Chuẩn hóa về hạ tầng kết nối và an toàn thông tin để phát triển mô hình ngân hàng mở
Ngân hàng mở đang trở thành một xu hướng nổi bật trong ngành tài chính, mang đến nhiều cơ hội phát triển và cải thiện trải nghiệm khách hàng thông qua sự kết nối giữa ngân hàng và bên thứ ba.
Việc triển khai ngân hàng mở (Open Banking) tại Việt Nam cần được luật hóa, quy định cụ thể, rõ ràng cả về tiêu chuẩn Giao diện lập trình ứng dụng (Application Programming Interface - API), sự chấp thuận của khách hàng, yêu cầu bảo mật, an toàn thông tin, yêu cầu vận hành và lộ trình tham gia hạ tầng ngân hàng mở đối với các ngân hàng, tổ chức tài chính.
Ngân hàng mở đang trở thành một xu hướng nổi bật trong ngành tài chính, mang đến nhiều cơ hội phát triển và cải thiện trải nghiệm khách hàng thông qua sự kết nối giữa ngân hàng và bên thứ ba. Một trong những công nghệ đột phá gắn với cách mạng công nghiệp 4.0 cho phép kết nối, chia sẻ dữ liệu qua API mở (Open API) đã được một số ngân hàng Việt Nam nghiên cứu, triển khai ứng dụng vào hoạt động thanh toán, nhận biết khách hàng điện tử, cung ứng sản phẩm, dịch vụ tài chính sáng tạo.
Ngân hàng mở là xu hướng mới trong tài chính, giúp kết nối dữ liệu qua Open API, cải thiện thanh toán
và cung cấp dịch vụ sáng tạo (Nguồn ảnh: Internet)
Open API - mở đường cho các giải pháp công nghệ sáng tạo trong ngành Ngân hàng
Theo Ngân hàng Nhà nước Việt Nam (NHNN), đến cuối năm 2023, có trên 72% tổ chức tín dụng (TCTD) đã và đang dự tính triển khai các API, trong đó gần 48% đã xây dựng API để cho các bên thứ ba kết nối; khoảng 65% các TCTD sẵn sàng triển khai Open API, trong đó trên 30% TCTD có mức độ sẵn sàng cao đối với Open API. Nhiều TCTD đã xây dựng API cho phép các bên thứ ba kết nối, triển khai API Portal để các đối tác có thể kết nối vào hệ sinh thái ngân hàng. Nhiều nhà cung cấp giải pháp ứng dụng Open API.
Trong xu thế phát triển công nghệ hiện nay, API là giao thức kết nối quan trọng có tính ứng dụng cao, giúp cho việc chia sẻ dữ liệu và xây dựng giải pháp công nghệ cũng như quá trình tương tác giữa các hệ thống trở nên thuận tiện và thông suốt. Quá trình kết nối, chia sẻ dữ liệu dựa trên API sẽ giúp cho ngân hàng và đối tác tạo nên giải pháp công nghệ mới, sản phẩm, dịch vụ liên kết tận dụng được ưu thế và đặc thù riêng có của hệ sinh thái mỗi bên. Ở Việt Nam, dù chưa có chuẩn mực chung về kỹ thuật API nhưng nhiều ngân hàng đã chủ động triển khai các cổng Open API để tích hợp dịch vụ với công ty Fintech, đối tác cung ứng dịch vụ.
Chẳng hạn, Ngân hàng Thương mại cổ phần (NHTMCP) Công thương Việt Nam (VietinBank) - một trong những ngân hàng tiên phong trong chuyển đổi số và ứng dụng công nghệ hiện đại, đã xác định mô hình ngân hàng mở là trọng điểm trong việc cung cấp dịch vụ tài chính số. Với mục tiêu hợp tác đa lĩnh vực và tích hợp công nghệ toàn diện với các doanh nghiệp, công ty Fintech, VietinBank đã phát triển nền tảng Open API mang tên VietinBank iConnect. Thông qua iConnect, khách hàng có thể truy cập và tích hợp nhiều dịch vụ tài chính đã được số hóa của VietinBank, từ tài khoản, thanh toán, đến quản lý dòng tiền.
