Trong kỷ nguyên eKYC, ngân hàng số và xác thực bằng khuôn mặt, một bức ảnh in, video phát lại hay deepfake tinh vi có thể trở thành “chìa khóa giả” mở vào hệ thống danh tính số. ISO/IEC 30107 ra đời như bộ thước đo quốc tế giúp doanh nghiệp kiểm chứng năng lực chống tấn công sinh trắc học một cách khách quan, minh bạch và có thể so sánh. Không chỉ là tiêu chuẩn kỹ thuật về PAD/liveness detection, ISO 30107 đang dần trở thành yêu cầu then chốt để các tổ chức tài chính, fintech và nhà cung cấp eKYC xây dựng niềm tin trong môi trường số đầy rủi ro
Tóm Tắt Nội Dung (TL;DR)
| Thông tin | Chi tiết |
|---|---|
| Tên đầy đủ | ISO/IEC 30107 – Công nghệ thông tin – Phát hiện tấn công trình bày sinh trắc học (Biometric Presentation Attack Detection) |
| Phiên bản hiện hành | ISO/IEC 30107-1:2023, ISO/IEC 30107-3:2023, ISO/IEC 30107-4:2024 |
| Phạm vi áp dụng | Khuôn mặt, vân tay, mống mắt và các phương thức sinh trắc học khác |
| Ba cấp độ kiểm tra | Level 1 (cơ bản) → Level 2 (nâng cao) → Level 3 (chuyên sâu) |
| Chỉ số đo lường cốt lõi | APCER, BPCER, ACER, IAPMR |
| Ứng dụng thực tiễn | eKYC, ngân hàng số, xác thực di động, kiểm soát biên giới |
| Đơn vị tư vấn uy tín | Công ty Cổ phần Tư vấn Quốc tế G-GLOBAL |
1. ISO 30107 Là Gì?
Hãy thử hình dung: một kẻ gian cầm bức ảnh in trên giấy của bạn, giơ lên trước camera điện thoại để đăng nhập tài khoản ngân hàng. Hoặc tệ hơn — dùng video deepfake để vượt qua hệ thống eKYC của một tổ chức tài chính. Không phải kịch bản khoa học viễn tưởng. Đây là thực tế tấn công đang xảy ra hàng ngày trên toàn thế giới, và nó đang leo thang nhanh chóng cùng với làn sóng số hóa danh tính.
ISO/IEC 30107 ra đời để đặt ra “luật chơi” chung cho cuộc chiến này.
Đây là bộ tiêu chuẩn quốc tế quy định khung kỹ thuật, phương pháp kiểm tra và cách báo cáo cho các cơ chế Phát hiện Tấn công Trình bày (Presentation Attack Detection – PAD) trong hệ thống sinh trắc học. Nói đơn giản hơn: tiêu chuẩn này định nghĩa thế nào là một cuộc tấn công sinh trắc học, cách phát hiện nó, và cách đo lường mức độ hiệu quả của việc phát hiện đó — một cách nhất quán, khách quan và có thể so sánh được trên toàn cầu.
Trước khi ISO 30107 tồn tại, thị trường sinh trắc học là vùng “Wild West”: một nhà cung cấp có thể tự tuyên bố “hệ thống của chúng tôi chống giả mạo 99%” mà không cần chứng minh bằng bất kỳ phương pháp kiểm tra độc lập nào. ISO 30107 chấm dứt điều đó bằng cách chuẩn hóa ngôn ngữ, phương pháp và thước đo — từ đó mọi tuyên bố về năng lực PAD đều phải được đặt trong bối cảnh của một cấp độ kiểm tra cụ thể.
Định nghĩa thuật ngữ cốt lõi
- Tấn công trình bày (Presentation Attack – PA): Hành động trình bày vật phẩm giả mạo hoặc đặc điểm sinh trắc học của người khác lên bộ cảm biến sinh trắc học nhằm can thiệp vào chính sách của hệ thống (ví dụ: đăng nhập trái phép, giả danh người dùng hợp lệ).
