SCA xác thực mạnh là gì?

Strong Customer Authentication (SCA) Ngân hàng số & Thanh toán ~6 phút đọc

Xác thực mạnh khách hàng (SCA) là gì?

Xác thực mạnh khách hàng (Strong Customer Authentication - SCA) là phương thức xác thực danh tính bắt buộc phải kết hợp ít nhất hai yếu tố xác thực độc lập thuộc ba loại: điều người dùng biết (mật khẩu, mã PIN), điều người dùng có (thiết bị điện tử, thẻ, token), và điều người dùng là (sinh trắc học như vân tay, khuôn mặt, nhận diện giọng nói). Đây là tiêu chuẩn bảo mật quan trọng được quy định trong Chỉ thị Dịch vụ Thanh toán Phiên bản 2 (PSD2) của Liên minh châu Âu, nhằm bảo vệ khách hàng trước nguy cơ gian lận và truy cập trái phép trong các giao dịch thanh toán điện tử.

Tại sao Xác thực mạnh khách hàng (SCA) quan trọng trong ngân hàng?

  • Chống gian lận thanh toán: SCA giảm đáng kể nguy cơ lừa đảo trực tuyến vì kẻ tấn công cần vượt qua nhiều lớp bảo mật thay vì chỉ một yếu tố duy nhất như mật khẩu.
  • Bảo vệ tài khoản khách hàng: Ngay cả khi mật khẩu bị lộ, yếu tố sinh trắc học hoặc thiết bị xác thực vẫn ngăn chặn kẻ gian truy cập tài khoản.
  • Tuân thủ quy định quốc tế: Các ngân hàng có hoạt động xuyên biên giới cần đáp ứng tiêu chuẩn PSD2 để được cấp phép và hoạt động hợp pháp tại thị trường châu Âu.
  • Xây dựng niềm tin số: Khách hàng ngày càng yên tâm hơn khi sử dụng dịch vụ ngân hàng điện tử khi biết rằng tài khoản được bảo vệ bằng nhiều lớp xác thực.

Cách hoạt động / Cách tính

SCA hoạt động dựa trên nguyên lý đa yếu tố (Multi-Factor Authentication - MFA), trong đó mỗi yếu tố xác thực phải độc lập hoàn toàn với nhau. Điều này đảm bảo rằng việc compromise một yếu tố không ảnh hưởng đến độ tin cậy của các yếu tố còn lại.

Ba danh mục yếu tố xác thực theo chuẩn SCA:

Danh mục Tiếng Anh Ví dụ
Điều người dùng biết Knowledge Mật khẩu, mã PIN, câu hỏi bảo mật
Điều người dùng Possession Điện thoại nhận OTP, thẻ ATM, token phần cứng
Điều người dùng Inherence Vân tay, khuôn mặt, nhận diện giọng nói, mống mắt

Quy trình xác thực SCA trong giao dịch:

  1. Khách hàng khởi tạo giao dịch (đăng nhập, chuyển tiền, thanh toán)
  2. Hệ thống đánh giá mức độ rủi ro dựa trên giá trị giao dịch, lịch sử, thiết bị
  3. Hệ thống yêu cầu xác thực từ ít nhất 2 trong 3 danh mục yếu tố
  4. Khách hàng cung cấp các yếu tố được yêu cầu
  5. Hệ thống xác minh và phê duyệt/từ chối giao dịch

Lưu ý quan trọng: SCA yêu cầu các yếu tố phải thuộc danh mục khác nhau. Ví dụ, sử dụng mật khẩu (biết) kết hợp mã OTP qua SMS (có) là hợp lệ. Tuy nhiên, sử dụng hai mật khẩu khác nhau không được coi là xác thực đa yếu tố vì cả hai đều thuộc danh mục "điều biết".

