Xác thực mạnh khách hàng SCA là gì?

Strong Customer Authentication Ngân hàng số & Thanh toán ~6 phút đọc

Xác thực mạnh khách hàng (SCA - Strong Customer Authentication) là phương thức xác minh danh tính khách hàng bắt buộc phải sử dụng ít nhất hai yếu tố xác thực độc lập thuộc ba danh mục: điều khách hàng biết (mật khẩu, mã PIN), điều khách hàng có (thiết bị điện tử, thẻ SIM, token), và đặc điểm sinh trắc học của khách hàng (vân tay, khuôn mặt, tròng mắt). Đây là tiêu chuẩn bảo mật được quy định tại Chỉ thị PSD2 của Liên minh châu Âu và ngày càng được áp dụng rộng rãi trong hệ thống ngân hàng Việt Nam nhằm ngăn chặn gian lận trong giao dịch điện tử.

Tại sao Xác thực mạnh khách hàng (SCA) quan trọng trong ngân hàng?

  • Phòng ngừa gian lận hiệu quả: SCA tạo ra nhiều lớp bảo vệ, làm giảm đáng kể nguy cơ truy cập trái phép ngay cả khi kẻ tấn công có được một yếu tố xác thực duy nhất. Theo thống kê, giao dịch sử dụng xác thực đa yếu tố có tỷ lệ gian lận thấp hơn tới 99.9% so với giao dịch chỉ dùng mật khẩu đơn lẻ.

  • Bảo vệ quyền lợi khách hàng: Khi khách hàng biết rằng tài khoản của mình được bảo vệ bởi nhiều lớp bảo mật, họ sẽ yên tâm hơn khi sử dụng các dịch vụ ngân hàng điện tử. Điều này thúc đẩy chuyển đổi số trong lĩnh vực ngân hàng.

  • Tuân thủ quy định pháp luật: Các quy định như Quyết định số 2345/QĐ-NHNN và Thông tư 16/2020/TT-NHNN yêu cầu các tổ chức tín dụng phải áp dụng biện pháp xác thực mạnh cho giao dịch thanh toán điện tử. Việc không tuân thủ có thể dẫn đến vi phạm pháp luật và bị xử phạt.

  • Nâng cao uy tín ngân hàng: Ngân hàng triển khai SCA thể hiện cam kết về bảo mật và an toàn thông tin, từ đó xây dựng niềm tin với khách hàng và đối tác trong bối cảnh chuyển đổi số ngày càng sâu rộng.

Cách hoạt động của Xác thực mạnh khách hàng (SCA)

Cơ chế hoạt động của SCA dựa trên nguyên tắc đa yếu tố (MFA - Multi-Factor Authentication), trong đó mỗi yếu tố xác thực phải độc lập với nhau theo ba danh mục:

Ba danh mục yếu tố xác thực

Danh mục Tiếng Anh Ví dụ
Knowledge (Điều biết) Something you know Mật khẩu, mã PIN, câu hỏi bảo mật
Possession (Điều có) Something you have Thiết bị điện tử, thẻ SIM, token, smartcard
Inherence (Đặc điểm sinh trắc học) Something you are Vân tay, khuôn mặt, tròng mắt, giọng nói

Nguyên tắc độc lập

Điểm mấu chốt của SCA là các yếu tố xác thực phải thuộc các danh mục khác nhau. Điều này có nghĩa là:

  • Hợp lệ: Mật khẩu (điều biết) + Vân tay (đặc điểm sinh trắc học)
  • Hợp lệ: Mã OTP qua SMS (điều có) + Xác thực khuôn mặt (đặc điểm sinh trắc học)
  • Không hợp lệ: Hai mật khẩu (cùng danh mục điều biết)
  • Không hợp lệ: Hai mã OTP từ các ứng dụng khác nhau (cùng danh mục điều có)

Việc compromising (xâm nhập) một yếu tố sẽ không ảnh hưởng đến độ tin cậy của các yếu tố còn lại nhờ tính độc lập giữa các danh mục.