- Công cụ tấn công trình bày (Presentation Attack Instrument – PAI): Vật phẩm hoặc phương tiện được dùng để thực hiện tấn công — ảnh in trên giấy, video phát trên màn hình, mặt nạ silicone, khuôn ngón tay gelatin, deepfake video…
- Phát hiện tấn công trình bày (Presentation Attack Detection – PAD): Cơ chế tự động phân biệt trình bày sinh trắc học thực (bona fide) với trình bày tấn công.
- Liveness Detection (Phát hiện sống): Một dạng PAD tập trung xác nhận rằng mẫu sinh trắc học đến từ người sống thực, không phải từ bản sao hay vật phẩm giả mạo.
- Loài PAI (PAI Species): Nhóm các công cụ tấn công được tạo ra bằng cùng một phương pháp sản xuất và dựa trên cùng một đặc điểm sinh trắc học.
2. Lịch Sử Ra Đời Và Bối Cảnh Phát Triển
2.1. Từ lỗ hổng bảo mật đến tiêu chuẩn quốc tế
Việc sử dụng cảm biến sinh trắc học để xác thực người dùng bùng nổ trong thập kỷ 2010 — cùng với đó là nhận thức ngày càng rõ rệt rằng dữ liệu sinh trắc học dễ bị thu thập và tái sử dụng hơn nhiều so với mật khẩu. Ảnh chân dung của một người có thể lấy từ mạng xã hội; dấu vân tay để lại trên bề mặt hàng ngày; mống mắt có thể chụp từ khoảng cách xa bằng camera chuyên dụng.
Khi những dữ liệu này được dùng để tạo ra vật phẩm giả mạo và tấn công hệ thống xác thực — mà hệ thống không có khả năng phân biệt — hậu quả có thể là thảm họa, đặc biệt trong các ứng dụng xác thực từ xa không có giám sát của con người.
Đó là bối cảnh để ISO/IEC JTC1/SC37 (Tiểu ban kỹ thuật về Sinh trắc học) phát triển bộ tiêu chuẩn ISO/IEC 30107 — cung cấp nền tảng lý thuyết và thực tiễn cho lĩnh vực PAD còn đang ở giai đoạn sơ khai.
2.2. Lộ trình phiên bản
| Năm | Sự kiện |
|---|---|
| 2016 | ISO/IEC 30107-1:2016 (Khung) và ISO/IEC 30107-2:2017 (Dữ liệu định dạng) được ban hành |
| 2017 | ISO/IEC 30107-3:2017 (Kiểm tra và báo cáo) — phiên bản nền tảng cho PAD testing |
| 2020 | ISO/IEC 30107-4:2020 (Hồ sơ kiểm tra thiết bị di động) |
| Tháng 1/2023 | ISO/IEC 30107-3:2023 — phiên bản thứ hai, thay thế hoàn toàn bản 2017 |
| 2023 | ISO/IEC 30107-1:2023 — cập nhật khung thuật ngữ |
| 2024 | ISO/IEC 30107-4:2024 — cập nhật hồ sơ thiết bị di động |
3. Cấu Trúc Bộ Tiêu Chuẩn ISO/IEC 30107
ISO/IEC 30107 là bộ tiêu chuẩn đa phần, mỗi phần phục vụ một mục đích kỹ thuật khác nhau:
Phần 1 — Khung (Framework)
ISO/IEC 30107-1:2023 thiết lập nền tảng khái niệm cho toàn bộ bộ tiêu chuẩn: định nghĩa thuật ngữ, mô tả các loại tấn công, xây dựng khung phân loại các sự kiện tấn công trình bày. Đây là tài liệu “bảng chú giải” — không quy định phương pháp phát hiện cụ thể, nhưng đặt ra ngôn ngữ chung để mọi bên liên quan nói cùng một tiếng.
Đọc đầu tiên trước khi tiếp cận các phần còn lại.
Phần 2 — Định dạng dữ liệu (Data Formats)
ISO/IEC 30107-2 quy định định dạng trao đổi dữ liệu liên quan đến PAD — ví dụ cách lưu trữ và truyền tải thông tin về kết quả phát hiện tấn công giữa các thành phần của hệ thống sinh trắc học.
Dành chủ yếu cho nhà phát triển hệ thống và tích hợp.