Đăng ký tài khoản tại VietinBank iConnect, khách hàng sẽ được tự do khám phá danh mục API, chức năng hiện có của VietinBank cũng như được giới thiệu các API mới nhất do VietinBank phát triển. VietinBank iConnect hiện đang cung cấp hàng trăm API để đáp ứng nhu cầu của khách hàng, một số nhóm API chính bao gồm: (i) Tài chính: Mở tài khoản, mở thẻ, gửi tiết kiệm, đăng ký vay vốn, quản lý thông tin tài chính; (ii) Quản lý dòng tiền: Thu hộ, chi hộ, kết nối hệ thống hoạch định nguồn lực doanh nghiệp (ERP); (iii) Thanh toán: Thanh toán hóa đơn, chuyển tiền, tích hợp cổng thanh toán, thanh toán qua QRCode, POS; (iv) Fintech: Kết nối ví điện tử, nạp, rút, hỗ trợ chuyển tiền...
Về vấn đề bảo mật, theo VietinBank, tất cả API được chia sẻ trên iConnect đều căn cứ trên cơ sở đồng ý hoặc ủy quyền của khách hàng cho quá trình kết nối và sử dụng dịch vụ. VietinBank sử dụng các tiêu chuẩn bảo mật quốc tế như OAuth2, OpenID Connect kết hợp với các hình thức OTP để xác thực khách hàng. Nhằm bảo đảm tính bảo mật, tất cả API đều được kiểm tra tấn công thường xuyên, để có thể hợp tác và kết nối đa dạng hơn với những đối tác trong các ngành nghề, lĩnh vực.
Còn tại NHTMCP Đầu tư và Phát triển Việt Nam (BIDV), hệ thống BIDV Open API được xây dựng trên 4 module chính, gồm API Manager (quản lý và giám sát API), API Gateway (xử lý tích hợp giữa các hệ thống), API Analytics (phân tích dữ liệu hệ thống phục vụ cho báo cáo thời gian thực) và BIDV Open API Portal (trang trực tuyến dành cho nhà lập trình tìm hiểu và trải nghiệm API). BIDV đã công bố 15 gói API với nhiều tính năng phổ biến, bao gồm truy vấn thông tin ngân hàng, BIDV QR, eKYC, chuyển tiền, thanh toán hóa đơn và tích hợp ví điện tử.
Những gói API này không chỉ đáp ứng nhu cầu giao dịch điện tử của khách hàng mà còn tạo ra sự tiện lợi và an toàn trong các hoạt động tài chính số. Các công ty Fintech sử dụng gói API của BIDV để tích hợp trực tiếp những dịch vụ tài chính vào nền tảng của mình, giúp người dùng thực hiện giao dịch như thanh toán, chuyển tiền và quản lý tài chính một cách liền mạch, tối ưu hóa trải nghiệm khách hàng và mở ra cơ hội sáng tạo các giải pháp mới. Open API còn được BIDV sử dụng để phát triển sản phẩm mới như cho vay và thẻ tín dụng số, thẻ ghi nợ kết nối trực tiếp với ví điện tử. Điều này giúp khách hàng có thể dễ dàng quản lý chi tiêu và thực hiện các giao dịch mua sắm, thanh toán trực tuyến thông qua nền tảng ví điện tử, đáp ứng nhu cầu sử dụng các dịch vụ tài chính số một cách toàn diện và linh hoạt.
Ngân hàng mở tại BIDV không chỉ dừng lại ở việc cung cấp dịch vụ nội bộ mà còn mở rộng khả năng tích hợp với dịch vụ thanh toán của bên thứ ba như: ZaloPay, MoMo, ApplePay… Việc tích hợp này giúp người dùng thẻ BIDV có thể thanh toán linh hoạt, dễ dàng sử dụng ví điện tử hoặc phương thức thanh toán hiện đại ngay trên các ứng dụng quen thuộc của mình. Trong năm 2024, BIDV đã hỗ trợ nền tảng thanh toán thẻ qua Ví ApplePay - chỉ cần chạm nhẹ điện thoại thông minh là có thể hoàn thành giao dịch thẻ nhanh chóng và an toàn. Tất cả những yếu tố này không chỉ tạo ra sự liền mạch và thuận tiện, mà còn giúp BIDV xây dựng một hệ sinh thái tài chính số hoàn chỉnh, đáp ứng tối đa nhu cầu ngày càng cao của khách hàng trong thời đại kỹ thuật số.
