Slide Thanh Toán Điện Tử

BÀI 1:
TỔNG QUAN VỀ THANH TOÁN ĐIỆN

TỬ
1
LỊCH BIỂU
BUỔI NGÀY NỘI DUNG GHI CHÚ
1 Giới thiệu môn học + Tổng quan về Thanh toán điện tử
Tổng quan về Thanh toán điện tử (Tiếp theo) + Bài tập tình huống tiền điện
2
tử
3 Ngân hàng số+ Thực hành mở ngân hàng số
4 Hệ thống thanh toán bù trừ + Case study: Mobile payment Marketplace
5 Bảo mật trong thanh toán điện tử + Chứng chỉ số
6 Hệ thống thanh toán thẻ + Hệ thống thẻ lưu trữ giá trị + Thuyết trình
7 Vi thanh toán + Thuyết trình
8 Tiền điện tử + Thuyết trình
9 Thuyết trình + Ôn tập 2

NỘI DUNG
1.1. Sự hình thành và phát triển
1.2. Khái niệm và các yếu tố cấu thành TTĐT
1.3. Lợi ích và hạn chế của TTĐT
1.4. Các hình thức TTĐT
1.5. Xu hướng phát triển của TTĐT
1.6. Tổng quan hệ thống thanh toán Việt Nam và hệ sinh thái Fintech
3
(Source)
Ngân hàng Phát triển châu Á (The Asian Development Bank) - NAPAS
4
Tiền là gì?
• Bất cứ thứ gì có thể được dùng để:
- Lưu trữ giá trị, nghĩa là mọi người có thể sử dụng nó sau này mà không
mất đi giá trị;
- Đơn vị để đo lường, đưa ra một cơ sở chung cho giá cả;
- Phương tiện để trao đổi, mọi người có thể nhận hang hóa/dịch vụ bằng
việc trao đổi
• Phát minh của tiền giúp việc trao đổi hàng hóa trở nên thuận tiện hơn
- Sự trùng hợp của mong muốn
- Chấp nhận chung
- Muối, Đá, Gạo, Thức ăn, vv…
5
Sự phát triển của tiền
Từ hữu hình đến vô hình
- Phát minh các công cụ thanh toán mới hơn không cần
dùng nhiều đến tiền mặt.
Uy tín và sự tin cậy
- Khởi nguồn của ngân hàng
- Tiền có thể được tạo thông qua tài khoản ngân hàng (tín dụng)
- Nhận tiền gửi (Cung cấp cơ hội đầu tư)
- Tài khoản ngân hàng như là tiền
6
Ngân hàng là gì?
Trung gian tài chính
• “Trung gian tài chính là một hoạt động sản xuất trong đó một đơn vị tổ
chức ghi nợ trên tài khoản của mình để mua tài sản tài chính bằng cách
tham gia vào một giao dịch tài chính trên thị trường; vai trò của các trung
gian tài chính là kênh cung cấp quỹ từ người cho vay sang người vay
bằng cách làm trung gian” (OECD)
7
Ngân hàng là gì?
Bên cho Trung gian tài Các bên có

vay chính nhu cầu vay
Vai trò của trung gian tài chính

- Kết hợp (môi giới, và thương
lượng) Ngân hàng có thể
- Tạo thông tin tạo ra tiền bằng
Bảng cân đối kế toán của ngân cách nhận tiền gửi
hàng
Tiền mặt Tiền gửi
Dựa trên độ tin cậy của nó, một ngân
hàng tạo tín dụng thông qua tài khoản vay tiền gửi
của mình
vay tiền gửi
8
1.2. Khái niệm và các yếu tố cấu thành
TTĐT
Định nghĩa về “thỏa thuận chi trả” (Settlement)
• “Thỏa thuận chi trả”được định nghĩa là một hành động thực
hiện nghĩa vụ liên quan đến tiền giữa hai hoặc nhiều bên
”(Bank for International Settlements, 2001).
• Thỏa thuận chi trả có thể hiểu là một hành động thanh toán để
thực hiện bù đắp cho bên tham gia cung cấp trong các giao
dịch mua hàng hóa hoặc dịch vụ nhằm hoàn thành quá trình
kinh doanh.
9
1.2. Khái niệm và các yếu tố cấu thành
TTĐT
10
1.2. Khái niệm và các yếu tố cấu
thành TTĐT
Thanh toán điện tử (Tiếng Anh: E-payment, Electronic Payment) được
định nghĩa là bất kỳ hình thức chuyển tiền nào được thực hiện thông qua
các thiết bị điện tử[1]
Thanh toán bằng hệ thống này có thể được thực hiện qua Internet, hệ
thống chuyển tiền điện tử (EFT - Electronic Funds Transfer), các hệ
thống thanh toán bù trừ liên ngân hàng (Interbanking Clearing Systems)
và hệ thống trao đổi dữ liệu điện tử tài chính (Financial EDI)[2]
[1] Kalakota, R. and Whinston, A.B. (1996), Frontiers of Electronic Commerce, Addison-Wesley, Reading, MA.
[2] Craig M. Parker, Paula M. C. Swatman (2020). “Electronic Payment Systems”.
11
thành TTĐT
Tiêu chí hiệu quả của hệ thống thanh toán
Thời gian
thực hiện
Rủi ro Chi phí

12
thành TTĐT
13
1.3. Lợi ích và hạn chế của
TTĐT
Tầm quan trọng của hệ thống thanh toán:
Hệ thống thanh toán đóng một vai trò quan trọng
trong việc luân chuyển tiền trên toàn nền kinh tế
Hệ thống thanh toán được xem là cơ sở hạ tầng xã hội hỗ

trợ mọi hoạt động kinh tế, bao gồm các hoạt động thương
mại và giao dịch trên thị trường tài chính.
1.3. Lợi ích và hạn chế của TTĐT
Lợi ích
• Quá trình mua bán hàng hóa và thanh toán trở nên dễ dàng
• Đảm bảo quyền lợi cho các bên tham gia và giảm thiểu những rủi ro thanh toán bằng tiền mặt
• Góp phần hiện đại hóa hệ thống thanh toán và giúp cho những giao dịch được thực hiện nhanh
hơn và an toàn hơn.
Hạn chế
• Hạn chế về bảo mật
• Khả năng xảy ra lừa đảo, gian lận
15
16
Thanh toán không tiếp xúc - Contactlesss payment
Thanh toán di động - Mobile payment
Thanh toán mã QR – QR Code payment
Thanh toán sinh trắc học – Biometrics payment
17
18
19
20
21
22
23
1.5. Xu hướng phát triển của TTĐT
Những thay đổi trong bối cảnh ngành ngân hàng
24
Điều gì đang thúc đẩy những thay đổi trong
ngành tài chính?
Thay đổi môi trường dữ liệu
• Nhờ tiến bộ trong công nghệ, sự tăng trưởng theo cấp số nhân của dữ liệu có
thể được quản lý với chi phí thấp. Lưu lượng truy cập di động toàn cầu
Exa (1018) Bites mỗi Tháng
• Tất cả các thông tin có thể được số hóa.
• Sau khi số hóa có thể áp dụng cải tiến công nghệ.
Các yếu tố chính của sự thay đổi là gì?

– Từ tín hiệu liên tục sang kỹ thuật số
– Liên kết giữa không gian ảo và thế giới thực
Nguồn: Ericsson. Tương lai của dữ liệu di động và tăng trưởng lưu lượng
truy cập https://www.ericsson.com/en/mobility-report/future-mobile-data-
usage-and-traffic-growth
25
Lưu lượng dữ liệu di động toàn cầu, 2017-2022
Nguồn: Cisco VNI Mobile, 2019

26
Thay đổi được thực hiện bởi đổi mới
công nghệ thông tin
• Kết nối điểm-điểm trong di động
– Kết nối ngang hàng
– Nhận dạng cá nhân qua điện thoại di động
• Dữ liệu lớn
– Một bộ gồm nhiều dữ liệu
• Người sử dụng cho đến máy đọc
– Giao diện người sử dụng không còn cần thiết nữa nhưng dữ
liệu cần phải đọc được bằng máy.
• Phân tích dữ liệu bằng trí tuệ nhân tạo
– Học tăng cường
27
Từ người sử dụng đến máy đọc
• Giao diện người sử dụng đến • Nhưng chúng ta cần cung
giao diện máy cấp dữ liệu cho máy đọc
• Bộ não con người đến trí <food>

tuệ nhân tạo <name>Beef steak</name>
<price>1,000</price>
<food>
<name>Apple</name>
Linked Open <quantity>300</quantity>
Data
URI,
XML
Cách để xác định dữ liệu và thông tin

cần phải được chuẩn hóa và thống
nhất. XML, HTML, XBRL
28
Source: http://5stardata.info/
Từ tĩnh đến động
Cơ sở dữ liệu CơsởdữliệuNoSQL
quan hệ tĩnh vớicấutrúclinhhoạt
Hoa quả Dữ liệu B
Dữ liệu A
Táo
Dâu Khai thác

dữ liệu
Cam
Dữ liệu C
Dữ liệu D
29
Công nghệ thông tin trong dịch vụ ngân hàng
Chức năng của ngân hàng Viễn Thông

– Chuyển tiền (phương tiện thanh toán) Ví Điện tử NFC
• Công nghệ hỗ trợ thanh toán an toàn và hiệu quả
– Giữ an toàn (lưu trữ giá trị)
• Giá trị có thể được bảo toàn Blockchain
• Từ vật lý đến bảo mật dữ liệu
– Cho vay (tạo tín dụng)
• Kết nối Góp vốn
Điểm tín dụng
• Đánh giá tín dụng
Các ngân hàng cung cấp các dịch vụ này vì phạm vi và quy mô kinh tế.
Ưu điểm của chuyên môn hóa có thể vượt qua quy mô phạm vi kinh tế của
ngân hàng (vẫn đang phát triển)
30
Hình ảnh của mạng lưới thị trường tài chính
Môi giới
thanh toán
Ngân hang
nước ngoài Tổ chức tài
chính trực
thuộc
Công ty Ngân
chứng khoán hang
nước ngoài lớn
Công ty
Ngân
chứng
hàng uy
khoán
tín
Nguồn: Imakubo, K. & Soejima, Y.(2010), Mạng lưới giao dịch tại thị trường liên ngân hàng Nhật Bản, Nghiên cứu Tiền tệ
và Kinh tế. Tập 28
31
Vai trò của cơ quan quản lý trong việc tiêu chuẩn hóa
• Công nghệ thông tin cần chuẩn hóa để có thể giao tiếp.
– Quy tắc (Giao thức) và các tiêu chuẩn cần được đặt ra bởi người sử dụng
• Tiêu chuẩn hóa thường liên quan đến các vấn đề:
– Chi phí liên quan đến việc tích hợp một công nghệ mới sẽ trì hoãn tiến trình tích hợp đó.
– Việc tích hợp cần phải được thực hiện hoàn toàn; việc chỉ một phần hay gia tang thực
thi sẽ không tạo ra một hiệu ứng mạng lưới
– Cần chiến lược quốc gia
• Sự phối hợp giữa các bên liên quan là cần thiết
– Điều phối của nhà lập chính sách
– Điều phối của các tập đoàn công nghiệp
– Điều phối của các tổ chức quốc tế
• Khả năng tương tác trong giao dịch xuyên biên giới
– Tầm quan trọng của việc hợp tác trong khu vực giữa các nhà quản lý
32
Tiêu chuẩn hóa và Khả năng tương tác
• Giao dịch ngoài biên giới.

• Tiêu chuẩn hóa là quan trọng, nhưng quan trọng hơn cả là đảm bảo khả
năng tương tác mới là nhân tố chính cho giao dịch xuyên biên giới
Tiêu chuẩnlà “các côngcụchiến lược giúpgiảm chi phíbằngcáchgiảm thiểu tồn đọng, sai sót và tang hiệu quảsản
xuất. Nhờđó các côngty cóthể tiếp cậnthị trườngmới, cải thiện lĩnh vựchoạt độngđối với các nướcphát triển và tạo
điều kiện cho thươngmại tựdo và côngbằngtoàn cầu”
Nguồn: Trang web ISO
Mặc dù chúng tôi

không có khả năng
tiêu chuẩn hóa mọi
19
thứ, nhưng có thể
tìm cách đảm bảo
khả năng tương tác 33
Làm thế nào để liên kết không gian ảo với thế giới thực?
• Mọi thứ có thể số hóa

• Nhưng chúng ta cần một liên kết giữa ảo và thực tại.
– Dịch vụ giao hàng trong thương mại điện tử
– ATM chuyển thành giá trị kỹ thuật số
• Nhận dạng số = Nhận biết khách hàng (KYC)
ID
34
Hà Nội, 30/9/2019
35
Nội dung
Hệ thống thanh toán ở Việt Nam
Hệ sinh thái Fintech Việt Nam
Thách thức và giải pháp
36
Hệ thống thanh toán NHNN Hệ thống thanh toán liên ngân hàng (IBPS)
Tiểu hệ thống xử lý quyết toán vốn
Trung tâm lưu ký chứng

khoán NHNN
Tiểu hệ thống thanh toán
giá trị cao
Tiểu hệ thống thanh
toán giá trị thấp HỆ THỐNG
THANH TOÁN
Ở VIỆT NAM
Ngân hàng thanh

toán bù trừ
chứng khoán Kho bạc NN
Ngân hàng thanh

toán bù trừ ngoại
tệ
Công ty chứng Nhà cung cấp dịch vụ Ngân hàng
khoán trung gian thanh toán thương mại
Khách hàng (cá nhân và tổ chức)
Trao đổi số liệu

Thanh toán bù trừ tiền mặt 37
Hệ thống thanh toán liên ngân hàng
 Được vận hành bởi NHNN.
 Bao gồm một Trung tâm thanh toán quốc gia

(NPSC) ở Hà Nội và 6 trung tâm xử lý dữ liệu khu
vực (RPC); xử lý các khoản thanh toán giá trị cao
và các khoản thanh toán khẩn trên nền tảng thanh
toán tổng tức thời (Real Time Gross Settlement
hay RTGS) và khoản thanh toán giá trị nhỏ DNS.
 Quy định các khoản thanh toán giá trị cao ở

mức 500 triệu đồng (khoảng 24.000 USD).
Thành viên: NHNN chi nhánh tỉnh, thành phố,

NHTM, Chi nhánh NH nước ngoài, Kho bạc Nhà
nước, Napas, Trung tâm lưu ký chứng khoán và
một vài tổ chức tín dụng phi ngân hàng.
38
Hệ thống thanh toán liên ngân hàng
Tổng số món Tổng số tiền IBPS

(HV+LV) (HV+LV)
- 137,59 triệu giao dịch được
Thousand Trillion
xử lý, tăng 26% so với 2017
160000,0 80000,0
- Tổng giá trị giao dịch 3.151 tỷ
140000,0 70000,0 USD ~ 13 lần GDP, tăng 24% so
2017.
120000,0 60000,0 - Trung bình 543,8 nghìn giao
dịch một ngày, tăng 25% so
100000,0 50000,0
2017
80000,0 40000,0 - Giá trị giao dịch bình quân
12,46 tỷ USD mỗi ngày, tăng
60000,0 30000,0
24% so 2017.
(Số liệu cuối 2018)
40000,0 20000,0
20000,0 10000,0
,0 ,0
2014 2015 2016 2017 2018
Thống kê giao dịch qua IBPS, 2014 - 2018

Source: SBV
39
Hệ thống thanh toán bù trừ chứng khoán
40
Hệ thống xử lý thanh toán đa tệ – VCB Money
Thousand Total volume Total value

Trillion VND
transactions
400 8.000
350 7.000
300 6.000
250 5.000
200 4.000
 Vietcombank vận hành

150 3.000
100 2.000
 Thành viên: NHTM, doanh
50 1.000 nghiệp
- 0
 Hệ thống thanh toán đa ngoại tệ
2014 2015 2016 2017 2018
Thanh toán qua hệ thống VCB-Money, 2014-2018

41
Chuyển mạch thẻ - NAPAS
 Được vận hành bởi Napas

 Cung cấp dịch vụ chuyển
mạch ATM/POS, chuyển tiền
trực tuyến qua thẻ ngân hàng,
cổng thanh toán điện tử cho
giao dịch thương mại điện
tử…
 Thành viên: NHTM, các nhà
cung cấp dịch vụ trung gian
thanh toán…
42
Chuyển mạch thẻ - NAPAS
Transaction Value
Thousand Trillion VNĐ
400000,0 2000,0 NAPAS

350000,0
1800,0 - 350 triệu giao dịch được xử lý,
1600,0 tăng 450% so với năm 2017
300000,0
1400,0
- Tổng giá trị giao dịch 75,6 tỷ
250000,0 USD, tăng 395% so với năm 2017
1200,0
- Trung bình 961 nghìn giao dịch
200000,0 1000,0
một ngày, tăng 452% so với năm
150000,0
800,0
2017
600,0 - Giá trị giao dịch 207 triệu USD
100000,0
400,0 mỗi ngày, tăng 396% so với năm
50000,0
200,0 2017.
,0 ,0
(Số liệu cuối 2018)
2016 2017 2018
Giao dich được xử lý qua NAPAS, 2016 - 2018
43
Thanh toán không dùng tiền mặt ở Việt Nam
Thanh toán không dùng tiền mặt (TTKDTM) là hình thức thanh toán sử dụng các phương
tiện thanh toán không phải là tiền mặt
Thanh toán trong các hoạt động kinh tế của Việt Nam đang có sự chuyển dịch
• Thanh toán thông qua ví điện tử
• Thị trường thẻ tín dụng/ thẻ ghi nợ
• Tài khoản ngân hàng
• Thanh toán di động
Source: The State Bank of Vietnam
44
Thanh toán tiền mặt vẫn chiếm tỷ trọng lớn trong nền kinh tế.
Tỷ lệ tiền mặt trong lưu thông so với tổng phương tiện thanh toán tuy có giảm qua các năm
nhưng vẫn ở mức cao.
Tỷ lệ tiền mặt trong lưu thông so với tổng phương tiện thanh toán, 2004-2018
25,00
20,00
15,00
%
Cash/M2; 11,78
10,00
5,00
0,00
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
45
Thanh toán tiền mặt vẫn chiếm tỷ trọng lớn trong nền kinh tế.
Tỷ lệ tiền mặt trong lưu thông so với tổng phương tiện thanh toán tuy có giảm qua các năm
nhưng vẫn ở mức cao.
46
Số lượng người trưởng thành có tài khoản ngân hàng là 45,8 triệu người,
chiếm 63% trong năm 2018
Số lượng người trưởng thành có tài khoản ngân hàng
41.413.086 43.276.675
36.771.973
36.461.593
2014 2015 2016 2017
47
48
919
526
184
130
61 98
NĂM 2015 NĂM 2016 NĂM 2017 NĂM 2018 NĂM 2019 NĂM 2020
Số lượng giao dịch (triệu lượt)
Giao dịch thanh toán qua di động (triệu lượt)
49
• 24 ngân hàng có dịch vụ thanh toán mã QR với hơn 50.000 điểm

chấp nhận.
• 76 ngân hàng cung cấp dịch vụ ngân hàng internet.
• 44 ngân hàng có dịch vụ ngân hàng di động.
Khối lượng giao dịch So với Qúy Giá trị giao dịch So với Qúy
Qúy II/2019 II/2018 Qúy II/2019 II/2018
(triệu giao dịch) (Nghìn tỷ đồng)
204,22 +60,64% 9.506 +18,5%

