Mô hình giao dịch trực tuyến
Cùng với sự phát triển của công nghệ thông tin, nhu cầu mua bán trực tuyến ngày càng gia tăng, do vậy việc sử dùng các dịch vụ thanh toán trực tuyến là cấp thiết. Trong khoảng 10 năm trở lại đây, các dịch vụ thanh toán đang phát triển mạnh mẽ. Từ các cổng thanh toán trực tuyến như Ngân Lượng, Bảo Kim, VNPay, Soha, VTCPay… đến các ngân hàng cũng mở rộng thêm các dịch vụ thanh toán trực tuyến. Hình 1 và hình 2 biểu diễn những mô hình điển hình trong giao dịch trực tuyến ở Việt Nam hiện nay.
Hình 1. Giao dịch sử dụng cổng thanh toán điện tử VTCPay.
Trong mô hình giao dịch trực tuyến sử dụng cổng thanh toán điện tử VTCPay, người mua lựa chọn hàng hóa và đặt hàng thông qua người bán. Người bán chuyển thông tin giao dịch sang cổng thanh toán VTCPay. Những thông tin giao dịch được chuyển tới ngân hàng của người mua. Sau khi người bán chuyển hàng hóa tới người mua, ngân hàng của người mua chuyển tiền cho ngân hàng của người bán qua cổng thanh toán của VTCPay.
Hình 2. Giao dịch sử dụng cổng thanh toán trực tuyến Bảo Kim.
Với mô hình giao dịch trực tuyến sử dụng cổng thanh toán điện tử Bảo Kim, sau khi đặt hàng và gửi yêu cầu thanh toán trên website bán hàng, người mua lựa chọn thanh toán qua cổng thanh toán Bảo Kim theo 2 cách: người mua nhập thông tin thẻ ngân hàng để xác thực thanh toán hoặc sử dụng tài khoản Bảo Kim để chuyển tiền. Khi tiền được chuyển về tài khoản người bán trên Bảo Kim, người bán sẽ chuyển hàng cho người mua.
Qua đây, có thể thấy mô hình giao dịch trực tuyến hiện dùng gồm 4 thành phần chính: Client (người mua hàng), Merchant Server (người bán), Payment Service Provider - PSP (nhà cung cấp dịch vụ thanh toán) và Bank (ngân hàng). Quy trình hoạt động theo mô hình giao dịch trực tuyến bao gồm các bước như sau: 1) Người mua lựa chọn hàng, đặt lệnh mua, gửi thông tin cá nhân (tên chủ thẻ, số thẻ, tên ngân hàng - UID, BankID) tới phía người bán; 2) Bên bán nhận được yêu cầu mua hàng, gửi yêu cầu thanh toán tới PSP, yêu cầu thanh toán bao gồm, UID, Bank ID của người mua và người bán kèm theo số tiền cần thanh toán; 3) PSP nhận được yêu cầu thanh toán, xác nhận UID, Bank ID và gửi mã OTP bằng SMS/Email về người mua; 4) Nếu người mua chấp nhận thanh toán sẽ xác nhận mã OTP cho phía nhà cung cấp dịch vụ thanh toán PSP; 5) Nếu OTP sai, kết thúc giao dịch; 6) Nếu OTP đúng, PSP sẽ chuyển yêu cầu thanh toán của người mua tới cho ngân hàng; 7) Ngân hàng nhận được yêu cầu sẽ chuyển khoản và gửi xác nhận về phía người bán; 8) Người bán sẽ tiến hành giao hàng đến người mua và nhận được thanh toán từ phía ngân hàng.
Rủi ro lộ thông tin khi giao dịch trực tuyến
Đại dịch Covid-19 làm thay đổi thói quen mua sắm khi người tiêu dùng thay đổi từ phương thức mua bán trực tiếp qua mua bán trực tuyến. Tuy nhiên, thực tế cho thấy người dùng khi mua sắm trực tuyến dễ gặp phải những rủi ro đặc biệt là việc để lộ thông tin cá nhân. Hình 3 cho thấy những thông tin mà người dùng cần phải cung cấp trong quá trình giao dịch trực tuyến gồm số thẻ, ngày hết hạn thẻ, tên in trên thẻ, mã bảo mật thẻ thanh toán CVV/CVC. Đối với các loại thẻ thanh toán quốc tế, mã số CVV/CVC đóng vai trò vô cùng quan trọng, có tác dụng bảo mật khi giao dịch và chứng thực quyền sở hữu thẻ trong quá trình thanh toán. Khách hàng có thể sử dụng mã số này để thanh toán online mà không cần nhập mã PIN. Chính vì vậy, vấn đề bảo mật thông tin thẻ và mã số trong quá trình sử dụng cực kỳ quan trọng. Nếu bất cẩn, kẻ gian có thể khai thác thông tin và thực hiện các giao dịch tài chính thông qua tài khoản của bạn mà không cần giữ thẻ cứng trong tay.
