CHƯƠNG 6:

HỆ THỐNG THANH TOÁN THẺ

 Content

2.1. Khái niệm

2.2. Các loại thẻ sử dụng trong TTĐT
2.3. Quy trình thanh toán sử dụng thẻ
2.4. Tiêu chuẩn bảo mật
2.5. Bảo mật 3-D
2.6. Gian lận thẻ tín dụng
 2.1. Khái niệm

Thẻ là gì?

Có phải thẻ nào cũng có thể sử dụng làm thẻ thanh toán không?
 2.1. Khái niệm

Thẻ ngân hàng hay còn được biết đến là thẻ thanh toán, là
một phương tiện thanh toán thay thế cho tiền mặt mà người
chủ thẻ có thể sử dụng để thanh toán tiền mua hàng hóa,
dịch vụ tại các điểm chấp nhận thanh toán bằng thẻ nhanh
chóng, dễ dàng và tiện lợi hơn.
2.1. Khái niệm
 Phân loại theo Chức năng

Tùy thuộc theo chức năng:

• Thẻ rút tiền mặt
• Thẻ thanh toán
 Thẻ ghi nợ
 Thẻ tín dụng
 Thẻ thanh toán
 Thẻ trả trước hoặc thẻ có giá trị lưu trữ

Thẻ tín dụng và thẻ ghi nợ là hình thức thanh toán trực
tuyến chiếm ưu thế
 Phân loại theo Chức năng

Thẻ phụ
 Phân loại theo Chức năng

Thẻ tín dụng

Thẻ tín dụng là loại thẻ mà chủ sở hữu thẻ tạo lập được bằng cách
sử dụng uy tín cá nhân của mình hoặc tài sản thế chấp
Phân loại:
• Hạn mức tín dụng
• Phạm vi sử dụng
 Phân loại theo Chức năng

Thẻ thanh toán (Charge card)

là loại thẻ tín dụng phi ngân hàng thường đươc sử dụng cho những khách
hàng có thu nhập cao, tài chính vững vàng, người sử dụng thẻ phải thanh
toán hết khi nhận được báo cáo.
Điều kiện: Sử dụng thẻ để thanh toán rất nhiều trước đó, hoặc có tài sản
rất nhiều tại các tổ chức phát hành ...  Trả mức phí thường niên rất cao so
với các loại thẻ khác vd: trả lần đầu 10,000$ và hàng năm trả 5,000$ (AMEX
Centurion Card )
Phân loại theo Chức năng
 Phân loại theo Chức năng

Đặc điểm:
• Chi tiêu trước, trả tiền sau
• Chủ thẻ không phải trả bất kỳ một khoản lãi nào nếu việc thanh
toán khoản tiền là đúng thời hạn
• Mất phí cao khi rút tiền mặt
• Tài khoản hoặc tài sản thế chấp để phát hành thẻ tín dụng độc
lập với việc chi tiêu
• Có thể thanh toán 1 phần hoặc toàn bộ số dư phát sinh trong kỳ,
phần số dư trả chậm sẽ phải chịu lãi suất và cộng dồn vào hóa
đơn tháng tiếp theo
 Phân loại theo Chức năng

Thẻ ghi nợ
Thẻ ghi nợ là loại thẻ cho phép chủ sở hữu thẻ chi tiêu trực tiếp
trên tiền gửi của mình tại ngân hàng phát hành thẻ
Phân loại:
• Phương thức khấu trừ tài khoản
• Phạm vi sử dụng
 Phân loại theo Chức năng

Đặc điểm:
• Chi tiêu tới đâu, khấu trừ tài khoản tới đó
• Số dư trong tài khoản được hưởng lãi suất không kỳ hạn
• Không phải mất phí hoặc mất một khoản phí rất nhỏ khi rút
tiền
 Phân loại theo Chức năng

Thẻ trả trước:

Thẻ dự trữ giá trị, người sử dụng cần nạp một số tiền vào thẻ và thanh toán
không quá số tiền đó.
Điểm khác biệt giữa thẻ trả trước và thẻ ghi nợ: tài khoản thẻ có liên kết với
tài khoản ngân hàng hay không.