Kênh Internet
Kênh di động 169,86 +109,48% 1.761 +160,5%
Nguồn: NHNN 50
181,5
KÊNH MÃ QR
95,7
123,1
KÊNH ĐIỆN THOẠI DI ĐỘNG
86,3
31,2
KÊNH INTERNET
65,9
0 20 40 60 80 100 120 140 160 180 200

Tốc độ tăng giá trị Tốc độ tăng số lượng
Tăng trưởng cuối tháng 4.2021 so với cùng kỳ năm 2020 (%)
Nguồn:Xây dựng cơ chế chuyển mạch tài chính Quốc gia: "Đại lộ" đã xây, "phương tiện" sẵn sàng, vẫn chờ cấp
phép. (2021). Retrieved 6 November 2021, from https://specials.laodong.vn/xay-dung-co-che-chuyen-mach- 51
tai-chinh-quoc-gia-dai-lo-da-xay-phuong-tien-san-sang-van-cho-cap-phep-921781/
89 triệu thẻ ngân hàng đang sử dụng

(86% thẻ nội địa, 14% thẻ quốc tế) * Số liệu Qúy I/2019
Domestic card International card Debit card Credit card Prepaid card
84,14 12,87 2018 80,24 4,99 11,79

2018
78,87 10,70 2017 77,46 4,12 8,00

2017
74,05 7,55 2016 73,15 2,925,53

2016
64,62 6,40 2015 64,20 2,38

4,44
2015
71,61 8,78 2014 73,59 3,293,51

2014
- 20,00 40,00 60,00 80,00 100,00 - 20,00 40,00 60,00 80,00 100,00
52
 18.668 ATM
và 261.705 POS .
 229 triệu
giao dịch (tăng
18,5% so Qúy
I/2018)
* Ghi chú: Số liệu QI/2019
53
 Thanh toán di động

 e-KYC trong hoạt động ngân hàng;
 Mã QR, Token hóa, Touch&Go, Ví điện tử…
 Dịch vụ ATM thế hệ mới;
Các mô hình kinh doanh mới của các nhà cung cấp
dịch vụ thanh toán.
54
Nội dung
Hệ thống thanh toán Việt Nam
55
Tiềm năng phát triển Fintech
 Dân số: 96,2 triệu người

 Trên 65,6% dân số sinh sống ở khu vực
nông thôn.
Nguồn: Tỏng cục Thống kê Việt Nam
56
Số lượng và tỉ lệ người sử dụng điện thoại di động
• Năm 2018 Việt Nam có 51 triệu người sử

dụng điện thoại thông minh.
• Điện thoại thông minh đã thay đổi nhận
thức của người sử dụng trong nhiều lĩnh
vực (như giao dịch tài chính – ngân hàng,
mua sắm, tư vấn thông tin…)
Nguồn: Newzoo's Global Mobile Market Report , tháng 4/2017
57
Internet users and penetration
Người sử dụng internet ở

Việt Nam cũng tăng nhanh,
gần 64 triệu người.
Source: Internet World Stats

58
Thực trang hệ sinh thái Fintech tại Việt Nam
59
Thực trạng hệ sinh thái Fintech tại Việt Nam
The ratio of business field Fintech companies take part in Vietnam

2,632%
 Hiện có khoảng 150 công ty Fintech đang 2,632%
market
5,263%
5,263% Payment
hoạt động trong nhiều lĩnh vực khác nhau. Crowdfunding
Bitcoin/Block Chain
5,263%
 Hệ sinh thái Fintech tại Việt Nam thiếu liên 7,895%

POS/mPOS Management
Data Management
kết chặt chẽ giữa các thực thể.

60,526% Personal Finance
10,526%
Lending
Comparision sites
 Phần lớn các công ty Fintech ở Việt Nam
(gần 72%) đang hợp tác với các ngân hàng Vietnam Fintech Business Models
New services
thương mại (mô hình hợp tác kinh doanh). 14% Disruptive
14%
Collaborative
72%
60
Fintech trong lĩnh vực thanh toán
46 tổ chức phi ngân hàng được NHNN cấp phép để Loại hình dịch vụ trung
Số lượng
tổ chức
cung ứng dịch vụ trung gian thanh toán. gian thanh toán
cung ứng
Chuyển mạch tài chính 1
Bù trừ điện tử 1
Cổng thanh toán 26
Hỗ trợ chuyển tiền kiều 9

hối
Hỗ trợ thu hộ, chi hộ 26
Ví điện tử 27
Nguồn: SBV 61
Fintech trong lĩnh vực thanh toán
Số lượng ví điện tử, 2015 -2018
ĐVT:Triệu
10,00
Ví điện tử:
9,00
 10,5 triệu ví điện tử
8,98
8,00
7,00
 77,5 triệu giao dịch
6,00
6,35 (tăng 56% so với Qúy
5,00 I/2018)
4,00 3,83
4,01
3,00
2,00
1,00 * Ghi chú: Số liệu QI/2019
-
2015 2016 2017 2018
62
NHNN với Fintech
Ngày 16/3/2017, Thống đốc NHNN ký ban hành Quyết định số 328/QĐ-NHNN thành lập Ban chỉ đạo về Fintech (Công nghệ tài chính)
Vụ HTQT
Nhiệm vụ:
Vụ Pháp chế
Trưởng Tham mưu giúp Thống đốc hoàn thiện hệ sinh thái kể cả
ban -PTĐ hoàn thiện khuôn khổ pháp lý nhằm tạo thuận lợi cho các
Vụ CSTT.
Phó trưởng ban doanh nghiệp Fintech ở Việt Nam phát triển, phù hợp với
Ban chỉ đạo Fintech
Cục CNTT.
chủ trương, định hướng của Chính phủ.
Thành viên
CQTTGSNH
Viện Chiến lược
Napas
(Theo QĐ 328/QĐ-NHNN ngày 16/3/2017)

CIC
63
NHNN với Fintech
NHNN thành lập Ban chi đạo

Fintech (Quyết định 328/QĐ- Diễn đàn công nghệ tài
NHNN) chính Việt Nam 2018
Regulatory Diễn đàn công nghệ tài
Sandbox chính 2019
Mar May June May

2017 2018 2019 2018
May 2019
2018
2017
Tiến hành khảo sát về hoạt động Hợp tác quốc tế Quy định về cho
Fintech ở Việt Nam, tổng kết và (FSC, MAS..) vay ngang hàng
phân tích kết quả
64
Nội dung
Hệ thống thanh toán Việt Nam
65
Các thách thức chính
Thói quen thanh
toán tiền mặt vẫn
phổ biến; Lo ngại Thanh toán
các dịch vụ tài không dùng
chính mới dựa tiền mặt vẫn
trên công nghệ. hạn chế
trong khu
vực công
Hiểu biết của

khách hàng và
đào tạo cho khách
hàng vẫn còn hạn
chế.
Khuôn khổ
pháp lý không
theo kịp sự
phát triển
Phí dịch vụ thanh nhanh của
toán qua biên giới
công nghệ.
vẫn cao; Dịch vụ
thanh toán qua
biên giới vẫn là
thách thức lớn.
66
Các thách thức chính
Thiếu niềm tin từ

Thiếu khuôn khổ
Thiếu vốn khách hàng
pháp lý
Việc tiếp cận hạn chế Dịch vụ ngân hàng
Dẫn đến việc nhiều
với vốn là thách thức truyền thống với lợi
công ty Fintech hoạt
đáng kể tới các công thế về sự tin cậy,
động ngầm mà không
ty Fintech để duy trì khuôn khổ pháp lý rõ
chịu sự quản lý của
và mở rộng hoạt ràng và an toàn vẫn
cơ quan nhà nước
động tại Việt Nam được khách hàng ưa
trong thời gian trước.
chuộng và phổ biến
67
Giải pháp trong thời gian tới
1 Cải thiện hơn nữa khuôn khổ pháp lý.
Triển khai Khuôn khổ pháp lý thử nghiệm cho Fintech và Chiến lược quốc gia về
2 tài chính toàn diện.
Triển khai sử dụng bộ quy chuẩn mã QR và thẻ chip EMV cho các NHTM và các
3 tổ chức phi ngân hàng.
2
Nâng cấp hệ thống thanh toán liên ngân hàng(IBPS).
4 Đưa vào sử dụng hệ thống thanh toán bù trừ tự động phục vụ các giao dịch bán lẻ (ACH).
5 4 Tăng cường các giải pháp an ninh mạng.
6 Thúc đẩy giáo dục tài chính.

68
Tiền ảo # tiền điện tử
• Tiền ảo (virtual currency) hay được gọi là tiền kỹ thuật số
(digital currency) là biểu hiện kỹ thuật số của giá trị có thể có
trong giao dịch kỹ thuật số và có các chức năng như: một
phương tiện trao đổi; và/hoặc một đơn vị kế toán; và/hoặc một
hình thức lưu trữ giá trị, nhưng không phải là tiền pháp định ở
một quốc gia, lãnh thổ nào. Nó không được phát hành hoặc
không được bảo đảm bởi bất cứ một quốc gia, lãnh thổ nào, và
các chức năng trên chỉ được thực hiện tốt từ thoả thuận trong
cộng đồng người sử dụng của loại tiền ảo đó.
Tiền ảo # tiền điện tử
• Tiền điện tử (e-money) là biểu hiện kỹ thuật số (hình thức điện
tử) của tiền pháp định được sử dụng để chuyển giao giá trị của
đồng tiền pháp định qua phương thức điện tử. Đó là giá trị
được lưu trữ hoặc sản phẩm trả trước trong đó thông tin về
khoản tiền hoặc giá trị khả dụng của khách hàng được lưu trữ
trên một thiết bị điện tử thuộc sở hữu của khách hàng.
https://thitruongtaichinhtiente.vn/tien-dien-tu-khac-gi-so-voi-tien-ao-
tien-ky-thuat-so-28184.html
Câu hỏi nhóm:
1/ Các bạn hãy phân biệt các đặc điểm của tiền điện tử (e-money), tiền kỹ
thuật số (digital currency), tiền mã hóa (cryto currency), tiền ảo (vitual
currency). Cho ví dụ về các loại tiền trên.
2/ Lý do cho sự thúc đẩy tiền điện tử tại các quốc gia trong đó có Việt Nam.
Hãy tìm hiểu và trình bày.
3/ Vì sao các quốc gia e ngại sự xuất hiện của tiền ảo (virtual currency), tiền
mã hóa (Cryto Currency).
(Làm theo nhóm, các thành viên nghiên cứu, làm chung với nhau trên
GOOGLE Docs. Cuối giờ sẽ thu bài)
Chapter 2: Digital Banking
Content
1. Overview of Digital Banking
2. Digital Banking Systems Architecture
3. The Importance of Digital Banking
4. Digital Banking Channels
5. Digital Banking Functionality
• Digital banking is a way of accessing all the things a bank can do face to face, but via a digital channel
instead.
• Digital banking is a game changer for banks – they can offer everything they normally do, but without the
overhead required with infrastructure – such as branches, contact centres and big front line teams.
Digital banking provides convenience and accessibility to customers – customers can do
what they need to do, when and where it suits them.
• Customers have high expectations in digital banking – they’ve been exposed to new benchmarks of user
experience, technology and their benefits. There are many competitors now, who are vying for their
business in a $9 billion market
There are 4 Challenger banks are brand new banks with full bank licences.
types of ‘new
banks’ –
Challenger Neo banks don’t have bank licences. Instead they work with incumbent
banks, Neo banks to use their infrastructure or products.
banks, Beta
Banks and Non Beta banks are new brands that are being launched by incumbent banks,
Banks often in partnerships with complimentary product and service providers
Non banks don’t have bank licences, instead they use alternative channels
and concepts that help customers achieve their financial objectives
Readmore: https://www.thebalance.com/what-is-an-online-
bank-315204
2. Digital Banking Systems Architecture
There are 3 layers in the systems architecture:
Presentation (sometimes called Application)
layer, Middleware layer and the Back end layer
With the 3 layers, there are 10 sub-layers as
follows:
• Presentation layer (there is no sub-layer)
• Middleware layer (Security, Integration
and Orchestration)
• Back end layer (APIs – Internal and
External, Digital Banking platform, Data &
Analytics and Banking Core systems)
Read more:
https://www.finextra.com/blogposting/15377/the-architects-guide-to-digital-banking
https://thefinancialbrand.com/75610/digital-omnichannel-open-banking-platform-
strategy-trends/
https://www.softwaregroup.com/insights/blog/article/how-to-choose-the-best-
digital-banking-platform
• Over 4.54 billion or 54% of the World’s population are active internet users – and it’s
expected that 66% of them will be digital banking users. So it’s a massive market.
• Digital banking isn’t a new concept – it all started back in the 1960’s with ATMs, and then
30 years later followed by web banking, Mobile apps is a relatively new thing.
• But we’re seeing a massive switch of people from using conventional channels like
branches and call centres, to using digital.
• This is driven by 2 key drivers: internet penetration and technology affordability.
• Technology is definitely more affordable that say 10 years ago. So people are happy to buy digital
devices. What can you do with digital devices and internet access? Digital banking of course!
• The other reason why digital banking has become so prevalent is banks are investing so much into
it, because:
• cost effective
• it provides opportunities to grow relationships, and therefore revenue with customers
• and competitors are doing the same

