Tin Tổng Hợp

Các cấp độ trong tiêu chuẩn ISO/IEC 30107:2023

Xu hướng áp dụng tiêu chuẩn về chống giả mạo sinh trắc học như ISO/IEC 30107:2023 đang nở rộ trong nhiều tổ chức tài chính, ngân hàng hiện nay. Bộ tiêu chuẩn này được chia ra làm các “cấp độ” khác nhau biểu hiện mức độ đánh giá khả năng chống giả mạo (PAD – Presentation Attack Detection) của hệ thống sinh trắc học. Để giúp tổ chức hiểu rõ về các cấp độ này, SQC Certification xin chia sẻ về Các cấp độ trong tiêu chuẩn ISO/IEC 30107:2023 trong bài viết ngày hôm nay.

các cấp độ trong ISO 30107
các cấp độ trong ISO 30107

ISO/IEC 30107 là gì?

Được biết bộ tiêu chuẩn ISO/IEC 30107 do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) ban hành từ năm 2017, tập trung vào công nghệ phát hiện tấn công giả mạo sinh trắc học (Presentation Attack Detection – PAD). Tiêu chuẩn này đưa ra các yêu cầu và phương pháp nhằm nhận diện, ngăn chặn các hình thức gian lận khi sử dụng dữ liệu sinh trắc học như khuôn mặt, vân tay, mống mắt… qua đó giúp hệ thống phân biệt chính xác giữa người thật và các phương thức giả mạo.

ISO/IEC 30107 hiện là phiên bản được sử dụng phổ biến nhất trên toàn cầu, đóng vai trò quan trọng trong việc giúp các tổ chức nâng cao hiệu quả hoạt động, đảm bảo chất lượng ổn định và tăng cường niềm tin từ khách hàng và đối tác.

Lý do phân chia cấp độ trong ISO/IEC 30107?

Tiêu chuẩn ISO/IEC 30107 khác với các bộ tiêu chuẩn khác phân theo Level cứng mà thông qua khả năng chống giả mạo theo từng cấp độ. Việc “phân chia cấp độ” trong ISO/IEC 30107:2023 không phải để làm cho phức tạp hơn, mà thực chất là để giải quyết 3 vấn đề rất thực tế trong bảo mật sinh trắc học:

1. Vì mức độ tấn công không giống nhau

Do mức độ giả mạo đều khác nhau theo từng trường hợp. Có trường hợp dễ, trung bình cho đến khó. Nếu giữ cùng một mức độ bảo mật duy nhất sẽ rơi vào 2 tình huống như sau:

  • Hoặc quá yếu → bị hack
  • Hoặc quá mạnh → gây khó chịu cho người dùng
mức độ tấn công không giống nhau
mức độ tấn công không giống nhau

2. Cân bằng giữa bảo mật và trải nghiệm người dùng

Đây chính là lý do cực kỳ quan trọng. Nếu như Level thấp thì khả năng đăng nhập sẽ nhanh và mượt hơn. Còn mức level cao sẽ khiến xác thực chậm hơn và thêm nhiều bước hơn. Việc phân cấp giúp doanh nghiệp tối ưu UX vs Security

3. Mỗi ngành có mức rủi ro khác nhau

Các lĩnh vực có yêu cầu hoàn toàn khác nhau: như ngành fintech/ ngân hàng có mức độ rủi ro về tài chính sẽ cao hơn. Các App thông thường thì mức độ rủi ro sẽ thấp hơn. Chính vì thế mà không thể dùng cùng 1 tiêu chuẩn chung cứng nhắc cho tất cả các ngành hàng. Vì vậy tiêu chuẩn cho phép “nhiều cấp độ” để tùy chỉnh theo ngành

4. Phục vụ đánh giá & chứng nhận rõ ràng

Trong thực tế đánh giá tại các nhà máy, tổ chức thì không thể nói chung chung được hệ thống này an toàn mà cần phải đo được bằng việc chống lại được loại tấn công nào và ở mức độ nào.

