Professional Documents
Culture Documents
Slide Thanh Toán Điện Tử
Slide Thanh Toán Điện Tử
1
LỊCH BIỂU
BUỔI NGÀY NỘI DUNG GHI CHÚ
Tổng quan về Thanh toán điện tử (Tiếp theo) + Bài tập tình huống tiền điện
2
tử
6 Hệ thống thanh toán thẻ + Hệ thống thẻ lưu trữ giá trị + Thuyết trình
3
1.1. Sự hình thành và phát triển
(Source)
Ngân hàng Phát triển châu Á (The Asian Development Bank) - NAPAS
4
1.1. Sự hình thành và phát triển
Tiền là gì?
• Bất cứ thứ gì có thể được dùng để:
- Lưu trữ giá trị, nghĩa là mọi người có thể sử dụng nó sau này mà không
mất đi giá trị;
- Đơn vị để đo lường, đưa ra một cơ sở chung cho giá cả;
- Phương tiện để trao đổi, mọi người có thể nhận hang hóa/dịch vụ bằng
việc trao đổi
• Phát minh của tiền giúp việc trao đổi hàng hóa trở nên thuận tiện hơn
- Sự trùng hợp của mong muốn
- Chấp nhận chung
- Muối, Đá, Gạo, Thức ăn, vv…
5
1.1. Sự hình thành và phát triển
Sự phát triển của tiền
Từ hữu hình đến vô hình
- Phát minh các công cụ thanh toán mới hơn không cần
dùng nhiều đến tiền mặt.
Uy tín và sự tin cậy
- Khởi nguồn của ngân hàng
- Tiền có thể được tạo thông qua tài khoản ngân hàng (tín dụng)
- Nhận tiền gửi (Cung cấp cơ hội đầu tư)
- Tài khoản ngân hàng như là tiền
6
1.1. Sự hình thành và phát triển
Ngân hàng là gì?
• “Trung gian tài chính là một hoạt động sản xuất trong đó một đơn vị tổ
chức ghi nợ trên tài khoản của mình để mua tài sản tài chính bằng cách
tham gia vào một giao dịch tài chính trên thị trường; vai trò của các trung
gian tài chính là kênh cung cấp quỹ từ người cho vay sang người vay
bằng cách làm trung gian” (OECD)
7
1.1. Sự hình thành và phát triển
Ngân hàng là gì?
9
1.2. Khái niệm và các yếu tố cấu thành
TTĐT
10
1.2. Khái niệm và các yếu tố cấu
thành TTĐT
Thanh toán điện tử (Tiếng Anh: E-payment, Electronic Payment) được
định nghĩa là bất kỳ hình thức chuyển tiền nào được thực hiện thông qua
các thiết bị điện tử[1]
Thanh toán bằng hệ thống này có thể được thực hiện qua Internet, hệ
thống chuyển tiền điện tử (EFT - Electronic Funds Transfer), các hệ
thống thanh toán bù trừ liên ngân hàng (Interbanking Clearing Systems)
và hệ thống trao đổi dữ liệu điện tử tài chính (Financial EDI)[2]
[1] Kalakota, R. and Whinston, A.B. (1996), Frontiers of Electronic Commerce, Addison-Wesley, Reading, MA.
11
1.2. Khái niệm và các yếu tố cấu
thành TTĐT
Tiêu chí hiệu quả của hệ thống thanh toán
Thời gian
thực hiện
13
1.3. Lợi ích và hạn chế của
TTĐT
Tầm quan trọng của hệ thống thanh toán:
Hệ thống thanh toán đóng một vai trò quan trọng
trong việc luân chuyển tiền trên toàn nền kinh tế
• Quá trình mua bán hàng hóa và thanh toán trở nên dễ dàng
• Đảm bảo quyền lợi cho các bên tham gia và giảm thiểu những rủi ro thanh toán bằng tiền mặt
• Góp phần hiện đại hóa hệ thống thanh toán và giúp cho những giao dịch được thực hiện nhanh
Hạn chế
15
1.4. Các hình thức TTĐT
16
1.4. Các hình thức TTĐT
17
1.4. Các hình thức TTĐT
18
1.4. Các hình thức TTĐT
19
1.4. Các hình thức TTĐT
20
1.4. Các hình thức TTĐT
21
1.4. Các hình thức TTĐT
22
1.4. Các hình thức TTĐT
23
1.5. Xu hướng phát triển của TTĐT
24
Điều gì đang thúc đẩy những thay đổi trong
ngành tài chính?
Thay đổi môi trường dữ liệu
• Nhờ tiến bộ trong công nghệ, sự tăng trưởng theo cấp số nhân của dữ liệu có
thể được quản lý với chi phí thấp. Lưu lượng truy cập di động toàn cầu
Exa (1018) Bites mỗi Tháng
• Tất cả các thông tin có thể được số hóa.
• Sau khi số hóa có thể áp dụng cải tiến công nghệ.
Nguồn: Ericsson. Tương lai của dữ liệu di động và tăng trưởng lưu lượng
truy cập https://www.ericsson.com/en/mobility-report/future-mobile-data-
usage-and-traffic-growth
25
Lưu lượng dữ liệu di động toàn cầu, 2017-2022
27
Từ người sử dụng đến máy đọc
• Giao diện người sử dụng đến • Nhưng chúng ta cần cung
giao diện máy cấp dữ liệu cho máy đọc
28
Source: http://5stardata.info/
Từ tĩnh đến động
Cơ sở dữ liệu CơsởdữliệuNoSQL
quan hệ tĩnh vớicấutrúclinhhoạt
Hoa quả Dữ liệu B
Dữ liệu A
Táo
Dữ liệu C
Dữ liệu D
29
Công nghệ thông tin trong dịch vụ ngân hàng
Các ngân hàng cung cấp các dịch vụ này vì phạm vi và quy mô kinh tế.
Ưu điểm của chuyên môn hóa có thể vượt qua quy mô phạm vi kinh tế của
ngân hàng (vẫn đang phát triển)
30
Hình ảnh của mạng lưới thị trường tài chính
Môi giới
thanh toán
Ngân hang
nước ngoài Tổ chức tài
chính trực
thuộc
Công ty Ngân
chứng khoán hang
nước ngoài lớn
Công ty
Ngân
chứng
hàng uy
khoán
tín
Nguồn: Imakubo, K. & Soejima, Y.(2010), Mạng lưới giao dịch tại thị trường liên ngân hàng Nhật Bản, Nghiên cứu Tiền tệ
và Kinh tế. Tập 28
31
Vai trò của cơ quan quản lý trong việc tiêu chuẩn hóa
• Công nghệ thông tin cần chuẩn hóa để có thể giao tiếp.
– Quy tắc (Giao thức) và các tiêu chuẩn cần được đặt ra bởi người sử dụng
• Tiêu chuẩn hóa thường liên quan đến các vấn đề:
– Chi phí liên quan đến việc tích hợp một công nghệ mới sẽ trì hoãn tiến trình tích hợp đó.
– Việc tích hợp cần phải được thực hiện hoàn toàn; việc chỉ một phần hay gia tang thực
thi sẽ không tạo ra một hiệu ứng mạng lưới
– Cần chiến lược quốc gia
• Sự phối hợp giữa các bên liên quan là cần thiết
– Điều phối của nhà lập chính sách
– Điều phối của các tập đoàn công nghiệp
– Điều phối của các tổ chức quốc tế
• Khả năng tương tác trong giao dịch xuyên biên giới
– Tầm quan trọng của việc hợp tác trong khu vực giữa các nhà quản lý
32
Tiêu chuẩn hóa và Khả năng tương tác
Tiêu chuẩnlà “các côngcụchiến lược giúpgiảm chi phíbằngcáchgiảm thiểu tồn đọng, sai sót và tang hiệu quảsản
xuất. Nhờđó các côngty cóthể tiếp cậnthị trườngmới, cải thiện lĩnh vựchoạt độngđối với các nướcphát triển và tạo
điều kiện cho thươngmại tựdo và côngbằngtoàn cầu”
Nguồn: Trang web ISO
ID
34
Hà Nội, 30/9/2019
35
Nội dung
36
Hệ thống thanh toán NHNN Hệ thống thanh toán liên ngân hàng (IBPS)
Tiểu hệ thống xử lý quyết toán vốn
38
Hệ thống thanh toán liên ngân hàng
20000,0 10000,0
,0 ,0
2014 2015 2016 2017 2018
39
Hệ thống thanh toán bù trừ chứng khoán
40
Hệ thống xử lý thanh toán đa tệ – VCB Money
400 8.000
350 7.000
300 6.000
250 5.000
200 4.000
100 2.000
Thành viên: NHTM, doanh
50 1.000 nghiệp
- 0
Hệ thống thanh toán đa ngoại tệ
2014 2015 2016 2017 2018
42
Chuyển mạch thẻ - NAPAS
Transaction Value
43
Thanh toán không dùng tiền mặt ở Việt Nam
Thanh toán không dùng tiền mặt (TTKDTM) là hình thức thanh toán sử dụng các phương
tiện thanh toán không phải là tiền mặt
Thanh toán trong các hoạt động kinh tế của Việt Nam đang có sự chuyển dịch
• Thanh toán thông qua ví điện tử
• Thị trường thẻ tín dụng/ thẻ ghi nợ
• Tài khoản ngân hàng
• Thanh toán di động
44
Thanh toán không dùng tiền mặt ở Việt Nam
Thanh toán tiền mặt vẫn chiếm tỷ trọng lớn trong nền kinh tế.
Tỷ lệ tiền mặt trong lưu thông so với tổng phương tiện thanh toán tuy có giảm qua các năm
nhưng vẫn ở mức cao.
Tỷ lệ tiền mặt trong lưu thông so với tổng phương tiện thanh toán, 2004-2018
25,00
20,00
15,00
%
Cash/M2; 11,78
10,00
5,00
0,00
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
45
Thanh toán không dùng tiền mặt ở Việt Nam
Thanh toán tiền mặt vẫn chiếm tỷ trọng lớn trong nền kinh tế.
Tỷ lệ tiền mặt trong lưu thông so với tổng phương tiện thanh toán tuy có giảm qua các năm
nhưng vẫn ở mức cao.