https://www.americanbanker.com/news
/coronavirus-throws-digital-banking-
into-the-crucible
4. Digital Banking Channels
• Wearables
• Web
• Mobile
• Chat
https://www.forbes.com/sites/forbesbusinessdevelopmentcou
ncil/2019/07/11/wearables-a-new-opportunity-in-
Wearables banking/?sh=1618892a3f55
https://www.happiestminds.com/Insights/wearable-
technology/
• Wearables includes a range of devices with embedded digital technology – including wristbands,
fitness trackers and watches right through to jewellery and clothing.
• Gartner have predicted by 2021, annual wearables sales will reach 500 million devices. So it’s a
massive market.
• Smartwatches are the mainstay of wearables – at 33% of all sales.
• There’s a captive market for digital banking using wearables, because:
• The costs of wearables have come down, somore affordable
• Devices are able to have standalone connectivity to wireless networks, rather than needing to be
paired with a smartphone
• App development – more apps are being developed, creating more utility for wearables users
• Wearables customer journeys focus on convenience and accessibility. There are challenges with
screen size, so functionality needs to focus on creating short engagements
Web
• Web banking started in the late 1990’s with the emergence of the Internet.
• Web banking is under challenge from mobile banking – for example more than 50% of the UK
population use mobile apps to manage their banking (rather than Web)
• Web banking can be defined as: everything a bank does, but made available through a web
experience. So this means using the Internet and a web browser.
• Typical customer journeys with web banking focus on breadth of functionality and complexity. So
this means web can offer more functionally rich experiences – due to screen size (if using a desktop
or a laptop).
• The real strength in web banking is it provides contextual experience – whereas mobile tends to
have to simplify experiences down and make assumptions around customer familiarity with apps.
• Web banking can be seen as a hassle to use by some customers – you can’t just pick up your
phone and turn on an app. Instead you have to go to a URL, and then enter in your credentials.
Mobile
• Mobile banking is really big – 75% of Americans use mobile devices to check their banking.
• 88% of respondents to a survey by Business Insider said they used mobile banking, with 97% of
millennials being active users of mobile banking.
• There are two types of ‘sub channels in mobile banking: mobile browser and apps. In this lecture I
focused on Apps, as I covered over browser (or web) banking in the previous lecture on Web..
• Typical customer journeys with mobile are focused on simplicity, speed and accessibility. So
people like to be able to do their banking quickly without hassle.
• The challenges with mobile banking include the smaller screen, and for banks – it’s the costs and
complexities of developing apps in parallel for iOS and Android.
• The benefits though are mobile devices have some great native functionality that can help banks
develops some great functionality, as well as the stronger security hardware available in mobile
devices.
Readmore:
Chatbot https://www.forbes.com/sites/boblegters/2019/07/15/chatbot
s-in-banking-got-smart-this-is-how-theyll-make-your-bank-
better/?sh=20be7bae70a7
• Some predictions indicate that 90% of completed banking transactions, without human assistance, will be
completed via chatbots by 2022.
• Chatbots are an exciting new entrant into digital channels – they provide a way to have human like
conversations with a bank, by using an interface through which you talk or type.
• There’s a lot of investment in chatbots to evolve them to become human like in the way they interact with
customers.
• Interestingly, bank customers don’t seem to mind chatbots – 44% of US banking customers would prefer to
use chatbots than speak to a bank representative. The catch is: customers only see value in chatbots if they can
make things easier than talking to a human.
• The future of chatbots lies in increasing their ability to deal with the nuances of the human vocabulary, and
more complex banking scenarios
• Typical customer journeys for chatbots focus on doing basic banking – so things like balance enquiries,
answering product research questions (like interest rates), so the themes like mobile of: simplicity, speed and
accessibility also apply here.
5. Digital Banking Functionality
• Onboarding
• Account Management
• Payments
• Cards Management
• Account Opening
• Support
• Marketplace
Onboarding
• Onboarding is a process that banks perform to create a banking
relationship with new to bank customers.
• Banks need new customers to maintain or grow their revenue. Inevitably
banks lose customers, so they need to replace and hopefully extend their
customer base regularly.
• There are 4 ways that banks normally onboard customers:
• Branches
• Call centres
• Web banking
• Mobile app
Onboarding
Onboarding can be broken down into 5 key steps: Product, Identification &
Verification, KYC & Tax, Terms & Conditions and Security.
• Product – is a key step in helping a customer identify which banking product would best suit
the customer’s need
• Identification & Verification – is the requirement for a customer to provide verifiable
identification of who they are
• KYC & Tax – so confirming a customer’s AML/CTF – ‘Know Your Customer’ information and
capturing the tax residencies applicable for a customer
• Terms & Conditions – displaying all legal documentation to a customer to give them the
opportunity of reading, before confirming their acceptance
• Security – requiring a customer to set up appropriate security controls for their digital
banking, including passwords, PINs and biometric settings like ‘Face-Id’
Account Management
Account management is functionality that includes:
• View accounts – so viewing all accounts including account or product names and
balances (either Available or Current balance or both).
• Transaction history – so viewing all transactions associated with an account – including
date, time, amount, type of transaction and merchant/vendor where applicable.
• Transaction details – so viewing the details associated with transaction – including the
same information as transaction history but extending this out to provide a description,
more information on the merchant/vendor etc…
• Within account management, the most utilized functionality is transaction details.
• Transaction details is heavily used to help customers feel like they are keeping on top of
their spending.
Payments
• Global payments totalled $1.9 trillion in 2018 –so this is a hot area of competition between banks and non banks alike.
• China is biggest market, currently, for payments at a whopping $605 billion – which exceeds the USA by $100 billion. In 2018 alone –
300 billion payments transactions occurred in China.
• Competition is intense in the payments industry, and digital banking is a competitive advantage for some banks in payments.
• There are 4 categories of payments:
 Transfers – so shifting money between your own accounts.
 Payments (Real time) – payments to others, including bills, that are processed immediately (or close to immediately).
Examples of this include: Faster Payments (UK), Osko (Australia) and Fast (Singapore).
 Payments (Batch) – payments to others, including bills, that are processed within a day.
 International payments – payments to others where the recipient is overseas.
• Underpinning this is the ability for customers to choose when their payments are made (recurring/future dated payments).
• Given the fraud risks involved with payments, there is a big focus on creating additional layers of security when making payments
(particularly larger payments) – by using what’s know as ‘step up’ security – in the form of ‘One Time Passcodes/Passwords’ and
biometrics (for example voice identification).
Cards Management
• Cards management is functionality that includes:
 Activate cards – so if a customer is issued with a new debit or credit card, this allows the
customer to remove the block they may have been placed on the card when it was sent out.
 New card requests – if a customer loses their debit or credit card, they can request a new
card is issued and sent to them.
 Lost/stolen toggle – this allows customers to put a temporary or permanent block on a card
being used, in scenarios where a customer might have lost or had their card stolen.
 Transaction toggle – this allows customers to turn on/off certain permissions associated with
their cards – for example ATM withdrawals.
 Digital wallet – if a customer wants to use contactless payments, they can provision their
debit and credit cards to the Apple or Google or Samsung digital wallets.
• Contactless payments is a massive industry – Apple Pay currently handles 5% of
global card transactions now and is on track to reach 10% in the next 5 years.
Read more:
https://www.forbes.com/sites/ronshevlin/2019/10/07/why-
Account Opening cant-banks-get-digital-account-opening-
right/?sh=3adc8f313bfd
• Banking customers have unique needs. Some share the same needs – for example
we generally all need deposit accounts to receive our salaries, right? But outside of
that sometimes our needs are unique – for example I may need a savings account
for my forthcoming holiday to the Himalayas.
• Banks emphasize the concept of ‘whole of wallet’ which means capturing not just
one product need but all of a customer’s banking needs.
• Good digital experiences are moving account opening experiences to being super
fast – often within 1 minute.
Read more:
https://www.forbes.com/sites/ronshevlin/2019/10/07/why-
Account Opening cant-banks-get-digital-account-opening-
right/?sh=3adc8f313bfd
• This is done through providing account opening functionality, which is very similar to onboarding,
and includes:
 Product – which is the product a customer has selected for their needs.
 Tax - with accounts, it’s important that a bank knows a customer’s tax residency for
compliance purposes. KYC is not required, as
 the customer would have been KYC’d when they onboarded originally.
 Terms & Conditions – like onboarding, this involves making all legal disclosures available and
seeking confirmation that a customer understands and agrees to them
 Your details – customer contact information is important for banking. Whether it’s cards
being sent in the mail, or the bank needing to reach customers via email or phone. Therefore
embedded within account opening is the ability for a bank to confirm/or get a customer to
update their details.
Support
Product managers, like your instructor, have to be careful in digital banking.
It’s easy to assume we know what customers want – and can therefore have
a blind spot when it comes to missing features and customers.
• Digital experiences focus on the mainstream, but invariably there are edge
cases that need to be thought through. Even if they can’t be immediately
addressed through a digital experience, they should still be addressed
through support functionality.
• Support functionality provides guiderails for customers to explain how to
use functionalities or how to do activities outside of digital banking.
Support
Support functionality is normally broken down into 5 functionalities:
• Landing – so providing customers with a launchpad to help them work through what they
need to do.
• Topics – this takes the customer into specific themes of information that should help address
their question or issue.
• Connect – where a customer wants to speak to someone, then it’s important to connect them
to someone skilled to help them.
• Authenticated – to customers time, where the customer is logged into an authenticated
channel, like a mobile app, we can then pass them through to a call centre witout having to
answer the usual identification verification questions like – please tell me your date of birth.
• Find Us – where a customer would prefer to sit down face to face with a bank representative,
this helps them locate where to go.
Marketplace
• Banking has historically focused on typical banking products – like deposits,
savings and lending.
• But banks have valuable relationships with their customers through which they
could be providing a lot more – by helping to solve entire customer journeys, not
just the banking products required for these journeys.
• Digital ecosystems – where complimentary products and services, combined with
banking products, are changing the way that we think about banking and digital
banking. This concept is called the ‘Marketplace’.
• There is a definite and captive audience for this – digital natives use digital
exclusively to manage their lives and spending. Why not harness this? • Examples
include: Tencent’s WeBank, Standard Chartered, Alibaba and DBS.
Marketplace
Marketplace functionality can be broken down into:
• Discover – so providing a portal for customers to search and connect with products, not just
banking, but a more wider set of products that could be lifestyle related for example.
• Your needs – by capturing details from customers point in time, or based on profiling using a
bank’s analytics capabilities, banks are able to identify organically what the likely needs a customer
may have.
• Personalized – by connecting ‘Your needs’ with customer journeys and relevant products,
suggestions for tailored products or experiences can then be presented to customers.
• Begin – taking the customer to the point that they move forward in their customer journey, this
helps customers acquire or take up the products a customer has selected.
• Engage – this is a vital step. By keeping a customer engaged, this helps create a relationship, but
equally helps with fine tuning the Personalized functionality to see how accurate it was.
Chapter 3 – Clearing System
98
Content
1. Automated Clearing House - ACH
2. Process of ACH
3. Process of Bank transfer, ATM and other services
99
The Fundamental Payment Problem
Parties cannot pay each other directly, except in cash1
Payment
Buyer’s Seller’s
Bank Bank
How does one bank

Advice of
Payment pay another bank?
payment (AOP)
order
Messaging &
Trade Information
BUYER SELLER
1Or possibly in Bitcoin, which they don’t do SOURCE: DEBRA MITTERER
100
Central Banks
• Currency is issued by (or under the authority of) a central
bank
• The U.S. central bank is the Federal Reserve Bank
• PRC: People’s Bank of China (PBOC)
• India: Reserve Bank of India
• Commercial banks hold very little cash (just enough for
tellers and ATMs)
• Commercial banks have accounts at the central bank
• Most bank money is not in cash, but is a ledger entry
(account) in a database at the central bank
101
How Banks Pay Each Other
• They give instructions to the central bank to “move
money” by updating their accounts in the central bank
• If Citibank wants to move USD 1 million to PNCBank, it
sends an order to the central bank:
ACCOUNTS AT ACCOUNTS AT
THE CENTRAL BANK THE CENTRAL BANK
PNCBANK 1,134,299,321 PNCBANK 1,135,299,321

BANK A BANK A
USD
1,000,000 ... ...
BANK Z BANK Z
CITIBANK 2,107,071,775 CITIBANK 2,106,071,775
BEFORE TRANSFER AFTER TRANSFER
102
Fedwire: How Banks Pay Each Other
• Central banks maintain “real-time gross settlement
systems (RTGS) to execute payment instructions quickly
• The Federal Reserve RTGS is called Fedwire
• “Real-time” means less than 1 minute
• “Gross settlement” means that each order is processed as
it is received. No batching
• These payments are called “wire transfers”
• RTGS payments are expensive: up to USD 50 per payment
• Used mainly for large amounts (average on FedWire: USD
3.5M)
103
Net Settlement
• Most consumer (small) payments, such as ATM and credit
card transactions are not made in real-time with RTGS
• The data is sent to a clearing house
• Clearing house keeps track of the net amounts owed or
owing from bank to bank
• Each transaction causes these amounts to be adjusted
• After a clearing period (e.g. 1 day), each bank is told the
total amount it must pay or will receive
• Banks then use RTGS (in the U.S., Fedwire) to settle their
TOTAL debts with ONE payment each
104
Net Settlement
• Many payments are small and do not have to be made in
real-time. The cost of RTGS is not justified
• Payments can be batch and settlement made for the
whole batch later
• Net settlement through an automated clearing house
(ACH) is used for:
• credit/debit cards
• checks
• ATM withdrawals, credit transfers
• BUT: there is no upper limit on ACH payments
• Cost is low: about USD 0.10 per payment, 500 times
cheaper than RTGS
105
Payment Orders
• An instruction to a financial institution to make a payment
• Must specify:
• Amount & currency
• Bank FROM which payment is made (payor or drawee bank)
• Account number FROM which payment is made
• Bank TO which payment is to be made (payee bank)
• Account number TO which payment is to be made
• Payment orders are often sent electronically to the clearing
house as “ACH files”
• These payment orders are NOT settled individually. They
are BATCHED to determined their net effect
106
Clearing Payment Orders
1. CMU SENDS CHECK TO SHAMOS
CUSTOMER CMU CUSTOMER SHAMOS
OF MELLON BANK “PAY SHAMOS $100” OF CITIBANK
9. MELLON SENDS 2. SHAMOS DEPOSITS
CHECK BACK TO CMU CHECK AT CITI
MELLON BANK 8. CLEARING HOUSE CITIBANK

SENDS CHECK TO
4. CITI SENDS CHECK
MELLON
TO CLEARING HOUSE
CUSTOMER A CUSTOMER A
CUSTOMER CMU -100 AUTOMATED CUSTOMER B
... CLEARING HOUSE ...
CUSTOMER Y SHAMOS +100
MELLON -100
CUSTOMER Z
CUSTOMER Z
BANK A
7. MELLON 6. CLEARING ... 3. CITIBANK CREDITS
DEDUCTS $100 HOUSE SENDS SHAMOS WITH $100
BANK Z
FROM CMU MELLON
ACCOUNT DEBIT INFO CITIBANK +100
5. CLEARING HOUSE ADDS $100 TO CITI,

SUBTRACTS $100 FROM MELLON
107
Settling Payment Orders
1. AT END OF DAY, EACH 2. BANKS WITH NEGATIVE
BANK HAS A NET POSITIVE
REAL-TIME GROSS
BALANCES MUST PAY;
OR NEGATIVE CLEARING SETTLEMENT SYSTEM THOSE WITH POSITIVE
HOUSE BALANCE (FEDWIRE) BALANCES RECEIVE
MELLON +34,299,321 MONEY
BANK A
6. CLEARING HOUSE PAYS ... 4. CITI PAYS THE CLEARING
MELLON $34,299,321 BANK Z HOUSE THROUGH RTGS
CITIBANK -107,071,775
MELLON BANK CLEARING CITIBANK
+107,071,775
HOUSE
CUSTOMER A -15085 CUSTOMER A +2786

CUSTOMER CMU +3167 AUTOMATED CUSTOMER B -988713
... CLEARING HOUSE ...
CUSTOMER Y +728103 SHAMOS +100
CUSTOMER Z +35529 MELLON +34,299,321 CUSTOMER Z -31872
BANK A
5. CLEARING HOUSE ADVISES ... 3. CLEARING HOUSE INFORMS
MELLON IT WILL BANK Z CITI IT MUST PAY $107,071,775
RECEIVE $34,299,321
CITIBANK -107,071,775
108
Gross Settlement
CENTRAL BANK
BUYER’S
BANK SELLER’S
BANK
SELLER
BUYER
109
Gross Settlement
CENTRAL BANK
3. CENTRAL BANK ADJUSTS BALANCES
OF BUYER’S BANK AND SELLER’S BANK
2. BUYER’S BANK USES
FEDWIRE TO ASK FED TO
MOVE MONEY FROM BUYER’S
BANK TO SELLER’S BANK 4. CENTRAL BANK NOTIFIES SELLER’S
BANK OF TRANSACTION
BUYER’S
BANK SELLER’S
BANK
1. BUYER SENDS PAYMENT 5. SELLER’S BANK NOTIFIES

ORDER (WIRE TRANSFER) SELLER OF RECEIPT OF
TO BUYER’S BANK MONEY
SELLER
BUYER
110
Net Settlement
CENTRAL BANK
BUYER’S
BANK
SELLER 1 SELLER 1
BANK
SELLER 2 SELLER 2
BANK
BUYER
SELLER 3 SELLER 3
BANK 111
Net Settlement, Part 1
CENTRAL BANK
BUYER’S 2. BUYER’S BANK SENDS

BANK ACH TRANSACTIONS
TO CLEARING HOUSE
SELLER 1 SELLER 1
BANK
4
1. BUYER SENDS ACH 4
FILE (CREDIT
TRANSFERS) TO
BUYER’S BANK
3. CLEARING HOUSE CONTINUOUSLY SELLER 2 SELLER 2

DETERMINES THE NET EFFECT OF BANK
ALL TRANSFERS
4. AT END OF DAY, CLEARING HOUSE

TELLS EACH DEBTOR BANK HOW
MUCH IT MUST PAY
BUYER
SELLER 3 SELLER 3
BANK 112
CENTRAL BANK
5. BUYER’S BANK (WHICH MAY

BE A DEBTOR, SENDS AN
ORDER BY FEDWIRE
6. FED CREDITS THE

CLEARING HOUSE
BUYER’S WITH FUNDS FROM
BUYER’S BANK AND
BANK SELLER BANK 1
SELLER 1 SELLER 1
BANK
5. DEBTOR BANKS PAY THE CLEARING SELLER 2 SELLER 2

HOUSE BY FEDWIRE BANK
BUYER
SELLER 3 SELLER 3
BANK 113
CENTRAL BANK
8. FED CREDITS THE 9. CREDITOR BANKS

ACCOUNTS OF THE NOTIFY SELLERS
CREDITOR BANKS OF PAYMENT
AND NOTIFIES THEM
OF PAYMENT
7. CLEARING HOUSE
BUYER’S SENDS ORDERS
TO THE FED BY
BANK FEDWIRE
SELLER 1 SELLER 1
BANK
7. CLEARING HOUSE PAYS THE CREDITOR SELLER 2 SELLER 2

BANKS BY FEDWIRE BANK
IN NET SETTLEMENT,
EVERY BANK MAKES OR
BUYER RECEIVES EXACTLY ONE
PAYMENT SELLER 3 SELLER 3
BANK 114
How Fedwire Works
EVERGEEN BANK PNC WANTS TO TRANSFER PNC BANK
(SEATTLE) $1M TO EVERGREEN BANK (PITTSBURGH)
9. SEATTLE BRANCH NOTIFIES 1. PNC SENDS TRANSFER ORDER

EVERGREEN. PAYMENT IS TO PITTSBURGH BRANCH OF
NOW IRREVOCABLE. CLEVELAND FED
SAN FRANCISCO FED CLEVELAND FED
(SEATTLE BRANCH) (PITTSBURGH BRANCH)
8. SF FED NOTIFIES 2. PITTSBURGH BRANCH SENDS

SEATTLE BRANCH ORDER TO CLEVELAND FED
INTERDISTRICT
SETTLEMENT FUND
SAN FRANCISCO FED ATLANTA FED CLEVELAND FED

6. ISF NOTIFIES BOSTON FED 4. CLEVELAND
EVERGREEN BANK SF FED CLEVELAND FED DOLLAR BANK SENDS ORDER
... ... MELLON BANK TO ISF
WELLS FARGO ...
WESTERN BANK SAN FRANCISCO FED PNC BANK
7. SF FED ADDS $1M TO 5. ISF SUBTRACTS $1M FROM 3. CLEVELAND FED SUBTRACTS
EVERGEEN ACCOUNT CLEVELAND, ADDS $1M TO SF $1M FROM PNC ACCOUNT
DTNS System and RTGS System
There are two types of basic and traditional payment systems. One is the “Designated-Time Net
Settlement” (DTNS) system, and the other is the “Real-Time Gross Settlement” (RTGS) system.
Designated-Time Net Settlement (DTNS) System

In a DTNS system, payment orders which participant submit over the course of a day are
accumulated in the system.
Real-Time Gross Settlement (RTGS) System

In a RTGS system, each payment order is settled individually in the full amount of the payment
order (i.e. on a gross basis). If the payer has sufficient balances (or credit availability) in its account,
each payment order is settled immediately on arrival in the system (i.e. on a real-time basis).
116
Settlement Risk: the RTGS system is far
superior to the DTNS system from the
viewpoint of reducing settlement risk.
Required Liquidity: the DTNS system is

superior to the RTGS system in terms of
“efficiency.”
Operational Burden: the operational burden

of RTGS system is much heavier than that of
a DTNS system
117
RISK MANAGEMENT MEASURES IN DTNS SYSTEM : the DTNS system has a drawback in terms of
settlement risk. Managing the settlement risk is an important issue for the DTNS system.
RISK MANAGEMENT MEASURES IN RTGS SYSTEM: Liquidity management is an important factor in

the RTGS system.
118
119
120
121
Financial Messaging
• Money never actually moves, except in cash form
• Most money is transferred by sending messages – payment
orders – to and from banks
• Banks also send messages to their customers to advise of
payments
• Financial messaging is ESSENTIAL to payment systems
• BUT: a financial message is NOT a settlement
SEAMLESS SCAN-BASED TRADING JUNE 12,

2017 COPYRIGHT © 2017 MICHAEL I.
SHAMOS
S.W.I.F.T.
• Society for Worldwide Interbank Financial
Telecommunication
• Non-profit, headquarters in Brussels
• Financial messaging system ONLY
• NOT A PAYMENT SYSTEM
• No accounts, no clearing, no settlement
• Settlement must occur separately
• 4.6 billion messages/yr
• Amounts in messages: USD 7 trillion value per day
• Cost ~ $0.20 per message; transit time 20 seconds
• Private IP network, NOT the Internet
SOURCE: SWIFT

SHAMOS
Cross-Currency Payments and SWIFT
To satisfy the demand for international payments, banks developed the

system of correspondent banking, opening accounts in the local currency,
with each other, called nostro accounts
124
125
126
A SWIFT Message
103 = REMITTANCE
108 = MESSAGE REF
:20 TRANSACTION REF #

:23B BANK OPERATION: CREDIT
:32A VALUE DATE, CURRENCY, AMOUNT
:50K ORDERING INSTITUTION
:57A ACCOUNT WITH INSTITUTION

:59 RECIPIENT
:70 REMITTANCE INFORMATION, REASON FOR PAYMENT

:71A DETAILS OF CHARGES.
SHA = SHARED TRANSFER CHARGES
MAC = MESSAGE AUTHENTICATION CODE

CHK = CHECKSUM
SWIFT E-payments Plus System
Buyer's bank Seller's bank
Payment
SWIFTNet SWIFTNet
Link Link
SWIFTNet
Payments Payments
application Payment application
Initiation Initiation
Initiation Confirmation
Response
e-paymentPlus
Payment
Initiation Initiation
Initiation
Confirmation Confirmation
TrustAct RemittanceRemittance
advice advice Remittance advice
TrustAct
Link TrustAct Server Link
Invoices
Buyer Seller
Internet
SOURCE: SWIFT
SWIFT Message Types
SEE ALL MESSAGE TYPES