Phần 3 — Kiểm tra và Báo cáo (Testing and Reporting)
ISO/IEC 30107-3:2023 là phần quan trọng nhất và được tham chiếu nhiều nhất trong thực tế. Đây là tiêu chuẩn quy định:
- Nguyên tắc và phương pháp đánh giá hiệu suất cơ chế PAD.
- Các chỉ số đo lường chuẩn (APCER, BPCER, ACER, IAPMR).
- Quy trình báo cáo kết quả kiểm tra một cách nhất quán và có thể so sánh.
- Phân loại các loại tấn công đã biết (Phụ lục A).
Khi một nhà cung cấp tuyên bố “đạt chứng nhận ISO/IEC 30107-3 Level 2”, họ đang nói đến việc hệ thống của họ đã vượt qua bộ kiểm tra được định nghĩa trong phần này.
Phần 4 — Hồ sơ Thiết bị Di động (Mobile Device Profile)
ISO/IEC 30107-4:2024 là hồ sơ chuyên biệt cho thiết bị di động — lựa chọn và điều chỉnh các yêu cầu từ Phần 3 phù hợp với đặc thù của smartphone và thiết bị nhúng: hệ thống đóng, không có truy cập vào kết quả nội bộ, xử lý sinh trắc học trực tiếp trên thiết bị.
4. Ba Cấp Độ PAD: Hiểu Đúng Level 1, Level 2 Và Level 3
Đây là phần được hỏi nhiều nhất khi doanh nghiệp đánh giá và lựa chọn giải pháp sinh trắc học. Ba cấp độ không phải là “hạng sao” đơn thuần — chúng đại diện cho mức độ phức tạp của các cuộc tấn công mà hệ thống đã được kiểm tra và chứng minh khả năng chống đỡ.
⚠️ Lưu ý quan trọng: Đạt Level 1 không đồng nghĩa với đạt Level 2. Mỗi cấp độ là một bài kiểm tra độc lập với bộ công cụ tấn công khác nhau. Không có tính tích lũy tự động.
Level 1 — Tấn công Cơ Bản (Tiêu Dùng Đại Trà)
Loại tấn công được mô phỏng:
- Ảnh chân dung in trên giấy thường.
- Video phát lại từ màn hình điện thoại hoặc máy tính.
- Ngón tay silicon đơn giản mua sẵn.
- Ảnh giữ trước camera (photo hold-up).
Đặc điểm: Các công cụ tấn công có thể tạo ra bằng phương tiện phổ thông, không cần kỹ năng đặc biệt. Đây là mức độ đe dọa mà mọi hệ thống xác thực người tiêu dùng đều phải đối mặt hàng ngày.
Quy trình kiểm tra (theo iBeta): Phòng thí nghiệm tạo và thực hiện 150 cuộc tấn công xen kẽ với 50 trình bày hợp lệ, trong vòng 8 giờ cho mỗi loài PAI.
Level 2 — Tấn công Nâng Cao (Nghiệp Dư Tinh Vi)
Loại tấn công được mô phỏng:
- Mặt nạ 3D in từ máy quét tiên tiến.
- Mặt nạ silicone chất lượng cao mô phỏng da người.
- Khuôn ngón tay gelatin tổng hợp.
- Video deepfake chất lượng cao.
- Ảnh in chất lượng cao trên chất liệu đặc biệt.
Đặc điểm: Công cụ tấn công đòi hỏi tài nguyên và kỹ năng đáng kể hơn để tạo ra — nhưng vẫn trong tầm với của kẻ tấn công có động cơ mạnh (ví dụ: gian lận tài chính quy mô lớn). Đây là cấp độ tối thiểu được khuyến nghị cho các ứng dụng tài chính, ngân hàng và eKYC nghiêm ngặt.
Điều kiện đạt: APCER ≤ 1% và BPCER ≤ 15% (theo tiêu chí iBeta hiện hành).
Level 3 — Tấn công Chuyên Sâu (Đối Thủ Có Nguồn Lực)
Loại tấn công được mô phỏng:
- Mặt nạ siêu thực được chế tác theo đặt hàng riêng.
- Khuôn ngón tay từ vật liệu phòng thí nghiệm chuyên dụng.
- Tổ hợp tấn công phức tạp với nhiều lớp giả mạo.
- Các kỹ thuật tấn công tiên tiến nhất được biết đến tại thời điểm kiểm tra.