46
Thanh toán không dùng tiền mặt ở Việt Nam
Số lượng người trưởng thành có tài khoản ngân hàng là 45,8 triệu người,
chiếm 63% trong năm 2018
Số lượng người trưởng thành có tài khoản ngân hàng
41.413.086 43.276.675
36.771.973
36.461.593
47
Thanh toán không dùng tiền mặt ở Việt Nam
48
Thanh toán không dùng tiền mặt ở Việt Nam
919
526
184
130
61 98
NĂM 2015 NĂM 2016 NĂM 2017 NĂM 2018 NĂM 2019 NĂM 2020
Số lượng giao dịch (triệu lượt)
49
Thanh toán không dùng tiền mặt ở Việt Nam
Khối lượng giao dịch So với Qúy Giá trị giao dịch So với Qúy
Qúy II/2019 II/2018 Qúy II/2019 II/2018
(triệu giao dịch) (Nghìn tỷ đồng)
Nguồn: NHNN 50
Thanh toán không dùng tiền mặt ở Việt Nam
181,5
KÊNH MÃ QR
95,7
123,1
KÊNH ĐIỆN THOẠI DI ĐỘNG
86,3
31,2
KÊNH INTERNET
65,9
Tăng trưởng cuối tháng 4.2021 so với cùng kỳ năm 2020 (%)
Nguồn:Xây dựng cơ chế chuyển mạch tài chính Quốc gia: "Đại lộ" đã xây, "phương tiện" sẵn sàng, vẫn chờ cấp
phép. (2021). Retrieved 6 November 2021, from https://specials.laodong.vn/xay-dung-co-che-chuyen-mach- 51
tai-chinh-quoc-gia-dai-lo-da-xay-phuong-tien-san-sang-van-cho-cap-phep-921781/
Thanh toán không dùng tiền mặt ở Việt Nam
Domestic card International card Debit card Credit card Prepaid card
- 20,00 40,00 60,00 80,00 100,00 - 20,00 40,00 60,00 80,00 100,00
52
Thanh toán không dùng tiền mặt ở Việt Nam
18.668 ATM
và 261.705 POS .
229 triệu
giao dịch (tăng
18,5% so Qúy
I/2018)
53
Thanh toán không dùng tiền mặt ở Việt Nam
54
Nội dung
55
Tiềm năng phát triển Fintech
56
Tiềm năng phát triển Fintech
57
Tiềm năng phát triển Fintech
59
Thực trạng hệ sinh thái Fintech tại Việt Nam
thương mại (mô hình hợp tác kinh doanh). 14% Disruptive
14%
Collaborative
72%
60
Fintech trong lĩnh vực thanh toán
46 tổ chức phi ngân hàng được NHNN cấp phép để Loại hình dịch vụ trung
Số lượng
tổ chức
cung ứng dịch vụ trung gian thanh toán. gian thanh toán
cung ứng
Bù trừ điện tử 1
Ví điện tử 27
Nguồn: SBV 61
Fintech trong lĩnh vực thanh toán
ĐVT:Triệu
10,00
Ví điện tử:
9,00
10,5 triệu ví điện tử
8,98
8,00
7,00
77,5 triệu giao dịch
6,00
6,35 (tăng 56% so với Qúy
5,00 I/2018)
4,00 3,83
4,01
3,00
2,00
1,00 * Ghi chú: Số liệu QI/2019
-
2015 2016 2017 2018
62
NHNN với Fintech
Ngày 16/3/2017, Thống đốc NHNN ký ban hành Quyết định số 328/QĐ-NHNN thành lập Ban chỉ đạo về Fintech (Công nghệ tài chính)
Vụ HTQT
Nhiệm vụ:
Vụ Pháp chế
Trưởng Tham mưu giúp Thống đốc hoàn thiện hệ sinh thái kể cả
ban -PTĐ hoàn thiện khuôn khổ pháp lý nhằm tạo thuận lợi cho các
Vụ CSTT.
Phó trưởng ban doanh nghiệp Fintech ở Việt Nam phát triển, phù hợp với
Ban chỉ đạo Fintech
Cục CNTT.
chủ trương, định hướng của Chính phủ.
Thành viên
CQTTGSNH
Napas
Tiến hành khảo sát về hoạt động Hợp tác quốc tế Quy định về cho
Fintech ở Việt Nam, tổng kết và (FSC, MAS..) vay ngang hàng
phân tích kết quả
64
Nội dung
65
Các thách thức chính
Thói quen thanh
toán tiền mặt vẫn
phổ biến; Lo ngại Thanh toán
các dịch vụ tài không dùng
chính mới dựa tiền mặt vẫn
trên công nghệ. hạn chế
trong khu
vực công
67
Giải pháp trong thời gian tới
Triển khai Khuôn khổ pháp lý thử nghiệm cho Fintech và Chiến lược quốc gia về
2 tài chính toàn diện.
Triển khai sử dụng bộ quy chuẩn mã QR và thẻ chip EMV cho các NHTM và các
3 tổ chức phi ngân hàng.
2
Nâng cấp hệ thống thanh toán liên ngân hàng(IBPS).
4 Đưa vào sử dụng hệ thống thanh toán bù trừ tự động phục vụ các giao dịch bán lẻ (ACH).
2/ Lý do cho sự thúc đẩy tiền điện tử tại các quốc gia trong đó có Việt Nam.
Hãy tìm hiểu và trình bày.
3/ Vì sao các quốc gia e ngại sự xuất hiện của tiền ảo (virtual currency), tiền
mã hóa (Cryto Currency).
(Làm theo nhóm, các thành viên nghiên cứu, làm chung với nhau trên
GOOGLE Docs. Cuối giờ sẽ thu bài)
Chapter 2: Digital Banking
Content
1. Overview of Digital Banking
2. Digital Banking Systems Architecture
3. The Importance of Digital Banking
4. Digital Banking Channels
5. Digital Banking Functionality
1. Overview of Digital Banking
• Digital banking is a way of accessing all the things a bank can do face to face, but via a digital channel
instead.
• Digital banking is a game changer for banks – they can offer everything they normally do, but without the
overhead required with infrastructure – such as branches, contact centres and big front line teams.
Digital banking provides convenience and accessibility to customers – customers can do
what they need to do, when and where it suits them.
• Customers have high expectations in digital banking – they’ve been exposed to new benchmarks of user
experience, technology and their benefits. There are many competitors now, who are vying for their
business in a $9 billion market
1. Overview of Digital Banking
There are 4 Challenger banks are brand new banks with full bank licences.
types of ‘new
banks’ –
Challenger Neo banks don’t have bank licences. Instead they work with incumbent
banks, Neo banks to use their infrastructure or products.
banks, Beta
Banks and Non Beta banks are new brands that are being launched by incumbent banks,
Banks often in partnerships with complimentary product and service providers
Non banks don’t have bank licences, instead they use alternative channels
and concepts that help customers achieve their financial objectives
Readmore: https://www.thebalance.com/what-is-an-online-
bank-315204
2. Digital Banking Systems Architecture
There are 3 layers in the systems architecture:
Presentation (sometimes called Application)
layer, Middleware layer and the Back end layer
With the 3 layers, there are 10 sub-layers as
follows:
• Presentation layer (there is no sub-layer)
• Middleware layer (Security, Integration
and Orchestration)
• Back end layer (APIs – Internal and
External, Digital Banking platform, Data &
Analytics and Banking Core systems)
Read more:
https://www.finextra.com/blogposting/15377/the-architects-guide-to-digital-banking
https://thefinancialbrand.com/75610/digital-omnichannel-open-banking-platform-
strategy-trends/
https://www.softwaregroup.com/insights/blog/article/how-to-choose-the-best-
digital-banking-platform
3. The Importance of Digital Banking
• Over 4.54 billion or 54% of the World’s population are active internet users – and it’s
expected that 66% of them will be digital banking users. So it’s a massive market.
• Digital banking isn’t a new concept – it all started back in the 1960’s with ATMs, and then
30 years later followed by web banking, Mobile apps is a relatively new thing.
• But we’re seeing a massive switch of people from using conventional channels like
branches and call centres, to using digital.
3. The Importance of Digital Banking
• This is driven by 2 key drivers: internet penetration and technology affordability.
• Technology is definitely more affordable that say 10 years ago. So people are happy to buy digital
devices. What can you do with digital devices and internet access? Digital banking of course!
• The other reason why digital banking has become so prevalent is banks are investing so much into
it, because:
• cost effective
https://www.americanbanker.com/news
/coronavirus-throws-digital-banking-
into-the-crucible
4. Digital Banking Channels
• Wearables
• Web
• Mobile
• Chat
https://www.forbes.com/sites/forbesbusinessdevelopmentcou
ncil/2019/07/11/wearables-a-new-opportunity-in-
Wearables banking/?sh=1618892a3f55
https://www.happiestminds.com/Insights/wearable-
technology/
• Wearables includes a range of devices with embedded digital technology – including wristbands,
fitness trackers and watches right through to jewellery and clothing.
• Gartner have predicted by 2021, annual wearables sales will reach 500 million devices. So it’s a
massive market.
• Smartwatches are the mainstay of wearables – at 33% of all sales.
• There’s a captive market for digital banking using wearables, because:
• The costs of wearables have come down, somore affordable
• Devices are able to have standalone connectivity to wireless networks, rather than needing to be
paired with a smartphone
• App development – more apps are being developed, creating more utility for wearables users
• Wearables customer journeys focus on convenience and accessibility. There are challenges with
screen size, so functionality needs to focus on creating short engagements
Web
• Web banking started in the late 1990’s with the emergence of the Internet.
• Web banking is under challenge from mobile banking – for example more than 50% of the UK
population use mobile apps to manage their banking (rather than Web)
• Web banking can be defined as: everything a bank does, but made available through a web
experience. So this means using the Internet and a web browser.
• Typical customer journeys with web banking focus on breadth of functionality and complexity. So
this means web can offer more functionally rich experiences – due to screen size (if using a desktop
or a laptop).
• The real strength in web banking is it provides contextual experience – whereas mobile tends to
have to simplify experiences down and make assumptions around customer familiarity with apps.
• Web banking can be seen as a hassle to use by some customers – you can’t just pick up your
phone and turn on an app. Instead you have to go to a URL, and then enter in your credentials.
Mobile
• Mobile banking is really big – 75% of Americans use mobile devices to check their banking.
• 88% of respondents to a survey by Business Insider said they used mobile banking, with 97% of
millennials being active users of mobile banking.
• There are two types of ‘sub channels in mobile banking: mobile browser and apps. In this lecture I
focused on Apps, as I covered over browser (or web) banking in the previous lecture on Web..
• Typical customer journeys with mobile are focused on simplicity, speed and accessibility. So
people like to be able to do their banking quickly without hassle.
• The challenges with mobile banking include the smaller screen, and for banks – it’s the costs and
complexities of developing apps in parallel for iOS and Android.
• The benefits though are mobile devices have some great native functionality that can help banks
develops some great functionality, as well as the stronger security hardware available in mobile
devices.