ISO 20022 Financial Messaging
UNIFI = UNIversal Financial Industry message scheme
International Standards Organization (ISO) 20022
XML-Based
MANY FORMATS ARE USED FOR FINANCIAL

MESSAGING:
EDIFACT = Electronic Data Interchange for

Administration Commerce and Transport
FpML = Financial Products Markup Language
IFX = International Financial Exchange
OAGI = Open Applications Group Interface
RosettaNet
SWIFT = Society for Worldwide Interbank
Financial Telecommunications
TWIST = Transaction Workflow Innovation
Standards Team
A GOAL OF ISO 20022 IS TO UNIFY THEM
SOURCE: TREASURY TODAY

2017 COPYRIGHT © 2017 MICHAEL I. SHAMOS
ISO 20022 Message Format
ExampleBank in Utrecht, the Netherlands

(Bank Identifier Code (BIC) EXABNL2U)
has been requested by its customer
(ACME NV, Amstel 344, Amsterdam)
to transfer 12,500 US Dollars from
its account 8754219990
on 29 October 2009 (settlement date).
Instead sending unstructured text

to its US Dollar correspondent,
ExampleBank sends a structured
message based on ISO 20022.
SOURCE: ISO 20022 FOR DUMMIES

Mapping SWIFT to ISO 20022
SOURCE: ISO 20022 FOR DUMMIES

SETTLEMENT AND PAYMENT SYSTEM
134
Hệ thống thanh toán NHNN Hệ thống thanh toán liên ngân hàng (IBPS)
Tiểu hệ thống xử lý quyết toán vốn
Trung tâm lưu ký chứng

khoán NHNN
Tiểu hệ thống thanh toán
giá trị cao
Tiểu hệ thống thanh
toán giá trị thấp HỆ THỐNG
THANH TOÁN
Ở VIỆT NAM
Ngân hàng thanh toán

bù trừ chứng khoán Kho bạc NN
Ngân hàng thanh

toán bù trừ ngoại
tệ
Công ty chứng khoán Nhà cung cấp dịch vụ

Ngân hàng
trung gian thanh toán
thương mại
Khách hàng (cá nhân và tổ chức)
Trao đổi số liệu

Thanh toán bù trừ tiền mặt
136
137
138
139
140
141
142
143
144
145
146
FINANCIAL EDI CAPABILITY
147
FINANCIAL EDI CAPABILITY
148
149
150
Chapter 4
Security in E-Payment
Content
1. Security environment for e-payment system
2. Transport Layer Security and Secure Sockets Layer (SSL)
3. SET Protocol
A Typical E-commerce Transaction
Copyright © 2014 Pearson Education, Inc. Publishing as

Slide 5-153
Prentice Hall
Vulnerable Points in an E-commerce Transaction
Copyright © 2014 Pearson Education, Inc. Publishing as

Slide 5-154
Prentice Hall
Most Common Security Threats in the
E-commerce Environment
• Malicious code (malware, exploits)
• Drive-by downloads
• Viruses
• Worms
• Ransomware
• Trojan horses
• Backdoors
• Bots, botnets
• Threats at both client and server levels
Copyright © 2014 Pearson

Education, Inc. Publishing as Prentice
Hall
Most Common Security Threats (cont.)
• Potentially unwanted programs (PUPs)

• Browser parasites
• Adware
• Spyware
• Phishing
• Social engineering
• E-mail scams
• Spear-phishing
• Identity fraud/theft

Hall
Most Common Security Threats (cont.)
• Hacking
• Hackers vs. crackers
• Types of hackers: White, black, grey hats
• Hacktivism
• Cybervandalism:
• Disrupting, defacing, destroying Web site
• Data breach
• Losing control over corporate information to outsiders

Hall
1. Security environment for e-payment
system
Kenneth C. Laudon, Carol Guercio Traver - E-Commerce 2017-

Pearson (2017)
system
• The security consists of six services (Baldwin and Chang, 1997):
 Confidentiality, that is, the exchanged messages are not divulged to a nonauthorized third
party.
 Integrity of the data, that is, proof that the message was not altered after it was expedited
and before the moment it was received.
 Identification, that is, the verification of a preestablished relation between a characteristic
(e.g., a password or cryptographic key) and an entity.
 Authentication of the participants (users, network elements, and network element systems),
which is the corroboration of the identity that an entity claims with the guarantee of a
trusted third party.
 Access control to ensure that only the authorized participants whose identities have been
duly authenticated can gain access to the protected resources
 Nonrepudiation is the service that offers an irrefutable proof of the integrity of the data and
of their origin in a way that can be verified by a third party.
system
Passive attacks consist in the following:
1. Interception of the identity of one or more of the participants by a third
party with a mischievous intent.
2. Data interception through clandestine monitoring of the exchanges by an
outsider or an unauthorized user
system
Active attacks take several forms such as the following:
• Replay of a previous message in its entirety or in part.
• Accidental or criminal manipulation of the content
• Users’ repudiation or denial of their participation in part or in all of a
communication exchange.
• Misrouting of messages from one user to another
• Analysis of the traffic
• Masquerade, whereby one entity pretends to be another entity.
• Denial of service
system
The objectives of security measures in electronic commerce are as follows:
• Prevent an outsider other than the participants from reading or manipulating
the contents or the sequences of the exchanged messages without being
detected.
• Impede the falsification of Payment Instructions or the generation of spurious
messages by users with dubious intentions.
• Satisfy the legal requirements.
• Ensure reliable access to the e-commerce service, according to the terms of
the contract.
• For a given service, provide the same level of service to all customers,
irrespective of their location and the environmental variables.
system
OSI Model for Cryptographic Security:
 Security Services at the Link Layer
 Security Services at the Network Layer
 Security Services at the Application Layer
 Message Confidentiality
 Symmetric Cryptography
 Public Key Cryptography
Data Integrity
 Verification of the Integrity with a One-Way Hash Function
 Verification of the Integrity with Public Key Cryptography
 Blind Signature
 Verification of the Integrity with Symmetric Cryptography
2. Secure Sockets Layer (SSL) and Transport
Layer Security (TLS)
• Secure Sockets Layer (SSL) and Transport Layer Security (TLS) are two
widely used protocols to secure exchanges at the transport layer
between a client and a server.
SSL
• Layered on top of TCP/IP but below the application layer. (Requires reliable transport to
operate.)
• SSL is increasing in importance for Internet security
• Invented by Phil Karlton (CMU Ph.D.) and others at Netscape
• View protocol (63 pages)
• SSL is so important it was adopted by the Internet Engineering Task Force (IETF)
TLS
• TLS is very similar to SSL but they do not interoperate
• Browsers understand both SSL and TLS
• Goals
• Separate record and handshaking protocols
• Extensibility (add new cipher suites easily)
• Efficiency (minimize network activity)
• The main role of SSL/TLS is to provide security for Web traffic.
Security includes confidentiality, message integrity, and
authentication. SSL/TLS achieves these elements of security through
the use of cryptography, digital signatures, and certificates
• SSL/TLS protects confidential information through the use of
cryptography. Sensitive data is encrypted across public networks to
achieve a level of confidentiality.
Certificates
• How do you trust the person to
whom you are sending your
message? SSL/TLS uses digital
certificates to authenticate
servers. (SSL/TLS also includes an
optional authentication for
clients.) Certificates are digital
documents that will attest to the
binding of a public key to an
individual or other entity.
• Digital Signatures
To ensure message integrity, each message exchanged in SSL/TLS has a
digital signature attached to it. A digital signature is a hashed message
digest with public key information
How SSL works
SSL has two distinct entities, server and client. The client is the entity
that initiates the transaction, whereas the server is the entity that
responds to the client and negotiates which cipher suites are used for
encryption. In SSL, the Web browser is the client and the Web-site
server is the server.
• TLS is the mostly widely used cryptographic protocol to secure
communication over the Internet because it supplies a relatively
simple mechanism to protect exchanges between two points over
TCP/IP.
• TLS (Transport Layer Security) is just an updated, more secure, version
of SSL. SSL is more common term than TLS.
• The evolution of TLS has been largely driven by the discovery of
security vulnerabilities.
• Usually when you are buying SSL you are actually buying the most up
to date TLS certificates with the option of ECC, RSA or DSA encryption.
3. The SET Protocol
• Secure Electronic Transaction (SET), a protocol designed to secure
bank card transactions initiated on open networks.
• SET was sponsored jointly by Visa and MasterCard in collaboration
with important players in business software such as IBM, GTE,
Microsoft, SAIC (Science Applications International Corporation),
Terisa Systems, and VeriSign (SET specification, 1997)
3. The SET Protocol
SET Objectives
• Confidentiality of payment and order information
•Encryption
•Integrity of all data (digital signatures)
•Authentication of cardholder & account (certificates)
•Authentication of merchant (certificates)
• No reliance on secure transport protocols (TCP/IP)
• Interoperability between SET software and network
• Standardized message formats
• SET is a payment protocol
• Messages relate to various steps in a credit card transaction
3. The SET Protocol
The SET specifications cover the roles and responsibilities of the
following six entities:
1. The cardholder
2. The merchant’s server
3. The payment gateway
4. The certification authority
5. The issuer institution of the cardholder’s bank card
6. The acquirer institution, which is the merchant’s bank
3. The SET Protocol
1. The cardholder, the merchant, the certification authority,
and the payment gateway are all connected by the
Internet.
2. The client communicates with the payment gateway
using a tunnel that goes through the merchant’s server.
3. Each participant has a certificate from a SET
certification authority. These certificates are enclosed in
each of the messages exchanged among the cardholder,
the merchant, and the payment gateway
4. The issuer and acquirer institutions are linked by a
closed and secure bank network.
5. The payment gateway bridges the open and the closed
networks.
6. SET secures the exchanges between the client and the
merchant and the exchanges between the merchant and
the payment gateway.
7. The payment gateway manages the payments on
behalf of the banks, whether issuer or acquirer.
3. The SET Protocol
SET transactions provide the following services:

• Registration of the cardholders and the merchants with the certification authority
• Delivery of certificates to cardholders and merchant
• Authentication, confidentiality, and integrity of the purchase transactions
• Payment authorization
• Payment capture to initiate the request for financial clearance on behalf of the
merchant
3. The SET Protocol
SET employs the techniques of public key cryptography to guarantee
simultaneously the following:
• Confidentiality of the exchanges, that is, that they cannot be read online by an entity
external to the transaction
• Integrity of the data exchanged among the client, the merchant, and the acquirer
bank
• Identification of the participants
• Authentication of the participants
3. The SET Protocol
SET versus TLS/SSL
Hybrid TLS/SET Architecture

Các tình huống đe dọa an ninh
mạng và Biện pháp ngăn
ngừa
(Viện An ninh Tài chính)
30/9/2019
Nội dung trình
bày
1 Giới thiệu về FSI
2 Các trường hợp đe dọa an ninh mạng và các Biện pháp

ngăn ngừa
3 Đào tạo ứng phó sự cố
2
Phần 1. Giới thiệu về FSI
I. Giới thiệu về FSI
II. Tổng quan về các dịch vụ của FSI
III. Các trường hợp tấn công an ninh

mạng tài chính
Cơ cấu tổ
chức
 FSI có 3 Khối, 7 Vụ, 2 Trung tâm và 30 Tổ/Nhóm
Viện trưởng
Khối Quản lý Hành chính Nhóm phản ứng mạng Nhóm Chiến lược An ninh
Vụ ứng phó
Vụ Kế hoạch Trung tâm Giám Vụ Đánh Vụ Bảo mật
Vụ Tổng hợp khẩn cấp Vụ Nghiên cứu An
và Hành sát an ninh tài giá An ninh Hội tụ
máy tính ninh
chính chính
Trung tâm giáo Vụ Chiến lược

dục an ninh tài dữ liệu tài
chính chính
1
8
Sứ mệnh & Nhiệm
vụ
 Sứ mệnh
• Xây dựng một môi trườngAN TOÀN và TIN CẬY cho lĩnh vực tài chính
 Các nhiệm vụ để hoàn thành sứ mệnh
Ứng phó khẩn cấp máy Huấn luyện an

Giám sát an ninh Đánh giá an ninh
tính ninh & diễn
giám sát và chia sẻ thông tin Điều tra pháp y & phân tích tập Tìm kiếm lỗ hổng bảo mật và
theo thời gian thực 24/7 phần mềm độc hại Tấn công DDoS & diễntập
các nguy cơ
APT
Nghiên cứu &

Cơ quan cấp chứng Kiểm tra bảo mật cho Giáo dục về an
Phát triển Chính
chỉ các công ty khởi ninh
sách, Công nghệ cho Chương trình chứng nhận Giáo trình lý thuyết & thực
nghiệp Fintech về
và Dịch vụ đối với hệ thống quản lý an ninh thông hành cho những người từ
dịch vụ tài chính
lĩnh vực tài chính tin (ISMS) cấp cơ sở đến cấp độ C
1
8
Các thành viên & Cơ cấu phí thành viên
 190 công ty tài chính, bao gồm các tổ chức phi ngân hàng
Ngân hàng 18
Công ty chứng khoán 36
Công ty bảo hiểm 41
Tổ chức phi ngân hàng 95
Tổng 190
1
8
Vị trí pháp lý & Mối quan hệ của các cơ quan tài chính
 Viện an ninh tài chính

• ISAC cho ngành tài chính
 Cơ sở pháp lý: Đạo luật bảo vệ cơ sở hạ tầng thông tin và truyền thông
• Đội ứng phó khẩn cấp máy tính (CERT)
 Cơ sở pháp lý: Quy định giám sát hoạt động tài chính điện tử
 Ủy ban Dịch vụ tài chính Hàn Quốc
• Cơ quan có thẩm quyền về bảo mật tài chính
• Hỗ trợ thiết lập các chính sách bằng cách thu thập ý
• kiến từ các công ty tài chính
• Nghiên cứu xu hướng phát triển pháp lý đối với củng cố an
• ninh tài chính
 Cơ quan Giám sát Dịch vụ tài chính Hàn Quốc
• Cơ quan giám sát về các công ty tài chính
1
8
Nhiệm vụ chính
 Xây dựng & vận hành "Hệ thống giám sát an ninh"
• Phát hiện và phản hồi về thâm nhập (hacking)
• Phát hiện và phản hồi về các trang web lừa đảo
 Xây dựng & vận hành "Hệ thống chia sẻ thông tin"
• Thu thập và phân tích tình báo về các mối đe dọa an ninh mạng và các biện pháp đối phó
• Chia sẻ thông tin gian lận tài chính giữa các thành viên
 Hệ thống Cảnh báo Khẩn cấp đối với các mối đe dọa về an ninh mạng
• Cảnh báo sự cố an ninh cho các thành viên
• Tuyên truyền và phản ứng cảnh báo khủng hoảng mạng của NCSC (Trung tâm an ninh
mạng quốc gia)
 Xây dựng và vận hành "Kỹ thuật phát hiện mối đe dọa về an ninh mạng"
• Xây dựng các quy tắc phát hiện (bao gồm các quy tắc phát hiện do NCSC cung cấp)
• Xây dựng các quy tắc phát hiện mối đe dọa về an ninh mạng mới dựa trên SNORT
 Vận hành các đội "Ứng phó khẩn cấp máy tính"
• Phản hồi & Phân tích về nguyên nhân của các mối đe dọa về an ninh mạng (Điều tra pháp
1
8 y)
II. Tổng quan về dịch vụ của FSI
1. Giám sát an ninh tài chính
2. Chia sẻ thông tin
3. Chia sẻ thông tin gian lận tài chính
4. Đánh giá an ninh
5. Nghiên cứu chính sách bảo mật CNTT tài chính
6. Giáo dục an ninh tài chính
III. Các trường hợp tấn công an ninh mạng
tài chính
1
8
8 1. Giám sát an ninh tài chính
3-Hệ thống giám sát an ninh theo cấp
Giám sát
Trung tâm An
an ninh ninh mạng Quốc
quốc gia gia
Ủy ban Dịch vụ tài Bộ Nội vụ và An toàn Bộ Quốc phòng … Bộ Khoa học và

Giám sát An chính Thông tin Truyền
thông
ninh theo
Bộ/ngành
Viện An ninh Tài Dịch vụ nguồn thông Bộ chỉ huy mạng Cơ quan an ninh
chính tin quốc gia Hàn Quốc và mạng Hàn
Quốc
Giám sát … …
An ninh
Ngân hàng Chứng khoánThẻ
theo đơn vị tín Khu hành chính Khu vực quốc
quốc gia Khu vực tư
Lĩnh vực Tài chính dụng phòng
nhân
1
8
9 1-1. Giám sát an ninh tại FSI
Giám sát an ninh sử dụng hệ thống của FSI được đặt tại các công ty tài chính
02 04
Phát hiện Phân tích Phản Chia sẻ
ứng
Viện An ninh tài

chính ∙∙ Các công ty tài chính
Hệ thống phát hiện xâm khác

Hacker Công ty
nhập, Hệ thống phân tích tài chính
đường truyền
Financial Services
Commission
Công ty tài chính

Financial
Supervisory Service
National Cyber
Security Center
1
9
0 1-2. Hệ thống giám sát an ninh
Mạng lưới thành viên
TAP
Router (TestAccess Port)
Internet
Firewall IPS Web WAS Firewall Transaction Security
(Intrusion Server Manager
Người Prevention
sử dụng System)
VPN IDS TAS
(Virtual (Intrusion (Traffic
Private Detection Analysis
Network) System) System) Banks Insurance company
VPN
(Virtual SecurityMonitoring
Private
• Exploit Attempts
Network) Credit Card
• Phishing/Pharming Securities firms
• DDoS Attack company
Nhóm giám sát an ninh FS Member System

I
1
9
1 1-3. Giám sát tấn công DDoS
 Trung tâm phản ứng khẩn cấp tấn công DDoS

Giám sát DDoS
Monitoring
Người sử
dụng thông Normal Traffic Normal Traffic
thường
Internet
DDoS Traffic Thành
Traffic
Zombie PC Detour viên FSI
(On Attack)
Normal
Traffic
Discard
DDoSTraffic Hệ thống phòng thủ nhiều lớp
1
9 1-4. Giám sát các trang giả
2
mạo
 Phát hiện & phản ứng với các trang
giả mạo các công ty tài chính
• Sử dụng web crawlers
• Giám sát địa chỉ IP trong phần mềm
độc hại
• Giám sát máy chủ C&C
1
9
3 1-5.Trung tâm giám sát an ninh tài chính
1-6. Số liệu về giám sát an ninh
•600,00 •20,00
0 0
• Phát hiện /ngày • Phân tích/ ngày
•5,000 •12,50
• Phản ứng /ngày 194
1
9
5 2. Chia sẻ thông tin (với các thành viên)
 Giới thiệu Cổng KFISAC (www.kfisac.or.kr)

