản hồi nhanh QR, các giao dịch ví điện tử, tiền di động, thanh toán thẻ, tài khoản thanh toán...). Ngoài ra, các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán cũng liên tục mở rộng hợp tác với các lĩnh vực khác từ bán lẻ, vận tải, y tế, giáo dục đến dịch vụ công…
Giờ đây, khách hàng khi truy cập vào ứng dụng của các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán không chỉ sử dụng dịch vụ ngân hàng, ví điện tử, mà còn có thể sử dụng đa dạng các tiện ích, dịch vụ như đặt vé máy bay, đặt vé xem phim, đi chợ, đóng tiền học…
Để tiếp tục triển khai có hiệu quả việc kết nối với các ngành kinh tế, góp phần xây dựng nền kinh tế số, xã hội số, ngành ngân hàng đề xuất một số nội dung sau:
Một là, tiếp tục nghiên cứu, xây dựng, hoàn thiện nền tảng kết nối, chia sẻ dữ liệu đảm bảo tương thích về kỹ thuật giữa các ngành, lĩnh vực kinh tế để khai thác, tổng hợp dữ liệu, đảm bảo dữ liệu được chuyển hóa thành tiện ích thiết thực cho người dân, doanh nghiệp.
Hai là, tiếp tục nghiên cứu, hoàn thiện và ban hành các tiêu chuẩn kỹ thuật, tiêu chuẩn dữ liệu nhằm tạo khung khổ để các đơn vị triển khai kết nối, ứng dụng công nghệ mới.
Việc chia sẻ, kết nối dữ liệu là thành tố cơ bản trong công cuộc chuyển đổi số ngân hàng nói riêng và chuyển đổi số quốc gia nói chung
Việc chia sẻ dữ liệu cho phép bên thứ ba tham gia cung cấp dịch vụ, sản phẩm cùng ngân hàng là ưu thế của Open API, nhưng để phát triển bên thứ ba có quy mô và tiềm lực mạnh tại Việt Nam cần có những giải pháp nào, theo ông?
Để phát triển các bên thứ ba có quy mô và tiềm lực mạnh đòi hỏi việc đầu tư, tập trung vào các yếu tố quan trọng sau:
Thứ nhất, cơ sở pháp lý vững mạnh về bảo vệ dữ liệu cá nhân cũng như khuyến khích đổi mới sáng tạo. Hiện nay, quy định pháp lý về bảo vệ dữ liệu cá nhân, bí mật thông tin khách hàng trong ngành ngân hàng về cơ bản đã được quy định chặt chẽ, có tính bao phủ tại Luật Các tổ chức tín dụng 2024, Nghị định 117/2018/NĐ-CP và Nghị định 13/2023/NĐ-CP. Bên cạnh đó, Chính phủ đang trong quá trình báo cáo Quốc hội 2 dự thảo luật quan trọng là Luật Bảo vệ dữ liệu cá nhân và Luật Dữ liệu.
Đồng thời, Ngân hàng Nhà nước đã trình Chính phủ hồ sơ Nghị định về cơ chế thử nghiệm có kiểm soát trong lĩnh vực ngân hàng nhằm thúc đẩy cơ chế thử nghiệm, tạo điều kiện cho việc triển khai các công nghệ, dịch vụ đổi mới sáng tạo trong ngành. Một trong các loại hình dự kiến triển khai trong cơ chế thử nghiệm là Open API.
Thứ hai, tăng cường đảm bảo an ninh, an toàn bảo mật và bảo vệ thông tin khách hàng. Các tổ chức trong và ngoài ngành ngân hàng cần đẩy mạnh đầu tư, triển khai những giải pháp quan trọng, thiết thực nhằm đảm bảo an ninh, an toàn bảo mật hệ thống, có khả năng phòng chống, chống chịu vững chắc trước những rủi ro an ninh mạng, tội phạm mạng ngày càng gia tăng trong bối cảnh hiện nay. Một trong những giải pháp quan trọng thời gian qua được ngành ngân hàng triển khai là việc đẩy mạnh ứng dụng dữ liệu dân cư trong căn cước công dân gắn chip, tài khoản định danh điện tử VneID để xác minh chính xác thông tin nhận biết khách hàng trong quá trình sử dụng dịch vụ.
Thứ ba, tiếp tục nâng cấp, hoàn thiện hạ tầng chung của ngành ngân hàng, đảm bảo thiết lập hạ tầng thống nhất, đồng bộ, có khả năng kết nối, liên thông liền mạch, xuyên suốt với các ngành, lĩnh vực khác thông qua tiêu chuẩn kỹ thuật, tiêu chuẩn dữ liệu chung
Một vấn đề quan trọng luôn được đề cập khi chia sẻ dữ liệu đó là an toàn thông tin của người dùng. Ngân hàng Nhà nước sẽ đặt ra các yêu cầu cụ thể nào khi các ngân hàng đang phát triển khá mạnh Open API như hiện nay?
Trong tiến trình chuyển đổi số, ngành ngân hàng luôn xác định nhiệm vụ đẩy mạnh chuyển đổi số trong toàn ngành gắn với bảo đảm an ninh, an toàn, hoạt động liên tục các hệ thống thông tin là nhiệm vụ thường xuyên, liên tục. Tại Quyết định 810/QĐ-NHNN, Thống đốc Ngân hàng Nhà nước đã xác định quan điểm, chuyển đổi số phải đi liền với công tác đảm bảo an ninh, an toàn, bảo vệ quyền, lợi ích hợp pháp của khách hàng và sự phát triển bền vững, hiệu quả của cả hệ thống ngân hàng Việt Nam. Đảm bảo an ninh an toàn cũng là một trong các nhóm giải pháp quan trọng nêu tại Quyết định 810/QĐ-NHNN.
Trên cơ sở đó, trong bối cảnh các ngân hàng phát triển Open API một cách mạnh mẽ để thúc đẩy hệ sinh thái số, cần thiết phải xác định các yêu cầu trọng tâm sau:
Một là, đảm bảo xác thực chính xác thông tin nhận biết khách hàng trong quá trình sử dụng dịch vụ ngân hàng trên kênh số. Xác thực chính xác nhằm đảm bảo tính “chính chủ, chính danh” trong quá trình sử dụng dịch vụ, qua đó làm giảm thiểu nguy cơ gian lận, giả mạo, lợi dụng dịch vụ ngân hàng cho các hoạt động bất hợp pháp, vi phạm pháp luật.
Thứ hai, tuân thủ tuyệt đối quy định pháp luật về bảo vệ dữ liệu cá nhân, đảm bảo bí mật thông tin khách hàng. Đảm bảo nguyên tắc lấy sự đồng ý của khách hàng (customer consent) là trên hết trong quan hệ hợp tác, trao đổi thông tin khách hàng giữa tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán với các bên thứ ba khác. Sự đồng ý của khách hàng phải được xác định trên cơ sở hiểu đúng, hiểu rõ, hiểu toàn bộ mục đích, phạm vi, thời gian… sử dụng thông tin, dữ liệu của khách hàng để phục vụ việc cung ứng dịch vụ cho chính khách hàng đó.
Thứ ba, đảm bảo chặt chẽ các tiêu chuẩn, quy chuẩn về an ninh, an toàn bảo mật trong triển khai các Open API với bên thứ ba. Bảo đảm an toàn, an ninh mạng cho Hệ thống thông tin triển khai Open API và chỉ hợp tác với các bên thứ ba đáp ứng các điều kiện về an ninh, an toàn bảo mật.
Theo tinnhanhchungkhoan.vn