Readmore:
Chatbot https://www.forbes.com/sites/boblegters/2019/07/15/chatbot
s-in-banking-got-smart-this-is-how-theyll-make-your-bank-
better/?sh=20be7bae70a7
• Some predictions indicate that 90% of completed banking transactions, without human assistance, will be
completed via chatbots by 2022.
• Chatbots are an exciting new entrant into digital channels – they provide a way to have human like
conversations with a bank, by using an interface through which you talk or type.
• There’s a lot of investment in chatbots to evolve them to become human like in the way they interact with
customers.
• Interestingly, bank customers don’t seem to mind chatbots – 44% of US banking customers would prefer to
use chatbots than speak to a bank representative. The catch is: customers only see value in chatbots if they can
make things easier than talking to a human.
• The future of chatbots lies in increasing their ability to deal with the nuances of the human vocabulary, and
more complex banking scenarios
• Typical customer journeys for chatbots focus on doing basic banking – so things like balance enquiries,
answering product research questions (like interest rates), so the themes like mobile of: simplicity, speed and
accessibility also apply here.
5. Digital Banking Functionality
• Onboarding
• Account Management
• Payments
• Cards Management
• Account Opening
• Support
• Marketplace
Onboarding
• Onboarding is a process that banks perform to create a banking
relationship with new to bank customers.
• Banks need new customers to maintain or grow their revenue. Inevitably
banks lose customers, so they need to replace and hopefully extend their
customer base regularly.
• There are 4 ways that banks normally onboard customers:
• Branches
• Call centres
• Web banking
• Mobile app
Onboarding
Onboarding can be broken down into 5 key steps: Product, Identification &
Verification, KYC & Tax, Terms & Conditions and Security.
• Product – is a key step in helping a customer identify which banking product would best suit
the customer’s need
• Identification & Verification – is the requirement for a customer to provide verifiable
identification of who they are
• KYC & Tax – so confirming a customer’s AML/CTF – ‘Know Your Customer’ information and
capturing the tax residencies applicable for a customer
• Terms & Conditions – displaying all legal documentation to a customer to give them the
opportunity of reading, before confirming their acceptance
• Security – requiring a customer to set up appropriate security controls for their digital
banking, including passwords, PINs and biometric settings like ‘Face-Id’
Account Management
Account management is functionality that includes:
• View accounts – so viewing all accounts including account or product names and
balances (either Available or Current balance or both).
• Transaction history – so viewing all transactions associated with an account – including
date, time, amount, type of transaction and merchant/vendor where applicable.
• Transaction details – so viewing the details associated with transaction – including the
same information as transaction history but extending this out to provide a description,
more information on the merchant/vendor etc…
• Within account management, the most utilized functionality is transaction details.
• Transaction details is heavily used to help customers feel like they are keeping on top of
their spending.
Payments
• Global payments totalled $1.9 trillion in 2018 –so this is a hot area of competition between banks and non banks alike.
• China is biggest market, currently, for payments at a whopping $605 billion – which exceeds the USA by $100 billion. In 2018 alone –
300 billion payments transactions occurred in China.
• Competition is intense in the payments industry, and digital banking is a competitive advantage for some banks in payments.
• There are 4 categories of payments:
Transfers – so shifting money between your own accounts.
Payments (Real time) – payments to others, including bills, that are processed immediately (or close to immediately).
Examples of this include: Faster Payments (UK), Osko (Australia) and Fast (Singapore).
Payments (Batch) – payments to others, including bills, that are processed within a day.
International payments – payments to others where the recipient is overseas.
• Underpinning this is the ability for customers to choose when their payments are made (recurring/future dated payments).
• Given the fraud risks involved with payments, there is a big focus on creating additional layers of security when making payments
(particularly larger payments) – by using what’s know as ‘step up’ security – in the form of ‘One Time Passcodes/Passwords’ and
biometrics (for example voice identification).
Cards Management
• Cards management is functionality that includes:
Activate cards – so if a customer is issued with a new debit or credit card, this allows the
customer to remove the block they may have been placed on the card when it was sent out.
New card requests – if a customer loses their debit or credit card, they can request a new
card is issued and sent to them.
Lost/stolen toggle – this allows customers to put a temporary or permanent block on a card
being used, in scenarios where a customer might have lost or had their card stolen.
Transaction toggle – this allows customers to turn on/off certain permissions associated with
their cards – for example ATM withdrawals.
Digital wallet – if a customer wants to use contactless payments, they can provision their
debit and credit cards to the Apple or Google or Samsung digital wallets.
• Contactless payments is a massive industry – Apple Pay currently handles 5% of
global card transactions now and is on track to reach 10% in the next 5 years.
Read more:
https://www.forbes.com/sites/ronshevlin/2019/10/07/why-
Account Opening cant-banks-get-digital-account-opening-
right/?sh=3adc8f313bfd
• Banking customers have unique needs. Some share the same needs – for example
we generally all need deposit accounts to receive our salaries, right? But outside of
that sometimes our needs are unique – for example I may need a savings account
for my forthcoming holiday to the Himalayas.
• Banks emphasize the concept of ‘whole of wallet’ which means capturing not just
one product need but all of a customer’s banking needs.
• Good digital experiences are moving account opening experiences to being super
fast – often within 1 minute.
Read more:
https://www.forbes.com/sites/ronshevlin/2019/10/07/why-
Account Opening cant-banks-get-digital-account-opening-
right/?sh=3adc8f313bfd
• This is done through providing account opening functionality, which is very similar to onboarding,
and includes:
Product – which is the product a customer has selected for their needs.
Tax - with accounts, it’s important that a bank knows a customer’s tax residency for
compliance purposes. KYC is not required, as
the customer would have been KYC’d when they onboarded originally.
Terms & Conditions – like onboarding, this involves making all legal disclosures available and
seeking confirmation that a customer understands and agrees to them
Your details – customer contact information is important for banking. Whether it’s cards
being sent in the mail, or the bank needing to reach customers via email or phone. Therefore
embedded within account opening is the ability for a bank to confirm/or get a customer to
update their details.
Support
Product managers, like your instructor, have to be careful in digital banking.
It’s easy to assume we know what customers want – and can therefore have
a blind spot when it comes to missing features and customers.
• Digital experiences focus on the mainstream, but invariably there are edge
cases that need to be thought through. Even if they can’t be immediately
addressed through a digital experience, they should still be addressed
through support functionality.
• Support functionality provides guiderails for customers to explain how to
use functionalities or how to do activities outside of digital banking.
Support
Support functionality is normally broken down into 5 functionalities:
• Landing – so providing customers with a launchpad to help them work through what they
need to do.
• Topics – this takes the customer into specific themes of information that should help address
their question or issue.
• Connect – where a customer wants to speak to someone, then it’s important to connect them
to someone skilled to help them.
• Authenticated – to customers time, where the customer is logged into an authenticated
channel, like a mobile app, we can then pass them through to a call centre witout having to
answer the usual identification verification questions like – please tell me your date of birth.
• Find Us – where a customer would prefer to sit down face to face with a bank representative,
this helps them locate where to go.
Marketplace
• Banking has historically focused on typical banking products – like deposits,
savings and lending.
• But banks have valuable relationships with their customers through which they
could be providing a lot more – by helping to solve entire customer journeys, not
just the banking products required for these journeys.
• Digital ecosystems – where complimentary products and services, combined with
banking products, are changing the way that we think about banking and digital
banking. This concept is called the ‘Marketplace’.
• There is a definite and captive audience for this – digital natives use digital
exclusively to manage their lives and spending. Why not harness this? • Examples
include: Tencent’s WeBank, Standard Chartered, Alibaba and DBS.
Marketplace
Marketplace functionality can be broken down into:
• Discover – so providing a portal for customers to search and connect with products, not just
banking, but a more wider set of products that could be lifestyle related for example.
• Your needs – by capturing details from customers point in time, or based on profiling using a
bank’s analytics capabilities, banks are able to identify organically what the likely needs a customer
may have.
• Personalized – by connecting ‘Your needs’ with customer journeys and relevant products,
suggestions for tailored products or experiences can then be presented to customers.
• Begin – taking the customer to the point that they move forward in their customer journey, this
helps customers acquire or take up the products a customer has selected.
• Engage – this is a vital step. By keeping a customer engaged, this helps create a relationship, but
equally helps with fine tuning the Personalized functionality to see how accurate it was.