• Chia sẻ thông tin đe dọa an ninh mạng qua Cổng, Email, SMS, báo cáo định kỳ
• Thôn báo phát hiện đe dọa
• Thống kê & Báo cáo
• Thống kê & Phân tích vụ việc về an ninh
• Phân tích tình trạng đe dọa an ninh
• Các xu hướng mới nhất về bảo mật thông tin
• Tin tức thời sự về bảo mật thông tin
• Báo cáo định kỳ
 Hàng tháng : Báo cáo xu hướng An ninh tài chính
 Hàng quý: Tài chính điện tử và An ninh tài chính
 Hai lần/năm : Báo cáo tình báo mạng
1
9
6 2. Chia sẻ thông tin (với các tổ chức bên ngoài)
 Chia sẻ thông tin

• Thông tin đe dọa an ninh mạng National Cyber
Security Center
Financial Services
Commission
• Các xu hướng đe dọa Detection
rules Threat alert
info
• Công nghệ phát hiện đe dọa điện tử Cyber threat incidents Cyber threat trends
& trends & statistics
 Các quy tắc phát hiện nhắm vào các trường hợp
tổn thương mới nhất
Threat trends
• Thông tin trang web giả mạo Phishing sites & Detection technology
Threat info
• Thống kê vụ việc Malware
• Các vụ việc đe dọa Threat info info
• Thông tin điều tra Korea Internet & Info for Security Companies
Security Agency investigation
National PoliceAgency
Cyber Bureau
1
9
7 3. Chia sẻ thông tin về gian lận tài chính
 Thành lập và Vân hành “Hệ thống chia sẻ thông tin gian lận tài chính (FISS)” nhằm giảm
thiểu gian lận tài chính dựa trên công nghệ viễn thông
- Thông tin về giao dịch bất thường được truyền đến các công ty tài chính thông qua FISS.
 Trong năm 2017, phát hiện được các giao dịch bất thường với trị giá khoảng 198 tỷ won (17
triệu USD)
 Nhờ có hệ thống chia sẻ thông tin gian lận tài chính, các vụ gian lận lừa đảo tài chính qua
các kênh điện tử giảm từ năm 2018.
1
9
8 4. Đánh giá an ninh
Giám sát Phân tích

tính dễ tổn tính tổn
thương thương
Phân tích
Cẩn trọng với các vụ việc an ninh
và đánh giá
tính tổn Tăng cường mức độ an ninh
thương Nâng cao chất lượng dịch vụ
Xây dựng các biện pháp xử lý /

Loại bỏ các nguy cơ tổn thương
Cơ - Electronic Financial TransactionsActs

sở
pháp - Regulation on Supervision of Electronic Financial Activities
lý
1
9
9 4. Các đặc tính Đánh giá an ninh
 Đánh giá chuyên môn trong lĩnh vực tài chính

Giám sát
 Giám sát hệ thống IT dựa trên các giác độ kỹ thuật, vật lý và quản lý
chuyên
 880 checklists trong 8 lĩnh vực tương ứng với các tổn thương mới nhất
môn
Chính sách Hệ Kiểm tra mức

Lĩnh vực Máy chủ Mạng lưới web Điện thoại di HTS thâm nhập
quản lý thống
động
an ninh
Số lượng
checklists
338 223 74 43 96 50 46 10
Chuyên  Chuyên gia phân tích an ninh trong lĩnh vực tài chính
gia  Nhiều kinh nghiệm về IT trong lĩnh vực tài chính
2
0
0 5. Nghiên cứu các chính sách IT tài chính
 Nghiên cứu các chính sách trong nước và quốc tế và hỗ trợ xây dựng chính sách
an ninh tài chính
• Nghiên cứu chính sách về an ninh tài trong và ngoài nước
• Nghiên cứu các xu hướng pháp lý để thực thi an ninh tài chính
• Hỗ trợ xây dựng chính sách thông qua hình thức thu thập ý kiến từ các công ty tài chính
 Cung cấp hàng trăm báo cáo, hướng dẫn cho các cơ quan và công ty tài chính
2
0
1 6. Giáo dục về an ninh tài chính
 Đào tạo thực tế

• Giáo dục nâng cao chất lượng công việc liên quan đến an ninh tài chính
• Khóa học ‘Thực hành Phân tích Dữ liệu lớn về tài chính’ và 16 khóa học khác
 E-Learning : Tăng cường nhận thức về an ninh mạng
• Các khóa học trong từng lĩnh vực bao gồm các nội dung cơ bản, các yêu cầu công việc và công
tác thực thi về an ninh tài chính
• Quản lý nội dung thông qua xây dưng và cập nhập chương trình hàng năm
• 23 khóa học với 1,601,633 học viên tính đến năm 2018
II. Tổng quan về dịch vụ của FSI
III. Các trường hợp tấn công an ninh
mạng
1. Lây lan mã độc mã hóa dữ liệu mới bằng cách sử
dụng tình trạng dễ bị tấn công
2. Nhiễm phần mềm độc hại từ phần mềm quản lý
3. Thâm nhập sử dụng một lỗ hổng mới
2
0 1. Tấn côngDDoS trong lĩnh vực tài
3
chính
Tổ chức tấn công quốc tế (Armada Collective) thực hiện tấn công DDoS đối với các công ty tài chính của Hàn Quốc (tháng
6/2017) đòi Bitcoins(10~15BTC). Tổ chức này đe dọa tấn công Ddos hàng loại (1Tbps) với các công ty tài chính.
* Emergence of DDoS attacksusing IoT devices(second half of 2016 ~)
Internet
Financial companies
Zombie PC
①Primary DDoS attack
(0.5~10Gbps)
IoT devices
②Demand Bitcoins
(Threatening massive
해a커
H cker DDoS attack)
※ No actual large-scale attacksoccurred
- Phản ứng với các cuộc tấn công thông qua “Trung tâm Ứng phó khẩn cấp Ddos và tổ chức họp khẩn cấp
- Phối hợp với các cơ quan quản lý, công ty tài chính, các nhà cung cấp dịch vụ Internet.
2
0
4 2. Lây lan mã độc mã hóa dữ liệu mới sử dụng
các hình thức dễ bị tấn công
Lây lan mã độc mới sử dụng các phần mềm dễ bị tấn công của Windows (WannaCry, Petya)
Hơn một nửa triệu máy PCs tại 150 khu vực đã bị ảnh hưởng bởi mã độc WannaCry (tháng 5, 2017)
IT system
①Attempt to infect
Ransomware
②Encrypt files
(Demand Bitcoins for
P
Distribution recovery)
C
Hacker server
- Không có thiệt hại do các công ty tài chính quản lý bản vá liên tục
- Đã chia sẻ kết quả phân tích mã độc mã hóa dữ liệu và tăng cường bảo mật chống lại các lỗ hổng mới
2
0
5 3. Lây lan phần mềm Malware thông quan phần
mềm quản lý
PC-kiểm soát malware bị phát tán sử dụng một chương trình cụ thể dễ bị tấn công (tháng 7, 2017)
Hơn 100 PCs đa bị ảnh hưởng bới các máy chủ quản lý dễ bị tấn công
① malicious control of
management server ②distributing malware
(using management server)
Software Management
Server P
①direct infection C
Hacker of PCs P
C
- Ngăn ngừa lây lan thiệt hại đối với hệ thống nội bộ thông qua phân tích
nhanh và phối hợp với các công ty tài chính
- Tăng cường Quản lý an ninh các máy chủ quản lý phần mềm
2
0
6 4. Tấn công sử dụng một hình thức dễ bị
tấn công mới
Tấn công sử dụng một web server mới dễ bị tấn công (Apache Struts)’s (tháng 3, 2017)
Tấn công quét chuyên sâu nhiều ngành
Financial companies
①Attempt to scan
attacks using the
Internet new vulnerability
②penetration into
internal system
Hacker
- Phát hiện tấn công thông qua phân tích dữ liệu lớn (lần đầu tiên tại
Hàn Quốc)
- Xây dựng và phân phát các công cụ và nguyên tắc phát hiện tấn công
2
0
7 Xu hướng gần đây
 Nhiều cuộc tấn công vào các sàn tiền kỹ thuật số

Thời điểm Vụ việc Mức độ thiệt hại
Tháng 4, 2017 Tấn công hệ thống $4.5 million
Tháng 6, 2017 Rò rỉ dữ liệu cá nhân $6 million
Tháng 9, 2017 Tấn công hệ thống $1.7 million
Tháng 12, 2017 Tấn công hệ thống $21 million
 Tăng cường APT (Các mối đe dọa liên tục nâng cao) sử dụng Spear
Phinishing
 Lừa đảo bằng giọng nói ngày càng tăng: tái cấp vốn, đóng giả làm cơ
quan chính phủ
• Ít sự cố an ninh tài chính
• Giám sát an ninh thời gian thực 24/7 của FSI
Phần 2. Các trường hợp đe dọa an
ninh mạng & Biện pháp
phòng ngừa
I. Các trường hợp đe dọa an ninh mạng
1. Tấn công giả mạo (Email, SMS)
2. Tấn công từ chối dịch vụ
3. Tấn công vào lỗ hổng
4. Mua bán trên web tối
II. Biện pháp phòng ngừa
Các trường hợp đe dọa an ninh mạng
1. Tấn công giả mạo Phishing (Email, SMS)

1.1 Tấn công có mục tiêu Spear Phishing
1.2 Tệp đính kèm độc hại Malware attachments
1.3 Lừa đảo qua tin nhắn SMS Smishing
35
1. Phishing
Tấn công giả mạo Phishing

Dữ liệu riêng tư + đánh bắt Fishing = Phishing
Chúng lan truyền qua email, tin nhắn, v.v… và

mạo danh các tổ chức tài chính hoặc người
đáng tin để làm hỏng (đánh cắp) thông tin cá
nân, lây nhiễm các mã độc, v.v…
36
1. Phishing
Phishing
Cảnh báo tài khoản bạn đang dùng vi phạm an ninh
hoặc bạn đã vô hiệu hóa tài khoản
Yêu cầu thông tin tài khoản người dùng (ví dụ mật
khẩu)
37
1. Phishing
https://blog.knowbe4.com/q2-2019-top-clicked-phishing-email-subjects-from-knowbe4-infographic
38
1. Phishing
https://www.mailguard.com.au/blog/realistic-phishing-scam-again-preys-on-paypal-users
39
1. Phishing
https://www.komando.com/happening-now/412841/phishing-emails-tricking-people-into-falling-for-tech-support-scams
40
1.1 Spear Phishing
Spear Phishing
Từ Spear Phishing xuất phát từ từ “Spear
fishing” (nghĩa là đánh cá bằng giáo).
Xác định trước nạn nhân mục tiêu rồi thu thập thông
tin cá nhân, sau đó gửi những email đánh trúng mối
quan tâm riêng tư hay công việc của người đó.
41
1.1 Spear Phishing
https://www.boannews.com/media/view.asp?idx=58533
42
1.2 Đính kèm đôc hại
Đính kèm độc hại

Hình thức gửi email đính kèm mã độc hoặc
chứa link có mã độc trong nội dung email
Gửi file Excel và Word chứa macro độc.
Chúng cũng có thể nén hoặc đính kèm

để ẩn file hoặc đuôi tên file gốc
43
1.2 Đính kèm độc hại
https://it-security.usc.edu/2014/12/02/fake-upsfedexdhl-email/
44
1.2 Đính kèm độc hại
https://blog.emsisoft.com/en/31624/5-ways-to-protect-yourself-against-encrypted-email-attachment-malware/
45
1.3 Smishing
Smishing
Kết hợp của SMS và Phishing.
Gửi địa chỉ đường truyền chứa file cài đặt ứng
dụng độc hại đến người dùng điện thoại thông
minh để người đó cài đặt ứng dụng độc hại.
Thông tin tài chính, đánh cắp các file quan

trọng lưu trong điện thoại.
46
1.3 Smishing
https://www.digitaltrends.com/computing/smishing-threat-targets-phones-by-text-message/
47
1.3 Smishing
https://thdev.net/550
48
2. Tấn công từ chối dịch vụ (DoS)

2.1 DoS phân tán (DDoS)
2.2 DDoS vào thiết bị di động
2.3 DDoS vào thiết bị IoT

49
2.1 DDoS
Tấn công từ chối dịch vụ phân tán (DDoS)

Mục tiêu lưu lượng truy cập lớn, sử dụng nhiều bot
(máy tính ma)
50
J la
2.1 DDoS
DDoS
Tháng 2/2018, GitHub, trang chia sẻ mã
nguồn lớn nhất, bị tấn công DDoS
Đợt tấn công kỷ lục nhất có lưu lượng

1,35 Tb/giây.
51
2.2 DDoS vào thiết bị di dộng
DDoS vào thiết bị di động

Sử dụng điện thoại thông minh nhiễm mã độc
tạo cơ hội cho tấn công DDoS.
Tấn công DDoS vào thiết bị di động sẽ là mối

đe dọa tiềm tàng trong thời gian tới.
52
2.2 DDoS vào thiết bị di động
https://www.researchgate.net/figure/DDoS-attack-model-of-the-mobile-botnet_fig10_308595678
53
DDoS vào thiết bị IoT

Botnet “Mirai” – thực hiện hàng
. loạt cuộc tấn
công diện rộng vào các thiết bị IoT trong năm
2016
Hơn 250.000 thiết bị IoT nhiễm Mirai với lưu
lượng truy cập 650Gb/giây tấn công các máy
chủ DNS, làm tê liệt các website lớn như Twitter
và CNN
54
https://www.fortinet.com/blog/threat-research/omg--mirai-based-bot-turns-iot-devices-into-proxy-servers.html 5
55
5
3. Tấn công vào lỗ hổng

3.1 Website
3.2 Máy chủ Server
5
6
3.1 Website
Có được quyền admin bằng cách khai

thác lỗ hổng website
Phương pháp tấn công chính

- Lỗ hổng ứng dụng Web (tải file lên, tiêm SQL,
v.v…)
- Các lỗ hổng đã khai thác (Apache,IIS, v.v...)
- Truy cập với tư cách admin trang mạng
5
7
57
3.1 Website
Lỗ hổng tải tệp tin lên

Khi tải file lên, nếu bộ lọc file không đủ thì mã
độc có thể được tải lên nhằm đoạt quyền của
máy chủ.
58 5
8
3.1 Website
Googling
Tìm kiếm admin và test kiểm tra bằng Google
- Admin Tên công ty tài chính = “XXBANK admin”

- Admin Tên miền công ty tài chính = “XXbank.co.kr admin”,
- Test Tên công ty tài chính = “XXBANK test”

- Test Tên miền công ty tài chính = “XXbank.co.kr test”
59 5
9
3.1 Website
Ví dụ của tìm kiếm admin trang chủ
60 6
0
3.2 Server
Đoạt quyền admin bằng cách khai

thác lỗ hổng máy chủ
Phương pháp tấn công chính
- Lỗ hổng máy chủ (Tấn công lỗi ngày số 0 của hệ OS)
- Dịch vụ truy cập từ xa
(UNIX - TELNET, SSH, v.v...)
(Phần mềm điều khiển từ xa trong Windows,
VNC, TeamViewer, v.v…)
61 6
1
3.2 Server
Dịch vụ điều khiển từ xa

- Nỗ lực điều khiển từ xa server bằng cách khai
thác các phần mềm RDP
- Các server duy trì kết nối mạng, các server quản
lý điều khiển từ xa
Client Server
Điều
khiển từ
xa
62
3.2 Server
Shodan
www.shodan.io
Phương tiện tìm kiếm tạo ra để tìm các thiết bị

kết nối mạng có dịch vụ mở và lỗ hổng bảo
mật.
Kẻ tấn công lấy thông tin như dịch vụ, phiên

bản, v.v… đang vận hành trong hệ thống.
63
3.2 Server
64
3.2 Server
Quét cổng
Quét các cổng mở trên một server và tấn công server
đó bằng cách khai thác các lỗ hổng của cổng đó
65

4.1 File cá nhân (Fullz)
4.2 Ăn cắp thông tin thẻ tín dụng
4.3 Tấn công BIN
66
Web tối
67
ôi
4.1 File cá nhân (Fullz)
File cá nhân (Fullz),

Thông tin tài khoản trên website, tên, địa chỉ,
ngày sinh, số an sinh xã hội, bằng lái, điểm tín
dụng có thể mua bán trên web tối
68 thefringenews.com/for-sale-on-the-dark-web-your-tax-refund-and-social-security-number
4.2 Ăn cắp thông tin thẻ tín dụng
Ăn cắp thông tin thẻ tín dụng

Thông tin thẻ tín dụng có thể mua bán trên web tối
Thông tin thẻ tín dụng có thể bị sao chụp bằng
cách lắp đặt một “thiết bị lướt” ở khe cắm thẻ ATM
69 wafb.com/2019/03/09/tips-avoid-credit-debit-card-skimmers
Các trường hợp tấn công an ninh mạng
4.3 Tấn công BIN
Tấn công BIN

Sau khi nhận dạng thuật toán duy nhất tạo số
trên thẻ tín dụng, dùng chương trình chiết xuất
số thẻ tín dụng và bán cho các web tối
70
Phần 2. Các trường hợp đe dọa an
ninh mạng & Biện pháp
phòng ngừa
I. Các trường hợp đe dọa an ninh mạng
II. Biện pháp phòng ngừa
1. Tránh lây nhiễm và sử dụng an toàn
2. Quản lý mật khẩu
3. Đào tạo về bảo mật thông tin
4. Đánh giá an toàn
5. Huấn luyện ứng phó sự cố
Biện pháp phòng ngừa
5 nguyên tắc tránh lây 5 nguyên tắc sử dụng

nhiễm mã độc internet an toàn
1. Cập nhật hệ điều hành và 1. Thận trọng không mở
chương trình người dùng những tệp đính kèm
2. Cài đặt phiên bản chống email do người lạ gửi
virut mới nhất và cập hoặc nhấn vào những
nhật thường xuyên hình ảnh liên kết
3. Cài chương trình chống 2. Không tải xuống hoặc
virus để có thể phát hiện mở file có nguồn gốc
kịp thời và kiểm tra định không rõ ràng
kỳ 3. Cảnh giác với các email
4. Chặn các trình duyệt nổi đe dọa mạo danh cơ
lên quan quản lý tài chính
5. Sử dụng phần mềm hoặc cơ quan chính
chính thống phủ
4. Tránh vào những
website không đáng tin
và nhấn vào những
đường dẫn URL chưa
qua xác minh
5. Chỉ tải xuống những
ứng dụng từ các gian
https://www.fsec.or.kr/site/ceonews/1909/sub/sub3.html hàng chính thức như
72 Apple, Google Play
Tránh lây nhiễm mã độc

- Cập nhật hệ điều hành và chương trình
người dùng
 Nguy cơ tấn công Ngày số 0 ở hệ OS/SW
73

Windows 7, Windows Server 2008
- MS chấm dứt hỗ trợ kỹ thuật vào

tháng 1/2020
 Tin chắc là đe dọa an ninh mạng sẽ gia tăng

do không thể tạo ra các bản vá lỗi bảo mật
74
1.Tránh lây nhiễm và sử dụng an toàn

- Cài đặt phiên bản chống virus mới nhất
và cập nhật thường xuyên
- Cài chương trình chống virus để có thể

phát hiện kịp thời và kiểm tra định kỳ
 Chương trình chống virus được cài đặt với biện

pháp bảo mật thấp nhất
75

- Chặn trình duyệt web nổi lên
- Tránh vào các website không đáng tin và

nhấn vào những đường truyền chưa qua
xác minh
 Có thể bị lây nhiễm mã độc chỉ vì kết nối với các trang
và website quảng cáo
76
Sử dụng an toàn
- Sử dụng phần mềm chính thống
- Chỉ tải các ứng dụng ở gian hàng chính

thức (Apple, Google play)
- Không tải hoặc mở các file có nguồn gốc

không rõ ràng
77
1.Tránh lây nhiễm và sử dụng an toàn
Sử dụng an toàn
- Thận trọng không mở các tệp đính kèm
email do người lạ gửi hoặc nhấn vào các
hình ảnh liên kết
- Cảnh giác với các email đe dọa mạo

danh cơ quan quản lý tài chính và cơ
quan chính phủ
 Kiểm tra người gửi, file đính kèm để chống virus.