Để bảo đảm an toàn trong các giao dịch trực tuyến, BIDV đã triển khai nhiều công nghệ tiên tiến nhằm bảo vệ thông tin cá nhân và tài chính của khách hàng. Một trong những công nghệ nổi bật là Tokenization, phương pháp mã hóa thông tin thẻ bằng cách thay thế dữ liệu thẻ thật bằng các “token - thẻ bảo mật” giúp giảm thiểu nguy cơ thông tin thẻ bị đánh cắp trong quá trình giao dịch. Điều này giúp ngăn chặn các hành vi gian lận và bảo vệ dữ liệu khách hàng tốt hơn.
Ngoài ra, BIDV còn sử dụng hệ thống xác thực hai yếu tố (2FA), yêu cầu người dùng cung cấp thêm một lớp thông tin xác thực thứ hai để hoàn tất giao dịch. Thông qua công nghệ xác thực giao dịch trực tuyến 3D Secure, người dùng nhận được thêm một lớp xác minh từ ngân hàng trước khi giao dịch được hoàn tất, giúp ngăn chặn các hành vi gian lận.
Việc triển khai công nghệ ngân hàng mở mang đến nhiều cơ hội nhưng cũng không ít thách thức với ngân hàng Việt Nam. Vấn đề bảo mật và quyền riêng tư là một yếu tố hàng đầu, khi cần bảo đảm rằng dữ liệu người dùng được bảo vệ an toàn trước các nguy cơ từ bên ngoài. Cùng với đó, tích hợp công nghệ hiện đại đòi hỏi ngân hàng phải đầu tư vào hạ tầng kỹ thuật tiên tiến để hỗ trợ ngân hàng mở hoạt động hiệu quả. Cạnh tranh từ công ty Fintech cũng là một thách thức lớn khi những công ty này có khả năng cung cấp dịch vụ thẻ nhanh và sáng tạo hơn, buộc ngân hàng truyền thống phải không ngừng cải tiến để giữ vững thị phần. Trong khi đó, Việt Nam chưa có tiêu chuẩn chung về hạ tầng công nghệ và kết nối cũng như hành lang pháp lý về ngân hàng mở còn chưa hoàn chỉnh, chưa có quy định về giám sát để bảo đảm an ninh, an toàn, chống lộ, lọt thông tin của khách hàng ra ngoài.
Bảo mật thông tin và dữ liệu khách hàng là ưu tiên hàng đầu
Về khía cạnh pháp lý, Việt Nam đã có những bước tiến đáng kể trong việc xây dựng hành lang pháp lý cho ngân hàng mở, bao gồm Luật Giao dịch điện tử năm 2023, Luật Các TCTD năm 2024, cùng nhiều nghị định và thông tư khác nhằm bảo vệ dữ liệu cá nhân, tăng cường bảo mật và thúc đẩy thanh toán không dùng tiền mặt. NHNN cũng đang trong quá trình nghiên cứu, ban hành các quy định mới về cơ chế thử nghiệm có kiểm soát hoạt động công nghệ tài chính trong lĩnh vực ngân hàng, về triển khai Open API, mở đường cho những sáng kiến sáng tạo trong ngành Ngân hàng.