Chapter 3 – Clearing System
98
Content
1. Automated Clearing House - ACH
2. Process of ACH
3. Process of Bank transfer, ATM and other services
99
The Fundamental Payment Problem
Parties cannot pay each other directly, except in cash1
Payment
Buyer’s Seller’s
Bank Bank
Messaging &
Trade Information
BUYER SELLER
1Or possibly in Bitcoin, which they don’t do SOURCE: DEBRA MITTERER
100
Central Banks
• Currency is issued by (or under the authority of) a central
bank
• The U.S. central bank is the Federal Reserve Bank
• PRC: People’s Bank of China (PBOC)
• India: Reserve Bank of India
• Commercial banks hold very little cash (just enough for
tellers and ATMs)
• Commercial banks have accounts at the central bank
• Most bank money is not in cash, but is a ledger entry
(account) in a database at the central bank
101
How Banks Pay Each Other
• They give instructions to the central bank to “move
money” by updating their accounts in the central bank
• If Citibank wants to move USD 1 million to PNCBank, it
sends an order to the central bank:
ACCOUNTS AT ACCOUNTS AT
THE CENTRAL BANK THE CENTRAL BANK
102
Fedwire: How Banks Pay Each Other
• Central banks maintain “real-time gross settlement
systems (RTGS) to execute payment instructions quickly
• The Federal Reserve RTGS is called Fedwire
• “Real-time” means less than 1 minute
• “Gross settlement” means that each order is processed as
it is received. No batching
• These payments are called “wire transfers”
• RTGS payments are expensive: up to USD 50 per payment
• Used mainly for large amounts (average on FedWire: USD
3.5M)
103
Net Settlement
• Most consumer (small) payments, such as ATM and credit
card transactions are not made in real-time with RTGS
• The data is sent to a clearing house
• Clearing house keeps track of the net amounts owed or
owing from bank to bank
• Each transaction causes these amounts to be adjusted
• After a clearing period (e.g. 1 day), each bank is told the
total amount it must pay or will receive
• Banks then use RTGS (in the U.S., Fedwire) to settle their
TOTAL debts with ONE payment each
104
Net Settlement
• Many payments are small and do not have to be made in
real-time. The cost of RTGS is not justified
• Payments can be batch and settlement made for the
whole batch later
• Net settlement through an automated clearing house
(ACH) is used for:
• credit/debit cards
• checks
• ATM withdrawals, credit transfers
• BUT: there is no upper limit on ACH payments
• Cost is low: about USD 0.10 per payment, 500 times
cheaper than RTGS
105
Payment Orders
• An instruction to a financial institution to make a payment
• Must specify:
• Amount & currency
• Bank FROM which payment is made (payor or drawee bank)
• Account number FROM which payment is made
• Bank TO which payment is to be made (payee bank)
• Account number TO which payment is to be made
• Payment orders are often sent electronically to the clearing
house as “ACH files”
• These payment orders are NOT settled individually. They
are BATCHED to determined their net effect
106
Clearing Payment Orders
1. CMU SENDS CHECK TO SHAMOS
CUSTOMER CMU CUSTOMER SHAMOS
OF MELLON BANK “PAY SHAMOS $100” OF CITIBANK
9. MELLON SENDS 2. SHAMOS DEPOSITS
CHECK BACK TO CMU CHECK AT CITI
107
Settling Payment Orders
1. AT END OF DAY, EACH 2. BANKS WITH NEGATIVE
BANK HAS A NET POSITIVE
REAL-TIME GROSS
BALANCES MUST PAY;
OR NEGATIVE CLEARING SETTLEMENT SYSTEM THOSE WITH POSITIVE
HOUSE BALANCE (FEDWIRE) BALANCES RECEIVE
MELLON +34,299,321 MONEY
BANK A
6. CLEARING HOUSE PAYS ... 4. CITI PAYS THE CLEARING
MELLON $34,299,321 BANK Z HOUSE THROUGH RTGS
CITIBANK -107,071,775
MELLON BANK CLEARING CITIBANK
+107,071,775
HOUSE
108
Gross Settlement
CENTRAL BANK
BUYER’S
BANK SELLER’S
BANK
SELLER
BUYER
109
Gross Settlement
CENTRAL BANK
3. CENTRAL BANK ADJUSTS BALANCES
OF BUYER’S BANK AND SELLER’S BANK
2. BUYER’S BANK USES
FEDWIRE TO ASK FED TO
MOVE MONEY FROM BUYER’S
BANK TO SELLER’S BANK 4. CENTRAL BANK NOTIFIES SELLER’S
BANK OF TRANSACTION
BUYER’S
BANK SELLER’S
BANK
SELLER
BUYER
110
Net Settlement
CENTRAL BANK
BUYER’S
BANK
SELLER 1 SELLER 1
BANK
SELLER 2 SELLER 2
BANK
BUYER
SELLER 3 SELLER 3
BANK 111
Net Settlement, Part 1
CENTRAL BANK
BUYER
SELLER 3 SELLER 3
BANK 112
Net Settlement, Part 1
CENTRAL BANK
BUYER
SELLER 3 SELLER 3
BANK 113
Net Settlement, Part 2
CENTRAL BANK
SELLER 1 SELLER 1
BANK
IN NET SETTLEMENT,
EVERY BANK MAKES OR
BUYER RECEIVES EXACTLY ONE
PAYMENT SELLER 3 SELLER 3
BANK 114
How Fedwire Works
EVERGEEN BANK PNC WANTS TO TRANSFER PNC BANK
(SEATTLE) $1M TO EVERGREEN BANK (PITTSBURGH)
7. SF FED ADDS $1M TO 5. ISF SUBTRACTS $1M FROM 3. CLEVELAND FED SUBTRACTS
EVERGEEN ACCOUNT CLEVELAND, ADDS $1M TO SF $1M FROM PNC ACCOUNT
DTNS System and RTGS System
There are two types of basic and traditional payment systems. One is the “Designated-Time Net
Settlement” (DTNS) system, and the other is the “Real-Time Gross Settlement” (RTGS) system.
116
DTNS System and RTGS System
Settlement Risk: the RTGS system is far
superior to the DTNS system from the
viewpoint of reducing settlement risk.
117
DTNS System and RTGS System
RISK MANAGEMENT MEASURES IN DTNS SYSTEM : the DTNS system has a drawback in terms of
settlement risk. Managing the settlement risk is an important issue for the DTNS system.
118
DTNS System and RTGS System
119
DTNS System and RTGS System
120
DTNS System and RTGS System
121
Financial Messaging
• Money never actually moves, except in cash form
• Most money is transferred by sending messages – payment
orders – to and from banks
• Banks also send messages to their customers to advise of
payments
• Financial messaging is ESSENTIAL to payment systems
• BUT: a financial message is NOT a settlement
SOURCE: SWIFT
125
Cross-Currency Payments and SWIFT
126
A SWIFT Message
103 = REMITTANCE
108 = MESSAGE REF
Payment
SWIFTNet SWIFTNet
Link Link
SWIFTNet
Payments Payments
application Payment application
Initiation Initiation
Initiation Confirmation
Response
e-paymentPlus
Payment
Initiation Initiation
Initiation
Confirmation Confirmation
TrustAct RemittanceRemittance
advice advice Remittance advice
TrustAct
Link TrustAct Server Link
Invoices
Buyer Seller
Internet
SOURCE: SWIFT
SWIFT Message Types
134
Hệ thống thanh toán NHNN Hệ thống thanh toán liên ngân hàng (IBPS)
Tiểu hệ thống xử lý quyết toán vốn
147
FINANCIAL EDI CAPABILITY
148
149
150
Chapter 4
Security in E-Payment
Content
1. Security environment for e-payment system
2. Transport Layer Security and Secure Sockets Layer (SSL)
3. SET Protocol
A Typical E-commerce Transaction
• Hacking
• Hackers vs. crackers
• Types of hackers: White, black, grey hats
• Hacktivism
• Cybervandalism:
• Disrupting, defacing, destroying Web site
• Data breach
• Losing control over corporate information to outsiders
• Payment authorization
• Payment capture to initiate the request for financial clearance on behalf of the
merchant
3. The SET Protocol
SET employs the techniques of public key cryptography to guarantee
simultaneously the following:
• Confidentiality of the exchanges, that is, that they cannot be read online by an entity
external to the transaction
• Integrity of the data exchanged among the client, the merchant, and the acquirer
bank
• Identification of the participants
• Authentication of the participants
3. The SET Protocol
SET versus TLS/SSL
2
Phần 1. Giới thiệu về FSI
Viện trưởng
Khối Quản lý Hành chính Nhóm phản ứng mạng Nhóm Chiến lược An ninh
Vụ ứng phó
Vụ Kế hoạch Trung tâm Giám Vụ Đánh Vụ Bảo mật
Vụ Tổng hợp khẩn cấp Vụ Nghiên cứu An
và Hành sát an ninh tài giá An ninh Hội tụ
máy tính ninh
chính chính
1
8
Sứ mệnh & Nhiệm
vụ
Sứ mệnh
• Xây dựng một môi trườngAN TOÀN và TIN CẬY cho lĩnh vực tài chính
1
8
Các thành viên & Cơ cấu phí thành viên
190 công ty tài chính, bao gồm các tổ chức phi ngân hàng
Ngân hàng 18
Tổng 190
1
8
Vị trí pháp lý & Mối quan hệ của các cơ quan tài chính
1
8
Nhiệm vụ chính
Xây dựng & vận hành "Hệ thống giám sát an ninh"
• Phát hiện và phản hồi về thâm nhập (hacking)
• Phát hiện và phản hồi về các trang web lừa đảo
Xây dựng & vận hành "Hệ thống chia sẻ thông tin"
• Thu thập và phân tích tình báo về các mối đe dọa an ninh mạng và các biện pháp đối phó
• Chia sẻ thông tin gian lận tài chính giữa các thành viên
Hệ thống Cảnh báo Khẩn cấp đối với các mối đe dọa về an ninh mạng
• Cảnh báo sự cố an ninh cho các thành viên
• Tuyên truyền và phản ứng cảnh báo khủng hoảng mạng của NCSC (Trung tâm an ninh
mạng quốc gia)
Xây dựng và vận hành "Kỹ thuật phát hiện mối đe dọa về an ninh mạng"
• Xây dựng các quy tắc phát hiện (bao gồm các quy tắc phát hiện do NCSC cung cấp)
• Xây dựng các quy tắc phát hiện mối đe dọa về an ninh mạng mới dựa trên SNORT
Vận hành các đội "Ứng phó khẩn cấp máy tính"
• Phản hồi & Phân tích về nguyên nhân của các mối đe dọa về an ninh mạng (Điều tra pháp
1
8 y)
Phần 1. Giới thiệu về FSI
I. Giới thiệu về FSI
II. Tổng quan về dịch vụ của FSI
1. Giám sát an ninh tài chính
2. Chia sẻ thông tin
3. Chia sẻ thông tin gian lận tài chính
4. Đánh giá an ninh
5. Nghiên cứu chính sách bảo mật CNTT tài chính
6. Giáo dục an ninh tài chính
III. Các trường hợp tấn công an ninh mạng
tài chính
1
8
8 1. Giám sát an ninh tài chính
3-Hệ thống giám sát an ninh theo cấp
Giám sát
Trung tâm An
an ninh ninh mạng Quốc
quốc gia gia
Giám sát … …
An ninh
Ngân hàng Chứng khoánThẻ
theo đơn vị tín Khu hành chính Khu vực quốc
quốc gia Khu vực tư
Lĩnh vực Tài chính dụng phòng
nhân
1
8
9 1-1. Giám sát an ninh tại FSI
Giám sát an ninh sử dụng hệ thống của FSI được đặt tại các công ty tài chính
02 04
Phát hiện Phân tích Phản Chia sẻ
ứng
Financial Services
Commission
National Cyber
Security Center
1
9
0 1-2. Hệ thống giám sát an ninh
TAP
Router (TestAccess Port)
Internet
Firewall IPS Web WAS Firewall Transaction Security
(Intrusion Server Manager
Người Prevention
sử dụng System)
VPN IDS TAS
(Virtual (Intrusion (Traffic
Private Detection Analysis
Network) System) System) Banks Insurance company
VPN
(Virtual SecurityMonitoring
Private
• Exploit Attempts
Network) Credit Card
• Phishing/Pharming Securities firms
• DDoS Attack company
Internet
DDoS Traffic Thành
Traffic
Zombie PC Detour viên FSI
(On Attack)
Normal
Traffic
Discard
DDoSTraffic Hệ thống phòng thủ nhiều lớp
1
9 1-4. Giám sát các trang giả
2
mạo
Phát hiện & phản ứng với các trang
giả mạo các công ty tài chính
• Sử dụng web crawlers
• Giám sát địa chỉ IP trong phần mềm
độc hại
• Giám sát máy chủ C&C
1
9
3 1-5.Trung tâm giám sát an ninh tài chính
1-6. Số liệu về giám sát an ninh
•600,00 •20,00
0 0
• Phát hiện /ngày • Phân tích/ ngày
•5,000 •12,50
• Phản ứng /ngày 194
1
9
5 2. Chia sẻ thông tin (với các thành viên)
• Thông tin điều tra Korea Internet & Info for Security Companies
Security Agency investigation
National PoliceAgency
Cyber Bureau
1
9
7 3. Chia sẻ thông tin về gian lận tài chính
Thành lập và Vân hành “Hệ thống chia sẻ thông tin gian lận tài chính (FISS)” nhằm giảm
thiểu gian lận tài chính dựa trên công nghệ viễn thông
- Thông tin về giao dịch bất thường được truyền đến các công ty tài chính thông qua FISS.
