Chủ nhật ngày 22 tháng 12 năm 2024

Bảo mật thanh toán của khách hàng…

 

Câu chuyện dài, thậm chí có thể nói là vấn nạn, về bảo mật và an toàn thông tin trong thanh toán của khách hàng giờ đây lại nóng sốt lên với vụ việc có liên quan tới chuỗi bán lẻ Thế Giới Di Động.

Ngày 1-11-2018, trên diễn đàn RaidForums xuất hiện một bài của một thành viên mới gia nhập tháng 11-2018 có nickname erwincho cung cấp đường dẫn tới file nói rằng là database của “Thegioididong.com (Vietnam Company)” chứa 5,5 triệu địa chỉ e-mail, lịch sử giao dịch với số thẻ tín dụng. Sau khi thông tin được đưa lên Facebook và lan truyền nhanh chóng và rồi “khổ chủ” Thế Giới Đi Động ra thông cáo bác bỏ, cho rằng đó là thông tin giả, nickname erwincho ngày 7-11-2018 đã đưa lên RaidForums ảnh chụp màn hình một số thông tin cụ thể trên danh sách, trên đó thể hiện đầy đủ số thẻ tín dụng của khách hàng để làm bằng chứng.

Ảnh chụp màn hình một số thông tin thẻ được công bố trong Phần 3 trên RaidForums. Chúng tôi đã che lại một phần thông tin.

Ở đây, chúng tôi không đi sâu vào chuyện đang còn nhiều tranh cãi cũng như cần xác minh và chứng minh, khi vẫn chưa rõ các thông tin kia có được từ đâu và do đâu (bị tin tặc đánh cắp hay do rò rỉ từ ai đó, do tin tặc tấn công hay hệ thống bảo mật mạng không thật tốt). Cũng không loại trừ những thuyết âm mưu về cạnh tranh.

Vụ việc này thật sự đánh động tới rất nhiều người và nhiều tổ chức, đặc biệt trong thương mại điện tử và thanh toán điện tử. Nếu theo đúng quy trình, nơi bán hàng chỉ tiếp nhận thông tin cơ bản về khách hàng (e-mail, điện thoại, địa chỉ để giao hàng) và lệnh đặt hàng. Còn khi tiến hành thanh toán, quy trình lập tức phải chuyển qua phía đơn vị chuyên ngành làm thủ tục và chấp nhận thanh toán. Cụ thể là khi thanh toán bằng thẻ ngân hàng qua máy POS tại chỗ hay qua dịch vụ Internet Banking, mọi thông tin giao dịch do ngân hàng nắm giữ. Còn nếu thanh toán trên trang web của bên bán hàng thì thường là do bên thứ ba làm dịch vụ thanh toán (như ví điện tử, cổng thanh toán,…) chịu trách nhiệm. Nơi bán hàng không thể biết được thông tin giao dịch thanh toán và cũng không được phép lưu giữ các thông tin thanh toán giữa khách hàng và đơn vị thanh toán.

Nhưng nói vậy, cho dù nơi bán hàng tuân thủ nghiêm ngặt quy định thanh toán điện tử, họ cũng không thể chối bỏ hoàn toàn trách nhiệm khi xảy ra sự cố đối với khách hàng. Bởi lẽ cơ bản, khách hàng chỉ biết nơi bán hàng, còn chuyện thanh toán là nội bộ giữa nơi bán và đối tác thanh toán. Trước hết, nơi bán hàng phải chọn được đối tác thanh toán đáng tin cậy hơn cả. Điều này càng trở nên sống còn khi hiện nay xuất hiện ngày càng nhiều dịch vụ thanh toán điện tử (như ví điện tử, cổng thanh toán,…) – thậm chí phần lớn là doanh nghiệp khởi nghiệp. Thực tế thị trường là hễ càng nhiều tay chơi, càng thêm lộn xộn và bất an.

Thực tế, việc bảo mật và an toàn thông tin khách hàng, đặc biệt là trong thanh toán, phải là trách nhiệm chung của bộ ba: nơi bán hàng, nơi thanh toán (ngân hàng, dịch vụ thanh toán điện tử) và người mua hàng. Chỉ cần một khâu sơ sẩy là gây ra nguy cơ lộ thông tin.

Trong trường hợp cụ thể của Thế Giới Di Động, quyền lợi và sự an toàn của khách hàng phải được bảo đảm cao nhất. Khoan nói lỗi là từ đâu, cách xử trí của nơi bán hàng sẽ là một tiêu chí đánh giá uy tín của họ. Nên chăng, nơi bán hàng và ngân hàng đối tác phối hợp với nhau tạo thuận tiện tối đa cho khách hàng nào muốn đổi thẻ ngân hàng, tài khoản thanh toán điện tử (tốt nhất là miễn hay giảm lệ phí). Trong chừng mực nào đó, việc đổi thẻ và tài khoản mới là một biện pháp mà chủ thẻ có thể nắm phần chủ động, nhất là khi chưa biết rõ tin tặc có thông tin tới mức độ nào và để phòng ngừa hậu họa sau đó.

Vỏ quýt dày luôn có những móng tay nhọn. Hễ có kết nối mạng và giao dịch điện tử là có nguy cơ bị lộ dữ liệu vì lý do nào đó (tin tặc tấn công, nội bộ tung ra, hay lỗi hệ thống khiến thông tin bị rò rỉ,…) Vấn đề chỉ là thời gian và thêm phần hên xui. Không có tổ chức nào có thể quả quyết tuyệt đối an toàn. Vì vậy, điều cần nhất vẫn là ở hai khâu: tăng cường bảo vệ để phòng ngừa và tích cực xử lý hậu quả khi xảy ra sự cố.

Bất luận thế nào, vụ lộ thông tin thanh toán của khách hàng này cần phải được tất cả các bên có liên quan xử lý rốt ráo. Bởi nếu không bảo đảm được việc bảo mật thông tin và an toàn thanh toán chắc chắn ảnh hưởng tới thương mại điện tử, thanh toán điện tử và thậm chí là Ðề án phát triển thanh toán không dùng tiền mặt tại Việt Nam giai đoạn 2016-2020 mà Thủ tướng đã phê duyệt và đang được triển khai.

PHẠM HỒNG PHƯỚC

+ Bài đã in trên báo Người Lao Động TP.HCM ngày 9-11-2018.