Đặc điểm: Tương đương mức đe dọa từ các tổ chức tội phạm có tổ chức hoặc tấn công do nhà nước bảo trợ. Yêu cầu BPCER ≤ 10% — nghiêm ngặt hơn Level 1 và 2.
Ứng dụng: Kiểm soát biên giới, hệ thống nhận dạng an ninh quốc gia, xác thực trong môi trường rủi ro cực cao.
Bảng tóm tắt ba cấp độ
| Cấp độ | Loại tấn công | Yêu cầu APCER | Yêu cầu BPCER | Ứng dụng điển hình |
|---|---|---|---|---|
| Level 1 | Ảnh in, video phát lại | ≤ 1% | ≤ 15% | App người tiêu dùng, xác thực cơ bản |
| Level 2 | Mặt nạ 3D, deepfake, gelatin | ≤ 1% | ≤ 15% | Ngân hàng số, eKYC, fintech |
| Level 3 | Tấn công phòng thí nghiệm chuyên sâu | ≤ 1% | ≤ 10% | Biên giới quốc gia, an ninh cấp cao |
5. Các Chỉ Số Đo Lường Cốt Lõi Của ISO 30107-3
Hiểu đúng các chỉ số này giúp doanh nghiệp đọc và so sánh báo cáo kiểm tra PAD một cách chính xác — thay vì bị lạc lối bởi các con số không có ngữ cảnh.
APCER — Attack Presentation Classification Error Rate
Tỷ lệ lỗi phân loại trình bày tấn công: Tỷ lệ các cuộc tấn công bị hệ thống phân loại sai thành trình bày hợp lệ (bona fide). Hay nói cách khác — tỷ lệ kẻ gian vượt qua được.
Trong ISO 30107-3, APCER của loài PAI thành công nhất (tức là loại tấn công khó phát hiện nhất) phải được dùng làm chỉ số báo cáo — không được phép lấy trung bình để che đi điểm yếu.
Thấp hơn = tốt hơn. APCER = 0% nghĩa là không cuộc tấn công nào vượt qua được.
BPCER — Bona Fide Presentation Classification Error Rate
Tỷ lệ lỗi phân loại trình bày hợp lệ: Tỷ lệ người dùng thật bị hệ thống từ chối nhầm là tấn công. Đây là chỉ số khả dụng — BPCER cao đồng nghĩa hệ thống bảo mật tốt nhưng làm phiền người dùng thật quá nhiều.
Đây là sự đánh đổi cổ điển trong bảo mật sinh trắc học: càng chặt chẽ trong việc từ chối tấn công (APCER thấp), càng có nguy cơ từ chối cả người thật (BPCER cao).
Thấp hơn = tốt hơn. BPCER = 0% nghĩa là không người dùng hợp lệ nào bị từ chối nhầm.
ACER — Average Classification Error Rate
Tỷ lệ lỗi phân loại trung bình: ACER = (APCER + BPCER) / 2. Chỉ số tổng hợp phản ánh điểm cân bằng giữa bảo mật và khả dụng.
IAPMR — Imposter Attack Presentation Match Rate
Khi đánh giá hệ thống đầy đủ (thay vì chỉ PAD subsystem), IAPMR đo tỷ lệ cuộc tấn công không chỉ vượt qua PAD mà còn được khớp thành công với danh tính của nạn nhân — chỉ số quan trọng hơn trong đánh giá rủi ro thực tế end-to-end.
6. Phạm Vi Áp Dụng: Sinh Trắc Học Nào Được Bao Phủ?
ISO/IEC 30107 được thiết kế như một khung chung, không phụ thuộc phương thức — áp dụng cho mọi loại sinh trắc học có thể bị tấn công trình bày:
- Khuôn mặt (Face): Phương thức phổ biến nhất trong eKYC và xác thực di động. Các loại tấn công bao gồm ảnh in, video phát lại, mặt nạ 3D, deepfake.
- Vân tay (Fingerprint): Dễ bị tấn công bằng khuôn gelatin, silicon hoặc cao su mô phỏng dấu vân tay người khác.
- Mống mắt (Iris): Tấn công bằng ảnh mắt in chất lượng cao, kính áp tròng có in hoa văn mống mắt.