Trong năm 2017, phát hiện được các giao dịch bất thường với trị giá khoảng 198 tỷ won (17
triệu USD)
Nhờ có hệ thống chia sẻ thông tin gian lận tài chính, các vụ gian lận lừa đảo tài chính qua
các kênh điện tử giảm từ năm 2018.
1
9
8 4. Đánh giá an ninh
Chuyên Chuyên gia phân tích an ninh trong lĩnh vực tài chính
gia Nhiều kinh nghiệm về IT trong lĩnh vực tài chính
2
0
0 5. Nghiên cứu các chính sách IT tài chính
Nghiên cứu các chính sách trong nước và quốc tế và hỗ trợ xây dựng chính sách
an ninh tài chính
• Nghiên cứu chính sách về an ninh tài trong và ngoài nước
• Nghiên cứu các xu hướng pháp lý để thực thi an ninh tài chính
• Hỗ trợ xây dựng chính sách thông qua hình thức thu thập ý kiến từ các công ty tài chính
Cung cấp hàng trăm báo cáo, hướng dẫn cho các cơ quan và công ty tài chính
2
0
1 6. Giáo dục về an ninh tài chính
Internet
Financial companies
Zombie PC
①Primary DDoS attack
(0.5~10Gbps)
IoT devices
②Demand Bitcoins
(Threatening massive
해a커
H cker DDoS attack)
- Phản ứng với các cuộc tấn công thông qua “Trung tâm Ứng phó khẩn cấp Ddos và tổ chức họp khẩn cấp
- Phối hợp với các cơ quan quản lý, công ty tài chính, các nhà cung cấp dịch vụ Internet.
2
0
4 2. Lây lan mã độc mã hóa dữ liệu mới sử dụng
các hình thức dễ bị tấn công
Lây lan mã độc mới sử dụng các phần mềm dễ bị tấn công của Windows (WannaCry, Petya)
Hơn một nửa triệu máy PCs tại 150 khu vực đã bị ảnh hưởng bởi mã độc WannaCry (tháng 5, 2017)
IT system
①Attempt to infect
Ransomware
②Encrypt files
(Demand Bitcoins for
P
Distribution recovery)
C
Hacker server
- Không có thiệt hại do các công ty tài chính quản lý bản vá liên tục
- Đã chia sẻ kết quả phân tích mã độc mã hóa dữ liệu và tăng cường bảo mật chống lại các lỗ hổng mới
2
0
5 3. Lây lan phần mềm Malware thông quan phần
mềm quản lý
PC-kiểm soát malware bị phát tán sử dụng một chương trình cụ thể dễ bị tấn công (tháng 7, 2017)
Hơn 100 PCs đa bị ảnh hưởng bới các máy chủ quản lý dễ bị tấn công
① malicious control of
management server ②distributing malware
(using management server)
Software Management
Server P
①direct infection C
Hacker of PCs P
C
- Ngăn ngừa lây lan thiệt hại đối với hệ thống nội bộ thông qua phân tích
nhanh và phối hợp với các công ty tài chính
- Tăng cường Quản lý an ninh các máy chủ quản lý phần mềm
2
0
6 4. Tấn công sử dụng một hình thức dễ bị
tấn công mới
Tấn công sử dụng một web server mới dễ bị tấn công (Apache Struts)’s (tháng 3, 2017)
Tấn công quét chuyên sâu nhiều ngành
Financial companies
①Attempt to scan
attacks using the
Internet new vulnerability
②penetration into
internal system
Hacker
- Phát hiện tấn công thông qua phân tích dữ liệu lớn (lần đầu tiên tại
Hàn Quốc)
- Xây dựng và phân phát các công cụ và nguyên tắc phát hiện tấn công
2
0
7 Xu hướng gần đây
Tăng cường APT (Các mối đe dọa liên tục nâng cao) sử dụng Spear
Phinishing
Lừa đảo bằng giọng nói ngày càng tăng: tái cấp vốn, đóng giả làm cơ
quan chính phủ
• Ít sự cố an ninh tài chính
• Giám sát an ninh thời gian thực 24/7 của FSI
Phần 2. Các trường hợp đe dọa an
ninh mạng & Biện pháp
phòng ngừa
I. Các trường hợp đe dọa an ninh mạng
1. Tấn công giả mạo (Email, SMS)
2. Tấn công từ chối dịch vụ
3. Tấn công vào lỗ hổng
4. Mua bán trên web tối
II. Biện pháp phòng ngừa
Các trường hợp đe dọa an ninh mạng
35
Các trường hợp đe dọa an ninh mạng
1. Phishing
36
Các trường hợp đe dọa an ninh mạng
1. Phishing
Phishing
Cảnh báo tài khoản bạn đang dùng vi phạm an ninh
hoặc bạn đã vô hiệu hóa tài khoản
Yêu cầu thông tin tài khoản người dùng (ví dụ mật
khẩu)
37
Các trường hợp đe dọa an ninh mạng
1. Phishing
https://blog.knowbe4.com/q2-2019-top-clicked-phishing-email-subjects-from-knowbe4-infographic
38
Các trường hợp đe dọa an ninh mạng
1. Phishing
https://www.mailguard.com.au/blog/realistic-phishing-scam-again-preys-on-paypal-users
39
Các trường hợp đe dọa an ninh mạng
1. Phishing
https://www.komando.com/happening-now/412841/phishing-emails-tricking-people-into-falling-for-tech-support-scams
40
Các trường hợp đe dọa an ninh mạng
1.1 Spear Phishing
Spear Phishing
Từ Spear Phishing xuất phát từ từ “Spear
fishing” (nghĩa là đánh cá bằng giáo).
Xác định trước nạn nhân mục tiêu rồi thu thập thông
tin cá nhân, sau đó gửi những email đánh trúng mối
quan tâm riêng tư hay công việc của người đó.
41
Các trường hợp đe dọa an ninh mạng
1.1 Spear Phishing
https://www.boannews.com/media/view.asp?idx=58533
42
Các trường hợp đe dọa an ninh mạng
1.2 Đính kèm đôc hại
https://it-security.usc.edu/2014/12/02/fake-upsfedexdhl-email/
44
Các trường hợp đe dọa an ninh mạng
1.2 Đính kèm độc hại
https://blog.emsisoft.com/en/31624/5-ways-to-protect-yourself-against-encrypted-email-attachment-malware/
45
Các trường hợp đe dọa an ninh mạng
1.3 Smishing
Smishing
Kết hợp của SMS và Phishing.
Gửi địa chỉ đường truyền chứa file cài đặt ứng
dụng độc hại đến người dùng điện thoại thông
minh để người đó cài đặt ứng dụng độc hại.
https://www.digitaltrends.com/computing/smishing-threat-targets-phones-by-text-message/
47
Các trường hợp đe dọa an ninh mạng
1.3 Smishing
https://thdev.net/550
48
Các trường hợp đe dọa an ninh mạng
50
J la
Các trường hợp đe dọa an ninh mạng
2.1 DDoS
DDoS
Tháng 2/2018, GitHub, trang chia sẻ mã
nguồn lớn nhất, bị tấn công DDoS
51
Các trường hợp đe dọa an ninh mạng
2.2 DDoS vào thiết bị di dộng
52
Các trường hợp đe dọa an ninh mạng
2.2 DDoS vào thiết bị di động
https://www.researchgate.net/figure/DDoS-attack-model-of-the-mobile-botnet_fig10_308595678
53
Các trường hợp đe dọa an ninh mạng
2.3 DDoS vào thiết bị IoT
54
Các trường hợp đe dọa an ninh mạng
2.3 DDoS vào thiết bị IoT
https://www.fortinet.com/blog/threat-research/omg--mirai-based-bot-turns-iot-devices-into-proxy-servers.html 5
55
5
Các trường hợp đe dọa an ninh mạng
5
6
Các trường hợp đe dọa an ninh mạng
3.1 Website
5
7
57
Các trường hợp đe dọa an ninh mạng
3.1 Website
58 5
8
Các trường hợp đe dọa an ninh mạng
3.1 Website
Googling
59 5
9
Các trường hợp đe dọa an ninh mạng
3.1 Website
60 6
0
Các trường hợp đe dọa an ninh mạng
3.2 Server
61 6
1
Các trường hợp đe dọa an ninh mạng
3.2 Server
Điều
khiển từ
xa
62
Các trường hợp đe dọa an ninh mạng
3.2 Server
Shodan
www.shodan.io
63
Các trường hợp đe dọa an ninh mạng
3.2 Server
64
Các trường hợp đe dọa an ninh mạng
3.2 Server
Quét cổng
Quét các cổng mở trên một server và tấn công server
đó bằng cách khai thác các lỗ hổng của cổng đó
65
Các trường hợp đe dọa an ninh mạng
Web tối
67
ôi
Các trường hợp đe dọa an ninh mạng
4.1 File cá nhân (Fullz)
68 thefringenews.com/for-sale-on-the-dark-web-your-tax-refund-and-social-security-number
Các trường hợp đe dọa an ninh mạng
4.2 Ăn cắp thông tin thẻ tín dụng
69 wafb.com/2019/03/09/tips-avoid-credit-debit-card-skimmers
Các trường hợp tấn công an ninh mạng
4.3 Tấn công BIN
70
Phần 2. Các trường hợp đe dọa an
ninh mạng & Biện pháp
phòng ngừa
I. Các trường hợp đe dọa an ninh mạng
II. Biện pháp phòng ngừa
1. Tránh lây nhiễm và sử dụng an toàn
2. Quản lý mật khẩu
3. Đào tạo về bảo mật thông tin
4. Đánh giá an toàn
5. Huấn luyện ứng phó sự cố
Biện pháp phòng ngừa
1. Tránh lây nhiễm và sử dụng an toàn
73
Biện pháp phòng ngừa
1. Tránh lây nhiễm và sử dụng an toàn
74
Biện pháp phòng ngừa
1.Tránh lây nhiễm và sử dụng an toàn
75
Biện pháp phòng ngừa
1. Tránh lây nhiễm và sử dụng an toàn
Có thể bị lây nhiễm mã độc chỉ vì kết nối với các trang
và website quảng cáo
76
Biện pháp phòng ngừa
1. Tránh lây nhiễm và sử dụng an toàn
Sử dụng an toàn
- Sử dụng phần mềm chính thống
77
Biện pháp phòng ngừa
1.Tránh lây nhiễm và sử dụng an toàn
Sử dụng an toàn
- Thận trọng không mở các tệp đính kèm
email do người lạ gửi hoặc nhấn vào các
hình ảnh liên kết
78
Biện pháp phòng ngừa
2. Quản lý mật khẩu
Tên
Số điện thoại
E-mail
Công ty
Nhóm
Tài khoản
79
Nghề nghiệp
Biện pháp phòng ngừa
2. Quản lý mật khẩu
Công ty
TênCôngty / TênCôngty SC+ SC / SC+SC TênCôngty / SC TênCôngty SC
/ TênCôngty N+SC / TênCôngty N+N
Số điện thoại
SC / Số điện thoại / Số điện thoại 0000 / Số điện thoại của tôi (Công cụ tìm kiếm) / Số
điện thoại cá nhân (Công cụ tìm kiếm)
82
Biện pháp phòng ngừa
5. Đào tạo ứng phó sự cố
83
Phần 3.Huấn luyện ứng phó sự cố
Hiện trạng
• Các tổ chức tài chính phải thực hiện “(Diễn tập) Huấn luyện ứng phố sự cố” ít nhất 1
năm 1 lần theo「Quy định giám sát tài chính điện tử」
• FSI (Viện An ninh tài chính) hỗ trợ huấn luyện cho các tổ chức tài chính nhằm
nâng cao khả năng ứng phó với sự cố.