Hình 3. Những thông tin thẻ khách hàng phải cung cấp.
Khách hàng có nguy cơ bị mất toàn bộ tiền trong thẻ nếu để lộ thông tin tài khoản/thẻ. Khi sở hữu bất kỳ thẻ liên kết với tài khoản ngân hàng nào, người dùng đều có nguy cơ mất tiền trong tài khoản ngân hàng khi mất thẻ hoặc để lộ thông tin tài khoản/thẻ. Một khi thẻ vào tay kẻ xấu hoặc để lộ thông tin in trên thẻ (số thẻ, tên chủ thẻ, ngày hết hạn, mã CVC), đồng nghĩa với việc có nguy cơ bị mất toàn bộ tiền trong thẻ.
Đảm bảo an toàn thông tin trong giao dịch trực tuyến
Từ thực tế trên, đã có nhiều công nghệ được áp dụng để đảm bảo an toàn, bảo mật thông tin trong giao dịch trực tuyến. Một trong những giải pháp đó là ứng dụng mật mã trực quan kết hợp giấu tin trong ảnh số vào giao dịch trực tuyến nhằm bảo vệ thông tin cá nhân của khách hàng, hạn chế tối đa việc khách hàng để lộ những thông tin quan trọng.
Mô hình giao dịch trực tuyến được giới thiệu dựa trên ứng dụng của mật mã trực quan là một kỹ thuật mật mã đơn giản nhưng hiệu quả được nghiên cứu từ năm 1994 kết hợp với kỹ thuật giấu tin trong ảnh số nhằm tăng cường an toàn thông tin cho các giao dịch trực tuyến. Với mô hình giao dịch mới được giới thiệu trong Hình 4 thông tin khách hàng cung cấp cho người bán sẽ được giảm thiểu tối đa, khách hàng chỉ cung cấp thông tin cần thiết cho việc xác định người thanh toán.
Hình 4. Ứng dụng mật mã trực quan kết hợp giấu tin trong ảnh số vào mô hình giao dịch trực tuyến.
Mô hình giao dịch trực tuyến sử dụng mật mã trực quan kết hợp giấu tin trong ảnh số vào có những ưu điểm so với mô hình giao dịch thông thường, cụ thể:
Thứ nhất, giảm tối đa thông tin khách hàng phải cung cấp cho bên bán hàng cũng như nhà cung cấp dịch vụ thanh toán. Vì vậy, trong trường hợp cơ sở dữ liệu của bên bán hay nhà cung cấp dịch vụ thanh toán bị tấn công cũng không làm để lộ ra những thông tin nhạy cảm của khách hàng. Ngoài ra, cũng ngăn chặn việc sử dụng trái phép thông tin tài khoản ngân hàng của khách hàng.
Thứ hai, nhà cung cấp dịch vụ thanh toán - PSP là bên thứ 3 có nhiệm vụ xác thực thanh toán đảm bảo sự tin cậy trong giao dịch cho khách hàng, do đó đảm bảo tính khách quan, minh bạch, thông tin được đảm bảo bởi tổ chức uy tín
Thứ ba, việc sử dụng giấu tin trong ảnh số đảm bảo nhà cung cấp dịch vụ thanh toán - PSP cũng không biết các thông tin thẻ thanh toán của khách hàng, do đó đảm bảo tính bí mật tuyệt đối cho khách hàng.
Có thể thấy rằng, việc ứng dụng mật mã trực quan kết hợp với giấu tin trong ảnh số vào giao dịch trực tuyến là một trong những biện pháp hiệu quả, khả thi nhằm nâng cao bảo mật của các giao dịch trực tuyến.
TÀI LIỆU THAM KHẢO
1. M. Naor, A. Shamir (1995), Visual cryptography, Advances in Cryptology-EUROCRYPT’94, pp.1-12.
2. C.N. Yang (2004), “New visual secret sharing schemes using probabilistic method”, Pattern Recognition Letter, 25, pp.481-494.
3. Y.C. Hou (2003), “Visual cryptography for color images”, Pattern Recognition, 36(7), pp.1619-1629.
4. S. Roy, P. Venkates (2014), Online Payment System using Stenography and Visual Cryptography, IEEE Student’s Conference on Electrical.