Tuy nhiên, quá trình triển khai ngân hàng mở sẽ đòi hỏi rất nhiều nỗ lực và công việc cần thực hiện. Về mặt kỹ thuật, để chuyển đổi số có thể phát triển bền vững, ngành Ngân hàng cần phải thiết lập sự kết nối chặt chẽ với tất cả các lĩnh vực kinh tế. Điều này đồng nghĩa với việc kiến thức về ngân hàng mở và Open API không chỉ dừng lại trong khuôn khổ ngành Ngân hàng, mà còn phải được áp dụng sâu rộng trong mọi ngành nghề và lĩnh vực kinh tế. Đây là một yêu cầu bắt buộc, đòi hỏi mỗi chúng ta đều phải hiểu rõ và thực hiện quá trình chuyển đổi này.
Việc triển khai ngân hàng mở tại Việt Nam cần được xây dựng thành luật, với những quy định chi tiết, rõ ràng về tiêu chuẩn API, sự chấp thuận của khách hàng, cũng như các yêu cầu nghiêm ngặt về bảo mật thông tin, an toàn dữ liệu. Đồng thời, các quy định này cũng phải xác định rõ các yêu cầu vận hành và lộ trình tham gia hạ tầng ngân hàng mở cho các ngân hàng và tổ chức tài chính.
Thời gian tới, về phía NHNN cần tiếp tục: (i) Rà soát, sửa đổi, bổ sung các quy định về giao dịch điện tử trong hoạt động ngân hàng, bảo mật thông tin, dữ liệu khách hàng, cơ chế thử nghiệm có kiểm soát việc ứng dụng công nghệ, cung ứng sản phẩm, dịch vụ và triển khai mô hình kinh doanh mới; (ii) Trình Chính phủ ban hành những nghị định về cơ chế thử nghiệm có kiểm soát hoạt động công nghệ tài chính trong lĩnh vực ngân hàng (Sandbox)…; (iii) Sớm ban hành các thông tư về Open API; (iv) Rà soát sửa đổi, ban hành quy định về hoạt động thanh toán; giao dịch điện tử và an ninh an toàn bảo mật, biện pháp xác thực giao dịch; tiêu chuẩn kỹ thuật, tiêu chuẩn dữ liệu, API; (v) Phối hợp các bộ, ngành liên quan (như Bộ Thông tin và Truyền thông, Bộ Công an) để xây dựng quy định về giám sát để bảo đảm an ninh, an toàn thông tin, chống lộ, lọt thông tin của khách hàng ra ngoài, phối hợp trong phát hiện, ngăn chặn, xử lý tội phạm công nghệ cao; (vi) Cần triển khai hiệu quả và đồng bộ hệ thống phòng, chống tấn công mạng; đẩy mạnh truyền thông để hướng dẫn khách hàng hiểu rõ về quy trình thực hiện,bảo mật thông tin và nhận biết để phòng, tránh những rủi ro lừa đảo, gian lận..; tăng cường cơ chế phối hợp, trao đổi thông tin giữa các bên để kịp thời hỗ trợ xử lý những vướng mắc, sự cố phát sinh trong quá trình sử dụng dịch vụ; (vii) Tiếp tục chỉ đạo các TCTD tăng cường các giải pháp về an toàn, an ninh thông tin và khả năng tích hợp kết nối hạ tầng công nghệ của toàn Ngành; khuyến khích các TCTD, trung gian thanh toán xây dựng, phát triển API mở và kết nối với các đối tác để cung ứng sản phẩm dịch vụ an toàn, tiện ích…
Có thể nói, việc triển khai thành công khung pháp lý cho Open API sẽ tạo điều kiện cho cộng đồng Fintech cung cấp các dịch vụ sáng tạo mới, đáp ứng nhu cầu ngày càng cao của khách hàng theo kịp với sự phát triển trên toàn thế giới về cung cấp dịch vụ ngân hàng. Đồng thời khi chuẩn hóa danh sách API mà ngân hàng có thể cung cấp và có tiêu chuẩn chung về nền tảng kỹ thuật cũng như pháp lý rõ ràng cho việc cung cấp API của các bên thì thị trường tài chính - ngân hàng sẽ thực sự phát triển được mô hình ngân hàng mở.
Tài liệu tham khảo:
1. https://www.sbv.gov.vn
2. https://bidv.com.vn/
3. https://www.vietinbank.vn/
Hà Trang (Hà Nội)