• FSI cung cấp huấn luyện cho 3 loại ứng phó (tấn công DDoS, hack máy chủ, và
tấn công APT)
• Hàng năm có nhiều loại tấn công chi tiết được tạo mới để áp dụng xu hướng tấn công
mới nhất
85
Huấn luyện ứng phó sự cố - Giới thiệu
• Phát động một cuộc tấn công DDoS giả trên máy chủ của các tổ chức tài chinh
DDoS attack • Huấn luyện về các thủ tục ứng phó và phục hồi để phát hiện và chặn các
response cuộc tấn công
• Thực hiện quét và tấn công giả trên các máy chủ bằng cách khai thác các lỗ
Ứng phó với hổng
hack máy chủ • Huấnluyệnvềcácthủtụcứngphóvàphụchồiđểpháthiệnvàchặncáccuộctấncông
• Gửi các email ảo độc hại cho nhân viên các tổ chức tài chính.
APT attack
• Huấn luyện về các thủ tục ứng phó và phục hồi để phát hiện, chặn và xóa
response các email độc hại và các mã độc
86
Huấn luyện ứng phó sự cố - Ứng phó với tấn công DDoS
Vai trò
• FSI: Phát động một cuộc tấn công DDoS giả trên máy chủ của các tổ chức tài
chính
• Tổ chức tài chính: Huấn luyện về thủ tục ứng phó và phục hồi để phát hiện và
chặn các cuộc tấn công
Loại tấn công
,
• Tạo ra nhiều cuộc tấn công, từ tấn công băng thông đơn giản đến tấn công
cấp ứng dụng
Thủ tục
Việc cần làm Vai trò
Xác nhận kịch bản huấn luyện và thiết lập môi trường thiết bị huấn luyện FSI
Phát động một cuộc tấn công DDoS giả và giám sát tình hình FSI
Phát hiện/chặn các cuộc tấn công và triển khai ứng phó/phục hồi Tổ chức tài chính
Kết thúc -
87
Huấn luyện ứng phó sự cố - Ứng phó với tấn công DDoS
Biểu đồ phát triển (Huấn luyện ứng phó với tấn công DDoS)
88
Huấn luyện ứng phó sự cố - Ứng phó với tấn công DDoS
Tấn công Tấn công tiêu thụ băng thông của mục tiêu bằng cách tạo ra lưu lượng lớn thông qua khai
băng thông thác nhiều thiết bị hoặc máy tính ma. (ví dụ UDP Flooding, ICMP Flooding)
Một loại tấn công băng thông. Kẻ tấn công gửi yêu cầu đến một máy chủ công cộng, giả mạo địa
chỉ IP nguồn của nạn nhân mục tiêu. Kẻ tấn công cố gắng yêu cầu càng nhiều thông tin càng tốt,
Amplification do đó khuyếch đại phản ứng gửi tới nạn nhân mục tiêu. Vì quy mô yêu cầu nhỏ hơn đáng kể so
với ứng phó, kẻ tấn công dễ dàng tăng lưu lượng nhắm đến mục tiêu (ví dụ khuyếch đại NTP,
significantly smaller than the response, the attacker is easily able to increase the amount of traffic
khuyếch đại Memcached)
Tấn công khiến máy chủ hoạt động bất thường bằng cách tạo ra các yêu cầu web vượt qua năng
Application level lực máy chủ hoặc ứng dụng, như buộc các phiên làm việc web tiếp diễn hoặc tiêu thụ bộ nhớ
khả dụng (ví dụ Slowloris, RUDY)
memory (e.g. Slowloris, RUDY)
89
T
Huấn luyện ứng phó sự cố - Ứng phó với tấn công hack máy chủ
Vai trò
• FSI: Thực hiện quét và tấn công giả trên máy chủ bằng cách khai thác các lỗ
hổng
• Tổ chức tài chính: Huấn luyện thủ tục ứng phó và phục hồi để phát hiện và chặn
các cuộc tấn công
Loại tấn công
• Thực hiện quét và tạo sơ đồ triển khai bằng cách khai thác các lỗ hổng đã công bố
Thủ tục
Biểu đồ phát triển (Huấn luyện ứng phó với hack máy chủ)
91
Huấn luyện ứng phó sự cố - Ứng phó với tấn công hack máy chủ
Tấn công Tấn công tạo ra các hoạt động bất thường độc hại như thực hiện mã hóa từ xa và làm rò rỉ
lỗ hổng dữ liệu bằng cách khai thác các lỗ hổng đã công bố (ví dụ tấn công lỗ hổng Apache Struts2,
Tấn công Tấn công tạo ra các hoạt động bất thường độc hại như chiếm quyền và chặn các phiên
lỗ hổng bằng cách khai thác kỹ năng tấn công web và các lỗ hổng trong ứng dụng web (ví dụ
Kỹ thuật thu thập thông tin máy chủ để có được thông tin trước khi tấn công lỗ hổng
(ví dụ quét cổng, web crawling, DNS zone transfer)
92
Huấn luyện ứng phó sự cố - Ứng phó với tấn công APT
Vai trò
• FSI: Gửi e-mail độc hại ảo cho nhân viên tổ chức tài chính
• Tổ chức tài chính: Huấn luyện ứng phó và phục hổi để phát hiện, chặn và xóa các e-
mail độc hại và mã độc
Thủ tục
Biểu đồ phát triển (Huấn luyện ứng phó tấn công APT)
94
Huấn luyện ứng phó sự cố - Ứng phó với tấn công APT
E-mail độc hại gửi trong quá trình huấn luyện được phân loại như dưới đây
Đính kèm - Sử dụng e-mail và tệp đính kèm được ngụy trang như bình thường
Mã độc - Mã độc sẽ được cài đặt và thực thi nếu nạn nhân mở file
Liên kết - Chèn liên kết đến trang web độc hại (trang lừa đảo) vào e-mail
Trang web - Thông tin cá nhân sẽ bị rò rỉ nếu nạn nhân bị lừa và nhấn vào link đó
Độc hại - Mã độc sẽ được cài đặt và thực thi nếu nạn nhân truy cập link
95
Huấn luyện ứng phó sự cố - Ứng phó với tấn công APT
(Ví dụ1) Gửi e-mail độc hại ngụy trang như dưới đây để huấn luyện
96
Huấn luyện ứng phó sự cố - Ứng phó với tấn công APT
(Ví dụ 2) Gửi e-mail độc hại ngụy trang như dưới đây để huấn luyện
97
Huấn luyện ứng phó sự cố - Ứng phó với tấn công APT
(Ví dụ 3) Gửi e-mail độc hại ngụy trang như dưới đây để huấn luyện
98
Huấn luyện ứng phó sự cố - Ứng phó với tấn công APT
(Ví dụ 4) Gửi e-mail độc hại ngụy trang như dưới đây để huấn luyện
< Đề nghị xác nhận cho hoạt động đáng ngờ >
- Gửi e-mail ngụy trang đề nghị xác nhận cho hoạt
động đáng ngờ như nỗ lực đăng nhập hoặc rút tiền
gửi ở môi trường mới
99
Huấn luyện ứng phó sự cố - Ứng phó với tấn công APT
(Ví dụ 5) Gửi e-mail độc hại ngụy trang như dưới đây cho huấn luyện
100
Incident Response Training- APT attack Response
(Example 6) Sending malicious e-mails disguised as below for training
275
Incident Response Training- APT attack Response
(Example 7) Sending malicious e-mails disguised asbelow for training
<Conference Invitaion>
- Sending e-mails disguised as introduction and registeration guide for
fintech conference that employees of financial institution might be
interested in
276
Incident Response Training- Result
Most of financial institutions actively participate in the incident response training of FSI
Since the establishment of the FSI,the overall incident response level of financialinstitutions
has been gradually increasing due to repeated training effects for about three years.
277
Chapter 5
Digital Certificates
Content
1. Public key encryption
2. Digital certificate
3. Public key infrastructure PKI
Digital Certificates
• Keep financial data secret from unauthorized parties (privacy)
• CRYPTOGRAPHY
HASH
PRIVATE KEY ENCRYPT HASH USING SIGNER’S PRIVATE KEY
OF MR. A
MESSAGE (LONG)
HASH =? HASH
Issuer
Message
Period of Validity
Digest
Subject
C=US ST=NY L=Albany O=OFT CN=John Doe
Challenge by Nonce
• If you’re really Shamos, you must know his private key
• So please encrypt this nonce with his private key:
“A87B1003 9F60EA46 71A837BC 1E07B371”
• When the answer comes back, decrypt it using the public key in the certificate
• If the result matches, the remote user knew the correct private key
• Never use the same nonce twice
ISO X.500 Directory Standard
PURPOSE: MAKE SURE NO TWO ENTITIES OR PEOPLE HAVE THE SAME NAME
O: ORGANIZATION
CA2
CA’S CERTIFICATE
ISSUED BY CA2
CA
HOLDER’S CERTIFICATE
ISSUED BY CA
CERTIFICATE
HOLDER
Certificate Authority Hierarchy
Root CA issues its own certificate!