- Tĩnh mạch ngón tay/bàn tay (Finger/Palm Vein): Khó tấn công hơn nhưng không miễn nhiễm hoàn toàn.
- Giọng nói (Voice): Tấn công bằng bản ghi âm phát lại hoặc giọng nói tổng hợp AI.
7. Tại Sao ISO 30107 Quan Trọng Trong Bối Cảnh Việt Nam?
7.1. Viettel — Doanh nghiệp Việt Nam đầu tiên đạt ISO 30107-3 Level 2
Tháng 6/2024, Viettel trở thành doanh nghiệp đầu tiên và duy nhất tại Việt Nam đạt chứng nhận ISO/IEC 30107-3 Level 2 cho hệ thống eKYC nhận dạng khuôn mặt (FaceID). Hệ thống do Viettel AI phát triển đã trải qua gần 3.000 bài kiểm tra mô phỏng tấn công 2D và 3D do tổ chức chứng nhận Tayllorcox thực hiện, đạt tỷ lệ lỗi 0% — vượt xa ngưỡng cho phép 1%.
Đây là tín hiệu rõ ràng: thị trường Việt Nam đang bước vào kỷ nguyên mà ISO 30107 không còn là điểm cộng mà đang dần trở thành yêu cầu cạnh tranh.
7.2. Làn sóng chuyển đổi số tài chính và eKYC
Nghị định 13/2018/NĐ-CP và Thông tư 16/2020/TT-NHNN của Ngân hàng Nhà nước về mở tài khoản thanh toán trực tuyến đã thúc đẩy hàng loạt ngân hàng và fintech triển khai eKYC. Khi hàng triệu tài khoản được mở qua xác thực khuôn mặt và căn cước công dân, rủi ro tấn công sinh trắc học tỷ lệ thuận với quy mô triển khai.
Ngân hàng Nhà nước và cơ quan quản lý đang ngày càng yêu cầu bằng chứng kỹ thuật về khả năng chống giả mạo — và ISO/IEC 30107-3 là ngôn ngữ quốc tế duy nhất để chứng minh điều đó một cách khách quan.
7.3. Deepfake và mối đe dọa ngày càng leo thang
Sự phát triển của các công cụ AI tạo sinh (generative AI) đang hạ thấp đáng kể rào cản để tạo ra deepfake chất lượng cao. Những gì trước đây đòi hỏi phòng thí nghiệm chuyên dụng nay có thể thực hiện với phần mềm tiêu dùng. ISO 30107 — đặc biệt là phiên bản 2023 — được cập nhật để phản ánh bối cảnh mối đe dọa ngày càng tinh vi này.
8. Đối Tượng Cần Quan Tâm Đến ISO 30107
Nhóm trực tiếp áp dụng và chứng nhận
- Nhà phát triển giải pháp sinh trắc học: Cần kiểm tra và chứng minh năng lực PAD theo ISO 30107-3 để cạnh tranh trên thị trường toàn cầu và trong nước.
- Ngân hàng, fintech, ví điện tử: Cần lựa chọn nhà cung cấp eKYC có chứng nhận ISO 30107-3 phù hợp với mức độ rủi ro của dịch vụ.
- Cơ quan chính phủ triển khai xác thực điện tử: Cổng dịch vụ công, hệ thống định danh quốc gia, kiểm soát biên giới.
Nhóm tham chiếu và quy định
- Cơ quan quản lý tài chính (NHNN, SSC): Sử dụng ISO 30107 như tiêu chí kỹ thuật trong quy định eKYC và xác thực khách hàng điện tử.
- Tổ chức đánh giá an ninh thông tin: Kiểm tra bảo mật hệ thống sinh trắc học trong khuôn khổ đánh giá rủi ro tổng thể.
- Doanh nghiệp mua sắm giải pháp: Cần hiểu ISO 30107 để đặt ra tiêu chí lựa chọn nhà cung cấp PAD phù hợp với mức độ rủi ro thực tế.