Không đưa thông tin cá nhân lên website
78
Tên
Số điện thoại
E-mail
Công ty
Nhóm
Tài khoản
79
Nghề nghiệp
Công ty
TênCôngty / TênCôngty SC+ SC / SC+SC TênCôngty / SC TênCôngty SC
/ TênCôngty N+SC / TênCôngty N+N
Tên tiếng Anh

Tên /Tên SC+SC / SC+SC Tên / SC Tên SC / Tên N+SC / Tên N+N
Nhóm, Nghề nghiệp

Nhóm / Nhóm SC+SC / SC+SC Nhóm / SC Nhóm SC / Nhóm N+SC / Nhóm N+N
Máy chủ, Tên máy chủ

Tênmáychủ / Tênmáychủ SC+SC / SC+SC Tênmáychủ / SC Tênmáychủ SC / Tênmáychủ
N+SC / Tênmáychủ N+N
Số điện thoại
SC / Số điện thoại / Số điện thoại 0000 / Số điện thoại của tôi (Công cụ tìm kiếm) / Số
điện thoại cá nhân (Công cụ tìm kiếm)
* SC: Ký tự đặc biệt, N: Số

80
3. Giáo dục bảo mật thông tin
Thường xuyên đào tạo về quản lý

an ninh, công nghệ và bí mật tài
chính
Giờ học về bảo mật thông tin hàng năm

- Nhân viên nói chung: 6 tiếng
- Quản lý: hơn 3 tiếng
- CISO: hơn 6 tiếng
- Nhân viên IT: hơn 9 tiếng
- Nhân viên bảo an: hơn 12 tiếng
81
4. Đánh giá an toàn
Đánh giá an toàn định kỳ
- Định kỳ: 1 năm 1 lần

(website công cộng: nửa năm 1 lần
- Mụctiêu: Máy chủ, mạng, hệ thống
bảo mật thông tin, ứng dụng
Web/Di động, v.v…
82
5. Đào tạo ứng phó sự cố
Huấn luyện thường xuyên nhằm

nâng cao khả năng ứng phó sự
cố điện tử cho các tổ chức tài
chính
- Định kỳ: 1 năm 1 lần
- Phân loại: DDoS, Hack máy chủ, đào tạo ứng
phó APT
83
Phần 3.Huấn luyện ứng phó sự cố
1. Ứng phó với tấn công DDoS
2. Ứng phó với tấn công hack máy chủ
3. Ứng phó với tấn công APT

Huấn luyện ứng phó sự cố - Giới thiệu
Hiện trạng
• Các tổ chức tài chính phải thực hiện “(Diễn tập) Huấn luyện ứng phố sự cố” ít nhất 1
năm 1 lần theo「Quy định giám sát tài chính điện tử」
• FSI (Viện An ninh tài chính) hỗ trợ huấn luyện cho các tổ chức tài chính nhằm
nâng cao khả năng ứng phó với sự cố.
• FSI cung cấp huấn luyện cho 3 loại ứng phó (tấn công DDoS, hack máy chủ, và
tấn công APT)
• Hàng năm có nhiều loại tấn công chi tiết được tạo mới để áp dụng xu hướng tấn công
mới nhất
85
Huấn luyện ứng phó sự cố - Giới thiệu
3 loại huấn luyện

Loại huấn luyện Việc cần làm
• Phát động một cuộc tấn công DDoS giả trên máy chủ của các tổ chức tài chinh
DDoS attack • Huấn luyện về các thủ tục ứng phó và phục hồi để phát hiện và chặn các
response cuộc tấn công
• Thực hiện quét và tấn công giả trên các máy chủ bằng cách khai thác các lỗ
Ứng phó với hổng
hack máy chủ • Huấnluyệnvềcácthủtụcứngphóvàphụchồiđểpháthiệnvàchặncáccuộctấncông
• Gửi các email ảo độc hại cho nhân viên các tổ chức tài chính.
APT attack
• Huấn luyện về các thủ tục ứng phó và phục hồi để phát hiện, chặn và xóa
response các email độc hại và các mã độc
86
Huấn luyện ứng phó sự cố - Ứng phó với tấn công DDoS
Vai trò
• FSI: Phát động một cuộc tấn công DDoS giả trên máy chủ của các tổ chức tài
chính
• Tổ chức tài chính: Huấn luyện về thủ tục ứng phó và phục hồi để phát hiện và
chặn các cuộc tấn công
Loại tấn công
,
• Tạo ra nhiều cuộc tấn công, từ tấn công băng thông đơn giản đến tấn công
cấp ứng dụng
Thủ tục
Việc cần làm Vai trò
Xác nhận kịch bản huấn luyện và thiết lập môi trường thiết bị huấn luyện FSI
Phát động một cuộc tấn công DDoS giả và giám sát tình hình FSI
Phát hiện/chặn các cuộc tấn công và triển khai ứng phó/phục hồi Tổ chức tài chính
Kết thúc -
87
Biểu đồ phát triển (Huấn luyện ứng phó với tấn công DDoS)
88
Loại tấn công – 22 loại tấn công chi tiết

Phân loại Giải thích và ví dụ
Tấn công Tấn công tiêu thụ băng thông của mục tiêu bằng cách tạo ra lưu lượng lớn thông qua khai
băng thông thác nhiều thiết bị hoặc máy tính ma. (ví dụ UDP Flooding, ICMP Flooding)
Một loại tấn công băng thông. Kẻ tấn công gửi yêu cầu đến một máy chủ công cộng, giả mạo địa
chỉ IP nguồn của nạn nhân mục tiêu. Kẻ tấn công cố gắng yêu cầu càng nhiều thông tin càng tốt,
Amplification do đó khuyếch đại phản ứng gửi tới nạn nhân mục tiêu. Vì quy mô yêu cầu nhỏ hơn đáng kể so
với ứng phó, kẻ tấn công dễ dàng tăng lưu lượng nhắm đến mục tiêu (ví dụ khuyếch đại NTP,
significantly smaller than the response, the attacker is easily able to increase the amount of traffic
khuyếch đại Memcached)
Tấn công khiến máy chủ hoạt động bất thường bằng cách tạo ra các yêu cầu web vượt qua năng
Application level lực máy chủ hoặc ứng dụng, như buộc các phiên làm việc web tiếp diễn hoặc tiêu thụ bộ nhớ
khả dụng (ví dụ Slowloris, RUDY)
memory (e.g. Slowloris, RUDY)
89
T
Huấn luyện ứng phó sự cố - Ứng phó với tấn công hack máy chủ
Vai trò
• FSI: Thực hiện quét và tấn công giả trên máy chủ bằng cách khai thác các lỗ
hổng
• Tổ chức tài chính: Huấn luyện thủ tục ứng phó và phục hồi để phát hiện và chặn
các cuộc tấn công
 Loại tấn công
• Thực hiện quét và tạo sơ đồ triển khai bằng cách khai thác các lỗ hổng đã công bố
Thủ tục

Tạo sơ đồ triển khai và giám sát tình hình FSI
Phát hiện/chặn các cuộc tấn công và triển khai ứng phó/phục hồi Tổ chức tài chính
Gửi kết quả ứng phó cho FSI Tổ chức tài chính
90 Kết thúc -
Biểu đồ phát triển (Huấn luyện ứng phó với hack máy chủ)
91
Loại tấn công – 19 loại tấn công chi tiết

Phân loại Giải thích và ví dụ
Tấn công Tấn công tạo ra các hoạt động bất thường độc hại như thực hiện mã hóa từ xa và làm rò rỉ
lỗ hổng dữ liệu bằng cách khai thác các lỗ hổng đã công bố (ví dụ tấn công lỗ hổng Apache Struts2,
máy chủ tấn công lỗ hổng Weblogic)
Tấn công Tấn công tạo ra các hoạt động bất thường độc hại như chiếm quyền và chặn các phiên
lỗ hổng bằng cách khai thác kỹ năng tấn công web và các lỗ hổng trong ứng dụng web (ví dụ
web tiêm SQL, Cross Site Scripting)
Kỹ thuật thu thập thông tin máy chủ để có được thông tin trước khi tấn công lỗ hổng
(ví dụ quét cổng, web crawling, DNS zone transfer)
Quét máy chủ
92
Huấn luyện ứng phó sự cố - Ứng phó với tấn công APT
Vai trò
• FSI: Gửi e-mail độc hại ảo cho nhân viên tổ chức tài chính
• Tổ chức tài chính: Huấn luyện ứng phó và phục hổi để phát hiện, chặn và xóa các e-
mail độc hại và mã độc
Loại tấn công

• Gửi e-mail độc hại để làm rò rỉ thông tin cá nhân hoặc lây nhiễm mã độc
Thủ tục

Tạo mã độc và e-mail độc hại và gửi FSI
Lây nhiễm mã độc hoặc làm rò rỉ thông tin Một số nhân viên của tổ chức tài chính
Phát hiện/chặn các cuộc tấn công và triển khai ứng phó/phục hồi (ví dụ dùng chương trình chống virus) Tổ chức tài chính
Thu thập nhật ký huấn luyện FSI
93 Kết thúc -
Biểu đồ phát triển (Huấn luyện ứng phó tấn công APT)
94
E-mail độc hại gửi trong quá trình huấn luyện được phân loại như dưới đây
Phân loại Giải thích
Đính kèm - Sử dụng e-mail và tệp đính kèm được ngụy trang như bình thường
Mã độc - Mã độc sẽ được cài đặt và thực thi nếu nạn nhân mở file
Liên kết - Chèn liên kết đến trang web độc hại (trang lừa đảo) vào e-mail
Trang web - Thông tin cá nhân sẽ bị rò rỉ nếu nạn nhân bị lừa và nhấn vào link đó
Độc hại - Mã độc sẽ được cài đặt và thực thi nếu nạn nhân truy cập link
95
 (Ví dụ1) Gửi e-mail độc hại ngụy trang như dưới đây để huấn luyện
< Kết quả kiểm tra sức khỏe >

- Gửi e-mail ngụy trang là kết quả kiểm tra sức khỏe
※ Tất cả nhân viên ở Hàn Quốc phải kiêm tra

sức khỏe bắt buộc 1 năm 1 lần
96
 (Ví dụ 2) Gửi e-mail độc hại ngụy trang như dưới đây để huấn luyện
<Thông báo chưa hoàn thành đào tạo bắt buộc>

- Gửi e-mail ngụy trang là thông báo chưa hoàn thành
đào tạo bắt buộc
※ Tất cả nhân viên ở Hàn Quốc phải tham gia

đào tạo bắt buộc hàng năm
97
< Thông báo cơ hội việc làm >

- Gửi e-mail ngụy trang cơ hội việc làm thu hút các
nhân viên của tổ chức tài chính
98
< Đề nghị xác nhận cho hoạt động đáng ngờ >
- Gửi e-mail ngụy trang đề nghị xác nhận cho hoạt
động đáng ngờ như nỗ lực đăng nhập hoặc rút tiền
gửi ở môi trường mới
99
 (Ví dụ 5) Gửi e-mail độc hại ngụy trang như dưới đây cho huấn luyện
< Thông báo vi phạm bản quyền >

- Gửi e-mail ngụy trang là thông báo điều tra vì vi
phạm bản quyền do sử dụng phần mềm bất hơp
pháp
100
Incident Response Training- APT attack Response
 (Example 6) Sending malicious e-mails disguised as below for training
<Announcementof event winner>

- Sending e-mails disguised as announcement of event winner and guide
to win the gift
275
Incident Response Training- APT attack Response
 (Example 7) Sending malicious e-mails disguised asbelow for training
<Conference Invitaion>
- Sending e-mails disguised as introduction and registeration guide for
fintech conference that employees of financial institution might be
interested in
276
Incident Response Training- Result
 Most of financial institutions actively participate in the incident response training of FSI
Year Number ofInstitution Number ofTraining

2016 175 467
2017 180 509
2018 177 501
 Since the establishment of the FSI,the overall incident response level of financialinstitutions
has been gradually increasing due to repeated training effects for about three years.
※Changesin training resultsof financial institutionsby year(2016~2018)

- DDoS Attack and Server Hacking :Incident response rateis increased
- APT attack :Infection rate is decreased
277
Chapter 5
Digital Certificates
Content
1. Public key encryption
2. Digital certificate
3. Public key infrastructure PKI
Digital Certificates
• Keep financial data secret from unauthorized parties (privacy)
• CRYPTOGRAPHY
• Verify that messages have not been altered in transit (integrity)

• HASH FUNCTIONS
• Prove that a party engaged in a transaction (nonrepudiation)

• DIGITAL SIGNATURES
• Verify identity of users (authentication)

• PASSWORDS, DIGITAL CERTIFICATES
• Algorithms of public key cryptography introduce a pair of keys for
each participant, a private key SK and a public key PK. The keys are
constructed in such a way that it is practically impossible to
reconstitute the private key with the knowledge of the public key.
SOURCE: How Digital Signatures Work | DocuSign

2. Digital Certificate
Digital Signature
• A handwritten signature is a function of the signer only, not
the message
• Handwritten signatures can be copied and forged
• The digital equivalent of a handwritten signature would be
useless in eCommerce
• Must be able to
• Compare it with the “real” signature; AND
• Must be sure it isn’t copied or forged
• How can A prove his identity over the Internet?
• A digital signature is a function of both the signer and the
message
• A digital signature is a digest of the message encrypted
with the signer’s private key
MESSAGE M (LONG)
USE SECURE HASH ALGORITHM (SHA)

TO PRODUCE HASH (MESSAGE DIGEST)
HASH
PRIVATE KEY ENCRYPT HASH USING SIGNER’S PRIVATE KEY
OF MR. A
SIG THIS IS THE DIGITAL SIGNATURE

OF MR. A ON MESSAGE M
Authentication by Digital Signature RECIPIENT RECEIVES SIG + MESSAGE
SIG MESSAGE (LONG)
MESSAGE (LONG)
RECIPIENT DECRYPTS SIG RECIPIENT USES SHA

WITH SIGNER’S PUBLIC KEY TO COMPUTE HASH
HASH =? HASH
IF HASHES ARE EQUAL, MESSAGE IS AUTHENTIC.

WHY? IF ANY BIT OF M OR SIG IS ALTERED, HASH CHANGES.
Identity Documents
• What is an identity document? (Passport, birth certificate,
driver’s license)
• A piece of paper
• Issued by a trusted third party
• With information verifying the identity of the holder
• Identity document is USELESS without a challenge
• Challenge: protocol for holder to prove he is the person named
in the document
• Photograph
• Signature
• Fingerprint
Trusting Identity Documents

• Why does anyone trust an identity document?
• Depends on the issuer
• Do I recognize the document?
• Do I know the issuer?
• Can the document be forged or alerted?
• Will the challenge be effective?
Sample Identity Documents
ELECTRONIC PAYMENT SYSTEMS 20-763 SPRING

SHAMOS
• A digital identity document binding a public-private key pair
to a specific person or organization
• Verifying a digital signature only proves that the signer had
the private key corresponding to the public key used to
decrypt the signature
• Does not prove that the public-private key pair belonged to
the claimed individual
• We need an independent third party to verify the person’s
identity (through non-electronic means) and issue a digital
certificate
Digital Certificate Contents
• Serial number
• Name of holder
• Public key of holder
• Name of trusted third party (certificate authority)
• DIGITAL SIGNATURE OF CERTIFICATE AUTHORITY
• Data on which hash and public-key algorithms have been
used
• Other business or personal information
Generating a Digital Certificate
Version of Certificate Standard
Hashing
Certificate Serial Number
Algorithm
Signature Algorithm Identifier
Issuer
Message
Period of Validity
Digest
Subject
C=US ST=NY L=Albany O=OFT CN=John Doe
Subject’s Public Key

Algorithm Identifier + Key Value
Issuer’s
Signature of Issuer Private
Key
SOURCE: CARL SMIGIELSKI
Client Certificates
• Also called a personal or browser certificate
• Signing certificate
• Bound to key-pair used for digital signatures
• Encrypting certificate
• Bound to key-pair used for encryption
• Extensive support found in SSL/TLS (next lecture)
Other Types of Certificates
• Root Certificates
• Self-signed by a Certification Authority
• CA Certificates
• For verifying signatures on issued certificates
• Server Certificates
• For use by SSL/TLS servers
• Software Signing Certificates
• For signing executable code

Digital Certificate Verification
• Do I trust the CA? (Is it in my list of trust root certification
authorities?)
• Is the certificate genuine?
• Look up the CA’s public key; use it to decrypt the signature
• Compute the certificate’s hash; compare with decrypted sig
• Is the holder genuine? This requires a challenge
• If the holder is genuine, he must know the private key
corresponding to the pubic key in the certificate
• Having the certificate is not enough. (They are exchanged
over the Internet all the time)
• Send him a nonce (random 128-bit number)
Challenge by Nonce
• If you’re really Shamos, you must know his private key
• So please encrypt this nonce with his private key:
“A87B1003 9F60EA46 71A837BC 1E07B371”
• When the answer comes back, decrypt it using the public key in the certificate
• If the result matches, the remote user knew the correct private key
• Never use the same nonce twice
ISO X.500 Directory Standard
PURPOSE: MAKE SURE NO TWO ENTITIES OR PEOPLE HAVE THE SAME NAME
STANDARD FOR HIERARCHICAL RDN: RELATIVE DISTINGUISHED NAME