RCA
RCA : Root Certificate Authority
BCA : Brand Certificate Authority
GCA : Geo-political Certificate Authority
BCA
CCA : Cardholder Certificate Authority
MCA : Merchant Certificate Authority
PCA : Payment Gateway
GCA Certificate Authority
CERTIFICATE ISSUANCE
Root CA
Root CA Certificate Info Root CA's Private Key
Self Signed
Root Signature
Subordinate CA
Certificate Info Root CA's Private Key
Sub CA
Root Signature
Alice
Certificate Info Subordinate CA's Private Key
SubCA's Signature
Text
Document Alice's Private Key
Alice's Signature
HHS Root CA
Bob gets cert from Alice
Bob Alice
Sig
SOURCE: ANDREAS STEFFEN, ZHW
4. Public key infrastructure PKI
• Digital certificates alone are not enough to establish security
• Need control over certificate issuance and management
• Naming of entities
• Issue, maintain, administer, revoke, suspend, reinstate, and renew digital certificates
Thẻ tín dụng và thẻ ghi nợ là hình thức thanh toán trực tuyến chiếm ưu thế
2.2. Các loại thẻ sử dụng trong TTĐT
Thẻ tín dụng
Thẻ tín dụng là loại thẻ mà chủ sở hữu thẻ tạo lập được bằng cách sử
dụng uy tín cá nhân của mình hoặc tài sản thế chấp
Phân loại:
• Hạn mức tín dụng
• Phạm vi sử dụng
2.2. Các loại thẻ sử dụng trong TTĐT
Thẻ tín dụng
Đặc điểm:
• Chi tiêu trước, trả tiền sau
• Chủ thẻ không phải trả bất kỳ một khoản lãi nào nếu việc thanh toán
khoản tiền là đúng thời hạn
• Mất phí cao khi rút tiền mặt
• Tài khoản hoặc tài sản thế chấp để phát hành thẻ tín dụng độc lập với việc
chi tiêu
• Có thể thanh toán 1 phần hoặc toàn bộ số dư phát sinh trong kỳ, phần số
dư trả chậm sẽ phải chịu lãi suất và cộng dồn vào hóa đơn tháng tiếp theo
2.2. Các loại thẻ sử dụng trong TTĐT
Thẻ ghi nợ
Thẻ ghi nợ là loại thẻ cho phép chủ sở hữu thẻ chi tiêu trực tiếp trên
tiền gửi của mình tại ngân hàng phát hành thẻ
Phân loại:
• Phương thức khấu trừ tài khoản
• Phạm vi sử dụng
2.2. Các loại thẻ sử dụng trong TTĐT
Thẻ ghi nợ
Đặc điểm:
• Chi tiêu tới đâu, khấu trừ tài khoản tới đó
• Số dư trong tài khoản được hưởng lãi suất không kỳ hạn
• Không phải mất phí hoặc mất một khoản phí rất nhỏ khi rút tiền
2.2. Các loại thẻ sử dụng trong TTĐT
Thẻ thông minh
Thẻ thông minh là loại thẻ điện tử có gắn 1 vi mạch xử lý (Chip) có khả
năng giới hạn trước các hoạt động, thêm vào hoặc xóa đi các thông tin
dữ liệu trên thẻ
Phân loại:
• Thẻ phi tiếp xúc (Contactless card)
• Thẻ tiếp xúc (Contact card)
2.2. Các loại thẻ sử dụng trong TTĐT
Hệ sinh thái thẻ thanh toán điện tử
2.3. Quy trình thanh toán sử dụng
thẻ
(1) Giao dịch thẻ tín dụng trực tuyến bắt đầu bằng việc
mua hàng
Một đường hầm an toàn thông qua Internet được
tạo bằng SSL / TLS, bảo mật phiên giao dịch trong
đó thông tin thẻ tín dụng sẽ được gửi đến người
bán
(2) SSL không xác thực người bán hoặc người tiêu
dùng. Các bên giao dịch phải tin tưởng lẫn nhau.
Khi người bán nhận được thông tin thẻ tín dụng
của người tiêu dùng, phần mềm của người bán liên
hệ với trung tâm thanh toán bù trừ
Một trung tâm thanh toán bù trừ là một trung gian
tài chính xác thực thẻ tín dụng và xác minh số dư
tài khoản. Trung tâm thanh toán bù trừ liên hệ với
ngân hàng phát hành để xác minh thông tin tài
khoản.
Sau khi xác minh, ngân hàng phát hành ghi nhận
tài khoản của người bán tại ngân hàng của người
bán
(3) Ghi nợ vào tài khoản người tiêu dùng được truyền
đến người tiêu dùng trong một báo cáo hàng tháng
2.3. Quy trình thanh toán sử dụng
thẻ
Hạn chế của hệ thống thanh toán thẻ trực tuyến
Hạn chế đối với người dùng:
• Vấn đề kỹ thuật
• Chi phí gian lận
• Mức độ tín nhiệm
• Khuyến khích mua hàng không cần thiết
• Lãi suất cao nếu không được thanh toán đầy đủ vào ngày đáo hạn
• Phí hàng năm
• Ảnh hưởng tiêu cực từ lịch sử tín dụng và điểm tín dụng
2.3. Quy trình thanh toán sử dụng
thẻ
Hạn chế của hệ thống thanh toán thẻ trực tuyến
Hạn chế đối với người bán:
• Phí dịch vụ
• Tội phạm mạng
• Phụ thuộc vào cơ sở hạ tầng viễn thông
• Vấn đề kỹ thuật
2.4. Tiêu chuẩn bảo mật
Tiêu chuẩn PCI DSS (Payment Card Indutry Data Security Standard)
• PCI DSS (Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán) là một
tập hợp các yêu cầu bảo mật và kinh doanh được thiết kế để đảm
bảo rằng các tổ chức xử lý, lưu trữ hoặc truyền dữ liệu thẻ thanh
toán duy trì môi trường an toàn.
• Được thành lập vào năm 2004 bởi các thành viên sáng lập của Hội
đồng Bảo an PCI. Các thành viên là Visa, MasterCard, American
Express, Discover Financial Services và Cục Tín dụng Nhật Bản (Japan
Credit Bureau - JCB).
2.4. Tiêu chuẩn bảo mật
2.4. Tiêu chuẩn bảo mật
PCI DSS đối với người bán
• PCI phân loại người bán thành các mức độ tuân thủ khác nhau. Mức
độ của một người bán nhất định phụ thuộc vào khối lượng giao dịch
thẻ tín dụng mỗi năm hay người bán có vi phạm an ninh trong quá
khứ hay không.
• Yêu cầu xác nhận và báo cáo của người bán: những điều mà người
bán phải làm để chứng minh rằng họ tuân thủ PCI DSS.
• Mỗi thương hiệu thanh toán đặt ra các cấp độ riêng của mình.
2.4. Tiêu chuẩn bảo mật
Cấp độ 1
Bất kỳ người bán nào xử lý hơn 6 triệu giao dịch mỗi năm, bất kể các giao dịch là thương mại điện tử hay truyền
thống. Người bán đã bị vi phạm bảo mật cũng có thể được chỉ định ở mức tuân thủ này.
Cấp độ 2
Bất kỳ người bán nào xử lý từ 1 triệu đến 6 triệu giao dịch mỗi năm, cho dù các giao dịch là thương
mại điện tử hay truyền thống.
Cấp độ 3
Bất kỳ người bán nào xử lý 20.000 đến 1 triệu giao dịch thương mại điện tử mỗi năm. Một người
bán có thể xử lý hàng trăm ngàn giao dịch thẻ thanh toán truyền thống vẫn không được phân loại ở
cấp độ này nếu họ xử lý ít hơn 20.000 giao dịch thương mại điện tử.
Cấp độ 4
Bất kỳ người bán nào xử lý tối đa 1 triệu giao dịch thẻ thanh toán truyền thống nhưng ít hơn 20.000
giao dịch thương mại điện tử
2.4. Tiêu chuẩn bảo mật
2.4. Tiêu chuẩn bảo mật
Qualified Security Assessor (QSA) là một công ty đã được Hội đồng PCI đánh
giá đủ điều kiện để thực hiện đánh giá PCI DSS tại chỗ.
• Xác minh tất cả thông tin kỹ thuật do người bán hoặc nhà cung cấp dịch vụ cung cấp
• Sử dụng phán quyết độc lập để xác nhận tiêu chuẩn đã được đáp ứng
• Cung cấp hỗ trợ và hướng dẫn trong quá trình tuân thủ
• Có mặt tại chỗ trong suốt thời gian đánh giá theo yêu cầu
• Tuân thủ các quy trình đánh giá bảo mật PCI DSS
• Xác nhận phạm vi đánh giá
• Đánh giá kiểm soát bù
• Tạo báo cáo cuối cùng
2.4. Tiêu chuẩn bảo mật
PCI DSS đối với các nhà cung cấp dịch vụ
• Các yêu cầu báo cáo và xác nhận đối với các nhà cung cấp dịch vụ
nghiêm ngặt hơn
• Mức độ tuân thủ và yêu cầu đối với các nhà cung cấp dịch vụ được
xác định bởi các thương hiệu thẻ thanh toán
2.4. Tiêu chuẩn bảo mật
2.5. Bảo mật 3-D
• Giao thức bảo mật 3D được phát triển bởi Visa để cải thiện tính bảo
mật của thanh toán Internet. Giao thức được cung cấp với tên dịch vụ
được xác minh bởi Visa (verified by Visa)
• Master và JCB cũng đã áp dụng một giao thức tương tự.
• Cung cấp khả năng xác thực, giảm khả năng sử dụng gian lận và cải
thiện hiệu suất giao dịch tổng thể.