Ví dụ thực tế

Ví dụ 1: Đăng nhập ứng dụng ngân hàng di động

Khách hàng B muốn đăng nhập vào ứng dụng Ngân hàng A trên điện thoại thông minh. Hệ thống yêu cầu xác thực hai bước:

  • Bước 1: Khách hàng nhập mật khẩu đăng nhập (yếu tố "điều biết")
  • Bước 2: Khách hàng xác thực bằng vân tay hoặc nhận diện khuôn mặt trên thiết bị (yếu tố "đặc điểm sinh trắc học")

→ Đây là xác thực mạnh vì sử dụng hai yếu tố từ hai danh mục khác nhau.

Ví dụ 2: Giao dịch chuyển tiền có giá trị cao

Khách hàng C thực hiện lệnh chuyển tiền 500 triệu đồng qua Ngân hàng B. Hệ thống yêu cầu:

  • Bước 1: Xác thực bằng mật khẩu Smart OTP (yếu tố "điều biết")
  • Bước 2: Nhận mã OTP qua ứng dụng ngân hàng trên thiết bị di động đã đăng ký (yếu tố "điều có")
  • Bước 3 (tùy ngân hàng): Xác thực bằng sinh trắc học hoặc xác nhận qua thiết bị bảo mật token

→ Tối thiểu hai trong ba bước trên phải thuộc các danh mục khác nhau mới được coi là SCA.

Phân biệt với thuật ngữ liên quan

Tiêu chí SCA (Xác thực mạnh) MFA (Xác thực đa yếu tố) 2FA (Xác thực hai yếu tố)
Số yếu tố tối thiểu 2 yếu tố 2+ yếu tố Chính xác 2 yếu tố
Yêu cầu về danh mục Bắt buộc khác danh mục Có thể cùng danh mục Thường khác danh mục
Ứng dụng pháp lý PSD2, Quyết định 2345/QĐ-NHNN Không bắt buộc pháp lý Không bắt buộc pháp lý
Mức độ bảo mật Cao nhất Cao Trung bình - Cao

Lưu ý quan trọng: Mọi SCA đều là MFA, nhưng không phải mọi MFA đều là SCA. SCA là một tiêu chuẩn cụ thể với yêu cầu nghiêm ngặt về sự độc lập giữa các yếu tố.

Câu hỏi thường gặp trong đề thi

  1. Theo nguyên tắc Xác thực mạnh khách hàng (SCA), khi khách hàng thực hiện giao dịch thanh toán điện tử, hệ thống phải yêu cầu xác thực bằng ít nhất bao nhiêu yếu tố từ các danh mục khác nhau?

  2. Yếu tố nào sau đây KHÔNG thuộc danh mục "điều khách hàng có" (Possession) trong SCA?

  3. Hai mã OTP từ hai ứng dụng khác nhau có được coi là xác thực mạnh (SCA) không? Tại sao?

  4. Quyết định số 2345/QĐ-NHNN quy định về xác thực khách hàng trong thanh toán điện tử nhằm mục đích gì?

  5. Sự khác biệt chính giữa xác thực mạnh (SCA) và xác thực đa yếu tố (MFA) là gì?

Tổng kết

Xác thực mạnh khách hàng (SCA) là tiêu chuẩn bảo mật thiết yếu trong thời đại ngân hàng số, đòi hỏi tối thiểu hai yếu tố xác thực từ các danh mục khác nhau: điều biết, điều có, và đặc điểm sinh trắc học. Nguyên tắc cốt lõi là tính độc lập giữa các yếu tố — việc xâm nhập một yếu tố không được phép ảnh hưởng đến các yếu tố còn lại.

Đối với thí sinh ôn thi tuyển dụng ngân hàng, cần ghi nhớ vững ba danh mục yếu tố (Knowledge, Possession, Inherence) và phân biệt rõ ràng giữa SCA, MFA và 2FA. Nắm vững các văn bản pháp lý liên quan như Quyết định 2345/QĐ-NHNN và Thông tư 16/2020/TT-NHNN để trả lời các câu hỏi về quy định bảo mật. Chúc các bạn ôn tập hiệu quả và đạt kết quả cao trong kỳ thi!

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8