DIRECTORIES
C: ISO COUNTRY CODE
O: ORGANIZATION
CN: COMMON NAME
EACH RDN MAY HAVE ATTRIBUTES

SOURCE: XCERT.COM
ELECTRONIC PAYMENT SYSTEMS 20-763 SPRING
SHAMOS
Certification Hierarchy
• What happens if you don’t recognize the CA in a certificate
or it is not a trusted CA?
• Suppose CA has a certificate issued by trusted CA2?
• You may choose to trust CA if you can verify that its
certificate is genuine
CA2
CA’S CERTIFICATE
ISSUED BY CA2
CA
HOLDER’S CERTIFICATE
ISSUED BY CA
CERTIFICATE
HOLDER
Certificate Authority Hierarchy
Root CA issues its own certificate!
RCA
RCA : Root Certificate Authority
BCA : Brand Certificate Authority
GCA : Geo-political Certificate Authority
BCA
CCA : Cardholder Certificate Authority
MCA : Merchant Certificate Authority
PCA : Payment Gateway
GCA Certificate Authority
CERTIFICATE ISSUANCE
CCA MCA PCA

Certification Path
SEQUENCE OF CERTIFICATES LEADING TO A TRUST POINT, USUALLY A ROOT
Root CA
Root CA Certificate Info Root CA's Private Key
Self Signed
Root Signature
Subordinate CA
Certificate Info Root CA's Private Key
Sub CA
Root Signature
Alice
Certificate Info Subordinate CA's Private Key
SubCA's Signature
Text
Document Alice's Private Key
Alice's Signature
SOURCE: MARK SILVERMAN

Building a Certification Path
HHS Root CA
Bob gets cert from Alice
1. Alice's cert signed by CDRH

NIH FDA
2. CDRH's cert signed by FDA
3. FDA's cert signed by HHS
CIT CDRH
HHS is Bob's trust point,
therefore Bob trust's Alice's cert
Bob Alice
SOURCE: MARK SILVERMAN

Certification Paths
• Alice has a certificate issued by authority D
• To verify Alice’s certificate, Bob needs the public key of
authority D (to decrypt D’s signature on the certificate)
• How does Bob get it so he is sure it is really the public key
of D? This is another verification problem.
• Solution: Alice sends Bob a certification path, a sequence of
certificates leading from her authority D to Bob. The public
key of D is in D’s certificate
• (D’s certificate is not enough for verification since Bob may
not know D’s certification authority G)
One-Way Remote Authentication
• How can Alice send a message to Bob so Bob
knows that
• the message is from the real Alice
• the message was intended for Bob
• no one has altered or replayed the message
• Message must include
• Alice’s signature & certification path
• Bob's identity
• timestamp & nonce
One-Way Authentication
Alice Insecure Channel Bob
IDA RA RS RS random value
Challenge (Nonce)
IDA INCLUDES A Eve

CERTIFICATE AND Hash
CERTIFICATION PATH IDA RA RS
Encryption with
Private Key
Hash Hash
IDA RA Sig Response

Decryption with
Public Key
Sig
SOURCE: ANDREAS STEFFEN, ZHW
• Digital certificates alone are not enough to establish security
• Need control over certificate issuance and management
• Certification authorities (CA) issue certificates
• Who verifies the identify of certification authorities?
• Naming of entities
• Certification Practice Statement
• Certificate Revocation List
• The metafunctions of certificate issuance form the Public Key Infrastructure

• Satement by a CA of the policies and procedures it uses to issue certificates
• CA private keys are on hardware cryptomodules
• View Verisign Certification Practice Statement
• INFN (Istituto Nazionale di Fisica Nucleare) CPS
• Certificate Revocation List
• Online list of revoked certificates
• View Verisign CRL
• Verisign CRL usage agreement
• Functions of a Public Key Infrastructure (PKI)
• Generate public/private key pairs
• Identify and authenticate key subscribers
• Bind public keys to subscriber by digital certificate
• Issue, maintain, administer, revoke, suspend, reinstate, and renew digital certificates
• Create and manage a public key repository

Format of Digital Certificates
• Certificates contain many fields, must be read by computers all over the world
• X.509 certificates are in a standard format described in the language ASN.1
• ASN.1 is a method of encoding data so that the format can be decoded from the data
itself
• ASN.1 is not a programming language
• It describes only data structures. No code, no logic.
• Can be used as input to a compiler to produce code
• Digital signature = hash of message encrypted with signer’s private key.
Computationally unforgetable
• Digital certificate = digital identity document issued by a trusted third party.
Associates a public key with a real person
• A digital signatures without a certificate does not prove identity
• The holder of a certificate must be challenged to prove he knows the correct private
key
• Certificate authorities form trust hierarchies, with certificate paths from sender to
recipient, allowing verification of the trust relationship
• MANY eCommerce applications do not require verification of identity, but only
verification of authorization
• Digital certificates are useful when identity must be proven or when interacting with
multiple parties not known in advance
• A long-term relationship between two parties does not require a digital certificate; a
password is often (not always) sufficient
• ASN1. is a “hidden” method of specifying data formats, but used is many
applications, including digital certificates
BÀI 6:
CÁC HỆ THỐNG THANH TOÁN THẺ
NỘI DUNG
2.1. Khái niệm
2.2. Các loại thẻ sử dụng trong TTĐT
2.3. Quy trình thanh toán sử dụng thẻ
2.4. Tiêu chuẩn bảo mật
2.5. Bảo mật 3-D
2.6. Gian lận thẻ tín dụng
2.1. Khái niệm
Thẻ thanh toán là một phương tiện thanh toán không dùng tiền mặt
mà người chủ thẻ có thể sử dụng để rút tiền mặt hoặc thanh toán tiền
mua hàng hóa, dịch vụ tại các điểm chấp nhận thanh toán bằng thẻ.
Tùy thuộc vào loại chức năng thanh toán, các chức năng được hỗ trợ và
việc sử dụng chúng:
• Thẻ rút tiền mặt
• Thẻ thanh toán
✔Thẻ ghi nợ
✔Thẻ tín dụng
✔Thẻ tính phí
✔Thẻ trả trước hoặc thẻ có giá trị lưu trữ
Thẻ tín dụng và thẻ ghi nợ là hình thức thanh toán trực tuyến chiếm ưu thế
Thẻ tín dụng
Thẻ tín dụng là loại thẻ mà chủ sở hữu thẻ tạo lập được bằng cách sử
dụng uy tín cá nhân của mình hoặc tài sản thế chấp
Phân loại:
• Hạn mức tín dụng
• Phạm vi sử dụng
Thẻ tín dụng
Đặc điểm:
• Chi tiêu trước, trả tiền sau
• Chủ thẻ không phải trả bất kỳ một khoản lãi nào nếu việc thanh toán
khoản tiền là đúng thời hạn
• Mất phí cao khi rút tiền mặt
• Tài khoản hoặc tài sản thế chấp để phát hành thẻ tín dụng độc lập với việc
chi tiêu
• Có thể thanh toán 1 phần hoặc toàn bộ số dư phát sinh trong kỳ, phần số
dư trả chậm sẽ phải chịu lãi suất và cộng dồn vào hóa đơn tháng tiếp theo
Thẻ ghi nợ
Thẻ ghi nợ là loại thẻ cho phép chủ sở hữu thẻ chi tiêu trực tiếp trên
tiền gửi của mình tại ngân hàng phát hành thẻ
Phân loại:
• Phương thức khấu trừ tài khoản
• Phạm vi sử dụng
Thẻ ghi nợ
Đặc điểm:
• Chi tiêu tới đâu, khấu trừ tài khoản tới đó
• Số dư trong tài khoản được hưởng lãi suất không kỳ hạn
• Không phải mất phí hoặc mất một khoản phí rất nhỏ khi rút tiền
Thẻ thông minh
Thẻ thông minh là loại thẻ điện tử có gắn 1 vi mạch xử lý (Chip) có khả
năng giới hạn trước các hoạt động, thêm vào hoặc xóa đi các thông tin
dữ liệu trên thẻ
Phân loại:
• Thẻ phi tiếp xúc (Contactless card)
• Thẻ tiếp xúc (Contact card)
Hệ sinh thái thẻ thanh toán điện tử
2.3. Quy trình thanh toán sử dụng
thẻ
(1) Giao dịch thẻ tín dụng trực tuyến bắt đầu bằng việc
mua hàng
Một đường hầm an toàn thông qua Internet được
tạo bằng SSL / TLS, bảo mật phiên giao dịch trong
đó thông tin thẻ tín dụng sẽ được gửi đến người
bán
(2) SSL không xác thực người bán hoặc người tiêu
dùng. Các bên giao dịch phải tin tưởng lẫn nhau.
Khi người bán nhận được thông tin thẻ tín dụng
của người tiêu dùng, phần mềm của người bán liên
hệ với trung tâm thanh toán bù trừ
Một trung tâm thanh toán bù trừ là một trung gian
tài chính xác thực thẻ tín dụng và xác minh số dư
tài khoản. Trung tâm thanh toán bù trừ liên hệ với
ngân hàng phát hành để xác minh thông tin tài
khoản.
Sau khi xác minh, ngân hàng phát hành ghi nhận
tài khoản của người bán tại ngân hàng của người
bán
(3) Ghi nợ vào tài khoản người tiêu dùng được truyền
đến người tiêu dùng trong một báo cáo hàng tháng
thẻ
Hạn chế của hệ thống thanh toán thẻ trực tuyến
Hạn chế đối với người dùng:
• Vấn đề kỹ thuật
• Chi phí gian lận
• Mức độ tín nhiệm
• Khuyến khích mua hàng không cần thiết
• Lãi suất cao nếu không được thanh toán đầy đủ vào ngày đáo hạn
• Phí hàng năm
• Ảnh hưởng tiêu cực từ lịch sử tín dụng và điểm tín dụng
thẻ
Hạn chế của hệ thống thanh toán thẻ trực tuyến
Hạn chế đối với người bán:
• Phí dịch vụ
• Tội phạm mạng
• Phụ thuộc vào cơ sở hạ tầng viễn thông
• Vấn đề kỹ thuật
Tiêu chuẩn PCI DSS (Payment Card Indutry Data Security Standard)
• PCI DSS (Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán) là một
tập hợp các yêu cầu bảo mật và kinh doanh được thiết kế để đảm
bảo rằng các tổ chức xử lý, lưu trữ hoặc truyền dữ liệu thẻ thanh
toán duy trì môi trường an toàn.
• Được thành lập vào năm 2004 bởi các thành viên sáng lập của Hội
đồng Bảo an PCI. Các thành viên là Visa, MasterCard, American
Express, Discover Financial Services và Cục Tín dụng Nhật Bản (Japan
Credit Bureau - JCB).
PCI DSS đối với người bán
• PCI phân loại người bán thành các mức độ tuân thủ khác nhau. Mức
độ của một người bán nhất định phụ thuộc vào khối lượng giao dịch
thẻ tín dụng mỗi năm hay người bán có vi phạm an ninh trong quá
khứ hay không.
• Yêu cầu xác nhận và báo cáo của người bán: những điều mà người
bán phải làm để chứng minh rằng họ tuân thủ PCI DSS.
• Mỗi thương hiệu thanh toán đặt ra các cấp độ riêng của mình.
Cấp độ 1
Bất kỳ người bán nào xử lý hơn 6 triệu giao dịch mỗi năm, bất kể các giao dịch là thương mại điện tử hay truyền
thống. Người bán đã bị vi phạm bảo mật cũng có thể được chỉ định ở mức tuân thủ này.
Cấp độ 2
Bất kỳ người bán nào xử lý từ 1 triệu đến 6 triệu giao dịch mỗi năm, cho dù các giao dịch là thương
mại điện tử hay truyền thống.
Cấp độ 3
Bất kỳ người bán nào xử lý 20.000 đến 1 triệu giao dịch thương mại điện tử mỗi năm. Một người
bán có thể xử lý hàng trăm ngàn giao dịch thẻ thanh toán truyền thống vẫn không được phân loại ở
cấp độ này nếu họ xử lý ít hơn 20.000 giao dịch thương mại điện tử.
Cấp độ 4
Bất kỳ người bán nào xử lý tối đa 1 triệu giao dịch thẻ thanh toán truyền thống nhưng ít hơn 20.000
giao dịch thương mại điện tử
Qualified Security Assessor (QSA) là một công ty đã được Hội đồng PCI đánh
giá đủ điều kiện để thực hiện đánh giá PCI DSS tại chỗ.
• Xác minh tất cả thông tin kỹ thuật do người bán hoặc nhà cung cấp dịch vụ cung cấp
• Sử dụng phán quyết độc lập để xác nhận tiêu chuẩn đã được đáp ứng
• Cung cấp hỗ trợ và hướng dẫn trong quá trình tuân thủ
• Có mặt tại chỗ trong suốt thời gian đánh giá theo yêu cầu
• Tuân thủ các quy trình đánh giá bảo mật PCI DSS
• Xác nhận phạm vi đánh giá
• Đánh giá kiểm soát bù
• Tạo báo cáo cuối cùng
PCI DSS đối với các nhà cung cấp dịch vụ
• Các yêu cầu báo cáo và xác nhận đối với các nhà cung cấp dịch vụ
nghiêm ngặt hơn
• Mức độ tuân thủ và yêu cầu đối với các nhà cung cấp dịch vụ được
xác định bởi các thương hiệu thẻ thanh toán
• Giao thức bảo mật 3D được phát triển bởi Visa để cải thiện tính bảo
mật của thanh toán Internet. Giao thức được cung cấp với tên dịch vụ
được xác minh bởi Visa (verified by Visa)
• Master và JCB cũng đã áp dụng một giao thức tương tự.
• Cung cấp khả năng xác thực, giảm khả năng sử dụng gian lận và cải
thiện hiệu suất giao dịch tổng thể.
• Yêu cầu người dùng trả lời một thách thức trong thời gian thực
• Thách thức đến từ ngân hàng phát hành, không phải từ người bán
• Ngân hàng phát hành xác nhận danh tính người dùng cho người bán
• Tổ chức phát hành thẻ phải hỗ trợ giao thức bảo mật 3D
2.5. Bảo mật3-D
3-D(3-Domain) Model
Internet
Merchant
Cardholder
eMerchant Server
Wallet Server
Issuer Acquirer
Payment
Issuer Domain Association Acquirer Domain
Interoperability Domain
3-D (3-Domain) Model
SOURCE: MASTERCARD
3-D Secure Process Flow
Luồng quy trình bảo mật 3D
1. Dữ liệu thẻ và đơn hàng
6. Chuyển người mua sang trang

SSL
xác minh 3D Sercure
Merchant
Cardholder 2. Xác định tổ chức

phát hành
MPI
SSL Merchant Plug-In
3. Kiểm tra sự
tham gia của Global 5. Xác minh sự
người dùng
Directory tham gia của
người dùng
SSL
Issuer
4. Xác minh sự tham Payment Gateway
gia của người dùng
ACS Acquirer
Access Control Server
SOURCE: MASTERCARD
3-D Secure Process Flow
10. Phản hồi xác thực người trả tiền
Merchant
SSL
Cardholder
7. Yêu cầu Xác thực Người trả tiền MPI

8. Xác thực chủ thẻ
9. Phản hồi Xác thực Người trả tiền
11. Giao dịch thông thường
Global
Directory
Issuer
Payment Gateway
12. Quy trình ủy quyền thông thường

ACS Acquirer
3-D Secure Process Flow SOURCE: MASTERCARD

2.6. Gian lận thẻ thanh toán
Để bảo mật thẻ thanh toán
• Đảm bảo tất cả các tài liệu, giấy tờ có liên quan được lưu trữ an toàn,
chỉ những người có thẩm quyền mới có thể truy cập
• Đảm bảo hiểu các chính sách bảo mật thẻ thanh toán của tổ chức
• Không nên để mật khẩu mặc định
• Không chia sẻ mật khẩu của mình với bất kỳ ai
• Thận trọng khi sử dụng trình duyệt email hoặc internet
2.6. Gian lận thẻ thanh toán
Chapter 7 –
Stored-Value Payment
Outline
• Stored-value Smart card types
• Operating systems
• Wireless cards
• Security
Stored-value Smart card types
E-Government
Banking Public
Mass Transit Telephony
Mobile
Telecommunications W-LAN Retail
Enterprise Digital Rights

Security Management
Access control
SOURCE: JEAN-JACQUES VANDEWALLE
ePayment by Smart Card
• Objective: replace cash
• Cash is expensive to make and use
• Printing, replacement
• Anti-counterfeiting measures
• Transportation
• Security
• Cash is inconvenient
• not machine-readable
• humans carry limited amount
• risk of loss, theft
• Additional smart card benefits
Smart Cards
• Magnetic stripe
• 3 tracks, ~140 bytes, cost $0.20-0.75
• Memory cards
• 1-4 KB memory, no processor, cost $1.00-2.50
• Optical memory cards
• 4 megabytes read-only (CD-like), $7-12
• Microprocessor cards
• Imbedded microprocessor
• (OLD) 8-bit processor,
16 KB ROM, 512 bytes RAM
• Equivalent power to IBM XT PC
• 32-bit processors now available
Magnetic Stripe Cards
• Three tracks: 1 & 3 at 210 bits/inch; 2 at 75 bpi
• Start sentinel (1 char): %
• Format code (1 char): B for bank/financial
• PAN, Primary Account Number (19 char)
• Major industry identifier (1 or 2 char): 4, 5 for credit cards
• Issuer (up to 5 char)
• Individual account number (up to 12 char)
• Field separator (1 char): ^
• Name
• Field separator
• Expiration date (4 char): YYMM
• Proprietary fields, including Pin Verification Value (PVV)
Other Smart Card Types
SIM card
Crypto card
USB token
Java card
Memory card
SOURCE: ANDREAS STEFFEN
Laser Optical Memory Card
Capacity: 1MB - 1GB
Hong Kong Smart ID
Smart Card Structure
Contacts:
Microprocessor
Contacts
Card
(Upside-down) Epoxy
SOURCE: SMART CARD FORUM

Contacts (8)
Contactless Card
• Communicates by radio
• Power supplied by reader
• Data rate 106 Kb/sec
• Read 2.5 ms, write 9 ms
• 8 Kb EEPROM, unlimited read, 100,000 writes
• Effective range: 10 cm, signals encrypted
• Lifetime: 2 years (data retention 10 years)
• Two-way authentication, nonces, secret keys
• Anticollision mechanism for multiple cards
• Unique card serial number
SOURCE: GEMPLUS
RFID Tags
IC Chip
32mm and 23mm

capsule transponder
Antenna
How RFID Works
• Tag enters RF field Antenna
• RF signal powers tag
• Tag transmits ID, plus data
• Reader captures data
• Reader sends data to computer
• Computer determines action
• Computer instructs reader
• Reader transmits data to tag
Tag
Computer
RFID
Reader
SOURCE: PHILIPS
PAYMENT ON A KEYCHAIN
SMALL AND CHEAP