2.5. Bảo mật 3-D
• Yêu cầu người dùng trả lời một thách thức trong thời gian thực
• Thách thức đến từ ngân hàng phát hành, không phải từ người bán
• Ngân hàng phát hành xác nhận danh tính người dùng cho người bán
• Tổ chức phát hành thẻ phải hỗ trợ giao thức bảo mật 3D
2.5. Bảo mật3-D
3-D(3-Domain) Model
Internet
Merchant
Cardholder
eMerchant Server
Wallet Server
Issuer Acquirer
Payment
Issuer Domain Association Acquirer Domain
Interoperability Domain
SOURCE: MASTERCARD
3-D Secure Process Flow
2.5. Bảo mật 3-D
Luồng quy trình bảo mật 3D
1. Dữ liệu thẻ và đơn hàng
ACS Acquirer
Access Control Server
SOURCE: MASTERCARD
3-D Secure Process Flow
2.5. Bảo mật 3-D
10. Phản hồi xác thực người trả tiền
Merchant
SSL
Cardholder
E-Government
Banking Public
Mass Transit Telephony
Mobile
Telecommunications W-LAN Retail
SIM card
Crypto card
USB token
Java card
Memory card
SOURCE: ANDREAS STEFFEN
Laser Optical Memory Card
Capacity: 1MB - 1GB
Hong Kong Smart ID
Smart Card Structure
Contacts:
Microprocessor
Contacts
Card
(Upside-down) Epoxy
Antenna
How RFID Works
• Tag enters RF field Antenna
• RF signal powers tag
• Tag transmits ID, plus data
• Reader captures data
• Reader sends data to computer
• Computer determines action
• Computer instructs reader
• Reader transmits data to tag
Tag
Computer
RFID
Reader
SOURCE: PHILIPS
PAYMENT ON A KEYCHAIN
SOURCE: MITSUBISHI
Octopus Card Security
SOURCE: MITSUBISHI
Octopus
SONY RC-S833
CONTACTLESS SMART CARD
SONY READER/WRITER
SOURCE: SONY
Octopus Expansion
• Identity card
• Access control
• Hotel room key
• Credit card
• McDonalds
• Mobile phone
• Home readers
CENTRAL CLEARING
HOUSE SYSTEM
SERVICE
PROVIDER
CENTRAL
COMPUTER
LOCAL
DATA
PROCESSOR
SOURCE:
• DISTRIBUTE SOFTWARE
CENTRAL
• COLLECT TRANSACTIONS
STATION CLEARING
• PRINT REPORTS
COMPUTER HOUSE
• SEND DATA TO SPCC SYSTEM
CCHS
• VALIDATE DATA
• NET ACCOUNTING
SETTLE MENT
• MUTUAL HSBC HEXAGON OCTOPUS
AUTHENTICATION BANK
• CHECK BLACKLIST
• UPDATE CARD LOAD REGULAR ACCT
MTR’S
• STORE TRANSACTIONS
BANK AGENT’S BUFFER ACCT
FARE PROCESSORS BANK RESERVE ACCT
Major Ideas
• Smart cards replace cash
• Potential of cards is unexplored; new uses every day
• Powerful microprocessors allow
• cryptography
• certificates, authentication
• secure purses
• Wireless (contactless) cards enable new business models
• Smart card security is not perfect
Chapter 8
Micropayment
Micropayment
Overview of Micropayments
E-wallets
Peer-to-Peer (P2P) Payments
Mobile payments
Overview of Micropayments
• A micropayment is a financial transaction
involving a very small sum of money and usually
one that occurs online. Practical systems allow
transactions of less than US$1.
• A number of micropayment systems were
proposed and developed in the mid-to-late 1990s,
all of which were ultimately unsuccessful. A
second generation of micropayment systems
emerged in the 2010s.
• One problem that has prevented the emergence
of micropayment systems is a need to keep costs
for individual transactions low, which is
impractical when transacting such small sums
even if the transaction fee is just a few cents.
E-wallets
• A digital wallet, also known as e-wallet, is an electronic device, online
service, or software program that allows one party to make electronic
transactions with another party bartering digital currency units for
goods and services.
• This can include purchasing items online with a computer or using a
smartphone to purchase something at a store.
• Money can be deposited in the digital wallet prior to any transactions
or, in other cases, an individual's bank account can be linked to the
digital wallet.
• Users might also have their driver's license, health card, loyalty card(s)
and other ID documents stored within the wallet.
• The credentials can be passed to a merchant's terminal wirelessly via
near field communication (NFC).
• Increasingly, digital wallets are being made not just for basic financial
transactions but to also authenticate the holder's credentials
• A cryptocurrency wallet is a digital wallet where private keys are
stored for cryptocurrencies like bitcoin.
E-wallets
E-wallets
http://tapchinganhang.gov.vn/thanh-toan-an-toan-voi-vi-dien-tu.htm
Peer-to-Peer (P2P) Payments
• Peer-to-peer transactions (also referred to as person-to-person
transactions, P2P transactions, or P2P payments) are electronic
money transfers made from one person to another through an
intermediary, typically referred to as a P2P payment application.
• P2P payments can be sent and received via mobile device or any
home computer with access to the Internet, offering a convenient
alternative to traditional payment methods.
Peer-to-Peer (P2P) Payments
• Smartphone technology make ability to transfer money to other
people anywhere in the world within seconds.
• There are many innovators in the P2P transaction mobile space, with
industry leaders such as PayPal, Venmo, Square, Inc.,
• All of these apps allow users to easily send and receive payments in a
short time frame, with little to no fees involved.
• The prevalence of smartphones allows most people to use their
phones as a type of wallet, particularly when splitting bills or dealing
with personal debts.
• P2P payment volume is expected to reach 86 billion dollars by 2018.
Peer-to-Peer (P2P) Payments
How Peer to Peer Payments Work
Source: https://fintechnews.sg/17689/vietnam/mobile-payment-service-providers-in-vietnam-the-complete-list/
Mobile payments in Viet Nam
Source: https://www.vietnambusiness.tv/business/1585/vietnam-tops-world-in-growth-of-mobile-payment-
users
Mobile payments
Carrier billing (Premium SMS or direct carrier billing)
Mobile payments
Contactless payments NFC (Near Field Communication)
Contactless payment systems are credit cards and debit cards,
key fobs, smart cards, or other devices, including smartphones
and other mobile devices, near field communication (NFC, e.g.
Samsung Pay, Apple Pay, Google Pay, Fitbit Pay, or any bank
mobile application that supports contactless) for making secure
payments.
Mobile payments
QR Code
• QR code payment is a contactless payment method where payment is
performed by scanning a QR code from a mobile app.
• This is an alternative to doing electronic funds transfer at point of sale using a
payment terminal.
• This avoids a lot of the infrastructure traditionally associated with electronic
payments such as payment cards, payment networks, payment terminal and
merchant accounts.
Chapter 9
Digital Money
Content
What is Digital Currency?
Advantages and disadvantages
Blockchain Technology
What is Digital Currency?
• Digital currency (digital money, electronic
money or electronic currency) is any currency,
money, or money-like asset that is primarily
managed, stored or exchanged on digital
computer systems, especially over the
internet.
• Types of digital currencies include
cryptocurrency, virtual currency and central
bank digital currency.
• Digital currency may be recorded on a
distributed database on the internet, a
centralized electronic computer database
owned by a company or bank, within digital
files or even on a stored-value card
What is Digital Currency?
• Digital currencies exhibit properties similar to traditional
currencies, but generally do not have a physical for.
• Allows nearly instantaneous transactions over the internet.
• Removes the cost associated with distributing notes and coins.
• If not issued by a governmental body, virtual currencies are not
considered a legal tender and they enable ownership transfer
across governmental borders.
• These types of currencies may be used to buy physical goods and
services, but may also be restricted to certain communities such
as for use inside an online game.
• Digital money can either be centralized, where there is a central
point of control over the money supply (for instance, a bank), or
decentralized, where the control over the money supply is
predetermined or agreed upon democratically.
What is Digital Currency?
• Cryptocurrencies: A cryptocurrency, crypto-currency, or crypto
is a binary data designed to work as a medium of exchange
wherein individual coin ownership records are stored in a ledger
existing in a form of a computerized database using strong
cryptography to secure transaction records, to control the
creation of additional coins, and to verify the transfer of coin
ownership
What is Digital Currency?
Cryptocurrencies vs. E-
Money
What is Digital Currency?
• Stablecoins: Stablecoins are cryptocurrencies where the price
is designed to be pegged to a cryptocurrency, fiat money, or to
exchange-traded commodities (such as precious metals or
industrial metals
What is Digital Currency?
• Virtual Currencies: Virtual
currency is a type of unregulated
digital currency that is only
available in electronic form. It is
stored and transacted only through
designated software, mobile or
computer applications, or through
dedicated digital wallets, and the
transactions occur over the internet
through secure, dedicated
networks.
Advantages and disadvantages
Security
E-money is widely considered to be more secure than cash
Convenience
E-money service providers offer e-wallets in which you can store your payment
instrument data
Simply choose your e-wallet as the payment option and buy with just 1 click
Fast Transactions
Online transfers between the payers’ and the payees’ accounts proceed
considerably quicker than those via wire transfer
Advantages and disadvantages
High Security Requirments
Adhering to the KYC and due diligence processes
Anti-fraud and anti-money-laundering procedures
Provide additional identificatory data, like utility bills, ID card copies or personal
identification verification during video calls.
Not Always Readily Available
Lack of infrastructure
Internet connections or the availability of e-money-accepting online services or
physical points-of-sale
Merchants must have integrated the customer’s e-wallet provider
Blockchain terminologies
o Technologically, it is :
• Distributed database – public ledger (you can insert,
select data, but can’t update or delete data.
• Distributed computer – execute digital contracts
• Based on p2p (peer-to-peer) technology, cryptology and
API
Source: https://miethereum.com/wp-content/uploads/2017/11/A.-A-Gentle-Introduction-To-Blockchain-Technology.pdf
Blockchain terminologies
Source: https://tradeix.com/distributed-ledger-technology/
Image source: https://knowledgecrypto.com/the-difference-between-blockchains-distributed-ledger-technology/
Blockchain terminologies
Users initiate
Users Broadcast One or more Nodes aggregate
transactions
their Nodes begin validated
using their
transactions to validating each transactions into
Digital
Nodes transaction Blocks
Signatures
Block reflecting
Nodes Broadcast
Consensus “true state” is
Blocks to each
protocol used chained to prior
other
Block
Source:
https://ccl.yale.edu/sites/default/files/files/A%20Brief%20Introduction%20to%20Blockchain%20(Final%20
without%20Notes).pdf
Blockchain terminologies
Databases Blockchains
Source: https://coinsutra.com/blockchain-vs-database/
Consensus components
Image source:
https://cointelegraph.com/storage/uploads/view/ea5b21f01454
7b4b44cf2dafcd76aad2.jpg