TT19: Chỉ được sử dụng để thanh toán tiền hàng hóa, dịch vụ hợp pháp tại
thiết bị chấp nhận thẻ tại điểm bán trên lãnh thổ Việt Nam; không được sử
dụng để thực hiện giao dịch thẻ trên môi trường Internet, chương trình ứng
dụng trên thiết bị di động và không được rút tiền mặt.
So sánh thẻ tín dụng và thẻ ghi nợ.
Nếu bạn là người bán hàng, bạn sẽ
thích loại thẻ nào hơn?
 Tiêu chí Thẻ tín dụng Thẻ ghi nợ
Đặc điểm nổi
Chi tiêu trước trả tiền sau. Nạp tiền trước chi tiêu sau.
bật

Dòng chữ “Credit" kèm theo các thông tin: Dòng chữ “Debit" và logo thương hiệu của tổ
Logo ngân hàng, logo tổ chức liên kết phát chức phát hành (logo ngân hàng và tổ chức
Cấu tạo thẻ hành (Visa, Mastercard, JCB). liên kết: Visa, Mastercard, Napas).
mặt trước
Tên chủ thẻ. Tên chủ thẻ.
Số thẻ. Số thẻ.
Thời gian hiệu lực của thẻ. Thời gian hiệu lực của thẻ.
Bao gồm các dãy số bảo mật CVV/CVC. Bao gồm các dãy số bảo mật CVV/CVC.
Cấu tạo thẻ
Ô chữ ký. Dải băng từ chứa thông tin được mã hoá.
mặt sau
Thông tin của ngân hàng phát hành.

Rút tiền mặt (phí rút tiền cao). Rút tiền mặt (phí rút tiền thấp hoặc miễn phí).
Thanh toán online & offline, thanh toánThanh toán online & offline trong và ngoài
Chức năng
dịch vụ, hoá đơn. nước.
Trả góp lãi suất thấp từ 0%. Chuyển tiền tại cây ATM và phòng giao dịch.
Tiêu chí Thẻ tín dụng Thẻ ghi nợ
Người Việt Nam trên 18 tuổi: Cần có giấy tờ tùy
thân (CCCD/CMND/Hộ chiếu, bản sao sổ hộ khẩu, Người Việt Nam trên 15 tuổi: Cần có CMT/
tạm trú, tạm vắng...) và giấy chứng minh thu nhập CCCD/Hộ chiếu.
(Sao kê bảng lương, hợp đồng lao động).

Điều Người nước ngoài trên 18 tuổi cư trú tại Việt Nam Người NN được phép cư trú hợp pháp tại VN
kiện trên 12 tháng: Cần có các giấy tờ để chứng minh thời hạn từ 12 tháng trở lên: Cần có các giấy
đăng ký thời hạn cư trú hợp pháp tại Việt Nam (hộ chiếu, tờ để chứng minh thời hạn cư trú hợp pháp
thị thực, giấy chứng nhận miễn thị thực nhập tại Việt Nam (hộ chiếu, thị thực, giấy chứng
cảnh, giấy chứng nhận hoặc thẻ tạm trú/ thường nhận miễn thị thực nhập cảnh, giấy chứng
trú hợp pháp) và và giấy chứng minh thu nhập nhận hoặc thẻ tạm trú/ thường trú hợp
(Sao kê bảng lương, hợp đồng lao động). pháp).

Phí rút tiền: Chỉ từ 0 - 1.000 VND tại ATM của

Phí rút tiền: 4% trên tổng số tiền giao dịch hoặc
ngân hàng-từ 3.000 - 10.000 VND tại ATM
theo quy định của từng ngân hàng.
Biểu phí khác ngân hàng.