Ví dụ thực tế

Ví dụ 1: Đăng nhập ứng dụng ngân hàng di động

Khách hàng Nguyễn Văn A đăng nhập vào ứng dụng Ngân hàng A trên điện thoại thông minh. Hệ thống yêu cầu:

  • Bước 1: Nhập mật khẩu đăng nhập (điều biết)
  • Bước 2: Quét vân tay trên cảm biến điện thoại (điều là)

Hai yếu tố này thuộc hai danh mục khác nhau, đáp ứng yêu cầu SCA. Tỷ lệ thành công xác thực đạt trên 99,7%, thời gian trung bình chỉ 3 giây.

Ví dụ 2: Giao dịch chuyển tiền giá trị cao

Khách hàng Trần Thị B thực hiện chuyển khoản 500 triệu đồng qua Ngân hàng B. Do giá trị giao dịch vượt ngưỡng quy định, hệ thống áp dụng SCA ba yếu tố:

  • Bước 1: Nhập mật khẩu tài khoản (điều biết)
  • Bước 2: Nhập mã OTP 6 số được gửi qua ứng dụng Smart OTP (điều có)
  • Bước 3: Xác thực khuôn mặt qua camera trước (điều là)

Sau khi cả ba yếu tố được xác minh thành công, giao dịch được phê duyệt trong vòng 5 giây. Theo thống kê của Ngân hàng B, việc áp dụng SCA đầy đủ cho giao dịch trên 100 triệu đồng đã giảm 78% các vụ gian lận so với giai đoạn chỉ sử dụng xác thực một yếu tố.

Phân biệt với thuật ngữ liên quan

Tiêu chí Xác thực một yếu tố (SFA) Xác thực hai yếu tố (2FA) Xác thực mạnh (SCA)
Số yếu tố 1 yếu tố 2 yếu tố Tối thiểu 2 yếu tố
Yêu cầu danh mục Không yêu cầu Khuyến khích khác danh mục Bắt buộc khác danh mục
Áp dụng Giao dịch giá trị thấp Giao dịch thông thường Giao dịch trực tuyến, PSD2
Mức độ bảo mật Thấp Trung bình Cao
Rủi ro bị tấn công Cao Trung bình Thấp

Điểm khác biệt cốt lõi: SCA bắt buộc các yếu tố xác thực phải thuộc danh mục khác nhau, trong khi 2FA có thể chỉ là hai mật khẩu khác nhau. Ngoài ra, SCA được quy định trong khung pháp lý PSD2, còn 2FA chỉ là khuyến nghị bảo mật.

Câu hỏi thường gặp trong đề thi

Câu 1: Theo chuẩn Xác thực mạnh khách hàng (SCA), một giao dịch hợp lệ phải sử dụng ít nhất bao nhiêu yếu tố xác thực và các yếu tố đó phải thuộc các danh mục khác nhau hay không?

Câu 2: Nhận diện khuôn mặt và quét vân tay thuộc danh mục yếu tố xác thực nào trong SCA? Hệ thống thanh toán online yêu cầu khách hàng xác thực bằng cả khuôn mặt và vân tay có được coi là đáp ứng yêu cầu SCA không? Tại sao?

Câu 3: Khái niệm "exemption" (miễn xác thực) trong SCA đề cập đến điều gì? Theo quy định PSD2, giao dịch nào có thể được miễn áp dụng SCA và điều kiện kèm theo là gì?

Tổng kết

Xác thực mạnh khách hàng (SCA) là tiêu chuẩn bảo mật bắt buộc yêu cầu kết hợp ít nhất hai yếu tố xác thực độc lập thuộc ba danh mục: điều biết, điều có, và điều là. Đây là yêu cầu pháp lý quan trọng trong PSD2 và ngày càng được áp dụng rộng rãi tại thị trường Việt Nam. Khi ôn thi, các thí sinh cần nắm vững ba danh mục yếu tố, nguyên lý độc lập giữa các yếu tố, và các trường hợp được miễn xác thực. Hãy luyện tập phân biệt SCA với các khái niệm xác thực khác để đạt kết quả cao trong kỳ thi tuyển dụng ngân hàng.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8