Samsung Pay bảo mật ra sao mà dám... chấp mọi hacker?

Chưa có vụ lộ lọt thông tin nào từng xảy ra đối với giải pháp thanh toán này.

Samsung Pay đang thu hút nhiều sự chú ý khi nó đã chính thức đi vào hoạt động và trở thành giải pháp thanh toán di động đầu tiên tại Việt Nam. Trước đó, Samsung Pay đã có hơn 2 năm triển khai ở các nước phát triển như Mỹ, Đức hay trên chính "chiếc nôi" của mình là Hàn Quốc. Trong suốt thời gian qua, giải pháp này đã cho thấy khả năng bảo mật tốt với việc chưa từng xuất hiện một vụ lộ lọt thông tin nào liên quan tới bảo mật.

Samsung Pay bảo mật ra sao mà dám... chấp mọi hacker? - 1

Samsung Pay giúp thu gọn các thẻ ngân hàng (ATM, Visa, MasterCard,...) vào trong một thiết bị.

Theo các tài liệu từ Samsung, giải pháp Samsung Pay của họ được trang bị 3 lớp bảo mật là Samsung Knox, Tokenization và các phương thức xác thực khi thanh toán (mống mắt, vân tay hoặc mã PIN). Trong đó, Samsung Knox là một nền tảng an ninh độc quyền, được tích hợp vào cả phần mềm và phần cứng trên các dòng smartphone của hãng này. Khi thiết bị được bật, Knox sẽ liên tục thẩm định tính toàn vẹn của thiết bị ở thời điểm đó so với cài đặt gốc, để kịp thời phát hiện ngay mọi sự thay đổi đáng ngờ với mục tiêu đảm bảo dữ liệu an toàn xuyên suốt.

Samsung Pay bảo mật ra sao mà dám... chấp mọi hacker? - 2

Samsung Knox là giải pháp bảo mật cho chiếc smartphone.

Còn với Tokenization, khi người dùng liên kết một thẻ ngân hàng lên điện thoại, hệ thống TSP (Token Service Provider) của tổ chức chuyển mạch thẻ sẽ mã hóa thông tin thẻ thành một mã duy nhất (token) để lưu trữ trên thiết bị. Điều đó có nghĩa là thông tin thẻ không được lưu lại, thay vào đó là một mã token đại diện cho nó. Khi thực hiện giao dịch, mã token này sẽ được sử dụng thay cho số thẻ nên không ai có thể lấy trộm được thông tin thẻ của người dùng; thậm chí nếu tin tặc có cao tay đánh cắp được bằng một cách nào đó thì nó cũng chỉ là một đoạn token vô nghĩa.

Samsung Pay bảo mật ra sao mà dám... chấp mọi hacker? - 3

Số thẻ ngân hàng được mã hóa qua lớp Tokenization.

Chưa hết, thông tin thẻ còn được bảo mật thêm một lớp nữa, bằng cách sử dụng các chuỗi xác thực mã hóa dùng một lần (cryptogram). Chuỗi xác thực cryptogram được tạo ra bằng cách sử dụng 3 phần thông tin khác nhau: Chuỗi token tạo ra từ số thẻ, số thứ tự của giao dịch thanh toán được tạo ra từ bộ đếm giao dịch và cuối cùng là một mã bí mật. Chuỗi xác thực này được tạo ra ngẫu nhiên và chỉ dùng một lần duy nhất cho mỗi giao dịch, nên cũng là một thông tin không có giá trị với kẻ tấn công.

Với các lớp xử lý như trên, khi thực hiện thanh toán qua Samsung Pay, smartphone sẽ gửi đi chuỗi token kèm theo chuỗi cryptogram. Việc sử dụng chuỗi token khiến cho các hacker không thể dò được ra số thẻ thanh toán của khách hàng; nhưng dù cho tìm được chuỗi token đó, chúng cũng không thể sử dụng để thực hiện việc thanh toán trên một thiết bị khác vì không có thuật toán để tạo cryptogram.

Ngoài các lớp xử lý sâu trong hệ thống như trên, phương thức xác thực bằng sinh trắc học như mống mắt, vân tay cũng bảo mật không kém. Những phương thức này giúp giúp xác định chính chủ nhân của chiếc smartphone đang thực hiện giao dịch chứ không phải ai khác.