Phí thường niên: từ 500.000 - 2.000.000 VND tùy Phí thường niên: từ 100.000 - 150.000 VND
hạn mức thẻ và ngân hàng phát hành thẻ. tùy hạng thẻ và ngân hàng phát hành thẻ.
Lãi suất khoảng 20 - 40 %/năm khi thanh toán dư
Lãi suất nợ chậm và 20 - 40%/năm khi rút tiền trực tiếp tạiKhông áp dụng
 Phân loại theo
Công nghệ sử dụng trên thẻ
Thẻ từ
Thẻ chip/thông minh
Thẻ thông minh là loại thẻ điện tử có gắn 1 vi mạch xử lý (Chip) có
khả năng giới hạn trước các hoạt động, thêm vào hoặc xóa đi các
thông tin dữ liệu trên thẻ
Phân loại:
• Thẻ phi tiếp xúc (Contactless card)
• Thẻ tiếp xúc (Contact card)
 Phân loại theo
Công nghệ sử dụng trên thẻ

Thẻ phi tiếp xúc (Contactless card) chỉ cần chạm thẻ
Tiêu chí Thẻ từ Thẻ chip
Thiết kế dải băng từ trên thẻ ATM
Thiết kế gắn chip điện tử chứa
Thiết kế từ màu đen hoặc màu nâu chứa
thông tin đã được mã hoá
thông tin của chủ thẻ
Bảo
Bảo mật thấp, dễ bị giải mã Bảo mật cao
mật
Chỉ lưu trữ được một số thông tin Thông tin có thể được thay đổi
Tính
nhất định và không thể xoá đi.Nên nhiều lần nên tiết kiệm được thẻ
kinh tế
nếu thay sẽ tốn thêm tiền trắng.
Có 3 loại thẻ: tiếp xúc, phi tiếp xúc
Loại thẻ Chỉ có 1 loại thẻ
và giao diện kép…
Dễ xước gây mất thông tin trên Có thể xoá đi và và nhập thông tin
Độ bền
thẻ nhiều lần nên độ bên cao hơn.
Chi phí Khách hàng tốn phí cho mỗi lần Chi phí thấp hoặc miễn phí khi làm
làm lại làm và đổi thẻ mới hoặc đổi thẻ.
 Tương lai

• Thẻ thanh toán vẫn là vua nhưng ...

• Có tuổi .... đang nhường lại vị trí spot light
• Tốc độ thanh toán và sự thuận tiện đang định hướng
các phương thức mới

E-Commerce E-Wallet Mobile Wallet COD

52%
E Money
Hệ sinh thái thẻ thanh toán điện tử
Quy trình thanh toán sử dụng thẻ
 Hạn chế của HTTT thẻ trực tuyến

Hạn chế chung với cả 2 bên:

• Cả người bán và người tiêu dùng đều không thể được xác thực đầy đủ
nếu SSL không được cơ quan CA triển khai.
• SSL chỉ cung cấp xác minh của người bán chứ không phải khách hàng
(không bắt buộc)
• SET cung cấp xác thực hai chiều, nhưng người bán và khách hàng khó
triển khai vì quá phức tạp.
• Từ chối: Người tiêu dùng có thể từ chối giao dịch trực tuyến.
• Chi phí – Phí giao dịch được tính từ người bán.
• Công bằng xã hội – Hàng triệu khách hàng không có thẻ tín dụng
 Hạn chế của HTTT thẻ trực tuyến

Hạn chế đối với người bán:

• Phí dịch vụ
• Tội phạm mạng
• Phụ thuộc vào cơ sở hạ tầng viễn thông
• Vấn đề kỹ thuật
 Hạn chế của HTTT thẻ trực tuyến

Hạn chế đối với người dùng:

• Vấn đề kỹ thuật
• Chi phí gian lận
• Mức độ tín nhiệm
• Khuyến khích mua hàng không cần thiết
• Lãi suất cao nếu không được thanh toán đầy đủ vào ngày
đáo hạn
• Phí hàng năm
• Ảnh hưởng tiêu cực từ lịch sử tín dụng và điểm tín dụng
 Hình thức Gian lận thẻ thanh toán

Phishing
ATM Skimming
Card Skimming
Card Counterfeiting
Card Theft
 Để bảo mật thẻ thanh toán