9. Mối Quan Hệ Giữa ISO 30107 Và Các Tiêu Chuẩn Sinh Trắc Học Khác
ISO 30107 không tồn tại độc lập mà là một mắt xích quan trọng trong hệ sinh thái tiêu chuẩn sinh trắc học rộng hơn:
| Tiêu chuẩn | Quan hệ với ISO 30107 |
|---|---|
| ISO/IEC 2382-37 | Tiêu chuẩn từ vựng sinh trắc học — định nghĩa thuật ngữ chung mà ISO 30107-1 xây dựng dựa trên đó. |
| ISO/IEC 19795 | Kiểm tra và báo cáo hiệu suất sinh trắc học (FAR, FRR). ISO 30107 bổ sung chiều bảo mật (PAD) vào khung này. |
| ISO/IEC 24745 | Bảo vệ thông tin sinh trắc học. ISO 30107 và 24745 cùng nhau bảo vệ hệ thống sinh trắc học từ góc độ chống tấn công và bảo mật dữ liệu. |
| FIDO Biometric Certification | Chương trình chứng nhận của FIDO Alliance sử dụng ISO/IEC 30107-3:2023 làm tiêu chuẩn PAD cốt lõi. Hai hệ thống bổ trợ nhau. |
| ISO/IEC 27001 | Hệ thống quản lý bảo mật thông tin. Doanh nghiệp triển khai sinh trắc học thường cần cả ISO 27001 và tuân thủ ISO 30107 để bảo vệ toàn diện. |
10. Quy Trình Kiểm Tra ISO 30107-3 Diễn Ra Như Thế Nào?
Hiểu quy trình kiểm tra giúp doanh nghiệp chuẩn bị đúng và tránh những bất ngờ tốn kém.
Bước 1: Lựa chọn phòng thí nghiệm được công nhận
Kiểm tra PAD phải do phòng thí nghiệm độc lập được công nhận thực hiện — không thể tự chứng nhận. Tại thị trường quốc tế, iBeta (NIST/NVLAP accredited) là phòng thí nghiệm được tham chiếu nhiều nhất. Tại Châu Âu có Tayllorcox, ACCS và CLR Labs.
Bước 2: Xác định phạm vi kiểm tra
- Phương thức sinh trắc học nào? (khuôn mặt, vân tay, mống mắt…)
- Cấp độ mục tiêu? (Level 1, 2 hay 3)
- Đánh giá PAD subsystem hay hệ thống đầy đủ?
- Active liveness (yêu cầu hành động từ người dùng) hay Passive liveness (phát hiện tự động)?
Bước 3: Chuẩn bị và tạo công cụ tấn công
Phòng thí nghiệm lựa chọn 6 loài PAI đại diện cho cấp độ kiểm tra mục tiêu. Các công cụ tấn công được tạo từ dữ liệu sinh trắc học của tình nguyện viên — không phải dữ liệu thực của người dùng cuối. Mỗi loài được tạo và kiểm tra trong giới hạn thời gian định sẵn (8 giờ cho Level 1).
Bước 4: Thực hiện kiểm tra
Phòng thí nghiệm luân phiên trình bày tấn công và trình bày hợp lệ (bona fide) theo tỷ lệ quy định. Với Level 1: 150 tấn công xen kẽ 50 trình bày hợp lệ. Hệ thống phân loại từng trình bày và ghi lại kết quả.
Bước 5: Tính toán và kiểm tra ngưỡng
Sau kiểm tra, phòng thí nghiệm tính APCER và BPCER. Nếu cả hai đều đáp ứng ngưỡng yêu cầu (APCER ≤ 1%, BPCER ≤ 15% cho Level 1 và 2), hệ thống được xác nhận đạt cấp độ tương ứng.
Bước 6: Cấp thư xác nhận và báo cáo
Phòng thí nghiệm phát hành Thư Xác nhận (Confirmation Letter) — tài liệu công khai ghi nhận sản phẩm, phiên bản, cấp độ đạt được và thời gian kiểm tra. iBeta duy trì danh sách công khai tất cả thư xác nhận ISO 30107-3 đã phát hành.