Automated Toll Collection
Hong Kong Smart Cards
• Octopus
• 12 million cards, 15,000 readers
• 7 million transactions/day
• $48M HKD per day
• Visacash
• ComPass Visa (VME)
• Mondex
• GSM SIM, ePark
Octopus Card Features
• Hong Kong RFID payment card
• Operating distance: 15 cm
• Bandwidth: 211 Kb/sec
• Triple DES in 70 sec
• EEPROM 1536 bytes
• 128-byte data backup area
• 16-byte manufacturer ID; 16-byte issue ID
• Processing time: 50 msec on card, 300 msec overall
• Random access and cyclic files
• Anti-collision protocol
SOURCE: MITSUBISHI
Octopus Card Security
SOURCE: MITSUBISHI
Octopus
SONY RC-S833
CONTACTLESS SMART CARD
SONY READER/WRITER
I/O SPEED: 211 Kbps
SOURCE: SONY
Octopus Expansion
• Identity card
• Access control
• Hotel room key
• Credit card
• McDonalds
• Mobile phone
• Home readers
SOURCE: CREATIVE STAR

Octopus Clearing
CENTRAL CLEARING
HOUSE SYSTEM
SERVICE
PROVIDER
CENTRAL
COMPUTER
LOCAL
DATA
PROCESSOR
SOURCE:
SOURCE: SAMMY KAM

Octopus Settlement
SERVICE PROVIDER
• CONSOLIDATE DATA CENTRAL COMPUTERS
• PRINT REPORTS (SPCC)
• ROUTE DATA TO CCHS MTR CENTRAL
COMPUTER LOAD AGENT
CENTRAL
COMPUTER
• DISTRIBUTE SOFTWARE
CENTRAL
• COLLECT TRANSACTIONS
STATION CLEARING
• PRINT REPORTS
COMPUTER HOUSE
• SEND DATA TO SPCC SYSTEM
CCHS
• VALIDATE DATA
• NET ACCOUNTING
SETTLE MENT
• MUTUAL HSBC HEXAGON OCTOPUS
AUTHENTICATION BANK
• CHECK BLACKLIST
• UPDATE CARD LOAD REGULAR ACCT
MTR’S
• STORE TRANSACTIONS
BANK AGENT’S BUFFER ACCT
FARE PROCESSORS BANK RESERVE ACCT
Major Ideas
• Smart cards replace cash
• Potential of cards is unexplored; new uses every day
• Powerful microprocessors allow
• cryptography
• certificates, authentication
• secure purses
• Wireless (contactless) cards enable new business models
• Smart card security is not perfect
Chapter 8
Micropayment
Micropayment
Overview of Micropayments
E-wallets
Peer-to-Peer (P2P) Payments
Mobile payments
Overview of Micropayments
• A micropayment is a financial transaction
involving a very small sum of money and usually
one that occurs online. Practical systems allow
transactions of less than US$1.
• A number of micropayment systems were
proposed and developed in the mid-to-late 1990s,
all of which were ultimately unsuccessful. A
second generation of micropayment systems
emerged in the 2010s.
• One problem that has prevented the emergence
of micropayment systems is a need to keep costs
for individual transactions low, which is
impractical when transacting such small sums
even if the transaction fee is just a few cents.
E-wallets
• A digital wallet, also known as e-wallet, is an electronic device, online
service, or software program that allows one party to make electronic
transactions with another party bartering digital currency units for
goods and services.
• This can include purchasing items online with a computer or using a
smartphone to purchase something at a store.
• Money can be deposited in the digital wallet prior to any transactions
or, in other cases, an individual's bank account can be linked to the
digital wallet.
• Users might also have their driver's license, health card, loyalty card(s)
and other ID documents stored within the wallet.
• The credentials can be passed to a merchant's terminal wirelessly via
near field communication (NFC).
• Increasingly, digital wallets are being made not just for basic financial
transactions but to also authenticate the holder's credentials
• A cryptocurrency wallet is a digital wallet where private keys are
stored for cryptocurrencies like bitcoin.
E-wallets
E-wallets
In the first quarter of 2021, about 225.6 million

transactions were made via e-wallets in VietNam
E-wallets
E-wallets
• Digital wallets are stored on the client
side and are easily self-maintained and
fully compatible with most e-commerce
websites.
• Server-side digital wallets are gaining
popularity among major retailers due to
the security, efficiency, and added utility
it provides to the end-user.
• The information component is basically
a database of user-input information.
Source: Design E-Wallet as a Centralized E-wallet, Devendra Kumar, Upasana Sharma
E-wallets
• Upwards of 25% of online shoppers abandon their
order due to frustration in filling in forms. The digital
wallet combats this problem by giving users the
option to transfer their information securely and
accurately.
• Digital Wallets can also increase the security of the
transaction since the wallet typically does not pass
payment card details to the website (a unique
transaction identifier or token is shared instead).
• Increasingly this approach is a feature of online
payment gateways, especially if the payment gateway
offers a "hosted payment page" integration approach.
E-wallets
Typical Security and Compliance Measures by E-Wallet Providers VietNam Regulation about E-Wallets
• Customer Due Diligence: E-wallet providers run CDD checks to

verify a user’s name, addresses, birth date etc. Users who
might pose a higher risk are subject to Enhanced Due Diligence
(EDD). Depending on the user verification level different limits
apply to payment transactions and other activities.
• Transaction Monitoring: E-wallet providers scan transactions
for unusual volumes and frequencies, assembling Suspicious
Activity Reports (SARs) to pass on to financial supervisory
authorities.
• PCI DSS: When handling credit card information, e-wallet http://tapchinganhang.gov.vn/quan-ly-dich-vu-vi-dien-tu.htm
companies have to adhere to the Payment Card Industry Data
Security Standard (PCI DSS). It’s an internationally applied
security standard for major card schemes.
• Strong Customer Authentication: This includes procedures
such as two-factor authentication to verify the user’s evidence
accurately and prevent fraud.
http://tapchinganhang.gov.vn/thanh-toan-an-toan-voi-vi-dien-tu.htm
• Peer-to-peer transactions (also referred to as person-to-person
transactions, P2P transactions, or P2P payments) are electronic
money transfers made from one person to another through an
intermediary, typically referred to as a P2P payment application.
• P2P payments can be sent and received via mobile device or any
home computer with access to the Internet, offering a convenient
alternative to traditional payment methods.
• Smartphone technology make ability to transfer money to other
people anywhere in the world within seconds.
• There are many innovators in the P2P transaction mobile space, with
industry leaders such as PayPal, Venmo, Square, Inc.,
• All of these apps allow users to easily send and receive payments in a
short time frame, with little to no fees involved.
• The prevalence of smartphones allows most people to use their
phones as a type of wallet, particularly when splitting bills or dealing
with personal debts.
• P2P payment volume is expected to reach 86 billion dollars by 2018.
How Peer to Peer Payments Work
• Peer to peer payment accounts are typically simple to set up
• Sign up for an account and then link bank account or credit or

debit card to it.
• Some apps may require further verification information and

passwords to increase security, user can find other users by
their username, email or phone number.
• Sending money is usually just a couple of clicks away after get

set up. Choose person want sending money to, the amount of
the transaction, add a reason for the payment if you desire,
then submit the payment.
• Depending on which P2P payment service, the time it takes

for money to transfer varies.
• It can range anywhere from a few seconds to three business

days. Many platforms keep the money stored in the app until
users manually release the money into your personal banking
account.
What are P2P app frauds?
• The victim purchases a product or service with a P2P

payment app, the money is taken out of the account,
but the service or product is never received.
• Fraudsters call victims and impersonate fraud
departments while asking for their personal
information including credit and debit card numbers
to create P2P app accounts with the stolen
information.
• Scammers may ask to use a victim’s phone, stating it’s
an emergency. While pretending to send a text, they
go to a P2P app and transfer funds.
• Highly skilled fraudsters can hack into a victim’s phone
and gain access to apps where the username and
password are stored.
• PayPal was originally the name of the Virtual Purse from Confinity, a
company formed in 1998 with funds from Nokia Ventures, Deutsche
Bank, and the venture capital fund Idealab Capital Partners.
• With PayPal, any person connected to the Internet can transfer
money to anyone with an e-mail address.
• PayPal Merchant Registration (PayPal Business)
Mobile payments
• Mobile payment (also referred to as
mobile money, mobile money transfer,
and mobile wallet) generally refer to
payment services operated under
financial regulation and performed from
or via a mobile device.
• Instead of paying with cash, cheque, or
credit cards, a consumer can use a
mobile to pay for a wide range of
services and digital or hard goods.
• Although the concept of using non-coin-
based currency systems has a long
history, it is only in the 21st century that
the technology to support such systems
has become widely available.
Mobile payments
There are many models for mobile payments:
• Mobile wallets
• Card-based payments
• Carrier billing (Premium SMS or direct carrier
billing)
• Contactless payments NFC (Near Field
Communication)
• Direct transfers between payer and payee Source: https://www.paymentscardsandmobile.com/the-future-of-us-mobile-payments/
bank accounts in near real-time (bank-led
model, intra/inter-bank transfers/payments
that are both bank and mobile operator
agnostic)
• QR Code
• Digital Banking
Mobile payments in Viet Nam
Source: https://fintechnews.sg/17689/vietnam/mobile-payment-service-providers-in-vietnam-the-complete-list/
Mobile payments in Viet Nam
Source: https://www.vietnambusiness.tv/business/1585/vietnam-tops-world-in-growth-of-mobile-payment-
users
Mobile payments
Carrier billing (Premium SMS or direct carrier billing)
Mobile payments
Contactless payments NFC (Near Field Communication)
Contactless payment systems are credit cards and debit cards,
key fobs, smart cards, or other devices, including smartphones
and other mobile devices, near field communication (NFC, e.g.
Samsung Pay, Apple Pay, Google Pay, Fitbit Pay, or any bank
mobile application that supports contactless) for making secure
payments.
Mobile payments
QR Code
• QR code payment is a contactless payment method where payment is
performed by scanning a QR code from a mobile app.
• This is an alternative to doing electronic funds transfer at point of sale using a
payment terminal.
• This avoids a lot of the infrastructure traditionally associated with electronic
payments such as payment cards, payment networks, payment terminal and
merchant accounts.
Chapter 9
Digital Money
Content
What is Digital Currency?
Advantages and disadvantages
Blockchain Technology
• Digital currency (digital money, electronic
money or electronic currency) is any currency,
money, or money-like asset that is primarily
managed, stored or exchanged on digital
computer systems, especially over the
internet.
• Types of digital currencies include
cryptocurrency, virtual currency and central
bank digital currency.
• Digital currency may be recorded on a
distributed database on the internet, a
centralized electronic computer database
owned by a company or bank, within digital
files or even on a stored-value card
• Digital currencies exhibit properties similar to traditional
currencies, but generally do not have a physical for.
• Allows nearly instantaneous transactions over the internet.
• Removes the cost associated with distributing notes and coins.
• If not issued by a governmental body, virtual currencies are not
considered a legal tender and they enable ownership transfer
across governmental borders.
• These types of currencies may be used to buy physical goods and
services, but may also be restricted to certain communities such
as for use inside an online game.
• Digital money can either be centralized, where there is a central
point of control over the money supply (for instance, a bank), or
decentralized, where the control over the money supply is
predetermined or agreed upon democratically.
• Cryptocurrencies: A cryptocurrency, crypto-currency, or crypto
is a binary data designed to work as a medium of exchange
wherein individual coin ownership records are stored in a ledger
existing in a form of a computerized database using strong
cryptography to secure transaction records, to control the
creation of additional coins, and to verify the transfer of coin
ownership
Cryptocurrencies vs. E-
Money
• Stablecoins: Stablecoins are cryptocurrencies where the price
is designed to be pegged to a cryptocurrency, fiat money, or to
exchange-traded commodities (such as precious metals or
industrial metals
• Virtual Currencies: Virtual
currency is a type of unregulated
digital currency that is only
available in electronic form. It is
stored and transacted only through
designated software, mobile or
computer applications, or through
dedicated digital wallets, and the
transactions occur over the internet
through secure, dedicated
networks.
Security
E-money is widely considered to be more secure than cash
Convenience
E-money service providers offer e-wallets in which you can store your payment
instrument data
Simply choose your e-wallet as the payment option and buy with just 1 click
Fast Transactions
Online transfers between the payers’ and the payees’ accounts proceed
considerably quicker than those via wire transfer
High Security Requirments
Adhering to the KYC and due diligence processes
Anti-fraud and anti-money-laundering procedures
Provide additional identificatory data, like utility bills, ID card copies or personal
identification verification during video calls.
Not Always Readily Available
Lack of infrastructure
Internet connections or the availability of e-money-accepting online services or
physical points-of-sale
Merchants must have integrated the customer’s e-wallet provider
Blockchain terminologies
● Blockchain – What is it?

o Aka DLT (Distributed Ledger Technology) - rudimentary shared
accounting system
o Technologically, it is :
• Distributed database – public ledger (you can insert,
select data, but can’t update or delete data.
• Distributed computer – execute digital contracts
• Based on p2p (peer-to-peer) technology, cryptology and
API
Image source: https://www.ibm.com/blockchain/assets/images/landing/blockchain_shared_ledger.png

● Blockchain – What is it?
In fact, the blockchain is more than a technology, it
o Usually contains financial transactions
o Is replicated across a number of systems in almost real-time
o Uses cryptography and digital signatures to prove identity,
authenticity and enforce read/write access rights
o Can be written by everyone in a public blockchain (but only certain
participants in a private blockchain)
o Can be read by participants, often a wider audience
o Has mechanisms to make it hard to change historical records, or at
least make it easy to detect when someone is trying to do so
hash hash hash hash

Block 1 Block 2 Block 3 Block 4
Source: https://miethereum.com/wp-content/uploads/2017/11/A.-A-Gentle-Introduction-To-Blockchain-Technology.pdf
● Distributed ledger – What is it?
Source: https://tradeix.com/distributed-ledger-technology/
Image source: https://knowledgecrypto.com/the-difference-between-blockchains-distributed-ledger-technology/
● Distributed ledger – How it works?
Users initiate
Users Broadcast One or more Nodes aggregate
transactions
their Nodes begin validated
using their
transactions to validating each transactions into
Digital
Nodes transaction Blocks
Signatures
Block reflecting
Nodes Broadcast
Consensus “true state” is
Blocks to each
protocol used chained to prior
other
Block
Source:
https://ccl.yale.edu/sites/default/files/files/A%20Brief%20Introduction%20to%20Blockchain%20(Final%20
without%20Notes).pdf
● Transaction & blocks

o A transaction is a value transfer; a block is a collection of
transactions on the bitcoin network, gathered into a block that are
hashed and added to the blockchain.
Image source: https://pplware.sapo.pt/informacao/monero-xmr-uma-moeda-

segura-privada-e-sem-rasto/
Distinction between databases and blockchain ledgers
Databases Blockchains
Databases have admins & centralized No on is the admin or in-charge

control
Only entities with rights can access Anyone can access (public) blockchain
database
Only entities entitled to read or write Anyone with right proof of work can
can do so write on the blockchain
Databases are fast Blockchains are slow
No history of records & ownership of History of records & ownership of
digital records digital records
Source: https://coinsutra.com/blockchain-vs-database/
Consensus components
● Blockchain consensus algorithms

o Behind every cryptocurrency, there’s a consensus algorithm. No
consensus algorithm is perfect, but they each have their strengths.
In the world of crypto, consensus algorithms exist to prevent double
spending.
o Proof of Work (PoW)

o Proof of Stake (PoS)
o Delegated Proof of Stake (DPOS)
o Proof of Burn (PoB)
o Practical Byzantine fault tolerant Mechanism (PBFT)
o …
Source: https://www.newgenapps.com/blog/8-blockchain-consensus-
mechanisms-and-benefits
Consensus components
Image source:
https://cointelegraph.com/storage/uploads/view/ea5b21f01454
7b4b44cf2dafcd76aad2.jpg

Slide Thanh Toán Điện Tử

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Slide Thanh Toán Điện Tử

Uploaded by

Copyright:

Available Formats

BÀI 1:

TỔNG QUAN VỀ THANH TOÁN ĐIỆN

1 Giới thiệu môn học + Tổng quan về Thanh toán điện tử

3 Ngân hàng số+ Thực hành mở ngân hàng số

4 Hệ thống thanh toán bù trừ + Case study: Mobile payment Marketplace

5 Bảo mật trong thanh toán điện tử + Chứng chỉ số

7 Vi thanh toán + Thuyết trình

8 Tiền điện tử + Thuyết trình

9 Thuyết trình + Ôn tập 2

Trung gian tài chính

Bên cho Trung gian tài Các bên có

Vai trò của trung gian tài chính

[2] Craig M. Parker, Paula M. C. Swatman (2020). “Electronic Payment Systems”.

Rủi ro Chi phí

Hệ thống thanh toán được xem là cơ sở hạ tầng xã hội hỗ

hơn và an toàn hơn.

• Hạn chế về bảo mật

• Khả năng xảy ra lừa đảo, gian lận

Thanh toán không tiếp xúc - Contactlesss payment

Thanh toán di động - Mobile payment

Thanh toán mã QR – QR Code payment

Thanh toán sinh trắc học – Biometrics payment

Những thay đổi trong bối cảnh ngành ngân hàng

Các yếu tố chính của sự thay đổi là gì?

Nguồn: Cisco VNI Mobile, 2019

• Bộ não con người đến trí <food>

Cách để xác định dữ liệu và thông tin

Dâu Khai thác

Chức năng của ngân hàng Viễn Thông

• Giao dịch ngoài biên giới.

Mặc dù chúng tôi

• Mọi thứ có thể số hóa

Hệ thống thanh toán ở Việt Nam

Hệ sinh thái Fintech Việt Nam

Thách thức và giải pháp

Trung tâm lưu ký chứng

Ngân hàng thanh

Ngân hàng thanh

Khách hàng (cá nhân và tổ chức)

Trao đổi số liệu

 Được vận hành bởi NHNN.

 Bao gồm một Trung tâm thanh toán quốc gia

 Quy định các khoản thanh toán giá trị cao ở

Thành viên: NHNN chi nhánh tỉnh, thành phố,

Tổng số món Tổng số tiền IBPS

Thống kê giao dịch qua IBPS, 2014 - 2018

Thousand Total volume Total value

 Vietcombank vận hành

Thanh toán qua hệ thống VCB-Money, 2014-2018

 Được vận hành bởi Napas

Thousand Trillion VNĐ

400000,0 2000,0 NAPAS

Giao dich được xử lý qua NAPAS, 2016 - 2018

Source: The State Bank of Vietnam

Source: The State Bank of Vietnam

Source: The State Bank of Vietnam

2014 2015 2016 2017

Giao dịch thanh toán qua di động (triệu lượt)

• 24 ngân hàng có dịch vụ thanh toán mã QR với hơn 50.000 điểm

204,22 +60,64% 9.506 +18,5%

Kênh di động 169,86 +109,48% 1.761 +160,5%

0 20 40 60 80 100 120 140 160 180 200

89 triệu thẻ ngân hàng đang sử dụng

84,14 12,87 2018 80,24 4,99 11,79