• Đảm bảo tất cả các tài liệu, giấy tờ có liên quan được lưu trữ an
toàn, chỉ những người có thẩm quyền mới có thể truy cập
• Đảm bảo hiểu các chính sách bảo mật thẻ thanh toán của tổ
chức
• Không nên để mật khẩu mặc định
• Không chia sẻ mật khẩu của mình với bất kỳ ai
• Thận trọng khi sử dụng trình duyệt email hoặc internet
 Tiêu chuẩn bảo mật – PCI DSS

PCI DSS (Tiêu chuẩn bảo mật dữ liệu thẻ thanh toán) là một
bộ tiêu chuẩn bảo mật được hình thành vào năm 2004 bởi Visa,
MasterCard, Discover Financial Services, JCB International và
American Express.
Được điều hành bởi Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ
Thanh toán (PCI SSC), nhằm mục đích đảm bảo an toàn các
giao dịch thẻ tín dụng và thẻ ghi nợ chống lại hành vi trộm cắp
và gian lận dữ liệu
 Tiêu chuẩn bảo mật – PCI DSS

Lợi ích:
 Danh tiếng
 Cải thiện hiệu quả
 Bảo mật
 Tiêu chuẩn bảo mật – PCI DSS

PCI DSS bao gồm sáu mục tiêu và mười hai yêu cầu
Tiêu chuẩn bảo mật – PCI DSS
Tiêu chuẩn bảo mật – PCI DSS
 PCI DSS đối với người bán

• PCI phân loại người bán thành các mức độ tuân thủ khác
nhau.
• Mức độ của một người bán nhất định phụ thuộc vào khối
lượng giao dịch thẻ tín dụng mỗi năm hay người bán có vi
phạm an ninh trong quá khứ hay không.
• Yêu cầu xác nhận và báo cáo của người bán: những điều mà
người bán phải làm để chứng minh rằng họ tuân thủ PCI DSS.
• Mỗi thương hiệu thanh toán đặt ra các cấp độ riêng của mình.
 PCI DSS đối với người bán

Cấp độ 1
Xử lý hơn 6 triệu giao dịch mỗi năm, bất kể các giao dịch là
thương mại điện tử hay truyền thống. Người bán đã bị vi
phạm bảo mật cũng có thể được chỉ định ở mức tuân thủ này.

Cấp độ 2
Xử lý từ 1 triệu đến 6 triệu giao dịch mỗi năm, cho dù các giao
dịch là thương mại điện tử hay truyền thống.
 PCI DSS đối với người bán

Cấp độ 3
Xử lý 20.000 đến 1 triệu giao dịch thương mại điện tử mỗi năm.
Một người bán có thể xử lý hàng trăm ngàn giao dịch thẻ
thanh toán truyền thống vẫn không được phân loại ở cấp độ
này nếu họ xử lý ít hơn 20.000 giao dịch thương mại điện tử.

Cấp độ 4
Xử lý tối đa 1 triệu giao dịch thẻ thanh toán truyền thống
nhưng ít hơn 20.000 giao dịch thương mại điện tử
 Yêu cầu hàng năm của cấp 1:

Hàng năm:
 Nộp một bản Báo cáo Tuân thủ ("ROC") thông qua Người Đánh
giá Bảo mật được Cấp phép ("QSA")" hay KTNB được ký bởi
người có chức vụ của công ty, khuyến nghị KTNB lấy chứng chỉ
Người đánh giá Bảo mật Nội bộ PCI SSC ("ISA")/ Hoạt động
kiểm định bảo mật tại chỗ
 Gửi một Mẫu Chứng thực tuân thủ ("AOC")/Bảng câu hỏi tự
đánh giá

Hàng quý:
 Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp
dịch vụ kiểm tra được cấp phép ("ASV")
 PCI DSS đối với người bán

Yêu cầu hàng năm của cấp 2, 3, 4:

Hàng năm:
 Hoàn thành Bảng câu hỏi tự đánh giá ("SAQ")
 Gửi một Mẫu Chứng thực tuân thủ ("AOC")