11. G-GLOBAL – Đồng Hành Cùng Doanh Nghiệp Trên Hành Trình Tuân Thủ ISO Bảo Mật Số
Trong khi ISO 30107-3 là tiêu chuẩn kỹ thuật chuyên biệt cần phòng thí nghiệm được công nhận để kiểm tra, hành trình chuẩn bị để hệ thống sinh trắc học của doanh nghiệp sẵn sàng cho bài kiểm tra đó — và hành trình xây dựng toàn bộ khung bảo mật thông tin xung quanh nó — là nơi chuyên môn tư vấn ISO tạo ra giá trị thực sự.
Công ty Cổ phần Tư vấn Quốc tế G-GLOBAL với hơn 10 năm kinh nghiệm và đội ngũ chuyên gia được chứng nhận Lead Auditor quốc tế, am hiểu sâu cả chiều kỹ thuật lẫn quản lý của bảo mật thông tin, là đối tác tư vấn đáng tin cậy cho các doanh nghiệp đang triển khai hoặc mua sắm giải pháp sinh trắc học tại Việt Nam.
Dịch vụ G-GLOBAL liên quan đến bảo mật sinh trắc học và danh tính số
G-GLOBAL cung cấp tư vấn và chứng nhận trọn gói cho các tiêu chuẩn thiết yếu trong hệ sinh thái bảo mật thông tin và danh tính số:
- ISO/IEC 27001 — Hệ thống quản lý bảo mật thông tin, nền tảng bắt buộc cho mọi tổ chức xử lý dữ liệu sinh trắc học
- ISO/IEC 27701 — Quản lý thông tin bảo mật quyền riêng tư (PIMS), đặc biệt quan trọng khi xử lý dữ liệu sinh trắc học cá nhân
- ISO/IEC 27017 / 27018 — Bảo mật đám mây và bảo vệ dữ liệu cá nhân trên đám mây — phù hợp cho hệ thống eKYC cloud-based
- ISO 9001 — Hệ thống quản lý chất lượng, hỗ trợ xây dựng quy trình phát triển và vận hành giải pháp sinh trắc học đáng tin cậy
- ISO/IEC 20000-1 — Quản lý dịch vụ CNTT cho nhà cung cấp giải pháp xác thực và định danh điện tử
- Hỗ trợ chuẩn bị kiểm tra ISO 30107-3: Tư vấn gap analysis, rà soát kiến trúc hệ thống và quy trình vận hành trước khi gửi hồ sơ đến phòng thí nghiệm được công nhận
Tại sao cần tư vấn chuyên nghiệp?
Một hệ thống sinh trắc học hoạt động tốt về kỹ thuật nhưng thiếu khung quản lý bảo mật xung quanh vẫn là hệ thống có lỗ hổng. ISO 30107-3 kiểm tra lõi PAD — nhưng dữ liệu sinh trắc học còn cần được bảo vệ trong suốt vòng đời: thu thập, lưu trữ, xử lý, truyền tải và hủy. Đó là vai trò của ISO 27001, 27701 và các tiêu chuẩn bảo mật bổ sung.
G-GLOBAL giúp doanh nghiệp nhìn toàn bức tranh, không chỉ tập trung vào một chứng nhận đơn lẻ, để xây dựng một hệ thống xác thực danh tính số thực sự bền vững và đáng tin cậy.
💬 “Chúng tôi không chỉ giúp doanh nghiệp đạt chứng nhận ISO, mà còn giúp họ vận hành hệ thống hiệu quả và phát triển bền vững.” — Đại diện G-GLOBAL
Liên hệ tư vấn miễn phí:
- 🌐 Website: gglobal.vn
- 📍 Hà Nội: Tầng 7, Tòa nhà HLT, Số 23 Ngõ 37/2 Dịch Vọng, Cầu Giấy
- 📍 Đà Nẵng: 73 Lý Thái Tông, Phường Thanh Khê Tây, Quận Thanh Khê
- 📍 TP.HCM: 366/7F Chu Văn An, Phường 12, Quận Bình Thạnh
12. Câu Hỏi Thường Gặp (FAQ)
Liveness detection và PAD theo ISO 30107 có phải là một không?
Không hoàn toàn. Liveness detection là khái niệm thông thường chỉ khả năng xác nhận người dùng là người sống thực. PAD (Presentation Attack Detection) theo ISO 30107 là khái niệm rộng hơn — bao gồm liveness nhưng cũng bao gồm cả việc phát hiện danh tính giả mạo (ví dụ: một người sống thực nhưng đang cố dùng khuôn mặt/vân tay mô phỏng người khác). ISO 30107 cung cấp khung định nghĩa chính xác, giúp tránh nhầm lẫn khi đánh giá giải pháp.