Nhờ phân cấp khác nhau mà các tổ chức, doanh nghiệp của mình có thể biết được mình đang ở mức level nào và các khách hàng/ đối tác có thể hiểu rõ được mức độ bảo mật.

Kết nối với chuyên gia

Các cấp độ trong tiêu chuẩn ISO/IEC 30107:2023

Theo đó bộ tiêu chuẩn ISO/IEC 30107:2023 được chia ra làm 3 cấp độ tương ứng với mức độ rủi ro từ thấp đến cao. Cụ thể như sau:

1: Level 1 – Basic PAD (Cơ bản)

Đây là hình thức cấp độ đầu tiên của doanh nghiệp bao gồm việc phát hiện các hình thức giả mạo đơn giản ví dụ như ảnh in khuôn mặt, video phát lại trên màn hình.

Tại mức độ này sẽ thường được áp dụng cho việc ứng dụng có mức độ rủi ro thấp và với mực tiêu ngăn chặn các cuộc tấn công dễ thực hiện.

Level 1 – Basic PAD (Cơ bản)
Level 1 – Basic PAD (Cơ bản)

2: Level 2 – Intermediate PAD (Trung bình)

Tại mức độ này có cao hơn mức độ 2 bên trên và thể hiện sự khác biệt giữa các kỹ thuật giả mạo tinh vi hơn. Một số ví dụ có thể kể đến như ảnh chất lượng cao, video deepfake cơ bản cũng như một số hình thức giả lập chuyển động

Tại mức độ này có thể được áp dụng cho các tổ chức như ngân hàng số, các eKYC, fintech vv với mục tiêu cân bằng giữa bảo mật và trải nghiệm người dùng.

3: Level 3 – Advanced PAD (Nâng cao)

Tại mức Level này là mức độ cao nhất và với các cuộc tấn công cực kì tinh vi. Với những ví dụ như Mặt nạ 3D, Silicone fingerprint, Deepfake nâng cao vv

Tại mức độ nâng cao này thì sẽ được áp dụng cho hệ thống bảo mật cao hơn như chính phủ, tài chính lớn, quốc phòng với mục tiêu bảo mật tối đa và giảm thiểu tối đa rủi ro gian lận.

Level 3 – Advanced PAD

Lợi ích khi doanh nghiệp áp dụng ISOS 30107 đúng cấp độ 

  • Hạn chế gian lận và tổn thất tài chính: Chủ động ngăn chặn các hành vi giả mạo danh tính, giúp doanh nghiệp giảm thiểu thiệt hại và chi phí xử lý rủi ro.
  • Gia cố lớp bảo mật sinh trắc học: Nâng cao khả năng phát hiện tấn công giả mạo, đảm bảo hệ thống xác thực luôn an toàn và đáng tin cậy.
  • Tăng uy tín thương hiệu: Khẳng định năng lực công nghệ và bảo mật, tạo lợi thế cạnh tranh rõ rệt trên thị trường.
  • Đảm bảo tuân thủ quốc tế: Dễ dàng vượt qua các yêu cầu kiểm toán, đáp ứng quy định từ đối tác và cơ quan quản lý.
  • Cải thiện trải nghiệm người dùng: Giữ được sự cân bằng giữa bảo mật và tiện lợi trong các dịch vụ số.

Nhận báo giá

Có thể thấy được việc phân chia mức độ khác nhau của ISO/IEC 30107:2023 được coi là xu hướng áp dụng tốt cho các tổ chức, doanh nghiệp hiện tại. ISO/IEC 30107:2023 không phải bộ tiêu chuẩn chia level cứng nhưng trên thực tế việc triển khai có thể hiểu thành 3 cấp độ cao là Cơ bản, – Trung bình và Nâng cao.

Những doanh nghiệp nên chọn lựa level dựa trên tùy từng lĩnh vực, ngành nghề, mức độ rủi ro cũng như các yêu cầu về mặt pháp lý của doanh nghiệp.

Bạn muốn Chuyên gia hỗ trợ

Đăng kí để kết nối trực tiếp với chuyên gia của chúng tôi !

    Request Expert Support

    Register to connect directly with our experts!