Hàng quý:
 Thực hiện kiểm tra mạng hàng quý thông qua Nhà cung cấp
dịch vụ kiểm tra được cấp phép ("ASV")
 PCI DSS đối với người bán

Không tuân thủ: phạt từ phạt tiền đến mất quyền chấp nhận
thanh toán bằng thẻ tín dụng
Không thể chấp nhận thanh toán bằng thẻ tín dụng: hình
phạt nặng nhất
Tiền phạt: từ 86.000 đô la đến 4 triệu đô la
Điều tra số bắt buộc: lên đến 120.000 đô la cho doanh nghiệp
cấp độ 1
Trách nhiệm pháp lý.
 PCI DSS đối với các nhà cung cấp dịch vụ

• Các yêu cầu báo cáo và xác nhận đối với các nhà cung cấp dịch
vụ nghiêm ngặt hơn
• Mức độ tuân thủ và yêu cầu đối với các nhà cung cấp dịch vụ
được xác định bởi các thương hiệu thẻ thanh toán
 Qualified Security Assessor (QSA)

là công ty đã được Hội đồng PCI đánh giá đủ điều kiện để thực hiện đánh
giá PCI DSS tại chỗ.
• Xác minh thông tin kỹ thuật người bán hoặc nhà cung cấp dịch vụ
cung cấp
• Sử dụng phán quyết độc lập để xác nhận tiêu chuẩn đã được đáp ứng
• Cung cấp hỗ trợ và hướng dẫn trong quá trình tuân thủ
• Có mặt tại chỗ trong suốt thời gian đánh giá theo yêu cầu
• Tuân thủ các quy trình đánh giá bảo mật PCI DSS
• Xác nhận phạm vi đánh giá
• Đánh giá kiểm soát bù
• Tạo báo cáo cuối cùng
2.4. Tiêu chuẩn bảo mật
 Bảo mật 3-D

• Giao thức bảo mật 3D được phát triển bởi Visa để cải thiện tính
bảo mật của thanh toán Internet. Giao thức được cung cấp với
tên dịch vụ được xác minh bởi Visa (verified by Visa)
• Master và JCB cũng đã áp dụng một giao thức tương tự.
• Cung cấp khả năng xác thực, giảm khả năng sử dụng gian lận và
cải thiện hiệu suất giao dịch tổng thể.
• Được sử dụng khi
Chủ thẻ nhập thông tin trên website tổ chức phát hành
Thực hiện giao dịch trên website
Thực hiện giao dịch trên các ứng dụng hỗ trợ thanh toán
 Cách thức hoạt động

• Yêu cầu người dùng trả lời một thách thức trong thời gian
thực
• Thách thức đến từ ngân hàng phát hành, không phải từ
người bán
• Ngân hàng phát hành xác nhận danh tính người dùng cho
người bán
• Tổ chức phát hành thẻ phải hỗ trợ giao thức bảo mật 3D
 3-D1.Secure
Dữ liệu thẻ và Process
SSLđơn hàng Flow
Merchant

2. Xác định tổ chức phát hành

Cardholder

6. Chuyển người mua sang trang xác

minh 3D Sercure MPI
SSL Merchant Plug-In

3. Kiểm tra sự tham gia của người dùng

Global 5. Xác minh sự
Directory tham gia của
người dùng
SSL
Issuer
4. Xác minh sự tham gia của người dùng
Payment Gateway

ACS Luồng quy trình bảo mật 3D Acquirer

Access Control Server
SOURCE: MASTERCARD
 10. Phản hồi xác thực người trả tiền

Merchant

SSL
Cardholder
7. Yêu cầu Xác thực Người trả tiền
MPI
9. Phản hồi Xác thực Người trả tiền

8. Xác thực chủ thẻ

11. Giao dịch thông thường

Global
Directory

Issuer 12. Quy trình ủy quyền thông thường

Payment Gateway

ACS
3-D Secure Process Flow
Acquirer
SOURCE: MASTERCARD