Doanh nghiệp mua giải pháp eKYC có cần hiểu ISO 30107 không?
Rất cần. Khi nhà cung cấp tuyên bố “đạt ISO 30107-3 Level 2”, doanh nghiệp cần biết: phương thức sinh trắc học nào được kiểm tra? Phiên bản nào của tiêu chuẩn? Phòng thí nghiệm nào thực hiện? APCER/BPCER thực tế là bao nhiêu? Không có những thông tin này, tuyên bố chứng nhận không có ý nghĩa thực tế. ISO 30107 cung cấp ngôn ngữ để đặt những câu hỏi đúng.
Tại sao ISO 30107-3:2023 quan trọng hơn bản 2017?
Phiên bản 2023 (phiên bản thứ hai) cập nhật thuật ngữ, làm rõ phạm vi và bổ sung hướng dẫn phù hợp với bối cảnh mối đe dọa hiện đại — đặc biệt là deepfake và các kỹ thuật tổng hợp AI. Phòng thí nghiệm iBeta đã cập nhật phương pháp kiểm tra để phù hợp với bản 2023 từ đầu năm 2023. Chứng nhận mới cần tham chiếu bản 2023.
Chứng nhận ISO 30107-3 có thời hạn hiệu lực không?
Thư xác nhận của iBeta không có ngày hết hạn tự động nhưng được gắn với phiên bản sản phẩm cụ thể — khi nhà cung cấp ra phiên bản mới với thay đổi đáng kể về thuật toán PAD, cần kiểm tra lại. Trong thực tế, nhiều tổ chức chứng nhận như ACCS cấp chứng chỉ có hiệu lực 2 năm. Doanh nghiệp mua giải pháp nên hỏi về chu kỳ tái kiểm tra của nhà cung cấp.
Sự khác biệt giữa ISO 30107 và FIDO Biometric Certification là gì?
ISO/IEC 30107-3 là tiêu chuẩn quốc tế thuần kỹ thuật về phương pháp kiểm tra PAD — độc lập với bất kỳ hệ sinh thái xác thực nào.
FIDO Biometric Certification là chương trình chứng nhận của FIDO Alliance, được xây dựng dựa trên ISO 30107-3 nhưng tích hợp thêm các yêu cầu đặc thù của hệ sinh thái FIDO (FIDO2, WebAuthn, passkey). Hai hệ thống bổ trợ và thường đi cùng nhau trong thực tế triển khai.
13. Kết Luận
Tiêu chuẩn ISO 30107 không phải là điều xa xỉ dành riêng cho các tập đoàn công nghệ toàn cầu. Trong bối cảnh Việt Nam đang chuyển đổi số mạnh mẽ — eKYC ngân hàng, định danh điện tử công dân, xác thực di động trong fintech — đây đang nhanh chóng trở thành thước đo tin cậy tối thiểu mà thị trường và cơ quan quản lý kỳ vọng.
Câu hỏi không còn là “có nên quan tâm đến ISO 30107 không” mà là “Level nào phù hợp với mức độ rủi ro của ứng dụng của tôi” và “hệ thống của mình hiện đang ở đâu so với yêu cầu đó.”
Với vai trò là nhà tư vấn ISO uy tín hàng đầu Việt Nam, G-GLOBAL sẵn sàng đồng hành cùng doanh nghiệp không chỉ trong hành trình ISO 30107 mà trong toàn bộ chiến lược bảo mật thông tin và quản lý danh tính số — từ ISO 27001 đến eKYC compliance — bằng phương châm “NHANH NHẤT – HIỆU QUẢ – TIN CẬY – TIẾT KIỆM”.
Bài viết được biên soạn dựa trên nội dung ISO/IEC 30107-1:2023, ISO/IEC 30107-3:2023, ISO/IEC 30107-4:2024, tài liệu kỹ thuật của iBeta Quality Assurance, NIST và thông tin chính thức từ ISO/IEC JTC1/SC37.
Cập nhật lần cuối: Tháng 6/2026
